導(dǎo)  讀



最近我們的自動(dòng)駕駛首發(fā)刷屏，ADS終于不是什么神秘組織了。從幾年前不太拿得出手的demo，到今天的成熟度還可以的產(chǎn)品，毫不夸張的說，每一個(gè)領(lǐng)域，從理念到設(shè)計(jì)，都經(jīng)歷過不止一次的翻天覆地的沖擊和重構(gòu)。今天回頭看，這是錘煉一個(gè)創(chuàng)新產(chǎn)品的及其痛苦但又必須經(jīng)歷的過程。

安全領(lǐng)域也不例外。

正文

這個(gè)過程，迫使我們拋開所有的標(biāo)準(zhǔn)、規(guī)范，拷問自己：本質(zhì)上，自動(dòng)駕駛的安全風(fēng)險(xiǎn)來自于哪里？

我想，這個(gè)圖大致表達(dá)了我們的認(rèn)識(shí)：



這個(gè)圖直觀的表達(dá)了安全風(fēng)險(xiǎn)的來源：用戶預(yù)期和系統(tǒng)能力的偏差。

低階傳統(tǒng)ADAS，大家上手一用，就知道它只能用來偶爾松松腳，不會(huì)有任何誤解，以為它有更多的高階功能。系統(tǒng)能力low，用戶期望low，安全反倒沒毛病。毛病是產(chǎn)品沒啥用。

高階到無人駕駛，系統(tǒng)能力high，用戶期望high，安全也沒毛病，毛病是這樣的產(chǎn)品還不存在。

麻煩的是從最低點(diǎn)走到最高點(diǎn)的過程。市面上所有的自動(dòng)駕駛系統(tǒng)，都在這個(gè)階段，都在爭(zhēng)取更連續(xù)的用戶體驗(yàn)，都在試圖拔高用戶預(yù)期。系統(tǒng)的風(fēng)險(xiǎn)也累積在在這個(gè)爬坡的過程中。

用戶是很容易被系統(tǒng)的單點(diǎn)和短期能力取悅的。當(dāng)系統(tǒng)成功閃開一個(gè)小電驢，用戶會(huì)默認(rèn)系統(tǒng)無所不能。當(dāng)系統(tǒng)一個(gè)星期都沒讓人接管，司機(jī)信任會(huì)急劇增長(zhǎng)，然后開始看手機(jī)打瞌睡。用戶的預(yù)期一定會(huì)比系統(tǒng)能力增長(zhǎng)快的多。

我們的考量，出發(fā)點(diǎn)都在彌合這個(gè)gap。

首先，傳統(tǒng)的功能安全設(shè)計(jì)必不可少

本質(zhì)上，傳統(tǒng)的功能安全設(shè)計(jì)，保證了系統(tǒng)能力以外的風(fēng)險(xiǎn)（灰色區(qū)域），能夠被人cover。



具體來說，它在保證兩件事情：第一，司機(jī)能夠在任何時(shí)候接管。第二，避免對(duì)公共安全造成無法避開的傷害。所有人都對(duì)交通行為有預(yù)期，當(dāng)自車行為在很短時(shí)間內(nèi)，極大的破壞了這個(gè)預(yù)期，人是很難及時(shí)反應(yīng)和規(guī)避的。

雖然目的一樣，對(duì)于高階自動(dòng)駕駛，這部分設(shè)計(jì)和傳統(tǒng)ADAS也有很大的不同。但無非也只是功能安全理念在ADS這個(gè)新物種上的應(yīng)用，我相信會(huì)是業(yè)界研究逐漸趨于成熟的一塊，就不展開多講了。

第二，恰到好處的核心冗余

業(yè)界常提的fail-operation，出處是為應(yīng)對(duì)L3的定義：系統(tǒng)故障時(shí)，需要給司機(jī)預(yù)留足夠的時(shí)間來接管（通常是10s）。關(guān)于這個(gè)定義的悖論，業(yè)界已經(jīng)討論的足夠多，也不是這里要討論的重點(diǎn)。重點(diǎn)是，由于SAE對(duì)L3的嚴(yán)苛定義，導(dǎo)致fail-operation幾乎等同于全冗余，把冗余設(shè)計(jì)的方向全部帶偏了。

