作者 / 浪跡天涯
出品 / 焉知

站在2020年年尾回看智能駕駛，這一年黑科技層出不窮，無疑是一片琳瑯滿目的壯觀景象：超大的顯示屏娛樂功能強大、智能座艙高度數(shù)字化、OTA遠程升級幾乎是新車型標配、ADAS輔助駕駛功能也越來越豐富和實用......至于智能駕駛的終極目標——無人駕駛，在市場的狂熱逐漸退燒后，各大廠家重新制定了自動駕駛計劃。智能汽車正在朝著便利和解放駕駛員的方向上狂奔。

但是，除了給駕駛員帶來便利以外，智能汽車更核心的愿景是減少交通事故，為人類創(chuàng)造更美好的生活。如果解放了駕駛員的同時卻不能保證駕駛員的安全，個人認為智能汽車上的黑科技更多的是錦上添花，而沒有大規(guī)模推廣的意義。

支撐所有智能駕駛技術(shù)的是全新的電子電器系統(tǒng)，而電子電器系統(tǒng)的基本組成是軟件和硬件。從這個角度，智能駕駛的安全就是軟件和硬件的安全。為了讓軟件和硬件足夠安全，無數(shù)的汽車工程師正在行動，并在探索與合作的過程中逐步達成了共識，至少要從三個方面去保證安全：

功能安全 （Functional Safety）
預(yù)期功能安全（Safety of the Intended Functionality）
信息安全 （Cyber Security）

未來的智能汽車在安全上的突破，就是找到這三個方向在汽車上落地量產(chǎn)的可行性方案。而這三個方向的落地之難，從某種程度上也折射出智能駕駛距離終極目標的距離還很遠。本文將對這三個方向的內(nèi)容以及發(fā)展現(xiàn)狀做簡單介紹，嘗試回答落地難在何處，希望給讀者們帶來一些有價值的參考。

1. 功能安全 （Functional Safety）

1.1. 什么是功能安全？

ISO 26262中對功能安全的定義為：

ISO 26262：absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems.（不存在由電子電氣系統(tǒng)的功能異常表現(xiàn)引起的危害而導(dǎo)致不合理的風(fēng)險）

簡而言之，功能安全聚焦系統(tǒng)故障后怎么做。危害有很多類型，如人身傷害或者財產(chǎn)損失等等。功能安全所關(guān)注的危害指對駕駛員或者路人或周邊車輛內(nèi)人員（注意：不僅僅是駕駛員）造成的健康傷害。換句話說，功能安全開發(fā)目的是避免傷人。

功能安全的定義中有一個關(guān)鍵詞“unreasonable”，即“不可被接受的”。就像世界上沒有永動機一樣，世界上也沒有100%安全的系統(tǒng)，因此功能安全追求的是將危害控制在可被接受的范圍。而是否可被接受，需要從兩個維度去衡量：危害的嚴重性和危害發(fā)生的頻率。舉例來說，飛機失事幾乎無人生還，但是正因為飛機失事的概率非常低，所以不影響它成為最重要的交通工具之一；電動車窗發(fā)生卡滯故障的頻率比較高，但是故障不會讓人受傷，因此很多司機甚至只有等到下個月去4S店時才想起來維修它。但是，如果你的車突然在高速上自動加速，估計你馬上停在緊急帶，驚魂未定便馬上打電話給4S店喊著要退車了，因為這種原本可以通過設(shè)計規(guī)避的故障是不可接受的。這也正是功能安全開發(fā)期望避免的故障。

功能安全開發(fā)的目標（截圖來自TUV培訓(xùn)資料）

1.2. 功能安全的發(fā)展現(xiàn)狀

相對于預(yù)期功能安全和信息安全，功能安全的發(fā)展是最成熟的。自2011年功能安全標準ISO 26262正式發(fā)布以來，已經(jīng)過去了快10年。這這段時間里，在汽車智能化高速發(fā)展的驅(qū)動下，功能安全越來越被汽車行業(yè)接受，國內(nèi)外各大主流汽車企業(yè)陸陸續(xù)續(xù)將ISO 26262的需求融入自己的研發(fā)體系和流程中，以保證安全能跟上電子電器系統(tǒng)快速變革的步伐，保證輔助駕駛功能不僅好用而且安全。借著這股東風(fēng)，ISO 26262一路“平步青云”，功能安全儼然成為了汽車研發(fā)的新興熱門話題。

