UL 4600: Tiêu chuẩn an toàn xe tự hành

Giới thiệu

Khi công nghệ lái xe tự động tiếp tục phát triển, việc đảm bảo an toàn cho xe tự lái đã trở thành một thách thức quan trọng. Để giải quyết vấn đề này, UL 4600, Tiêu chuẩn an toàn xe tự hành, đã được phát triển như một khuôn khổ toàn diện để đánh giá và chứng minh tính an toàn của hệ thống lái xe tự hành. Không giống như các tiêu chuẩn an toàn ô tô truyền thống, UL 4600 tập trung vào các phương tiện hoạt động mà không có người lái, cung cấp một phương pháp tiếp cận cấp hệ thống để quản lý an toàn chức năng, rủi ro và đảm bảo.

Hướng dẫn này khám phá UL 4600 là gì, tại sao nó lại cần thiết trong bối cảnh an toàn của xe tự hành và cách so sánh với các tiêu chuẩn liên quan như ISO 26262 và SOTIF. Chúng tôi cũng sẽ đi sâu vào các thành phần chính như tuân thủ UL 4600, yêu cầu về tài liệu, phát triển trường hợp an toàn và quy trình chứng nhận cho các nhà sản xuất và nhà phát triển xe tự hành.

Cho dù bạn đang muốn tìm hiểu các yêu cầu của UL 4600, xây dựng hồ sơ an toàn vững chắc hay điều hướng quy trình chứng nhận UL 4600, bài viết này cung cấp mọi thông tin bạn cần biết để đảm bảo tuân thủ và đạt được sự đảm bảo an toàn cho xe tự hành.

UL 4600 là gì?

UL 4600 là tiêu chuẩn an toàn do Underwriters Laboratories phát triển dành riêng cho xe tự hành hoạt động mà không cần người lái. Tên chính thức “Tiêu chuẩn an toàn cho việc đánh giá các sản phẩm tự động,” UL 4600 định nghĩa một khuôn khổ để đánh giá, xác thực và ghi lại tính an toàn của hệ thống tự lái. Nó được thiết kế để đảm bảo rằng các hệ thống lái xe tự động (ADS) được phát triển với sự đảm bảo an toàn toàn diện, tập trung vào cả khía cạnh hệ thống và phần mềm của tính tự chủ.

Không giống như các tiêu chuẩn truyền thống, UL 4600 không cho rằng cần có người vận hành thay thế, khiến tiêu chuẩn này đặc biệt phù hợp với các loại xe hoàn toàn tự động, bao gồm taxi robot, robot giao hàng tự động và xe vận chuyển không người lái.

Tại sao tiêu chuẩn an toàn lại quan trọng đối với xe tự hành?

Khi việc triển khai xe tự hành (AV) tăng tốc, những tác động về an toàn của việc loại bỏ người lái xe tăng lên đáng kể. Không giống như xe thông thường, AV phải độc lập cảm nhận, phân tích và hành động trong điều kiện thực tế, khiến độ tin cậy của hệ thống và quản lý rủi ro trở thành nhiệm vụ quan trọng.

Việc thiếu các quy định toàn cầu hoàn thiện về an toàn AV đã dẫn đến nhu cầu mạnh mẽ của ngành về các tiêu chuẩn an toàn có cấu trúc như UL 4600. Các tiêu chuẩn này:

• Cho phép đánh giá an toàn nhất quán trên toàn ngành AV
• Hỗ trợ phê duyệt theo quy định và sự tin tưởng của các bên liên quan
• Hướng dẫn các nhà sản xuất phát triển hệ thống an toàn theo thiết kế

Việc triển khai các khuôn khổ an toàn là rất quan trọng để ngăn ngừa sự cố hệ thống, xây dựng lòng tin của công chúng và cho phép triển khai các công nghệ lái xe tự động có khả năng mở rộng.

