去年,某品牌车辆在高速领航辅助模式下与混凝土结构物发生碰撞,致3人死亡。根据事故调查结果显示,系统既没有硬件故障,也没有任何代码报错,只是因为车辆没能在瞬间识别出位于特定角度、特定光照条件下的那个水泥墩子而已。
这类情况属于预期功能安全(SOTIF)问题的一类。ISO21448标准为此提供了全生命周期的管理框架。但是呢,这个标准里只是告诉我们"要验证什么",却没有给出"怎么验证"的具体路径。对于上面那个事故,作为车辆研发的工程师而言,他可能根本就不知道要把这个测试用例写上。所以,从研发角度而言,真正棘手的问题就在于:如何将SOTIF的抽象要求转化为可执行的、可量化的和可追溯的仿真测试方案。
今年初发布的GB/T 47025-2026《智能网联汽车 自动驾驶功能仿真试验方法及要求》中给出了一些方向。标准里定义了7类48个专项试验项目,覆盖交通信号识别、道路基础设施与障碍物识别、行人与非机动车识别、周边车辆行驶状态识别、自动紧急避险等关键场景。更重要的是,标准里提出了"固定一般参数+泛化变量参数"的场景生成逻辑,不再像以前只是测几个典型工况就交差,而是要求系统性地覆盖参数空间。于是,对于研发测试工程师来讲,主要有三块硬骨头要啃:
-
场景覆盖度:怎么才能不靠拍脑袋来生成足够多的场景变体?
-
可信度:仿真跑得再好,怎么证明用到实车上跑起来也差不多呢?
-
可追溯性:万一出事了,怎么证明该测的都测了呢?
先说第一块骨头:场景覆盖度。
众所周知,SOTIF验证最大的挑战在于不知道那个"未知"具体是什么,以及在哪里。传统的人工枚举场景的方式不仅效率低,最要命的是存在认知盲区,因为工程师只能设计出他们自己能想到的场景,对于那些他们想不到的边缘或极端场景,只能交给命运。
目前,自动驾驶仿真测试技术给出的解决方向之一是将AI引入到场景生成环节。通过大语言模型的语义理解与逻辑推理能力,将自然语言描述的ODD特征转化为符合标准的高质量仿真场景文件,实现场景构建效率的量级提升。之后,再基于自然驾驶数据的挖掘工具对海量真实路采数据进行"数据炼金",通过AI模型自动完成数据清洗、关键场景筛选与分类去重等,从真实数据中提取出高价值边缘场景模板。
在GB/T 47025-2026中,一个基础场景(如前方车辆切入)需通过泛化变量参数(如切入距离、相对速度、天气条件、光照角度等)生成覆盖不同工况的测试矩阵。在实际工程中,场景生成的输出需要满足可泛化的要求,工程师应关注场景管理系统的参数化能力和标准兼容性。
后两块骨头:可信度和可追溯性
车辆研发不会依赖单一的仿真手段,SOTIF验证更不可能。纯虚拟仿真(SIL/MIL)虽然效率高,但因为传感器模型精度、车辆动力学响应程度、通信延迟等因素都会影响测试结果的可信度。而纯实车测试,虽然结果真实,却无法覆盖边缘和极端场景的测试。
针对上述测试困境,IAE智行众维于行业中率先提出了X-In-Loop®全栈式仿真测试测试体系,通过构建"软件/模型在环-硬件在环-驾驶员在环-整车在环"的分层验证链路,为车辆不同开发阶段匹配不同保真度等级的测试手段。
仿真可信度这件事,不要等到项目结束后再去论证,它需要贯穿研发全链路,同时要从模型接入的那一刻起,就要做好可追溯管理。
除了上面几点外,做SOTIF最容易犯的一个错误是:把测试报告当成最终交付物。而实际上,安全论证才是你的最终交付物。**SOTIF测试的目的不是证明系统"正确",而是要量化系统在多大程度上是安全的。**也就是,那些测过了但没通过的以及那些还没有测到的场景,如果真的发生了,其风险接受程度有多大。
一旦这个测试思维发生转变,你的测试将不再纠结于执行了多少个场景,通过率是多少,而是会把场景暴露概率、系统性能局限、危害严重程度等整合为可比较的残余风险指标,建立风险量化评估模型,之后对"未知"本身进行量化评估。例如,目前的场景库覆盖ODD的比例多大?还有多少未探索的参数组合空间需要进一步测试评估?等等。
从实践角度看,这对于仿真平台的要求随之也提高了:不仅要具备开放的数据接口,还要有可定制的评估指标体系,能够输出结构化的测试数据以供安全分析使用。所以找到**一套功能全、能力强、可扩展且能贯穿从虚拟仿真到整车在环全链路验证的仿真测试平台,对于现阶段的自动驾驶功能安全和SOTIF安全开发来讲,是至关重要的。**这套平台不仅要能解决当下测什么和怎么测的工程效率问题,更重要的是要有足够的前瞻性,可以应对未来监管标准持续迭代和未知场景不断涌现的挑战。毕竟,在安全这场长跑里,一个底盘扎实、生态开放的仿真测试系统,才能够真正助力我们再混沌的未知里,探索出安全的边界。
仿真测试正在成为自动驾驶安全准入门槛
GB/T 47025-2026《智能网联汽车 自动驾驶功能仿真试验方法及要求》的正式实施标志着仿真测试从"企业自选动作"变为"监管准入要求"。之前工信部加强对"智能驾驶""自动驾驶"等营销话术的管控,以及对OTA更新的审批收紧等,都在传递同一个信号:**安全论证的门槛在快速提高。安全论证不到位,功能就别想上。**这意味着,仿真测试能力的建设不再是企业可选项,而是企业量产准入的基础设施。
对于研发测试工程师而言,理解SOTIF的验证逻辑、掌握仿真工具链的应用方法、建立数据驱动的安全论证思维,将成为职业能力的关键组成部分。