自動駕駛汽車運行安全要求探討 | 機動車登記查驗

      導(dǎo)讀：隨著計算機、軟件、人工智能、通信、傳感器等技術(shù)的進步，自動駕駛汽車距離我們越來越近，與傳統(tǒng)汽車相比，自動駕駛汽車在技術(shù)和運行方面具有迥然不同的特征，這也就決定了其在運行安全方面也存在有別于傳統(tǒng)汽車的特征。對此，公安部道路交通安全研究中心人員進行了專題研究，提出自動駕駛汽車有別于傳統(tǒng)汽車運行安全的15項特征，闡述其內(nèi)涵和制度構(gòu)建建議，希望對相關(guān)行業(yè)的從業(yè)者有一定啟發(fā)。
       自動駕駛汽車更多地是被“軟件”定義的，與傳統(tǒng)汽車相比，包含了更多的環(huán)境感知、決策算法、執(zhí)行控制等方面的內(nèi)容，在這樣的技術(shù)特征背景下，其安全性能要求也與傳統(tǒng)汽車有較大差異。自動駕駛汽車的安全性，是國內(nèi)外研究的重點和熱點。本文系統(tǒng)梳理了美國和聯(lián)合國歐洲經(jīng)濟委員會發(fā)布的研究成果，介紹了自動駕駛汽車有別于傳統(tǒng)汽車的15個運行安全要求方面的內(nèi)容，內(nèi)容涵蓋數(shù)據(jù)記錄和共享、隱私、系統(tǒng)安全、信息安全、人機交互、碰撞安全、消費者教育、產(chǎn)品認證、碰撞后反應(yīng)、遵守道路交通法律法規(guī)、倫理考量、設(shè)計運行域、目標和意外的檢測與響應(yīng)、退出機制、車輛保養(yǎng)和檢測等方面，其中，前14個方面的運行安全內(nèi)容主要通過梳理美國交通部發(fā)布的自動駕駛政策獲得[1-4]，車輛保養(yǎng)和檢測方面的內(nèi)容主要來自于聯(lián)合國歐洲經(jīng)濟委員會的自動駕駛汽車技術(shù)法規(guī)內(nèi)容[5]。

01、數(shù)據(jù)記錄和共享
       廠家在測試、試用階段，應(yīng)該記錄事件、事故和碰撞數(shù)據(jù)，目的是記錄導(dǎo)致誤操作、系統(tǒng)性能降低和功能未正常發(fā)揮的原因。數(shù)據(jù)的收集、記錄、共享、存儲、審查和解構(gòu)，必須符合廠家制定的消費者隱私和安全保障策略。對于以碰撞事故重建為目的的數(shù)據(jù)存儲，除了能被廠家讀取，也應(yīng)被主管機構(gòu)讀取。
       車輛收集的數(shù)據(jù)至少應(yīng)包括事件相關(guān)數(shù)據(jù)、車輛系統(tǒng)的表現(xiàn)，以及事發(fā)時自動駕駛系統(tǒng)的狀態(tài)和人員操作的狀態(tài)。為了增強自動駕駛系統(tǒng)通過學(xué)習(xí)獲得更高水平安全性能的能力，也為了增強公眾對自動駕駛技術(shù)的信心，自動駕駛系統(tǒng)“成功應(yīng)對”各類事件的情況也應(yīng)詳細記錄，包括對安全相關(guān)狀況的識別，成功避免事故的決策等。廠家應(yīng)當制定實現(xiàn)上述數(shù)據(jù)共享的具體方案，信息共享前應(yīng)當脫敏，即不應(yīng)通過共享信息推斷出具體的車輛所有者或使用者。信息共享應(yīng)當符合數(shù)據(jù)隱私和安全方面的協(xié)議，或征得車輛所有人或使用人的同意。數(shù)據(jù)共享目前發(fā)展較為迅猛，需要利益相關(guān)者開展更多的研究和討論，便于達成共識。對廠家來說，多數(shù)傾向于能夠在共享數(shù)據(jù)池里檢索和存儲所制造銷售車輛的信息。

