在SAE日前於中國舉辦的自動駕駛汽車安全技術國際論壇(Automated Vehicle Security & Safety Technology Conference)上,來自許多汽車OEM的自動駕駛專家報告了他們在自動駕駛車(AV)安全標準方面取得的最新進展。

業界專家們針對自動駕駛車這幾年來的發展,詳細說明了如何符合各種安全標準。還有一些人質疑中國新興的電動車新創公司是否有足夠的時間來消化這些標準,更不用說實施基本的安全設計流程了。

邁向安全自動駕駛車的道路業經證實更加艱難,而且現在看起來,需要的時間比幾年前AV產業中任何人所預期的還要更長得多。

一方面,有些汽車OEM以製造符合功能安全和安全標準的AV來克服障礙。另一方面,開發商強烈地想要贏得AV競賽,以至於大多數業者如今都在競相發表安全聲明——但這也成了另一個問題。

在這場會議上,業界嘉賓進行了多個汽車安全/安全標準的演講,範圍從功能安全性(ISO 26262)到預期功能安全性(SOTIF或ISO/PAS 21448)和網路安全性(ISO/SAE 21434)。許多嘉賓還花時間討論如何串聯各種不同的標準,並強調這些標準之間並非獨立存在。

NXP_trendsandstandards

(來源:NXP Semiconductors)

中國第一汽車集團(China FAW Group)的韓國籍專家方成熏(Pang Sung-Hoon)討論協調ISO 26262和SOTIF在其L3自動駕駛車設計的重要性。他並表示這項由其團隊首次推出的自駕車設計已接近完成。

福特自動駕駛車(Ford Autonomous Vehicles)的Matt Thrasher談到了利用SOTIF的系統理論過程分析(STPA)以及如何最有效地使用基於模型的方法來促進以模擬進行早期驗證。

恩智浦半導體(NXP Semiconductors)汽車安全總監Timo van Roermund強調,沒有安全標準(security),汽車製造商就無法實現安全性(safety)。他說,這必須從IC級到跨領域的架構和行動服務的各個層面著手,才能確實解決攸關安全的問題。

據報導,中國今天有近五十家汽車OEM,只有十家被歸類為傳統汽車製造商。大多數是新興的EV新創公司。包括汽車產業的新進者,似乎大家都在努力克服功能安全和安全標準的細微差異及其進展。

確定功能標準是第一階段。中國的AV開發商目前正在推進第二階段,積極參與模擬、路測等——就像在美國的同業一樣。

不同車廠的路測資料可能共用?

在SAE中國會議期間,我主持了一場AV系統安全的圓桌討論,邀請到一些亞洲最有經驗的汽車產業專業人士。我首先提出的一個問題是:「在你從自動駕駛測試中所學到的,哪些資料或經驗是您願意與其他汽車公司分享的?」

這個問題引起了長時間的沉默。圓桌嘉賓們不安地看著對方。然後,有幾位指出資料共用並不具有經濟效益。他們解釋說,由於每家公司都在自己的AV測試中投入了大量資金,他們為什麼要分享自己的研究成果?

我的看法是,每家公司都認為,如果自己進行了足夠的測試,就可能成為第一家推出商用AV的公司。因此,我又補充了這個問題:「您怎麼知道什麼時候自己的測試完成了?或者,您如何知道自己的AV已經夠安全而能商業化了?」

換句話說,究竟要達到多麼充份的測試才算是足夠呢?小組成員再次竭力避免目光接觸並保持沉默。觀眾也沉默了。

SAE China Panel

在SAE China論壇中的一場自動駕駛安全圓桌會議(來源:SAE China)

安全不應該是一種「競爭優勢」

Wind River日本子公司總裁Michael Krutz指出,「實際上,測試是永遠都做不完的,它是一個持續的過程。」此外,Krutz並強調:「每輛車都應該十分安全。安全不應該被當做是一種競爭優勢。」

上海交通大學汽車工程學院副院長殷承良解釋說,中國最近開始向AV測試車輛頒發許可證。他指出,現在有大量AV開發商想要進行公路測試,因此在AV測試車輛上路之前獲得許可證非常重要。殷承認自己也參與了許可證制度授權方面的工作。

那麼,AV在中國商業發佈之前是否需要獲得許可?殷指出不需要,這並不在計劃範圍。「我們僅討論測試車輛。」

江鈴汽車(Jiangling Motors)技術長黃少堂坦承,他的公司所屬的汽車聯盟成員之間正在進行一些資訊交流。但總的來說,很少會有資料共用發生,他說,因為資料收集成本太高。

