ISO 21448填补了ISO 26262标准中的关于系统缺陷和人为误操作的空白。SOTIF的诞生也是 ADAS 与自动驾驶普及大背景下的必然结果。
事实上,即使 ADAS 和自动驾驶系统的硬件符合 ISO 26262 标准,且软件没有软件故障,也还是有可能在路上遇到麻烦。
“我们不认为 ISO 26262 足以确保安全。”英特尔功能安全技术专家 Riccardo Mariani 说。“Uber 自动驾驶测试车的致命事故和一系列噩耗还是让人无法放心。”完美软件、符合 ISO 26262 的硬件并不是终极组合,因为符合这两项的汽车,在路上行驶时,变量可不止这两个。
举例来说,传感器或系统性能限制、道路环境的突然变化和驾驶员对车辆功能的误用,都有可能导致车毁人亡,如果机器学习算法无法正确分析路况,也会带来大麻烦。关于 SOTIF,外媒 EE Times 采访了多位业内专家,他们的共识是:一致认为新的标准“野心相当大”。他们还发现,自动驾驶行业的两大阵营——传统汽车制造商/一级供应商与新入局的科技公司在许多问题上很难达成一致,因此 SOTIF 的定义以及未来到底会结出什么果实现在没人敢妄加猜测。
2018年11月,来自多个国家的代表和汽车技术业内人士就参与了在意大利举办的 ISO“预会”(英特尔主办),而几周后他们将在上海再次会面。
ISO 上海大会之前,一部分新增议题也提前曝光,比如新标准的“用例”、“定义”、“AI 要求”和“高清地图”等。届时,与会人员将详细审阅所有信息并为标准所涉范围下一个定义。“上海大会之后,SOTIF 就不接受新的议题输入了。”Mariani 解释。
SOTIF 并非“说明性”标准
在业内专家看来,SOTIF 确实是当前的热门议题,虽然相当重要但却充满挑战。
Edge Case Research 联合创始人兼 CEO Michael Wagner 将 SOTIF 视作解决“自动驾驶汽车安全风险”(没有零部件失灵情况下)的重要成果。不过,当参会人员想定义什么是“未知、不安全”的情况时,恐怕大家就难达成一致,因为关于这些问题的讨论会陷入理论与哲学的怪圈中。
“我们是车辆安全的践行者,而不是哲学家。”Wagner 说道。“我们必须理解风险埋藏在哪,对它们进行区分,拿出一个化解风险的方案并对其进行验证。”
Wagner 还拿 SOTIF 和 UL电气安全认证做了对比。他认为“UL 认证带有明显的说明性”,这一认证是用来解决产品合规问题的,它能告诉你“这样做的后果和不这样做的后果”。
简言之,横在 SOTIF 面前的一座大山是经验的严重缺乏,毕竟自动驾驶是新事物。此外,新标准还得持续追赶“热点”,因为自动驾驶技术的更新换代实在太快了。
“你不知道自己不知道什么”
关于 SOTIF,VSI Labs 创始人 Phil Magney 也有自己的看法。
他指出,“你不知道自己不知道什么”的事情,在主动安全系统和自动驾驶功能中太常见了,而这是 SOTIF 的前提。想让这个标准落地,你必须识别出那些未知且不安全的部分,然后将它们的风险级别降到可接受范围内。
已知/未知和安全/危险情况分类
显然,Magney 认为,即使 ADAS 或自动驾驶系统的软硬件都正常运行,车辆可能也会陷入危险境地。他还顺带举了三个例子:
- 由于能力所限,AI 系统无法理解当前情况;
- 现有传感器配置导致各项功能的鲁棒性不足;
- 人机界面设计差,导致驾驶员误用自动驾驶功能。
“SOTIF 是识别危险状况的架构,同时也是风险级别降到可接受范围之前验证和确认状态的方法”。 Magney 解释。不过他也承认,想减少那些未知且不安全的部分并不容易。毕竟,想将所有边缘情况一网打尽简直是天方夜谭。好在,SOTIF 中特别强调了对实践理性进行模拟的需要。
“一半一半”
Arteris 公司营销副总裁 Kurt Shuler 指出,ISO 26262 的会议上大家曾对是否要将 SOTIF 当做独立标准进行过讨论,反对的和支持的几乎打成平手。反对者质疑 SOTIF 是否真的那么重要,因为一旦拍板要做 SOTIF,就会进入未知区域,到时该标准可能会烂尾。
在 Shuler 看来,SOTIF 不但是一个架构,还是一个起点。“SOTIF 有用吗?当然有。SOTIF 必不可少吗?确实。但要说它够不够用?恐怕也算不上百科全书。”Shuler 解释。
