12.7 · 2026年11月 测试验证与故障注入执行包
精美HTML阅读版 · 保留完整内容 · 主题化辅助图
2026年11月测试验证与故障注入执行包
辅助图:验证方法组合
SIL
→
HIL
→
仿真
→
场景回放
→
封闭场
→
实车
→
故障注入
→
证据包
辅助图:故障注入目标
检测
系统能否发现异常。
降级
系统能否进入安全状态。
证据
结果能否进入Safety Case。
1. 本月定位
11月主题:
测试验证、故障注入、机器人安全测试。
前几个月已经建立了AEB危险分析、架构风险、SOTIF触发条件、AI数据闭环和模型安全审查。11月要回答:
如何证明这些安全需求真的被验证?哪些测试方法适合验证哪些风险?故障注入、场景回放、机器人实机测试如何支撑Safety Case?
2. 本月目标
11月底应能做到:
- 将Safety Goal/FSR/TSR映射到测试方法。
- 区分SIL、HIL、场景回放、封闭场、实车测试。
- 设计AEB故障注入测试矩阵。
- 设计AEB场景测试用例。
- 设计机器人急停、限速、防碰撞、人机近距离交互测试。
- 形成测试证据包目录。
3. 测试方法总览
| 测试方法 | 适用对象 | 优点 | 局限 |
|---|---|---|---|
| SIL | 软件逻辑、算法、状态机 | 成本低、可自动化 | 不能覆盖真实硬件 |
| HIL | 控制器、接口、信号、故障注入 | 接近真实硬件 | 场景真实度有限 |
| 场景回放 | 感知/融合/决策复盘 | 可复现实车事件 | 不一定覆盖执行器 |
| 仿真测试 | 参数扫描、长尾场景 | 覆盖广 | Sim2Real差距 |
| 封闭场测试 | AEB触发、制动、障碍物 | 安全可控 | 场景有限 |
| 公开道路测试 | 真实环境 | 真实性强 | 不可控、成本高 |
| 故障注入 | 诊断和降级 | 验证安全机制 | 需谨慎设计 |
4. AEB测试方法分配
| 安全需求 | 测试方法 | 证据 |
|---|---|---|
| AEB应及时识别碰撞风险 | SIL、回放、封闭场 | 触发时刻、TTC、目标检测记录 |
| AEB不应误触发强制动 | 误触发场景回放、封闭场 | False Brake Rate |
| 制动请求应限幅 | HIL、制动边界测试 | 减速度、jerk、持续时间 |
| 传感器异常应降级 | 故障注入 | DTC、降级状态、HMI提示 |
| AEB不可用应提示驾驶员 | HMI测试 | 提示记录、驾驶员响应 |
5. AEB故障注入矩阵
| Fault ID | 故障注入项 | 预期反应 | 验证证据 |
|---|---|---|---|
| FI-AEB-001 | 摄像头信号丢失 | AEB降级或退出,HMI提示 | DTC、状态日志 |
| FI-AEB-002 | 雷达目标冻结 | 目标冻结检测,抑制强制动 | 冻结检测记录 |
| FI-AEB-003 | 时间戳错位 | 输入无效或降级 | 时间同步诊断 |
| FI-AEB-004 | TTC异常跳变 | 触发合理性检查 | TTC跳变日志 |
| FI-AEB-005 | 制动请求超限 | 监控器抑制或限幅 | 制动请求记录 |
| FI-AEB-006 | HMI通信失败 | 故障记录和替代提示策略 | HMI测试报告 |
6. 场景测试用例
| Test ID | 场景 | 参数 | 通过准则 |
|---|---|---|---|
| TC-AEB-001 | 前车急刹 | 自车100 km/h,前车0.6g制动 | AEB在阈值内触发 |
| TC-AEB-002 | 夜间行人横穿 | 行人1.5 m/s,低照度 | 不漏检,及时预警/制动 |
| TC-AEB-003 | 反光路面 | 无真实障碍 | 不误触发强制动 |
| TC-AEB-004 | cut-in急刹 | cut-in距离15m | TTC判断合理 |
| TC-AEB-005 | 传感器污染 | 摄像头部分遮挡 | 降级或提示 |
7. OOD和长尾场景测试
OOD测试目标:
- 识别超出ODD或模型训练分布的输入。
- 验证系统是否降级、停止、提示或退出。
长尾场景:
- 异形车辆。
- 低矮障碍物。
- 黑衣行人。
- 施工区临时标志。
