歐盟自動駕駛汽車認證管理辦法及啓示 | 聚焦自動駕駛
開篇語
隨着計算機、軟件、人工智能、通信、傳感器等技術的進步,自動駕駛汽車距離我們越來越近,與其相關的話題一直備受關注。言究社聚焦自動駕駛,開設專題欄目。准入認證是自動駕駛汽車安全管理的重要內容,也是車輛進入市場的必要前提。公安部道研中心研究人員系統梳理了歐盟自動駕駛汽車准入認證管理的相關內容,包括認證工作的目的、範圍,主要安全認證內容,以及認證的工作程序,希望能爲我國構建自動駕駛准入認證管理提供借鑑。
歐盟自動駕駛汽車認證指南目的和適用範圍
歐盟於2018年5月17日發佈了“歐盟智能與網聯車輛戰略”[1]。爲實施該戰略,歐盟委員會當年宣佈有意聯合各成員國發布指南,致力於在自動駕駛汽車認證方面在歐盟範圍內達到協調一致。爲此,歐盟委員會於2019年4月5日發佈了《歐盟自動駕駛汽車認證豁免程序指南》[2]。
歐盟規範機動車認證的規定主要指令是“機動車輛認證辦法(2007/46/EC)”,從2020年9月1日起,新的歐盟指令“機動車輛認證和市場監管辦法(Regulation No. 858/2018)”正式實施。根據上述規定,車輛若使用諸如自動駕駛等超出現有技術法規規定的新技術,則認證時需要執行特別的豁免程序。鑑於自動駕駛技術的規範管理要求,短期內很難在歐盟層面達成一致,因此,擬先是在成員國層面進行臨時認證,之後通過歐盟委員會的決定,促進在成員國之間的互認。通過這兩步,經過認證的自動駕駛汽車就可以像其他認證車輛一樣,向歐盟各市場投放了。
出臺自動駕駛汽車認證指南的目的,一方面是通過成員國臨時認證的方式,總結對自動駕駛系統評估的實踐經驗;另一方面是促進自動駕駛系統評估的流程化和規範化;再次則是爲自動駕駛汽車的發展提供公平而透明的環境。
在考慮認證指導原則的優先級時,爲適應應用需求,主要聚焦於有限條件下的自動駕駛汽車,即美國汽車工程師協會規定的第三級(L3)和第四級(L4)車輛,上述車輛目前上道路測試較多,並有望在未來幾年商業化。
歐盟車輛認證豁免程序只對量產車適用。對特別小批量車輛或原型車開發,適用於其他認證程序,如成員國個別認證、成員國小批量認證等。
歐盟自動駕駛汽車安全要求
自動駕駛系統功能要求
歐盟明確了自動駕駛系統功能10大安全要求。分別爲:
● 自動駕駛模式在運行域中可預見的交通情況下,自動駕駛系統均可自行駕駛,代替駕駛人完成各類駕駛任務。
● 自動駕駛模式下,車輛不可導致可預見、可預防的交通事故。
● 自動駕駛模式下,車輛行爲應謹慎且可預見,同時可與其他交通參與者進行適宜的交互(例如,聽從執法人員的命令,與其他交通參與者交互等)。
● 自動駕駛模式下,車輛行駛應遵守道路交通規則。
● 車企應向認證機構申明自動駕駛汽車運行域,即在設計上車輛適宜運行的時間和空間條件。運行域應至少包含:道路條件(機動車道/高速公路,普通公路,車道數,車道線要求,自動駕駛汽車專用道路等),地理區域(城區/山區,地理圍欄設置等),環境條件(天氣、夜間行駛限制等),通行速度範圍,以及其他與自動駕駛運行安全密切相關的條件。
● 自動駕駛系統應能辨識當前是否處於運行域,並且只能在運行域運行。
●在運行域內,系統應能處理各類情況(環境感知、作出正確行車決策、正確執行動態駕駛任務、與其他交通參與者有效交互),而不需要駕駛人的持續監管。在運行域內,車輛不應導致交通事故。對於車內外的車輛使用者,以及其他交通參與者的錯誤,車輛從設計上即應將這種錯誤導致的不良影響降到最低。
●車輛應與前方車輛保持安全距離,特別是在擁堵區域,在橫向運動中,應爲其他交通參與者留下足夠的時間和空間,應能遵守路權,對於可以躲避的事故,若躲避後不會造成新的事故,則應當躲避該事故。
●運行域設計時,要考慮駕駛人的安全接管,即只在低風險情況下接管,且接管時應遵守道路交通規則。
●自動駕駛模式下,系統應能對難以繼續駕駛的情況自動檢測,例如能夠檢測運行域邊界,或系統的實效。
人機交互要求
歐盟明確了自動駕駛系統人機交互5大安全要求。分別爲:
●只有在運行域條件滿足時,自動駕駛模式才能啓動,駕駛接管或退出自動駕駛模式由駕駛人、操作人或操控中心監管人員執行,必須易操作。當人類發出的自動駕駛模式退出指令可能包含安全風險時,自動駕駛系統應當延遲自動駕駛模式的退出。
● 車輛必須持續以清晰的方式向接管人員顯示運行、失效等系統的運行狀態。
● 駕駛人應明晰自動駕駛模式的功能和侷限,並且需要了解自動駕駛系統可賦予駕駛人的任務功能。
