产品安全是近年来的热点问题,高质量的生活 需求使人们不仅关注产品的便利性,更关注安全性。以汽车产品为例,2018 年全国消费者协会收到汽车 投诉(含零部件)1.9 万件,其中消费者关心的安全权占 47%。近几年,我国汽车召回年均 220 余次, 呈常态化发展趋势。截至 2019 年底,已实施召回 1991 次,涉及缺陷车辆 7 578.01 万辆。自动驾驶汽 车在减少交通事故量、增进特定群体移动、减少环境污染和舒缓城市拥堵等方面优势突出。电气和电 子工程师协会(Institute of Electrical and Electronics Engineers,IEEE)预测,2040 年将有 75% 的车辆 采取自动驾驶运行模式。然而,自动驾驶汽车是对 人类能力的延展,公众当前普遍的担忧仍集中于“安全”这一议题。
安全表征产品的瞬时特征和使用特性,作为一 种状态是不可度量与比较的。安全性是保障产品使 用安全的能力体现,与可靠性、维修性等的概念内 涵相同,是可度量与比较的。现代产品不仅需要高 可靠性以保证完成规定任务,还需要具备高安全性 以保证人员、设备/设施免受损失或环境损害。随着人们认识的不断加深及社会需求的不断发展,安 全认知呈现动态演变过程。国内外学者结合各自领 域不同类型的安全现象、事故类型及其发展规律, 阐述不同的安全观念。产品安全的本质是产品所处的风险状态与社会发展协调同步。本文剖析了产品 安全认知的演进,探讨自动驾驶汽车的安全需求。
1 产品安全认知演进
概念是科学认知的主要成果和形式,体现了人 们对过去认识的归纳和提炼,也是开始新认识的逻 辑起点。在工业革命初期,安全概念来自于对“不 安全”的致因认识。安全就是没有危险,不触发事 故。从事故预防角度,形成了通过减小危险事故发 生的可能性和通过保护来避免有害结果这两种安全 手段。20世纪后期,人类迈入“风险社会”。产 品安全体现出产品所处的风险状态,当风险状态在 人们可接受的水平范围内时,认为产品是安全的。风险表征产品从安全隐患到触发事故到造成后果的 各个阶段都具有不确定性。基于风险的不确定性特 征来定义安全,既可修正追求绝对安全的做法,也 可避免“不发生事故就是安全”的片面认识,实现 通过风险控制来保障系统的协调运用。至此形成两 种安全概念认知:一是事后型的指向事故,即安全 就是不发生事故的状态;二是预防型的指向风险, 即安全就是风险处于可接受的状态。
近年来,人工智能、大数据等技术的应用带来 了许多未知的、变化的和不确定的风险。为了保障 不可预测扰动下系统的可持续性,相关学者提出韧性安全的概念 。韧性表征系统应对变化或干扰 的能力,包括降低风险和损失的能力、吸收冲击和 干扰的能力、通过自学习和再组织恢复原来状态或 达到新状态的能力。MACASKILL 等 指出, 严格统一的定义系统韧性不切实际,需根据实际应 用定义符合该领域的韧性。SPERANZA 等指出, 韧性应包括向事故学习的能力,即把系统所遭受的 风险冲击和扰动视为改变和优化系统安全状态的条 件。美国国土安全部研究指出,韧性是能够使系统 对逆向事件所产生的负面影响进行抵御、吸收和恢 复的能力,这种能力贯穿于事前、事中和事后全过 程。黄浪等利用系统在事前、事中和事后的动态 响应,构建了系统安全韧性概念框架(图 1)。在 0 < t < t1 时段,系统处于安全状态;t1 时刻系统遭受风 险冲击或扰动,超过系统裕度而使系统处于破坏期 (t1 < t < t3);t3 时刻采取措施使系统进入恢复期 (t3 < t < t4);通过系统自我恢复和适应能力,系 统可恢复到安全状态(C),也可恢复到事前安全 状态(B),还可通过自学习恢复到更好状态(A)。因此,韧性强调了系统“自学习、恢复、适应、避免” 的需求,韧性安全是在预期或者非预期的条件下, 确保所期望的可接受的结果最大化的能力。
