律师与工程师应当使用相同的机器人语言

[ 美]布赖恩特·科比沃克·史密斯 著

陈吉栋 周晨黠 译

一、引 言

工程和法律，两者存在很多共同点。它们都需要仔细评估系统边界以对其成本与收益进行比较并甄别因果关系，都纳入了其中部分字面意思和实际意思完全不同但却类似的概念和术语，最终都关心由其所创造或管理的产品的实际使用情况，并且都意识到其应用情况在很大程度上取决于人类使用者。本文强调的是4个概念——系统、语言、使用和使用者——对机器人开发和管理的重要性，在内容上将技术领域和法律领域有机结合，而非只是将它们简单合并。在人类与机器等概念得到恰当定义的基础上，研发人员和监管机构都必须理解，他们在新兴的机器人技术体系中所扮演角色是相互关联的。虽然本文内容可广泛适用于机器人技术，但机动车辆的自动驾驶是一个主要范例。作为讨论的基础，本文将频繁提及4个技术文件：（1） SAE J3016：《标准道路机动车驾驶自动化系统分类与定义》，由国际自动机工程师学会（前身为汽车和航空航天工程师协会）发布。①SAE International, J3016：Taxonomy and Definitions for Terms Related to On-Road Motor Vehicle Automated Driving Systems(Jan.16, 2014),http://standards.sae.org/j3016_201401（以下简称 SAE J3016）。这份文件定义了国际自动机工程师学会对车辆自动化的分级。笔者也是起草该份文件的委员会成员之一。（2） 美国国家公路交通安全管理局（NHTSA）发布的《自动驾驶汽车政策初步声明》。②National Highway Traf fic Safety Administration, Preliminary Statement of Policy Concerning Automated Vehicles(May 30, 2013),详情请访问以下网址：http://www.nhtsa.gov/About+NHTSA/Press+Releases/U.S.+Department+of+Transportation+Releases+Policy+on+Automated+Vehicle+Development（以下简称初步声明）。这份文件界定了美国国家公路交通安全管理局对汽车自动化的分级，其与国际自动机工程师学会的分级略有不同。（3） ISO 26262：《公路汽车——功能安全》，由国际标准化组织（ISO）①International Organization for Standardization, ISO 26262：Road vehicles – Functional safety（2011–12）, http://www.iso.org/iso/home/search.htm?qt=26262（以下简称 ISO 26262）。发布。这份自动化标准基于通用功能安全标准（IEC 61508）制定②ISO 26262–1 at v; ISO 26262–10 at 4.1.。ISO/IEC 15288：《系统和软件工程 ——系统生命周期过程》，由国际标准化组织（ISO）和国际电工委员会（IEC）发布，电气和电子工程师协会（IEEE）也参与了制定③International Organization for Standardization & International Electrotechnical Commission, ISO/IEC 15288：Systems and software engineering–System life cycle processes (2008, updated into 2013)，http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=43564（以下简称 ISO/IEC 15288）。。以上这些文件只是相关文献中的一小部分。

二、系 统

系统的概念——由一组、一套或一个集合的自然或人造事物所形成的、相互连接的或复杂的整体④System (de finition 4), OED.com; see also, e.g., Dominique Luzeaux and Jean-Ren.Ruault, System of Systems 150–52 (2013);Derek K.Hitchins, Systems Engineering, A 21st Century Methodology 11 (2007); James Ron Leigh, Control Theory, A Guided Tour 1–2 (IET 3rd ed.2012).——几乎是每门学科的基础。所有的事物都是一个系统，而每个系统（可能除了宇宙之外⑤宇宙是指，现在存在的一切，所有曾经存在的一切，以及将会存在的一切。但即使是“宇宙”这个概念，其中的部分含义也可能并不全面。See, e.g., Multiverse (de finition 2), OED.com.）都是另一个系统的一部分。

在概念范畴上，界定系统的边界是一项关键挑战。“系统边界将以我们是否认为重要为标准对事物进行区分。我们会对重要事物进行建模。”⑥Matthias Ruth & Bruce Hannon, Modeling Dynamic Economic Systems, Springer, 2012, pp.35.排除其中的一些要素可能会干扰整个反馈循环：过于活跃的加热器对改变室外空气温度毫无意义，但可能会导致建筑物的居住者打开窗户，而这可能会使室内空气温度保持在较低水平，从而使恒温器不再关闭加热器。此外，如果我们将一个系统错误地认定为封闭式系统，那么就可能会忽略重要的要素：在一个包含人类参与者的系统中，补贴是输入，外部性是输出⑦补助是向某一特定活动所提供的而不是由其产生的某种利益（例如一种输入），而外部性是由该等活动所产生的而非由其承受的某种成本或收益（例如一种输出）。然而，封闭式系统既没有输入也没有输出。。

