广西快三计划软件手机版:揭秘 ISO 21448,它是自动驾驶行业的新风向标?

新智驾 2019/03/15 17:28

知识图谱,揭秘 ISO 21448,它是自动驾驶行业的新风向标?

汽车功能安全标准 ISO 26262 的制定者们真是一帮不安于现状的人,因为他们又开始新标准的制定,即 ISO 21448,也被称为“预期功能安全”(SOTIF)。

虽然是个独立的新标准,但新的 ISO 21448 其实是 ISO 26262 的补充,它填补了老标准中的空缺。SOTIF 的诞生也是 ADAS 与自动驾驶普及大背景下的必然结果,它是预防不合理风险的一道防线。

事实上,即使 ADAS 和自动驾驶系统的硬件符合 ISO 26262 标准,且软件没有软件故障,也还是有可能在路上遇到麻烦。

“我们不认为 ISO 26262 足以确保安全?!庇⑻囟δ馨踩际踝?Riccardo Mariani 说?!癠ber 自动驾驶测试车的致命事故和一系列噩耗还是让人无法放心?!?

完美软件、符合 ISO 26262 的硬件并不是终极组合,因为符合这两项的汽车,在路上行驶时,变量可不止这两个。

举例来说,传感器或系统性能限制、道路环境的突然变化和驾驶员对车辆功能的误用,都有可能导致车毁人亡,如果机器学习算法无法正确分析路况,也会带来大麻烦。

关于 SOTIF,外媒 EE Times 采访了多位业内专家,他们的共识是:一致认为新的标准“野心相当大”。他们还发现,自动驾驶行业的两大阵营——传统汽车制造商/一级供应商与新入局的科技公司在许多问题上很难达成一致,因此 SOTIF 的定义以及未来到底会结出什么果实现在没人敢妄加猜测。

去年 11 月,来自多个国家的代表和汽车技术业内人士就参与了在意大利举办的 ISO“预会”(英特尔主办),而几周后他们将在上海再次会面。

ISO 上海大会之前,一部分新增议题也提前曝光,比如新标准的“用例”、“定义”、“AI 要求”和“高清地图”等。届时,与会人员将详细审阅所有信息并为标准所涉范围下一个定义。

“上海大会之后,SOTIF 就不接受新的议题输入了?!盡ariani 解释。

SOTIF 并非“说明性”标准

在业内专家看来,SOTIF 确实是当前的热门议题,虽然相当重要但却充满挑战。

Edge Case Research 联合创始人兼 CEO Michael Wagner 将 SOTIF 视作解决“自动驾驶汽车安全风险”(没有零部件失灵情况下)的重要成果。

不过,当参会人员想定义什么是“未知、不安全”的情况时,恐怕大家就难达成一致,因为关于这些问题的讨论会陷入理论与哲学的怪圈中。

“我们是车辆安全的践行者,而不是哲学家?!盬agner 说道?!拔颐潜匦肜斫夥缦章癫卦谀?,对它们进行区分,拿出一个化解风险的方案并对其进行验证?!?

Wagner 还拿 SOTIF 和 UL电气安全认证做了对比。他认为“UL 认证带有明显的说明性”,这一认证是用来解决产品合规问题的,它能告诉你“这样做的后果和不这样做的后果”。

简言之,横在 SOTIF 面前的一座大山是经验的严重缺乏,毕竟自动驾驶是新事物。此外,新标准还得持续追赶“热点”,因为自动驾驶技术的更新换代实在太快了。

“你不知道自己不知道什么”

关于 SOTIF,VSI Labs 创始人 Phil Magney 也有自己的看法。

他指出,“你不知道自己不知道什么”的事情,在主动安全系统和自动驾驶功能中太常见了,而这是 SOTIF 的前提。想让这个标准落地,你必须识别出那些未知且不安全的部分,然后将它们的风险级别降到可接受范围内。

知识图谱,揭秘 ISO 21448,它是自动驾驶行业的新风向标?

*已知/未知和安全/危险情况分类

显然,Magney 认为,即使 ADAS 或自动驾驶系统的软硬件都正常运行,车辆可能也会陷入危险境地。他还顺带举了三个例子:

1. 由于能力所限,AI 系统无法理解当前情况;

2. 现有传感器配置导致各项功能的鲁棒性不足;

3. 人机界面设计差,导致驾驶员误用自动驾驶功能。

“SOTIF 是识别危险状况的架构,同时也是风险级别降到可接受范围之前验证和确认状态的方法”。 Magney 解释。

不过他也承认,想减少那些未知且不安全的部分并不容易。 毕竟,想将所有边缘情况一网打尽简直是天方夜谭。 好在,SOTIF 中特别强调了对实践理性进行模拟的需要。

“一半一半”

Arteris 公司营销副总裁 Kurt Shuler 指出,ISO 26262 的会议上大家曾对是否要将 SOFIT 当做独立标准进行过讨论,反对的和支持的几乎打成平手。

