自动驾驶汽车(AV)已经遍布美国各个城市的公共街区和道路(图1)。这是否意味着,监管机构和公众应该相信这些车辆是安全可靠的?实际上,并没有足够的信息表明,我们可以信任任何一家开发自动驾驶技术的公司,或信任自动驾驶汽车,主要原因是负责汽车安全的机构正在给科技公司和自动驾驶汽车制造商发放免检通行证。
监管机构和关注该领域的人们唯一可获得的“安全”信息,就是汽车开发商向美国国家公路运输安全委员会(NHTSA)提交的报告。在NHTSA网站上搜索“Voluntary Safety Self-Assessment (自愿性安全自我评估,VSSA)”就可以找到这些文件。
为了支持所谓的“创新”,NHTSA并没有要求各公司提交任何特定的数据,更不用说采用标准化格式的数据了。不过NHTSA提供了自愿评估指导和VSSA模板。顾名思义,VSSA是一种自愿进行的自我评估。各公司甚至没有被要求提交VSSA,因此许多公司也就不自找麻烦了。
这与食品及药物管理局(FDA)和联邦航空管理局(FAA)形成了鲜明的对比,FDA和FAA均要求药品供应商和飞机制造商在产品推出之前证明产品符合严格的行业标准。
Semicast Research首席分析师Colin Barnden告诉笔者:“FDA不能随便选一个人来测试新药,FAA也不能在人口稠密地区进行飞机测试。”他强调,“永远行驶在相同的路线上,虽然没发生任何不好的事情,也没有人被撞身亡,但这并不能证明一项新技术是安全的。NHTSA(和州监管机构)有责任确保公众的安全,而不是推动新技术在未经同意的受试者身上进行测试。”
图1:自动驾驶汽车已经遍布美国各个城市的公共街区和道路。(图片来源:Argo AI)
从各方面来看,美国的AV行业都处于泡沫之中。
首先,AV制造商可以用自己的标准和程序对他们的自动驾驶汽车进行自我认证;其次,他们没有被要求提交VSSA;第三,一些AV制造商甚至没有在他们的报告中提及任何与安全相关的行业标准,如ISO 26262(功能安全)、ISO 21448(预期功能安全)和ANSI/UL 4600,即使他们碰巧引用了这些标准,也只是顺带提过。
只有少数公司会选择提交报告。截至2021年4月28日,有55家公司获得了加州机动车辆管理局的自动驾驶汽车测试许可(由驾驶员监控)。在这55家公司当中,迄今也只有15家向NHTSA提交了VSSA。
NHTSA现在总共收到了24份VSSA文件。这两个数字之所以不同,有两个原因:在美国进行测试的公司并不是都在加州测试,而且还有两家公司提交了两份VSSA报告。
笔者检查了AV开发人员在NHTSA网站上提交的每一份VSSA。每家公司都提到了“拯救生命”,均表示“赢得公众信任”很重要,也都指出“透明度”是他们发布安全报告的目的。
由于这类冠冕堂皇的词汇不够严谨,我们决定建立一个记分卡,希望能够辨别哪些用心提交VSSA的公司是真正“认真对待安全”的。我们的检查主要侧重于每家公司如何使用行业标准(例如ISO 26262、ISO 21448或ANSI/UL 4600)——每个标准各司其职,并且都适用于所有自动驾驶汽车。(编者注:见表1中的评分)
这24份安全报告中也有极端情况,其中有3份报告根本没有提及任何行业标准,它们分别来自 Zoox(现在属于亚马逊)、Local Motors和苹果公司。
与其完全相反的是欧洲汽车制造商宝马、梅赛德斯-奔驰和博世,他们都是行业标准的重要推动者。
图2:测试目标及相应的测试平台和系统要素。(图片来源:Safety Self-Assessment Report)
除了这些极端例子,还有各种各样的情况,许多VSSA提交者虽然提到了ISO 26262,却并未声明其车辆符合该标准。图2显示了测试目标及相应的测试平台和系统要素。
