在模拟中测试黑盒感知控制系统面临两个困难。首先，模拟中的感知输入缺乏现实世界传感器输入的保真度。其次，对于合理准确的感知系统，遇到罕见的故障轨迹可能需要进行许多模拟。本文结合了感知误差模型 - 基于传感器的检测系统的替代模型与状态依赖性自适应重要性抽样。这使我们能够有效地评估模拟中现实世界感知控制系统的罕见故障概率。我们使用配备RGB障碍物检测器的自动制动系统进行的实验表明，我们的方法可以使用廉价的模拟来计算准确的故障概率。此外，我们展示了安全指标的选择如何影响能够可靠地采样高概率失败的学习建议分布的过程。

目前已在表征包含深层的学习模式进行部署到任何安全关键方案之前系统的错误行为越来越感兴趣。然而，表征此行为，通常需要模型，可以对复杂的现实世界的任务极其耗费计算的大规模测试。例如，任务涉及计算密集型对象检测器作为其组成部分之一。在这项工作中，我们提出了一个方法，使使用简化的低高保真模拟器高效的大规模测试和不执行昂贵的深度学习模型的计算成本。我们的方法依赖于设计测试对应的任务的计算密集型部件的高效替代模型。我们通过培训PIXOR和CenterPoint的激光雷达探测器有效的替代模型，同时证明了模拟的精度保持评估在卡拉模拟器减少计算费用的自动驾驶任务的表现证明了我们方法的有效性。

自动驾驶汽车和卡车，自动车辆（AVS）不应被监管机构和公众接受，直到它们对安全性和可靠性有更高的信心 - 这可以通过测试最实际和令人信服地实现。但是，现有的测试方法不足以检查AV控制器的端到端行为，涉及与诸如行人和人机车辆等多个独立代理的交互的复杂，现实世界的角落案件。在街道和高速公路上的测试驾驶AVS无法捕获许多罕见的事件时，现有的基于仿真的测试方法主要关注简单的情景，并且不适合需要复杂的周围环境的复杂驾驶情况。为了解决这些限制，我们提出了一种新的模糊测试技术，称为AutoFuzz，可以利用广泛使用的AV模拟器的API语法。生成语义和时间有效的复杂驾驶场景（场景序列）。 AutoFuzz由API语法的受限神经网络（NN）进化搜索引导，以生成寻求寻找独特流量违规的方案。评估我们的原型基于最先进的学习的控制器，两个基于规则的控制器和一个工业级控制器，显示了高保真仿真环境中高效地找到了数百个流量违规。此外，通过AutoFuzz发现的基于学习的控制器进行了微调的控制器，成功减少了新版本的AV控制器软件中发现的流量违规。

自动化驾驶系统（ADSS）近年来迅速进展。为确保这些系统的安全性和可靠性，在未来的群心部署之前正在进行广泛的测试。测试道路上的系统是最接近真实世界和理想的方法，但它非常昂贵。此外，使用此类现实世界测试覆盖稀有角案件是不可行的。因此，一种流行的替代方案是在一些设计精心设计的具有挑战性场景中评估广告的性能，A.k.a.基于场景的测试。高保真模拟器已广泛用于此设置中，以最大限度地提高测试的灵活性和便利性 - 如果发生的情况。虽然已经提出了许多作品，但为测试特定系统提供了各种框架/方法，但这些作品之间的比较和连接仍然缺失。为了弥合这一差距，在这项工作中，我们在高保真仿真中提供了基于场景的测试的通用制定，并对现有工作进行了文献综述。我们进一步比较了它们并呈现开放挑战以及潜在的未来研究方向。

The last decade witnessed increasingly rapid progress in self-driving vehicle technology, mainly backed up by advances in the area of deep learning and artificial intelligence. The objective of this paper is to survey the current state-of-the-art on deep learning technologies used in autonomous driving. We start by presenting AI-based self-driving architectures, convolutional and recurrent neural networks, as well as the deep reinforcement learning paradigm. These methodologies form a base for the surveyed driving scene perception, path planning, behavior arbitration and motion control algorithms. We investigate both the modular perception-planning-action pipeline, where each module is built using deep learning methods, as well as End2End systems, which directly map sensory information to steering commands. Additionally, we tackle current challenges encountered in designing AI architectures for autonomous driving, such as their safety, training data sources and computational hardware. The comparison presented in this survey helps to gain insight into the strengths and limitations of deep learning and AI approaches for autonomous driving and assist with design choices. 1

