產(chǎn)品安全是近年來的熱點(diǎn)問題,高質(zhì)量的生活需求使人們不僅關(guān)注產(chǎn)品的便利性,更關(guān)注安全性。以汽車產(chǎn)品為例,2018 年全國消費(fèi)者協(xié)會(huì)收到汽車投訴(含零部件)1.9 萬件,其中消費(fèi)者關(guān)心的安全權(quán)占 47%。近幾年,我國汽車召回年均 220 余次,呈常態(tài)化發(fā)展趨勢(shì)。截至 2019 年底,已實(shí)施召回1991 次,涉及缺陷車輛 7 578.01 萬輛。自動(dòng)駕駛汽車在減少交通事故量、增進(jìn)特定群體移動(dòng)、減少環(huán)境污染和舒緩城市擁堵等方面優(yōu)勢(shì)突出。電氣和電子工程師協(xié)會(huì)(Institute of Electrical and ElectronicsEngineers,IEEE)預(yù)測(cè),2040 年將有 75% 的車輛采取自動(dòng)駕駛運(yùn)行模式。然而,自動(dòng)駕駛汽車是對(duì)人類能力的延展,公眾當(dāng)前普遍的擔(dān)憂仍集中于“安全”這一議題。
安全表征產(chǎn)品的瞬時(shí)特征和使用特性,作為一種狀態(tài)是不可度量與比較的。安全性是保障產(chǎn)品使用安全的能力體現(xiàn),與可靠性、維修性等的概念內(nèi)涵相同,是可度量與比較的?,F(xiàn)代產(chǎn)品不僅需要高可靠性以保證完成規(guī)定任務(wù),還需要具備高安全性以保證人員、設(shè)備/設(shè)施免受損失或環(huán)境損害。隨著人們認(rèn)識(shí)的不斷加深及社會(huì)需求的不斷發(fā)展,安全認(rèn)知呈現(xiàn)動(dòng)態(tài)演變過程。國內(nèi)外學(xué)者結(jié)合各自領(lǐng)域不同類型的安全現(xiàn)象、事故類型及其發(fā)展規(guī)律,闡述不同的安全觀念。產(chǎn)品安全的本質(zhì)是產(chǎn)品所處的風(fēng)險(xiǎn)狀態(tài)與社會(huì)發(fā)展協(xié)調(diào)同步。本文剖析了產(chǎn)品安全認(rèn)知的演進(jìn),探討自動(dòng)駕駛汽車的安全需求。
1 產(chǎn)品安全認(rèn)知演進(jìn)
概念是科學(xué)認(rèn)知的主要成果和形式,體現(xiàn)了人們對(duì)過去認(rèn)識(shí)的歸納和提煉,也是開始新認(rèn)識(shí)的邏輯起點(diǎn)。在工業(yè)革命初期,安全概念來自于對(duì)“不安全”的致因認(rèn)識(shí)。安全就是沒有危險(xiǎn),不觸發(fā)事故。從事故預(yù)防角度,形成了通過減小危險(xiǎn)事故發(fā)生的可能性和通過保護(hù)來避免有害結(jié)果這兩種安全手段。20世紀(jì)后期,人類邁入“風(fēng)險(xiǎn)社會(huì)”。產(chǎn)品安全體現(xiàn)出產(chǎn)品所處的風(fēng)險(xiǎn)狀態(tài),當(dāng)風(fēng)險(xiǎn)狀態(tài)在人們可接受的水平范圍內(nèi)時(shí),認(rèn)為產(chǎn)品是安全的。風(fēng)險(xiǎn)表征產(chǎn)品從安全隱患到觸發(fā)事故到造成后果的各個(gè)階段都具有不確定性?;陲L(fēng)險(xiǎn)的不確定性特征來定義安全,既可修正追求絕對(duì)安全的做法,也可避免“不發(fā)生事故就是安全”的片面認(rèn)識(shí),實(shí)現(xiàn)通過風(fēng)險(xiǎn)控制來保障系統(tǒng)的協(xié)調(diào)運(yùn)用。至此形成兩種安全概念認(rèn)知:一是事后型的指向事故,即安全就是不發(fā)生事故的狀態(tài);二是預(yù)防型的指向風(fēng)險(xiǎn),即安全就是風(fēng)險(xiǎn)處于可接受的狀態(tài)。
