導(dǎo)語：自動駕駛汽車是“傳統(tǒng)汽車”和“駕駛?cè)恕钡慕Y(jié)合，其交通安全更多地由車輛中的“機器駕駛?cè)恕背袚?dān)和實現(xiàn)。那么，自動駕駛汽車的交通安全能力要如何實現(xiàn)？公安部道路交通安全研究中心研究人員系統(tǒng)梳理了聯(lián)合國法規(guī)《自動車道保持系統(tǒng)ALKS》中關(guān)于“機器駕駛?cè)恕苯煌ò踩芰Φ哪繕?biāo)、要求、實現(xiàn)方式等，并在此基礎(chǔ)上，分析搭建自動駕駛汽車交通安全框架，希望對我國開展自動駕駛汽車交通安全有所啟示。

安全是自動駕駛汽車設(shè)計、研發(fā)、運行管理和應(yīng)用中最重要的考量。交通安全是自動駕駛汽車安全的重要方面。由于自動駕駛汽車是“傳統(tǒng)汽車”和“駕駛?cè)恕钡慕Y(jié)合，其交通安全更多地由車輛中的“機器駕駛?cè)恕背袚?dān)和實現(xiàn)。為了更好地規(guī)范和引導(dǎo)自動駕駛汽車的發(fā)展，聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇（UN/WP.29）發(fā)布了《自動駕駛汽車框架文件》和《自動車道保持系統(tǒng)ALKS》兩部技術(shù)法規(guī)，歐盟也發(fā)布了《歐盟自動駕駛汽車認(rèn)證豁免程序指南》，形成了初步的自動駕駛汽車型式認(rèn)證體系。2021年3月，作為《車輛等型式認(rèn)定相互承認(rèn)協(xié)定》（聯(lián)合國歐洲經(jīng)濟委員會1958年汽車認(rèn)證協(xié)定）成員國，日本國土交通省按照上述聯(lián)合國技術(shù)法規(guī)，對本田L(fēng)egend EX進(jìn)行了L3級自動駕駛認(rèn)證。2021年12月，根據(jù)《自動車道保持系統(tǒng)ALKS》（UN-R157），德國聯(lián)邦汽車運輸管理局認(rèn)為奔馳的L3級自動駕駛系統(tǒng)符合規(guī)定，從法律和認(rèn)證兩個層面允許L3自動駕駛車輛銷售和上路。考慮到上述法規(guī)的陸續(xù)出臺，以及量產(chǎn)車型認(rèn)證的逐步落地，有必要探究在自動駕駛汽車中，交通安全到底是如何保障的，進(jìn)而為制定適應(yīng)性的運行安全管理標(biāo)準(zhǔn)和規(guī)范提供借鑒。

由于《自動車道保持系統(tǒng)ALKS》聚焦于有限的交通場景——“高速公路自動車道保持系統(tǒng)”，其關(guān)于自動駕駛汽車交通安全方面的規(guī)定更為細(xì)致和詳盡，因而擬作為重點梳理和分析的對象。如前所述，在《自動車道保持系統(tǒng)ALKS》之前，聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇（UN/WP.29）已發(fā)布了《自動駕駛汽車框架文件》，歐盟也發(fā)布了《歐盟自動駕駛汽車認(rèn)證豁免程序指南》，后兩部技術(shù)法規(guī)在交通安全方面也提出了概要性規(guī)定，并與《自動車道保持系統(tǒng)ALKS》保持了總體上的一致。

