如果一味強(qiáng)調(diào)安全，而缺乏一個與之匹配的可靠性流程，這相當(dāng)于為災(zāi)難性錯誤打開了大門。

在可靠性和安全性如何相互作用和相互建立方面缺乏明確的、一致的結(jié)構(gòu)，正在產(chǎn)生可避免的沖突和潛在的錯誤傳達(dá)，這可能使自動駕駛汽車客戶面臨不必要的風(fēng)險(xiǎn)并增加過多的系統(tǒng)成本。

2018 年 3 月 18 日，世界上首起自動駕駛汽車致行人死亡事故在美國亞利桑那州坦佩市發(fā)生。該事件引起了巨大轟動，全球范圍內(nèi)有關(guān)本次事故的文章達(dá)到了近一萬篇，其中大多數(shù)均探討了本次事故對優(yōu)步（Uber）、自動駕駛汽車、公共道路自動駕駛汽車測試及更廣泛社會的影響。

然而，沒有多少文章真正探討了自動駕駛汽車的傳感器、軟件和平臺技術(shù)可以從這一悲慘事件中吸取哪些教訓(xùn)。事實(shí)上，自動駕駛汽車要想真正實(shí)現(xiàn)經(jīng)濟(jì)可行性，就必須從事故中吸取經(jīng)驗(yàn)教訓(xùn)。 

無論是為了從坦佩事故中吸取教訓(xùn)，還是真正理解 ISO 26262（道路車輛功能安全標(biāo)準(zhǔn)）的價值，我們其實(shí)面臨著一個共同的基本挑戰(zhàn)：清楚地認(rèn)識“可靠性”和“安全性”之間的互補(bǔ)和矛盾之處。這并不單純指字面意義：每位經(jīng)理都明白，在任何一個軟件和硬件設(shè)計(jì)周期中，流程、權(quán)力和責(zé)任的劃分至關(guān)重要：誰做什么工作？向誰報(bào)告？何時進(jìn)行？這些問題的處理方式不同都會導(dǎo)致截然不同的結(jié)果。 

可靠性是什么？安全性又是什么？這兩者在企業(yè)環(huán)境中又應(yīng)保持何種關(guān)系？從可靠性工程師的視角來看，安全性不過是可靠性的一部分。為什么？因?yàn)榭煽啃詧F(tuán)隊(duì)關(guān)注的是故障發(fā)生的概率，而安全性團(tuán)隊(duì)則關(guān)注故障發(fā)生且導(dǎo)致災(zāi)難性后果（損失、受傷或死亡）的概率。 

對于可靠性團(tuán)隊(duì)而言，預(yù)防并處理這些災(zāi)難性事件的概率，僅是他們工作中的一小部分而已。因此，在一個以可靠性為核心的環(huán)境中，安全工程師直接接受可靠性團(tuán)隊(duì)的管理，且在完整可靠性設(shè)計(jì)（DfR）流程走完前，不會采取行動。

在車輛傳感，控制，動力，制動等方面引入冗余，無需增加成本使乘客或周圍的交通更加安全。

可靠性和安全性的相互作用 

顯而易見，安全工程師并不認(rèn)同這一觀點(diǎn)。從他們的視角來看，可靠性分析只能提供特定失效機(jī)制（可靠性物理學(xué)）或部件（經(jīng)驗(yàn)學(xué)）失效的概率?？煽啃苑治霾粫婕肮收习l(fā)生的具體后果——這會是災(zāi)難性的嗎？因此，可靠性分析只有深入到系統(tǒng)最下層時，才往往是最有效的。只有這時，分析人員才更能了解系統(tǒng)或用戶對故障的反應(yīng)，從而分析每個故障可能引發(fā)的后果嚴(yán)重性。因此，可靠性工程師應(yīng)當(dāng)接受安全團(tuán)隊(duì)的管理。 

可靠性工程師的主要職責(zé)是計(jì)算故障率和基本故障模式。如果有時這些失敗率不過只是數(shù)字而已，那么可靠性工程師有什么存在的必要呢？ 

此外，第三種觀點(diǎn)是，可靠性和安全性之間的聯(lián)系并沒有人們想象的那么緊密。我們可以用這兩個學(xué)科分別“如何解決風(fēng)扇性能”的問題更好地陳述這兩者之間的差別?？煽啃怨こ處煏扇】煽啃晕锢矸治觯≧PA）、降速或加速壽命試驗(yàn)（ALT）等措施，確保將風(fēng)扇在預(yù)期環(huán)境中的故障率降至目標(biāo)水平之下。對比之下，安全性工程師則會首先判斷風(fēng)扇故障是否會引發(fā)災(zāi)難性事件（及這將給系統(tǒng)其他部分帶來哪些影響），然后采用“漂移”（drift）增加冗余或調(diào)整關(guān)鍵參數(shù)（如電流消耗、轉(zhuǎn)速表、噪音）等方式，降低事故的嚴(yán)重程度。 

