随着道路上的自动驾驶汽车越来越多,确保这些车辆的安全变得越来越重要。到目前为止,ISO 26262一直是汽车行业实际采用的标准,用于确保工程和开发团队解决汽车中的功能安全隐患,例如软件错误和硬件故障。ISO 26262侧重于车辆电子和电气系统故障可能导致的危险。随着时间的推移,很明显,ISO 26262所提供的故障检测和缓解措施已不足以涵盖自动驾驶汽车所面临的新挑战,因此ISO 26262的制定者们着手创建了一个独立的新标准——ISO/PAS 21448,称为“预期功能安全”(SOTIF)。SOTIF是一种框架,提供了一种对安全问题的思考方法,能帮助我们弄清楚某些事情是如何威胁自动驾驶的,并了解高级驾驶辅助系统(Advanced Driver Assistant System,ADAS)和自动驾驶汽车(Autonomous Vehicle,AV)对现实世界理解方面的缺陷。例如,即使软件和硬件都没有出现故障,传感器融合算法也可能会识别错误,最终导致自动驾驶汽车行为不当。
ISO 26262和ISO/PAS 21448的标准制定者包括来自不同国家和地区的标准专家以及具有丰富经验的汽车公司的工程师。在标准组中,不同参与者要达成共识,这是最难的。他们决定不让ISO/PAS 21448成为ISO 26262的一部分,而是将其作为独立的标准,然而在ISO/PAS 21448是只涵盖L2级别的汽车,还是应该包括L3、L4和L5级别的汽车这一问题上存在分歧。来自传统车企的成员倾向于只覆盖L2级别,而来自科技巨头的成员则想把L3、L4和L5囊括进去。最终该小组选择覆盖L2到L5。最后,关于“ISO/PAS 21448是否仅应用于量产的自动驾驶系统”的问题,大家一直争论不断,一些人坚持认为,路上用于测试的自动驾驶车辆应免于ISO/PAS 21448,因为很多测试车辆的技术不符合该标准。对此,该小组最终妥协,仅将ISO/PAS 21448的部分要求应用于测试车辆。
近年来,人们已经认识到,仅对随机故障做出正确反应可能仍然无法为预期功能提供足够的安全性。ISO/PAS 21448关注的是在没有故障的情况下保证预期功能的安全性,这与传统的功能安全形成对比,传统的功能安全关注的是降低系统故障导致的风险。SOTIF的定义如图1-15所示。
图1-15 SOTIF的定义
虽然人类迈向自动驾驶汽车的步伐很快,但是对于真正保证自动驾驶汽车的安全,笔者看到了SOTIF也没有解决的两个主要挑战:一是车辆层面的系统和软件架构;二是系统的验证和确认。
谈到自动驾驶,这里还必须提到UL 4600标准。基于人工智能的自动驾驶汽车运行在黑匣子中的机器学习算法上,其内部运作几乎是不确定的。既然如此,科技公司和汽车制造商使用什么策略来验证其自动驾驶汽车的安全性?在此背景下,美国保险商实验室(Underwriters Laboratories,UL)完成了首个自动驾驶汽车标准,即名为UL 4600的标准,该标准可在ULstandards.com上获取。UL表示,UL 4600包括设计过程、测试、工具鉴定、自主权验证、数据完整性和非驾驶员人机交互的风险分析和安全相关方面。UL 4600标准技术小组由32名具有投票权的成员组成,这些成员分别来自政府机构、学术界、自动驾驶汽车开发商、技术供应商、测试和标准组织以及保险公司等。
UL 4600是汽车安全标准中一个相对较新的标准。既然ISO 26262已经存在,而ISO/PAS 21448正在开发中,为什么汽车世界还需要另一个标准UL 4600?UL 4600与其他标准的区别在于,它有个重要前提,即假设系统没有负责任的人类驾驶员,而ISO 26262和ISO/PAS 21448等现有标准的设想是针对最终由人类驾驶员负责车辆安全操作而展开的。UL 4600与其他标准的联系如图1-16所示。
图1-16 UL 4600与其他标准的联系
(图片来源:Phil Koopman,Edge Case Research)
换句话说,与其他标准相比,在开发自动驾驶汽车的过程中,预计UL 4600将更具规范性,ISO 26262和ISO/PAS 21448将安全作为目标,而UL 4600则提供了一个准则。