確保自動(dòng)駕駛車輛在其預(yù)期的運(yùn)行環(huán)境中充分發(fā)揮作用是整個(gè)系統(tǒng)驗(yàn)證的關(guān)鍵部分。傳統(tǒng)的軟件驗(yàn)證包括需求和系統(tǒng)級測試的可追溯性。然而，由于機(jī)器學(xué)習(xí)使用基于數(shù)據(jù)訓(xùn)練的方法，傳統(tǒng)方法不再適用。因此，驗(yàn)證至少需要確保訓(xùn)練數(shù)據(jù)和測試涵蓋所有相關(guān)的操作條件。

為了解決這個(gè)問題，我們通常將操作環(huán)境限制于人類駕駛員可以處理的所有可能情況的子集。這種限制系統(tǒng)運(yùn)行需求的方法被稱為采用運(yùn)行設(shè)計(jì)域（ODD）。進(jìn)而，在ODD的要求下，我們需要確保系統(tǒng)能安全運(yùn)行，或確保系統(tǒng)能夠識(shí)別和減輕超出ODD的偏差。對于ODD的描述很簡單，NHTSA（2017）將道路類型、地理特征、速度范圍、天氣和“其他”列為相關(guān)因素。在我們對各種自動(dòng)駕駛車輛項(xiàng)目的經(jīng)驗(yàn)中，我們發(fā)現(xiàn) “其他”的清單可能很廣泛，需要工程師有豐富的經(jīng)驗(yàn)。盡管如此，考慮到所有這些“其他”因素對于安全是至關(guān)重要的。

PEGASUS方法

除了ODD，驗(yàn)證過程中還需考慮“對象和事件的檢測與響應(yīng)”（OEDR）。OEDR通常指車輛遇到的外部情況的適當(dāng)處理，包括感知、規(guī)劃和實(shí)施車輛自己的行動(dòng)。與ODD一樣，NHTSA文件提供了一個(gè)考慮因素的簡短列表，如人工指揮交通。但在實(shí)踐中，考慮因素的清單可能會(huì)變得驚人的大。

應(yīng)考慮的另一個(gè)因素是車輛本身啟動(dòng)的機(jī)動(dòng)類型，通常與導(dǎo)航有關(guān)，例如進(jìn)出有限的進(jìn)出道路、啟動(dòng)轉(zhuǎn)彎、變換車道等。

最后，驗(yàn)證應(yīng)考慮對系統(tǒng)故障和局限性（如傳感能力不足和計(jì)算故障）的響應(yīng)和操作。故障響應(yīng)可能包括通過使用已安裝的冗余以正常功能繼續(xù)操作，減少功能或?qū)⑾到y(tǒng)轉(zhuǎn)換為安全狀態(tài)。無論選擇哪種策略，驗(yàn)證都必須確保故障檢測和故障響應(yīng)工作正常。

ODD因素

描述系統(tǒng)運(yùn)行環(huán)境的特征應(yīng)至少包括以下內(nèi)容：

地形和相關(guān)的位置特征（例如，坡度、拱度、曲率、傾斜、摩擦系數(shù)、路面粗糙度、空氣密度），包括車輛即時(shí)環(huán)境和預(yù)計(jì)的車輛路徑。需要注意的是，在較短的距離內(nèi)，環(huán)境可能會(huì)發(fā)生巨大的變化。

環(huán)境和天氣條件，如地表溫度、氣溫、風(fēng)、能見度、降水、結(jié)冰、照明、眩光、電磁干擾、雜波、振動(dòng)和其他類型的傳感器噪聲。

基礎(chǔ)設(shè)施，如導(dǎo)航輔助標(biāo)識(shí)（如信標(biāo)、車道標(biāo)志、增強(qiáng)標(biāo)志）、交通管理設(shè)備（如交通燈、路權(quán)標(biāo)志、車輛行駛燈）、隔離區(qū)、特殊道路使用規(guī)則（如可變的車道方向）等。

與環(huán)境和其他影響因素相互作用的參與規(guī)則和期望，包括交通法、社會(huì)規(guī)范、與其他智能體的信號交互（與其他自動(dòng)駕駛車輛和人，包括顯式的信號以及通過車輛運(yùn)動(dòng)控制的隱式信號）。

通信模式、帶寬、延遲、穩(wěn)定性、可用性、可靠性，包括機(jī)器間的通信和人機(jī)交互。

基礎(chǔ)設(shè)施特征數(shù)據(jù)的可用性和實(shí)時(shí)性，如地圖詳細(xì)程度和識(shí)別與基線數(shù)據(jù)的臨時(shí)偏差（例如，施工區(qū)、交通堵塞、臨時(shí)交通規(guī)則，比如龍卷風(fēng)疏散）。

運(yùn)行狀態(tài)空間元素的預(yù)期分布，包括哪些元素被視為罕見但在考慮范圍內(nèi)（例如收費(fèi)站、警察交通站），以及哪些元素被視為系統(tǒng)擬運(yùn)行的狀態(tài)空間區(qū)域以外的元素。

