自動駕駛汽車運行安全要求探討

周文輝

摘 要：隨著計算機、軟件、人工智能、通信、傳感器等技術的進步，自動駕駛汽車距離我們越來越近，與傳統汽車相比，自動駕駛汽車技術和運行方面具有迥然不同的特征，這也就決定了其在運行安全方面也具有有別于傳統汽車的特征。本文在參考國內外有關資料的基礎上，提出了自動駕駛汽車有別于傳統汽車運行安全的15項特征，闡述了其內涵和制度構建建議，希望對相關行業的從業者有一定的啟發。

關鍵詞：自動駕駛；車輛運行安全

自動駕駛汽車，更多地是被“軟件”定義的，與傳統汽車相比，包含了更多的環境感知、決策算法、執行控制等方面的內容，在這樣的技術特征背景下，其安全性能要求也與傳統汽車有較大差異。自動駕駛汽車的安全性，是國內外研究的重點和熱點。本文系統梳理了美國和聯合國歐洲經濟委員會發布的研究成果，介紹了自動駕駛汽車有別于傳統汽車的15個方面的運行安全要求方面的內容，內容涵蓋數據記錄和共享、隱私、系統安全、信息安全、人機交互、碰撞安全、消費者教育、產品認證、碰撞后反應、遵守道路交通法律法規、倫理考量、設計運行域、目標和意外的檢測與響應、退出機制、車輛保養和檢測等方面。其中前14個方面的運行安全內容，主要通過梳理美國交通部發布的自動駕駛政策獲得[1-4]，車輛保養和檢測方面的內容主要來自于聯合國歐洲經濟委員會的自動駕駛汽車計數法規內容[5]。

1 數據記錄和共享

廠家在測試、試用階段，應該記錄事件、事故和碰撞數據，目的是記錄導致誤操作、系統性能降低和功能未正常發揮的原因。數據的收集、記錄、共享、存儲、審查和解構，必須符合廠家制定的消費者隱私和安全保障策略。對于以碰撞事故重建為目的的數據存儲，除了能被廠家讀取，也應被主管機構讀取。車輛收集的數據，至少應包括事件相關數據、車輛系統的表現，以及事發時自動駕駛系統的狀態和人員操作的狀態。為了增強自動駕駛系統通過學習獲得更高水平安全性能的能力，也為了增強公眾對自動駕駛技術的信心，自動駕駛系統“成功應對”各類事件的情況也應詳細記錄，包括對安全相關狀況的識別，成功避免事故的決策等。廠家應當制定實現上述數據共享的具體方案，信息共享前應當脫敏，即不應通過共享信息，推斷出具體的車輛所有者或使用者。信息共享應當符合數據隱私和安全方面的協議，或征得車輛所有人或使用人的同意。數據共享目前發展較為迅猛，需要利益相關者開展更多的研究和討論，便于達成共識。對廠家來說，多數傾向于能夠檢索和存儲所制造銷售車輛的信息。

2 隱私

對于汽車廠商來說，應該確保實現以下隱私保護目標：（1）數據政策應透明。應當制定易于理解的、清晰的、內容完整的信息隱私和安全協議，告知消費者廠家收集、使用、共享、審查和銷毀車輛產生的數據或從車輛讀取數據的詳細步驟。（2）使車輛所有者有決定權。應當給予車輛所有者對于信息收集、使用、共享、保存、銷毀方面的決定權，尤其是對于地理位置信息信息、生物特征信息和駕駛操作習慣等與個人特性密切相關的數據的處置決定權。（3）忠于數據收集的目的。數據的使用，應當與數據收集的目的一致。（4）最少信息原則。在滿足合理應用的前提下，收集和保存的信息應盡量少，信息應及時脫敏。（5）數據安全。實施確保數據不被泄露的措施。（6）數據完整和可更正。應允許車輛操作者或所有者檢查和更正錯誤的有關個人的信息。（7）檢查。針對上述有關措施的落實，應該合理的檢查步驟。

