SAKURA

摘要：端到端架构正从论文走向量产，但全球自动驾驶安全评价体系的基石——基于场景的开发与测试方法——仍建立在"感知-规划-控制"三模块可分解的假设之上。本文系统分析场景方法在端到端时代面临的五个结构性挑战，论证其仍然有效但不再充分，并提出以大规模航测自然驾驶数据补充场景方法、构建三层方法协同框架的演进路径。 图 1 引子：一个正在发生的范式冲突 2024年，自动驾驶行业发生了一个不太被安全工程师关注、但可能深刻改变他们工作方式的变化： 端到端（End-to-End）架构开始从论文走向量产。 特斯拉FSD V12全面转向端到端神经网络。华为、理想、小鹏、蔚来相继发布或预告了各自的端到端方案。学术界，UniAD拿下CVPR 2023最佳论文，DriveTransformer登上ICLR 2025，DiffusionDrive成为CVPR 2025 Highlight。 但与此同时，全球自动驾驶安全评价体系的基石——基于场景的开发与测试方法——仍然建立在一个核心假设之上：自动驾驶系统可以被分解为感知、规划、控制三个模块，分别识别各模块的干扰因素，进而构建测试场景。 当端到端把这三个模块融为一体，这套方法还能用吗？ 这不是一个学术问题。这是每一个正在做L2+/L3产品的SOTIF工程师、测试工程师和安全架构师，今天就需要面对的实际问题。 图 2 图1 文章全景导航图 一、先理解场景方法的技术内核 在讨论"还有效吗"之前，必须先理解基于场景的方法到底在做什么。很多人对它的理解停留在"就是列一堆测试场景"的层面，这远远不够。 1.1 ISO 34502：场景的三层抽象 ISO 34502:2022是当前基于场景的安全评价领域最重要的国际标准，由日本SAKURA项目主席Satoshi Taniguchi（丰田）主导制定。它定义了一个三层场景抽象模型： 层级 定义 示例 功能场景 用自然语言描述的场景类型 “高速公路上，前车突然变道切入本车车道” 逻辑场景 参数化描述，参数取值为范围 切入角度5°-30°，相对速度10-40 km/h，横向距离1.5-3.5 m 具体场景 参数取值为单一确定值 切入角度15°，相对速度25 km/h，横向距离2.0 m 这个三层模型的价值在于：它把"无穷多的驾驶情况"转化为"有限且可管理的场景空间" 。功能场景用于专家讨论，逻辑场景用于参数化测试设计，具体场景用于可复现的仿真测试。 图 3 图2 ISO 34502 三层场景抽象模型 1.2 SAKURA从物理原理推导场景 上一篇文章详细介绍了SAKURA框架。这里聚焦它最核心的方法论——物理原理方法（Physical Principles Approach）。 SAKURA把动态驾驶任务（DDT）分解为三个过程，然后针对每个过程，基于物理原理系统性地识别干扰因素： 感知过程 → 传感器物理干扰 ├── 摄像头：可见光特性 → 强光、反光、低光照 ├── 毫米波雷达：电磁波特性 → 多径反射、相互干扰 └── LiDAR：红外光特性 → 雨雪吸收、灰尘散射 ...