02、隱私保護
       汽車廠商應(yīng)該確保實現(xiàn)以下隱私保護目標：
? 數(shù)據(jù)政策應(yīng)透明。應(yīng)當制定易于理解的、清晰的、內(nèi)容完整的信息隱私和安全協(xié)議，告知消費者廠家收集、使用、共享、審查和銷毀車輛產(chǎn)生的數(shù)據(jù)或從車輛讀取數(shù)據(jù)的詳細步驟。
? 使車輛所有者有決定權(quán)。應(yīng)當給予車輛所有者對于信息收集、使用、共享、保存、銷毀方面的決定權(quán)，尤其是對于地理位置信息、生物特征信息和駕駛操作習(xí)慣等與個人特性密切相關(guān)的數(shù)據(jù)處置決定權(quán)。
? 忠于數(shù)據(jù)收集的目的。數(shù)據(jù)的使用應(yīng)當與數(shù)據(jù)收集的目的一致。
? 最少信息原則。在滿足合理應(yīng)用的前提下，收集和保存的信息應(yīng)盡量少，信息應(yīng)及時脫敏。
? 數(shù)據(jù)安全。實施確保數(shù)據(jù)不被泄露的措施。
? 數(shù)據(jù)完整和可更正。應(yīng)允許車輛操作者或所有者檢查和更正錯誤的有關(guān)個人的信息。
? 檢查。針對上述有關(guān)措施的落實，應(yīng)具有合理的檢查步驟。

03、系統(tǒng)安全
       廠商應(yīng)當根據(jù)系統(tǒng)工程理論，設(shè)計和驗證自動駕駛系統(tǒng)，尤其是要使用和遵從諸如道路機動車輛功能安全等工業(yè)標準，確保系統(tǒng)的魯棒性，如當系統(tǒng)遭遇電子的、通信的或機械的誤操作時，以及遭遇軟件錯誤時，仍能保持處于安全狀態(tài)。自動駕駛系統(tǒng)應(yīng)當包含風(fēng)險分析和安全評估系統(tǒng)，同時還應(yīng)描述遭遇誤操作時，系統(tǒng)的設(shè)計裕量和決策安全策略。自動駕駛系統(tǒng)應(yīng)當特別關(guān)注軟件的研發(fā)、測試和驗證。研發(fā)軟件要進行良好的計劃、控制和文檔管理，便于及時有效檢測和更正由于軟件研發(fā)導(dǎo)致的失誤。設(shè)計決策算法時，要充分考慮決策框架，傳感器、執(zhí)行器和通信失誤，軟件功能實效，系統(tǒng)可靠性，潛在的控制不足，可能與其他交通參與者發(fā)生的碰撞，駛離道路，偏離車道，交通違法，偏離正常駕駛操作等。所有的設(shè)計策略均應(yīng)是能被測試和驗證的，所有的設(shè)計過程均應(yīng)詳細記錄，任何改變、決策策略、分析數(shù)據(jù)、測試數(shù)據(jù)均應(yīng)能溯源。

04、信息安全
       廠商應(yīng)當根據(jù)系統(tǒng)工程理論，設(shè)計和驗證自動駕駛系統(tǒng)，確保系統(tǒng)在遭受信息威脅時的魯棒性。設(shè)計時，應(yīng)當全面評估遭受攻擊時系統(tǒng)的安全性能。威脅的確定、保護、識別、回應(yīng)和恢復(fù)等各個環(huán)節(jié)，均應(yīng)配合風(fēng)險管理的決策，及時消除風(fēng)險和威脅，并且應(yīng)具備快速反應(yīng)和學(xué)習(xí)應(yīng)對能力。信息攻擊防護是一個快速發(fā)展的領(lǐng)域，需要大量更進一步的研究，行業(yè)還未形成統(tǒng)一的標準，在此之前，廠家應(yīng)了解、掌握和應(yīng)用本行業(yè)或相關(guān)行業(yè)在應(yīng)對相關(guān)問題時的良好實踐。所有設(shè)計過程均應(yīng)詳細記錄，任何改變、決策策略、分析數(shù)據(jù)、測試數(shù)據(jù)均應(yīng)能溯源，溯源系統(tǒng)也應(yīng)具有魯棒性。另外，應(yīng)當建立學(xué)習(xí)聯(lián)盟，鼓勵廠商及時上報在事故調(diào)查、內(nèi)部測試、外部測試等過程中遭遇到的攻擊，方便行業(yè)快速學(xué)習(xí)、共同研究應(yīng)對。

