引言
随着自动驾驶技术的不断发展,确保自动驾驶汽车的安全已成为一项关键挑战。为了应对这一挑战,UL 4600(自动驾驶汽车安全标准)应运而生,它提供了一个全面的框架,用于评估和验证自动驾驶系统的安全性。与传统的汽车安全标准不同,UL 4600 专注于无人驾驶车辆,提供了一种系统级的方法来管理功能安全、风险和保障。
本指南探讨了 UL 4600 的定义、其在自动驾驶汽车安全领域的重要性,以及它与 ISO 26262 和 SOTIF 等相关标准的比较。我们还将深入探讨 UL 4600 合规性、文档要求、安全案例开发以及自动驾驶汽车制造商和开发商的认证流程等关键要素。
无论您是想了解 UL 4600 要求、构建强大的安全案例,还是了解 UL 4600 认证流程,本文都会提供您需要了解的所有信息,以确保合规并实现自动驾驶汽车安全保障。
什么是 UL 4600?
UL 4600 是由美国保险商实验室 (Underwriters Laboratories) 专门为无人驾驶汽车开发的一项安全标准。其正式名称为 《自主产品安全评估标准》 UL 4600 定义了一个用于评估、验证和记录自动驾驶系统安全性的框架。该框架旨在确保自动驾驶系统 (ADS) 的开发具备端到端的安全保障,并重点关注自动驾驶的系统和软件层面。
与传统标准不同,UL 4600 不假设人类后备操作员,这使其特别适用于全自动驾驶汽车,包括机器人出租车、自动送货机器人和无人运输车辆。
为什么安全标准对自动驾驶汽车很重要?
随着自动驾驶汽车 (AV) 的加速部署,移除人类驾驶员的安全隐患也日益凸显。与传统汽车不同,自动驾驶汽车必须独立感知、分析并在现实环境中采取行动,因此系统可靠性和风险管理至关重要。
由于缺乏成熟的全球 AV 安全法规,行业迫切需要像 UL 4600 这样的结构化安全标准。这些标准:
- 实现整个 AV 行业的一致安全评估
- 支持监管部门批准和利益相关者信心
- 指导制造商开发安全设计系统
实施安全框架对于防止系统故障、建立公众信任以及实现自动驾驶技术的可扩展部署至关重要。
UL 4600 作为功能安全标准
UL 4600 是一项系统级安全标准,不仅涵盖功能安全,还能够在没有规定性要求的情况下,对安全保障进行推理。它支持基于安全案例的方法,这意味着制造商需要证明并提供证据,证明其自动驾驶系统在预期操作下是安全的。
UL 4600 的关键组成部分包括:
- 危害分析和风险评估
- 安全案例文件
- 自主功能的验证和确认
- 容错和故障缓解
- 人机交互和用户意识(如果适用)
虽然 ISO 26262 和 SOTIF 对于组件级安全和预期功能的安全至关重要,但 UL 4600 整合了这些概念,重点关注从设计到部署的整个自动驾驶汽车生命周期,尤其是在没有人为支持的情况下。
为什么自动驾驶汽车安全标准很重要?
自动驾驶技术的快速发展,带动了从客运、物流到最后一公里配送等各行各业自动驾驶汽车 (AV) 的开发和部署激增。随着自动驾驶系统逐渐走向广泛应用,确保其安全性、可靠性和可追溯性变得前所未有的紧迫。
各大汽车厂商、初创公司和科技公司都在大力投资自动驾驶汽车的开发。随着试点项目、自动驾驶出租车服务和无人驾驶送货车队的陆续投入运营,未来交通运输的自动化程度将不断提升。然而,缺乏人工监管也带来了新的风险,需要制定严格的安全标准。
AV 系统独特的安全挑战
与传统车辆不同,自动驾驶汽车必须在没有人工干预的情况下感知、决策和行动。这带来了以下方面的复杂挑战:
- 传感器融合和感知精度
- 不确定性下的实时决策
- 对系统错误或不可预测的环境的故障安全响应
这些系统必须足够坚固,才能在各种条件下正常运行,其安全性不能依赖于人为干预。因此,像 UL 4600 这样的 AV 安全框架对于减轻潜在危险并确保可预测的安全行为至关重要。
标准在降低风险方面发挥什么作用?
UL 4600、ISO 26262 和 SOTIF 等自动驾驶汽车安全标准提供了结构化方法来识别、评估和管理自动驾驶汽车整个生命周期的安全风险。这些标准:
- 实现一致且可重复的安全实践
- 帮助制造商建立全面的安全案例
- 支持监管部门批准和消费者信任
- 鼓励在安全范围内的行业协调和创新
通过采用经过验证的 AV 安全标准,开发人员可以构建不仅技术先进而且设计安全且符合不断发展的法规的系统。
UL 4600 涵盖哪些内容?
