自动驾驶端到端方案与安全的底层逻辑

汽车 2024-09-25 08:00 浙江

关注公众号，点击公众号主页右上角“ ··· ”，设置星标，实时获取公众号“SASETECH”最新文章。

本文约12000字，建议收藏阅读

作者 | 吴丹丹

#01

引言

前段时间，在知乎上看到一条提问“车到底是要智能第一还是安全第一？”。

我其实在知乎上很少回答问题，要么查阅技术资料，要么自己写写安全与质量体系的文章，但这条忍不住想回复一下，因为我觉得这个问题本身就是有问题的，问法逻辑有些混乱。我给出的回答如下：

“这是两个维度的问题，答案不应该是二选一。

就像如果问工作是赚钱重要还是能够提升能力重要，赚钱与不赚钱是二选一，能够提升能力和不能够提升能力二选一，所以工作是分四象限：1能赚钱又能提升能力；2能赚钱但对提升能力不大；3赚钱不多但能提升能力；4既赚不到钱对能力提升也没作用。然后答案也是多元的，1是一定会选的，4是一定不选，如果目前是刚工作的人，可能选3比较合适，提升能力重要。如果是一个经验比较丰富的人，可能选2比较合适，赚钱重要。

同理，汽车的智能和安全也是一样：1.足够安全又足够智能；2.足够安全但不足够智能；3.不足够安全但足够智能；4.既不安全又不智能。1一定是大家都追求的；4一定是大家都摒弃的；2对于传统和保守的驾驶者可能比较受青睐，或者对于家庭用车需求，可能更看重安全；3对于喜欢新鲜事物的年轻驾驶者可能比较受青睐，通过在危险场景下人工接管来人工保障安全，正常场景下尽可能享受智能化带来的驾乘体验。

对于车企来说，1应该是追求的目标，在当前能力无法满足的前提下，针对2和3的情况可以分别制定战略。对于面向家庭用车及追求安全的客户群体的车型，应把安全作为第一位，在可能的情况下，添加智能化功能；对于面向追求智能化的客户群体的车型，应把智能化作为重要追求，然后对于可能不安全的情况全面说明，给出应对策略，组织用户培训等进行基本安全保障。但最终的追求目标一定是朝着1既安全又智能去努力。

所以个人认为这个问题是二维的，我们不能用一维的答案智能或安全来简单回答，而是要基于二维空间来求解答案，制定不同的策略。”

通过这个问题，让我发现，有时候我们所纠结的问题并不是客观存在的问题，而是我们的逻辑不对，我们把原本没有可比性的两个内容进行对比，还一定要从二者之间取其一，这本身就是错误的思维方式。所以无论是做一件事情，还是分析一个问题，大到商业战略，小到个人生活成长，看清事物底层逻辑才是最重要的，否则就容易陷入思维误区，自然会做出错误的决策与行为。

由此，我联想到目前端到端方案与安全的纠葛纷争，最近这半年，工作之余思考行业发展时，我也常常陷入对人工智能安全性的迷茫中，而通过回答知乎这个提问，让我从另一个角度去回顾这半年来的纠结，我是不是逻辑搞错了？！于是我开始思考端到端与安全的基本逻辑关系。

现在技术发展太快了，快到我们还没想清楚这个技术问题，它就已经被新技术取代了。大概两三年前，我还在探索CNN，RNN这些神经网络是怎么回事，还记得有次例会上和当时首席科学家黄浴博士请教过神经网络的安全问题，他的指导让我有了些许方向；然后一两年前，又开始琢磨BEV鸟瞰图有什么不同，然而今年这些都不再是关注的焦点，端到端成为了热门话题。

2024年3月，特斯拉开始在北美地区大范围推送FSD V12端到端智驾系统方案，FSD V12表现优秀，给用户带来前所未有的良好驾乘体验，从此打开了端到端智驾解决方案的“潘多拉魔盒”，使得“端到端”成为2024年智能汽车领域高频出现的词汇，无论车企还是智驾解决方案供应商都开始对端到端充满向往，陆续开始了端到端的探索之路。智能驾驶的技术路线从CNN、RNN等神经网络开始演进至Transformer大模型，端到端技术作为一种新兴的技术趋势，正受到日益广泛的关注。

