传统的汽车安全，如ISO 26262等标准的功能安全定义，根据风险的严重性、暴露率和可控性提供汽车安全完整性等级(ASIL)。这项标准还定义了V开发模型，要求完全指定组件特性及其相应的规范和可追踪性，按照其规范所做的修改也应可检测。利用数据库训练机器学习模型，累积的训练会违背初始时组件特性均已指定的假设。此外，自动驾驶系统利用机器学习时，将软件组件的层级架构实施成端到端的解决方案，这违背了ISO 26262标准的模块化方案 (Salay & Czarnecki, 2018)。 

自动驾驶系统的安全性不仅要注重传统的功能安全性，还要考虑行为安全性。作为驾驶策略的一部分，自动驾驶系统需要学习与非自动车辆和行人交互。它们需要学习预测其他参与方的行为，还需要预测危险和安全关键的情况，即便是边缘情况也不例外。自动驾驶系统需要防范周围动态环境可能带来的风险，即使是在硬件或软件无故障的情况下。

汽车安全专家正在开发ISO/PAS 21448标准，即预期功能安全(SOTIF)，用于涵盖ISO 26262未涉及的场景。对于某些场景来说，为开发ISO/PAS 21448 SOTIF所进行的大量工作并未有效覆盖边缘情况以及不安全的未知条件。对于自动驾驶市场的其他场景来说，这项标准可能会限制或扼杀创新，特别是它关系到自动驾驶领域机器学习的使用。

实现自动驾驶的安全

为了实现安全无忧的自动驾驶，系统需要具备以下特性：

• 可靠：超低故障率（汽车级品质）

• 安全：强大的故障检测能力(ISO 26262 ASIL D)

• 可用：正确操作准备就绪（能够区分安全相关和非安全相关的故障）

• 容错：即便在发生故障时，也可以继续操作（降低性能/功能，仅可继续操作重要功能）

• 可信赖：故障预测功能能够提前检测故障（离线测试）

图5  安全概念的演变，行业方法

SAE自动驾驶分类较低级别中的大部分辅助功能都是“故障防护”系统，这意味着一旦发生故障，系统将会进入安全模式。在L0、L1自动驾驶功能的情况下，系统依靠驾驶员对车辆继续进行安全操作。在当前的L2和L3系统中，我们期望系统能够具备更高级的可用性，能够识别故障并以降低性能的模式继续运行，仅在部分情况下依赖驾驶员。预计L4和L5系统将可以在发生故障后继续运行，这意味着当系统检测到故障后，系统内置足够的冗余来容错，以便继续全面运行足够长的时间，直到系统将车辆恢复到安全状态。

当出现故障时，切换到人类驾驶员是L0至L3系统的一个关键部分。要实现从自动驾驶系统到人类驾驶员的切换，需要进行大量研究工作。Eriksson和Stanton的研究发现，在非紧急情况下，完成切换所需时间从2至26秒不等，如果驾驶员收到切换请求时正在进行其他任务，所需的时间会更长。请记住，车辆在高速公路上自动驾驶时，高速行驶下的速度超过每秒25米。在最快的反应时间下，车辆需要行驶半个足球场的路程才能完成切换，在最慢的反应时间下，车辆则需要行驶将近6个足球场的路程才能完成切换。在紧急情况下，驾驶员的反应会比较慢，并且人类驾驶员可能会做出错误的决策，造成交通事故 (Eriksson & Stanton, 2017)。基于这种情况，恩智浦认为实现安全无忧出行需要L2甚至更高级的自动驾驶系统，才能使其在发生故障后继续运行，至少能够安全停车。

图6  安全概念的演变，恩智浦方法

当争论被表述为安全的自动驾驶系统要始终遵守交通规则时，我们在现实世界中却会观察到与严格的规则相应、有时候甚至是相反的某些场景，存在社会规范可以使大多数复杂的系统进行更高效的运作。这些社会规范允许在某些情况下违反交通规则，比如在即将驶入车道时，绕过抛锚车辆或被拦下的车辆。有时，违反交通规则并不是故意为之，而是避免交通事故的必要措施。自动驾驶系统需要配有决策矩阵，从而选择可接受的违反交通规则的方式，以实现更安全、高效的驾驶。

图7  （有时）需要遵守的规则

自动驾驶汽车需要确保采取的任何措施都不会危及生命安全。这给安全工程师验证车辆安全性带来了很大的压力，然而并没有令人满意的方法来验证自动驾驶汽车永远安全运行。 

自动驾驶系统架构分为两个功能域：

1) 建模域，对环境进行监控和建模；

2) 规划域，用于制定行为策略和规划，并进行路径选择。

系统分为两个功能域，每个功能域由多种设备组成，使其具有更优的可扩展性和异质性，每个功能域还可根据特定的应用要求提供高效的计算架构匹配。如果不了解系统的决策机制，那就无法保证其安全性。这就是大型端到端系统处理感知和规划时所涉及的问题。配有接收传感器输入和提供驱动指令输出的封闭式黑盒方法很难进行验证和调试，而且也很难扩展到新的算法、传感器解决方案和计算。

相对于端到端解决方案，建模和规划分区架构更有利于实现系统的安全性。 

图8  高水平分区自动驾驶系统