自動駕駛汽車 (AV) 已經出現在美國各個城市的公共街道和道路上。監管機構——以及公眾——有理由相信這些車輛的安全性和可靠性嗎？我們沒有得到足夠的信息來開始信任任何開發 AV 技術或 AV 本身的公司，主要是因為負責汽車安全的機構正在讓科技公司和 AV 汽車制造商免于審查。

監管機構和其他感興趣的觀察員唯一可以獲得的“安全”信息是開發車輛的公司向國家公路運輸安全委員會提交的報告。它們可以在 NHTSA 的網頁上作為“自愿安全自我評估”（VSSA）文件找到。

NHTSA 奉行“創新”的口號，沒有要求公司報告任何特定數據的義務，更不用說標準化格式的數據了。（但是，NHTSA 確實提供了自愿指南和VSSA 模板。）如名稱所示，VSSA 是一種自愿的自我評估。公司甚至沒有義務提交 VSSA。許多人不打擾。

與聯邦藥物管理局 (FDA) 和聯邦航空管理局 (FAA) 要求在推出產品之前證明符合嚴格的行業標準的藥品供應商和飛機制造商相比，這形成了鮮明的對比。

對此，Semicast Research 的首席分析師科林·巴恩登告訴我們：“FDA 不允許在隨機路人身上開發新藥，FAA 也不允許在人口稠密地區測試實驗性飛機設計。” 他強調說：“無休止地沿著相同的路線行駛，沒有發生任何不好的事情，也沒有人被殺，這并不能證明新技術的安全性。NHTSA（和州監管機構）有責任確保公眾的安全，而不是充當在未經同意的受試者上測試實驗技術的推動者。”

在泡沫中

無論如何，美國的 AV 行業生活在一個泡沫中。

首先，自動駕駛汽車制造商可以使用自己的標準和程序有效地自我認證他們的自動駕駛汽車。其次，他們沒有義務提交 VSSA。第三，一些 AV 開發人員甚至沒有在他們的報告中提及任何與安全相關的行業標準，包括 ISO 26262（功能安全）、ISO 21448（預期功能安全）和 ANSI/UL 4600。即使他們碰巧引用了這些標準，他們往往只是順便這樣做。

一小部分公司選擇提交報告。截至 2021 年 4 月 28 日，已有 55 家公司獲得了加州機動車輛部的測試自動駕駛汽車（由駕駛員監控）的許可。在這 55 家公司中，迄今為止只有 15 家公司向 NHTSA 提交了 VSSA。

共提交了 24 份 VSSA 文件。造成數字差異的原因有兩個：并非所有在美國進行測試的公司都在加利福尼亞進行測試，并且有兩次單一公司提交了兩份 VSSA 報告的情況。

EE Times審查了 AV 開發人員在 NHTSA 網站上提交的每個 VSSA。每家公司都在談論“拯救生命”。他們表示，“贏得公眾信任”很重要。每家公司都表示“透明”是其發布安全報告的目標。

由于這種自我祝賀缺乏嚴謹性，我們決定創建一個記分卡，以盡可能了解每家花時間提交 VSSA 的公司“認真對待安全”的真正含義。我們的檢查重點關注公司對 ISO 26262、ISO 21448 或 ANSI/UL 4600 等行業標準的處理方法——因為每個標準都可以發揮作用，并且都適用于任何自動駕駛汽車。（編者注：請參閱本頁下表中的記分卡）

在 24 份安全報告中的一個極端，有 3 份根本沒有提及任何行業標準。這些是 Zoox（現在是亞馬遜的一部分）、Local Motors 和 Apple。

另一端是歐洲汽車制造商寶馬、梅賽德斯-奔馳和博世。他們是行業標準的大力推動者。

點擊查看完整大小的圖片

（來源：安全自評報告）

在這些極端之間的許多變化中，許多 VSSA 申報者提到了 ISO 26262，但避免聲稱他們的車輛符合標準。

#ISO洗滌

正如 Edge Case Research 的聯合創始人兼首席技術官兼卡內基梅隆大學教授 Philip Koopman 所指出的那樣，“許多 VSSA 進行標準點名，但并未真正承諾在提及的標準中做任何具體的事情。相當于挑選標準的模糊陳述并不能真正告訴我們公司在安全方面做了什么。” 他稱之為“#ISOwashing”。