系统边界既可以是真实的也可以是虚构的，但在物理和时间上往往并无影响。在侵权法中需要尽量区分距离的远近、可预见性的有无、直接与间接，这种诉求有助于解释为什么法院仍不愿意判决要求恢复“由于时空久远的疏忽过失行为所遭受的”情感创伤⑧Conrail v.Gottshall, 512 U.S.532, 545 (1994)。该案对因疏忽过失行为所造成的情感伤害的抚平，首先限于那些“因被告的行为同时遭受身体影响或伤害（无论多么轻微）的人”， id.at 547, 或至少“因该行为而面临身体伤害的即时风险”， id.at 548（描述“危险区域”）。此后，许多州采用了一个更广泛的“相对旁观者”测试，但它仍然纳入了物理、时间和相关性要素作为考量，id.at 548。。在判例中，最高法院认为将GPS跟踪器安装在车辆上的行为构成一种搜查的结论⑨United States v.Jones, 132 S.Ct.945, 949 (2012).，也是依托于人身在物理上受到侵犯的相关事实，而一些法官则会考虑这种监控所持续的时间⑩Id.at 964 (Alito, J.concurring).。

自动化和互联性的不断提高导致我们对全面系统分析的要求越来越高。至少有三方面原因会导致日渐复杂的系统可能涉及或牵连大量其他的,至少乍看之下似乎并不相关的系统。

首先，诸如物联网、无线更新和3D打印等技术的发展可能导致产品既不是独立的也不是静态的，这使产品和服务之间、产品与产品之间以及特定版本之间的传统区别变得复杂。因为可以从各种相互重叠的数据库中提取信息并实现共享，机器人除了可以在物理领域之内进行交互以外，还可以在云端进行交互。①在这种情况下，“云端”是指像互联网这样可以共享基础设施、信息和应用程序的网络。在这种情况下，根据物理形态来划分这些机器人可能没有多大意义。以2013年的特斯拉工厂为例，它依靠共计160个机器人实现自动化生产。②Damon Lavrinc, “Peek Inside Tesla’s Robotic Factory”, Judgment of 16 July 2013, http://www.wired.com/2013/07/tesla-plantvideo.但这个数字意味着什么？为什么它不是1个或1000个？

其次，人类能力的增强和扩展会使得人类与机器之间的界限变得模糊。而今天基于空间和时间所划的界限将会变得不再清晰。特别是在时间紧迫的情况下，决策可以完全委托给自动化系统或由在自动化系统有效控制的情况下进行，而且这种自动化系统可以基于已经呈现的部分可用信息进行决策。

再次，对产品整个生命周期的经济、环境和社会影响进行综合的跟踪和分析，可能会引导人们去揭示事物的本质，无论最终所揭示的是真实的还是基于假设的，都与洛伦兹理论的“蝴蝶效应”非常相似。③这并不是说这些启示必然会使事物变得更清晰。See Peter Dizikes, The Meaning of the Butter fly, Boston Globe, June 8, 2008（“洛伦兹的工作就意味着我们分析和预测世界运行的能力本质上受到限制，而并非只要我们有足够的信息，就可以实现对任何可能进行预测的科学愿景”）。先前未被认识到的因果关系可能会逐渐浮现，而设计人员和监管机构可能需要从一切事物都是相互连接的或是可以相互连接的这个假设入手。

三、语 言

在法律、技术和流行领域内，一些关键术语使用的不一致会导致潜在且不必要的混淆。本节重点介绍了易混淆的几个术语：控制、风险、安全、合理性、效率和责任。

（一）控制

工程系统，可以指产品或服务，④ISO/IEC 15288 at 4.31 note 1（“系统可被视为产品或其提供的服务”）。通常是为了实现特定目标而被设计的。⑤E.g., id.at 4.31（将“系统”定义为“为实现一个或多个既定目标而将互相作用的要素组织在一起的组合”）；see also Luzeaux& Ruault 152（描述了类似的适用于人工系统而非自然系统的定义）。外部设计师的存在及外部目标的设定这两个限定条件对常规控制理论至关重要，而常规控制理论充分考虑了由主体作用于客体的“目标导向行动”。⑥Zdzislaw Bubnicki, Modern Control Theory, Springer, 2005, pp.3.The subject isthe controller, and the object is the control plant.Id.成功的控制有以下要求：(1)一个目的或目标；(2)一系列可供选择要素的行为；(3)从（2）中选择能够实现（1）中期望内容的正确行为的方法。⑦Leigh 1–9.鉴于这一定义的宽泛性，当相关的控制系统被明确定义时，我们就认为控制理论是有效的；反之，当相关控制系统的定义并不明确时，控制理论就可能会引起混淆。由于这些术语模糊而不是澄明该系统，那些随意引用的针对人类的“在控制中”“在循环中”“失控”或“跳出循环”⑧考虑到它们早期与航空自动化的联系，短语“处于知情状态”和“脱离知情状态”可能最初被称为控制回路。See in the loop,OED.com.以及针对自动化系统的“处于控制之下”“在人为控制下”“在计算机控制下”或“失控”等用语就没有了实际意义。基于技术的、法律和通俗的角度，可对此类短语进行不同的诠释。例如，对于自动驾驶汽车的“控制”而言，工程师可能会用传感器和制动器描绘一个实时控制回路，律师可能会将人对机器进行的广泛授权想象类比为委托人与代理人的关系，而公众可能会想象到失控的汽车和机器人杀手。对于把特定驾驶任务委托给机动车辆的人类驾驶员是否依然“控制”该车辆这个重要的法律问题而言，上述内涵可能会对应着不同的答案。①Bryant Walker Smith, “Automated Vehicles Are Probably Legal in the United States”, Judgment of 1 Aug 2013, http://ssrn.com/abstract=2303904, at 4.4, 6.1.1, 6.2.2, 6.2.3.

