從聯(lián)合國法規(guī)《自動車道保持系統(tǒng)ALKS》看自動駕駛汽車交通安全保障及對我們的啟示

周文輝

（公安部道路交通安全研究中心，北京100062，中國）

安全是自動駕駛汽車設計、研發(fā)、運行管理和應用中最重要的考量。交通安全是自動駕駛汽車安全的重要方面。由于自動駕駛汽車是“傳統(tǒng)汽車”和“駕駛人”的結合，其交通安全更多地由車輛中的“機器駕駛人”承擔和實現(xiàn)。為了更好地規(guī)范和引導自動駕駛汽車的發(fā)展，聯(lián)合國世界車輛法規(guī)協(xié)調論壇（UN/WP.29）發(fā)布了《自動駕駛汽車框架文件》和《自動車道保持系統(tǒng)ALKS》兩部技術法規(guī)，歐盟也發(fā)布了《歐盟自動駕駛汽車認證豁免程序指南》，形成了初步的自動駕駛汽車型式認證體系。2021年3月，作為《車輛等型式認定相互承認協(xié)定》（聯(lián)合國歐洲經濟委員會1958年汽車認證協(xié)定）成員國，日本國土交通省按照上述聯(lián)合國技術法規(guī)，對本田Legend EX進行了L3級自動駕駛認證。2021年12月，根據(jù)《自動車道保持系統(tǒng)ALKS》（UN-R157），德國聯(lián)邦汽車運輸管理局認為奔馳的L3級自動駕駛系統(tǒng)符合規(guī)定，從法律和認證兩個層面允許L3自動駕駛車輛銷售和上路。考慮到上述法規(guī)的陸續(xù)出臺，以及量產車型認證的逐步落地，有必要探究在自動駕駛汽車中，交通安全到底是如何保障的，進而為制定適應性的運行安全管理標準和規(guī)范提供借鑒。

由于《自動車道保持系統(tǒng)ALKS》聚焦于有限的交通場景—“高速公路自動車道保持系統(tǒng)”，其關于自動駕駛汽車交通安全方面的規(guī)定更為細致和詳盡，因而擬作為重點梳理和分析的對象。如前所述，在《自動車道保持系統(tǒng)ALKS》之前，聯(lián)合國世界車輛法規(guī)協(xié)調論壇（UN/WP.29）已發(fā)布了《自動駕駛汽車框架文件》，歐盟也發(fā)布了《歐盟自動駕駛汽車認證豁免程序指南》，后兩部技術法規(guī)在交通安全方面也提出了概要性規(guī)定，并與《自動車道保持系統(tǒng)ALKS》保持了總體上的一致。

《自動駕駛汽車框架文件》主要目的是為WP.29在L3以上自動駕駛汽車安全方面提供最主要的原則指引。該文件首先設定了自動駕駛汽車的安全理念，即“自動駕駛汽車不得引發(fā)任何難以原諒的風險”，意即“自動駕駛汽車不得引發(fā)可合理預見和避免的傷亡交通事故”。具體的，首先是在“系統(tǒng)安全”中，提出當車輛在自動駕駛模式時，不得有不合理的對駕乘人員和其他交通參與者的安全風險，并且需要遵守道路交通法規(guī)。在“系統(tǒng)安全的驗證”中，要求以不得產生不合理的安全風險、遵守交通法規(guī)為目標，基于系統(tǒng)工程手段，創(chuàng)建穩(wěn)健的設計和驗證流程。設計和驗證方法應包含危害分析和安全風險評估，重點面向自動駕駛系統(tǒng)、事件探測和響應功能，以及相關的整車設計和更廣泛的道路交通生態(tài)系統(tǒng)。設計和驗證方法應說明自動駕駛車輛在正常操作時的預期行為功能，以及碰撞避免和自動駕駛模式降級時的表現(xiàn)。試驗的方法主要是包含仿真、場地測試、道路測試在內的復合方法。