05、人機交互
       人機交互，即車輛和人之間的信息、操作交互，一直以來在汽車設(shè)計領(lǐng)域扮演著重要角色。對于自動駕駛車輛來說，人機交互變得更為復(fù)雜，部分原因是車輛必須準確地向操作人員報告車輛的行駛意圖和安全性能狀況。尤其是對于部分自動駕駛汽車（L3）而言，在設(shè)計時即要求駕駛?cè)嗽谟龅较到y(tǒng)請求時，能夠及時監(jiān)測和接管系統(tǒng)，但對于之前并未參與駕駛?cè)蝿?wù)的駕駛?cè)硕裕蠹皶r回應(yīng)和接管車輛難度較大。另外，人機交互還應(yīng)考慮自動駕駛系統(tǒng)與周邊車輛、行人、騎自行車人等關(guān)于車輛狀態(tài)和行車意圖方面的信息交互。目前自動駕駛?cè)藱C交互技術(shù)發(fā)展迅速，但相關(guān)標準還未出臺，因此企業(yè)應(yīng)該關(guān)注并實施本行業(yè)或相關(guān)行業(yè)的良好實踐。人機交互應(yīng)該至少涉及以下內(nèi)容：系統(tǒng)功能是否正常；當前自動駕駛系統(tǒng)的模式（狀態(tài)）；當前系統(tǒng)的局限性（即哪些功能還無法發(fā)揮作用）；是否遭遇了誤操作；請求由駕駛?cè)私庸苘囕v；對于完全自動駕駛的汽車，還需要考慮與殘疾人的人機交互（例如，通過圖像、聲音、觸覺進行交互）；對于由駕駛?cè)恕斑h程”操作的情況，遠程駕駛?cè)藨?yīng)當時刻知曉車輛的狀態(tài)。

06、碰撞安全性
       由于可能遭受其他車輛的撞擊，因此自動駕駛車輛應(yīng)該滿足現(xiàn)有的碰撞標準。自動駕駛車輛布設(shè)了先進的傳感器，因此可以通過主被動安全相結(jié)合的辦法，進一步提升車輛的碰撞安全性能。對于車內(nèi)無人的自動駕駛車輛，需要在設(shè)計時考慮其碰撞時的幾何尺寸兼容性和吸能作用，確保其他車輛的碰撞安全性。

07、消費者教育和培訓(xùn)
       適當?shù)南M者教育和培訓(xùn)，對自動駕駛車輛試用中確保其安全性是極為重要的。企業(yè)應(yīng)當建立相關(guān)制度和機制，要求員工、銷售商及其他人員對消費者實施教育和培訓(xùn)，培訓(xùn)教育的內(nèi)容主要是自動駕駛車輛與傳統(tǒng)車輛的不同點，確保消費者能夠更準確、更有效、更安全地理解和掌握最低限度的自動駕駛技術(shù)特征。教育和培訓(xùn)應(yīng)該具有層次性，先是由產(chǎn)品和技術(shù)員工教育市場人員和銷售人員，再由后者教育終端銷售商，最后是教育消費者。教育培訓(xùn)的內(nèi)容應(yīng)包括：自動駕駛系統(tǒng)的功能和設(shè)計意圖、操作參數(shù)、功能適應(yīng)性和局限性、人工操作的進入和脫離、人機交互內(nèi)容和方式、遇到緊急情況時車輛的反應(yīng)、操作邊界及其責任，以及潛在的可能改變駕駛功能和習(xí)慣的內(nèi)在機制。教育培訓(xùn)可以采用實車或虛擬現(xiàn)實的方式進行。教育培訓(xùn)的內(nèi)容和方式，應(yīng)當及時傾聽來自銷售商、消費者或市場調(diào)研機構(gòu)的意見。