智能驾驶的端到端解决方案，其实就是通过人工智能模型来统一实现从感知到预测再到决策规划的整个驾驶过程，与传统的模块化、规则化思路有所不同，因此在技术方案上与传统智驾技术具有一些根本性差异。

这种根本性差异，使得端到端技术如火如荼的兴起的同时，也引发了行业内功能安全从业者的广泛质疑，不只是我的迷茫，也有其他人的否定。我经常能够听到“安全圈”里的朋友们吐槽端到端的不靠谱、对端到端技术的安全性充满焦虑。因为功能安全的本质是追求一种确定性，而人工智能恰恰违背了确定性，它就像一个黑盒子，并不具备可解释性，我们无法获知它内部具体如何运行或如何推理，自然没有什么确定性而言。这就好像我和你是好朋友，我虽然也了解你的性格，但是对一件事物的看法，我依然没法准确评估你的想法决策，人工智能虽然和人脑思维方式并不完全相同，但是可以通过这样的类比来理解。而传统的智驾方案，虽然感知模块普遍采用人工智能算法，但是在后处理以及决策规划上还是有很多基于规则的算法，可以从功能安全的角度去加以防护。就像我们生活中无论想做什么不靠谱的决定，由于有法律法规的约束，有执法部门的监督，大多数人还是能够按照正确的方式来做合法合规的事。而对于端到端方案，规则算法的内容几乎都被人工智能算法取代，没有了任何确定性的约束，系统似乎变成了一个盲盒，所以很多人对其安全性表示担忧。

面对端到端技术的态度，目前是两极分化。

一边是特斯拉的忠粉以及国内车企的创新先驱们，渴望创新技术带来突破性的舒适体验，对端到端技术怀揣信仰；

一边是来自传统行业的安全守护者们，曾经历目睹过太多由于技术问题、流程问题导致的事故悲剧，对安全怀揣敬畏之心。

所以在端到端大模型与安全之间必然会存在长期的纠葛纷争，我想基于我最近关于端到端与安全的基本逻辑思考，来聊一聊这个话题，但是并不讨论是非对错，况且这件事本身也没有对错，也不讨论技术与安全理论细节，而是从底层逻辑出发，去探索端到端技术与安全关系的底层逻辑，挖掘事务的本质，以便找到解决问题的方法。

本文计划从以下三个部分展开探讨：

第一部分：非公理体系
第二部分：概率驱动
第三部分：博弈论

读到这里，你也许会有点迷惑了，感觉这三个方面与端到端、安全都不沾边，有点跑题了，我再进一步解释一下，也许你就会明白一些。

端到端和安全都不是公理体系，没有唯一的答案。
端到端和安全都是由概率驱动，本质并不矛盾。
端到端的创新与安全的坚守是一场博弈，最终一定会找到最优解。

#02

第一部分：非公理体系

在说非公理体系之前，首先，我们来说明一下，什么是公理体系。‌

“公理体系建立在公理的基础上，通过逻辑推理和证明来构建完备且一致的理论体系。公理是一组基本假设或原则，被认为是不需要证明的真理。是一种重要的方法论，广泛应用于数学、哲学和科学领域。”简单来说，公理就是不需要证明的一套真理。例如，欧几里得公理的“任意两个点可以通过一条直线连接。”；皮亚诺公理的“0是自然数”等。

非公理体系是和公理体系相悖的，它不是真理，它能够被质疑、被挑战、被不断证明。就像一千个人眼中有一千个哈姆雷特，每个人都可以有自己的主观判断和观点，谁也无法绝对证明自己的观点就是真理。对于非公理体系来说，本身也没有唯一的答案。

端到端技术和安全理论其实都属于非公理体系。它们都没有唯一的做法，都是要根据实际情况灵活设计和调整。端到端技术并不是固定的一种方案，每一家做的都不一样。目前主流端到端方案一般有两种：一种是One Model方案，就是感知、预测、决策规划都用一个模型来实现；一种是Two Model方案，感知用一个模型实现，决策规划用一个模型实现，至于预测，有的会放在感知那个模型里，有的会放在决策规划模型里。

