要討論自動駕駛車輛(autonomous vehicle,AV)的安全性可靠度,在某種程度上需要諸如Waymo、Uber或GM等公司證明他們的自駕車具備商業佈署的安全性;而車廠們則必須要證明他們的AI驅動車輛能符合法規與嚴格的標準。

他們接下來需要回答的幾個問題是:

  • 符合哪些安全標準?
  • 誰訂定了那些標準?
  • 車輛是如何接受測試?
  • 誰會負責「評鑑」自駕車的安全性?
  • 我們應該相信那些評鑑員嗎?

這些問題都不容易回答;此外,安全標準,特別是針對AI驅動的車輛訂定之標準,總有很多額外的彎彎繞繞以及大量的限制條款。

簡單來說,以AI為基礎的自動駕駛車輛,是在車輛「黑盒子」裡的機器學習演算法上運作,內部的,內部原理本質上是機率性(probabilistic)的,幾乎不可能決定它們為什麼做出什麼決策。既是如此,科技業者與車廠要以什麼策略來驗證自駕車的安全性?

還有:

  • 大眾是否會接受汽車產業在傳統上全部是自己認證自家車輛安全性的做法?而可能還有人記得,美國聯邦航空管理局(FAA)──該機構顯然沒有過去大家所認為的那麼獨立──認證過波音737 Max客機的機動特性增強系統(MCAS),仍然造成了空難悲劇。
  • 任何安全性標準是否能跟上快速演進的演算法,以及由自駕車業者佈署的軟體程式碼?
  • 難道不該謹慎考量到自駕車安全標準可能有效性週期很短,而且註定會很快、很頻繁過時?

UL4600標準草案

在此背景之下,目前正在訂定一套「自動化產品評估安全標準」(Standard for Safety for the Evaluation of Autonomous Products)──即為UL4600──的安全認證服務業者Underwriters Labs (UL)表示,其安全標準技術小組(Standards Technical Panel,STP)已於6月中旬進行第一次會議,審查並討論初步標準草案。

為此EE Times詢問了上述標準草案主要技術貢獻者,Edge Case Research共同創辦人暨技術長Phil Koopman。儘管首次草案審查會議紀錄並未公開,Koopman表示,這場會議「非常正面而且具建設性;」參與會議的成員觸及了所有必須找出解決方案的UL 4600標準主要問題。

誰參與了標準訂定?

根據UL的官網,UL 4600標準小組有30個左右具備投票權的STP成員參與,包括四家晶片供應商──Nvidia、Renesas、Intel和Infineon──以及商用自駕車使用者與開發者,如GM、Uber、Nio、Bosch、Argo AI與Aurora。而美國運輸部(Department of Transportation,DoT)與賓州監理所(Pennsylvania DoT)都有派出代表參加。

有趣的是,參與UL 4600標準訂定的STP成員還包括三家保險業者:AXA、Liberty Mutual與Munich Re America。

為了追求透明度與更寬廣的包容度,UL 4600標準小組正在徵求任何有意願註冊為「利害關係人」(stakeholder)的責任方;一旦註冊完成並獲得批准,利害關係人可以要求審查標準草案並提出意見。Koopman解釋,雖然利益相關者沒有投票權,有它們加入非常重要,因為能確保一個「非常公開的程序」,而且標誌著自駕車安全性是「公共政策議題」。

UL 4600與ISO 26262以及ISO/PAS 21448的比較

UL 4600是相對較新的車輛安全標準,目前已經存在的標準是ISO 26262,而ISO/PAS 21448──即預期功能性(safety of the intended functionality)安全標準──仍在開發中;最常被問到的UL 4600相關問題就是:為什麼還需要另一個車輛標準?

Koopman強調,UL 4600標準小組與ISO 26262、ISO/PAS 21488的領導者有密切聯繫,而他明確指出:「解決潛在的標準重疊是持續性的工作。」

20190801_AVsafety_NT01P1

不同車輛安全標準所涵蓋的範圍。
(來源:Phil Koopman, Edge Case Research)

以自駕車系統沒有負責的駕駛人為預設來訂定安全標準,是UL 4600與其他標準最大的差異。相反的,「現有標準如ISO 26262、ISO/PAS 21488,是設想車輛終究還是有一位能安全操作車輛的駕駛員;」Koopman認為,自駕車與其他自動駕駛系統內的技術超出了那些標準以及其他傳統安全標準的範疇:「現有的標準都是必要的,但不夠。」

你想過這個嗎?

