周文輝

摘 要：我國自動(dòng)駕駛道路測(cè)試管理還較為粗略，具有一定的安全隱患，也在一定程度上影響了“通過測(cè)試提升產(chǎn)品和技術(shù)能力”目標(biāo)的實(shí)現(xiàn)。主要原因是未系統(tǒng)梳理影響自動(dòng)駕駛道路測(cè)試安全的相關(guān)因素、分析相關(guān)規(guī)律，并在此基礎(chǔ)上，按照測(cè)試目標(biāo)、測(cè)試任務(wù)、潛在隱患點(diǎn)及其風(fēng)險(xiǎn)分析評(píng)估、利益相關(guān)方關(guān)注內(nèi)容等對(duì)測(cè)試管理進(jìn)行科學(xué)化分析，進(jìn)而結(jié)合測(cè)試企業(yè)自身實(shí)際提出針對(duì)性的對(duì)策，并將相關(guān)對(duì)策作為制度固化并實(shí)施。本文詳細(xì)介紹了英國、澳大利亞等國家在自動(dòng)駕駛道路測(cè)試中廣泛使用的安全文檔方法，包括其主要目標(biāo)、內(nèi)容、理論依據(jù)等，特別是從測(cè)試系統(tǒng)功能、系統(tǒng)安全、安全員管理、事件報(bào)告等15個(gè)方面入手，分析了影響自動(dòng)駕駛道路測(cè)試的具體要素，并給出了測(cè)試安全管理需要關(guān)注的重點(diǎn)內(nèi)容，提出了完善我國自動(dòng)駕駛道路測(cè)試制度、提升測(cè)試企業(yè)安全主體責(zé)任能力方面的建議。

關(guān)鍵詞：自動(dòng)駕駛；安全檔案；測(cè)試

1安全文檔方法概述

安全文檔（Safety Case）是為了說明安全風(fēng)險(xiǎn)已被識(shí)別、管理，并按照盡可能合理降低原則（ALARP）進(jìn)行了減緩，而形成的一系列論據(jù)文檔集。

安全文檔方法起源于英國。在國外，該方法已經(jīng)廣泛應(yīng)用于核工業(yè)、航空、石油、天然氣等危險(xiǎn)行業(yè)的安全管理。比如對(duì)于產(chǎn)品的安全完整性等級(jí)（Safety Integrity Level，SIL）認(rèn)證，該認(rèn)證主要包括產(chǎn)品設(shè)計(jì)細(xì)節(jié)的評(píng)估、生產(chǎn)廠家安全管理體系的評(píng)估以及產(chǎn)品開發(fā)人員能力的評(píng)估。為了表明產(chǎn)品具有指定的SIL能力，生產(chǎn)廠家需要向認(rèn)證機(jī)構(gòu)提供一系列的證明文件，來表明產(chǎn)品滿足了標(biāo)準(zhǔn)中的要求。這些證明文件所形成的文檔集，就稱為安全文檔。編制安全文檔，是指通過收集、分析相應(yīng)的證據(jù)，證明所設(shè)計(jì)的產(chǎn)品與標(biāo)準(zhǔn)的符合性。安全文檔方法提供了一個(gè)系統(tǒng)的、完整的方法，來表明與一個(gè)或多個(gè)標(biāo)準(zhǔn)的符合性。來自于產(chǎn)品開發(fā)過程中不同階段的文檔，形成了支持論據(jù)的證據(jù)。為了保證產(chǎn)品開發(fā)人員、操作人員、安全評(píng)估人員以及認(rèn)證機(jī)構(gòu)的安全管理，只進(jìn)行簡單的文檔記錄是不夠的，而應(yīng)該有結(jié)構(gòu)化的文檔。安全文檔是一個(gè)動(dòng)態(tài)的文檔集。在產(chǎn)品設(shè)計(jì)過程中難免會(huì)發(fā)生一些變更，這時(shí)安全文檔就需要進(jìn)行調(diào)整、升級(jí)，記錄相應(yīng)的變更，以保證論據(jù)與證據(jù)的正確性和統(tǒng)一性。當(dāng)表明產(chǎn)品與標(biāo)準(zhǔn)中要求符合的安全文檔完成后，它能夠顯示所有的要求、每個(gè)要求是如何滿足的論據(jù)、支持論據(jù)的證據(jù)文檔以及評(píng)估人員的評(píng)估結(jié)論。目前，雖然安全文檔僅僅在一些行業(yè)中是強(qiáng)制性的，但是該方法正被越來越多的行業(yè)所采用[1]。