正如Edge Case Research联合创始人兼首席技术官、卡内基梅隆大学教授Philip Koopman指出的那样,“许多VSSA都提到了标准,但却没有真正承诺要按标准来做。含混地挑拣零碎的标准片段并不能真正表明这些公司在安全方面做了些什么。”他将这种情况称为“#ISOwashing(#ISO洗脱)”。
例如,Waymo在其2020年9月的安全报告中并没有提及任何标准,但他们这样吹嘘其系统安全项目:“作为2015年第一家在公共道路上完成全自动驾驶的公司,我们书写了Waymo自己的剧本。”
Waymo公司在2020年10月发布的一份长达30页的文档“Waymo’s Safety Methodologies and Safety Readiness Determinations Waymo(Waymo安全方法论和安全准备确定)”中,引用了大量标准并解释了未完全遵从这些标准的原因。
如对ISO 26262:
ISO 26262为Waymo的危险分析流程提供了重要的依据。然而,Waymo并未严格遵从ISO 26262标准,因为它并不完全适合L4 ADS(自动驾驶系统)。
被问到对此有何看法时,Koopman说:“在解读这样的声明时,考虑它说了什么和没说什么都很重要。”
Koopman解释道:“Waymo的意思是他们比较重视ISO 26262的第3部分,是关于危险和风险分析的,但因为不能完美契合而未遵从它。他们未提及是否考虑了ISO 26262的其他部分。”
他补充说:“他们也未说明实际上他们遵循什么样的原则,因为他们似乎对已经成熟的ISO 26262功能安全标准中的那些规则不太满意。”他总结道:“现实情况是,ISO 26262应该可以用于他们汽车的很多功能,就像用于任何其他汽车一样。ISO 26262是可以定制的,很难理解他们为什么不对其进行调整以满足自己的需求。”
还有个例子是Argo AI,它在最近发布的安全报告中写道:“我们的系统工程设计建立在两个关键的ISO标准之上:ISO 26262和ISO 21448。”
Koopman指出:“虽然态度看起来不错,但读者根本不明白他们实际上想说什么。”他承认,“这句话给人的印象肯定是他们符合这两个标准,但如果真的符合标准,他们为什么不说‘符合’两字呢?我认为他们会就安全问题做出最真实的声明,要么是“符合”,要么是不那么正式的“遵从”。否则,哪怕发出的声明再隆重,也得不到人们的信任。”
笔者曾联系Argo AI解释其声明,他们的一位发言人说,“我们希望能够符合安全标准,但我们的安全测试还没完成,因此在声明中采用了那样的措词。”
会不会存在一些因素,使AV行业人士对现有标准有一些看法,认为这些标准与L4和L5汽车的“自主性”没有任何关系呢?Koopman明确表示:“ISO 26262解决了功能安全问题,值得在L4/L5车辆中占一席之地。但L4/L5还需要额外的预期功能安全(SOTIF/ISO 21448)和系统级安全(ANSI/UL 4600),所有这些内容都需要涵盖。”
由于目前的自动驾驶汽车测试没有监督、验证及校验,如何在自动驾驶汽车大量上路之前确保它们是安全的,这成了一个难解之谜。
尽管一些AV标准相互竞争并且不一致,“这个问题还是可以解决的,即采纳专家们(如学者、工程师、汽车制造商和行业代表)的方法,他们已经齐心协力制定出技术中立的安全标准。”即将出台的IEEE P2846标准(Assumptions for Models in Safety-Related Automated Vehicle Behavior)的主席、英特尔首席工程师Jack Weast最近在一篇的文章中写道。
Weast并不是唯一这样认为的人。
行业本身已经花费了大量的工程资源来建立这些标准,Koopman反问道:“还有什么理由不遵循这些标准呢?”