UL 4600 là Tiêu chuẩn an toàn chức năng

UL 4600 hoạt động như một tiêu chuẩn an toàn cấp hệ thống, không chỉ giải quyết vấn đề an toàn chức năng mà còn lý giải về đảm bảo an toàn mà không có yêu cầu bắt buộc. Tiêu chuẩn này hỗ trợ cách tiếp cận dựa trên trường hợp an toàn, nghĩa là yêu cầu các nhà sản xuất phải chứng minh và cung cấp bằng chứng rằng hệ thống tự động của họ an toàn cho hoạt động dự định.

Các thành phần chính của UL 4600 bao gồm:

• Phân tích mối nguy và đánh giá rủi ro
• Tài liệu về trường hợp an toàn
• Xác thực và kiểm tra các chức năng tự chủ
• Khả năng chịu lỗi và giảm thiểu lỗi
• Tương tác của con người và nhận thức của người dùng (nếu có)

Trong khi ISO 26262 và SOTIF rất cần thiết cho sự an toàn ở cấp độ thành phần và tính an toàn của chức năng mong muốn, UL 4600 tích hợp các khái niệm này để tập trung vào toàn bộ vòng đời của xe tự hành, từ thiết kế đến triển khai, đặc biệt là khi không có sự can thiệp của con người.

Tại sao tiêu chuẩn an toàn của xe tự hành lại quan trọng?

Sự tiến bộ nhanh chóng của công nghệ tự lái đã dẫn đến sự gia tăng trong việc phát triển và triển khai các phương tiện tự hành (AV) trong nhiều ngành công nghiệp khác nhau—từ vận tải hành khách và hậu cần đến giao hàng chặng cuối. Khi các hệ thống lái xe tự hành tiến gần hơn đến việc áp dụng rộng rãi, tính cấp thiết để đảm bảo tính an toàn, độ tin cậy và trách nhiệm giải trình của chúng chưa bao giờ lớn hơn thế.

Các OEM ô tô lớn, các công ty khởi nghiệp và công ty công nghệ đang đầu tư mạnh vào phát triển xe tự hành. Với các chương trình thí điểm, dịch vụ robotaxi và đội xe giao hàng không người lái đã đi vào hoạt động, tương lai của giao thông vận tải ngày càng tự động hóa. Tuy nhiên, việc không có sự giám sát của con người tạo ra các loại rủi ro mới đòi hỏi các tiêu chuẩn an toàn nghiêm ngặt.

Những thách thức an toàn đặc biệt của hệ thống AV

Không giống như xe thông thường, xe tự hành phải nhận thức, quyết định và hành động mà không cần sự can thiệp của con người. Điều này tạo ra những thách thức phức tạp trong:

• Sự kết hợp cảm biến và độ chính xác của nhận thức
• Ra quyết định theo thời gian thực trong điều kiện không chắc chắn
• Phản hồi an toàn cho lỗi hệ thống hoặc môi trường không thể đoán trước

Các hệ thống này phải đủ mạnh để hoạt động trong nhiều điều kiện khác nhau và sự an toàn của chúng không thể phụ thuộc vào sự can thiệp của con người. Điều này làm cho các khuôn khổ an toàn AV như UL 4600 trở nên thiết yếu để giảm thiểu các mối nguy tiềm ẩn và đảm bảo hành vi an toàn, có thể dự đoán được.

Vai trò của tiêu chuẩn trong việc giảm thiểu rủi ro là gì?

Các tiêu chuẩn an toàn xe tự hành như UL 4600, ISO 26262 và SOTIF cung cấp các phương pháp có cấu trúc để xác định, đánh giá và quản lý rủi ro an toàn trong suốt vòng đời của AV. Các tiêu chuẩn này:

• Cho phép thực hiện các biện pháp an toàn nhất quán và có thể lặp lại
• Giúp các nhà sản xuất xây dựng các trường hợp an toàn toàn diện
• Hỗ trợ phê duyệt theo quy định và niềm tin của người tiêu dùng
• Khuyến khích sự liên kết và đổi mới của ngành trong ranh giới an toàn

Bằng cách áp dụng các tiêu chuẩn an toàn AV đã được chứng minh, các nhà phát triển có thể xây dựng các hệ thống không chỉ tiên tiến về mặt kỹ thuật mà còn an toàn ngay từ khâu thiết kế và tuân thủ các quy định đang thay đổi.

