基于EDR的自動駕駛汽車事故調查分析

馮家豪　梁健民　何浚銘　卓俊錐

摘 要：汽車事故數據記錄裝置對事故重建有著重要意義。我國雖然已經開始進行自動駕駛汽車的實驗，因此對自動駕駛汽車發生碰撞后的事故重建也需要一種可行的方法。在歐美國家，大部分事故重建都需要用到EDR（Event data recorder）進行事故重建。現今在歐美國家中各個司法實踐部門、汽車廠商和自動駕駛相關企業為了確定哪些證據有可能參與到事故調查中，正在大量征收關于EDR/AD的建議。EDR的應用是未來自動駕駛汽車事故重建的發展趨勢。本文章主要闡述了EDR在發生碰撞時的事故重建中的應用，以及EDR在未來自動駕駛汽車發生碰撞的展望。

關鍵詞：自動駕駛；EDR；交通事故碰撞數據；EDR/AD展望

1 引言

近年來，我國正大力發展自動駕駛汽車。自動駕駛汽車是一個新興的行業。但一旦自動駕駛汽車發生交通事故，就會涉及到人、車、路、環境等多方面因素，對交通事故進行重建已然成為事故重建的迫切需求。在自動駕駛汽車事故中，自動駕駛技術可能會作為責任主體承擔法律責任，因此自動駕駛汽車的事故重建不能以傳統的事故重建方法進行責任認定。因此能否獲取到準確、客觀的車輛事故重建數據就顯得尤為重要。EDR（event data recorder）是整合于車輛內部的，用以記錄碰撞前后一系列動態數據的裝置。在美國，大部分的車輛都會強制性地配備EDR。EDR記錄的數據的準確性和可靠性已經得到歐美各個國家警察對交通事故調查取證及交通事故法庭調查的認可，并用于司法實踐當中。我國雖然仍未出臺關于EDR的法律，但在2017年出臺的《機動車運行安全技術條件》中規定今后的車輛都必須強制性配備EDR，在自動駕駛汽車普及的時候，EDR必然會成為自動駕駛汽車的強制性標配。EDR的數據對自動駕駛汽車發生碰撞進行事故重建居然重大意義。在近年來，EDR峰會也在研討關于自動駕駛汽車發生碰撞后應如何重建事故。根據現有的EDR數據進行自動駕駛汽車的事故重建是一個值得探討的話題。

2 自動駕駛汽車以及EDR數據

按照SAE的分級，SAE International國際自動機工程師學會制定了J3016自動駕駛分級標準，將自動駕駛技術分為L0-L5共六個等級。L0代表沒有自動駕駛參與的人類駕駛，L1-L5則隨自動駕駛的技術配置和成熟程度進行了分級。L1-L5分別為輔助駕駛、部分自動駕駛、條件自動駕駛、高度自動駕駛、完全自動駕駛。

如今在市面上流通的大部分自動駕駛汽車處于SAE定義下的L2、L3水平。在L2水平的自動駕駛中，駕駛員的責任并不在于完成ADAS可以完成的駕駛任務，但要求全程監管路面情況。發生事故后，駕駛人始終對事故負全責。在L3及其以上的自動駕駛系統中，所有的駕駛操作和環境監控都是有自動駕駛系統完成的，駕駛人沒有必要全程監控著周邊環境和駕駛系統。但當自動駕駛系統遇到需要返還駕駛權的情況，駕駛員需要接管對車輛的控制。

一般交通事故重建最難的一點是重建發生事故前的車輛速度和行駛軌跡、以及駕駛員的操作行為（例如是否踩剎車）。但由于自動駕駛系統的特殊性，系統能否在事故早期識別出潛在的危險情況并采取相應的行動成為了重建自動駕駛汽車事故的關鍵。自動駕駛系統是否發出反饋的時間和反饋結果（駕駛員何時響應請求），對于自動駕駛汽車引發的交通事故定責起到決定性作用。所以碰撞前階段的數據就十分重要，不但能作為自動駕駛汽車事故重建的依據，還能作為交通事故避免策略的參考。

