自动驾驶车神话：十二大祸因

自动驾驶车(AV)能够改善道路安全，为无法驾驶的人群提供移动性并带来其他益处。直至今天，这个目标仍然让人心神向往。然而，在公共道路上进行自动驾驶测试，会为弱势道路使用者带来巨大的风险。尽管存在这些风险，自动驾驶车产业仍在为当前的测试和未来的广泛部署争取有利的法规待遇。这场争取限制有意义的监管的竞赛，却依赖于一些极易被揭穿的关于自动驾驶车的神话。

在公共道路上安全地运作不成熟的开发中技术，即使有安全人员，也仍然需要透明度与协作。然而，产业对监管机构的态度往往不是故意拖延，就是以空洞的言辞应付，或者完全不透明。更糟糕的是，很少有监管机构在自动驾驶领域拥有深厚的专业知识，因此，对于自动驾驶车公司不合理的声明，他们显得束手无策。

为了创造公平的竞争环境，本文列出了业内人士所常常提到的自动驾驶车“十二大祸因”(Dirty Dozen)，它们通常是自动驾驶车监管中的疏漏之处。

祸因1：94%的车祸是由于人类驾驶失误造成，因此自动驾驶车会更安全

这种说法的非正式版本是人类可能酒后驾车，因此计算机驾驶会更安全。通常其含义是，计算机驾驶不会犯相同的错误，因此自动驾驶车会更安全。

可以肯定的是，许多车祸都是由驾驶的危险驾驶所造成的。然而，“94%”的估计却是对原始资料的误读。

该研究数据所实际表达的是，人类驾驶在94%的驾驶时间内可能有助于避免糟糕的结果，这与导致车祸完全不相干。消息人士明确表示，它不代表94%的机率要“责怪”人类驾驶。

除了94%的数字比“驾驶失误”显得更复杂之外，自动驾驶车还会犯不同的错误。任何人只要看过自动驾驶路测视讯，就应该很清楚这一点。

的确，自动驾驶车技术会不断进步，但在分析时将自动驾驶车的优缺点都考虑进去，什么时候自动驾驶车才能在复杂的驾驶情况下比人类驾驶“更安全”，还有待观察。

祸因2：创新和符合规范二者不可兼得

这是一个错误的两难困境。实际上，如果法规旨在允许创新，并简单地要求产业遵循自己的标准，那么就可以轻松地实现创新，同时符合规范。例如，可以透过要求符合SAE J3018来规范路测安全。这项标准有助于确保人类安全员获得适当的资格与培训。

另外，它还要求以一种负责任的态度执行测试，这种态度要符合良好的工程验证和道路安全实践，它对被测的自动驾驶技术没有任何限制。

以下讨论与部署自动驾驶车相关的特定标准。这些标准都没有压制创意，相反，它们促进了公平的竞争环境。

因此，公司不能为了获得竞争优势而克扣安全系数，同时将其他道路使用者置于不当风险之中。

如果一家公司声明，安全是他们的重中之重，又怎么可能与法规要求不符？

毕竟，这些法规代表了一种安全标准的产业共识，而且是由业内人士自己编写并批准的，因为这些公司的代表通常都会参与到标准的制定流程之中。自

动驾驶车产业应该在安全以外的其他功能上展开竞争，而将安全保持在一个统一的、非常高的标准之上(和航空产业一样)。

祸因3：法规已经够多了

美国现有的法规(除了纽约市交通局最近要求的J3018)没有对符合任何涵盖自动驾驶的安全标准做出要求，也没有设置任何所需的安全等级。

在最坏的情况下，就如蛮荒之地，什么要求都没有；最好的情况下，仅要求提供驾驶执照、保险和报告。

如果有任何安全法规保障，也只不过是相信制造商的话。我们需要更多的法规。

祸因4：由于现有法规及责任风险的压力，不需要有前瞻性的自动驾驶车法规

当前的美国联邦机动车辆安全标准(FMVSS)并没有含盖计算机系统的安全。它们主要用于测试头灯、安全带、安全气囊和其他基本的车辆安全功能。透过FMVSS虽然有用且很重要，但仅仅如此甚至不足以确保传统车辆的安全，更不用说自动驾驶车的安全了。

美国国家公路交通安全管理局(NHTSA)通常会对不良事件做出反应。但如果汽车公司不主动披露问题，通常要发生许多伤亡事故，NHTSA才会采取行动。例如，特斯拉(Tesla)的驾驶辅助系统“Autopilot”在三年半的时间里发生了11起碰撞事故，才最终促使NHTSA采取行动。

安全监管者应该认真考虑一种方法，其中的“安全”意味着需要用保险金来赔偿事故死者的近亲。拥有着数十亿美元的发展资金，事故发生之后的几百万美元支出，似乎无法阻止公司在自动驾驶竞赛中在安全方面走快捷方式。

祸因5：现有的安全标准是不恰当的，原因是(请选择一或多项)

• 它们不能做到完美契合；
• 没有一个单独的标准适用整车；
• 它们会降低安全性，因为它们会阻止开发人员做更多的事；
• 他们会使自动驾驶车变得不那么安全；
• 它们不是专为自动驾驶车制定。

这些陈述歪曲了安全标准实际的运作方式。ISO 26262、ISO 21448、ANSI/UL 4600都在安全性支持方面具有非常大的灵活性，这三项标准协同工作，可以适用于任何一辆安全的自动驾驶车。

ISO 26262确保了传统计算机相关功能的安全操作。ISO 21448涵盖了所谓的自动驾驶车预期功能安全性，从而应对传感器的固有限制和开放外部环境中的意外情况。