综上所述,随着安全认知的深入,安全概念不 断纳入新理论,呈现出更加客观、丰富而非取代的 过程。安全概念发展演进路线如图 2 所示,从事故 预防角度逆向定义安全(从危险出发以事故预防为主线)、从风险控制与管理角度间接定义安全(从 隐患出发以风险控制为主线)和从韧性需求角度直接定义安全(从系统出发以优化提升为主线),体 现了安全概念内涵和外延的不断拓展和人们认知水 平的不断提升。如果系统必然会受到意外事件的侵 袭,以有准备、有策略的方式来降低不利事件对系 统的冲击,可在危险降临时争取到有利的局面并迅 速采取措施修复,成为增强系统安全的新理念。系统层面的安全,其本质是减少事故发生概率和降低 事故损失,提高系统从事故中恢复的速度和向事故 学习的能力。在实操层面,突出事前的“预防、预测” 和事中的“响应、应对”,强调事后的“恢复、提升”。
2 自动驾驶安全需求探讨
2.1 自动驾驶分级
自动驾驶汽车是指能够以高度智能化的方式实 现自主环境感知、行驶规划决策和车辆控制功能的 车辆。系统架构包括感知层、认知层、决策层、控 制层和执行层,用于完成感知定位、路径规划、行 为预测、轨迹生成和控制执行功能。根据车辆驾驶 过程中人类驾驶员和驾驶系统承担的驾驶职责,国 际汽车工程师协会(SAE International)将自动驾驶 技术划分为非自动(Level 0)、驾驶员辅助(Level 1)、 部分自动(Level 2)、有条件自动(Level 3)、高 度自动(Level 4)和完全自动(Level 5)。在前 3 个分级中,人类驾驶员始终是车辆的驾驶主体;在 L3 级以上(L3 级与 L4 级的本质区别在于当系统提 出请求时,人类驾驶员是否必须作出应答并接管车 辆)时,驾驶系统取代人类驾驶员执行驾驶任务。具体分级原则见表 1。
我国《汽车驾驶自动化分级》(征求意见稿) 基于驾驶自动化系统能够完成动态驾驶任务的程 度,根据在执行动态任务中的角色分配以及有无 设计运行范围限制,将驾驶自动化分为 0 ~ 5 级。0 级(安全辅助)指驾驶自动化系统不能持续执行 动态驾驶任务中的车辆横向或纵向运动控制,但具 备持续执行动态驾驶任务中的部分目标和事件探测 与响应的能力;1级(部分驾驶辅助)指驾驶自动 化系统在其设计运行范围内持续执行动态驾驶任务 中的车辆横向或纵向运动控制,且具备与所执行的 横向或纵向运动控制相适应的部分目标和事件探测与响应的能力;2级(驾驶辅助)指驾驶自动化系 统在其设计运行范围内持续执行动态驾驶任务中的 车辆横向和纵向运动控制,且具备与所执行的横向 和纵向运动控制相适应的部分目标和事件探测与响 应的能力;3级(有条件自动驾驶)指驾驶自动化 系统在其设计运行范围内持续执行全部动态驾驶任 务;4级(高度自动驾驶)指驾驶自动化系统在其 设计运行范围内持续执行全部动态驾驶任务和执行 动态驾驶任务接管;5级(完全自动驾驶)指驾驶 自动化系统在任何可行驶条件下持续执行全部动态 驾驶任务和执行动态驾驶任务接管。
2.2 自动驾驶安全需求
2016 年1月,一辆启动自动驾驶功能的特斯拉 轿车在京港澳高速公路河北邯郸段,因未能及时躲 避前方的道路清扫车而发生追尾,事故导致车主身 亡。2016 年 5 月,一辆特斯拉 Model S 电动汽车在 自动驾驶模式下与一辆正在左转的大型牵挂型卡车 发生碰撞,原因是卡车大面积白色车厢与明亮的天 空相近,自动驾驶系统“看到了”卡车,但未能判 别出风险。2018 年 3 月,一辆 Uber 自动驾驶汽车 撞死了一名突然横穿马路的妇女。自动驾驶受到光 照条件、道路条件、复杂路况和恶劣天气等诸多环 境因素影响,导致车辆在不确定的开放环境下无法 有效感知和准确识别。自动驾驶技术会大大降低人 因失误引发的事故,但仍无法消除诸多可能引发事 故的因素,也会带来新的事故模式和安全风险。
2.2.1 功能安全
自动驾驶功能的实现要依靠大量电子电器系统 的集成和控制,电子电气系统的功能安全是汽车自 动化的关键。功能安全是指避免由于系统功能性故 障导致的不可接受风险,主要针对与安全相关的由 电子电气系统故障引起的危害分析。ISO 26262《道 路车辆 - 功能安全》是 IEC61508 对电子电气系统 在道路车辆方面的功能安全的具体应用,规定了道 路车辆上特定的由电子、电器和软件组成的安全相关系统在概念阶段、产品开发和生产发布全生命周 期内与功能安全相关的工作流程和管理流程。基于 功能安全的产品生命开发周期包括 3 个阶段:概念 阶段、产品开发和生产发布之后,如图3所示 。