《自動駕駛汽車框架文件》主要目的是為WP.29在L3以上自動駕駛汽車安全方面提供最主要的原則指引。該文件首先設(shè)定了自動駕駛汽車的安全理念，即“自動駕駛汽車不得引發(fā)任何難以原諒的風(fēng)險”，意即“自動駕駛汽車不得引發(fā)可合理預(yù)見和避免的傷亡交通事故”。具體的，首先是在“系統(tǒng)安全”中，提出當(dāng)車輛在自動駕駛模式時，不得有不合理的對駕乘人員和其他交通參與者的安全風(fēng)險，并且需要遵守道路交通法規(guī)。在“系統(tǒng)安全的驗證”中，要求以不得產(chǎn)生不合理的安全風(fēng)險、遵守交通法規(guī)為目標(biāo)，基于系統(tǒng)工程手段，創(chuàng)建穩(wěn)健的設(shè)計和驗證流程。設(shè)計和驗證方法應(yīng)包含危害分析和安全風(fēng)險評估，重點面向自動駕駛系統(tǒng)、事件探測和響應(yīng)功能，以及相關(guān)的整車設(shè)計和更廣泛的道路交通生態(tài)系統(tǒng)。設(shè)計和驗證方法應(yīng)說明自動駕駛車輛在正常操作時的預(yù)期行為功能，以及碰撞避免和自動駕駛模式降級時的表現(xiàn)。試驗的方法主要是包含仿真、場地測試、道路測試在內(nèi)的復(fù)合方法[1]。

《歐盟自動駕駛汽車認(rèn)證豁免程序指南》的目的，一方面是通過成員國臨時認(rèn)證的方式，總結(jié)對自動駕駛系統(tǒng)評估的實踐經(jīng)驗；另一方面是促進(jìn)自動駕駛系統(tǒng)評估的流程化和規(guī)范化；再次則是為自動駕駛汽車的發(fā)展提供公平而透明的環(huán)境。該文件明確了自動駕駛系統(tǒng)功能10大安全要求，與“機器駕駛?cè)恕苯煌ò踩嚓P(guān)的有：

● 自動駕駛模式在運行域中可預(yù)見的交通情況下，自動駕駛系統(tǒng)均可自行駕駛，代替駕駛?cè)送瓿筛黝愸{駛?cè)蝿?wù)。

● 自動駕駛模式下，車輛不可導(dǎo)致可預(yù)見、可預(yù)防的交通事故。

● 自動駕駛模式下，車輛行為應(yīng)謹(jǐn)慎且可預(yù)見，同時可與其他交通參與者進(jìn)行適宜的交互（例如，聽從執(zhí)法人員的命令，與其他交通參與者交互等）。

● 自動駕駛模式下，車輛行駛應(yīng)遵守道路交通規(guī)則。

● 車輛應(yīng)與前方車輛保持安全距離，特別是在擁堵區(qū)域，在橫向運動中，應(yīng)為其他交通參與者留下足夠的時間和空間，應(yīng)能遵守路權(quán)，對于可以躲避的事故，若躲避后不會造成新的事故，則應(yīng)當(dāng)躲避該事故。

另外，在“最小風(fēng)險操作要求”部分，提出了具體的要求：當(dāng)自動駕駛系統(tǒng)探測到難以以自動駕駛模式繼續(xù)行駛時，車輛應(yīng)當(dāng)通過最小風(fēng)險操作，返回到最低風(fēng)險狀態(tài)。最小風(fēng)險操作時，應(yīng)當(dāng)按照交通規(guī)則，向其他交通參與者提醒最小風(fēng)險操作，如開啟危險報警閃光燈、制動燈、轉(zhuǎn)向燈等。最小風(fēng)險操作應(yīng)符合交通法規(guī)的要求。最小風(fēng)險操作可包含停止在本車道或變道后，在向周圍交通參與者提醒后安全停在路邊。除此之外，在“安全評估和測試”部分，對上述要求的實現(xiàn)，從廠家設(shè)計、評估，技術(shù)機構(gòu)評估、試驗等方面提出了確認(rèn)和驗證要求 [2]。

《自動車道保持系統(tǒng)ALKS》涉及交通安全的總體要求

自動駕駛系統(tǒng)激活后，應(yīng)該能代替人類駕駛?cè)?，其涉及交通安全的總體要求是：承擔(dān)動態(tài)駕駛?cè)蝿?wù)，應(yīng)對所有出現(xiàn)的狀況，不得產(chǎn)生不合理的交通安全風(fēng)險。不合理的交通安全風(fēng)險具體內(nèi)涵如下：不得造成任何可合理預(yù)見和避免的事故。在碰撞即將發(fā)生時，應(yīng)當(dāng)避免該事故，前提是不能造成其他事故。當(dāng)檢測到事故不可避免時，應(yīng)停止車輛[3]。