根据公开资料，理想汽车目前发布的端到端方案是One Model的模式，系统1是一个端到端模型，具备快速处理信息能力，用来应对日常驾驶95%的场景，系统2是一个VLM模型，具备逻辑思考能力，用来应对剩余的5%困难场景。在系统1面对自己处理不了的复杂情况时，就会求助系统2，系统2通过自己的大模型推理能力，持续向系统1输出环境理解，驾驶决策建议、驾驶参考轨迹等驾驶策略。

华为的ADS 3.0端到端方案采用的是Two Model模式，将ADS2.0中GOD(General Obstacle Detection，通用障碍物检测网络) 和 RCR(Road Cognition & Reasoning，道路拓扑推理网络)都神经网络化，并将这部分算法纳入到一个完整的 GOD 感知神经网络之中，而后再将感知数据交由 PDP 决策神经网络来规划行车路线，输出最终决策轨迹结果。并提出一个 “本能安全网络”的概念，作为智驾行为的下限兜底策略，确保输出结果具有安全底线。

小鹏汽车的端到端方案分为四步走，具体是One Model的模式还是Two Model模式众说纷纭，从之前的网络信息中，看到小鹏的端到端模型包括了神经网络XNet+规控大模型XPlanner+大语言模型XBrain，应该属于Two Model模式。

从上面三家企业的端到端方案发布情况可以看出，他们都有各自的特点。端到端只是一种可选择的技术方案框架，并没有统一的做法。它也不是神话，并不是用了端到端就会让智驾系统性能提升，只是如果端到端做的好，能够一定程度提高智能驾驶系统的上限，解决更多的复杂问题，但同时它也有很低的下限，如果端到端没有做好，它也会降低原本的功能和性能表现，并且端到端方案需要依靠强大的算力平台，对硬件资源依赖很强，同时需要大量的数据，也会消耗更多的成本。

很多人对端到端大模型的理解和大语言模型有所混淆，从行业内各家公布的端到端方案来看，方案中可能用到大语言模型，也可能不会用到。端到端方案可以是凭借感知信息来决策，也可以依靠大模型推理的认知能力获得更强的泛化性。

目前汽车行业内的专家、从业者们对端到端技术路径发展和看法也存在差异。同济大学朱西产教授曾公开表示：“特斯拉的端到端、人工智能让自动驾驶更加成为可能，端到端被特斯拉带火了，国内的车企都在说端到端，但现在，谁宣布端到端（量产上车）了，他的这个车你就别买。”这个观点引发了很多行业内安全从业者的共鸣。但其实朱教授也并不是完全否定端到端技术实现，而是认为由于算力难题存在，在未来一两年内，大模型上车可能性不大。同时他也认为国内车企采用分段式端到端方案，在规控算法上保留安全准则模型还是具备一定的可行性。

原小鹏汽车自动驾驶副总裁，现英伟达自动驾驶中国团队负责人吴新宙曾经表示：“端到端将长期与传统自动驾驶堆栈并行运行，最初端到端模型将在影子模式下运行，以便在相同的场景下比较人类驾驶、传统堆栈和端到端算法三者输出的行为差异，并根据人类反馈进行微调；之后端到端可以和传统技术堆栈并行，两者形成互补；成熟之后则可以逐步淘汰传统堆栈。”

以上举了这么多例子，就是想说明，端到端方案不是一套公理体系，它不是固定的原理与方案，所以如果武断的去判定它安全与不安全都是有失偏颇的。对于这种非公理体系，需要具体问题具体分析，针对具体的一套端到端智能驾驶解决方案，进行充分的分析，再去下结论才是正确的做法，如果直接就是认为端到端因为采用人工智能模型，就是不安全，这就犯了以偏概全的错误。就像华为方案中的“本能安全网络”，目前在公开资料里还没有关于它的详细论述，我们不能就盲目的认为这一定不安全，反过来也不能盲目认为这就是安全的。重要的是端到端关于安全的保障能够逻辑自洽并完成闭环，如果“本能安全网络”能够保证把端到端方案中可能的失效情况或corner case场景都进行安全恰当的处理，所有的证据充分，那么就可以认可它的安全性。