2.2.1.1 概念阶段
该阶段包括相关项定义、安全生命周期启动、 危害分析和风险评估、功能安全概念 4 部分内容。根据产品的功能定义对相关项进行定义和描述, 包括相关项与其他相关项和环境的交互作用和相 互影响、功能在所涉及的系统和要素的分配等;以相关项为基础进行危害分析和风险评估(Hazard Analysis and Risk Assessment,HARA),对功能潜在故障进行识别并对其产生的危害进行分类, 确定功能安全目标,以及从暴露度、严重度和可 控性3个纬度影响因子分析汽车安全完整性等级 (Automobile Safety Integrity Levers,ASIL)。功 能安全概念源于功能安全目标,目的是当系统发生 故障后使其进入安全的可控模式。
2.2.1.2 产品开发
基于概念阶段分析得出的功能安全要求,提出系统层、硬件层和软件层的技术要求,并指导各个 层级的设计开发,经功能安全确认和功能安全评估 后通过产品生产发布。
2.2.1.3 生产发布之后
以产品的生产计划和运行计划为基础,执行基于功能安全的生产、运行、服务和报废过程的活动。
2.2.2 预期功能安全
预期功能安全是指通过一系列确认和验证手段, 探测和发现系统感知、逻辑决策和功能执行中的非 失效不足,通过功能改进使自动驾驶车辆在预期使 用工况下达到合理安全水平的技术。预期功能安全 主要针对自动驾驶系统非故障原因导致的危害,涉 及环境干扰、识别错误、预警交互信息缺失、系统 决策失误、逻辑错误、响应延迟和乘员误操作等问题。ISO/PAS 21448《道路车辆 - 预期功能安全》对预期 功能安全实现思路和流程进行了规范,以系统功能定 义为中心,进行危害分析和风险评估,找出可能导 致危害的使用案例,对于不可接受的功能予以改进。
预期功能安全评估需要依托典型用例进行评估 验证,自动驾驶场景构建是关键。ISO/PAS 21448 将场景划分为 4个区间(图4),包括已知安全、 已知不安全、未知安全和未知不安全4 类。在自动 驾驶场景中尽可能缩小已知不安全和未知不安全的 场景比例,确保场景控制在安全区间。国家市场监 管总局缺陷产品管理中心学者针对自然驾驶道路测 试方法存在的时间成本大、效率低且危险场景覆盖 面不足的问题,提出了危险场景批次性衍生的路 径及关联关系(图5),并以国家车辆事故深度调 查体系事故数据为基础构建了考虑人 - 车 - 路 - 环 境等因素的场景衍生和演绎方法。德国亚琛大学 RÖSENER 指出,自动驾驶使用场景不一定包含在 基于人类驾驶已经发生的事故场景中,需要提出新 方法模拟自动驾驶功能,提出综合考虑驾驶场景频 率预测的安全影响评估的总体方法(图6)。流程 包括定义自动驾驶场景、模拟基于驾驶场景的有效 领域、考虑发生驾驶场景的频率变化和驾驶场景发 生事故的严重度变化,最后评估自动驾驶功能的有 效性。
2.2.3 网络与数据安全
自动驾驶除自身传感器外,还会通过网络与其 他车辆、基础设施及其人员互联互通,存在因网络 漏洞而受到攻击的情况。DFF CON 在 2011 年黑客 大会上短信解锁斯巴鲁傲虎,在 2013 年通过 OBDII 控制了福特翼虎和丰田普锐斯的方向盘、制动、 油门等 。菲亚特克莱斯勒在 2015 年因网络安全 问题召回 140 万辆汽车。美国独立研究机构波莱蒙(Ponemon Institute)公布了一项有关汽车网络安全 的调查结果指出,未来将有 60% 的车辆因软件安全 问题被召回,汽车受到信息安全攻击的威胁正逐步提升。此外,2016 年法国尼斯卡车致 84 人死亡 的恐怖事件警示,如果自动驾驶汽车被恐怖分子劫 持,将是发动恐怖袭击的有利武器。网络安全的核 心要义是自动驾驶系统的每个制造商应制定、维护 和执行网络安全计划,以最小化由网络安全威胁和 漏洞带来的安全风险。美国 S.1885 法案指出,除制 定网络安全计划外,制造商可建立以自愿协调一致 为基础的漏洞披露政策,安全研究人员将其发现的 与漏洞相关的信息通知制造商,建议其确认和修复 漏洞。