EDR是一種能夠記錄車輛發生碰撞前后車輛數據的設備。EDR在通電情況下會不斷地收集數據并覆蓋原有的數據。一般來說，EDR達到“觸發”條件時就會自動地凍結數據，如今EDR能記錄碰撞前5s和碰撞后3s的車輛狀況相關數據，包括車速、加速度、油門節氣閥、加速踏板等。但根據不同廠商的車型會有不同的記錄長度。不同的EDR有不同的“觸發”條件，一般對于加速度較大（如發生碰撞）的數據都會被記錄下來。除此之外，可以通過設置EDR“觸發”條件記錄無嚴重損害事件（如輕微車輛碰撞或加速度較小的事件）。

關于EDR的法律法規，美國、日本、歐盟等國都沿用49 CFR part 563，但在各個國家都有它微小的區別。而韓國則使用KMVSS 56-2。我國關于EDR的法律法規可能會于2020或2021年出臺。隨著EDR的發展，福特、豐田、通用等廠商開始將自動駕駛系統相關數據集成在內。

3 EDR在自動駕駛汽車事故重建中的應用

EDR數據具有客觀、準確、全面、精度高等優勢，在交通事故調查、分析和重建工作中，不斷得到重視和應用，并且這種趨勢仍在被交通安全專家的高度認可。

案例：在一個高速路的十字路口中，一輛開啟了自動駕駛系統的2015年款的tesla Model S 70D轎車與對向一輛正在左轉的2003年款 Freightliner Cascadia傳統中型貨車相撞。Tesla撞上卡車后從卡車的下面穿過，行駛一段時間后經過道路右側旁邊私人領域，一入一出撞壞護欄2次，最后撞上路邊物體并到達最后的停止位置。Tesla的車頂被完全掀開，整個車輛座椅暴露在外，車身受到嚴重損毀，如下圖所示。Tesla的駕駛人因頭部大面積撕裂損失，在現場被宣布當場死亡。

3.1 EDR數據。Tesla車輛中配備了安全氣囊模塊（ACM）。但由于此安全氣囊并不支持Bosch CDR數據檢索工具，SCI的調查人員不能在現場讀取數據。經過調查，發現此ACM所記錄的數據由電子控制元件和車輛總腦記錄在了SD存儲器中。因此它需要借助制造廠商的解碼讀取或直接將SD卡從ECU元件拆卸讀取。

在此SD存儲器中記錄了發生碰撞前后通過Tesla所記錄的車速、油門節氣閥百分比、剎車狀態、巡航控制以及方向盤轉彎角度，還包括自動駕駛系統的相關日志，見表1。

根據表1，可以看出在發生第一次碰撞前車速十分地穩定，始終保持著119±1km/h的速度穩定行駛。剎車也一直都保持著關閉狀態。方向盤的轉向角度始終都沒有超過1度。從這我們可以推斷出，在第一次碰撞前駕駛人開啟了自動駕駛系統。因為Tesla自動駕駛系統在控制車速時并不是通過控制踏板的位置而控制車速，而是直接通過ECU控制發動機的轉速來控制車速，所以在整個過程中油門踏板并沒有使用的跡象。

在第一次發生碰撞后，系統多次接到了發生碰撞的事件記錄，包括電機故障、操作失誤警告、駕駛員車門打開指示（有可能是因為B柱變形）和電源供應警告。根據Tesla提供的報告記錄，第一次碰撞過后2s內，車速由119km/h降為102.9km/h小時，這很有可能是因為Tesla穿過貨車下盤導致的。隨后的7s間隔內Tesla的車速由102.9km/h降為87.1km/h。隨后報告的數據顯示了幾個不同的碰撞，包括安全氣囊警告燈的開啟。在接下來的2s間隔內車速從78.09km/h降為64.3km/h。在這9s后速度極速下降直至停止，最后還有一次碰撞的記錄。

SCI調查人員對數據進行分析，這兩個明顯不同的碰撞之間存在著這9s的間隔。而在此期間車輛行駛的平均速度大約為96.5km/h。因此車輛大約行駛了241m的距離，最后撞上了路旁的公用電線桿并停止。這241m就等于Tesla在第一次碰撞穿過車底后到車輛最后的靜止位置的距離。這些數據恢復的現場路徑與SCI調查人員到進行現場勘察時發現的地面痕跡基本符合。

