开篇语
随着计算机、软件、人工智能、通信、传感器等技术的进步,自动驾驶汽车距离我们越来越近,与其相关的话题一直备受关注。言究社聚焦自动驾驶,开设专题栏目。准入认证是自动驾驶汽车安全管理的重要内容,也是车辆进入市场的必要前提。公安部道研中心研究人员系统梳理了欧盟自动驾驶汽车准入认证管理的相关内容,包括认证工作的目的、范围,主要安全认证内容,以及认证的工作程序,希望能为大陆构建自动驾驶准入认证管理提供借鉴。
欧盟自动驾驶汽车认证指南目的和适用范围
欧盟于2018年5月17日发布了“欧盟智能与网联车辆战略”[1]。为实施该战略,欧盟委员会当年宣布有意联合各成员国发布指南,致力于在自动驾驶汽车认证方面在欧盟范围内达到协调一致。为此,欧盟委员会于2019年4月5日发布了《欧盟自动驾驶汽车认证豁免程序指南》[2]。
欧盟规范机动车认证的规定主要指令是“机动车辆认证办法(2007/46/EC)”,从2020年9月1日起,新的欧盟指令“机动车辆认证和市场监管办法(Regulation No. 858/2018)”正式实施。根据上述规定,车辆若使用诸如自动驾驶等超出现有技术法规规定的新技术,则认证时需要执行特别的豁免程序。鉴于自动驾驶技术的规范管理要求,短期内很难在欧盟层面达成一致,因此,拟先是在成员国层面进行临时认证,之后通过欧盟委员会的决定,促进在成员国之间的互认。通过这两步,经过认证的自动驾驶汽车就可以像其他认证车辆一样,向欧盟各市场投放了。
出台自动驾驶汽车认证指南的目的,一方面是通过成员国临时认证的方式,总结对自动驾驶系统评估的实践经验;另一方面是促进自动驾驶系统评估的流程化和规范化;再次则是为自动驾驶汽车的发展提供公平而透明的环境。
在考虑认证指导原则的优先级时,为适应应用需求,主要聚焦于有限条件下的自动驾驶汽车,即美国汽车工程师协会规定的第三级(L3)和第四级(L4)车辆,上述车辆目前上道路测试较多,并有望在未来几年商业化。
欧盟车辆认证豁免程序只对量产车适用。对特别小批量车辆或原型车开发,适用于其他认证程序,如成员国个别认证、成员国小批量认证等。
欧盟自动驾驶汽车安全要求
1
自动驾驶系统功能要求
欧盟明确了自动驾驶系统功能10大安全要求。分别为:
●自动驾驶模式在运行域中可预见的交通情况下,自动驾驶系统均可自行驾驶,代替驾驶人完成各类驾驶任务。
● 自动驾驶模式下,车辆不可导致可预见、可预防的交通事故。
● 自动驾驶模式下,车辆行为应谨慎且可预见,同时可与其他交通参与者进行适宜的交互(例如,听从执法人员的命令,与其他交通参与者交互等)。
● 自动驾驶模式下,车辆行驶应遵守道路交通规则。
● 车企应向认证机构申明自动驾驶汽车运行域,即在设计上车辆适宜运行的时间和空间条件。运行域应至少包含:道路条件(机动车道/高速公路,普通公路,车道数,车道线要求,自动驾驶汽车专用道路等),地理区域(城区/山区,地理围栏设置等),环境条件(天气、夜间行驶限制等),通行速度范围,以及其他与自动驾驶运行安全密切相关的条件。
● 自动驾驶系统应能辨识当前是否处于运行域,并且只能在运行域运行。
●在运行域内,系统应能处理各类情况(环境感知、作出正确行车决策、正确执行动态驾驶任务、与其他交通参与者有效交互),而不需要驾驶人的持续监管。在运行域内,车辆不应导致交通事故。对于车内外的车辆使用者,以及其他交通参与者的错误,车辆从设计上即应将这种错误导致的不良影响降到最低。
●车辆应与前方车辆保持安全距离,特别是在拥堵区域,在横向运动中,应为其他交通参与者留下足够的时间和空间,应能遵守路权,对于可以躲避的事故,若躲避后不会造成新的事故,则应当躲避该事故。
●运行域设计时,要考虑驾驶人的安全接管,即只在低风险情况下接管,且接管时应遵守道路交通规则。
●自动驾驶模式下,系统应能对难以继续驾驶的情况自动检测,例如能够检测运行域边界,或系统的实效。
2
人机交互要求
欧盟明确了自动驾驶系统人机交互5大安全要求。分别为:
●只有在运行域条件满足时,自动驾驶模式才能启动,驾驶接管或退出自动驾驶模式由驾驶人、操作人或操控中心监管人员执行,必须易操作。当人类发出的自动驾驶模式退出指令可能包含安全风险时,自动驾驶系统应当延迟自动驾驶模式的退出。
● 车辆必须持续以清晰的方式向接管人员显示运行、失效等系统的运行状态。
● 驾驶人应明晰自动驾驶模式的功能和局限,并且需要了解自动驾驶系统可赋予驾驶人的任务功能。
