自动驾驶安全的算法冗余与标准

COVER STORY 方法与流程

初始情况

3级和4级高度自动化驾驶功能在技术和法律上仍然要求车内有人类驾驶员，但允许驾驶员将注意力从驾驶任务上转移开。这意味着系统至少必须能够安全识别当前情况是否可以自动处理，或者必须由驾驶员来应对。在4级情况下，系统必须考虑到驾驶员可能无法接管，因此必须做好应对所有情况的准备。安全地。在5级，不能再假定有驾驶员存在；但在较低的级别，车辆在自动化控制下运行时，即可被视为无操作员。

根据ISO26262提出的功能安全建立在以下基本假设之上：任何危害均可通过暴露（危害发生的可能性）、严重性（若危害发生，对生命和健康造成的危险程度）和可控性（人类操作员在多大程度上能够应对该危害并避免危险）这三个类别进行描述。其中最后一个类别对于自动化系统而言存在问题。由于操作员即使物理上存在，也并未关注现场情况，因此很可能无法期望其处理任何突发状况。因此，关于ISO26262是否适用于无操作员系统的问题确实值得探讨。

至少在自动化控制下，所有危害都应被视为C3级，即本质上不可控。

此项评估导致对自动驾驶硬件和软件提出较高的功能安全要求；主安全路径通常需要达到ASIL‐D。简化来说，这意味着系统主要安全相关执行路径上的任何组件每小时的失效预期不得超过10⁻⁸，或统计上失效频率不能高于每11,704年一次。也就是说，一个人每天驾驶2.5小时，持续50年，其一生中遭遇此类危害的概率为~0.1%，这无疑是一个崇高但非常高的目标。

ISO26262针对电气、电子和软件质量水平实现这一目标提供了一些指导。但高度自动化车辆的决策依赖于传感器和算法。经验表明，大多数危险并非由电气或电子问题引起，甚至也不是由软件缺陷引起的（尽管软件缺陷的发生频率仍远高于硬件故障），而是由于某些算法对传感器数据的解读得出了错误结论。如果自动化系统出现的错误并非由电气/电子或软件错误导致，并且所有部件都按照测试时的状态正常运行，但算法却出现了致命错误，这对于3+级系统而言是不可接受的。

因此，近期的发展不仅关注功能安全，还关注预期功能安全（SOTIF）。这可以被视为ISO26262的扩展，涵盖了算法和感知方面的危险。

通过以更宏观的视角来全面考虑系统，英飞凌科技子公司Elektrobit（EB）认为这是对自动化系统进行全局评估的正确方法，但该方法并未讨论如何实际达到所需的安全性。这种方法在实施上提供了最大的自由度，但却未能涉及实际系统实现中的现有技术。EB认为，不仅应开始讨论如何设定自动驾驶安全的目标，还应讨论如何在实践中实现这些目标，这是一个很好的想法。

算法冗余

实现系统安全的方法有很多，至少在理论上如此。在宏观系统层面，一种流行的方法是开发“主功能”和“监督功能”，两者均接收相互冗余的环境模型，并相互确认其当前状态评估的正确性， 。

该方法可将功能安全要求分配给两个电子控制单元（ECU）（或一个ECU上的两个中央处理器（CPU））以及两支软件开发团队。

世界建模

这种冗余在更深层次和更广泛方面具有巨大潜力。

详细级别。以自动驾驶系统必须计算的碰撞时间（TTC）为例，任何与安全相关的车辆控制功能最重要的输入信息始终是“您将在x秒内发生碰撞”。在当前许多配置中，TTC是通过一种称为目标融合的环境模型来计算的。

目标融合的思想在于，汽车环境中大多数潜在的碰撞对象都是静态或动态的，且它们的运动（如果存在）可以通过某种数学函数进行建模。例如，另一辆车辆通常具有转向轴和驱动轴，其运动取决于前者的转角和后者的速度。因此可以预期，该车辆不会突然横向跳跃或瞬间停止，而是按照特定的运动模型移动。这一特性可用于预测物体的运动，并滤除测量误差。

