向右滑动:上一篇 向左滑动:下一篇 我知道了
广告

为自动驾驶量身打造的安全标准最快年底出炉

时间:2019-08-02 作者:Junko Yoshida 阅读:
要讨论自动驾驶车辆(autonomous vehicle,AV)的安全性可靠度,在某种程度上需要诸如Waymo、Uber或GM等公司证明他们的自驾车具备商业布署的安全性;而车厂们则必须要证明他们的AI驱动车辆能符合法规与严格的标准。

要讨论自动驾驶车辆(autonomous vehicle,AV)的安全性可靠度,在某种程度上需要诸如Waymo、Uber或GM等公司证明他们的自驾车具备商业布署的安全性;而车厂们则必须要证明他们的AI驱动车辆能符合法规与严格的标准。9xsEETC-电子工程专辑

他们接下来需要回答的几个问题是:9xsEETC-电子工程专辑

• 符合哪些安全标准?9xsEETC-电子工程专辑

• 谁订定了那些标准?9xsEETC-电子工程专辑

• 车辆是如何接受测试?9xsEETC-电子工程专辑

• 谁会负责“评鉴”自驾车的安全性?9xsEETC-电子工程专辑

• 我们应该相信那些评鉴员吗?9xsEETC-电子工程专辑

这些问题都不容易回答;此外,安全标准,特别是针对AI驱动的车辆订定之标准,总有很多额外的弯弯绕绕以及大量的限制条款。9xsEETC-电子工程专辑

简单来说,以AI为基础的自动驾驶车辆,是在车辆“黑盒子”里的机器学习算法上运作,内部的,内部原理本质上是机率性(probabilistic)的,几乎不可能决定它们为什么做出什么决策。既是如此,科技业者与车厂要以什么策略来验证自驾车的安全性?9xsEETC-电子工程专辑

还有:9xsEETC-电子工程专辑

• 大众是否会接受汽车产业在传统上全部是自己认证自家车辆安全性的做法?而可能还有人记得,美国联邦航空管理局(FAA)──该机构显然没有过去大家所认为的那么独立──认证过波音737 Max客机的机动特性增强系统(MCAS),仍然造成了空难悲剧。9xsEETC-电子工程专辑

• 任何安全性标准是否能跟上快速演进的算法,以及由自驾车业者布署的软件程序代码?9xsEETC-电子工程专辑

• 难道不该谨慎考虑到自驾车安全标准可能有效性周期很短,而且注定会很快、很频繁过时?9xsEETC-电子工程专辑

 UL4600标准草案

在此背景之下,目前正在订定一套“自动化产品评估安全标准”(Standard for Safety for the Evaluation of Autonomous Products)──即为UL4600──的安全认证服务业者Underwriters Labs (UL)表示,其安全标准技术小组(Standards Technical Panel,STP)已于6月中旬进行第一次会议,审查并讨论初步标准草案。9xsEETC-电子工程专辑

为此EE Times询问了上述标准草案主要技术贡献者,Edge Case Research共同创办人暨技术长Phil Koopman。尽管首次草案审查会议纪录并未公开,Koopman表示,这场会议“非常正面而且具建设性;”参与会议的成员触及了所有必须找出解决方案的UL 4600标准主要问题。9xsEETC-电子工程专辑

谁参与了标准订定?

根据UL的官网,UL 4600标准小组有30个左右具备投票权的STP成员参与,包括四家芯片供货商──Nvidia、Renesas、Intel和Infineon──以及商用自驾车使用者与开发者,如GM、Uber、Nio、Bosch、Argo AI与Aurora。而美国运输部(Department of Transportation,DoT)与宾州监理所(Pennsylvania DoT)都有派出代表参加。9xsEETC-电子工程专辑

有趣的是,参与UL 4600标准订定的STP成员还包括三家保险业者:AXA、Liberty Mutual与Munich Re America。9xsEETC-电子工程专辑

为了追求透明度与更宽广的包容度,UL 4600标准小组正在征求任何有意愿注册为“利害关系人”(stakeholder)的责任方;一旦注册完成并获得批准,利害关系人可以要求审查标准草案并提出意见。Koopman解释,虽然利益相关者没有投票权,有它们加入非常重要,因为能确保一个“非常公开的程序”,而且标志着自驾车安全性是“公共政策议题”。9xsEETC-电子工程专辑

UL 4600与ISO 26262以及ISO/PAS 21448的比较

UL 4600是相对较新的车辆安全标准,目前已经存在的标准是ISO 26262,而ISO/PAS 21448──即预期功能性(safety of the intended functionality)安全标准──仍在开发中;最常被问到的UL 4600相关问题就是:为什么还需要另一个车辆标准?9xsEETC-电子工程专辑

