Apollo开源模块的讲解:什么是ISO-26262

Apollo自动驾驶进阶课程是由百度Apollo联合北京大学共同开设的课程，邀请百度Apollo开放平台研发团队的中美专家联合讲授。

上期，我们发布了Apollo开源模块讲解（上）。本期，我们将继续Apollo开源模块的讲解，主要和大家讨论什么是ISO-26262。

话不多说，欢迎各位开发者一起进入进阶课程第三期。

首先为大家介绍安全方面最基础的一个模块ISO-26262。ISO-26262是一个非常复杂、非常结构化的标准。比如说，如果一个硬件达到了ASIL D级别的要求，那么它的故障率是10 fit （Failures In Time, in one billion device-hours of operation），即10亿个小时里面出一次故障。这个故障率要比windows蓝屏的概率低很多。

从英文来讲，安全有两个词：Safety和Security。Safety包含两个方面：系统性故障Systematic Faults和随机故障Random Faults 。

系统性故障是说，我在设计汽车的时候就存在的缺陷。每次运行的时候，都一定会发现问题。软件和硬件都有可能存在系统性故障。

随机故障是由不可控的因素造成的故障，不一定会出现，比如路上颠簸了一下。一般情况下，只有硬件会出现随机故障。

而Security涉及的不是车自身的问题，而是系统被别人攻占了。以前你要攻陷一辆车，是很困难的事情，没有物理连接也没有网络连接。但是有了无人驾驶技术以后，车总是和网络相连，让车变得特别容易被攻击。

ISO-26262是一个行业规范而不是一个例法，只覆盖Safety，不覆盖Security。但我们在做无人驾驶的时候，必须考虑security。

通过ISO-26262的认证是一个特别慎重的流程。

首先你需要明确车具备哪些功能以及这些功能由哪些零部件完成。其次，需要考虑对于车的每个功能是否会出现故障，一旦出现问题是什么级别的问题。

有两种问题，例如做车的加速系统：一种问题是车在人没有意识的情况下加速了。另一种是，需要车加速的时候它没有加速。我们需要把这些问题放到具体的情景中去考虑，最严重的问题是哪一种。对于判断一个问题是否严重，ISO-26262给了三个判断标准：Exposure、Controllable、Separately。

Separately是指车和人分离，出事故后有多少概率会造成人员伤亡。

Exposure是指这件事情是否常见。

Controllable是指车出现了问题，驾驶员是否有机会接管。

ISO-26262的认证过程是一个“V型”。首先要看是什么开发环境，其次要分析问题的等级是怎么样的。如果是一个很高的等级需要判断这个问题出现的概率有多大。然后考虑这个问题具体要怎么解决。也就是先做High Level层级的，再到Function层级，然后到Technique层级。

Technique层级涉及软件和硬件。软件硬件确保了安全性后，再返回往上去做验证。对于ISO-26262更高级别的要求，它会要求有很多Redundant system。如果现行的系统坏了，下面还有一套系统。如果出现问题，另外这个系统具备使它停下来的机制。

ISO-26262代表了汽车行业在安全方面可以做到的极限，在汽车行业有很高的威望。

首先，它是对技术的一个引导。毋庸置疑它会使车更加安全。其次，它有很高的商业附加值。通过这个认证最多的车是德系车，德系车价格远高于同行。第三，它涉及法律中权责的问题。

汽车行业是一个复杂的行业。车厂要把汽车组装起来，需要对供应商提各种各样的要求。一旦汽车出现了安全问题，供应硬件零件如果符合安全要求，车厂就要承担责任。而汽车的召回一般都是十亿美金这个量级的。所以这个认证它虽然不是法律，但它在打官司的时候特别有用。

但ISO-26262也有缺点。它的认证过程很繁杂（Very Heavy Process)，不符合敏捷开发的需求。ISO-26262一定是每一层的文档都准备完毕，才可以做下一层。

我们做一个APP可能以月计迭代都算慢的，但是做车可能需要十年的规划，我们现在开的车可能就是他们十年前规划出来的。