自动驾驶以及相关技术的推崇者近年来一直在宣扬：自动驾驶指日可待；然而令人有些吃惊的是，自动驾驶的未来突然变得有些不明朗。（在 Google 英文网站上搜索“just around the corner”可以知道之前自动驾驶的呼声有多高。）人们的观点之所以改变，最直接的原因就在于自动驾驶已经发生事故，甚至包括几起人身伤亡事故。也许在可预见的未来，公众舆论将转向安全性和可靠性；如果芯片或者传感器设计不好，整个品牌的命运和所有车辆都将毁于一旦。公众和媒体的质疑以及政府机构的高度重视，都使目前环境下的创新压力重重。试验所有车型必然会产生额外费用。硅谷、全球汽车厂商和分散在世界各地的汽车供应商该如何应对呢？

几年前，人们对于自动驾驶的前景几乎完全抱有积极态度。人们以为自动驾驶车辆可以无所不能，包括缓解交通压力、减少二氧化碳排放、帮助年老和伤残人士、简化冗长的事故索赔程序。当然还包括大量减少事故伤亡人数。甚至最偏见的新闻机构和记者也对不带方向盘和踏板的汽车模型开发满怀热情。推动此类汽车发展的技术人员和高管也一度被推崇为技术领袖。

几年的时间却是风云巨变。如今在对自动驾驶推动者的一片质疑声中，唯一的得胜者就是修正安全方案的监管人员。舆论总体导向就是批判主义或彻底敌对。毫无疑问，促成这一转变的其中一个原因就是技术方面的混乱，人们不再将其视为单纯美好的事物，而是像潘多拉魔盒一样带有诅咒。（例如，自动运输车辆可大幅降低成本和提高效率，但也可能使数百万司机失业。）造成自动驾驶技术负面情绪不断增长的部分原因仍是众人皆知的几起伤亡事故，即使无人谈论这些事故，但所有人都认为此类事故还将增加。

重申交通事故研究工程师一直告诫我们的问题，就显得意义重大。人类驾驶造成的伤亡居高不下，引领新技术发展的要点就在于减少伤亡，然而实际情况却愈加糟糕。统计数据表明，在连续几年数据下降之后，2017年美国公路交通事故死亡人数增加，超过 40,000 人的历史记录，而之前一年为 36,000 人。让人类尽快远离驾驶和自我判断的理由似乎更加充足。然而，鉴于驾驶在文化中的独特地位以及人类心理的变化莫测，自动驾驶技术似乎需要显著提高安全性，才能实现大规模部署。埃隆·马斯克的一个著名论断就是，在特斯拉自动驾驶系统达到比美国车辆平均安全性高 10 倍之前，他不会去掉测试标签。还有人说，这个安全级别还要更高才行。

图 1：美国国家运输安全委员会成员检查亚利桑那州坦佩市一起伤亡事故中的优步自动驾驶汽车。

汽车行业如果要将其转化为现实，还需要通过仿真和测试来开发智能安全系统，从而打消公众、监管人员和政府机构的顾虑。这样的开发过程，不仅需要物理测试，还需要物理仿真。物理测试用来验证实体产品符合具体要求以及类似 ISO 26262 这样的功能安全性质量标准。另一方面，仿真可以实现快速而节约成本的设计迭代，并验证系统是否能够应对真实环境中可能出现的所有用例，以此来重现问题并提高安全性。重点关注完整验证和确认框架的完善研究方法就在于，帮助行业更快找到完整解决方案，从而加快自动驾驶车辆的开发。

与敏捷软件开发一样，这种研究方法强调方法的迭代性、增量性和系统性，并且反馈和采纳周期时间极短。此方法必须遵守的两项主要要求包括： 

1.制造商、监管机构和消费者设定的内部和外部指导方针。 

2.具有较强解决问题空间的数字化双胞胎。这不仅包括配有传感器和算法的详细车辆模型，还包括对路况、交通、乘坐者和天气这类物理空间的 3D 描绘。

最终目标是让自动驾驶车辆成功上路。为实现这一目标，自动驾驶技术的安全性和可靠性必须经得起考验，包括芯片系统设计、传感器开发、数据融合和系统集成以及整车性能评估和交通影响分析。我们所提议的研究方法包括使用高级仿真环境的三种不同验证和确认(V&V) 环境以及物理测试设备，从而帮助原始设备制造商、一级供应商以及其他解决方案提供者证明其提供的自动驾驶系统经过认证、足以成功上路。