但是，隨著更高階的自動駕駛的開發(fā)思路越來越清晰，功能安全也漸露窘色。

相比較輔助駕駛，自動駕駛最大的難點在于系統(tǒng)在出現(xiàn)故障之后，需要系統(tǒng)來自己操作避免事故（自動駕駛等級越高，駕駛員可以越晚介入接管甚至是完全不用接管），出了事故是廠家的責任而不是駕駛員的責任。

這正是為什么之前特斯拉被告虛假宣傳，從而不得不將其宣稱的“自動駕駛”改成“增強版輔助駕駛”的原因。因為特斯拉的Autopilot功能正常工作的時候，表現(xiàn)得確實是無人駕駛，而一旦出現(xiàn)異常，卻是由駕駛員來擔責。

故障發(fā)生后，系統(tǒng)從報警變成了繼續(xù)進行安全控制，可以預(yù)見，功能安全的開發(fā)難度以及功能安全對系統(tǒng)架構(gòu)的要求都產(chǎn)生了質(zhì)的改變。汽車實現(xiàn)自動駕駛實際上和已經(jīng)實現(xiàn)了自動駕駛的飛機的設(shè)計思路類似。飛機的自動駕駛是怎么保證的呢？除了盡可能保證零部件可靠性之外，飛機會有兩個發(fā)動機，保證在一個發(fā)動機故障以后另一個仍能保證安全飛行。這就是“冗余設(shè)計”的概念。冗余設(shè)計在飛機上到處可見，比如兩個獨立運行的計算機系統(tǒng)，兩套獨立的供電系統(tǒng)等等。

回到汽車自動駕駛上，同樣對關(guān)鍵部件采用冗余設(shè)計，保證當故障發(fā)生后備份系統(tǒng)仍能保證車輛正常運行。可以預(yù)見的是，自動駕駛的大腦控制系統(tǒng)、制動系統(tǒng)、轉(zhuǎn)向系統(tǒng)、供電系統(tǒng)等都需要冗余。

但是，冗余一方面意味著部件數(shù)量增加，成本上升；另一方面，功能安全中會對系統(tǒng)故障可能導(dǎo)致的危害事件進行分級，簡單來說從ASIL A到ASIL D危害程度逐漸升高。那么開發(fā)要求也逐漸升高。比如單就硬件開發(fā)而言，ASIL D對單點故障度量（SPFM, signal point fault metrics）、潛在故障度量(LFM, Latent fault metrics)等的指標要求近乎苛刻。

ISO 26262對不同ASIL等級的硬件開發(fā)指標

而對于需要冗余的制動系統(tǒng)、轉(zhuǎn)向系統(tǒng)、大腦控制系統(tǒng)等而言，它們的失效都會引起一些ASIL D的危害事件，換句話說，這些系統(tǒng)的開發(fā)需求中至少有一部分是有最嚴苛的ASIL D要求的。如今兩套冗余都需要滿足這些要求，無疑增加了開發(fā)難度和開發(fā)成本。

但是汽車開發(fā)又不得不面對這樣的現(xiàn)實：和飛機不同，汽車的利潤比飛機的利潤低得多，全靠走量，如果不計成本，那么即使實現(xiàn)了安全系數(shù)很高的自動駕駛系統(tǒng)，也會因為價格過高而不被市場認可。如何在功能和安全之間找到平衡，是功能安全在自動駕駛汽車上面臨的挑戰(zhàn)之一，也是未來在智能駕駛汽車上真正落地功能安全的關(guān)鍵。

2. 預(yù)期功能安全 （SOTIF, Safety of the Intended Functionality）

2.1. 什么是SOTIF?