Krutz建議汽車製造商不應該在AV安全方面展開競爭,這引起在場嘉賓和觀眾的共鳴。

一個全球性的問題

黃少堂指出,即使是SOTIF也無法提供像「標準感測器套件」那樣的東西。他坦言,「我們正進入AV業務的未知領域,在這裡沒有聖經,也沒有安全準則。」

當AV準備好商業化時,卻沒有任何標準可為其保證。這個問題不只中國存在。全球都是這樣的。

VSI Labs創辦人兼首席顧問Phil Magney告訴我們,「目前並沒有什麼官方標準或基準來證明高度自動化車輛的安全性。」例如,自動駕駛計程車開發商必須單方面確定其車輛足夠安全部署。「目前,都是車廠自己說了算。」

更直言不諱地說,這是企業「信任我們」(Trust Us)的典型模式,Edge Case Research的聯合創辦人兼技術長Phil Koopman指出。

Koopman補充說,當然,目前已經有因應功能安全(ISO 26262)和先進駕駛輔助系統(ADAS)安全(ISO / PAS 21448)的標準和準則了。「它們也適用於全自動駕駛車輛,只是尚未涵蓋所有要件。」

對Koopman來說更令人不安的是,「在美國,並沒有任何法規要求符合這些標準。大多數(並非所有) AV公司實際上並未主張自己符合這些標準。有些公司公開宣揚自己的一些安全標準,但我們無從得知這些標準的真正含義。」

Koopman擔心的另一個問題是缺乏監督。他說,即使汽車OEM決定何時可以出貨,其實也「由業者自行決定在決策過程中進行哪些制衡(如果有的話)。」他說,「美國有些州提供批准流程,但主要都是有關行政和後勤問題,而不是技術實質。技術判斷的結果仍由公司自行決定。這些公司在沒有任何獨立技術監督的情況下,自行確定何時可以出貨。

車廠應該進行哪些合作?

在開發符合安全和安全標準的AV,和將其轉變為足夠安全的商用AV之間,存在很大的差距。

首先,AV產業必須「決定合作和競爭的領域。」SAE中國會議的發言人之一Juan Pimentel建議,AV設計師還需要定義一個「有價值的專案」。他說,一個定義明確的專案對於他們建立「真正的合作關係」至關重要。

但是,AV開發人員應該合作些啥?

目前,AV是否安全仍是車廠自己說了算。Koopman觀察到這些公司都必須在內部創建自己的測試標準。

他補充說:「由於業界並不熱衷於分享,因此存在大量重複工作,而且測試指標是否合適也缺乏透明度。」顯然地,這些重複工作是行業可以合作以推動AV進展之處。

在Magney看來,AV安全的關鍵就在於「覆蓋範圍的品質」。他解釋說:「這意味著你是否已經測試了所有車輛可能遇到的情況?任何能夠管理覆蓋品質並提供支援指標的工具都將成為關鍵。」

Magney所提到的「工具」是指「一個支援最佳測試腳本、最佳場景產生器、最佳實體模型以及最佳環境模型的工具鏈。」

Foretellix執行長Ziv Binyamini聲稱他的公司提供了「一個能夠定義和測量這種基準的平台。」這包括驗證計畫的定義和客觀測量,以及其中的場景及所需涵蓋的變數。

但如果真的想要提供「各種安全標準的定義和客觀測量」,即使是Foretellix平台也可以建立起與開發商的合作,。

Wind River的Krutz指出,最終,迫切需要的是汽車製造商在設計AV時必須做出的根本改變。目前亟需全產業針對AV的最佳實作展開合作。

future AV design

(來源:Wind River)

Krutz補充道:「我們還應該利用其他產業已經學到的東西。」當波音737 MAX被發現存在設計缺陷時,Airbus公司並未藉此大肆宣傳Airbus比Boeing客機更安全。他說:「這是因為所有的飛機必須安全。安全不應該是一個拿來作為比較或差異化的優勢。」。

江鈴汽車的黃少量總結說,如果AV開發商無法確保其AV模型的安全性,「就沒有一家公司能把自家的AV投放到商業市場上。」。

今年7月初,當通用汽車(GM)的自駕車Cruise 在宣佈推遲原訂於2019年底大規模部署自動駕駛計程車的計劃時,通用汽車贏得了掌聲,人們認為他做了正確事。但是,如果汽車製造商認真地向不信任自動駕駛車的消費者宣傳自動駕駛車的安全,就證明他們仍在單打獨鬥、在盲目地亂飛,而且,還沒出現一個針對所有自動駕駛開發商的有效安全標準。

編譯:胡安

(參考原文:Will AV Safety Become a Competitive Feature?,,by Junko Yoshida)