UL 4600草案使自动驾驶的安全性问题有了希望

最近多种明显的迹象表明自动驾驶汽车（AV）这项技术似乎已过了狂热期，回归理性。AV公司们的下一步是与公众保持一致，并承认仍然存在一个没有答案的关键问题：足够安全是多安全（How safe is safe enough）？

并非巧合的是，UL（Underwriters' Laboratories）刚刚发布了UL 4600草案，这是自动驾驶的第一个综合安全标准。

UL 4600不是某种传统的规则手册，而且任何寻求技术规范以快速构建安全的AV公司都将误入歧途。

该标准未列出任何规范，没有规定硬件或软件（没有针对传感器、SoC或嵌入式软件类型的要求），也未提供有关正确开发过程的规定指南。相反，UL 4600提供了为AV建立“安全案例（safety case）”的指南。

Edge Case Research（ECR）的CTO、CMU的教授Phil Koopman解释说：“简而言之，其它现有的安全标准要求如果要满足安全性就要‘遵循步骤1、步骤2和步骤3’。相比之下，UL 4600讲的是‘如何做到充分安全’。”

当被问及UL标准的基本设计原理时，UL 4600的起草人之一Koopman告诉我们：“如果你不能说出安全的含义，也无法解释为什么你认为该系统实际上是安全的，那么你的系统就可能不安全。’安全案例’是设计安全系统的重要组成部分。”

为什么还需要另一个安全标准？
正如Koopman指出的那样：“与人类驾驶的车辆相比，AV将在某些方面改变我们必须采取的安全措施。”他强调说：“改变我们的安全标准方法不足为奇。但重要的是不要忘记我们已经使用的来之不易的经验教训和工程方法。”

UL 4600清楚地表明，这并不是AV设计人员唯一需要的安全标准。Koopman说：“你还需要良好的工程方法，例如其他标准（包括IEC 61508、ISO 26262和ISO/PAS 21448, SOTIF）中讨论的方法。我希望开发人员在使用UL 4600的同时结合ISO 26262等常规标准。”

UL 4600与其它安全标准的显著不同在于，它侧重于无人类驾驶员干预的完全自动驾驶。

例如，现有的安全标准设计用于最终由人类驾驶员负责安全操作的车辆。相反，UL 4600处理的是完全无人驾驶。该标准草案解释说：“将人类完全从自动驾驶项目操作的执行层面（包括监督）中撤出会带来许多其它问题。”而UL 4600恰恰解决了这些“其它问题”。

安全标准全景图（Source：Phil Koopman，ECR）

制定安全案例
这份长达295页的文件草案通过强调为自动驾驶项目建立安全案例所需的工程严谨性而与其它文件有所不同，因为自动驾驶系统绝对不仅限于AV。

UL 4600标准草案规定，“安全案例”包括一组结构化的目标、论据，以及支持该项目可以安全部署的证据。为了支持该目标，UL 4600评估强调确保安全案例合理地完成并形成良好的结构。

UL 4600涵盖了影响自动驾驶系统安全的各种类别。其中包括与人的互动、自动驾驶功能以及对软件和系统工程过程的支持，生命周期问题以及自动驾驶项目的维护。在每个类别中，UL 4600都列出了必须提出的安全参数：强制、必需、强烈推荐和推荐。UL 4600还在每个级别上共享了设计人员在为其系统制定安全案例之前必须考虑的安全隐患、风险和场景的“示例”。

#DidYouThinkofThat
当全自动驾驶汽车在公路上自主行驶时，不难想像它们出错的形式可能多达上百万种，或者还有上百万个细节是系统工程师以前没想到的。每一个都代表了意想不到的后果，可能会破坏AV安全的基础。

如UL 4600草案所述：

自动驾驶产品的行为可能与人类驾驶员的行为不同（但兼容），并可能需要处理人类通常不会遇到的情况。此外，比起人类驾驶员，人们通常对自动驾驶项目处理各种情况的能力与熟练程度会有更高的预期。
UL 4600 Draft

……当完全无人驾驶的车辆真的开始在马路上行驶时，所有之前的猜想都会消失了。

UL 4600中共享的示例提出了一个问题，Koopman通常会问AV设计师：“那个你想到了吗（Did you think of that）？”