在回答這個問題之前，先問一個問題：就算不計成本地保證了智能駕駛系統(tǒng)的功能安全，這個系統(tǒng)是否就足夠安全了呢？

我們不妨先來看一個召回的案例。

2020年3月19日，由于自動緊急制動系統(tǒng)（Autonomous Emergency Braking, AEB）存在故障，沃爾沃汽車宣布在全球范圍內(nèi)召回汽車近74萬輛，共涉及9款在售車型。此次召回的原因，是因為一些場景下無法有效識別物體，導(dǎo)致AEB在該工作的時候不工作。一般AEB探測物體依賴傳感器毫米波雷達和攝像頭兩個關(guān)鍵傳感器的信息融合。因為多普勒效應(yīng)，毫米波雷達不擅長識別靜態(tài)物體；而攝像頭在霧天或者光線不足等情況下探測度都會降低，這些因素都會導(dǎo)致在一些場景下無法正確識別物體從而激活A(yù)EB。

因此，這次召回不是因為系統(tǒng)故障導(dǎo)致的，而是傳感器本身的功能局限導(dǎo)致的。ISO 26262功能安全旨在避免電子電氣系統(tǒng)故障導(dǎo)致功能異常而引起的不合理的危害，功能受限ISO 26262的范疇。為彌補功能安全的局限，預(yù)期功能安全SOTIF (Safety of the Intended Functionality)以及標準ISO 21448便誕生了。

簡單來說，SOTIF強調(diào)的是避免因為預(yù)期的功能表現(xiàn)局限而導(dǎo)致不合理的風(fēng)險。

因為SOTIF誕生的背景是智能駕駛的發(fā)展，所以如果按照智能駕駛的功能鏈：感知——決策——執(zhí)行來歸類，“功能表現(xiàn)局限”體現(xiàn)在3個方面：
（1）傳感器感知局限導(dǎo)致場景識別錯誤
（2）深度學(xué)習(xí)不夠?qū)е聸Q策算法判斷場景錯誤
（3）執(zhí)行器功能局限導(dǎo)致與理想目標偏差

而從另一個維度，“功能表現(xiàn)”可以概括為4類：
（1）在危險場景介入 （正常工作）
（2）在非危險場景介入 （誤觸發(fā)）
（3）在危險場景不介入 （漏觸發(fā)）
（4）在非危險場景不介入（正常關(guān)閉）

第1種和第4種情況沒有危害，而其余兩種則有危害，也正是SOTIF關(guān)注的危害。要有效避免誤觸發(fā)和漏觸發(fā)，第一步是識別場景并進行分類，確定哪些場景下功能觸發(fā)是安全的，而哪些場景下功能不觸發(fā)是安全的。在OTIF將所有的場景劃分成下圖所示四個部分，且目標為：最大可能減小Area2 (known unsafe scenarios) 和Area3 (unknown unsafe scenarios) 的范圍。

圖片來自ISO 21448

2.2. SOTIF的發(fā)展現(xiàn)狀

目前SOTIF的標準ISO 21448還是draft版本，按照計劃在2022年3月正式發(fā)布。目前對于一些關(guān)鍵問題仍然存在爭議，這也是ISO 21448遲遲沒有發(fā)布的重要原因。

ISO 21448計劃表

舉例來說，而對于Area3(unknown unsafe scenarios)，處理起來則相對棘手很多。舉個例子，這就好比我們在開發(fā)一輛將來投放在中國市場的車，需要在開發(fā)初期事先識別出一輛車在中國路況下可能會碰到的各種場景。我想即使讓全世界頂尖的安全專家坐一起產(chǎn)出也極其有限。

SOTIF對降低Area3，大體思路如下：

（1）提高系統(tǒng)和零部件功能的可信度。

Validation: set of activities ensuring and gaining confidence that a system is able to accomplish its intended use, goals, and objectives

Note to entry: ......Validation activities address mainly "area 3" of figure 7 including the validation of SOTIF in unknown use cases."

