摘要

汽車行業的未來在于自動駕駛汽車（AV）。盡管各大公司都在努力實現駕駛完全自動化，但確保自動駕駛汽車的安全性仍然面臨挑戰。本研究的目標是提供一個組合式仿真互聯框架，以驗證自動駕駛平臺（ADP）的安全性。為實現這一目標，我們將國際標準化組織（ISO）26262 和 ISO 21448 中的高層級安全要求轉化為可驗證屬性，并構建了一個全面的數字孿生系統。該系統包含用于屬性檢查的運行時驗證（RV）監控器，以及汽車場景模擬器和待測試的自動駕駛平臺。我們以百度開發的開源自動駕駛平臺 “Apollo” 作為案例研究，對所提出的框架進行了驗證。

1、引言

在自動駕駛平臺（尤其是高級駕駛輔助系統（ADAS）軟件棧）的推動下，自動駕駛汽車的快速發展成為當前及未來汽車的顯著特征。Waymo、百度等行業參與者已展示出完全自動駕駛的能力，尤其是在特定地理區域以及特定天氣和光照條件下。與此同時，優步等大型軟件公司也在積極開發各自的自動駕駛框架。

為防止災難性事件的發生，對高級駕駛輔助系統軟件棧中的傳統軟件和機器學習（ML）組件制定安全要求的緊迫性日益凸顯。在汽車領域，安全需求獲?。ㄒ卜Q為功能安全需求分析）由兩項特定領域標準明確規定：其一為 ISO 26262，主要針對與組件故障相關的安全需求；其二為 ISO 21448，旨在闡明基于機器學習的組件在實現預期功能過程中存在的局限性。

本研究致力于實現一項關鍵目標，即借助全面的數字孿生仿真開展安全性分析。該數字孿生系統通過組合式仿真互聯架構構建而成，能夠將自動駕駛平臺與汽車場景模擬器以及運行時驗證監控器連接起來。我們還確立了一種安全性分析方法，將高層級的國際標準化組織（ISO）要求轉化為仿真過程中可驗證的屬性，從而確保采用主動式方法進行安全性評估。本質上，我們的研究契合了行業在自動駕駛領域對健全安全措施的迫切需求。

本文結構安排如下：第二部分介紹了安全相關的國際標準化組織（ISO）標準背景知識，簡要闡述了自動駕駛平臺（ADP）以及構建組合式仿真互聯框架所用到的工具，該框架用于安全性分析；第三部分探討了數字孿生仿真和自動駕駛汽車（AV）安全性分析領域的相關研究工作；第四部分闡述了所提出安全框架的工作流程；第五部分呈現了案例研究的結果；第六部分則對研究進行總結，并探討未來的研究方向。

2、背景知識

2.1 ISO 26262 與 ISO 21448

ISO 26262是針對道路車輛中電氣和電子系統功能安全的國際標準。它源于更具廣泛性的 IEC 61508 標準，并專門聚焦于汽車應用領域。該標準采用汽車安全完整性等級（ASILs）對風險進行分類，進而確定必要的安全措施。其目標是確保與安全相關的系統能夠正確且及時地執行預期功能，最大限度地降低因系統故障引發事故的風險。

另一方面，ISO 21448為識別和緩解與基于機器學習（ML）的系統預期功能相關的風險提供了框架。這包括應對機器學習算法局限性可能引發的潛在危險。該標準還確?；跈C器學習的系統在設計和測試過程中滿足安全要求，從而降低因功能不足導致事故的可能性。通過整合這些原則，ISO 21448 有助于確?；跈C器學習的汽車系統安全、可靠，并能夠應對現實世界中的復雜情況。

2.2 自動駕駛平臺

自動駕駛指的是車輛或系統在極少或無需人工干預的情況下運行。自動駕駛平臺（ADP）為這些車輛的正常運行提供了基礎設施和技術支持。這些平臺整合了定位、感知、預測、規劃和控制等關鍵組件。百度開發的 “Apollo”是領先的開源自動駕駛平臺，我們在案例研究中采用了該平臺。該框架同樣適用于其他自動駕駛平臺，例如基于機器人操作系統（ROS）構建的 Autoware、英偉達驅動（Nvidia Drive）、英特爾 Mobileye、特斯拉自動駕駛（Tesla Autopilot and Self Driving）以及字母表旗下的 Waymo 等。

