L5級別自動駕駛未至，安全標準先行

文/本刊記者 王素 黃帥

新能源汽車“2.0時代”是電動化與智能化深度融合發展的“智電”階段，與之相隨的功能安全和信息安全問題備受各方重視。汽車網絡一旦出現問題，其后果不只會威脅到個人的財產和生命安全，甚至還會影響公共安全。然而，當前相關標準的不完善，制約著智電汽車的進一步發展。

在由全球知名第三方機構UL主辦的“2019年智電汽車安全技術國際高峰論壇”上，本刊了解到，為了促進智電汽車發展中的電氣安全和智能安全，UL全面投入，在常州投資建立動力和儲能電池實驗室就是其濃墨重彩的一筆。尤其在標準開發上，UL已就電池安全發布了10部標準，而針對自動駕駛最高級別L5級開發的UL 4600標準也已經進入最終審核階段，正在做“自動駕駛未至，安全標準先行”的前瞻布局。

圍繞智電汽車安全“智”行的更多問題，UL汽車業務發展總監王昊博接受了本刊記者采訪。

進出口經理人：智電汽車的功能安全和信息安全問題備受各方重視。目前國內車企在這兩方面均存在哪些風險，以及它們要如何提升這兩方面的安全能力？

王昊博：目前汽車的功能安全已經在國內大面積推廣，主流主機廠針對車載電子電氣行業系統特別是電動車的“三電”（電驅、電池和電控）、轉向和制動系統基本上已經有功能安全要求。功能安全更新的版本對于高級駕駛輔助系統（ADAS）的功能安全也增加了要求。

在功能安全方面，目前主機廠面臨的挑戰主要來自3個方面。第一，車輛子系統的功能性越來越復雜，主機廠作為系統集成方除了需要確保不同子系統之間互相關聯的功能安全之外，還需要在下達功能安全目標之前確保這些要求是否合理，不合理的功能安全要求會導致開發成本劇增。第二，對于L3級別以上的自動駕駛，除了功能安全外，預期功能安全（SOTIF）變得越來越重要，但是該國際標準目前還只是從一個較高層面描述預期功能安全，造成主機廠和系統供應商很難從實際應用層面按照這個標準進行開發。第三，隨著網聯技術的引入，功能安全和網絡安全彼此的關聯性越來越強，開發人員需要同時兼顧兩方面的安全性要求。

在網絡安全方面，目前第一大挑戰是汽車網絡安全標準的缺位。國家標委會已經于2019年年初開啟了車輛網絡安全推薦標準的制定工作。對于廠商來說，如何在標準缺失的現狀下開發出安全的產品是一大挑戰。第二大挑戰是網絡安全的動態性。由于網絡攻擊技術每時每刻都在發展，如何保證產品在網絡安全方面擁有探測、防御甚至自我修復能力將是最大的挑戰。這不僅涉及產品開發，還涉及企業對于網絡安全體系的建立。第三大挑戰是主機廠如何確保供應商所提供的產品符合網絡安全的要求。

針對以上挑戰，企業一方面需要盡快在內部建立相應的人員和知識能力；另一方面，可以與獨立的第三方合作，后者所提供的咨詢、評價和認證服務可以幫助主機廠在確保安全性的前提下，以更加透明有效的方式管理自己的供應鏈。尤其獨立的第三方如果在產品開發階段早期介入，可以有效地幫助主機廠和供應商應對標準缺失、體系建立和復雜系統合規性等挑戰，以減少未來可能出現的產品缺陷和受到網絡攻擊的風險。

進出口經理人：我們談到智電汽車的最高境界無人駕駛，不得不談5G。2019年是中國5G商用元年，您認為5G將給汽車自動駕駛帶來哪些價值和安全性挑戰？

王昊博：2019年6月6日，我國工信部正式向中國電信、中國移動、中國聯通和中國廣電發放了5G商用牌照，標志著我國正式進入5G商用元年。5G商用牌照給網聯車的商用化進程掃除了一大障礙，將有力促進自動駕駛的發展。5G的高速率、低延遲、低功耗以及萬物互聯的特性將結合V2X、自動駕駛、高精地圖以及基于數據的服務給汽車產業新的商業模型提供落地的可能性。

目前，車聯網受制于4G技術以及傳統汽車的電子電氣架構并不能提供真正的以消費者為中心的增值服務，造成客戶對車聯網服務的粘度較低。另外，數據安全性也是受到政府監管和汽車行業關注的議題。隨著相關標準的建立、技術的成熟，車聯網的應用場景會不斷豐富，并且終將定義全新的出行服務。