背景信息：在过去几年中，机器学习（ML）一直是许多创新的核心。然而，包括在所谓的“安全关键”系统中，例如汽车或航空的系统已经被证明是非常具有挑战性的，因为ML的范式转变为ML带来完全改变传统认证方法。目的：本文旨在阐明与ML为基础的安全关键系统认证有关的挑战，以及文献中提出的解决方案，以解决它们，回答问题的问题如何证明基于机器学习的安全关键系统？'方法：我们开展2015年至2020年至2020年之间发布的研究论文的系统文献综述（SLR），涵盖了与ML系统认证有关的主题。总共确定了217篇论文涵盖了主题，被认为是ML认证的主要支柱：鲁棒性，不确定性，解释性，验证，安全强化学习和直接认证。我们分析了每个子场的主要趋势和问题，并提取了提取的论文的总结。结果：单反结果突出了社区对该主题的热情，以及在数据集和模型类型方面缺乏多样性。它还强调需要进一步发展学术界和行业之间的联系，以加深域名研究。最后，它还说明了必须在上面提到的主要支柱之间建立连接的必要性，这些主要柱主要主要研究。结论：我们强调了目前部署的努力，以实现ML基于ML的软件系统，并讨论了一些未来的研究方向。

稀有事件仿真技术，如重要采样（是），构成强大的工具，以加速罕见灾难性事件的具有挑战性的估算。这些技术经常利用底层系统结构的知识和分析，以赋予赋予理想的效率保证。然而，黑匣子问题，特别是来自最近AI驱动的物理系统的安全关键型应用的问题，可以从根本上破坏他们的效率担保，并在没有诊断地检测的情况下导致危险的估计。我们提出了一个框架，称为深度概率加速评估（Deep-Prae）来设计统计保障是通过转换多功能的黑匣子采样器，但可能缺乏保证，以便我们称之为放松的效率证明，允许准确估计界限。论罕见事件概率。我们介绍了深度PRAE理论，将主导点概念与稀有事件集合通过深度神经网络分类器进行了学习，并证明了其在数值例子中的有效性，包括智能驾驶算法的安全测试。

与人类驾驶相比，自动驾驶汽车有可能降低事故率。此外，这是自动车辆在过去几年中快速发展的动力。在高级汽车工程师（SAE）自动化级别中，车辆和乘客的安全责任从驾驶员转移到自动化系统，因此对这种系统进行彻底验证至关重要。最近，学术界和行业将基于方案的评估作为道路测试的互补方法，减少了所需的整体测试工作。在将系统的缺陷部署在公共道路上之前，必须确定系统的缺陷，因为没有安全驱动程序可以保证这种系统的可靠性。本文提出了基于强化学习（RL）基于场景的伪造方法，以在人行横道交通状况中搜索高风险场景。当正在测试的系统（SUT）不满足要求时，我们将场景定义为风险。我们的RL方法的奖励功能是基于英特尔的责任敏感安全性（RSS），欧几里得距离以及与潜在碰撞的距离。

为了实现安全的自动驾驶汽车（AV）操作，至关重要的是，AV的障碍检测模块可以可靠地检测出构成安全威胁的障碍物（即是安全至关重要的）。因此，希望对感知系统的评估指标捕获对象的安全性 - 临界性。不幸的是，现有的感知评估指标倾向于对物体做出强烈的假设，而忽略了代理之间的动态相互作用，因此不能准确地捕获现实中的安全风险。为了解决这些缺点，我们通过考虑自我车辆和现场障碍之间的闭环动态相互作用来引入互动障碍感知障碍检测评估度量指标。通过从最佳控制理论借用现有理论，即汉密尔顿 - 雅各比的可达性，我们提出了一种可构造``安全区域''的计算障碍方法：一个国家空间中的一个区域，该区域定义了安全 - 关键障碍为了定义安全目的的位置指标。我们提出的安全区已在数学上完成，并且可以轻松计算以反映各种安全要求。使用Nuscenes检测挑战排行榜的现成检测算法，我们证明我们的方法是计算轻量级，并且可以更好地捕获与基线方法更好地捕获关键的安全感知错误。

自动化驾驶系统（广告）开辟了汽车行业的新领域，为未来的运输提供了更高的效率和舒适体验的新可能性。然而，在恶劣天气条件下的自主驾驶已经存在，使自动车辆（AVS）长时间保持自主车辆（AVS）或更高的自主权。本文评估了天气在分析和统计方式中为广告传感器带来的影响和挑战，并对恶劣天气条件进行了解决方案。彻底报道了关于对每种天气的感知增强的最先进技术。外部辅助解决方案如V2X技术，当前可用的数据集，模拟器和天气腔室的实验设施中的天气条件覆盖范围明显。通过指出各种主要天气问题，自主驾驶场目前正在面临，近年来审查硬件和计算机科学解决方案，这项调查概述了在不利的天气驾驶条件方面的障碍和方向的障碍和方向。