简而言之，这些示例提供了开发人员在设计AV的安全性时需要考虑的十件事（实际上还有很多）。

Koopman表示，许多示例（已在UL 4600中发布）都来自真实的故事。他说：“这些例子不都是我提供的，还有来自Uma Ferrell和Frank Fratrik的例子。”Ferrell目前是Mitre Corp.的系统工程师，曾是联邦航空管理局（FAA）的前顾问DER（Designated Engineering Representative），他在飞机认证方面拥有丰富的经验；Fratrik（ECR的首席工程师）在军事系统安全评估方面拥有专业知识。”

当然，绝没人会相信UL 4600草案涵盖了所有意外情况。Koopman希望通过审查获得更多示例。他说：“在第一个版本发布后，我们将获得更多示例，尤其将其应用于系统后。该标准将成为UL的‘持续维护’计划的一部分，这意味着我们将有机会定期更新期间添加的新示例与存储箱。此外，开发人员可以自行将存储箱箱添加到其本地安全箱中，而无需等待标准更新。”


对UL 4600的解释（Sourc：Phil Koopman）

历史9个月
去年12月中旬，Koopman编写了UL 4600草案的第一版（共10页的大纲），然后由Ferrell和Fratrik进行了很多红色标记。

5月，由35个投票成员组成的第一份正式草案已提交标准技术小组（STP）。小组成员包括瑞萨、英特尔和英飞凌等芯片供应商，以及商用AV用户和开发商，包括Uber、蔚来、博世、Argo AI和Aurora。美国运输部（DoT）和宾州的DoT派了代表也是STP的一部分。该小组还包括三个保险公司：AXA、Liberty Mutual和Munich Re America。

6月，STP首次进行审查和讨论初稿。

上周三向关系者（没有投票权但拥有评论权）发布的当前形式的UL 4600标准草案为“第四版”，该标准经过三个单独的评议期，一直在被讨论、修改和明确陈述。UL 4600小组已收到近一千条注释。

UL发展迅速。UL的项目经理Deborah Prince表示，该团队预计UL 4600将于2019年12月进行投票。到2020年一季度，它将成为ANSI标准。她说：“文件和技术一旦稳定，它没理由不会成为ISO标准。毕竟，安全性必须是全球性的。”

通过在UL 4600内部安装“内置”反馈回路，UL计划多久更新一次UL 4600？
Prince说：“鉴于系统中包含许多新技术，我们将让人们首先使用该新标准大约一年，然后让STP重新评估它……看我们是否错过了一些重要的事情。”

UL 4600的亮点
在Koopman看来，UL 4600的几项原则对于确保自动驾驶系统的安全特别重要。他总结到：

首先，UL使用“安全案例作为总体方法”。其它标准最近也在朝这个方向发展，例如FDA制定输液泵安全标准的方式。

其次，UL 4600“在所有级别设置了反馈回路”。这些适用于在收集现场反馈的同时进行“设计改进和安全案例的改进”，从而不断提高标准。

第三，该标准是“旨在进行客观、可重复的评估”。

第四，UL 4600是“社区知识的存储库，无需共享原始系统数据即可收集#DidYouThinkofThat列表”。

第五，该标准还提供“特定的机器学习范围”。

最后，UL 4600提供了“与功能和其它公认的安全标准的兼容性”。

自动驾驶系统的安全性
许多观察员，包括专家和“外部人士”，都曾对自动驾驶系统的安全性表示担忧。UL的Prince说：“业界对完成UL 4600的渴望是如此强烈，以至于STP中的许多成员都真正参与了讨论，并令人惊讶地非常具有建设性和协作性。”

正如Koopman总结的那样，“监管机构不会确保其系统安全。AV公司们必须拥有它，你没办法绕过它。”

UL 4600的注册关系者可以在11月1日之前提交对标准草案的评论。那些尚未注册但现在想成为关系者的公司，可给发电邮到Deborah.Prince@ul.org与Deborah Prince联系。



[参考文章]
UL 4600 draft puts safety onus on AV hopefuls — Junko Yoshida