如何證明自動駕駛汽車的安全性

汽車行業(yè)正面臨幾十年來最大的挑戰(zhàn)之一，即開發(fā)對大眾市場安全的完全或部分自動駕駛汽車。這可能代表了有史以來最復雜的安全認證問題。

你如何證明一個像現代汽車這樣復雜的系統(tǒng)可以在多車道交通、行人、自行車、農用車輛、建筑車輛、橋梁、三葉草、停車燈、收費站等？答案是，您可能無法證明當前設想的系統(tǒng)具有所需的安全級別。那么，自動駕駛汽車的努力在真正開始之前就注定要失敗了嗎？

多年前，航空業(yè)面臨著飛行器自主操作的挑戰(zhàn)，而先進的自動駕駛儀現在已成為每架現代商用飛機的標準配置——包括可以起飛和降落飛機的自動駕駛儀。完全自主的空中無人機也變得司空見慣。顯然，航空業(yè)可以吸取教訓，盡管由于空中和地面環(huán)境的可控性更強，其挑戰(zhàn)比汽車業(yè)要簡單得多。無論航空業(yè)為確保安全所做的一切，汽車業(yè)都可能需要做更多的工作來說服持懷疑態(tài)度的公眾。

航空業(yè)為創(chuàng)造卓越的安全記錄做了哪些工作？航空業(yè)已經接受了嚴格的開發(fā)、測試和維護流程，在民用空域商業(yè)使用產品之前需要獲得安全認證。幾十年來，軟件一直是航空控制系統(tǒng)的重要組成部分，并且有專門的面向安全的過程（例如，DO-178C）旨在降低軟件故障的可能性。此外，當軟件的某些部分不適合直接驗證時（例如，因為它是商業(yè)現貨產品 （COTS） 的一部分），可能需要單獨的“運行時安全監(jiān)視器”來檢測和標記什么可能是“危險的誤導性信息”（HMI）［1］。

航空業(yè)為確保其軟件密集型系統(tǒng)的安全所做的這些努力的記錄令人印象深刻，沒有已知的災難性商用飛機故障與軟件故障直接相關。然而，由于軟件被不良傳感器數據的意外組合誤導而導??致災難性故障，以及只有經過專業(yè)訓練的機上飛行員才能避免生命損失的情況。

航空業(yè)的安全記錄以及傳感器故障導致故障（或訓練有素的飛行員避免故障）的案例都表明，航空中使用的以安全為導向的流程有所幫助，但并非萬無一失，并且在某種程度上依賴于人力后備。為了創(chuàng)造一輛完全自動駕駛的汽車，汽車行業(yè)需要從這些教訓中吸取教訓，并意識到他們的問題更加困難——不僅僅是因為汽車運行環(huán)境更具挑戰(zhàn)性，還因為可能缺乏專家司機訓練有素，準備在緊急情況下接管。為了增加汽車行業(yè)的復雜性，基于機器學習（ML-based）的方法被廣泛用于為自動駕駛汽車提供智能控制器，

那么，汽車行業(yè)在開發(fā)自動駕駛汽車時可以做些什么來應對這一安全認證挑戰(zhàn)呢？首先，監(jiān)督高速公路使用的行業(yè)和機構需要認識到，軟件密集型系統(tǒng)需要嚴格的開發(fā)、驗證和維護方法。軟件密集型系統(tǒng)的內部狀態(tài)數量遠遠大于機械系統(tǒng)通常具有的數量，并且確保系統(tǒng)在所需的安全“范圍”內運行需要使用最好的軟件工具進行正式的、系統(tǒng)的開發(fā)和驗證方法和可用的語言。

汽車行業(yè)的第二步，特別是當機器學習技術接管控制系統(tǒng)的關鍵部分時，是在他們的自動駕駛系統(tǒng)中加入一個不基于機器學習但持續(xù)監(jiān)控基于機器學習的系統(tǒng)的軟件組件以確保其保持在其安全范圍內（類似于航空業(yè)中用于某些 COTS 組件的運行時安全監(jiān)視器，如上所述）。使用 ML 方法，運行時安全監(jiān)控方法可能是生成可以被認證為安全的系統(tǒng)的唯一方法。一些機構正在開展運行時安全監(jiān)視器領域的積極研究。

最后，對像自動駕駛汽車一樣復雜的安全關鍵系統(tǒng)進行認證將不可避免地需要令人信服的安全性證明。FAA、FDA 和其他機構開始采用正式的“保證案例”或“安全案例”的概念。安全案例是一種樹狀結構化論證，通過將論證分解為聲明和子聲明，然后顯示每個聲明如何得到直接證據和經過驗證的子聲明的組合支持，從而表明系統(tǒng)是安全的。從一開始就使用這種方法有助于確定需要哪些關鍵證據才能令人信服地證明系統(tǒng)是安全的。

如果自動駕駛汽車要成為大眾市場的現實，就需要系統(tǒng)地開發(fā)這些系統(tǒng)，持續(xù)監(jiān)控，并以結構化和令人信服的方式證明是安全的。

審核編輯：郭婷