自動駕駛數據記錄系統標準現狀及測試研究

俞彥輝，張曉輝，吳含冰

（1.中汽研汽車檢驗中心（天津）有限公司；2.中國汽車技術研究中心有限公司，天津 300300）

從市場層面分析，技術儲備趨向成熟，通過對國內紅旗、上汽、長安等傳統整車企業和小鵬、威馬等造車新勢力企業的調研，2021-2022年將是主流汽車制造商L3級自動駕駛車型量產元年，L3級自動駕駛的量產引發廣泛關注，自動駕駛汽車已經成為全球汽車產業發展的戰略方向。隨著智能網聯汽車由概念性研究到市場化應用的轉變，安全性建設至關重要，亟需構建智能汽車產品監管體系、法規標準體系。

從法律層面分析，涉及到高級輔助駕駛汽車的交通事故數量不斷增多。2021年起，部分企業的L3級自動駕駛汽車即將量產，但是L3落地還面臨法律風險，隨著駕駛員雙手和雙腳的放開，車輛在駕駛和安全保護上承擔更多責任，違章和事故等行為的責任主體由駕駛員變更為駕駛員和車輛系統，造成違法行為相關因素的收集和分析愈發復雜，法律責任界定存在很大困難。

從倫理層面分析，根據SAE-J3016標準［1］和國家標準《汽車駕駛自動化分級》對駕駛自動化分級的要求，目前的L3級自動駕駛汽車在運行過程中會出現系統請求駕駛員接管、人機共駕行為，一旦自動駕駛汽車出現交通事故，自動駕駛系統可能作為責任主體并承擔法律責任，因此責任判定過程不能繼續按照傳統方法進行認定。如何獲取自動駕駛過程客觀、準確的數據，如何利用數據進行事故和違法事件重建分析，自動駕駛數據記錄系統（DSSAD）標準的研究就尤為重要。

1 自動駕駛數據記錄系統標準研究現狀

基于上述需求，國際相關標準法規部門組織以及多國政府都已啟動若干工作組對DSSAD進行標準研究制定。2019年6月，世界車輛法規協調論壇WP.29下的自動駕駛與網聯車輛工作組GRVA工作組成立EDR/DSSAD非正式工作組展開標準研究，首先將DSSAD作為自動車道保持系統（Automated Lane Keeping System，ALKS）的技術條款，并在2020年6月發布的ALKS法規第八章明確提出并規定了DSSAD應該具備的相關功能［2］；國際標準化組織ISO也將DSSAD作為研究方向，明確了功能要求與標準制定計劃。此外日本、新加坡、韓國、SAE等一些國家及組織也啟動制定相應標準要求［3］。

我國高度重視智能網聯汽車相關技術及產業發展，工業和信息化部、發展改革委、科技部、公安部、交通部等主管政府部門，實施了多項國家科技重大專項、產業化專項等項目，出臺了《智能網聯汽車道路測試管理規范（試行）》等管理辦法，支持智能網聯汽車關鍵技術研發、應用和示范推廣。《智能網聯汽車道路測試管理規范（試行）》要求測試車輛具備車輛狀態記錄、存儲及在線監控功能，自動記錄和存儲下列各項信息在車輛事故或失效狀況發生前至少90s的數據。中關村智通智能交通產業聯盟也制定了T/CMAX43001-2019《自動駕駛車輛道路測試數據采集要求》團體標準［4］。

國家標準層面，工信部，國家標準委聯合印發的《國家車聯網產業標準體系建設指南（智能網聯汽車）》中［5］，提出智能網聯汽車領域標準共計95項，其中“305-2：自動駕駛記錄裝置要求及評價方法”是目前智能網聯汽車領域重要的強制性標準［6］。2021年8月，工信部發布了《工業和信息化部關于加強智能網聯汽車生產企業及產品準入管理的意見》103號文件，其中第七條第三項明確規定智能網聯汽車產品應具有事件數據記錄系統和自動駕駛數據記錄系統功能。

2 自動駕駛數據記錄系統技術研究

2.1 自動駕駛數據記錄系統定義及工作原理

自動駕駛數據記錄系統DSSAD（Data Storage System for Automated Driving）是指在具備3級及以上自動駕駛系統的車輛上裝備的，在自動駕駛系統激活期間具備監測、采集、記錄和存儲數據功能，并支持數據讀取的系統。

通過調研目前不同主機廠及其自動駕駛產品［7］及產業中自動駕駛數據存儲方案，根據實現方式可將DSSAD分為兩種：①通過單獨的數據記錄器裝置對自動駕駛關鍵數據進行記錄，并進行有一定優先級的數據覆蓋存儲；②將數據記錄模塊集成在域控制器內，通過與各控制器的通信對感知、決策、控制信號進行存儲。