Tiêu chuẩn UL 4600 bao gồm những gì?

UL 4600 là một tiêu chuẩn an toàn toàn diện được thiết kế để giải quyết vấn đề an toàn toàn diện của xe tự hành (AV) hoạt động mà không cần sự giám sát của con người. Tiêu chuẩn này nêu ra các nguyên tắc và quy trình cốt lõi cần thiết để chứng minh rằng hệ thống tự lái có thể chấp nhận được mức độ an toàn khi triển khai. Thay vì chỉ định các công nghệ cụ thể, UL 4600 nhấn mạnh vào cách tiếp cận dựa trên mục tiêu, dựa trên bằng chứng, mang lại sự linh hoạt cho các nhà sản xuất trong khi vẫn đảm bảo sự đảm bảo an toàn nghiêm ngặt.

Khung và Tài liệu về Trường hợp An toàn

Trọng tâm của UL 4600 là trường hợp an toàn, một lập luận có cấu trúc được hỗ trợ bởi bằng chứng được ghi chép rằng hệ thống tự động an toàn cho mục đích dự định của nó. Tiêu chuẩn yêu cầu các nhà phát triển:

• Xác định rõ ràng phạm vi thiết kế hoạt động (ODD)
• Xác định mục tiêu an toàn và giảm thiểu nguy cơ
• Giải thích tại sao hệ thống đủ an toàn trong các điều kiện xác định
• Ghi lại tất cả các khiếu nại, bằng chứng và lý luận theo định dạng có thể theo dõi được

Tài liệu UL 4600 này trở thành tài sản quan trọng cho việc xem xét theo quy định, xác nhận nội bộ và trách nhiệm giải trình trước công chúng.

Yêu cầu an toàn cấp hệ thống

UL 4600 tập trung vào toàn bộ hệ thống, thay vì chỉ các thành phần hoặc hệ thống con riêng lẻ. Bao gồm:

• Cảm biến (LiDAR, radar, camera)
• Phần mềm nhận thức và ra quyết định
• Hệ thống truyền động và điều khiển
• Giao diện người-máy (nếu có)
• Hệ thống truyền thông

Bằng cách nhấn mạnh các yêu cầu về an toàn ở cấp độ hệ thống, tiêu chuẩn này đảm bảo rằng mọi tương tác trong hệ thống AV đều được tính đến, bao gồm sự lan truyền lỗi, tính toàn vẹn của dữ liệu và cơ chế dự phòng.

Phương pháp đánh giá rủi ro

Tiêu chuẩn này yêu cầu phân tích mối nguy hiểm và đánh giá rủi ro (HARA) chi tiết phù hợp với sự phức tạp riêng biệt của các hệ thống tự động. Các hoạt động quản lý rủi ro chính bao gồm:

• Xác định các mối nguy tiềm ẩn trong ODD
• Phân tích chuỗi nguyên nhân-kết quả có thể dẫn đến hành vi không an toàn
• Thiết lập các chiến lược giảm thiểu và cơ chế hoạt động không thành công
• Xác minh rằng các rủi ro còn lại nằm trong ngưỡng an toàn có thể chấp nhận được

Cách tiếp cận có cấu trúc này để đánh giá rủi ro tạo ra cơ sở định lượng, đáng tin cậy cho các quyết định về an toàn ở cấp độ hệ thống.