首次 V&V 环境是通过应用于模型在环 (MIL)、软件在环(SIL) 和群集应用程序的仿真工具执行的。此环境的宗旨就是在受控环境中涵盖尽可能多的场景（数百万种场景），并能够快速且相对轻松地应变。2018 年 3 月推出1 且由多家商业出版物，包括 电子工程专辑大力宣传的西门子自动驾驶解决方案，正是这样的一种研究方法。

第二次 V&V 环境融合了软件和硬件以进行硬件在环(HIL)、整车在环 (VIL) 和驾驶员在环 (DIL) 测试。此环境需要的场景数量相对较少（几千到几万个），主要集中在需要验证的最为关键的场景集。

第三次也是最后一次 V&V 环境在模拟环境中进行，用来表示真实生活用例集。此环境仅测试几十或几百种场景，通常根据监管机构的要求决定。此最终环境的结果如果符合预期，则车辆可以准备上路。

每个 V&V 环境都会进行迭代以搜集结果，这些结果随后将应用于软件和硬件设计采纳，直到满足要求。这种迭代贯穿于整个生命周期开发，以便形成简化、强劲而快速的自动驾驶车辆开发流程。

图 2：电子工程专辑宣传了西门子 2018 年推出的自动驾驶系统仿真方案。

此研究方法要想获得成功，仿真功能必须扩展以处理数百万种最终表示真实生活的场景。仿真工具必须提供以下功能： 

● 真实传感器仿真 

● 配有标注数据的真实静态和动态世界模型 

● 真实乘坐者模型 

● 真实车辆模型 

● 强劲的群集和测试自动化功能

Siemens PLM 致力于提供具备以上所有功能的集成工具包。今年春天我们推出的自动驾驶解决方案，是Simcenter 产品组合的一部分；它整合了 TASS 的PreScan 仿真环境，能够为无数种驾驶环境、交通状况和其他参数，创建高度真实的、物理仿真原始传感器数据。从 PreScan 仿真 LiDAR、雷达和摄像头传感器获得的数据随后输入 Mentor 的 DRS360 平台，经过实时融合，能够创建汽车周围环境和驾驶状况的高分辨率模型。客户可以利用 DRS360 平台卓越的感知分辨率和高性能处理能力，测试并优化障碍物识别、驾驶策略等重要任务的专用算法。

最终，此工具包还会融合到产品生命周期管理 (PLM) 环境（例如 Teamcenter）和需求管理工具（例如Polarion）。

此外，任何设计工具还必须足够灵活，才能执行不同级别的仿真。物理传感器仿真对于改进自动驾驶车辆的性能固然至关重要，但是传感器建模结果越接近现实，花费的计算精力就越多。这正是我们的工具也提供更理想化传感器的原因，这些传感器可以在艰难的实时硬件在环设置中用于完整系统测试。随着时间的推移，图形卡、人工智能和总体计算能力不断提升，相关技术会足够精确和快速，可以满足所有必需 V&V 环境使用要求。

图 3：兰德公司 2016 年报告数据表明，自动驾驶车辆如果要获得 95% 人的信任，所需无事故安全行驶里程数比人类驾驶要低。

图 4：PreScan 屏幕截图；工具使用光线跟踪对单车道变道这种规避机动能力进行建模。

接下来轮到测试了。尽管仿真在自动驾驶车辆开发流程中的重要性日趋增加，但是此类车辆在证明其具备应对真实世界环境情况能力之前，测试工作仍将继续。我们坚信，这一最后步骤是对仿真的高度补充，正如各种UNECE/EuroNCAP 官方认证对高级驾驶辅助系统(ADAS) 和乘坐者安全系统验证和鉴定结果一样。我们在进行跑道试验之前使用仿真，同时，我们也使用试验跑道测试结果改进仿真工具的工作方式。我们相信，这种测试方法将优化车辆完成路测所需的时间，同时提高总体测试覆盖范围。此外，在不久的将来，虚拟验证也将融入这一过程，成为自动驾驶车辆测试中不可或缺的一部分。

图 5：TASS 在德国亚琛工业大学 Aldenhoven 测试中心进行高级驾驶辅助系统 (ADAS) 测试。

任何构建安全自动驾驶车辆和系统的方法都依赖于软件，而我们都知道，根据马克·安德森的论断，软件吞噬一切，或者至少标榜自身为开发流程中较重要的输入（除工程师的大脑以外）。因此，毫无疑问的是，不仅芯片和系统需符合 ISO 26262 标准要求，用于创建这些电子大脑和感觉器官的软件工具也需要满足标准要求。

