如何证明自动驾驶汽车的安全性

　　汽车行业正面临几十年来最大的挑战之一，即开发对大众市场安全的完全或部分自动驾驶汽车。这可能代表了有史以来最复杂的安全认证问题。

　　你如何证明一个像现代汽车这样复杂的系统可以在多车道交通、行人、自行车、农用车辆、建筑车辆、桥梁、三叶草、停车灯、收费站等？答案是，您可能无法证明当前设想的系统具有所需的安全级别。那么，自动驾驶汽车的努力在真正开始之前就注定要失败了吗？

　　多年前，航空业面临着飞行器自主操作的挑战，而先进的自动驾驶仪现在已成为每架现代商用飞机的标准配置——包括可以起飞和降落飞机的自动驾驶仪。完全自主的空中无人机也变得司空见惯。显然，航空业可以吸取教训，尽管由于空中和地面环境的可控性更强，其挑战比汽车业要简单得多。无论航空业为确保安全所做的一切，汽车业都可能需要做更多的工作来说服持怀疑态度的公众。

　　航空业为创造卓越的安全记录做了哪些工作？航空业已经接受了严格的开发、测试和维护流程，在民用空域商业使用产品之前需要获得安全认证。几十年来，软件一直是航空控制系统的重要组成部分，并且有专门的面向安全的过程（例如，DO-178C）旨在降低软件故障的可能性。此外，当软件的某些部分不适合直接验证时（例如，因为它是商业现货产品 （COTS） 的一部分），可能需要单独的“运行时安全监视器”来检测和标记什么可能是“危险的误导性信息”（HMI）［1］。

　　航空业为确保其软件密集型系统的安全所做的这些努力的记录令人印象深刻，没有已知的灾难性商用飞机故障与软件故障直接相关。然而，由于软件被不良传感器数据的意外组合误导而导​​致灾难性故障，以及只有经过专业训练的机上飞行员才能避免生命损失的情况。

　　航空业的安全记录以及传感器故障导致故障（或训练有素的飞行员避免故障）的案例都表明，航空中使用的以安全为导向的流程有所帮助，但并非万无一失，并且在某种程度上依赖于人力后备。为了创造一辆完全自动驾驶的汽车，汽车行业需要从这些教训中吸取教训，并意识到他们的问题更加困难——不仅仅是因为汽车运行环境更具挑战性，还因为可能缺乏专家司机训练有素，准备在紧急情况下接管。为了增加汽车行业的复杂性，基于机器学习（ML-based）的方法被广泛用于为自动驾驶汽车提供智能控制器，

　　那么，汽车行业在开发自动驾驶汽车时可以做些什么来应对这一安全认证挑战呢？首先，监督高速公路使用的行业和机构需要认识到，软件密集型系统需要严格的开发、验证和维护方法。软件密集型系统的内部状态数量远远大于机械系统通常具有的数量，并且确保系统在所需的安全“范围”内运行需要使用最好的软件工具进行正式的、系统的开发和验证方法和可用的语言。

　　汽车行业的第二步，特别是当机器学习技术接管控制系统的关键部分时，是在他们的自动驾驶系统中加入一个不基于机器学习但持续监控基于机器学习的系统的软件组件以确保其保持在其安全范围内（类似于航空业中用于某些 COTS 组件的运行时安全监视器，如上所述）。使用 ML 方法，运行时安全监控方法可能是生成可以被认证为安全的系统的唯一方法。一些机构正在开展运行时安全监视器领域的积极研究。

　　最后，对像自动驾驶汽车一样复杂的安全关键系统进行认证将不可避免地需要令人信服的安全性证明。FAA、FDA 和其他机构开始采用正式的“保证案例”或“安全案例”的概念。安全案例是一种树状结构化论证，通过将论证分解为声明和子声明，然后显示每个声明如何得到直接证据和经过验证的子声明的组合支持，从而表明系统是安全的。从一开始就使用这种方法有助于确定需要哪些关键证据才能令人信服地证明系统是安全的。

　　如果自动驾驶汽车要成为大众市场的现实，就需要系统地开发这些系统，持续监控，并以结构化和令人信服的方式证明是安全的。

　　审核编辑：郭婷