汽車功能安全標準 ISO 26262 的制定者們真是一幫不安於現狀的人,因為他們又開始新標準的制定,即 ISO 21448,也被稱為“預期功能安全”(SOTIF)。
雖然是個獨立的新標準,但新的 ISO 21448 其實是 ISO 26262 的補充,它填補了老標準中的空缺。SOTIF 的誕生也是 ADAS 與自動駕駛普及大背景下的必然結果,它是預防不合理風險的一道防線。
事實上,即使 ADAS 和自動駕駛系統的硬件符合 ISO 26262 標準,且軟件沒有軟件故障,也還是有可能在路上遇到麻煩。
“我們不認為 ISO 26262 足以確保安全。”英特爾功能安全技術專家 Riccardo Mariani 說。“Uber 自動駕駛測試車的致命事故和一系列噩耗還是讓人無法放心。”
完美軟件、符合 ISO 26262 的硬件並不是終極組合,因為符合這兩項的汽車,在路上行駛時,變量可不止這兩個。
舉例來說,傳感器或系統性能限制、道路環境的突然變化和駕駛員對車輛功能的誤用,都有可能導致車毀人亡,如果機器學習算法無法正確分析路況,也會帶來大麻煩。
關於 SOTIF,外媒 EE Times 採訪了多位業內專家,他們的共識是:一致認為新的標準“野心相當大”。他們還發現,自動駕駛行業的兩大陣營——傳統汽車製造商/一級供應商與新入局的科技公司在許多問題上很難達成一致,因此 SOFIT 的定義以及未來到底會結出什麼果實現在沒人敢妄加猜測。
去年 11 月,來自多個國家的代表和汽車技術業內人士就參與了在意大利舉辦的 ISO“預會”(英特爾主辦),而幾周後他們將在上海再次會面。
ISO 上海大會之前,一部分新增議題也提前曝光,比如新標準的“用例”、“定義”、“AI 要求”和“高清地圖”等。屆時,與會人員將詳細審閱所有信息併為標準所涉範圍下一個定義。
“上海大會之後,SOTIF 就不接受新的議題輸入了。”Mariani 解釋。
SOTIF 並非“說明性”標準
在業內專家看來,SOFIT 確實是當前的熱門議題,雖然相當重要但卻充滿挑戰。
Edge Case Research 聯合創始人兼 CEO Michael Wagner 將 SOFIT 視作解決“自動駕駛汽車安全風險”(沒有零部件失靈情況下)的重要成果。
不過,當參會人員想定義什麼是“未知、不安全”的情況時,恐怕大家就難達成一致,因為關於這些問題的討論會陷入理論與哲學的怪圈中。
“我們是車輛安全的踐行者,而不是哲學家。”Wagner 說道。“我們必須理解風險埋藏在哪,對它們進行區分,拿出一個化解風險的方案並對其進行驗證。”
Wagner 還拿 SOTIF 和 UL電氣安全認證做了對比。他認為“UL 認證帶有明顯的說明性”,這一認證是用來解決產品合規問題的,它能告訴你“這樣做的後果和不這樣做的後果”。
簡言之,橫在 SOFIT 面前的一座大山是經驗的嚴重缺乏,畢竟自動駕駛是新事物。此外,新標準還得持續追趕“熱點”,因為自動駕駛技術的更新換代實在太快了。
“你不知道自己不知道什麼”
關於 SOTIF,VSI Labs 創始人 Phil Magney 也有自己的看法。
他指出,“你不知道自己不知道什麼”的事情,在主動安全系統和自動駕駛功能中太常見了,而這是 SOTIF 的前提。想讓這個標準落地,你必須識別出那些未知且不安全的部分,然後將它們的風險級別降到可接受範圍內。
*已知/未知和安全/危險情況分類
顯然,Magney 認為,即使 ADAS 或自動駕駛系統的軟硬件都正常運行,車輛可能也會陷入危險境地。他還順帶舉了三個例子:
1. 由於能力所限,AI 系統無法理解當前情況;
2. 現有傳感器配置導致各項功能的魯棒性不足;
3. 人機界面設計差,導致駕駛員誤用自動駕駛功能。
“SOTIF 是識別危險狀況的架構,同時也是風險級別降到可接受範圍之前驗證和確認狀態的方法”。 Magney 解釋。
不過他也承認,想減少那些未知且不安全的部分並不容易。畢竟,想將所有邊緣情況一網打盡簡直是天方夜譚。好在,SOTIF 中特別強調了對實踐理性進行模擬的需要。
“一半一半”
Arteris 公司營銷副總裁 Kurt Shuler 指出,ISO 26262 的會議上大家曾對是否要將 SOFIT 當做獨立標準進行過討論,反對的和支持的幾乎打成平手。
反對者質疑 SOFIT 是否真的那麼重要,因為一旦拍板要做 SOFIT,就會進入未知區域,到時該標準可能會爛尾。
在 Shuler 看來,SOFIT 不但是一個架構,還是一個起點。“SOFIT 有用嗎?當然有。SOFIT 必不可少嗎?確實。但要說它夠不夠用?恐怕也算不上百科全書。”Shuler 解釋。
懸而未決的問題
就像 Shuler 所說的,類似 ISO 26262 和 SOFIT 這樣的標準,召開行業會議時不但有各國代表參會,有公司代表,而大家在汽車行業經驗上可是參差不齊。