《自動車道保持系統(tǒng)ALKS》涉及交通安全的具體要求

本部分在討論自動駕駛汽車交通安全時，聚焦在自動駕駛系統(tǒng)與道路交通環(huán)境的互動方面。其與駕乘人員的互動、感知功能，以及遇到自身故障等情況時的最小風(fēng)險狀態(tài)操作等內(nèi)容不在本部分的討論范圍。具體要求如下[3]：

保持車道內(nèi)行駛

車輛不得穿越車道線，應(yīng)保持在車道內(nèi)行駛，特別是保持穩(wěn)定的橫向位置，以免給其他交通參與者帶來困惑。車輛還應(yīng)檢測相鄰車道內(nèi)的車輛，在必要的情況下，應(yīng)根據(jù)相鄰車道車輛通行情況，調(diào)整自身速度和橫向位置。

車速控制

車速應(yīng)與道路設(shè)施和環(huán)境條件相適應(yīng)。跟車情況下，應(yīng)根據(jù)表1列明的安全距離，調(diào)整自車速度。

表1：自動車道保持功能開啟時的最小跟車距離

應(yīng)對前方靜止障礙物

車輛在低于最高允許行駛速度之下行駛，應(yīng)能在靜止障礙物前面實現(xiàn)完全停車。靜止障礙物包括靜止的交通參與者、禁行標(biāo)線等。

應(yīng)對前方和側(cè)方動態(tài)情況

系統(tǒng)應(yīng)能檢測前方、側(cè)方碰撞風(fēng)險，如前車緊急制動、有車輛切入、前方突然出現(xiàn)障礙物等，并采取合理的動作，最小化此類交通安全風(fēng)險。上述情況下，評價標(biāo)準(zhǔn)如下：若熟練謹(jǐn)慎的駕駛?cè)丝梢员苊馐鹿?，則自動駕駛汽車也應(yīng)避免類似事故。

圖1： ALKS交通風(fēng)險能力應(yīng)對評判時所用的熟練謹(jǐn)慎駕駛?cè)四Ｐ?/span>

《自動車道保持系統(tǒng)ALKS》還給出了應(yīng)當(dāng)避免碰撞事故發(fā)生的幾種具體情形：

● 若前方車輛突然緊急減速，則應(yīng)當(dāng)避免碰撞。但遭遇側(cè)方車輛突然切入，兩車距離小于最小跟車距離要求的情況除外。

● 達(dá)到以下條件的切入場景下，也應(yīng)避免碰撞：切入車輛速度低于自車，且在特定時間之前探測到切入行為，以及兩車間距滿足特定條件。

● 若橫穿馬路行人速度小于5km/h，且不被遮擋，則車輛在低于最高允許行駛速度之下行駛時，均應(yīng)避免與其碰撞。

接近碰撞風(fēng)險的應(yīng)對

《自動車道保持系統(tǒng)ALKS》將“接近碰撞風(fēng)險”定義為“一種需要自動駕駛汽車達(dá)到5m/s2以上的制動減速度，才可能避免碰撞的情形”。在接近碰撞風(fēng)險情況下，車輛應(yīng)實施最大減速度，必要的時候，還可以采取其他避險措施，但車輛始終應(yīng)保持在本車道行駛。因采取緊急措施而停車的，車輛應(yīng)自動開啟危險報警閃光燈；當(dāng)車輛隨后自行啟動繼續(xù)行駛時，應(yīng)能自動關(guān)閉危險報警閃光燈。