近年來,人工智能、大數(shù)據(jù)等技術(shù)的應(yīng)用帶來了許多未知的、變化的和不確定的風(fēng)險(xiǎn)。為了保障不可預(yù)測(cè)擾動(dòng)下系統(tǒng)的可持續(xù)性,相關(guān)學(xué)者提出韌性安全的概念 ?。韌性表征系統(tǒng)應(yīng)對(duì)變化或干擾的能力,包括降低風(fēng)險(xiǎn)和損失的能力、吸收沖擊和干擾的能力、通過自學(xué)習(xí)和再組織恢復(fù)原來狀態(tài)或達(dá)到新狀態(tài)的能力。MACASKILL 等 指出,嚴(yán)格統(tǒng)一的定義系統(tǒng)韌性不切實(shí)際,需根據(jù)實(shí)際應(yīng)用定義符合該領(lǐng)域的韌性。SPERANZA 等指出,韌性應(yīng)包括向事故學(xué)習(xí)的能力,即把系統(tǒng)所遭受的風(fēng)險(xiǎn)沖擊和擾動(dòng)視為改變和優(yōu)化系統(tǒng)安全狀態(tài)的條件。美國國土安全部研究指出,韌性是能夠使系統(tǒng)對(duì)逆向事件所產(chǎn)生的負(fù)面影響進(jìn)行抵御、吸收和恢復(fù)的能力,這種能力貫穿于事前、事中和事后全過程。黃浪等利用系統(tǒng)在事前、事中和事后的動(dòng)態(tài)響應(yīng),構(gòu)建了系統(tǒng)安全韌性概念框架(圖 1)。在 0 <t < t1 時(shí)段,系統(tǒng)處于安全狀態(tài);t1 時(shí)刻系統(tǒng)遭受風(fēng)險(xiǎn)沖擊或擾動(dòng),超過系統(tǒng)裕度而使系統(tǒng)處于破壞期(t1 < t < t3);t3 時(shí)刻采取措施使系統(tǒng)進(jìn)入恢復(fù)期(t3 < t < t4);通過系統(tǒng)自我恢復(fù)和適應(yīng)能力,系統(tǒng)可恢復(fù)到安全狀態(tài)(C),也可恢復(fù)到事前安全狀態(tài)(B),還可通過自學(xué)習(xí)恢復(fù)到更好狀態(tài)(A)。因此,韌性強(qiáng)調(diào)了系統(tǒng)“自學(xué)習(xí)、恢復(fù)、適應(yīng)、避免”的需求,韌性安全是在預(yù)期或者非預(yù)期的條件下,確保所期望的可接受的結(jié)果最大化的能力。
綜上所述,隨著安全認(rèn)知的深入,安全概念不斷納入新理論,呈現(xiàn)出更加客觀、豐富而非取代的過程。安全概念發(fā)展演進(jìn)路線如圖 2 所示,從事故預(yù)防角度逆向定義安全(從危險(xiǎn)出發(fā)以事故預(yù)防為主線)、從風(fēng)險(xiǎn)控制與管理角度間接定義安全(從隱患出發(fā)以風(fēng)險(xiǎn)控制為主線)和從韌性需求角度直接定義安全(從系統(tǒng)出發(fā)以優(yōu)化提升為主線),體現(xiàn)了安全概念內(nèi)涵和外延的不斷拓展和人們認(rèn)知水平的不斷提升。如果系統(tǒng)必然會(huì)受到意外事件的侵襲,以有準(zhǔn)備、有策略的方式來降低不利事件對(duì)系統(tǒng)的沖擊,可在危險(xiǎn)降臨時(shí)爭(zhēng)取到有利的局面并迅速采取措施修復(fù),成為增強(qiáng)系統(tǒng)安全的新理念。系統(tǒng)層面的安全,其本質(zhì)是減少事故發(fā)生概率和降低事故損失,提高系統(tǒng)從事故中恢復(fù)的速度和向事故學(xué)習(xí)的能力。在實(shí)操層面,突出事前的“預(yù)防、預(yù)測(cè)”和事中的“響應(yīng)、應(yīng)對(duì)”,強(qiáng)調(diào)事后的“恢復(fù)、提升”。
2 自動(dòng)駕駛安全需求探討
2.1 自動(dòng)駕駛分級(jí)
自動(dòng)駕駛汽車是指能夠以高度智能化的方式實(shí)現(xiàn)自主環(huán)境感知、行駛規(guī)劃決策和車輛控制功能的車輛。系統(tǒng)架構(gòu)包括感知層、認(rèn)知層、決策層、控制層和執(zhí)行層,用于完成感知定位、路徑規(guī)劃、行為預(yù)測(cè)、軌跡生成和控制執(zhí)行功能。根據(jù)車輛駕駛過程中人類駕駛員和駕駛系統(tǒng)承擔(dān)的駕駛職責(zé),國際汽車工程師協(xié)會(huì)(SAE International)將自動(dòng)駕駛技術(shù)劃分為非自動(dòng)(Level 0)、駕駛員輔助(Level 1)、部分自動(dòng)(Level 2)、有條件自動(dòng)(Level 3)、高度自動(dòng)(Level 4)和完全自動(dòng)(Level 5)。在前 3個(gè)分級(jí)中,人類駕駛員始終是車輛的駕駛主體;在L3 級(jí)以上(L3 級(jí)與 L4 級(jí)的本質(zhì)區(qū)別在于當(dāng)系統(tǒng)提出請(qǐng)求時(shí),人類駕駛員是否必須作出應(yīng)答并接管車輛)時(shí),駕駛系統(tǒng)取代人類駕駛員執(zhí)行駕駛?cè)蝿?wù)。具體分級(jí)原則見表 1。
