駕駛自動化技術的快速發(fā)展顯著拓展了車輛功能范疇、提升了車輛性能，但也對道路安全提出了更高要求，尤其是在復雜交通場景下功能不足可能導致非預期風險。ISO 21448預期功能安全標準作為核心框架，通過系統(tǒng)化活動（覆蓋系統(tǒng)定義、開發(fā)、測試驗證環(huán)節(jié)）確保這些風險處于可控范圍。從該標準中我們可以引申出三個關鍵概念：理想系統(tǒng)代表零事故完美狀態(tài)，定義系統(tǒng)為工程定義、規(guī)范基準與設計，實現(xiàn)系統(tǒng)是現(xiàn)實中的最終產(chǎn)品；三者隨相互關聯(lián)但客觀上存在差異，這意味著工程實踐中的定義系統(tǒng)與實現(xiàn)系統(tǒng)存在缺陷，在功能層面可以體現(xiàn)為功能不足或功能缺陷，由此構成了風險來源。SOTIF強調(diào)全流程管理，包括場景定義、風險識別和閉環(huán)驗證等環(huán)節(jié)，為行業(yè)提供了可落地的技術路徑，目標是將由于功能不足而產(chǎn)生的不合理風險進行排除，使得功能對應的危險場景占比壓縮至安全閾值內(nèi)。

2025年7月22日，Vector商業(yè)開發(fā)經(jīng)理（網(wǎng)絡及分布式系統(tǒng)開發(fā)及測試）關明曦在第八屆智能輔助駕駛大會上表示："基于場景的測試方法（Scenario-Based Testing）是實現(xiàn)SOTIF目標的關鍵路徑，通過多輪迭代的場景擴充、風險識別、系統(tǒng)修改及閉環(huán)驗證可有效消除功能不足引起的不合理風險，使得功能達到安全釋放的準則"。這一觀點源自Vector工具鏈實踐，支持從模型在環(huán)到實車在環(huán)的多層級測試，通過場景分析及泛化實現(xiàn)測試場景庫的建立和不斷擴充，部分測試用例及測試環(huán)境在不同環(huán)節(jié)、層級測試中的復用，確保驗證過程的可靠性及效率。

關明曦 | Vector 商業(yè)開發(fā)經(jīng)理（網(wǎng)絡及分布式系統(tǒng)開發(fā)及測試）

預期功能安全的核心邏輯

ISO 21448標準開宗明義指出：“道路車輛安全是道路車輛產(chǎn)業(yè)的首要關切”，強調(diào)駕駛自動化系統(tǒng)（L0~L5全部等級）的一個核心目標是普遍性降低交通事故率，尤其減少因人為失誤導致的傷亡事件。從該標準中可以看到三個關鍵概念：理想系統(tǒng)（Desired System）代表零事故的完美狀態(tài)，即完全避免所有交通事故；定義系統(tǒng)（Specified System）是工程實現(xiàn)中的規(guī)范基準，包括預期功能定義、技術要求和設計；實現(xiàn)系統(tǒng)（Implemented System）為通過工程實現(xiàn)得到的最終落地產(chǎn)品。由于認知局限、當前技術發(fā)展水平約束和工程開發(fā)、測試過程的不完美性，導致三者間必然存在差異，即在功能層面我們實踐產(chǎn)生的系統(tǒng)存在不足或者缺陷，即系統(tǒng)可能無法安全處理特定場景，導致非預期行為，并在特定條件下最終造成對人員的傷害。