● 若系统设计时,考虑了某种情况下的接管,则系统应监测驾驶人状态是否具备接管要求。系统应通过驾驶人监测、预警系统,确保驾驶人处于可接管状态,并且在设计上应能阻止和预见运行域范围内的驾驶人误操作。
● 对于无人摆渡车等无驾驶人自动驾驶汽车,则应提供向操控中心传送紧急通知的信息传送系统。另外,车内还应配备摄像机和声音传输装置,确保操控中心可监控车内情况。
3
驾驶任务交接要求
当超出运行域,或出现故障等情况,车辆难以继续在自动驾驶模式下行驶时,自动驾驶系统可请求驾驶人进行接管,但应保留有足够的接管时间。若驾驶人未接管时,自动驾驶系统应当继续在自动驾驶模式下行驶,或者执行最小风险操作。车辆设计时,应当确保驾驶人可以清楚地识别接管请求。系统还应准确识别驾驶人是否执行了接管。
4
最小风险操作要求
当自动驾驶系统探测到难以以自动驾驶模式继续行驶时,车辆应当通过最小风险操作,返回到最低风险状态。最小风险操作时,应当按照交通规则,向其他交通参与者提醒最小风险操作,如开启危险报警闪光灯、制动灯、转向灯等。最小风险操作应符合交通法规的要求。最小风险操作可包含停止在本车道或变道后,在向周围交通参与者提醒后安全停在路边。在最小风险操作的最后阶段,可要求驾驶人进行接管,如对于具有车道保持功能的L3自动驾驶汽车,可要求人类驾驶人执行最后的安全停在路边的操作。
5
数据存储系统要求
自动驾驶汽车应装备车载设备,记录自动驾驶系统运行状态和人类驾驶状态,以便区分事故发生时的驾驶任务承担者。记录的数据应能支持分配事故责任,并且支持评估人类驾驶或自动驾驶在事故中的应对情况。至少应包含自动驾驶系统运行状态、人类驾驶状态、周围环境信息、自动驾驶控制信息。记录的数据应能在经历撞击、着火等之后,仍然保持数据的完整可读,并且应注意数据安全保护,防止数据篡改,确保其符合欧盟数据保护法规,但应允许成员国相关监管机构读取和解析。随着实践经验的积累,应当制定更加详细的数据要求(如记录时间、保持时长、数据使用目的、数据读取接口标准化、隐私信息保护等)。
6
信息安全要求
自动驾驶汽车应从设计上应用最先进的技术,防止车辆被黑客攻击,确保车辆符合欧盟数据保护法规。主要通过车企的风险评估、安全设计方法以及过程管理来防止、减缓和应对信息攻击。针对软件升级等,车企应当采取安全措施,保障在用车全生命周期信息安全。
7
安全评估和测试要求
安全评估和测试要求具体如下:
● 自动驾驶车辆、自动驾驶系统、自动驾驶系统部件和技术单元均需要满足“机动车辆认证办法(2007/46/EC)”附录4列明的安全技术法规要求。
●认证主管机构对车企的认证评估应着眼于:自动驾驶系统具有稳健的设计和稳健的验证程序,确保车辆符合本指南,特别是车辆不会造成事故,能够提出安全接管请求、执行最小风险操作。根据车企提供的关于测试、验证、评估等方面的安全评估报告,认证主管机构应当得出(与传统车辆)等效的安全结论。
●车企应当特别说明针对自动驾驶系统,已经开展了危害与风险分析,并将这种分析融入了车辆总体设计,甚至考虑了更广泛的道路交通生态系统,并且进行了足够的设计和冗余,确保车辆能够应对这些风险。
●应当在系统设计中应对对功能安全具有较大影响的风险,这些风险可能是由信息攻击、实效(功能安全)或潜在的控制不足、不可预见的控制行为、人员误用、与其他交通参与者交互不足(运行安全)造成的。关于这方面的方法可以参考功能安全标准(ISO 26262)和系统理论分析过程(STRA)中有关运行安全的部分,或参考其他等效方法,如预期功能安全标准草案(ISO 21448)。
● 所有的设计决策均应由车企在独立的子系统层面和整车的大框架下测试、验证和确认。
●认证主管机构应当:确认车企的危害与风险分析已经覆盖了所有与系统相关的失效和驾驶风险,并且能够评估风险的临界值。评估风险应对的逻辑图(冗余、操作)覆盖了能够预见的系统失效和驾驶风险。确保根据相关性试验,并考虑不同的用户,人机交互得到了适当的评估。开展最小数量的试验(同时考虑严重失效和驾驶风险场景,以及正常驾驶场景),确认从功能和运行两个层面看,车辆均能安全运行。上述最小数量试验应当同时包含假阴性(false negative)和假阳性(false positive)测试场景。确保评估系统运行安全性能的方法是透明的。可以使用仿真测试验证的方法,但应遵从欧盟指令“机动车辆认证办法(2007/46/EC)”和“机动车辆认证和市场监管办法(Regulation No. 858/2018)”中有关虚拟测试的规程要求。
