汽车功能安全标准 iso 26262 的制定者们真是一帮不安于现状的人,因为他们又开始新标准的制定,即 iso 21448,也被称为“预期功能安全”(sotif)。虽然是个独立的新标准,但新的 iso 21448 其实是 iso 26262 的补充,它填补了老标准中的空缺。sotif 的诞生也是 adas 与自动驾驶普及大背景下的必然结果,它是预防不合理风险的一道防线。事实上,即使 adas 和自动驾驶系统的硬件符合 iso 26262 标准,且软件没有软件故障,也还是有可能在路上遇到麻烦。“我们不认为 iso 26262 足以确保安全。”英特尔功能安全技术专家 riccardo mariani 说。“uber 自动驾驶测试车的致命事故和一系列噩耗还是让人无法放心。”完美软件、符合 iso 26262 的硬件并不是终极组合,因为符合这两项的汽车,在路上行驶时,变量可不止这两个。举例来说,传感器或系统性能限制、道路环境的突然变化和驾驶员对车辆功能的误用,都有可能导致车毁人亡,如果机器学习算法无法正确分析路况,也会带来大麻烦。关于 sotif,外媒 ee times 采访了多位业内专家,他们的共识是:一致认为新的标准“野心相当大”。他们还发现,自动驾驶行业的两大阵营——传统汽车制造商/一级供应商与新入局的科技公司在许多问题上很难达成一致,因此 sotif 的定义以及未来到底会结出什么果实现在没人敢妄加猜测。去年 11 月,来自多个国家的代表和汽车技术业内人士就参与了在意大利举办的 iso“预会”(英特尔主办),而几周后他们将在上海再次会面。iso 上海大会之前,一部分新增议题也提前曝光,比如新标准的“用例”、“定义”、“ai 要求”和“高清地图”等。届时,与会人员将详细审阅所有信息并为标准所涉范围下一个定义。“上海大会之后,sotif 就不接受新的议题输入了。”mariani 解释。sotif 并非“说明性”标准在业内专家看来,sotif 确实是当前的热门议题,虽然相当重要但却充满挑战。edge case research 联合创始人兼 ceo michael wagner 将 sotif 视作解决“自动驾驶汽车安全风险”(没有零部件失灵情况下)的重要成果。不过,当参会人员想定义什么是“未知、不安全”的情况时,恐怕大家就难达成一致,因为关于这些问题的讨论会陷入理论与哲学的怪圈中。“我们是车辆安全的践行者,而不是哲学家。”wagner 说道。“我们必须理解风险埋藏在哪,对它们进行区分,拿出一个化解风险的方案并对其进行验证。”wagner 还拿 sotif 和 ul电气安全认证做了对比。他认为“ul 认证带有明显的说明性”,这一认证是用来解决产品合规问题的,它能告诉你“这样做的后果和不这样做的后果”。简言之,横在 sotif 面前的一座大山是经验的严重缺乏,毕竟自动驾驶是新事物。此外,新标准还得持续追赶“热点”,因为自动驾驶技术的更新换代实在太快了。“你不知道自己不知道什么”关于 sotif,vsi labs 创始人 phil magney 也有自己的看法。他指出,“你不知道自己不知道什么”的事情,在主动安全系统和自动驾驶功能中太常见了,而这是 sotif 的前提。想让这个标准落地,你必须识别出那些未知且不安全的部分,然后将它们的风险级别降到可接受范围内。已知/未知和安全/危险情况分类显然,magney 认为,即使 adas 或自动驾驶系统的软硬件都正常运行,车辆可能也会陷入危险境地。他还顺带举了三个例子:1. 由于能力所限,ai 系统无法理解当前情况;2. 现有传感器配置导致各项功能的鲁棒性不足;3. 人机界面设计差,导致驾驶员误用自动驾驶功能。“sotif 是识别危险状况的架构,同时也是风险级别降到可接受范围之前验证和确认状态的方法”。 magney 解释。不过他也承认,想减少那些未知且不安全的部分并不容易。毕竟,想将所有边缘情况一网打尽简直是天方夜谭。好在,sotif 中特别强调了对实践理性进行模拟的需要。“一半一半”arteris 公司营销副总裁 kurt shuler 指出,iso 26262 的会议上大家曾对是否要将 sotif 当做独立标准进行过讨论,反对的和支持的几乎打成平手。反对者质疑 sotif 是否真的那么重要,因为一旦拍板要做 sotif,就会进入未知区域,到时该标准可能会烂尾。在 shuler 看来,sotif 不但是一个架构,还是一个起点。“sotif 有用吗?当然有。sotif 必不可少吗?确实。但要说它够不够用?恐怕也算不上百科全书。”shuler 解释。