風險評估和事故模型在智能駕駛系統安全設計中的應用

摘要：隨著智能駕駛系統的普及率提高，場景擴展和性能提升，其安全性受到越來越多的關注。圍繞系統安全設計中幾個重要環節即風險評估、事故原因分析、風險控制措施等展開探討，介紹了危害事件的描述和風險評估方法、事故模型、風險可接受標準，闡述了這些方法之間的關聯，并為這些方法在智能駕駛系統的安全設計中的應用提供了思路。

關鍵詞：智能駕駛系統；風險評估；事故模型；風險可接受標準

中圖分類號：U462 收稿日期：2024-08-09

DOI：10.19999/j.cnki.1004-0226.2024.10.020

1 前言

當前智能駕駛系統普及率越來越高，對駕駛場景擴展和性能提升的期望越來越高。根據2024年智能互聯網藍皮書的數據，2023年乘用車L2級輔助駕駛系統滲透率達到47.3%，2024年1—5月突破50%。針對更高級別的輔助駕駛系統，根據Canalys的報告，預計2025—2026年城市導航輔助駕駛系統等L2+輔助駕駛功能整體滲透率將上升到9.3%，到2025年，L3智能駕駛系統市場滲透率有望達到4.6%。

整體普及率的提高，以及駕駛場景的持續擴展和性能的不斷提升，顯著改善了駕駛的舒適性和安全性。根據美國公路安全保險協會（IIHS）和公路損失數據學會（HLDI）提供的數據顯示，智能駕駛系統的安全輔助功能，如自動緊急制動（Automatic emergency brake），車道偏離報警輔助（Lane departure warning），盲區檢測（Blind Spot Detection），倒車輔助（Rear Automatic braking， Rearview camera，Rear cross-traffic alert）都能顯著降低整體事故發生率以及事故中對交通參與者的損害程度，如圖1所示[1]。

駕駛注意力不集中一直是導致交通事故發生的關鍵因素之一，駕駛注意力檢測相關的安全輔助功能可以有效預防由于駕駛注意力不集中導致的交通事故，同時智能駕駛系統參與的人機共駕過程在今后很長時間內將廣泛存在，有研究表明，性能更優異穩定的智能駕駛系統，更容易造成駕駛員過度依賴，出現駕駛注意力分散的情況[2-3]。

確保駕駛員在人機共駕過程中始終保持應有的接管能力，一直是更高級別駕駛輔助系統過程中非常關鍵的安全話題。駕駛注意力檢測相關的安全輔助功能在更高級別輔助駕駛系統中將扮演越來越重要的角色[4]。

智能駕駛系統的舒適性功能在提升駕駛舒適度的同時，對降低事故發生率也起到了積極作用。奧迪舒適性駕駛輔助功能：交通擁堵輔助（Traffic Jam Assist）使事故發生率（保險報案率），尤其是身體傷害責任險和醫療支付保險有顯著下降，如圖2所示[5]。

眾多知名車輛安全評價機構如歐洲新車評估規程（ENCAP），中國新車評價規程（CNCAP），美國國家公路安全局（NHTSA）等均針對不同類型的駕駛輔助功能分別制定了安全評價標準，其評價結果很大程度上影響著對車輛的整體安全評價，且受到越來越多的關注[6-7]。

越來越多的國家與地區將智能駕駛系統的安全輔助功能列為法規強制標準配置，如歐盟的GSR（General Safety Regulation）規定，2024年7月后歐盟所有新車型均需安裝具備自動緊急制動、車道偏離警告、盲區檢測、駕駛員監控系統、智能速度輔助等多項安全輔助功能的高級駕駛輔助系統才能通過車輛型式認證（Vehicle Type Approval）[8]。

與此同時，涉及智能駕駛系統的交通事故也時有發生，美國國家公路安全局（NHSTA）在2021年6月發起了報告智能駕駛系統事故的要求（Standing General Order），截至2024年5月，全美高級駕駛輔助系統（ADAS）和自動駕駛系統（ADS）相關的事故統計如圖3和圖4所示[9]。

