前不久宝马的车辆在英国乡村公路上自动加速到110mph，但如果你认为单纯是传感器故障，那就大错特错了。问题是系统性的，这一事件暴露出许多车厂无法理解各个模块之间的关系，以确保系统级安全。

前不久，伦敦《星期日泰晤士报》报道了一篇文章，BMW cruise control ‘took over and tried to reach 110mph’，这则报道还有个令人担忧的副标题——A motorist was sent hurtling over the limit when his car’s technology misread signs.

这一事件表明，汽车传感器可能会误读限速标识，这不会只是单次偶然的事故。宝马X5的Speed Limit Assist使车辆在英国Essex郡限速30mph的乡村道路上加速到了110mph！

本次的宝马事件之所以值得关注，是因为这个故事在很多层面上都充满了教育意义。如果我们能从这次惨败中吸取教训，那么教训经验应该不仅适用于宝马，还适用于所有开发ADAS功能的OEM和Tier1。

对车厂说，最简单的解决方法是将事故归咎于单个部件及其软件。这是宝马的不在场证明。据《泰晤士报》的报道，宝马的一名代表告诉司机，“这辆车没有故障”。该司机在未经允许的情况下被自己的车“接管”了。据宝马称，这一问题是由于传感器“读取了路边的文字或数字”。

在声明中，宝马无意中承认搞砸了系统级工程。这一事件突显了OEM在自动驾驶汽车和ADAS汽车的系统级设计、测试、验证和验证方面的不足。

交叉验证

车厂的最低的责任之一是交叉检查ADAS组件，以确定它们是否可以按预期协同工作。

乔治梅森大学工程学教授Missy Cummings说：“我对此事和相关事件的担忧是，为什么没有对这条道路上的已知限速进行交叉检

查……”数字地图将提供当地的限速，传感器将检测当地的情况，如时间和天气。

安全专家、CMU的副教授Phil Koopman对此表示赞同。“基于视觉的限速标识识别系统有很大的错误率，OEM知道这一点。”

换句话说，宝马知道这种情况有可能发生。

Cummings继续说：“NHTSA的常规命令中充满了ADAS汽车发生事故的情况，这些事故的速度要么对于道路类型来说太高，要么对天气条件来说太高。”美国监管机构去年6月发布了一项常规命令，要求对涉及自动驾驶或L2系统的事故进行上报。

有了充足的公开数据，车厂有充分的时间对车辆进行交叉检查，以发现传感器错误。那么就要问，自去年6月以来，车厂都做了些什么？Koopman指出，他们的立场仍然是“驾驶员有责任减轻该功能的危险故障。”

这里的最大问题在于车厂粗暴地将人类驾驶员作为安全“组件”。这样做的目的是让公司免责，而不是保护驾驶员。

问题出在哪里Semicast Research的首席分析师Colin Barnden分享了他的经历。

“我的车有交通标志识别功能和GPS速度提示。两个系统都可以提示道路限速。有很多次我发现他们的限速提示都不一致，且都是错误的，与道路上的速度标识都不同。根据英国法律，我必须遵守这些标识，这是法律限制，而不是我的车辆告诉我的。”

Barnden分享了另一件令人不安的轶事：

“我当时正在高速上行驶（限速70mph），这时交通标识识别系统变成了5mph，仪表盘变成了红色。但这个系统只是建议性的功能，我忽略了它，因为它是错误的。我开了大约30英里，经过了一个超速交通标识，系统才知道发生了什么。这没有问题，因为速度预警是建议性的，我可以忽略它。但如果这个系统是强制性的，或减慢了车速（或更糟的是踩了刹车），我就会在国家高速公路上以每小时5英里的速度行驶，没办法加速。这是一个非常危险的情况，特别是会有被重卡追尾的风险。”

正如Koopman所澄清的那样，宝马的限速辅助系统“不是常规的ADAS功能，常规功能通过干预来降低事故的严重程度”，比如AEB。相反，该功能“正在主动控制车辆。超越常规的巡航控制，该功能通过自动加速增加了风险。

那么问题来了，车辆什么时候可以控制启动变化，以及驾驶者必须如何以及用多快的速度同意车辆的决定？

Barnden补充说，“适应速度的技术并不是万能的。在不了解这样做是否安全的情况下，自动根据标识上的内容调整车速是不安全的。同样，科技也不能推翻驾驶员的判断，强制执行最高限速，因为它也可能是错误的。”