3 系統安全

廠商應當根據系統工程的理論，設計和驗證自動駕駛系統，尤其是要使用和遵從諸如道路機動車輛功能安全等工業標準，確保系統的魯棒性，如當系統遭遇電子的、通信的或機械的誤操作時，以及遭遇軟件錯誤時，仍能保持處于安全狀態。自動駕駛系統應當包含風險分析和安全評估系統，同時還應描述遭遇誤操作時，系統的設計裕量和決策安全策略。自動駕駛系統應當特別關注軟件的研發、測試和驗證。研發軟件要進行良好的計劃、控制和文檔管理，便于及時有效檢測和更正由于軟件研發導致的失誤。設計決策算法時，要充分考慮決策框架，傳感器、執行器和通信失誤，軟件功能實效，系統可靠性，潛在的控制不足，可能與其他交通參與者發生的碰撞，駛離道路，偏離車道，交通違法，偏離正常駕駛操作等。所有的設計策略均應是能被測試和驗證的。所有的設計過程均應詳細記錄，任何改變、決策策略、分析數據、測試數據均應能溯源。

4 信息安全

廠商應當根據系統工程的理論，設計和驗證自動駕駛系統，確保系統在遭受信息威脅時的魯棒性。設計時，應當全面評估遭受攻擊時系統的安全性能。威脅的確定、保護、識別、回應和恢復等各個環節，均應配合風險管理的決策，及時消除風險和威脅，并且應具備快速反應和學習應對能力。信息攻擊防護是一個快速發展的領域，需要大量更進一步的研究，行業還未形成統一的標準，在此之前，廠家應了解、掌握和應用本行業或相關行業在應對相關問題時的良好實踐。所有的設計過程均應詳細記錄，任何改變、決策策略、分析數據、測試數據均應能溯源，溯源系統也應具有魯棒性。另外，應當建立學習聯盟，鼓勵廠商及時上報在事故調查、內部測試、外部測試等過程中遭遇到的攻擊，方便行業快速學習、共同研究應對。

5 人機交互

人機交互，即車輛和人之間的信息、操作交互，一直以來在汽車設計領域扮演著重要角色。對于自動駕駛車輛來說，人機交互變得更為復雜，部分原因是車輛必須準確地向操作人員報告車輛的行駛意圖和安全性能狀況。尤其是對于部分自動駕駛汽車（L3）而言，在設計時即要求駕駛人在遇到系統請求時，能夠及時監測和接管系統，但對于之前并未參與駕駛任務的駕駛人而言，要求及時回應和接管車輛，難度較大。另外，人機交互還應考慮自動駕駛系統與周邊車輛、行人、騎自行車人等的關于車輛狀態和行車意圖方面的信息交互。目前自動駕駛人機交互技術發展迅速，但相關標準還未出臺，因此企業應該關注并實施本行業或相關行業的良好實踐。人機交互應該至少涉及以下內容：系統功能是否正常；當前自動駕駛系統的模式（狀態）；當前系統的局限性（即哪些功能還無法發揮作用）；是否遭遇了誤操作；請求由駕駛人接管車輛；對于完全自動駕駛的汽車，還需要考慮與殘疾人的人機交互（例如，通過圖像、聲音、觸覺進行交互）；對于由駕駛人“遠程”操作的情況，遠程駕駛人應當時刻知曉車輛的狀態。

6 碰撞安全性

由于可能遭受其他車輛的撞擊，因此自動駕駛車輛應該滿足現有的碰撞標準。自動駕駛車輛布設了先進的傳感器，因此可以通過主被動安全相結合的辦法，進一步提升車輛的碰撞安全性能。對于車內無人的自動駕駛車輛，需要在設計時考慮其碰撞時的幾何尺寸兼容性和吸能作用，確保其他車輛的碰撞安全性。

7 消費者教育和培訓

適當的消費者教育和培訓，對自動駕駛車輛試用中確保其安全性是極為重要的。企業應當建立相關制度和機制，要求員工、銷售商及其他人員對消費者實施教育和培訓，培訓教育的內容主要是自動駕駛車輛與傳統車輛的不同點，確保消費者能夠更準確、更有效、更安全地理解和掌握最低限度的自動駕駛技術特征。教育和培訓應該具有層次性，先是由產品和技術員工教育市場人員和銷售人員，再由后者教育終端銷售商，最后是教育消費者。教育培訓的內容應包括：自動駕駛系統的功能和設計意圖、操作參數、功能適應性和局限性、人工操作的進入和脫離、人機交互內容和方式、遇到緊急情況時車輛的反應、操作邊界及其責任，以及潛在的可能改變駕駛功能和習慣的內在機制。教育培訓可以采用實車或虛擬現實的方式進行。教育培訓的內容和方式，應當及時傾聽來自銷售商、消費者或市場調研機構的意見。

