自動(dòng)駕駛汽車究竟是更安全還是更危險(xiǎn)？

這其實(shí)是一個(gè)老生常談的問(wèn)題，這似乎也是一個(gè)奇怪的現(xiàn)象。在近幾年中，自動(dòng)駕駛的熱度一直居于高位，每每輿論提及自動(dòng)駕駛便似一場(chǎng)狂歡，不僅能幫助減少交通事故，也能夠構(gòu)建未來(lái)高科技文明，似乎自動(dòng)駕駛帶來(lái)的就是“歌舞升平，祥和盛世”。然而，一旦自動(dòng)駕駛引發(fā)事故時(shí)，質(zhì)疑批評(píng)之聲猶如排山倒海而來(lái)，似乎又從一個(gè)極端走向了另一個(gè)極端。

自動(dòng)駕駛汽車究竟是更安全還是更危險(xiǎn)？有觀點(diǎn)認(rèn)為不安全就是耍流氓，也有聲音認(rèn)為新技術(shù)帶來(lái)新問(wèn)題很正常，況且由人引發(fā)的交通事故更是高居不下。那么，當(dāng)我們?cè)谡勛詣?dòng)駕駛汽車安全時(shí)究竟該如何看待呢？

● “安全”是復(fù)雜的系統(tǒng)工程歷經(jīng)百年的發(fā)展，傳統(tǒng)汽車工業(yè)其實(shí)已經(jīng)非常成熟，形成了非常嚴(yán)格的開(kāi)發(fā)體系。隨著汽車的不斷發(fā)展，“安全”的標(biāo)準(zhǔn)也日益嚴(yán)苛，這其中很大程度是由于汽車“智能化”所引起的。

對(duì)于傳統(tǒng)汽車來(lái)說(shuō)，一輛汽車在研發(fā)、制造、使用等各個(gè)環(huán)節(jié)都會(huì)經(jīng)過(guò)了一系列的安全測(cè)試，其安全標(biāo)準(zhǔn)也是非常完善的。一輛不怎么“智能”的汽車要確保安全是相對(duì)比較容易的，只要保證機(jī)械層面的可靠性和穩(wěn)定性就基本能保證安全。

但隨著汽車電子/電氣系統(tǒng)的數(shù)量不斷增加，安全挑戰(zhàn)就變得越來(lái)越大，因?yàn)椤皫щ姷亩嗌俣加悬c(diǎn)智能”。有的豪華轎車上一般都有幾十個(gè)甚至上百個(gè)ECU(電子控制單元)，其中制動(dòng)系統(tǒng)、發(fā)動(dòng)機(jī)控制系統(tǒng)、氣囊系統(tǒng)等等都是與安全相關(guān)的系統(tǒng)。

那么對(duì)于汽車開(kāi)發(fā)者來(lái)說(shuō)，首先這些系統(tǒng)肯定是不能出現(xiàn)故障，但一旦系統(tǒng)出現(xiàn)故障時(shí)必須要讓汽車能夠保證安全駕駛，這便是汽車的“功能安全”。

目前，行業(yè)內(nèi)普遍認(rèn)可的就是道路車輛功能安全標(biāo)準(zhǔn)ISO 26262(ASIL有四個(gè)等級(jí)，分別為A、B、C、D，A是最低的等級(jí)，D是最高的等級(jí))。這套標(biāo)準(zhǔn)體系于2011年推出，其目的就是為了滿足汽車電子/電氣系統(tǒng)的數(shù)量不斷增加的情況下的功能安全設(shè)計(jì)。

與傳統(tǒng)汽車相比，自動(dòng)駕駛汽車系統(tǒng)更加復(fù)雜，無(wú)論在感知還是決策規(guī)劃等層面都發(fā)生了質(zhì)的改變，這也使自動(dòng)駕駛汽車面臨著新的安全挑戰(zhàn)。因此，自動(dòng)駕駛汽車已經(jīng)超越了傳統(tǒng)汽車所遵循的ISO 26262的功能安全標(biāo)準(zhǔn)的范疇，還包括了其他安全概念，比如信息安全等。

