01
自动驾驶的安全困局
面对复杂及非白盒系统,安全标准执行性变差
和传统的电控系统(例如,传动,底盘,转向等)相比,自动驾驶系统本身以及和其它系统交互的复杂性不言而喻。为此,基于确定或者白盒化的模型(简单的说,就是能通过物理公式对其进行建模)的传统汽车开发思路和手段已经完全不再能够应对自动驾驶系统的复杂性带来的挑战,为此,大量的机器学习,人工智能等非白盒化模型应用于自动驾驶控制系统,以此代替现有驾驶员的职能。
虽然这些非白盒化算法有效帮助我们实现复杂的系统的功能,并且随着大量数据输入的迭代,算法本身也会进化,变得更加智能,但与此同时,我们也越来越难真正从物理规律的角度去理解这样开发出来的系统,甚至基于数以万计训练参数的机器算法模型,已经基本上超越了人类的理解范畴。
在这样的情况下,基于白盒化的安全分析活动的可实施性无疑受到了极大的限制和挑战,工作难度及工作量急剧上升,研发人员的可靠性决定了安全开发的可靠性,安全分析的作用被迫降低,只能通过大量的基于不同场景的仿真和长期的测试验证和确认尽可能保证自动驾驶系统的安全性,其最终效果如何,也不得而知!
技术的局限,导致预期功能安全新问题
1
例如,识别车辆所处的运行环境,包括交通标识(可能不完整或被遮挡),交通规则,其他交通参与者,没有被机器学习算法覆盖的不明障碍物等。这些情况都需要自动驾驶系统快速准确地识别和判断,并做出正确的驾驶决策。
2
例如,雨雪天气,道路坑洼和泥泞,道路维修等。这些情况可能会影响传感器的性能和对其判断,进而导致自动驾驶系统无法准确地感知周围环境。
当然,为了解决上述的技术困局,我们需要采用更先进的传感器技术和规划算法,同时加强系统的质量把控,但是技术制约的问题依旧存在,且短期不可能得到根本性解决,资本的压力增加,那这样的技术困局如何解决?
在这样的背景下,预期功能安全随之诞生,它主要用来解决自动驾驶系统由于预期性能的不足和合理的人为误用导致的安全问题。
1.3 道德困局
除技术,责任的困局外,道德困局也不容轻视。
1
自动驾驶汽车在遇到紧急情况时,例如,行人突然跳出来,或者老人和年轻人同时处于危险之中,自动驾驶系统应该以什么样的道德标准采取措施?系统是否应该优先保护车上的乘客,还是采取最小伤害原则,不同的企业是否能够采用一套标准,这个标准由谁制定等,这是一个涉及道德和法律问题的复杂问题。
2
自动驾驶系统需要采用大量的传感器和摄像头感知周围环境,但同时也会收集大量有关驾驶员,乘客以及其他交通参与者的个人信息。这些信息如何处理和保护,由谁监管,如何监管,以避免滥用和侵犯隐私权,这一定程度上也属于道德问题。
虽然目前国内有一些数据安全采集的法规,但多基于国家安全层面出发,也不能保证自动驾驶系统数据隐私安全性问题。
当然,除了以上主要的困局,还有大众对自动驾驶系统的接受度问题,成本问题,人机交互问题等。例如,由于自动驾驶系统人机交互界面不够清晰、易懂,导致人类难以理解车辆的决策过程和风险提示,也可能会造成行车事故。这些都是制约自动驾驶技术落地的重要因素。
技术困局只能依靠技术解决,那么责任和道德困局有没有什么解决办法呢?这个问题很难回答,我只能简单回答如下:
健全法规及道德协议
设立监管机构
统一标准
国际社会及行业可以制定统一的标准,规范自动驾驶系统的安全设计和操作接口,这样可以确保最基本的安全问题。
教育和宣传
02
预期功能安全
2.1 解决的问题
由上一节自动驾驶系统技术困局可知,预期功能安全旨在解决预期功能的不足,而这些功能不足是由系统本身(包括硬件和软件)性能的不足导致的。
此外,可合理预见的人员误用也会导致危害的产生。例如,驾驶员对自动驾驶系统能力和限制的理解误用了相应的系统,或者驾驶员没有正确理解和应对系统警告,都会直接导致自动驾驶系统的安全问题,这类问题本质是系统本身鲁棒性不够,或者说能力不够,因此也被归到预期功能安全内容。
2.2 预期功能安全标准
预期功能安全作为汽车安全的三大核心内容 (详情点我:【功能安全(ISO 26262)系列】番外篇 第一话 戏说汽车安全是个什么鬼) 之一,在行业内也有相应的标准。
1
ISO 21448: 2022版,属于第二版
下载链接: 公众号回复 ISO 21448
2
下载链接: 公众号回复 ISO 21448
和ISO 26262相比,ISO 21448只有一个单独文件,内容相对较少,也属于方法论模型,具体内容我们在预期功能安全这个专题后面文章细聊。
写在最后:
END
【点赞】和【在看】= 原创的动力
多谢【点赞】和【在看】