● 若系統設計時,考慮了某種情況下的接管,則系統應監測駕駛人狀態是否具備接管要求。系統應通過駕駛人監測、預警系統,確保駕駛人處於可接管狀態,並且在設計上應能阻止和預見運行域範圍內的駕駛人誤操作。
● 對於無人擺渡車等無駕駛人自動駕駛汽車,則應提供向操控中心傳送緊急通知的信息傳送系統。另外,車內還應配備攝像機和聲音傳輸裝置,確保操控中心可監控車內情況。
駕駛任務交接要求
當超出運行域,或出現故障等情況,車輛難以繼續在自動駕駛模式下行駛時,自動駕駛系統可請求駕駛人進行接管,但應保留有足夠的接管時間。若駕駛人未接管時,自動駕駛系統應當繼續在自動駕駛模式下行駛,或者執行最小風險操作。車輛設計時,應當確保駕駛人可以清楚地識別接管請求。系統還應準確識別駕駛人是否執行了接管。
最小風險操作要求
當自動駕駛系統探測到難以以自動駕駛模式繼續行駛時,車輛應當通過最小風險操作,返回到最低風險狀態。最小風險操作時,應當按照交通規則,向其他交通參與者提醒最小風險操作,如開啓危險報警閃光燈、制動燈、轉向燈等。最小風險操作應符合交通法規的要求。最小風險操作可包含停止在本車道或變道後,在向周圍交通參與者提醒後安全停在路邊。在最小風險操作的最後階段,可要求駕駛人進行接管,如對於具有車道保持功能的L3自動駕駛汽車,可要求人類駕駛人執行最後的安全停在路邊的操作。
數據存儲系統要求
自動駕駛汽車應裝備車載設備,記錄自動駕駛系統運行狀態和人類駕駛狀態,以便區分事故發生時的駕駛任務承擔者。記錄的數據應能支持分配事故責任,並且支持評估人類駕駛或自動駕駛在事故中的應對情況。至少應包含自動駕駛系統運行狀態、人類駕駛狀態、周圍環境信息、自動駕駛控制信息。記錄的數據應能在經歷撞擊、着火等之後,仍然保持數據的完整可讀,並且應注意數據安全保護,防止數據篡改,確保其符合歐盟數據保護法規,但應允許成員國相關監管機構讀取和解析。隨着實踐經驗的積累,應當制定更加詳細的數據要求(如記錄時間、保持時長、數據使用目的、數據讀取接口標準化、隱私信息保護等)。
信息安全要求
自動駕駛汽車應從設計上應用最先進的技術,防止車輛被黑客攻擊,確保車輛符合歐盟數據保護法規。主要通過車企的風險評估、安全設計方法以及過程管理來防止、減緩和應對信息攻擊。針對軟件升級等,車企應當採取安全措施,保障在用車全生命週期信息安全。
安全評估和測試要求
安全評估和測試要求具體如下:
● 自動駕駛車輛、自動駕駛系統、自動駕駛系統部件和技術單元均需要滿足“機動車輛認證辦法(2007/46/EC)”附錄4列明的安全技術法規要求。
●認證主管機構對車企的認證評估應着眼於:自動駕駛系統具有穩健的設計和穩健的驗證程序,確保車輛符合本指南,特別是車輛不會造成事故,能夠提出安全接管請求、執行最小風險操作。根據車企提供的關於測試、驗證、評估等方面的安全評估報告,認證主管機構應當得出(與傳統車輛)等效的安全結論。
●車企應當特別說明針對自動駕駛系統,已經開展了危害與風險分析,並將這種分析融入了車輛總體設計,甚至考慮了更廣泛的道路交通生態系統,並且進行了足夠的設計和冗餘,確保車輛能夠應對這些風險。
●應當在系統設計中應對對功能安全具有較大影響的風險,這些風險可能是由信息攻擊、實效(功能安全)或潛在的控制不足、不可預見的控制行爲、人員誤用、與其他交通參與者交互不足(運行安全)造成的。關於這方面的方法可以參考功能安全標準(ISO 26262)和系統理論分析過程(STRA)中有關運行安全的部分,或參考其他等效方法,如預期功能安全標準草案(ISO 21448)。
● 所有的設計決策均應由車企在獨立的子系統層面和整車的大框架下測試、驗證和確認。
●認證主管機構應當:確認車企的危害與風險分析已經覆蓋了所有與系統相關的失效和駕駛風險,並且能夠評估風險的臨界值。評估風險應對的邏輯圖(冗餘、操作)覆蓋了能夠預見的系統失效和駕駛風險。確保根據相關性試驗,並考慮不同的用戶,人機交互得到了適當的評估。開展最小數量的試驗(同時考慮嚴重失效和駕駛風險場景,以及正常駕駛場景),確認從功能和運行兩個層面看,車輛均能安全運行。上述最小數量試驗應當同時包含假陰性(false negative)和假陽性(false positive)測試場景。確保評估系統運行安全性能的方法是透明的。可以使用仿真測試驗證的方法,但應遵從歐盟指令“機動車輛認證辦法(2007/46/EC)”和“機動車輛認證和市場監管辦法(Regulation No. 858/2018)”中有關虛擬測試的規程要求。