Tiếp cận vòng đời cho an toàn

UL 4600 thúc đẩy quy trình an toàn dựa trên vòng đời bao gồm toàn bộ quá trình phát triển và vận hành của xe tự hành. Bao gồm:

• Khái niệm ban đầu và định nghĩa yêu cầu
• Thiết kế và kiến ​​trúc hệ thống
• Triển khai và tích hợp
• Xác minh, xác nhận và thử nghiệm
• Giám sát liên tục và cập nhật sau khi triển khai

Bằng cách tích hợp tính an toàn vào mọi giai đoạn, tiêu chuẩn này hỗ trợ đảm bảo an toàn liên tục và khả năng thích ứng với các bản cập nhật phần mềm hoặc môi trường thay đổi, cả hai yếu tố đều quan trọng trong thế giới công nghệ AV đang phát triển nhanh chóng.

UL 4600 so với ISO 26262 so với SOTIF: Hiểu sự khác biệt

Khi ngành công nghiệp xe tự hành ngày càng phát triển, các nhà sản xuất phải đối mặt với thách thức trong việc điều hướng nhiều tiêu chuẩn an toàn cho xe, bao gồm UL 4600, ISO 26262 và SOTIF (ISO/PAS 21448). Mặc dù các tiêu chuẩn này có chung mục tiêu là tăng cường an toàn đường bộ, nhưng phạm vi, ứng dụng và giả định của chúng lại khác nhau, đặc biệt là trong bối cảnh hệ thống lái xe hoàn toàn tự động.

Sự khác biệt và điểm tương đồng chính

Cả ba tiêu chuẩn này đều bổ sung cho nhau và có thể được sử dụng kết hợp để tạo ra khuôn khổ an toàn AV toàn diện.

So sánh phạm vi: Hệ thống tự động và không tự động

• UL 4600 được thiết kế dành riêng cho các hệ thống lái xe tự động hoạt động mà không cần sự can thiệp của con người, do đó rất lý tưởng cho AV Cấp độ 4 và Cấp độ 5.
• ISO 26262 là tiêu chuẩn cơ bản về an toàn chức năng của tất cả các loại xe có hệ thống điện/điện tử (E/E), bao gồm cả xe thông thường và xe bán tự động.
• SOTIF giải quyết các trường hợp ngoại lệ và hạn chế về hiệu suất trong các hệ thống nhận thức, chẳng hạn như báo động giả từ cảm biến hoặc các sự kiện thực tế không thể đoán trước - rất quan trọng đối với ADAS và các chức năng AV ban đầu.

Khi nào áp dụng từng tiêu chuẩn?

• Sử dụng UL 4600 khi phát triển các loại xe hoặc sản phẩm hoàn toàn tự động không có sự hỗ trợ của con người, chẳng hạn như robot giao hàng, taxi robot hoặc xe tự hành địa hình.
• Sử dụng ISO 26262 để đáp ứng các yêu cầu về an toàn ở cấp độ thành phần cho phần cứng và phần mềm điện tử trong mọi loại xe, bao gồm cả những xe có hoặc không có tính năng tự động.
• Áp dụng SOTIF khi rủi ro an toàn phát sinh do hạn chế hiệu suất hệ thống, đặc biệt liên quan đến hệ thống ADAS, bộ cảm biến và thuật toán nhận thức do AI điều khiển.

Để có phạm vi bao phủ toàn diện, nhiều nhà sản xuất áp dụng phương pháp kết hợp, kết hợp UL 4600, ISO 26262 và SOTIF để đảm bảo tuân thủ an toàn AV từ đầu đến cuối.

Các yêu cầu chính của UL 4600 đối với các nhà sản xuất AV

UL 4600 thiết lập một khuôn khổ nghiêm ngặt để đảm bảo an toàn cho các phương tiện hoàn toàn tự động thông qua các quy trình có cấu trúc, tài liệu hướng dẫn mạnh mẽ và xác thực liên tục. Nó được thiết kế để giúp các nhà phát triển AV chứng minh rằng hệ thống của họ an toàn, ngay cả khi không có người lái. Việc tuân thủ UL 4600 đòi hỏi phải có cam kết chủ động, cấp hệ thống về đảm bảo an toàn, khả năng truy xuất nguồn gốc và trách nhiệm giải trình trong vòng đời.