此外，大多数自动控制系统从广义而言，可以包含人类这一要素；从狭义而言，也可将人类这一要素排除在外。②See infra note 77.即使是完全自动驾驶汽车也可能仍然需要人类来选择目的地，并指定驾驶的具体参数。③Cf.SAE J3016 at 4.4 (excluding “the selection of destinations and waypoints (i.e., navigation or route planning” from the “dynamic driving task”);Smith, supra note 21, at 4.4.4.事实上，ISO / IEC 15288明确指出：“人类既可以被视为系统外部的用户，也可以被看作系统内部的系统元素（即操作员）。”④ISO/IEC 15288 at 5.1.2在这里也是一样的，针对系统的不同定义也会影响到法律层面的结论。SAE J3016并未试图界定“控制”（以及特定的控制系统），而是尽量避开独立使用这个术语。⑤它确实曾将“自适应巡航控制”设定为一种艺术术语，但遗憾的是，它又曾将其定义为“转向控制系统的释放”。SAE J3016 at 10.相反，对于每个级别的自动驾驶车辆，它明确了是由“人类驾驶员”还是由“自动驾驶系统”执行“动态驾驶任务”⑥Id.at 2.。相比之下，NHTSA的初步声明在5个段落中使用了28次“控制”来描述其自动化等级⑦Preliminary Statement at 4–5.，例如，组合功能自动化。涉及至少两个主要控制功能的自动化，旨在协调工作以减轻驾驶员对这些功能的控制。当驾驶员在某些有限驾驶情况下让渡主控权时，处于这种自动化水平的车辆可以利用共享权限进行控制。司机仍然负责监控道路和安全操作，并预计随时可以在短时间内接管控制。这样的自动化系统可以自行让渡控制权而无需提前警示，驾驶员必须随时准备好安全地接管控制车辆。⑧Id.at 4 (emphasis added).最终，“控制”更多地被用于一个结构体而不是作为单独的术语。那些研发系统的人应当首先描述他们想要的控制系统：由人类设计者决定的，以及人类授权或计算机代理人无权决定的目标、输入、过程和输出。

（二）风险

特定损害的风险是由损害发生的可能性和损害的严重程度共同决定的产物；作为或不作为的风险则是特定相关损害风险的总和。就像一张彩票不太可能产生高回报，也不太可能产生低回报一样，单个活动的死亡风险可能较低，但非致命伤害的风险较高。这种对风险总体概念的假设比实际表达的要多得多。例如，ISO 26262将风险仅定义为“损害发生的组合……以及该等损害的严重性”⑨ISO 26262–1 at 1.99.。《侵权法重述（第三版）》描述了“对人的行为会造成损害的可预见性”以及“可能发生的任何损害严重程度的可预见性”⑩Restatement (Third) of Torts: Liab.for Physical and Emotional Harm Åò 3 (2010).这与法官学者著名的等式中的PL（或损害发生的概率乘以损害的严重程度）相对应，see, e.g., United States v.Carroll Towing, 159 F.2d 169, 173 (2d Cir.1947).，不同的领域关注不同的损害。ISO 26262把损害定义为“人身伤害或对人身健康的损害”。①ISO 26262–1 at 1.56; see also ISO 26262–3 at B.2.2（解释了只考虑对人体造成伤害的缩写伤害量表（AIS））。侵权法认可的损害类别更广泛②例如，这即可能包括对财产权和名誉权的侵犯，也可能包括人身伤害。，尽管不一致③See, e.g., supra note 10（讨论因情绪困扰所导致的疏忽过失）。，但行政规章甚至可能定义更多的损害。④Curtis W.Copeland, Cost-Bene fit and Other Analysis Requirements in the Rulemaking Process, Congressional Research Service(Aug.30, 2011) at 2–15（调查执行和国会对于成本收益和成本效益分析的要求）; Executive Order 12866, Regulatory Planning and Review, 58 F.R.51735 (Oct.4, 1993)（“成本和收益应理解为既包括可量化的措施（最大程度上可对这些措施进行有效估计），也包括虽难以量化但却必须考虑的成本和收益的定性测量”）。虽然公司风险管理也可能包含各种各样的损害，但它着重于损害发生或被指控时对公司造成的财务和商誉风险。对制造了主要风险的行为者而言，这种次要风险一定不能与主要风险本身相混淆。这两者确实属于相同的风险系统：次要风险可以通过阻止合理的行为来增加主要风险，或者通过阻止不良行为来减少风险。尽管如此，给生命或肢体带来损害的特定风险不能被“转移”给另一方，也不能通过授予侵权豁免权来“减少”。

