1 范围
本文件规定了面向 L4 级量产自动驾驶系统开发与预期功能安全(SOTIF)验证所需的高危场景库的构建原则、技术架构、实施流程与验收标准。
本文件适用于:
-
乘用车高阶自动驾驶系统的研发测试场景库构建;
-
预期功能安全(SOTIF)分析与验证的场景支撑;
-
仿真测试、封闭场地测试及道路测试的场景管理与复用;
-
自动驾驶系统量产前的安全验证与准入评估。
2 规范性引用文件
本文件的应用需结合以下标准文件中的适用条款。凡是注日期的引用文件,仅注日期的版本适用于本文件;凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
| 标准编号 | 标准名称 | 核心关联内容 |
|---|---|---|
| ISO 21448:2022 | Road vehicles --- Safety of the intended functionality | SOTIF四大分区模型、功能不足与触发条件识别 |
| GB/T 43267-2023 | 道路车辆 预期功能安全 | SOTIF分析与验证流程、危害识别 |
| ASAM OpenSCENARIO | Scenario description for dynamic driving behavior | 场景结构化描述规范 |
| ASAM OpenDRIVE | Road network description | 静态道路网络描述规范 |
| ISO 34501 | Road vehicles --- Test scenarios for automated driving systems --- Vocabulary | 场景术语与四层分级模型 |
| GB/T XXXXX | 乘用车自动驾驶场景复杂度评价方法(征求意见稿) | 场景复杂度评价指标与量化方法 |
此外,场景库构建应参考联合国欧洲经济委员会(UNECE)L3级高速公路应用场景目录框架及欧盟L4级应用场景定义规范。
3 术语、定义和缩略语
3.1 术语和定义
3.1.1 场景 scenario
对驾驶基础设施上的物理对象和环境条件在一段时间内的行为或时间演变的描述,包括交通参与者的运动或环境条件的变化。
3.1.2 功能场景 functional scenario
抽象行为场景的非形式化自然语言描述,具有最高的抽象程度和最低的具体化水平。
3.1.3 逻辑场景 logical scenario
一组场景的参数化表示,其中影响因素通过参数范围和分布来描述。
3.1.4 具体场景 concrete scenario
具有固定参数值的单一场景,可被特定语言精确描述。
3.1.5 测试用例 test case
场景与测试脚本的集合,支持基于算法内部状态的精细化测试控制。
3.1.6 预期功能安全 SOTIF
不存在因设计不足或性能局限引起的危害而导致不合理的风险。
3.1.7 设计运行域 ODD
自动驾驶系统被设计为正常运行的特定条件集,包括环境、地理、交通等约束。
3.1.8 已知危险场景 known hazardous scenario
通过分析或测试已识别出的、可能引发危害行为的场景,对应SOTIF区域2。
3.1.9 未知危险场景 unknown hazardous scenario
尚未识别或测试到的潜在危险场景,对应SOTIF区域3。
3.2 缩略语
| 缩略语 | 英文全称 | 中文释义 |
|---|---|---|
| SOTIF | Safety of the Intended Functionality | 预期功能安全 |
| ODD | Operational Design Domain | 设计运行域 |
| ASAM | Association for Standardization of Automation and Measuring Systems | 自动化及测量系统标准协会 |
| DUT | Device Under Test | 被测系统/车辆 |
4 符号和缩略语
......