應(yīng)特別注意與設(shè)備的固有限制相關(guān)的ODD，如攝像頭所需的最低照明度。

OEDR因素

系統(tǒng)驗(yàn)證至少應(yīng)包括以下因素，其中一些因素可能被確定為超出ODD的范圍。這些通常可以分為兩個(gè)子類別：對象和事件。如果ODD沒有包含關(guān)聯(lián)的相關(guān)對象，則特定事件可能不適用。

OEDR對象因素

能夠檢測和識(shí)別（如分類）環(huán)境中的所有相關(guān)對象。

對傳感器數(shù)據(jù)進(jìn)行處理和閾值化，以避免誤報(bào)（例如，彈跳的飲料罐、鋼制道路施工蓋板、路旁標(biāo)志、塵云、落葉）和漏報(bào)（例如，一些半自動(dòng)駕駛車輛會(huì)與靜止車輛碰撞）。

其他車輛可能的操作參數(shù)（例如，引導(dǎo)和跟隨車輛的制動(dòng)能力，或另一輛車輛的行為是否異常）。

永久性障礙物，如構(gòu)筑物、路緣石、中央分隔帶、護(hù)欄、樹木、橋梁、隧道、護(hù)堤、溝渠、路邊和懸挑標(biāo)志。

臨時(shí)障礙物，如臨時(shí)隔離區(qū)、溢出物、洪水、充滿水的坑洞、滑坡、沖毀的橋梁、懸垂的植被和墜落的電線。

人，包括合作的人、不合作的人、惡意行為以及不了解自動(dòng)駕駛運(yùn)行的人。

處于危險(xiǎn)之中的人群，可能無法、無能力或不遵守既定的規(guī)則和規(guī)范的人，如兒童以及受傷、能力受損或受影響的人。

其他合作和不合作的人駕駛的車輛和自動(dòng)駕駛車輛。

其他道路使用者，包括專用車輛、臨時(shí)建筑、街道餐飲、街道節(jié)日、游行、車隊(duì)、葬禮游行、農(nóng)場設(shè)備、施工人員、吃草動(dòng)物、農(nóng)場動(dòng)物和瀕危物種。

其他非靜止物體，包括不受控制的移動(dòng)物體、墜落物體、風(fēng)吹物體、交通中的貨物溢出物和低空飛行的飛機(jī)。

OEDR事件因素

確定其他對象的預(yù)期行為，這可能涉及概率分布，并且可能基于對象分類。

環(huán)境中物體正常或合理預(yù)期的運(yùn)動(dòng)。

環(huán)境中其他車輛、障礙物、人員或其他物體的意外、不正確或異常移動(dòng)。

由于其他預(yù)期會(huì)移動(dòng)的物體而被阻礙的移動(dòng)。

自動(dòng)駕駛之前、期間和之后的操作員互動(dòng)，包括：監(jiān)督駕駛員警報(bào)監(jiān)控、通知乘客、與本地或遠(yuǎn)程操作員位置的互動(dòng)、模式選擇和啟用、操作員接管、操作員取消或重定向、操作員狀態(tài)反饋、操作員干預(yù)延遲、單個(gè)操作員對多個(gè)系統(tǒng)的監(jiān)控（多任務(wù)）、操作員交接、操作員與車輛交互能力喪失。

和人的互動(dòng)包括：人的指揮（交警指揮交通、警察靠邊停車、乘客遇險(xiǎn)）、正常的與人之間的互動(dòng)（人行橫道、乘客進(jìn)出口）、常見的人類違反規(guī)則的行為（在遠(yuǎn)離交叉口時(shí)穿過中間街區(qū)、分心行走），異常的與人之間的互動(dòng)（挑釁的亂穿馬路、攻擊車輛、企圖劫車）以及無法遵守規(guī)則的人（兒童、殘疾人）。

非人類互動(dòng)包括：動(dòng)物互動(dòng)（畜群、寵物、危險(xiǎn)野生動(dòng)物、受保護(hù)野生動(dòng)物）和快遞機(jī)器人。

機(jī)動(dòng)

雖然車輛運(yùn)行經(jīng)常指車輛的機(jī)動(dòng)，但在實(shí)踐中，這一類別必須擴(kuò)展到除控制車輛運(yùn)動(dòng)本身之外的其他操作方面。相關(guān)方面包括：

采取的行動(dòng)、機(jī)動(dòng)、行進(jìn)方向、路徑規(guī)劃、終點(diǎn)設(shè)定和尋找終點(diǎn)。這通常包括各種車輛的幾何結(jié)構(gòu)和各種駕駛行為，如轉(zhuǎn)彎、變道、出口、入口、停車等。