Các thành phần chính của một trường hợp an toàn

Cốt lõi của UL 4600 là trường hợp an toàn, một lập luận toàn diện, được hỗ trợ bởi bằng chứng, rằng một hệ thống tự động có thể chấp nhận được là an toàn cho mục đích sử dụng dự kiến ​​của nó. Trường hợp an toàn phải bao gồm:

• Định nghĩa về miền thiết kế hoạt động (ODD) – Làm rõ nơi nào và trong điều kiện nào AV được kỳ vọng sẽ hoạt động an toàn.
• Phân tích mối nguy và đánh giá rủi ro (HARA) – Xác định các rủi ro tiềm ẩn và phác thảo các chiến lược giảm thiểu.
• Mục tiêu và yêu cầu an toàn – Nêu rõ các mục tiêu an toàn của hệ thống và cách thức đạt được các mục tiêu đó.
• Giả định và hạn chế – Xác định rõ ràng trường hợp an toàn phụ thuộc vào điều gì.
• Cấu trúc lập luận – Sắp xếp các khiếu nại, cơ sở lý luận và bằng chứng hỗ trợ một cách hợp lý và có thể truy nguyên được.

Kỳ vọng về Tài liệu và Bằng chứng

UL 4600 yêu cầu tài liệu đầy đủ và có thể theo dõi trong suốt vòng đời của hệ thống AV. Các yếu tố tài liệu chính của UL 4600 bao gồm:

• Sơ đồ kiến ​​trúc hệ thống và tổng quan khối chức năng
• Báo cáo thử nghiệm và bằng chứng xác minh cho mọi yêu cầu về an toàn
• Ma trận truy xuất liên kết các mối nguy hiểm, biện pháp giảm thiểu và kết quả thử nghiệm
• Dữ liệu mô phỏng và thử nghiệm thực tế xác thực hiệu suất an toàn
• Phân tích chế độ lỗi và lý do dự phòng

Tiêu chuẩn này nhấn mạnh vào tính minh bạch, nghĩa là mọi khiếu nại về an toàn phải được hỗ trợ bằng bằng chứng có thể xác minh, khách quan và kiểm toán được.

Thực hành tốt nhất về xác minh và xác thực

Để tuân thủ UL 4600, các nhà sản xuất phải triển khai các chiến lược xác minh và xác nhận (V&V) mạnh mẽ phù hợp với các hệ thống tự động. Bao gồm:

• Kiểm thử dựa trên kịch bản trên ODD đã xác định
• Xác thực dựa trên mô phỏng cho các trường hợp ngoại lệ và các mối nguy hiểm hiếm gặp
• Kiểm tra phần cứng trong vòng lặp (HIL) và phần mềm trong vòng lặp (SIL)
• Kiểm tra hoạt động thực tế để xác nhận hành vi của hệ thống
• Giám sát an toàn liên tục và vòng phản hồi sau khi triển khai

Các biện pháp V&V này giúp đảm bảo AV hoạt động an toàn không chỉ trong điều kiện bình thường mà còn khi gặp phải các yếu tố đầu vào bất ngờ, cảm biến bị suy giảm hoặc bất thường về phần mềm.

Yêu cầu về thị giác Nền tảng ALM để tuân thủ UL 4600

Nền tảng ALM Yêu cầu Visure cung cấp giải pháp toàn diện, mạnh mẽ để hợp lý hóa việc tuân thủ UL 4600 cho các nhà sản xuất xe tự hành. Được xây dựng để hỗ trợ phát triển quan trọng về an toàn, Visure cho phép các nhóm quản lý toàn bộ vòng đời kỹ thuật yêu cầu, với khả năng truy xuất nguồn gốc, quản lý rủi ro và tài liệu trường hợp an toàn đầy đủ, tất cả trong một môi trường tập trung.