第1種實現方式的DSSAD控制器讀取車內相應的各類信息并通過DSSAD控制器內規劃的觸發事件邏輯進行實時監測，當車輛周圍環境、車輛狀態、駕駛員行為等滿足觸發事件條件時，DSSAD控制器觸發記錄并將關鍵信息記錄于DSSAD內部數據存儲單元中。

圖1 集成于域控制器的DSSAD結構圖

第2種實現方式的DSSAD控制器實現原理如圖1所示。DSSAD控制器集成于自動駕駛中央控制器內部，并與其他控制器單元通過總線連接通信，根據規劃的觸發事件邏輯進行實時監測，當滿足觸發事件條件時，進行邏輯觸發并通過總線向各控制器發送數據記錄鎖存信號。各控制器在接收到此信號后根據設計要求將關鍵數據信息記錄。

2.2 自動駕駛數據記錄系統與汽車事件數據記錄系統（EDR）的關系

EDR俗稱汽車的“黑匣子”，目前在大部分的量產車上都有安裝，根據法規要求從2021年起要求強制安裝［9］。與DSSAD不同，一般EDR系統集成在氣囊控制器模塊中，通過碰撞事件觸發，并記錄儲存碰撞前后車輛相關信息，包括車速、擋位、油門制動踏板開度等信息。EDR系統的信號流及控制邏輯如圖2所示。

圖2 EDR結構邏輯圖

與DSSAD相比，EDR側重于記錄碰撞事件發生時車輛的相關數據，一方面可以客觀判斷碰撞事件產生的原因，保障司法公正；另一方面可以為改善車輛安全系統提供依據，避免類似碰撞事件的發生。而對于自動駕駛汽車，由于駕駛主體在事故過程中存在不確定性，EDR尚不能支撐執法鑒定部門的責任認定需求，而且EDR和DSSAD在系統功能設計、數據技術要求方面都有區別。

本文通過對聯合國WP.29 GRVA工作組等國內外組織機構對于EDR和DSSAD規定的梳理，對兩項裝置從不同方面進行對比，詳細對比信息見表1［10］。

2.3 自動駕駛數據記錄系統數據記錄存儲要求

2.3.1 數據記錄元素

數據記錄功能是自動駕駛數據記錄系統最基本、最重要的功能。根據聯合國ALKS法規定義的記錄時間結合我國自動駕駛路線的實際需求，將DSSAD記錄的數據元素分類整理歸納如表2所示。

2.3.2 數據存儲機制

根據DSSAD在事故鑒定、責任分析中的作用，將DSSAD存儲區域分為兩類，分別為關鍵安全事件存儲區和非關鍵安全事件存儲區，不同存儲區之間的存儲覆蓋機制獨立。

關鍵安全事件存儲區和非關鍵安全事件存儲區的數據記錄均為特定事件“觸發式”記錄，即自動駕駛系統激活運行期間，當車輛系統狀態、駕駛員狀態或周圍環境信息滿足觸發條件時，DSSAD應按照標準要求的精度、頻率、時長等記錄規定的關鍵信息。

表1 EDR-DSSAD對比表

表2 DSSAD數據記錄元素表

關鍵安全事件分為碰撞事件和有碰撞風險事件。其中碰撞事件的觸發條件分為以下兩類：①EDR標準中規定的觸發條件，即當車輛橫向或縱向上150ms時間區間內速度變化不小于8km/h時，認為發生碰撞；②非可逆約束裝置即安全氣囊展開。有碰撞風險事件的觸發條件為自動駕駛系統請求的縱向減速度大于5m/s2。發生關鍵安全事件時DSSAD應自動存儲觸發時間前后規定時長內表2規定的關鍵信息，存儲容量需滿足5次關鍵安全事件的數據存儲要求。當發生車輛橫向或縱向上150ms時間區間內速度變化不小于25km/h或安全氣囊展開的碰撞事件時，該類時間被判定為鎖定事件，即鎖定事件記錄的數據不應被后續事件覆蓋，其他類型的事件按照FIFO規則進行循環覆蓋。

非關鍵安全事件包括以下6類：自動駕駛系統激活和退出、發生接管操作、自動駕駛系統達到最小風險狀態、自動駕駛系統發生嚴重故障、車輛發生嚴重故障。每類事件的觸發條件可參考正在制定的推薦性國家標準《自動駕駛通用技術要求》。非關鍵安全事件存儲區存儲容量需滿足記錄2500次非關鍵安全事件發生的時間戳及事件類型，并按照FIFO規則進行循環覆蓋。