安全本身也是非公理体系，功能安全理论与预期功能安全理论都不是固定的真理，它是一套经验方法论。我也经常会看到在一些安全群里专家们相互争论，各抒己见，你有你的逻辑，我有我的分析闭环，每个人经验不同，认知就不同，分析的深度也不同，对趋势的预判就会有所差异，所面对的产品特性也是千差万别，所以强制要求非公理体系输出真理一样的结果也是不科学的。就像我们在功能安全上，确定一个安全目标的ASIL等级时，各家类似的一个安全目标，也可能会有不同的安全完整性等级，只不过一家给出答案后，其他家很可能抄作业，然后多数人就形成了一种共识，好像这个安全目标的ASIL等级就是这样，但如果真的逐个较起真来，也未必都能经得起推敲。并且不同车企的不同车型，在电子电气架构和接口交互内容上都有差别，基于这些差别，安全目标分解下来，一些类似的功能安全需求ASIL等级不同也是有道理的。在非公理体系的学科，可以条条大路通罗马，甚至你和我到达的都可以不是同一个罗马。

就像前面讲到的，功能安全本质是追求确定性，要求算法的可解释性。AI大神、MIT副教授何恺明曾经发表过自己的观点“追求大模型的可解释性意义不大，很多系统成功是由功能验证的，为什么你会相信一个陌生的人类司机，是因为他的大脑具有解释性，还是会因为他是一个训练有素，经验的人，大概率能做好这件事。” 尽管有人认为这个观点是偷换概念，但我还是比较认同这个想法，因为我认为它们的本质都是概率驱动，关于概率问题，在后面第二部分再去讨论。

对于端到端方案和安全方案这两个非公理体系的碰撞，不会有标准答案，无非都是仁者见仁智者见智。从端到端方案的角度出发，无论是One Model模式还是Two Model模式，亦或是大语言模型技术加持，本质就是要对比基于规则的智驾方案，努力提升驾乘体验，提高智驾系统的能力上限。从安全方案的角度出发，无论是要求确定性，还是要求可解释性，本质就是要保证驾乘人员和交通参与者的人身安全。其实二者都是为了人的感受体验而做的努力，只是从不同的角度去表明立场。二者也不是非此即彼的关系，它们更应该是博弈的关系，关于博弈论在后面第三部分展开讨论。

总之，我们需要意识到非公理体系的特性，没有绝对的答案。所以在端到端和安全这两个方面，追求的应该是从自我视角考虑对方问题时，能否找到逻辑自洽与闭环的途径，而不是一味的否定。就像端到端方案里，要考虑在功能安全的失效、SOTIF的功能不全、性能不足和误操作方面如何能够应对；在智驾安全方案里，要考虑如何创新方法论，用来评价这种黑盒子特性的端到端技术方案的安全性。

#03

第二部分：概率驱动

首先，还是先介绍概念，什么是概率？

概率是一个数学概念，反映随机事件出现的可能性大小。世界的本质就是不确定的，很多事物都是概率驱动。比如你是否能找到一个好工作，如果你的能力很强，经验很多，那么这个概率就是很大的；如果你没有相关工作经验，那么这个概率就会比较小。但是在概率驱动的情况下，一般再大的概率也几乎不会达到百分之百，再小的概率可能不会完全是零，这就解释了，有些人能力、经验都很好，但是他却没能获取一份好的工作机会，而有的人能力欠缺，却拿到了令人羡慕的工作offer，因为很多随机因素会影响最终的结果。与概率分不开的是统计学，对于单独个体，概率充满了不确定性，但是对于大数据统计，概率就会呈现出它的数值属性。还是找工作的例子，假设能力强的人找到好工作的概率是90%，而能力差的人找到好工作的概率是30%，如果只选一个能力强的人和一个能力差的人来看结果，很可能和上面示例结果一样，能力强的没有找到工作，而能力差的找到了。但如果你的样本数扩展到一万人、十万人甚至百万千万，你就会发现有接近90%能力强的人都找到了好工作，而对比能力差的人，这个数据只有30%左右。

