自动化系统和网关的安全与保障

自动驾驶系统的安全性不仅要注重传统的功能安全性，还要考虑行为安全性。作为驾驶策略的一部分，自动驾驶系统需要学习与非自动车辆和行人交互。它们需要学习预测其他参与方的行为，还需要预测危险和安全关键的情况，即便是边缘情况也不例外。自动驾驶系统需要防范周围动态环境可能带来的风险，即使是在硬件或软件无故障的情况下。汽车安全专家正在开发ISO/PAS 21448标准，即预期功能安全(SOTIF)，用于涵盖ISO 26262未涉及的场景。对于某些场景来说，为开发ISO/PAS 21448 SOTIF所进行的大量工作并未有效覆盖边缘情况以及不安全的未知条件。对于自动驾驶市场的其他场景来说，这项标准可能会限制或扼杀创新，特别是它关系到自动驾驶领域机器学习的使用。

为了实现安全无忧的自动驾驶，系统需要具备以下特性：

·可靠 – 超低故障率（汽车级品质）

·安全 – 强大的故障检测能力(ISO 26262 ASIL D)

·可用 – 正确操作准备就绪（能够区分安全相关和非安全相关的故障）

·容错 – 即便在发生故障时，也可以继续操作（降低性能/功能，仅可继续操作重要功能）

·可信赖 – 故障预测功能能够提前检测故障（离线测试）

图5 安全概念的演变，行业方法

SAE自动驾驶分类较低级别中的大部分辅助功能都是“故障防护”系统，这意味着一旦发生故障，系统将会进入安全模式。在L0、L1自动驾驶功能的情况下，系统依靠驾驶员对车辆继续进行安全操作。在当前的L2和L3系统中，我们期望系统能够具备更高级的可用性，能够识别故障并以降低性能的模式继续运行，仅在部分情况下依赖驾驶员。预计L4和L5系统将可以在发生故障后继续运行，这意味着当系统检测到故障后，系统内置足够的冗余来容错，以便继续全面运行足够长的时间，直到系统将车辆恢复到安全状态。

当出现故障时，切换到人类驾驶员是L0至L3系统的一个关键部分。要实现从自动驾驶系统到人类驾驶员的切换，需要进行大量研究工作。Eriksson和Stanton的研究发现，在非紧急情况下，完成切换所需时间从2至26秒不等，如果驾驶员收到切换请求时正在进行其他任务，所需的时间会更长。请记住，车辆在高速公路上自动驾驶时，高速行驶下的速度超过每秒25米。在最快的反应时间下，车辆需要行驶半个足球场的路程才能完成切换，在最慢的反应时间下，车辆则需要行驶将近6个足球场的路程才能完成切换。在紧急情况下，驾驶员的反应会比较慢，并且人类驾驶员可能会做出错误的决策，造成交通事故 (Eriksson  & Stanton, 2017)。基于这种情况，恩智浦认为实现安全无忧出行需要L2甚至更高级的自动驾驶系统，才能使其在发生故障后继续运行，至少能够安全停车。

图6 安全概念的演变，恩智浦方法

当争论被表述为安全的自动驾驶系统要始终遵守交通规则时，我们在现实世界中却会观察到与严格的规则相应、有时候甚至是相反的某些场景，存在社会规范可以使大多数复杂的系统进行更高效的运作。这些社会规范允许在某些情况下违反交通规则，比如在即将驶入车道时，绕过抛锚车辆或被拦下的车辆。有时，违反交通规则并不是故意为之，而是避免交通事故的必要措施。自动驾驶系统需要配有决策矩阵，从而选择可接受的违反交通规则的方式，以实现更安全、高效的驾驶。

图7 （有时）需要遵守的规则

自动驾驶汽车需要确保采取的任何措施都不会危及生命安全。这给安全工程师验证车辆安全性带来了很大的压力，然而并没有令人满意的方法来验证自动驾驶汽车永远安全运行。

自动驾驶系统架构分为两个功能域：1) 建模域，对环境进行监控和建模；2) 规划域，用于制定行为策略和规划，并进行路径选择。系统分为两个功能域，每个功能域由多种设备组成，使其具有更优的可扩展性和异质性，每个功能域还可根据特定的应用要求提供高效的计算架构匹配。如果不了解系统的决策机制，那就无法保证其安全性。这就是大型端到端系统处理感知和规划时所涉及的问题。配有接收传感器输入和提供驱动指令输出的封闭式黑盒方法很难进行验证和调试，而且也很难扩展到新的算法、传感器解决方案和计算。

相对于端到端解决方案，建模和规划分区架构更有利于实现系统的安全性。

图8 高水平分区自动驾驶系统

世界上大多数汽车制造商都在研发自动驾驶技术，到2050年，自动驾驶市场估值将达到7万亿美元[8]。安全性和防护性是辅助驾驶和自动驾驶系统成功为消费者部署并采用的基石。恩智浦认为ISO 26262和ISO/PAS 21448(SOTIF)在定义安全自动驾驶系统方面互为补充且不可或缺。ISO 26262可解决因电子系统故障造成的安全风险，ISO/PAS 21448 SOTIF为设计验证和确认任务提供指导，以检测因定义或设计缺陷导致的功能行为故障。

能够放松身心、处理邮件或看看喜欢的节目，而不是真正的开车上下班，这是某些驾驶员梦想的便利场景。我们真正的目标是确保您通过安全连接充分享受这些功能，同时通过系统内置的安全无忧出行技术为您和周围的驾驶员提供更高的安全性。

参考文献

AAA Foundation for Traffic Safety.  (2019年February月). American Driving Survey, 2014-2017. 检索来源:  https://aaafoundation.org/american-driving-survey-2014-2017/

DrozhzhinAlex. (2015年August月6日). Black  Hat USA 2015: The full story of how that Jeep was hacked. 检索来源: Kaspersky Lab:  (https://www.kaspersky.com/blog/blackhat-jeep-cherokee-hack-explained/9493/

ErikssonAlexander, & StantonA.Neville.  (2017). Takeover Time in Highly Automated Vehicles: Noncritical Transitions to  and From Manual Control. Human Factors: The Journal of the Human Factors and  Ergonomics Society, Volume: 59 issue: 4, page(s): 689-705.

McKinsey & Company. (2016年September月). Monetizing Car Data, New service business opportunities  to create new customer benefits. 检索来源: https://www.mckinsey.com/industries/automotive-and-assembly/our-insights/monetizing-car-data

National Safety Council. (2018年04月17日). 检索来源: Road to Zero Report:  https://www.nsc.org/Portals/0/Documents/DistractedDrivingDocuments/Driver-Tech/Road%20to%20Zero/The-Report.pdf?ver=2018-04-17-111652-263

SalayRick, & CzarneckiKrzystof. (2018年August月5日). Using  Machine Learning Safely in Automotive Software: An Assessment and Adaption of  Software Process Requirements in ISO 26262. 检索来源: arXiv:1808.01614

SimacsekBalázs. (2019). Can We Trust Our Cars? 检索来源: Secure Vehicle Architectures, NXP  Semiconductors: https://www.nxp.com/docs/en/white-paper/AUTOSECWP.pdf