ADAS与自动驾驶的区别

Koopman对2023年AV的预测强调，ADAS和自动驾驶之间的界限在哪里是一个问题。以宝马的限速辅助系统为例，“当自动驾驶功能可以引发重大的行为变化时，例如大幅加速，这就不再是驾驶辅助系统。这是一个自动驾驶系统，它应该有更高的安全标准，以应对它带来的新危险，尤其是当驾驶员只有有限的时间来做出反应时。”

他补充说：“我们已经知道幽灵刹车很危险。宝马事件相当于幽灵加速，这肯定也是一个问题。”

当被问及车厂如何才能减轻这些缺陷，而不只是将责任推卸给驾驶员时，Koopman主张“全面检查和交叉检查”，这些包括：

与道路限速比较

与地图上的限速进行比较（即使是非高精地图也有限速，尽管它们并不完美）

考虑道路类型（车道数量、转弯、前方的岔道）

测量其他车辆的车速，包括反向行驶的车辆和在岔路口行驶的车辆，以校准邻近区域的限速

记住车辆上次在同一条路上行驶的限速

简言之，Koopman总结说，宝马“本可以从各种数据源至少获得几种数据，但它没有这样做。”

Cummings指出：“开发代码并不困难，它可以将指令速度与地图上的速度或已知天气条件下的合理速度进行交叉验证。如果你的车足够聪明，能在下雨时打开雨刷，它就应该知道不要以不安全的速度驶出匝道，尤其是在下雨的时候。”

Barden在英国的报道中还发现了一些别的东西：“我注意到车辆正加速到110mph。这高于英国的限速（70mph），但德国有限速110mph的标识。这个系统甚至还不够智能，无法区分以英里/小时（mph）为单位的输入和以公里/小时（kph）为单位的输入。英国没有110mph的速度标识，系统甚至不知道这些。它只是跟着它认为自己看到的任何东西行驶，这是模式匹配，而不是智能的速度适应。”

Cummings补充道：“对我来说，为什么没有更综合的努力来更全面地理解什么是‘合理的’操作限制，然后让车辆遵守这些限制，这让人无法理解。”

AI必须与人类合作

只要人类驾驶员还依赖于ADAS的车辆，就必须有更好的方式让机器与人类合作，而不是让人类承担机器错误的主要责任。

MIT的研究科学家Bryan Reimer在今年CES上指出，“人类的决策过程没有AI系统那么快。然而，人类对灰色信息的反应比AI系统要好得多，AI系统的程序更多是非黑即白的。”

Koopman指出，AI缺少的是像人类那样的“常识”。人类知道，除了极少数特定的道路和赛道外，100mph是不合理的。人类也会在城市道路设定较低的限速。在没有看到路标的情况下，人类明白高速穿过一个小镇是不可以的。

Koopman提出了“更好地将人类驾驶员整合到安全系统中”。例如，ADAS可以在采取行动之前要求司机确认速度变化。机器还可以被调整为逐渐加速，或根本不加速，除非司机确认速度变化。这让司机有时间做出反应并控制。

系统工程

Cummings表示，“除了车厂在部署自动驾驶功能方面可以采取的措施外，一个更大的问题在于自动驾驶汽车设计中缺乏成熟的系统工程概念。众所周知，在ADAS/ADS设计中，仍然严重缺乏跨模块以确保功能安全的综合概念，特别是在测试和验证领域。”

车厂必须考虑嵌入AI可能或应该如何改变系统的构思、设计和测试方式，包括系统工程流程。

Cummings在即将发表在上的一篇技术论文中写道，行业或政府监管机构在调整测试实践以解决AI盲点方面几乎没有取得实质性进展。

其中关于软件更新的章节让人印象深刻：

“一个主要的问题是软件代码的不断更新，这是敏捷软件开发的一个必要的副产品。在这种设计方法中，软件可以以看似非常微小地进行更改，但随后会导致意想不到的结果。”

换句话说，正如Cummings所指出的，“没有原则性的测试，特别是对于那些可能对人类产生衍生影响的软件，就会为潜在的系统故障埋下隐患。”