▎ISO/PAS 8800標(biāo)準(zhǔn)的發(fā)布背景

隨著人工智能（AI）技術(shù)的持續(xù)進(jìn)步，其在道路車輛中的應(yīng)用日益廣泛。無論是駕駛輔助、電池狀態(tài)估計(jì)，還是語音助手，AI技術(shù)已深入車輛的各個(gè)功能領(lǐng)域。AI的正常運(yùn)行能夠提升車輛的智能化水平，有助于減輕駕駛疲勞、增添駕駛樂趣，優(yōu)化整體駕乘體驗(yàn)。

然而，AI功能的錯(cuò)誤輸出也可能引發(fā)意想不到的安全風(fēng)險(xiǎn)，尤其是涉及智能駕駛、動(dòng)力輸出及底盤控制等與車輛橫縱向控制相關(guān)的關(guān)鍵功能，這些風(fēng)險(xiǎn)可能直接威脅到所有交通參與者的安全。

安全始終是車輛功能設(shè)計(jì)的基石。為確保道路車輛中AI系統(tǒng)的安全性，國際標(biāo)準(zhǔn)化組織以ISO 26262與ISO 21448為基礎(chǔ)，并參考ISO/IEC TR 5469，制定了ISO/PAS 8800道路車輛人工智能安全標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)旨在解決因AI系統(tǒng)功能不足和功能故障所導(dǎo)致的整車層面非預(yù)期安全相關(guān)行為，從而為AI在汽車領(lǐng)域的可靠應(yīng)用提供重要保障。

▎ISO/PAS 8800標(biāo)準(zhǔn)的內(nèi)容

ISO/PAS 8800共包含15個(gè)章節(jié)，涵蓋了人工智能安全開發(fā)的全生命周期。該標(biāo)準(zhǔn)既包含“V”模型左側(cè)的需求導(dǎo)出、系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)，也涵蓋“V”模型右側(cè)的驗(yàn)證與確認(rèn)環(huán)節(jié)。

與傳統(tǒng)電子電氣（E/E）系統(tǒng)開發(fā)相比，AI系統(tǒng)的開發(fā)高度依賴于大規(guī)模數(shù)據(jù)。為此，ISO/PAS 8800專門針對(duì)數(shù)據(jù)集的開發(fā)與維護(hù)定義了一套完整的生命周期流程，包括：數(shù)據(jù)集需求導(dǎo)出、數(shù)據(jù)集結(jié)構(gòu)設(shè)計(jì)、數(shù)據(jù)收集與標(biāo)注、數(shù)據(jù)集驗(yàn)證、數(shù)據(jù)集確認(rèn)以及數(shù)據(jù)集維護(hù)。

各章節(jié)的主要內(nèi)容如下表所示。

▎ISO/PAS 8800標(biāo)準(zhǔn)和ISO 26262、ISO 21448之間的區(qū)別和聯(lián)系

• 適用對(duì)象

三項(xiàng)標(biāo)準(zhǔn)的適用對(duì)象相同，均針對(duì)量產(chǎn)道路車輛所搭載的電氣/電子（E/E）系統(tǒng)。

• 功能層面

ISO 21448 主要適用于依賴復(fù)雜傳感器與算法進(jìn)行態(tài)勢(shì)感知的功能，尤其是緊急干預(yù)功能及 L1–L5 級(jí)別的駕駛自動(dòng)化功能；而 ISO 26262 與 ISO/PAS 8800 則不對(duì) E/E 系統(tǒng)所實(shí)現(xiàn)的功能類型設(shè)限。舉例來說，若采用人工智能（AI）技術(shù)控制發(fā)動(dòng)機(jī)運(yùn)行，該情況不屬于 ISO 21448 的適用范圍，但屬于 ISO/PAS 8800 的覆蓋范疇。

• 實(shí)現(xiàn)技術(shù)方面

ISO 26262未限制E/E系統(tǒng)的實(shí)現(xiàn)技術(shù)，無論是AI實(shí)現(xiàn)和非AI實(shí)現(xiàn)，都可以采用ISO 26262進(jìn)行概念和硬件階段的開發(fā)，但其系統(tǒng)和軟件階段主要適用于非AI模型的組件，當(dāng)應(yīng)用到AI模型組件時(shí)，建議按照ISO/PAS 8800-Annex C進(jìn)行裁剪。ISO 21448 對(duì)實(shí)現(xiàn)技術(shù)也未作限制，不過在當(dāng)前技術(shù)背景下，駕駛自動(dòng)化功能主要依賴 AI 技術(shù)實(shí)現(xiàn)。ISO/PAS 8800 專門針對(duì)基于 AI 技術(shù)實(shí)現(xiàn)的 E/E 系統(tǒng)，但如果某些組件采用非 AI 技術(shù)實(shí)現(xiàn)，其開發(fā)過程應(yīng)遵循 ISO 26262 的要求。