铺垫了这么多，就是想让你理解概率与统计的概念。然后书归正传，我们从概率与统计角度来聊一聊端到端方案与安全。

先说安全，其实功能安全是一门很有意思的矛盾辩证学科，追求确定性而又不存在绝对性。

世界上不存在绝对的安全，安全的定义是“不存在不可接受的风险”，而风险的大小由危害的严重程度、发生频率和可控性决定，其中发生频率就是最典型的概率体现形式。深度剖析严重程度，其实也和概率存在一定的关系，同样的速度行驶的车辆，发生同样的碰撞，对人员的伤害程度并不一定完全相同，就好像有些事故场景，车辆损毁严重，人员奇迹般并没有生命危险，而相同场景下，多数情况会造成人员伤亡，伤害的情况会由很多随机变量影响，所以本质上也是一种概率。可控性的本质更是如此，在定义可控性的分类时，也是以一定比率的司机在这种情况下，能够做出反应作为衡量标准，例如100个司机中有99个在这种情况下，能够做出正确的操作控制，那我们认为可控性是高的，但是可能就有那么1个司机，他没办法及时接管和控制，对于这种个体情况，危害还是会发生。从风险的三个维度来看，都是受概率影响，风险是由概率驱动，所以安全的本质也是概率驱动。

概率的底层逻辑在个体层面是充满不确定性的，只有在大数据面前才会呈现一定的规律趋势。而安全的目标却是追求确定性，所以这种确定性并不代表是固定的，不变的模式，而是代表“大概率”。那么同理，不应该将这种确定性解读为可解释性，可解释性只是作为实现“大概率”实现确定性的一种方式，也可能有其他的方式来保证“大概率”，这才是安全应该追求的本质。

正因为安全本质是概率驱动，所以对于我们安全从业者，可能经常会面对老板们的灵魂拷问，那就是“我们如果严格按照功能安全开发，是不是就可以确保这个产品是安全的？”这个时候我们总是会瑟瑟发抖的回答“并不是”，下一步更直击灵魂的问题就是“既然做完也不能保证安全，那我们为什么要花费大量的人力、时间、成本去做它？即使我们没有做功能安全，我们的产品也没有产生安全事故啊！”这时候我们就要双重结合数据统计和概率特性来让老板们理解概率问题了，安全相关事故本身是一个小概率事件，假设产品发生失效引发安全相关事故的概率是万分之一，再假设我们量产了一万辆车，但是由于概率只是一种规律预测，它可能并不会发生1次安全事故，我们没有做任何功能安全机制保障也可能会安全运行；但是对于具体的一辆车，虽然万分之一的概率很小，但是也可能就发生在它的身上，这个司机可能因此失去生命，这样单独的个体我们确实没法完全控制与保障，但是我们做功能安全的意义是可以防止更多的司机发生这种情况，如果我们量产十万辆车，百万辆车，或者从另一个维度，每辆车每天都有大量的时间运行在路上，在数据足够多的时候，这种概率就一定会以数字方式呈现和展示出来。即使是万分之一的概率，如果所有车辆总体运行里程达到千万公里、亿万公里……那么发生事故的情况就会从随机变成必然，这就是概率与统计的意义，也是我们要坚持功能安全的意义，因为发生因产品问题导致的安全事故，对企业、对车主造成的损失都是巨大且无法弥补的，尤其在未来的智能驾驶行业，随着法律法规的完善，如果责任划分由产品承担，安全事故甚至可能击垮一家企业。

如果上面的举例让你不好理解，我也可以再举一个生活中的例子类比。就像我们上了大学，并不能保证我们的人生就一定有所成就，而有些没有上过大学的人，反而可能做出了一番大事业，但是你觉得这种情况就不应该上大学了吗？毕竟没有上过学却有成就的人是极少数的，也就是概率极低的，而上过大学的人，能够成功的概率更高，所以这就是我们为什么不能确定一定有所成就情况下为什么还要上大学，因为上大学是我们应该选择的通往成功概率最高的正确之路。同理，我们不能确定做了完整的功能安全开发就能完全规避事故风险，但这是我们应该选择的安全概率最好的的正确之路。

因此，我们需要相信概率的力量，这又分为两层含义：一是相信在数据统计层面上，概率一定会呈现相应的趋势规律，在大数据面前，事物一定会按照相应的概率分布；二是我们努力要做的是提高有利事物的概率，降低有害事物的概率。

然后，我们说回端到端方案。那么从安全角度，我们对端到端的目标要求到底是什么？应该是端到端方案发生异常导致安全事故的概率能不能达到我们安全上的底限要求，而不是端到端方案一定要具备可解释性。

就算是一个基于规则的算法，它虽然具备可解释性，但是它的能力很低，经常会发生异常导致安全问题，那么我们也是不能接受的。只是目前基于我们的认知水平，我们还不知道，对于一个不可解释的模型，我们怎么去确定它的概率，这个是端到端方案与安全纷争的本质。