例如，Waymo 在其 2020 年 9 月的安全報告中沒有提及任何標準。在推進其系統安全計劃時，Waymo 表示：“作為 2015 年第一家在公共道路上完成全自動駕駛旅行的公司，我們在 Waymo 編寫了自己的劇本。”

在 2020 年 10 月發布的隨附文件“Waymo 的安全方法和安全準備情況確定（30 頁）”中，該公司引用了許多標準并解釋了為什么它們不完全依賴這些標準。

在 ISO 26262 上：

ISO 26262 為 Waymo 的危害分析流程提供了重要見解。然而，Waymo 并不嚴格或完全依賴 ISO 26262 的原則，這些原則并不完全適合 4 級 ADS（自動駕駛系統）。

當被要求解開這個包裝時，Koopman 說：“在解釋這樣的陳述時，考慮它所說的和沒有說的內容是很重要的。”

Koopman 翻譯：“Waymo 似乎表示他們注意到 ISO 26262 第 3 部分中涵蓋危險和風險分析的部分。然而，因為這不是一個完美的配合，他們不依賴它。未說明的是他們是否考慮了 ISO 26262 的許多其他部分。”

他補充說：“也沒有說明他們實際依賴的原則，因為他們似乎對完善的 ISO 26262 功能安全標準中的原則不滿意。”

他總結道：“現實情況是，ISO 26262 應該適用于他們車輛的許多方面，就像它適用于任何其他車輛一樣。由于 ISO 26262 是可定制的，因此很難理解他們為什么不對其進行調整以適應他們的需求。”

然后是阿爾戈艾的案例。在該公司最近發布的安全報告中寫道：“我們的系統工程方法是圍繞兩個關鍵的ISO標準建立的：ISO 26262和ISO 21448。”

庫普曼說：“雖然這種情緒似乎是出于好意，但讀者無法知道這在具體意義上意味著什么。”他承認， “這當然給人的印象是他們都符合這兩個標準，但如果這是真的，他們為什么不說‘符合’呢？我認為他們會對安全做出最有力的真實聲明，那要么是‘符合’，要么是不那么時髦的‘跟隨’。如果他們的聲明比這兩個詞中的任何一個都弱，他們就不應該指望獲得一個安全的榮譽榮格索賠。”

《EE時報》聯系了阿爾戈艾，以澄清該公司的聲明。一位發言人告訴我們，“雖然我們的安全案例尚未完成，但我們的意圖是遵守，這就是為什么我們以這樣的方式撰寫聲明。”

現有的標準是否讓AV行業的玩家認為它們與他們在L4和L5汽車中尋求的“自主性”無關？

庫普曼明確表示：“ISO 26262解決了功能安全問題，值得在L4/L5車輛中占有一席之地。對于L4/L5，您需要的是對預期功能的安全性（SOTIF/ISO 21448）和系統級安全性（ANSI/UL 4600）的額外覆蓋。您需要覆蓋所有這些部分。”

在自動駕駛汽車測試中目前沒有監督、沒有驗證和驗證的情況下，一個基本問題——如何在自動駕駛汽車在道路上擴散之前確保其安全——成為一個難題中的謎。

盡管存在相互競爭和不一致的自動駕駛汽車標準，但“存在解決這個問題的方法：接受專家——學者、工程師、汽車制造商和行業代表——共同制定技術中立的安全標準已經采取的方法，”最近寫道Jack Weast，英特爾研究員，即將出臺的 IEEE P2846 標準（與安全相關的自動車輛行為模型的假設）主席。

韋斯特并不孤單。

鑒于行業本身花費了大量的工程資源來創建這些標準，Koopman 問道：“他們為什么不遵循這些標準？”

在所有提交 VSSA 的 AV 公司中，Nvidia 出現在名單上令人有點意外。這表明 Nvidia 有志于開發一個 AV 平臺（配備強大的 SoC 和 AV 軟件堆棧），汽車制造商可以簡單地將其放入車輛中進行 AV 發布。

英偉達在其安全報告中寫道：“英偉達 Drive 架構使汽車制造商能夠制造和部署功能安全的自動駕駛汽車和卡車，并且可以證明其符合 ISO 26262 和 ISO/DIS 21448、NHTSA 等國際安全標準。建議和全球 NCAP 要求。”

點擊查看完整大小的圖片

（來源：英偉達自動駕駛安全報告）

我們發現這家 GPU 巨頭的說法有點問題。Nvidia 向 ISO 26262 低頭并不意味著包含 Nvidia 芯片的 AV 必須符合 ISO 26262。

Koopman 證實，“是的，‘使能’意味著由客戶實際遵從。” 他解釋說，例如，如果 Nvidia 銷售一種讓客戶“在模擬中”符合 21448 的方法，那么最終產品在現實世界中是否符合 21448 的問題就會出現。

