自動(dòng)駕駛不斷發(fā)展 安全無(wú)憂出行才是最后的目標(biāo)

大部分汽車(chē)創(chuàng)新和特性相關(guān)新聞中都開(kāi)始提及全球三大趨勢(shì)——汽車(chē)的互聯(lián)化、電氣化和自動(dòng)化。這三大趨勢(shì)塑造著當(dāng)前大環(huán)境，在創(chuàng)新和財(cái)務(wù)回報(bào)方面為企業(yè)提供了千載難逢的機(jī)遇，更重要的是，這些趨勢(shì)還創(chuàng)造了一項(xiàng)重大的使命——

類(lèi)似最初在瑞典提出的“Vision Zero”等項(xiàng)目旨在減少因交通事故造成的傷亡，并在全球多個(gè)轄區(qū)作為一種模式進(jìn)行推廣。另一個(gè)類(lèi)似的項(xiàng)目是由美國(guó)國(guó)家安全委員會(huì)提出的“Road To Zero”，旨在將每年130萬(wàn)的道路交通死亡人數(shù)降至零。

互聯(lián)化和自動(dòng)化技術(shù)為保障安全無(wú)憂出行奠定了基礎(chǔ) （National Safety Council， 2018）。

汽車(chē)安全的技術(shù)挑戰(zhàn)

讓車(chē)輛成為“車(chē)輪上的服務(wù)器”，這不僅關(guān)系到新型車(chē)輛的車(chē)載計(jì)算水平，而且還關(guān)系到車(chē)輛與車(chē)輛外部各種系統(tǒng)間的連接。最基本的系統(tǒng)之一就是全球?qū)Ш叫l(wèi)星系統(tǒng)（GNSS），包括GPS定位、DSRC或基于移動(dòng)網(wǎng)絡(luò)的車(chē)輛對(duì)車(chē)輛（V2V）和車(chē)輛對(duì)基礎(chǔ)設(shè)施（V2I）技術(shù)，它們?cè)试S車(chē)輛與其他車(chē)輛和基礎(chǔ)設(shè)施通信，如用于狀況感知的交通信號(hào)燈以及用于信息娛樂(lè)的數(shù)據(jù)連接。互聯(lián)性對(duì)于軟件維護(hù)和更新也十分重要。美國(guó)的普通駕駛員平均每天在車(chē)?yán)锎?個(gè)小時(shí) （AAA FoundaTIon for Traffic Safety， 2019），在車(chē)?yán)锏拇蟛糠謺r(shí)間里，互聯(lián)性對(duì)于提供娛樂(lè)和效用來(lái)說(shuō)必不可少。

一個(gè)安全的系統(tǒng)需要可靠的設(shè)備，以防因設(shè)備故障發(fā)生事故；需要功能安全，以防因系統(tǒng)故障導(dǎo)致事故；還需要安全防護(hù)，以防因系統(tǒng)遭到黑客攻擊發(fā)生事故。這些功能的有機(jī)結(jié)合有效防范了人為錯(cuò)誤，從而提高了車(chē)輛的總體安全性。

安全系統(tǒng)的要素

安全防護(hù)對(duì)于互聯(lián)車(chē)輛和自動(dòng)駕駛車(chē)輛來(lái)說(shuō)不可或缺，否則其功能安全性就會(huì)受到損害。自2015年以來(lái)，已發(fā)生超過(guò)25起車(chē)輛黑客事故，最嚴(yán)重的一次公開(kāi)事故影響了140萬(wàn)輛汽車(chē) （Drozhzhin， 2015）。到2030年，汽車(chē)所產(chǎn)生數(shù)據(jù)估值將達(dá)到7500億美元 （McKinsey & Company， 2016）。汽車(chē)系統(tǒng)十分復(fù)雜，每輛車(chē)有100多個(gè)ECU和1億多行代碼，高復(fù)雜性可能會(huì)造成更多無(wú)法預(yù)見(jiàn)的漏洞，就像大規(guī)模召回的情況一樣。隨著無(wú)線接口的廣泛應(yīng)用，允許不對(duì)車(chē)輛進(jìn)行物理訪問(wèn)即可修復(fù)安全漏洞。