《歐盟自動駕駛汽車認證豁免程序指南》的目的，一方面是通過成員國臨時認證的方式，總結對自動駕駛系統(tǒng)評估的實踐經驗；另一方面是促進自動駕駛系統(tǒng)評估的流程化和規(guī)范化；再次則是為自動駕駛汽車的發(fā)展提供公平而透明的環(huán)境。該文件明確了自動駕駛系統(tǒng)功能10大安全要求，與“機器駕駛人”交通安全相關的有：（1）自動駕駛模式在運行域中可預見的交通情況下，自動駕駛系統(tǒng)均可自行駕駛，代替駕駛人完成各類駕駛任務。（2）自動駕駛模式下，車輛不可導致可預見、可預防的交通事故。（3）自動駕駛模式下，車輛行為應謹慎且可預見，同時可與其他交通參與者進行適宜的交互（例如，聽從執(zhí)法人員的命令，與其他交通參與者交互等）。（4）自動駕駛模式下，車輛行駛應遵守道路交通規(guī)則。（5）車輛應與前方車輛保持安全距離，特別是在擁堵區(qū)域，在橫向運動中，應為其他交通參與者留下足夠的時間和空間，應能遵守路權，對于可以躲避的事故，若躲避后不會造成新的事故，則應當躲避該事故。另外，在“最小風險操作要求”部分，提出了具體的要求：當自動駕駛系統(tǒng)探測到難以以自動駕駛模式繼續(xù)行駛時，車輛應當通過最小風險操作，返回到最低風險狀態(tài)。最小風險操作時，應當按照交通規(guī)則，向其他交通參與者提醒最小風險操作，如開啟危險報警閃光燈、制動燈、轉向燈等。最小風險操作應符合交通法規(guī)的要求。最小風險操作可包含停止在本車道或變道后，在向周圍交通參與者提醒后安全停在路邊。除此之外，在“安全評估和測試”部分，對上述要求的實現(xiàn)，從廠家設計、評估，技術機構評估、試驗等方面提出了確認和驗證要求。

1 《自動車道保持系統(tǒng)ALKS》涉及交通安全的總體要求

自動駕駛系統(tǒng)激活后，應該能代替人類駕駛人，其涉及交通安全的總體要求是：承擔動態(tài)駕駛任務，應對所有出現(xiàn)的狀況，不得產生不合理的交通安全風險。不合理的交通安全風險具體內涵如下：不得造成任何可合理預見和避免的事故。在碰撞即將發(fā)生時，應當避免該事故，前提是不能造成其他事故。當檢測到事故不可避免時，應停止車輛。

2 《自動車道保持系統(tǒng)ALKS》涉及交通安全的具體要求

本部分在討論自動駕駛汽車交通安全時，聚焦在自動駕駛系統(tǒng)與道路交通環(huán)境的互動方面。其與駕乘人員的互動、感知功能，以及遇到自身故障等情況時的最小風險狀態(tài)操作等內容不在本部分的討論范圍。具體要求如下：

2.1 保持車道內行駛

車輛不得穿越車道線，應保持在車道內行駛，特別是保持穩(wěn)定的橫向位置，以免給其他交通參與者帶來困惑。車輛還應檢測相鄰車道內的車輛，在必要的情況下，應根據(jù)相鄰車道車輛通行情況，調整自身速度和橫向位置。

2.2 車速控制

車速應與道路設施和環(huán)境條件相適應。跟車情況下，應根據(jù)表1列明的安全距離，調整自車速度。

表1 自動車道保持功能開啟時的最小跟車距離

2.3 應對前方靜止障礙物

車輛在低于最高允許行駛速度之下行駛，應能在靜止障礙物前面實現(xiàn)完全停車。靜止障礙物包括靜止的交通參與者、禁行標線等。

2.4 應對前方和側方動態(tài)情況

系統(tǒng)應能檢測前方、側方碰撞風險，如前車緊急制動、有車輛切入、前方突然出現(xiàn)障礙物等，并采取合理的動作，最小化此類交通安全風險。上述情況下，評價標準如下：若熟練謹慎的駕駛人可以避免事故，則自動駕駛汽車也應避免類似事故。