Koopman 補充說：“在 Nvidia 之外，我們已經看到了關于 ISO 26262 一致性的零散聲明，但他們實際上只是在談論芯片，甚至不是所有硬件。”

安全報告是營銷手冊

閱讀 24 份安全報告會讓人不可避免地感覺到這些報告本質上是營銷手冊。

巴恩登指出，它們“完全可以互換。如果我收到的原始文本來自 Motional、Waymo 和 Zoox 宣傳冊中的公司名稱，我無法區分它們。”

問題不僅僅在于報告中過多的光鮮圖片。缺乏技術實質。Barnden 說：“我不清楚什么指標可以衡量過去 12 個月取得的進展，也不清楚明年發布的新安全報告中哪些信息會發生重大變化。無休止地重復‘安全’這個詞本身并不能使產品或過程安全。”

以 Waymo 為例。Barnden 說：“2020 年，Waymo 向加利福尼亞 DMV 報告了 21 次脫離接觸，行駛里程超過 628,839 英里，每 30,000 英里就有一次脫離接觸。但正如我們在最近的一段視頻中看到的那樣，一輛“完全無人駕駛”的 Waymo 車輛完全被一個靜態交通錐所迷惑。有一次，[AV] 在高速公路上倒車，完全封鎖了一條車道，迫使人類司機繞開它。這發生在 Waymo 在亞利桑那州錢德勒附近的主要測試區域。事實上，脫離接觸報告毫無意義。這些車輛顯然還不夠安全，無法在沒有訓練有素的人類安全駕駛員的情況下在公共道路上行駛。”

Barnden 指的是 YouTuber JJRick 拍攝的 Waymo Driver 的鏡頭，他作為顧客在 Chandler 乘坐 Waymo 無人駕駛出租車。

Waymo 的一個案例

考慮到 Waymo 自 2015 年以來一直上路，令人驚訝的是，它的自動駕駛出租車仍然被交通錐所迷惑——這似乎很難被稱為“邊緣案例”。

近幾個月來，曾經被視為明顯的 AV 行業領導者的 Waymo 已經失去了六位高層管理人員，包括其 CEO、CFO、財務主管、制造主管、首席安全官和系統安全主管。可以理解，這樣的人員外流引起了人們的關注，并為硅谷的八卦工廠注入了活力。

這使我們回到了最初的觀點。我們對 Waymo Driver 所取得的進步真正了解多少？Waymo 的安全報告特別不公開，讓觀察者依賴 YouTuber 作為最先進的驅動程序的關鍵來源。并不完全令人放心。

沉重的尾巴

對于許多 AV 開發人員來說，他們還需要多長時間才能推出完全自動駕駛汽車。安全報告不僅應包括他們的安全聲明，還應包括他們面臨的挑戰以及他們計劃如何應對這些挑戰。

Kodiak 是一家聲稱更高的測試里程并不一定意味著更高的安全性的公司。該公司在其安全報告中寫道：“當然，這種嚴格的方法意味著，我們可能永遠不會像我們的一些競爭對手那樣記錄那么多的測試里程。我們認為我們較低的里程數不是風險，而是我們對安全承諾的標志。”

奧羅拉同意。“……我們將真實世界測試視為驗證和提高更快速離線測試保真度的機制。這一策略使我們能夠控制道路測試車隊的規模。我們通過追求里程質量而不是數量來限制測試車輛行駛的距離；也就是說，我們尋找有趣的里程，而不僅僅是追求大量的里程。”

關于邊緣案例研究的重要性，庫普曼指出，問題不僅僅是需要修復的意外事件（不安全事件）的頻率。更重要的是固定人口的樣子。驚喜各不相同。庫普曼說：“如果存在大量問題，那么在解決所有問題方面取得進展將需要很長時間。”。很可能你永遠也到不了那里。

庫普曼在他的論文中寫道：

創建安全的自動駕駛汽車不僅需要針對實際操作場景進行廣泛的培訓和測試，還需要處理不確定性。現實世界中可能會出現許多罕見但危險的事件，這表明這些系統在遇到新的、不可預見的情況時需要具有魯棒性。