对于端到端的人工智能算法，虽然缺乏可解释性，但也是概率驱动。可以用概率来表示整个推测空间的分布信息，通过海量训练锁定概率，通过大量测试数据统计来验证概率呈现的趋势。就像人类思维方式，我们也无法确定每个人脑子里在想什么，但是我们知道，因为从小接受教育，有普遍的正确价值观导向，大部分人大概率做出的行为会符合常理，不会产生危害他人的行为，但也难免会有个别的极端主义者，我们只能通过教育预防，通过法律法规来惩罚。所以对于端到端方案，也可以在模型之外通过增加一些规则约束，但是这并不妨碍端到端的实现，也并不是说一定要基于规则才可靠。如果有额外的人工智能模型作为约束和校验，也许也是一种解决之道。重点在于基于方案具体内容，进行全面分析，以提高安全概率，降低危害概率为目标，去制定解决方案，而不是限定技术实现手段。

端到端方案只是一种技术框架，安全与端到端不应该是矛盾的，在概率层面上反而是目标一致的。端到端是通过技术扩展模型能力，提升系统性能，从而增加安全的概率，降低危害；而安全则是通过安全分析与防护，降低危害概率，提高安全性。

端到端的安全研究应该聚焦在概率上，关注安全概率提高，危害概率降低，无论采用什么技术方式，只要能够实现这一目的就是可接受的，而不是单纯纠结模型是否具有可解释性。当然，作为一名资深安全从业者，我也一直在纠结对于这种不可解释的人工智能模型，我们又怎么去评估它的概率，它的安全性呢？直到有一次听到朋友说起对某家车企端到端方案的试乘体验，用惊艳来形容，我突然觉得我们一直纠结的可解释性其实是目标跑偏了，我们应该关注的是安全这件事的本质，危害概率是否可接受，而不是用可解释性的枷锁限制技术的发展，限制智能驾驶拥有更良好的体验。当下的问题也许并不只在于端到端方案的不可解释，而在于我们安全理论的局限性，需要找到新的评估方法来论证与评价，这便是我们后续要去深度挖掘与探索的方向，时刻记住我们的目标，是降低危害发生的概率。

总之，无论是端到端方案还是安全方案，都是由概率驱动的，我们在研究与发展的过程中，需要始终以“概率”为关注点，而不要偏离目标。正确打开方式应该是端到端方向从正向角度，用技术来提高安全概率，安全方案从逆向角度分析补充，降低危害概率。

#04

第三部分：博弈论

首先，先来说说博弈论。

博弈论是现代数学的一个分支，也是运筹学的一个学科。博弈论就是在一场平等的对局中，双方各自利用对方的策略来变换自己的对抗策略，最终达成自己的目的。说到博弈论，还要了解一个概念，那就是纳什均衡。所谓纳什均衡，就是在博弈的各种策略组合中，存在这样一种情况，对于双方而言，只要对方不改变策略，自身此时的策略就是最好的，相当于从哪一方来看，这个策略组合点都是这场博弈的最优解。在博弈论的有限策略组合中至少会存在这样一个纳什均衡点。当然，博弈论很庞大，有很多复杂分类，例如合作博弈、非合作博弈，或者动态博弈、静态博弈，还有完全信息博弈、不完全信息博弈等，那么分别对应的均衡概念也不同，例如子博弈精炼纳什均衡，贝叶斯纳什均衡等等。我们只是借助博弈论思维去理解和探索端到端方案与安全的关系，所以对这些复杂理论不展开说明，只要大概了解什么是博弈、什么是博弈的纳什均衡点就够了。

那么在一场博弈中，哪些要素有助于自身占据博弈优势呢，那一定是自身的实力，实力越强，越占据优势，在纳什均衡点可以相对对方获得更多收益。在博弈中，还有一种关键要素影响博弈优势，那就是公共道德，只有符合大多数人价值观的理念才能被广泛接受，也就会在博弈对抗中更加占据优势。

言归正传，端到端方案和安全的关系虽然并不是竞争关系，但它们之间其实是存在一种隐形的博弈，端到端方案加速快跑的途中对安全的思考与防护到底占了多少比重？在安全的体系准则下，对端到端方案到底要把底线设置在哪里？