● 認證主管機構在實施車輛安全評估時,可以接入被測自動駕駛系統。
● 認證主管機構應當具有必要的能力、資質,接受相應的培訓,以便實施上述車輛安全評估和測試工作。
向用戶提供的信息要求
車企應以便於理解的方式,採取各類措施向用戶提供自動駕駛相關的知識。主要包括:
● 自動駕駛系統運行條件、運行域、功能侷限;
● 關閉自動駕駛模式的方法;
● 人類駕駛人的任務(如對於L3級別自動駕駛,駕駛人需要承擔的接管任務);
● 對於L3級別自動駕駛,需要人類駕駛人採取的其他駕駛外的行動;
● 人機交互提供的指示信息(如是否在自動駕駛狀態);
● 出現緊急情況時,用戶應採取的措施;
● 當自動駕駛系統出現問題時,車輛的行爲表現;
● 車輛保養、檢驗,以及系統在線升級相關知識。
歐盟自動駕駛汽車認證程序
根據歐盟指令“機動車輛認證辦法(2007/46/EC)”第20章和“機動車輛認證和市場監管辦法(Regulation No. 858/2018)”第39章,自動駕駛汽車認證豁免程序如下:
●汽車企業向成員國認證主管機構遞交認證申請。需要遞交的材料見表1。
表1 汽車企業向認證主管機構提交的資料信息
● 若條件許可,成員國可根據認證豁免程序辦法臨時認證許可,該認證只在成員國境內有效,並向歐盟委員會和各成員國通報以下信息:說明豁免的理由,說明車輛各系統、部件、獨立的技術單元對現有技術法規的符合情況,以及不符合的情況。具備自動駕駛功能車輛內部各系統的交互情況也應考慮。車輛安全和使用環境的說明,以及採取的相應措施。認證主管機構應以認證豁免指南爲基礎,對自動駕駛車輛進行評估。另外,歐盟委員會和成員國也可修改歐盟和聯合國歐洲經濟委員會的相關技術法規要求,將其作爲認證的備選基礎規定。針對豁免項目所做的測試及其結果的說明,應確保針對安全和環保的測試及其結果不低於現有同類標準要求。
●歐盟委員會應組織機動車技術委員會進行投票,表決是否將成員國的臨時認證轉變爲歐盟認證。歐盟委員會的認證決定,也應以認證豁免指南爲基礎,清楚認定自動駕駛功能情況。歐盟委員會認證決定應公開。歐盟委員會應根據對風險的評估,以及未來可能的認證適用條件,限定認證的期限(最小爲36個月)和數量。
● 在等待歐盟委員會認證決定之前,成員國可接受其他成員國的臨時認證,許可其在本國境內獲取臨時認證。
● 對於按照認證豁免程序認證的車輛,歐盟委員會可根據認證主管機構提供的簡化材料,對認證範圍進行擴大。上述簡化材料應清楚描述擬擴大認證車輛與已認證車輛的不同。
工業和信息化部於2021年7月30日印發了《關於加強智能網聯汽車生產企業及產品准入管理的意見》(工信部通裝〔2021〕103號),要求加強汽車數據安全、網絡安全、軟件升級、功能安全和預期功能安全管理,保證產品質量和生產一致性,推動智能網聯汽車產業高質量發展。《意見》從加強數據和網絡安全管理、規範軟件在線升級、加強產品管理、保障措施等方面提出11項具體意見,爲自動駕駛汽車的產品准入提供了良好的指引。但需要看出,在自動駕駛汽車的功能安全要求、對道路交通通行規則、對交通危險場景的應對等方面,我國的相關規定還不細緻,甚至缺失,對自動駕駛汽車安全相關的評測,目前也是空白,需要進一步研究完善。
參考文獻
[1] COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE, THE COMMITTEE OF THE REGIONS. On the road to automated mobility: An EU strategy for mobility of the future(COM/2018/283).https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52018DC0283
[2] GROW.DDG1.C.4. GUIDELINES ON THE EXEMPTION PROCEDURE FOR THE EU APPROVAL OF AUTOMATED VEHICLES. https://ec.europa.eu/docsroom/documents/34802
(文 / 公安部道路交通安全研究中心 周文輝,原載於《汽車與安全》雜誌機動車登記查驗專欄,2022年第1期)
編校丨李芸玥 趙曉軒
聲明:如需轉載或開白名單,請留言聯繫獲取授權!轉載須在文首標註來源交通言究社!未經授權不得轉載!