舉例來說,有些公司代表可能在 ECU 上已經有了建樹,有些則是類似特斯拉和 Waymo 的攪局者,它們是汽車行業的新入局者。至於坐在“C 位”的則是傳統汽車廠和一級供應商,他們反應緩慢,而且對監管非常敏感。
說實話,此類會議的藝術在於協調不同背景的參會者找到共同的立場,在意大利的“預會”上,大家已經就幾個關鍵問題達成了一致。
首先,大家決定將 SOFIT 當做獨立標準,新標號為 ISO 21448。
其次,雖然與會者在 SOFIT 需要覆蓋那些級別車輛的問題上有分歧(傳統汽車廠商傾向於只覆蓋 L2 級別車輛,而科技巨頭們則想把 L3、L4 和 L5 拉進去),但整體來看,L3-L5 還是很有希望被納入 SOFIT 的。
第三,關於 SOFIT 在量產版自動駕駛系統中應用的問題還沒有定論。一些人堅稱,路上的自動駕駛測試車不應該受到 SOFIT 的約束。最終,ISO 組織可能會妥協,測試車只需遵守 SOFIT 中的部分標準就行。
*網絡安全不在 SOFIT 的範疇之內
關於機器學習
關於機器學習的問題就比較多了,相關主題現在已經被加入 SOFIT 提案的附件中。
SOFIT 的草案中規定:
自動駕駛技術通常包含一些類型的機器學習技術,特別是在目標探測和分類等任務中,而一旦有個不小心,機器學習訓練就有可能引發系統錯誤。
由於系統錯誤可能影響車輛安全運行,因此數據採集和學習系統就必須按照安全標準進行開發,使自動駕駛汽車在工作中減少無意的偏差和數據失真問題。
即使將算法排除在外,AI 中要麼成功要麼毀滅的特性也讓人頭疼。
Wagner 就給我們講了個將開源神經網絡用在自動駕駛汽車上的例子:AI 系統拿前置攝像頭採集的視頻數據當做“學習資料”,這輛車學習一陣後,卻徑直“衝向”了路上穿綠色背心的建築工人。
Wagner 表示,這輛車的教學數據庫並沒有包含熒光綠背心的數據,所以機器根本分辨不出來穿背心的工人是人類。
當我們討論自動駕駛安全時,總是將機器學習形容為沙發上的大象,其問題在於機器學習的“黑箱”特質(不確定性)在面對相同情況時可能會產出不同結果,而汽車行業根本不知道該怎麼解決這一問題。
Mariani 稱,“一些與會者想把機器學習的問題放到以後討論,而其他人則更想‘大象’在場時討論安全問題”。更具體來說,一些與會者堅持認為,機器學習還是一個新事物,想標準化太早了,而過於嚴格的指導方針可能最終會阻礙創新。
不過,也有一部分人馬上就想要針對自動駕駛汽車的驗證和確認指導方針。
顯然,兩個陣營之間有巨大的分歧。“不過大家都同意的一點是,AI 應該成為安全監視器,將異常消滅於無形之中。”Mariani 補充。
眼下,大家所作的其實都是非正式討論,關於如何掌控與安全密切相關的 AI,他們也沒得出任何決議。Mariani 表示,對這些決定 SOTIF 未來命運的參會人員來說,找到那些 AI 拖自動駕駛系統後腿的案例相當必要。對自動駕駛開發者來說,這樣的案例數據庫必須公開,併成為懸在他們頭上的達摩克利斯之劍。不過,也有人想藏著掖著,把這些關鍵數據用作他途。
Mariani 可不願處理這個僵局,他認為 SOTIF 也許需要一個獨立的 AI 標準,並設立獨立第三方的實體機構進行監督。
他同時也承認,自動駕駛汽車的驗證和確認需要大量的測試,但無窮無盡的測試太不現實。自動駕駛行業必須同意,新標準必須以“測試”和“正式方式”為基礎,拿出一套自動駕駛汽車必須遵守的規則,而 Mobileye 提出的 RSS(責任敏感安全)應該成為重要參考項。
侷限性在哪?
SOTIF 也有底線,那就是自動駕駛行業必須認識到,ADAS 和自動駕駛系統都有侷限性,即使將車上的傳感器武裝到牙齒,車輛依然無法 100% 掌握現實情況。
業內大多數人希望 SOFIT 能幫業界趟出一條路,以便大家能積極管理各種不確定性。
PS:最後補充即將在上海召開的 ISO 大會重要議題:
1. 功能升級以化解 SOTIF 風險;
2. SOTIF“度量衡”/接收標準的定義;
3. SOTIF 的驗證和確認策略;
4. 模糊驗證和確認的使用;
5. 模擬和場景測試指南;
6. 機器學習的 SOTIF 擴展;
7. SOTIF 對離線高清地圖的影響;
8. 模擬環境的鑑定。
歡迎在今日頭條、天天快報、UC 頭條、一點資訊、新浪微博、搜狐號、網易號關注@新智駕。
Mobileye CEO 定義了全新的安全標準,它真的靠譜嗎?
如想提前獲得峰會免費門票,掃描上方圖片二維碼報名,審核通過後即可獲取2019 AI+智能汽車創新峰會門票。
另外,本次峰會商務及媒體/票務合作已全面展開,敬請聯絡垂詢。
商務合作:湖海(微信:xqxq_xq;郵箱:[email protected])
媒體/票務合作:沐沐(微信:mumudidi;郵箱:[email protected])
閱讀更多 新智駕 的文章