3.2 汽車防碰撞系統和ADAS系統的相關數據。這輛Tesla屬于L2等級的自動駕駛汽車，它仍需要駕駛員全程控制車輛，監控周邊環境。Tesla的防碰撞系統和自動駕駛系統無法在復雜的道路環境下運行。根據Tesla的數據記錄，特斯拉的ADAS技術在碰撞時正常運行。根據調查和計算分析，駕駛人具有7.7s的時間發現前方的中型貨車，但并沒有避免此次碰撞。

在這輛Tesla汽車中與安全有關的系統包括交通自感應巡航控制（TACC）、自動轉向（自動更改車道）、車道保持輔助系統、防撞系統輔助和車速控制輔助。與車輛行駛有關的系統包括：車道偏離警告系統、側方碰撞警告和自動緊急剎車系統。

根據車輛自動駕駛系統的記錄，Tesla在發生碰撞前確實開啟了自動駕駛模式。根據下面表格，在碰撞當天，自動駕駛系統總共循環了3次，自動駕駛系統被開啟了32次。自動駕駛總共行駛了3小時27分鐘41秒，行駛里程數為327.5km。在碰撞發生前汽車持續行駛了40.8分鐘，由自動駕駛控制時間為37分26秒。在這37分26秒內，握住方向盤的時間僅僅只有26秒。由此可見駕駛人并沒有全程控制著自動駕駛車輛的習慣。

在碰撞前，自動駕駛系統開啟3次，共行駛37分鐘26s，總里程數為63km。碰撞前自動駕駛系統開啟最近啟動的時間為碰撞前6分11秒，此時車輛距離碰撞點大約有10.8km。Tesla在碰撞以西的一個小鎮完成了右轉并進入了事故現場所在道路的起點。在發生碰撞前約5分鐘前，距離現場大約還有9.5km，駕駛員將巡航控制速度設為105km/h。接下來的三分鐘內，他將巡航控制速度修改了3次。在大約碰撞前112s，駕駛員最后記錄的最終速度增加到了119km/h。在整個過程中手控制方向盤的時間只有3秒。碰撞前，車道偏離警告系統沒有開啟，說明車輛在車道上正常行駛的。而前方預警系統和自動緊急剎車并沒有啟動，盲點檢測也沒有檢測到有任何障礙物。見表2、表3、表4。

根據這起事故重建的結果顯示，Tesla的自動駕駛系統在發生碰撞前沒有采取過任何防撞或避免措施，很有可能是因為中型貨車的底盤高度超出Tesla傳感器的感應范圍，沒有檢測到在行駛方向上有輛貨車，因此前方碰撞警告系統和自動緊急剎車系統沒有對即將發生的碰撞采取措施，根據自適應巡航系統的判斷，車輛就會繼續保持原有車速行駛。自動駕駛系統記錄的數據，駕駛人并沒有對可能發生的碰撞采取措施，但無法確定駕駛人為何沒有回應的原因。由于這輛Tesla被SAE定義為Lv2，駕駛員對車輛所有駕駛任務負全責。下圖為事故重建結果圖。

3.3 EDR與自動駕駛系統數據的探討。這些EDR的數據能夠為我們提供完整的碰撞時和預碰撞的數據，不但能夠為事故重建能夠提供客觀、準確的電子數據，對于交通事故的責任認定起到了不可替代的作用。但由上述案例得知，自動駕駛汽車事故重建不同于以往傳統的事故重建，由于涉及到自動駕駛系統作為責任主體，這就很有必要考慮如何重建自動駕駛系統的駕駛行為。這起案件中還存在著以下疑點。

