自动驾驶汽车尚无法规约束

自动驾驶汽车（AV）已经在美国多个城市的公共街区和道路上行驶。监管者和公众是否有理由相信这些车辆的安全性和可靠性？我们没有得到足够的信息可以信任任何开发AV的公司，这主要是因为负责汽车安全的机构正给予这些公司免于审查的权利。

监管机构和其他感兴趣的行业观察者唯一可获得的“安全”信息是公司向NHTSA提交的报告，你可以在NHTSA的网页上找到VSSA（Voluntary Safety Self-Assessment）文档。

秉承着“创新”的口号，NHTSA没有要求公司报告任何特定数据，更不用说标准化格式的数据了。（但NHTSA确实提供了Voluntary Guidance和VSSA模板。）VSSA，如名称所示，是自愿的自我评估。公司甚至没有义务提交VSSA。

与此形成鲜明对比的是，FDA（Federal Drug Administration）和FAA（Federal Aviation Administration）要求相关公司在产品上市之前证明其符合严格的行业标准。

对此，Semicast Research的首席分析师Colin Barnden说：“FDA不允许利用随机的路人开发新药，FAA也不允许在人口密集的地区进行测试。”他强调说：“在相同的路段反复行驶，虽没有发生任何事故，也不能证明一项新技术的安全性。NHTSA（和州监管机构）有责任确保公众的安全，而不应该成为在未经同意的受试者身上进行测试的实验技术的推动者。”

行业仍处在泡沫中
无论从哪方面来看，美国的AV行业都处于泡沫之中。

首先，AV公司可以使用自己的标准和程序有效地对自动驾驶汽车进行自我认证。其次，他们没有义务提交VSSA。第三，一些AV开发公司甚至没有在报告中提及任何与安全相关的行业标准，包括ISO 26262（功能安全）、ISO 21448（预期功能的安全）和ANSI/UL4600。即使碰巧引用了这些标准，他们也只是顺带一提而已。

只有少数公司提交了报告。截至2021年4月28日，已有55家公司从加州的DMV获得了自动驾驶汽车（由安全驾驶员进行监控）测试的许可。迄今为止，在这55家公司中，只有15家公司向NHTSA提交了VSSA。

总共提交了24个VSSA文件归档。造成数量差异的原因有两个，并非所有在美国进行测试的公司都在加州进行测试，其次是有两家公司提交了两份VSSA报告。

EE Times检查了AV公司在NHTSA网站上提交的每个VSSA。每家公司都在谈论“挽救生命”。他们指出“赢得公众信任”很重要。每个公司都说“透明度”是其发布安全报告的目标。

由于这种自我评价缺乏严谨性，因此我们决定创建一个记分卡，尽可能辨别每家花时间提交VSSA的公司“认真对待安全性”真正意味着什么。我们的审查非常强调公司采用的行业标准（例如ISO 26262、ISO 21448或ANSI/UL 4600）的方法，因为每个标准都有其作用，并且所有标准都适用于任何AV。（编者注：请参阅最后列出的记分卡）

在24份安全报告中，有3份报告根本没有提及任何行业标准。他们是Zoox（已被亚马逊收购）、Local Motors和苹果。

欧洲公司宝马、奔驰和博世则相反，它们是行业标准的重要推动者。


在这两个极端情况之间的众多变化中，许多VSSA申报者提到了ISO 26262，但都没有声称其车辆符合该标准。

#ISOwashing
正如Edge Case Research的CTO Philip Koopman所指出的那样：“许多VSSA都表示了对某种标准的支持，却并没有真正致力于做提到标准中的任何特定工作。含糊不清的声明，相当于挑选了一些标准，但并没有真正告诉我们公司在安全方面正在做什么。”他称其为“#ISOwashing”。

例如，Waymo在其2020年9月的安全报告中未提及任何标准。Waymo加强了其系统安全计划，说：“作为2015年第一家完成在公共道路上进行全自动驾驶的公司，我们已在Waymo编写了自己的脚本。”

2020年10月发布的附带文件“Waymo’s Safety Methodologies and Safety Readiness Determinations（30页）”中，该公司引用了许多标准，并解释了为什么它们不完全依赖这些标准。

有关ISO 26262，他们提到说：

“ISO 26262为Waymo的危害分析过程提供了重要的见解。但Waymo并不严格或仅依赖于ISO 26262的原则，该原则并非完全适合L4 ADS（Automated Driving）。”

Koopman说：“在解释这样的陈述时要考虑它说了什么和没说什么，这很重要。”

Koopman的解读说：“Waymo似乎表示他们注意ISO 26262第3部分中涉及危险和风险分析的部分。但由于这不是最合适的选择，因此他们不依赖它。没有说的是他们是否考虑过ISO 26262的其他部分。”

他补充说：“同样没有说到的是，他们说不出他们真正依赖的原则，因为他们似乎对完善的ISO 26262功能安全标准中的原则并不满意。”