圖源：演講嘉賓素材

SOTIF的實質(zhì)是消除這些功能不足導致的不合理風險，其正式定義為"不存在因功能不足引發(fā)危險行為而造成的不合理風險"。通過場景四象限模型，可將駕駛自動化系統(tǒng)需要面對的場景（交通環(huán)境系統(tǒng)）化劃分為：已知不危險區(qū)（區(qū)域1，功能可安全應對且已知的場景）、已知危險區(qū)（區(qū)域2，功能不足且已知的危險場景）、未知危險區(qū)（區(qū)域3，功能不足但未知的危險場景）和未知不危險區(qū)（區(qū)域4，功能可安全應對但未知的場景）。驗證的核心目標是通過多輪迭代的預期功能安全活動過程，包括功能變更和約束隨機測試場景序列，逐步識別一個又一個功能不足并消除其所對應的不合理風險，將區(qū)域2和區(qū)域3（已知和未知危險場景區(qū)）的占比壓縮至安全閾值內(nèi)，確保殘余風險可控、可接受。

圖源：演講嘉賓素材

場景化測試的技術實現(xiàn)

場景作為驗證功能不足的基本單元，包含靜態(tài)道路要素（如道路拓撲、交通標志）與動態(tài)交互對象（如車輛、行人行為，光照、天氣等）。要實現(xiàn)對于測試場景的高效分析、管理及生成，其核心在于對場景描述不同抽象層級的劃分，其抽象程度由高到低可以分為三個層級：功能場景（Functional Scenario）描述抽象、概略行為及道路，邏輯場景（Logical Scenario）定義參數(shù)化框架（如速度、天氣等可變參數(shù)），具體場景（Concrete Scenario）對應參數(shù)化之后、可執(zhí)行測試的場景實例（實際道路交互模擬）。抽象程度越高，對應的所有可能場景數(shù)量越少，反之場景數(shù)量激增。故工程人員可以從功能場景、邏輯場景層面入手，分析場景可能性，就可以對數(shù)量有限且較少的抽象場景進行較為充分的分析、描述和管理，再使用泛化的方式，自動化地、快速地從邏輯場景生成充分多的具體場景，用于具體的測試執(zhí)行中。例如NCAP測試中從邏輯場景到具體場景的數(shù)量呈指數(shù)級增長。

圖源：演講嘉賓素材

測試方法演進呈現(xiàn)三大趨勢：首先，仿真測試支持全天候模擬與驗證（包括雨雪霧等極端條件），可安全復現(xiàn)碰撞臨界場景（如近距障礙物避讓），且具備不依賴硬件、實車即可進行高并發(fā)、短時間完成大批量場景的閉環(huán)測試等特點；其次，采用行業(yè)內(nèi)廣泛使用的標準標準化場景文件，例如ASAM OpenDRIVE標準構建靜態(tài)道路模型（描述道路拓撲、道路坡度、交通標志等）和OpenSCENARIO標準定義動態(tài)交通環(huán)境（車輛軌跡、行為序列、時間序列、天氣環(huán)境等），形成可參數(shù)化的邏輯場景庫；其三，通過泛化技術可從邏輯場景庫中基于邏輯場景自動生成數(shù)量充分多的具體場景，提升覆蓋率，例如使用開源Python工具生成不同起伏度道路場景，實現(xiàn)地形多樣性泛化；OpenSCENARIO標準本身就支持邏輯場景描述，當然也可以實現(xiàn)對動態(tài)交通環(huán)境的泛化，交通參與者的外觀、行為，天氣的變化等。

圖源：演講嘉賓素材

圖源：演講嘉賓素材

場景泛化過程概述：基礎場景中聲明可變參數(shù)及其默認值（如標準道路寬度）→衍生具體場景（實際測試用例），獨立參數(shù)變異文件定義邏輯場景（如隨機化天氣參數(shù)）→工具無關的Python腳本實現(xiàn)自動化泛化。

場景庫中的邏輯場景建設存在三種路徑：基于NCAP規(guī)范或者公司、行業(yè)測試規(guī)范人工構建（手動定義風險場景），實車日志數(shù)據(jù)自動轉(zhuǎn)換，商業(yè)工具生成場景庫基礎。

工具鏈驅(qū)動的驗證閉環(huán)

