作者 / 浪跡天涯
出品 / 焉知

站在2020年年尾回看智能駕駛，這一年黑科技層出不窮，無(wú)疑是一片琳瑯滿目的壯觀景象：超大的顯示屏娛樂(lè)功能強(qiáng)大、智能座艙高度數(shù)字化、OTA遠(yuǎn)程升級(jí)幾乎是新車型標(biāo)配、ADAS輔助駕駛功能也越來(lái)越豐富和實(shí)用......至于智能駕駛的終極目標(biāo)——無(wú)人駕駛，在市場(chǎng)的狂熱逐漸退燒后，各大廠家重新制定了自動(dòng)駕駛計(jì)劃。智能汽車正在朝著便利和解放駕駛員的方向上狂奔。

但是，除了給駕駛員帶來(lái)便利以外，智能汽車更核心的愿景是減少交通事故，為人類創(chuàng)造更美好的生活。如果解放了駕駛員的同時(shí)卻不能保證駕駛員的安全，個(gè)人認(rèn)為智能汽車上的黑科技更多的是錦上添花，而沒(méi)有大規(guī)模推廣的意義。

支撐所有智能駕駛技術(shù)的是全新的電子電器系統(tǒng)，而電子電器系統(tǒng)的基本組成是軟件和硬件。從這個(gè)角度，智能駕駛的安全就是軟件和硬件的安全。為了讓軟件和硬件足夠安全，無(wú)數(shù)的汽車工程師正在行動(dòng)，并在探索與合作的過(guò)程中逐步達(dá)成了共識(shí)，至少要從三個(gè)方面去保證安全：

功能安全 （Functional Safety）
預(yù)期功能安全（Safety of the Intended Functionality）
信息安全 （Cyber Security）

未來(lái)的智能汽車在安全上的突破，就是找到這三個(gè)方向在汽車上落地量產(chǎn)的可行性方案。而這三個(gè)方向的落地之難，從某種程度上也折射出智能駕駛距離終極目標(biāo)的距離還很遠(yuǎn)。本文將對(duì)這三個(gè)方向的內(nèi)容以及發(fā)展現(xiàn)狀做簡(jiǎn)單介紹，嘗試回答落地難在何處，希望給讀者們帶來(lái)一些有價(jià)值的參考。

1. 功能安全 （Functional Safety）

1.1. 什么是功能安全？

ISO 26262中對(duì)功能安全的定義為：

ISO 26262：absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems.（不存在由電子電氣系統(tǒng)的功能異常表現(xiàn)引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)）

簡(jiǎn)而言之，功能安全聚焦系統(tǒng)故障后怎么做。危害有很多類型，如人身傷害或者財(cái)產(chǎn)損失等等。功能安全所關(guān)注的危害指對(duì)駕駛員或者路人或周邊車輛內(nèi)人員（注意：不僅僅是駕駛員）造成的健康傷害。換句話說(shuō)，功能安全開(kāi)發(fā)目的是避免傷人。

功能安全的定義中有一個(gè)關(guān)鍵詞“unreasonable”，即“不可被接受的”。就像世界上沒(méi)有永動(dòng)機(jī)一樣，世界上也沒(méi)有100%安全的系統(tǒng)，因此功能安全追求的是將危害控制在可被接受的范圍。而是否可被接受，需要從兩個(gè)維度去衡量：危害的嚴(yán)重性和危害發(fā)生的頻率。舉例來(lái)說(shuō)，飛機(jī)失事幾乎無(wú)人生還，但是正因?yàn)轱w機(jī)失事的概率非常低，所以不影響它成為最重要的交通工具之一；電動(dòng)車窗發(fā)生卡滯故障的頻率比較高，但是故障不會(huì)讓人受傷，因此很多司機(jī)甚至只有等到下個(gè)月去4S店時(shí)才想起來(lái)維修它。但是，如果你的車突然在高速上自動(dòng)加速，估計(jì)你馬上停在緊急帶，驚魂未定便馬上打電話給4S店喊著要退車了，因?yàn)檫@種原本可以通過(guò)設(shè)計(jì)規(guī)避的故障是不可接受的。這也正是功能安全開(kāi)發(fā)期望避免的故障。