2.3 傳感器 / 場景模擬器

傳感器 / 場景模擬器提供了一個基于物理原理的仿真平臺，用于高級駕駛輔助系統（ADAS）的原型設計、測試和驗證。與現實世界條件不同，仿真條件能夠被完全量化和控制。在我們的案例研究中，使用了開源模擬器 CARLA；在我們的安全框架中，也可以使用其他（開源或專有）模擬器。通常，這些模擬器具備 Python 或 C++ 接口，可與其他工具連接以實現協同仿真。

2.4 運行時監控

DejaVu是一款基于 Scala 語言設計的監控工具，用于為過去時間一階線性時序邏輯（LTL）規范合成運行時監控器。該工具首先接收用戶定義的公式 / 屬性，對其進行解析并生成抽象語法樹，隨后對抽象語法樹進行遍歷，并將其轉換為監控程序。將事件軌跡輸入監控器后，監控器會返回判定結果。如圖 1 所示，它支持通過輸入事件流文件（CSV 格式）和以時序邏輯（QTL）編寫的屬性文件，針對事件流進行屬性檢查。

圖1、 DejaVu 運行時監控器

事件軌跡（Events Trace）：事件軌跡文件以 CSV 格式列出事件，每個事件的表示形式如下：

屬性規范（Property Specification）：屬性以一階過去時間線性時序邏輯編寫，存儲在 QTL 文件中（例如：

TP-DejaVu 對 DejaVu 進行了增強，實現了兩階段運行時驗證（RV）。第一階段基于 Scala 語言實現，可進行包含算術運算、字符串操作和布爾運算的操作性運行時驗證。第二階段則利用 DejaVu 對一階規范進行監控。

操作性規范（Operational Specification）：操作性規范文件用于初始化變量并執行相關操作。

聲明性規范（Declarative Specification）：聲明性規范用于檢查操作性文件輸出事件是否滿足特定條件，示例如下：

2.5 組合式仿真互聯框架

為將自動駕駛平臺（ADP）與傳感器 / 場景模擬器以及運行時監控器連接起來，需要一個組合式仿真互聯框架。該框架總體上能夠實現數字孿生系統各組件之間的互操作性，同步網絡通信，并支持通過多種協議（如以太網）進行數據傳輸。若客戶端連接符合所支持的電子設計自動化標準（包括 SystemC TLM 2.0、JModelica FMI 2.0 和進程間通信），則該連接可行。此類客戶端包括傳感器 / 場景模擬器、導出為協同仿真功能模型單元（FMU）的機電系統模擬器、儀表盤軟件、云服務，以及不同抽象層級的各類計算和人工智能模型，具體涵蓋 C/C++、SystemC TLM、Python、機器人操作系統（ROS）、虛擬平臺、硬件仿真、現場可編程門陣列（FPGA）原型平臺和嵌入式系統板等。

假設這些外部模擬器和外部模型各自在獨立進程中運行，并且支持第三方應用程序編程接口（API）。如圖 2 所示，這種特定于應用程序的 API 可與傳輸級建模（TLM）架構門戶接口（我們稱之為 “網關”（Gateway））相結合。該網關能夠為事務性通信以及時間同步推進協調提供對互聯架構背板的訪問權限。每個第三方模擬器或外部模型都被視為連接到公共背板互聯系統的客戶端進程。背板負責時間管理，并掌控所有時間推進操作。

圖2、組合式仿真互聯框架

為簡化互聯架構的自動化流程，框架自動化流程首先通過數字孿生描述語言對客戶端連接進行描述，然后借助構建器解析該描述，并生成連接數字孿生系統不同組件遠程客戶端所需的背板服務器和網關。

3、相關研究

在運行時執行時序邏輯屬性的安全運行時驗證領域，以及更廣泛的自動駕駛汽車（AV）安全領域，已有不少相關研究成果。在文獻中，Donal Heffernan 等人應用 ISO 26262 標準為電氣 / 電子（E/E）變速箱控制器定義了功能安全需求，并將功能安全聲明映射到過去時間線性時序邏輯（ptLTL），隨后通過運行時監控器進行驗證。類似地，文獻也著重研究了在基于樹莓派（Raspberry Pi）和 Arduino Uno 構建的車輛原型上實施安全運行時監控。

