功能安全退到了一個既不影響智駕進步、又不影響智駕傳播的角落。

文|曹琳

編輯|冒詩陽

汽車像素(ID:autopix)原創(chuàng)

01.

體驗的兩難

L2 級輔助駕駛在技術(shù)、營銷兩條車道上狂飆了多年之后，終于撞到最嚴(yán)格的一次監(jiān)管。

4 月 16 日晚間，工業(yè)和信息化部裝備工業(yè)一司在工信部官網(wǎng)上發(fā)布了公告，其中明確提到 “汽車生產(chǎn)企業(yè)需要明確系統(tǒng)功能邊界和安全響應(yīng)措施，不得進行夸大和虛假宣傳，嚴(yán)格履行告知義務(wù)，切實擔(dān)負起生產(chǎn)一致性和質(zhì)量安全主體責(zé)任，切實提升智能網(wǎng)聯(lián)汽車產(chǎn)品安全水平�！�

除了上述公告，一些具體的規(guī)定細則（附文末），開始在行業(yè)內(nèi)流傳。這些內(nèi)容在三個方面嚴(yán)格限制了 L2 級輔助駕駛技術(shù)（下簡稱智駕），包括智駕技術(shù)的宣傳、使用規(guī)范，以及對車企進行遠程軟件升級，即 OTA 的監(jiān)管。

臨近上海車展前，這一突然到來的公告，打亂了很多車企已準(zhǔn)備好的營銷節(jié)奏，有車企營銷的負責(zé)人告訴我們，很多已經(jīng)確定好的宣傳文案，都得改。甚至還影響了他們的技術(shù)發(fā)布節(jié)奏，一些車企原定的 OTA 內(nèi)容，只能重新再討論。OTA 的頻次會降低，小范圍推送 “公測”、“嘗鮮” 版本的行為不再被允許。

究竟是什么導(dǎo)致了 L2 級輔助駕駛技術(shù)在 “系統(tǒng)功能邊界” 和 “安全響應(yīng)措施” 上的不明確？

L2 級輔助駕駛（以下簡稱智駕）進步到現(xiàn)在，一項很關(guān)鍵的能力是 “擬人化”，這不僅是智駕研發(fā)人員在技術(shù)上的目標(biāo)，也是車評人在做相關(guān)測評、對比橫評時，著墨最多的一項體驗。比如加減速時是否平穩(wěn)，處理緊急情況時是否從容果斷，跟車、超車時能否讓人有信心等主觀感受。這些人的主觀感受，往往因環(huán)境不同而變化，因此很難用一套規(guī)則來描述清楚，

擬人感是學(xué)習(xí)的結(jié)果。從兩年前開始，端到端大模型成為智駕的主流方案，它用大量的案例來訓(xùn)練人工智能，讓 AI 自主學(xué)習(xí)人類開車的方式。于是智駕功能的進步過程，變成了 AI 大模型能力的進步過程，而不再是基于無窮盡的手寫規(guī)則的功能開發(fā)。

通過引入直接向人類學(xué)習(xí)的人工智能，大部分車企的大模型都能做到擬人駕駛，整套智駕方案賦予大模型的權(quán)限越大，智駕系統(tǒng)的擬人能力往往也就越強。

但迄今為止，還沒有車企訓(xùn)練出完美的大模型。大模型可能會遇到處理不了的問題，還可能會生成一個錯誤而不自知的結(jié)果。為了避免后者，在 AI 的基礎(chǔ)上，大部分車企都會加入一套規(guī)則（Planner）來 “兜底”，規(guī)則會在大模型所選擇的諸項方案中，規(guī)避掉一些危險的方案。而為了避免前者，智駕系統(tǒng)可以做出對 L2 級別輔助駕駛來說正確事情——預(yù)警退出，交給人類。

可究竟什么時間、什么情況下應(yīng)該退出并把車交給人類，是模糊地帶，這就導(dǎo)致了 “系統(tǒng)功能邊界” 和 “安全響應(yīng)措施” 的問題。是智駕系統(tǒng)把握不大時，還是全無把握時？亦或是只要稍有疑慮就應(yīng)該退出？

智駕系統(tǒng)的設(shè)計者傾向于晚一些，因為那樣才能提升體驗，同時提升一個關(guān)鍵指標(biāo)——百公里接管次數(shù)。這是一項智駕技術(shù)和車企營銷團隊都會關(guān)注的數(shù)值，比如小鵬今年的目標(biāo)是將百公里接管次數(shù)降到一次，以彰顯技術(shù)的領(lǐng)先程度。

最近頗受關(guān)注的高速路碰撞事故中，相關(guān)車企公布的時間線顯示，智駕系統(tǒng)在事故前 2 秒到 4 秒時才突然退出，將駕駛權(quán)交給人類。當(dāng)時車輛的時速是 116kmh。

02.