5 技术架构设计原则
5.1 总体架构
场景库采用"四层一库"总体架构,通过四层抽象分级与SOTIF分区模型的耦合,实现场景从需求到执行的全生命周期管理。
表1 场景库总体架构定义
| 层级/分区 | 核心功能 | 输入来源 | 输出产物 | SOTIF关联分区 |
|---------------|--------------|----------------|-----------------|-----------|-------|
| 需求层 | 定义测试目标与ODD边界 | 系统需求、法规标准、事故数据 | 功能需求清单、场景目录 | 区域1/2边界定义 |
| 功能场景层 | 自然语言描述抽象场景 | 需求层输出、自然驾驶研究 | 功能场景描述文档 | 区域2来源 |
| 逻辑场景层 | 参数化范围定义 | 统计数据、专家知识 | 带参数分布的 XML 描述 | 区域2覆盖 | 区域3探索 |
| 具体场景层 | 固定参数实例化 | 参数采样算法、真实数据 | OpenSCENARIO 文件 | 区域2测试执行 |
| SOTIF安全分区 | 风险场景分类管理 | SOTIF分析 | 分区标签、风险等级 | 全分区覆盖 |
5.2 四层场景抽象模型
本规范采用ISO 34501确立的场景四层抽象分级模型,在传统三层模型(功能-逻辑-具体)基础上增加抽象场景层级,以提升机器可读性与形式化表达能力。
5.2.1 功能场景
最顶层的抽象描述,采用非形式化自然语言表达场景的核心行为特征。示例:"高速公路上,邻道车辆以较大相对速度切入自车前方"。
5.2.2 抽象场景
形式化、机器可读的声明式描述,支持因果关系的表达与本体关联。该层级适用于ODD描述与场景框架定义。示例:"An aggressive cut-in by a large vehicle on a three-lane motorway"。
5.2.3 逻辑场景
用参数范围与分布函数表征场景变量的不确定性空间。逻辑场景是量化场景库的核心载体,支持泛化测试与参数空间搜索。逻辑场景的形式化定义应包含:
-
场景参数向量: θ = (θ₁, θ₂, ..., θₙ)
-
参数取值范围: θᵢ ∈ [θᵢ_min, θᵢ_max]
-
参数概率分布: ρ(θᵢ) ~ 分布类型(正态、均匀、指数等)
-
参数相关性矩阵: Corr(θᵢ, θⱼ)
5.2.4 具体场景
固定所有参数值后得到的确定性场景实例,可直接转换为OpenSCENARIO 1.0/2.0格式用于仿真执行。
5.3 SOTIF四分区耦合架构
场景库应内嵌SOTIF分区管理机制,将场景按照已知/未知、安全/危险的二维矩阵进行分类标注与闭环演进。
区域1(已知安全) :常规场景,用于系统回归测试与基线验证。
区域2(已知危险) :已知触发条件场景,核心测试集,用于功能不足识别与改进。
区域3(未知危险) :未知触发条件场景,通过数据挖掘不断"打捞"至区域2。
区域4(未知安全):非危险边缘场景,可选择性归档。
状态转移机制:定义场景从区域3 → 区域2(新危险场景发现)、区域2 → 区域1(功能改进后)的判定标准与触发条件。
耦合价值:该耦合通过"测试-分析-改进"闭环,推动SOTIF剩余风险收敛至可接受水平。
6 构建流程与实施方法
场景库构建遵循闭环迭代生命周期模型,涵盖需求定义、数据采集、场景生成、归档管理和验证发布五个阶段。
6.1 阶段一:需求层定义
目标:明确ODD边界与测试目标,建立场景需求基线。
-
ODD要素分解:按道路结构、交通设施、环境条件、运行限制等维度进行分解,界定自动驾驶系统的设计运行范围。
-
V模型左移分析:在系统设计初期通过危害分析与风险评估,识别SOTIF相关功能不足与触发条件。
-
数据需求分析:针对目标ODD,确定所需的自然驾驶数据、事故数据、场地测试数据类型与采集量。
6.2 阶段二:数据采集与处理
目标:获取覆盖目标ODD的高质量多模态数据,支撑场景提取。
-
数据来源多元化:
-
自然驾驶数据(≥ 100万公里 / 功能)
-
交通事故数据库(含CIDAS、国内事故深度调查)
-
封闭场地测试数据
-
仿真生成数据
-
路采车辆回传数据(量产车影子模式)
-
-
传感器配置要求:
-
激光雷达:≥32线,覆盖360°水平视场
-