关于集成电路电子设计自动化 (EDA) 行业采用功能安全程序和 ISO 26262 标准，可谓众说纷纭。关于如何应对这些质疑，我们提供以下三点建议： 

1.注意：电子设计自动化 (EDA) 功能安全程序重点关注认证流程，而非单独的某个工具。原因何在？简言之，EDA 软件本质上属于单点解决方案，而基于 ISO26262 认证流的功能安全程序可以掩饰某些独立工具在可靠性方面的不足。绝大部分芯片制造商根据不同EDA 厂商提供的特定工具制定了自身认证流。因此，当 EDA 功能安全程序在对仅包含工具的认证流还是认证各个工具自身价值进行优先顺序划分时，他们忽略了现实情况，即芯片制造商是通过 EDA 软件设计产品的。正如纸牌堆成的房子一样，从认证流中去掉任意一个工具，都会导致认证流不符合 ISO 26262标准要求，除非芯片制造商仅采购一家 EDA 软件公司的工具，而这种情况几乎从未发生过。与坚持只选一家 EDA 软件提供商相比，更好的做法是采用  ISO26262 这样以工具为中心的方法，芯片设计者可以选择适合设计的更佳工具并且可以相信每种认证过的工具自身都可以符合安全标准，而无需依赖于更大的认证流。 

2.这与术语“工具置信水平”(TCL) 相关。尽管 EDA 新闻报道大肆宣扬 TCL 评级，但以下两个要点至关重要：(1) 软件工具资质认证的目标是资质认证，而不是 TCL。TCL 不过是衡量资质的一个标准。(2) 工具是否能够自身独立而完全无需依赖认证流或认证链中的其他工具并独立达到 TCL2 或 TCL3 级别，这是重中之重。绝大部分的情况是，TCL 1 认证流中的工具如果从特定流中独立出来，并不能达到 TCL 1 级别，就像前面提到的，抽出其中一张牌，整个纸牌屋就会坍塌。此处推荐的另外一种方法是寻找一种能够自身独立于任何认证流并符合 ISO 26262 标准要求的工具。 

注意：电子设计自动化(EDA)功能安全程序重点关注认证流程，而非单独的某个工具。原因何在？简言之，EDA软件本质上属于单点解决方案，而基于 ISO 26262认证流的功能安全程序可以掩饰某些独立工具在可靠性方面的不足。

3.确保 EDA 提供商严格遵照文档编制。对于每项 ISO26262 认证，EDA 提供商准备软件工具认证报告，包括分类和验证过程摘要、结果、修改建议、项目特定流程措施和有关工具使用的详细信息。这种文档编制可以证明 EDA 提供商已经满足 ISO 26262 标准要求的所有必需步骤。这些信息对于芯片制造者意义重大，因为它对工具的准确使用方法提供了分步指导，从而可以建立符合安全要求的最终产品。但另外很重要的一点是，仔细阅读众多 EDA 工具资质报告细则会发现，客户需要确保佐证精确。可以吸取的教训是，如果 EDA 提供商无法严格遵照并有效证明文档编制，需考虑另辟蹊径。

强大的 V&V 研究方法和有效遵照 ISO 26262 标准要求的方法是创建 L4/L5 自动驾驶车辆的途径所在，尽管当前局势不够明朗，但这依然是大势所趋。汽车历史爱好者可能会发现，十九世纪九十年代出现第一起汽车伤亡事故的时候，尽管政府严厉打击、人民起义严重抗议汽车发展，但这一切并没有真正阻碍汽车的发展。人们一度提出限速要求但随后又推翻。尽管交通事故死亡率上升，汽车创新和销售仍加速发展，并最终改变了城市、经济以及我们的生活方式。当然也许您有很多种解释这一历史现象的方式，但不得不承认的是，个人交通因此变得如此多样而受益无穷，因此对于整个社会而言，人们仍然愿意牺牲一小部分的安全性而去追求不用马车的运输方式或是如今的特斯拉所带来的无限优势。（另外值得注意的是，尽管如今的交通意外伤亡数量发人深省且居高不下，但现代化的车辆相对仍然是非常安全的。在美国，车辆行驶一亿英里才出现一起死亡事件，而这个里程数对于绝大部分人而言，可能比他们一辈子驾驶的里程还多几十倍。）

我们相信，V&V 和测试研究方法需要考虑各种相关利益方的要求，同时使用一种框架在高级物理仿真环境中创建车辆和真实世界的数字化双胞胎。我们的目标是使用

图 6：PreScan 构建的密歇根州 Willow Run 工厂的美国移动中心模型。

这种研究方法实现 L4/L5 自动驾驶车辆的创造和采用。借助我们的现有验证和认证服务以及我们的软件工具，我们坚信可以实现这一目标并完成“让梦想成真”的使命。对于自动驾驶车辆的未来、大幅减少交通事故数量以及这种自动化会为全世界带来的崭新机遇，我们翘首以盼。