此外，在各類平臺上對車輛進行仿真的相關研究也較多。例如，文獻展示了如何將用于信號時序邏輯（STL）規范運行時驗證的 RTAMT庫與 CARLA 模擬器集成。Kosuke Watanabe 等人采用信號時序邏輯（STL）和 Breach 監控工具，在基于 Unity 構建的自動駕駛汽車（AV）模型上，對協同堆垛緩解系統（CPMS）與誤啟動預防系統（FPS）這兩項高級駕駛輔助系統（ADAS）功能之間的不良交互進行監控和檢測。

而且，部分研究致力于簡化安全驗證流程，無需進行實際測試。例如，Lina Marsso 等人專注于為自動駕駛汽車（AV）創建兩個形式化模型（使用 LOTOS 新技術（LNT）語言編寫）。與現有模型相比，這兩個模型更為全面，可用于生成自動駕駛汽車測試所需的關鍵場景。Paul Rau 等人開發了一個結構化框架，用于推導預期功能安全性（SOTIF）分析所需的場景，并將該框架應用于高度自動化的自動駕駛系統。另有研究人員也提出了一個自動駕駛汽車（AV）安全驗證框架，該框架基于新的縱向和橫向安全距離、車道變更、超車操作以及應對新交通參與者的方法構建而成。最后，Chejian Xu 等人首次提出了統一平臺 SafeBench，該平臺整合了不同類型的安全關鍵測試場景、場景生成算法以及其他變量（如行駛路線和環境）。

與相關研究相比，我們的方法旨在構建一個全面的自動駕駛平臺（ADP）數字孿生系統，該系統整合了傳感器 / 場景模擬器和運行時監控工具，并從 ISO 26262 和 ISO 21448 標準中提取安全屬性。此外，我們將運行時監控器用作自動駕駛平臺（ADP）的基于斷言的驗證工具。

4、工作流程

在本節中，我們詳細介紹用于驗證自動駕駛平臺（ADP）安全性的用戶工作流程，以及作為概念驗證所使用的相關安全屬性。如圖 3 所示，該工作流程通常包含四個階段：將所選的自動駕駛平臺（ADP）與場景模擬器進行設置；將國際標準化組織（ISO）高層級安全要求轉換為形式化邏輯屬性；構建全面的數字孿生框架；最后利用 TP-DejaVu 檢查是否存在任何屬性違反情況。

圖 3、自動駕駛平臺（ADP）安全性分析工作流程

自動駕駛平臺（ADP）故障可能源于以下原因：在編寫自動駕駛平臺軟件棧不同組件代碼時出現人為錯誤，或者這些組件中的任意一個遭受入侵 / 攻擊。我們的成功標準是，在對自動駕駛平臺（ADP）進行全面數字孿生仿真期間，能夠基于一組定義明確的安全需求，通過運行時監控器捕捉到這些故障。由于 Apollo 是一款成熟的自動駕駛軟件，因此在仿真過程中采用錯誤注入的方式，以測試我們所檢查的安全屬性是否存在違反情況。

4.1 安全屬性

在本節中，我們將探討自動駕駛汽車（AV）的三項關鍵安全屬性，分別是安全距離（Safe Distance）、道路速度限制（Road Speed Limit）和碰撞率（Collision Rate）。其中，我們將詳細闡述安全距離屬性，重點介紹用于驗證的操作性文件和聲明性文件的結構。對于道路速度限制和碰撞率屬性，我們將進行簡要概述，著重說明它們的重要性以及實施過程中的關鍵方面，而不深入探討操作性文件和聲明性文件的具體細節。

4.1.1 安全距離

· 參考國際標準化組織（ISO）標準：ISO 26262

· 相關組件：自適應巡航控制（ACC）

· 背景信息：自適應巡航控制系統（ACC）通過控制油門和剎車，調節主車速度，以與前車保持安全距離。該系統的關鍵組成部分是測距傳感器，用于測量與前車之間的距離。我們采用 CARLA 障礙物檢測器來識別指定范圍內的障礙物（包括車輛）。當前車距離過近（低于閾值 r）時，自適應巡航控制系統（ACC）會啟動，通過調節油門和剎車來維持安全距離。

