周文辉
(公安部道路交通安全研究中心,北京100062,中国)
安全是自动驾驶汽车设计、研发、运行管理和应用中最重要的考量。交通安全是自动驾驶汽车安全的重要方面。由于自动驾驶汽车是“传统汽车”和“驾驶人”的结合,其交通安全更多地由车辆中的“机器驾驶人”承担和实现。为了更好地规范和引导自动驾驶汽车的发展,联合国世界车辆法规协调论坛(UN/WP.29)发布了《自动驾驶汽车框架文件》和《自动车道保持系统ALKS》两部技术法规,欧盟也发布了《欧盟自动驾驶汽车认证豁免程序指南》,形成了初步的自动驾驶汽车型式认证体系。2021年3月,作为《车辆等型式认定相互承认协定》(联合国欧洲经济委员会1958年汽车认证协定)成员国,日本国土交通省按照上述联合国技术法规,对本田Legend EX进行了L3级自动驾驶认证。2021年12月,根据《自动车道保持系统ALKS》(UN-R157),德国联邦汽车运输管理局认为奔驰的L3级自动驾驶系统符合规定,从法律和认证两个层面允许L3自动驾驶车辆销售和上路。考虑到上述法规的陆续出台,以及量产车型认证的逐步落地,有必要探究在自动驾驶汽车中,交通安全到底是如何保障的,进而为制定适应性的运行安全管理标准和规范提供借鉴。
由于《自动车道保持系统ALKS》聚焦于有限的交通场景—“高速公路自动车道保持系统”,其关于自动驾驶汽车交通安全方面的规定更为细致和详尽,因而拟作为重点梳理和分析的对象。如前所述,在《自动车道保持系统ALKS》之前,联合国世界车辆法规协调论坛(UN/WP.29)已发布了《自动驾驶汽车框架文件》,欧盟也发布了《欧盟自动驾驶汽车认证豁免程序指南》,后两部技术法规在交通安全方面也提出了概要性规定,并与《自动车道保持系统ALKS》保持了总体上的一致。
《自动驾驶汽车框架文件》主要目的是为WP.29在L3以上自动驾驶汽车安全方面提供最主要的原则指引。该文件首先设定了自动驾驶汽车的安全理念,即“自动驾驶汽车不得引发任何难以原谅的风险”,意即“自动驾驶汽车不得引发可合理预见和避免的伤亡交通事故”。具体的,首先是在“系统安全”中,提出当车辆在自动驾驶模式时,不得有不合理的对驾乘人员和其他交通参与者的安全风险,并且需要遵守道路交通法规。在“系统安全的验证”中,要求以不得产生不合理的安全风险、遵守交通法规为目标,基于系统工程手段,创建稳健的设计和验证流程。设计和验证方法应包含危害分析和安全风险评估,重点面向自动驾驶系统、事件探测和响应功能,以及相关的整车设计和更广泛的道路交通生态系统。设计和验证方法应说明自动驾驶车辆在正常操作时的预期行为功能,以及碰撞避免和自动驾驶模式降级时的表现。试验的方法主要是包含仿真、场地测试、道路测试在内的复合方法。
《欧盟自动驾驶汽车认证豁免程序指南》的目的,一方面是通过成员国临时认证的方式,总结对自动驾驶系统评估的实践经验;另一方面是促进自动驾驶系统评估的流程化和规范化;再次则是为自动驾驶汽车的发展提供公平而透明的环境。该文件明确了自动驾驶系统功能10大安全要求,与“机器驾驶人”交通安全相关的有:(1)自动驾驶模式在运行域中可预见的交通情况下,自动驾驶系统均可自行驾驶,代替驾驶人完成各类驾驶任务。(2)自动驾驶模式下,车辆不可导致可预见、可预防的交通事故。(3)自动驾驶模式下,车辆行为应谨慎且可预见,同时可与其他交通参与者进行适宜的交互(例如,听从执法人员的命令,与其他交通参与者交互等)。(4)自动驾驶模式下,车辆行驶应遵守道路交通规则。(5)车辆应与前方车辆保持安全距离,特别是在拥堵区域,在横向运动中,应为其他交通参与者留下足够的时间和空间,应能遵守路权,对于可以躲避的事故,若躲避后不会造成新的事故,则应当躲避该事故。另外,在“最小风险操作要求”部分,提出了具体的要求:当自动驾驶系统探测到难以以自动驾驶模式继续行驶时,车辆应当通过最小风险操作,返回到最低风险状态。最小风险操作时,应当按照交通规则,向其他交通参与者提醒最小风险操作,如开启危险报警闪光灯、制动灯、转向灯等。最小风险操作应符合交通法规的要求。最小风险操作可包含停止在本车道或变道后,在向周围交通参与者提醒后安全停在路边。除此之外,在“安全评估和测试”部分,对上述要求的实现,从厂家设计、评估,技术机构评估、试验等方面提出了确认和验证要求。
