自动驾驶安全评估框架（第 3 版）学习笔记

本学习笔记基于日本汽车工业协会（JAMA）发布的《自动驾驶安全评估框架（第 3 版）》，系统解析了该框架的核心逻辑、技术架构、场景体系与应用价值。该框架针对 SAE 3-5 级自动驾驶系统，提出以 “物理原理分析法” 为核心的安全论证体系，突破传统长距离实车测试与单纯场景化方法的局限，通过结构化拆解感知、决策、操作三大核心任务的物理原理，构建覆盖交通干扰、感知干扰、车辆运动干扰的全场景安全评估体系。

报告详细阐述了框架的安全原则、评估范围与方法，梳理了场景分类标准与数据库构建逻辑，并结合传感器技术特性与车辆动力学原理，分析了其在自动驾驶安全验证中的实践价值，为行业提供了兼具科学性与实用性的安全评估参考范式。

一、框架定位与核心目标

1.1 背景与定位

自动驾驶技术的规模化落地亟需建立系统化、可解释的安全评估体系。日本汽车工业协会（JAMA）发布的《自动驾驶安全评估框架（第 3 版）》（以下简称 “框架”），是基于行业实践与技术演进形成的最佳实践总结，旨在解决 SAE 3-5 级自动驾驶系统安全论证的结构化、实用性与透明度问题。该框架并非强制标准，而是为车企、技术供应商及监管机构提供统一的技术认知基准，同时为国际法规与标准制定提供参考依据。

1.2 核心目标

• 为自动驾驶系统开发全流程（规划、设计、评估）提供统一指导准则，提升 JAMA 成员企业开发效率与安全性；推动国际间自动驾驶安全评估的技术共识形成；明确 JAMA 在国际自动驾驶项目合作中的技术立场；建立 “可预见、可规避” 的安全评估逻辑，实现从 “概率性安全” 向 “确定性安全” 的转变。

1.3 与前两版对比

前两版框架在自动驾驶发展初期为行业提供了基础评估思路，但随着技术演进暴露出明显局限：第一版聚焦高速公路场景，评估范围狭窄；第二版虽扩展了部分交通场景，但缺乏对感知干扰、车辆运动干扰的系统性覆盖，且场景细化程度不足，难以适配 L3 及以上高等级自动驾驶的复杂需求。

第 3 版的迭代动因主要源于三方面：一是高阶自动驾驶对场景覆盖完整性、技术评估深度的要求提升；二是传感器融合技术、AI 大模型等技术发展为精细化评估提供可能；三是全球自动驾驶法规推进（如 L3 级立法）对安全评估标准化、可解释性的需求增强。

二、安全论证框架核心体系

2.1 现有评估方法的局限性

框架明确指出传统安全评估方法的两大核心问题：

长距离 / 长时间实车测试

• 采用 “黑箱式” 随机故障识别，存在评估范围不充分（无法覆盖所有潜在风险）与紧急场景可解释性不足（难以明确责任归属）的问题，且技术开发效率低下；

数据存储 / 分类场景化方法

• 虽整合正常交通与事故数据构建场景数据库，但仍依赖数据量与行驶时长弥补场景覆盖缺口，且缺乏对车辆误判因素与稳定性影响因素的考量，验证范围存在局限。

2.2 核心创新：物理原理分析法

为突破上述局限，框架提出 “物理原理分析法”，将物理原理融入场景化评估，其核心逻辑在于：

• 自动驾驶系统面临的安全相关场景数量无限，但处理这些场景的物理原理有限；自动驾驶系统将动态驾驶任务（DDT）拆解为感知、决策、操作三大子任务，每个任务均对应特定物理原理；

通过逻辑拆解与结构化场景设计，可全面覆盖给定动态驾驶任务的所有安全相关根本原因。

三大核心任务的物理原理与干扰类型对应关系如下：

2.3 安全论证框架结构

2.3.1 自动驾驶安全原则

遵循联合国世界车辆法规协调论坛（WP29）核心要求：“自动驾驶车辆在其运行域内，不得造成任何可合理预见且可规避的人员伤亡交通事故”。基于 “可预见性” 与 “可规避性” 构建四象限安全应对矩阵：

