文/沈金华 陈文华 刘嘉鲯
智能驾驶系统主要包含驾驶辅助系统和自动驾驶系统两大类,相对自动驾驶系统受制于技术成熟度和政策法规等的约束,驾驶辅助系统逐渐成为上市新车的标配。近年来,具备组合驾驶辅助系统的汽车产品由于其驾驶安全性和舒适性的优点而得到加速普及。但是,系统失效、功能不足或性能局限、用户误用和滥用等原因造成的组合驾驶辅助系统汽车产品安全事故也时有发生。因此,提高车辆的安全性、保护车辆驾驶员和乘员的生命安全,成为当前迫切的需求。本文对组合驾驶辅助系统的技术特性、存在的主要安全风险进行了分析,对国内外的标准、法规进行了研究,并探讨了如何制定科学合理的标准来降低组合驾驶辅助系统的安全风险。
《汽车驾驶自动化分级》(GB/T 40429-2021)将汽车驾驶自动化划分为6个等级(见表1)。
表1 汽车驾驶自动化分级
对于应急辅助系统(0级)和部分驾驶辅助系统(1级),两者不能同时执行横向和纵向运动控制,驾驶员需要承担全部的动态驾驶任务。因此,当车辆出现系统无法应对的情形时,驾驶员也能及时处理。对于组合驾驶辅助系统(2级),该系统在设计运行条件下可以承担大部分的动态驾驶任务。驾驶员容易将组合驾驶辅助系统和自动驾驶系统混淆,造成组合驾驶辅助系统的非正确使用,从而引发交通事故。从这个角度看,2级带来的道路交通安全风险要高于0级和1级。目前,我国具备2级的汽车产品已经大规模进入市场,若不加以规范将带来严峻的道路交通安全风险。
组合驾驶辅助系统存在的安全风险主要来源于两个方面:一个是来自产品内部,比如产品的可靠性问题造成的系统故障和失效,或者是产品的功能不足和性能局限;另一个是来自产品外部,比如产品使用者的误用和滥用(见图1)。
图1 组合驾驶辅助系统存在的主要安全风险
产品内部原因产生的安全风险,主要是由于系统可靠性问题造成的功能失效和系统设计本身造成的功能不足和性能局限。
① 组合驾驶辅助系统的功能失效
近年来,电子系统领域最受广泛关注的一个是“车规级”要求,另一个则是电子电气领域中的功能安全设计。组合驾驶辅助系统是车辆重要的竞争性配置,受成本因素的制约,其硬件可靠性仍存在一定不足,同时功能安全过程保障能力在研发企业中的建设尚未完全建立,危害分析和风险评估并不完整。目前,系统或者硬件、软件失效造成的问题成为安全风险主要来源之一:在硬件方面主要体现在如摄像头、雷达或者中控屏幕的失效[1];在软件方面主要体现在由于算法问题,出现诸如车辆车道居中出现压线或者偏离车道等情形。
② 组合驾驶辅助系统的功能不足和性能局限
系统的功能不足和性能局限主要表现为传感器等感知系统及部件的性能局限,一方面是传感器本身的能力不足,另外一方面是传感器的配置不足,无法有效识别周围环境和车辆等。功能不足来源于算法或者硬件的局限,例如算法不够优化或者控制器的算力不足。同时,在设计阶段,相较于自动驾驶系统,组合驾驶辅助系统由于驾驶员被要求实时参与整个驾驶过程,因此在达到一定设计功能目标下,功能硬件配置和产品能力上存在一定的不足是被允许的。
2022年8月,某品牌汽车在某高架路段开启组合驾驶辅助系统时发生事故。事故发生时,被撞车辆停在左侧超车道,车辆在撞击前未能识别到该车辆并减速,车辆在撞击前也未发出任何警告,而当时驾驶员也在分神,从而造成了事故的发生。造成这起事故的原因为车辆自身无法识别低速或静止的工程车/清扫车、凸出的隔离带、水马或者水泥墩等静止物体。这起事故发生时,该系统超出了其自身的设计运行边界。
产品外部原因产生的安全风险主要来源于使用者对产品的误用和滥用。误用是指以制造商或服务提供商不期望的方式使用,而滥用是指明显违反系统预期用途的故意行为,两者有本质区别。
① 产品使用者的误用
产品的误用可能是由于使用者对产品不了解而进行了错误的操作,比如功能错误地开启或者关闭。产品的误用还有可能是由于人机界面不清晰造成的错误操作或者驾驶员误判。例如在2022年的另一起交通事故中,驾驶员认为自己开启了组合驾驶辅助系统,当出现危险的时候,由于他处于分神状态,未来得及进行干预,而事后调查表明该系统并未被开启。
② 产品使用者的滥用