自动驾驶系统激活后,应该能代替人类驾驶人,其涉及交通安全的总体要求是:承担动态驾驶任务,应对所有出现的状况,不得产生不合理的交通安全风险。不合理的交通安全风险具体内涵如下:不得造成任何可合理预见和避免的事故。在碰撞即将发生时,应当避免该事故,前提是不能造成其他事故。当检测到事故不可避免时,应停止车辆。
本部分在讨论自动驾驶汽车交通安全时,聚焦在自动驾驶系统与道路交通环境的互动方面。其与驾乘人员的互动、感知功能,以及遇到自身故障等情况时的最小风险状态操作等内容不在本部分的讨论范围。具体要求如下:
车辆不得穿越车道线,应保持在车道内行驶,特别是保持稳定的横向位置,以免给其他交通参与者带来困惑。车辆还应检测相邻车道内的车辆,在必要的情况下,应根据相邻车道车辆通行情况,调整自身速度和横向位置。
车速应与道路设施和环境条件相适应。跟车情况下,应根据表1列明的安全距离,调整自车速度。
表1 自动车道保持功能开启时的最小跟车距离
车辆在低于最高允许行驶速度之下行驶,应能在静止障碍物前面实现完全停车。静止障碍物包括静止的交通参与者、禁行标线等。
系统应能检测前方、侧方碰撞风险,如前车紧急制动、有车辆切入、前方突然出现障碍物等,并采取合理的动作,最小化此类交通安全风险。上述情况下,评价标准如下:若熟练谨慎的驾驶人可以避免事故,则自动驾驶汽车也应避免类似事故。
图1 ALKS交通风险能力应对评判时所用的熟练谨慎驾驶人模型
《自动车道保持系统ALKS》还给出了应当避免碰撞事故发生的几种具体情形:
(1)若前方车辆突然紧急减速,则应当避免碰撞。但遭遇侧方车辆突然切入,两车距离小于最小跟车距离要求的情况除外。
(2)达到以下条件的切入场景下,也应避免碰撞:切入车辆速度低于自车,且在特定时间之前探测到切入行为,以及两车间距满足特定条件。
(3)若横穿马路行人速度小于5km/h,且不被遮挡,则车辆在低于最高允许行驶速度之下行驶时,均应避免与其碰撞。
《自动车道保持系统ALKS》将“接近碰撞风险”定义为“一种需要自动驾驶汽车达到5m/s以上的制动减速度,才可能避免碰撞的情形”。在接近碰撞风险情况下,车辆应实施最大减速度,必要的时候,还可以采取其他避险措施,但车辆始终应保持在本车道行驶。因采取紧急措施而停车的,车辆应自动开启危险报警闪光灯;当车辆随后自行启动继续行驶时,应能自动关闭危险报警闪光灯。
交通安全保障技术,是自动驾驶的核心技术之一。为了包容新技术的快速发展,欧盟相关的安全认证、管理等工作均建立在企业自身技术特征、和企业对产品安全的过程管理的基础上。具体到本文所述的交通安全层面,《自动车道保持系统ALKS》对企业的安全设计能力要求如下:
针对自动驾驶车辆对驾乘人员、其他交通参与者伤亡事故的避免、消减目标的实现,企业应提供相应的分析方案文档。认证机构选取以下内容开展检查确认:(1)车辆设计运行范围内,由于运行环境扰动,可能带来的交通安全风险。典型的运行环境扰动有:对行车环境的理解不足或有误,对其他交通参与者的反应理解不足,控制不足,遭遇具有挑战的场景等。(2)为实现交通参与者交互和遵守交通规则,在实施动态驾驶任务(如紧急操作)时的决策过程。具体从以下三个层面对企业提交的分析方案进行评估:(1)整车层面检查确认。该方法应建立在系统安全的“危害/风险分析方法”基础上。(2)系统层面检查确认。包括自上而下的“危害—设计”方法和自下而上的“设计—危害”方法。