從聯合國法規《自動車道保持系統ALKS》看自動駕駛汽車交通安全保障及對我們的啟示 | 聚焦自動駕駛。

導語:自動駕駛汽車是『傳統汽車』和『駕駛人』的結合,其交通安全更多地由車輛中的『機器駕駛人』承擔和實現。

那麼,自動駕駛汽車的交通安全能力要如何實現?公安部道路交通安全研究中心研究人員系統梳理了聯合國法規《自動車道保持系統ALKS》中關於『機器駕駛人』交通安全能力的目標、要求、實現方式等,並在此基礎上,分析搭建自動駕駛汽車交通安全框架,希望對中國開展自動駕駛汽車交通安全有所啟示。

安全是自動駕駛汽車設計、研發、運行管理和應用中最重要的考量。

交通安全是自動駕駛汽車安全的重要方面。

由於自動駕駛汽車是『傳統汽車』和『駕駛人』的結合,其交通安全更多地由車輛中的『機器駕駛人』承擔和實現。

為了更好地規范和引導自動駕駛汽車的發展,聯合國世界車輛法規協調論壇《UN/WP.29》發佈了《自動駕駛汽車框架文件》和《自動車道保持系統ALKS》兩部技術法規,歐盟也發佈了《歐盟自動駕駛汽車認證豁免程序指南》,形成了初步的自動駕駛汽車型式認證體系。

2021年3月,作為《車輛等型式認定相互承認協定》《聯合國歐洲經濟委員會1958年汽車認證協定》成員國,日本國土交通省按照上述聯合國技術法規,對本田Legend EX進行了L3級自動駕駛認證。

2021年12月,根據《自動車道保持系統ALKS》《UN-R157》,德國聯邦汽車運輸管理局認為賓士的L3級自動駕駛系統符合規定,從法律和認證兩個層面允許L3自動駕駛車輛銷售和上路。

考慮到上述法規的陸續出臺,以及量產車型認證的逐步落地,有必要探究在自動駕駛汽車中,交通安全到底是如何保障的,進而為制定適應性的運行安全管理標準和規范提供借鑒。

由於 《自動車道保持系統ALKS》聚焦於有限的交通場景——『高速公路自動車道保持系統』,其關於自動駕駛汽車交通安全方面的規定更為細致和詳盡,因而擬作為重點梳理和分析的對象。

如前所述,在《自動車道保持系統ALKS》之前,聯合國世界車輛法規協調論壇《UN/WP.29》已發佈了《自動駕駛汽車框架文件》,歐盟也發佈了《歐盟自動駕駛汽車認證豁免程序指南》,後兩部技術法規在交通安全方面也提出了概要性規定,並與《自動車道保持系統ALKS》保持了總體上的一致。

《自動駕駛汽車框架文件》主要目的是為WP.29在L3以上自動駕駛汽車安全方面提供最主要的原則指引。

該文件首先設定了自動駕駛汽車的安全理念,即『自動駕駛汽車不得引發任何難以原諒的風險』,意即『自動駕駛汽車不得引發可合理預見和避免的傷亡交通事故』。

具體的,首先是在『系統安全』中,提出當車輛在自動駕駛模式時,不得有不合理的對駕乘人員和其他交通參與者的安全風險,並且需要遵守道路交通法規。

在『系統安全的驗證』中,要求以不得產生不合理的安全風險、遵守交通法規為目標,基於系統工程手段,創建穩健的設計和驗證流程。

設計和驗證方法應包含危害分析和安全風險評估,重點面向自動駕駛系統、事件探測和響應功能,以及相關的整車設計和更廣泛的道路交通生態系統。

設計和驗證方法應說明自動駕駛車輛在正常操作時的預期行為功能,以及碰撞避免和自動駕駛模式降級時的表現。

試驗的方法主要是包含仿真、場地測試、道路測試在內的復合方法[1]。

《歐盟自動駕駛汽車認證豁免程序指南》的目的一方面是通過成員國臨時認證的方式,總結對自動駕駛系統評估的實踐經驗; 另一方面是促進自動駕駛系統評估的流程化和規范化;再次則是為自動駕駛汽車的發展提供公平而透明的環境。

