2025 自主代客泊车系统 SOTIF 测试技术框架与落地路径

随着自动驾驶技术向 “低速封闭场景优先落地” 的路径深化，自主代客泊车（AVP）已成为当前车企、停车场运营商布局的核心场景之一 ——2025 年前后，AVP 系统正逐步从示范项目转向规模化商用，其安全表现直接决定了用户接受度与商业化进程的推进效率。

与高速自动驾驶不同，AVP 场景虽具备 “低速、半封闭” 的特征，但实际运行中仍面临环境动态性（如临时障碍物、人员穿行）、设施兼容性（如不同停车场的标识差异）、系统功能预期偏差（如感知漏检低矮物体、决策逻辑适配不足）等风险；而这类风险恰属于 “预期功能安全（SOTIF）” 范畴 —— 区别于传统 “故障导向” 的功能安全，SOTIF 聚焦 “功能设计预期之外的安全隐患”，是当前 AVP 落地阶段的核心安全痛点。

当前行业对 AVP 的预期功能安全研究已形成初步框架，但测试方法层面仍存在短板：场景覆盖缺乏体系化库源、测试环节（模拟仿真 / 封闭场地 / 开放停车场）的衔接逻辑不清晰、测试评价标准尚未统一。在此背景下，《2025 自主代客泊车系统预期功能安全测试方法白皮书》以 AVP 场景的 SOTIF 需求为核心，拟通过梳理研究现状、明确系统定义与风险、构建场景库、设计全链路测试体系、制定评价准则，填补当前 AVP 预期功能安全测试方法论的空白，为行业提供可落地的测试参考框架。

一、AVP 预期功能安全概述

1.1 研究背景及意义

智能网联车安全包含功能安全、预期功能安全（SOTIF）、信息安全，其中 SOTIF 源于系统性能局限、功能不足、人员误用。近年智驾系统引发的追尾、泊车事故频发，推动了 ISO 21448（SOTIF 标准）的制定 —— 该标准将场景分 “已知安全 / 不安全、未知安全 / 不安全” 四类，目标是扩大安全场景、缩小不安全场景。

AVP 是商用前景突出的自动驾驶系统，其 SOTIF 研究既补充功能安全，也能完善系统设计运行域（ODD）与功能定义，提升安全性与用户满意度。

1.2 研究现状

1.2.1 AVP 技术现状

用户泊车存在 “难、事故多” 痛点（泊车事故占各类事故 44%），自动泊车分四类：

APA（基础）：需驾驶员在车操作，L2 级；

RPA：可车外遥控泊车，解决开门难题；

HPA：能记忆常用路线，自主泊入；

AVP：真自动驾驶，可自主进入陌生停车场，无需人员在车，L4 级。

相比前三种泊车功能，AVP 是真正意义上的自动驾驶，搭载AVP 系统的车辆可以自行进入完全陌生的停车场，不需要先行学习，就能完成所有的泊车动作，并且不需要驾驶员在车上，因此AVP 成为解决最后一公里自动驾驶问题的有效手段。该系统在应用场景中具备相对较高的安全性，被认为是最有商业应用和量产前景的自动驾驶场景之一。

AVP 系统是指用户在停车场指定下客点下车，通过手机APP 下达泊车指令，车辆在接收到指令后可自动行驶到停车场的停车位，不需要用户操纵与监控；用户通过手机+APP 下达取车指令，车辆在接收到指令后可以从停车位自动行驶到指定上客点，图1.3 所示为AVP 功能全流程，

1.2.2 SOTIF 现状

传统功能安全标准（ISO 26262）无法覆盖 “非故障类风险”，ISO 21448 填补此空白。现有研究含 STPA 分析方法、多支柱测试框架等，但 AVP 的 SOTIF 研究多为定性分析，无法量化风险。

1.2.3 AVP-SOTIF 标准现状

国际有 ISO 21448、ISO 23374 等标准，国内有团标 T/CSAE 156-2020、地方标（如上海、深圳），但这些标准未依 ISO 21448 指导 SOTIF 场景设计与测试，存在研究空白。

1.3 研究内容

以 ISO 21448 为指导，研究四部分：

• 风险识别与危害分析：理清 AVP 功能、ODD，用 ISO 21448 和 STPA 方法析 SOTIF；

• 场景库搭建：分析 AVP 场景，建立场景库并设计 SOTIF 场景；

• 测试体系：用 “多支柱法”，开展模拟、封闭场地、开放停车场测试；

• 评价体系：制定 SOTIF 接受准则，建立主客观结合的评价体系。

二、AVP 功能定义及风险识别与危害分析

2.1 AVP 系统定义

2.1.1 功能定义

自动泊车系统按功能复杂程度从低阶到高一般分为全景影像辅助（Around View Monitor，AVM），自动泊车辅助（Auto Parking Assist，APA），融合泊车辅（ Fusion Parking Assist，FPA），遥控泊车辅助（Remote Parking Assist，RPA），记忆泊车辅助（Home-zone Parking Assist，HPA）和自主代客泊车（Automated Valet Parking，AVP）。