中國(guó)軟件評(píng)測(cè)中心智能網(wǎng)聯(lián)汽車測(cè)試實(shí)驗(yàn)室專家認(rèn)為，自動(dòng)駕駛汽車安全其實(shí)至少有三個(gè)層面：駕駛行為安全、功能安全和信息安全。這三個(gè)層面都有所重疊，但也各有所側(cè)重。駕駛行為安全，主要是自動(dòng)駕駛的能力能否滿足駕駛?cè)蝿?wù)的需求，尤其是在危險(xiǎn)條件下；功能安全，側(cè)重于系統(tǒng)隨機(jī)故障下能不能保障應(yīng)有的駕駛能力；信息安全，則是系統(tǒng)是否能夠不受外界入侵的影響。

從企業(yè)的角度來(lái)看，也構(gòu)建起了相對(duì)完善的安全標(biāo)準(zhǔn)體系。例如，Waymo的自動(dòng)駕駛安全計(jì)劃就覆蓋了5個(gè)安全領(lǐng)域。行為安全，同人類駕駛員一樣，要遵守交規(guī)；功能安全，系統(tǒng)故障時(shí)要確保安全運(yùn)行；碰撞安全，發(fā)生碰撞時(shí)要保護(hù)乘客安全；運(yùn)營(yíng)安全，乘客與車輛交互時(shí)，要確保乘客安全舒適的體驗(yàn)；非碰撞安全，物理角度的人車交互，比如電氣系統(tǒng)和傳感器不能對(duì)人造成危害。

● 自動(dòng)駕駛汽車的安全威脅

就自動(dòng)駕駛來(lái)說(shuō)，不同的對(duì)象對(duì)于安全也有著不同的理解。比如，在電氣工程師眼里，自動(dòng)駕駛汽車安全就是“功能安全”，出故障了怎么讓車還能安全駕駛；在“程序猿”眼里，安全就是怎么讓汽車跟黑客博弈；對(duì)于普通用戶來(lái)說(shuō)，安全就顯得更加直白，就是什么事都不能有。

就當(dāng)下而言，最受關(guān)注的其實(shí)還是自動(dòng)駕駛汽車的“功能安全”。禾多科技創(chuàng)始人兼CEO倪凱認(rèn)為，“對(duì)于自動(dòng)駕駛而言，最重要的是‘功能安全’，信息安全雖然與自動(dòng)駕駛相關(guān)，但不只針對(duì)自動(dòng)駕駛。”

道路車輛功能安全標(biāo)準(zhǔn)ISO 26262主要是針對(duì)系統(tǒng)故障/失效所導(dǎo)致的問(wèn)題，但對(duì)于自動(dòng)駕駛來(lái)說(shuō)即使系統(tǒng)不出現(xiàn)故障，也會(huì)因?yàn)榄h(huán)境因素(包括其他車輛出現(xiàn)意外)等不確定性而帶來(lái)新的安全問(wèn)題。這就涉及到新的安全標(biāo)準(zhǔn)的規(guī)范——預(yù)期功能安全(Safety of the intended function)，主要針對(duì)非系統(tǒng)故障原因帶來(lái)的安全問(wèn)題，補(bǔ)足了ISO 26262所覆蓋不到的部分。

那么從預(yù)期功能安全角度來(lái)看，自動(dòng)駕駛系統(tǒng)的局限性主要來(lái)自三個(gè)方面：感知層，如對(duì)場(chǎng)景環(huán)境不能做出正確響應(yīng)；決策層，如算法邏輯不合理，做出錯(cuò)誤決策等；執(zhí)行層，不能根據(jù)決策正確執(zhí)行或有效執(zhí)行。

執(zhí)行層其實(shí)是主機(jī)廠和Tier1的專長(zhǎng)，比如在底盤制動(dòng)控制方面，博世就推出“iBooster+ESP”的冗余設(shè)計(jì)方案，以提升安全性。目前，自動(dòng)駕駛系統(tǒng)的主要安全挑戰(zhàn)在感知層和決策層。

『博世iBooster』

在感知層，目前被廣泛關(guān)注的就是天氣變化、光照因素給攝像頭、雷達(dá)、激光雷達(dá)等傳感器帶來(lái)的挑戰(zhàn)。這方面也需要通過(guò)技術(shù)升級(jí)不斷彌補(bǔ)，例如大陸集團(tuán)、博世等都在研發(fā)全新一代的激光雷達(dá)等產(chǎn)品。