近年來也引發了一些引起關注的事件：2023年TESLA Autopilot系統召回，在2021年和2022年，NHSTA針對TESLA Autopilot 系統相關的467起事故（其中包含至少13起致命交通事故）展開的調查（NHSTA Campaign Number： PE21020和EA22002），發現Autopilot系統無法有效預防和糾正駕駛員不正確使用高級駕駛輔助功能，駕駛員容易過度信賴高級駕駛輔助系統的能力而降低對于駕駛任務的專注度，從而導致不合理的交通事故風險。2023年12月TESLA發起針對該問題的召回，對所涉及的2 031 220輛不同型號的車輛進行Autopilot系統升級，改善防止駕駛員錯誤使用的措施（NHSTA Campaign Number：23V838000）。同時NHSTA在2024年4月發起了召回調查（NHSTA Campaign Number：RQ24009），跟進調查Autopilot系統升級方案中所采取的風險抑制措施的有效性。

國內也曾多次發生涉及智能駕駛系統的事故。縱觀這些事件，隨著系統復雜度的提升，與傳統完全由人駕駛車輛的情況相比較，涉及智能駕駛系統的事故，在事故原因的多樣性和復雜性等方面均存在較大的差異。這些新的變化對全面分析事故起因，并進一步采取措施提升智能駕駛系統的安全性，降低事故風險帶來了新的挑戰[10]。

2 風險評估

危害事件的風險程度可以用危害事件所造成后果的嚴重程度、危害事件發生的可能性來綜合評價。風險評估矩陣示例如圖5所示[11]。

危害事件的風險評估需要描述目標危害事件，危害事件由危害行為和相關場景構成，可以使用危害事件的危害行為和相關參數來進行描述。比如目標車輛不當制動行為導致被追尾的危害事件，如圖6所示。

主要的參數：自動車和跟隨車的行駛車速（假設兩車速度相同）；兩車之間的跟車間隔，該參數符合偏態高斯分布[12]，如圖7所示；汽車發生不當制動時的減速度，參數符合一定的頻率分布[13]；跟隨車駕駛員的反應時間，該參數符合偏態高斯分布，如圖8所示[14]。

使用蒙特卡洛模擬（Monte Carlo Simulation），按照各參數的概率分布取樣本并進行一定數量的不當制動事件模擬，幫助評估危害行為導致危害事件發生的概率，分析危害事件發生概率與危害事件相關參數之間的關系。同時危害事件導致的事故后果嚴重程度可以參考事故數據庫如GIDAS來進行分析[15-16]。

明確危害事件的發生概率和后果嚴重程度能幫助我們評估危害事件的風險程度。考慮到危害事件的發生概率以及后果嚴重程度均與危害事件參數相關，比如不當制動行為造成追尾碰撞危害事件的概率與制動減速度、制動事件產生的速度降、車輛行駛速度等參數相關，也識別出危害事件的風險與危害事件相關參數之間的關聯。

3 事故模型

目標危害事件的風險水平受到各方面相關因素的影響，控制危害事件的風險需要能夠系統、全面、客觀調查和分析危害事件背后的相關因素，尋找防范措施。事故模型是用于描述、分析和預測事故發生原因、過程及后果的抽象系統或框架，為分析危害事件的原因，制定風險控制策略提供了方法。

3.1 常用的事故模型

a.基于事件的事故模型（Event-based accident models）。基于事件的事故模型認為事故是由一系列按發生先后順序排列，且相互構成因果關系事件構成的，這里的事件可以是系統組件的失效、人為失誤等。

b.基于系統理論的事故模型（Accident model based on System Theory，STAMP）[17-18]。基于系統理論的事故模型，認為系統安全是系統遵守系統安全約束，維持系統安全穩態的持續閉環控制過程，這個閉環控制過程貫穿整個社會技術系統（Socio-Technical System），如圖9所示[17]。

3.2 STAMP的主要特點

a.基于系統理論，從系統整體出發，認為系統安全是復雜系統的涌現特性（system emergent property），幫助理解系統整體安全約束，避免出現以系統組件安全來評價系統安全，形成對系統安全片面理解的情況。

b.以分析系統閉環控制問題的邏輯來審視系統安全問題，更有利于識別復雜系統各層級控制過程中可能造成系統安全約束違反的隱患，如控制邏輯設計問題、系統組件之間交互問題、系統與外部交互問題、時間延遲、系統干擾等，并持續提升系統適應安全相關變化，抵抗安全相關干擾的能力。