自动泊车按复杂度分低阶（L0-L2）、高阶（L3-L4）：

低阶：AVM（仅预警，L0）、APA（辅助泊车，L2）、FPA（融合感知，L2）、RPA（车外遥控）；

高阶：HPA（记忆路线，L3）、AVP（L4）—— 用户离车后，车辆可自主寻位、泊入 / 泊出，还能识别系统状态、执行风险最小化措施（MRM）。

AVP的系统总体工作任务主要包括停泊点指定 、车辆定位 、环境感知 、全局路线规划、车辆动态控制、局部路线规划、车辆轨迹计算等，工作流程如图 2.1所示：

AVP 含三子系统：

• 车端：承载车辆，具备 L2 + 控制能力；

• 场端：含停车场设施，负责发指令、感知等；

• 云端：含用户 / 车辆 / 场端后台，负责数据交互、远程控等。
  

综上，相较于其他泊车辅助系统综上， 相较于其他泊车辅助系统AVP的功能实现方式较为多样，一般可由的功能实现方式较为多样，一般可由车端主导、云车端主导、云/场端主导及车-场-云协同完成，三种子系统在泊车任务中承担的云协同完成，三种子系统在泊车任务中承担的云协同完成，三种子系统在泊车任务中承担的角色如表 2.1所示：

将泊车系统功能切分为不同的子系统，AVP各子系统及用户交互架构如图2.2所示：

2.1.2 AVP 系统设计运行域（ODD）

从静态实体、环境、动态实体、驾驶人员、车辆状态5 个维度，调研 9 家 OEM 车辆，用 “AVP 系统 ODD 覆盖度” 统计特征覆盖情况：覆盖度 < 50% 为 “ODD 外特征”，反之则为 “ODD 内特征”。各维度按一 / 二 / 三层级梳理特征，最终第三层级特征共 147 个（如静态实体第三层级 47 个、环境 17 个等）。

2.1.3 系统架构分析

2.1.3.1 系统传感器布置方案

针对常见方案展开：包含前向摄像头（1 个）、毫米波雷达（前向 1 个 + 角雷达 4 个）、激光雷达（1 个）、驾驶员监控摄像头（1 个）、超声波雷达（前向 4 个 + 后向 4 个 + 左 / 右向各 2 个）、360 环视摄像头（4 个）、惯性导航单元（1 个）、主控制器（1 个），配套布置图。

表 2.3是针对 AVP系统 的传感器 、控制器 、执行器的数量以及功能说明。

2.1.3.2 AVP 系统架构

AVP 系统（车端智能技术支撑）集成多传感器与技术，实现自主巡航、车位搜索等功能，架构分硬件单元（上述各类传感器、控制器）与软件单元（目标检测 / 融合识别、全局路径规划等算法）。不同传感器分工明确：摄像头识路况 / 标识 / 目标，激光雷达测环境距离 / 形状，超声波雷达测近距离；系统依赖自动驾驶、路径规划等技术，接收驾驶员指令后，整合传感器数据做实时决策，完成车辆控制。

2.2 风险识别与危害分析

2.2.1 基于系统理论的过程分析（STPA）概述

STPA 将系统安全视为控制问题：外部干扰、组件失效 / 异常交互未被有效控制，会导致事故。它适用于开发 / 设计 / 运行阶段的控制问题，通过 “分层控制结构” 描述系统组件控制关系，需满足安全约束才保障安全。实施步骤为：定义分析目的→构建控制结构→识别不安全控制行为→识别致因场景。

2.2.2 定义分析目的

STPA 第一步，含四部分：①定义损失（事故）；②识别系统层级危险；③确定系统层级安全约束；④提炼危险（可选）。损失含生命伤害、财产损失等 7 项；

危险是 “特定不利条件下致事故的系统状态 / 条件”，定义 5 类并与损失关联。

2.2.3 建立 AVP 系统分层控制结构

这是反馈控制回路的系统模型，结合 AVP 特点构建结构图，行为执行方为驾驶员、用户端控制平台、AVP 系统、车辆，对应梳理出控制 / 反馈行为：

• 驾驶员：下载停车场高精地图、在激活区启功能选车位；

• AVP 系统：收指令后自检、控制车辆，故障时提示、执行最小风险策略（MRM）；

• 车辆：传感器获环境信息，经控制器做路径规划 / 控制。同时梳理出 8 类整车级关键控制行为（CA）。

2.2.4 识别不安全控制行为（UCA）

STPA 定义 4 类不当控制：

• ①未提供 / 未有效实施控制行为；

• ②提供错误 / 不安全控制行为；

• ③控制行为时机错误；

• ④控制行为停止 / 持续不当。

结合 CA，共识别 43 项 UCA：人机交互涉及 16 项，减速 / 加速 / 转向涉及 27 项（其中减速类 UCA 占比 42%），还选取了典型 UCA 示例。