Autonomous driving confronts great challenges in complex traffic scenarios, where the risk of Safety of the Intended Functionality (SOTIF) can be triggered by the dynamic operational environment and system insufficiencies. The SOTIF risk is reflected not only intuitively in the collision risk with objects outside the autonomous vehicles (AVs), but also inherently in the performance limitation risk of the implemented algorithms themselves. How to minimize the SOTIF risk for autonomous driving is currently a critical, difficult, and unresolved issue. Therefore, this paper proposes the "Self-Surveillance and Self-Adaption System" as a systematic approach to online minimize the SOTIF risk, which aims to provide a systematic solution for monitoring, quantification, and mitigation of inherent and external risks. The core of this system is the risk monitoring of the implemented artificial intelligence algorithms within the AV. As a demonstration of the Self-Surveillance and Self-Adaption System, the risk monitoring of the perception algorithm, i.e., YOLOv5 is highlighted. Moreover, the inherent perception algorithm risk and external collision risk are jointly quantified via SOTIF entropy, which is then propagated downstream to the decision-making module and mitigated. Finally, several challenging scenarios are demonstrated, and the Hardware-in-the-Loop experiments are conducted to verify the efficiency and effectiveness of the system. The results demonstrate that the Self-Surveillance and Self-Adaption System enables dependable online monitoring, quantification, and mitigation of SOTIF risk in real-time critical traffic environments.

自主系统（AS）越来越多地提出或在安全关键（SC）应用中使用，例如公路车辆。许多这样的系统利用复杂的传感器套件和处理来提供场景理解，从而使“决策”（例如路径计划）提供了信息。传感器处理通常利用机器学习（ML），并且必须在具有挑战性的环境中工作，此外，ML算法具有已知的局限性，例如，对象分类中错误的负面因素或假阳性的可能性。为常规SC系统开发的完善的安全分析方法与AS使用的AS，ML或传感系统没有很好的匹配。本文提出了适应良好的安全分析方法的适应，以解决AS的传感系统的细节，包括解决环境效应和ML的潜在故障模式，并为选择特定的指南或提示集提供了理由。安全分析。它继续展示了如何使用分析结果来告知AS系统的设计和验证，并通过对移动机器人进行部分分析来说明新方法。本文中的插图主要基于光学传感，但是本文讨论了该方法对其他感应方式的适用性及其在更广泛的安全过程中的作用，以解决AS的整体功能

在现代自治堆栈中，预测模块对于在其他移动代理的存在下计划动作至关重要。但是，预测模块的失败会误导下游规划师做出不安全的决定。确实，轨迹预测任务固有的高度不确定性可确保这种错误预测经常发生。由于需要提高自动驾驶汽车的安全而不受损害其性能的需求，我们开发了一个概率运行时监视器，该监视器检测到何时发生“有害”预测故障，即与任务相关的失败检测器。我们通过将轨迹预测错误传播到计划成本来推理其对AV的影响来实现这一目标。此外，我们的检测器还配备了假阳性和假阴性速率的性能度量，并允许进行无数据校准。在我们的实验中，我们将检测器与其他各种检测器进行了比较，发现我们的检测器在接收器操作员特征曲线下具有最高的面积。

在公共道路上大规模的自动车辆部署有可能大大改变当今社会的运输方式。尽管这种追求是在几十年前开始的，但仍有公开挑战可靠地确保此类车辆在开放环境中安全运行。尽管功能安全性是一个完善的概念，但测量车辆行为安全的问题仍然需要研究。客观和计算分析交通冲突的一种方法是开发和利用所谓的关键指标。在与自动驾驶有关的各种应用中，当代方法利用了关键指标的潜力，例如用于评估动态风险或过滤大型数据集以构建方案目录。作为系统地选择适当的批判性指标的先决条件，我们在自动驾驶的背景下广泛回顾了批判性指标，其属性及其应用的现状。基于这篇综述，我们提出了一种适合性分析，作为一种有条不紊的工具，可以由从业者使用。然后，可以利用提出的方法和最新审查的状态来选择涵盖应用程序要求的合理的测量工具，如分析的示例性执行所证明。最终，高效，有效且可靠的衡量自动化车辆安全性能是证明其可信赖性的关键要求。