安全文檔的理論基礎(chǔ)是風(fēng)險(xiǎn)盡可能合理降低原則（ALARP）。該原則最早也由英國提出，是指各類合理可用的風(fēng)險(xiǎn)減緩、消除方法、措施均已使用。此處，合理可用的風(fēng)險(xiǎn)管控方法，是指使用這些方法，不會(huì)造成不合理的時(shí)間、經(jīng)費(fèi)投入。在法國應(yīng)用更多的合理性評(píng)估方式是GAMAB（globalement au moins aussi bon風(fēng)險(xiǎn)水平大體相當(dāng)），這種方法的要求是，當(dāng)用一些可接受指標(biāo)衡量新系統(tǒng)時(shí)，任何新系統(tǒng)必須提供它的風(fēng)險(xiǎn)水平，而且這個(gè)風(fēng)險(xiǎn)水平一定不能低于現(xiàn)存的同類系統(tǒng)。根據(jù)產(chǎn)品的不同，指標(biāo)可能是每年的人員傷亡人數(shù)，每小時(shí)使用該設(shè)備的受傷人數(shù)或其他適當(dāng)?shù)暮饬繕?biāo)準(zhǔn)。

2應(yīng)用安全文檔方法管理自動(dòng)駕駛道路測(cè)試工作概述

在自動(dòng)駕駛道路測(cè)試中應(yīng)用安全文檔法，首先應(yīng)確保安全文檔是在自動(dòng)駕駛測(cè)試涉及的各類法律法規(guī)和標(biāo)準(zhǔn)規(guī)范基礎(chǔ)上制定的，同時(shí)安全文檔至少需要包括測(cè)試車輛相關(guān)、測(cè)試平臺(tái)相關(guān)、車輛操控與運(yùn)行環(huán)境相關(guān)的各類風(fēng)險(xiǎn)，以上風(fēng)險(xiǎn)均需要考慮其他參與方，包括其他車輛、行人和非機(jī)動(dòng)車、測(cè)試駕駛?cè)嘶虬踩珕T、乘客、道路施工維護(hù)人員和其他第三方。安全文檔需要?jiǎng)討B(tài)更新，測(cè)試、工作提升和安全保障中的改善均應(yīng)納入記錄。下圖是應(yīng)用安全文檔方法管理自動(dòng)駕駛道路測(cè)試工作的示意圖[2]。

3管理自動(dòng)駕駛道路測(cè)試的安全文檔內(nèi)容

完整的管理自動(dòng)駕駛道路測(cè)試的安全文檔包括以下內(nèi)容[2]：

3.1安全文檔的目的和范圍

安全文檔需要說明，在任何時(shí)間和地點(diǎn)開展的測(cè)試和示范驗(yàn)證均是安全的，并明確開發(fā)和擁有安全文檔的組織名稱。

安全文檔應(yīng)在范圍中說明以下內(nèi)容：

（1）開展的測(cè)試和示范應(yīng)用的概況，包括目的、安全保障方法、主要合作機(jī)構(gòu)及其職責(zé)、公眾參與的方式等；（2）安全文檔未包含的內(nèi)容（如功能安全）；（3）不同測(cè)試階段對(duì)應(yīng)的安全文檔，以及安全文檔的管理、升級(jí)等內(nèi)容。

3.2車輛和自動(dòng)駕駛系統(tǒng)