分析各类型 UCA数量分布， 数量分布， 减速（制动）的 UCA占比最多（ 42%），主要 ），主要 考虑合理的减速（制动）可以避免多数危害发生，各类型 UCA分布如分布如 图 2.7所示，同时选取不类型中典示，同时选取不类型中典UCA作为示例，汇总结果如 作为示例，汇总结果如表 2.10所示：

对AVP系统的功能与系统定义以及风险识别与危害分析进行了梳理，明确了AVP系统的设计运行域及系统架构。基于STPA方法，界定了分析目标，构建了模型，推导出43类不安全控制行为，同时梳理出107个潜在危险事件。

对这些危险事件进行了严重度和可控度评价，识别出92个不可接受的危险事件。

2.2.5 识别致因

基于传感器性能局限和人为误用，确定了41项诱因，并结合它们完成了致因场景的梳理，为测试方法的编写提供了场景搭建方面的支持。 场景驾驶场景是指驾驶员实际的驾驶环境。本次通过实车公开道路采集的方式，开展了驾驶场景采集工作。

三、AVP预期功能安全场景搭建研究

本章节从AVP场景分析着手，依据预期功能安全静态场景七层架构，梳理从驾驶、事故、失效及标准场景获取的、与AVP系统相关的全部场景，形成AVP场景库。

针对场景特征参数缺失的问题，主要依托对驾驶场景的特征参数统计结果或者标准场景参数进行补充。

从已搭建的场景库中抽取致因场景。对于未覆盖的致因场景，可从如AEB等场景中借鉴，完成对致因场景的全覆盖。

3.1 AVP场景分析

3.1.1 场景梳理简述

根据预期功能安全静态场景七层架构梳理场景特征，依次记录道路特征、交通基础设施、交通参与者、气候环境、通信状态、自车状态及车位状态。

参考已发布的AVP相关标准，完善了对各层级的特征要素梳理，共44个，层级对应的特征要素汇总结果见表3.1。

考虑到存在重复场景以及数据采集质量问题，需要进行场景预处理。此操作通过特征聚类的方法，结合各阶段功能特点有针对性地提取典型特征，将特征一致的场景归为同类场景。典型特征汇总见表3.2。

3.1.2 驾驶场景梳理

将AVP功能分解为5个阶段，分别是入场、巡航、泊入车位、泊出车位以及出场阶段，并与场景进行匹配。

入场阶段从车辆到达停车场入口处开始，到通过停车场入口通道结束；巡航阶段从车辆通过停车场入口通道开始，到已识别车位或到达预定车位结束；泊入车位阶段从车辆已识别车位或到达预定车位开始，到泊入完成结束；泊出车位阶段从开启远程召唤或车辆开始泊出开始，到驶离车位进入停车场内通道结束；出场阶段从车辆驶离车位进入停车场内通道开始，到到达召唤点或驶出停车场出口结束。

通过场景采集征集，共获得2816个驾驶场景，五个阶段的占比较为均衡。

考虑到存在重复场景以及数据采集质量问题，需要进行场景预处理。此操作通过特征聚类的方法，结合各阶段功能特点有针对性地提取典型特征，将特征一致的场景归为同类场景。典型特征汇总见表3.2。

基于覆盖原则，将254个驾驶场景缩减为64个，即64类场景。

3.1.3 事故场景梳理

通过全网检索泊车相关事故的图片和视频，鉴于目前各单位AVP产品的开发及测试评价进度，AVP功能的真实事故场景较少，因此本次检索包含了人为驾驶和辅助驾驶下与泊车功能相关的事故场景。

结合功能与事故场景特点，按阶段分为入场阶段、循线搜索车位阶段、泊入车位阶段、泊出车位阶段和出场阶段，部分事故图片见图3.4。

本次共收集事故场景71例，涵盖入场、循线、泊入车位、泊出车位以及出场阶段，各阶段的占比如图3.5所示。

从图3.5中可知，事故场景在循线和泊入车位阶段占比最高，均达到了42%；其次是泊出车位阶段，占比为11%；出场和入场阶段较少，合计占比为5%。

在入场阶段中，存在直道巡航过道闸和弯道巡航过道闸两类事故，均与道闸发生碰撞。

在巡线阶段，存在直道巡航事故、弯道巡航事故、坡道巡航事故及路口巡航事故，碰撞目标包括乘用车、儿童、成年人、二轮车。在巡线阶段中，直道巡航时目标车辆泊出车位引发的事故居多，然而直道巡航时与横穿儿童发生碰撞的事故尤其需要关注。具体事故场景、目标类型及行为分布见表3.4。

➢ 如欲获取完整版PDF文件，可以关注钛祺汽车官网—>智库，也可以添加钛祺小助理微信，回复“报告名称：2025自主代客泊车系统预期功能安全测试方法白皮书 ”。

点击下方，查看近期热门行业研究报告