基于EDR的自动驾驶汽车事故调查分析

冯家豪　梁健民　何浚铭　卓俊锥

摘 要：汽车事故数据记录装置对事故重建有着重要意义。我国虽然已经开始进行自动驾驶汽车的实验，因此对自动驾驶汽车发生碰撞后的事故重建也需要一种可行的方法。在欧美国家，大部分事故重建都需要用到EDR（Event data recorder）进行事故重建。现今在欧美国家中各个司法实践部门、汽车厂商和自动驾驶相关企業为了确定哪些证据有可能参与到事故调查中，正在大量征收关于EDR/AD的建议。EDR的应用是未来自动驾驶汽车事故重建的发展趋势。本文章主要阐述了EDR在发生碰撞时的事故重建中的应用，以及EDR在未来自动驾驶汽车发生碰撞的展望。

关键词：自动驾驶；EDR；交通事故碰撞数据；EDR/AD展望

1 引言

近年来，我国正大力发展自动驾驶汽车。自动驾驶汽车是一个新兴的行业。但一旦自动驾驶汽车发生交通事故，就会涉及到人、车、路、环境等多方面因素，对交通事故进行重建已然成为事故重建的迫切需求。在自动驾驶汽车事故中，自动驾驶技术可能会作为责任主体承担法律责任，因此自动驾驶汽车的事故重建不能以传统的事故重建方法进行责任认定。因此能否获取到准确、客观的车辆事故重建数据就显得尤为重要。EDR（event data recorder）是整合于车辆内部的，用以记录碰撞前后一系列动态数据的装置。在美国，大部分的车辆都会强制性地配备EDR。EDR记录的数据的准确性和可靠性已经得到欧美各个国家警察对交通事故调查取证及交通事故法庭调查的认可，并用于司法实践当中。我国虽然仍未出台关于EDR的法律，但在2017年出台的《机动车运行安全技术条件》中规定今后的车辆都必须强制性配备EDR，在自动驾驶汽车普及的时候，EDR必然会成为自动驾驶汽车的强制性标配。EDR的数据对自动驾驶汽车发生碰撞进行事故重建居然重大意义。在近年来，EDR峰会也在研讨关于自动驾驶汽车发生碰撞后应如何重建事故。根据现有的EDR数据进行自动驾驶汽车的事故重建是一个值得探讨的话题。

2 自动驾驶汽车以及EDR数据

按照SAE的分级，SAE International国际自动机工程师学会制定了J3016自动驾驶分级标准，将自动驾驶技术分为L0-L5共六个等级。L0代表没有自动驾驶参与的人类驾驶，L1-L5则随自动驾驶的技术配置和成熟程度进行了分级。L1-L5分别为辅助驾驶、部分自动驾驶、条件自动驾驶、高度自动驾驶、完全自动驾驶。

如今在市面上流通的大部分自动驾驶汽车处于SAE定义下的L2、L3水平。在L2水平的自动驾驶中，驾驶员的责任并不在于完成ADAS可以完成的驾驶任务，但要求全程监管路面情况。发生事故后，驾驶人始终对事故负全责。在L3及其以上的自动驾驶系统中，所有的驾驶操作和环境监控都是有自动驾驶系统完成的，驾驶人没有必要全程监控着周边环境和驾驶系统。但当自动驾驶系统遇到需要返还驾驶权的情况，驾驶员需要接管对车辆的控制。

一般交通事故重建最难的一点是重建发生事故前的车辆速度和行驶轨迹、以及驾驶员的操作行为（例如是否踩刹车）。但由于自动驾驶系统的特殊性，系统能否在事故早期识别出潜在的危险情况并采取相应的行动成为了重建自动驾驶汽车事故的关键。自动驾驶系统是否发出反馈的时间和反馈结果（驾驶员何时响应请求），对于自动驾驶汽车引发的交通事故定责起到决定性作用。所以碰撞前阶段的数据就十分重要，不但能作为自动驾驶汽车事故重建的依据，还能作为交通事故避免策略的参考。