安全文檔應(yīng)包含以下車輛和自動(dòng)駕駛系統(tǒng)的信息：基礎(chǔ)車型及其改裝；車輛外形；符合相關(guān)標(biāo)準(zhǔn)的情況；傳感器種類、位置及固定方式；自動(dòng)駕駛系統(tǒng)功能；巡航和定位；人機(jī)交互；機(jī)器學(xué)習(xí)；數(shù)據(jù)存儲(chǔ)和讀??；信息安全等。

3.3車輛ODD相關(guān)信息

包括以下信息：用自然語言對(duì)運(yùn)行邊界的描述；系統(tǒng)如何確定是在運(yùn)行設(shè)計(jì)域（ODD）范圍內(nèi)運(yùn)行；系統(tǒng)難以應(yīng)對(duì)的道路交通環(huán)境；車輛其他局限性（如限速）；默認(rèn)進(jìn)入風(fēng)險(xiǎn)最小狀態(tài)的流程；ODD范圍內(nèi)車輛行為的監(jiān)控及干預(yù)流程；車輛能夠在ODD安全運(yùn)行的證據(jù)。

3.4測(cè)試目的

包含以下信息：測(cè)試場景構(gòu)成；測(cè)試需要應(yīng)對(duì)或確認(rèn)的場景邊界和場景內(nèi)元素；測(cè)試開展、監(jiān)控和評(píng)估的細(xì)則。

3.5運(yùn)行安全評(píng)估

安全評(píng)估是制定各項(xiàng)干預(yù)手段的基礎(chǔ)。運(yùn)行安全評(píng)估主要包括：針對(duì)每個(gè)具體場景，均需要確定危害，評(píng)估風(fēng)險(xiǎn)。評(píng)估內(nèi)容包括：車輛軟硬件、車輛監(jiān)控、車輛操作、外部影響因素（如通訊、路線等），其中與其他交通參與者的交互是評(píng)估的重點(diǎn)。

3.6運(yùn)行安全指南

總結(jié)好的經(jīng)驗(yàn)，形成運(yùn)行安全指南，指南還應(yīng)包括與相關(guān)方溝通后的緊急事件處理預(yù)案。

3.7路線選擇和安全評(píng)估

根據(jù)實(shí)際路線進(jìn)行安全評(píng)估，路線中相關(guān)設(shè)施的變化應(yīng)隨時(shí)跟蹤記錄。

3.8安全操作和控制

應(yīng)包括以下內(nèi)容：安全員監(jiān)控車輛的方法；車輛最小風(fēng)險(xiǎn)狀態(tài)的條件；接管預(yù)警方法。安全員能力保持的機(jī)制（對(duì)自動(dòng)駕駛系統(tǒng)的清醒認(rèn)識(shí)，管理分心、疲勞的對(duì)策）；對(duì)異常事件診斷和反應(yīng)能力的證據(jù)；對(duì)安全員的監(jiān)控。

3.9系統(tǒng)安全

系統(tǒng)安全評(píng)估應(yīng)與測(cè)試需求相適應(yīng)。應(yīng)說明評(píng)估人員及其獨(dú)立性、評(píng)估過程、評(píng)估依據(jù)的標(biāo)準(zhǔn)等；評(píng)估中明確的“隱患”和“安全目標(biāo)”。評(píng)估應(yīng)確保系統(tǒng)在緊急情況下能夠及時(shí)回到安全最小狀態(tài)，并可隨時(shí)被接管。還應(yīng)包括信息安全。

3.10之前類似測(cè)試情況

包括以下信息：測(cè)試地及測(cè)試設(shè)備（路段）特征。測(cè)試方式：仿真、實(shí)際道路、場地。測(cè)試對(duì)象（傳感器、軟件、硬件、安全員操作和反應(yīng)）及其合格目標(biāo)。測(cè)試通過/未通過點(diǎn)位情況以及最終的測(cè)試結(jié)果。

