关于自动驾驶的讨论,常聚焦于算法与算力。但深入事故复盘会发现,真正的安全瓶颈并非“能不能跑”,而是“出问题时怎么办”。本文从系统安全工程角度,揭示了自动驾驶面临的三大核心瓶颈,为理解其真实挑战提供了新视角。

智能速览
自动驾驶的安全瓶颈是系统问题,而非单点技术问题。
无限的失效模式超出传统工程分析能力,风险难以穷举。
人机交互是当前最薄弱且难以验证的安全环节。
系统普遍缺乏运行中的“安全自知”与闭环能力。
真正的安全是从“设计安全”走向“运行安全”的持续能力。
精华内容
探究自动驾驶的安全问题,真正的挑战并非让车辆变得更智能,而是确保它在无法应对时能安全地停下。这背后是系统工程的深层困境。
系统复杂性超限
自动驾驶的失效模式远超传统车辆,不再是单个传感器或ECU的离散故障,而是多源感知在边界条件下同时偏差、算法在罕见场景中形成错误闭环的系统性失效。
由于多传感器融合与高度耦合的软件栈,系统的状态空间呈指数级增长,远超人工分析能力。这导致传统的FMEA、HAZOP等分析方法覆盖能力下降,很多危险路径在设计阶段无法被识别。我们面对的风险,是不知道“还有多少不知道的风险”。
人机交互黑洞
行业内普遍假设系统不行时人可以接管,但从安全工程看,这是一个问题重重的假设。人的注意力不可验证,响应时间不稳定,使其成为一个无法被安全验证的组件。
事故复盘中常有系统发出接管请求,但驾驶员并未形成有效控制的情况。这并非简单的“提示问题”,而是安全机制的根本失效。在ISO 26262体系下,安全机制需可定义、可验证,但“人是否会正确接管”无法量化失效概率,这使得HMI成为整个系统中最不安全的一环。

运行安全缺失
当前主流的安全工作集中在“设计时”,但现实中的危险往往发生在设计之外,如极端天气或罕见的交通行为。理论上清晰的ODD(运行设计域)边界,在现实中是连续且模糊的,系统常常“以为还在ODD内”而超出能力。
真正的安全系统应具备对自身能力的实时评估与风险感知能力,但目前多数系统更擅长“继续跑”,不擅长“及时停”。这种缺乏实时“安全自知能力”的现状,使得“不会停”比“不会跑”更危险。

自动驾驶的安全,不取决于它有多聪明,而取决于它在“不聪明”时,是否知道该停下来。当系统具备自知边界、自主降级和自我约束的能力时,自动驾驶的安全才能真正站得住脚。从“功能正确”迈向“行为可解释”,或许是下一个关键突破点。