反对者质疑 SOFIT 是否真的那么重要,因为一旦拍板要做 SOFIT,就会进入未知区域,到时该标准可能会烂尾。

在 Shuler 看来,SOFIT 不但是一个架构,还是一个起点?!癝OFIT 有用吗?当然有。SOFIT 必不可少吗?确实。但要说它够不够用?恐怕也算不上百科全书?!盨huler 解释。

悬而未决的问题

就像 Shuler 所说的,类似 ISO 26262 和 SOFIT 这样的标准,召开行业会议时不但有各国代表参会,有公司代表,而大家在汽车行业经验上可是参差不齐。

举例来说,有些公司代表可能在 ECU 上已经有了建树,有些则是类似特斯拉和 Waymo 的搅局者,它们是汽车行业的新入局者。至于坐在“C 位”的则是传统汽车厂和一级供应商,他们反应缓慢,而且对监管非常敏感。

说实话,此类会议的艺术在于协调不同背景的参会者找到共同的立场,在意大利的“预会”上,大家已经就几个关键问题达成了一致。

首先,大家决定将 SOFIT 当做独立标准,新标号为 ISO 21448。

其次,虽然与会者在 SOFIT 需要覆盖那些级别车辆的问题上有分歧(传统汽车厂商倾向于只覆盖 L2 级别车辆,而科技巨头们则想把 L3、L4 和 L5 拉进去),但整体来看,L3-L5 还是很有希望被纳入 SOFIT 的。

第三,关于 SOFIT 在量产版自动驾驶系统中应用的问题还没有定论。一些人坚称,路上的自动驾驶测试车不应该受到 SOFIT 的约束。最终,ISO 组织可能会妥协,测试车只需遵守 SOFIT 中的部分标准就行。

知识图谱,揭秘 ISO 21448,它是自动驾驶行业的新风向标?

*网络安全不在 SOFIT 的范畴之内

关于机器学习

关于机器学习的问题就比较多了,相关主题现在已经被加入 SOFIT 提案的附件中。

SOFIT 的草案中规定:

自动驾驶技术通常包含一些类型的机器学习技术,特别是在目标探测和分类等任务中,而一旦有个不小心,机器学习训练就有可能引发系统错误。

由于系统错误可能影响车辆安全运行,因此数据采集和学习系统就必须按照安全标准进行开发,使自动驾驶汽车在工作中减少无意的偏差和数据失真问题。

即使将算法排除在外,AI 中要么成功要么毁灭的特性也让人头疼。

Wagner 就给我们讲了个将开源神经网络用在自动驾驶汽车上的例子:AI 系统拿前置摄像头采集的视频数据当做“学习资料”,这辆车学习一阵后,却径直“冲向”了路上穿绿色背心的建筑工人。

Wagner 表示,这辆车的教学数据库并没有包含荧光绿背心的数据,所以机器根本分辨不出来穿背心的工人是人类。

当我们讨论自动驾驶安全时,总是将机器学习形容为沙发上的大象,其问题在于机器学习的“黑箱”特质(不确定性)在面对相同情况时可能会产出不同结果,而汽车行业根本不知道该怎么解决这一问题。

Mariani 称,“一些与会者想把机器学习的问题放到以后讨论,而其他人则更想‘大象’在场时讨论安全问题”。更具体来说, 一些与会者坚持认为,机器学习还是一个新事物,想标准化太早了,而过于严格的指导方针可能最终会阻碍创新。

不过,也有一部分人马上就想要针对自动驾驶汽车的验证和确认指导方针。

显然,两个阵营之间有巨大的分歧?!安还蠹叶纪獾囊坏闶?,AI 应该成为安全监视器,将异常消灭于无形之中?!盡ariani 补充。

眼下,大家所作的其实都是非正式讨论,关于如何掌控与安全密切相关的 AI,他们也没得出任何决议。Mariani 表示,对这些决定 SOTIF 未来命运的参会人员来说,找到那些 AI 拖自动驾驶系统后腿的案例相当必要。对自动驾驶开发者来说,这样的案例数据库必须公开,并成为悬在他们头上的达摩克利斯之剑。不过,也有人想藏着掖着,把这些关键数据用作他途。

Mariani 可不愿处理这个僵局,他认为 SOTIF 也许需要一个独立的 AI 标准,并设立独立第三方的实体机构进行监督。

他同时也承认,自动驾驶汽车的验证和确认需要大量的测试,但无穷无尽的测试太不现实。自动驾驶行业必须同意,新标准必须以“测试”和“正式方式”为基础,拿出一套自动驾驶汽车必须遵守的规则,而 Mobileye 提出的 RSS(责任敏感安全)应该成为重要参考项。

局限性在哪?

SOTIF 也有底线,那就是自动驾驶行业必须认识到,ADAS 和自动驾驶系统都有局限性,即使将车上的传感器武装到牙齿,车辆依然无法 100% 掌握现实情况。

业内大多数人希望 SOTIF 能帮业界趟出一条路,以便大家能积极管理各种不确定性。

新智驾
收藏 | 微信分享 微博分享 QQ分享 | 返回顶部