組合駕駛輔助系統安全風險分析與標準研究

文/沈金華 陳文華 劉嘉鲯

智能駕駛系統主要包含駕駛輔助系統和自動駕駛系統兩大類，相對自動駕駛系統受制于技術成熟度和政策法規等的約束，駕駛輔助系統逐漸成為上市新車的標配。近年來，具備組合駕駛輔助系統的汽車產品由于其駕駛安全性和舒適性的優點而得到加速普及。但是，系統失效、功能不足或性能局限、用戶誤用和濫用等原因造成的組合駕駛輔助系統汽車產品安全事故也時有發生。因此，提高車輛的安全性、保護車輛駕駛員和乘員的生命安全，成為當前迫切的需求。本文對組合駕駛輔助系統的技術特性、存在的主要安全風險進行了分析，對國內外的標準、法規進行了研究，并探討了如何制定科學合理的標準來降低組合駕駛輔助系統的安全風險。

一、組合駕駛輔助的定義和內涵

《汽車駕駛自動化分級》（GB/T 40429-2021）將汽車駕駛自動化劃分為6個等級（見表1）。

表1 汽車駕駛自動化分級

對于應急輔助系統（0級）和部分駕駛輔助系統（1級），兩者不能同時執行橫向和縱向運動控制，駕駛員需要承擔全部的動態駕駛任務。因此，當車輛出現系統無法應對的情形時，駕駛員也能及時處理。對于組合駕駛輔助系統（2級），該系統在設計運行條件下可以承擔大部分的動態駕駛任務。駕駛員容易將組合駕駛輔助系統和自動駕駛系統混淆，造成組合駕駛輔助系統的非正確使用，從而引發交通事故。從這個角度看，2級帶來的道路交通安全風險要高于0級和1級。目前，我國具備2級的汽車產品已經大規模進入市場，若不加以規范將帶來嚴峻的道路交通安全風險。

二、組合駕駛輔助系統存在的主要安全風險

組合駕駛輔助系統存在的安全風險主要來源于兩個方面：一個是來自產品內部，比如產品的可靠性問題造成的系統故障和失效，或者是產品的功能不足和性能局限；另一個是來自產品外部，比如產品使用者的誤用和濫用（見圖1）。

圖1 組合駕駛輔助系統存在的主要安全風險

1.產品內部原因

產品內部原因產生的安全風險，主要是由于系統可靠性問題造成的功能失效和系統設計本身造成的功能不足和性能局限。

① 組合駕駛輔助系統的功能失效

近年來，電子系統領域最受廣泛關注的一個是“車規級”要求，另一個則是電子電氣領域中的功能安全設計。組合駕駛輔助系統是車輛重要的競爭性配置，受成本因素的制約，其硬件可靠性仍存在一定不足，同時功能安全過程保障能力在研發企業中的建設尚未完全建立，危害分析和風險評估并不完整。目前，系統或者硬件、軟件失效造成的問題成為安全風險主要來源之一：在硬件方面主要體現在如攝像頭、雷達或者中控屏幕的失效[1]；在軟件方面主要體現在由于算法問題，出現諸如車輛車道居中出現壓線或者偏離車道等情形。

② 組合駕駛輔助系統的功能不足和性能局限

系統的功能不足和性能局限主要表現為傳感器等感知系統及部件的性能局限，一方面是傳感器本身的能力不足，另外一方面是傳感器的配置不足，無法有效識別周圍環境和車輛等。功能不足來源于算法或者硬件的局限，例如算法不夠優化或者控制器的算力不足。同時，在設計階段，相較于自動駕駛系統，組合駕駛輔助系統由于駕駛員被要求實時參與整個駕駛過程，因此在達到一定設計功能目標下，功能硬件配置和產品能力上存在一定的不足是被允許的。

2022年8月，某品牌汽車在某高架路段開啟組合駕駛輔助系統時發生事故。事故發生時，被撞車輛停在左側超車道，車輛在撞擊前未能識別到該車輛并減速，車輛在撞擊前也未發出任何警告，而當時駕駛員也在分神，從而造成了事故的發生。造成這起事故的原因為車輛自身無法識別低速或靜止的工程車/清掃車、凸出的隔離帶、水馬或者水泥墩等靜止物體。這起事故發生時，該系統超出了其自身的設計運行邊界。

2.產品外部原因

產品外部原因產生的安全風險主要來源于使用者對產品的誤用和濫用。誤用是指以制造商或服務提供商不期望的方式使用，而濫用是指明顯違反系統預期用途的故意行為，兩者有本質區別。

① 產品使用者的誤用

產品的誤用可能是由于使用者對產品不了解而進行了錯誤的操作，比如功能錯誤地開啟或者關閉。產品的誤用還有可能是由于人機界面不清晰造成的錯誤操作或者駕駛員誤判。例如在2022年的另一起交通事故中，駕駛員認為自己開啟了組合駕駛輔助系統，當出現危險的時候，由于他處于分神狀態，未來得及進行干預，而事后調查表明該系統并未被開啟。

