本文作者討論了功能安全標(biāo)準(zhǔn)中不同開發(fā)流程對(duì)場(chǎng)景描述的需求,根據(jù)不同的需求將場(chǎng)景劃分為三個(gè)抽象級(jí)別并介紹了各級(jí)別場(chǎng)景的轉(zhuǎn)化關(guān)系。雖然本文是從功能安全標(biāo)準(zhǔn)對(duì)場(chǎng)景描述的需求出發(fā),但其提出的場(chǎng)景標(biāo)準(zhǔn)化方法以及場(chǎng)景與測(cè)試用例的轉(zhuǎn)化方式,可以被應(yīng)用到一般的自動(dòng)駕駛系統(tǒng)測(cè)試與驗(yàn)證中。(公眾號(hào)后臺(tái)回復(fù):IV2018測(cè)試,即可下載PDF論文。)
摘要:2016年更新的ISO 26262標(biāo)準(zhǔn),引入了涉及車輛安全的關(guān)鍵電氣/電子系統(tǒng)開發(fā)與測(cè)試的最新進(jìn)展,可以應(yīng)用于高級(jí)駕駛輔助系統(tǒng)(ADAS)和自動(dòng)駕駛系統(tǒng)的開發(fā)和驗(yàn)證。標(biāo)準(zhǔn)規(guī)定了基于V型開發(fā)模式的各個(gè)階段所要求的工作內(nèi)容和輸出產(chǎn)品。在V型開發(fā)模式的各個(gè)階段,均可應(yīng)用基于場(chǎng)景的方法,來獲得相應(yīng)的工作輸出產(chǎn)品。在應(yīng)用基于場(chǎng)景的方法時(shí),不同開發(fā)階段對(duì)場(chǎng)景細(xì)節(jié)程度的需求存在矛盾。本文作者討論了ISO 26262標(biāo)準(zhǔn)中不同階段對(duì)場(chǎng)景描述的要求,提出了滿足一致性的場(chǎng)景描述方法,并演示了如何系統(tǒng)建立滿足不同階段需求的場(chǎng)景。
一、 需求:基于場(chǎng)景的設(shè)計(jì)與測(cè)試過程
場(chǎng)景可以應(yīng)用到標(biāo)準(zhǔn)的整個(gè)開發(fā)過程中以得到各中間產(chǎn)物,從概念階段到產(chǎn)品開發(fā),再到系統(tǒng)驗(yàn)證和測(cè)試。而在整個(gè)開發(fā)周期中,要求在不同抽象級(jí)別上對(duì)所用場(chǎng)景有一致性表述。本節(jié)分析了基于場(chǎng)景的方法在ISO 26262標(biāo)準(zhǔn)定義的開發(fā)過程中的可行性,以及各流程對(duì)場(chǎng)景的需求。
1概念階段的場(chǎng)景
在標(biāo)準(zhǔn)第3部分的概念階段,該標(biāo)準(zhǔn)對(duì)項(xiàng)目進(jìn)行了定義,進(jìn)行了危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估,并引出功能安全概念。
項(xiàng)目定義包括功能定義、系統(tǒng)邊界、操作環(huán)境、法規(guī)需求以及對(duì)其他項(xiàng)目的依賴關(guān)系的描述。基于這些信息,可以派生出可能的操作場(chǎng)景。此過程中的操作場(chǎng)景應(yīng)以較抽象的方式描述,并以一種易于理解的方式表示。
危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估包括兩個(gè)步驟:首先分析出所有故障行為,并描述導(dǎo)致危險(xiǎn)事件的所有操作場(chǎng)景,將操作場(chǎng)景和故障行為加以組合從而得到危險(xiǎn)場(chǎng)景;然后依據(jù)汽車安全完整性級(jí)別(ASIL)對(duì)所有危險(xiǎn)場(chǎng)景進(jìn)行評(píng)級(jí)。
現(xiàn)有對(duì)危險(xiǎn)場(chǎng)景的分析由專家進(jìn)行,因此為了便于專家之間的溝通理解,應(yīng)使用自然語言來表述,并需要一個(gè)統(tǒng)一的術(shù)語表,以半正式*的方式組織起來。
綜上,在標(biāo)準(zhǔn)提出的概念階段,場(chǎng)景必須滿足以下需求:
1.1:人類專家應(yīng)該能夠用自然語言來描述該場(chǎng)景。
1.2:場(chǎng)景應(yīng)以半正式的方式表示。
*譯者注:結(jié)合上下文,此處應(yīng)指非格式化的自然語言和格式化的術(shù)語組織方式的結(jié)合應(yīng)用
2系統(tǒng)開發(fā)階段的場(chǎng)景
一旦分析了危險(xiǎn)場(chǎng)景,就會(huì)形成功能安全概念。為了實(shí)現(xiàn)功能安全,須提出安全需求。與功能需求不同,安全需求描述了可量化的條件。例如,保持與其他交通參與者的安全駕駛距離的安全需求通過以米為單位的距離來確定。因此,每個(gè)危險(xiǎn)場(chǎng)景都必須從半正式的自然語言表述轉(zhuǎn)換為利用狀態(tài)量表述的方式。
為了減少場(chǎng)景的數(shù)量,可以給定狀態(tài)量的取值范圍,或者可以進(jìn)一步劃分有效/無效的取值范圍,即安全/不安全的取值,從而明確系統(tǒng)邊界。場(chǎng)景的詳細(xì)表述確保了能以可驗(yàn)證的方式制定開發(fā)項(xiàng)目的需求。
綜上,在系統(tǒng)開發(fā)階段,場(chǎng)景必須滿足以下需求:
2.1:場(chǎng)景應(yīng)包括用于場(chǎng)景表示的狀態(tài)量的參數(shù)范圍。
2.2:場(chǎng)景應(yīng)為每項(xiàng)參數(shù)指定一個(gè)標(biāo)記,以支持自動(dòng)處理。
3測(cè)試階段的場(chǎng)景
在測(cè)試階段,將驗(yàn)證系統(tǒng)是否滿足了前述流程中指定的需求。這一過程,測(cè)試必須依據(jù)標(biāo)準(zhǔn),系統(tǒng)地計(jì)劃、制定、執(zhí)行、評(píng)估和記錄。
測(cè)試用例生成的一個(gè)難點(diǎn)在于輸入數(shù)據(jù)的規(guī)范性,包括每個(gè)參數(shù)的時(shí)間序列。概念階段已經(jīng)給出了系統(tǒng)的操作環(huán)境和可能的操作場(chǎng)景,這是為測(cè)試用例派生一致的輸入數(shù)據(jù)的基礎(chǔ)。在安全需求的制定過程中對(duì)場(chǎng)景進(jìn)行了詳細(xì)說明,包括系統(tǒng)如何對(duì)可能影響安全目標(biāo)的外部影響做出反應(yīng),以及滿足系統(tǒng)安全需求的參數(shù)范圍。為了生成測(cè)試用例的輸入數(shù)據(jù),必須從指定場(chǎng)景的連續(xù)參數(shù)范圍中選擇離散參數(shù)值。此外,還必須將場(chǎng)景轉(zhuǎn)換為正式表達(dá),以確保之后測(cè)試用例的可執(zhí)行性及可復(fù)現(xiàn)性。
具體而言,必須通過不同的測(cè)試方法(如模擬或場(chǎng)地測(cè)試),確定用于執(zhí)行基于場(chǎng)景的測(cè)試用例所需的所有參數(shù),并從基于術(shù)語的半正式表達(dá)轉(zhuǎn)換為基于系統(tǒng)狀態(tài)值參數(shù)的正式表達(dá)。最終,系統(tǒng)地導(dǎo)出參數(shù)化場(chǎng)景,作為被測(cè)系統(tǒng)的一致輸入?yún)?shù),用于驗(yàn)證系統(tǒng)功能。
綜上,在系統(tǒng)測(cè)試階段,場(chǎng)景必須滿足以下需求:
3.1:場(chǎng)景應(yīng)該通過具體的狀態(tài)值來描述,以確保其可執(zhí)行性和可復(fù)現(xiàn)性。
3.2:場(chǎng)景應(yīng)具備一致性。
3.3:場(chǎng)景應(yīng)該以一種高效的機(jī)器可讀的方式表示,以確保自動(dòng)化測(cè)試的執(zhí)行。
4對(duì)場(chǎng)景需求的分析