2.4 DSSAD其他功能要求

2.4.1 數據讀取功能要求

數據讀取功能要求DSSAD存儲的數據信息應僅能夠通過授權的工具或接口進行讀取，并具備數據讀取的權限控制策略。還應保證存儲的數據被讀取或提取后能夠被解析為可讀報告，解析后的數據與車輛發出的數據具備數據一致性。

2.4.2 人機交互功能要求

DSSAD需要與自動駕駛系統進行通信，告知DSSAD自檢及開/關狀態、存儲容量使用/剩余狀態、DSSAD模塊可用性狀態等。通過上述功能告知駕駛員DSSAD系統是否可以正常工作。若DSSAD系統出現故障，應通過故障報警的方式及時告知用戶。

2.4.3 數據安全功能要求

數據安全功能要求DSSAD需具備較高的數據安全性，可防止外界刪除、篡改等未經授權的惡意毀壞記錄存儲信息的操作。

2.4.4 其他要求

DSSAD模塊需滿足相應的車規級標準要求中的電氣負荷、環境負荷、機械性能負荷、IP防護性能等級、EMC防護要求以及聯網功能的數據上傳、平臺接入和信息安全等要求。

3 自動駕駛數據記錄系統測試方法研究

3.1 自動駕駛數據記錄系統測試驗證必要性分析

DSSAD記錄數據的完整性、準確性、不可否認性，對于事后調查取證的可信性至關重要，保證系統的功能離不開試驗驗證的支撐。

實車層面的測試，主要對自動駕駛數據記錄系統與整車集成性能和可靠性進行驗證，包括數據在采集、傳輸、記錄和讀取整個流程的一致性，通過對比真實狀態及試驗設備測量值與自動駕駛數據記錄系統記錄數據進行驗證。系統層面的測試，可以對需要在危險工況下驗證的系統要求，如碰撞發生時的數據記錄；需要通過長時間進行驗證的系統要求，如存儲容量、存儲機制的驗證；需要對系統進行較底層的性能驗證，如數據記錄同步性、記錄讀取協議一致性、數據加密等。通過測試臺架仿真自動駕駛數據記錄系統與外部的信號交互進行測試。表3對臺架與實車測試分別從測試場景覆蓋、驗證功能區別以及不同測試特征進行對比［11］。

表3 臺架測試與實車測試對比表

3.2 自動駕駛數據記錄系統測試驗證基礎

臺架測試方面，可基于ASM、Carmaker等仿真軟件，dSPACE和IPG硬件在環仿真測試系統，雷達回波模擬器和攝像頭黑箱/視頻信號注入模塊等傳感器信號仿真臺架，各類型IO及總線接口，對自動駕駛的感知系統、決策系統、執行系統的數據進行仿真［12-13］。

標準參考方面，隨著車載記錄技術的發展和相關標準體系的健全，自動駕駛數據記錄系統的測試也已有相關標準可以參考。實車層面的觸發記錄可以通過GB 11551《汽車正面碰撞的乘員保護》、GB17354《汽車前、后端保護裝置》、GB/T 24550《汽車對行人的碰撞保護》、FMVSS 208 《乘員碰撞保護》、GB/T《乘用車自動緊急制動系統（AEBS）性能要求和試驗方法》等標準試驗方法或特殊觸發方法實現，系統層面的觸發記錄大多通過基于車輛通信總線信號實現，可以通過測試臺架發送特定觸發信號的方法實現觸發。車規級可靠性測試需滿足GB/T 28046《道路車輛 電氣及電子設備的環境條件和試驗》等標準的要求；如涉及數據安全性，防篡改的要求，可參考SAE J3061《信息物理汽車系統網絡安全指南》，ISO/SAE 21434《道路車輛-網絡安全工程》及相應正在起草的國家標準；如涉及記錄圖像品質的要求，可參考GB/T38892《車載視頻行駛記錄系統》；如涉及網絡上傳，可參考GB/T 32960.2《電動汽車遠程服務與管理系統技術規范 第2部分：車載終端》的要求。同時應結合自動駕駛數據記錄系統的產品實際實現形式進行測試方法的設計。

3.3 自動駕駛數據記錄系統測試驗證方案

根據2.1節中DSSAD工作原理的介紹，對于目前自動駕駛汽車使用較多的兩種實現方案，實車層面的測試無差異，但在系統層面的臺架測試驗證工作開展卻有所不同［14］。本節主要對DSSAD兩種實現方案的臺架測試進行分析。

