芝能智芯出品

辅助驾驶和自动驾驶技术全面加速，人工智能系统已经逐渐成为车辆功能决策链条中的关键部分。不同于过去以传统规则逻辑为主的车载系统，人工智能因其数据驱动、非确定性与难以完全解释的特性，给车辆安全带来了前所未有的挑战。

传统的功能安全体系，如 ISO 26262，以及针对预期功能安全的 ISO 21448，奠定了汽车安全体系的基础，却难以直接覆盖人工智能模型的特性。

2024 年正式发布的 ISO/PAS 8800 才真正成为行业首次尝试为车载 AI 系统建立具体安全论证框架的标准。

这份标准并不旨在提供严格的定量门槛或规定统一的流程，通过框架化结构，让不同车企、供应链环节和AI开发者能够共同构建“项目特定”的安全论证体系，基于 ISO/PAS 8800 的整体内容，并结合其与现有体系的关联、工程实践中的难点，以及行业正在尝试的解决路径。

Part 1ISO/PAS 8800  安全关键应用的困境到可信AI框架

汽车电气电子架构师越来越复杂，AI 系统在车辆中的角色正在发生结构性变化，AI 大多被用于体验型、非安全关键场景，例如语音识别、车内个性化调节或简单的图像分类。

这类应用的准确率通常只要达到 90% 以上即可满足体验需求，偶有错误也不会造成安全后果。当AI 开始进入自动驾驶、智能刹车、行人识别、避撞决策等领域时，传统的准确率指标显然就不再足够。

一个 95% 准确率的交通标志识别模型，在体验上看似可靠，却可能意味着每 20 次识别就有 1 次误判，在高速场景中就可能带来致命风险。

正是因为这种本质性差异，AI 从非关键场景进入安全关键场景之后，整个技术体系发生了结构性断裂。

传统工程体系依赖规则逻辑、可验证的状态机、可追踪的信号链路、精确的定量指标，以及明确的故障模式。而 AI 系统则由统计模型、概率输出和数据驱动行为构成，参数量巨大、行为难以完全解释，传统验证方法几乎无法直接应用。

从2022年起，国际工程界开始尝试建立一套面向安全关键人工智能应用的工作方法，包括黄金法则体系、AI 全生命周期规则与架构设计指导，欧盟 AI 法案于 2025 年开始实施，从监管层明确了 AI 的风险分级与透明度要求，尤其是对高风险 AI 的监管框架，为车辆 AI 标准化奠定了基础。

ISO/PAS 8800 的发布可视为行业“第一次试图系统性回答车载 AI 应如何被证明为安全”，核心定位不是替代现有标准，而是成为连接人工智能与汽车安全体系之间的桥梁。

标准明确了 AI 系统在车辆安全架构中的角色，描述了构建安全论证时需回答的一系列关键问题，并指出系统架构、数据集管理、模型训练、验证与确认、运行监控等生命周期环节应如何纳入安全工程体系。

从标准本身来看，这是一个“安全论证框架”，明确 AI 系统必须给出功能规范、运行设计域、输入输出定义、安全目标、冗余策略、数据合理性验证、模型可解释性、过拟合控制、不确定性度量、标签偏差控制等要求，但并不给出工程量化指标。

这种结构的原因在于，AI 的使用场景差异极大，难以通过统一指标覆盖所有情况，尤其是神经网络模型在不同车辆、不同任务和不同传感器下表现差别明显。

在实践层面，ISO/PAS 8800 引导开发者从系统工程角度重新审视 AI 的角色。

例如，在车辆感知系统中，模型的输出不再只是准确率，而需要在工程逻辑中回答：在不同光照、极端天气、边界条件下，系统是否能够给出可靠结果？模型的不确定性是否可以被监测？输入数据是否可能出现非合理信号？边界行为是否得到分析？对于误分类，是否采用了安全权重体系？所有这些都必须最终体现在可验证的安全论证中。

这也引出了 ISO/PAS 8800 最重要的价值：将人工智能纳入“可讨论、可验证、可管理”的工程体系。

标准也暴露出行业仍未解决的根本难题。由于缺乏数学上的严格定义和完整的定量化框架，AI 安全论证仍然依赖项目具体情况，不同车企或供应链之间的工程方法可能会出现差异。

