汽车安全标准的发展
在 20 世纪 90 年代，为了培养出一批拥有功能性安全意识的工程师，IEC 对基于硬件和软件的系统的制造过程开展了全面的研究。这些研究促成了 IEC 1508 的颁布，在征集过公众的意见并经过进一步修订之后，该标准在 1998 年演变为世界上的第一个功能性安全标准——IEC 61508，该标准的最后四个部分已于 2000 年颁布。IEC 61508 衍生出了多种行业的类似标准，这些行业包括汽车 (ISO 26262)、铁路软件 (IEC 62279)、加工业 (IEC 61511)、核电站 (IEC 61513)及机械 (IEC 62061) 等等。
在 ISO 和汽车工程师协会的共同努力下，ISO 26262 为最大总重量不超过 3 500 kg 的乘用车中的 E/E)系统制定了标准。尽管颁布未满 10 年，但 ISO 26262 已成为当今汽车行业最重要的标准之一。但 E/E 功能性安全的这一演变并未停下脚步，ISO 26262 委员会重新投入到了下一个版本的制定工作中，该版本预计将于 2018 年的第三季度颁布。该版本增加了摩托车标准，为载货汽车和公共汽车制定了标准并去除了所有的重量限制。现在唯一未涵盖的车辆是助力车。
作为该委员会中负责更新标准的一员，笔者可以说，用于制定标准的典型规范性方法仍稍显不足，因为要为即将重磅来袭的日益强大的ADAS 技术和自动驾驶车辆制定标准，以前的方法派不上任何用场，因此笔者和同事成立了一个新的小组，负责为自动驾驶车辆的预期功能的安全性 (SOTIF) 制定标准。虽然尽了最大努力，但为 ADAS 和自控系统制定标准依然引起了争议，原因在于很难确定所有可能的驾驶场景以及制定相关的规范性标准，然后验证这些标准。

AI 崛起带来的问题
如何对严重依赖机器学习和 AI 的自动驾驶汽车研发成果进行标准化？标准委员会如何考虑所有的危险状况以及可能发生的基于 AI 的响应？如今，ISO 正在努力制定新的标准——ISO/WD PAS 21448，以应对车辆中的 ADAS 和 AI 的崛起。 ADAS/AI 中的功能性安全的基本目标一如既往——在未发生由于技术缺陷和系统缺陷以及可以合理预见的错误使用方法而导致的故障的情况下避免意外的系统行为。但即使自控系统采用了符合这一目标的技术，就一定能保证驾驶人的人身安全和公共安全吗？或者“可预见的”这样的术语是否在强调安全性始终是一个相对的概念？也许正确的目标应该只是比昨天安全一点，Elon Musk 和其他的 AI 支持者们或许会说“比特别糟糕的人类驾驶人安全一点”。整个社会最终是否能够接受自动驾驶汽车会发生完全不可预见的事故？任何一种标准都要面对的问题是，现实中的场景永远不会只是可预见的事件。因此，任何即将出台的 ADAS 和自动驾驶标准都会遇到的难题和不足之处在于，如何让预期功能安全 (SOTIF) 最终达到足以获得社会认可的安全程度，其中 SOTIF 是唯一一个可以根据基础技术的基本事实为其合理制定标准的方面。

监管者、立法者和标准机构的反应
AI 的崛起不能回避现有标准的监管，这些标准对支持性的过程、硬件和软件开发依然有效。不过，日益逼近的难题在于如何应对 SOTIF 理念，尤其是 ADAS 和自动驾驶应用。整个供应链中的工程团队，尤其是规模相对较小的公司的工程团队，将在如何执行先进的开发周期（包括先进的人工智能理念）方面寻求指导。
ISO 26262 委员会在努力制定新的 SOTIF 标准——ISO/PAS 21448，各个组织（例如美国国家公路交通安全管理局 （NHTSA））也同样在设法解决自主性所带来的新问题。在 2017 年 9 月 12 日，NHTSA 为自动驾驶系统颁布了新的联邦指导准则，即“安全愿景 2.0”，此准则中包括一条规范性声明：流程应当说明设计冗余度和有关如何处理自动驾驶系统 (ADS) 故障的安全性策略。目前还没有任何有关如何确定这些冗余度和策略的指导，但可以参考 ISO 26262。
NHTSA 颁布的准则并非监管性准则，其中涵盖了三级到五级自动驾驶的安全性要素，并以软件开发、验证和确认为侧重点。该准则还为 ADS 安全性要素提供了指导，并涵盖了系统安全性、操作设计领域（公路类型、地理区域、速度范围和其他约束）、物体和事件检测和响应（防撞能力）、重新接管或最低风险条件、验证方法和网络安全性。尽管提供了自我评估方法，但该文档并不是一份法律要求。
在美国，除了 NHTSA 指导以外，国家立法机关和州长办公室也在积极推动无人驾驶立法。自从内华达州在 2011 年批准了第一批自动驾驶车辆以来，另外的 20 个州通过了涉及自动驾驶车辆的类似法律。还有至少十几个州已经颁布了这方面的法律，5 个州的州长已经绕过了立法过程并颁布了涉及自动驾驶车辆的行政命令。
国际形势也同样如火如荼。各国的规则尽管不尽相同，但大都以联合国欧洲经济委员会 (UNECE) 的《道路交通公约》（俗称《维也纳道路交通公约》）为蓝本。在 1968 年 11 月举办的全球道路交通安全论坛上，多个国家首次在这份协议中达成共识，并获得了 36 个国家的签名和 75 个参与国的批准，包括欧洲的大多数国家、俄罗斯和印度尼西亚以及美洲、亚洲、中东和非洲的一些国家。未签署这份协议的主要国家包括美国、加拿大、中国、日本、澳大利亚和印度。在 2016 年 3 月，UNECE 迎来了自动化车辆技术部署监管工作的里程碑并对 1968 年的规则进行了修订，允许使用自动驾驶技术将驾驶责任交给行驶中的车辆，但前提是驾驶人可以越控或关闭这些技术。进行的修订包括对能够在驾驶人的永久监督之下接管车辆的自动导向系统（例如车道保持系统、自动停车系统或高速公路自动驾驶系统）进行的讨论。尽管开展了这一系列活动，但对于实现“安全性”的方法显然缺乏关注。法规详细说明了车辆需要接受的测试和测试方法、这些测试的执行者，甚至还说明了测试期间的路况和环境条件。

