汽車行業(yè)正面臨幾十年來(lái)最大的挑戰(zhàn)之一，即開發(fā)對(duì)大眾市場(chǎng)安全的完全或部分自動(dòng)駕駛汽車。這可能代表了有史以來(lái)最復(fù)雜的安全認(rèn)證問(wèn)題。

你如何證明一個(gè)像現(xiàn)代汽車這樣復(fù)雜的系統(tǒng)可以在多車道交通、行人、自行車、農(nóng)用車輛、建筑車輛、橋梁、三葉草、停車燈、收費(fèi)站等？答案是，您可能無(wú)法證明當(dāng)前設(shè)想的系統(tǒng)具有所需的安全級(jí)別。那么，自動(dòng)駕駛汽車的努力在真正開始之前就注定要失敗了嗎？

多年前，航空業(yè)面臨著飛行器自主操作的挑戰(zhàn)，而先進(jìn)的自動(dòng)駕駛儀現(xiàn)在已成為每架現(xiàn)代商用飛機(jī)的標(biāo)準(zhǔn)配置——包括可以起飛和降落飛機(jī)的自動(dòng)駕駛儀。完全自主的空中無(wú)人機(jī)也變得司空見慣。顯然，航空業(yè)可以吸取教訓(xùn)，盡管由于空中和地面環(huán)境的可控性更強(qiáng)，其挑戰(zhàn)比汽車業(yè)要簡(jiǎn)單得多。無(wú)論航空業(yè)為確保安全所做的一切，汽車業(yè)都可能需要做更多的工作來(lái)說(shuō)服持懷疑態(tài)度的公眾。

航空業(yè)為創(chuàng)造卓越的安全記錄做了哪些工作？航空業(yè)已經(jīng)接受了嚴(yán)格的開發(fā)、測(cè)試和維護(hù)流程，在民用空域商業(yè)使用產(chǎn)品之前需要獲得安全認(rèn)證。幾十年來(lái)，軟件一直是航空控制系統(tǒng)的重要組成部分，并且有專門的面向安全的過(guò)程（例如，DO-178C）旨在降低軟件故障的可能性。此外，當(dāng)軟件的某些部分不適合直接驗(yàn)證時(shí)（例如，因?yàn)樗巧虡I(yè)現(xiàn)貨產(chǎn)品 （COTS） 的一部分），可能需要單獨(dú)的“運(yùn)行時(shí)安全監(jiān)視器”來(lái)檢測(cè)和標(biāo)記什么可能是“危險(xiǎn)的誤導(dǎo)性信息”（HMI）［1］。

航空業(yè)為確保其軟件密集型系統(tǒng)的安全所做的這些努力的記錄令人印象深刻，沒(méi)有已知的災(zāi)難性商用飛機(jī)故障與軟件故障直接相關(guān)。然而，由于軟件被不良傳感器數(shù)據(jù)的意外組合誤導(dǎo)而導(dǎo)??致災(zāi)難性故障，以及只有經(jīng)過(guò)專業(yè)訓(xùn)練的機(jī)上飛行員才能避免生命損失的情況。

航空業(yè)的安全記錄以及傳感器故障導(dǎo)致故障（或訓(xùn)練有素的飛行員避免故障）的案例都表明，航空中使用的以安全為導(dǎo)向的流程有所幫助，但并非萬(wàn)無(wú)一失，并且在某種程度上依賴于人力后備。為了創(chuàng)造一輛完全自動(dòng)駕駛的汽車，汽車行業(yè)需要從這些教訓(xùn)中吸取教訓(xùn)，并意識(shí)到他們的問(wèn)題更加困難——不僅僅是因?yàn)槠囘\(yùn)行環(huán)境更具挑戰(zhàn)性，還因?yàn)榭赡苋狈＜宜緳C(jī)訓(xùn)練有素，準(zhǔn)備在緊急情況下接管。為了增加汽車行業(yè)的復(fù)雜性，基于機(jī)器學(xué)習(xí)（ML-based）的方法被廣泛用于為自動(dòng)駕駛汽車提供智能控制器，

那么，汽車行業(yè)在開發(fā)自動(dòng)駕駛汽車時(shí)可以做些什么來(lái)應(yīng)對(duì)這一安全認(rèn)證挑戰(zhàn)呢？首先，監(jiān)督高速公路使用的行業(yè)和機(jī)構(gòu)需要認(rèn)識(shí)到，軟件密集型系統(tǒng)需要嚴(yán)格的開發(fā)、驗(yàn)證和維護(hù)方法。軟件密集型系統(tǒng)的內(nèi)部狀態(tài)數(shù)量遠(yuǎn)遠(yuǎn)大于機(jī)械系統(tǒng)通常具有的數(shù)量，并且確保系統(tǒng)在所需的安全“范圍”內(nèi)運(yùn)行需要使用最好的軟件工具進(jìn)行正式的、系統(tǒng)的開發(fā)和驗(yàn)證方法和可用的語(yǔ)言。

汽車行業(yè)的第二步，特別是當(dāng)機(jī)器學(xué)習(xí)技術(shù)接管控制系統(tǒng)的關(guān)鍵部分時(shí)，是在他們的自動(dòng)駕駛系統(tǒng)中加入一個(gè)不基于機(jī)器學(xué)習(xí)但持續(xù)監(jiān)控基于機(jī)器學(xué)習(xí)的系統(tǒng)的軟件組件以確保其保持在其安全范圍內(nèi)（類似于航空業(yè)中用于某些 COTS 組件的運(yùn)行時(shí)安全監(jiān)視器，如上所述）。使用 ML 方法，運(yùn)行時(shí)安全監(jiān)控方法可能是生成可以被認(rèn)證為安全的系統(tǒng)的唯一方法。一些機(jī)構(gòu)正在開展運(yùn)行時(shí)安全監(jiān)視器領(lǐng)域的積極研究。

最后，對(duì)像自動(dòng)駕駛汽車一樣復(fù)雜的安全關(guān)鍵系統(tǒng)進(jìn)行認(rèn)證將不可避免地需要令人信服的安全性證明。FAA、FDA 和其他機(jī)構(gòu)開始采用正式的“保證案例”或“安全案例”的概念。安全案例是一種樹狀結(jié)構(gòu)化論證，通過(guò)將論證分解為聲明和子聲明，然后顯示每個(gè)聲明如何得到直接證據(jù)和經(jīng)過(guò)驗(yàn)證的子聲明的組合支持，從而表明系統(tǒng)是安全的。從一開始就使用這種方法有助于確定需要哪些關(guān)鍵證據(jù)才能令人信服地證明系統(tǒng)是安全的。

如果自動(dòng)駕駛汽車要成為大眾市場(chǎng)的現(xiàn)實(shí)，就需要系統(tǒng)地開發(fā)這些系統(tǒng)，持續(xù)監(jiān)控，并以結(jié)構(gòu)化和令人信服的方式證明是安全的。

審核編輯：郭婷