缺乏审查会导致AV安全分数的降低

自动驾驶汽车 (AV) 已经出现在美国各个城市的公共街道和道路上。监管机构——以及公众——有理由相信这些车辆的安全性和可靠性吗？我们没有得到足够的信息来开始信任任何开发 AV 技术或 AV 本身的公司，主要是因为负责汽车安全的机构正在让科技公司和 AV 汽车制造商免于审查。

监管机构和其他感兴趣的观察员唯一可以获得的“安全”信息是开发车辆的公司向国家公路运输安全委员会提交的报告。它们可以在 NHTSA 的网页上作为“自愿安全自我评估”（VSSA）文件找到。

NHTSA 奉行“创新”的口号，没有要求公司报告任何特定数据的义务，更不用说标准化格式的数据了。（但是，NHTSA 确实提供了自愿指南和VSSA 模板。）如名称所示，VSSA 是一种自愿的自我评估。公司甚至没有义务提交 VSSA。许多人不打扰。

与联邦药物管理局 (FDA) 和联邦航空管理局 (FAA) 要求在推出产品之前证明符合严格的行业标准的药品供应商和飞机制造商相比，这形成了鲜明的对比。

对此，Semicast Research 的首席分析师科林·巴恩登告诉我们：“FDA 不允许在随机路人身上开发新药，FAA 也不允许在人口稠密地区测试实验性飞机设计。” 他强调说：“无休止地沿着相同的路线行驶，没有发生任何不好的事情，也没有人被杀，这并不能证明新技术的安全性。NHTSA（和州监管机构）有责任确保公众的安全，而不是充当在未经同意的受试者上测试实验技术的推动者。”

在泡沫中

无论如何，美国的 AV 行业生活在一个泡沫中。

首先，自动驾驶汽车制造商可以使用自己的标准和程序有效地自我认证他们的自动驾驶汽车。其次，他们没有义务提交 VSSA。第三，一些 AV 开发人员甚至没有在他们的报告中提及任何与安全相关的行业标准，包括 ISO 26262（功能安全）、ISO 21448（预期功能安全）和 ANSI/UL 4600。即使他们碰巧引用了这些标准，他们往往只是顺便这样做。

一小部分公司选择提交报告。截至 2021 年 4 月 28 日，已有 55 家公司获得了加州机动车辆部的测试自动驾驶汽车（由驾驶员监控）的许可。在这 55 家公司中，迄今为止只有 15 家公司向 NHTSA 提交了 VSSA。

共提交了 24 份 VSSA 文件。造成数字差异的原因有两个：并非所有在美国进行测试的公司都在加利福尼亚进行测试，并且有两次单一公司提交了两份 VSSA 报告的情况。

EE Times审查了 AV 开发人员在 NHTSA 网站上提交的每个 VSSA。每家公司都在谈论“拯救生命”。他们表示，“赢得公众信任”很重要。每家公司都表示“透明”是其发布安全报告的目标。

由于这种自我祝贺缺乏严谨性，我们决定创建一个记分卡，以尽可能了解每家花时间提交 VSSA 的公司“认真对待安全”的真正含义。我们的检查重点关注公司对 ISO 26262、ISO 21448 或 ANSI/UL 4600 等行业标准的处理方法——因为每个标准都可以发挥作用，并且都适用于任何自动驾驶汽车。（编者注：请参阅本页下表中的记分卡）

在 24 份安全报告中的一个极端，有 3 份根本没有提及任何行业标准。这些是 Zoox（现在是亚马逊的一部分）、Local Motors 和 Apple。

另一端是欧洲汽车制造商宝马、梅赛德斯-奔驰和博世。他们是行业标准的大力推动者。

点击查看完整大小的图片

（来源：安全自评报告）

在这些极端之间的许多变化中，许多 VSSA 申报者提到了 ISO 26262，但避免声称他们的车辆符合标准。

#ISO洗涤

正如 Edge Case Research 的联合创始人兼首席技术官兼卡内基梅隆大学教授 Philip Koopman 所指出的那样，“许多 VSSA 进行标准点名，但并未真正承诺在提及的标准中做任何具体的事情。相当于挑选标准的模糊陈述并不能真正告诉我们公司在安全方面做了什么。” 他称之为“#ISOwashing”。