英伟达出现在提交VSSA的AV公司中令人稍感意外,这表明了英伟达开发AV平台(配备其强大的SoC和AV软件堆栈)的雄心,汽车制造商可以很方便地将该平台应用在自己的AV汽车中。图3为英伟达安全报告的截图。
英伟达在其安全报告中写道:“Nvidia Drive架构使汽车制造商能够制造并部署功能安全的自动驾驶汽车和卡车,这些车辆符合ISO 26262和ISO/DIS 21448、NHTSA推荐规范以及全球NCAP要求等国际安全标准。”
图3:英伟达在其安全报告中声明符合ISO 26262和ISO/DIS 21448等国际安全标准。(图片来源:Nvidia Self-Driving Safety Report)
然而,我们发现这个GPU巨头的声明也有一点问题。英伟达声明符合ISO 26262并不意味着使用英伟达芯片的自动驾驶汽车就一定符合ISO 26262。
Koopman对此表示认同:“是的,这取决于客户实际上是否符合标准。”他解释说,如果英伟达提供的方案只是让客户在“仿真”中符合21448标准,就回避了最终产品在现实世界中是否符合21448标准的问题。
Koopman补充道,“除了英伟达,我们还看到了一些宣称符合ISO 26262的声明,但他们实际上只提到了芯片,甚至都没有包含所有硬件。”
读完这24份安全报告之后难免得到一种印象,即这些报告就是公司的营销宣传册。
Barnden指出,它们“完全可以互换。如果我收到来自Motional、Waymo和Zoox宣传册文案,去掉公司名称之后,我根本无法区分它们。”
问题不仅在于报告中的漂亮图片过多,最根本的是缺乏实质性的技术内容。Barnden说:“我看不出哪些指标可以衡量过去12个月取得的进展,也弄不清明年发布的新安全报告中会有哪些重大变化。不停地重复‘安全’一词并不能使产品或流程变得安全。”
以Waymo为例。Barnden说:“2020年,Waymo向加州DMV报告在628,839英里行驶里程内发生了21次脱离,每30,000英里大约发生一次。但正如我们在最近的一段视频中看到的那样,一辆“完全无人驾驶”的Waymo汽车竟然被一个静止不动的交通锥搞懵了。在Waymo位于亚利桑那州钱德勒附近的主测试区内,这辆自动驾驶汽车居然在高速公路上倒车,致使一条车道完全堵塞,人类司机不得不绕道而行。事实上脱离报告毫无意义。如果没有配备经过培训的人类安全驾驶员,这些车辆在公共道路上行驶显然还不够安全。”
Waymo汽车2015年就已上路行驶,但令人惊讶的是其无人驾驶出租车仍然会被一个交通路锥搞晕——这似乎很难被界定为一起“边缘案例(edge case)”。
最近几个月,一度被视为AV行业不二领导者的Waymo流失了六名高管,包括首席执行官、首席财务官、财务主管、制造主管、首席安全官和系统安全主管。人才的大量外流引起了人们的担忧,也让硅谷流言四起。
这让我们又回到了原点。我们对Waymo Driver取得的进步真正了解多少?Waymo的安全报告显然没有透露多少信息,这似乎让人不能安宁。
自动驾驶汽车开发商还需要多久才能推出全自动驾驶汽车?这一时间他们一推再推。安全报告不仅应包括他们的安全声明,还应包括他们面临的挑战以及准备如何应对。
Kodiak公司曾公开表示,测试里程数更长并不表示安全性更高。他们在安全报告中这样写道:“当然,在这种思想的指导下,我们可能永远不会像一些竞争对手那样测试那么多的里程。虽然我们测试的里程数较少,但是并不存在风险,相反,这是对安全性的一种承诺。”
Aurora对此表示同意。“……我们将实际测试看作一种手段,用来校验和提高快速离线测试的精确性。这一策略使我们能够控制上道测试的车队规模。我们追求的是里程质量而不是数量,因此对测试车辆的行驶里程有所限制;换句话说,我们追求的是有意义的里程,而非简单地将大量里程累积在一起。”
说到极端案例研究的重要性,Koopman指出,困难之处不仅仅在于发生(需要处理的)意外事件(即不安全事件)的频率,更重要的是需要处理的都是一些什么样的意外事件,这些意外事件都是不同的。Koopman说,如果意外事件数量过多,则需要很长时间才能解决所有问题,很有可能永远都解决不完。
Koopman在他的文章中这样写道:
设计安全的自动驾驶汽车不仅需要针对真实的行驶场景进行大量的训练和测试,还需要处理各种不确定性。现实中可能会出现许多罕见的危险事件,在遇到不可预见的新情况时,系统需要保持稳健。
根据获得的道路数据进行总结,然后假设可能出现的各种异常情况,这肯定会有所帮助。然而,现实世界的意外事件通常呈重尾分布,因此可能无法使用简单的驱动/故障/修复开发流程来实现所需的安全性。
在遇到新情况时,自动驾驶汽车需要足够的处理应对能力,同时还需要一种方法来检测是否遇到了意外状况,这样才能在面对不确定性时仍保持安全。
NHTSA对汽车行业的放任态度早已是声名狼藉。几十年来,NHTSA的利益一直与汽车制造商和科技公司绑在一起。
拜登政府也没有提出任何处理自动驾驶汽车安全问题的办法。新任交通部长Pete Buttigieg是否会带领NHTSA做出改变呢?例如,让科技公司和汽车制造商发布的AV安全声明更加透明和负责任?
