泛亞：自動駕駛汽車安全影響因素分析與應對措施研究

厚勢按：文章首先分析自動駕駛過程中「人、車、環境」三者間的關係，識別出關鍵的安全影響因素；再針對各因素，進行影響機理分析，同時給出針對性的應對措施；最後匯總出自動駕駛汽車所需的安全技術，同時闡明了預期功能安全（SOTIF）、功能安全及信息安全的關係，為自動駕駛汽車安全技術的發展提供了參考。

本文來自 2018 年 1 月10 日出版的《上海汽車》，作者是泛亞汽車技術中心有限公司的毛向陽、尚世亮和崔海峰。

0. 引言

自動駕駛技術已成為汽車行業、乃至全社會關注的焦點領域。隨著我國汽車保有量的不斷增加，各類交通問題突出。統計數據顯示，我國交通事故發生的原因中 95.3% 來自人的因素，其餘為車輛或道路因素。通過自動駕駛替代人的駕駛工作，能有效避免人為失誤，減少交通事故的發生。

同時，協同的自動駕駛車輛可以顯著提升道路通行效率，節省大量的燃油和通行時間。並且，自動駕駛將人類從緊張的駕駛工作中解脫出來，這將帶來全新的乘車體驗，並催生出新的乘車休閑娛樂需求。汽車行業即將迎來巨大的發展機遇，進入新的快速發展通道。

欣喜的同時，需要關注的是，發展自動駕駛技術面臨著前所未有的安全挑戰，如何確保行車安全決定著自動駕駛汽車能否真正地走嚮應用。

1. 自動駕駛安全影響因素

依據自動駕駛過程中車和人各應承擔的駕駛職責，將自動駕駛分為不同的等級，是指導自動駕駛階段性發展的基礎，也是開發自動駕駛安全技術的重要依據。

目前，常用的分級標準有國際自動機工程師學會（原譯名：美國汽車工程師學會）發布的 SAE J3016 標準和（美國）國家公路交通安全管理局 NHTSA 標準。前者更側重於開發角度，將自動駕駛分為 6 個等級，其分類、判斷原則及自動駕駛功能示例如表 1 所示。其中，每個較高等級的判斷原則同時包含較低等級的判斷原則，例如：判斷滿足 Level 2 等級時，首先應滿足 Level 1 等級對應的原則。

表 1 SAE 自動駕駛等級分類、判斷原則及功能示例

圖 1 自動駕駛安全影響因素

隨著自動駕駛等級的升高，人的駕駛操作逐步被車輛系統所取代，感測器代替人眼識別環境，中控單元進行駕駛決策，協調多個電控系統實現車輛運動控制。在這一過程中，自動駕駛的安全性受到環境、人和車的影響。如圖 1 所示，主要的安全影響因素包含：

• 正常行駛過程中人員誤用導致的對車輛運行的干擾；

• 對於 Level 3 等級，緊急情況下人員對車輛的接管（駕駛員後備），及在接管過程中人員對駕駛場景的緊急識別；

• 外部環境對自動駕駛車輛的干擾；

• 自動駕駛車輛系統自身的局限。

下面分別對相關因素進行分析。

2. 人對自動駕駛安全的影響

2.1 人員誤用

從 Level 1 等級駕駛員輔助發展到大規模應用 Level 3 等級以上的高度自動駕駛技術，可能還需要數年時間。對於不同等級的自動駕駛車輛，車輛使用者清楚地了解自動駕駛系統的預期功能、掌握正確的操作方法對行車安全至關重要。2016 年，裝備了「Autopilot 自動駕駛系統」（後更名為「自動輔助駕駛系統」）的特斯拉 Model S 在中國和美國先後發生了兩起致命碰撞事故，導致事故發生的主要原因是駕駛員誤以為該系統具備了自動駕駛能力，而未對行車安全進行監控。但實際上該系統的設計意圖是 Level 2 等級，尚不具備獨立駕駛能力。

圖 2 航空領域自動駕駛系統事故統計

參考已應用自動駕駛技術多年的航空領域，如圖 2 所示，經歷了 4 代自動駕駛系統的飛機上，每代系統剛剛投入應用後，都帶來了較高的事故發生率，研究顯示其中 94% 的事故是由於飛行人員誤操作導致。通過培訓飛行人員如何與自動駕駛系統相配合，飛行事故率得到顯著降低。