圖1 ALKS交通風險能力應對評判時所用的熟練謹慎駕駛人模型

《自動車道保持系統(tǒng)ALKS》還給出了應當避免碰撞事故發(fā)生的幾種具體情形：

（1）若前方車輛突然緊急減速，則應當避免碰撞。但遭遇側方車輛突然切入，兩車距離小于最小跟車距離要求的情況除外。

（2）達到以下條件的切入場景下，也應避免碰撞：切入車輛速度低于自車，且在特定時間之前探測到切入行為，以及兩車間距滿足特定條件。

（3）若橫穿馬路行人速度小于5km/h，且不被遮擋，則車輛在低于最高允許行駛速度之下行駛時，均應避免與其碰撞。

2.5 接近碰撞風險的應對

《自動車道保持系統(tǒng)ALKS》將“接近碰撞風險”定義為“一種需要自動駕駛汽車達到5m/s以上的制動減速度，才可能避免碰撞的情形”。在接近碰撞風險情況下，車輛應實施最大減速度，必要的時候，還可以采取其他避險措施，但車輛始終應保持在本車道行駛。因采取緊急措施而停車的，車輛應自動開啟危險報警閃光燈；當車輛隨后自行啟動繼續(xù)行駛時，應能自動關閉危險報警閃光燈。

3 企業(yè)自動駕駛汽車安全設計能力

交通安全保障技術，是自動駕駛的核心技術之一。為了包容新技術的快速發(fā)展，歐盟相關的安全認證、管理等工作均建立在企業(yè)自身技術特征、和企業(yè)對產品安全的過程管理的基礎上。具體到本文所述的交通安全層面，《自動車道保持系統(tǒng)ALKS》對企業(yè)的安全設計能力要求如下：

針對自動駕駛車輛對駕乘人員、其他交通參與者傷亡事故的避免、消減目標的實現(xiàn)，企業(yè)應提供相應的分析方案文檔。認證機構選取以下內容開展檢查確認：（1）車輛設計運行范圍內，由于運行環(huán)境擾動，可能帶來的交通安全風險。典型的運行環(huán)境擾動有：對行車環(huán)境的理解不足或有誤，對其他交通參與者的反應理解不足，控制不足，遭遇具有挑戰(zhàn)的場景等。（2）為實現(xiàn)交通參與者交互和遵守交通規(guī)則，在實施動態(tài)駕駛任務（如緊急操作）時的決策過程。具體從以下三個層面對企業(yè)提交的分析方案進行評估：（1）整車層面檢查確認。該方法應建立在系統(tǒng)安全的“危害/風險分析方法”基礎上。（2）系統(tǒng)層面檢查確認。包括自上而下的“危害—設計”方法和自下而上的“設計—危害”方法。檢查確認的方法需要基于失效模式和影響分析、故障樹分析、系統(tǒng)理論分析過程，或其他類似的適用于系統(tǒng)功能和運行安全的過程分析方法。（3）對“驗證/確認”計劃及其結果的檢查確認。應包括適當?shù)尿炞C試驗，如硬件在環(huán)、道路試驗、終端用戶試驗等。認證機構在實施檢查確認時，需要選定具體危害開展現(xiàn)場工作，目的是確認企業(yè)提交的支撐“安全設計”的證據(jù)是可理解的、有邏輯的，并已在不同的功能中得到了實施。另外，還應檢查確認企業(yè)的確認計劃，確保其能夠穩(wěn)健地證明車輛的安全性（如選定的確認試驗工具，可合理地覆蓋所選場景），并檢查企業(yè)完成了上述確認。認證機構在出具檢查確認結果時，應從以下兩個方面說明自動駕駛汽車的交通安全水平：（1）從整車等整體指標看，自動駕駛汽車交通安全水平不低于人類駕駛人。（2）通過具體場景檢查確認說明，自動駕駛汽車交通安全水平不低于人類駕駛人。