他总结道：“现实是，ISO 26262应该适用于其车辆的许多方面，就像适用于任何其他车辆一样。由于ISO 26262是可定制的，因此很难理解为什么他们不对其进行调整以满足其需求。”

然后就是Argo AI的情况。该公司在最近发布的安全报告中写道：“我们的系统工程方法基于两个关键的ISO标准：ISO 26262和ISO21448。”

Koopman说：“尽管这种表述似乎是出于好意，但读者却无法了解具体含义。”他承认：“它确实给人的印象是同时符合这两个标准，但如果那是真的，他们为什么不用'符合’这一词呢？我认为他们会就安全性提出最强有力的真实主张，要么是“符合”，要么是不太流行的“跟随（follow）”。如果他们提出的主张比这两个词中的任何一个都弱，他们就不应期望获得信任。”

Argo AI的一位发言人说：“尽管我们的安全案例尚未完成，但我们的意图是遵守法规，这就是为什么我们以这种方式编写声明的原因。”

现有标准是否使AV行业参与者认为这些法规与他们在L4/L5中寻求的“自动驾驶”无关？

Koopman明确表示：“ISO 26262解决了功能安全问题，应在L4/L5车辆中占有一席之地。对于L4/L5还需要SOTIF/ISO 21448和系统级别的安全（ANSI/UL 4600）。你需要将所有这些内容都包括在内。”

目前在AV测试中，没有监督，也无需验证，一个基本问题是，如何确保AV在道路上普及之前的安全，这成为了一个难题。

尽管存在竞争激烈且不一致的AV标准，最近英特尔的Jack Weast（也是即将出台的IEEE P2846标准的主席）说：“最近存在一个解决方案：接受专家学者、工程师、OEM和行业代表共同制定技术中立的安全标准所采用的方法。”（Assumption for Models in Safety-Related Automated Vehicle Behavior）

Weast并不孤单。

鉴于该行业本身花费了大量的工程资源来创建这些标准，Koopman问：“为什么他们不遵循这些标准呢？”

在所有提交VSSA的AV公司中，英伟达的出现令人惊讶。这表明英伟达渴望开发一个AV平台（配备其强大的SoC和AV软件堆栈），OEM可以简单地把它直接部署到车辆上。

英伟达在其安全报告中写道：“Nvidia Drive架构使OEM能够制造和部署符合NHTSA建议的例如ISO 26262和ISO/DIS 21448、NCAP要求的自动驾驶汽车和卡车。”


我们发现英伟达的说法有点问题。英伟达尊重ISO 26262，并不意味着搭载英伟达芯片的AV必须符合ISO 26262。

Koopman说：“是的，‘功能’意味着要由客户决定是否来遵守。”他解释说，例如，如果英伟达出售一种让客户“在仿真中”符合21448的方法，那就引出了最终产品在现实世界中是否符合21448的问题。

Koopman补充说：“除了英伟达之外，我们还看到零散的有关ISO 26262一致性的声明，但他们实际上只是在谈论芯片，甚至不是所有硬件。”

安全报告只是营销手册而已
阅读完24份安全报告，不可避免地会让人觉得这些基本上就是营销手册。

Barnden指出，它们是“完全可互换的”。如果Motional、Waymo和Zoox从他们的报告中删除公司名称，那我就分不清谁是谁了。

问题不仅仅在于报告中陈列出了大量精致的图片，而是缺乏技术上的实质性内容。Barnden说：“我不清楚用什么标准来衡量过去12个月的进展，也不清楚明年发布的新安全报告中哪些信息将发生重大变化。无休止地重复‘安全’一词本身并不能保证产品或工艺的安全。”

就拿Waymo为例，Barnden说：“2020年，Waymo向加州DMV提供的报告中写道在628,839英里行驶里程中出现了21次脱离，约每30,000英里1次脱离。但正如我们在最近的视频中所看到的，号称‘完全无人驾驶’的Waymo被一个雪糕筒难倒了。还有一次，车辆在高速公路上倒车完全阻塞了一条车道，迫使其他车辆只能绕道行驶。这是Waymo在亚利桑那州钱德勒附近的主要测试区域进行的。实际上，脱离报告是没有意义的。这些车辆显然还不够安全，无法在没有人类安全驾驶员的情况下在公共道路上行驶。”（Barnden指的是JJRick最近在油管上传的视频。）

Waymo的案例
考虑到Waymo自2015年以来就开始进行测试了，令人惊讶的是，它的robotaxi仍然会被雪糕筒所迷惑，这在现在似乎很难被视为是edge case了。

Waymo曾被公认为AV行业的领导者，但近几个月来已经失去了六位高管。这样的人员外流难免引起人们的担忧。

这使我们回到了原来的观点。我们对Waymo Driver取得的进展真正了解多少？Waymo的安全报告没有透露任何信息，因此观察者只能依靠油管等渠道获得碎片信息，这显然不能完全让人放心。

沉重的长尾
对于许多AV开发人员来说，他们还需要很长时间才能推出完全自动驾驶汽车。安全报告不仅应包括其安全声明，还应包括他们所面临的挑战以及计划如何应对这些挑战。