从博弈优势上看，论实力，目前似乎端到端方案更胜一筹。这个实力并不是指技术本身，因为端到端技术与安全技术没有可比性，都是一种概率驱动的学科。这里所说的实力是指话语权或领导者的决策权重，现在众多车企和智驾供应商都在跃跃欲试端到端的方案，即使当下它的安全性还无从完全论证的情况下，没有人会因为安全要求而停下端到端的研发脚步。在智能汽车领域激烈的商业化竞争中，保持技术领先确实是十分重要的事情，同时，它也是特别紧急的任务。在当下内卷的大环境里，卷技术的同时也在卷时间，如果你花两年的时间去研发，别人就可能把它压缩成一年，甚至半年。所以对于端到端方案，它是一个重要且紧急的任务，大多数企业管理者在端到端与安全的权衡中都会提高前者权重，优先把端到端方案搞出来，后面可能的情况下，再慢慢优化和安全改进。

智能驾驶的安全现在正处在一段尴尬期，这里包括功能安全和预期功能安全，目前在国家法律法规及标准层面，对它还没有强制性要求。大家都知道安全很重要，毕竟涉及人的生命安全，智能汽车是一个安全级产品，它与消费品有着本质的区别，承载着对生命的尊重和责任。但是由于没有法律法规及强制标准的支撑，使得它当下并不那么紧急。所以安全是一个重要但不紧急的事情。虽然世界杰出的管理思想家史蒂芬.柯维曾经在“要事优先“的观点中建议，应将时间和精力集中在重要但并不紧急的事务上。但是这个理论的前提是重要且紧急的事务很少量，不需要花费大量的精力。然而现实的矛盾在于当下端到端这个重要且紧急的任务也十分庞大，所以在”重要且紧急“与”重要且不紧急“之间一定都会选择前者了。

从这个角度来看，端到端被支持、被认可、被推广的“实力”更强。

当然，站在一个安全从业者的立场，无时无刻不在渴望着安全被支持、被认可、被推广。安全想要实现这种逆袭，只有一种可能，那就是法律法规和国家标准的强势支持，至少目前还没有，所以在转变为现实之前，它也只是个愿望。

不过关于端到端与安全的这些底层逻辑适用范围只是国内，从一些海外车企（特斯拉除外）和供应商的情况来看，对于智能驾驶的做法和态度，是奉行绝对安全至上的，在无法证明智能驾驶足够安全的情况下，一般不会允许量产和发布。所以在这些海外企业中，在智能技术与安全的博弈中，安全会占据绝对优势，甚至可以认为根本就不存在博弈。

再说回我们的主题，针对国内现状，那么是不是端到端技术就可以在“实力”支持下，毫无顾忌的一路驰骋呢，一定也不是。这就涉及了决定博弈优势的另一个要素“公共道德”。在公共道德层面，安全占据优势是毫无疑问的。生命可贵是所有人的共识，任何可能违背生命安全的行为都不会被接受。这也是安全为什么会和端到端博弈的底层逻辑，否则就一方独大，不涉及博弈论了。正因为有“公共道德”的约束，所以端到端方案无论如何要结合一定的安全要求去考虑，只是考虑多少，怎么考虑就是博弈的结果。

博弈的结果也会受多方面的影响，例如前面提到的国家法律法规和强制性标准要求；安全技术的发展速度，是否能够探索到保障AI的实用方法论，并把实践过程跑通；端到端方案抛开神话面纱后的实际表现情况；在安全保障不周的情况下，实现端到端方案量产，若后续发生事故带来的成本损失……

曾经有一次参加奇绩创坛的活动，陆奇老师说的一句话让我印象特别深刻，他说“技术是进化的”。身处智能驾驶行业，我对此更是深有感触。无论什么技术，都不会一成不变，进化才是这个世界万物的主旋律。所以对于安全技术来说，它不能一直用几十年前欧洲从工业化事故中积累的经验来解决智能化时代面临的安全问题，就好像我们用几十年前的思想观念约束现在的生活习惯和行为，显然是不合适的。但是安全理论沉淀了这么多年，很多精华方法论一定不能摒弃，还是需要继承下来，在此基础上需要慢慢突破与探索，寻找到一种对人工智能适用的评价体系，这样才可以解决当下困局。在我看来，这也是智能汽车安全发展的必经之路，如果找不到这样一条合适的途径，就意味着安全的绝对丧失，那么汽车产业就需要回退到非智能化时代，这种回退不符合事物客观发展规律。并且智能化技术也会不断进化，虽然今天我们是围绕端到端方案展开讨论，但它只是人工智能的一个代表与缩影，也许明年、也许后年，端到端方案也被淹没在技术浪潮中，又开始萌生其他新的技术方案与理念。