當然，這也會帶來安全性的挑戰，包括功能安全和網絡安全，這些問題我們在上一個問題已經作了詳細闡述。

進出口經理人：我們關注到UL正在起草一個關于無人駕駛汽車安全的規范和評估流程的標準UL4600，請介紹一下這是一個什么性質的安全標準？它的正式頒布將會對智電汽車的發展有何意義？

王昊博：自2019年年初UL便聯合整車廠、研究機構和各大科技公司撰寫了UL 4600自動駕駛安全評價標準。

目前該標準正處于UL標準技術委員會（STP）的最終審核階段，即將形成最終草稿版供利益相關方瀏覽并反饋意見。UL及相關方會持續推動該標準成為美國國家標準即ANSI標準，并且UL也期待與國際電工委員會（IEC）、國際標準化組織（ISO）等標準組織促成合作，使其成為國際標準。

一直以來，UL致力于促進智電汽車的電氣安全和智能安全。“電動化”是UL的傳統強項，在電氣安全領域的研究已經有百年歷史，亦與時俱進，擁有針對電動汽車充電系統、電池系統和關鍵零部件等一系列的專業標準，以保障汽車“電動化”安全。

新標準UL 4600 是UL 關注汽車“智能化”的核心內容。UL以駕駛系統沒有駕駛員為預設來制定此項安全標準，將要求廠商建立安全案例來證明系統的安全性。如果說其他安全標準是一種方法論，UL 4600則是自動駕駛開發工作的安全指導書和安全規范。

從整個產業來說，智電汽車中的自動駕駛對安全性的要求很高，消費者也很難接受汽車廠商認證自家車輛的安全性。UL 4600標準對安全評審員的獨立性和相關資質能力均提出要求，通常廠家需要公開內部評審員的相關信息，或者聘用外部具有資質的評審員。UL 4600標準將建立公眾與廠家的互信機制，推動自動駕駛安全的發展。

進出口經理人：：現在國外大部分國家把L3視作自動駕駛，而據悉UL的自動駕駛標準UL4600將針對L5級別。請問在自動駕駛的全球統一標準還未真正出臺之前，UL如何評估和保證自動駕駛技術的安全性？

王昊博：L5比L3的自動駕駛級別更高：L3是不需要駕駛員監督，但在出問題時需要駕駛員介入；L5是指全自動駕駛，只要在地球上有地圖的地方，全部都能自動駕駛。

首先，從標委會組成來看，成員來自產業鏈的不同行業，各家專業知識和積累能夠形成協同效應。UL 4600標準小組由來自行業各領域的約30名專家成員參與，包括芯片供貨商、自動駕駛技術公司和整車廠以及行業知名專家。

其次，從標準開發方式的來看，整個標準開發強調了及時更新。傳統標準的弱點之一是并非為頻繁更新而設計，而自動駕駛最大的安全問題之一就是“未知的未知” （Unknown-Unknowns）。UL 4600要求標準成員會一旦發現任何問題需要及時告知標準委員會，標準委員會承諾幾個月內可完成緊急更新，并可能每一年定期更新，利用反饋回路（Feedback loops）來回應未知的風險。

最后，從標準的內容來看，UL是幫助廠商梳理、架構清楚所有與自動駕駛安全相關的標準，標明所有必需測試的項目，從而建立系統方法，確保設計團隊不會遺漏某個合理可預見的問題。UL 4600標準小組與ISO 26262和ISO/PAS 21488的標準方有密切聯系，同時在標準的相關章節也會建議開發者使用功能安全和預期功能安全的相關技術。

進出口經理人：國內一些自主品牌的車企正聚力打造智電汽車的全球競爭力，基于這種目標愿景，它們應該如何與國際先進技術標準接軌？UL對此有何建議？

王昊博：創新是推動標準建立和更新的主要動力，但這也意味著標準實施相對于技術發展的滯后以及標準更新速度的加快。這對于國內企業來說將有如下挑戰：一是如何在標準缺失的現狀下做到“合規”；二是如何跟進各大標準的更新；三是在強勢技術領域如何主導國際標準建設；四是如何真正把標準轉化成技術，進而轉化為生產力。

基于這些挑戰，UL建議：首先，主機廠要和更多的合作伙伴合作，特別是已經在各大標準組織中參與標準制定的第三方服務機構，以便了解最新的標準動態，同時在最大程度上做到“合規”。其次，在強勢技術領域，國內廠商可以通過我國的標準機構或行業協會積極參與制定新的國際標準。再次，在實際標準轉化層面，要注意防止法規部門和技術部門在標準需求和標準解讀方面的脫節，第三方機構也可在此起到很好的連接作用。最后，標準特別是市場準入的法規標準不應該在產品開發后期才被重視，而應該在開發最初階段就要重視，否則后期改制成本巨大，有時甚至會影響整個企業的產品投放戰略。