自动驾驶道阻且长，功能安全举足轻重

来源：高级投资经理 姜辉2019-03-15

功能安全（Functional Safety），大家初听可能会很陌生，其实它已经深入我们生活中的很多领域，大到航空、高铁、汽车或轨道交通，小到电梯、扶梯及工业自动化的很多场景我们都会遇到。

功能安全的要求是无论零部件或者安全相关控制系统发生的失效是硬件随机失效还是系统失效，都需要使受控设备可靠地进入和维持安全状态，避免对人员或者环境产生危害。

基于此，上周埃塞俄比亚航空的空难是典型的波音在功能安全设计上的问题，回顾一下功能安全的定义，它要求无论是硬件随机失效（空速管、仰角传感器失效）还是系统失效（为了避免大迎角失速导致急坠，进而强制进入自动模式压低机头），都要使设备可靠进入和维持安全状态。

波音的设计问题出现在几个方面：第一，缺乏硬件多备份及相互交叉验证，当中只要一个传感器出现误判就进入错误状态；第二，强制切换自动模式，主动介入并不是不可以，但是完全摒除人为干预的可行性是否妥当也值得商榷。

上述案例理论上来说在做失效分析的时候应该都做过评分，按照发生概率，灾难等级及可控性来打分。很遗憾的是，上述案例的应对明显不符合航空器对功能安全的要求。

让我们来看看行业里都有哪些功能安全标准：

• 工业IEC61508

• 航空DO178

• 汽车ISO26262

• 轨道交通EN50126

这里面，IEC61508是开山鼻祖，其他的行业标准多多少少会参考它。比如汽车功能安全标准，ISO26262，就是从IEC61508里衍生出来的，其功能安全等级分为四档。分别是ASIL-A到D。ASIL是Automotive Safety Integration Level，可以译为汽车安全完整性等级。ASIL-D是最严苛的。

影响ASIL等级的三个基本要素是严重度（Severity）、风险敞口（Exposure）和可控性（Controllability）。严重度表示一旦风险发生，相关人员、财产将遭受损害的程度；风险敞口表示当风险出现时，人员或者财产可能受到影响的概率；可控性表示风险出现时，驾驶员及系统能在多大程度上可以采取主动措施避免损害的发生。

通过对上述三个要素的评估，可以得出系统的安全等级。通常来讲，车身电子，包括雨刮，照明之类的，达到ASIL-B就OK了，和底盘安全、传动相关的，通常需要达到ASIL-D的标准。

汽车未来的自动驾驶或者高级别辅助驾驶，其对汽车电子的功能安全要求介于ASIL-B和D之间。有鉴于目前自动驾驶应用最成熟的航空器领域尚有很多需要完善的地方。自动驾驶绝不是AI处理、算法的迭代这么简单。

为了提升系统安全性，需要硬件及软件有足够的冗余度。从硬件来看，多传感器的融合、交叉验证是趋势，如摄像头、毫米波、激光雷达互为犄角，取长补短。对于算法及控制策略，需要提炼足够多的corner case以应对Severity、Exposure、Controllability的覆盖。

自动驾驶道阻且长，在解决功能实现之后，功能安全将是未来的重心。希望我们能为科技造福人类尽一份绵薄之力。