Koopman强调,UL 4600标准小组与ISO 26262、ISO/PAS 21488的领导者有密切联系,而他明确指出:“解决潜在的标准重迭是持续性的工作。”9xsEETC-电子工程专辑

20190802-200.jpg9xsEETC-电子工程专辑
(来源:Phil Koopman, Edge Case Research)9xsEETC-电子工程专辑

以自驾车系统没有负责的驾驶人为预设来订定安全标准,是UL 4600与其他标准最大的差异。相反的,“现有标准如ISO 26262、ISO/PAS 21488,是设想车辆终究还是有一位能安全操作车辆的驾驶员;”Koopman认为,自驾车与其他自动驾驶系统内的技术超出了那些标准以及其他传统安全标准的范畴:“现有的标准都是必要的,但不够。”9xsEETC-电子工程专辑

你想过这个吗?

换句话说,在自驾车的开发上,Koopman相信车辆设计工程师很快会发现一堆他们以前从没想过的问题;而像是「没有人类驾驶员的车辆之普遍性影响」这类的议题,他都归类在“你想过这个吗?”的大标题之下。9xsEETC-电子工程专辑

此外,可预期UL 4600与其他标准相较,更具时效性(prescriptive)。Koopman表示,ISO 26262、ISO/PAS 21488标准是瞄准了一个“目标”来提供安全性,UL 4600则是提供“靶心”;举例来说,UL 4600会预期车辆设计师能提供更多细节,像是“如果你正在做X,不要忘了做Y。”而其他标准会说明“如何达到安全性”,但UL 4600是规范“系统最后要达到什么状态”。9xsEETC-电子工程专辑

建立安全案例

UL 4600与技术无关,不会规范应该要用什么传感器技术、必须在商用布署前完成多少英哩的道路测试,而是专注于确保“有效安全案例(safety case)的建立”;以该标准的观点,所谓的安全案例包括三大要素:目标(goal)、立论(argumentation)与证据(evidence)。9xsEETC-电子工程专辑

因此,假如Tesla不想在自驾车上用光达(lidar),没问题,但UL 4600会要求Tesla建立安全案例;这时Tesla必须要以证据表明:“相关目标物体会藉由安装在预期的作业与设计范畴限制内的任何一种传感器,被成功侦测并分类。”9xsEETC-电子工程专辑

换句话说,“你可以使用任何一种你想用的制程或技术;”Koopman表示:“但如果你没有测试它们,我们不会信任你。”9xsEETC-电子工程专辑

同样的,UL 4600不会要求执行多少英哩的道路测试,而是要求厂商证明“已经进行了可接受强度的分析、软件仿真、封闭场域测试,以及安全的公开道路测试,确保初始车辆与每一个软件更新达到恰当程度的系统安全性。”9xsEETC-电子工程专辑

Koopman 解释,UL 4600并不打算为以计算机为基础的系统安全性,发明另一个V-cycle工程测试程序,而是“用以取得透过现有与潜在新设计和验证程序所产生的信息,并标准化将结果组成一致性安全案例的方法。”9xsEETC-电子工程专辑

要做出安全性论据并不是很容易,Koopman表示:“试想,你已经有很多保证安全的有效产品,并有一柜子的相关文件;UL 4600可以帮助你整理、架构这些文件,标明所有必需测试的项目;”他指出,重点在于“建立一个方法,确保设计团队不会遗漏某个合理可预见的问题。”9xsEETC-电子工程专辑

20190802-201.jpg9xsEETC-电子工程专辑
(来源:Phil Koopman, Edge Case Research)9xsEETC-电子工程专辑

独立的评鉴员

任何一种标准的可信度,取决于是由谁来评鉴系统的合规性;在车辆产业中,自我认证长期以来都是标准作业程序,而任何自我认证的尝试都可能被认为有自利之嫌。9xsEETC-电子工程专辑

但UL 4600标准小组认为,如果评鉴员够独立、并具备资格,自我认证或许是可行的;Koopman表示:“此处的关键在于你需要公开你的评鉴员有足够的独立性,建议聘用外部的具资格评鉴员,但只要评鉴员的独立性与能力是可信的、且有文件可左证,就不用这么做。”9xsEETC-电子工程专辑

