在一輛高度自動化的車輛中安裝燈泡需要考慮多少安全標準？若在幾年前，汽車市場的新手會說：「不需要考慮」。要製造更安全的自動駕駛車(AV)面臨不少技術挑戰，如今業界終於開始著手解決這些技術問題，因此安全標準的數量也在不斷增加。

受到「贏家通吃」網際網路平台商業模式的影響，狂熱的自動駕駛車製造商為了搶先開發出業內第一台自動駕駛車，使出了渾身解數。他們的目標很簡單，就是要完全控制自動駕駛車平台，業界其他廠商只能跟隨並設法獲得授權。

圖1：製造更安全的自動駕駛車面臨各種技術挑戰。

時間來到2020年。各自為政，或者一家獨大，這些做法已經不合時宜。與前幾年相比，情況已經發生變化，主要的汽車OEM、一級供應商，以及包括晶片供應商在內的技術供應商更加積極地致力於建立產業聯盟，開發以安全為核心的自動駕駛產業標準。

目前業內已經有接近10種安全規範，用來解決自動駕駛的不同安全問題。其中較為引人注目的是ISO 26262和SOTIF，以及剛發佈的UL 4600。

那麼，這是否意味著汽車產業終於攜手並進了呢？也許是吧。

對汽車產業來說，合作是一個陌生的新概念。說到安全標準，TTTech Auto CTO Stefan Poledna表示，「每個人都有不同的看法」，但「合作是大勢所趨。」

是什麼引起了這些變化？

汽車產業太容易實現Level 2/Level 2+自動駕駛，因此大大低估了實現Level 3~5技術將會多麼困難。Poledna指出，業界終於意識到，為Level 3~5自動駕駛車開發安全運算系統是「一項艱巨的挑戰，這不是某一個廠商的任務，而是整個生態系統要解決的問題。」

如果一輛Level 3、Level 4或Level 5車輛在一條單行道上逆行，那麼應該擔責的不再是駕駛，而是汽車製造商。Poledna強調：「這必須引起重視。」

ISO新標準即將出現

還記得自動駕駛安全第一(Safety First for Automated Driving，SaFAD)嗎？這份由業內11家著名廠商(Aptiv、Audi、百度、BMW、Continental、Daimler、Fiat Chrysler Automobile、HERE、英飛凌、英特爾和Volkswagen)2019年7月發佈的白皮書，將成為新的ISO標準。

白皮書提出了「一種解決自動駕駛安全問題的綜合方法(a comprehensive approach to safety relevant topics of automated driving)」，其目標是「從設計能力、元件和架構幾個方面來系統考慮安全性，然後總結驗證和確認方法，以實現合理的風險平衡。」

ISO認可了這一舉措，允許業界將其發展為ISO標準。

但是，如何將一種「綜合方法」變為可用的ISO標準呢？為此我們諮詢了SaFAD成員英特爾。

英特爾資深首席工程師兼Mobileye自動駕駛車標準副總裁Jack Weast解釋：「首先，我們將以原始的SaFAD白皮書為基礎，剔除所有無用的內容，然後重新整理其中具備較強實用性技術的方式，形成ISO標準。」

圖2：BMW自動駕駛首席技術專家Simon Fürst。

為了加快進程，委員會負責人、BMW自動駕駛首席技術專家Simon Fürst在一場主題為「The Autonomous」的網路直播中宣佈，其團隊正全力以赴準備在2020年中發佈ISO技術報告草案(DTR)4804。

Weast稱DTR是ISO標準化的第一步。

根據汽車產業的消息來源，ISO新標準的大方向應該是正確的，但要成為最終標準可能還需數年時間。此外，他們發現該標準太籠統了，因此無法在短期內為汽車OEM提供幫助。

Weast也認為這份ISO文件涉及層面「相當廣」，但他又辯解，它就像「一把大傘」，涵蓋「如何定義、實現、開發並測試自動駕駛系統的各方面」。

這份文件提供了一種「有用的結構」，Weast指出，「我們顯然是遵循設計原則以支援安全性」，而且這份文件也展示了「一種深思熟慮的問題處理方式。」Weast補充，「這就是ISO文件的意義所在，就如同告訴人們，『瞧，這裡有參考標準。』」