自动驾驶系统是由上千个电子控制单元通过车 载网络进行控制的智能移动终端,可以自动收集与 保留数据信息。这些信息不仅关系个人隐私,还与 人身财产安全和国家安全直接相关。目前还没有法 规明确这些数据信息的终端汇聚地,以及查阅和使 用这些信息的权限边界,导致这些信息随时可能被 泄露或恶意利用。近期爆发的亚马逊数据泄露事件 和棱镜门事件都应引起对自动驾驶数据安全和隐私保护的思考。据统计,有 56% 的消费者表示数据安 全将成为未来购买汽车时的主要考虑因素。2016年, 美国《汽车最佳网络安全指南》明确表示要对自动 驾驶汽车实施网络安全测试,防止汽车接入未授权 的网络,保护关键安全系统和个人数据。2017 年, 美国《自动驾驶法案》明确规定,自动驾驶汽车生 产厂商需制定和说明如何收集、使用、分享和存贮 自动驾驶汽车用户信息的“隐私方案”,要求运用 数据缩小化和去识别化技术防止用户留存信息被泄 露。然而,由于缺少规范的安全监管标准和流程, 目前绝大多数厂商不能对其产品进行必要的安全性 测试,更无法保障这些数据的安全。因此,应从法 律层面尽快对自动驾驶数据安全进行规范,明确自 动驾驶汽车获取数据的属性,即哪些数据可以被采 集及其使用边界。
2.2.4 韧性安全
自动驾驶技术会大大降低人因失误引发的事 故,但“零伤亡”仍是愿景。因此,在事故发生前, 自动驾驶系统生产者和其他实体应使用识别、保护、 检测、响应和回复等功能对其做出风险管理决策, 尽量消除风险和威胁;采用“黑盒子”等技术记录 追溯事故发生前以及发生时所有的行为、改动、设 计选择、分析、关联测试和数据;在事故发生后, 鼓励共享事故信息和网络安全数据,以便从中吸取 经验教训并促进行业整体质量提升。
美国《自动驾驶系统 2.0:安全愿景》针对耐 撞性提出两项要求:一是乘客保护,即无论是在自 动驾驶还是人工驾驶模式下,一旦系统出现故障, 乘客保护系统均应保持其预期的性能水平;二是兼 容性,即用于提供产品、服务或应用于其他场景的 自动驾驶车辆应符合与道路上现有车辆的碰撞兼容 性。当驾驶系统失效时,被动安全系统是车辆碰撞 后乘员保护的最后一道屏障,需要通过优化乘员约 束系统减轻伤害或防止车内人员伤亡。PIPKORN等通过试验和仿真表明,目前的乘员约束系统 在80 km/h的碰撞速度下对驾驶员的保护作用不够, 相关伤害指标远超 FMVSS 208 中规定的损伤容限。因此,相关学者提出需针对不同碰撞强度设计可调 节式的自适应约束系统,以应对未来交通事故场景 中乘员智能保护的挑战。
自动驾驶系统是具备自学习的强人工智能系 统,以韧性安全为基础来提高系统从事故中恢复的 速度和向事故学习的能力,自动驾驶汽车经历碰撞 事故后应迅速恢复到安全状态。具体行为包括自动 关闭油门、移除动力装置、移动车辆到安全位置、 关闭电源等。如果传感器或与安全相关的控制系统 出现故障,车辆应在最低的风险状况下运行,直至 功能恢复正常。车辆生产者或其他实体应对自动驾 驶车辆的相关维修记录进行存档,以确保修复后的 自动驾驶车辆能够被调整至更安全的状态。
3 结论
自动驾驶汽车综合运用了人工智能、信息物理 融合和大数据分析技术,是一个集环境感知、规划 决策、多等级辅助驾驶等功能于一体的智能系统。对智能化的追求应当建立在安全之上,失去了安全 性的智能化都是空谈。即使最好的汽车安全科技也 不能确保挽救每一个生命,对于安全科技效用的限 制在于人们使用它的方式。自动驾驶汽车较传统汽 车安全,除了要满足功能安全、预期功能安全、网 络和数据安全外,还应满足韧性安全。如果该系统 受到意外事件的侵袭,以有准备、有策略的方式来 降低不利事件对系统的冲击,提高系统从事故中恢 复到正常状态的速度和向事故学习的能力。基于产 品安全认知演进规律分析自动驾驶安全需求,不仅 突出事前的“预防、预测”和事中的“响应、应对”, 还要强调事后的“恢复、提升”,为自动驾驶安全 技术发展提出了建议和思路。
END