悬而未决的问题
就像 Shuler 所说的,类似 ISO 26262 和 SOTIF 这样的标准,召开行业会议时不但有各国代表参会,有公司代表,而大家在汽车行业经验上可是参差不齐。举例来说,有些公司代表可能在 ECU 上已经有了建树,有些则是类似特斯拉和 Waymo 的搅局者,它们是汽车行业的新入局者。至于坐在“C 位”的则是传统汽车厂和一级供应商,他们反应缓慢,而且对监管非常敏感。
此类会议的艺术在于协调不同背景的参会者找到共同的立场,在意大利的“预会”上,大家已经就几个关键问题达成了一致。
首先,大家决定将 SOTIF 当做独立标准,新标号为 ISO 21448。
其次,虽然与会者在 SOTIF 需要覆盖那些级别车辆的问题上有分歧(传统汽车厂商倾向于只覆盖 L2 级别车辆,而科技巨头们则想把 L3、L4 和 L5 拉进去),但整体来看,L3-L5 还是很有希望被纳入 SOTIF 的。
再次,关于 SOTIF 在量产版自动驾驶系统中应用的问题还没有定论。一些人坚称,路上的自动驾驶测试车不应该受到 SOTIF 的约束。最终,ISO 组织可能会妥协,测试车只需遵守 SOTIF 中的部分标准就行。
网络安全不在 SOTIF 的范畴之内
关于机器学习
关于机器学习的问题就比较多了,相关主题现在已经被加入 SOTIF 提案的附件中。
SOTIF 的草案中规定:
自动驾驶技术通常包含一些类型的机器学习技术,特别是在目标探测和分类等任务中,而一旦有个不小心,机器学习训练就有可能引发系统错误。由于系统错误可能影响车辆安全运行,因此数据采集和学习系统就必须按照安全标准进行开发,使自动驾驶汽车在工作中减少无意的偏差和数据失真问题。
即使将算法排除在外,AI 中要么成功要么毁灭的特性也让人头疼。Wagner 就给我们讲了个将开源神经网络用在自动驾驶汽车上的例子:AI 系统拿前置摄像头采集的视频数据当做“学习资料”,这辆车学习一阵后,却径直“冲向”了路上穿绿色背心的建筑工人。Wagner 表示,这辆车的教学数据库并没有包含荧光绿背心的数据,所以机器根本分辨不出来穿背心的工人是人类。
当我们讨论自动驾驶安全时,总是将机器学习形容为沙发上的大象,其问题在于机器学习的“黑箱”特质(不确定性)在面对相同情况时可能会产出不同结果,而汽车行业根本不知道该怎么解决这一问题。
Mariani 称,“一些与会者想把机器学习的问题放到以后讨论,而其他人则更想‘大象’在场时讨论安全问题”。更具体来说,一些与会者坚持认为,机器学习还是一个新事物,想标准化太早了,而过于严格的指导方针可能最终会阻碍创新。
不过,也有一部分人马上就想要针对自动驾驶汽车的验证和确认指导方针。显然,两个阵营之间有巨大的分歧。“不过大家都同意的一点是,AI 应该成为安全监视器,将异常消灭于无形之中。”Mariani 补充。
眼下,大家所作的其实都是非正式讨论,关于如何掌控与安全密切相关的 AI,他们也没得出任何决议。Mariani 表示,对这些决定 SOTIF 未来命运的参会人员来说,找到那些 AI 拖自动驾驶系统后腿的案例相当必要。对自动驾驶开发者来说,这样的案例数据库必须公开,并成为悬在他们头上的达摩克利斯之剑。不过,也有人想藏着掖着,把这些关键数据用作他途。
Mariani 可不愿处理这个僵局,他认为 SOTIF 也许需要一个独立的 AI 标准,并设立独立第三方的实体机构进行监督。他同时也承认,自动驾驶汽车的验证和确认需要大量的测试,但无穷无尽的测试太不现实。自动驾驶行业必须同意,新标准必须以“测试”和“正式方式”为基础,拿出一套自动驾驶汽车必须遵守的规则,而 Mobileye 提出的 RSS(责任敏感安全)应该成为重要参考项。
局限性在哪?
SOTIF 也有底线,那就是自动驾驶行业必须认识到,ADAS 和自动驾驶系统都有局限性,即使将车上的传感器武装到牙齿,车辆依然无法 100% 掌握现实情况。
最后补充即将在上海召开的 ISO 大会重要议题:
- 功能升级以化解 SOTIF 风险;
- SOTIF“度量衡”/接收标准的定义;
- SOTIF 的验证和确认策略;
- 模糊验证和确认的使用;
- 模拟和场景测试指南;
- 机器学习的 SOTIF 扩展;
- SOTIF 对离线高清地图的影响;
- 模拟环境的鉴定。
版权声明:本文为转载,原文出自雷锋网 www.leiphone.com