EDR是一种能够记录车辆发生碰撞前后车辆数据的设备。EDR在通电情况下会不断地收集数据并覆盖原有的数据。一般来说，EDR达到“触发”条件时就会自动地冻结数据，如今EDR能记录碰撞前5s和碰撞后3s的车辆状况相关数据，包括车速、加速度、油门节气阀、加速踏板等。但根据不同厂商的车型会有不同的记录长度。不同的EDR有不同的“触发”条件，一般对于加速度较大（如发生碰撞）的数据都会被记录下来。除此之外，可以通过设置EDR“触发”条件记录无严重损害事件（如轻微车辆碰撞或加速度较小的事件）。

关于EDR的法律法规，美国、日本、欧盟等国都沿用49 CFR part 563，但在各个国家都有它微小的区别。而韩国则使用KMVSS 56-2。我国关于EDR的法律法规可能会于2020或2021年出台。随着EDR的发展，福特、丰田、通用等厂商开始将自动驾驶系统相关数据集成在内。

3 EDR在自动驾驶汽车事故重建中的应用

EDR数据具有客观、准确、全面、精度高等优势，在交通事故调查、分析和重建工作中，不断得到重视和应用，并且这种趋势仍在被交通安全专家的高度认可。

案例：在一个高速路的十字路口中，一辆开启了自动驾驶系统的2015年款的tesla Model S 70D轿车与对向一辆正在左转的2003年款 Freightliner Cascadia传统中型货车相撞。Tesla撞上卡车后从卡车的下面穿过，行驶一段时间后经过道路右侧旁边私人领域，一入一出撞坏护栏2次，最后撞上路边物体并到达最后的停止位置。Tesla的车顶被完全掀开，整个车辆座椅暴露在外，车身受到严重损毁，如下图所示。Tesla的驾驶人因头部大面积撕裂损失，在现场被宣布当场死亡。

3.1 EDR数据。Tesla车辆中配备了安全气囊模块（ACM）。但由于此安全气囊并不支持Bosch CDR数据检索工具，SCI的调查人员不能在现场读取数据。经过调查，发现此ACM所记录的数据由电子控制元件和车辆总脑记录在了SD存储器中。因此它需要借助制造厂商的解码读取或直接将SD卡从ECU元件拆卸读取。

在此SD存储器中记录了发生碰撞前后通过Tesla所记录的车速、油门节气阀百分比、刹车状态、巡航控制以及方向盘转弯角度，还包括自动驾驶系统的相关日志，见表1。

根据表1，可以看出在发生第一次碰撞前车速十分地稳定，始终保持着119±1km/h的速度稳定行驶。刹车也一直都保持着关闭状态。方向盘的转向角度始终都没有超过1度。从这我们可以推断出，在第一次碰撞前驾驶人开启了自动驾驶系统。因为Tesla自动驾驶系统在控制车速时并不是通过控制踏板的位置而控制车速，而是直接通过ECU控制发动机的转速来控制车速，所以在整个过程中油门踏板并没有使用的迹象。

在第一次发生碰撞后，系统多次接到了发生碰撞的事件记录，包括电机故障、操作失误警告、驾驶员车门打开指示（有可能是因为B柱变形）和电源供应警告。根据Tesla提供的报告记录，第一次碰撞过后2s内，车速由119km/h降为102.9km/h小时，这很有可能是因为Tesla穿过货车下盘导致的。随后的7s间隔内Tesla的车速由102.9km/h降为87.1km/h。随后报告的数据显示了几个不同的碰撞，包括安全气囊警告灯的开启。在接下来的2s间隔内车速从78.09km/h降为64.3km/h。在这9s后速度极速下降直至停止，最后还有一次碰撞的记录。

SCI调查人员对数据进行分析，这两个明显不同的碰撞之间存在着这9s的间隔。而在此期间车辆行驶的平均速度大约为96.5km/h。因此车辆大约行驶了241m的距离，最后撞上了路旁的公用电线杆并停止。这241m就等于Tesla在第一次碰撞穿过车底后到车辆最后的静止位置的距离。这些数据恢复的现场路径与SCI调查人员到进行现场勘察时发现的地面痕迹基本符合。