我國《汽車駕駛自動(dòng)化分級(jí)》(征求意見稿)基于駕駛自動(dòng)化系統(tǒng)能夠完成動(dòng)態(tài)駕駛?cè)蝿?wù)的程度,根據(jù)在執(zhí)行動(dòng)態(tài)任務(wù)中的角色分配以及有無設(shè)計(jì)運(yùn)行范圍限制,將駕駛自動(dòng)化分為 0 ~ 5 級(jí)。0 級(jí)(安全輔助)指駕駛自動(dòng)化系統(tǒng)不能持續(xù)執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)中的車輛橫向或縱向運(yùn)動(dòng)控制,但具備持續(xù)執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)中的部分目標(biāo)和事件探測(cè)與響應(yīng)的能力;1級(jí)(部分駕駛輔助)指駕駛自動(dòng)化系統(tǒng)在其設(shè)計(jì)運(yùn)行范圍內(nèi)持續(xù)執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)中的車輛橫向或縱向運(yùn)動(dòng)控制,且具備與所執(zhí)行的橫向或縱向運(yùn)動(dòng)控制相適應(yīng)的部分目標(biāo)和事件探測(cè)與響應(yīng)的能力;2級(jí)(駕駛輔助)指駕駛自動(dòng)化系統(tǒng)在其設(shè)計(jì)運(yùn)行范圍內(nèi)持續(xù)執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)中的車輛橫向和縱向運(yùn)動(dòng)控制,且具備與所執(zhí)行的橫向和縱向運(yùn)動(dòng)控制相適應(yīng)的部分目標(biāo)和事件探測(cè)與響應(yīng)的能力;3級(jí)(有條件自動(dòng)駕駛)指駕駛自動(dòng)化系統(tǒng)在其設(shè)計(jì)運(yùn)行范圍內(nèi)持續(xù)執(zhí)行全部動(dòng)態(tài)駕駛?cè)蝿?wù);4級(jí)(高度自動(dòng)駕駛)指駕駛自動(dòng)化系統(tǒng)在其設(shè)計(jì)運(yùn)行范圍內(nèi)持續(xù)執(zhí)行全部動(dòng)態(tài)駕駛?cè)蝿?wù)和執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)接管;5級(jí)(完全自動(dòng)駕駛)指駕駛自動(dòng)化系統(tǒng)在任何可行駛條件下持續(xù)執(zhí)行全部動(dòng)態(tài)駕駛?cè)蝿?wù)和執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)接管。
2.2 自動(dòng)駕駛安全需求
2016 年1月,一輛啟動(dòng)自動(dòng)駕駛功能的特斯拉轎車在京港澳高速公路河北邯鄲段,因未能及時(shí)躲避前方的道路清掃車而發(fā)生追尾,事故導(dǎo)致車主身亡。2016 年 5 月,一輛特斯拉 Model S 電動(dòng)汽車在自動(dòng)駕駛模式下與一輛正在左轉(zhuǎn)的大型牽掛型卡車發(fā)生碰撞,原因是卡車大面積白色車廂與明亮的天空相近,自動(dòng)駕駛系統(tǒng)“看到了”卡車,但未能判別出風(fēng)險(xiǎn)。2018 年 3 月,一輛 Uber 自動(dòng)駕駛汽車撞死了一名突然橫穿馬路的婦女。自動(dòng)駕駛受到光照條件、道路條件、復(fù)雜路況和惡劣天氣等諸多環(huán)境因素影響,導(dǎo)致車輛在不確定的開放環(huán)境下無法有效感知和準(zhǔn)確識(shí)別。自動(dòng)駕駛技術(shù)會(huì)大大降低人因失誤引發(fā)的事故,但仍無法消除諸多可能引發(fā)事故的因素,也會(huì)帶來新的事故模式和安全風(fēng)險(xiǎn)。
2.2.1 功能安全?