而深度神经网络作为 AI 系统的核心，因其不透明性与不可完全预测性，在标准中仍然缺少深入描述，这也意味着行业还需要更多方法来弥补该部分空白。

Part 2AI安全工程的关键问题与可行路径

要真正理解 ISO/PAS 8800 的意义，就必须从工程实现的角度理解 AI 系统安全的核心难题。

在车辆中，一个 AI 模型从定义到部署，至少需要经历功能定义、架构设计、数据集构建、模型训练、测试验证、系统集成、运行监控等多个环节，而每一个环节都可能影响其最终安全性。

功能定义与运行设计域。

与传统系统可以通过规则精确限定行为不同，AI 系统的功能往往由数据隐式决定，因此必须在安全工程上额外定义非常严格的预期使用场景、输入类型、目标行为和边界情况。

ISO/PAS 8800 将这些内容纳入安全论证的首要部分，要求工程团队必须清晰划定 AI 模型应在何种场景发挥作用，并在架构上采用必要的保护机制，例如规则型判断、投票机制、冗余模型或置信度阈值，以避免 AI 在超出其能力时仍输出高风险结果。

数据集的问题。

深度学习模型的能力受到数据决定，而数据集本身可能存在偏差、缺失、标签错误、稀有场景不足等问题。

ISO/PAS 8800 对数据集提出明确要求，包括极端案例的收集和系统性识别、标签过程的验证、偏差控制、数据增强策略、环境变化下的更新机制等。

对于工程团队而言，这意味着数据管理将成为安全工程的重要组成部分，而不仅仅是模型训练的前期准备。

在模型层面，ISO/PAS 8800 要求开发者提供可解释性分析、可复现性验证、过拟合控制、不确定性度量等内容，并要求在安全论证中给出对应的工程控制方法。

尤其是可复现性，对于大型深度神经网络来说，训练过程中的种子、硬件差异、并行计算方式都会导致输出差异，标准要求开发者必须控制模型训练的确定性，并在必要时提供硬件一致性分析和配置记录。

最难的问题来自验证与确认环节。

传统软件可以通过代码审查、路径覆盖、边界分析实现高置信度验证，但 AI 模型无法通过这些方式进行完备性验证。

因此 ISO/PAS 8800 采用指标化验证思路，将验证指标分为性能相关、安全相关和系统相关三类。

但标准仍未给出最终定量指标，这使得安全论证必须结合 ISO 21448 的风险评估方法，如 GAMAB、ALARP 或 MEM 来进行定量化推导。

在 SAE L5 级车辆的交通标志识别中，ASIL C 要求模型的误识别概率必须低于特定门槛，意味着系统需要达到接近 99.99% 的安全相关准确率。显然，这一数字在大多数工业系统中仍然难以实现。

行业开始探索新的解决方案，基于误分类风险权重的神经网络训练方法，可以使模型在训练过程中不仅追求整体准确率，还重点减少安全关键型误分类的发生，从而提供可用于安全论证的指标体系。

解决方案来自 AI 架构本身。

通过引入透明可验证的架构，目标分组分类器、基于特征分解的并行分类体系、置信度拒绝策略等，降低模型的难解释性，提高工程可控性。

这类架构将复杂分类问题拆解为多个独立子问题，每个子分类器针对单一结构特征，从而提高整体系统可解释性与可验证性，最终让安全论证更加透明。

标准体系仍面临巨大挑战。

不同规范。SO 26262、SOTIF、网络安全标准、人工智能相关技术报告——在功能、流程和风险定义上差异明显，当开发分布在 OEM、Tier 1、Tier 2 等多个层级时，不同团队可能同时采用不同规范，甚至出现规范遗漏。

ISO/PAS 8800 虽试图将 AI 纳入整体流程，但缺乏明确的集成指导，这导致行业必须自行构建跨规范的整合型开发流程，将车辆、系统、组件各层级的任务重新对齐，确保 AI 安全活动贯穿整个生命周期。

AI 安全不是单一团队能够完成的任务，而是一个贯穿架构、安全工程、数据工程、模型工程、测试工程、系统集成工程的跨学科体系。

小结

从系统工程的角度看，ISO/PAS 8800 并不是一个能够立即落地的成熟标准，行业关于车载人工智能安全论证的第一次正式尝试，使得 AI 系统能够被纳入可分析、可验证、可追踪的工程体系中，也为 OEM 与供应链建立共同语言。

       原文标题 : 车载AI安全规范ISO/PAS 8800：验证汽车人工智能安全的尝试