UL 4600 是一项全面的安全标准,旨在解决无人驾驶汽车 (AV) 在无人监管的情况下运行的端到端安全问题。它概述了证明自动驾驶系统具备可接受的部署安全性所需的核心原则和流程。UL 4600 并未规定具体的技术,而是强调以目标为导向、以证据为驱动的方法,在确保严格安全保障的同时,赋予制造商灵活性。
安全案例框架和文档
UL 4600 的核心是安全案例,这是一种结构化的论证,有文件证据支持,证明自动驾驶系统对于其预期用途而言是安全的。该标准要求开发人员:
- 明确定义操作设计域(ODD)
- 确定安全目标和危害缓解措施
- 证明系统在规定条件下足够安全的原因
- 以可追溯的格式记录所有主张、证据和推理
该 UL 4600 文件成为监管审查、内部验证和公共问责的重要资产。
系统级安全要求
UL 4600 关注的是整个系统,而非单个组件或子系统。这包括:
- 传感器(激光雷达、雷达、摄像头)
- 感知和决策软件
- 驱动和控制系统
- 人机界面(如适用)
- 通信系统
通过强调系统级安全要求,该标准确保考虑到 AV 系统内的所有交互,包括故障传播、数据完整性和冗余机制。
风险评估方法
该标准要求根据自主系统的独特复杂性进行详细的危害分析和风险评估(HARA)。关键的风险管理实践包括:
- 识别 ODD 中的潜在危险
- 分析可能导致不安全行为的因果链
- 建立缓解策略和故障运行机制
- 验证剩余风险是否在可接受的安全阈值范围内
这种结构化的风险评估方法为系统级安全决策提供了可辩护的定量基础。
生命周期安全方法
UL 4600 倡导基于生命周期的安全流程,涵盖自动驾驶汽车的整个开发和运营过程。这包括:
- 初步概念和需求定义
- 系统设计和架构
- 实施与整合
- 验证、确认和测试
- 部署后持续监控和更新
通过将安全性融入每个阶段,该标准支持持续的安全保证以及对软件更新或不断变化的环境的适应性,这两者在快速发展的 AV 技术领域都至关重要。
UL 4600、ISO 26262 和 SOTIF:了解差异
随着自动驾驶汽车行业的成熟,制造商面临着遵循多项车辆安全标准的挑战,包括 UL 4600、ISO 26262 和 SOTIF (ISO/PAS 21448)。虽然这些标准的目标是提升道路安全,但它们的范围、应用和假设却各不相同,尤其是在完全自动驾驶系统的背景下。
主要区别和相似之处
| 特性 | UL 4600 | ISO 26262 | SOTIF(ISO 21448) |
| 专注 | 自动驾驶汽车的系统级安全 | 电气/电子系统的功能安全 | 预期功能的安全性,尤其是感知 |
| 假设是人类驾驶员? | 没有 | 是(在许多情况下作为后备) | 是 |
| 需要安全箱 | 是 | 未明确 | 没有 |
| 规范性 vs. 基于目标 | 基于目标 | 规范性的 | 情景分析规范 |
| 预期用途 | 4级和5级自动驾驶 | 所有配备电子系统的车辆 | 主要是 ADAS 和早期自主驾驶 |
这三项标准是互补的,可以组合使用以创建全面的 AV 安全框架。
范围比较:自主系统与非自主系统
- UL 4600 专为无需人工干预的自动驾驶系统而构建,是 4 级和 5 级自动驾驶汽车的理想选择。
- ISO 26262 是所有配备电气/电子 (E/E) 系统的车辆(包括传统车辆和半自动车辆)功能安全的基础标准。
- SOTIF 解决了感知系统中的边缘情况和性能限制,例如传感器的误报或不可预测的现实世界事件 - 这对于 ADAS 和早期 AV 功能至关重要。
何时应用每个标准?