自動(dòng)駕駛功能的實(shí)現(xiàn)要依靠大量電子電器系統(tǒng)的集成和控制,電子電氣系統(tǒng)的功能安全是汽車自動(dòng)化的關(guān)鍵。功能安全是指避免由于系統(tǒng)功能性故障導(dǎo)致的不可接受風(fēng)險(xiǎn),主要針對(duì)與安全相關(guān)的由電子電氣系統(tǒng)故障引起的危害分析。ISO 26262《道路車輛 - 功能安全》是 IEC61508 對(duì)電子電氣系統(tǒng)在道路車輛方面的功能安全的具體應(yīng)用,規(guī)定了道路車輛上特定的由電子、電器和軟件組成的安全相關(guān)系統(tǒng)在概念階段、產(chǎn)品開發(fā)和生產(chǎn)發(fā)布全生命周期內(nèi)與功能安全相關(guān)的工作流程和管理流程。基于功能安全的產(chǎn)品生命開發(fā)周期包括 3 個(gè)階段:概念階段、產(chǎn)品開發(fā)和生產(chǎn)發(fā)布之后,如圖3所示 。
2.2.1.1 概念階段?
該階段包括相關(guān)項(xiàng)定義、安全生命周期啟動(dòng)、危害分析和風(fēng)險(xiǎn)評(píng)估、功能安全概念 4 部分內(nèi)容。根據(jù)產(chǎn)品的功能定義對(duì)相關(guān)項(xiàng)進(jìn)行定義和描述,包括相關(guān)項(xiàng)與其他相關(guān)項(xiàng)和環(huán)境的交互作用和相互影響、功能在所涉及的系統(tǒng)和要素的分配等;以相關(guān)項(xiàng)為基礎(chǔ)進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估(HazardAnalysis and Risk Assessment,HARA),對(duì)功能潛在故障進(jìn)行識(shí)別并對(duì)其產(chǎn)生的危害進(jìn)行分類,確定功能安全目標(biāo),以及從暴露度、嚴(yán)重度和可控性3個(gè)緯度影響因子分析汽車安全完整性等級(jí)(Automobile Safety Integrity Levers,ASIL)。功能安全概念源于功能安全目標(biāo),目的是當(dāng)系統(tǒng)發(fā)生故障后使其進(jìn)入安全的可控模式。
2.2.1.2 產(chǎn)品開發(fā)?
基于概念階段分析得出的功能安全要求,提出系統(tǒng)層、硬件層和軟件層的技術(shù)要求,并指導(dǎo)各個(gè)層級(jí)的設(shè)計(jì)開發(fā),經(jīng)功能安全確認(rèn)和功能安全評(píng)估后通過產(chǎn)品生產(chǎn)發(fā)布。
2.2.1.3 生產(chǎn)發(fā)布之后?
以產(chǎn)品的生產(chǎn)計(jì)劃和運(yùn)行計(jì)劃為基礎(chǔ),執(zhí)行基于功能安全的生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢過程的活動(dòng)。?
2.2.2 預(yù)期功能安全?
