割裂的自动驾驶安全体系，如何走向统一

随着技术与场景落地实践的不断结合演进，自动驾驶的大规模商业化落地的可能性在逐渐增大，这一过程中，法规和政策也在不断跟进。当前，欧洲已经进入了L2级别的脱手驾驶试行阶段，而德国和日本也开始发放L3级别自动驾驶系统的国际认证。今年，中国工信部与公安部在自动驾驶领域迈出了重要的一步，明确表示支持L3级及更高级别的自动驾驶功能商业化应用。

可以说，未来三年将是高级别智能网联汽车商业化落地的关键时期。因此，如何构建智能网联汽车安全体系，保障高级自动驾驶安全落地已成为整个行业的课题。

在此背景下，第五届世界智能安全大会（ISCC 2023）于2023年7月17日在重庆盛大开幕，大会围绕L3+高级别自动驾驶安全前沿和关键技术展开深度研讨。

会议期间，「智车星球」与多位高校、企业以及行业组织代表进行了深入交流，其中有不少有价值的观点、分析和判断，我们也将其提炼整理出来，希望能给大家带来新的认知与思考。

1

—

融合自动驾驶安全体系

在全体大会上，中国工程院院士、中国汽车工程学会理事长李骏提到功能安全、信息安全和预期功能安全，这些自动驾驶汽车面临的重要安全问题，目前的研究存在割裂现象，亟待构建融合一体化的自动驾驶安全系统的解决方案，抵御功能失效、网络攻击与预期功能不足的挑战。

对此观点，中国汽车工程研究院股份有限公司信息智能事业部副总经理雷剑梅也表示赞同。

“目前对每个企业来说，基本上做功能安全、预期功能安全的是一拨人，主要由产品开发工程师或安全相关的零部件、整车开发工程师去运行；做网络安全的是一拨甚至是两拨人，由IT或者信息化团队负责；数据安全因为涉及到车和平台数据，所以有些时候是信息化的人在做，有时候是产品的人来做。对于企业，这就意味着有多拨人在运行三个体系。” 雷剑梅解释道。

△中国汽车工程研究院股份有限公司信息智能事业部副总经理雷剑梅

显然，这样的割裂状态除了给企业带来较高的成本，更重要的是，三个体系的“各自为政”将对产品的研发过程带来很多相互矛盾的地方，影响整体开发进度。

例如，在强调冗余功能安全层面，往往会有备用件的存在，一旦主件出现问题能快速切换，但对于信息安全，模块越多则意味着风险越高。

因此，打通三个体系、构建统一的管理架构已经成为企业以及行业的重点课题。

“这里面存在的难点很多，不同体系的融合需要管理架构融合、整个工作过程的融合、安全目标的融合，三者之间相互关联，对于行业是一个比较新的命题。” 雷剑梅说道。

针对这个难题，李骏表示，自动驾驶安全是一个体系问题，需要用体系工程的方式解决。他也从社会生态层面、行业平台层面以及技术系统层面提出了初步构想：

1.   从社会生态层面：在政府主导下，制定高级别智能网联汽车自动驾驶安全认证标准与监管规范，搭建智慧城市-智能交通-智能汽车融合的社会生态平台，实施车路云一体化技术方案，为自动驾驶提供综合安全保障；

2. 行业平台层面：实施自动驾驶安全保障行业联合行动，协同整车和零部件企业共同研究自动驾驶安全架构，为自动驾驶安全系统研发与认证制定统一的标准和规范，保障高级别智能网联汽车产业健康发展。

3. 技术系统层面：实施功能安全、预期功能安全与信息安全技术融化一体化，构建与自动驾驶域控制器平行架构的、具备“驾驶安全状态监督”与“驾驶安全增强” 功能的独立安全域控制器，形成自动驾驶过程安全的“监-防-控-管”技术平台，实现智能网联汽车全生命周期安全防护。

2

—

在开发流程中嵌入安全体系

除了上述几个安全体系的融合，如何在线下开发过程中将各体系的流程嵌入到车辆 V字型的开发流程中也是一大难点。

“例如车企在开发城市NOA功能时，就需要在非自行开发流程过程中，把功能安全和预期功能安全体系化引入。”清华大学车辆与运载学院副研究员，CAICV预期功能安全工作组执行副组长王红说道，“目前国内主机厂仅是功能安全这一项流程的贯穿就做得不是特别完美，预期功能安全更是处于相对初步的阶段。”

△清华大学车辆与运载学院副研究员，CAICV预期功能安全工作组执行副组长王红

这里的体系化引入包括功能设计、安全目标制定，然后再到功能的改进，最后还要经过测试和验证，以达到功能安全和预期功能安全可以释放的水平。

如此之外，如何在线上对功能安全、预期功能安全风险以及将来可能引入的网络安全进行监管也是一大难点。“这就需要我们提出一个独立于自动驾驶系统之外的，预期功能安全或功能安全，甚至是信息安全都融合在一起的安全独立的预控器，从线下安全开发和线上安全成长两个方面同步加强。”王红说道。

而在雷剑梅看来，将不同的安全体系嵌入V字开发流程的过程中，这些安全要求也在改变着传统的V字开发流程。

“比如信息网络安全光用V是描述不了的，它并不是在车辆销售后就截止，而是存续在整个车辆的生命周期，车企需要保持警惕应对整个周期中可能出现的安全漏洞。”

这样的模式必然带来成本的增加，“但也可能带来新的利润点，比如某些体验好的软件升级，可以是付费的，这也是为什么整车企业很在意OTA，未来它有可能成为一个利润来源。”雷剑梅解释道。

3

—

数据的统一

对于预期功能安全的测试评价一直是预期功能安全发展中的重点难点，其中的关键是场景库的建设，而如何快速挖掘并高度覆盖长尾场景是一个比较难的挑战。

“场景库是为了后续提供测试评价工具链的一个起步。目前我们所在经营的一个智能网联汽车预期安全工作组，也是开发了一个开源的预期功能安全场景库平台，后续将逐步让场景库的工具链直接服务于测试评价，把整个流程打通。”王红介绍说。

这并不是一项简单的工作。

不同车企的传感器配置方案不同，数据标注标准也不同，因此数据并不通用。“目前我们是利用产品库的要素、存储方式抽离出共性，通过OpenX系列标准（什么是OpenX系列标准请参考《OpenX系列标准：自动驾驶仿真的通行密钥》）作为中间桥梁，不同的厂家就可以通过共性的标准去应用了。但通过Open的标准，依然不能够完全解决问题，因为对于虚拟仿真来说，不能够测试感知的问题。如果感知出了问题，我们用什么样的方式去有效地进行测试，会是接下来要攻关的课题。

针对数据通用性，一汽集团研发总院副院长、高端汽车集成与控制全国重点实验室主任李丹也提到，目前，各家车企关于自动驾驶或联网车的数据标准都不相同，并不通用，难以发挥更大的价值。

△一汽集团研发总院副院长、高端汽车集成与控制全国重点实验室主任李丹

“虽说数据都是海量的，但别人的数据对我们没有用，因为还得按自己的标准重新再做一遍。所以我也呼吁政府或者是主管部门，能够把国内的一些企业或者企业联盟运行中或者驾驶的一些数据，或者是机械、结构方面的数据能统一了，这样大家都可以相互授权使用，让中国汽车工业的自动驾驶水平能得到普遍的提高。”