與其他非汽車(chē)應(yīng)用的安全嵌入式電子系統(tǒng)類(lèi)似，業(yè)內(nèi)通過(guò)在汽車(chē)設(shè)計(jì)中采用先進(jìn)的核心安全原則來(lái)解決這些安全性挑戰(zhàn)。 汽車(chē)的外部接口不但需要抵御物理攻擊，還需要保持通信的完整性和保密性。這就需要安全的域隔離，并且系統(tǒng)也需要能夠抵御邏輯攻擊。車(chē)輛內(nèi)部通信，以及各種ECU和汽車(chē)MCU的軟件操作，都需要得到保障。 需要車(chē)輛網(wǎng)關(guān)來(lái)安全可靠地互連和處理這些異構(gòu)車(chē)載網(wǎng)絡(luò)中的數(shù)據(jù)。 網(wǎng)關(guān)提供物理隔離和協(xié)議轉(zhuǎn)換，用于在功能域（動(dòng)力傳動(dòng)、底盤(pán)與安全系統(tǒng)、車(chē)身控制、信息娛樂(lè)、遠(yuǎn)程信息處理、ADAS）之間路由數(shù)據(jù)。功能域通過(guò)共享數(shù)據(jù)實(shí)現(xiàn)新功能。通過(guò)網(wǎng)關(guān)，工程師可設(shè)計(jì)出更穩(wěn)健、功能性更強(qiáng)的車(chē)載網(wǎng)絡(luò)，從而增強(qiáng)駕駛體驗(yàn) （Simacsek， 2019）。

核心安全原則

車(chē)輛制造商（OEM）積極致力于研發(fā)新功能，以期從競(jìng)爭(zhēng)中脫穎而出。自動(dòng)駕駛需要安全連接和功能域ECU之間的高帶寬通信，因此要想實(shí)現(xiàn)自動(dòng)駕駛，網(wǎng)關(guān)必不可少。 網(wǎng)關(guān)作為車(chē)載網(wǎng)絡(luò)的核心，也非常適合用來(lái)支持全車(chē)范圍的應(yīng)用，如無(wú)線（OTA）更新和車(chē)輛數(shù)據(jù)分析，以及與OEM服務(wù)器（云）的安全通信。

網(wǎng)關(guān)具有對(duì)車(chē)輛數(shù)據(jù)的中央訪問(wèn)權(quán)

機(jī)器學(xué)習(xí)（ML）技術(shù)在自動(dòng)駕駛系統(tǒng)中的應(yīng)用創(chuàng)造了其他潛在的攻擊手段。系統(tǒng)需要能夠避免機(jī)器學(xué)習(xí)模型可能被盜的情況，或者提供識(shí)別被盜機(jī)器學(xué)習(xí)模型的方法。系統(tǒng)需要防止用戶(hù)生物識(shí)別信息等與隱私相關(guān)的信息丟失，如果車(chē)輛具有用戶(hù)識(shí)別功能，那就可以用對(duì)抗性的方法保護(hù)系統(tǒng)免受這些系統(tǒng)的欺騙。機(jī)器學(xué)習(xí)還可以通過(guò)檢測(cè)異常情況來(lái)防范這些攻擊，或用于建立更強(qiáng)大的防御機(jī)制。

汽車(chē)安全的標(biāo)準(zhǔn)考量

安全性是一種法律責(zé)任，因此對(duì)于汽車(chē)市場(chǎng)來(lái)說(shuō)至關(guān)重要。用戶(hù)需要能夠相信他們的車(chē)輛會(huì)做它應(yīng)該做的事情。安全性還可以實(shí)現(xiàn)平臺(tái)合并和系統(tǒng)一致性。隨著自動(dòng)化等級(jí)超過(guò)SAE 2級(jí)（L2），持續(xù)監(jiān)控駕駛環(huán)境的責(zé)任也從人類(lèi)駕駛員轉(zhuǎn)移到了自動(dòng)駕駛系統(tǒng)。

安全概念的演變

傳統(tǒng)的汽車(chē)安全，如ISO 26262等標(biāo)準(zhǔn)的功能安全定義，根據(jù)風(fēng)險(xiǎn)的嚴(yán)重性、暴露率和可控性提供汽車(chē)安全完整性等級(jí)（ASIL）。這項(xiàng)標(biāo)準(zhǔn)還定義了V開(kāi)發(fā)模型，要求完全指定組件特性及其相應(yīng)的規(guī)范和可追蹤性，按照其規(guī)范所做的修改也應(yīng)可檢測(cè)。利用數(shù)據(jù)庫(kù)訓(xùn)練機(jī)器學(xué)習(xí)模型，累積的訓(xùn)練會(huì)違背初始時(shí)組件特性均已指定的假設(shè)。此外，自動(dòng)駕駛系統(tǒng)利用機(jī)器學(xué)習(xí)時(shí)，將軟件組件的層級(jí)架構(gòu)實(shí)施成端到端的解決方案，這違背了ISO 26262標(biāo)準(zhǔn)的模塊化方案 （Salay & Czarnecki， 2018）。