自動駕駛汽車面臨比飛機更複雜的周邊環境，車上人員的誤操作勢必帶來更高的事故發生率，為應對這種挑戰，可考慮：

• 對自動駕駛汽車使用者進行培訓，使其充分理解系統功能，掌握正確的操作方法；

• 自動駕駛過程中，對人員的行為進行監控，給予必要的指導；

• 開發人員操作防錯設計，提升系統穩健性。

2.2 緊急情況下的駕駛員後備

圖 3 自動駕駛汽車駕駛權移交過程

當前，汽車行業已開始裝備達到 Level 2 等級的自動駕駛車輛系統，並正在向 Level 3 或更高等級發展。隨著等級的提升，人類駕駛員將從日常的駕駛操作中解放出來。但對於 Level 3 等級系統，要求人類駕駛員在系統發生異常等緊急時刻接管車輛的控制，這種應急措施稱為「駕駛員後備」，其過程如圖 3 所示。

自動駕駛中，當發生車輛系統異常或人工駕駛模式切換指令等突發事件後，自動駕駛車輛系統向人員發出警示，提醒其接管車輛，並監控其反應狀態，同時逐漸退出自動駕駛模式，實現駕駛權移交。人類駕駛員接管車輛後，會經歷一個人工駕駛狀態的建立過程，最終達到穩定的人工駕駛狀態，整個移交過程結束。

考慮到突發事件發生前，駕駛員可能處於不同的狀態（如在瀏覽手機）。當系統異常等突發事件發生後，駕駛員難以快速建立駕駛場景認知，特別是考慮到個人的差異，要求自動駕駛系統能提供更長的駕駛權移交時間。但是，系統可提供的最長移交時間，受限於系統自身的局限，當發生關鍵系統失效時，所能提供的自動駕駛控制能力將受到嚴重影響，這就要求自動駕駛汽車系統具備足夠的功能冗餘。

然而，功能冗餘通常會帶來成本的大幅上升，為此需要控制駕駛權移交的最長時間，這就需要基於對目標市場駕駛員操作特性的研究，找到最佳平衡點，據此優化人機交互和系統功能降級限制，制定出合理的駕駛員後備方案。

3. 環境對自動駕駛安全的影響

3.1 環境干擾和用例庫

自動駕駛受到道路條件、周邊事物、環境天氣等諸多因素的影響，如何克服環境的干擾，準確可靠地開展環境識別、駕駛決策及運動控制，是確保自動駕駛安全的關鍵。在開發和驗證系統時，應充分考慮這些干擾因素的影響，表 2 列出了相關因素分類。

表 2 環境干擾因素分類

圖 4 自動駕駛汽車用例庫的生成

開發時，如圖 4 所示：

• 首先基於目標市場的數據收集，匯總出交通環境資料庫；

• 再對相關因素進行歸類分析，得出每類因素中的變數值及佔比；

• 然後將不同因素變數組合成的駕駛工況與用戶不同操作及系統預期功能相結合，得出自動駕駛用例庫。

該用例庫將作為開發自動駕駛系統的設計輸入，同時也是驗證和評估自動駕駛系統的重要依據。

3.2 網路攻擊

為提升環境感知和決策能力，自動駕駛汽車除依靠自身感測系統外，還會通過網路與其他車輛、基礎設施或人員通信設備進行網路溝通，在這個過程中，可能受到來自網路的攻擊。為此，需要建立網路防護，確保車輛不會被黑客惡意操縱。

目前，ISO 和 SAE 組織正在制定或已經發布了汽車網路安全標準，相關國際法規也正在制定中，隨著這些標準和法規投入應用，將為防範自動駕駛網路攻擊提供有效保障。

4. 車輛自身對自動駕駛的安全影響

4.1 系統故障

圖 5 電子電氣系統故障分類

電子電氣系統發生故障後，可能導致系統功能的異常表現，造成車輛的非預期運動風險。如圖 5 所示，電子電氣系統的故障可分為：

• 隨機硬體故障；

• 軟體或流程原因導致的系統性故障。

通過實施功能安全，以危害分析和風險評估後得到的安全目標及汽車安全完整性等級（ASIL 等級）為導向，開發和落實相關安全要求，能有效降低系統功能失效導致的風險。

與此同時，汽車電子電氣領域正在實施的一些標準化流程，如：A-SPICE、軟體標準化架構 AUTOSAR 等，也會為避免系統性故障的發生提供幫助。

4.2 功能局限

當前車輛交通事故中，由於系統故障問題導致的事故比例處於較低水平。但未來對於自動駕駛汽車，系統代替了人的操作，即使系統不發生故障，也可能因識別、決策或執行過程的不準確，導致交通事故發生。這類非故障情況下因系統功能不足導致的自動駕駛安全風險，歸為預期功能安全領域（SOTIF）。