圖3：TTTech Auto CTO Stefan Poledna。

The Autonomous：將標準降低一、兩個等級

TTTech Auto專門為高階汽車開發安全軟體與硬體系統，它最近發起了主題為「The Autonomous」的倡議(網路直播是在該倡議發起之後命名)。

Poledna表示，他們召集了汽車生態系統中的許多廠商參與活動，交流想法並討論如何為汽車OEM、一級供應商和晶片供應商開發「試驗場地」，以測試其自動駕駛車的安全性。他說，在每個人都想弄清怎樣才能將安全的Level 3和Level 4車輛推向市場之際，「他們需要進行交流。」

Poledna說，The Autonomous深知，各公司採用了多種方法，包括不同的運算體系架構、軟體演算法和感測器融合，以確保自動駕駛的安全性。

這也是提出The Autonomous計畫的一個原因。TTTech Auto認為，汽車製造商需要更具體、更實際、更快速的解決方案。The Autonomous的目標是，將標準從即將推出的ISO TRD 4804降低一、兩個等級，為自動駕駛產業提供可用的「參考設計」。

然而，這並不是說要隨便挑選一種方案了事。

圖4：各公司採用了不同的方法來確保自動駕駛的安全性。(圖片來源：The Autonomous)

汽車製造商們並不想圍繞著「黑箱」來製造自動駕駛車，他們希望採用由不同供應商提供的不同模組，例如安全模組、「檢查」模組(例如在「doer-checker」模型中)、運算模組等，並且能夠將這些模組混合在一起並進行匹配。如果一個OEM選擇了供應商A的安全模組，它與供應商B的安全模組完全不同，從而導致了嚴重的相容性問題，該怎麼辦？Poledna認為，自動駕駛產業必須「對安全架構存在共識」。他解釋，整個產業都應該對「介面」和「資料結構」有相同的理解，並採用通用的方法進行設計。

圖5：自動駕駛產業必須對安全架構存在共識。(圖片來源：The Autonomous)

一方面，業界認為ISO標準過於籠統；另一方面，很多汽車廠商已開始各自實現不同的安全解決方案。那麼The Autonomous計畫如何才能成為一種「折衷」方案？

「若大家都同意採用『執行者-檢查者(doer-and-checker)』模式的安全方法，我認為這就是一個巨大的成功。」Poledna指出，他希望業界對資料結構、介面和自由空間的定義達成共識。The Autonomous將舉辦一系列的研討會，重點討論運算架構、人工智慧(AI)、安全和法規等問題。The Autonomous旨在鼓勵與會者分享自己的成功經驗，促成汽車大廠之間的友好合作，並發佈反映產業最新解決方案的文件和技術論文。

圖6：英特爾資深首席工程師兼Mobileye自動駕駛車標準副總裁Jack Weast。

關注更小細節

如果說The Autonomous的目標是要相對ISO標準降低一至兩個等級，Weast表示，自己帶領的IEEE P2846小組則深入到繁瑣的細節中，把重點放在「決策能力」這一極窄的領域。

關注更小細節的好處是「可以研究得更深入」，Weast解釋說，在檢查決策過程時，「我們也要考慮『對道路的其他使用者應該做出什麼假設』。」當自動駕駛車在某座城市或某種情形(例如，視線被擋住的十字路口)下時，如果設計人員清楚地知道需要做什麼假設，對於建立決策模組的安全模型至關重要。

IEEE P2846側重於決策模組，Weast推測，在最終推出的自動駕駛安全標準中，業界可能需要利用十多種不同的技術模組來定義並實現安全性。「例如，我們需要一個安全操作模組」，它可以透過ISO 26262和SOTIF標準來定義；還需要諸如行為和交通流量模組，「而IEEE P2846標準可以很好地定義它」；還有資料記錄模組等。

Weast解釋，要實現一個能夠承載自動駕駛車這種全新市場的生態系統，「標準和互通性必不可少」。不過他承認，設定產業標準始終是一種平衡措施。我們需要一個穩健的市場，而各公司又需要自由實現差異化。