08、產(chǎn)品認證
       自動駕駛車輛在生命周期內(nèi)，會通過升級軟件的辦法改變車輛的自動駕駛等級。隨著技術(shù)的不斷更新進步，更新的產(chǎn)品會不斷投入市場，之前投放的車輛就會被改變，提供類似于新車的功能，最常見的就是在保持硬件不變或改變很小的情況下，通過升級軟件，使舊車的自動駕駛等級與新車一樣。目前的車輛認證管理中，車企需要向管理部門提交關(guān)于車輛唯一性和安全特征參數(shù)的說明。未來，建議企業(yè)在車內(nèi)提供向使用者或車主介紹車輛自動駕駛系統(tǒng)關(guān)鍵功能和特征的說明。例如，可在車內(nèi)駕駛?cè)俗灰曇胺秶鷥?nèi)，或在靠近前排左側(cè)座位的門鎖處粘貼柔性標簽，介紹車輛的功能、設(shè)計運行域（ODD），以及獲得進一步信息的方式和渠道?？紤]到車輛生命周期內(nèi)會不斷通過升級軟件或硬件改變車輛功能，因此上述升級情況也應(yīng)在標簽中標明。特別需要說明的是，車企應(yīng)當全面描述車輛在每個設(shè)計運行域中的功能適應(yīng)性和局限性，如運行速度、地理區(qū)域、天氣狀況，以及在人機交互中或車輛產(chǎn)品說明書中提供的設(shè)計運行域信息。

09、碰撞后反應(yīng)
       車企應(yīng)當針對碰撞后自動駕駛車輛的反應(yīng)策略建立評估、測試和驗證制度。若事故中車輛傳感器或主要安全控制系統(tǒng)被破壞，則車輛不得再以自動駕駛模式運行。若檢測到故障，則在救援或服務(wù)到來之前，車輛應(yīng)該保持“最小風(fēng)險狀態(tài)”。

10、遵守道路交通安全法規(guī)
       車企應(yīng)當詳細說明如何確保產(chǎn)品遵守道路交通安全法規(guī)。在設(shè)計運行域中，自動駕駛車輛與傳統(tǒng)車輛一樣，應(yīng)當遵守適用的道路交通安全法規(guī)。在遇到前方障礙時，人類駕駛?cè)擞袝r會跨越車輛實線，繞過障礙，自動駕駛汽車最好也具備同樣的能力。對于類似的可能遭遇到的場景，車企應(yīng)當建立獨立的評估、測試和驗證制度。很多這樣的場景，是出于安全目的違反交通法規(guī)，對于車企而言，可能希望記錄這樣的安全“動因”。道路交通安全法律法規(guī)可能會因地而異，并且會不斷改變，這對自動駕駛汽車是一個挑戰(zhàn)，但不管如何，還應(yīng)遵守上述法律法規(guī)。