自動(dòng)駕駛系統(tǒng)的安全性不僅要注重傳統(tǒng)的功能安全性，還要考慮行為安全性。作為駕駛策略的一部分，自動(dòng)駕駛系統(tǒng)需要學(xué)習(xí)與非自動(dòng)車(chē)輛和行人交互。它們需要學(xué)習(xí)預(yù)測(cè)其他參與方的行為，還需要預(yù)測(cè)危險(xiǎn)和安全關(guān)鍵的情況，即便是邊緣情況也不例外。自動(dòng)駕駛系統(tǒng)需要防范周?chē)鷦?dòng)態(tài)環(huán)境可能帶來(lái)的風(fēng)險(xiǎn)，即使是在硬件或軟件無(wú)故障的情況下。

汽車(chē)安全專(zhuān)家正在開(kāi)發(fā)ISO/PAS 21448標(biāo)準(zhǔn)，即預(yù)期功能安全（SOTIF），用于涵蓋ISO 26262未涉及的場(chǎng)景。對(duì)于某些場(chǎng)景來(lái)說(shuō)，為開(kāi)發(fā)ISO/PAS 21448 SOTIF所進(jìn)行的大量工作并未有效覆蓋邊緣情況以及不安全的未知條件。對(duì)于自動(dòng)駕駛市場(chǎng)的其他場(chǎng)景來(lái)說(shuō)，這項(xiàng)標(biāo)準(zhǔn)可能會(huì)限制或扼殺創(chuàng)新，特別是它關(guān)系到自動(dòng)駕駛領(lǐng)域機(jī)器學(xué)習(xí)的使用。

實(shí)現(xiàn)自動(dòng)駕駛的安全

為了實(shí)現(xiàn)安全無(wú)憂的自動(dòng)駕駛，系統(tǒng)需要具備以下特性：

?可靠：超低故障率（汽車(chē)級(jí)品質(zhì)）

?安全：強(qiáng)大的故障檢測(cè)能力（ISO 26262 ASIL D）

?可用：正確操作準(zhǔn)備就緒（能夠區(qū)分安全相關(guān)和非安全相關(guān)的故障）

?容錯(cuò)：即便在發(fā)生故障時(shí)，也可以繼續(xù)操作（降低性能/功能，僅可繼續(xù)操作重要功能）

?可信賴(lài)：故障預(yù)測(cè)功能能夠提前檢測(cè)故障（離線測(cè)試）

安全概念的演變，行業(yè)方法SAE自動(dòng)駕駛分類(lèi)較低級(jí)別中的大部分輔助功能都是“故障防護(hù)”系統(tǒng)，這意味著一旦發(fā)生故障，系統(tǒng)將會(huì)進(jìn)入安全模式。在L0、L1自動(dòng)駕駛功能的情況下，系統(tǒng)依靠駕駛員對(duì)車(chē)輛繼續(xù)進(jìn)行安全操作。在當(dāng)前的L2和L3系統(tǒng)中，我們期望系統(tǒng)能夠具備更高級(jí)的可用性，能夠識(shí)別故障并以降低性能的模式繼續(xù)運(yùn)行，僅在部分情況下依賴(lài)駕駛員。預(yù)計(jì)L4和L5系統(tǒng)將可以在發(fā)生故障后繼續(xù)運(yùn)行，這意味著當(dāng)系統(tǒng)檢測(cè)到故障后，系統(tǒng)內(nèi)置足夠的冗余來(lái)容錯(cuò)，以便繼續(xù)全面運(yùn)行足夠長(zhǎng)的時(shí)間，直到系統(tǒng)將車(chē)輛恢復(fù)到安全狀態(tài)。 當(dāng)出現(xiàn)故障時(shí)，切換到人類(lèi)駕駛員是L0至L3系統(tǒng)的一個(gè)關(guān)鍵部分。要實(shí)現(xiàn)從自動(dòng)駕駛系統(tǒng)到人類(lèi)駕駛員的切換，需要進(jìn)行大量研究工作。

Eriksson和Stanton的研究發(fā)現(xiàn)，在非緊急情況下，完成切換所需時(shí)間從2至26秒不等，如果駕駛員收到切換請(qǐng)求時(shí)正在進(jìn)行其他任務(wù)，所需的時(shí)間會(huì)更長(zhǎng)。請(qǐng)記住，車(chē)輛在高速公路上自動(dòng)駕駛時(shí)，高速行駛下的速度超過(guò)每秒25米。在最快的反應(yīng)時(shí)間下，車(chē)輛需要行駛半個(gè)足球場(chǎng)的路程才能完成切換，在最慢的反應(yīng)時(shí)間下，車(chē)輛則需要行駛將近6個(gè)足球場(chǎng)的路程才能完成切換。在緊急情況下，駕駛員的反應(yīng)會(huì)比較慢，并且人類(lèi)駕駛員可能會(huì)做出錯(cuò)誤的決策，造成交通事故 （Eriksson & Stanton， 2017）?；谶@種情況，恩智浦認(rèn)為實(shí)現(xiàn)安全無(wú)憂出行需要L2甚至更高級(jí)的自動(dòng)駕駛系統(tǒng)，才能使其在發(fā)生故障后繼續(xù)運(yùn)行，至少能夠安全停車(chē)。