Kodiak声称更多的测试里程不一定等于更高的安全性。该公司在安全报告中写道：“当然，这种严谨的方法意味着，我们记录的测试里程可能永远不会像我们的竞争对手那样多。我们不认为里程数少是一种风险，而是我们对安全承诺的标志。”

Aurora对此表示赞同。“……我们将真实世界的测试视为一种机制，用于验证和提高更快的离线测试的保真度。这种策略使我们能够控制测试车队的规模。我们通过追求里程质量超过数量来限制测试车辆的行驶距离；也就是说，我们寻求有意义的里程，而不仅仅是追求大量的里程。”

关于edge case研究的重要性，Koopman指出，问题不仅仅在于需要解决的意外事件（不安全事件）的发生频率。更重要的是特定场景的特征，意外全都不同。Koopman说，如果问题很多，那么解决所有问题将需要很长时间。你极有可能永远不会触及到那里。

Koopman在论文中写道：

“制造安全的自动驾驶汽车不仅需要针对实际操作场景进行广泛的训练和测试，而且还需要应对不确定性。现实世界中可能会出现许多罕见但危险的事件，这表明在遇到新的、不可预见的情况时，这些系统必须具有很好的鲁棒性。

从观察到的道路数据中归纳出各种不同类型的异常情况将会有所帮助。但是，来自现实世界的大量的意外分布可能会导致不可能使用简单的drive/fail/fix开发过程来实现可接受的安全性。

自动驾驶汽车需要在处理新情况方面具有鲁棒性，并且还另外需要一种方法来检测它们是否遇到了意外情况，以便在不确定情况下保持安全。”

拜登政府
NHTSA对汽车业的放任态度是众人皆知的。几十年来，该机构的利益一直与OEM和科技公司完全一致。

拜登政府对解决自动驾驶汽车安全问题一无所知。新任运输部长Pete Buttigieg是否会引导NHTSA迈向新的方向？例如，使科技公司和OEM的AV安全声明更加透明和负责？

第一个线索可能就会出现在NHTSA对上届政府发布的有关ANPRM（Advance Notice of Proposed Rulemaking）中收集的公众意见做出的回应。评议期于4月1日结束。

当被问及时间表时，NHTSA表示可能会在“审阅公众对ANPRM关于自动驾驶系统（ADS）安全原则的评论后作出答复”。

然后，该机构将确定后续步骤。“NHTSA未来12个月的监管计划将于今年春季晚些时候在半年一次的监管行动统一议程中公布。”目前还没有公布。

一场灾难性事件
许多AV行业的观察者都知道，这个新兴行业离政府最终决定执行最严格的规定只差一个新闻事件。

正如Barnden指出的那样：“如果一辆AV测试车辆撞死了一个行人或儿童，那将直接指向拜登总统。”他指出，当暴露出MCAS（Maneuvering Characteristics Augumentation System）设计中的基本缺陷时，整个波音737 Max机队都被FAA停飞。“这里的安全问题很明确，那么为什么AV行业却要免责呢？对于一个行业来说，要’挽救生命’而实际上却在危及生命是站不住脚的。政治风险是巨大的，政府需要立即意识到这点并发挥决定性的领导作用。”

行业已经有了先例。Uber的致命事故后促使SAE开发了SAE J3018，这是L3/4/5自动驾驶系统原型的安全道路测试指南。

在Uber致命事故发生的一年后，一个仅接受邀请的汽车行业组织AVSC（Automated Vehicle Safety Consortium）开始“根据措施和措施的类型，记录并公开与车内安全驾驶员相关的最佳做法。SAE自动驾驶办公室主任Ed Straub表示。他将AVSC的任务描述为“为SAE L4和L5自动驾驶汽车赢得公众的信任”。所有AVSC成员都在针对各种应用进行道路ADS测试。

但问题是：当AV公司开始向城市和州寻求在公共道路上测试AV的许可时，为什么当地监管机构不要求AV运营商遵守J3018标准？

Straub说：“我无法对不同州和城市的做法发表评论。”他推测，对标准的认识可能还没有渗透到“可能将其用作参考的合适人选”。

但他也为汽车行业的立场进行了辩护：“SAE国际标准是自愿性的，并且已经使用了一百多年的历史，除非在FMVSS之类的法规中明确引用。”他指出，“与自动驾驶相关的技术和测试以前所未有的速度变化。因此，开放的行业标准很难跟上步伐...由于自愿性行业标准邀请所有感兴趣的利益相关者来制定它们，因此它们可能需要更长的时间才能制定出来。“要求”遵守的法规（例如FMVSS）可能需要更长的时间。”

下表是由EE Times编制的。GPR（Glossy Pix Ratio）是报告中专门展示图片的页数与文本页数之比。因此，与页数较少但GPR较低的报告相比，页数较高且GPR较高的报告可能包含的信息更少。

接下来的四列统计了任何给定报告中包含“标准”或提及特定标准的次数。