3.2 汽车防碰撞系统和ADAS系统的相关数据。这辆Tesla属于L2等级的自动驾驶汽车，它仍需要驾驶员全程控制车辆，监控周边环境。Tesla的防碰撞系统和自动驾驶系统无法在复杂的道路环境下运行。根据Tesla的数据记录，特斯拉的ADAS技术在碰撞时正常运行。根据调查和计算分析，驾驶人具有7.7s的时间发现前方的中型货车，但并没有避免此次碰撞。

在这辆Tesla汽车中与安全有關的系统包括交通自感应巡航控制（TACC）、自动转向（自动更改车道）、车道保持辅助系统、防撞系统辅助和车速控制辅助。与车辆行驶有关的系统包括：车道偏离警告系统、侧方碰撞警告和自动紧急刹车系统。

根据车辆自动驾驶系统的记录，Tesla在发生碰撞前确实开启了自动驾驶模式。根据下面表格，在碰撞当天，自动驾驶系统总共循环了3次，自动驾驶系统被开启了32次。自动驾驶总共行驶了3小时27分钟41秒，行驶里程数为327.5km。在碰撞发生前汽车持续行驶了40.8分钟，由自动驾驶控制时间为37分26秒。在这37分26秒内，握住方向盘的时间仅仅只有26秒。由此可见驾驶人并没有全程控制着自动驾驶车辆的习惯。

在碰撞前，自动驾驶系统开启3次，共行驶37分钟26s，总里程数为63km。碰撞前自动驾驶系统开启最近启动的时间为碰撞前6分11秒，此时车辆距离碰撞点大约有10.8km。Tesla在碰撞以西的一个小镇完成了右转并进入了事故现场所在道路的起点。在发生碰撞前约5分钟前，距离现场大约还有9.5km，驾驶员将巡航控制速度设为105km/h。接下来的三分钟内，他将巡航控制速度修改了3次。在大约碰撞前112s，驾驶员最后记录的最终速度增加到了119km/h。在整个过程中手控制方向盘的时间只有3秒。碰撞前，车道偏离警告系统没有开启，说明车辆在车道上正常行驶的。而前方预警系统和自动紧急刹车并没有启动，盲点检测也没有检测到有任何障碍物。见表2、表3、表4。

根据这起事故重建的结果显示，Tesla的自动驾驶系统在发生碰撞前没有采取过任何防撞或避免措施，很有可能是因为中型货车的底盘高度超出Tesla传感器的感应范围，没有检测到在行驶方向上有辆货车，因此前方碰撞警告系统和自动紧急刹车系统没有对即将发生的碰撞采取措施，根据自适应巡航系统的判断，车辆就会继续保持原有车速行驶。自动驾驶系统记录的数据，驾驶人并没有对可能发生的碰撞采取措施，但无法确定驾驶人为何没有回应的原因。由于这辆Tesla被SAE定义为Lv2，驾驶员对车辆所有驾驶任务负全责。下图为事故重建结果图。

3.3 EDR与自动驾驶系统数据的探讨。这些EDR的数据能够为我们提供完整的碰撞时和预碰撞的数据，不但能够为事故重建能够提供客观、准确的电子数据，对于交通事故的责任认定起到了不可替代的作用。但由上述案例得知，自动驾驶汽车事故重建不同于以往传统的事故重建，由于涉及到自动驾驶系统作为责任主体，这就很有必要考虑如何重建自动驾驶系统的驾驶行为。这起案件中还存在着以下疑点。