暴力测试的局限性
提供安全的自控系统的另一种解决方案是执行大量的测试。Waymo就是这方面的一个绝佳示例，该公司的自动驾驶测试车队每周要在美国的四座城市行驶大约 25 000 mile （1  mile =
1.6 093 km）的里程。经过授权的测试将是至关重要的，既要实际上路，也要进行仿真。Waymo 堪称真实测试的领导者，但也要注意到，该公司仅在 2016 年这一年就执行了 10 亿mile的仿真。
就目前而言，无论公司的资金有多雄厚或者技术有多完美，测试依然会受到自身固有限制的困扰。最明显的问题是难以测试所有的边缘情况。即使进行了数百万甚至数十亿英里的城市街道测试和虚拟测试，自控系统也可能在遇到不可预见的输入组合时以不安全的方式做出反应。
第二个相关问题是自动驾驶技术在做出决定时如何确定哪些操作是正确的。自动驾驶汽车做出的决定只能以正确程度来衡量。由谁来决定哪种操作足够正确？如果汽车即将撞上公路上的物体，它是否要从物体上面碾过？还是冒着被后车撞上的危险停车？抑或进行突然转向？或者越过双黄线？或者我们是否允许更加简单的结果。也就是说，在自动驾驶汽车对情况做出了反应且所有人都未受到伤害的情况下认为自动驾驶汽车“通过”了测试？就功能性安全而言，人们过于关注测试和能够证明给定的系统的安全性证据，但这种概念是非常模糊的，因为对自动驾驶车辆的信心与成功或失败的结果无关，而是与概率水平或正确程度有关。唯一可以肯定的是，将仿真、实验室测试和真实测试结合使用是唯一可行的方法，因此委员会需要对这些方法进行规格化或标准化。

责任和保险
责任问题是所有标准委员会在工作中挥之不去的一道阴影。如果为自动驾驶车辆发布了确定性的要求，而且开发人员尽可能严格地遵循了此标准，但仍未避免事故的发生，将由谁来承担责任？
当然，标准通常不具有法律约束力，但法庭经常利用标准来裁决法律纠纷，在产品责任案件中尤其如此。驾驶人及其保险公司总是会将事故的责任转嫁给汽车制造商，而且科技供应商在汽车供应链中的地位日益突出。主要由汽车制造商及其硬件/软件提供商组成的标准委员会或许不愿加快这种旨在分担事故责任的结构性转变过程，特别是在仍然明显缺乏统一国家规定的大背景下。
对于这些委员会而言，最有意义的工作是对 V 形模式的开发流程（包括对此类流程进行的历史重建）制定要求。实际上，ISO 26262 中已经提出了这些要求。但对于自动驾驶架构和 AI 开发，委员会可能只需要提供信息或指导准则，以详细规定现有的运行参数、算法使用案例以及对造成危险状况的结果进行的基于概率的评估。

现在和未来的自动驾驶标准
目前已经为流程和硬件/软件开发制定了可靠的标准，即 ISO 26262。政府正在针对无人驾驶汽车的真实测试颁布越来越多的指导准则和法律，并在逐步明确或者至少在填补以前的法规空白。
但自从 AI 的开发转向越来越不确定的应用而不是侧重于证明输入、参数和逻辑路径可以实现安全的无人驾驶应用之后，相关人员也必须转移侧重点，以便首先证明 AI 开发流程的安全性，然后证明 AI 在公路上做出决定和犯下错误后的最终结果的安全性。考虑到安全性（哲学家们认为，安全性通常在本质上与自由和自由意志相冲突）概念所涉及的所有不确定性，要实现这一目标并不容易。
眼下，诸如即将出台的 ISO/PAS 21448 等标准可能是这一行业目前能够制定的最佳指导准则。此指导本身可适应 AI 的不确定性质，至少可以提供某种程度的标准化和某些信息。笔者所服务的委员会成员在 ADS 领域提供了多种令人印象深刻的技术性专业知识。他们还取得了其他的成果，预计此标准可提供人们迫切需要的常用词汇，以使人们都能够开始针对自动驾驶车辆的安全性有效地进行交流。很明显，此标准甚至可以为略显模糊的问题（例如如何考虑已知和未知的使用案例、依赖关系、应对措施的局限性、自动化权威机构和警告策略等）提供指导。此标准还会为比较传统的主题（例如验证）提供相关信息。

结语
一个多世纪以前诞生的旨在统一螺纹规格的标准通过打破各个公司和国家/地区之间的层层贸易壁垒推动了商业发展。现有的 ISO 26262 和即将出台的 ISO/PAS 21448 标准也致力于实现这一目标。但由于产品甚至设计流程本身正在变得越来越自主和不确定，标准委员会需要努力研究根据概率确定的结果。
大多数负责制定标准的机构和社团都需要接受这样一个现实：自动驾驶车辆未来难免会发生危险状况、事故和伤亡。功能性安全的目标并不是杜绝这些事件，因为这些事件会不可避免地发生；相反，目标是要降低它们的可能性。