自動(dòng)駕駛系統(tǒng)的安全性不僅要注重傳統(tǒng)的功能安全性，還要考慮行為安全性。作為駕駛策略的一部分，自動(dòng)駕駛系統(tǒng)需要學(xué)習(xí)與非自動(dòng)車輛和行人交互。它們需要學(xué)習(xí)預(yù)測(cè)其他參與方的行為，還需要預(yù)測(cè)危險(xiǎn)和安全關(guān)鍵的情況，即便是邊緣情況也不例外。自動(dòng)駕駛系統(tǒng)需要防范周圍動(dòng)態(tài)環(huán)境可能帶來的風(fēng)險(xiǎn)，即使是在硬件或軟件無故障的情況下。汽車安全專家正在開發(fā)ISO/PAS 21448標(biāo)準(zhǔn)，即預(yù)期功能安全(SOTIF)，用于涵蓋ISO 26262未涉及的場(chǎng)景。對(duì)于某些場(chǎng)景來說，為開發(fā)ISO/PAS 21448 SOTIF所進(jìn)行的大量工作并未有效覆蓋邊緣情況以及不安全的未知條件。對(duì)于自動(dòng)駕駛市場(chǎng)的其他場(chǎng)景來說，這項(xiàng)標(biāo)準(zhǔn)可能會(huì)限制或扼殺創(chuàng)新，特別是它關(guān)系到自動(dòng)駕駛領(lǐng)域機(jī)器學(xué)習(xí)的使用。

為了實(shí)現(xiàn)安全無憂的自動(dòng)駕駛，系統(tǒng)需要具備以下特性：

·可靠 – 超低故障率（汽車級(jí)品質(zhì)）

·安全 – 強(qiáng)大的故障檢測(cè)能力(ISO 26262 ASIL D)

·可用 – 正確操作準(zhǔn)備就緒（能夠區(qū)分安全相關(guān)和非安全相關(guān)的故障）

·容錯(cuò) – 即便在發(fā)生故障時(shí)，也可以繼續(xù)操作（降低性能/功能，僅可繼續(xù)操作重要功能）

·可信賴 – 故障預(yù)測(cè)功能能夠提前檢測(cè)故障（離線測(cè)試）

圖5 安全概念的演變，行業(yè)方法

SAE自動(dòng)駕駛分類較低級(jí)別中的大部分輔助功能都是“故障防護(hù)”系統(tǒng)，這意味著一旦發(fā)生故障，系統(tǒng)將會(huì)進(jìn)入安全模式。在L0、L1自動(dòng)駕駛功能的情況下，系統(tǒng)依靠駕駛員對(duì)車輛繼續(xù)進(jìn)行安全操作。在當(dāng)前的L2和L3系統(tǒng)中，我們期望系統(tǒng)能夠具備更高級(jí)的可用性，能夠識(shí)別故障并以降低性能的模式繼續(xù)運(yùn)行，僅在部分情況下依賴駕駛員。預(yù)計(jì)L4和L5系統(tǒng)將可以在發(fā)生故障后繼續(xù)運(yùn)行，這意味著當(dāng)系統(tǒng)檢測(cè)到故障后，系統(tǒng)內(nèi)置足夠的冗余來容錯(cuò)，以便繼續(xù)全面運(yùn)行足夠長(zhǎng)的時(shí)間，直到系統(tǒng)將車輛恢復(fù)到安全狀態(tài)。

當(dāng)出現(xiàn)故障時(shí)，切換到人類駕駛員是L0至L3系統(tǒng)的一個(gè)關(guān)鍵部分。要實(shí)現(xiàn)從自動(dòng)駕駛系統(tǒng)到人類駕駛員的切換，需要進(jìn)行大量研究工作。Eriksson和Stanton的研究發(fā)現(xiàn)，在非緊急情況下，完成切換所需時(shí)間從2至26秒不等，如果駕駛員收到切換請(qǐng)求時(shí)正在進(jìn)行其他任務(wù)，所需的時(shí)間會(huì)更長(zhǎng)。請(qǐng)記住，車輛在高速公路上自動(dòng)駕駛時(shí)，高速行駛下的速度超過每秒25米。在最快的反應(yīng)時(shí)間下，車輛需要行駛半個(gè)足球場(chǎng)的路程才能完成切換，在最慢的反應(yīng)時(shí)間下，車輛則需要行駛將近6個(gè)足球場(chǎng)的路程才能完成切換。在緊急情況下，駕駛員的反應(yīng)會(huì)比較慢，并且人類駕駛員可能會(huì)做出錯(cuò)誤的決策，造成交通事故 (Eriksson  & Stanton, 2017)。基于這種情況，恩智浦認(rèn)為實(shí)現(xiàn)安全無憂出行需要L2甚至更高級(jí)的自動(dòng)駕駛系統(tǒng)，才能使其在發(fā)生故障后繼續(xù)運(yùn)行，至少能夠安全停車。