c.以社會技術系統（Socio-Technical Systems）的視角，在一個更全面的復雜閉環系統中審視系統安全問題，擴展了事故原因分析的廣度和深度，有助于識別智能駕駛系統相關事故（危害事件）背后的復雜因素和根本原因，如操作過程因素，人機共駕沖突，管理或者設計決策過程的問題，系統設計流程缺陷，安全文化和意識的缺失等。

d.在整體和局部分析過程中與FMEA、FTA等安全分析方法形成優勢互補。

3.3 相關建議

參考STAMP事故模型的分析思路，降低智能駕駛系統的事故風險，可以從以下幾個方面做出努力。

3.3.1 法規和標準層面

隨著新技術迭代更新速度的加快，需要更高效的機制來幫助法規和標準更好地適應新技術的迭代更新，如高效反饋機制收集諸如技術評估、事故報告等反映新技術應用安全狀態的信息，以降低法規和標準制定這個閉環控制過程的時延，對系統開發和使用方面的后續環節形成有效的安全約束。

3.3.2 公司管理層面

通過制定相應的公司安全政策（包含流程，規定以及行為準則等各方面）來規范項目管理，產品設計和開發、生產、運營和維保等過程，優化各環節問題決策過程和行為養成機制，形成鼓勵正確執行法規和標準層面安全約束的企業安全文化。

3.3.3 項目管理層面

在確認項目要求和范圍、制定項目計劃、評估項目資源和風險等項目啟動過程中，充分考慮項目相關安全需求和約束，在項目過程管理活動中，充分評估安全相關的狀態和風險，并做出符合安全約束的決策，在項目層面有效執行公司安全政策，貫徹企業安全文化，為項目如產品設計和開發、生產、運行和維保等各項活動中有效落實項目安全需要和約束提供有力支持。

3.3.4 系統設計方面

智能駕駛系統是一個人機混合控制的閉環控制系統（圖10、圖11），以分析系統閉環控制問題的思路和方法有助于更全面地發現智能駕駛系統安全設計的不足，完善系統安全設計[19-20]。

a.提升系統應對駕駛任務的能力。系統能力和性能不能滿足客觀復雜駕駛場景的安全需要，主要原因有以下幾個方面。①反饋和測量環節：由于性能局限性或者抗干擾能力不足，造成場景關鍵要素識別準確率較低，識別距離過短，識別精度較低等反饋信息偏差的情況；反饋信息傳輸到控制器的時間延遲過長。②控制環節：對被控制過程（自然駕駛環境和過程）的理解不充分導致對被控過程建模的局限性，造成反饋和測量信息缺失或者控制策略偏差，無法產生安全的控制行為；控制器產生與交通規則或周邊交通參與者的習慣所不相適應的駕駛行為，如速度過慢，緊急制動干預時機過早，反應或行動猶豫遲緩，貼近一側車道線行駛等情況容易對周邊交通參與者造成干擾，與周邊車輛的駕駛行為形成沖突，是導致不合理的事故風險重要因素之一[21-24]；控制器產生不安全的駕駛行為，如橫向或者縱向加速度，方向盤角速度等安全約束的缺失，造成整車高風險的動態行為[25]。

b.系統的電子電氣設計。智能駕駛系統的大部分閉環控制過程由電子電氣系統負責完成，而電子電氣系統本身受到系統失效和硬件隨機失效的影響，提升電子電氣系統的安全設計水平也是降低事故風險的重要方面[26]。

c.系統應對信息安全威脅的能力。隨著智能駕駛系統對信息交互依賴度的提升（V2X），提升系統應對信息安全威脅的能力越來越重要[27]。

d.人機交互。多個控制器參與控制的復雜控制系統更容易出現邊界模糊（Boundary Areas）和不同控制器之間產生控制沖突（Overlapping Control）的情況，基于人機共駕模型的人機交互設計如合理的駕駛員接管策略，通過信息交互增強駕駛員對當前駕駛環境、系統控制行為和狀態、駕駛員當前職責的理解等措施，能有效緩解邊界模糊和重復控制問題[28-29]。