功能安全難題

上述智駕系統(tǒng)的決策方式，并不是個例。當(dāng)有規(guī)則算法在端到端模型方案中作為最后一道防線時，智駕系統(tǒng)會在很多處理不了的問題中選擇退出。更常見的退出情況發(fā)生在違反交規(guī)時，比如紅燈壓線或闖了紅燈，這種場景下，智駕系統(tǒng)違反了規(guī)則算法中清晰描述的邊界，因此經(jīng)常會選擇退出。

但除了闖紅燈等邊界清晰的錯誤，擬人化的目標(biāo)下，很多規(guī)則未必有那么清晰。比如在限速 20kmh 但空無一人的湖濱道路上，智駕系統(tǒng)應(yīng)不應(yīng)該超速，又或者在限速從 120 突然降到 40 的高速公路匝道上，智駕系統(tǒng)是應(yīng)該在指示牌前通過急剎將車速降到規(guī)定值以下，還是應(yīng)該擬人化操作，緩慢減速，這些都是需要取舍，需要規(guī)范的問題。

目前國內(nèi)汽車所要遵循的標(biāo)準(zhǔn)正在逐步豐富，比如關(guān)于汽車轉(zhuǎn)向的基本要求 GB 17675、關(guān)于乘用車制動的技術(shù)要求 GB 21670。這些標(biāo)準(zhǔn)規(guī)范了相關(guān)領(lǐng)域的性能、安全冗余、報警信號等。除了強制標(biāo)準(zhǔn)外，還有一系列推薦標(biāo)準(zhǔn)。

雖然智駕決策主要包含的，就是轉(zhuǎn)向、制動和加速幾個項目，但要依靠上述標(biāo)準(zhǔn)對功能安全的定義，來實現(xiàn)對 L2 級輔助駕駛安全的監(jiān)管，目前還不能做到。特別是當(dāng)無法用功能來定義的端到端大模型，成為智駕技術(shù)方案之后。

端到端大模型，一端是感知信息的輸入，即車上所有攝像頭、雷達所搜集到與駕駛相關(guān)的信息，另一端是駕駛決策的輸出，中間不再有其他環(huán)節(jié)。

被減掉的環(huán)節(jié)包括感知、預(yù)測、規(guī)劃和控制，這是上一代智駕技術(shù)的四個基礎(chǔ)模塊。那時智駕的研發(fā)人員需要將開車的規(guī)則整理成代碼，一行一行的寫進四個基礎(chǔ)模塊中�？勺詈笮袠I(yè)發(fā)現(xiàn)，道路上所能遇到的情況難以窮盡，一家車企負責(zé)整理 coner case（特殊案例）的工程師人數(shù)越多，他們所能發(fā)現(xiàn)的問題、打上的補丁就越多。端到端大模型的引入，解決了這個問題。

但對于功能安全工程師來說，很難在端到端框架下，完整貫徹的功能安全的理念。

▍某車企的功能安全理念

比如，目前國內(nèi)在功能安全上做的較好的車企，會從新車前期的架構(gòu)設(shè)計、功能定義階段便開始介入，到了車型的開發(fā)階段，功能安全也會同步跟進，有功能做變更時，功能安全部門需要給出自己的意見，判斷哪些變更會影響到后續(xù)結(jié)果，并對功能安全要求去做相應(yīng)的適配性變更，這些要求有時會具體到信號、交互方式和次序等。最后再參與產(chǎn)品開發(fā)完成進入評審階段，功能安全工程師會在各個子系統(tǒng)中找到與安全相關(guān)的相關(guān)項進行檢查。

但端到端智駕大模型是一個難以檢查的 “黑盒”，車企的功能安全理念貫徹的再徹底，也很難在前兩個階段中介入，無法在整個流程中，提出具體的要求。

另外，目前的法規(guī)，對智能駕駛技術(shù)的規(guī)定也較為模糊，這也使得車企的功能安全部門很難找到執(zhí)行的標(biāo)準(zhǔn)。去年 8 月 1 日，工信部聯(lián)合市場監(jiān)管總局質(zhì)量發(fā)展局發(fā)布了《關(guān)于進一步加強智能網(wǎng)聯(lián)汽車準(zhǔn)入、召回及軟件在線升級管理的通知（征求意見稿）》，一定程度上對車企的 OTA 進行了規(guī)范，一些車企通過 OTA 來解決未備案的產(chǎn)品問題，在相關(guān)規(guī)定完善后，這些漏洞會被補上。