• 所解決的問題

三項(xiàng)標(biāo)準(zhǔn)所解決的問題亦有所不同。ISO 26262 致力于解決由功能故障（包括系統(tǒng)性故障與隨機(jī)硬件故障）引發(fā)的危害；ISO 21448 則針對(duì)預(yù)期功能不足（如規(guī)范不完善或性能局限）引發(fā)的危害。而對(duì)于AI系統(tǒng)的輸出錯(cuò)誤，無論是功能故障引起還是預(yù)期功能不足引起，則都在ISO/PAS 8800的解決范圍。

• 覆蓋的開發(fā)階段

三項(xiàng)標(biāo)準(zhǔn)所覆蓋的開發(fā)階段也存在差異。ISO 26262 涵蓋 E/E 系統(tǒng)開發(fā)的概念、系統(tǒng)、硬件和軟件全階段；ISO 21448 主要覆蓋概念與系統(tǒng)階段；ISO/PAS 8800 則專注于 AI 系統(tǒng)開發(fā)的系統(tǒng)與軟件階段，其硬件階段的開發(fā)仍需遵循 ISO 26262 的要求。

▎ISO/PAS 8800標(biāo)準(zhǔn)對(duì)道路車輛AI系統(tǒng)開發(fā)的影響

• 彌補(bǔ)標(biāo)準(zhǔn)不足

現(xiàn)有功能安全標(biāo)準(zhǔn)（如ISO 26262）主要面向基于規(guī)則的確定性系統(tǒng)，難以覆蓋人工智能（尤其是機(jī)器學(xué)習(xí)）的不確定性和數(shù)據(jù)依賴特性。預(yù)期功能安全標(biāo)準(zhǔn)（ISO 21448）主要針對(duì)駕駛自動(dòng)化功能，而對(duì)于采用AI技術(shù)實(shí)現(xiàn)的其他功能則缺乏明確要求。ISO/PAS 8800為車輛AI系統(tǒng)提供了針對(duì)性的安全開發(fā)指南，有效彌補(bǔ)了當(dāng)前標(biāo)準(zhǔn)體系的不足。

• 規(guī)范開發(fā)流程

ISO/PAS 8800定義了系統(tǒng)化的道路車輛AI安全生命周期，明確了AI系統(tǒng)開發(fā)流程，有助于推動(dòng)整車廠、供應(yīng)商、研究機(jī)構(gòu)之間的技術(shù)協(xié)作、創(chuàng)新與成果落地，同時(shí)也為政府政策制定提供依據(jù)，并為行業(yè)監(jiān)管提供技術(shù)支持。

• 機(jī)遇與挑戰(zhàn)并存

ISO/PAS 8800的推廣應(yīng)用也為汽車企業(yè)帶來新的挑戰(zhàn)，包括研發(fā)體系的搭建與磨合、人員能力提升、產(chǎn)品研發(fā)周期延長(zhǎng)及成本增加等。

▎結(jié)語

經(jīng)緯恒潤(rùn)功能安全團(tuán)隊(duì)成立于2008年，是國內(nèi)較早從事功能安全技術(shù)研究的團(tuán)隊(duì)，作為功能安全國家標(biāo)準(zhǔn)委員會(huì)成員參與功能安全、預(yù)期功能安全標(biāo)準(zhǔn)制定，作為芯片創(chuàng)新聯(lián)盟核心成員參與車規(guī)級(jí)自主芯片功能安全國標(biāo)制定。目前有專職的功能安全技術(shù)人員80余人，團(tuán)隊(duì)成員大多來自985/211高校，核心項(xiàng)目實(shí)施團(tuán)隊(duì)擁有8年以上電控產(chǎn)品開發(fā)經(jīng)驗(yàn)，可以提供面向量產(chǎn)車型開發(fā)從概念設(shè)計(jì)到正式投產(chǎn)的全棧功能安全咨詢服務(wù)，當(dāng)前已成功為國內(nèi)外整車及零部件企業(yè)提供150+項(xiàng)工程咨詢服務(wù)。

‘’‘’