NHTSA在特朗普政府时期曾发布“Advance Notice of Proposed Rulemaking (ANPRM) on autonomous driving systems(关于自动驾驶系统的新规预告)”来收集公众意见,收集截止日期是4月1日。预计NHTSA在回应公众意见时,会出现改变的信号。
在被问及何时对公众意见给出答复时,NHTSA告诉笔者在对这些公众意见进行审核之后便会做出答复。
NHTSA将在之后再决定其下一步计划。“至于未来12个月的监管计划,NHTSA会在春末的半年度监管行动统一议程中公布,”她说。截至目前,该计划还未公布。
许多AV行业观察家都清楚,可能要等这个刚起步的行业发生一场灾难性的事件,才会最终促使政府做出决定,实施更严格的规则。
正如Barnden所指出的,“如果一辆正在测试的AV汽车撞死了一个行人或一个孩子,那么舆论将直接指向拜登总统。”他指出,当年波音737Max机动特性增强系统(MCAS)设计中的根本缺陷被暴露之后,所有波音737Max飞机都被FAA停飞了。“自动驾驶汽车的安全问题也显而易见,为什么还要给AV开发发放免检通行证呢?汽车行业在大声疾呼“拯救生命”的同时实际上又在危害生命,这是不可理喻的。其政治风险巨大,政府需要立即醒悟并展现果断的领导力。”
这种事情已经有先例。在Elaine Herzberg被优步自动驾驶测试汽车撞死“一年多”之后,美国汽车工程师学会(SAE)终于采取行动,更新了SAE J3018(首次发布于2015年3月),即SAE L3/4/5自动驾驶汽车安全上路测试指南。SAE的一位发言人表示,它“更好地反映了对上路进行性能测试的自动驾驶汽车的安全需求”。
她解释说,业界在测试由ADS操作的车辆方面已经积累了很多实际经验,J3018标准在更新时结合了这些经验,现在已与相关SAE国际标准兼容。
与此同时,在优步发生致命事故一年之后,一个仅限受邀成员加入的汽车行业组织,自动驾驶车辆安全联盟(AVSC),也开始“利用联盟成员采用的测试方法和流程,记录并公开有关车内人类测试驾驶员的最佳经验”,SAE自动化办公室主任Ed Straub表示。他介绍说,AVSC的使命是“建立公众对SAE L4/L5自动驾驶汽车的信任”。所有AVSC成员都在为各种汽车应用进行上路ADS测试。
但问题是,当自动驾驶汽车公司向各州、市申请在公共道路上试驾自动驾驶汽车的许可时,为什么当地监管机构不要求自动驾驶汽车运营商符合J3018标准?
Straub说:“我无法了解所有人的想法。”他推测,需要使用这一标准进行参考的人可能还不知道这一标准的存在。
但他也理解汽车行业的做法:“SAE国际标准已经存在了上百年,它是自愿性质的,除非像FMVSS(美国《联邦机动车安全标准》)一样在法规中明确规定。”他指出,“自动驾驶技术和相关测试以前所未见的速度发展,因此,很难要求开放的行业标准跟上步伐……因为自愿性质的行业标准是邀请所有感兴趣的各方来制定的,所以需要较长的时间。那些强制要求满足的法规(如FMVSS)则可能需要更长时间。”
说真的,花了时间和资源为所有成员制定安全标准,却不强制要求满足这些标准,这是什么样的行业?道路规则适用于所有人,唯独汽车制造者例外,这是怎么回事?
****************************************
表1中,“Glossy Pix Ratio (GPR)”栏是安全报告中宣传性图片页数与文本页数之比。虽然一份报告页数较多,但如果GPR较高,其包含的信息很可能比页数较少但GPR较低的报告要少。
后面四列计算了一份报告中包含“标准”一词或提及一个特定标准的次数。而“VSSA评分”一列则是对VSSA的评估。
表1:VSSA安全报告评分。
(原文刊登于EDN姐妹网站EETimes美国版,参考链接:The Road Has Rules But Not So Much For AV Makers,由Jenny Liao编译。)
本文为《电子技术设计》2020年7月刊杂志文章,版权所有,禁止转载。免费杂志订阅申请点击这里。
智能家居/智慧家庭市场前景广阔,未来的挑战与对策建议有哪些? 【一键报名】2021年7月27日ASPENCORE在深圳深铁皇冠假日酒店五楼主办的“2021国际AIoT国际生态发展大会”,现场与行业资深人士交流与互动!点击这里了解大会详情。
最前沿的电子设计资讯
