01
数据记录和共享
厂家在测试、试用阶段,应该记录事件、事故和碰撞数据,目的是记录导致误操作、系统性能降低和功能未正常发挥的原因。数据的收集、记录、共享、存储、审查和解构,必须符合厂家制定的消费者隐私和安全保障策略。对于以碰撞事故重建为目的的数据存储,除了能被厂家读取,也应被主管机构读取。
车辆收集的数据至少应包括事件相关数据、车辆系统的表现,以及事发时自动驾驶系统的状态和人员操作的状态。为了增强自动驾驶系统通过学习获得更高水平安全性能的能力,也为了增强公众对自动驾驶技术的信心,自动驾驶系统“成功应对”各类事件的情况也应详细记录,包括对安全相关状况的识别,成功避免事故的决策等。厂家应当制定实现上述数据共享的具体方案,信息共享前应当脱敏,即不应通过共享信息推断出具体的车辆所有者或使用者。信息共享应当符合数据隐私和安全方面的协议,或征得车辆所有人或使用人的同意。数据共享目前发展较为迅猛,需要利益相关者开展更多的研究和讨论,便于达成共识。对厂家来说,多数倾向于能够在共享数据池里检索和存储所制造销售车辆的信息。
02
隐私保护
汽车厂商应该确保实现以下隐私保护目标:
数据政策应透明。应当制定易于理解的、清晰的、内容完整的信息隐私和安全协议,告知消费者厂家收集、使用、共享、审查和销毁车辆产生的数据或从车辆读取数据的详细步骤。
使车辆所有者有决定权。应当给予车辆所有者对于信息收集、使用、共享、保存、销毁方面的决定权,尤其是对于地理位置信息、生物特征信息和驾驶操作习惯等与个人特性密切相关的数据处置决定权。
忠于数据收集的目的。数据的使用应当与数据收集的目的一致。
最少信息原则。在满足合理应用的前提下,收集和保存的信息应尽量少,信息应及时脱敏。
数据安全。实施确保数据不被泄露的措施。
数据完整和可更正。应允许车辆操作者或所有者检查和更正错误的有关个人的信息。
检查。针对上述有关措施的落实,应具有合理的检查步骤。
03
系统安全
厂商应当根据系统工程理论,设计和验证自动驾驶系统,尤其是要使用和遵从诸如道路机动车辆功能安全等工业标准,确保系统的鲁棒性,如当系统遭遇电子的、通信的或机械的误操作时,以及遭遇软件错误时,仍能保持处于安全状态。自动驾驶系统应当包含风险分析和安全评估系统,同时还应描述遭遇误操作时,系统的设计裕量和决策安全策略。自动驾驶系统应当特别关注软件的研发、测试和验证。研发软件要进行良好的计划、控制和文档管理,便于及时有效检测和更正由于软件研发导致的失误。设计决策算法时,要充分考虑决策框架,传感器、执行器和通信失误,软件功能实效,系统可靠性,潜在的控制不足,可能与其他交通参与者发生的碰撞,驶离道路,偏离车道,交通违法,偏离正常驾驶操作等。所有的设计策略均应是能被测试和验证的,所有的设计过程均应详细记录,任何改变、决策策略、分析数据、测试数据均应能溯源。
04
信息安全
厂商应当根据系统工程理论,设计和验证自动驾驶系统,确保系统在遭受信息威胁时的鲁棒性。设计时,应当全面评估遭受攻击时系统的安全性能。威胁的确定、保护、识别、回应和恢复等各个环节,均应配合风险管理的决策,及时消除风险和威胁,并且应具备快速反应和学习应对能力。信息攻击防护是一个快速发展的领域,需要大量更进一步的研究,行业还未形成统一的标准,在此之前,厂家应了解、掌握和应用本行业或相关行业在应对相关问题时的良好实践。所有设计过程均应详细记录,任何改变、决策策略、分析数据、测试数据均应能溯源,溯源系统也应具有鲁棒性。另外,应当建立学习联盟,鼓励厂商及时上报在事故调查、内部测试、外部测试等过程中遭遇到的攻击,方便行业快速学习、共同研究应对。
05
人机交互
人机交互,即车辆和人之间的信息、操作交互,一直以来在汽车设计领域扮演着重要角色。对于自动驾驶车辆来说,人机交互变得更为复杂,部分原因是车辆必须准确地向操作人员报告车辆的行驶意图和安全性能状况。尤其是对于部分自动驾驶汽车(L3)而言,在设计时即要求驾驶人在遇到系统请求时,能够及时监测和接管系统,但对于之前并未参与驾驶任务的驾驶人而言,要求及时回应和接管车辆难度较大。另外,人机交互还应考虑自动驾驶系统与周边车辆、行人、骑自行车人等关于车辆状态和行车意图方面的信息交互。目前自动驾驶人机交互技术发展迅速,但相关标准还未出台,因此企业应该关注并实施本行业或相关行业的良好实践。人机交互应该至少涉及以下内容:系统功能是否正常;当前自动驾驶系统的模式(状态);当前系统的局限性(即哪些功能还无法发挥作用);是否遭遇了误操作;请求由驾驶人接管车辆;对于完全自动驾驶的汽车,还需要考虑与残疾人的人机交互(例如,通过图像、声音、触觉进行交互);对于由驾驶人“远程”操作的情况,远程驾驶人应当时刻知晓车辆的状态。
