加入高工智能汽车专业行业群(自动驾驶,车联座舱,商用车),加微信:17157613659出示名片,仅限智能网联软硬件供应商及OEM。
无人驾驶开发者面临的挑战之一就是缺乏行业标准。
近日,美国安全检测实验室公司(Underwriters Laboratories/UL)发布了首个自动驾驶产品评估的安全标准——UL 4600,这是目前行业内首个针对自动驾驶汽车和相关应用的商业标准。(详细文件可到UL官方网站下载)
UL是一家独立的、营利的、为公共安全做试验的专业机构,主要从事产品的安全认证和经营安全证明业务。在美国,UL认证属于非强制性认证,不过,消费者及企业单位选购产品时,都会选择有UL认证标志的产品。
UL 4600标准的范围包括在无人驾驶的情况下评估系统的安全原则和流程,涉及设计过程的风险分析和与安全相关的测试、工具鉴定、自主验证、数据完整性和非驾驶员的人机交互等等。
由于该标准是技术中立的,没有规定硬件和软件的规格。这意味着它不要求在创建自动驾驶系统时使用任何特定的技术,而且它还允许设计过程的灵活性。
此外,UL 4600不定义性能或系统失效的安全标准,也不包括道路测试或可接受的风险水平。此外,该标准并没有对产品行为的任何道德方面提出要求。
一些自动驾驶公司表示,支持安全开发和部署自动驾驶汽车的自愿行业标准是该领域所有公司的重要考虑因素。UL的新标准和他们的标准开发方法允许快速的迭代和反馈,这正是行业所需要的。
在现有自动驾驶领域,对于全球的官方及第三方检测机构来说都是一个未知的领域。比如,没有任何规则来定义“足够安全”的程度,也没有规定在无人监督的情况下,自动驾驶汽车发生事故时,最终的责任归属。
一、为系统设计的安全负责
UL 4600的核心目标是引导工程师为他们的自动驾驶系统设计负责,参与该标准起草的主要负责人表示,“如果你不能说出什么是安全,也不能解释为什么你认为系统实际上是安全的,那么你的系统很可能就是不安全的。”
在现有的标准起草小组中,由32家有投票权的成员组成,其中包括政府机构、学术界、自动驾驶汽车开发商、技术供应商、测试和标准组织以及保险公司的代表。
比如,一些在自动驾驶领域及汽车行业知名的公司,包括Uber、日产、Argo AI、Aurora Innovation、英特尔、英飞凌、博世、瑞萨等等。
目前,一些公司已经从去年开始基于该标准的草案进行工作,UL公司表示,随着越来越多的企业参与进来,通过在线协作机制,最新一版的标准也将在今年底前发布。
在涉及到相关的认证细节时,早期成员企业在自我认证还是由第三方机构参与认证之间有一些争议。
不过,由于去年波音737 Max技术漏洞曝光后,凸显出过去企业员工对系统进行自我认证的弊端。目前,UL 4600要求外部第三方机构认证自动驾驶产品的安全性。
对此,成员企业做出了一些细微的调整,即成立第一个类似“独立评估人”的角色,而不是传统的第三方商业认证机构。
二、对现有汽车功能安全标准的补充
目前,在汽车安全标准方面,已经有了ISO 26262(功能安全)和ISO 214448 (SOTIF),这两项标准都是为汽车专门设计的,由人类驾驶员负责安全操作。
现有标准基本上是为最终由人类驾驶员负责车辆安全操作的车辆设计的。在现有的标准下,安全性通常是通过遵循指定的设计过程,以及实施特定的技术要求和验证方法来实现的。
自动驾驶汽车和其他自动驾驶系统的技术超出了这些标准和其他传统安全标准的范围。上述这些现有标准是必要的,基础的,但还不够。
相比之下,UL 4600则是针对完全自动驾驶。此外,传统的安全标准更多是指令性的。而UL 4600是基于目标的,比如用一个安全案例来说明系统是可接受安全的,并且需要使用一个更适合的系统工程流程,而不是传统的V型开发。
因此,UL 4600试图以不同于ISO 26262和ISP/PSA 21448等其他汽车安全标准的方式来解决安全问题。
比如,自动驾驶汽车技术,包括机器学习和传感器融合,表现出复杂的、不确定的和潜在的不可预测的行为。快节奏的技术变化将很快使任何僵化的标准方法失效。
此外,这套安全标准适用于全自动移动系统,包括自动驾驶的乘用车和用于农业、维修和采矿等行业的车辆。它也适用于无人机,涵盖了对设备在没有人为干预的情况下按预期操作能力的评估。
UL 4600还解决了在潜在的非结构化环境中进行传感的硬件和软件的可靠性问题。它还包括对关键功能的机器学习的风险分析和验证的规定。
标准主要由以下部分组成:
1、可靠性,包括故障检测和缓解、事件响应和网络安全;
2、数据和网络,包括通信和存储
3、验证、确认和测试,包括方式、方法和安全案例更新
