“我們不喜歡飛機艙意外出現漏洞；我們不喜歡橋梁坍塌；我們不喜歡核電站泄漏的放射性物質。但是工程師們必須按照特定的規范設計東西，并且他們必須解決如何保證安全機制足夠安全的問題。”國際風險分析學會主席巴魯克·費斯科霍夫(Baruch Fischhoff)教授在著作《人類可接受風險》中這樣描述。

在巴魯克·費斯科霍夫看來，“安全的定義并不是嚴格的工程術語，而是一個社會術語。”

而回到我們現在在談論的自動駕駛汽車時代，汽車工業，政府監管者現在正在考慮的是：“安全有多安全？“

特斯拉現在看來仍然非常激進。

公司CEO埃隆·馬斯克曾經說過：“僅僅為了躲避批評或害怕卷入訴訟而保留提高安全性的功能，在道義上是錯誤的。”

對于此前發生的一起特斯拉車輛事故，特斯拉爭辯說，在明亮的天空下，司機和汽車都無法分辨或響應一輛白色拖車在前方穿過馬路。

上周六，特斯拉正式向北美用戶推送“Navigate on Autopilot”，在原有的單車道自動駕駛和半自動變道的功能上，增加了半自動上下高速匝道功能。

全車搭載8個攝像頭、1個毫米波雷達和12個超聲波雷達。但目前使用岔路自動轉向和自動下匝道兩個功能，以及自動變道，都還需要駕駛員打轉向燈后車輛才能執行。

馬斯克表示，在通過1000萬英里（約合1609萬公里）的測試確認安全性滿足要求后，特斯拉會取消這一個步驟，讓整個流程更加便利。

但大多數機構此后抨擊特斯拉的做法，“我們不認為人類應該被用作測試對象。汽車制造商需要在和消費者溝通系統能力和局限性方面做得更好。”

當然，自動駕駛的安全性，來自于過去對交通事故數據的分析。鑒于大約94%的機動車碰撞是由于駕駛員失誤造成的，一般假設無人駕駛汽車將被證明是更安全的替代方案，比如駕駛員酒駕、分心、疲勞等等。

但實際上，今天自動駕駛面臨最大的問題是道路條件的變化。有經驗的司機知道如何應對各種情況和障礙，包括行人、自行車手和道路布局的變化。

近日，美國交通部負責政策的副部長Derek Kan表示，自動駕駛汽車制造商需要一個更好的標準來證明他們的產品是安全的。

在他看來，目前自動駕駛公司最廣泛使用的兩項指標——行駛里程和人為干預頻率——不足以證明自動駕駛汽車的安全性。

其中最大的問題來自于這些指標本身存在的缺陷。比如，每家自動駕駛公司的路測里程是“不平等的”。這些里程，有多少是在復雜街區，又有多少是在空曠的公路上？此外，對于每次人為接管介入的具體原因，其實不盡相同。

厄姆森也不贊成目前行業對自動駕駛系統成熟度的兩種衡量標準：汽車行駛了多少英里，以及人類安全駕駛員需要多久干預控制一次。“比如，識別紅綠燈或左轉箭頭，才是目標。”這就是我們正在尋找的評估方法，我們關心在這些功能上的差距。”

作為自動駕駛初創公司Aurora的CEO，厄姆森表示“我認為有很多人低估了自動駕駛系統的微妙和復雜。”在帶領并幫助卡內基·梅隆大學在Darpa挑戰賽贏得冠軍之后，厄姆森成為谷歌自動駕駛團隊的創始成員，他一直呆到2016年。

在這個領域中，許多迫在眉睫的問題之一是如何向警惕的監管者證明，自動駕駛車可以足夠安全地大規模部署。沒有真正的機制可以做到這一點，具體情況會因城市而異。

問題分成兩部分：首先是當事情（故障）發生時，接下來會發生什么。比如，傳感器可能會崩潰，計算機可能會崩潰。然后，你為每種故障設置一個修正或響應機制。汽車會靠邊停車，它會激活后備系統，它會告訴后臺人員，等等。