安全概念的演變，恩智浦方法

當(dāng)爭(zhēng)論被表述為安全的自動(dòng)駕駛系統(tǒng)要始終遵守交通規(guī)則時(shí)，我們?cè)诂F(xiàn)實(shí)世界中卻會(huì)觀察到與嚴(yán)格的規(guī)則相應(yīng)、有時(shí)候甚至是相反的某些場(chǎng)景，存在社會(huì)規(guī)范可以使大多數(shù)復(fù)雜的系統(tǒng)進(jìn)行更高效的運(yùn)作。這些社會(huì)規(guī)范允許在某些情況下違反交通規(guī)則，比如在即將駛?cè)胲?chē)道時(shí)，繞過(guò)拋錨車(chē)輛或被攔下的車(chē)輛。有時(shí)，違反交通規(guī)則并不是故意為之，而是避免交通事故的必要措施。自動(dòng)駕駛系統(tǒng)需要配有決策矩陣，從而選擇可接受的違反交通規(guī)則的方式，以實(shí)現(xiàn)更安全、高效的駕駛。

（有時(shí)）需要遵守的規(guī)則

自動(dòng)駕駛汽車(chē)需要確保采取的任何措施都不會(huì)危及生命安全。這給安全工程師驗(yàn)證車(chē)輛安全性帶來(lái)了很大的壓力，然而并沒(méi)有令人滿意的方法來(lái)驗(yàn)證自動(dòng)駕駛汽車(chē)永遠(yuǎn)安全運(yùn)行。 自動(dòng)駕駛系統(tǒng)架構(gòu)分為兩個(gè)功能域：1） 建模域，對(duì)環(huán)境進(jìn)行監(jiān)控和建模；2） 規(guī)劃域，用于制定行為策略和規(guī)劃，并進(jìn)行路徑選擇。系統(tǒng)分為兩個(gè)功能域，每個(gè)功能域由多種設(shè)備組成，使其具有更優(yōu)的可擴(kuò)展性和異質(zhì)性，每個(gè)功能域還可根據(jù)特定的應(yīng)用要求提供高效的計(jì)算架構(gòu)匹配。如果不了解系統(tǒng)的決策機(jī)制，那就無(wú)法保證其安全性。這就是大型端到端系統(tǒng)處理感知和規(guī)劃時(shí)所涉及的問(wèn)題。配有接收傳感器輸入和提供驅(qū)動(dòng)指令輸出的封閉式黑盒方法很難進(jìn)行驗(yàn)證和調(diào)試，而且也很難擴(kuò)展到新的算法、傳感器解決方案和計(jì)算。相對(duì)于端到端解決方案，建模和規(guī)劃分區(qū)架構(gòu)更有利于實(shí)現(xiàn)系統(tǒng)的安全性。

高水平分區(qū)自動(dòng)駕駛系統(tǒng)世界上大多數(shù)汽車(chē)制造商都在研發(fā)自動(dòng)駕駛技術(shù)，到2050年，自動(dòng)駕駛市場(chǎng)估值將達(dá)到7萬(wàn)億美元。安全性和防護(hù)性是輔助駕駛和自動(dòng)駕駛系統(tǒng)成功為消費(fèi)者部署并采用的基石。

恩智浦認(rèn)為ISO 26262和ISO/PAS 21448（SOTIF）在定義安全自動(dòng)駕駛系統(tǒng)方面互為補(bǔ)充且不可或缺。ISO 26262可解決因電子系統(tǒng)故障造成的安全風(fēng)險(xiǎn)，ISO/PAS 21448 SOTIF為設(shè)計(jì)驗(yàn)證和確認(rèn)任務(wù)提供指導(dǎo)，以檢測(cè)因定義或設(shè)計(jì)缺陷導(dǎo)致的功能行為故障。

最后 能夠放松身心、處理郵件或看看喜歡的節(jié)目，而不是真正的開(kāi)車(chē)上下班，這是某些駕駛員夢(mèng)想的便利場(chǎng)景。我們真正的目標(biāo)是確保您通過(guò)安全連接充分享受這些功能，同時(shí)通過(guò)系統(tǒng)內(nèi)置的安全無(wú)憂出行技術(shù)為您和周?chē)鸟{駛員提供更高的安全性。