产品的滥用往往和产品的功能不足和性能局限相关联。组合驾驶辅助系统可以自动执行横向和纵向操作。因此,在满足自身设计运行条件下,系统可以独立地完成一部分驾驶操作,市场上某些高阶点对点领航辅助产品甚至可以完成减速、加速、变道、超车、避让等驾驶操作。但是,即使如此,在软硬件配置、驾驶自动化能力方面和自动驾驶系统还存在差距,因此驾驶员被要求参与全部驾驶过程。例如驾驶员应该实时关注周围环境变化和交通情况,在发生危险时立刻对车辆进行干预。在前文列举的第一起交通事故中,车辆无法识别前方静止车辆,但是如果驾驶员能够时刻关注车辆行驶状态,就可以有效避免事故的发生。这是组合驾驶辅助系统被滥用的一个典型案例。
组合驾驶辅助系统被滥用的主要原因有如下情况:厂商或者销售人员进行过度宣传,该系统功能被过度夸大,有的直接将产品称为自动驾驶系统,造成使用者将组合驾驶辅助系统和自动驾驶系统功能混淆,系统被滥用。有的使用者则是在初期使用时能够按照要求全程参与驾驶过程,但是由于车辆组合驾驶辅助功能比较强,使用者在使用中没有或者很少对车辆进行接管或者干预,逐渐过度依赖组合驾驶辅助系统,慢慢失去警觉。在使用组合驾驶辅助系统的交通事故案例中,甚至发生过有驾驶员开启组合驾驶辅助系统后睡觉的情况。当系统被滥用时,若突然遇到超出系统能力边界的场景,往往由于驾驶员来不及响应而发生事故。
① 联合国
针对2级的功能,联合国世界车辆法规协调论坛(UN/WP.29)已启动相应的法规制定工作,在发布的《转向装置法规》(R79)中围绕自动控制转向功能(ACSF)的部分功能制定了相应的技术要求。但由于相关领域技术的快速发展,原有的R79内容已经不适配行业发展需求,对此,联合国于2021年启动了驾驶员操控辅助系统(DCAS)法规制定工作。
·R79
R79依据各类ACSF的功能场景和应用特性,将ACSF分解为各类细化功能(见表2)。目前,R79已经对部分相对基础的功能提出了一定的技术R79要求和试验方法。
表2 R79中对ACSF功能分类
·DCAS法规
DCAS法规制定原则是对不同的2级功能提出上位的通用性要求。相比于R79,针对ACSF每一项功能都规定了细化的技术要求和性能指标,DCAS法规弱化性能指标的限制,由认证机构通过审核评估、实车试验等验证方式对产品法规符合性进行确认(见图2)。
图2 DCAS产品符合性评估框图
有关部门对制造高的文件审核包括DCAS功能和控制策略的描述、DCAS的系统原理图和布置图,包括功能安全和预期功能安全的应用、DCAS相关的法规相关性分析,包括测试场景、测试结果、仿真可信度评价的虚拟仿真测试结果、实车测试结果、制造商的安全分析材料等。
② 欧盟
2018年6月,欧盟发布了《关于对机动车及其挂车和应用于车辆的系统、部件、单独技术单元的批准和市场监督的欧盟议会和欧盟理事会法规》[(EU)2018/858]。该法规旨在加严型式批准管理程序,增加车辆产品入市后的市场监管要求。2019年12月,欧盟发布了《关于机动车及其挂车以及用于此类车辆的系统、部件和独立技术总成的型式批准要求》[(EU)2019/2144]。该要求引用R79对于行业开展的管理工作,要求车辆仅可在其自动转向功能满足UN R79的前提下才能够进入量产阶段;同时,为了保证管理政策的限制不会对于相关技术的发展与产品的迭代造成限制,通过(EU)2018/858,说明那些包含有新技术或者新概念,并且与相关法规不兼容的产品可以通过“新技术或新概念”豁免的途径获取欧盟层级的豁免或者成员国层级的豁免,以进入量产阶段。
③ 美国
美国主要借助联邦机动车安全标准(FMVSS)进行相应管理工作。目前,FMVSS并未明确提及2级系统的相关技术要求,但这并不意味着美国政府完全信任2级系统。2021年6月,美国国家公路交通安全管理局(NHTSA)发布了《2021/01标准常规命令自动驾驶系统和2级组合驾驶辅助系统的事故报告》。该命令要求车辆制造商和运营商就配备2级系统和自动驾驶系统的车辆发生的事故向NHTSA提交报告。根据该命令,NHTSA可及时从车辆制造商和运营商处获得关于他们搭载组合驾驶辅助系统车辆在真实世界中的碰撞情况。此外,相关管理部门持续关注2级系统的功能表现是否满足道路交通安全要求。