摄像头:前视 ≥ 800万像素,环视 ≥ 200万像素
-
毫米波雷达:前向 ≥ 200m探测距离
-
GNSS/IMU:厘米级定位精度
-
所有传感器统一时空同步,时间同步精度 ≤ 1ms
-
-
数据质量要求:
-
标注精度:3D边界框 IoU ≥ 90%,语义分割精度 ≥ 95%
-
帧率:关键场景 ≥ 25fps
-
数据总规模建议:城市NOA功能 ≥ 2PB有效场景数据
-
++数据采集及工具,待读者补充,这里只做个人建议:++
A[多源数据接入] --> B[时空同步与标定]
B --> C[目标检测与跟踪]
C --> D[行为片段切割]
D --> E[场景要素结构化]
E --> F[质量过滤与去重]
F --> G[场景候选池]
6.3 阶段三:场景生成与量化
目标:从原始数据中自动化提取场景,并进行多维定量化标注。
场景提取流程:
-
数据预处理:传感器标定、时间对齐、点云拼接、轨迹滤波。
-
要素识别 :静态要素(车道线、路沿、交通标志)识别与语义化;
动态要素(车辆、行人、骑行者)检测与跟踪。
-
场景切分:基于事件触发机制(如TTC < 阈值)自动切分场景片段。
-
要素参数化:提取场景要素的量化参数(如切入车辆的速度、距离、TTC等)。
量化标注体系:按场景复杂度评价方法对每一场景进行多维度量化评分。
| 维度 | 评价指标 | 量化方法 | 权重 |
|---|---|---|---|
| 交通密度 | 车辆数 / km、换道频率 | 统计计数与归一化 | 20% |
| 行为不确定性 | 加速度变化率、轨迹偏离度 | 熵值计算 | 25% |
| 道路结构复杂性 | 车道数、曲率、路口拓扑 | 道路复杂度指数 | 15% |
| 感知挑战性 | 遮挡比例、光照对比度 | 感知难度评分 | 20% |
| 环境扰动 | 天气等级、GPS信噪比 | 环境综合指数 | 20% |
场景复杂度最终得分采用加权综合,划分简单(<0.3)、中等(0.3-0.7)、复杂(≥0.7)三个等级。
6.4 阶段四:SOTIF分区
目标:建立场景的分类存储体系与SOTIF分区映射。
场景元数据模型:每个场景记录应包含如下元数据:
-
唯一标识符、版本号、创建时间、来源标记
-
ODD标签(道路类型、天气、光照、速度区间)
-
复杂度评分(五项维度分+综合分)
-
SOTIF分区标签(区域1/2/3/4)与风险等级
-
功能标签(如AEB、ACC、NOA、自动变道)
-
关联法规/标准引用
SOTIF分区判定规则:
-
区域2(已知危险):必须经过专家评审确认的触发条件场景,并关联SOTIF分析报告;
-
区域3(未知危险):算法评价得分低于阈值或出现异常行为的场景,需标记"待分析"状态;
-
区域1(已知安全):经过充分测试且剩余风险可接受的场景;
-
区域4(未知安全) :场景边界测试中未触发危险的边缘情
SOTIF分区逻辑:
def classify_sotif_zone(scene_meta):
区域2:已知危险 - 满足任一即判定
if (scene_meta.risk_score >= 0.7) and (scene_meta.trigger_known == True):
return "Zone2_KnownHazard"
区域3:未知危险 - 高风险但触发机制未建模
if (scene_meta.risk_score >= 0.7) and (scene_meta.trigger_known == False):
return "Zone3_UnknownHazard"
区域1:已知安全 - 低风险且行为可预测
if (scene_meta.risk_score < 0.3) and (scene_meta.predictability > 0.9):
return "Zone1_KnownSafe"
return "Zone4_UnknownSafe"
6.5 阶段五:三支柱验证测试用例构建与验证
目标:将场景转化为可执行的测试用例,并完成闭环验证。
测试用例构成:测试用例是具体场景与测试脚本的集合。
text
测试用例 = 具体场景 (OpenSCENARIO) + 测试脚本 (Python/PySCENARIO) + 评价指标测试脚本功能应支持:
-
基于仿真器RDB(运行时数据库)状态的触发条件判断;