（三）安全、合理性和效率

安全可以被定义为保护并免受人身伤害。然而，在没有更多信息的情况下，声称产品安全（有保障的或隐私得到保护的）是没有意义的，无论是夸张的、实证的还是绝对的，都可被实际发生的损害所反驳。合理性通常规定了所需的条件：ISO 26262将安全定义为“不存在不合理的风险”⑤ISO 26262–1 at 1.102.，《侵权法重述（第三版）：产品责任》也指出：“产品本身存在设计缺陷，或出售时未予以充分警示或说明……都是不安全的。”⑥Restatement (Third) of Torts: Prod.Liab.§ 2 cmt.a (1998).这两种语言学方法之间存在细微差别：虽然ISO 26262试图将合理性融入“安全”一词，但重述却隐含地让读者在每一种“合理安全”的实例中思考合理性的含义。

然而，工程界和法律界都在努力界定合理性。ISO 26262指出，“不合理的风险”是“根据有效的社会道德观念在特定情况下判断为不可接受的风险”，但拒绝指定这些概念是什么或应该由谁来判定。⑦ISO 26262–1 at 1.129; see also id.at 1.93（将“合理可预见的事件”定义为“技术上可行并且具有可信或可测量的事件发生率的事件”）。法律学者曾经激烈讨论这些问题，但未达成一致意见。⑧See generally Alan D.Miller & Ronen Perry, The Reasonable Person, 87 N.Y.U.L.Rev.323 (2012)（描述规范概念和批评积极概念）。以产品责任为例，在检测产品是否存在设计缺陷时，至少存在两个测试方面的争论⑨See Mark A.Geistfeld, The Value of Consumer Choice in Products Liability, 74 Brook.L.Rev.781, 788–91 (2009)（协调这两个测试）。：一个是明确使用成本收益分析，另一个是考虑消费者的安全期望。⑩David G.Owen, Products Liability Law, 3rd ed., §§ 8.3–8.4.

（四）责任

责任可以用于法律、技术或道德层面。例如，NHTSA在初步声明中所提的建议——人类驾驶员在前两个自动化级别中“只负责安全操作”⑪Preliminary Statement at 4.，很可能意在描述驾驶员的技术角色，而不是在确定地分配法律责任。相比之下，SAE J3016通过说明表现而不是责任来避免在这些领域可能出现的混淆。⑫See SAE J3016 at 2.即使在法律领域内，责任也需要慎重定义。这个概念既包括义务也包括责任：例如，一个人类司机在法律上需要谨慎驾驶，如果鲁莽驾驶（在某些情况下即使未造成损害）也可能要承担刑事责任；如果造成损害（在某些情况下，即使其行为合理）则可能要承担民事责任。同样，法律要求汽车制造商证明其销售的车辆符合某些安全标准①49 U.S.C.30115.，如果不符合认证要求②49 U.S.C.30165.则可能会受到民事罚款，甚至即使符合认证要求也可能要承担民事责任。③See, e.g., Williamson v.Mazda Motor of America, Inc., 131 S.Ct.1131(2011).

关于自动驾驶汽车，笔者经常被问到的法律问题是在发生碰撞时“谁来承担责任”，并且通常伴随着二元选择：司机或制造商。然而责任并不是一个二元选择或者一元命题：根据事实和管辖权的不同，车主、司机、销售商、制造商以及上游零件和服务提供商都可能负有民事责任，并且在某些情况下甚至承担刑事责任。司机可能未能正确监控车辆（车主也可能负有责任），制造商可能未能妥善防范这种滥用（销售商也可能承担责任），而其他公司可能提供了带有缺陷的零部件或不正确的数据；任何或所有这些行为都可能导致所谓的损害。以上从控制开始，并以责任收尾。机器人日益增长的自主性将更加需要阐明这两个概念在技术、法律和道德领域内及相互之间的原则性关系。阐明这种关系的一个关键是“使用”的概念④有关这种法律关系的更多信息，see Bryant Walker Smith, Proximity-Driven Liability, 102 Geo.L.J.1777 (2014), available at http://ssrn.com/abstract=2336234.，本文接下来将对其进行说明。