可预见且可规避场景：零伤亡目标，为场景化安全评估核心；不可预见但可规避场景：作为技术迭代学习基础；可预见但不可规避场景：聚焦损失缓解措施；既不可预见也不可规避场景：依赖法律规范、责任划分等韧性支持体系。

2.3.2 安全评估范围

框架聚焦 “系统安全验证”，限定于临界状态评估（排除准临界状态，避免过度干预引发的交通风险）。评估范围覆盖系统正常运行状态下的安全性能，不包含故障安全响应、网络安全、软件更新等专项领域，形成与其他安全标准的互补。

2.3.3 核心评估方法

框架构建了 “交通干扰 + 感知干扰 + 车辆运动干扰” 的三维评估体系，每个维度均基于物理原理制定量化评估标准：

（1）交通干扰安全评估

交通干扰指周边交通参与者的位置与动作阻碍自车安全行驶的场景，核心评估逻辑是 “自动驾驶系统的碰撞规避性能不低于合格谨慎人类驾驶员”。

合格谨慎人类驾驶员模型：定义感知响应时间 0.75 秒、最大减速度 0.774G、最大减速度到达时间 0.6 秒的基准性能；关键场景评估：针对切入、切出、减速三大核心场景，基于 TTC（碰撞时间）=2.0 秒的纵向风险边界与横向移动阈值，推导不同相对速度与距离组合下的可规避边界；量化标准：通过仿真建模推导不同场景下的安全参数范围，明确无碰撞区域与风险区域的划分阈值。

（2）感知干扰安全评估

感知干扰指传感器系统因内在或外在因素无法正确判断风险的场景，核心要求 “即使遭遇感知干扰，也需在所有交通干扰场景中避免碰撞”。

干扰类型：包括漏检（未检测到存在的物体）与误检（错误检测不存在的物体）两类；评估场景：覆盖道路物体与车道线两类感知目标，结合传感器原理构建四类评估场景（物体漏检、物体误检、车道漏检、车道误检）；参数范围：基于运行域（ODD）定义干扰因素合理范围，包括法律法规限定区域与统计数据支持的概率性区域。

（3）车辆运动干扰安全评估

车辆运动干扰指感知与决策功能正常，但车辆因内在或外在因素无法控制自身动力学状态的场景，核心区分 “可规避” 与 “不可规避” 边界条件。

可规避场景：车辆需在不中断行驶的情况下稳定车辆；不可规避场景：采用 “最大努力” 策略缓解碰撞损失；评估条件：基于道路结构法规与维护标准，定义路面摩擦系数、道路几何形状、自然现象（如侧风）的严苛边界条件，确保评估的实用性与代表性。

三、基于场景的安全保障流程

框架采用 V 型模型构建全生命周期安全保障流程，将安全论证贯穿从项目定义到事件管理的全开发阶段：

3.1 核心流程步骤

项目定义

1. 明确自动驾驶系统运行设计域（ODD），包括道路类型、车速范围、环境条件等核心信息，设计 ODD 边界外的降级策略；

安全分析

1. 基于系统物理特性，系统化梳理 ODD、车辆及周边环境的场景信息，将 ODD 拆解为感知、交通流、车辆三类干扰场景；

安全设计与理念

1. 融入 JAMA 定义的安全目标，确保 ODD 与系统要求的兼容性，避免开发过程中不必要的规格变更；

系统开发

1. 开发包含软硬件组件的实际系统；

子系统与整车检验验证

1. 结合虚拟评估与实车测试，验证系统数学与物理准确性及安全规格满足度；

安全评估

1. 通过检查、文件审核与认证，判定产品可接受性；

发布前最终检查

1. 验证系统安全性可解释性与残余风险可控性，设计发布后事件管理策略；

事件管理

将运行数据反馈至安全论证流程，持续优化场景覆盖与算法性能。

3.2 场景与 ODD 映射关系

通过结构化映射 ODD 系统与场景系统，实现基于 ODD 范围的评估场景精准选择。ODD 采用 6 层外部视角（需用户理解），场景系统采用三类内部视角（需科学全面），确保场景选择的针对性与完整性。