摘要：2026年3月，JAMA发布了SAKURA自动驾驶安全评价框架第四版（Ver.4.0），一份344页的国家级安全评价技术文档。本文从公司价值、工程师视角、核心方法论到端到端AI时代的前沿挑战，系统解读这份由丰田、本田、日产等日本主流车企联合打造的安全评价体系，并探讨其对中国标准工作的启示。 图 1 2026年3月，SAKURA项目正式结题，日本汽车工业协会（JAMA）发布了SAKURA自动驾驶安全评价框架的第四版——一份长达344页的技术文档。 这不是某个车企的内部报告，而是丰田、本田、日产、马自达、斯巴鲁、铃木、日野、三菱等几乎全部日本主流车企，加上博世日本、大陆日本等Tier 1，在日本经济产业省（METI）主导下，联合打造的国家级安全评价体系。 SAKURA项目主席Satoshi Taniguchi来自丰田，同时也是ISO 34502的项目负责人。该项目也与我们熟知的德国PEGASUS系列项目有密切联动和协作，并支持了第一个L3法规UNECE R157，换句话说，这份文档的方法论直接塑造了国际标准。 图 2 它为什么值得我们花时间读？读完又能用在哪里？ 本文将从公司价值、工程师价值、核心方法论，一直到端到端AI时代的前沿挑战，做一个系统的解读。 一、先搞清楚：SAKURA到底在做什么 SAKURA的全称是Safety Assurance for automated driving using Knowledge-based Universal Risk Assessment。名字很长，核心思路却很简洁： 用物理原理，系统性地穷举自动驾驶需要面对的所有安全场景。 图 3 具体怎么做？框架把动态驾驶任务（DDT）拆解为感知****→决策→****操作三个过程，然后针对每个过程，基于物理原理识别可能的干扰因素： 感知干扰传感器物理机制决定的——雷达的电磁波特性、LiDAR的红外光特性、摄像头的可见光特性，分别会在什么条件下"看不清" 交通干扰道路几何×自车行为×周围车辆行为的系统组合——什么样的交通态势会构成威胁 车辆动力学干扰作用于车辆的物理力——路面状态、风力、轮胎性能如何影响控制 这套方法的精髓在于：不是从事故数据中倒推场景（数据驱动），而是从物理第一性原理正向推导场景（原理驱动）。好处是可以论证场景集合的完备性——你能说清楚为什么这些场景"够了"。 在此基础上，框架还建立了一个四象限模型：按"合理可预见性"和"可预防性"两个维度划分所有场景。核心评价对象是象限A——可预见且可预防的场景，自动驾驶系统在这些场景中不能出事故。 图 4 Ver.4.0相比之前的版本，最大的更新是在之前主要面向结构化道路的基础上，全面纳入了城市行车场景和弱势交通参与者VRU（行人和骑行者），并扩展了一般道路的遮挡场景考量。 图 5 二、这份文档对谁有用？ 整车企业（OEM） 安全论证结构。文档展示了一套完整的、与ISO 21448对齐的安全保障流程——从ODD定义到安全评估的闭环。OEM安全部门可以直接参照搭建自己的安全论证体系。 场景矩阵。框架通过系统组合构建了58类交通干扰场景，为测试场景库建设提供了结构化起点。不用再从零开始拍脑袋。 C&C Driver****模型。这是文档技术含量最高的部分之一——将人类驾驶员的碰撞规避行为量化为具体参数：感知延迟0.75秒、最大减速度0.774G。这些数字直接定义了安全判据的基准线。 自动驾驶科技公司 合规出海的核心参考。Annex G直接对应UN R-157法规的仿真验证要求。如果你的AD系统要出海，这一章是必读。 Pass/Fail****的量化依据。文档给出了Cut-in、Cut-out、Deceleration三类典型场景的可预防性边界——绿色区域表示系统应当能避免碰撞。这是算法测试判据的直接来源。 传感器供应商 Annex E大约100页，是全球最系统的传感器物理原理干扰场景建模文档之一。毫米波雷达5类干扰、LiDAR 3类干扰、摄像头3类干扰，每类都从物理原理出发建立了完整的干扰模型。传感器团队的必读材料。 研究机构 Physical Principle Approach本身就是方法论创新。C&C Driver模型的局限性（仅覆盖制动、仅覆盖安全维度、参数区域局限）是明确的open research question。VRU场景的量化方法尚在发展中。 三、工程师应该怎么读 不同角色的工程师，关注点差异很大。 算法工程师 应该重点理解场景不是随机产生的，而是通过DDT过程分解+物理原理推导出来的。重点看第5章——Cut-in场景如何从数据采集→参数提取→分布估计→概率阈值设定，一步步定义出"合理可预见"的参数范围。以及第6.4节的可预防性边界——这直接决定了你的规划模块应该设置多大的安全裕度。 ...