- 动物。
- 反光/透明物体。
8. 机器人安全测试
8.1 服务机器人避障测试
| Test ID | 场景 | 风险 | 通过准则 |
|---|---|---|---|
| RBT-001 | 儿童突然进入路径 | 撞人 | 及时减速或停止 |
| RBT-002 | 透明玻璃门 | 漏检障碍物 | 识别或保守停止 |
| RBT-003 | 地面反光 | FP误停 | 不频繁误停 |
| RBT-004 | 人流密集 | 规划卡死 | 保守低速或请求人工 |
| RBT-005 | 歧义语音指令 | 错误任务 | 请求确认 |
8.2 机器人运动安全
关注:
- 急停距离。
- 最大速度。
- 最大加速度。
- 人机最小距离。
- 碰撞检测。
- 限力。
- 安全姿态。
9. 测试证据包目录
建议目录:
evidence/
requirements/
test_plan/
test_cases/
test_data/
test_results/
fault_injection/
regression/
issues/
review_records/
release_gate/每份测试证据至少包含:
- 测试目的。
- 对应需求。
- 测试环境。
- 软件/模型/数据版本。
- 输入场景。
- 通过准则。
- 测试结果。
- 问题闭环。
10. 代码视角:测试结果汇总
轻量脚本目标:
- 读取测试结果CSV。
- 统计通过率。
- 标记关键场景失败。
- 输出阻断发布原因。
伪代码:
for case in test_results:
if case["critical"] and case["result"] == "fail":
block_release(case["test_id"])11. 实践任务
- 完成AEB测试方法分配表。
- 完成AEB故障注入矩阵。
- 完成AEB场景测试用例V1。
- 完成机器人安全测试方法清单。
- 完成服务机器人避障测试场景V1。
- 完成测试证据包目录。
12. 常见错误
- 只做正常场景测试,不做故障注入。
- 只看通过率,不看关键场景失败。
- 测试结果没有版本记录。
- 测试用例没有对应安全需求。
- 机器人低速就认为安全。
13. 验收问答
13.1 为什么不能只靠实车测试证明安全?
实车测试成本高、不可控、覆盖有限,无法穷尽长尾和故障场景。必须结合SIL、HIL、仿真、回放、故障注入和封闭场测试。
13.2 故障注入的价值是什么?
验证系统在传感器、通信、输入、执行链路异常时能否检测、降级、提示或进入安全状态。
13.3 机器人急停测试关注什么?
关注触发条件、停止距离、停止时间、人机距离、是否引入二次风险,以及测试证据是否可复现。
14. 本月最终验收标准
11月底应达到:
- 能把安全需求映射到测试方法。
- 能设计AEB故障注入矩阵。
- 能设计关键场景测试用例。
- 能说明机器人安全测试关注点。
- 能组织测试证据包。
一句话验收:
看到一个安全需求,你能说清楚用什么测试验证、怎么判定通过、证据如何归档、失败后如何闭环。
15. 端到端模型测试验证补充
端到端模型测试要从“模块测试”升级为“行为测试”。
15.1 端到端行为测试
应覆盖:
- 输出轨迹安全。
- 急刹和急转行为。
- ODD边界行为。
- 施工区行为。
- cut-in行为。
- 遮挡区域保守性。
- 行人/两轮车近距离交互。
- 接管请求及时性。
15.2 端到端回归测试
每次模型更新都应执行:
- 关键场景回归。
- 历史失败场景回归。
- ODD边界回归。
- 误触发回归。
- 行为平顺性回归。
- Safety Case影响项回归。
15.3 端到端测试证据
测试证据应包含:
- 模型版本。
- 数据版本。
- 场景版本。
- 输出轨迹。
- 控制行为。
- 监控器判断。
- 是否触发fallback。
- 是否满足通过准则。
15.4 新增实践任务
设计端到端行为测试表:
| 场景 | 期望行为 | 禁止行为 | 通过准则 |
|---|---|---|---|
| cut-in急刹 | 平顺减速 | 不减速/急打方向 | TTC和jerk满足要求 |
| 夜间行人 | 提前减速 | 贴近通过 | 最小距离满足要求 |
| 反光路面 | 正常通过 | 无风险急刹 | 不触发强制动 |