雷锋网按:汽车功能安全标准 ISO 26262 的制定者们真是一帮不安于现状的人,因为他们又开始新标准的制定,即 ISO 21448,也被称为“预期功能安全”(SOTIF)。
虽然是个独立的新标准,但新的 ISO 21448 其实是 ISO 26262 的补充,它填补了老标准中的空缺。SOTIF 的诞生也是 ADAS 与自动驾驶普及大背景下的必然结果,它是预防不合理风险的一道防线。
事实上,即使 ADAS 和自动驾驶系统的硬件符合 ISO 26262 标准,且软件没有软件故障,也还是有可能在路上遇到麻烦。
“我们不认为 ISO 26262 足以确保安全。”英特尔功能安全技术专家 Riccardo Mariani 说。“Uber 自动驾驶测试车的致命事故和一系列噩耗还是让人无法放心。”
完美软件、符合 ISO 26262 的硬件并不是终极组合,因为符合这两项的汽车,在路上行驶时,变量可不止这两个。
举例来说,传感器或系统性能限制、道路环境的突然变化和驾驶员对车辆功能的误用,都有可能导致车毁人亡,如果机器学习算法无法正确分析路况,也会带来大麻烦。
关于 SOTIF,外媒 EE Times 采访了多位业内专家,他们的共识是:一致认为新的标准“野心相当大”。他们还发现,自动驾驶行业的两大阵营——传统汽车制造商/一级供应商与新入局的科技公司在许多问题上很难达成一致,因此 SOTIF 的定义以及未来到底会结出什么果实现在没人敢妄加猜测。
去年 11 月,来自多个国家的代表和汽车技术业内人士就参与了在意大利举办的 ISO“预会”(英特尔主办),而几周后他们将在上海再次会面。
ISO 上海大会之前,一部分新增议题也提前曝光,比如新标准的“用例”、“定义”、“AI 要求”和“高清地图”等。届时,与会人员将详细审阅所有信息并为标准所涉范围下一个定义。
“上海大会之后,SOTIF 就不接受新的议题输入了。”Mariani 解释。
SOTIF 并非“说明性”标准
在业内专家看来,SOTIF 确实是当前的热门议题,虽然相当重要但却充满挑战。
Edge Case Research 联合创始人兼 CEO Michael Wagner 将 SOTIF 视作解决“自动驾驶汽车安全风险”(没有零部件失灵情况下)的重要成果。
不过,当参会人员想定义什么是“未知、不安全”的情况时,恐怕大家就难达成一致,因为关于这些问题的讨论会陷入理论与哲学的怪圈中。
“我们是车辆安全的践行者,而不是哲学家。”Wagner 说道。“我们必须理解风险埋藏在哪,对它们进行区分,拿出一个化解风险的方案并对其进行验证。”
Wagner 还拿 SOTIF 和 UL电气安全认证做了对比。他认为“UL 认证带有明显的说明性”,这一认证是用来解决产品合规问题的,它能告诉你“这样做的后果和不这样做的后果”。
简言之,横在 SOTIF 面前的一座大山是经验的严重缺乏,毕竟自动驾驶是新事物。此外,新标准还得持续追赶“热点”,因为自动驾驶技术的更新换代实在太快了。
“你不知道自己不知道什么”
关于 SOTIF,VSI Labs 创始人 Phil Magney 也有自己的看法。
他指出,“你不知道自己不知道什么”的事情,在主动安全系统和自动驾驶功能中太常见了,而这是 SOTIF 的前提。想让这个标准落地,你必须识别出那些未知且不安全的部分,然后将它们的风险级别降到可接受范围内。
已知/未知和安全/危险情况分类
显然,Magney 认为,即使 ADAS 或自动驾驶系统的软硬件都正常运行,车辆可能也会陷入危险境地。他还顺带举了三个例子:
1. 由于能力所限,AI 系统无法理解当前情况;
2. 现有传感器配置导致各项功能的鲁棒性不足;
3. 人机界面设计差,导致驾驶员误用自动驾驶功能。
“SOTIF 是识别危险状况的架构,同时也是风险级别降到可接受范围之前验证和确认状态的方法”。 Magney 解释。
不过他也承认,想减少那些未知且不安全的部分并不容易。毕竟,想将所有边缘情况一网打尽简直是天方夜谭。好在,SOTIF 中特别强调了对实践理性进行模拟的需要。
“一半一半”
Arteris 公司营销副总裁 Kurt Shuler 指出,ISO 26262 的会议上大家曾对是否要将 SOTIF 当做独立标准进行过讨论,反对的和支持的几乎打成平手。
反对者质疑 SOTIF 是否真的那么重要,因为一旦拍板要做 SOTIF,就会进入未知区域,到时该标准可能会烂尾。
在 Shuler 看来,SOTIF 不但是一个架构,还是一个起点。“SOTIF 有用吗?当然有。SOTIF 必不可少吗?确实。但要说它够不够用?恐怕也算不上百科全书。”Shuler 解释。