我们的运输世界正在迅速转变，自治水平不断提高。但是，为了获得全自动车辆的许可以供广泛的公众使用，有必要确保整个系统的安全性，这仍然是一个挑战。这尤其适用于基于AI的感知系统，这些系统必须处理各种环境条件和道路使用者，与此同时，应强调地检测所有相关的对象（即不应发生检测失误）。然而，有限的培训和验证数据可以证明无故障操作几乎无法实现，因为感知系统可能会暴露于公共道路上的新事物或未知的物体或条件。因此，需要针对基于AI的感知系统的新安全方法。因此，我们在本文中提出了一种新型的层次监视方法，能够从主要感知系统验证对象列表，可以可靠地检测检测失误，同时具有非常低的错误警报率。

关键应用程序中机器学习（ML）组件的集成引入了软件认证和验证的新挑战。正在开发新的安全标准和技术准则，以支持基于ML的系统的安全性，例如ISO 21448 SOTIF用于汽车域名，并保证机器学习用于自主系统（AMLAS）框架。 SOTIF和AMLA提供了高级指导，但对于每个特定情况，必须将细节凿出来。我们启动了一个研究项目，目的是证明开放汽车系统中ML组件的完整安全案例。本文报告说，Smikk的安全保证合作是由行业级别的行业合作的，这是一个基于ML的行人自动紧急制动示威者，在行业级模拟器中运行。我们演示了AMLA在伪装上的应用，以在简约的操作设计域中，即，我们为其基于ML的集成组件共享一个完整的安全案例。最后，我们报告了经验教训，并在开源许可下为研究界重新使用的开源许可提供了傻笑和安全案例。

这项工作研究了以下假设：与人类驾驶状态的部分可观察到的马尔可夫决策过程（POMDP）计划可以显着提高自动高速公路驾驶的安全性和效率。我们在模拟场景中评估了这一假设，即自动驾驶汽车必须在快速连续中安全执行三个车道变化。通过观测扩大（POMCPOW）算法，通过部分可观察到的蒙特卡洛计划获得了近似POMDP溶液。这种方法的表现优于过度自信和保守的MDP基准，匹配或匹配效果优于QMDP。相对于MDP基准，POMCPOW通常将不安全情况的速率降低了一半或将成功率提高50％。

在未来几十年中，自动驾驶将普遍存在。闲置在交叉点上提高自动驾驶的安全性，并通过改善交叉点的交通吞吐量来提高效率。在闲置时，路边基础设施通过卸载从车辆到路边基础设施的知觉和计划，在交叉路口远程驾驶自动驾驶汽车。为了实现这一目标，iDriving必须能够以全帧速率以较少100毫秒的尾声处理大量的传感器数据，而无需牺牲准确性。我们描述了算法和优化，使其能够使用准确且轻巧的感知组件实现此目标，该组件是从重叠传感器中得出的复合视图的原因，以及一个共同计划多个车辆的轨迹的计划者。在我们的评估中，闲置始终确保车辆的安全通过，而自动驾驶只能有27％的时间。与其他方法相比，闲置的等待时间还要低5倍，因为它可以实现无流量的交叉点。

实现安全和强大的自主权是通往更广泛采用自动驾驶汽车技术的道路的关键瓶颈。这激发了超越外在指标，例如脱离接触之间的里程，并呼吁通过设计体现安全的方法。在本文中，我们解决了这一挑战的某些方面，重点是运动计划和预测问题。我们通过描述在自动驾驶堆栈中解决选定的子问题所采取的新方法的描述，在介绍五个之内采用的设计理念的过程中。这包括安全的设计计划，可解释以及可验证的预测以及对感知错误的建模，以在现实自主系统的测试管道中实现有效的SIM到现实和真实的SIM转移。

安全保证是自动驾驶（AD）系统发展和社会接受（AD）系统的核心问题。感知是广告的关键方面，严重依赖机器学习（ML）。尽管基于ML的组件的安全性有已知的挑战，但最近已经提出针对解决这些组件的单位安全案例的建议。不幸的是，AD安全案例在系统级别上表示安全要求，这些努力缺少将安全性要求与单位级别的组件性能要求整合在一起所需的关键链接参数。在本文中，我们提出了感知的集成安全案例（ISCAP），这是针对专门针对感知组件量身定制的这种链接安全参数的通用模板。该模板采用演绎且形式上的方法来定义级别之间强大的可追溯性。我们通过详细的案例研究证明了ISCAP的适用性，并讨论了其作为支持感知成分增量发展的工具的使用。