摘要

自動(dòng)駕駛車輛（AV）整合了復(fù)雜的感知和定位組件，以創(chuàng)建周圍世界的模型，并據(jù)此安全導(dǎo)航。機(jī)器學(xué)習(xí)（ML）模型被廣泛應(yīng)用于這些組件中，以從嘈雜的傳感器數(shù)據(jù)中提取物體信息。由于現(xiàn)代AV部署了許多傳感器（攝像頭、雷達(dá)和LiDAR），實(shí)時(shí)處理所有數(shù)據(jù)導(dǎo)致工程師不得不在某些駕駛情景中做出權(quán)衡，可能導(dǎo)致系統(tǒng)次優(yōu)。由于缺乏對(duì)各個(gè)組件的精確要求，模塊化測(cè)試和驗(yàn)證也變得具有挑戰(zhàn)性。

本文提出了從頂級(jí)駕駛情景仿真中推導(dǎo)出用于安全AV行為的抽象世界模型精度的計(jì)算問題。這一過程計(jì)算量很大，因?yàn)槭澜缒Ｐ涂赡馨S多具有多個(gè)屬性的物體，且AV在每個(gè)時(shí)間步都會(huì)提取一個(gè)世界模型。我們描述了有效解決這一問題的方法，并推導(dǎo)出組件級(jí)的要求和測(cè)試方法。

一、引言

隨著傳感器和計(jì)算技術(shù)的進(jìn)步，自動(dòng)駕駛領(lǐng)域迅速發(fā)展。由于AV必須在各種條件下運(yùn)行，其系統(tǒng)實(shí)現(xiàn)的復(fù)雜性，確保AV的安全性是一個(gè)具有挑戰(zhàn)性的任務(wù)。AV中的定位和感知組件利用傳感器和地圖信息創(chuàng)建世界模型，以捕捉AV周圍的環(huán)境。這個(gè)世界模型然后傳遞給規(guī)劃模塊，基于其目標(biāo)創(chuàng)建一個(gè)安全的行駛軌跡?；跀z像頭和LiDAR的感知組件越來越多地使用ML模型進(jìn)行2D和3D物體檢測(cè)。

對(duì)于ML驅(qū)動(dòng)的感知組件的安全性要求很難進(jìn)行推理，因?yàn)椴幻鞔_感知不準(zhǔn)確是否（以及如何）違反頂級(jí)安全目標(biāo)。在實(shí)際操作中，不同AV組件的要求由主題專家驅(qū)動(dòng)，主要基于經(jīng)驗(yàn)。此外，這些要求通常設(shè)置得比較保守，并且在不同的駕駛條件和操作設(shè)計(jì)域（ODD）中是通用的。例如，在繁忙的交叉路口，本地化組件應(yīng)相對(duì)更準(zhǔn)確，而在稀疏的鄉(xiāng)村道路上則不然。同樣，在高速公路上，感知組件應(yīng)具有高召回率和高精度，但在行人區(qū)則只需高召回率。在理想情況下，人們希望使用高分辨率攝像頭（例如24MP）以高幀率（例如120FPS）感知周圍的一切，并采用多個(gè)高精度、復(fù)雜的DNN模型。由于AV運(yùn)行在資源受限的平臺(tái)上，系統(tǒng)設(shè)計(jì)師需要進(jìn)行權(quán)衡，設(shè)計(jì)一個(gè)足夠準(zhǔn)確的系統(tǒng)（例如，使用2-8MP攝像頭、30FPS和經(jīng)過優(yōu)化/量化的DNN模型，精度稍低）。這種基于通用要求的解決方案可能導(dǎo)致某些需要高精度感知的條件下的系統(tǒng)不夠安全（例如，在交叉路口從側(cè)面快速接近的物體可能需要增強(qiáng)跟蹤）。

硬件在環(huán)（HIL）和軟件在環(huán)（SIL）仿真提供了有效的端到端AV系統(tǒng)測(cè)試方法。HIL測(cè)試使用汽車硬件、傳感器以及可能的執(zhí)行器進(jìn)行系統(tǒng)驗(yàn)證和確認(rèn)。SIL仿真用于設(shè)計(jì)階段以及單元和集成測(cè)試，輸入單元或組件的輸入?yún)?shù)要么是自動(dòng)生成的，要么是手工制作的，以模擬不同輸入?yún)?shù)的有效性。