② 產品使用者的濫用

產品的濫用往往和產品的功能不足和性能局限相關聯。組合駕駛輔助系統可以自動執行橫向和縱向操作。因此，在滿足自身設計運行條件下，系統可以獨立地完成一部分駕駛操作，市場上某些高階點對點領航輔助產品甚至可以完成減速、加速、變道、超車、避讓等駕駛操作。但是，即使如此，在軟硬件配置、駕駛自動化能力方面和自動駕駛系統還存在差距，因此駕駛員被要求參與全部駕駛過程。例如駕駛員應該實時關注周圍環境變化和交通情況，在發生危險時立刻對車輛進行干預。在前文列舉的第一起交通事故中，車輛無法識別前方靜止車輛，但是如果駕駛員能夠時刻關注車輛行駛狀態，就可以有效避免事故的發生。這是組合駕駛輔助系統被濫用的一個典型案例。

組合駕駛輔助系統被濫用的主要原因有如下情況：廠商或者銷售人員進行過度宣傳，該系統功能被過度夸大，有的直接將產品稱為自動駕駛系統，造成使用者將組合駕駛輔助系統和自動駕駛系統功能混淆，系統被濫用。有的使用者則是在初期使用時能夠按照要求全程參與駕駛過程，但是由于車輛組合駕駛輔助功能比較強，使用者在使用中沒有或者很少對車輛進行接管或者干預，逐漸過度依賴組合駕駛輔助系統，慢慢失去警覺。在使用組合駕駛輔助系統的交通事故案例中，甚至發生過有駕駛員開啟組合駕駛輔助系統后睡覺的情況。當系統被濫用時，若突然遇到超出系統能力邊界的場景，往往由于駕駛員來不及響應而發生事故。

三、國內外標準法規現狀

1.國外

① 聯合國

針對2級的功能，聯合國世界車輛法規協調論壇（UN/WP.29）已啟動相應的法規制定工作，在發布的《轉向裝置法規》（R79）中圍繞自動控制轉向功能（ACSF）的部分功能制定了相應的技術要求。但由于相關領域技術的快速發展，原有的R79內容已經不適配行業發展需求，對此，聯合國于2021年啟動了駕駛員操控輔助系統（DCAS）法規制定工作。

·R79

R79依據各類ACSF的功能場景和應用特性，將ACSF分解為各類細化功能（見表2）。目前，R79已經對部分相對基礎的功能提出了一定的技術R79要求和試驗方法。

表2 R79中對ACSF功能分類

·DCAS法規

DCAS法規制定原則是對不同的2級功能提出上位的通用性要求。相比于R79，針對ACSF每一項功能都規定了細化的技術要求和性能指標，DCAS法規弱化性能指標的限制，由認證機構通過審核評估、實車試驗等驗證方式對產品法規符合性進行確認（見圖2）。

圖2 DCAS產品符合性評估框圖

有關部門對制造高的文件審核包括DCAS功能和控制策略的描述、DCAS的系統原理圖和布置圖，包括功能安全和預期功能安全的應用、DCAS相關的法規相關性分析，包括測試場景、測試結果、仿真可信度評價的虛擬仿真測試結果、實車測試結果、制造商的安全分析材料等。

② 歐盟

2018年6月，歐盟發布了《關于對機動車及其掛車和應用于車輛的系統、部件、單獨技術單元的批準和市場監督的歐盟議會和歐盟理事會法規》[（EU）2018/858]。該法規旨在加嚴型式批準管理程序，增加車輛產品入市后的市場監管要求。2019年12月，歐盟發布了《關于機動車及其掛車以及用于此類車輛的系統、部件和獨立技術總成的型式批準要求》[（EU）2019/2144]。該要求引用R79對于行業開展的管理工作，要求車輛僅可在其自動轉向功能滿足UN R79的前提下才能夠進入量產階段；同時，為了保證管理政策的限制不會對于相關技術的發展與產品的迭代造成限制，通過（EU）2018/858，說明那些包含有新技術或者新概念，并且與相關法規不兼容的產品可以通過“新技術或新概念”豁免的途徑獲取歐盟層級的豁免或者成員國層級的豁免，以進入量產階段。

③ 美國

美國主要借助聯邦機動車安全標準（FMVSS）進行相應管理工作。目前，FMVSS并未明確提及2級系統的相關技術要求，但這并不意味著美國政府完全信任2級系統。2021年6月，美國國家公路交通安全管理局（NHTSA）發布了《2021/01標準常規命令自動駕駛系統和2級組合駕駛輔助系統的事故報告》。該命令要求車輛制造商和運營商就配備2級系統和自動駕駛系統的車輛發生的事故向NHTSA提交報告。根據該命令，NHTSA可及時從車輛制造商和運營商處獲得關于他們搭載組合駕駛輔助系統車輛在真實世界中的碰撞情況。此外，相關管理部門持續關注2級系統的功能表現是否滿足道路交通安全要求。