中科慧眼創(chuàng)始人、副總經(jīng)理崔峰也認(rèn)為環(huán)境感知是影響當(dāng)前自動(dòng)駕駛汽車安全的主要因素之一，“環(huán)境感知方面，傳感器性能受材質(zhì)、結(jié)構(gòu)、加工工藝等多方面影響。就國(guó)內(nèi)發(fā)展情況來(lái)說(shuō)，這又與中國(guó)的材料、光學(xué)能力等基礎(chǔ)學(xué)科實(shí)力有關(guān)。同時(shí)也與工業(yè)水平有關(guān)，尤其是高精尖的傳感器。”

但從另一個(gè)角度來(lái)說(shuō)，自動(dòng)駕駛成本又是企業(yè)所考量的重要因素，并不是所有的解決方案都會(huì)采取高精尖的設(shè)備，因此這也是帶來(lái)安全隱患的因素。激光雷達(dá)公司禾賽科技CEO李一帆就曾提到，“一切試圖走捷徑的、‘人肉小白鼠眾包’式的低成本傳感器方案都是無(wú)稽之談，是犯罪！”

除了感知層以外，與安全有重大關(guān)系的就是決策層，目前的AI水平顯然是有明顯不足的，訓(xùn)練算法的程度不夠，不能完全覆蓋所有場(chǎng)景和突發(fā)意外。自動(dòng)駕駛汽車需要海量的測(cè)試，2016年美國(guó)智庫(kù)蘭德公司曾給出一個(gè)數(shù)字：路測(cè)里程需達(dá)到110億英里。大量的路測(cè)試驗(yàn)以及后期分類標(biāo)定、數(shù)據(jù)處理等方面尚存許多不確定因素。

當(dāng)前，人與AI的區(qū)別在于人有很強(qiáng)的遷移學(xué)習(xí)能力，對(duì)未遇到過(guò)的交通場(chǎng)景也能自如應(yīng)對(duì)，這也是AI需要著重研究的方向。但AI還有個(gè)問(wèn)題在于神經(jīng)網(wǎng)絡(luò)的“黑盒”，給其輸入數(shù)據(jù)得出輸出結(jié)果的過(guò)程并不能被解釋，也就是說(shuō)AI給出決策的過(guò)程并不透明，無(wú)法debug(排除故障)也導(dǎo)致了自動(dòng)駕駛汽車的不可控性。不過(guò)，這一方面也有了一些突破，英偉達(dá)曾聲稱打開(kāi)了“黑盒”。

當(dāng)埃航的事故發(fā)生時(shí)，外界普遍關(guān)心的是自動(dòng)駕駛空難是否會(huì)在自動(dòng)駕駛汽車上重演。這其實(shí)涉及的是自動(dòng)駕駛系統(tǒng)的仲裁邏輯問(wèn)題，在傳感器失效后出現(xiàn)了人和電腦爭(zhēng)奪機(jī)器控制權(quán)的矛盾。

禾多科技創(chuàng)始人兼CEO倪凱認(rèn)為這種安全事故并不會(huì)在自動(dòng)駕駛汽車上發(fā)生，“在汽車行業(yè)，無(wú)論是輔助駕駛還是自動(dòng)駕駛的普遍邏輯都是，一旦人工接管后，人類基本就擁有了對(duì)汽車的絕對(duì)控制權(quán)(車輛底盤的底層執(zhí)行器仍然有部分ECU起作用，但不涉及到駕駛行為層面)。換句話說(shuō)，汽車的自動(dòng)駕駛領(lǐng)域中，人類司機(jī)的控制權(quán)是優(yōu)先于系統(tǒng)的，因此不會(huì)出現(xiàn)埃航事故中人類駕駛員和電腦競(jìng)爭(zhēng)控制權(quán)的情況。雖然說(shuō)L4和L5具備不需要人干預(yù)的能力，但不是說(shuō)人沒(méi)有干預(yù)權(quán)?！?/p>

● 沒(méi)有“絕對(duì)”的安全，只有“相對(duì)”的安全

“安全”始終是自動(dòng)駕駛汽車走向商業(yè)化之前必須邁過(guò)的門檻，于用戶而言最關(guān)心的問(wèn)題可能是，當(dāng)前自動(dòng)駕駛汽車事故頻頻發(fā)生，安全究竟何時(shí)才能得到解決呢？