從觀察到的道路數據中歸納出各種異常情況的假設將有所幫助。然而，現實世界中驚喜的厚尾分布可能會使使用簡單的驅動/失敗/修復開發過程來實現可接受的安全性變得不可能。

自動駕駛汽車需要在處理新穎性方面具有魯棒性，此外還需要一種方法來檢測它們遇到的意外情況，以便在面臨不確定性時保持安全。

拜登政府

NHTSA對汽車行業的放任政策臭名昭著。幾十年來，該機構的利益與汽車制造商和科技公司完全一致。

拜登政府對其解決自動駕駛汽車安全問題的方法一無所知。新任交通部長皮特·布提吉格（PeteButtigieg）是否會引導國家公路交通安全管理局（NHTSA）走向一個新的方向，例如，讓科技公司和汽車制造商的視聽安全聲明更加透明和負責？

當國家公路交通安全管理局回應其在前一屆政府發布的關于自動駕駛系統的擬議規則制定通知（ANPRM）之前收集的公眾評論時，可能會出現第一條線索。評論期于4月1日結束。

當被問及其時間表時，NHTSA 告訴EE Times，它可能會在“審查收到的針對自動駕駛系統 (ADS) 安全原則的 ANPRM 的公眾意見”后做出回答。

然后，該機構將確定其下一步行動。“NHTSA 未來 12 個月的監管計劃將于今年春季晚些時候在監管行動的半年度統一議程上公布，”她說。那還沒有公布。

一場災難性的事件發生了

許多 AV 行業觀察家都知道，剛剛起步的行業距離政府最終決定實施更嚴格的規則只有一個新聞事件。

正如巴恩登所指出的，“如果一輛 AV 測試級別的車輛殺死了一個行人或一名兒童，那將直接導致拜登總統。” 他指出，當機動特性增強系統 (MCAS) 設計中的基本缺陷暴露時，整個波音 737 Max 機隊都被 FAA 停飛。“這里的安全問題很明確，那么為什么要為 AV 開發提供免費通行證？一個行業在實際上危及生命的同時，為“拯救生命”而哀號是站不住腳的。政治風險是巨大的，政府現在需要醒悟并表現出果斷的領導力。”

已經有先例了。當 Elaine Herzberg 被 Uber 測試 AV 殺死時，事故促使 SAE 制定了SAE J3018，這是 SAE 3、4 和 5 級原型自動駕駛系統的安全道路測試指南。

在 Uber 發生致命事故一年后，僅限受邀參加的汽車行業組織自動車輛安全聯盟 (AVSC) 開始“根據措施類型記錄并公開與車載后備測試駕駛員相關的最佳實踐和SAE 自動化辦公室主任 Ed Straub 表示。他將 AVSC 的使命描述為“讓公眾對 SAE L4 和 L5 自動駕駛汽車產生信任”。所有 AVSC 成員都在為各種應用進行道路 ADS 測試。

但事情是這樣的：當自動駕駛汽車公司開始向城市和州尋求在公共道路上試駕自動駕駛汽車的許可時，為什么地方監管機構不要求自動駕駛汽車運營商遵守 J3018 標準？

施特勞布說：“我無法與不同州和城市的思想交流。” 他推測，對該標準的認識可能沒有滲透到“可能將其用作參考的合適的人”。

但他也為汽車行業的立場進行了辯護：“SAE 國際標準是自愿性的，并且已經存在了一百多年，除非在 FMVSS 等法規中明確引用。” 他指出，“與自動駕駛相關的技術和測試正在以我們前所未見的速度發生變化。正因為如此，開放的行業標準很難跟上步伐……因為自愿性行業標準邀請所有感興趣的利益相關者來制定它們，它們可能需要更長的時間來制定。“要求”合規的法規（如 FMVSS）可能需要更長的時間。”

然而，嚴肅地說，什么樣的行業會花費時間和資源為其所有成員制定安全標準，但卻對執行不感興趣？除了制造汽車的人之外，道路規則如何適用于所有人？

******************************************

下表由 EE Times 整理。Glossy Pix Ratio (GPR) 是報告中專門用于宣傳攝影的頁數與專門用于文本的頁數的比率。因此，與頁數較少但 GPR 較低的報告相比，具有較高頁數和較高 GPR 的報告可能包含較少的信息。

接下來的四列計算任何給定報告包含“標準”一詞或提及特定標準的次數。VSSA 分數是對 VSSA 的評估。

（此表按部分顯示；單擊某個部分可查看該部分的大圖。）

VSSA 安全報告記分卡

審核編輯 黃昊宇