Marc Corona：女士们、先生们，非常高兴能参与此次盛会，跟大家分享我们ISO/TC22工作组最近的工作，首先简要介绍一下ISO国际标准化组织的工作，介绍一下TC22委员会的工作。

先简要介绍一下ISO，它是各国标准组织的全球联盟，中国的国标委、德国的标准化组织、法国的标准化组织，还有日本、美国等等各国的标准化组织都是在这个联盟之内的。通常我们会跟各国的标准化组织合作，来制定一些标准，比如我们和中汽中心开展合作，制定汽车领域的标准，在德国我们会跟VDA进行合作，在日本GSE等等，我们跟各个国家不同的负责标准化工作的机构开展工作。大家也会了解到我们的组织架构是由一些专门的技术委员会和分委员会构成的，所有成为TC或者SC，不同的国家会参与到不同技术委员会的工作当中，这些参与者一方面是专家，他们是站在专业的角度，而不是站在国家利益的角度来参与我们的工作，他们一定程度上代表了不同国家的主要关切点。

我来自的这个技术委员会就是TC22委员会，关注道路车辆的标准化工作，从机动自行车、摩托车、小轿车、卡车、大巴，关注道路车辆的标准制定。我们在讨论ICV，讨论智能网联汽车的时候，我们有另外一个ISO组织在负责这方面的标准化工作，也就是TC204这个委员会是负责智能交通系统的标准化工作。所以一方面我们22委员会负责这方面的标准化工作，同时这方面的工作也属于TC204的工作范畴。比如说让他们制定了ISO22736这个文件，它是关于道路机动车自动驾驶系统的分类和术语定义的一个标准文件。ISO大家都知道，SAE是我们行业组织。所以我们两个组织开展合作制定了这个文件。

来看一下标准是什么，我列出的并不是标准的分类，通过表格可以容易的解释我们制定的标准是什么，能够为行业带来什么，我们会发现我们有很多不同类型的标准，首先大家在表格里看到有对于术语的标准，刚才跟大家介绍的ISO和ICV共同制定的标准文件就是跟术语相关的标准，术语标准就是去定义一个行业相关的术语它是什么意思，达成共识，另外有关于测试方法的标准，还有性能标准，还有接口标准，对于智能网联汽车来说不同零部件之间的连接等相关标准，这是一个非常重要的领域。另外还有框架标准，比如说ISO26262就是一个框架标准，为不同的产品和服务提供基础性的标准。目前对于智能网联汽车来说我们还没有制定出具体的性能标准。我们考虑到智能网联汽车的性能，我们需要考虑怎么样评估它的性能，对于智能网联汽车安全性也是很重要的，比如对于锂离子电池来说安全性是很重要的一个方面。我们必须要在它的安全性方面确定一个具体的值，这样的安全值是由法规来确定的，法规会通过标准值引导行业的发展。所以法规一般确定的是最低的标准，再之后我们会有致力于消费者保护组织，他们会介入进来，你达到了法规规定的最低标准，你可以做的更好，我们有不同层级的区分。NKP（音）就是鼓励主机厂，鼓励汽车制造商不断的提高他们的性能和安全性，这个是法规和消费者保护测试规范之间的差异。

接下来看一下我们在自动驾驶方面的主要关注点，也就是说自动驾驶系统为了达到完全的部署，应该解决的一些问题。我这里不会非常详细的跟大家分开去讲，这一页PPT大家可以看到，这个是29工作组关注的一些问题。首先就是安全，我们在PPT上可以看到，大部分的内容都是跟安全性相关，安全对智能网联汽车是至关重要的，网络安全也是作为安全性的一个部分，对于这个行业来说安全性是最大的挑战。这里也列出了消费者认知，不再细讲了，后面会稍微涉及到一些。

我们在讨论安全性的时候，所有参与到安全性工作的人都会想到ISO26262这个标准文件，这个标准其实是一个标准系列，有一系列的标准文件组成，它关注的是电器系统和电子系统，也就是车辆电器系统和电子系统的功能安全。这个标准主要关注的是由于这些系统的功能失灵或者功能障碍所导致的，对于车辆成员的风险。它主要有两个来源，一个是随机的硬件故障，这个是我们关注的一个方面，另外一个故障就是我们称之为的系统性故障，也就是存在于车辆系统设计当中的系统性故障，在车辆设计当中就存在的障碍或者风险，所以我们关注的是这两方面的故障。