例如，Waymo 在其 2020 年 9 月的安全报告中没有提及任何标准。在推进其系统安全计划时，Waymo 表示：“作为 2015 年第一家在公共道路上完成全自动驾驶旅行的公司，我们在 Waymo 编写了自己的剧本。”

在 2020 年 10 月发布的随附文件“Waymo 的安全方法和安全准备情况确定（30 页）”中，该公司引用了许多标准并解释了为什么它们不完全依赖这些标准。

在 ISO 26262 上：

ISO 26262 为 Waymo 的危害分析流程提供了重要见解。然而，Waymo 并不严格或完全依赖 ISO 26262 的原则，这些原则并不完全适合 4 级 ADS（自动驾驶系统）。

当被要求解开这个包装时，Koopman 说：“在解释这样的陈述时，考虑它所说的和没有说的内容是很重要的。”

Koopman 翻译：“Waymo 似乎表示他们注意到 ISO 26262 第 3 部分中涵盖危险和风险分析的部分。然而，因为这不是一个完美的配合，他们不依赖它。未说明的是他们是否考虑了 ISO 26262 的许多其他部分。”

他补充说：“也没有说明他们实际依赖的原则，因为他们似乎对完善的 ISO 26262 功能安全标准中的原则不满意。”

他总结道：“现实情况是，ISO 26262 应该适用于他们车辆的许多方面，就像它适用于任何其他车辆一样。由于 ISO 26262 是可定制的，因此很难理解他们为什么不对其进行调整以适应他们的需求。”

然后是阿尔戈艾的案例。在该公司最近发布的安全报告中写道：“我们的系统工程方法是围绕两个关键的ISO标准建立的：ISO 26262和ISO 21448。”

库普曼说：“虽然这种情绪似乎是出于好意，但读者无法知道这在具体意义上意味着什么。”他承认， “这当然给人的印象是他们都符合这两个标准，但如果这是真的，他们为什么不说‘符合’呢？我认为他们会对安全做出最有力的真实声明，那要么是‘符合’，要么是不那么时髦的‘跟随’。如果他们的声明比这两个词中的任何一个都弱，他们就不应该指望获得一个安全的荣誉荣格索赔。”

《EE时报》联系了阿尔戈艾，以澄清该公司的声明。一位发言人告诉我们，“虽然我们的安全案例尚未完成，但我们的意图是遵守，这就是为什么我们以这样的方式撰写声明。”

现有的标准是否让AV行业的玩家认为它们与他们在L4和L5汽车中寻求的“自主性”无关？

库普曼明确表示：“ISO 26262解决了功能安全问题，值得在L4/L5车辆中占有一席之地。对于L4/L5，您需要的是对预期功能的安全性（SOTIF/ISO 21448）和系统级安全性（ANSI/UL 4600）的额外覆盖。您需要覆盖所有这些部分。”

在自动驾驶汽车测试中目前没有监督、没有验证和验证的情况下，一个基本问题——如何在自动驾驶汽车在道路上扩散之前确保其安全——成为一个难题中的谜。

尽管存在相互竞争和不一致的自动驾驶汽车标准，但“存在解决这个问题的方法：接受专家——学者、工程师、汽车制造商和行业代表——共同制定技术中立的安全标准已经采取的方法，”最近写道Jack Weast，英特尔研究员，即将出台的 IEEE P2846 标准（与安全相关的自动车辆行为模型的假设）主席。

韦斯特并不孤单。

鉴于行业本身花费了大量的工程资源来创建这些标准，Koopman 问道：“他们为什么不遵循这些标准？”

在所有提交 VSSA 的 AV 公司中，Nvidia 出现在名单上令人有点意外。这表明 Nvidia 有志于开发一个 AV 平台（配备强大的 SoC 和 AV 软件堆栈），汽车制造商可以简单地将其放入车辆中进行 AV 发布。

英伟达在其安全报告中写道：“英伟达 Drive 架构使汽车制造商能够制造和部署功能安全的自动驾驶汽车和卡车，并且可以证明其符合 ISO 26262 和 ISO/DIS 21448、NHTSA 等国际安全标准。建议和全球 NCAP 要求。”

点击查看完整大小的图片

（来源：英伟达自动驾驶安全报告）

我们发现这家 GPU 巨头的说法有点问题。Nvidia 向 ISO 26262 低头并不意味着包含 Nvidia 芯片的 AV 必须符合 ISO 26262。

Koopman 证实，“是的，‘使能’意味着由客户实际遵从。” 他解释说，例如，如果 Nvidia 销售一种让客户“在模拟中”符合 21448 的方法，那么最终产品在现实世界中是否符合 21448 的问题就会出现。