检查确认的方法需要基于失效模式和影响分析、故障树分析、系统理论分析过程,或其他类似的适用于系统功能和运行安全的过程分析方法。(3)对“验证/确认”计划及其结果的检查确认。应包括适当的验证试验,如硬件在环、道路试验、终端用户试验等。认证机构在实施检查确认时,需要选定具体危害开展现场工作,目的是确认企业提交的支撑“安全设计”的证据是可理解的、有逻辑的,并已在不同的功能中得到了实施。另外,还应检查确认企业的确认计划,确保其能够稳健地证明车辆的安全性(如选定的确认试验工具,可合理地覆盖所选场景),并检查企业完成了上述确认。认证机构在出具检查确认结果时,应从以下两个方面说明自动驾驶汽车的交通安全水平:(1)从整车等整体指标看,自动驾驶汽车交通安全水平不低于人类驾驶人。(2)通过具体场景检查确认说明,自动驾驶汽车交通安全水平不低于人类驾驶人。
除此之外,认证机构还应自行或要求企业开展针对性的试验,用以验证企业关于车辆安全功能的描述和安全设计的内容。在验证安全功能时,除通过场地测试验证各项功能要求外,还需要通过在实际道路中验证车辆的整体表现,包括遵守交通规则的情况。该验证结果应当与企业的描述一致,并符合相关标准规范的规定。在验证安全设计时,认证机构需要利用一系列能够考验自动驾驶汽车事件探测和响应功能、决策特性的场景(如交通扰动场景)开展验证试验。该验证结果应当与企业危害分析文档中整体安全性能的总结结果一致,即对企业安全设计及其实施进行切实验证,也确保车辆整体安全性能达到《自动车道保持系统ALKS》的要求。对于难以在场地和实际道路测试的场景,可采用符合要求的仿真工具和数学模型进行试验验证。在这种情况下,车企需要说明上述方法对于具体场景的有效性,以及仿真工具链与实际测试的一致性。
企业需要从软硬件管理、设计研发管理、内部管理、事故动态监控、内部审计、供应商管理等方面,加强自动驾驶汽车安全性能一致性保障能力。软硬件管理方面,对自动驾驶系统使用的软硬件,车企需要应用安全管理系统,包括对开发过程、方法和工具的有效管理,确保能够管理系统安全,并在设计、研发、产品化、遵守交规、退出等系统全生命周期都能确保遵循安全要求。设计研发管理中,需要包含安全管理系统、技术需求管理、技术需求实现、测试,以及故障溯源、修复和释放等内容。内部管理方面,要确保负责功能/运行安全、信息安全以及其他车辆安全密切相关的部门之间建立并保持有效的沟通机制。事故动态监控方面,车企需要建立机制监测与ALKS相关的时间/碰撞/冲突,并管理潜在的安全隐患。当发生严重的事故和安全隐患时,需要及时向认证机构报告。内部审计方面,需要确保开展独立的、周期性的内部审计,确保上述软硬件管理、设计研发管理、内部管理、事故动态监控等机制得到有效实施。供应商管理方面,车企需要与供应商建立合适的关系(如合同约定、质量管理系统),确保供应商的安全管理系统也符合软硬件管理、设计研发管理、内部管理、内部审计等方面的要求。
保障驾乘人员及周边交通参与者交通安全,是自动驾驶汽车的基本要求。WP.29发布的《自动驾驶汽车框架文件》和欧盟发布的《欧盟自动驾驶汽车认证豁免程序指南》,建立起了自动驾驶汽车交通安全的基本要求。WP.29《自动车道保持系统ALKS》是首部关于自动驾驶汽车的认证法规,面向特定场景,建立了自动驾驶汽车交通安全框架体系,给出了安全目标、具体的内容和实现方法要求,也给出了认证管理的具体要求,是开展相关工作的重要参考。
我国自动驾驶汽车交通安全的研究还处于起步阶段,为促进和规范自动驾驶技术健康发展,需要抓紧研究自动驾驶汽车交通安全目标、任务、实现方法和安全管理的措施,搭建相关内容框架和管理框架,通过这样的政策“顶层设计”,协同企业和研究机构的技术研发和实验验证推进,双轮驱动,推动自动驾驶汽车快速融入现有道路交通系统。