安全距離計算：主車（ch）與前車（cp）之間的縱向安全距離（dsafe）通過以下公式計算得出：

· vh和 vp分別為主車和前車的速度。

· ρ 為響應時間（在我們的仿真中，ρ = 0.01 秒）。

事件軌跡（CSV 格式）：日志記錄的事件示例如下：

操作性規范：

聲明性規范：該屬性用于驗證預評估步驟輸出的距離檢查結果（distanceCheck）是否始終為真。

4.1.2 道路速度限制

· 參考國際標準化組織（ISO）標準：ISO 26262、ISO 21448

· 相關組件：感知（Perception）、規劃（Planning）、控制（Control）

· 背景信息：速度管理通過設定速度限制、減少超速行為以及緩解與超速相關的碰撞事故，保障出行安全。該屬性用于驗證主車是否遵守 CARLA 設定的速度限制。

4.1.3 碰撞率

· 參考國際標準化組織（ISO）標準：ISO 21448

· 相關組件：感知（Perception）、規劃（Planning）、控制（Control）

· 背景信息：碰撞率分析對于確保自動駕駛汽車（AV）的安全性和可靠性至關重要。該屬性用于跟蹤碰撞次數，并驗證碰撞率是否低于指定閾值。

4.2 場景生成

在 TP-DejaVu 中實現安全屬性后，我們生成相應場景，以驗證 TP-DejaVu 運行時監控是否能按預期正常工作。這些場景通過代碼修改注入錯誤，模擬程序員編程錯誤或入侵 / 攻擊造成的影響，從而在正常模式和異常模式下對 Apollo 進行測試。

表 1、場景生成

5、實驗結果與討論

在本節中，我們展示了在五個不同場景下對三項安全屬性進行驗證的實驗結果。這些結果是通過使用 0.9.13 版本的 Carla 模擬器和 8.0.0 版本的 Apollo 平臺獲取的。實驗在一臺配備 AMD Ryzen 7 6800H 處理器（搭載 Radeon 顯卡）、16GB 內存以及 RTX 3050 移動顯卡的計算機上運行。

表 2 展示了場景一的實驗結果。在該場景中，對三項安全屬性進行了時長為 135 秒的仿真監控，未檢測到任何屬性違反情況。Apollo 自動駕駛平臺運行過程中未出現任何錯誤，充分體現了其固有的安全性和可靠性。

表 2、屬性檢查結果

圖 4 中的表格總結了場景二、場景三、場景四和場景五的實驗結果，每個表格上方均配有柱狀圖以直觀展示結果。在場景二中，通過在 Apollo 的規劃模塊中故意注入錯誤，誘發了速度限制違反情況。在時長為 120 秒的仿真過程中，共檢測到 227 次屬性違反。在場景三中，僅觀察到安全距離屬性存在違反情況，這些違反是由于在 Apollo 軟件棧的規劃模塊中注入錯誤所導致的。在場景四中，安全距離和碰撞率兩項屬性均出現違反情況，這是因為在 Apollo 軟件棧規劃模塊的安全距離屬性中注入錯誤，并且控制前車突然剎車而引發的。在場景五中，除了控制前車突然剎車外，還在 Apollo 的規劃模塊中故意注入錯誤，從而在時長為 136 秒的仿真過程中，誘發了三項屬性均出現違反情況。

圖 4、場景二、三、四、五的實驗結果

需要注意的是，碰撞率屬性的違反次數并非代表碰撞次數。事實上，在場景四和場景五中，均僅發生了一次碰撞。出現這種情況的原因是，在仿真的每個時間步都會對該屬性進行檢查，因此，在車輛行駛足夠距離且未發生碰撞之前，所有相關事件都會被記錄為屬性違反。

6、結論

在本文中，我們成功驗證了將自動駕駛平臺的數字孿生系統與汽車場景模擬器以及運行時監控器相結合，用于安全性分析的可行性和有效性。通過將行業標準 ISO 26262 和 ISO 21448 中的高層級安全要求轉化為可檢查的屬性，我們建立了一個在數字孿生仿真過程中進行實時安全驗證的流程。

未來的研究應致力于制定更全面的屬性列表，納入更廣泛的環境因素，以確?，F有或新開發的自動駕駛平臺在各種現實場景下均能符合安全要求。