換句話說,在自駕車的開發上,Koopman相信車輛設計工程師很快會發現一堆他們以前從沒想過的問題;而像是「沒有人類駕駛員的車輛之普遍性影響」這類的議題,他都歸類在「你想過這個嗎?」的大標題之下。

此外,可預期UL 4600與其他標準相較,更具時效性(prescriptive)。Koopman表示,ISO 26262、ISO/PAS 21488標準是瞄準了一個「目標」來提供安全性,UL 4600則是提供「靶心」;舉例來說,UL 4600會預期車輛設計師能提供更多細節,像是「如果你正在做X,不要忘了做Y。」而其他標準會說明「如何達到安全性」,但UL 4600是規範「系統最後要達到什麼狀態」。

建立安全案例

UL 4600與技術無關,不會規範應該要用什麼感測器技術、必須在商用佈署前完成多少英哩的道路測試,而是專注於確保「有效安全案例(safety case)的建立」;以該標準的觀點,所謂的安全案例包括三大要素:目標(goal)、立論(argumentation)與證據(evidence)。

因此,假如Tesla不想在自駕車上用光達(lidar),沒問題,但UL 4600會要求Tesla建立安全案例;這時Tesla必須要以證據表明:「相關目標物體會藉由安裝在預期的作業與設計範疇限制內的任何一種感測器,被成功偵測並分類。」

換句話說,「你可以使用任何一種你想用的製程或技術;」Koopman表示:「但如果你沒有測試它們,我們不會信任你。」

同樣的,UL 4600不會要求執行多少英哩的道路測試,而是要求廠商證明「已經進行了可接受強度的分析、軟體模擬、封閉場域測試,以及安全的公開道路測試,確保初始車輛與每一個軟體更新達到恰當程度的系統安全性。」

Koopman 解釋,UL 4600並不打算為以電腦為基礎的系統安全性,發明另一個V-cycle工程測試程序,而是「用以取得透過現有與潛在新設計和驗證程序所產生的資訊,並標準化將結果組成一致性安全案例的方法。」

要做出安全性論據並不是很容易,Koopman表示:「試想,你已經有很多保證安全的有效產品,並有一櫃子的相關文件;UL 4600可以幫助你整理、架構這些文件,標明所有必需測試的項目;」他指出,重點在於「建立一個方法,確保設計團隊不會遺漏某個合理可預見的問題。」

20190801_AVsafety_NT01P2

UL 4600標準說明。
(來源:Phil Koopman, Edge Case Research)

獨立的評鑑員

任何一種標準的可信度,取決於是由誰來評鑑系統的合規性;在車輛產業中,自我認證長期以來都是標準作業程序,而任何自我認證的嘗試都可能被認為有自利之嫌。

但UL 4600標準小組認為,如果評鑑員夠獨立、並具備資格,自我認證或許是可行的;Koopman表示:「此處的關鍵在於你需要公開你的評鑑員有足夠的獨立性,建議聘用外部的具資格評鑑員,但只要評鑑員的獨立性與能力是可信的、且有文件可佐證,就不用這麼做。」

因應未知的未知

傳統IEEE標準的弱點之一,是並非為頻繁更新所設計;傳統標準應該可以經常「線上」更新,但這種更新迄今並沒有內建的機制可以驗證其安全性。而Koopman表示,UL 4600利用反饋迴路(feedback loops)來因應未知的風險。

他解釋,並不是「假裝工程師會想到所有事情(他們不曾、也不會),」該標準考量到對於不確定性進行負責任的管理。特別是在機器學習時代,標準擁有內建機制來因應變化非常重要:「我們稱之為持續性維護(continuous maintenance),這就是UL 4600標準程序的運作模式。」

這意味著UL 4600標準成員會被要求「如果你發現什麼事情,就要提出」到標準小組,使用者必須回報的不只是災難性故障,還有「幾(跡)進失誤」(near misses,EE Times Taiwan編按:或譯為「虛驚事故」、「輕傷害」),讓標準小組能研究該故障/失誤並修正。「我們規劃讓所有成員被充分告知;」該標準小組承諾幾個月內可完成緊急更新,並可能每一年定期更新。

激進的時間表

UL 4600標準小組正在以非常激進的速度訂定標準,STP提出的意見會在今年夏天進行審查,讓小組能建立一個修改版草案,稱為「初審版本」;Koopman表示,一旦STP意見被充分解決,這個版本將會向利害關係人公佈,時間預計是在8月或9月初。而只要該版本UL 4600標準草案分送給利害關係人,就會成為公開的標準草案。

註冊在案的利害關係人可提出意見,但沒有投票權;在進行更多輪STP與利害關係人的意見考量後,STP會進行投票階段,若一切順利,最終版公開標準將於2019年底或2020年初公佈。

編譯:Judith Cheng

(參考原文: You Say Your AV Is Safe? Show Me,by Junko Yoshida)