預(yù)期功能安全是指通過一系列確認(rèn)和驗(yàn)證手段,探測(cè)和發(fā)現(xiàn)系統(tǒng)感知、邏輯決策和功能執(zhí)行中的非失效不足,通過功能改進(jìn)使自動(dòng)駕駛車輛在預(yù)期使用工況下達(dá)到合理安全水平的技術(shù)。預(yù)期功能安全主要針對(duì)自動(dòng)駕駛系統(tǒng)非故障原因?qū)е碌奈:?,涉及環(huán)境干擾、識(shí)別錯(cuò)誤、預(yù)警交互信息缺失、系統(tǒng)決策失誤、邏輯錯(cuò)誤、響應(yīng)延遲和乘員誤操作等問題。ISO/PAS 21448《道路車輛 - 預(yù)期功能安全》對(duì)預(yù)期功能安全實(shí)現(xiàn)思路和流程進(jìn)行了規(guī)范,以系統(tǒng)功能定義為中心,進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估,找出可能導(dǎo)致危害的使用案例,對(duì)于不可接受的功能予以改進(jìn)。
預(yù)期功能安全評(píng)估需要依托典型用例進(jìn)行評(píng)估驗(yàn)證,自動(dòng)駕駛場(chǎng)景構(gòu)建是關(guān)鍵。ISO/PAS 21448將場(chǎng)景劃分為 4個(gè)區(qū)間(圖4),包括已知安全、已知不安全、未知安全和未知不安全4 類。在自動(dòng)駕駛場(chǎng)景中盡可能縮小已知不安全和未知不安全的場(chǎng)景比例,確保場(chǎng)景控制在安全區(qū)間。國家市場(chǎng)監(jiān)管總局缺陷產(chǎn)品管理中心學(xué)者針對(duì)自然駕駛道路測(cè)試方法存在的時(shí)間成本大、效率低且危險(xiǎn)場(chǎng)景覆蓋面不足的問題,提出了危險(xiǎn)場(chǎng)景批次性衍生的路徑及關(guān)聯(lián)關(guān)系(圖5),并以國家車輛事故深度調(diào)查體系事故數(shù)據(jù)為基礎(chǔ)構(gòu)建了考慮人 - 車 - 路 - 環(huán)境等因素的場(chǎng)景衍生和演繹方法。德國亞琛大學(xué)R?SENER 指出,自動(dòng)駕駛使用場(chǎng)景不一定包含在基于人類駕駛已經(jīng)發(fā)生的事故場(chǎng)景中,需要提出新方法模擬自動(dòng)駕駛功能,提出綜合考慮駕駛場(chǎng)景頻率預(yù)測(cè)的安全影響評(píng)估的總體方法(圖6)。流程包括定義自動(dòng)駕駛場(chǎng)景、模擬基于駕駛場(chǎng)景的有效領(lǐng)域、考慮發(fā)生駕駛場(chǎng)景的頻率變化和駕駛場(chǎng)景發(fā)生事故的嚴(yán)重度變化,最后評(píng)估自動(dòng)駕駛功能的有效性。
2.2.3 網(wǎng)絡(luò)與數(shù)據(jù)安全
自動(dòng)駕駛除自身傳感器外,還會(huì)通過網(wǎng)絡(luò)與其他車輛、基礎(chǔ)設(shè)施及其人員互聯(lián)互通,存在因網(wǎng)絡(luò)漏洞而受到攻擊的情況。DFF CON 在 2011 年黑客大會(huì)上短信解鎖斯巴魯傲虎,在 2013 年通過 OBDII 控制了福特翼虎和豐田普銳斯的方向盤、制動(dòng)、油門等 。菲亞特克萊斯勒在 2015 年因網(wǎng)絡(luò)安全問題召回 140 萬輛汽車。美國獨(dú)立研究機(jī)構(gòu)波萊蒙(Ponemon Institute)公布了一項(xiàng)有關(guān)汽車網(wǎng)絡(luò)安全的調(diào)查結(jié)果指出,未來將有 60% 的車輛因軟件安全問題被召回,汽車受到信息安全攻擊的威脅正逐步提升。此外,2016 年法國尼斯卡車致 84 人死亡的恐怖事件警示,如果自動(dòng)駕駛汽車被恐怖分子劫持,將是發(fā)動(dòng)恐怖襲擊的有利武器。網(wǎng)絡(luò)安全的核心要義是自動(dòng)駕駛系統(tǒng)的每個(gè)制造商應(yīng)制定、維護(hù)和執(zhí)行網(wǎng)絡(luò)安全計(jì)劃,以最小化由網(wǎng)絡(luò)安全威脅和漏洞帶來的安全風(fēng)險(xiǎn)。美國 S.1885 法案指出,除制定網(wǎng)絡(luò)安全計(jì)劃外,制造商可建立以自愿協(xié)調(diào)一致為基礎(chǔ)的漏洞披露政策,安全研究人員將其發(fā)現(xiàn)的與漏洞相關(guān)的信息通知制造商,建議其確認(rèn)和修復(fù)漏洞。?