2.國內

2021年發布的《關于加強智能網聯汽車生產企業及產品準入管理的意見》針對組合駕駛輔助功能產品的安全管理，要求“企業生產具有組合駕駛輔助功能的汽車產品的，應采取脫手檢測等技術措施，保障駕駛員始終在執行相應的動態駕駛任務。組合駕駛輔助功能是指駕駛自動化系統在其設計運行條件下，持續地執行車輛橫向和縱向運動控制，并具備相應的目標和事件探測與響應能力”。2020年發布的《關于促進道路交通自動駕駛技術發展和應用的指導意見》要求穩步推進駕駛輔助技術在城市公交、道路客運中的應用。2022年發布的《關于試行汽車安全沙盒監管制度的通告》針對目前尚無準入測試的車輛應用的前沿技術或新功能、新模式進行深度安全測試，鼓勵企業主動排除產品安全風險，進一步優化新技術、新產品、新功能的測評方法，提升安全標準。該通告成為對前市場汽車安全監管的必要補充。該通告在新技術清單中包含了智能算法、預期功能安全和高精定位系統技術等組合駕駛輔助系統相關的新技術，在新功能清單中則包含了交通擁堵輔助（TJA）和領航駕駛輔助（NOA）等組合駕駛輔助功能。

2023年發布的《國家車聯網產業標準體系建設指南（智能網聯汽車）（2023 版）》中的先進駕駛輔助（ADAS）標準是指0級～2級駕駛自動化功能。相關標準包括信息輔助和控制輔助兩個部分，主要規定各類別ADAS 對于車輛內外目標事件識別、系統狀態轉換條件與顯示方式、動態駕駛任務執行與響應等核心能力的技術要求、相應試驗方法?？刂戚o助標準是指ADAS在特定條件下，短暫或持續地輔助駕駛員執行車輛橫向和/或縱向運動控制，包括組合駕駛輔助系統等標準。

四、多車道和單車道正在制定的標準分析

截至目前，國內“智能網聯汽車 組合駕駛輔助系統技術要求及試驗方法 第1部分：單車道行駛控制”（20213607-T-339）和“智能網聯汽車 組合駕駛輔助系統技術要求及試驗方法 第2部分：多車道行駛控制”（20213610-T-339）組合駕駛輔助功能相關國家標準制定項目均處于報批階段。

20213607-T-339參考了UN R79中ACSF有關B1類功能的相關要求，從自檢能力、人機交互與信號提示方式、駕駛員脫手監測能力和運動控制能力等角度提出了相關要求和相應試驗方法。為切合我國汽車行業的實際情況和發展需求，相較UN R79，20213607-T-339增加了對車輛縱向運動控制的相關要求，新增了目標車干擾試驗和具備彎道減速通行能力的最大橫向加速度試驗等具體試驗場景與方法。

20213610-T-339參考了UN R79中ACSF有關C類功能的相關要求，從系統激活條件、換道安全距離判定方式、人機交互、信號提示方式、駕駛員脫手監測能力和運動控制能力等角度提出了相關要求和相應試驗方法。相較UN R79，20213610-T-339對于系統激活條件、系統的換道安全距離判定方式等內容進行了調整，同時新增了換道等待和換道安全響應策略等技術要求，新增了彎道換道、行人和自行車目標物識別等試驗場景與方法。

組合輔助駕駛系統已經從僅在選定的單一車道內行駛的單車道行駛功能，進化到了能夠按照導航路線規劃輔助駕駛員向目的地方向行駛的領航輔助駕駛功能。其設計運行范圍也逐步擴大，從高速公路或城市快速路等結構化道路擴展到城市道路，正向實現“點到點”全場景駕駛輔助的目標邁進。

目前，已制定的相關組合駕駛輔助系統系列標準僅涵蓋了基礎的單車道行駛、駕駛員“撥桿換道”功能，與已經量產商用的2級之間還存在很大的行業標準空白。行業迫切需要與功能相匹配的標準來規范產品。正在制定的DCAS聯合國法規，同時還覆蓋了如系統觸發的換道控制、跨車道線碰撞風險控制等更為高級的2級。針對2級應對場景體系，該法規還涵蓋了高速公路、城區等運動設計域（ODD）。

五、結 語

隨著具備組合駕駛輔助系統的新車滲透率逐年提高，功能也不斷增強，與組合駕駛輔助系統相關的車輛安全性越來越受到社會關注。本文對組合駕駛輔助系統的技術特性、存在的主要安全風險進行了分析，同時對國內外的標準法規的發展現狀進行了研究。這些工作都將有助于未來制定科學合理的標準來降低組合駕駛輔助系統的安全風險。