『麥肯錫2018年自動(dòng)駕駛調(diào)研報(bào)告』麥肯錫曾針對(duì)出行領(lǐng)域的專家進(jìn)行過(guò)一項(xiàng)調(diào)研，在2018年所發(fā)布的一份自動(dòng)駕駛調(diào)研報(bào)告中顯示，安全性和可靠性是推廣自動(dòng)駕駛的另一大瓶頸。30%的調(diào)研對(duì)象認(rèn)為2025年左右可能解決安全問(wèn)題，而33%的人認(rèn)為可能在2025-2029年之間，另外36%的調(diào)研對(duì)象認(rèn)為可能要到2030年之后?？梢钥闯?，基于專家的觀點(diǎn)，從大概率上來(lái)說(shuō)自動(dòng)駕駛安全問(wèn)題基本上在2025-2030年這個(gè)節(jié)點(diǎn)上能夠得到解決。

另外，自動(dòng)駕駛并不會(huì)因?yàn)槌霈F(xiàn)幾次事故就停止前進(jìn)的步伐，技術(shù)成熟本身就不是一蹴而就的。倪凱認(rèn)為，“并不只是機(jī)器，人類的駕駛行為也面臨著同樣的問(wèn)題。例如，在極端的情況下(汽車部件完全失效)，不管是自動(dòng)駕駛還是人類駕駛其實(shí)都處于不安全的境地。因此，要正視安全的相對(duì)性，在研發(fā)自動(dòng)駕駛系統(tǒng)時(shí)，要確保即使面對(duì)汽車某些部分的失效，自動(dòng)駕駛也能夠穩(wěn)定、可靠、安全地解決?！?/p>

但從另一個(gè)角度來(lái)說(shuō)，用戶所面臨的安全威脅并不是完全指望通過(guò)技術(shù)去解決。當(dāng)前主流車型搭載的依然是L2及以下的輔助駕駛系統(tǒng)，人依然具有絕對(duì)掌控權(quán)。而自?shī)W迪A8率先搭載L3級(jí)自動(dòng)駕駛技術(shù)以來(lái)，寶馬、吉利、廣汽等車企都計(jì)劃于2020年前后實(shí)現(xiàn)L3量產(chǎn)。雖然L3相對(duì)L2是質(zhì)的改變，但在L3級(jí)自動(dòng)駕駛技術(shù)下，用戶依然要保持對(duì)機(jī)器的監(jiān)管，這個(gè)級(jí)別的自動(dòng)駕駛安不安全的問(wèn)題更大程度上是人的駕駛行為是否“安全”。與此同時(shí)，也許有用戶疑惑，自動(dòng)駕駛盛行是否會(huì)給普通路人帶來(lái)安全隱患？就當(dāng)前而言，高階的自動(dòng)駕駛測(cè)試基本在封閉測(cè)試場(chǎng)地進(jìn)行，自然不存在對(duì)用戶的安全威脅，而量產(chǎn)自動(dòng)駕駛技術(shù)上路也依賴于道路安全規(guī)范的完善程度，基于嚴(yán)苛的制度要求而走上商業(yè)化。

其實(shí)，在許多領(lǐng)域，安全本身就是一個(gè)專門的專業(yè)，沒(méi)有絕對(duì)的安全，只有相對(duì)的安全。在不同的發(fā)展階段，對(duì)安全也有著不同的理解和要求，基于該階段下的技術(shù)，在合理的范圍內(nèi)應(yīng)最大化地做到一定場(chǎng)景內(nèi)的安全。安全也是沒(méi)有極限的，而不僅僅是依靠技術(shù)手段，是需要持續(xù)演進(jìn)的一個(gè)過(guò)程。一味的鼓吹或潑冷水是不理性的，但將安全讓位于利益的行為更不可取。全文總結(jié)：

當(dāng)初，泰坦尼克的悲劇讓世人震驚，被稱為“永不沉沒(méi)”的巨輪在處女航中便“永不再來(lái)”。然而，事后有研究人員發(fā)現(xiàn)，泰坦尼克事件卻是“瑞士奶酪”情景的一個(gè)經(jīng)典案例(在幾片瑞士奶酪中，每一塊奶酪中的孔都代表著可能出錯(cuò)的東西，把它們堆積在一起，通過(guò)排列的孔就形成一條危險(xiǎn)的道路)。對(duì)于汽車來(lái)說(shuō)也是如此，安全是一個(gè)寬泛的概念，而不僅僅局限在技術(shù)或者人為的單方面因素。同時(shí)，安全永遠(yuǎn)是第一優(yōu)先級(jí)，不管你在不在乎，“安全”就在那里。