這些不同觀點(diǎn)恰好反映了科技公司在“如何處理可靠性和安全性之間關(guān)系”方面的猶豫。在一家正在向自動駕駛汽車轉(zhuǎn)型的大型消費(fèi)者技術(shù)公司中，可靠性和安全性團(tuán)隊(duì)匯報(bào)給同一位總監(jiān)。另一家自動駕駛領(lǐng)導(dǎo)者公司則將安全性和可靠性團(tuán)隊(duì)完全分開，不過這兩個部門主管的職位大致類似。我們了解的第三家公司，則是汽車電子領(lǐng)域中一家大力投入自主控制單元研發(fā)的中流砥柱。這家公司也將安全性和可靠性團(tuán)隊(duì)完全分開，但安全團(tuán)隊(duì)主管的職位明顯更高，相較而言可靠性團(tuán)隊(duì)中職位最高的員工不過是經(jīng)理或組長，這也反映了這家公司在這兩支團(tuán)隊(duì)中的“偏重”。 

如果無法清晰理解可靠性和安全性之間的相互作用和相互依賴，汽車行業(yè)可能會出現(xiàn)一些本可避免的沖突和誤解，進(jìn)而將顧客置于本不必要的風(fēng)險(xiǎn)之中，或?qū)е伦詣玉{駛系統(tǒng)的成本過高，甚至兩者兼而有之。如果對可靠性過分缺乏信心，或者公司安全性團(tuán)隊(duì)的權(quán)力過大，自動駕駛汽車制造商往往會在整個車輛系統(tǒng)中引入大量冗余（包括傳感、控制、動力、制動等）。據(jù)估算，一輛普通汽車的電子元器件成本超過 12000 美元，這些設(shè)計(jì)并不一定可以讓車內(nèi)人員或整個交通環(huán)境更加安全，但卻一定會顯著增加成本。 

事實(shí)上，我們還可以用另一個很好的例子探討安全性和可靠性之間的差異：那就是如何計(jì)算失敗率。從 20 世紀(jì) 50 年代到 90 年代，在一些電子硬件公司中，大多數(shù)可靠性團(tuán)隊(duì)都是憑經(jīng)驗(yàn)來估算故障率。這些手冊只是現(xiàn)場故障數(shù)據(jù)的簡單匯總，按零件類型（電阻器、電容器、二極管等等）進(jìn)行區(qū)分。盡管概念簡單、使用方便，但多項(xiàng)研究均表明這些手冊在實(shí)際產(chǎn)品的應(yīng)用上非常不準(zhǔn)確，整體估算結(jié)果偏向保守，也往往因此導(dǎo)致預(yù)測的故障率過高。 

原因很簡單——這些手冊的分析并不是基于導(dǎo)致失敗真正發(fā)生的實(shí)際原因。進(jìn)入 21 世紀(jì)之后，大多數(shù)有經(jīng)驗(yàn)的可靠性領(lǐng)域?qū)I(yè)人員也不再僅僅依靠經(jīng)驗(yàn)數(shù)據(jù)來預(yù)測失敗率。故障手冊等過時的方法開始被可靠性物理分析（RPA）和加速壽命測試（ALT）等手段取代，這種趨勢在汽車行業(yè)中最為明顯。直到 ISO 26262 問世。

避免脫節(jié) 

作為一項(xiàng)功能安全標(biāo)準(zhǔn)，ISO 26262 將根據(jù)“用一定方式計(jì)算出的故障率”以及“系統(tǒng)所采取的緩解措施”，預(yù)測評估車輛的安全完整性等級（SIL）。與可靠性工程師不同，安全性工程師強(qiáng)烈鼓勵，甚至直接要求將經(jīng)驗(yàn)手冊作為 SIL 計(jì)算的基礎(chǔ)。這種脫節(jié)的原因很明顯——安全性和可靠性分屬兩個獨(dú)立團(tuán)隊(duì)，也匯報(bào)給不同的管理層，雙方缺乏最基本的溝通，溝通完全脫節(jié)，以至安全工程師仍在使用過時的方法來計(jì)算故障率。 

如果兩個團(tuán)隊(duì)之間不能進(jìn)行合理的平衡，安全性團(tuán)隊(duì)往往傾向于給出更高的失敗率，并因此要求采取更多的安全分析和安全威脅緩解措施，包括增加冗余等。此外，安全性團(tuán)隊(duì)過分專注于經(jīng)驗(yàn)手冊，也會導(dǎo)致他們忽略一些關(guān)鍵故障模式，使得安全威脅緩解機(jī)制不再有效。 

不過，一切仍有改進(jìn)的機(jī)會。無論主營半導(dǎo)體元件、電子模塊還是完整的系統(tǒng)，所有自動駕駛技術(shù)價值鏈上的公司都必須認(rèn)識到，如果一味強(qiáng)調(diào)安全，而缺乏一個與之匹配的可靠性流程，這相當(dāng)于為災(zāi)難性錯誤打開了大門。 

為了避免這種情況，我們第一步可以做的就是打破可靠性和安全性團(tuán)隊(duì)的物理障礙，將這兩支團(tuán)隊(duì)放在同一支領(lǐng)導(dǎo)團(tuán)隊(duì)之下。雙方應(yīng)同意共同實(shí)施最佳做法，包括使用最先進(jìn)的模擬、建模及可靠性物理學(xué)等，為適當(dāng)且有效的風(fēng)險(xiǎn)識別和緩解奠定基礎(chǔ)。

作者：Craig Hillman
來源：SAE《自動駕駛汽車工程》雜志
翻譯：SAE 中國辦公室