SOTIF 針對的系統功能局限可分為：

• 目標使用場景考慮不周全，導致系統不能準確識別環境要素；

• 功能仲裁邏輯不合理，導致系統決策失誤；

• 執行器響應能力不足，導致運動控制偏離預期等。

功能局限的產生原因主要是：設計開發時系統功能定義不能充分覆蓋目標市場的使用需求。為此，需要充分搜集預期使用場景的數據，作為功能設計輸入，同時要求進行大量的驗證工作，包括實地實車測試，以儘可能涵蓋全部使用工況。

4.3 碰撞保護

交通事故一旦發生，被動安全是車輛乘員的最後一道安全保護，經過多年發展，車輛被動安全水平不斷提升。但對於 Level 3 以上高度自動駕駛車輛，乘員將從駕駛工作中解脫出來，在車輛行駛過程中可能從事其他活動，為此，乘坐姿勢也不再限定於當前的傳統設計。此時，如果車輛發生碰撞，如何為車上人員提供安全保護，需要打破當前被動安全系統的設計格局，及時作出調整。

5. 自動駕駛汽車安全技術匯總

根據上述分析，自動駕駛汽車的安全性面臨「人、車、環境」的多重挑戰。為此，需要汽車企業建立完整的安全開發和驗證體系。表 3 給出了應對不同安全影響因素所需的安全技術及相應的技術標準。

表 3 自動駕駛汽車安全技術匯總

對於每項安全技術，在各自的標準中都有系統性的介紹，此處不再贅述。需要說明的是，「功能安全」、「信息安全」和「預期功能安全（SOTIF）」，作為新興的安全技術領域，關注點各有不同：

• 功能安全：針對電子電氣系統故障引起的危害，並假定存在駕駛員參與危害的控制；

• 信息安全：針對惡意網路攻擊對財產、隱私、車輛操作及安全的威脅；

• SOTIF：針對自動駕駛車輛系統非故障原因導致的危害，並考慮人員不能及時響應。

其中，SOTIF 作為一項針對自動駕駛安全的全新技術領域，已於 2015 年啟動了相關 ISO 標準的制定，預計在 2018 年，ISO PAS21448－Safety Of The Intended Functionality 將以行業公開技術規範的形式率先發布，並計劃於 2021 年發布正式的 ISO 標準。

3 項技術既有區別，也有共同之處：

• 都貫穿車輛系統開發的全過程；

• 都是從風險分析開始，到安全評估和發布終止；

• 開發中也需要彼此的信息溝通和傳遞。

這些安全技術，需要汽車企業統籌考慮，才能確保自動駕駛的整體安全。

6. 結語

自動駕駛帶來了汽車行業新一輪的高速發展，投身於自動駕駛的新興企業如雨後春筍般湧現，同時，傳統車企也紛紛加大了相關研發投入。一段時期內，自動駕駛汽車開展路測、甚至即將投產的消息甚囂塵上。但需要清楚地認識到，自動駕駛技術真正應用前，仍須突破巨大的安全挑戰。

通過分析「人、車、環境」因素對自動駕駛的安全影響，闡述了風險來源和產生機理，並給出應對方法。通過全面考慮安全風險來源，系統性地實施功能安全、信息安全、SOTIF 等安全技術，才能確保自動駕駛達到整體安全，相關自動駕駛車輛才能實現大規模應用。

參考文獻

[1] 尚世亮，李波. 車輛電控系統預期功能安全技術研究 [J] . 中國標準化， 2016(9) : 58 ~ 62.

[2] 寧世發，馮忠祥. 道路交通事故成因分析 [J] . 交通標準化，2006(10) :152 ~ 155.

[3] Barbaros Serter，Christian Beul. Foreseeable Misuse in Automated Driving Vehicles [J] . SAE， 2017(1).

編輯整理：厚勢分析師拉里佩

轉載請註明來自厚勢和厚勢公號：iHoushi

-END-

文章精選

企業家

智能駕駛

新能源汽車

項目和評論

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！