11、倫理考量
       自動駕駛汽車會有不同的決策策略，進而導(dǎo)致不同的倫理困境或倫理影響。這樣的決策策略是由自動駕駛系統(tǒng)做出的，或是通過學(xué)習(xí)習(xí)得的?？赡軉螐脑O(shè)計上看不出任何的倫理傾向，但程序化的自動駕駛系統(tǒng)可能做出有重大倫理影響或后果的決策。為了防止責任不清，車企需要清楚說明各類倫理決策及其后果是經(jīng)過清晰設(shè)計的。
       駕駛?cè)嗽谛熊嚊Q策時，一般需要考慮安全、抵達和法規(guī)三個維度的目的。在大多數(shù)情況下，上述三個目的可無沖突地同時達成，但特殊的時候也會出現(xiàn)沖突。比如，在施劃中心實線的雙車道道路上，若前面故障車輛橫跨中心實線停滯，此時，后車若停止，則無法實現(xiàn)“抵達”目的，若橫跨中心實線繞過故障車輛，則一方面涉嫌違反法律，另一方面，也有與對向來車發(fā)生碰撞的可能。
       自動駕駛車輛在面對這種沖突情況時，可以有多種決策策略，這取決于決策程序算法如何設(shè)計，也可交由人類駕駛?cè)嘶虺丝腿プ鰶Q策。同樣的，即使在“安全”維度，也會遭遇沖突，如如何在確保a車車內(nèi)乘客安全與確保b車車內(nèi)乘客安全之間作出選擇。在這種進退維谷的情況下，自動駕駛系統(tǒng)的決策程序設(shè)計決定了交通參與者的“命運”。這樣的決策算法不僅與自動駕駛及其乘客密切相關(guān)，也深刻地影響著其他交通參與者，因此決策策略應(yīng)該被最廣泛地接受。那么，自動駕駛汽車能否利用“特殊的策略原則”去解決上述沖突，是需要認真考慮的問題。具體的策略算法及其形成過程應(yīng)該高度透明，充分考慮現(xiàn)有法律法規(guī)，以及駕駛?cè)?、乘客和易受傷害的交通參與者的意見，以及自動駕駛汽車對其他交通參與者的影響。

12、設(shè)計運行域
       對于要上公共道路測試或試運營的自動駕駛車輛，企業(yè)應(yīng)當定義并記錄每輛車的設(shè)計運行區(qū)域（ODD）。設(shè)計運行域應(yīng)當詳細描述在設(shè)計中定義的車輛可正常、安全操作的區(qū)域，即車輛的“能力”范圍，包括：道路類型、地形區(qū)域、速度范圍、環(huán)境要求（天氣、白天/夜晚等），以及其他環(huán)境和范圍的限制。
       對于車輛的上述“能力”范圍，企業(yè)應(yīng)當建立規(guī)范的程序進行評估、測試和驗證。在國家層面的檢測和技術(shù)要求方面的標準規(guī)范出臺之前，企業(yè)應(yīng)當建立和應(yīng)用企業(yè)層面的標準和規(guī)范。在設(shè)計運行域中，車輛應(yīng)該能夠安全運行。當車輛所處環(huán)境不再滿足設(shè)計運行域時，車輛應(yīng)當及時切換至“最小風(fēng)險狀態(tài)”，并通過人機交互系統(tǒng)告知車內(nèi)駕駛?cè)嘶虺丝停囕v已進入“最小風(fēng)險狀態(tài)”，自動駕駛系統(tǒng)不再起作用。為了讓駕駛?cè)嘶虺丝透玫亓私廛囕v的能力邊界，有關(guān)設(shè)計運行域的內(nèi)容，同時應(yīng)當在產(chǎn)品使用說明書中用淺顯易懂的語言描述。