四、使 用

工程系统是被实际使用的。这种实际使用（包括误用和滥用）既可能是也可能并未按照其预期用途、合法用途，甚至合理用途而使用的。预期用途是产品上市销售（而非仅仅是设计）的用途，合法用途是法律未禁止的一种用途（即使会引起民事责任），合理用途是指产品的社会成本不超过社会效益的用途（与上述讨论一致）。实际用途、预期用途、合法用途和合理用途之间的紧张关系说明了特定的结构性失败。合法用途与合理用途之间的不一致意味着我们所制定的法律要么过于宽松，要么过于严格。合理用途与预期用途之间的不一致表明该产品按预期用途使用时绝对不安全。预期用途与实际用途之间的不一致表明可能存在设计或预警方面的缺陷。预期用途与实际用途之间的不一致表明用户可能要么不知情要么未合理使用。实际用途与合法用途之间的不一致表明法律执行不力或已过时。合法用途与预期用途之间的不匹配表明产品不符合法律要求。⑤George A.Nation, III, Products Designed for Illegal Use – A Proposed Rule for Product Suppliers Who Pro fit from Illegal Activity,91 Dick.L.Rev.657, 660 (1987); see also George A.Nation, III, Respondeat Manufacturer: Imposing Vicarious Liability on Manufacturers of Criminal Products, 60 Baylor L.Rev.155(2008).举例而言，禁止开车时发短信这一限制可以解释这些失败的多数情形：驾驶员在开车时发短信的行为是非法并且危险的，但这种行为并不罕见⑥See Joseph B.Bayer & Scott W.Campbell, Texting while Driving on Automatic: Considering the Frequency-Independent Side of Habit, 28 Computers in Human Behavior 2083–90 (Nov.2012), available at：http://www.sciencedirect.com/science/article/pii/S0747563212001628.，而且实践中违反这一规定的行为的确可能会降低道路的安全性。⑦See, Texting Laws and Collision Claim Frequencies, Highway Loss Data Institute Bulletin vol.27, no.11 (Sept.2010), archived at https://web.archive.org/web/20130811204424.一个尚未解决的问题是，产品设计应该试图将产品实际用途的边界在何种程度上限定在合法用途、合理用途及预期用途范围之内。车辆上的调速器和酒测器，枪械上的扳机开关以及互联网上出现的许多问题都与此相关。制造商对产品监控能力和更新能力的不断提升，可能会扩大他们促使这些产品被合理使用的义务。①Bryant Walker Smith, Proximity-Driven Liability, 102 Geo.L.J.1777 (2014), available at http://ssrn.com/abstract=2336234.事实上，设计中的安全性、防护性、隐私性，可持续性或其他价值——表明产品必须围绕其整个生命周期进行设计。虽然在技术层面和合同层面的用途限制可能会提高产品的安全性，但它们也可能会使现有的法律趋于僵化、招致干预，并排除一些合理、合法的使用用途。车速为这4个要素之间及其内部的复杂交互作用提供了一个更加广泛的例子。

（一）合法速度

在法律规定中，速度限制有多种出处②See Allen M.Brabender, The Misapplication of Minnesota’s Speeding Statuteand the Need to Raise the Posted Limit or Expand Use of the Dimler Amendment,27 Hamline L.Rev.1 (2004).：(1)法定速度：许多州的汽车代码规定了特定级别道路的最高速度，例如州际公路、农村双车道公路和城市街道。(2)标示的监管速度：道路的标示速度可能低于其法定速度。州或地方维护部门通常会参考道路的运行速度设置这样的限制。(3)标示的建议速度：在某些路段上，维护部门的建议速度可能会低于标示的速度。这种建议速度大多是依据有关基本速度的法律来间接实施的。(4)基本速度：大多数州普遍采用的“基本速度法”要求司机保持合理和谨慎的速度。例如，如果能见度较差，以低于标示速度驾驶的行为可能并不见得会违反这一要求。③Smith, supra note 21, at 6.3.3.(5)即使这些限制也不是绝对的。应急车辆④See, e.g., The Operation of Emergency Medical Services Vehicles, Bureauof EMS Policy Statement 00–13, N.Y.Dept.of Health(Nov.1, 2000), available at http://www.health.ny.gov/professionals/ems/policy/00-13.htm.可能被明确授权可以超过法定速度驾驶，并且在少数州中，超车时也允许超过法定速度。⑤See State Traf fic and Speed Laws, http://www.mit.edu/～jfc/laws.html#tolerance (referencing state laws).更模糊的是，特定的紧急情况可能会使得违法行为合法化。⑥See Doug Ireland, “NH Dad Not Guilty of Speeding to Hospital”, Judgment of 5 April 2011, http://www.eagletribune.com/latestnews/x598328940/NH-dad-not-guilty-of-speeding-to-hospital.此外，部分州排除了因记录的速度接近标示速度而导致的超速定罪。⑦See, e.g., 75 Pa.Cons.Stat.3368, Speed timing devices (2010); cf.66 F.R.29861,宣告了自由形成的合作协议可以作为设定并执行合理限速的范例和评估依据，Appendix C – Guidelines for Enforcement of Safe and Rational Speed Limits(June 1, 2001), available at http://www.gpo.gov/fdsys/pkg/FR-2001-06-01/html/01-13721.htm.