06
碰撞安全性
由于可能遭受其他车辆的撞击,因此自动驾驶车辆应该满足现有的碰撞标准。自动驾驶车辆布设了先进的传感器,因此可以通过主被动安全相结合的办法,进一步提升车辆的碰撞安全性能。对于车内无人的自动驾驶车辆,需要在设计时考虑其碰撞时的几何尺寸兼容性和吸能作用,确保其他车辆的碰撞安全性。
07
消费者教育和培训
适当的消费者教育和培训,对自动驾驶车辆试用中确保其安全性是极为重要的。企业应当建立相关制度和机制,要求员工、销售商及其他人员对消费者实施教育和培训,培训教育的内容主要是自动驾驶车辆与传统车辆的不同点,确保消费者能够更准确、更有效、更安全地理解和掌握最低限度的自动驾驶技术特征。教育和培训应该具有层次性,先是由产品和技术员工教育市场人员和销售人员,再由后者教育终端销售商,最后是教育消费者。教育培训的内容应包括:自动驾驶系统的功能和设计意图、操作参数、功能适应性和局限性、人工操作的进入和脱离、人机交互内容和方式、遇到紧急情况时车辆的反应、操作边界及其责任,以及潜在的可能改变驾驶功能和习惯的内在机制。教育培训可以采用实车或虚拟现实的方式进行。教育培训的内容和方式,应当及时倾听来自销售商、消费者或市场调研机构的意见。
08
产品认证
自动驾驶车辆在生命周期内,会通过升级软件的办法改变车辆的自动驾驶等级。随着技术的不断更新进步,更新的产品会不断投入市场,之前投放的车辆就会被改变,提供类似于新车的功能,最常见的就是在保持硬件不变或改变很小的情况下,通过升级软件,使旧车的自动驾驶等级与新车一样。目前的车辆认证管理中,车企需要向管理部门提交关于车辆唯一性和安全特征参数的说明。未来,建议企业在车内提供向使用者或车主介绍车辆自动驾驶系统关键功能和特征的说明。例如,可在车内驾驶人座位视野范围内,或在靠近前排左侧座位的门锁处粘贴柔性标签,介绍车辆的功能、设计运行域(ODD),以及获得进一步信息的方式和渠道。考虑到车辆生命周期内会不断通过升级软件或硬件改变车辆功能,因此上述升级情况也应在标签中标明。特别需要说明的是,车企应当全面描述车辆在每个设计运行域中的功能适应性和局限性,如运行速度、地理区域、天气状况,以及在人机交互中或车辆产品说明书中提供的设计运行域信息。
09
碰撞后反应
车企应当针对碰撞后自动驾驶车辆的反应策略建立评估、测试和验证制度。若事故中车辆传感器或主要安全控制系统被破坏,则车辆不得再以自动驾驶模式运行。若检测到故障,则在救援或服务到来之前,车辆应该保持“最小风险状态”。
10
遵守道路交通安全法规
车企应当详细说明如何确保产品遵守道路交通安全法规。在设计运行域中,自动驾驶车辆与传统车辆一样,应当遵守适用的道路交通安全法规。在遇到前方障碍时,人类驾驶人有时会跨越车辆实线,绕过障碍,自动驾驶汽车最好也具备同样的能力。对于类似的可能遭遇到的场景,车企应当建立独立的评估、测试和验证制度。很多这样的场景,是出于安全目的违反交通法规,对于车企而言,可能希望记录这样的安全“动因”。道路交通安全法律法规可能会因地而异,并且会不断改变,这对自动驾驶汽车是一个挑战,但不管如何,还应遵守上述法律法规。
11
伦理考量
自动驾驶汽车会有不同的决策策略,进而导致不同的伦理困境或伦理影响。这样的决策策略是由自动驾驶系统做出的,或是通过学习习得的。可能单从设计上看不出任何的伦理倾向,但程序化的自动驾驶系统可能做出有重大伦理影响或后果的决策。为了防止责任不清,车企需要清楚说明各类伦理决策及其后果是经过清晰设计的。
驾驶人在行车决策时,一般需要考虑安全、抵达和法规三个维度的目的。在大多数情况下,上述三个目的可无冲突地同时达成,但特殊的时候也会出现冲突。比如,在施划中心实线的双车道道路上,若前面故障车辆横跨中心实线停滞,此时,后车若停止,则无法实现“抵达”目的,若横跨中心实线绕过故障车辆,则一方面涉嫌违反法律,另一方面,也有与对向来车发生碰撞的可能。