（1）上述这起案件由于自适应巡航系统的参与，Tesla的车速记录十分稳定，EDR记录油门踏板的数据全部为0。这在传统的事故现场重建是少有的状态。无法确定驾驶人是否有过制动行为或者是因为自动驾驶汽车控制车辆而导致的刹车失灵。（2）根据SCI的调查结果，驾驶人有7.7s的时间发现前方那辆中型货车在左转，但根据车辆上的EDR数据显示，在发生碰撞前，驾驶人并没有采取任何行为，这在传统的事故是很少见的行为。但并非代表着他没有采取任何措施。有可能是因为自动驾驶系统控制权反馈失误，导致驾驶人无法控制车辆而径直地穿过中型货车底盘，导致死亡。但因为没有驾驶人行为记录，所以仍然无法确认分散驾驶人注意力/无法集中注意力的原因是什么。（3）AEB系统能正常使用，但在碰撞时和碰撞后都没有激活。这有可能是自动驾驶系统故障导致的，也有可能是中型货车底盘超出了传感器的感应范围，导致系统作出了错误的判断，但车辆没有记录AEB及其传感器的相关数据。（4）前方碰撞预警系统通过哪种方式警告驾驶人不得而知，有可能是因为前方碰撞预警系统的警告强度不足以唤醒驾驶人的注意力，但这一控制权反馈和回应过程并没有记录。（5）事发路段的限速为105km/h，自动驾驶系统运行时车辆仍然以驾驶人指定速度行驶，在此过程中，GPS技术完全有能力感知并接受路面相关数据，但它却无视了车速限制，以驾驶人规定的车速行驶。（6）无法确认是否有黑客入侵车载智能系统的情况，修改自动驾驶系统操作权限的情况。

如果要对自动驾驶汽车进行事故现场重建，还需要增加EDR关于自动驾驶系统的相关记录。这辆Tesla车辆内部的自动驾驶系统所记录的数据并不是记录在EDR内部，而是自动驾驶系统将EDR内部的数据和驾驶日志记录在了SD卡内。虽然不是每辆具有ADAS车辆都有这种情况，但这仍然要求调查人员要对自动驾驶系统记录的数据具有一定的专业知识，并懂得从哪些电子元件能够读取与自动驾驶有关的相关日志，否则要回溯到自动驾驶系统与驾驶人互动的过程是比较困难的。

在碰撞发生后，自动驾驶车辆有可能会有相应的应对对策，比如说路边减速停车，稳定车身或其他保护驾驶员和乘客的措施。这些行为如果在车辆内部没有被记录的话，不但对于重建现场带来极大的困难，有可能导致现场无法还原。因此我认为EDR或自动驾驶系统有必要记录采取紧急措施后的相关记录或手段。

不同的汽车厂商和自动驾驶系统企业对于技术可能会有不同的规范标准，自动驾驶汽车一旦发生碰撞后，如果要提取碰撞数据可能还是需要通过与汽车厂商或自动驾驶系统相关企业进行协商，让他们委派相关的专业人士进行数据读取。

但如果是L3等级以上自动驾驶汽车的话，以现有EDR所提供的数据不足以判定是自动驾驶汽车系统失误还是驾驶人人为因素所导致的。因此，一旦延伸到自动驾驶汽车发生的事故，就很有必要记录自动驾驶系统的相关信息以及驾驶人的行为日志。

4 EDR/AD在自动驾驶汽车事故重建的展望

由于自动驾驶汽车的特殊性，在欧洲汽车供应商协会提出了关于EDR for automated driving项目标准的制定计划。EDR/AD的制定是为了确定事故发生/影响安全相关事件的实际情况。生成的信息都会作为分析碰撞的证据。

与常规EDR相比，EDR/AD就需要考虑到：有害后果、自动驾驶模式下的驾驶行为、驾驶员是否注意到危险情况、非自动驾驶模式下的驾驶行为以及各个自动驾驶系统的弊端等情况。

EDR/AD解决方案包括三个部分：行车日志、碰撞事件记录仪以及关键事件记录仪。但无论这些EDR是集成的控制模块还是单独控制模块，仅是方便数据提取而提出的一种建议而已。