為了實(shí)現(xiàn)更安全駕駛的AV系統(tǒng)設(shè)計(jì)，我們提出了一種仿真驅(qū)動(dòng)的方法來計(jì)算世界模型精度要求。由于這種基于仿真的方法計(jì)算量大，我們還描述了有效的狀態(tài)空間探索方法。我們的方法提供了以下好處：（i）允許從頂級(jí)系統(tǒng)要求和駕駛情景推導(dǎo)組件級(jí)要求，實(shí)現(xiàn)可追溯性；（ii）促進(jìn)針對(duì)駕駛情景定制世界模型精度要求，允許通過提高其他組件的精度來彌補(bǔ)某些組件的不準(zhǔn)確性；（iii）導(dǎo)致一種正式框架，用于根據(jù)傳統(tǒng)安全標(biāo)準(zhǔn)ISO 26262和預(yù)期功能安全性（SOTIF）在集成和系統(tǒng)級(jí)測(cè)試中調(diào)查組件級(jí)故障，這在頂級(jí)駕駛情景仿真中目前是缺失的。

二、相關(guān)工作

關(guān)于頂級(jí)情景仿真以建立對(duì)AV行為的信心已經(jīng)有大量研究。OpenScenario是一種用于描述仿真情景的高級(jí)語言。Waymo最近發(fā)表了他們的研究，展示了AV在事故情景中的表現(xiàn)。其他研究進(jìn)一步探索了情景操控以發(fā)現(xiàn)不安全的AV行為。

某研究團(tuán)隊(duì)使用模糊測(cè)試操控情景并發(fā)現(xiàn)不安全的AV行為。同樣，另一研究團(tuán)隊(duì)開發(fā)了一個(gè)基于仿真的對(duì)抗性測(cè)試框架。智能情景生成加速搜索和罕見事件概率評(píng)估也得到了探索。還有研究采用了一種方法來生成對(duì)抗性情景，并提出了一種根據(jù)AV維護(hù)安全的難易程度對(duì)其進(jìn)行表征。另一研究團(tuán)隊(duì)開發(fā)了一個(gè)名為Suraksha的框架，研究感知退化對(duì)AV安全性的影響。還有研究分析了一種情景抽象方法，并提出了一種根據(jù)ISO 26262標(biāo)準(zhǔn)開發(fā)過程設(shè)計(jì)車輛引導(dǎo)系統(tǒng)的方法。ML白盒測(cè)試分析了基于神經(jīng)元覆蓋率的情景。

	圖 1. AV 架構(gòu)

由于機(jī)器學(xué)習(xí)在自動(dòng)駕駛中的重要性，最近的工作重點(diǎn)放在機(jī)器學(xué)習(xí)在安全關(guān)鍵應(yīng)用中的魯棒性。某研究團(tuán)隊(duì)討論了擴(kuò)展經(jīng)典汽車標(biāo)準(zhǔn)到ML安全性的挑戰(zhàn)和想法。另一團(tuán)隊(duì)探討了汽車系統(tǒng)設(shè)計(jì)對(duì)基于ML的感知的影響。最近的UL4600標(biāo)準(zhǔn)和ML安全生命周期提供了建立基于ML的感知組件安全性的指南，但依賴于一種健全的需求工程方法來實(shí)現(xiàn)這種感知組件。同樣，《自動(dòng)駕駛安全白皮書》建議使用基于檢查表的方法來開發(fā)感知相關(guān)任務(wù)的規(guī)范，但也承認(rèn)這種檢查表容易過時(shí)。將這種方法擴(kuò)展到不同的感知相關(guān)任務(wù)具有挑戰(zhàn)性。還有研究承認(rèn)基于ML的系統(tǒng)的需求工程（RE）面臨的挑戰(zhàn)。他們認(rèn)為，RE生命周期需要分為諸如提取、分析、規(guī)范、驗(yàn)證和確認(rèn)等活動(dòng)，需要科學(xué)家、需求工程師、法律專家和客戶之間的緊密協(xié)調(diào)。某研究團(tuán)隊(duì)提出了一種方法，用于規(guī)范基于ML的感知組件對(duì)輸入的小擾動(dòng)的魯棒性要求。這種方法沒有分解系統(tǒng)級(jí)要求，而是使用人類表現(xiàn)作為基準(zhǔn)。

三、設(shè)計(jì)和測(cè)試AVs

現(xiàn)代自動(dòng)駕駛車輛（AV）由以下組件組成：一組傳感器用于觀察環(huán)境，一個(gè)感知模塊用于檢測(cè)環(huán)境中的靜態(tài)和動(dòng)態(tài)物體，一個(gè)定位模塊用于估計(jì)AV在地圖上的位置，一個(gè)軌跡預(yù)測(cè)模塊用于預(yù)測(cè)動(dòng)態(tài)物體的行為，一個(gè)規(guī)劃模塊用于生成駕駛軌跡，以及一個(gè)控制模塊用于生成控制命令驅(qū)動(dòng)車輛（包括一個(gè)在線碰撞預(yù)測(cè)和避免模型）。為了我們的目的，我們簡化了這個(gè)架構(gòu)，讓規(guī)劃模塊包括預(yù)測(cè)和控制模塊。