因此，目标融合组件的典型周期如图2所示：
– 预测物体的位置
– 将预测的物体与传感器的新测量结果进行关联
– 更新物体的运动模型以匹配新的传感器信息

这种建模通常使用卡尔曼滤波器[1]或其某种变体，这是一种1960年提出的方法，自20世纪80年代以来一直被用于机器人研究中的物体运动建模。该方法可被视为经过验证、可靠且处于技术前沿，并几乎应用于所有汽车环境传感器中。如果对所选运动模型的假设正确，并且系统中的所有误差源都得到了正确建模，则该结果被证明是描述物体的最佳方式。

因此，如果该算法得到正确实现，系统就达到了所能达到的最高安全水平。是这样吗？

不一定。目标建模依赖于若干假设：运动模型必须是正确的。例如，工程师在建模时不能将所建模的汽车与另一种类型的物体混淆；如果它是行人，则可能会突然跳向一侧。由于专家未对此进行建模，这将使他们的算法大感意外，会将其视为错误而不会通知我们的函数。此外，关联必须正确。如果他们出错……

同时将路边一根路灯杆的测量数据与所建模的汽车关联时，会导致汽车产生实际上并未发生的偏航运动。所有误差都必须被正确建模。诸如此类。

这并不是说目标模型在此情况下是错误的工具。但由于其基于某些可能被违背的假设，因此有时仍可能出现错误。

这些假设均未被任何功能安全标准所涵盖。解决此问题的合理结论是，采用另一种同样属于现有技术的冗余算法进行补充，以不同的方式提供相同的信息。

对汽车环境的另一种建模方式是将其视为由特定大小的离散单元网格组成，每个单元可能处于被占用、空闲状态，或因尚未被车辆传感器观测到而处于未知状态， 。当传感器在某一距离和角度检测到障碍物时，对应位置的网格单元将被标记为被占用，而对于某些类型的传感器，传感器与检测到的障碍物之间的网格单元将被标记为空闲。

这种环境建模方法在1985[2]中被提出。它已在许多汽车环境传感器中经过尝试和验证，尽管其应用可能不如卡尔曼滤波器那样广泛。由于该方法同样对车辆路径中的障碍物进行建模，因此也能提供碰撞时间（TTC）信息。它同样基于一些假设，例如如果传感器射线能够穿过某个区域，则认为该区域为空闲（但这取决于传感器和物体类型，实际情况可能并非如此），以及环境的动态性，即在对单个单元格确定其状态之前需要进行多少次测量被识别为空闲或被占用。但这些假设与目标建模中使用的假设存在根本性差异， 。

算法冗余创造更安全的系统

EB刚刚以两种广泛使用的环境建模机制为例进行了研究。这两种机制在现场经过充分测试，可以通过极高的开发成本开发到任意高的功能安全水平。但二者都无法在所有情况下都保持正确。如果功能安全和预期功能安全要求故障率低于每10⁸运行小时一次，则可以合理假设，在此运行时间内，这些算法中的任何一种都会产生故障，而功能安全和预期功能安全对此类故障的预防均未提供任何指导。整个系统存在许多类似的情况。

这是一个很大的问题，对于一个如果判断错误就可能对人类造成伤害的自动化系统。

防止这些判断错误的一种方法是同时使用多种方法对环境进行建模，并且只有当所有这些方法都认为某个操作是安全的时，才允许执行该操作。在上述示例中，当车辆周围的“物体”模型和“空闲空间”模型都确认车辆前方路径上没有任何障碍物时，车辆才会继续行驶。由于这两种方法背后的假设从根本上不同，因此有望避免两者同时出错的情况。

同行评审的必要性

但自动驾驶汽车的安全性不应寄希望于侥幸，而应有确凿的证据。预期功能安全（SOTIF）虽未对算法假设的分解规则作出具体规定，但明确指出对于ASIL‐D系统，此类假设每10⁸小时发生错误的次数不得超过一次。这一要求同样适用于其他类型的系统（例如制动机构），但在我们当前的情况下，相关问题的理解仍十分有限，且无法在实验室中进行测试。因此，目前只能通过实地测试来达到所需的置信度，而这需要进行大量的统计测试，其中单次测试就需持续10⁸小时。通过实际试驾汽车来获取哪怕一个样本都成本极高，更不用说完成所需数量的样本了。