ANSI/UL 4600则可与21448和26262一起使用，从而涵盖自动驾驶车的系统级安全，包括车辆及其支持基础设施。

美国交通部已经在“拟议规则制定预先通知”(Advanced Notice of Proposed Rulemaking)中提出了这套标准。所有标准都允许开发人员做比要求更多的事情；所有标准都具备足够的灵活性以适应任何一种自动驾驶车；没有标准会强迫公司少一些安全性(这是一个非常可笑的论点)；也没有标准会在要求安全之外限制自动驾驶技术方法。

祸因6：需要废除美国地方和各州的法规，从而避免出现遏制“拼凑型”法规

美国地方和各州法规是“拼凑而成”的一个重要原因就是，在每个司法管辖区，自动驾驶车公司都态度强硬，它们总是用谈判的方式尽可能地减少监管。

通常，它们会发表声明，如果监管过于严格，它们就会将自己所提供的就业和资金迁至其他地区，并给该地区留下一个敌视创新和科技的名声。

由于每次谈判的结果都不同，这就导致法规或自愿指导也有所不同，因此，拼凑型法规主要是由自动驾驶车公司自己造成。

转向产业标准法规，将有助于缓解这种状况。一项阻止各州采取行动但自己却不能确保安全的联邦法规，只会使事情变得更糟。

祸因7：我们符合某些标准的“精神”

通常，自动驾驶车开发人员所做的“精神”声明，依赖可能需要偏离标准的概念。他们并没有说明这种偏离需要的具体例子，也没有说明符合标准的“精神”可能意味着什么。

标准都具备足够的灵活性——如果真的符合其“精神”和意图，那么就可以符合标准。但是，如果我们赶时间或想削减成本，那么声明遵循标准“精神”的策略可能会派上用场。

更好的做法应该是与监管机构协商，确认它们的做法，或获得为保护安全而适当构建的有限豁免(如果确实可以确定这种需求)。

真正重视安全的公司应该支持透明地遵守产业共识标准，以提高竞争对手的门坎。否则，就可能为那些只是在“安全剧场”里做练习的潜在演员们提供保护罩。

想一想，我们是否会乘坐制造商这样声明的自动驾驶飞机——“我们符合航空安全标准的精神，我们有能力，我们的飞机非常特殊，我们做了一些自由改动。相信我们，一切都会好起来的。”

祸因8：政府监管机构对技术不够了解以至于无法进行监管

上述的美国交通部“计划援引产业标准”是有意义的，因为它恰恰解决了这个问题。业界已经制定了相关的安全标准，而监管机构只是加了一句：”遵循你们自己的产业安全标准，就像所有其他安全攸关的产业一样。”

在面临短期利润激励和不可避免的组织功能障碍时，如果可以信任任何产业对安全进行自我监管，那么就不需要监管机构了。

但这是一个真实的世界，在产业承担安全责任与监管机构的监督之间实现有效的平衡非常重要。

祸因9：披露测试数据泄露了自动驾驶技术的秘诀

路测安全仅关乎人类安全员是否可以有效地防止测试车辆给其他道路使用者带来更高的风险。它与自动驾驶知识产权毫无关联，其目的在于免除人类安全驾驶员。

测试安全数据不需要包括任何关于自动驾驶设计或功能性能的信息。例如，报告被测驾驶在测试时睡着的频率。如果结果非零，可能会令人尴尬，但这又如何会泄露机密的自动驾驶技术数据呢？

祸因10：延迟部署自动驾驶车无异于杀人

自动驾驶车的安全优势是令人向往的，它在未来的某个时刻一定可以实现。除此之外，没有真正的证据显示自动驾驶车将比人类驾驶的车辆安全得多，尤其是在与人类驾驶车辆的主动安全功能(例如自动紧急剎车)竞争时。

忽略产业最佳实践，将弱势道路使用者置于危险之中，在今天是不应该被允许的。如果技术证明是经济可行的，那也许有一天，自动驾驶车最终能够挽救以后的潜在受害者。

一场引人注目的事故带来的负面新闻，很容易让整个产业倒退。任何公司都不应该用安全快捷方式来赌博，借此实现其近期的融资目标，却让人们的生命受到威胁，并且拿整个产业的声誉来冒险。

祸因11：还没有造成人员死亡，这一定意味着是安全的

换句话说：“迄今为止，我们一直很幸运，所以我们计划在未来也有好运。”如果没有可靠、系统的安全工程和操作安全实践的证明，这相当于一个赌徒声称他会永远赢下去。

我们不能直到有人死亡，才停止给开发者发放免费的安全通行证。对于实际上将安全人员当作“道德崩溃区”的测试实践尤为如此。

祸因12：美国其他州/城市允许我们不受任何限制地进行测试，所以你也应该这样做

许多人都知道2018年亚利桑那州坦佩市Uber路测中发生的死亡事故。用于路测安全的最新版本SAE J3018标准，即涵盖了从那起悲剧性死亡事故中吸取的教训，如果测试人员不遵循产业共识标准，那他们就没有真正把这些教训铭记于心。

监管者们应该停下来思考，为了营利性公司的利益，而将弱势道路使用者置于更加危险的潜在风险中，其后果是什么。

这些公司正在将公共道路用作其高风险的自动驾驶竞赛实验测试平台。尽管路测可以为一个地区带来就业和技术友好的声望，但即使是一次测试事故，都会引起全世界对该地区的负面关注。

对于仅仅要求开发人员遵守多数情况下由公司自己协助编写的产业安全标准，负责确保安全的监管机构应该再大胆一些。弱势道路使用者不应该在不知情的情况下被当作自动驾驶车测试人员的测试物，因为测试人员的行为并未真正将安全放在首位。

(参考原文：Autonomous Vehicle Myths: The Dirty Dozen，by Philip Koopman)

本文原刊登于EDN China 2022年2月刊