開篇語
随着計算機、軟體、人工智能、通信、傳感器等技術的進步,自動駕駛汽車距離我們越來越近,與其相關的話題一直備受關注。言究社聚焦自動駕駛,開設專題欄目。準入認證是自動駕駛汽車安全管理的重要内容,也是車輛進入市場的必要前提。公安部道研中心研究人員系統梳理了歐盟自動駕駛汽車準入認證管理的相關内容,包括認證工作的目的、範圍,主要安全認證内容,以及認證的工作程式,希望能為大陸建構自動駕駛準入認證管理提供借鑒。
歐盟自動駕駛汽車認證指南目的和适用範圍
歐盟于2018年5月17日釋出了“歐盟智能與網聯車輛戰略”[1]。為實施該戰略,歐盟委員會當年宣布有意聯合各成員國釋出指南,緻力于在自動駕駛汽車認證方面在歐盟範圍内達到協調一緻。為此,歐盟委員會于2019年4月5日釋出了《歐盟自動駕駛汽車認證豁免程式指南》[2]。
歐盟規範機動車認證的規定主要指令是“機動車輛認證辦法(2007/46/EC)”,從2020年9月1日起,新的歐盟指令“機動車輛認證和市場監管辦法(Regulation No. 858/2018)”正式實施。根據上述規定,車輛若使用諸如自動駕駛等超出現有技術法規規定的新技術,則認證時需要執行特别的豁免程式。鑒于自動駕駛技術的規範管理要求,短期内很難在歐盟層面達成一緻,是以,拟先是在成員國層面進行臨時認證,之後通過歐盟委員會的決定,促進在成員國之間的互認。通過這兩步,經過認證的自動駕駛汽車就可以像其他認證車輛一樣,向歐盟各市場投放了。
出台自動駕駛汽車認證指南的目的,一方面是通過成員國臨時認證的方式,總結對自動駕駛系統評估的實踐經驗;另一方面是促進自動駕駛系統評估的流程化和規範化;再次則是為自動駕駛汽車的發展提供公平而透明的環境。
在考慮認證指導原則的優先級時,為适應應用需求,主要聚焦于有限條件下的自動駕駛汽車,即美國汽車工程師協會規定的第三級(L3)和第四級(L4)車輛,上述車輛目前上道路測試較多,并有望在未來幾年商業化。
歐盟車輛認證豁免程式隻對量産車适用。對特别小批量車輛或原型車開發,适用于其他認證程式,如成員國個别認證、成員國小批量認證等。
歐盟自動駕駛汽車安全要求
1
自動駕駛系統功能要求
歐盟明确了自動駕駛系統功能10大安全要求。分别為:
●自動駕駛模式在運作域中可預見的交通情況下,自動駕駛系統均可自行駕駛,代替駕駛人完成各類駕駛任務。
● 自動駕駛模式下,車輛不可導緻可預見、可預防的交通事故。
● 自動駕駛模式下,車輛行為應謹慎且可預見,同時可與其他交通參與者進行适宜的互動(例如,聽從執法人員的指令,與其他交通參與者互動等)。
● 自動駕駛模式下,車輛行駛應遵守道路交通規則。
● 車企應向認證機構申明自動駕駛汽車運作域,即在設計上車輛适宜運作的時間和空間條件。運作域應至少包含:道路條件(機動車道/高速公路,普通公路,車道數,車道線要求,自動駕駛汽車專用道路等),地理區域(城區/山區,地理圍欄設定等),環境條件(天氣、夜間行駛限制等),通行速度範圍,以及其他與自動駕駛運作安全密切相關的條件。
● 自動駕駛系統應能辨識目前是否處于運作域,并且隻能在運作域運作。
●在運作域内,系統應能處理各類情況(環境感覺、作出正确行車決策、正确執行動态駕駛任務、與其他交通參與者有效互動),而不需要駕駛人的持續監管。在運作域内,車輛不應導緻交通事故。對于車内外的車輛使用者,以及其他交通參與者的錯誤,車輛從設計上即應将這種錯誤導緻的不良影響降到最低。
●車輛應與前方車輛保持安全距離,特别是在擁堵區域,在橫向運動中,應為其他交通參與者留下足夠的時間和空間,應能遵守路權,對于可以躲避的事故,若躲避後不會造成新的事故,則應當躲避該事故。
●運作域設計時,要考慮駕駛人的安全接管,即隻在低風險情況下接管,且接管時應遵守道路交通規則。
●自動駕駛模式下,系統應能對難以繼續駕駛的情況自動檢測,例如能夠檢測運作域邊界,或系統的實效。
2
人機互動要求
歐盟明确了自動駕駛系統人機互動5大安全要求。分别為:
●隻有在運作域條件滿足時,自動駕駛模式才能啟動,駕駛接管或退出自動駕駛模式由駕駛人、操作人或操控中心監管人員執行,必須易操作。當人類發出的自動駕駛模式退出指令可能包含安全風險時,自動駕駛系統應當延遲自動駕駛模式的退出。
● 車輛必須持續以清晰的方式向接管人員顯示運作、失效等系統的運作狀态。
● 駕駛人應明晰自動駕駛模式的功能和局限,并且需要了解自動駕駛系統可賦予駕駛人的任務功能。
