如何證明自動駕駛汽車的安全性

汽車行業(yè)正面臨幾十年來最大的挑戰(zhàn)之一，即開發(fā)對大眾市場安全的完全或部分自動駕駛汽車。這可能代表了有史以來最復(fù)雜的安全認(rèn)證問題。

你如何證明一個像現(xiàn)代汽車這樣復(fù)雜的系統(tǒng)可以在多車道交通、行人、自行車、農(nóng)用車輛、建筑車輛、橋梁、三葉草、停車燈、收費站等？答案是，您可能無法證明當(dāng)前設(shè)想的系統(tǒng)具有所需的安全級別。那么，自動駕駛汽車的努力在真正開始之前就注定要失敗了嗎？

多年前，航空業(yè)面臨著飛行器自主操作的挑戰(zhàn)，而先進(jìn)的自動駕駛儀現(xiàn)在已成為每架現(xiàn)代商用飛機的標(biāo)準(zhǔn)配置——包括可以起飛和降落飛機的自動駕駛儀。完全自主的空中無人機也變得司空見慣。顯然，航空業(yè)可以吸取教訓(xùn)，盡管由于空中和地面環(huán)境的可控性更強，其挑戰(zhàn)比汽車業(yè)要簡單得多。無論航空業(yè)為確保安全所做的一切，汽車業(yè)都可能需要做更多的工作來說服持懷疑態(tài)度的公眾。

航空業(yè)為創(chuàng)造卓越的安全記錄做了哪些工作？航空業(yè)已經(jīng)接受了嚴(yán)格的開發(fā)、測試和維護(hù)流程，在民用空域商業(yè)使用產(chǎn)品之前需要獲得安全認(rèn)證。幾十年來，軟件一直是航空控制系統(tǒng)的重要組成部分，并且有專門的面向安全的過程（例如，DO-178C）旨在降低軟件故障的可能性。此外，當(dāng)軟件的某些部分不適合直接驗證時（例如，因為它是商業(yè)現(xiàn)貨產(chǎn)品 （COTS） 的一部分），可能需要單獨的“運行時安全監(jiān)視器”來檢測和標(biāo)記什么可能是“危險的誤導(dǎo)性信息”（HMI）［1］。

航空業(yè)為確保其軟件密集型系統(tǒng)的安全所做的這些努力的記錄令人印象深刻，沒有已知的災(zāi)難性商用飛機故障與軟件故障直接相關(guān)。然而，由于軟件被不良傳感器數(shù)據(jù)的意外組合誤導(dǎo)而導(dǎo)??致災(zāi)難性故障，以及只有經(jīng)過專業(yè)訓(xùn)練的機上飛行員才能避免生命損失的情況。

航空業(yè)的安全記錄以及傳感器故障導(dǎo)致故障（或訓(xùn)練有素的飛行員避免故障）的案例都表明，航空中使用的以安全為導(dǎo)向的流程有所幫助，但并非萬無一失，并且在某種程度上依賴于人力后備。為了創(chuàng)造一輛完全自動駕駛的汽車，汽車行業(yè)需要從這些教訓(xùn)中吸取教訓(xùn)，并意識到他們的問題更加困難——不僅僅是因為汽車運行環(huán)境更具挑戰(zhàn)性，還因為可能缺乏專家司機訓(xùn)練有素，準(zhǔn)備在緊急情況下接管。為了增加汽車行業(yè)的復(fù)雜性，基于機器學(xué)習(xí)（ML-based）的方法被廣泛用于為自動駕駛汽車提供智能控制器，

那么，汽車行業(yè)在開發(fā)自動駕駛汽車時可以做些什么來應(yīng)對這一安全認(rèn)證挑戰(zhàn)呢？首先，監(jiān)督高速公路使用的行業(yè)和機構(gòu)需要認(rèn)識到，軟件密集型系統(tǒng)需要嚴(yán)格的開發(fā)、驗證和維護(hù)方法。軟件密集型系統(tǒng)的內(nèi)部狀態(tài)數(shù)量遠(yuǎn)遠(yuǎn)大于機械系統(tǒng)通常具有的數(shù)量，并且確保系統(tǒng)在所需的安全“范圍”內(nèi)運行需要使用最好的軟件工具進(jìn)行正式的、系統(tǒng)的開發(fā)和驗證方法和可用的語言。

汽車行業(yè)的第二步，特別是當(dāng)機器學(xué)習(xí)技術(shù)接管控制系統(tǒng)的關(guān)鍵部分時，是在他們的自動駕駛系統(tǒng)中加入一個不基于機器學(xué)習(xí)但持續(xù)監(jiān)控基于機器學(xué)習(xí)的系統(tǒng)的軟件組件以確保其保持在其安全范圍內(nèi)（類似于航空業(yè)中用于某些 COTS 組件的運行時安全監(jiān)視器，如上所述）。使用 ML 方法，運行時安全監(jiān)控方法可能是生成可以被認(rèn)證為安全的系統(tǒng)的唯一方法。一些機構(gòu)正在開展運行時安全監(jiān)視器領(lǐng)域的積極研究。

最后，對像自動駕駛汽車一樣復(fù)雜的安全關(guān)鍵系統(tǒng)進(jìn)行認(rèn)證將不可避免地需要令人信服的安全性證明。FAA、FDA 和其他機構(gòu)開始采用正式的“保證案例”或“安全案例”的概念。安全案例是一種樹狀結(jié)構(gòu)化論證，通過將論證分解為聲明和子聲明，然后顯示每個聲明如何得到直接證據(jù)和經(jīng)過驗證的子聲明的組合支持，從而表明系統(tǒng)是安全的。從一開始就使用這種方法有助于確定需要哪些關(guān)鍵證據(jù)才能令人信服地證明系統(tǒng)是安全的。

如果自動駕駛汽車要成為大眾市場的現(xiàn)實，就需要系統(tǒng)地開發(fā)這些系統(tǒng)，持續(xù)監(jiān)控，并以結(jié)構(gòu)化和令人信服的方式證明是安全的。

審核編輯：郭婷