自動(dòng)駕駛系統(tǒng)是由上千個(gè)電子控制單元通過車載網(wǎng)絡(luò)進(jìn)行控制的智能移動(dòng)終端,可以自動(dòng)收集與保留數(shù)據(jù)信息。這些信息不僅關(guān)系個(gè)人隱私,還與人身財(cái)產(chǎn)安全和國家安全直接相關(guān)。目前還沒有法規(guī)明確這些數(shù)據(jù)信息的終端匯聚地,以及查閱和使用這些信息的權(quán)限邊界,導(dǎo)致這些信息隨時(shí)可能被泄露或惡意利用。近期爆發(fā)的亞馬遜數(shù)據(jù)泄露事件和棱鏡門事件都應(yīng)引起對(duì)自動(dòng)駕駛數(shù)據(jù)安全和隱私保護(hù)的思考。據(jù)統(tǒng)計(jì),有 56% 的消費(fèi)者表示數(shù)據(jù)安全將成為未來購買汽車時(shí)的主要考慮因素。2016年,美國《汽車最佳網(wǎng)絡(luò)安全指南》明確表示要對(duì)自動(dòng)駕駛汽車實(shí)施網(wǎng)絡(luò)安全測(cè)試,防止汽車接入未授權(quán)的網(wǎng)絡(luò),保護(hù)關(guān)鍵安全系統(tǒng)和個(gè)人數(shù)據(jù)。2017 年,美國《自動(dòng)駕駛法案》明確規(guī)定,自動(dòng)駕駛汽車生產(chǎn)廠商需制定和說明如何收集、使用、分享和存貯自動(dòng)駕駛汽車用戶信息的“隱私方案”,要求運(yùn)用數(shù)據(jù)縮小化和去識(shí)別化技術(shù)防止用戶留存信息被泄露。然而,由于缺少規(guī)范的安全監(jiān)管標(biāo)準(zhǔn)和流程,目前絕大多數(shù)廠商不能對(duì)其產(chǎn)品進(jìn)行必要的安全性測(cè)試,更無法保障這些數(shù)據(jù)的安全。因此,應(yīng)從法律層面盡快對(duì)自動(dòng)駕駛數(shù)據(jù)安全進(jìn)行規(guī)范,明確自動(dòng)駕駛汽車獲取數(shù)據(jù)的屬性,即哪些數(shù)據(jù)可以被采集及其使用邊界。
2.2.4 韌性安全?
