Apollo開(kāi)源模塊的講解:什么是ISO-26262

Apollo自動(dòng)駕駛進(jìn)階課程是由百度Apollo聯(lián)合北京大學(xué)共同開(kāi)設(shè)的課程，邀請(qǐng)百度Apollo開(kāi)放平臺(tái)研發(fā)團(tuán)隊(duì)的中美專(zhuān)家聯(lián)合講授。

上期，我們發(fā)布了Apollo開(kāi)源模塊講解（上）。本期，我們將繼續(xù)Apollo開(kāi)源模塊的講解，主要和大家討論什么是ISO-26262。

話不多說(shuō)，歡迎各位開(kāi)發(fā)者一起進(jìn)入進(jìn)階課程第三期。

首先為大家介紹安全方面最基礎(chǔ)的一個(gè)模塊ISO-26262。ISO-26262是一個(gè)非常復(fù)雜、非常結(jié)構(gòu)化的標(biāo)準(zhǔn)。比如說(shuō)，如果一個(gè)硬件達(dá)到了ASIL D級(jí)別的要求，那么它的故障率是10 fit （Failures In Time, in one billion device-hours of operation），即10億個(gè)小時(shí)里面出一次故障。這個(gè)故障率要比windows藍(lán)屏的概率低很多。

從英文來(lái)講，安全有兩個(gè)詞：Safety和Security。Safety包含兩個(gè)方面：系統(tǒng)性故障Systematic Faults和隨機(jī)故障Random Faults 。

系統(tǒng)性故障是說(shuō)，我在設(shè)計(jì)汽車(chē)的時(shí)候就存在的缺陷。每次運(yùn)行的時(shí)候，都一定會(huì)發(fā)現(xiàn)問(wèn)題。軟件和硬件都有可能存在系統(tǒng)性故障。

隨機(jī)故障是由不可控的因素造成的故障，不一定會(huì)出現(xiàn)，比如路上顛簸了一下。一般情況下，只有硬件會(huì)出現(xiàn)隨機(jī)故障。

而Security涉及的不是車(chē)自身的問(wèn)題，而是系統(tǒng)被別人攻占了。以前你要攻陷一輛車(chē)，是很困難的事情，沒(méi)有物理連接也沒(méi)有網(wǎng)絡(luò)連接。但是有了無(wú)人駕駛技術(shù)以后，車(chē)總是和網(wǎng)絡(luò)相連，讓車(chē)變得特別容易被攻擊。

ISO-26262是一個(gè)行業(yè)規(guī)范而不是一個(gè)例法，只覆蓋Safety，不覆蓋Security。但我們?cè)谧鰺o(wú)人駕駛的時(shí)候，必須考慮security。

通過(guò)ISO-26262的認(rèn)證是一個(gè)特別慎重的流程。

首先你需要明確車(chē)具備哪些功能以及這些功能由哪些零部件完成。其次，需要考慮對(duì)于車(chē)的每個(gè)功能是否會(huì)出現(xiàn)故障，一旦出現(xiàn)問(wèn)題是什么級(jí)別的問(wèn)題。

有兩種問(wèn)題，例如做車(chē)的加速系統(tǒng)：一種問(wèn)題是車(chē)在人沒(méi)有意識(shí)的情況下加速了。另一種是，需要車(chē)加速的時(shí)候它沒(méi)有加速。我們需要把這些問(wèn)題放到具體的情景中去考慮，最嚴(yán)重的問(wèn)題是哪一種。對(duì)于判斷一個(gè)問(wèn)題是否嚴(yán)重，ISO-26262給了三個(gè)判斷標(biāo)準(zhǔn)：Exposure、Controllable、Separately。

Separately是指車(chē)和人分離，出事故后有多少概率會(huì)造成人員傷亡。

Exposure是指這件事情是否常見(jiàn)。

Controllable是指車(chē)出現(xiàn)了問(wèn)題，駕駛員是否有機(jī)會(huì)接管。

ISO-26262的認(rèn)證過(guò)程是一個(gè)“V型”。首先要看是什么開(kāi)發(fā)環(huán)境，其次要分析問(wèn)題的等級(jí)是怎么樣的。如果是一個(gè)很高的等級(jí)需要判斷這個(gè)問(wèn)題出現(xiàn)的概率有多大。然后考慮這個(gè)問(wèn)題具體要怎么解決。也就是先做High Level層級(jí)的，再到Function層級(jí)，然后到Technique層級(jí)。

Technique層級(jí)涉及軟件和硬件。軟件硬件確保了安全性后，再返回往上去做驗(yàn)證。對(duì)于ISO-26262更高級(jí)別的要求，它會(huì)要求有很多Redundant system。如果現(xiàn)行的系統(tǒng)壞了，下面還有一套系統(tǒng)。如果出現(xiàn)問(wèn)題，另外這個(gè)系統(tǒng)具備使它停下來(lái)的機(jī)制。

ISO-26262代表了汽車(chē)行業(yè)在安全方面可以做到的極限，在汽車(chē)行業(yè)有很高的威望。

首先，它是對(duì)技術(shù)的一個(gè)引導(dǎo)。毋庸置疑它會(huì)使車(chē)更加安全。其次，它有很高的商業(yè)附加值。通過(guò)這個(gè)認(rèn)證最多的車(chē)是德系車(chē)，德系車(chē)價(jià)格遠(yuǎn)高于同行。第三，它涉及法律中權(quán)責(zé)的問(wèn)題。

汽車(chē)行業(yè)是一個(gè)復(fù)雜的行業(yè)。車(chē)廠要把汽車(chē)組裝起來(lái)，需要對(duì)供應(yīng)商提各種各樣的要求。一旦汽車(chē)出現(xiàn)了安全問(wèn)題，供應(yīng)硬件零件如果符合安全要求，車(chē)廠就要承擔(dān)責(zé)任。而汽車(chē)的召回一般都是十億美金這個(gè)量級(jí)的。所以這個(gè)認(rèn)證它雖然不是法律，但它在打官司的時(shí)候特別有用。

但I(xiàn)SO-26262也有缺點(diǎn)。它的認(rèn)證過(guò)程很繁雜（Very Heavy Process)，不符合敏捷開(kāi)發(fā)的需求。ISO-26262一定是每一層的文檔都準(zhǔn)備完畢，才可以做下一層。

我們做一個(gè)APP可能以月計(jì)迭代都算慢的，但是做車(chē)可能需要十年的規(guī)劃，我們現(xiàn)在開(kāi)的車(chē)可能就是他們十年前規(guī)劃出來(lái)的。