悬而未决的问题
就像 Shuler 所说的,类似 ISO 26262 和 SOTIF 这样的标准,召开行业会议时不但有各国代表参会,有公司代表,而大家在汽车行业经验上可是参差不齐。
举例来说,有些公司代表可能在 ECU 上已经有了建树,有些则是类似特斯拉和 Waymo 的搅局者,它们是汽车行业的新入局者。至于坐在“C 位”的则是传统汽车厂和一级供应商,他们反应缓慢,而且对监管非常敏感。
说实话,此类会议的艺术在于协调不同背景的参会者找到共同的立场,在意大利的“预会”上,大家已经就几个关键问题达成了一致。
首先,大家决定将 SOTIF 当做独立标准,新标号为 ISO 21448。
其次,虽然与会者在 SOTIF 需要覆盖那些级别车辆的问题上有分歧(传统汽车厂商倾向于只覆盖 L2 级别车辆,而科技巨头们则想把 L3、L4 和 L5 拉进去),但整体来看,L3-L5 还是很有希望被纳入 SOTIF 的。
第三,关于 SOTIF 在量产版自动驾驶系统中应用的问题还没有定论。一些人坚称,路上的自动驾驶测试车不应该受到 SOTIF 的约束。最终,ISO 组织可能会妥协,测试车只需遵守 SOTIF 中的部分标准就行。
网络安全不在 SOTIF 的范畴之内
关于机器学习
关于机器学习的问题就比较多了,相关主题现在已经被加入 SOTIF 提案的附件中。
SOTIF 的草案中规定:
自动驾驶技术通常包含一些类型的机器学习技术,特别是在目标探测和分类等任务中,而一旦有个不小心,机器学习训练就有可能引发系统错误。
由于系统错误可能影响车辆安全运行,因此数据采集和学习系统就必须按照安全标准进行开发,使自动驾驶汽车在工作中减少无意的偏差和数据失真问题。
即使将算法排除在外,AI 中要么成功要么毁灭的特性也让人头疼。
Wagner 就给我们讲了个将开源神经网络用在自动驾驶汽车上的例子:AI 系统拿前置摄像头采集的视频数据当做“学习资料”,这辆车学习一阵后,却径直“冲向”了路上穿绿色背心的建筑工人。
Wagner 表示,这辆车的教学数据库并没有包含荧光绿背心的数据,所以机器根本分辨不出来穿背心的工人是人类。
当我们讨论自动驾驶安全时,总是将机器学习形容为沙发上的大象,其问题在于机器学习的“黑箱”特质(不确定性)在面对相同情况时可能会产出不同结果,而汽车行业根本不知道该怎么解决这一问题。
Mariani 称,“一些与会者想把机器学习的问题放到以后讨论,而其他人则更想‘大象’在场时讨论安全问题”。更具体来说,一些与会者坚持认为,机器学习还是一个新事物,想标准化太早了,而过于严格的指导方针可能最终会阻碍创新。
不过,也有一部分人马上就想要针对自动驾驶汽车的验证和确认指导方针。
显然,两个阵营之间有巨大的分歧。“不过大家都同意的一点是,AI 应该成为安全监视器,将异常消灭于无形之中。”Mariani 补充。
眼下,大家所作的其实都是非正式讨论,关于如何掌控与安全密切相关的 AI,他们也没得出任何决议。Mariani 表示,对这些决定 SOTIF 未来命运的参会人员来说,找到那些 AI 拖自动驾驶系统后腿的案例相当必要。对自动驾驶开发者来说,这样的案例数据库必须公开,并成为悬在他们头上的达摩克利斯之剑。不过,也有人想藏着掖着,把这些关键数据用作他途。
Mariani 可不愿处理这个僵局,他认为 SOTIF 也许需要一个独立的 AI 标准,并设立独立第三方的实体机构进行监督。
他同时也承认,自动驾驶汽车的验证和确认需要大量的测试,但无穷无尽的测试太不现实。自动驾驶行业必须同意,新标准必须以“测试”和“正式方式”为基础,拿出一套自动驾驶汽车必须遵守的规则,而 Mobileye 提出的 RSS(责任敏感安全)应该成为重要参考项。
局限性在哪?
SOTIF 也有底线,那就是自动驾驶行业必须认识到,ADAS 和自动驾驶系统都有局限性,即使将车上的传感器武装到牙齿,车辆依然无法 100% 掌握现实情况。
业内大多数人希望 SOTIF 能帮业界趟出一条路,以便大家能积极管理各种不确定性。
PS:最后补充即将在上海召开的 ISO 大会重要议题:
1. 功能升级以化解 SOTIF 风险;
2. SOTIF“度量衡”/接收标准的定义;
3. SOTIF 的验证和确认策略;
4. 模糊验证和确认的使用;
5. 模拟和场景测试指南;
6. 机器学习的 SOTIF 扩展;
7. SOTIF 对离线高清地图的影响;
8. 模拟环境的鉴定。
举报/反馈

雷峰网leiphone

173万获赞 16.5万粉丝
雷峰网——关注智能与未来!
鲲鹏计划获奖作者
关注
0
0
收藏
分享