e.系統使用和運行方面。通過更為嚴格的法規或者操作規定來提升駕駛員的安全意識，輔助駕駛員行為監控策略，引導駕駛員安全使用智能駕駛系統也非常重要。

4 風險可接受標準

我們的愿景是零事故（Vision Zero），這也是車輛安全堅持不懈努力的目標。在實踐過程中，一個合理且被廣為認可的風險可接受標準也同樣非常重要。一些風險管理框架和原則，如ALARP（as low as reasonably practicable）、MEM（minimal endogenous mortality）、GAMAB為我們建立被認可的風險可接受標準指明方向，為進一步明確各方面的風險可接受標準提供了參考，總體上來講，風險水平越高的危害事件，風險可接受的標準也越為嚴格。風險可接受標準是明確社會技術系統（Socio-Technical system）中各層級閉環控制過程的安全約束，如法規（比如交通安全法規）、行業標準（比如功能安全標準，信息安全標準）、產品設計目標（比如智能駕駛系統造成的嚴重事故的概率是同等場景下人類駕駛員的1%等）的重要依據。

需要特別指出的是，風險可接受標準是一個整體概念，涵蓋可能導致目標危害事件發生的各方面因素，導致目標危害事件風險過高而不被接受的因素往往是最薄弱和容易被忽視的環節（木桶效應）（圖12），故需要避免單純從某一個方面的因素出發，對風險可接受標準的達成形成片面的理解。

同時對某一個方面的風險可接受標準的忽視，不但會增加目標危害事件的整體風險水平，還會造成其他維度需要滿足更高的風險可接受標準（更嚴格的安全約束），比如缺失較為嚴格的法規或者操作指南來有效規范駕駛員使用智能駕駛系統的行為，造成系統設計需要更多的考慮駕駛員濫用行為的措施等。

5 結語

一些功能場景的擴展或性能提升可能造成危害事件風險以及所適用的風險可接受標準同時發生變化或者擴展。如對比高速路況下車輛之間相撞與城市道路中可能發生人與車輛相撞，由于兩種情況下危害事件后果的嚴重度不同，危害事件風險水平的變化導致所適用的風險可接受標準和安全約束的變化，如系統功能安全設計需要達到更高的ASIL（Automotive safety integrity level）、信息安全設計需要滿足更高的CAL（Cybersecurity assurance level）等。又比如Pilot功能允許駕駛員全程hands off使用，除了需要滿足更為嚴格的設計標準，還需要考慮新的風險可接受標準和安全約束，如hands off情況下駕駛員模型下合理接管時間，影響駕駛員及時接管的干擾因素，是否有法規為風險可接受標準被認可提供依據等，甚至有些情況下還會面臨風險可接受標準缺失或者不明確的挑戰。

綜合風險評估、事故模型以及風險可接受標準，幫助我們理解和評估智能駕駛系統功能場景擴展或性能提升過程：對危害事件的風險水平和事故模型帶來的影響；對應的風險可接受標準和安全相關約束的變化；風險控制措施和安全設計方案的變化；對應的成本。

為智能駕駛系統設計過程中評價風險水平，識別風險相關要素，結合風險可接受標準明確安全相關約束，制定合適的風險控制措施和安全設計方案提供思路。

參考文獻：

[1]IIHS.Real-world benefits of crash avoidance technologies[EB/OL].[2024-08-09].https：//www.iihs.org/media/290e24fd-a8ab-4f07-9d92-737b909a4b5e/HvQHjw/Topics/ADVANCED%20DRIVER%20ASSISTANCE/IIHS-HLDI-CA-benefits.pdf.

[2]Biondi F N，Jajo N.On the impact of on-road partially-automated driving on drivers' cognitive workload and attention allocation[J].Accident Analysis and Prevention，2024，200：1-8.

[3]Hungund A P，Pai G，Pradhan A K.Systematic Review of Research on Driver Distraction in the Context of Advanced Driver Assistance Systems[J].Transportation Research Record，2021，2675（9）：756-765.

[4]Deng M，Gluck A，Zhao Y，et al.An analysis of physiological responses as indicators of driver takeover readiness in conditionally automated driving[J].Accident Analysis and Prevention，2024，2：195.

[5]IIHS.Audi’s Traffic Jam Assist[EB/OL].[2024-08-09].https：//www.iihs.org/media/2ca9063d-fdb9-4af3-b50f-21a98f027a58/OO7nyg/HL

DI%20Research/Bulletins/hldi_bulletin_39-03.pdf.

[6]Assisted Driving Gradings Explained Euro NCAP.Assisted Driving Gradings Explained[EB/OL].[2024-08-09].https：//www.euroncap.com/en/car-safety/assisted-driving-gradings-explained/ .