3.3.1 單獨數據存儲器DSSAD的臺架測試方案

對于配置單獨數據存儲單元的自動駕駛數據記錄系統，由于關鍵數據信息集中存儲于單獨設置的存儲單元，并通過時間信息進行對齊處理，故可通過臺架測試箱對DSSAD控制器發送模擬觸發信號，模擬觸發事件的發生，進行一定次數、不同優先級事件的模擬觸發記錄。在完成記錄后，對存儲數據通過數據回放的方法進行回播，對比模擬信號流與DSSAD記錄事件信息的區別，判斷DSSAD記錄功能、觸發功能、數據同步以及一致性功能是否滿足設計要求。

3.3.2 集成于域控制器DSSAD的臺架測試方案

對于集成在域控制器形式的DSSAD，需要將關鍵信息來源的控制器單元信號進行聯合臺架測試，涉及到信號協議轉換以及通信接口開放問題，測試結構與實現難度均比單獨數據存儲DSSAD的方案要復雜。具體臺架測試示意圖如圖3所示。

圖3 臺架試驗方案原理圖

圖3中自動駕駛控制器運行于硬件在環測試系統中，進行域控制器的仿真測試。通過傳感器信號仿真臺架以及車輛其他總線信息的模擬輸入，對車周圍環境和車輛運行的預期情況進行模擬，驗證集成于域控制器DSSAD的觸發事件記錄功能［15］。

3.4 自動駕駛數據記錄系統測試驗證項目

對自動駕駛數據記錄系統的測試評價應當結合其數據記錄的工作邏輯，在試驗環境以及實車環境下實現自動駕駛數據記錄系統的觸發記錄，并針對DSSAD的各項功能要求均應設計對應的測試驗證，并需滿足功能驗證的完整性。本節根據臺架測試與實車測試的不同特征，介紹測試驗證項目的實現方式與測試方法。

3.4.1 實車測試驗證項目

在實車層面開展DSSAD狀態轉換觸發測試、人機交互測試與DSSAD讀取功能測試。

1）DSSAD狀態轉換觸發測試

驗證DSSAD系統可完整準確記錄轉移過程關鍵信息。通過在封閉場地內搭建測試場景，開啟自動駕駛模式并通過不同觸發場景，觸發自動駕駛狀態變化，記錄客觀參考數據，與DSSAD記錄關鍵信息進行對比驗證。

2）DSSAD人機交互測試

驗證DSSAD人機交互功能設計是否滿足標準要求。通過在實車上對DSSAD可用狀態進行觀察，是否可表明DSSAD系統存儲容量、自檢狀態等信息。

3）DSSAD讀取功能測試

驗證DSSAD數據讀取接口是否滿足標準要求。通過自動駕駛場景觸發并記錄，利用標準接口對DSSAD內存儲數據進行讀取，驗證數據的可讀性。

3.4.2 臺架測試驗證項目

在臺架層面開展DSSAD狀態轉換觸發測試、數據一致性測試以及DSSAD數據存儲功能測試。

1）DSSAD狀態轉換觸發測試

驗證DSSAD數據記錄的觸發功能，對于3.3.1節實車驗證難以覆蓋的場景開展臺架測試，如EDR觸發、自動駕駛系統故障以及一些危險場景。通過模擬真值場景的信號注入，觸發DSSAD記錄場景關鍵信息，驗證DSSAD是否能夠準確觸發并完整記錄相關數據記錄。

2）DSSAD數據存儲功能測試

驗證DSSAD的數據存儲容量、存儲覆蓋機制。通過仿真模擬信號重復注入快速觸發DSSDA存儲，驗證DSSAD內部存儲容量是否與制造商DSSAD標稱容量一致；對達到存儲上限的DSSAD注入新的事件數據，驗證其覆蓋存儲機制［12］。

3）DSSAD數據一致性測試

驗證DSSAD數據記錄的準確性與同步性。通過數據回播的方式讀取記錄裝置內的關鍵信息，比較DSSAD記錄信息與真值場景數據，驗證DSSAD數據一致性［13］。

4 結論

高等級駕駛自動化系統提高了行駛安全性，但同時引入了責任劃分的倫理性問題，制約著智能汽車產業的進一步發展。倫理問題的解決必須通過自動駕駛汽車數據記錄系統標準的制定執行。本文對自動駕駛汽車數據記錄系統標準的研究現狀以及測試驗證方案進行論述分析，提出了一種面向L3級及以上自動駕駛汽車的數據記錄系統，建立了自動駕駛數據記錄系統的測試評價方法，從自動駕駛數據記錄系統的關鍵技術研究、產品研發技術和測試評價展開了全鏈條研究。