因应未知的未知

传统IEEE标准的弱点之一,是并非为频繁更新所设计;传统标准应该可以经常“在线”更新,但这种更新迄今并没有内建的机制可以验证其安全性。而Koopman表示,UL 4600利用反馈回路(feedback loops)来因应未知的风险。9xsEETC-电子工程专辑

他解释,并不是“假装工程师会想到所有事情(他们不曾、也不会),”该标准考虑到对于不确定性进行负责任的管理。特别是在机器学习时代,标准拥有内建机制来因应变化非常重要:“我们称之为持续性维护(continuous maintenance),这就是UL 4600标准程序的运作模式。”9xsEETC-电子工程专辑

这意味着UL 4600标准成员会被要求“如果你发现什么事情,就要提出”到标准小组,使用者必须回报的不只是灾难性故障,还有"几(迹)进失误"(near misses,EE Times Taiwan编按:或译为“虚惊事故”、“轻伤害”),让标准小组能研究该故障/失误并修正。“我们规划让所有成员被充分告知;”该标准小组承诺几个月内可完成紧急更新,并可能每一年定期更新。9xsEETC-电子工程专辑

激进的时间表

UL 4600标准小组正在以非常激进的速度订定标准,STP提出的意见会在今年夏天进行审查,让小组能建立一个修改版草案,称为“初审版本”;Koopman表示,一旦STP意见被充分解决,这个版本将会向利害关系人公布,时间预计是在8月或9月初。而只要该版本UL 4600标准草案分送给利害关系人,就会成为公开的标准草案。9xsEETC-电子工程专辑

注册在案的利害关系人可提出意见,但没有投票权;在进行更多轮STP与利害关系人的意见考虑后,STP会进行投票阶段,若一切顺利,最终版公开标准将于2019年底或2020年初公布。9xsEETC-电子工程专辑

编译:Judith Cheng9xsEETC-电子工程专辑

(参考原文: You Say Your AV Is Safe? Show Me9xsEETC-电子工程专辑

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Junko Yoshida
ASPENCORE全球联席总编辑,首席国际特派记者。曾任把口记者(beat reporter)和EE Times主编的Junko Yoshida现在把更多时间用来报道全球电子行业,尤其关注中国。 她的关注重点一直是新兴技术和商业模式,新一代消费电子产品往往诞生于此。 她现在正在增加对中国半导体制造商的报道,撰写关于晶圆厂和无晶圆厂制造商的规划。 此外,她还为EE Times的Designlines栏目提供汽车、物联网和无线/网络服务相关内容。 自1990年以来,她一直在为EE Times提供内容。
您可能感兴趣的文章
  • 构建一个时代:汽车电子与软件架构的10大趋势预测 IoT的核心发展思路是将世间万物电子化、数字化,汽车也不例外。慕尼黑工业大学信息学教授Manfred Broy说过,如果你现在买辆高端汽车的话,“它很可能包含了1亿行软件代码”。这些软件代码又运行在70-100个ECU(电子控制单元)上,这些ECU就在车内形成连接网络。实际上,汽车中的软件在规模和复杂度上还在迅速成长,商业研究公司Frost&Sullivan预计,很快汽车内的软件代码就要达到2-3亿行的程度了。
  • 掘金数据时代,企业该如何处理海量信息问题? “到2025年,全球将共计有1000亿个互联设备。我们和我们的客户有很多传感器等方面的应用,通过这些设备和应用,我们收集到了很多的数据。而未来的数据更复杂,西门子的产品和解决方案可以帮助大家来充分利用这些复杂的数据。” 西门子工业软件董事长兼CEO Tony Hemmelgarn在11月7日的全球CEO峰会上这样表示。
  • 当特斯拉遇到EULA——就是一场悲剧 高科技产业中的一些人错误地将不负责任解读为“颠覆性”创新。我们绝对不能让那些人经营汽车产业…
  • 算力“下凡”新纪元,Arm赋能中国芯 我们正在进入以数字驱动的第五波计算,这波浪潮建立在AI,IoT和5G迅速融合的基础上。在数字驱动计算的世界里,人口和用户的数量,以及产生的数据扮演着越来越重要的角色。
  • 找停车位?让汽车自己去吧... 除了Tesla的Smart Summon,德国车厂Daimler已经与伙伴Bosch连手推出一个获德国官方批准的自动停车/召唤服务;同时有一家名为WaveSense的美国新创公司,开发了一种利用探地雷达的创新技术,让车厂能用来为车辆打造自动召唤功能...
  • 瑞萨电子宣布加入AVCC联盟,加速自动驾驶汽车发展 通过合作共同构建车辆边缘计算的标准框架,加速自动驾驶汽车发展。
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告