（1）上述這起案件由于自適應巡航系統的參與，Tesla的車速記錄十分穩定，EDR記錄油門踏板的數據全部為0。這在傳統的事故現場重建是少有的狀態。無法確定駕駛人是否有過制動行為或者是因為自動駕駛汽車控制車輛而導致的剎車失靈。（2）根據SCI的調查結果，駕駛人有7.7s的時間發現前方那輛中型貨車在左轉，但根據車輛上的EDR數據顯示，在發生碰撞前，駕駛人并沒有采取任何行為，這在傳統的事故是很少見的行為。但并非代表著他沒有采取任何措施。有可能是因為自動駕駛系統控制權反饋失誤，導致駕駛人無法控制車輛而徑直地穿過中型貨車底盤，導致死亡。但因為沒有駕駛人行為記錄，所以仍然無法確認分散駕駛人注意力/無法集中注意力的原因是什么。（3）AEB系統能正常使用，但在碰撞時和碰撞后都沒有激活。這有可能是自動駕駛系統故障導致的，也有可能是中型貨車底盤超出了傳感器的感應范圍，導致系統作出了錯誤的判斷，但車輛沒有記錄AEB及其傳感器的相關數據。（4）前方碰撞預警系統通過哪種方式警告駕駛人不得而知，有可能是因為前方碰撞預警系統的警告強度不足以喚醒駕駛人的注意力，但這一控制權反饋和回應過程并沒有記錄。（5）事發路段的限速為105km/h，自動駕駛系統運行時車輛仍然以駕駛人指定速度行駛，在此過程中，GPS技術完全有能力感知并接受路面相關數據，但它卻無視了車速限制，以駕駛人規定的車速行駛。（6）無法確認是否有黑客入侵車載智能系統的情況，修改自動駕駛系統操作權限的情況。

如果要對自動駕駛汽車進行事故現場重建，還需要增加EDR關于自動駕駛系統的相關記錄。這輛Tesla車輛內部的自動駕駛系統所記錄的數據并不是記錄在EDR內部，而是自動駕駛系統將EDR內部的數據和駕駛日志記錄在了SD卡內。雖然不是每輛具有ADAS車輛都有這種情況，但這仍然要求調查人員要對自動駕駛系統記錄的數據具有一定的專業知識，并懂得從哪些電子元件能夠讀取與自動駕駛有關的相關日志，否則要回溯到自動駕駛系統與駕駛人互動的過程是比較困難的。

在碰撞發生后，自動駕駛車輛有可能會有相應的應對對策，比如說路邊減速停車，穩定車身或其他保護駕駛員和乘客的措施。這些行為如果在車輛內部沒有被記錄的話，不但對于重建現場帶來極大的困難，有可能導致現場無法還原。因此我認為EDR或自動駕駛系統有必要記錄采取緊急措施后的相關記錄或手段。

不同的汽車廠商和自動駕駛系統企業對于技術可能會有不同的規范標準，自動駕駛汽車一旦發生碰撞后，如果要提取碰撞數據可能還是需要通過與汽車廠商或自動駕駛系統相關企業進行協商，讓他們委派相關的專業人士進行數據讀取。

但如果是L3等級以上自動駕駛汽車的話，以現有EDR所提供的數據不足以判定是自動駕駛汽車系統失誤還是駕駛人人為因素所導致的。因此，一旦延伸到自動駕駛汽車發生的事故，就很有必要記錄自動駕駛系統的相關信息以及駕駛人的行為日志。

4 EDR/AD在自動駕駛汽車事故重建的展望

由于自動駕駛汽車的特殊性，在歐洲汽車供應商協會提出了關于EDR for automated driving項目標準的制定計劃。EDR/AD的制定是為了確定事故發生/影響安全相關事件的實際情況。生成的信息都會作為分析碰撞的證據。

與常規EDR相比，EDR/AD就需要考慮到：有害后果、自動駕駛模式下的駕駛行為、駕駛員是否注意到危險情況、非自動駕駛模式下的駕駛行為以及各個自動駕駛系統的弊端等情況。

EDR/AD解決方案包括三個部分：行車日志、碰撞事件記錄儀以及關鍵事件記錄儀。但無論這些EDR是集成的控制模塊還是單獨控制模塊，僅是方便數據提取而提出的一種建議而已。