四、场景结构体系解析

框架构建了覆盖交通干扰、感知干扰、车辆运动干扰的全维度场景体系，每个场景均基于物理原理与实际交通数据构建，具备可重复性与可量化性。

4.1 交通干扰场景

交通干扰场景分为普通车辆场景、摩托车专属场景与弱势道路使用者场景（后者将在后续版本纳入），核心构成要素包括道路几何形状、自车行为、周边交通参与者位置与运动：

（1）道路几何形状分类

涵盖非交叉道路、汇入区、分叉区、交叉路口四类基础形态，高速公路进一步限定为主路、汇入区、分叉区三类（不含交叉路口），并计划新增环岛、停车场、有轨电车等专项场景附录。

（2）车辆行为分类

分为直行（车道保持）、变道、转弯三类，与道路几何形状组合形成多样化场景基础。

（3）周边车辆位置与运动分类

定义自车周围 11 个关键位置，周边车辆行为分为直行（加速 / 减速）、变道（切入 / 切出）、摆动、转弯四类，聚焦可能阻碍自车行为的组合场景，形成 58 种场景组合矩阵，其中高速公路场景包含 24 种实际交通流中可实现的组合。

4.2 感知干扰场景

感知干扰场景包括感知（传感器）干扰、盲区场景与通信干扰场景，核心围绕毫米波雷达、激光雷达、摄像头三类核心传感器构建：

（1）感知干扰核心场景

基于 “车辆 / 传感器 - 周边环境 - 感知目标” 的三维干扰因素体系，结合传感器物理原理，提取代表性场景。干扰因素包括：

车辆 / 传感器因素：车辆姿态变化、传感器装配偏差、传感器表面附着异物等；周边环境因素：道路表面状态、路边构筑物、空间环境（如雨、雾、风）等；感知目标因素：车道线、交通标志、障碍物、移动目标等的特性差异。

（2）盲区场景

分为周边车辆遮挡、道路结构遮挡、道路形状遮挡三类，定义 16 个新增盲区位置，结合道路曲率等动态因素，形成 42 种可实现的场景组合，覆盖曲线行驶等动态盲区场景。

（3）通信干扰场景

基于传感器、环境、发射器三类连通性特征，涵盖数字地图数据偏差、V2X 通信故障、信号干扰等场景，分析静态实体、空间实体、动态实体对通信与定位信号的影响。

4.3 车辆运动干扰场景

车辆运动干扰场景分为车身输入与轮胎输入两类，核心评估车辆动力学稳定性：

（1）车身输入分类

包括道路形状（单侧坡度、纵向坡度、弯道曲率）与自然现象（侧风、顺风、逆风），分析其对车辆横向、纵向及横摆运动的影响。

（2）轮胎输入分类

涵盖道路表面条件（摩擦系数变化、路面不平）与轮胎状态（爆胎、磨损），重点评估轮胎附着力变化与突发故障对车辆控制的影响。

（3）可预见边界条件

明确普通道路与高速公路的可规避 / 不可规避边界，如高速公路路面摩擦系数≥0.3、侧向风速 < 10m/s 等，制造商需将超出边界的场景定义为 ODD 之外。

五、场景数据库构建

5.1 三层提取逻辑

框架采用 “功能场景 - 逻辑场景 - 具体场景” 的三层提取架构：

功能场景：基于感知、决策、操作三大任务，定性定义场景结构；逻辑场景：为功能场景分配量化参数范围，基于交通流数据与统计分布确定参数边界；具体场景：提取区分安全与不安全状态的临界条件，形成可直接用于评估的个体测试条件。