3.11車輛變動(dòng)的管理

測(cè)試中動(dòng)態(tài)管理車輛變動(dòng)的情況：自動(dòng)駕駛系統(tǒng)及車輛運(yùn)行中的各類變動(dòng)，均需要記錄，根據(jù)測(cè)試情況及時(shí)收集、更新隱患點(diǎn)，并進(jìn)行分類評(píng)估。記錄車輛變動(dòng)的機(jī)制流程及對(duì)應(yīng)的風(fēng)險(xiǎn)評(píng)估方式；車輛變動(dòng)相關(guān)信息的歸檔、分類和測(cè)試應(yīng)對(duì)；重新開始測(cè)試的流程；對(duì)車輛變動(dòng)的其他安全監(jiān)控和管理措施。

3.12利益相關(guān)方

與利益相關(guān)方開展的相關(guān)活動(dòng)、取得的成效；與利益相關(guān)方開展交流、活動(dòng)中收到的安全反饋及處置。 保險(xiǎn)情況，以及開展道路測(cè)試所需的各類資質(zhì)、許可情況。

3.13監(jiān)督、報(bào)告和持續(xù)提升

安全文檔應(yīng)反映出學(xué)習(xí)、證據(jù)收集和持續(xù)更新迭代的過程，應(yīng)有版本管理和動(dòng)態(tài)過程管理。主要包括：測(cè)試數(shù)據(jù)收集的類型、收集方法和頻率，傳感器、冗余、失效數(shù)據(jù)的監(jiān)控，動(dòng)態(tài)挑戰(zhàn)因素的監(jiān)控，數(shù)據(jù)下載、存儲(chǔ)、分析、安全保護(hù)、日志等。報(bào)告事件的類型和方式，接管數(shù)據(jù)的獲取和分析，負(fù)責(zé)報(bào)告的人員信息（數(shù)據(jù)和報(bào)告最好歸口單人管理），進(jìn)一步調(diào)查需要數(shù)據(jù)的獲取，數(shù)據(jù)的復(fù)審，測(cè)試退出標(biāo)準(zhǔn)。

3.14測(cè)試安全員管理

安全員是自動(dòng)駕駛測(cè)試最重要的安全機(jī)制[3]。（1）測(cè)試機(jī)構(gòu)具有三大職責(zé)：制定安全員培訓(xùn)、管理計(jì)劃并實(shí)施；確保安全員能力；管理安全員工作時(shí)間（單次測(cè)試最好不要超過2小時(shí)，中途休息應(yīng)大于半小時(shí)）。（2）安全員資格要求：駕照、經(jīng)驗(yàn)、違法違規(guī)、廣泛性；身體、心理、認(rèn)知、主動(dòng)報(bào)告?zhèn)€人上述事項(xiàng)；對(duì)車型、測(cè)試、路線、客貨運(yùn)的經(jīng)驗(yàn)。（3）安全員培訓(xùn)應(yīng)注重以下內(nèi)容：車輛預(yù)期內(nèi)的行為和預(yù)期外的行為，最小風(fēng)險(xiǎn)狀態(tài)條件和位置，ODD及其特征，測(cè)試路線，測(cè)試風(fēng)險(xiǎn)及應(yīng)對(duì)，接管點(diǎn)，客貨運(yùn)等。培訓(xùn)分為通用培訓(xùn)和專門培訓(xùn)。通用培訓(xùn)包括外部培訓(xùn)和內(nèi)部培訓(xùn)，目的是對(duì)基礎(chǔ)車型和自動(dòng)駕駛系統(tǒng)的熟悉。專門培訓(xùn)目的：對(duì)測(cè)試車的構(gòu)造、能力和局限性了解，以及人機(jī)交互、接管、操作指南、自身職責(zé)、測(cè)試終止條件、緊急情況應(yīng)對(duì)、安全員和測(cè)試工程師的溝通渠道和方式，對(duì)測(cè)試監(jiān)管的了解。另外，針對(duì)錯(cuò)誤、違規(guī)，重新上崗等，需要開展再培訓(xùn)。（4）培訓(xùn)記錄。記錄培訓(xùn)內(nèi)容、方式、時(shí)間、效果，之前培訓(xùn)經(jīng)歷和相關(guān)經(jīng)驗(yàn)。每次測(cè)試后，均應(yīng)記錄安全員表現(xiàn)。包括測(cè)試時(shí)間、錯(cuò)誤或失誤、事件發(fā)生和應(yīng)對(duì)、事件防范措施、良好實(shí)踐。（5）安全員考試：最少要包含風(fēng)險(xiǎn)識(shí)別和應(yīng)對(duì)、接管、車輛意外行為的應(yīng)對(duì)、緊急事件應(yīng)對(duì)、保持專注及對(duì)周圍環(huán)境的警覺等內(nèi)容；可通過理論、仿真、實(shí)際考試等方式進(jìn)行，盡可能接近實(shí)際。