4.1 EDR/AD駕駛日志。其中行車日志主要記錄了駕駛人與自動駕駛汽車的互動情況，其中包括警告說明和方式、自動駕駛系統狀態的數據、自動駕駛系統關閉駕駛人日志等數據。

EDR/AD的行駛日志就是為了確定駕駛人與自動駕駛系統的互動情況。在遇到緊急情況時，自動駕駛系統遇到無法判斷或決策的過程，就有可能會把車輛控制權交還駕駛員。因此，轉移過程的確認就是責任轉移過程確認的認定，即使沒有駕駛員主動干預，自動駕駛系統中的ECU在任何時候也需要記錄自動駕駛系統的狀況。事后就能夠通過此類數據解決自動駕駛系統和駕駛員在交通事故上的責任認定問題。

4.2 碰撞事件記錄器。在碰撞發生前后，自動駕駛汽車很有可能會進行規避行為，為了能夠更好地完善事故重建的案發現場，就很有必要在Veronica-Ⅱ里定義的碰撞早期和預碰撞期間記錄：GPS時間/位置、360度周邊環境、AD系統激活狀態、V2I/V2V等相關數據。在預碰撞時應該包含的數據有：傳感器數據、緊急剎車數據、GPS時間/位置（高樣本數據）360度環境數據、車輛駕駛動態數據、AD激活狀態、V2I/V2V通訊信息等數據。

4.3 關鍵事件記錄儀。EDR/AD記錄的數據不僅僅跟有害事件有關，在沒有發生交通事故或碰撞時，它記錄的關鍵數據也可以用于分析自動駕駛系統存在的故障。例如，如果車輛被車速檢測器檢測出超速，那攝像頭的閃光也有可能會觸發數據的記錄。AD系統能夠通過環境傳感器檢測出違法行為。所以關鍵事件記錄儀記錄的數據包括：

關鍵事件可能包括自動駕駛汽車在路面上各種違反信交通息和遇到緊急情況時的非常規處理，比如說亂闖紅燈、違反交警的交通指示、遇到突發事件采取緊急制動等行為。由于各國的道路法規都不一樣，一旦違法了，就需要追溯到當時違法行為的場景。

5 結語

在如今自動駕駛汽車沒有普及的情況下，難以構想出未來自動駕駛汽車所引發的道路交通事故應如何重建，也無法確認如今的道路事故重建技術能夠為之后的自動駕駛汽車碰撞事故帶來多大的用處。但至少要保證在交通事故發生后，為重建技術存儲相應的碰撞數據，才能確保之后涉及到ADAS汽車發生交通事故后重建的準確性。隨著自動駕駛系統新概念的提出和不斷更新換代，EDR/AD也會相對應地做出適應調整。但適應期很可能會持續相當長的一段時間，汽車自動化在減少了安全隱患的同時會引申出許許多多的法律問題。能否在司法實踐中提供相應的電子證據將成為EDR/AD的挑戰。

本項目受 “攀登計劃”廣東大學生科技創新培育計劃（pbjh2018b0364）資助。

參考文獻：

[1]Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles[S].SAE.J3016_201806.2018，6.

[2]Analysis of Event Data Recorder Data for Vehicle Safety Improvement[R]. NHTSA.2008.

[3]Veronica-II Final_Report[R].NHTSA.2008.

[4]Case CR16016- NASS-SCI database[DB].NHTSA.2016.5.

[5]Discussion Paper on Event Data Recorders for Automated Driving （EDR/AD）[R].CLEPA.2016，9，10.

[6]Forster， Kuhrt， Peters Event Data Recorder （EDR） for Automated Driving[R].EVU.2016.

[7]William Rosenbluth.Collecting EDR Data for Crash Investigations[R].ASTM International.2010.

[8]Mark Mynatt，John Brophy，Augustus Chip Chidester.EDR DATA COLLECTION IN NHTSAS CRASH DATABASES[R].NHTSA.

[9]馮浩，方建新，陳建國，潘少猷，張志勇，張澤楓.道路交通事故速度重建技術現狀[J].中國司法鑒定.2014.

[10]邱金龍，蘇森，劉文君，張永永，尹志勇.汽車EDR數據在交通事故重建中的應用[J].Hans.2017，3.