Koopman 补充说：“在 Nvidia 之外，我们已经看到了关于 ISO 26262 一致性的零散声明，但他们实际上只是在谈论芯片，甚至不是所有硬件。”

安全报告是营销手册

阅读 24 份安全报告会让人不可避免地感觉到这些报告本质上是营销手册。

巴恩登指出，它们“完全可以互换。如果我收到的原始文本来自 Motional、Waymo 和 Zoox 宣传册中的公司名称，我无法区分它们。”

问题不仅仅在于报告中过多的光鲜图片。缺乏技术实质。Barnden 说：“我不清楚什么指标可以衡量过去 12 个月取得的进展，也不清楚明年发布的新安全报告中哪些信息会发生重大变化。无休止地重复‘安全’这个词本身并不能使产品或过程安全。”

以 Waymo 为例。Barnden 说：“2020 年，Waymo 向加利福尼亚 DMV 报告了 21 次脱离接触，行驶里程超过 628,839 英里，每 30,000 英里就有一次脱离接触。但正如我们在最近的一段视频中看到的那样，一辆“完全无人驾驶”的 Waymo 车辆完全被一个静态交通锥所迷惑。有一次，[AV] 在高速公路上倒车，完全封锁了一条车道，迫使人类司机绕开它。这发生在 Waymo 在亚利桑那州钱德勒附近的主要测试区域。事实上，脱离接触报告毫无意义。这些车辆显然还不够安全，无法在没有训练有素的人类安全驾驶员的情况下在公共道路上行驶。”

Barnden 指的是 YouTuber JJRick 拍摄的 Waymo Driver 的镜头，他作为顾客在 Chandler 乘坐 Waymo 无人驾驶出租车。

Waymo 的一个案例

考虑到 Waymo 自 2015 年以来一直上路，令人惊讶的是，它的自动驾驶出租车仍然被交通锥所迷惑——这似乎很难被称为“边缘案例”。

近几个月来，曾经被视为明显的 AV 行业领导者的 Waymo 已经失去了六位高层管理人员，包括其 CEO、CFO、财务主管、制造主管、首席安全官和系统安全主管。可以理解，这样的人员外流引起了人们的关注，并为硅谷的八卦工厂注入了活力。

这使我们回到了最初的观点。我们对 Waymo Driver 所取得的进步真正了解多少？Waymo 的安全报告特别不公开，让观察者依赖 YouTuber 作为最先进的驱动程序的关键来源。并不完全令人放心。

沉重的尾巴

对于许多 AV 开发人员来说，他们还需要多长时间才能推出完全自动驾驶汽车。安全报告不仅应包括他们的安全声明，还应包括他们面临的挑战以及他们计划如何应对这些挑战。

Kodiak 是一家声称更高的测试里程并不一定意味着更高的安全性的公司。该公司在其安全报告中写道：“当然，这种严格的方法意味着，我们可能永远不会像我们的一些竞争对手那样记录那么多的测试里程。我们认为我们较低的里程数不是风险，而是我们对安全承诺的标志。”

奥罗拉同意。“……我们将真实世界测试视为验证和提高更快速离线测试保真度的机制。这一策略使我们能够控制道路测试车队的规模。我们通过追求里程质量而不是数量来限制测试车辆行驶的距离；也就是说，我们寻找有趣的里程，而不仅仅是追求大量的里程。”

关于边缘案例研究的重要性，库普曼指出，问题不仅仅是需要修复的意外事件（不安全事件）的频率。更重要的是固定人口的样子。惊喜各不相同。库普曼说：“如果存在大量问题，那么在解决所有问题方面取得进展将需要很长时间。”。很可能你永远也到不了那里。

库普曼在他的论文中写道：

创建安全的自动驾驶汽车不仅需要针对实际操作场景进行广泛的培训和测试，还需要处理不确定性。现实世界中可能会出现许多罕见但危险的事件，这表明这些系统在遇到新的、不可预见的情况时需要具有鲁棒性。