-
基于DUT内部状态(如规划轨迹、控制指令)的动态交互;
-
通过SCP指令控制仿真场景中交通参与物的状态变更。
三支柱验证策略
三支柱(仿真测试、场地测试、道路测试)是量化场景库得以落地执行的验证载体。场景库中的每一场景应根据其SOTIF分区属性、复杂度等级、风险等级,分配主导验证方式。
选择逻辑:
| 判定维度 | 仿真优先 | 场地优先 | 道路优先 |
|---|---|---|---|
| 可复现性要求 | 高 | 中 | 低 |
| 安全性风险 | 高 | 中 | 低 |
| 环境真实性要求 | 低 | 中 | 高 |
| 成本约束 | 低 | 中 | 高 |
| 覆盖广度需求 | 高 | 低 | 中 |
三支柱与场景库的量化映射:
| 支柱类型 | 适用的SOTIF分区 | 适用的复杂度等级 | 场景占比建议 | 关键输出指标 |
|---|---|---|---|---|
| 仿真测试 | 区域1、区域2、区域4 | 全等级 | 60%-70% | 参数空间覆盖率、回归通过率 |
| 场地测试 | 区域2(高优先级危险场景) | 中-复杂 | 15%-25% | 实车响应一致性、边界复现率 |
| 道路测试 | 区域3(未知危险探索) | 真实分布 | 10%-15% | 新场景发现率、分布偏差检测 |
三支柱之间的场景传递机制:
-
仿真 → 场地:仿真中发现的高风险参数组合区域2场景,需经场地验证后方可标记为"已验证"
-
场地 → 道路:场地验证通过的典型场景,可进一步在开放道路进行泛化验证
-
道路 → 仿真:道路测试中发现的未知危险场景(区域3),需转化为仿真场景进入区域2
7 量化评价与验收标准
7.1 场景库完备性指标
| 指标 | 定义 | 验收标准 |
|---|---|---|
| ODD覆盖率 | 已覆盖ODD要素占目标ODD总要素的比例 | ≥ 95% |
| 功能覆盖率 | 已覆盖功能场景数 / 功能规范定义的场景总数 | ≥ 90% |
| 参数空间覆盖率 | 逻辑场景参数实际取值空间占定义空间的体积比例 | ≥ 85% |
| 区域2风险场景识别率 | 已知危险场景占真实危险场景总数的比例(通过数据回灌与专家评估交叉验证) | ≥ 80% |
7.2 场景库质量指标
| 指标 | 定义 | 验收标准 |
|---|---|---|
| 标注准确率 | 场景要素标注正确性 | ≥ 99%(关键要素) |
| 场景可复现性 | 同一场景多次加载与执行的一致性 | 偏差 ≤ 5% |
| 场景代表性 | 场景统计分布与真实道路分布的 Jensen-Shannon散度 | JS散度 ≤ 0.15 |
| 新鲜度 | 区域3场景转化为区域2的频率(每年) | ≥ 50个新危险场景 / 功能 |
7.3 安全释放准则
场景库随自动驾驶系统释放时应满足以下条件:
-
区域2覆盖完整性:所有已知危害行为至少有一个对应的区域2场景可用于测试;
-
区域3残余风险接受:剩余未知危险场景的风险暴露概率与严重度之积 ≤ 可接受准则;
-
回归测试通过率:所有标记为"已修复"的场景通过率 ≥ 99.5%;
-
场景库版本管理:已释放版本不可变,更新需保留追溯链与变更说明。
安全释放具体条款:
区域2场景测试通过率 ≥ 99.9%(仿真+场地+道路联合验证)
区域3场景月度新增率连续3个月 < 5%(表明探索趋于收敛)
关键功能场景的参数空间覆盖率 ≥ 95%(通过拉丁超立方抽样验证)
影子模式回传数据中,未触发预期外干预的里程占比 ≥ 99.99%
8 持续迭代与维护机制
8.1 闭环反馈周期
场景库应与量产车数据回传系统(影子模式)联动,形成月度更新节奏:
-
每月:从真实路采数据中新识别区域3/4场景,补充至待分析队列;
-
每季度:完成新识别区域3场景的专家评审与SOTIF分析,升级至区域2;
-
每版本:伴随自动驾驶系统释放,完成场景库版本发布与回归验证。
8.2 自动化支撑体系
为提高场景库构建与维护效率,建议建立以下自动化工具链:
-
自动化场景提取与标注流水线;
-
逻辑场景参数空间搜索与优化工具(贝叶斯优化、强化学习方法);
-
场景复杂度自动评分工具;
-
场景与测试用例的持续集成/持续测试(CI/CT)平台。
附录A(规范性) 场景要素参数化表
A.1 静态场景要素参数表