悬而未决的问题就像 shuler 所说的,类似 iso 26262 和 sotif 这样的标准,召开行业会议时不但有各国代表参会,有公司代表,而大家在汽车行业经验上可是参差不齐。举例来说,有些公司代表可能在 ecu 上已经有了建树,有些则是类似特斯拉和 waymo 的搅局者,它们是汽车行业的新入局者。至于坐在“c 位”的则是传统汽车厂和一级供应商,他们反应缓慢,而且对监管非常敏感。说实话,此类会议的艺术在于协调不同背景的参会者找到共同的立场,在意大利的“预会”上,大家已经就几个关键问题达成了一致。首先,大家决定将 sotif 当做独立标准,新标号为 iso 21448。其次,虽然与会者在 sotif 需要覆盖那些级别车辆的问题上有分歧(传统汽车厂商倾向于只覆盖 l2 级别车辆,而科技巨头们则想把 l3、l4 和 l5 拉进去),但整体来看,l3-l5 还是很有希望被纳入 sotif 的。第三,关于 sotif 在量产版自动驾驶系统中应用的问题还没有定论。一些人坚称,路上的自动驾驶测试车不应该受到 sotif 的约束。最终,iso 组织可能会妥协,测试车只需遵守 sotif 中的部分标准就行。网络安全不在 sotif 的范畴之内关于机器学习关于机器学习的问题就比较多了,相关主题现在已经被加入 sotif 提案的附件中。sotif 的草案中规定:自动驾驶技术通常包含一些类型的机器学习技术,特别是在目标探测和分类等任务中,而一旦有个不小心,机器学习训练就有可能引发系统错误。由于系统错误可能影响车辆安全运行,因此数据采集和学习系统就必须按照安全标准进行开发,使自动驾驶汽车在工作中减少无意的偏差和数据失真问题。即使将算法排除在外,ai 中要么成功要么毁灭的特性也让人头疼。wagner 就给我们讲了个将开源神经网络用在自动驾驶汽车上的例子:ai 系统拿前置摄像头采集的视频数据当做“学习资料”,这辆车学习一阵后,却径直“冲向”了路上穿绿色背心的建筑工人。wagner 表示,这辆车的教学数据库并没有包含荧光绿背心的数据,所以机器根本分辨不出来穿背心的工人是人类。当我们讨论自动驾驶安全时,总是将机器学习形容为沙发上的大象,其问题在于机器学习的“黑箱”特质(不确定性)在面对相同情况时可能会产出不同结果,而汽车行业根本不知道该怎么解决这一问题。mariani 称,“一些与会者想把机器学习的问题放到以后讨论,而其他人则更想‘大象’在场时讨论安全问题”。更具体来说,一些与会者坚持认为,机器学习还是一个新事物,想标准化太早了,而过于严格的指导方针可能最终会阻碍创新。不过,也有一部分人马上就想要针对自动驾驶汽车的验证和确认指导方针。显然,两个阵营之间有巨大的分歧。“不过大家都同意的一点是,ai 应该成为安全监视器,将异常消灭于无形之中。”mariani 补充。眼下,大家所作的其实都是非正式讨论,关于如何掌控与安全密切相关的 ai,他们也没得出任何决议。mariani 表示,对这些决定 sotif 未来命运的参会人员来说,找到那些 ai 拖自动驾驶系统后腿的案例相当必要。对自动驾驶开发者来说,这样的案例数据库必须公开,并成为悬在他们头上的达摩克利斯之剑。不过,也有人想藏着掖着,把这些关键数据用作他途。mariani 可不愿处理这个僵局,他认为 sotif 也许需要一个独立的 ai 标准,并设立独立第三方的实体机构进行监督。他同时也承认,自动驾驶汽车的验证和确认需要大量的测试,但无穷无尽的测试太不现实。自动驾驶行业必须同意,新标准必须以“测试”和“正式方式”为基础,拿出一套自动驾驶汽车必须遵守的规则,而 mobileye 提出的 rss(责任敏感安全)应该成为重要参考项。局限性在哪?sotif 也有底线,那就是自动驾驶行业必须认识到,adas 和自动驾驶系统都有局限性,即使将车上的传感器武装到牙齿,车辆依然无法 100% 掌握现实情况。业内大多数人希望 sotif 能帮业界趟出一条路,以便大家能积极管理各种不确定性。ps:最后补充即将在上海召开的 iso 大会重要议题:1. 功能升级以化解 sotif 风险;2. sotif“度量衡”/接收标准的定义;3. sotif 的验证和确认策略;4. 模糊验证和确认的使用;5. 模拟和场景测试指南;6. 机器学习的 sotif 扩展;7. sotif 对离线高清地图的影响;8. 模拟环境的鉴定。如想获得峰会限时免费门票,扫描上方图片二维码报名,审核通过后即可获取 2019 ai+智能汽车创新峰会门票。另外,「ai+智能汽车创新峰会」微信社群已经开启,面向智能汽车行业的从业者、产品与技术开发人员,欢迎添加微信 id:erised。