8 產品認證

自動駕駛車輛在生命周期內，會通過升級軟件的辦法改變車輛的自動駕駛等級。隨著技術的不斷更新進步，更新的產品會不斷投入市場，之前投放的車輛就會被改變，提供類似于新車的功能，最常見的就是在保持硬件不變或改變很小的情況下，通過升級軟件，使舊車的自動駕駛等級與新車一樣。目前的車輛認證管理中，車企需要向管理部門提交關于車輛唯一性和安全特征參數的說明。未來，建議企業在車內提供向使用者或車主介紹車輛自動駕駛系統關鍵功能和特征的說明。例如，可在車內駕駛人座位視野范圍內，或在靠近前排左側座位的門鎖處粘貼柔性標簽，介紹車輛的功能、設計運行域（ODD），以及獲得進一步信息的方式和渠道?？紤]到車輛生命周期內會不斷通過升級軟件或硬件改變車輛功能，因此上述升級情況也應在標簽中標明。特別需要說明的是，車企應當全面描述車輛在每個設計運行域中的功能適應性和局限性，如運行速度、地理區域、天氣狀況，以及在人機交互中或車輛產品說明書中提供的設計運行域信息。

9 碰撞后反應

車企應當針對碰撞后自動駕駛車輛的反應策略建立評估、測試和驗證制度。若事故中車輛傳感器或主要安全控制系統被破壞，則車輛不得再以自動駕駛模式運行。若檢測到故障，則在救援或服務到來之前，車輛應該保持“最小風險狀態”。

10 遵守道路交通安全法規

車企應當詳細說明如何確保產品遵守道路交通安全法規。在設計運行域中，自動駕駛車輛與傳統車輛一樣，應當遵守適用的道路交通安全法規。在遇到前方障礙時，人類駕駛人有時會跨越車輛實線，繞過障礙，自動駕駛汽車最好也具備同樣的能力。對于類似的合理可能遭遇到的場景，車企應當建立獨立的評估、測試和驗證制度。很多這樣的場景，是出于安全目的違反交通法規，對于車企而言，可能希望記錄這樣的安全“動因”。道路交通安全法律法規可能會因地而異，并且會不斷改變，這對自動駕駛汽車是一個挑戰，但不管如何，還應遵守上述法律法規。

11 倫理考量

自動駕駛汽車會有不同的決策策略，進而導致不同的倫理困境或倫理影響。這樣的決策策略是由自動駕駛系統做出的，或是通過學習習得的?？赡軉螐脑O計上看不出任何的倫理傾向，但程序化的自動駕駛系統可能做出有重大倫理影響或后果的決策。為了防止責任不清，車企需要清除說明各類倫理決策及其后果是經過清晰設計的。駕駛人在行車決策時，一般需要考慮安全、抵達和法規三個維度的目的。在大多數情況下，上述三個目的可無沖突地同時達成。特殊的時候，沖突會出現。比如，在施劃中心實線的雙車道道路上，若前面故障車輛橫跨中心實線停滯，此時，后車若停止，則無法實現“抵達”目的，若橫跨中心實線繞過故障車輛，則一方面涉嫌違反法律，另一方面，也有與對向來車發生碰撞的可能。自動駕駛車輛在面對這種沖突情況時，可以有多種決策策略，這取決于決策程序算法如何設計，也可交由人類駕駛人或乘客去做決策。同樣的，即使在“安全”維度，也會遭遇沖突，如如何在確保a車車內乘客安全與確保b車車內乘客安全之間作出選擇。在這種進退維谷的情況下，自動駕駛系統的決策程序設計決定了交通參與者的“命運”。這樣的決策算法不僅與自動駕駛及其乘客密切相關，也深刻地影響著其他交通參與者，因此決策策略應該被最廣泛地接受。那么，自動駕駛汽車能否利用“特殊的策略原則”去解決上述沖突，是需要認真考慮的問題。具體的策略算法及其形成過程應該高度透明，充分考慮現有法律法規，以及駕駛人、乘客和易受傷害的交通參與者的意見，自動駕駛汽車對其他交通參與者的影響也應考慮。

