摘 要

對于自動駕駛汽車想必很多人是既陌生又熟悉的，大多數(shù)人都會在意它的可靠性，安全性，以及舒適性等因素，現(xiàn)階段確保自動駕駛汽車上路的安全應(yīng)該是最為重要的。想要保證自動駕駛汽車和其他完全自動駕駛車輛的安全性，對傳統(tǒng)的軟件安全標準而言，無論是在內(nèi)容（應(yīng)解決的安全問題）還是方法（應(yīng)采取的解決方式）上，都是重大的挑戰(zhàn)。

本文提出了一種完全自動駕駛汽車安全的標準方法，該方法基于為整個安全案例設(shè)定范圍要求。一個可行的方案需要有反饋回路，由于收集了現(xiàn)場反饋，即使在部署完成后，還可以伴隨著技術(shù)的變化和經(jīng)驗的累積，同時進行安全案例的改進，從而提高標準。外部評估流程是此方法必不可或缺的一部分，確保在流程中能夠吸取經(jīng)驗教訓，并保證了評估流程的透明度。這種方法為最終制訂UL 4600初始標準草案打下了基礎(chǔ)。

介紹

大勢所趨，自動駕駛汽車終將來臨，對交通也可能產(chǎn)生深遠的影響。在世界各地，相關(guān)企業(yè)紛紛大量投入自動駕駛道路測試，每隔一段時間，就有相關(guān)企業(yè)宣布已研發(fā)出新的自動駕駛技術(shù)，在不久的將來，自動駕駛汽車能夠在沒有人類司機的情況下行駛上路。在技術(shù)進步速度飛快的當下，安全問題更是迫在眉睫。

事實上，各種安全標準已有幾十年的歷史了，這些標準的制訂就是為傳統(tǒng)車輛解決基于計算機的系統(tǒng)安全問題。我們所熟知的ISO 26262:2018便是近年來的最新的標準版本，2019年，為了解決高級輔助駕駛（ADAS）的安全性問題，又發(fā)布了ISO PAS 21448 SOTIF（預期功能安全），直至2020年4月，Underwriters Laboratories非營利標準組織（以下簡稱UL）宣布UL 4600《自動駕駛產(chǎn)品安全評估標準》正式發(fā)布，這是UL針對無人駕駛車輛而開發(fā)的首個安全評估標準。

如何保證高度自動化車輛（HAV）能夠安全部署上路？現(xiàn)有的傳統(tǒng)標準是必要的，但還不足以覆蓋HAV。確實，我們可以從航空和軍事系統(tǒng)等其他領(lǐng)域的安全標準中獲得一些見解和啟發(fā)，但無論是汽車還是其他領(lǐng)域，各個領(lǐng)域的設(shè)計人員都在面臨著搭建安全自主系統(tǒng)所特有的難題，不能通用。所以，一個靈活且可迭代的方法，才能使HAV保證和規(guī)范安全性。

現(xiàn)行標準

1. ISO 26262

傳統(tǒng)上來說，車輛最終是由人類駕駛員負責安全操作，汽車設(shè)計師會把整體安全策略建立在這個原則之上，以致于ISO 26262聚焦在“功能安全”上。

廣義上來說，功能安全可保證系統(tǒng)有足夠的能力來充分降級失效風險，以確定危害。降級的程度要求取決于潛在失效事件的暴露性，已識別危害的嚴重性，以及當失效事件發(fā)生時，人類駕駛員對汽車的可控制性。根據(jù)這些因素，組成了對汽車安全預先確定的風險表，這就是汽車安全完整性等級（ASIL）。當某一功能分配到相應(yīng)的ASIL等級后，為達到安全目標，確定采用哪些技術(shù)和流程作為降級措施，其中必須包括執(zhí)行指定的設(shè)計和分析任務(wù)。IEC 61508定義了安全完整性等級 (SIL)，而 ISO 26262 則定義了汽車安全完整性等級 (ASIL)，所以ISO 26262是符合IEC 61508的安全標準項目的，例如：而 ISO 26262 則定義了汽車安全完整性等級 (ASIL)，所以ISO 26262是符合IEC 61508的安全標準項目的，例如：

·  指定基于V模型作為產(chǎn)品開發(fā)不同階段的參考過程模型

·  利用安全等級來分析軟件，硬件和系統(tǒng)方面的風險

·  包含生命周期主題，例如生產(chǎn)，操作，支持和工具· 對危害、安全目標和ASIL采用指定的安全分析方法

·  根據(jù)ASIL，指定分析、設(shè)計和驗證技術(shù)

以上綜述，ISO 26262強調(diào)是避免設(shè)計錯誤（例如，軟件質(zhì)量要求）并緩解操作過程中因設(shè)備故障帶來的影響（例如。防故障裝置）。