自动驾驶车辆在面对这种冲突情况时,可以有多种决策策略,这取决于决策程序算法如何设计,也可交由人类驾驶人或乘客去做决策。同样的,即使在“安全”维度,也会遭遇冲突,如如何在确保a车车内乘客安全与确保b车车内乘客安全之间作出选择。在这种进退维谷的情况下,自动驾驶系统的决策程序设计决定了交通参与者的“命运”。这样的决策算法不仅与自动驾驶及其乘客密切相关,也深刻地影响着其他交通参与者,因此决策策略应该被最广泛地接受。那么,自动驾驶汽车能否利用“特殊的策略原则”去解决上述冲突,是需要认真考虑的问题。具体的策略算法及其形成过程应该高度透明,充分考虑现有法律法规,以及驾驶人、乘客和易受伤害的交通参与者的意见,以及自动驾驶汽车对其他交通参与者的影响。
12
设计运行域
对于要上公共道路测试或试运营的自动驾驶车辆,企业应当定义并记录每辆车的设计运行区域(ODD)。设计运行域应当详细描述在设计中定义的车辆可正常、安全操作的区域,即车辆的“能力”范围,包括:道路类型、地形区域、速度范围、环境要求(天气、白天/夜晚等),以及其他环境和范围的限制。
对于车辆的上述“能力”范围,企业应当建立规范的程序进行评估、测试和验证。在国家层面的检测和技术要求方面的标准规范出台之前,企业应当建立和应用企业层面的标准和规范。在设计运行域中,车辆应该能够安全运行。当车辆所处环境不再满足设计运行域时,车辆应当及时切换至“最小风险状态”,并通过人机交互系统告知车内驾驶人或乘客,车辆已进入“最小风险状态”,自动驾驶系统不再起作用。为了让驾驶人或乘客更好地了解车辆的能力边界,有关设计运行域的内容,同时应当在产品使用说明书中用浅显易懂的语言描述。
13
目标和意外的检测与响应
目标和意外的检测与响应(OEDR),指驾驶人或自动驾驶系统能够及时检测到的与即时驾驶任务相关的交通环境信息,并作出及时的响应。对于OEDR,企业应当建立规范的程序进行评估、测试和验证。在设计运行域中,车辆应当能够对周边的车辆、行人、自行车、动物及其他影响行车安全的物体作出检测和响应,也能够对应急车辆、临时施工区域、交警指挥、公路建筑区周边交通指挥、应急救援人员的指挥等多种情况作出回应。OEDR又分为两类,一类是正常行驶状态下的行为能力,一类是避免碰撞。
正常行驶状态下的行为能力包括:对速度限制(包括建议限速)改变的检测与回应,高速并道,低速并道,驶出行车道并停车,对占道对向来车的检测和响应,对超车区和禁止超车区的识别并实施超车,车辆跟驰,对静止车辆的检测与响应,对车道变化的检测与响应,对车道中静止障碍物的检测与响应,对信号灯和停车/让行标志的检测与响应,通过交叉口并实施转弯操作,通过环岛,通过停车场或停车区,对限制通行(单行道、禁止转弯、斜坡)的检测与响应,对施工区域或人员指挥交通的检测与响应,作出合适的通行权决策,遵守交通法规,服从警察或应急救援人员、施工区域人员的指挥或信号,对临时交通管制的检测与响应,对应急救援车辆的检测与响应,礼让行人和非机动车,与周边交通参与者保持安全距离,对绕行等临时交通改变的检测与响应。以上列举的是一些通用的要求,具体的行为能力还需要根据自动驾驶系统、设计运行域、退出机制(最小风险状态)等来确定。
另一类是避免碰撞,在设计运行域的基础上,自动驾驶系统应当能够应对绝大多数碰撞前的危险场景,包括失去控制、侧面碰撞、车道改变或合并、正面或与逆行车辆碰撞、追尾碰撞、车道偏离,以及倒车或停车时的低速碰撞。对于道路维修、警察指挥、车道内故障车辆等在设计运行域中可预见的事件,自动驾驶系统应尽可能识别和响应,应对困难的,应退出至最小风险状态。
14
退出机制(最小风险状态)
企业应当建立规范的程序对遭遇故障或事件时,退出进入最小风险状态进行评估、测试和验证。自动驾驶车辆应当能对车辆故障、系统退化,以及车辆不在设计运行域范围内的情况进行检测,并提醒人类驾驶人及时接管车辆或退出至最小风险状态。最小风险状态策略还应考虑人类驾驶人可能出现的分心、酒精或药物影响、疲劳、生理短暂不适、人类误操作、人类认知局限等情况。最小风险状态与具体的故障或事件直接相关,其典型操作是将车辆停靠在安全地点。
15
车辆保养和检测
在用车安全状况的保持需要借助诸如维修、保养、安全检测等制度。汽车厂商应当对维修保养提供必要的协助,尤其是涉及事故车的修复时,协助内容包括确定车辆系统和部件、检测自动驾驶相关系统在修复后能够正常发挥作用等。
13621797580