有趣的是，我前兩天參加一個(gè)自動(dòng)駕駛的討論會(huì)，看到業(yè)界主流顯而易見的共識(shí)：沒有人再爭(zhēng)論L2/L3/L4，一致把目標(biāo)對(duì)準(zhǔn)了城區(qū)、泛化場(chǎng)景和用戶體驗(yàn)。那么，這是否意味著冗余設(shè)計(jì)可以徹底不考慮了呢？

問題仍然出在系統(tǒng)能力和用戶預(yù)期的gap。當(dāng)用戶足夠信任系統(tǒng)，他就難以在瞬間接管系統(tǒng)。這是系統(tǒng)冗余要求的根源。

但另一方面，冗余是一把雙刃劍。冗余意味著成本升高、架構(gòu)復(fù)雜、切換過程的無數(shù)深坑。用下面這個(gè)圖，大家可以圍觀一下某大廠OEM針對(duì)自動(dòng)駕駛系統(tǒng)的冗余架構(gòu)。不知道這個(gè)架構(gòu)是否已經(jīng)落地了，我的判斷，這個(gè)架構(gòu)必然是失敗和沒有競(jìng)爭(zhēng)力的。



第三，重新定義“系統(tǒng)交付”

傳統(tǒng)產(chǎn)品開發(fā)過程，是要保證“SOP”那一刻，系統(tǒng)能力、可靠性、安全性達(dá)到一個(gè)很高的成熟度。但自動(dòng)駕駛的特點(diǎn)，“SOP”絕不意味著產(chǎn)品開發(fā)的結(jié)束。系統(tǒng)能力不斷爬坡的過程，甚至很大程度發(fā)生在SOP之后。這對(duì)于傳統(tǒng)安全設(shè)計(jì)的“系統(tǒng)思維”，是一個(gè)顛覆性的沖擊。這意味著按照傳統(tǒng)的方法，列出所有的需求，在SOP前按V模型開發(fā)交付落地，既不現(xiàn)實(shí)，也無必要。

“數(shù)據(jù)驅(qū)動(dòng)改進(jìn)“的提法在自動(dòng)駕駛領(lǐng)域很流行，也是領(lǐng)域主流玩家一致認(rèn)可的系統(tǒng)進(jìn)化方向。對(duì)于安全設(shè)計(jì)來說，要應(yīng)對(duì)這個(gè)趨勢(shì)，一是能夠在每個(gè)階段，識(shí)別出關(guān)鍵的交付目標(biāo)。同時(shí)，數(shù)據(jù)閉環(huán)的及時(shí)性相當(dāng)重要，這也是我們“Data Driven Improvement”方案要解決的問題。還有一點(diǎn)決不可忽視，在系統(tǒng)爬坡的過程中，需要使用合理的人機(jī)交互設(shè)計(jì)，控制整體系統(tǒng)的風(fēng)險(xiǎn)。

這也引出了最后一點(diǎn)，也是我認(rèn)為最難的一點(diǎn)：通過人機(jī)交互設(shè)計(jì)，讓用戶預(yù)期和系統(tǒng)能力盡可能趨于一致。



這個(gè)難點(diǎn)在于“用戶體驗(yàn)”和“用戶預(yù)期”之間的平衡。從用戶體驗(yàn)角度，希望用戶盡可能不受干擾，徹底解放。從產(chǎn)品安全的角度，又需要用戶隨時(shí)應(yīng)對(duì)系統(tǒng)能力邊界，做好接管的準(zhǔn)備。這兩個(gè)方面的訴求，對(duì)人機(jī)交互設(shè)計(jì)提出了非常高的要求：非必要的時(shí)候，盡可能不干擾用戶；提醒盡可能精準(zhǔn)和直觀；基于系統(tǒng)能力演進(jìn)，不斷調(diào)整和進(jìn)化人機(jī)交互。。?？赡艽蠹覜]有意識(shí)到，這個(gè)領(lǐng)域的設(shè)計(jì)難度和工作量，一點(diǎn)不比算法開發(fā)容易。

最后，這幾年總是聽到大家在吐槽，傳統(tǒng)的功能安全方法不能有效應(yīng)對(duì)新技術(shù)的發(fā)展。希望能夠拋磚引玉，給大家提供一些新的思路，來解這個(gè)問題。畢竟，產(chǎn)品的用戶體驗(yàn)是自動(dòng)駕駛賽道的關(guān)鍵核心競(jìng)爭(zhēng)力，安全性同樣是這個(gè)馬拉松賽道上，笑到最后的保證。