各階段對(duì)場(chǎng)景的需求是存在矛盾的。一方面,1.1要求抽象的、自然語言的表述形式;另一方面,2.2和3.3要求高效的機(jī)器可讀的表述形式。類似的,2.1和3.1要求場(chǎng)景表述的細(xì)節(jié)程度不同:2.1要求通過狀態(tài)空間中的參數(shù)范圍來表述場(chǎng)景,這樣在確定待測(cè)量時(shí)提供了多個(gè)自由度;而3.1要求表述中包括具體的參數(shù)值,這是測(cè)試用例可重復(fù)執(zhí)行的必要條件。因此,機(jī)器可讀的場(chǎng)景必須支持兩種不同的細(xì)節(jié)程度。
二、實(shí)現(xiàn):設(shè)計(jì)和測(cè)試過程中的場(chǎng)景術(shù)語
正如上一節(jié)所述,在ISO 26262標(biāo)準(zhǔn)的開發(fā)過程中應(yīng)用場(chǎng)景時(shí),對(duì)場(chǎng)景的細(xì)節(jié)程度的需求是存在矛盾的。本節(jié)作者將場(chǎng)景劃分為三個(gè)抽象級(jí)別:功能場(chǎng)景(Functional scenarios)、邏輯場(chǎng)景(Logical scenarios)和具體場(chǎng)景(Concrete scenarios),如圖1所示。
圖1 滿足ISO 26262標(biāo)準(zhǔn)的各開發(fā)階段的場(chǎng)景抽象級(jí)別
1功能場(chǎng)景
功能場(chǎng)景是場(chǎng)景表述的最抽象級(jí)別。在概念階段,這些場(chǎng)景可用于項(xiàng)目定義、危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估。作者提出了以下定義:
功能場(chǎng)景是通過語義描述的操作場(chǎng)景。通過語言場(chǎng)景符號(hào)來描述域內(nèi)的實(shí)體以及實(shí)體間的關(guān)系。場(chǎng)景描述是一致的,用于描述功能場(chǎng)景的術(shù)語表應(yīng)由一般用例或域內(nèi)專用的術(shù)語組成,并且可以具有不同的詳細(xì)程度。
功能場(chǎng)景的表述包括實(shí)體和實(shí)體之間的關(guān)系,不同場(chǎng)景的描述方式必須是一致的。首先需要制定一個(gè)術(shù)語表,這個(gè)術(shù)語表包括不同實(shí)體的術(shù)語(車輛A、車輛B)和這些實(shí)體的關(guān)系短語(車輛A超越車輛B)。為了生成一致的功能場(chǎng)景,術(shù)語表的所有術(shù)語必須是明確的,其來源可以是實(shí)際的標(biāo)準(zhǔn)和法規(guī),如道路交通規(guī)則。
功能場(chǎng)景的詳細(xì)程度取決于實(shí)際的開發(fā)階段和正在開發(fā)的項(xiàng)目。例如,高速公路行駛需要描述道路的幾何結(jié)構(gòu)和拓?fù)浣Y(jié)構(gòu)、與其他交通參與者的交互以及天氣狀況。而在停車庫行駛則需要描述建筑物的布局,而天氣條件卻無關(guān)緊要。
圖2為在高速公路行駛的一個(gè)功能場(chǎng)景:一輛轎車和一輛卡車正行駛在右側(cè)車道上,轎車跟隨卡車行駛。在這個(gè)例子中,道路特征主要描述為橫斷面布置情況和幾何結(jié)構(gòu)特征。
圖2 功能場(chǎng)景實(shí)例:跟車行駛
2邏輯場(chǎng)景
基于狀態(tài)空間變量,邏輯場(chǎng)景是對(duì)功能場(chǎng)景的進(jìn)一步詳細(xì)描述。在系統(tǒng)開發(fā)階段,可以利用邏輯場(chǎng)景派生出安全需求。作者提出了以下定義:
邏輯場(chǎng)景以狀態(tài)空間呈現(xiàn)操作場(chǎng)景。通過定義狀態(tài)空間內(nèi)變量的參數(shù)范圍,可以表達(dá)實(shí)體特征和實(shí)體間的關(guān)系。參數(shù)范圍可以選擇用概率分布來確定。此外,不同參數(shù)的關(guān)系可以通過相關(guān)性或數(shù)值條件來確定。邏輯場(chǎng)景應(yīng)包含該場(chǎng)景的形式標(biāo)記。
圖3 邏輯場(chǎng)景實(shí)例:跟車行駛