我们介绍一下这个标准下的方法论，对于ISO26262的标准，首先要了解的一点，我们先做的工作是进行风险评估，比如看一下气囊系统，进行相应的风险评估，去找到相应的，比如说气囊的风险点是什么，可能会存在哪些危险，比如说无意识的情况下触发气囊，一旦发现一个风险点之后，我们就需要针对这个风险点设定一个目标，它的安全目标。我们会从A到D不同的级别分类，一旦我们对于一个风险点设定安全目标以后，我们会确定一个合适的过程或者流程，去帮助我们实现这个安全目标。我们使用了比较典型的方式，从一个系统的角度对它进行评估，所以我们探讨的是功能性安全，化解为技术性问题，落实到每一个硬件和软件，它的功能性是不是安全的，这是我们的一个方法论。这个标准在2011年就已经开始了，每五年会做一个修改，这个有点不一样，我们当时功能性安全方面有太多的项目，2014年我们就开始对功能性安全的标准进行修改，2018年又进行了一次修改，新的版本涵盖了更广泛的范围，比如涵盖了半挂车、卡车，同时包含摩托车，摩托车也开始进行功能性安全的标准判定，同时提升了管理安全，以及提升了对复杂系统功能性安全的评定，也就是说那些互动的系统，不能只按照简单的安全目标进行评估，所以新的版本也涵盖了复杂系统、互动系统的安全评估。更重要的是新的指导文件当中也包含半导体和相关的应用程序的评估，安全性评估。随着新版本的出台，我们对半导体和相关的应用程序也可以涵盖安全性的标准评估。

但是我们可以说还有很多的工作要做，因为谈论到自动驾驶的时候，即使出现故障我们也希望它是安全的，谈到ISO26262不仅仅包含正常上路安全，同时也涵盖了出现故障之后自动驾驶系统或者辅助驾驶系统出现故障也能够正常操作，这里我们要提两点，我们ISO20262文件新版本，它涵盖了故障后操作性的标准，我们叫做故障后能操作，我们将会实现让系统自动失灵，失灵后形成自动的故障模式，故障下驾驶模式。也就是说我们在测试过程中系统自动宕机，不是说发动机不转了，而是说自动驾驶辅助驾驶系统失灵了，某种自动驾驶功能已经失灵了，这个功能不是完全不用了，而是说以低效的方式在运营，另外一方面就是网络安全，我们在这个标准文件当中，这一张主要是聚焦于网络安全，因为我们都知道汽车，尤其是自动驾驶汽车，功能性安全和网络安全是密不可分的，当然这也不够。之前简单介绍了一下ISO26262文件，几年以前就开始了。

接下来是ISO/PAS21448预期功能文件，主要专注于如下两个问题，第一个是非预期、非故障性问题，比如汽车上的感应器，由于气侯恶劣它不工作了，或者说感应器与感应器之间的互动出现问题，或者是驾驶过程当中，我们决策、算法出现故障，导致做出错误决策，这个感应器做出错误判断，这个是我们在文件当中涉及到的。另外一个是汽车的错误指令，错误行为，来自人类驾驶员。人类驾驶员对系统的错误使用，在我们文件当中也提到这一点，我们会预设驾驶员如果出现了系统的错误使用，我们要预期到这一点，在文件当中也体现出来。我们要如何解决这些问题，这是我们要思考的。我们通过ISO21448来判断不同的驾驶场景，在之前ISO26262文件中也提到这一点，深度远远没有ISO21448探讨的深，21448中探讨了不同驾驶情景的分析评估，不同的驾驶环境我们都列了出来，每一个条件下我们的功能是如何调用出来功能是如何出现问题。当然在文件当中我们会有这样的方法论来判断已知的驾驶情景和未知的驾驶情景，并且评判哪些是安全的，哪些是不安全的，哪些驾驶情景下，像之前那个文件一样，我们能够减少风险，提升我们通过验证的功能，降低风险。我们希望对未知情景当中风险可以减少到最小的概率。

我们如何做到这一点有两种方式，第一种就是随机模拟测试，模拟测试要测试多少驾驶情景？同时模拟极端的驾驶场景，这是其中一个测试的方式。第二个方式是依靠我们比较传统的方式，我们会邀请主机厂进行实体测试，不断的进行试驾，通过这种方式如果说系统在预期功能安全方面设计完好，即使在极端驾驶情况下出现概率比较低的这种驾驶情况下也可以正常运行，这个就是我们的测试方式。

之前提到这是一个新的测试方式，这是一个新的文件，2019年年初出版，一级二级驾驶辅助系统，目前预期安全功能文件只涉及一级二级驾驶辅助系统，驾驶员还是主管汽车的控制，在未来的预期功能安全文件，这个相关的所谓规格将会落实为最后的标准，将会在未来我们的预期功能安全文件将会扩展到三级到五级功能系统，也就是说在未来文件当中将会涵盖对系统的错误使用之后如何应对降低风险，同时包含1-2级系统，即使在1-2级系统，车主做出错误系统的操作，也会有相关风险降低的办法。同时会有车载系统，辅助驾驶系统之间的互动可能也会造成风险，这个标准将会在2022年出版。