圖6 安全概念的演變，恩智浦方法

當(dāng)爭(zhēng)論被表述為安全的自動(dòng)駕駛系統(tǒng)要始終遵守交通規(guī)則時(shí)，我們?cè)诂F(xiàn)實(shí)世界中卻會(huì)觀察到與嚴(yán)格的規(guī)則相應(yīng)、有時(shí)候甚至是相反的某些場(chǎng)景，存在社會(huì)規(guī)范可以使大多數(shù)復(fù)雜的系統(tǒng)進(jìn)行更高效的運(yùn)作。這些社會(huì)規(guī)范允許在某些情況下違反交通規(guī)則，比如在即將駛?cè)胲嚨罆r(shí)，繞過拋錨車輛或被攔下的車輛。有時(shí)，違反交通規(guī)則并不是故意為之，而是避免交通事故的必要措施。自動(dòng)駕駛系統(tǒng)需要配有決策矩陣，從而選擇可接受的違反交通規(guī)則的方式，以實(shí)現(xiàn)更安全、高效的駕駛。

圖7 （有時(shí)）需要遵守的規(guī)則

自動(dòng)駕駛汽車需要確保采取的任何措施都不會(huì)危及生命安全。這給安全工程師驗(yàn)證車輛安全性帶來了很大的壓力，然而并沒有令人滿意的方法來驗(yàn)證自動(dòng)駕駛汽車永遠(yuǎn)安全運(yùn)行。

自動(dòng)駕駛系統(tǒng)架構(gòu)分為兩個(gè)功能域：1) 建模域，對(duì)環(huán)境進(jìn)行監(jiān)控和建模；2) 規(guī)劃域，用于制定行為策略和規(guī)劃，并進(jìn)行路徑選擇。系統(tǒng)分為兩個(gè)功能域，每個(gè)功能域由多種設(shè)備組成，使其具有更優(yōu)的可擴(kuò)展性和異質(zhì)性，每個(gè)功能域還可根據(jù)特定的應(yīng)用要求提供高效的計(jì)算架構(gòu)匹配。如果不了解系統(tǒng)的決策機(jī)制，那就無法保證其安全性。這就是大型端到端系統(tǒng)處理感知和規(guī)劃時(shí)所涉及的問題。配有接收傳感器輸入和提供驅(qū)動(dòng)指令輸出的封閉式黑盒方法很難進(jìn)行驗(yàn)證和調(diào)試，而且也很難擴(kuò)展到新的算法、傳感器解決方案和計(jì)算。

相對(duì)于端到端解決方案，建模和規(guī)劃分區(qū)架構(gòu)更有利于實(shí)現(xiàn)系統(tǒng)的安全性。

圖8 高水平分區(qū)自動(dòng)駕駛系統(tǒng)

世界上大多數(shù)汽車制造商都在研發(fā)自動(dòng)駕駛技術(shù)，到2050年，自動(dòng)駕駛市場(chǎng)估值將達(dá)到7萬億美元[8]。安全性和防護(hù)性是輔助駕駛和自動(dòng)駕駛系統(tǒng)成功為消費(fèi)者部署并采用的基石。恩智浦認(rèn)為ISO 26262和ISO/PAS 21448(SOTIF)在定義安全自動(dòng)駕駛系統(tǒng)方面互為補(bǔ)充且不可或缺。ISO 26262可解決因電子系統(tǒng)故障造成的安全風(fēng)險(xiǎn)，ISO/PAS 21448 SOTIF為設(shè)計(jì)驗(yàn)證和確認(rèn)任務(wù)提供指導(dǎo)，以檢測(cè)因定義或設(shè)計(jì)缺陷導(dǎo)致的功能行為故障。

能夠放松身心、處理郵件或看看喜歡的節(jié)目，而不是真正的開車上下班，這是某些駕駛員夢(mèng)想的便利場(chǎng)景。我們真正的目標(biāo)是確保您通過安全連接充分享受這些功能，同時(shí)通過系統(tǒng)內(nèi)置的安全無憂出行技術(shù)為您和周圍的駕駛員提供更高的安全性。

參考文獻(xiàn)

AAA Foundation for Traffic Safety.  (2019年February月). American Driving Survey, 2014-2017. 檢索來源:  https://aaafoundation.org/american-driving-survey-2014-2017/

DrozhzhinAlex. (2015年August月6日). Black  Hat USA 2015: The full story of how that Jeep was hacked. 檢索來源: Kaspersky Lab:  (https://www.kaspersky.com/blog/blackhat-jeep-cherokee-hack-explained/9493/

ErikssonAlexander, & StantonA.Neville.  (2017). Takeover Time in Highly Automated Vehicles: Noncritical Transitions to  and From Manual Control. Human Factors: The Journal of the Human Factors and  Ergonomics Society, Volume: 59 issue: 4, page(s): 689-705.

McKinsey & Company. (2016年September月). Monetizing Car Data, New service business opportunities  to create new customer benefits. 檢索來源: https://www.mckinsey.com/industries/automotive-and-assembly/our-insights/monetizing-car-data

National Safety Council. (2018年04月17日). 檢索來源: Road to Zero Report:  https://www.nsc.org/Portals/0/Documents/DistractedDrivingDocuments/Driver-Tech/Road%20to%20Zero/The-Report.pdf?ver=2018-04-17-111652-263

SalayRick, & CzarneckiKrzystof. (2018年August月5日). Using  Machine Learning Safely in Automotive Software: An Assessment and Adaption of  Software Process Requirements in ISO 26262. 檢索來源: arXiv:1808.01614

SimacsekBalázs. (2019). Can We Trust Our Cars? 檢索來源: Secure Vehicle Architectures, NXP  Semiconductors: https://www.nxp.com/docs/en/white-paper/AUTOSECWP.pdf