3.15測(cè)試事故調(diào)查

事故調(diào)查可全面提升安全能力，回應(yīng)各相關(guān)方關(guān)切。事故調(diào)查需要弄清以下事實(shí)：（1）事發(fā)環(huán)境與ODD關(guān)系；（2）輛內(nèi)部狀態(tài)如何，有無功能失效或退化：（3）外部狀態(tài)如何，有無功能失效或退化；（4）有無信息安全攻擊；（5）系統(tǒng)何時(shí)意識(shí)到有事件發(fā)生，如何意識(shí)到的；（6）事件發(fā)生時(shí)，哪些功能在起作用；（7）事件發(fā)生時(shí)，哪個(gè)執(zhí)行器在起作用，最后一次接管情況；（8）系統(tǒng)能否提供事件的詳情；（9）誰在駕駛？接管情況[4]……。調(diào)查是對(duì)上述安全文檔內(nèi)容的全面檢查和評(píng)估，也是對(duì)車輛本身性能的全面檢查和評(píng)估，因而對(duì)提升車輛安全性能和測(cè)試運(yùn)行安全管理均具有重要意義。由于數(shù)據(jù)記錄的全面性和可獲取性，自動(dòng)駕駛測(cè)試事故調(diào)查應(yīng)該是以數(shù)據(jù)為基礎(chǔ)而開展的系統(tǒng)性、全面調(diào)查。

4啟示與建議

2021年7月，工業(yè)和信息化部、公安部、交通運(yùn)輸部聯(lián)合印發(fā)《智能網(wǎng)聯(lián)汽車道路測(cè)試與示范應(yīng)用管理規(guī)范（試行）》（工信部聯(lián)通裝〔2021〕97號(hào)），各地也陸續(xù)發(fā)布了地方智能網(wǎng)聯(lián)汽車道路測(cè)試與示范應(yīng)用管理的規(guī)定。目前各自動(dòng)駕駛測(cè)試企業(yè)主要依據(jù)上述規(guī)定開展相應(yīng)的道路測(cè)試和示范應(yīng)用活動(dòng)。從相關(guān)調(diào)研和測(cè)試事故調(diào)查情況來看，我國自動(dòng)駕駛道路測(cè)試管理還有較大的提升空間，突出表現(xiàn)在未按照上述相關(guān)規(guī)定開展測(cè)試，企業(yè)層面的管理也較為粗略，具有一定的安全隱患，也在一定程度上影響了“通過測(cè)試提升產(chǎn)品和技術(shù)能力”目標(biāo)的實(shí)現(xiàn)。