最后总结一下预期功能安全方面的问题，在2月份已经开展了第二轮会议，当时已经吸引了超过100多个行业领域的专家人士，他们都希望分享一下自己的想法和观点，很多专家都是来自中国本地的，他们对预期功能安全有非常大的兴趣和研究实力，通过他们的努力，未来我们的辅助驾驶系统将会做的越来越好。之前提到预期功能安全提出了不同驾驶情境这样的概念，还有另外一个重要的原因，我们不能只依赖于简单的辅助驾驶系统帮助我们做工作，我们在开车的时候不能完全依赖非常简单的辅助驾驶系统，我们希望未来我们的辅助驾驶系统是可靠的，无论距离多远都可以可靠，现在的测试方式不足够支持我们的技术发展，我们要改变我们的工作方式，我们要改变传统的工作方式，如何改变呢？如果说我们是不可避免的会遇到一些极端的车辆事故情况，我们希望把车辆事故降低。在今天我们将会有同事在这方面进行更细致的介绍，我们希望在测试过程当中模拟现实场景，特别是现实的极端驾驶场景，比如说对极端的驾驶场景下，我们将会在实际测试当中来测试安全性能，我们可以使用随机模拟的方式来测试自动驾驶车辆在极端驾驶场景下的性能，在全球范围内我们都会采取同样的措施，有些测试可以在法国进行，有些测试可以在德国、美国、日本或者在中国。目前为止我们的测试是非常分裂化的，希望在未来能够形成标准的互认，这方面ISO建立了工作组，是2018年7月份成立的工作组，也就是ISO/TC/SC 33/WG 9工作组，这个工作组现在的主席是一位德国同事，这个工作组下有大量的工作，我们做的不是单一的项目，而是有一系列的工作要做，PPT下面我罗列了我们要做的项目，我们做这方面非常依赖中国的贡献，我们需要中国的支持，Francois Guichard之前也提到这一点。

接下来看一下自动驾驶测试设备，之前我也提到了，在很多情况下我们一般做测试的时候，当然我在这块列出来的并不是已经确定的测试方法，这个是我们制定标准的方法，我们认为可能比较适合来推进这方面标准工作的一个方式。首先非常明确的一点是我们必须要依赖模拟，我们还是要依赖在测试场上的测试方法，模拟现实的场景。在测试场方面我们不再是测试某一个单独的行为，而是去测试不同的元素。刚刚Francois Guichard也跟大家展示的一些图片，展示了我们可能的一个测试场景，我们会有不同的目标物，有移动的目标物，有摩托车的目标物，这样的情况下，我们没有办法使用实车来做目标，因为有的时候会发生碰撞，这种碰撞很可能会导致整辆测试车毁坏，所以我们现在也在开发替代的目标物。如果大家有机会的话可以去参观一下中汽中心的实验室，他们使用的就是这种移动的，而且是柔性的目标物。在这个过程中我们也需要去监控这个目标物的运动情况。要做到这一点我们需要去确定我们应该使用什么样的目标物，以及他们的运动方式是怎么样的，这方面我们要去制定一些标准，我们现在已经有一个标准了，就是ISO19206，用于主动安全功能评估的测试设备。

另外要考虑到人为的因素，在人机接口方面，目前确定的一个原则就是说人类驾驶员应当是作为最后的一道防线，去保证机器可能发生的故障不会造成实际的危险。我们称之为HMI，在系统发生故障的时候，人类需要对车辆进行控制，我们需要确定一个HMI的方式。在人为因素方面，在发生故障的时候我们需要提醒人类驾驶员回来恢复对于车辆的控制，这个其实也是很大的挑战。现在我们逐渐的也在考虑，在第三级别的自动驾驶上也要做这样的功能设计，另外就是跟网络安全相关的，之前Francois Guichard也讲到了，也是我们关注安全性的一个方面。在自动驾驶汽车方面的网络安全主要涉及到网络攻击下的安全性，比如之前是有一个情况，发生了网络攻击，是否会影响车辆的性能，所以网络攻击的安全性和车辆安全系统的可靠性是紧密相关的。在这方面我们也制定了一系列标准，比如术语方面的标准，这个是对于自动驾驶汽车的网络安全方面，如果我们制定标准的话可能会带来的好处，在整个行业形成共同的术语标准。对于网络安全标准我们也是跟SAE开展合作制定的，我们在2017年跟SAE签署了标准制定合作协议。我们其实是从3061这个文件开始跟SAE开展合作的，我们跟SAE共同制定了更多的标准，在2019年底或者2020年，我们的合作项目可能就会终止，我们预期随着复杂的车辆功能的实施，我们会需要极大的去增加或者提高数据的流通速度。我们需要去找到一个解决方案，但是这个问题不仅仅是要靠自动驾驶行业来解决，这就是我发言的全部内容，非常感谢大家聆听。