1.2. 功能安全的發(fā)展現(xiàn)狀

相對(duì)于預(yù)期功能安全和信息安全，功能安全的發(fā)展是最成熟的。自2011年功能安全標(biāo)準(zhǔn)ISO 26262正式發(fā)布以來(lái)，已經(jīng)過(guò)去了快10年。這這段時(shí)間里，在汽車智能化高速發(fā)展的驅(qū)動(dòng)下，功能安全越來(lái)越被汽車行業(yè)接受，國(guó)內(nèi)外各大主流汽車企業(yè)陸陸續(xù)續(xù)將ISO 26262的需求融入自己的研發(fā)體系和流程中，以保證安全能跟上電子電器系統(tǒng)快速變革的步伐，保證輔助駕駛功能不僅好用而且安全。借著這股東風(fēng)，ISO 26262一路“平步青云”，功能安全儼然成為了汽車研發(fā)的新興熱門話題。

但是，隨著更高階的自動(dòng)駕駛的開(kāi)發(fā)思路越來(lái)越清晰，功能安全也漸露窘色。

相比較輔助駕駛，自動(dòng)駕駛最大的難點(diǎn)在于系統(tǒng)在出現(xiàn)故障之后，需要系統(tǒng)來(lái)自己操作避免事故（自動(dòng)駕駛等級(jí)越高，駕駛員可以越晚介入接管甚至是完全不用接管），出了事故是廠家的責(zé)任而不是駕駛員的責(zé)任。

這正是為什么之前特斯拉被告虛假宣傳，從而不得不將其宣稱的“自動(dòng)駕駛”改成“增強(qiáng)版輔助駕駛”的原因。因?yàn)樘厮估腁utopilot功能正常工作的時(shí)候，表現(xiàn)得確實(shí)是無(wú)人駕駛，而一旦出現(xiàn)異常，卻是由駕駛員來(lái)?yè)?dān)責(zé)。

故障發(fā)生后，系統(tǒng)從報(bào)警變成了繼續(xù)進(jìn)行安全控制，可以預(yù)見(jiàn)，功能安全的開(kāi)發(fā)難度以及功能安全對(duì)系統(tǒng)架構(gòu)的要求都產(chǎn)生了質(zhì)的改變。汽車實(shí)現(xiàn)自動(dòng)駕駛實(shí)際上和已經(jīng)實(shí)現(xiàn)了自動(dòng)駕駛的飛機(jī)的設(shè)計(jì)思路類似。飛機(jī)的自動(dòng)駕駛是怎么保證的呢？除了盡可能保證零部件可靠性之外，飛機(jī)會(huì)有兩個(gè)發(fā)動(dòng)機(jī)，保證在一個(gè)發(fā)動(dòng)機(jī)故障以后另一個(gè)仍能保證安全飛行。這就是“冗余設(shè)計(jì)”的概念。冗余設(shè)計(jì)在飛機(jī)上到處可見(jiàn)，比如兩個(gè)獨(dú)立運(yùn)行的計(jì)算機(jī)系統(tǒng)，兩套獨(dú)立的供電系統(tǒng)等等。

回到汽車自動(dòng)駕駛上，同樣對(duì)關(guān)鍵部件采用冗余設(shè)計(jì)，保證當(dāng)故障發(fā)生后備份系統(tǒng)仍能保證車輛正常運(yùn)行?？梢灶A(yù)見(jiàn)的是，自動(dòng)駕駛的大腦控制系統(tǒng)、制動(dòng)系統(tǒng)、轉(zhuǎn)向系統(tǒng)、供電系統(tǒng)等都需要冗余。