（二）实际速度

历史上，交通工程师在确定道路的合适速度时，将实际的交通速度作为一种间接方法⑧Eric.T.Donnell et al., Speed Concepts: Informational Guide, FHWA-SA-10–001 (Sept.2009), available at http://safety.fhwa.dot.gov/speedmgt/ref_mats/fhwasa10001 （“85%位车速被广泛用于交通工程和安全领域。由于大多数驾驶员的驾驶行为被认为是合理的并应该被采纳的，所以需要对驾驶员群体中这一部分的一些数值进行定义。随着时间的推移，85%位车速的司机（或速度）已被用来描绘合理和审慎的行为”）。。其中主要的度量依据为85%位车速，所谓的85%位车速是指85%的通行车辆在正常行驶时都不会超过该速度。标示的限速速度一般都会设置在这一点附近（前提是它不超过法定限速），这在某种意义上意味着正好有15%的驾驶员超速行驶。然而，这种方法至少有两个重大缺陷。首先，通过司机的集体行为进行判断可能会使其他使用或受道路影响的人被边缘化，特别是行人、骑车者和临街居民。其次，这种判断始终低估了某些特定风险。⑨See, e.g., Ian P.Albery & Andrew Guppy, Drivers’ Differential Perceptionsof Legal and Safe Driving Consumption, 90 Addiction 245 (1995).

（三） 合理速度

一个个体的最佳出行速度可以反映出他与时间、燃料、潜在的民事和刑事责任以及潜在的人身伤害有关的出行边际成本①See Bryant Walker Smith, Managing Autonomous Transportation Demand,52 Santa Clara L.Rev.1401, 1414 (2012), available at http://ssrn.com/abstract=2303907.，这个速度可能不同于社会的最佳速度，但这也会对自然和人类环境、健康和安全、道路容量和公共资源造成影响。例如，国会在1974年间接强制规定了国家最高限速，当时主要是为了减少能源消耗，由于其在安全（撞毁）方面的有益影响，这一最高限速后来保留了超过20年的时间。②Kara Kockelman, Safety Impacts and Other Implications of Raised SpeedLimits on High-Speed Roads (March 2006), http://onlinepubs.trb.org/onlinepubs/nchrp/nchrp_w90.pdf.安全本身的定义存在广义和狭义之分。机动车辆排放直接危害人类健康：一项研究估计，仅在美国，这些排放每年就会造成大约58,000人死亡。然而在通常情况下，机动车辆的安全性“只是”考虑撞车事故，在美国每年因撞车造成超过30,000人死亡，超过200万受伤。

车速可能会增加车辆碰撞的概率和严重程度。例如，行人被以20英里/小时的速度行驶的车辆撞击一般不会死亡，而行人被以40英里/小时行驶的车辆撞击则很可能死亡；车速每增加1%就会导致致命事故增加约4%。

在此期间，风险容忍度也有所下降。据NHTSA估计，1973年每个的生命价值为100万美元，2005年为400万美元，到了2010年为600万美元（已根据通货膨胀进行了调整）。③See Binyamin Appelbaum, As U.S.Agencies Put More Value on a Life, Businesses Fret, N.Y.Times (Feb.16, 2011), available at http://www.nytimes.com/2011/02/17/business/economy/17regulation.html; Gary T.Schwartz, The Myth of the Ford Pinto Case, 43 Rutgers L.Rev.1013, 1022–23 (1991)（注意1973年的数字，当时的20万美元放到今天的价值约为100万美元）。这种持续上涨表明，人们被联邦政府或他们自己低估了——今天情况可能仍然如此。

（四）设计速度

交通工程师经常使用特定的“设计速度”来确定道路的最小几何要求，包括道路的转弯速度以及驾驶员必须的可视距离。直到最近，国家交通部门才开始将设计速度与安全速度的概念分开。④See Kay Fitzpatrick et al., Design Speed, Operating Speed, and Posted Speed Practices, NCHRP Report 504 (2003) at 7–8,available athttp://onlinepubs.trb.org/onlinepubs/nchrp/nchrp rpt 504.pdf.设计速度通常超过标示速度（无论是监管速度还是建议速度），设计速度本身包含关于环境条件和车辆性能的无数假设：例如，在湿滑路面上行驶的卡车与在干燥路面上行驶的跑车的操控是不一样的。此外，至少在现代交通减速措施之前，设计速度仅是基础速度而非最高速度：为了与在设计速度下的驾驶行为相适应，道路的水平曲线可能被加宽或倾斜，但是却不会引入外来的曲线来阻止产生更高的速度。正如一个州的交通部门指出的那样，这可能会在一条平直的道路上产生“无限的设计速度”⑤State of New Jersey Department of Transportation Roadway Design Manual,http://www.state.nj.us/transportation/eng/documents/RDM.。这样的速度将难以超越。