● 认证主管机构在实施车辆安全评估时,可以接入被测自动驾驶系统。
● 认证主管机构应当具有必要的能力、资质,接受相应的培训,以便实施上述车辆安全评估和测试工作。
8
向用户提供的信息要求
车企应以便于理解的方式,采取各类措施向用户提供自动驾驶相关的知识。主要包括:
● 自动驾驶系统运行条件、运行域、功能局限;
● 关闭自动驾驶模式的方法;
● 人类驾驶人的任务(如对于L3级别自动驾驶,驾驶人需要承担的接管任务);
● 对于L3级别自动驾驶,需要人类驾驶人采取的其他驾驶外的行动;
● 人机交互提供的指示信息(如是否在自动驾驶状态);
● 出现紧急情况时,用户应采取的措施;
● 当自动驾驶系统出现问题时,车辆的行为表现;
● 车辆保养、检验,以及系统在线升级相关知识。
欧盟自动驾驶汽车认证程序
根据欧盟指令“机动车辆认证办法(2007/46/EC)”第20章和“机动车辆认证和市场监管办法(Regulation No. 858/2018)”第39章,自动驾驶汽车认证豁免程序如下:
●汽车企业向成员国认证主管机构递交认证申请。需要递交的材料见表1。
表1 汽车企业向认证主管机构提交的资料信息
● 若条件许可,成员国可根据认证豁免程序办法临时认证许可,该认证只在成员国境内有效,并向欧盟委员会和各成员国通报以下信息:说明豁免的理由,说明车辆各系统、部件、独立的技术单元对现有技术法规的符合情况,以及不符合的情况。具备自动驾驶功能车辆内部各系统的交互情况也应考虑。车辆安全和使用环境的说明,以及采取的相应措施。认证主管机构应以认证豁免指南为基础,对自动驾驶车辆进行评估。另外,欧盟委员会和成员国也可修改欧盟和联合国欧洲经济委员会的相关技术法规要求,将其作为认证的备选基础规定。针对豁免项目所做的测试及其结果的说明,应确保针对安全和环保的测试及其结果不低于现有同类标准要求。
●欧盟委员会应组织机动车技术委员会进行投票,表决是否将成员国的临时认证转变为欧盟认证。欧盟委员会的认证决定,也应以认证豁免指南为基础,清楚认定自动驾驶功能情况。欧盟委员会认证决定应公开。欧盟委员会应根据对风险的评估,以及未来可能的认证适用条件,限定认证的期限(最小为36个月)和数量。
● 在等待欧盟委员会认证决定之前,成员国可接受其他成员国的临时认证,许可其在本国境内获取临时认证。
● 对于按照认证豁免程序认证的车辆,欧盟委员会可根据认证主管机构提供的简化材料,对认证范围进行扩大。上述简化材料应清楚描述拟扩大认证车辆与已认证车辆的不同。
工业和信息化部于2021年7月30日印发了《关于加强智能网联汽车生产企业及产品准入管理的意见》(工信部通装〔2021〕103号),要求加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理,保证产品质量和生产一致性,推动智能网联汽车产业高质量发展。《意见》从加强数据和网络安全管理、规范软件在线升级、加强产品管理、保障措施等方面提出11项具体意见,为自动驾驶汽车的产品准入提供了良好的指引。但需要看出,在自动驾驶汽车的功能安全要求、对道路交通通行规则、对交通危险场景的应对等方面,大陆的相关规定还不细致,甚至缺失,对自动驾驶汽车安全相关的评测,目前也是空白,需要进一步研究完善。
参考文献
[1] COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE, THE COMMITTEE OF THE REGIONS. On the road to automated mobility: An EU strategy for mobility of the future(COM/2018/283).https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52018DC0283
[2] GROW.DDG1.C.4. GUIDELINES ON THE EXEMPTION PROCEDURE FOR THE EU APPROVAL OF AUTOMATED VEHICLES. https://ec.europa.eu/docsroom/documents/34802
(文 / 公安部道路交通安全研究中心 周文辉,原载于《汽车与安全》杂志机动车登记查验专栏,2022年第1期)
编校丨李芸玥 赵晓轩