[7]Euro NCAP.Euro NCAP Vision 2030：a Safer Future for Mobility[EB/OL].[2024-08-09].https：//www.euroncap.com/en/press-media/press-releases/euro-ncap-vision-2030-a-safer-future-for-mobility.

[8]Regulation（eu）2019/2144 of the European parliament and of the council of 27 November 2019 on type-approval requirements for motor vehicles and their trailers，and systems，components and separate technical units intended for such vehicles，as regards their general safety and the protection of vehicle occupants and vulnerable road users[Z].

[9]NHSTA.NHSTA Standing General Order on Crash Report[EB/OL].[2024-08-09].https：//www.nhtsa.gov/laws-regulations/standing-general-order-crash-reporting#level-2-adas

[10]Abdel-Aty M，Ding S.A matched case-control analysis of autonomous vs human-driven vehicle accidents[J].Nat Commun.，2024，4931：15.

[11]Mil-std-882e，standard practice for system safety[S].

[12]Piao J，Mcdonald M.Low speed car following behaviour from floating

vehicle data[C]//IEEE Intelligent Vehicles Symposium.IEEE，2003.

[13]Marc G.“How Long Does It Take to Stop？”Methodological Analysis of Driver Perception-Brake Times[J].Transportation Human

Factors，2000，2（3）：195-216.

[14]Fabris S，Lovric T.Method for hazard severity assessment for Method

for hazard severity assessment for the case of undemanded decelera

tion-Simone Fabris[C]//Conference： 2nd VDA Automotive SYS

Conference，Quality，safety and security for automotive software-

based systems.Berlin，May 2012.

[15]Ding S，Abdel-Aty M，Barbour N， et al. Exploratory analysis of

injury severity under different levels of driving automation（SAE

Levels 2 and 4）using multi-source data[J].Accident Analysis and

Prevention，2024，206.

[16]Nancy L.A new accident model for engineering safer systems[J].Safety Science，2004，42（4）：237-270.

[17]Qureshi Z H.A review of accident modelling approaches for com

plex socio-technical systems[M].Australian Computer Society，

Inc.，2007.

[18]Nancy G.Leveson，John P.Thomas.STPA Handbook[Z].Cambridge，MA，USA，2018.

[19]John P.Thomas. Basic STPA Tutorial[Z].MIT，USA，2013.

[20]Zhang Q，Chen Q A，Hong D K，et al.A Systematic Framework to

Identify Violations of Scenario-dependent Driving Rules in Autonom

ous Vehicle Software[J].Performance Evaluation Review，2021（1）：

49.

[21]Rus D，Karaman S，Mora J A，et al.Social behavior for autonomous vehicles[J].Proceedings of the National Academy of Sciences of the United States of America.2019，116（50）：24972-24978.

[22]Grahn H，Kujala T，Silvennoinen J，et al.Expert Drivers' Prospective Thinking-Aloud to Enhance Automated Driving Technologies-Investigating Uncertainty and Anticipation in Traffic[J].Accident： analysis and prevention，2020，14（6）：105-107.

[23]Rasouli A，Tsotsos J K. Autonomous Vehicles That Interact With

Pedestrians：A Survey of Theory and Practice[J].IEEE Transactions

on Intelligent Transportation Systems，2019（99）：1-19.

[24]張俊.基于車聯網數據的駕駛行為識別與風險評估方法研究[D].合肥：中國科學技術大學，2020.

[25]ISO 26262-1：2018（E），Road vehicles—Functional safety[S].

[26]ISO/SAE 21434：2021（E），Road vehicles—Cybersecurity engineering[S].

[27]何仁，趙曉聰，楊奕彬，等.基于駕駛人風險響應機制的人機共駕模型[J].吉林大學學報：工學版，2021，51（3）：11-15.

[28]Pakdamanian E，Sheng S，Baee S，et al.DeepTake：Prediction of Driver

Takeover Behavior using Multimodal Data[C]//Human Factors in

Computing Systems[J].ACM，2021：3445563.

[29]Matsuo R，Liu H，Hiraoka T，et al.Enhancing the Driver's Comprehension of ADS's System Limitations：An HMI for Providing Request-to-Intervene Trigger Information[J].ArXiv，2023，abs/2306.

01328.

作者簡介：

李澤華，男，1984年生，碩士研究生，研究方向為汽車電子安全設計。