2. ISO/PAS 21448 (SOTIF)

那么，當設(shè)備沒有發(fā)生故障時，某些功能還是依舊無法正常運行，該怎么辦呢？這就是駕駛輔助功能的難題。為了解決這個難題，汽車行業(yè)也建立了新的安全標準—— ISO / PAS 21448“預期功能的安全性”（SOTIF）標準。該標準主要考慮緩解由于意外操作條件（由于傳感器和算法的限制，預期功能可能無法始終在其中使用）和需求缺口（缺少關(guān)于預期功能實際含義的完整描述）而導致的風險。該標準的重點包括：

·  環(huán)境感知不足

·  可預見的誤操作和人機交互問題

·  運行環(huán)境（天氣，基礎(chǔ)設(shè)施等）引起的問題

·  著重識別和填補需求空白（消除“未知”）

ISO 21448擴展了ISO 26262的范圍，以涵蓋ADAS功能。兩者都明確允許進一步擴大范圍，但還不足以完全覆蓋HAV安全的全部范圍。（ISO/PAS 21448正在更新修訂中，尚未發(fā)布。）

3. 其他標準

其他領(lǐng)域還有很多安全標準，包括：用于化學流程控制的IEC 61508；CENELEC EN 50128 用于軌道系統(tǒng)；MIL-STD-882E 用于軍事系統(tǒng)；以及用于航空行業(yè)的SAE ARP 4754A 和SAE ARP 4761。這些標準都提供了額外的安全性觀點，但沒有一個能夠涵蓋所有的HAV問題。人類駕駛員的操作行為可預測假設(shè)，需求可完整識別，并且相對于HAV來說，人類駕駛員的操作環(huán)境更加簡單，這些就是為什么現(xiàn)有標準都無法涵蓋HAV安全的主要原因。

附：培訓課程

9月12日，?？W(wǎng)將開展為期2天的《Robot Taxi安全設(shè)計》培訓，從Robot Taxi的功能定義和目前主流的安全規(guī)范體系入手，介紹ISO 26262，ISO/PAS 21448, NHTSA自動駕駛安全規(guī)范等標準如何對應(yīng)到Robot Taxi的各種安全功能和特性上，包括如地圖和定位、神經(jīng)網(wǎng)絡(luò)算法這些較為核心且極具安全挑戰(zhàn)的功能模塊。

現(xiàn)行標準

我們迫切需要一個可以涵蓋HAV的安全標準！如今各大企業(yè)紛紛承諾要將“真正的無人駕駛”商業(yè)化，開始部署生產(chǎn)。一般來說，總結(jié)十年的生產(chǎn)經(jīng)驗，肯定可以使各企業(yè)的HAV設(shè)計趨于一致，然后再編寫安全標準。但是我們希望早日指定標準，而不是等到十年以后。

盡管現(xiàn)行的標準給我們提供了基礎(chǔ)，但是對于HAV安全標準的作者們來說，現(xiàn)在HAV所使用的技術(shù)存在種類繁多和不成熟的現(xiàn)象，這成為了具有挑戰(zhàn)性的難題。

1. 新技術(shù)

目前HAV所使用的技術(shù)，本質(zhì)上與傳統(tǒng)安全標準所采用的方法不兼容。所以，適用于HAV的新標準必須至少解決以下問題：

·  機器學習技術(shù)（ML）的使用：基于學習的方法來解決棘手的設(shè)計困境，這是使用ML技術(shù)的顯著優(yōu)勢。同時，其顯著劣勢是缺乏必要條件，導致阻礙了設(shè)計的評估能力，也阻礙了評估的可追溯性。

·  不可預測算法的使用：人工智能技術(shù)和隨機算法都傾向于以不可預測的方式表現(xiàn)，這種算法通常被認為是不確定的。如此一來，創(chuàng)建可重復測試就變得復雜了。

傳統(tǒng)安全標準采用的更新周期可能需要耗費5到10年，但是HAV技術(shù)的發(fā)展要快得多，過早制定標準可能會抑制相關(guān)技術(shù)的創(chuàng)新。此外，當開發(fā)人員仍在研究如何使該技術(shù)正常運行時，傳統(tǒng)的基于共識的標準方法很難適用于HAV技術(shù)。任何標準都需要前所未有的靈活性，才能實現(xiàn)為HAV技術(shù)所用。

2. 無人駕駛

任何標準的內(nèi)容都必須解決系統(tǒng)級故障管理的基本變化。HAV的出現(xiàn)意味著沒有人類駕駛員操控了，可控性消失了！因此，自動駕駛系統(tǒng)本身必須管理車輛故障。