Khả năng chính của UL 4600:

1. Quản lý yêu cầu tập trung – Thu thập, xác định và quản lý các yêu cầu về an toàn ở cấp độ hệ thống trong suốt vòng đời của AV, đảm bảo tuân thủ các kỳ vọng về tài liệu của UL 4600.
2. Phạm vi vòng đời yêu cầu đầy đủ – Từ phân tích nguy cơ ban đầu đến xác nhận cuối cùng, Visure đảm bảo bao phủ toàn diện các yêu cầu về an toàn AV, giảm thiểu rủi ro và hoạt động thử nghiệm.
3. Phân tích tác động và khả năng truy xuất nguồn gốc theo thời gian thực – Ma trận truy xuất nguồn gốc thời gian thực của Visure kết nối các mục tiêu an toàn với các chức năng hệ thống, trường hợp thử nghiệm và đánh giá rủi ro, rất quan trọng để xây dựng trường hợp an toàn UL 4600 có thể bảo vệ được.
4. Quản lý Rủi ro và An toàn Tích hợp – Tiến hành phân tích mối nguy và đánh giá rủi ro (HARA), FMEA và liên kết rủi ro với các yêu cầu và biện pháp giảm thiểu theo yêu cầu của phương pháp đánh giá rủi ro UL 4600.
5. Tạo trường hợp an toàn tự động – Tự động tạo tài liệu có thể theo dõi, sẵn sàng kiểm toán cho trường hợp an toàn UL 4600 của bạn, với kiểm soát phiên bản, quy trình đánh giá và theo dõi bằng chứng.
6. Hỗ trợ cho việc căn chỉnh tiêu chuẩn – Visure hỗ trợ tuân thủ theo ISO 26262, SOTIF và UL 4600, cho phép áp dụng phương pháp tiếp cận thống nhất để đảm bảo an toàn cho xe tự hành.

Tại sao nên chọn Visure cho UL 4600?

Tính linh hoạt, khả năng mở rộng và tập trung vào các hệ thống quan trọng về an toàn của Visure khiến nó trở thành nền tảng kỹ thuật yêu cầu lý tưởng cho các nhà phát triển xe tự hành muốn đáp ứng hiệu quả các yêu cầu của UL 4600. Bằng cách kết hợp quản lý yêu cầu nâng cao, phân tích rủi ro, xác thực và tài liệu tuân thủ, Visure đẩy nhanh con đường của bạn đến với chứng nhận an toàn AV.

Kết luận

Khi ngành công nghiệp ô tô đang tăng tốc hướng tới tính tự chủ hoàn toàn, việc đảm bảo an toàn cho xe tự hành chưa bao giờ trở nên quan trọng hơn thế. Tiêu chuẩn an toàn UL 4600 cung cấp một khuôn khổ toàn diện, cấp hệ thống để chứng minh rằng các hệ thống tự lái có thể chấp nhận được là an toàn, ngay cả khi không có sự giám sát của con người. Bằng cách áp dụng UL 4600 cùng với các tiêu chuẩn liên quan như ISO 26262 và SOTIF, các nhà sản xuất có thể giảm đáng kể rủi ro, cải thiện độ tin cậy của hệ thống và xây dựng lòng tin của công chúng vào các công nghệ AV.

Việc triển khai các tiêu chuẩn này đòi hỏi phải quản lý vòng đời yêu cầu nghiêm ngặt, khả năng truy xuất nguồn gốc từ đầu đến cuối và tài liệu minh bạch về trường hợp an toàn. Nền tảng ALM Yêu cầu Visure được xây dựng có mục đích để đơn giản hóa quy trình này, trao quyền cho các nhóm phát triển AV đẩy nhanh việc tuân thủ, giảm chi phí và tự tin cung cấp các giải pháp quan trọng về an toàn.

Bắt đầu dùng thử miễn phí 30 ngày Nền tảng ALM Yêu cầu Visure ngay hôm nay và thực hiện bước đầu tiên hướng tới những chiếc xe tự hành an toàn hơn và có thể chứng nhận được.