从观察到的道路数据中归纳出各种异常情况的假设将有所帮助。然而，现实世界中惊喜的厚尾分布可能会使使用简单的驱动/失败/修复开发过程来实现可接受的安全性变得不可能。

自动驾驶汽车需要在处理新颖性方面具有鲁棒性，此外还需要一种方法来检测它们遇到的意外情况，以便在面临不确定性时保持安全。

拜登政府

NHTSA对汽车行业的放任政策臭名昭著。几十年来，该机构的利益与汽车制造商和科技公司完全一致。

拜登政府对其解决自动驾驶汽车安全问题的方法一无所知。新任交通部长皮特·布提吉格（PeteButtigieg）是否会引导国家公路交通安全管理局（NHTSA）走向一个新的方向，例如，让科技公司和汽车制造商的视听安全声明更加透明和负责？

当国家公路交通安全管理局回应其在前一届政府发布的关于自动驾驶系统的拟议规则制定通知（ANPRM）之前收集的公众评论时，可能会出现第一条线索。评论期于4月1日结束。

当被问及其时间表时，NHTSA 告诉EE Times，它可能会在“审查收到的针对自动驾驶系统 (ADS) 安全原则的 ANPRM 的公众意见”后做出回答。

然后，该机构将确定其下一步行动。“NHTSA 未来 12 个月的监管计划将于今年春季晚些时候在监管行动的半年度统一议程上公布，”她说。那还没有公布。

一场灾难性的事件发生了

许多 AV 行业观察家都知道，刚刚起步的行业距离政府最终决定实施更严格的规则只有一个新闻事件。

正如巴恩登所指出的，“如果一辆 AV 测试级别的车辆杀死了一个行人或一名儿童，那将直接导致拜登总统。” 他指出，当机动特性增强系统 (MCAS) 设计中的基本缺陷暴露时，整个波音 737 Max 机队都被 FAA 停飞。“这里的安全问题很明确，那么为什么要为 AV 开发提供免费通行证？一个行业在实际上危及生命的同时，为“拯救生命”而哀号是站不住脚的。政治风险是巨大的，政府现在需要醒悟并表现出果断的领导力。”

已经有先例了。当 Elaine Herzberg 被 Uber 测试 AV 杀死时，事故促使 SAE 制定了SAE J3018，这是 SAE 3、4 和 5 级原型自动驾驶系统的安全道路测试指南。

在 Uber 发生致命事故一年后，仅限受邀参加的汽车行业组织自动车辆安全联盟 (AVSC) 开始“根据措施类型记录并公开与车载后备测试驾驶员相关的最佳实践和SAE 自动化办公室主任 Ed Straub 表示。他将 AVSC 的使命描述为“让公众对 SAE L4 和 L5 自动驾驶汽车产生信任”。所有 AVSC 成员都在为各种应用进行道路 ADS 测试。

但事情是这样的：当自动驾驶汽车公司开始向城市和州寻求在公共道路上试驾自动驾驶汽车的许可时，为什么地方监管机构不要求自动驾驶汽车运营商遵守 J3018 标准？

施特劳布说：“我无法与不同州和城市的思想交流。” 他推测，对该标准的认识可能没有渗透到“可能将其用作参考的合适的人”。

但他也为汽车行业的立场进行了辩护：“SAE 国际标准是自愿性的，并且已经存在了一百多年，除非在 FMVSS 等法规中明确引用。” 他指出，“与自动驾驶相关的技术和测试正在以我们前所未见的速度发生变化。正因为如此，开放的行业标准很难跟上步伐……因为自愿性行业标准邀请所有感兴趣的利益相关者来制定它们，它们可能需要更长的时间来制定。“要求”合规的法规（如 FMVSS）可能需要更长的时间。”

然而，严肃地说，什么样的行业会花费时间和资源为其所有成员制定安全标准，但却对执行不感兴趣？除了制造汽车的人之外，道路规则如何适用于所有人？

******************************************

下表由 EE Times 整理。Glossy Pix Ratio (GPR) 是报告中专门用于宣传摄影的页数与专门用于文本的页数的比率。因此，与页数较少但 GPR 较低的报告相比，具有较高页数和较高 GPR 的报告可能包含较少的信息。

接下来的四列计算任何给定报告包含“标准”一词或提及特定标准的次数。VSSA 分数是对 VSSA 的评估。

（此表按部分显示；单击某个部分可查看该部分的大图。）

VSSA 安全报告记分卡

审核编辑 黄昊宇