除此之外，認證機構還應自行或要求企業(yè)開展針對性的試驗，用以驗證企業(yè)關于車輛安全功能的描述和安全設計的內容。在驗證安全功能時，除通過場地測試驗證各項功能要求外，還需要通過在實際道路中驗證車輛的整體表現(xiàn)，包括遵守交通規(guī)則的情況。該驗證結果應當與企業(yè)的描述一致，并符合相關標準規(guī)范的規(guī)定。在驗證安全設計時，認證機構需要利用一系列能夠考驗自動駕駛汽車事件探測和響應功能、決策特性的場景（如交通擾動場景）開展驗證試驗。該驗證結果應當與企業(yè)危害分析文檔中整體安全性能的總結結果一致，即對企業(yè)安全設計及其實施進行切實驗證，也確保車輛整體安全性能達到《自動車道保持系統(tǒng)ALKS》的要求。對于難以在場地和實際道路測試的場景，可采用符合要求的仿真工具和數(shù)學模型進行試驗驗證。在這種情況下，車企需要說明上述方法對于具體場景的有效性，以及仿真工具鏈與實際測試的一致性。

4 企業(yè)自動駕駛汽車安全性能一致性保障能力

企業(yè)需要從軟硬件管理、設計研發(fā)管理、內部管理、事故動態(tài)監(jiān)控、內部審計、供應商管理等方面，加強自動駕駛汽車安全性能一致性保障能力。軟硬件管理方面，對自動駕駛系統(tǒng)使用的軟硬件，車企需要應用安全管理系統(tǒng)，包括對開發(fā)過程、方法和工具的有效管理，確保能夠管理系統(tǒng)安全，并在設計、研發(fā)、產品化、遵守交規(guī)、退出等系統(tǒng)全生命周期都能確保遵循安全要求。設計研發(fā)管理中，需要包含安全管理系統(tǒng)、技術需求管理、技術需求實現(xiàn)、測試，以及故障溯源、修復和釋放等內容。內部管理方面，要確保負責功能/運行安全、信息安全以及其他車輛安全密切相關的部門之間建立并保持有效的溝通機制。事故動態(tài)監(jiān)控方面，車企需要建立機制監(jiān)測與ALKS相關的時間/碰撞/沖突，并管理潛在的安全隱患。當發(fā)生嚴重的事故和安全隱患時，需要及時向認證機構報告。內部審計方面，需要確保開展獨立的、周期性的內部審計，確保上述軟硬件管理、設計研發(fā)管理、內部管理、事故動態(tài)監(jiān)控等機制得到有效實施。供應商管理方面，車企需要與供應商建立合適的關系（如合同約定、質量管理系統(tǒng)），確保供應商的安全管理系統(tǒng)也符合軟硬件管理、設計研發(fā)管理、內部管理、內部審計等方面的要求。

5 總結與啟示

保障駕乘人員及周邊交通參與者交通安全，是自動駕駛汽車的基本要求。WP.29發(fā)布的《自動駕駛汽車框架文件》和歐盟發(fā)布的《歐盟自動駕駛汽車認證豁免程序指南》，建立起了自動駕駛汽車交通安全的基本要求。WP.29《自動車道保持系統(tǒng)ALKS》是首部關于自動駕駛汽車的認證法規(guī)，面向特定場景，建立了自動駕駛汽車交通安全框架體系，給出了安全目標、具體的內容和實現(xiàn)方法要求，也給出了認證管理的具體要求，是開展相關工作的重要參考。

我國自動駕駛汽車交通安全的研究還處于起步階段，為促進和規(guī)范自動駕駛技術健康發(fā)展，需要抓緊研究自動駕駛汽車交通安全目標、任務、實現(xiàn)方法和安全管理的措施，搭建相關內容框架和管理框架，通過這樣的政策“頂層設計”，協(xié)同企業(yè)和研究機構的技術研發(fā)和實驗驗證推進，雙輪驅動，推動自動駕駛汽車快速融入現(xiàn)有道路交通系統(tǒng)。