功能安全（ISO 26262）關注電子電氣系統(tǒng)失效引發(fā)的風險，例如電子轉(zhuǎn)向系統(tǒng)在行駛中產(chǎn)生非預期轉(zhuǎn)向?qū)е萝囕v失控，或電子駐車制動在行駛中意外激活；網(wǎng)絡安全（ISO 21434）則針對網(wǎng)絡攻擊可能導致的功能異常，如通過車載通信接口實施的惡意操控。二者與SOTIF共同構成系統(tǒng)的安全保障鐵三角，覆蓋硬件（或系統(tǒng)性）失效、網(wǎng)絡威脅及功能不足三大風險維度。

圖源：演講嘉賓素材

圖源：演講嘉賓素材

Vector工具鏈可實現(xiàn)四層測試深度貫通：模型在環(huán)（MIL）專注于算法驗證與桌面標定，通過高并發(fā)及加速仿真支持每小時完成千級測試用例的自動化執(zhí)行；軟件在環(huán)（SIL）處理混合臨界系統(tǒng)調(diào)試與日志數(shù)據(jù)注入，可維持與MIL測試同等測試效率；硬件在環(huán)（HIL）驗證系統(tǒng)集成與通信質(zhì)量，效率降至百級用例/小時；實車在環(huán)（VIL）完成實車動態(tài)校準與真實ECU系統(tǒng)集成測試，效率為十級用例/小時。形成測試效率逐級遞減但真實性遞增的驗證閉環(huán)，各個層級測試均有各自的測試重點，測試左移實現(xiàn)問題早發(fā)現(xiàn)、早解決，降低產(chǎn)品開發(fā)落地成本和周期，提高產(chǎn)品軟硬件及系統(tǒng)質(zhì)量。

圖源：演講嘉賓素材

核心價值在于三大復用機制：測試場景庫（ASAM OpenDRIVE及OpenSCENARIO標準）跨MIL/SIL/HIL層級復用消除重復建設，測試環(huán)境組件化復用縮短各測試層級平臺搭建周期，測試用例標準化復用確保驗證一致性。通過CANoe與DYNA4的協(xié)同方案，構建從需求分析、場景生成到自動化測試執(zhí)行的端到端追溯鏈，實現(xiàn)危險場景識別率提升與驗證周期壓縮的工程實效。

未來展望與挑戰(zhàn)

隨著輔助駕駛系統(tǒng)復雜度提升，特別是在多傳感器融合場景中，場景覆蓋率不足已成為一個主要技術瓶頸，導致功能驗證不充分和不合理的安全風險殘留。建議行業(yè)共建、共享場景庫生態(tài)體系，通過三項關鍵工作突破瓶頸：建立危險場景數(shù)據(jù)共享機制，鼓勵車企間交換非敏感事故數(shù)據(jù)以豐富場景庫；開發(fā)AI驅(qū)動的場景自動生成引擎，利用機器學習技術自動衍生復雜交互場景；制定中國典型的、特色的道路場景標準，針對國內(nèi)特有交通環(huán)境定制化驗證框架。同時，機器學習和人工智能技術的引入也給駕駛自動化事業(yè)的發(fā)展進行帶來了機遇與挑戰(zhàn)，需要注意到的是，于2024年發(fā)布的《ISO 8800 道路車輛 安全性與人工智能》這一國際標準，在L3級及以上自動駕駛的開發(fā)和驗證過程中，或許也值得被了解、學習和關注。

Vector擁有豐富的產(chǎn)品體系并將持續(xù)完善，為行業(yè)提供涵蓋軟硬件開發(fā)與測試工具、定制化本地項目服務、以及ISO 26262/21434/SOTIF標準本地咨詢、支持的完整解決方案，助力行業(yè)實現(xiàn)駕駛自動化功能的開發(fā)與測試驗證效率提升，達到三大安全標準明確的殘余安全風險可控、可接受的要求，使功能最終達成“讓駕駛更安全”的核心目標。