4.1 EDR/AD驾驶日志。其中行车日志主要记录了驾驶人与自动驾驶汽车的互动情况，其中包括警告说明和方式、自动驾驶系统状态的数据、自动驾驶系统关闭驾驶人日志等数据。

EDR/AD的行驶日志就是为了确定驾驶人与自动驾驶系统的互动情况。在遇到紧急情况时，自动驾驶系统遇到无法判断或决策的过程，就有可能会把车辆控制权交还驾驶员。因此，转移过程的确认就是责任转移过程确认的认定，即使没有驾驶员主动干预，自动驾驶系统中的ECU在任何时候也需要记录自动驾驶系统的状况。事后就能够通过此类数据解决自动驾驶系统和驾驶员在交通事故上的责任认定问题。

4.2 碰撞事件记录器。在碰撞发生前后，自动驾驶汽车很有可能会进行规避行为，为了能够更好地完善事故重建的案发现场，就很有必要在Veronica-Ⅱ里定义的碰撞早期和预碰撞期间记录：GPS时间/位置、360度周边环境、AD系统激活状态、V2I/V2V等相关数据。在预碰撞时应该包含的数据有：传感器数据、紧急刹车数据、GPS时间/位置（高样本数据）360度环境数据、车辆驾驶动态数据、AD激活状态、V2I/V2V通讯信息等数据。

4.3 关键事件记录仪。EDR/AD记录的数据不仅仅跟有害事件有关，在没有发生交通事故或碰撞时，它记录的关键数据也可以用于分析自动驾驶系统存在的故障。例如，如果车辆被车速检测器检测出超速，那摄像头的闪光也有可能会触发数据的记录。AD系统能够通过环境传感器检测出违法行为。所以关键事件记录仪记录的数据包括：

关键事件可能包括自动驾驶汽车在路面上各种违反信交通息和遇到紧急情况时的非常规处理，比如说乱闯红灯、违反交警的交通指示、遇到突发事件采取紧急制动等行为。由于各国的道路法规都不一样，一旦违法了，就需要追溯到当时违法行为的场景。

5 结语

在如今自动驾驶汽车没有普及的情况下，难以构想出未来自动驾驶汽车所引发的道路交通事故应如何重建，也无法确认如今的道路事故重建技术能够为之后的自动驾驶汽车碰撞事故带来多大的用处。但至少要保证在交通事故发生后，为重建技术存储相应的碰撞数据，才能确保之后涉及到ADAS汽车发生交通事故后重建的准确性。随着自动驾驶系统新概念的提出和不断更新換代，EDR/AD也会相对应地做出适应调整。但适应期很可能会持续相当长的一段时间，汽车自动化在减少了安全隐患的同时会引申出许许多多的法律问题。能否在司法实践中提供相应的电子证据将成为EDR/AD的挑战。

本项目受 “攀登计划”广东大学生科技创新培育计划（pbjh2018b0364）资助。

参考文献：

[1]Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles[S].SAE.J3016_201806.2018，6.

[2]Analysis of Event Data Recorder Data for Vehicle Safety Improvement[R]. NHTSA.2008.

[3]Veronica-II Final_Report[R].NHTSA.2008.

[4]Case CR16016- NASS-SCI database[DB].NHTSA.2016.5.

[5]Discussion Paper on Event Data Recorders for Automated Driving （EDR/AD）[R].CLEPA.2016，9，10.

[6]Forster， Kuhrt， Peters Event Data Recorder （EDR） for Automated Driving[R].EVU.2016.

[7]William Rosenbluth.Collecting EDR Data for Crash Investigations[R].ASTM International.2010.

[8]Mark Mynatt，John Brophy，Augustus Chip Chidester.EDR DATA COLLECTION IN NHTSAS CRASH DATABASES[R].NHTSA.

[9]冯浩，方建新，陈建国，潘少猷，张志勇，张泽枫.道路交通事故速度重建技术现状[J].中国司法鉴定.2014.

[10]邱金龙，苏森，刘文君，张永永，尹志勇.汽车EDR数据在交通事故重建中的应用[J].Hans.2017，3.