任務(wù)長度和任務(wù)概況（例如，是否將二次安全任務(wù)用作對故障、空置操作的響應(yīng)）。

操作模式之間的安全過渡，包括：通電/自檢、自主操作、人為操作、安全狀態(tài)操作、維護(hù)（加油、維修、洗車、更換耗材、清潔、校準(zhǔn)）、運(yùn)輸、故障響應(yīng)、故障后響應(yīng)（例如以確保事故發(fā)生后應(yīng)急響應(yīng)者的安全）、故障診斷、更新驗(yàn)證和合規(guī)性測試。

所有權(quán)的變更和運(yùn)行概況的變更（如重新定位、重新部署、大修、升級）。

故障管理

雖然傳統(tǒng)的功能安全方法包括故障管理的許多方面，但它們不一定處理需求缺口，并在系統(tǒng)遇到環(huán)境異常或其他未設(shè)計(jì)的情況時(shí)確保安全。此外，隨著駕駛員的移除，自動(dòng)駕駛汽車可能會(huì)承擔(dān)檢測、診斷和減輕故障的任務(wù)。我們確定了系統(tǒng)限制、系統(tǒng)故障和故障響應(yīng)的子類別：

系統(tǒng)限制

傳感器和執(zhí)行器的當(dāng)前能力，取決于操作狀態(tài)空間。

檢測和處理車輛在其驗(yàn)證的運(yùn)行狀態(tài)空間之外的偏移，包括ODD、OEDR、機(jī)動(dòng)、故障。

在故障狀態(tài)下的操作，包括降級計(jì)劃，以及對降級操作狀態(tài)空間的任何限制。

對于有效載荷特性（例如，載客車輛超載、重量分布不均勻、裝載礫石的卡車、半裝滿液體的油罐車）和自主有效載荷修改（例如拖車連接/斷開）的能力變化。

基于功能模式的性能變化（例如，轉(zhuǎn)向設(shè)計(jì)模型、后輪轉(zhuǎn)向、ABS或四輪驅(qū)

基于點(diǎn)對點(diǎn)組隊(duì)（如V2V、V2I）和計(jì)劃組隊(duì)（如領(lǐng)導(dǎo)-追隨者或排車配對）的能力變化。

外部信息（V2V、V2I）不完整、不正確、損壞或不可用。

系統(tǒng)錯(cuò)誤

感知失效，包括物體分類和姿態(tài)的暫時(shí)性和永久性故障。

規(guī)劃失敗，包括導(dǎo)致碰撞、不安全軌道（如翻車風(fēng)險(xiǎn)）和危險(xiǎn)路徑（如道路偏離）的故障。

車輛設(shè)備運(yùn)行故障（例如，爆胎、發(fā)動(dòng)機(jī)失速、制動(dòng)故障、轉(zhuǎn)向故障、照明系統(tǒng)故障、變速器故障、發(fā)動(dòng)機(jī)功率不可控、自主設(shè)備故障、電氣系統(tǒng)故障、車輛故障診斷碼）。

車輛設(shè)備維護(hù)故障（例如，胎壓不當(dāng)、輪胎光禿、車輪錯(cuò)位、傳感器清洗液儲(chǔ)液罐空、燃油/蓄電池耗盡）。

傳感器和致動(dòng)器的操作性退化包括臨時(shí)性的（例如，淤泥、灰塵、灰塵、熱、水、冰、鹽霧、被粉碎的昆蟲的積累）和永久性的（例如，制造缺陷、劃痕、沖刷、老化、磨損、堵塞、沖擊損傷）。

設(shè)備損壞，包括檢測和減輕災(zāi)難性損失（如車輛碰撞、雷擊、道路偏離）、輕微損失（如傳感器損壞、執(zhí)行器故障）和臨時(shí)損失（如支架彎曲導(dǎo)致的錯(cuò)位、校準(zhǔn)不準(zhǔn)）。

地圖數(shù)據(jù)不正確、丟失、過時(shí)和不準(zhǔn)確。

訓(xùn)練數(shù)據(jù)不完整、不正確、已知偏見或未知偏見。

錯(cuò)誤響應(yīng)

當(dāng)遇到異常操作狀態(tài)空間、遇到故障或達(dá)到系統(tǒng)限制時(shí)，系統(tǒng)的行為。

診斷間隙（例如潛在故障、未檢測到的故障、未檢測到的故障冗余）。

系統(tǒng)如何重新集成故障部件，包括從瞬時(shí)故障中恢復(fù)和從運(yùn)行和/或維護(hù)后修復(fù)的永久性故障中恢復(fù)。

在固有風(fēng)險(xiǎn)或某些損失情況下優(yōu)先或以其他方式確定行動(dòng)的響應(yīng)和政策。

抵御攻擊（系統(tǒng)安全、基礎(chǔ)設(shè)施受損、其他車輛受損），并阻止不當(dāng)使用（例如惡意命令、不當(dāng)危險(xiǎn)貨物、危險(xiǎn)乘客行為）。

如何更新系統(tǒng)以糾正功能缺陷、安全缺陷、安全缺陷，以及添加新的或改進(jìn)的功能。