自動(dòng)駕駛技術(shù)會(huì)大大降低人因失誤引發(fā)的事故,但“零傷亡”仍是愿景。因此,在事故發(fā)生前,自動(dòng)駕駛系統(tǒng)生產(chǎn)者和其他實(shí)體應(yīng)使用識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和回復(fù)等功能對(duì)其做出風(fēng)險(xiǎn)管理決策,盡量消除風(fēng)險(xiǎn)和威脅;采用“黑盒子”等技術(shù)記錄追溯事故發(fā)生前以及發(fā)生時(shí)所有的行為、改動(dòng)、設(shè)計(jì)選擇、分析、關(guān)聯(lián)測(cè)試和數(shù)據(jù);在事故發(fā)生后,鼓勵(lì)共享事故信息和網(wǎng)絡(luò)安全數(shù)據(jù),以便從中吸取經(jīng)驗(yàn)教訓(xùn)并促進(jìn)行業(yè)整體質(zhì)量提升。
美國《自動(dòng)駕駛系統(tǒng) 2.0:安全愿景》針對(duì)耐撞性提出兩項(xiàng)要求:一是乘客保護(hù),即無論是在自動(dòng)駕駛還是人工駕駛模式下,一旦系統(tǒng)出現(xiàn)故障,乘客保護(hù)系統(tǒng)均應(yīng)保持其預(yù)期的性能水平;二是兼容性,即用于提供產(chǎn)品、服務(wù)或應(yīng)用于其他場(chǎng)景的自動(dòng)駕駛車輛應(yīng)符合與道路上現(xiàn)有車輛的碰撞兼容性。當(dāng)駕駛系統(tǒng)失效時(shí),被動(dòng)安全系統(tǒng)是車輛碰撞后乘員保護(hù)的最后一道屏障,需要通過優(yōu)化乘員約束系統(tǒng)減輕傷害或防止車內(nèi)人員傷亡。PIPKORN等通過試驗(yàn)和仿真表明,目前的乘員約束系統(tǒng)在80 km/h的碰撞速度下對(duì)駕駛員的保護(hù)作用不夠,相關(guān)傷害指標(biāo)遠(yuǎn)超 FMVSS 208 中規(guī)定的損傷容限。因此,相關(guān)學(xué)者提出需針對(duì)不同碰撞強(qiáng)度設(shè)計(jì)可調(diào)節(jié)式的自適應(yīng)約束系統(tǒng),以應(yīng)對(duì)未來交通事故場(chǎng)景中乘員智能保護(hù)的挑戰(zhàn)。
自動(dòng)駕駛系統(tǒng)是具備自學(xué)習(xí)的強(qiáng)人工智能系統(tǒng),以韌性安全為基礎(chǔ)來提高系統(tǒng)從事故中恢復(fù)的速度和向事故學(xué)習(xí)的能力,自動(dòng)駕駛汽車經(jīng)歷碰撞事故后應(yīng)迅速恢復(fù)到安全狀態(tài)。具體行為包括自動(dòng)關(guān)閉油門、移除動(dòng)力裝置、移動(dòng)車輛到安全位置、關(guān)閉電源等。如果傳感器或與安全相關(guān)的控制系統(tǒng)出現(xiàn)故障,車輛應(yīng)在最低的風(fēng)險(xiǎn)狀況下運(yùn)行,直至功能恢復(fù)正常。車輛生產(chǎn)者或其他實(shí)體應(yīng)對(duì)自動(dòng)駕駛車輛的相關(guān)維修記錄進(jìn)行存檔,以確保修復(fù)后的自動(dòng)駕駛車輛能夠被調(diào)整至更安全的狀態(tài)。
3 結(jié)論
自動(dòng)駕駛汽車綜合運(yùn)用了人工智能、信息物理融合和大數(shù)據(jù)分析技術(shù),是一個(gè)集環(huán)境感知、規(guī)劃決策、多等級(jí)輔助駕駛等功能于一體的智能系統(tǒng)。對(duì)智能化的追求應(yīng)當(dāng)建立在安全之上,失去了安全性的智能化都是空談。即使最好的汽車安全科技也不能確保挽救每一個(gè)生命,對(duì)于安全科技效用的限制在于人們使用它的方式。自動(dòng)駕駛汽車較傳統(tǒng)汽車安全,除了要滿足功能安全、預(yù)期功能安全、網(wǎng)絡(luò)和數(shù)據(jù)安全外,還應(yīng)滿足韌性安全。如果該系統(tǒng)受到意外事件的侵襲,以有準(zhǔn)備、有策略的方式來降低不利事件對(duì)系統(tǒng)的沖擊,提高系統(tǒng)從事故中恢復(fù)到正常狀態(tài)的速度和向事故學(xué)習(xí)的能力。基于產(chǎn)品安全認(rèn)知演進(jìn)規(guī)律分析自動(dòng)駕駛安全需求,不僅突出事前的“預(yù)防、預(yù)測(cè)”和事中的“響應(yīng)、應(yīng)對(duì)”,還要強(qiáng)調(diào)事后的“恢復(fù)、提升”,為自動(dòng)駕駛安全技術(shù)發(fā)展提出了建議和思路。
? ? ? ? 責(zé)任編輯:彭菁
評(píng)論
查看更多