● 若系統設計時,考慮了某種情況下的接管,則系統應監測駕駛人狀态是否具備接管要求。系統應通過駕駛人監測、預警系統,確定駕駛人處于可接管狀态,并且在設計上應能阻止和預見運作域範圍内的駕駛人誤操作。
● 對于無人擺渡車等無駕駛人自動駕駛汽車,則應提供向操控中心傳送緊急通知的資訊傳送系統。另外,車内還應配備錄影機和聲音傳輸裝置,確定操控中心可監控車内情況。
3
駕駛任務交接要求
當超出運作域,或出現故障等情況,車輛難以繼續在自動駕駛模式下行駛時,自動駕駛系統可請求駕駛人進行接管,但應保留有足夠的接管時間。若駕駛人未接管時,自動駕駛系統應當繼續在自動駕駛模式下行駛,或者執行最小風險操作。車輛設計時,應當確定駕駛人可以清楚地識别接管請求。系統還應準确識别駕駛人是否執行了接管。
4
最小風險操作要求
當自動駕駛系統探測到難以以自動駕駛模式繼續行駛時,車輛應當通過最小風險操作,傳回到最低風險狀态。最小風險操作時,應當按照交通規則,向其他交通參與者提醒最小風險操作,如開啟危險報警閃光燈、制動燈、轉向燈等。最小風險操作應符合交通法規的要求。最小風險操作可包含停止在本車道或變道後,在向周圍交通參與者提醒後安全停在路邊。在最小風險操作的最後階段,可要求駕駛人進行接管,如對于具有車道保持功能的L3自動駕駛汽車,可要求人類駕駛人執行最後的安全停在路邊的操作。
5
資料存儲系統要求
自動駕駛汽車應裝備車載裝置,記錄自動駕駛系統運作狀态和人類駕駛狀态,以便區分事故發生時的駕駛任務承擔者。記錄的資料應能支援配置設定事故責任,并且支援評估人類駕駛或自動駕駛在事故中的應對情況。至少應包含自動駕駛系統運作狀态、人類駕駛狀态、周圍環境資訊、自動駕駛控制資訊。記錄的資料應能在經曆撞擊、着火等之後,仍然保持資料的完整可讀,并且應注意資料安全保護,防止資料篡改,確定其符合歐盟資料保護法規,但應允許成員國相關監管機構讀取和解析。随着實踐經驗的積累,應當制定更加詳細的資料要求(如記錄時間、保持時長、資料使用目的、資料讀取接口标準化、隐私資訊保護等)。
6
資訊安全要求
自動駕駛汽車應從設計上應用最先進的技術,防止車輛被黑客攻擊,確定車輛符合歐盟資料保護法規。主要通過車企的風險評估、安全設計方法以及過程管理來防止、減緩和應對資訊攻擊。針對軟體更新等,車企應當采取安全措施,保障在用車全生命周期資訊安全。
7
安全評估和測試要求
安全評估和測試要求具體如下:
● 自動駕駛車輛、自動駕駛系統、自動駕駛系統部件和技術單元均需要滿足“機動車輛認證辦法(2007/46/EC)”附錄4列明的安全技術法規要求。
●認證主管機構對車企的認證評估應着眼于:自動駕駛系統具有穩健的設計和穩健的驗證程式,確定車輛符合本指南,特别是車輛不會造成事故,能夠提出安全接管請求、執行最小風險操作。根據車企提供的關于測試、驗證、評估等方面的安全評估報告,認證主管機構應當得出(與傳統車輛)等效的安全結論。
●車企應當特别說明針對自動駕駛系統,已經開展了危害與風險分析,并将這種分析融入了車輛總體設計,甚至考慮了更廣泛的道路交通生态系統,并且進行了足夠的設計和備援,確定車輛能夠應對這些風險。
●應當在系統設計中應對對功能安全具有較大影響的風險,這些風險可能是由資訊攻擊、實效(功能安全)或潛在的控制不足、不可預見的控制行為、人員誤用、與其他交通參與者互動不足(運作安全)造成的。關于這方面的方法可以參考功能安全标準(ISO 26262)和系統理論分析過程(STRA)中有關運作安全的部分,或參考其他等效方法,如預期功能安全标準草案(ISO 21448)。
● 所有的設計決策均應由車企在獨立的子系統層面和整車的大架構下測試、驗證和确認。
●認證主管機構應當:确認車企的危害與風險分析已經覆寫了所有與系統相關的失效和駕駛風險,并且能夠評估風險的臨界值。評估風險應對的邏輯圖(備援、操作)覆寫了能夠預見的系統失效和駕駛風險。確定根據相關性試驗,并考慮不同的使用者,人機互動得到了适當的評估。開展最小數量的試驗(同時考慮嚴重失效和駕駛風險場景,以及正常駕駛場景),确認從功能和運作兩個層面看,車輛均能安全運作。上述最小數量試驗應當同時包含假陰性(false negative)和假陽性(false positive)測試場景。確定評估系統運作安全性能的方法是透明的。可以使用仿真測試驗證的方法,但應遵從歐盟指令“機動車輛認證辦法(2007/46/EC)”和“機動車輛認證和市場監管辦法(Regulation No. 858/2018)”中有關虛拟測試的規程要求。