13、目標和意外的檢測與響應(yīng)
       目標和意外的檢測與響應(yīng)(OEDR)，指駕駛?cè)嘶蜃詣玉{駛系統(tǒng)能夠及時檢測到的與即時駕駛?cè)蝿?wù)相關(guān)的交通環(huán)境信息，并作出及時的響應(yīng)。對于OEDR，企業(yè)應(yīng)當建立規(guī)范的程序進行評估、測試和驗證。在設(shè)計運行域中，車輛應(yīng)當能夠?qū)χ苓叺能囕v、行人、自行車、動物及其他影響行車安全的物體作出檢測和響應(yīng)，也能夠?qū)?yīng)急車輛、臨時施工區(qū)域、交警指揮、公路建筑區(qū)周邊交通指揮、應(yīng)急救援人員的指揮等多種情況作出回應(yīng)。OEDR又分為兩類，一類是正常行駛狀態(tài)下的行為能力，一類是避免碰撞。
       正常行駛狀態(tài)下的行為能力包括：對速度限制（包括建議限速）改變的檢測與回應(yīng)，高速并道，低速并道，駛出行車道并停車，對占道對向來車的檢測和響應(yīng)，對超車區(qū)和禁止超車區(qū)的識別并實施超車，車輛跟馳，對靜止車輛的檢測與響應(yīng)，對車道變化的檢測與響應(yīng)，對車道中靜止障礙物的檢測與響應(yīng)，對信號燈和停車/讓行標志的檢測與響應(yīng)，通過交叉口并實施轉(zhuǎn)彎操作，通過環(huán)島，通過停車場或停車區(qū)，對限制通行（單行道、禁止轉(zhuǎn)彎、斜坡）的檢測與響應(yīng)，對施工區(qū)域或人員指揮交通的檢測與響應(yīng)，作出合適的通行權(quán)決策，遵守交通法規(guī)，服從警察或應(yīng)急救援人員、施工區(qū)域人員的指揮或信號，對臨時交通管制的檢測與響應(yīng)，對應(yīng)急救援車輛的檢測與響應(yīng)，禮讓行人和非機動車，與周邊交通參與者保持安全距離，對繞行等臨時交通改變的檢測與響應(yīng)。以上列舉的是一些通用的要求，具體的行為能力還需要根據(jù)自動駕駛系統(tǒng)、設(shè)計運行域、退出機制（最小風(fēng)險狀態(tài)）等來確定。
       另一類是避免碰撞，在設(shè)計運行域的基礎(chǔ)上，自動駕駛系統(tǒng)應(yīng)當能夠應(yīng)對絕大多數(shù)碰撞前的危險場景，包括失去控制、側(cè)面碰撞、車道改變或合并、正面或與逆行車輛碰撞、追尾碰撞、車道偏離，以及倒車或停車時的低速碰撞。對于道路維修、警察指揮、車道內(nèi)故障車輛等在設(shè)計運行域中可預(yù)見的事件，自動駕駛系統(tǒng)應(yīng)盡可能識別和響應(yīng)，應(yīng)對困難的，應(yīng)退出至最小風(fēng)險狀態(tài)。

14、退出機制（最小風(fēng)險狀態(tài)）
       企業(yè)應(yīng)當建立規(guī)范的程序?qū)υ庥龉收匣蚴录r，退出進入最小風(fēng)險狀態(tài)進行評估、測試和驗證。自動駕駛車輛應(yīng)當能對車輛故障、系統(tǒng)退化，以及車輛不在設(shè)計運行域范圍內(nèi)的情況進行檢測，并提醒人類駕駛?cè)思皶r接管車輛或退出至最小風(fēng)險狀態(tài)。最小風(fēng)險狀態(tài)策略還應(yīng)考慮人類駕駛?cè)丝赡艹霈F(xiàn)的分心、酒精或藥物影響、疲勞、生理短暫不適、人類誤操作、人類認知局限等情況。最小風(fēng)險狀態(tài)與具體的故障或事件直接相關(guān)，其典型操作是將車輛?？吭诎踩攸c。

15、車輛保養(yǎng)和檢測
       在用車安全狀況的保持需要借助諸如維修、保養(yǎng)、安全檢測等制度。汽車廠商應(yīng)當對維修保養(yǎng)提供必要的協(xié)助，尤其是涉及事故車的修復(fù)時，協(xié)助內(nèi)容包括確定車輛系統(tǒng)和部件、檢測自動駕駛相關(guān)系統(tǒng)在修復(fù)后能夠正常發(fā)揮作用等。

參考文獻
[1]DOT/NHTSA, Federal Automated Vehicles Policy- Accelerating the Next Revolution In Roadway Safety
[2]DOT/NHTSA, AUTOMATED DRIVING SYSTEMS 2.0-AVision for Safety
[3]DOT/NHTSA, Preparing for the Future of Transportation- Automated Vehicles3.0
[4]DOT/NHTSA, Ensuring American Leadership in Automated Vehicle Technologies Automated Vehicles4.0
[5]World Forum for Harmonization of Vehicle Regulations, Revised framework document on automated/autonomous vehicles (ECE/TRANS/WP.29/2019/34/Rev.1)

（文 / 公安部道路交通安全研究中心 周文輝，原載于《汽車與安全》雜志，2020年第7期）

編校丨李蕓玥 高海燕

（轉(zhuǎn)載）