邏輯場(chǎng)景涵蓋了提出安全需求所需的所有元素。為了在標(biāo)準(zhǔn)規(guī)定的開發(fā)過程中逐步規(guī)范場(chǎng)景,必須在狀態(tài)空間中通過形式標(biāo)記來表述邏輯場(chǎng)景,并從取值范圍中確定參數(shù)。可以通過概率分布(例如,高斯分布,均勻分布)為每個(gè)參數(shù)指定范圍。參數(shù)范圍間的關(guān)系可以由數(shù)值條件或相關(guān)函數(shù)來指定(例如,超車速度必須大于被超車速度,車道寬度與曲線半徑相關(guān))。
圖3顯示了從圖2所示的功能場(chǎng)景中衍生出的邏輯場(chǎng)景。功能場(chǎng)景術(shù)語表中的每一項(xiàng)都必須分配一個(gè)描述該術(shù)語的參數(shù)。在這個(gè)例子中,兩條車道都是通過車道寬度來描述的,幾何結(jié)構(gòu)是由一個(gè)半徑來表示的,車輛由其縱向位置來描述,并要求卡車縱向位置大于轎車。在實(shí)際應(yīng)用中,可能需要多個(gè)參數(shù)來描述單個(gè)術(shù)語,例如,一輛卡車可以通過規(guī)定其尺寸、重量和發(fā)動(dòng)機(jī)功率來定義。
3具體場(chǎng)景
具體場(chǎng)景由某個(gè)確定的參數(shù)值來表示狀態(tài)空間中實(shí)體和實(shí)體間關(guān)系。每個(gè)邏輯場(chǎng)景都可以通過從參數(shù)范圍中選擇具體值來轉(zhuǎn)換為具體場(chǎng)景。具體場(chǎng)景可以作為測(cè)試用例的基礎(chǔ)。作者提出了以下定義:
具體場(chǎng)景以狀態(tài)空間詳細(xì)描述了操作場(chǎng)景。通過確定狀態(tài)空間中每個(gè)參數(shù)的具體值來明確描述實(shí)體和實(shí)體間的關(guān)系。
對(duì)于每一個(gè)具有連續(xù)取值范圍的邏輯場(chǎng)景,都可以派生出任意數(shù)量的具體場(chǎng)景。為保證生成具體場(chǎng)景的效率,應(yīng)選擇有代表性的離散值進(jìn)行組合。必須強(qiáng)調(diào)的是,只有具體場(chǎng)景可以直接轉(zhuǎn)化為測(cè)試用例。要將具體場(chǎng)景轉(zhuǎn)換成測(cè)試用例,需要增加被測(cè)對(duì)象的預(yù)期行為表現(xiàn),以及對(duì)相關(guān)測(cè)試設(shè)施的需求。而被測(cè)對(duì)象的預(yù)期行為則可以從操作場(chǎng)景、邏輯場(chǎng)景或項(xiàng)目定義中導(dǎo)出。
圖4顯示了從圖3中所示的邏輯場(chǎng)景中得出的一個(gè)具體場(chǎng)景。圖中可以看到,每個(gè)參數(shù)都從指定的參數(shù)范圍內(nèi)確定了一個(gè)具體的參數(shù)值,從而確定了一個(gè)特定的測(cè)試條件。
圖4 具體場(chǎng)景實(shí)例:跟車行駛
三、結(jié)論
本文分析了基于場(chǎng)景的方法在依據(jù)ISO 26262標(biāo)準(zhǔn)開發(fā)自動(dòng)駕駛系統(tǒng)過程中的可行性。作者分析了可以使用場(chǎng)景來生成工作輸出產(chǎn)品的各個(gè)工作階段,并明確了不同階段對(duì)場(chǎng)景描述的需求,闡述了場(chǎng)景描述需求在細(xì)節(jié)程度上存在的差異。在此基礎(chǔ)上,作者定義了場(chǎng)景的三個(gè)抽象級(jí)別,以滿足上文闡述的場(chǎng)景需求。
-
adas
+關(guān)注
關(guān)注
309文章
2168瀏覽量
208524 -
自動(dòng)駕駛
+關(guān)注
關(guān)注
783文章
13684瀏覽量
166147
原文標(biāo)題:IEEE IV2018丨用于自動(dòng)駕駛汽車開發(fā)、測(cè)試與驗(yàn)證的場(chǎng)景
文章出處:【微信號(hào):IV_Technology,微信公眾號(hào):智車科技】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論