但是，冗余一方面意味著部件數(shù)量增加，成本上升；另一方面，功能安全中會(huì)對(duì)系統(tǒng)故障可能導(dǎo)致的危害事件進(jìn)行分級(jí)，簡(jiǎn)單來(lái)說(shuō)從ASIL A到ASIL D危害程度逐漸升高。那么開(kāi)發(fā)要求也逐漸升高。比如單就硬件開(kāi)發(fā)而言，ASIL D對(duì)單點(diǎn)故障度量（SPFM, signal point fault metrics）、潛在故障度量(LFM, Latent fault metrics)等的指標(biāo)要求近乎苛刻。

而對(duì)于需要冗余的制動(dòng)系統(tǒng)、轉(zhuǎn)向系統(tǒng)、大腦控制系統(tǒng)等而言，它們的失效都會(huì)引起一些ASIL D的危害事件，換句話說(shuō)，這些系統(tǒng)的開(kāi)發(fā)需求中至少有一部分是有最嚴(yán)苛的ASIL D要求的。如今兩套冗余都需要滿足這些要求，無(wú)疑增加了開(kāi)發(fā)難度和開(kāi)發(fā)成本。

但是汽車開(kāi)發(fā)又不得不面對(duì)這樣的現(xiàn)實(shí)：和飛機(jī)不同，汽車的利潤(rùn)比飛機(jī)的利潤(rùn)低得多，全靠走量，如果不計(jì)成本，那么即使實(shí)現(xiàn)了安全系數(shù)很高的自動(dòng)駕駛系統(tǒng)，也會(huì)因?yàn)閮r(jià)格過(guò)高而不被市場(chǎng)認(rèn)可。如何在功能和安全之間找到平衡，是功能安全在自動(dòng)駕駛汽車上面臨的挑戰(zhàn)之一，也是未來(lái)在智能駕駛汽車上真正落地功能安全的關(guān)鍵。

2. 預(yù)期功能安全 （SOTIF, Safety of the Intended Functionality）

2.1. 什么是SOTIF?

在回答這個(gè)問(wèn)題之前，先問(wèn)一個(gè)問(wèn)題：就算不計(jì)成本地保證了智能駕駛系統(tǒng)的功能安全，這個(gè)系統(tǒng)是否就足夠安全了呢？

我們不妨先來(lái)看一個(gè)召回的案例。

2020年3月19日，由于自動(dòng)緊急制動(dòng)系統(tǒng)（Autonomous Emergency Braking, AEB）存在故障，沃爾沃汽車宣布在全球范圍內(nèi)召回汽車近74萬(wàn)輛，共涉及9款在售車型。此次召回的原因，是因?yàn)橐恍﹫?chǎng)景下無(wú)法有效識(shí)別物體，導(dǎo)致AEB在該工作的時(shí)候不工作。一般AEB探測(cè)物體依賴傳感器毫米波雷達(dá)和攝像頭兩個(gè)關(guān)鍵傳感器的信息融合。因?yàn)槎嗥绽招?yīng)，毫米波雷達(dá)不擅長(zhǎng)識(shí)別靜態(tài)物體；而攝像頭在霧天或者光線不足等情況下探測(cè)度都會(huì)降低，這些因素都會(huì)導(dǎo)致在一些場(chǎng)景下無(wú)法正確識(shí)別物體從而激活A(yù)EB。

因此，這次召回不是因?yàn)橄到y(tǒng)故障導(dǎo)致的，而是傳感器本身的功能局限導(dǎo)致的。ISO 26262功能安全旨在避免電子電氣系統(tǒng)故障導(dǎo)致功能異常而引起的不合理的危害，功能受限ISO 26262的范疇。為彌補(bǔ)功能安全的局限，預(yù)期功能安全SOTIF (Safety of the Intended Functionality)以及標(biāo)準(zhǔn)ISO 21448便誕生了。

簡(jiǎn)單來(lái)說(shuō)，SOTIF強(qiáng)調(diào)的是避免因?yàn)轭A(yù)期的功能表現(xiàn)局限而導(dǎo)致不合理的風(fēng)險(xiǎn)。