被問及自動駕駛產業需要達成一致的技術具體有哪些時，Weast回答，應該是來自不同供應商、容易得到、能使所有人受益並促進共贏的技術。

以下以IEEE P2846為例說明。

怎樣才算安全(例如汽車之間的安全距離是多少)？Weast解釋，如果自動駕駛車公司不能在此問題上達成一致，他們就無法向政府監管機構合理地闡述自動駕駛車的安全性。設計運作區域(ODD)也是如此。如果不使用通用範本來定義ODD，業界將無法解釋某輛車在哪裡，以及什麼條件下究竟能做什麼。

儘管新冠疫情阻止了許多標準組織成員(包括IEEE P2846成員)出差，Weast表示，該組織仍希望在今年年底或2021年初完成草案。

為了加快進程，IEEE P2846成立了4個工作小組。一個小組的任務是確定安全場景，其中包含對道路的其他使用者做出假設；另一個小組負責研究決策安全模型的屬性；第三個小組的任務是盡可能使定義和分類與其他標準一致；第四個小組則負責記錄該標準是如何配合或補充其他標準。Weast解釋：「這有助於我們解決IEEE P2846中的一些疑惑和問題。」

Weast補充，IEEE P2846有一個好消息，就是進行了選舉。目前Weast擔任主席，從Waymo選出了一位副主席，並由Uber派代表擔任秘書。這是Waymo第一次參與其中，之前他們一直完全獨立。Weast說：「我們現在的成員來自各個領域，包括晶片產業、服務產業(行動公司)、汽車OEM、一級供應商和機器人公司。」

IEEE P2846的20個成員包括：Aptiv、Arm、百度、Denso、Exponent、Fiat Chrysler、Google、華為、Horizon Robotics、英飛凌、英特爾、Kontrol、國立台灣大學、Nvidia、NXP、高通、Uber ATG、Valeo和Volkswagen。

安全案例

美國產品安全認證機構Underwriters Laboratories(UL)近日完成並發佈了其第一個自動駕駛車標準，即UL4600，可從ULstandards.com下載。

圖7：Edge Case Research CTO Phil Koopman是UL 4600標準的聯合制定者。

Edge Case Research CTO Phil Koopman是UL 4600標準的聯合制定者。他表示，該標準並沒有規定具體的步驟來確保安全性，而是為自動駕駛車製造商提供了一份可「實現安全設計」的指南。UL 4600標準制定者們認為沒有哪一種標準可以解決世界上所有的自動駕駛產品問題，要求自動駕駛產品設計師進行安全論證則設立了一個基本的起點。

Koopman還強調，UL的標準技術委員會(STP)是由全球代表多個利益方個人組成的團體，它成立了一個多元化的小組來開發該標準。STP中的32名成員具有投票權，包括政府機構、學術界、自動駕駛車開發商、技術供應商、測試與標準組織，以及保險公司的代表。具體成員包括：Uber、Nissan、Argo AI、Aurora Innovation、Locomotion、Zenuity、英特爾、英飛凌、Bosch、Renesas、Ansys、Liberty Mutural、AXA和美國運輸部等。

(參考原文：AV: Come Together, Right Now, Over Safety，by Junko Yoshida)

活動簡介

從無線連接、更快的處理和運算、網路安全機制、更複雜的虛擬實境(VR)到人工智慧(AI)等技術，都將在未來的每一個嵌入式系統中發揮更關鍵功能。「嵌入式系統設計研討會」將全面涵蓋在電子產業最受熱議的「智慧」、「互連」、「安全」與「運算」等系統之相關硬體和軟體設計。

會中將邀請來自嵌入式設計相關領域的研究人員、代表廠商以及專家，透過專題演講、產品展示與互動交流，從元件、模組到系統，從概念設計到開發工具，深入介紹嵌入式系統設計領域的最新趨勢、創新和關注重點，並深入分享關於嵌入式系統設計的經驗、成果以及遇到的實際挑戰及其解決方案。

贊助廠商

立即報名