該文件明確了自動駕駛系統功能10大安全要求,與『機器駕駛人』交通安全相關的有:

● 自動駕駛模式在運行域中可預見的交通情況下,自動駕駛系統均可自行駕駛,代替駕駛人完成各類駕駛任務。

● 自動駕駛模式下,車輛不可導致可預見、可預防的交通事故。

● 自動駕駛模式下,車輛行為應謹慎且可預見,同時可與其他交通參與者進行適宜的交互《例如,聽從執法人員的命令,與其他交通參與者交互等》。

● 自動駕駛模式下,車輛行駛應遵守道路交通規則。

● 車輛應與前方車輛保持安全距離,特別是在擁堵區域,在橫向運動中,應為其他交通參與者留下足夠的時間和空間,應能遵守路權,對於可以躲避的事故,若躲避後不會造成新的事故,則應當躲避該事故。

另外, 在『最小風險操作要求』部分,提出了具體的要求:當自動駕駛系統探測到難以以自動駕駛模式繼續行駛時,車輛應當通過最小風險操作,返回到最低風險狀態。

最小風險操作時,應當按照交通規則,向其他交通參與者提醒最小風險操作,如開啟危險報警閃光燈、制動燈、轉向燈等。

最小風險操作應符合交通法規的要求。

最小風險操作可包含停止在本車道或變道後,在向周圍交通參與者提醒後安全停在路邊。

除此之外,在『安全評估和測試』部分,對上述要求的實現,從廠家設計、評估,技術機構評估、試驗等方面提出了確認和驗證要求 [2]。

《自動車道保持系統ALKS》涉及交通安全的總體要求

自動駕駛系統激活後,應該能代替人類駕駛人,其涉及交通安全的總體要求是: 承擔動態駕駛任務,應對所有出現的狀況,不得產生不合理的交通安全風險。

不合理的交通安全風險具體內涵如下:不得造成任何可合理預見和避免的事故。

在碰撞即將發生時,應當避免該事故,前提是不能造成其他事故。

當檢測到事故不可避免時,應停止車輛 [3]。

《自動車道保持系統ALKS》涉及交通安全的具體要求

本部分在討論自動駕駛汽車交通安全時, 聚焦在自動駕駛系統與道路交通環境的互動方面。

其與駕乘人員的互動、感知功能,以及遇到自身故障等情況時的最小風險狀態操作等內容不在本部分的討論范圍。

具體要求如下 [3]:

1

保持車道內行駛

車輛不得穿越車道線,應保持在車道內行駛,特別是保持穩定的橫向位置,以免給其他交通參與者帶來困惑。

車輛還應檢測相鄰車道內的車輛,在必要的情況下,應根據相鄰車道車輛通行情況,調整自身速度和橫向位置。

2

車速控制

車速應與道路設施和環境條件相適應。

跟車情況下,應根據表1列明的安全距離,調整自車速度。

表1:自動車道保持功能開啟時的最小跟車距離

3

應對前方靜止障礙物

車輛在低於最高允許行駛速度之下行駛,應能在靜止障礙物前面實現完全停車。

靜止障礙物包括靜止的交通參與者、禁行標線等。

4

應對前方和側方動態情況

系統應能檢測前方、側方碰撞風險,如前車緊急制動、有車輛切入、前方突然出現障礙物等,並采取合理的動作,最小化此類交通安全風險。

上述情況下,評價標準如下:若熟練謹慎的駕駛人可以避免事故,則自動駕駛汽車也應避免類似事故。

圖1:ALKS交通風險能力應對評判時所用的熟練謹慎駕駛人模型

《自動車道保持系統ALKS》還給出了應當避免碰撞事故發生的幾種具體情形:

● 若前方車輛突然緊急減速,則應當避免碰撞。

但遭遇側方車輛突然切入,兩車距離小於最小跟車距離要求的情況除外。

● 達到以下條件的切入場景下,也應避免碰撞:切入車輛速度低於自車,且在特定時間之前探測到切入行為,以及兩車間距滿足特定條件。

● 若橫穿馬路行人速度小於5km/h,且不被遮擋,則車輛在低於最高允許行駛速度之下行駛時,均應避免與其碰撞。

5

接近碰撞風險的應對

《自動車道保持系統ALKS》將『接近碰撞風險』定義為 『一種需要自動駕駛汽車達到5m/s²以上的制動減速度,才可能避免碰撞的情形』

在接近碰撞風險情況下,車輛應實施最大減速度,必要的時候,還可以采取其他避險措施,但車輛始終應保持在本車道行駛。

因采取緊急措施而停車的,車輛應自動開啟危險報警閃光燈;當車輛隨後自行啟動繼續行駛時,應能自動關閉危險報警閃光燈。

企業自動駕駛汽車安全設計能力

交通安全保障技術,是自動駕駛的核心技術之一。

為了包容新技術的快速發展,歐盟相關的安全認證、管理等工作均建立在企業自身技術特征和企業對產品安全的過程管理的基礎上。

具體到本文所述的交通安全層面,《自動車道保持系統ALKS》對企業的安全設計能力要求如下 [3]:

針對自動駕駛車輛對駕乘人員、其他交通參與者傷亡事故的避免、消減目標的實現,企業應提供相應的分析方案文檔。

認證機構選取以下內容開展檢查確認:

● 車輛設計運行范圍內,由於運行環境擾動,可能帶來的交通安全風險。

典型的運行環境擾動有:對行車環境的理解不足或有誤,對其他交通參與者的反應理解不足,控制不足,遭遇具有挑戰的場景等。

● 為實現交通參與者交互和遵守交通規則,在實施動態駕駛任務《如緊急操作》時的決策過程。

具體從以下三個層面對企業提交的分析方案進行評估:

● 整車層面檢查確認。

該方法應建立在系統安全的『危害/風險分析方法』基礎上。

● 系統層面檢查確認。

包括自上而下的『危害——設計』方法和自下而上的『設計——危害』方法。

檢查確認的方法需要基於失效模式和影響分析、故障樹分析、系統理論分析過程,或其他類似的適用於系統功能和運行安全的過程分析方法。

● 對『驗證/確認』計劃及其結果的檢查確認。

應包括適當的驗證試驗,如硬件在環、道路試驗、終端用戶試驗等。

認證機構在實施檢查確認時,需要選定具體危害開展現場工作,目的是確認企業提交的支撐『安全設計』的證據是可理解的、有邏輯的,並已在不同的功能中得到了實施。

另外,還應檢查確認企業的確認計劃,確保其能夠穩健地證明車輛的安全性《如選定的確認試驗工具,可合理地覆蓋所選場景》,並檢查企業完成了上述確認。

認證機構在出具檢查確認結果時,應從以下兩個方面說明自動駕駛汽車的交通安全水平:

● 從整車等整體指標看,自動駕駛汽車交通安全水平不低於人類駕駛人。

● 通過具體場景檢查確認說明,自動駕駛汽車交通安全水平不低於人類駕駛人。

除此之外,認證機構還應自行或要求企業開展針對性的試驗,用以驗證企業關於車輛安全功能的描述和安全設計的內容。

在驗證安全功能時,除通過場地測試驗證各項功能要求外,還需要通過在實際道路中驗證車輛的整體表現,包括遵守交通規則的情況。

該驗證結果應當與企業的描述一致,並符合相關標準規范的規定。

在驗證安全設計時,認證機構需要利用一系列能夠考驗自動駕駛汽車事件探測和響應功能、決策特性的場景《如交通擾動場景》開展驗證試驗。

該驗證結果應當與企業危害分析文檔中整體安全性能的總結結果一致,即對企業安全設計及其實施進行切實驗證,也確保車輛整體安全性能達到《自動車道保持系統ALKS》的要求。