统计确定性。因此，从科学角度来看，试驾无异于盲目摸索。尽管在常规辅助驾驶方面确实积累了非常丰富的经验，但考虑到ISO对系统安全性的极高要求，目前无法保证仅通过测试就足以确保安全性。这意味着，目前尚无技术手段能够验证任何自动驾驶车辆的算法解决方案的安全性。

有办法解决这个问题。在科学领域，这是通过同行评审来应对的：一种被认为可以解决问题的特定方法会被详细发表和描述。其他人会对其进行审查，并通过理论分析和实际测试揭示其中的缺陷。随后找到改进方法，再次发表并重新测试。对于任何给定的解决方案而言，这通常是一个循环过程，在该过程接近尾声时，通常存在许多略有不同的解决方案，随后会进行比较。最终会产生一个黄金标准，并在一段时间内被广泛认可，直到智能发展或其他领域的进步带来新的思路，从而再次开启这一循环。上述两种算法都经历了这一过程，并被视为其特定问题的黄金标准解决方案。同行评审并不能保证解决方案100%安全，但它证明了在某一时间点上，尚无人提出更优的方案。

在争夺率先上市的竞赛中，高度自动驾驶的开发似乎走向了另一个方向。尽管特定问题的黄金标准解决方案确实得到了应用，但这些方案整合为完整系统的过程被视为公司知识产权而被隐藏起来。近期的公开营销神经网络研究的进展似乎表明，即使使用黄金标准算法也已不再流行，取而代之的是人工智能将通过某种未公开的“魔法”来解决问题。这是一种非常短期的解决方案。可以肯定的是，在某个时间点，人类将在涉及高度自动化系统的事故中受到伤害，无论责任是否在于系统本身。在这种情况下，法庭审查将试图查明该系统是否已按照现有技术进行开发。如果当时尚未确立现有技术标准，则可以预见许多人将面临令人不安的讨论。根据法院的判决结果以及可能随之而来的立法过程，这不仅可能损害相关企业，还可能影响整个自动驾驶汽车行业，该行业预计到2025[3]时市场规模将达到420亿美元。

标准的需求

因此，EB建议在行业内就高度自动化驾驶系统的构建最佳实践展开深入的技术层面讨论。制造商无需深度披露自身的解决方案（尽管最终这是可取的），只需存在一种已发布的解决方案，可供同行评审并随时间不断改进即可。在我们看来，这完全不会危及任何制造商的知识产权。

2016年6月，Elektrobit发布了名为open robinos[4]的自有解决方案描述，该方案已实现在标准PC和一些汽车电子控制单元（ECU）上运行， 。该规范（即需同行评审的系统描述）在知识共享许可协议下提供，实现版本可免费获取。

Elektrobit目前正围绕此规范组建联盟，以启动评审流程并发布对规范的改进。其目标是建立一个参考实现，以便其他系统可据此进行比较和测试，并最终构建一个开放标准。

构建自动驾驶系统。标准的意义不仅限于对安全关键算法的同行评审。它为软件、硬件和汽车制造商提供了使用标准部分组件，并用其自有技术解决方案替换其他部分的可能性。这使得企业无需开发整个系统，即可开发自有知识产权或塑造品牌特色的功能。它催生了系统模块市场，使竞争可以以模块为单位进行，而非以完整系统为单位。这将促生更优的技术解决方案，并将开发和测试成本分摊至整个行业，而非仅限于单一车型。该标准可与立法机构讨论，用于为美国国家公路交通安全管理局（NHTSA）或德国技术监督协会（TÜV）等机构创建测试程序，并可用于向客户保证产品符合标准，因而被认为是安全可用的。

结论

本文中，EB并未发布新的技术方案。这是一种非常陈旧的解决寻找合适技术进步问题的方法，目前在大学之外的自动驾驶汽车竞赛中并未采用大学研究。EB相信，目前高度自动驾驶的问题尚未被充分理解，以至于单个公司或企业集团无法独立解决，即使能够解决，也无法整体性地解决打造安全自动驾驶汽车的问题。至少，自动驾驶的原理需要由行业进行审查、测试、批准，并最终实现标准化。

所提出的建议不会损害任何公司的业务，也不会阻碍自动驾驶汽车的发展速度。相反，EB认为这将有助于更好地利用资金和人力资源，加快开发进程，并制造出更安全的系统。