Apollo自動駕駛進階課程是由百度Apollo聯合北京大學共同開設的課程，邀請百度Apollo開放平臺研發團隊的中美專家聯合講授。

上期，我們發布了Apollo開源模塊講解（上）。本期，我們將繼續Apollo開源模塊的講解，主要和大家討論什么是ISO-26262。

話不多說，歡迎各位開發者一起進入進階課程第三期。

首先為大家介紹安全方面最基礎的一個模塊ISO-26262。ISO-26262是一個非常復雜、非常結構化的標準。比如說，如果一個硬件達到了ASIL D級別的要求，那么它的故障率是10 fit （Failures In Time, in one billion device-hours of operation），即10億個小時里面出一次故障。這個故障率要比windows藍屏的概率低很多。

從英文來講，安全有兩個詞：Safety和Security。Safety包含兩個方面：系統性故障Systematic Faults和隨機故障Random Faults 。

系統性故障是說，我在設計汽車的時候就存在的缺陷。每次運行的時候，都一定會發現問題。軟件和硬件都有可能存在系統性故障。

隨機故障是由不可控的因素造成的故障，不一定會出現，比如路上顛簸了一下。一般情況下，只有硬件會出現隨機故障。

而Security涉及的不是車自身的問題，而是系統被別人攻占了。以前你要攻陷一輛車，是很困難的事情，沒有物理連接也沒有網絡連接。但是有了無人駕駛技術以后，車總是和網絡相連，讓車變得特別容易被攻擊。

ISO-26262是一個行業規范而不是一個例法，只覆蓋Safety，不覆蓋Security。但我們在做無人駕駛的時候，必須考慮security。

通過ISO-26262的認證是一個特別慎重的流程。

首先你需要明確車具備哪些功能以及這些功能由哪些零部件完成。其次，需要考慮對于車的每個功能是否會出現故障，一旦出現問題是什么級別的問題。

有兩種問題，例如做車的加速系統：一種問題是車在人沒有意識的情況下加速了。另一種是，需要車加速的時候它沒有加速。我們需要把這些問題放到具體的情景中去考慮，最嚴重的問題是哪一種。對于判斷一個問題是否嚴重，ISO-26262給了三個判斷標準：Exposure、Controllable、Separately。

Separately是指車和人分離，出事故后有多少概率會造成人員傷亡。

Exposure是指這件事情是否常見。

Controllable是指車出現了問題，駕駛員是否有機會接管。

ISO-26262的認證過程是一個“V型”。首先要看是什么開發環境，其次要分析問題的等級是怎么樣的。如果是一個很高的等級需要判斷這個問題出現的概率有多大。然后考慮這個問題具體要怎么解決。也就是先做High Level層級的，再到Function層級，然后到Technique層級。

Technique層級涉及軟件和硬件。軟件硬件確保了安全性后，再返回往上去做驗證。對于ISO-26262更高級別的要求，它會要求有很多Redundant system。如果現行的系統壞了，下面還有一套系統。如果出現問題，另外這個系統具備使它停下來的機制。

ISO-26262代表了汽車行業在安全方面可以做到的極限，在汽車行業有很高的威望。

首先，它是對技術的一個引導。毋庸置疑它會使車更加安全。其次，它有很高的商業附加值。通過這個認證最多的車是德系車，德系車價格遠高于同行。第三，它涉及法律中權責的問題。

汽車行業是一個復雜的行業。車廠要把汽車組裝起來，需要對供應商提各種各樣的要求。一旦汽車出現了安全問題，供應硬件零件如果符合安全要求，車廠就要承擔責任。而汽車的召回一般都是十億美金這個量級的。所以這個認證它雖然不是法律，但它在打官司的時候特別有用。

但ISO-26262也有缺點。它的認證過程很繁雜（Very Heavy Process)，不符合敏捷開發的需求。ISO-26262一定是每一層的文檔都準備完畢，才可以做下一層。

我們做一個APP可能以月計迭代都算慢的，但是做車可能需要十年的規劃，我們現在開的車可能就是他們十年前規劃出來的。