其次，我們需要證明當一切都是正常工作時，系統工作的有多出色。這類似于統計學原理，比如我們識別了多少行人，識別了多少紅綠燈/左轉彎標識等等。

目前來看，很多問題的解決是非常困難的，我們需要專注于一些關鍵問題，并不斷完善，這仍然需要很長時間。

今年10月，Waymo官方宣布旗下自動駕駛汽車在公共道路的測試里程突破1000萬英里。這個數字，為Waymo無人駕駛出租車車隊即將宣布正式開始商業化運營提供了非常漂亮的安全佐證。

有業內人士質疑，“簡單的里程積累，不意味著車輛就能夠處理各種各樣的突發路況。“

我們可以類比一下飛機的安全標準。飛機也同樣是大量的控制參數越來越多的依靠計算機軟硬件承擔，因此軟硬件產品的質量和可靠性不僅影響到產品的性能，甚至會危及飛機的安全。

在大多數情況下，大家都承認自動駕駛可能比一個（可能分心的）人類駕駛員更快地做出正確的決定。但是如果失敗了怎么辦？

與自動駕駛汽車相關的主要標準是ISO 26262。其目的是確保在整個汽車系統中進行適當的安全管理。ISO 26262的一部分是汽車安全完整性等級（ASIL）分類的優先集合。

ASIL級別分類是由硬件故障（或控制硬件的軟件）在不同場景中造成的危害的嚴重程度所決定的，并且分為四個等級從A到D（最嚴格）。

遵從ISO 26262要求硬件和軟件被設計成安全的，例如使用回退路徑、自我監控和冗余。硬件需要根據其運行的ASIL級別進行測試。

軟件開發也有一個標準。汽車SPICE（ASPICE）是一個設計和評估汽車軟件開發過程的標準框架。

在汽車系統開發中，安全性、可靠性和可追溯性至關重要，因此是產品開發人員的主要關注點。相關的法規和指導方針包括IEC 61508、ISO 26262、ISO 15504（汽車SPICE）和用于安全關鍵型汽車軟件和設備開發人員的CMMI（能力成熟度模型集成）。

這些標準一般規定：對需求和過程的一致性、透明性和可追溯性的需求；全面風險管理和質量保證活動；有效和成熟的開發方法和流程的使用；對整個生命周期中的工件和過程進行清晰的文檔化。

值得注意的另一個標準是IEEE 2020，本標準目前正在起草中。它指定的方法和指標用于測試汽車圖像的質量，以確保一致性和創建跨行業參考點。

目前，在行業內沒有一致的方法來測量基于機器視覺的汽車圖像質量。IEEE 2020將定義一套標準化的用于測量汽車相機圖像質量屬性的客觀和主觀測試方法，并指定工具和測試方法。

顯然，從行業的技術和測試標準角度，還處于非常早期的階段。

此外，圍繞法律還有一整套問題，包括責任、網絡安全和隱私。

“重要的是，政府沒有試圖在監管方面領先于技術。”一位接近美國交通政策制定的人士表示，“我們不知道正確的答案是什么。它的變化非常迅速，政府監管也無法跟上。所以，現在最好的辦法就是觀察技術的發展，讓它在規范之前成熟一點。”

當然，減少風險通常意味著減少效益。比如，無人駕駛移動出行車輛的行駛速度控制在一個相對低速的狀態，但這并不符合出行商業模式要解決的痛點。

而如果沒有一個普遍接受的定義，什么是足夠安全的無人駕駛汽車，這條道路顯然變得是曲折前行。

“當他們（自動駕駛系統）像十幾歲的司機時，我們是否允許他們在路上，或者我們等待他們像職業司機一樣好嗎？”其實，這樣的問題，就是之前人們在面對人工智能的時候，同樣需要面對的。