● 認證主管機構在實施車輛安全評估時,可以接入被測自動駕駛系統。
● 認證主管機構應當具有必要的能力、資質,接受相應的教育訓練,以便實施上述車輛安全評估和測試工作。
8
向使用者提供的資訊要求
車企應以便于了解的方式,采取各類措施向使用者提供自動駕駛相關的知識。主要包括:
● 自動駕駛系統運作條件、運作域、功能局限;
● 關閉自動駕駛模式的方法;
● 人類駕駛人的任務(如對于L3級别自動駕駛,駕駛人需要承擔的接管任務);
● 對于L3級别自動駕駛,需要人類駕駛人采取的其他駕駛外的行動;
● 人機互動提供的訓示資訊(如是否在自動駕駛狀态);
● 出現緊急情況時,使用者應采取的措施;
● 當自動駕駛系統出現問題時,車輛的行為表現;
● 車輛保養、檢驗,以及系統線上更新相關知識。
歐盟自動駕駛汽車認證程式
根據歐盟指令“機動車輛認證辦法(2007/46/EC)”第20章和“機動車輛認證和市場監管辦法(Regulation No. 858/2018)”第39章,自動駕駛汽車認證豁免程式如下:
●汽車企業向成員國認證主管機構遞交認證申請。需要遞交的材料見表1。
表1 汽車企業向認證主管機構送出的資料資訊
● 若條件許可,成員國可根據認證豁免程式辦法臨時認證許可,該認證隻在成員國境内有效,并向歐盟委員會和各成員國通報以下資訊:說明豁免的理由,說明車輛各系統、部件、獨立的技術單元對現有技術法規的符合情況,以及不符合的情況。具備自動駕駛功能車輛内部各系統的互動情況也應考慮。車輛安全和使用環境的說明,以及采取的相應措施。認證主管機構應以認證豁免指南為基礎,對自動駕駛車輛進行評估。另外,歐盟委員會和成員國也可修改歐盟和聯合國歐洲經濟委員會的相關技術法規要求,将其作為認證的備選基礎規定。針對豁免項目所做的測試及其結果的說明,應確定針對安全和環保的測試及其結果不低于現有同類标準要求。
●歐盟委員會應組織機動車技術委員會進行投票,表決是否将成員國的臨時認證轉變為歐盟認證。歐盟委員會的認證決定,也應以認證豁免指南為基礎,清楚認定自動駕駛功能情況。歐盟委員會認證決定應公開。歐盟委員會應根據對風險的評估,以及未來可能的認證适用條件,限定認證的期限(最小為36個月)和數量。
● 在等待歐盟委員會認證決定之前,成員國可接受其他成員國的臨時認證,許可其在本國境内擷取臨時認證。
● 對于按照認證豁免程式認證的車輛,歐盟委員會可根據認證主管機構提供的簡化材料,對認證範圍進行擴大。上述簡化材料應清楚描述拟擴大認證車輛與已認證車輛的不同。
工業和資訊化部于2021年7月30日印發了《關于加強智能網聯汽車生産企業及産品準入管理的意見》(工信部通裝〔2021〕103号),要求加強汽車資料安全、網絡安全、軟體更新、功能安全和預期功能安全管理,保證産品品質和生産一緻性,推動智能網聯汽車産業高品質發展。《意見》從加強資料和網絡安全管理、規範軟體線上更新、加強産品管理、保障措施等方面提出11項具體意見,為自動駕駛汽車的産品準入提供了良好的指引。但需要看出,在自動駕駛汽車的功能安全要求、對道路交通通行規則、對交通危險場景的應對等方面,大陸的相關規定還不細緻,甚至缺失,對自動駕駛汽車安全相關的評測,目前也是空白,需要進一步研究完善。
參考文獻
[1] COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE, THE COMMITTEE OF THE REGIONS. On the road to automated mobility: An EU strategy for mobility of the future(COM/2018/283).https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52018DC0283
[2] GROW.DDG1.C.4. GUIDELINES ON THE EXEMPTION PROCEDURE FOR THE EU APPROVAL OF AUTOMATED VEHICLES. https://ec.europa.eu/docsroom/documents/34802
(文 / 公安部道路交通安全研究中心 周文輝,原載于《汽車與安全》雜志機動車登記查驗專欄,2022年第1期)
編校丨李芸玥 趙曉軒