4、工具鉴定、COTS系统和遗留组件
5、生命周期关注点,例如从设计到制造、供应链和处理的交接
6、维护和检查
7、标准和安全性能指标(SPIs)
8、一致性评估、独立评估和及时的反馈
其中,安全案例包括三个要素:目标、论证和证据。
目标包括了通用的系统级安全目标(例如,不要攻击行人)和元素安全需求(例如,确保芯片产生正确的计算结果,尽管存在潜在的瞬时硬件故障)。
参数是一个书面的解释,为什么一个目标实现(例如,该系统可以检测和避免行人,包括那些不寻常的或从遮挡物出现在道路上的障碍,物理和受到的限制范围内车辆显示适当的防御性驾驶行为)。
证据支持这些论点是有效的,通常基于分析、仿真和测试结果(例如,计算芯片对纠错码的数学分析与故障注入实验的结果)。
UL 4600方法的关键在于,安全案例必须令人信服地证明,在预期的操作设计范围内安装的任何传感器都将成功地检测和分类相关对象。
同样,在部署之前必须积累的道路测试里程也没有固定的限制。相反,安全案例必须证明,为了确保初始车辆和每次软件更新的系统安全水平,已经执行了分析、仿真、封闭路线测试和安全公共道路测试的可接受的可靠性验证组合。
此外,UL 4600使用反馈循环来允许管理“未知”的风险,适应了负责任的不确定性管理,并且特别需要收集和处理现场反馈数据的机制,以及管理部署后安全案例中的不确定性、假设和潜在差距,以及解决与软件更新和产品演化相关的问题。
同时,UL 4600为组件安全案例提供了定义良好的接口。在保护组件专有信息的同时,对独立的组件安全案例评估提供统一的方法。结果是一个自上而下的安全案例,其中包含第三方组件的插件安全评估模块。
整个标准是从评估的角度编写的,以帮助确保完整性和明确性,也提供评估独立性和灵活性。
三、距离真正的安全,还有十万八千里
然而,对于该标准的实际可操作性,一些行业人士也提出了自己的疑问。尤其是考虑到保护汽车安全所面临的无数技术难题,完全自动驾驶汽车的设想不会很快实现。
最典型的问题,就是软件,或者说机器如何思考,可以说是自动驾驶目前最大的挑战之一。
机器学习在经过大量的训练后,给出了数字逻辑,让它从信息中学习,并在没有特定指令的情况下决定如何应对可能发生的每种特定情况。这比过去传统意义上设计汽车要复杂得多。
的确,一些传感系统在不同的情况下都有困难,定位精度也有提高的空间,但2018年Uber自动驾驶车撞死一名行人的事件依然引人深思。
此外,目前的软件系统确实很难识别我们交流中的信号,比如手势和表情。它们最适合结构化的系统,但是路上的非结构化事件,比如车辆违反交通规则超速行驶或信号故障,对于当前的系统来说很难快速理解。
在此之前,很多行业联盟也发布过类似的安全准则。不过,这些完全是非约束性的,并且还无法涵盖他们还没有弄明白的具有挑战性的问题。
尤其是很少有人了解汽车自动驾驶技术与飞机、轮船和航空器技术之间的联系,甚至这些问题都被忽视。美国国防部高级研究计划局(DARPA)一直在做研究项目,通过陆海空系统的设计、开发和部署来验证可靠的自动驾驶能力。
DARPA正在研究的项目包括在开发过程中量化算法风险和不确定性的数学模型,以及为操作提供保障的安全内核方法。在汽车行业上演的同样的自动驾驶安全风险,在其它行业也同样存在。
除了工程开发、软件以及道德方面的担忧,未来自动驾驶汽车还面临着明显的网络安全挑战。因为车辆的连接性越好,安全问题就越多。
同时,考虑到自动驾驶涉及到复杂的本地化因素,比如各个国家及地区的现行交通法规的差异,也很难会出现全球通用的安全标准。当然,很多机构都希望自己的标准能够成为全球标准的基础。
此外,目前车辆内部诊断和运行数据的不透明是另一个大问题,因为它妨碍了独立机构审核、评估和识别潜在车辆故障的能力。
由于车辆接管了大部分的操作功能,它必须收集、评估和存储的数据量以及处理这些信息的速度将呈指数级增长。由于数据过多,除非预先设定的故障被标记,否则大多数有价值数据可能不会被记录。
同时,用于检查车辆和驾驶员行为的公共工具)包括从事件数据记录器中提取数据的扫描工具)只能访问制造商可能需要或可以访问的数据的一小部分。
而关于测试验证,一些专业人士提出,更合理的解决方案是用航空航天模拟技术和系统/安全工程实践代替现有的工具。尤其是自动驾驶汽车的代码量已经远超过现有的军用及民用飞机。
要知道,基本上所有的自动驾驶公司,使用最多的是基于游戏架构的仿真系统。由于涉及到关键的实时性、模型保真度和加载/缩放问题,这将导致仿真测试带了更多虚假的信心和自我安慰。
这就是当下自动驾驶行业最大的安全风险。
继续阅读
阅读原文