3.1. 駕駛情景

感知和定位模塊的輸出是一個(gè)世界模型，捕捉所有靜態(tài)和動(dòng)態(tài)物體以及自車的狀態(tài)。物體的屬性包括其類別（或類型）、形狀、位置、速度、加速度以及準(zhǔn)確和舒適駕駛所需的其他信息。我們用σ表示給定時(shí)刻的世界模型狀態(tài)。

ODD規(guī)定了AV安全分析的約束。這些約束（例如，帶有車輛速度限制的區(qū)域或道路段）限定了空間，允許進(jìn)行實(shí)際分析。對(duì)于給定的ODD，使用ISO 26262和21448（SOTIF）標(biāo)準(zhǔn)進(jìn)行危害和風(fēng)險(xiǎn)分析（HARA）。對(duì)于每個(gè)危害，導(dǎo)出一組安全目標(biāo)。例如，在高速公路ODD中，一個(gè)危害是由于自車速度突然變化而導(dǎo)致的縱向碰撞。這產(chǎn)生了一個(gè)安全目標(biāo)，即AV應(yīng)防止意外的縱向加速/減速。

對(duì)于每個(gè)安全目標(biāo)g ∈ G，可以創(chuàng)建一組駕駛情景Θg進(jìn)行測(cè)試。每個(gè)情景θ ∈ Θg包括環(huán)境的變化、參與者的數(shù)量、他們的起始位置和在情景過程中的行為。情景包括參與者和AV行駛的地圖部分、環(huán)境條件（例如天氣和道路狀況）、一組參與者和AV的初始速度和位置、執(zhí)行過程中每個(gè)參與者將采取的一組操作。我們假設(shè)參與者遵循智能駕駛員模型（IDM）。情景θ從時(shí)間0開始，到T結(jié)束。我們說如果AV在情景的任何時(shí)間步都沒有接近任何其他物體r距離內(nèi)，則AV在情景中是安全的。參數(shù)r取決于安全目標(biāo)。在這項(xiàng)工作中，我們只考慮在假設(shè)AV的IDM情況下是安全的情景。

3.2. 設(shè)計(jì)挑戰(zhàn)

經(jīng)典的汽車安全標(biāo)準(zhǔn)ISO 26262從項(xiàng)目定義開始，然后進(jìn)行危害和風(fēng)險(xiǎn)分析（HARA）。對(duì)于所有需要進(jìn)一步處理的風(fēng)險(xiǎn)，導(dǎo)出安全目標(biāo)。安全目標(biāo)產(chǎn)生對(duì)車輛不同模塊的要求。對(duì)于AV，這些包括感知、規(guī)劃、控制和執(zhí)行。與此類似，ISO 21448提出了保證預(yù)期功能安全的要求，特別是對(duì)于使用ML組件的AV。然而，由于AV中有許多物體屬性可能影響安全（例如，在時(shí)間步t，世界模型中的物體數(shù)量可能從10增加到1000），這使得在較長時(shí)間范圍內(nèi)進(jìn)行可靠推理成為一個(gè)具有挑戰(zhàn)性的任務(wù)。此外，由于許多物體的狀態(tài)隨時(shí)間變化以及這些屬性之間的關(guān)系，這些要求變得非常復(fù)雜。

3.3 測(cè)試挑戰(zhàn)

對(duì)于安全目標(biāo) ggg 的一般驗(yàn)證問題是確保自動(dòng)駕駛汽車（AV）在所有駕駛場(chǎng)景 Θg\Theta_gΘg 中都是安全的。由于可能的場(chǎng)景數(shù)量理論上是無限的：兩個(gè)場(chǎng)景可以在速度、位置、物體的大小或物體總數(shù)上有所不同，因此這是不可行的。相反，汽車安全標(biāo)準(zhǔn)要求通過單元、集成和系統(tǒng)級(jí)測(cè)試進(jìn)行嚴(yán)格的分層驗(yàn)證。單元測(cè)試通過結(jié)構(gòu)覆蓋確保各單元的正常運(yùn)行。集成測(cè)試確保單元之間的靜態(tài)和動(dòng)態(tài)交互得到充分測(cè)試。系統(tǒng)測(cè)試驗(yàn)證系統(tǒng)行為。ISO 26262 要求在每個(gè)級(jí)別上滿足多個(gè)目標(biāo)以盡量減少安全風(fēng)險(xiǎn)。例如，強(qiáng)烈建議系統(tǒng)級(jí)測(cè)試包括等價(jià)類分析和故障注入測(cè)試。

目前，僅限于頂級(jí)場(chǎng)景仿真不足以滿足傳統(tǒng)安全標(biāo)準(zhǔn)的期望。我們展示了我們的自頂向下需求推導(dǎo)如何有助于執(zhí)行更系統(tǒng)的測(cè)試。

四、仿真驅(qū)動(dòng)的需求推導(dǎo)