因?yàn)镾OTIF誕生的背景是智能駕駛的發(fā)展，所以如果按照智能駕駛的功能鏈：感知——決策——執(zhí)行來(lái)歸類，“功能表現(xiàn)局限”體現(xiàn)在3個(gè)方面：
（1）傳感器感知局限導(dǎo)致場(chǎng)景識(shí)別錯(cuò)誤
（2）深度學(xué)習(xí)不夠?qū)е聸Q策算法判斷場(chǎng)景錯(cuò)誤
（3）執(zhí)行器功能局限導(dǎo)致與理想目標(biāo)偏差

而從另一個(gè)維度，“功能表現(xiàn)”可以概括為4類：
（1）在危險(xiǎn)場(chǎng)景介入 （正常工作）
（2）在非危險(xiǎn)場(chǎng)景介入 （誤觸發(fā)）
（3）在危險(xiǎn)場(chǎng)景不介入 （漏觸發(fā)）
（4）在非危險(xiǎn)場(chǎng)景不介入（正常關(guān)閉）

第1種和第4種情況沒(méi)有危害，而其余兩種則有危害，也正是SOTIF關(guān)注的危害。要有效避免誤觸發(fā)和漏觸發(fā)，第一步是識(shí)別場(chǎng)景并進(jìn)行分類，確定哪些場(chǎng)景下功能觸發(fā)是安全的，而哪些場(chǎng)景下功能不觸發(fā)是安全的。在OTIF將所有的場(chǎng)景劃分成下圖所示四個(gè)部分，且目標(biāo)為：最大可能減小Area2 (known unsafe scenarios) 和Area3 (unknown unsafe scenarios) 的范圍。

2.2. SOTIF的發(fā)展現(xiàn)狀

目前SOTIF的標(biāo)準(zhǔn)ISO 21448還是draft版本，按照計(jì)劃在2022年3月正式發(fā)布。目前對(duì)于一些關(guān)鍵問(wèn)題仍然存在爭(zhēng)議，這也是ISO 21448遲遲沒(méi)有發(fā)布的重要原因。

舉例來(lái)說(shuō)，而對(duì)于Area3(unknown unsafe scenarios)，處理起來(lái)則相對(duì)棘手很多。舉個(gè)例子，這就好比我們?cè)陂_(kāi)發(fā)一輛將來(lái)投放在中國(guó)市場(chǎng)的車，需要在開(kāi)發(fā)初期事先識(shí)別出一輛車在中國(guó)路況下可能會(huì)碰到的各種場(chǎng)景。我想即使讓全世界頂尖的安全專家坐一起產(chǎn)出也極其有限。

SOTIF對(duì)降低Area3，大體思路如下：

（1）提高系統(tǒng)和零部件功能的可信度。

Validation: set of activities ensuring and gaining confidence that a system is able to accomplish its intended use, goals, and objectives

Note to entry: ......Validation activities address mainly "area 3" of figure 7 including the validation of SOTIF in unknown use cases."

（2）endurance run。

概括來(lái)說(shuō)就是通過(guò)實(shí)車路試和仿真測(cè)試積累大數(shù)據(jù)。當(dāng)數(shù)據(jù)積累越多，越能夠?qū)nknown scenarios變成known scenarios。

積累實(shí)車路試和仿真測(cè)試數(shù)據(jù)是一件耗時(shí)耗力耗材的大規(guī)模工程。這無(wú)疑又給智能駕駛的安全開(kāi)發(fā)增加了成本，另外，搭建可信度高的仿真測(cè)試平臺(tái)也需要巨額成本，成本因素會(huì)給SOTIF的推廣帶來(lái)比較大的挑戰(zhàn)。另一方面，ISO 26262從誕生到被行業(yè)普遍認(rèn)可用并較為熟練運(yùn)用經(jīng)歷了9年，SOTI又會(huì)如何目前仍是一個(gè)問(wèn)號(hào)。