企業(yè)自動駕駛汽車安全設(shè)計能力

交通安全保障技術(shù)，是自動駕駛的核心技術(shù)之一。為了包容新技術(shù)的快速發(fā)展，歐盟相關(guān)的安全認(rèn)證、管理等工作均建立在企業(yè)自身技術(shù)特征和企業(yè)對產(chǎn)品安全的過程管理的基礎(chǔ)上。具體到本文所述的交通安全層面，《自動車道保持系統(tǒng)ALKS》對企業(yè)的安全設(shè)計能力要求如下 [3]：

針對自動駕駛車輛對駕乘人員、其他交通參與者傷亡事故的避免、消減目標(biāo)的實現(xiàn)，企業(yè)應(yīng)提供相應(yīng)的分析方案文檔。認(rèn)證機構(gòu)選取以下內(nèi)容開展檢查確認(rèn)：

● 車輛設(shè)計運行范圍內(nèi)，由于運行環(huán)境擾動，可能帶來的交通安全風(fēng)險。典型的運行環(huán)境擾動有：對行車環(huán)境的理解不足或有誤，對其他交通參與者的反應(yīng)理解不足，控制不足，遭遇具有挑戰(zhàn)的場景等。

● 為實現(xiàn)交通參與者交互和遵守交通規(guī)則，在實施動態(tài)駕駛?cè)蝿?wù)（如緊急操作）時的決策過程。

具體從以下三個層面對企業(yè)提交的分析方案進(jìn)行評估：

● 整車層面檢查確認(rèn)。該方法應(yīng)建立在系統(tǒng)安全的“危害/風(fēng)險分析方法”基礎(chǔ)上。

● 系統(tǒng)層面檢查確認(rèn)。包括自上而下的“危害——設(shè)計”方法和自下而上的“設(shè)計——危害”方法。檢查確認(rèn)的方法需要基于失效模式和影響分析、故障樹分析、系統(tǒng)理論分析過程，或其他類似的適用于系統(tǒng)功能和運行安全的過程分析方法。

● 對“驗證/確認(rèn)”計劃及其結(jié)果的檢查確認(rèn)。應(yīng)包括適當(dāng)?shù)尿炞C試驗，如硬件在環(huán)、道路試驗、終端用戶試驗等。

認(rèn)證機構(gòu)在實施檢查確認(rèn)時，需要選定具體危害開展現(xiàn)場工作，目的是確認(rèn)企業(yè)提交的支撐“安全設(shè)計”的證據(jù)是可理解的、有邏輯的，并已在不同的功能中得到了實施。另外，還應(yīng)檢查確認(rèn)企業(yè)的確認(rèn)計劃，確保其能夠穩(wěn)健地證明車輛的安全性（如選定的確認(rèn)試驗工具，可合理地覆蓋所選場景），并檢查企業(yè)完成了上述確認(rèn)。認(rèn)證機構(gòu)在出具檢查確認(rèn)結(jié)果時，應(yīng)從以下兩個方面說明自動駕駛汽車的交通安全水平：

● 從整車等整體指標(biāo)看，自動駕駛汽車交通安全水平不低于人類駕駛?cè)恕?/span>

● 通過具體場景檢查確認(rèn)說明，自動駕駛汽車交通安全水平不低于人類駕駛?cè)恕?/span>

除此之外，認(rèn)證機構(gòu)還應(yīng)自行或要求企業(yè)開展針對性的試驗，用以驗證企業(yè)關(guān)于車輛安全功能的描述和安全設(shè)計的內(nèi)容。

在驗證安全功能時，除通過場地測試驗證各項功能要求外，還需要通過在實際道路中驗證車輛的整體表現(xiàn)，包括遵守交通規(guī)則的情況。該驗證結(jié)果應(yīng)當(dāng)與企業(yè)的描述一致，并符合相關(guān)標(biāo)準(zhǔn)規(guī)范的規(guī)定。

在驗證安全設(shè)計時，認(rèn)證機構(gòu)需要利用一系列能夠考驗自動駕駛汽車事件探測和響應(yīng)功能、決策特性的場景（如交通擾動場景）開展驗證試驗。