简而言之，法定速度会影响设计速度，设计速度会影响合理速度，合理速度会影响实际速度，实际速度又会影响法定速度，法定速度会影响实际速度，实际速度会影响合理速度。这三个概念是互相独立并且动态的，我们不可能设计出一条既满足所有这些概念而不会扭曲任何一个概念的道路。自动化系统面临类似的困境，其中部分原因是它们仍部分依赖于人的判断或执行。下一节将阐述这一点。

五、使用者

ISO 26262说明了当今与安全有关的电气和电子系统中人与机器之间的相互作用。一些属于此范围内的主动安全技术，如防抱死制动系统和电子稳定控制系统，旨在弥补驾驶员的弱点。相反，这些技术所需的完整性水平部分取决于驾驶员检测故障的能力以及避免因故障造成特定危害的能力①See ISO 26262–3 7.4.3.7 note 2; id.at annex B.。这样，安全技术和驾驶员都是更大的安全系统的一部分。

自动化的不断增强实际上放大了这种人机关系的复杂性。表1总结了SAE J3016中对自动驾驶汽车的自动化程度分级，揭示了其中的一些复杂性。驾驶是一项由“驾驶员”和“车辆自动驾驶系统”共同、连续或同时执行的任务。其中的4个关键变量是：（1）是由人类驾驶员还是自动驾驶系统完成转向、加速和减速②这是唯一的非二进制变量：在“驾驶辅助”级别，人类和自动驾驶系统共享这些功能。；（2）是由人类驾驶员还是由自动驾驶系统监测驾驶和交通环境；（3）在使用自动驾驶系统时人类驾驶员是否必须待命——这取决于在没有人工输入干预的情况下该系统是否能自行恢复到“最小风险状态”；（4）自动驾驶系统能够在所有行驶环境中起作用，还是仅能在特定驾驶工况中起作用③该变量并没有完美地将多维分类映射到单轴上。。

对于这4个变量，我希望补充一点：对转向、加速和减速的最终控制权限由人类驾驶员还是由自动驾驶系统来决定。这种权限可能是即时的（允许瞬间切换）、延迟的（需要一些转换）或以其他方式进行调节。这可能在很多情况下都非常重要，包括在自动驾驶系统响应速度快于人类④例如，自动紧急干预系统（AEIS）可能会采取制动或转向操作以避免即将发生的碰撞。的情况下，自动驾驶系统与其他系统的协同工作⑤例如，长长的车辆队列和自动化的十字路口可能需要这种积极的协同工作。，以及当人类发出的转向、加速、减速指令与自动驾驶系统感知到的环境限制不一致时进行权衡。⑥例如，如果AEIS采取刹车或转向操作，则人类驾驶员可能试图加速或抗拒这种转向。国际自动机工程师学会对权限进行了详细讨论，但长远而言一致认为它超出了其最初分类的范围。⑦对于AEIS的运行来说，由于它们要处理危急情况，因此权限尤其重要。虽然SAE J3016有针对性地将这些系统排除在其范围之外，但它的分类标准仍然可以提供相关信息。例如，同样的AEIS水平可能会划分为：警告（等级0），制动或服务（等级1），瞬间制动和转向（等级2），更长的制动和服务（等级3），停在路肩（等级4），直接驾车去医院（5级）。

在部分自动驾驶（等级2）中，由人类驾驶员监控驾驶状态和交通环境，并仅在必要时进行转向、加速和减速操作。在这一范畴中，合理的和合法的人类行为在很大程度上是相同的；只有纽约明确要求驾驶员需始终至少将一只手放在方向盘上。更为紧迫的问题是，以下这种合法并且明显合理的行为是否实际可行：一个向车辆提供输入信息并不积极的人是否愿意或能够保持假定的警戒水平？在有条件的自动驾驶（等级3）中，由车辆自动驾驶系统监视驾驶状态和交通环境，人类驾驶员仅在车辆自动驾驶系统提前提示时进行转向、加速和减速操作。在这个范畴内，可以说，合理的和合法的人类行为仍然在很大程度上是相同的；虽然许多州要求适当注意并禁止分心驾驶，但这些规定中的大多数都明示或暗示驾驶员只有在从事不合理行为时才会分心。同样，这里比较紧迫的问题是以下这种行为是否在实际中可以实现的：一个甚至没有监测道路的人是否愿意保持在最佳的驾驶位置并能够保持清醒？在实际需要时，她是否有意愿、有能力获得并保持必需的驾驶技能以便安全地操纵车辆？此外，当她的车辆遇到特殊路况或交通状况时，她是否愿意遵守自动驾驶系统的回应？

表1 道路自动驾驶系统的自动化分级总结① Bryant Walker Smith, “SAE Levels of Driving Automation”, Judgment of 18 December 2013, http://cyberlaw.stanford.edu/loda.