（2）endurance run。

概括來說就是通過實車路試和仿真測試積累大數(shù)據(jù)。當數(shù)據(jù)積累越多，越能夠?qū)nknown scenarios變成known scenarios。

積累實車路試和仿真測試數(shù)據(jù)是一件耗時耗力耗材的大規(guī)模工程。這無疑又給智能駕駛的安全開發(fā)增加了成本，另外，搭建可信度高的仿真測試平臺也需要巨額成本，成本因素會給SOTIF的推廣帶來比較大的挑戰(zhàn)。另一方面，ISO 26262從誕生到被行業(yè)普遍認可用并較為熟練運用經(jīng)歷了9年，SOTI又會如何目前仍是一個問號。

3. 信息安全 （Cyber Security）

3.1. 什么是信息安全？

功能安全和SOTIF研究的對象是智能駕駛系統(tǒng)自身可能產(chǎn)生的失效，還有另一類失效也是未來智能駕駛不可忽略的——黑客攻擊。

2015年7月，兩名美國白帽黑客成功侵入一輛正在行駛的JEEP自由光SUV的CAN總線網(wǎng)絡(luò)系統(tǒng)，向發(fā)動機、變速箱、制動、轉(zhuǎn)向等系統(tǒng)發(fā)送錯誤指令，最終使這輛車開翻到馬路邊的斜坡下。這起案件導(dǎo)致吉普大規(guī)模召回。

為了應(yīng)對這一種情況，已經(jīng)在互聯(lián)網(wǎng)領(lǐng)域發(fā)展很成熟的信息安全正在被運用到汽車開發(fā)中。智能駕駛的智能化程度越高，可能被黑客攻擊的點就越多，對信息安全的需求量更大。

這里需要強調(diào)一點，功能安全和SOTIF以人身安全為核心，但是不是所有的信息安全問題都會導(dǎo)致人身安全。換句話說，信息安全除了要考慮人身安全以外，還需要考慮黑客攻擊帶來的其他風(fēng)險，比如車輛被偷導(dǎo)致的財產(chǎn)損失以及隱私泄露風(fēng)險。

3.2. 信息安全的發(fā)展現(xiàn)狀

2020年車輛信息安全標準ISO 21434，Road Vehicle - Cybersecurity Engineering標準正式發(fā)布，該標準是基于SAE J3061制定的、針對車輛整個生命周期的標準。主要涵蓋安全管理、基于項目的網(wǎng)絡(luò)安全管理、持續(xù)的網(wǎng)絡(luò)安全活動、相關(guān)風(fēng)險評估方法、以及道路車輛概念驗證階段，產(chǎn)品開發(fā)階段和開發(fā)完成后階段的網(wǎng)絡(luò)安全。

對于該標準如何落地，業(yè)界尚在摸索中。于此同時，信息安全既然也包括了對人身傷害的預(yù)防，那么必然和功能安全以及SOTIF有交集，如何將三者的開發(fā)有機聯(lián)系起來目前還沒有成熟的方案，這也是亟需解決的關(guān)鍵問題。

4. 結(jié)論和展望

通過上面的介紹可以看到，要保證智能汽車的安全性任重道遠。希望大家在重視智能汽車便利性的同時，也更多的關(guān)注智能汽車的安全性。畢竟安全是智能汽車的核心。只有建立在安全的基礎(chǔ)上，其他的技術(shù)才可以稱之為錦上添花而不是雞肋。

當然，我們也可以看到，在經(jīng)歷了初期的狂熱后，工程思維的理智慢慢將行業(yè)拉回腳踏實地的軌道。如今安全越來越受到汽車行業(yè)的重視，一大批工程師正在為智能駕駛的安全而努力，相信在未來足夠安全的智能汽車將“飛入尋常百姓家”，造福人類。

本文轉(zhuǎn)自：焉知自動駕駛，轉(zhuǎn)載此文目的在于傳遞更多信息，版權(quán)歸原作者所有。

審核編輯：何安