3. 信息安全 （Cyber Security）

3.1. 什么是信息安全？

功能安全和SOTIF研究的對(duì)象是智能駕駛系統(tǒng)自身可能產(chǎn)生的失效，還有另一類失效也是未來(lái)智能駕駛不可忽略的——黑客攻擊。

2015年7月，兩名美國(guó)白帽黑客成功侵入一輛正在行駛的JEEP自由光SUV的CAN總線網(wǎng)絡(luò)系統(tǒng)，向發(fā)動(dòng)機(jī)、變速箱、制動(dòng)、轉(zhuǎn)向等系統(tǒng)發(fā)送錯(cuò)誤指令，最終使這輛車開(kāi)翻到馬路邊的斜坡下。這起案件導(dǎo)致吉普大規(guī)模召回。

為了應(yīng)對(duì)這一種情況，已經(jīng)在互聯(lián)網(wǎng)領(lǐng)域發(fā)展很成熟的信息安全正在被運(yùn)用到汽車開(kāi)發(fā)中。智能駕駛的智能化程度越高，可能被黑客攻擊的點(diǎn)就越多，對(duì)信息安全的需求量更大。

這里需要強(qiáng)調(diào)一點(diǎn)，功能安全和SOTIF以人身安全為核心，但是不是所有的信息安全問(wèn)題都會(huì)導(dǎo)致人身安全。換句話說(shuō)，信息安全除了要考慮人身安全以外，還需要考慮黑客攻擊帶來(lái)的其他風(fēng)險(xiǎn)，比如車輛被偷導(dǎo)致的財(cái)產(chǎn)損失以及隱私泄露風(fēng)險(xiǎn)。

3.2. 信息安全的發(fā)展現(xiàn)狀

2020年車輛信息安全標(biāo)準(zhǔn)ISO 21434，Road Vehicle - Cybersecurity Engineering標(biāo)準(zhǔn)正式發(fā)布，該標(biāo)準(zhǔn)是基于SAE J3061制定的、針對(duì)車輛整個(gè)生命周期的標(biāo)準(zhǔn)。主要涵蓋安全管理、基于項(xiàng)目的網(wǎng)絡(luò)安全管理、持續(xù)的網(wǎng)絡(luò)安全活動(dòng)、相關(guān)風(fēng)險(xiǎn)評(píng)估方法、以及道路車輛概念驗(yàn)證階段，產(chǎn)品開(kāi)發(fā)階段和開(kāi)發(fā)完成后階段的網(wǎng)絡(luò)安全。

對(duì)于該標(biāo)準(zhǔn)如何落地，業(yè)界尚在摸索中。于此同時(shí)，信息安全既然也包括了對(duì)人身傷害的預(yù)防，那么必然和功能安全以及SOTIF有交集，如何將三者的開(kāi)發(fā)有機(jī)聯(lián)系起來(lái)目前還沒(méi)有成熟的方案，這也是亟需解決的關(guān)鍵問(wèn)題。

4. 結(jié)論和展望

通過(guò)上面的介紹可以看到，要保證智能汽車的安全性任重道遠(yuǎn)。希望大家在重視智能汽車便利性的同時(shí)，也更多的關(guān)注智能汽車的安全性。畢竟安全是智能汽車的核心。只有建立在安全的基礎(chǔ)上，其他的技術(shù)才可以稱之為錦上添花而不是雞肋。

當(dāng)然，我們也可以看到，在經(jīng)歷了初期的狂熱后，工程思維的理智慢慢將行業(yè)拉回腳踏實(shí)地的軌道。如今安全越來(lái)越受到汽車行業(yè)的重視，一大批工程師正在為智能駕駛的安全而努力，相信在未來(lái)足夠安全的智能汽車將“飛入尋常百姓家”，造福人類。

本文轉(zhuǎn)自：焉知自動(dòng)駕駛，轉(zhuǎn)載此文目的在于傳遞更多信息，版權(quán)歸原作者所有。