这些问题暗示了安全理念以及其背后的或与之相抵触的价值观念。正如关于出行速度的讨论所表明的那样，从技术角度而言对安全性并不存在统一的理解，更遑论法律层面。事实上，安全评估必然涉及对规模、时间线和因果关系的假设——这是与系统边界有关的典型问题。例如，思考一下人与车的组合必须是多么“安全”。一个可能的答案是它必须至少表现的像一个专家般的人类驾驶员那样熟悉任何一个操作行为或场景。然而，这样一个严格的标准可能意味着自动驾驶技术需要以更高昂的成本、更缓慢的速度才能进入市场，而丧失了它们原本可以挽救生命的机会。戏剧化的是：这是永远存在的悲剧现状。

另一个层面的答案可能是，从宽泛的统计意义上来说，人与车的组合必须比今天的汽车和司机更安全。根据2009年的粗略估计，一辆汽车大约每160,000英里就会遇到一次车祸，大约每65,000,000英里就会发生一次致命事故。①Bryant Walker Smith, “Driving at Perfection”, Judgment of 11 March 2012, http://cyberlaw.stanford.edu/blog/2012/03/drivingperfection.如果自动驾驶汽车可以简单击败这些数字，那么从广义上而言代表安全性得到了提高。然而，虽然由于涉及此类车辆的碰撞可能与仅涉及更传统车辆的碰撞不同，但是这种逻辑推论的结果可能明确了当年这些由人类驾驶汽车导致的死亡事故原先是可以避免的。戏剧化的是：可能会出现头条新闻宣称“机器杀死孩子”、破坏性诉讼，以及技术可信度遭到长期贬损。

与合理安全问题有关的是人类用户的角色。可以想象，自动驾驶车辆可能不需要实时的人员监控就可以满足特定的安全阀值。但是，如果这种人为监管进一步增加了系统的整体安全性呢？或者，如果偶尔的人为干预是为了防止造成他人碰撞而造成撞车事故呢？刻意削弱人类的控制权——一个被SAE J3016所排除的变量——可能会导致实际用途偏离合法用途，即使它更接近实际与合理用途。

假设人类在某些情况下可能仍然需要操纵他们的车辆，特别是紧急情况和异常情况下，驾驶技能的退化或未能获得关键驾驶技能将会成为一个问题。然而不清楚的是，这种担忧会如何影响安全评估。美国联邦航空管理局（FAA）最近发布的一项安全警告提出了下述观点：尽管承认自动飞行系统“提高了安全性”，但备忘录仍然呼吁航空公司确保有足够的机会进行“手动飞行”，以防止“飞行员将飞机从意外状态中快速恢复的能力下降”②Federal Aviation Administration, Safety Alert for Operators, SAFO 13002(Jan.4, 2013), http://www.faa.gov/other visit/aviation industry/airline operators/airline safety/safo/all safos/media/2013/SAFO13002.pdf.——例如，这一能力的下降是2009年法航航班③See Flight AF 447 on 1st June 2009, Final Report, available at http://www.bea.aero/en/enquetes/ flight.af.447/rapport.final.en.php.坠毁事件的成因之一。但是，虽然航空公司的乘客可能理解实践操作的必要性，但他们可能不会希望自己乘坐的航班去那样操作。

人机工程的学者早已认识到，在人机系统中限制人的角色并不一定会使该系统不易受人为失败的影响。④Lisanne Bainbridge, Ironies of Automation, 19 Automatica 775, 775 (1983).http://www.ise.ncsu.edu/nsf itr/794B/papers/Bainbridge 1983 Automatica.pdf.这种“残酷的自动化⑤Id.”也存在于侵权法中：因自动驾驶车辆和其他机器人所导致的损害至少部分是由使用或遇到这些机器的人的自身行为而造成的。打个混合隐喻，人在循环链条中可能是最薄弱的环节。出于这个原因，自动化系统的研发人员必须至少像了解机器性能那样理解人类行为。

六、结 论

本文介绍的系统分析揭示了研发人员和监管机构在日趋自动化的道路上所面临的概念、语言及实践上的困难。这些自动化系统的安全性将由其设计和使用共同决定，而我们最好能将在设计或使用中关仍起关键作用的人类理解为系统本身的一部分。明确地定义这些系统反过来需要在技术和法律领域之间进行深思熟虑的对话：律师和工程师可以也应该使用相同的机器人语言。