安全文檔方法是系統(tǒng)、科學(xué)、規(guī)范管理自動(dòng)駕駛道路測(cè)試的有效工具和手段，已在英國和澳大利亞等國家普遍應(yīng)用，具備較好的理論基礎(chǔ)和實(shí)踐經(jīng)驗(yàn)，該方法不僅囊括道路測(cè)試需要遵守的各項(xiàng)標(biāo)準(zhǔn)規(guī)范，也充分考慮自動(dòng)駕駛道路測(cè)試的基本規(guī)律，便于測(cè)試企業(yè)結(jié)合自身實(shí)際制定和實(shí)施測(cè)試安全管理辦法。另外，從內(nèi)容上看，安全文檔的相關(guān)規(guī)定，與自動(dòng)駕駛認(rèn)證管理中實(shí)施的“多支柱”安全保障策略具有較強(qiáng)的關(guān)聯(lián)性。因此，為保障測(cè)試安全、發(fā)揮測(cè)試對(duì)研發(fā)和產(chǎn)品能力的促進(jìn)作用、同時(shí)與量產(chǎn)認(rèn)證做好銜接，希望借鑒安全文檔的相關(guān)經(jīng)驗(yàn)，提升自動(dòng)駕駛道路測(cè)試安全管理的針對(duì)性、科學(xué)性和精細(xì)化能力。

參考文獻(xiàn)

[1]郭苗. 第三十三講：Safety Case方法及專用工具介紹[J]. 儀器儀表標(biāo)準(zhǔn)化與計(jì)量，2013（2）：3.

[2] Assuring the safety of automated vehicle trials and testing–Specification. PAS 1881：2020.

[3] Safety operators in automated vehicle testing and trialling Guide. PAS 1884：2021.

[4] Data collection and management for automated vehicle trials Specification. PAS 1882：2021.

國外自動(dòng)駕駛交通事故責(zé)任劃分

德國《道路交通法》《自動(dòng)駕駛汽車交通倫理準(zhǔn)則》都從立法角度，承認(rèn)駕駛?cè)?，車主和汽車制造商同為事故風(fēng)險(xiǎn)承擔(dān)者，正式將汽車制造商納入責(zé)任范圍。

對(duì)于“人機(jī)共駕”的L3級(jí)自動(dòng)駕駛汽車來說，區(qū)分駕駛進(jìn)程的某個(gè)時(shí)間節(jié)點(diǎn)，尤其是交通事故發(fā)生瞬間，是由駕駛?cè)诉€是系統(tǒng)控制車輛，就變得尤為重要。

《歐盟自動(dòng)駕駛汽車認(rèn)證豁免程序指南》規(guī)定自動(dòng)駕駛汽車應(yīng)裝備車載設(shè)備，即所謂的“黑匣子”。記錄任何時(shí)間點(diǎn)的自動(dòng)駕駛系統(tǒng)運(yùn)行狀態(tài)和人類駕駛狀態(tài)，以便區(qū)分事故發(fā)生時(shí)的駕駛?cè)蝿?wù)承擔(dān)者。

“黑匣子”記錄的數(shù)據(jù)應(yīng)包括自動(dòng)駕駛系統(tǒng)運(yùn)行狀態(tài)、人類駕駛狀態(tài)、周圍環(huán)境信息、自動(dòng)駕駛控制信息，這些信息將為重建事故場景、分析事故原因、明確事故責(zé)任提供重要證據(jù)。

對(duì)于高度自動(dòng)化的L4車輛，德國《自動(dòng)駕駛法》要求為自動(dòng)駕駛公司在進(jìn)行商業(yè)化運(yùn)營時(shí)，必須購買相應(yīng)的責(zé)任險(xiǎn)，以此承擔(dān)相應(yīng)的事故責(zé)任。

同樣決定不再隔靴搔癢，敢于直視技術(shù)與立法困境的還有日本。

日本《道路交通法》明確提及，因系統(tǒng)錯(cuò)誤操作等明顯故障導(dǎo)致事故發(fā)生的話，制造商可能將承擔(dān)過失；

如果因?yàn)轭仍颍{駛?cè)藳]有按照系統(tǒng)要求切換駕駛模式而導(dǎo)致事故發(fā)生，那么駕駛?cè)藢⒊袚?dān)責(zé)任。

判斷依據(jù)同樣來自于車載記錄裝置，并對(duì)數(shù)據(jù)保存期限做出規(guī)定。