我們現(xiàn)在描述我們的方法，利用頂級(jí)場(chǎng)景仿真來表征安全的世界模型誤差，并創(chuàng)建組件級(jí)需求。

4.1 方法和公式

我們利用駕駛場(chǎng)景仿真框架將安全需求分解到自動(dòng)駕駛堆棧中，以推導(dǎo)出組件級(jí)需求。我們的方法總結(jié)如圖2所示。對(duì)于一個(gè)場(chǎng)景 θ\thetaθ，目標(biāo)是獲得 Γθ\Gamma_\thetaΓθ，一組感知世界模型誤差值序列，這些序列不會(huì)導(dǎo)致安全違規(guī)。

圖 2. 計(jì)算世界模型誤差安全輪廓并推導(dǎo)組件級(jí)別要求的方法

我們將誤差序列稱為 γ^∈Γθ\hat{\gamma} \in \Gamma_\thetaγ^∈Γθ，將每個(gè)時(shí)間步的誤差稱為 γ0...γT\gamma_0...\gamma_Tγ0...γT（下標(biāo)表示時(shí)間步），其中場(chǎng)景 θ\thetaθ 為隱含表示，TTT 是場(chǎng)景 θ\thetaθ 的長度。

在場(chǎng)景 θ\thetaθ 的每個(gè)時(shí)間步 tit_iti，將誤差分量 γi\gamma_iγi 添加到世界模型狀態(tài) σi\sigma_iσi 并作為輸入傳遞給規(guī)劃算法，然后生成執(zhí)行值（動(dòng)作）。執(zhí)行改變了模擬器中自動(dòng)駕駛汽車在下一個(gè)時(shí)間步 ti+1t_{i+1}ti+1 的狀態(tài)。模擬器還根據(jù)場(chǎng)景描述更新所有其他參與者的狀態(tài)，并將狀態(tài) σt+1\sigma_{t+1}σt+1 傳遞給自動(dòng)駕駛汽車用于 ti+1t_{i+1}ti+1。

直觀上，Γθ\Gamma_\thetaΓθ 指定了感知和定位任務(wù)的需求，即在場(chǎng)景 θ\thetaθ 期間，如果觀察到的誤差小于 Γθ\Gamma_\thetaΓθ 中的值，自動(dòng)駕駛汽車將是安全的。

4.2 組件級(jí)需求推導(dǎo)

我們的方法通過模擬和優(yōu)化技術(shù)來有效地探索誤差空間，并推導(dǎo)出組件級(jí)需求。我們將模擬分為多個(gè)階段，包括單元測(cè)試、集成測(cè)試和系統(tǒng)測(cè)試。在每個(gè)階段，我們都會(huì)進(jìn)行故障注入測(cè)試以驗(yàn)證安全輪廓分析的準(zhǔn)確性。

圖 3. N 維空間的可視化示例(N=2) 對(duì)于 }，其中每個(gè)綠色點(diǎn)代表一個(gè)序列世界模型誤差 ^ 這不會(huì)影響給定的安全性設(shè)想。兩個(gè)軸代表每個(gè)中的世界模型誤差兩個(gè)時(shí)間步（代表本例中的維度）。

4.3 挑戰(zhàn)

盡管描述了高效狀態(tài)空間探索的技術(shù)，但應(yīng)用該方法仍然面臨幾個(gè)挑戰(zhàn)。第4.4節(jié)中描述的用于感知和定位需求的參數(shù)化模型可以包含更多參數(shù)。需要研究以了解使用簡單與復(fù)雜參數(shù)化對(duì)系統(tǒng)效率的影響。此外，需要在現(xiàn)實(shí)環(huán)境中測(cè)試通過這種仿真驅(qū)動(dòng)方法獲得的需求的充分性，主要是為了確保模擬器的工件不會(huì)影響現(xiàn)實(shí)世界的安全性。

五、結(jié)論

自動(dòng)駕駛系統(tǒng)由多個(gè)組件組成，包括定位和感知，以創(chuàng)建一個(gè)世界模型，然后傳遞給規(guī)劃組件以生成軌跡。不同組件的需求是基于經(jīng)驗(yàn)并自下而上驅(qū)動(dòng)的，而自動(dòng)駕駛系統(tǒng)的安全性通常通過頂級(jí)場(chǎng)景仿真來保證。

我們提出了一種方法，從頂級(jí)駕駛場(chǎng)景中推導(dǎo)出組件需求。我們將允許的世界模型誤差表征為一個(gè)安全輪廓，并討論了高效計(jì)算近似安全輪廓的技術(shù)。然后，我們提出了從安全輪廓推導(dǎo)組件級(jí)需求的想法，并提出了一種針對(duì)各組件的測(cè)試方法。這種方法為高效的自頂向下需求推導(dǎo)和模塊化測(cè)試開辟了新的研究方向。