12 設計運行域（ODD）

對于要上公共道路測試或試運營的自動駕駛車輛，企業應當定義并記錄每輛車的設計運行區域（ODD）。設計運行域應當詳細描述在設計中定義的車輛可正常、安全操作的區域，即車輛的“能力”范圍，包括：道路類型、地形區域、速度范圍、環境要求（天氣、白天/夜晚等），以及其他環境和范圍的限制。對于車輛的上述“能力”范圍，企業應當建立規范的程序進行評估、測試和驗證。在國家層面的檢測和技術要求方面的標準規范出臺之前，企業應當建立和應用企業層面的標準和規范。在設計運行域中，車輛應該能夠安全運行。當車輛所處環境不再滿足設計運行域時，車輛應當及時切換至“最小風險狀態”，并通過人機交互系統告知車內駕駛人或乘客，車輛已進入“最小風險狀態”，自動駕駛系統不再起作用。為了讓駕駛人或乘客更好地了解車輛的能力邊界，有關設計運行域的內容，同時應當在產品使用說明書中用淺顯易懂的語言描述。

13 目標和意外的檢測與響應（OEDR）

目標和意外的檢測與響應，指駕駛人或自動駕駛系統能夠及時檢測到的與即時駕駛任務相關的交通環境信息，并作出及時的響應。對于OEDR，企業應當建立規范的程序進行評估、測試和驗證。在設計運行域中，車輛應當能夠對周邊的車輛、行人、自行車、動物及其他影響行車安全的物體作出檢測和響應，也能夠對應急車輛、臨時施工區域、交警指揮、公路建筑區周邊交通指揮、應急救援人員的指揮等多種情況作出回應。OEDR又分為兩類，一類是正常行駛狀態下的行為能力，一類是碰撞避免。正常行駛狀態下的行為能力，包括對速度限制（包括建議限速）改變的檢測與回應，高速并道，低速并道，駛出行車道并停車，對占道對向來車的檢測和響應，對超車區和禁止超車區的識別并實施超車，車輛跟馳，對靜止車輛的檢測與響應，對車道變化的檢測與響應，對車道中靜止障礙物的檢測與響應，對信號燈和停車/讓行標志的檢測與響應，通過交叉口并實施轉彎操作，通過環島，通過停車場或停車區，對限制通行（單行道、禁止轉彎、斜坡）的檢測與響應，對施工區域或人員指揮交通的檢測與響應，作出合適的通行權決策，遵守交通法規，服從警察或應急救援人員、施工區域人員的指揮或信號，對臨時交通管制的檢測與響應，對應急救援車輛的檢測與響應，禮讓行人和非機動車，與周邊交通參與者保持安全距離，對繞行等臨時交通改變的檢測與響應。以上列舉的是一些通用的要求，具體的行為能力，還需要根據自動駕駛系統、設計運行域、退出機制（最小風險狀態）等來確定。另一類是避免碰撞。在設計運行域的基礎上，自動駕駛系統應當能夠應對絕大多數碰撞前的危險場景，包括失去控制、側面碰撞、車道改變或合并、正面或與逆行車輛碰撞、追尾碰撞、車道偏離，以及倒車或停車時的低速碰撞。對于道路維修、警察指揮、車道內故障車輛等在設計運行域中可預見的事件，自動駕駛系統應盡可能識別和響應，應對困難的，應退出至最小風險狀態。

14 退出機制（最小風險狀態）

企業應當建立規范的程序對遭遇故障或事件時，退出進入最小風險狀態進行評估、測試和驗證。自動駕駛車輛應當能對車輛的故障、系統的退化，以及車輛不在設計運行域范圍內的情況進行檢測，并提醒人類駕駛人及時接管車輛或退出至最小風險狀態。最小風險狀態策略還應考慮人類駕駛人可能出現的分心、酒精或藥物影響、疲勞、生理短暫不適、人類誤操作、人類認知局限等情況。最小風險狀態與具體的故障或事件直接相關，其典型操作是將車輛?？吭诎踩攸c。

15 車輛保養和檢測

在用車安全狀況的保持，需要借助諸如維修、保養、安全檢測等制度。汽車廠商應當提供對維修保養提供必要的協助，尤其是對涉及事故車的修復時，協助內容包括確定車輛系統和部件，檢測自動駕駛相關系統在修復后能夠正常發揮作用等。

參考文獻

[1] DOT/NHTSA ， Federal Automated Vehicles PolicyAccelerating the Next RevolutionIn Roadway Safety

[2] DOT/NHTSA ， AUTOMATED DRIVING SYSTEMS 2.0-A Vision for Safety

[3] DOT/NHTSA ， Preparing for the Future of Transportation-Automated Vehicles 3.0

[4] DOT/NHTSA ， Ensuring American Leadership in Automated Vehicle Technologies Automated Vehicles 4.0

[5] World Forum for Harmonization of Vehicle Regulations， Revised Framework document on automated/ autonomous vehicles（ECE/TRANS/WP.29/2019/34/Rev.1）