- 在开发全自动汽车或无需人工干预的产品(例如送货机器人、机器人出租车或越野自动驾驶汽车)时,请使用 UL 4600。
- 使用 ISO 26262 满足任何类型车辆(包括具有或不具有自动功能的车辆)的电子硬件和软件的组件级安全要求。
- 当系统性能限制导致安全风险时应用 SOTIF,尤其适用于 ADAS 系统、传感器套件和 AI 驱动的感知算法。
为了全面覆盖,许多制造商采用混合方法,结合 UL 4600、ISO 26262 和 SOTIF 来确保端到端 AV 安全合规性。
UL 4600 对 AV 制造商的关键要求
UL 4600 建立了一个严格的框架,通过结构化的流程、完善的文档和持续的验证来确保全自动驾驶汽车的安全。该标准旨在帮助自动驾驶汽车开发者证明其系统即使在没有人类驾驶员的情况下也能安全运行。要符合 UL 4600 标准,需要积极主动地在系统层面上致力于安全保障、可追溯性和生命周期问责。
安全案例的关键组成部分
UL 4600 的核心是安全案例,这是一个全面的论证,有证据支持,证明自动驾驶系统在其预期用途上是安全的。安全案例必须包括:
- 操作设计域(ODD)的定义 – 明确 AV 预计在何处以及在何种条件下安全运行。
- 危害分析与风险评估(HARA) – 识别潜在风险并概述缓解策略。
- 安全目标和主张 – 说明系统安全目标以及如何实现这些目标。
- 假设和限制 – 透明地定义安全案例所依赖的内容。
- 论证结构 – 以逻辑性和可追溯性的方式组织主张、理由和支持证据。
文件和证据要求
UL 4600 要求在整个视音频系统生命周期内提供全面且可追溯的文档记录。UL 4600 文档记录的关键要素包括:
- 系统架构图和功能块概述
- 每项安全要求的测试报告和验证证据
- 连接危害、缓解措施和测试结果的可追溯性矩阵
- 模拟和真实世界测试数据验证安全性能
- 故障模式分析和冗余论证
该标准强调透明度,这意味着安全案例中提出的每一项主张都必须有可验证、客观和可审计的证据支持。
验证和确认最佳实践
为了符合 UL 4600 标准,制造商必须实施针对自主系统的强大验证和确认 (V&V) 策略。这些策略包括:
- 跨定义的 ODD 进行基于场景的测试
- 基于模拟的极端情况和罕见危险验证
- 硬件在环 (HIL) 和软件在环 (SIL) 测试
- 进行真实世界的操作测试以确认系统行为
- 部署后持续的安全监控和反馈循环
这些 V&V 实践有助于确保 AV 不仅在正常条件下安全运行,而且在遇到意外输入、传感器性能下降或软件异常时也能安全运行。
符合 UL 4600 标准的 Visure 要求 ALM 平台
Visure 需求 ALM 平台提供强大的端到端解决方案,简化自动驾驶汽车制造商的 UL 4600 合规性。Visure 专为支持安全关键型开发而设计,使团队能够在一个集中式环境中管理完整的需求工程生命周期,并提供全面的可追溯性、风险管理和安全案例文档。
UL 4600 的主要功能:
- 集中需求管理 – 捕获、定义和管理系统级 AV 生命周期内的安全要求,确保符合 UL 4600 的文档要求。
- 全面覆盖生命周期需求 – 从初步危害分析到最终验证,Visure 确保 AV 安全要求、风险缓解和测试活动的完整端到端覆盖。
- 实时追溯和影响分析 – Visure 的实时可追溯性矩阵将安全目标与系统功能、测试用例和风险评估相连接,这对于构建可防御的 UL 4600 安全案例至关重要。
- 综合风险与安全管理 – 按照 UL 4600 风险评估方法的要求,进行危害分析和风险评估 (HARA)、FMEA,并将风险与要求和缓解措施联系起来。
- 自动安全案例生成 – 自动为您的 UL 4600 安全案例生成可追溯、可供审计的文档,并具有版本控制、审查工作流程和证据跟踪。
- 支持标准协调 – Visure 支持与 ISO 26262、SOTIF 和 UL 4600 的共同遵守,从而实现对自动驾驶汽车安全保障的统一方法。
为什么选择 Visure 的 UL 4600?
Visure 的灵活性、可扩展性以及对安全关键系统的专注,使其成为自动驾驶汽车开发者高效满足 UL 4600 要求的理想需求工程平台。通过结合先进的需求管理、风险分析、验证和合规性文档,Visure 可加速您获得自动驾驶汽车安全认证的进程。
结语
随着汽车行业加速迈向完全自动驾驶,确保自动驾驶汽车的安全变得前所未有的重要。UL 4600 安全标准提供了一个全面的系统级框架,用于证明即使在无人监督的情况下,自动驾驶系统也具备可接受的安全性。通过采用 UL 4600 以及 ISO 26262 和 SOTIF 等相关标准,制造商可以显著降低风险,提高系统可靠性,并建立公众对自动驾驶技术的信任。
实施这些标准需要严格的需求生命周期管理、端到端可追溯性以及透明的安全案例文档。Visure 需求 ALM 平台旨在简化此流程,使 AV 开发团队能够加快合规性、降低成本并自信地交付安全关键型解决方案。
立即开始 Visure 需求 ALM 平台 14 天免费试用 并迈出更安全、可认证的自动驾驶汽车的第一步。