但這些規(guī)定更多是從結(jié)果和影響來做規(guī)范，真正直指技術(shù)本身的標(biāo)準(zhǔn)，目前方向還很模糊。

相比之下，歐盟《通用產(chǎn)品安全法規(guī)》提供了另一種思路，它在技術(shù)標(biāo)準(zhǔn)上同樣未做細致的規(guī)定，可一旦產(chǎn)品出現(xiàn)安全事故，企業(yè)需要提供充足證據(jù)來證明自己做到了最優(yōu)，以撇清責(zé)任，否則會面臨巨額罰款。這就讓企業(yè)不得不在研發(fā)和生產(chǎn)過程中 “自我審查”，去盡量建立高標(biāo)準(zhǔn)。

端到端大模型除了能力上限更高，它還帶來了一個好處，端到端省掉了四個模塊之間傳遞的過程，避免傳感器搜集到的信息，在模塊間傳遞時的衰減。

這就讓減少昂貴傳感器的產(chǎn)品方案變得可行，比如減少或去掉激光雷達等傳感器，將智駕技術(shù)下放到更便宜的車型上，由此帶來智駕技術(shù)普及的關(guān)口上，規(guī)范技術(shù)的安全邊界，的確已經(jīng)勢在必行。

附：網(wǎng)傳智駕監(jiān)管內(nèi)容

大眾汽車以復(fù)雜的流程而著名，這些流程保證了產(chǎn)品的可靠，保證了技術(shù)的穩(wěn)健迭代，并確保大眾、奧迪、保時捷，甚至后來加入的賓利、布加迪等品牌，都能夠共享資源。如果沒有新能源、智能化驅(qū)動的技術(shù)變革，大眾汽車有能力依靠這套體系，維持燃油車技術(shù)和銷量的領(lǐng)先。

一、規(guī)范車企 OTA——

（1）收緊企業(yè) OTA 的審查，要求企業(yè)降低 OTA 的頻次，單次 OTA 必須驗證充分再上車。如果發(fā)生需要緊急 OTA 的情況，車企需要走召回和停產(chǎn)流程，新的 OTA 需求由市場監(jiān)督總局審批通過后才可以部署；

（2）不允許各種名義的 “公測”，無論是多少用戶參與，也需要和完整版本一樣公告流程。

二、規(guī)范技術(shù)宣傳——

（1）宣傳中禁用 “自動駕駛”、“自主駕駛”、“智駕”、“智能駕駛”、“高階智駕” 等名詞，以 “智駕等級 + 輔助駕駛” 進行描述（例如 L2 級輔助駕駛）；

（2）禁止使用 “代客泊車”、“一鍵召喚”、“遠程遙控” 等名詞；

（3）不允許在 L2 級宣傳中用 “接管” 進行功能的傳播，也不允許使用 “脫手”、“脫眼” 的描述；

（4）盡量用中文全稱，即便使用英文，在第一次時也必須進行中文的全稱說明。

三、規(guī)范涉及使用方式的能力宣傳——

（1）敦促廠商從技術(shù)層面禁止駕駛員脫離，使用駕駛輔助必須對人臉 ID 進行識別，在駕駛輔助狀態(tài)下，禁止座椅調(diào)節(jié)和平躺；

（2）廠商不可以用 “駕駛員視覺脫離” 抑制和關(guān)閉 “駕駛員運動脫離”，“運動脫離”60 秒，需要用戶給出合理性說明；

（3）不再受理不能確保駕駛員完全控制的功能，例如 “代客泊車”、“一鍵召喚”、“遠程遙控”；

（4）即便車輛的智駕能力在駕駛員無法響應(yīng)的情況下實現(xiàn)了規(guī)避事故，仍需要對用戶進行懲罰；

（5）LCC、NOA 等 L2 級輔助駕駛能力需要有 “避碰測試”，測試報告需要有全方位詳細的信息；

（6）對于車企利用數(shù)字仿真對輔助駕駛的應(yīng)用場景進行模擬，車企需要給出自己整套仿真系統(tǒng)的可行性評價。

本文為汽車像素（autopix）原創(chuàng)內(nèi)容

未經(jīng)授權(quán)，請勿轉(zhuǎn)載

       原文標(biāo)題 : 狂飆的智駕面前，車企的功能安全理念為何失靈？