Apollo自動(dòng)駕駛進(jìn)階課程是由百度Apollo聯(lián)合北京大學(xué)共同開設(shè)的課程，邀請(qǐng)百度Apollo開放平臺(tái)研發(fā)團(tuán)隊(duì)的中美專家聯(lián)合講授。

上期，我們發(fā)布了Apollo開源模塊講解（上）。本期，我們將繼續(xù)Apollo開源模塊的講解，主要和大家討論什么是ISO-26262。

話不多說，歡迎各位開發(fā)者一起進(jìn)入進(jìn)階課程第三期。

首先為大家介紹安全方面最基礎(chǔ)的一個(gè)模塊ISO-26262。ISO-26262是一個(gè)非常復(fù)雜、非常結(jié)構(gòu)化的標(biāo)準(zhǔn)。比如說，如果一個(gè)硬件達(dá)到了ASIL D級(jí)別的要求，那么它的故障率是10 fit （Failures In Time, in one billion device-hours of operation），即10億個(gè)小時(shí)里面出一次故障。這個(gè)故障率要比windows藍(lán)屏的概率低很多。

從英文來講，安全有兩個(gè)詞：Safety和Security。Safety包含兩個(gè)方面：系統(tǒng)性故障Systematic Faults和隨機(jī)故障Random Faults 。

系統(tǒng)性故障是說，我在設(shè)計(jì)汽車的時(shí)候就存在的缺陷。每次運(yùn)行的時(shí)候，都一定會(huì)發(fā)現(xiàn)問題。軟件和硬件都有可能存在系統(tǒng)性故障。

隨機(jī)故障是由不可控的因素造成的故障，不一定會(huì)出現(xiàn)，比如路上顛簸了一下。一般情況下，只有硬件會(huì)出現(xiàn)隨機(jī)故障。

而Security涉及的不是車自身的問題，而是系統(tǒng)被別人攻占了。以前你要攻陷一輛車，是很困難的事情，沒有物理連接也沒有網(wǎng)絡(luò)連接。但是有了無人駕駛技術(shù)以后，車總是和網(wǎng)絡(luò)相連，讓車變得特別容易被攻擊。

ISO-26262是一個(gè)行業(yè)規(guī)范而不是一個(gè)例法，只覆蓋Safety，不覆蓋Security。但我們?cè)谧鰺o人駕駛的時(shí)候，必須考慮security。

通過ISO-26262的認(rèn)證是一個(gè)特別慎重的流程。

首先你需要明確車具備哪些功能以及這些功能由哪些零部件完成。其次，需要考慮對(duì)于車的每個(gè)功能是否會(huì)出現(xiàn)故障，一旦出現(xiàn)問題是什么級(jí)別的問題。

有兩種問題，例如做車的加速系統(tǒng)：一種問題是車在人沒有意識(shí)的情況下加速了。另一種是，需要車加速的時(shí)候它沒有加速。我們需要把這些問題放到具體的情景中去考慮，最嚴(yán)重的問題是哪一種。對(duì)于判斷一個(gè)問題是否嚴(yán)重，ISO-26262給了三個(gè)判斷標(biāo)準(zhǔn)：Exposure、Controllable、Separately。

Separately是指車和人分離，出事故后有多少概率會(huì)造成人員傷亡。

Exposure是指這件事情是否常見。

Controllable是指車出現(xiàn)了問題，駕駛員是否有機(jī)會(huì)接管。

ISO-26262的認(rèn)證過程是一個(gè)“V型”。首先要看是什么開發(fā)環(huán)境，其次要分析問題的等級(jí)是怎么樣的。如果是一個(gè)很高的等級(jí)需要判斷這個(gè)問題出現(xiàn)的概率有多大。然后考慮這個(gè)問題具體要怎么解決。也就是先做High Level層級(jí)的，再到Function層級(jí)，然后到Technique層級(jí)。

Technique層級(jí)涉及軟件和硬件。軟件硬件確保了安全性后，再返回往上去做驗(yàn)證。對(duì)于ISO-26262更高級(jí)別的要求，它會(huì)要求有很多Redundant system。如果現(xiàn)行的系統(tǒng)壞了，下面還有一套系統(tǒng)。如果出現(xiàn)問題，另外這個(gè)系統(tǒng)具備使它停下來的機(jī)制。

ISO-26262代表了汽車行業(yè)在安全方面可以做到的極限，在汽車行業(yè)有很高的威望。

首先，它是對(duì)技術(shù)的一個(gè)引導(dǎo)。毋庸置疑它會(huì)使車更加安全。其次，它有很高的商業(yè)附加值。通過這個(gè)認(rèn)證最多的車是德系車，德系車價(jià)格遠(yuǎn)高于同行。第三，它涉及法律中權(quán)責(zé)的問題。

汽車行業(yè)是一個(gè)復(fù)雜的行業(yè)。車廠要把汽車組裝起來，需要對(duì)供應(yīng)商提各種各樣的要求。一旦汽車出現(xiàn)了安全問題，供應(yīng)硬件零件如果符合安全要求，車廠就要承擔(dān)責(zé)任。而汽車的召回一般都是十億美金這個(gè)量級(jí)的。所以這個(gè)認(rèn)證它雖然不是法律，但它在打官司的時(shí)候特別有用。

但I(xiàn)SO-26262也有缺點(diǎn)。它的認(rèn)證過程很繁雜（Very Heavy Process)，不符合敏捷開發(fā)的需求。ISO-26262一定是每一層的文檔都準(zhǔn)備完畢，才可以做下一層。

我們做一個(gè)APP可能以月計(jì)迭代都算慢的，但是做車可能需要十年的規(guī)劃，我們現(xiàn)在開的車可能就是他們十年前規(guī)劃出來的。