自動駕駛產(chǎn)品的行為可能與人類駕駛員的行為不同（但兼容），并可能需要處理人類通常不會遇到的情況，所以，一旦沒有人類駕駛員，還會產(chǎn)生大量的其他操作和生命周期活動。這就包括與潛在危險成為和緊急人員進行互動。此外，自動駕駛系統(tǒng)本身管理車輛故障的這種自主性，可能還需要能夠減輕由于操作故障引起的風險，比如，汽車火災中的乘客疏散，并且處理生命周期故障。

安全案例

要使安全標準能夠完全涵蓋HAV確實有種種困難的限制，我們認為通過以下方法可以：在總體安全設(shè)計結(jié)構(gòu)中使用安全案例，指定安全案例范圍的廣度，吸取學習經(jīng)驗，針對不斷變化的環(huán)境進行標準更新，以及多層反饋方法，在反饋過程中，必須要有獨立評估流程。這種方法不僅可以管理未知因素帶來的風險，還可以把不斷發(fā)展的技術(shù)和不斷變化的操作環(huán)境考慮進去。

1. 特定范圍的安全案例：

這種“安全案例”的方法，曾被使用過。我們認為，安全案例不應(yīng)只是安全方案的一部分，而應(yīng)成為包含所有內(nèi)容的首要總體結(jié)構(gòu)。這種方法允許靈活使用諸如工具之類的項目，并遵循其靈活的工程流程。同樣，這意味著安全案例不僅必須提出充分有力的論據(jù)，證明已經(jīng)采用了適當且必要的流程和方法，并且確認選擇的選項足以保證安全。

只要遵循該方法的其他要素，原則上該標準就不需要指定任何特定的工具或流程步驟方法。相反，該標準可能還滿足我們提出的更高級的需求和論點。例如，該標準可以要求識別所有危害和相關(guān)風險，但不必識別必須采用什么技術(shù)來實現(xiàn)。為避免不必要的工作和花費，可以考慮遵守ISO 26262，ISO 21448，以及其他符合程度高且適用于HAV的標準。

缺乏深度或證據(jù)的安全案例，是當下一個潛在的問題。該標準草案通過列舉所需的subClaims和安全案例范圍，要求有一定的深度。（例如，必須確定與供應(yīng)鏈相關(guān)的危害。）在較高的級別上，我們已經(jīng)確定了以下主題，這些主題必須針對HAV專門解決，且超出了其他標準的范圍。

·  操作設(shè)計領(lǐng)域的定義（例如，天氣，場景）

·  機器學習故障（例如學習數(shù)據(jù)gaps，脆弱性）

·  除駕駛員以外的人員（例如，行人，生命周期參與者）的錯誤行為

·  高殘留未知量（例如，需求差距和部署后的意外）

·  缺乏人為監(jiān)督（例如，操作故障處理，乘客處理）

·  系統(tǒng)級安全指標（例如，使用領(lǐng)先指標和滯后指標）

·  將系統(tǒng)過渡到降級模式和最低風險條件

2. 持續(xù)進行風險評估

考慮到HAV部署所涉及的新穎性，復雜性和后果，一開始就建立一個堅不可摧的安全案例，這真的太難了！比起在部署時，就妄想僅遵照標準就可以毫無缺陷地減輕風險，更重要的是不斷評估和改善系統(tǒng)中存在的殘余風險。對于識別，實施和驗證其他緩解措施而言，識別潛在和緊急風險才是至關(guān)重要的。

同樣，在使測試人員和公眾暴露于不必要的安全風險之前，必須解決已知的安全問題。開發(fā)人員應(yīng)該努力培養(yǎng)負責任的安全風險識別和歸屬的文化。這包括承擔開發(fā)錯誤以及設(shè)計、測試和安全案例本身的缺陷。對開發(fā)的錯誤，以及設(shè)計，測試和安全案例本身之間的差距進行評估。對系統(tǒng)開發(fā)和部署生命周期進行誠實的自我評估和迭代，這些對于完善安全案例都是很重要的。

鑒于HAV開發(fā)的高風險，高壓環(huán)境來看，獨立評估也是必不可少的。除了提供對系統(tǒng)安全性的基本檢查和平衡之外，獨立評估還可以提供一些經(jīng)驗，且不會暴露設(shè)計細節(jié)。

3. 反饋和經(jīng)驗學習

HAV技術(shù)的快速發(fā)展不是障礙，我們必須要擁抱它。既不會等到技術(shù)成熟不變（這可能永遠不會發(fā)生）再來構(gòu)建標準，也不會過早的“凍結(jié)”標準，停止更新。我們計劃與HAV技術(shù)一起發(fā)展，在技術(shù)進步的同時更新標準。這一定是可行的（圖1）：


總結(jié)

基于目標的安全案例方法，加上預先植入的反饋路徑，這是為HAV創(chuàng)建安全標準的實用方法。最初，可以鼓勵企業(yè)使用一個公認的安全案例來時間。但是，這個案例還會隨著行業(yè)的發(fā)展仍在不斷發(fā)展和成熟。