端到端方案现在还只是刚刚开始，它还没有到大规模的工程化落地，理想和现实总是会有差距。有工程化量产实践的人可能都会深有感触，有时候我们在研发阶段创造的完美产品，在实验室和自测的各种阶段都表现良好，但可能一旦投入现场环境，在用户使用过程就会迸发出一些我们从未发现的新奇问题，这在工程化实践过程中很常见，一点点的随机变量都可能影响最终的结果。所以即使目前我们认为端到端技术领先、性能优越，如果真的投入量产中，结果表现是否完全符合预期也是未知数，尤其在是否会由此产生安全事故这个问题上，其实存在一定概率，这个概率只有到现实中，基于大量的实际应用数据就会呈现出来。因此端到端方案即使目前研发过程中只专注功能和性能表现，但是如果长期应用下去，也一定会逐步感受到安全的约束是必要的，所以一定会慢下脚步来优化安全能力。

所以在端到端方案与安全的博弈中，会通过慢慢的双向奔赴达到纳什均衡，这个平衡最优解将与风险接受程度密切相关。

既然是博弈，需要的一定是谋略，而不是盲目对抗。听到很多安全从业者对当下安全文化、端到端不考虑安全的现状而抱怨，虽然理解，但并不认同，因为抱怨问题只会徒增烦恼，而不能真正解决问题。就像我们在书本上曾学过的田忌赛马，就是一个经典的博弈案例，如果一味抱怨自身马匹实力赶不上对方，或者直接上等马对上等马，中等马对中等马，下等马对下等马，那就注定是失败的结局，历史中也就不会有这么精彩的典故了。就像我们如果一味抱怨端到端的不可解释性和不安全，那也改变不了人工智能在智能汽车行业开始广泛应用的事实，所以我们需要的是找到一种合适的策略，可能会做出一定的让步，就像田忌赛马，可以输一场，但目的是为了赢两场。安全也是如此，在可解释性上可以做些妥协，但是在最终风险概率上需要寻求提升方法和评价方式，以便让端到端方案的安全性得到一定的保障。同理，站在端到端方案角度，博弈的过程中，也可以牺牲一点发展的速度，来迎合一些安全的脚步，找到安全约束下的合理开发方式，最终确保端到端技术也是一个可被广泛接受的安全合规方案。

总之，端到端方案和安全作为博弈的双方，首先需要最大可能地提高各自被支持、被认可、被推广的实力、遵循“公共道德”，这些是获得博弈优势的关键。在博弈过程中，一定会慢慢找到最优解，确定这场博弈的纳什均衡点，这个点与风险接受程度会密切相关。在这场博弈战中，谋略至关重要，所以无论是端到端相关的从业者还是安全相关的从业者，抱怨解决不了问题，但策略可以，如果想在博弈中获胜，就要努力探寻在彼此相互影响下的正确做事方式，让自己拥有最大话语权。

近期热门

汽车功能安全工程师 TÜV 认证班招募中！

往期精选

“简述软件架构元素的复用”

“驾驶员的关注力与智能驾驶系统关联性探讨”

“L3有条件自动驾驶车辆“最小风险操作MRM”的功能安全概念”

JOIN US

长期招募

杭州

— 高级信息安全工程师

欢迎将个人简历发送至邮箱：

double.ma@sasetime.com

SASETECH是国内首个由汽车安全专家发起组建的技术社区，致力于为汽车安全的从业者提供交流、学习、合作的中立性平台。

SASETECH

扫码联系管理员加入交流群→

http://mp.weixin.qq.com/s?__biz=MzkxMzMxNTcxNQ==&mid=2247500680&idx=1&sn=44fc63b9bd57a6f0f449b328be9e2774

sasetech

汽车功能安全、预期功能安全、信息安全等技术知识学习交流平台