2021年发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》针对组合驾驶辅助功能产品的安全管理,要求“企业生产具有组合驾驶辅助功能的汽车产品的,应采取脱手检测等技术措施,保障驾驶员始终在执行相应的动态驾驶任务。组合驾驶辅助功能是指驾驶自动化系统在其设计运行条件下,持续地执行车辆横向和纵向运动控制,并具备相应的目标和事件探测与响应能力”。2020年发布的《关于促进道路交通自动驾驶技术发展和应用的指导意见》要求稳步推进驾驶辅助技术在城市公交、道路客运中的应用。2022年发布的《关于试行汽车安全沙盒监管制度的通告》针对目前尚无准入测试的车辆应用的前沿技术或新功能、新模式进行深度安全测试,鼓励企业主动排除产品安全风险,进一步优化新技术、新产品、新功能的测评方法,提升安全标准。该通告成为对前市场汽车安全监管的必要补充。该通告在新技术清单中包含了智能算法、预期功能安全和高精定位系统技术等组合驾驶辅助系统相关的新技术,在新功能清单中则包含了交通拥堵辅助(TJA)和领航驾驶辅助(NOA)等组合驾驶辅助功能。
2023年发布的《国家车联网产业标准体系建设指南(智能网联汽车)(2023 版)》中的先进驾驶辅助(ADAS)标准是指0级~2级驾驶自动化功能。相关标准包括信息辅助和控制辅助两个部分,主要规定各类别ADAS 对于车辆内外目标事件识别、系统状态转换条件与显示方式、动态驾驶任务执行与响应等核心能力的技术要求、相应试验方法。控制辅助标准是指ADAS在特定条件下,短暂或持续地辅助驾驶员执行车辆横向和/或纵向运动控制,包括组合驾驶辅助系统等标准。
截至目前,国内“智能网联汽车 组合驾驶辅助系统技术要求及试验方法 第1部分:单车道行驶控制”(20213607-T-339)和“智能网联汽车 组合驾驶辅助系统技术要求及试验方法 第2部分:多车道行驶控制”(20213610-T-339)组合驾驶辅助功能相关国家标准制定项目均处于报批阶段。
20213607-T-339参考了UN R79中ACSF有关B1类功能的相关要求,从自检能力、人机交互与信号提示方式、驾驶员脱手监测能力和运动控制能力等角度提出了相关要求和相应试验方法。为切合我国汽车行业的实际情况和发展需求,相较UN R79,20213607-T-339增加了对车辆纵向运动控制的相关要求,新增了目标车干扰试验和具备弯道减速通行能力的最大横向加速度试验等具体试验场景与方法。
20213610-T-339参考了UN R79中ACSF有关C类功能的相关要求,从系统激活条件、换道安全距离判定方式、人机交互、信号提示方式、驾驶员脱手监测能力和运动控制能力等角度提出了相关要求和相应试验方法。相较UN R79,20213610-T-339对于系统激活条件、系统的换道安全距离判定方式等内容进行了调整,同时新增了换道等待和换道安全响应策略等技术要求,新增了弯道换道、行人和自行车目标物识别等试验场景与方法。
组合辅助驾驶系统已经从仅在选定的单一车道内行驶的单车道行驶功能,进化到了能够按照导航路线规划辅助驾驶员向目的地方向行驶的领航辅助驾驶功能。其设计运行范围也逐步扩大,从高速公路或城市快速路等结构化道路扩展到城市道路,正向实现“点到点”全场景驾驶辅助的目标迈进。
目前,已制定的相关组合驾驶辅助系统系列标准仅涵盖了基础的单车道行驶、驾驶员“拨杆换道”功能,与已经量产商用的2级之间还存在很大的行业标准空白。行业迫切需要与功能相匹配的标准来规范产品。正在制定的DCAS联合国法规,同时还覆盖了如系统触发的换道控制、跨车道线碰撞风险控制等更为高级的2级。针对2级应对场景体系,该法规还涵盖了高速公路、城区等运动设计域(ODD)。
随着具备组合驾驶辅助系统的新车渗透率逐年提高,功能也不断增强,与组合驾驶辅助系统相关的车辆安全性越来越受到社会关注。本文对组合驾驶辅助系统的技术特性、存在的主要安全风险进行了分析,同时对国内外的标准法规的发展现状进行了研究。这些工作都将有助于未来制定科学合理的标准来降低组合驾驶辅助系统的安全风险。