該驗證結(jié)果應(yīng)當(dāng)與企業(yè)危害分析文檔中整體安全性能的總結(jié)結(jié)果一致，即對企業(yè)安全設(shè)計及其實施進(jìn)行切實驗證，也確保車輛整體安全性能達(dá)到《自動車道保持系統(tǒng)ALKS》的要求。對于難以在場地和實際道路測試的場景，可采用符合要求的仿真工具和數(shù)學(xué)模型進(jìn)行試驗驗證。在這種情況下，車企需要說明上述方法對于具體場景的有效性，以及仿真工具鏈與實際測試的一致性。

企業(yè)自動駕駛汽車安全性能一致性保障能力

企業(yè)需要從軟硬件管理、設(shè)計研發(fā)管理、內(nèi)部管理、事故動態(tài)監(jiān)控、內(nèi)部審計、供應(yīng)商管理等方面，加強自動駕駛汽車安全性能一致性保障能力[3]。

軟硬件管理方面，對自動駕駛系統(tǒng)使用的軟硬件，車企需要應(yīng)用安全管理系統(tǒng)，包括對開發(fā)過程、方法和工具的有效管理，確保能夠管理系統(tǒng)安全，并在設(shè)計、研發(fā)、產(chǎn)品化、遵守交規(guī)、退出等系統(tǒng)全生命周期都能確保遵循安全要求。

設(shè)計研發(fā)管理中，需要包含安全管理系統(tǒng)、技術(shù)需求管理、技術(shù)需求實現(xiàn)、測試，以及故障溯源、修復(fù)和釋放等內(nèi)容。內(nèi)部管理方面，要確保負(fù)責(zé)功能/運行安全、信息安全以及其他車輛安全密切相關(guān)的部門之間建立并保持有效的溝通機制。

事故動態(tài)監(jiān)控方面，車企需要建立機制監(jiān)測與ALKS相關(guān)的時間/碰撞/沖突，并管理潛在的安全隱患。當(dāng)發(fā)生嚴(yán)重的事故和安全隱患時，需要及時向認(rèn)證機構(gòu)報告。

內(nèi)部審計方面，需要確保開展獨立的、周期性的內(nèi)部審計，確保上述軟硬件管理、設(shè)計研發(fā)管理、內(nèi)部管理、事故動態(tài)監(jiān)控等機制得到有效實施。

供應(yīng)商管理方面，車企需要與供應(yīng)商建立合適的關(guān)系（如合同約定、質(zhì)量管理系統(tǒng)），確保供應(yīng)商的安全管理系統(tǒng)也符合軟硬件管理、設(shè)計研發(fā)管理、內(nèi)部管理、內(nèi)部審計等方面的要求。

保障駕乘人員及周邊交通參與者交通安全，是自動駕駛汽車的基本要求。WP.29發(fā)布的《自動駕駛汽車框架文件》和歐盟發(fā)布的《歐盟自動駕駛汽車認(rèn)證豁免程序指南》，建立起了自動駕駛汽車交通安全的基本要求。WP.29《自動車道保持系統(tǒng)ALKS》是首部關(guān)于自動駕駛汽車的認(rèn)證法規(guī)，面向特定場景，建立了自動駕駛汽車交通安全框架體系，給出了安全目標(biāo)、具體的內(nèi)容和實現(xiàn)方法要求，也給出了認(rèn)證管理的具體要求，是開展相關(guān)工作的重要參考。

我國自動駕駛汽車交通安全的研究還處于起步階段，為促進(jìn)和規(guī)范自動駕駛技術(shù)健康發(fā)展，需要抓緊研究自動駕駛汽車交通安全目標(biāo)、任務(wù)、實現(xiàn)方法和安全管理的措施，搭建相關(guān)內(nèi)容框架和管理框架，通過這樣的政策“頂層設(shè)計”，協(xié)同企業(yè)和研究機構(gòu)的技術(shù)研發(fā)和實驗驗證推進(jìn)，雙輪驅(qū)動，推動自動駕駛汽車快速融入現(xiàn)有道路交通系統(tǒng)。