5.2 数据库核心特性

参数与格式：标准化定义道路几何、车辆运动、环境条件等核心参数，支持多仿真环境适配；架构设计：通过测试数据生成器与转换器，实现场景文件在不同仿真平台与实车测试中的复用；接口规范：支持交通监控数据、事故数据库、自然驾驶数据等多源数据的输入与格式转换，具备场景检索、生成与导出功能。

5.3 完整性验证

通过德国深度事故研究（GIDAS）、美国国家公路交通安全管理局（NHTSA）、日本交通事故综合分析中心（ITARDA）等多源事故数据，验证场景数据库的覆盖完整性，确保核心风险场景无遗漏。

六、关键技术附录解析

框架包含 7 个专项附录，深入阐述核心技术细节与验证方法：

6.1 道路几何附录

详细定义道路几何组成要素与基本参数，支持基于实际环境数据与实景地图数据的参数更新，为场景构建提供标准化几何基础。

6.2 摩托车场景附录

针对摩托车在同车道窄空间行驶等专属场景，定义周边摩托车位置与运动分类，构建 56 种场景组合矩阵，筛选 18 种实际交通中可实现的核心场景。

6.3 复杂交通干扰场景附录

针对多交通参与者的复杂交互场景，提出 “避让动作场景” 理念，拆解避让触发条件、避让空间、切入车辆、道路环境四大核心要素，建立分步评估流程。

6.4 感知干扰原理模型附录

深入分析毫米波雷达、激光雷达、摄像头的感知干扰原理，构建原理模型与评估场景推导流程，明确每种干扰的物理机制与量化参数。

6.5 感知干扰虚拟环境验证附录

制定虚拟环境验证的通用要求与干扰复现要求，明确可重复性验证方法，为虚拟测试提供标准化依据。

6.6 联合国第 157 号法规相关仿真工具验证附录

规范仿真工具的验证方法、流程与参数范围，定义自动驾驶系统安全性能评估的仿真测试标准与合格判定准则。

七、框架价值与应用展望

7.1 核心价值

突破传统评估局限：以物理原理为基础，实现从 “经验驱动” 到 “原理驱动” 的评估转型，提升安全论证的科学性与全面性；标准化场景体系：构建结构化、可量化的场景库，解决场景覆盖不充分与重复验证的问题；兼顾实用性与前瞻性：既基于现有交通数据与技术水平制定可落地的评估方法，又为高阶自动驾驶技术预留扩展空间；促进国际技术协同：为全球自动驾驶安全评估提供统一的技术语言与基准框架，助力国际法规协调。

7.2 应用展望

车企开发应用：可作为自动驾驶系统开发全流程的安全验证指南，优化测试效率与覆盖质量；技术供应商参考：为传感器、算法、仿真工具等供应商提供明确的性能指标与测试标准；监管机构借鉴：为自动驾驶安全法规制定与认证提供技术支撑，提升监管的科学性与可操作性；行业生态构建：推动形成 “场景库共享 + 工具链兼容 + 评估标准统一” 的行业生态，加速自动驾驶技术规模化落地。

7.3 局限性与未来方向

框架目前聚焦日本道路环境与交通规则，部分场景参数需结合不同国家地区的道路标准与交通特性进行适配；弱势道路使用者场景的细化与国际法规的深度融合将是未来重要完善方向。随着自动驾驶技术的演进，场景库的动态更新与评估方法的迭代优化将持续提升框架的适用性与领先性。

《自动驾驶安全评估框架（第 3 版）》通过 “物理原理分析法” 构建了系统化、可解释的自动驾驶安全评估体系，其核心优势在于将无限场景转化为有限物理原理的结构化拆解，实现安全评估的全面性与高效性平衡。框架涵盖的交通干扰、感知干扰、车辆运动干扰三类场景体系，以及标准化的场景数据库构建方法，为自动驾驶安全验证提供了科学可行的实践路径。该框架不仅为日本汽车行业提供统一的安全评估基准，也为全球自动驾驶安全技术发展与法规制定提供了重要参考，对推动自动驾驶技术安全、规模化落地具有重要意义。

获取原文请联系小编