對於難以在場地和實際道路測試的場景,可采用符合要求的仿真工具和數學模型進行試驗驗證。

在這種情況下,車企需要說明上述方法對於具體場景的有效性,以及仿真工具鏈與實際測試的一致性。

企業自動駕駛汽車安全性能一致性保障能力

企業需要從 軟硬件管理、設計研發管理、內部管理、事故動態監控、內部審計、供應商管理等方面,加強自動駕駛汽車安全性能一致性保障能力 [3]。

軟硬件管理方面,對自動駕駛系統使用的軟硬件,車企需要應用安全管理系統,包括對開發過程、方法和工具的有效管理,確保能夠管理系統安全,並在設計、研發、產品化、遵守交規、退出等系統全生命周期都能確保遵循安全要求。

設計研發管理中,需要包含安全管理系統、技術需求管理、技術需求實現、測試,以及故障溯源、修復和釋放等內容。

內部管理方面,要確保負責功能/運行安全、信息安全以及其他車輛安全密切相關的部門之間建立並保持有效的溝通機制。

事故動態監控方面,車企需要建立機制監測與ALKS相關的時間/碰撞/沖突,並管理潛在的安全隱患。

當發生嚴重的事故和安全隱患時,需要及時向認證機構報告。

內部審計方面,需要確保開展獨立的、周期性的內部審計,確保上述軟硬件管理、設計研發管理、內部管理、事故動態監控等機制得到有效實施。

供應商管理方面,車企需要與供應商建立合適的關系《如合同約定、質量管理系統》,確保供應商的安全管理系統也符合軟硬件管理、設計研發管理、內部管理、內部審計等方面的要求。

保障駕乘人員及周邊交通參與者交通安全,是自動駕駛汽車的基本要求。

WP.29發佈的《自動駕駛汽車框架文件》和歐盟發佈的《歐盟自動駕駛汽車認證豁免程序指南》,建立起了自動駕駛汽車交通安全的基本要求。

WP.29《自動車道保持系統ALKS》是首部關於自動駕駛汽車的認證法規,面向特定場景,建立了自動駕駛汽車交通安全框架體系,給出了安全目標、具體的內容和實現方法要求,也給出了認證管理的具體要求,是開展相關工作的重要參考。

中國自動駕駛汽車交通安全的研究還處於起步階段,為促進和規范自動駕駛技術健康發展, 需要抓緊研究自動駕駛汽車交通安全目標、任務、實現方法和安全管理的措施,搭建相關內容框架和管理框架,通過這樣的政策『頂層設計』,協同企業和研究機構的技術研發和實驗驗證推進,雙輪驅動,推動自動駕駛汽車快速融入現有道路交通系統。

參考文獻

[1] World Forum for Harmonization of Vehicle Regulations,Revised Framework document on automated/autonomous vehicles《ECE/TRANS/WP.29/2019/34/Rev.1》

[2] 周文輝,歐盟自動駕駛汽車準入認證管理辦法及啟示,汽車與安全,2022年1月

[3] World Forum for Harmonization of Vehicle Regulations,Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to Automated Lane Keeping System (ECE/TRANS/WP.29/2020/81)

《文 / 公安部道路交通安全研究中心 周文輝,原載於《汽車與安全》雜志機動車登記查驗專欄,2022年第6期》

編校丨張騫、苗清青

1.歐盟自動駕駛汽車認證管理辦法及啟示 | 聚焦自動駕駛

2. 為什麼說自動駕駛安全、合規地融入現有道路系統還面臨很大挑戰?

聲明:如需轉載或開白名單,請留言聯系獲取授權!轉載須在文首標註來源交通言究社!未經授權不得轉載!