| 要素类别 | 参数项 | 参数范围/选项 | 数据类型 |
|---|---|---|---|
| 道路几何 | 车道宽度 | [2.5, 4.0] m | 连续 |
| - | 曲率半径 | [0, ∞) m | 连续 |
| - | 坡度 | [-15, 15] % | 连续 |
| - | 车道数 | [1, 8] | 离散整数 |
| 路面标识 | 车道线类型 | 虚线/实线/双黄线/导流线 | 枚举 |
| - | 车道线可见度 | [0, 100] % | 连续 |
| 交通设施 | 限速值 | [30, 120] km/h | 离散 |
| - | 信号灯相位周期 | [30, 180] s | 连续 |
A.2 动态场景要素参数表
| 要素类别 | 参数项 | 参数范围/选项 | 分布建议 |
|---|---|---|---|
| 自车运动 | 初始速度 | [0, V_max] km/h | Uniform |
| - | 目标速度 | [0, V_max] km/h | Uniform |
| - | 加速度 | [-4, 3] m/s² | Normal |
| 目标车运动 | 相对纵向距离 | [-200, 200] m | Exponential |
| - | 相对横向偏移 | [-车道宽, 车道宽] m | Uniform |
| - | 相对速度 | [-60, 60] km/h | Normal |
| - | 切入时间 TTC | [1, 8] s | Exponential |
| 环境条件 | 光照 | 昼/夜/晨昏/隧道 | 枚举 |
| - | 天气 | 晴/雨/雪/雾 | 枚举 |
| - | 能见度 | [50, 1000] m | 离散 |
附录B(资料性) 场景库构建示例流程
示例L4级高速公路功能"自动变道"的场景库构建:
-
需求定义:ODD为"具有清晰车道线的高速公路(限速 ≥ 80km/h),晴朗白天,交通流量中等"。
-
功能场景:"自车意图从当前车道变更至相邻车道,相邻车道存在目标车辆"。
-
逻辑场景参数化:
-
自车速度:v_ego ~ N(100, 15) km/h
-
目标车相对速度:v_rel ~ U(-20, 20) km/h
-
目标车纵向间隙:gap ~ Exp(50) m
-
-
场景泛化:从参数空间采样生成2000个具体场景。
-
SOTIF分区:通过仿真执行,筛选出变道过程中目标车加速逼近等高风险参数组合,归入区域2。
-
测试用例生成:高风险参数组合场景搭配测试脚本(检测变道终止决策的响应时间)。
-
实车验证:选定代表性的区域2场景进行封闭场地验证,确认功能改进有效性。
参考文献
1\] ISO 21448:2022, Road vehicles --- Safety of the intended functionality \[2\] GB/T 43267-2023, 道路车辆 预期功能安全 \[3\] ASAM OpenSCENARIO, [https://www.asam.net/standards/detail/openscenario](https://www.asam.net/standards/detail/openscenario "https://www.asam.net/standards/detail/openscenario") \[4\] PEGASUS Project, "Methodology for Scenario-based Validation of Automated Driving", 2019 \[5\] ECE/TRANS/WP.29/2020/81, "Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to Automated Lane Keeping System" \[6\] 中国智能交通协会, 《乘用车自动驾驶场景复杂度评价方法》(征求意见稿), 2025 \[7\] 全国汽车标准化技术委员会, 智能网联汽车 测试场景 技术标准体系 **文档版本** :3.0 **发布日期** :2026年5月12日 **适用对象** :L4级量产自动驾驶系统 **维护单位**:深圳季连UROVAs场景库技术委员会