自動駕駛真的安全嗎？

本文來源：智車科技

2024年4月26日，一輛問界M7于高速快車道上與一道路養護車輛發生追尾，問界M7車頭起火，後整部車被大火籠罩，現場有多人參與救援，試圖用硬物撞破車窗，将車内人員救出，問界M7也是以被質疑事故後車門無法打開，事故最終造成三人遇難。

事發後家屬提出質疑，車輛于1月14日購買，才3個月的新車，宣傳有AEB自動緊急制動、 GAEB異型障礙物自動緊急制動，三元锂電池阻燃材料和熱失控保護技術撞擊等功效，可是事故發生的當時，這些功能又在何處發揮了？安全氣囊去哪呢？

家屬的疑問也是我們今天想讨論的話題：作為自動駕駛輔助産品的AEB為什麼沒有避免這起悲劇？難道企業宣傳的自動緊急制動（AEB）功能是虛假的嗎？先來看一下AEB法規中關于AEB功能的要求：

從國标中可以看到，無論是運動目标還是靜止目标，當相對速度大于一定值時，是不要求車輛必須刹停的。發生事故時M7的車速115km/h，已超出法規規定的最大相對速度，車輛AEB功能可以不覆寫該速度段。

再來看一下問界M7的使用說明書中對于AEB功能的描述：

可以看到，說明書中明确指出AEB的工作速度是4-85km/h，發生事故時車輛的速度已經超過了AEB的工作速度。是以，AEB功能沒有觸發符合産品功能設計，不屬于産品品質問題。

通過以上兩份材料，我們發現無論是從法律角度還是從産品品質角度，問界M7的自動駕駛輔助系統都不存在所謂的産品品質問題，也就是說車企不用承擔相關法律責任。

這個結論似乎是冰冷的，普通使用者不願意接受的。是的，誰買一輛新車會去翻看車輛使用手冊呢？對于輔助駕駛這種功能的使用和了解大部分使用者可能都是在買車的時候從4S店的銷售口中聽到的。而銷售人員對于功能的宣傳和講述是否完全按照車輛使用手冊展開，恐怕很難說了。此外，目前普通使用者對于自動駕駛或輔助駕駛系統的功能預期往往高于産品或系統本身的性能範圍。

那麼，自動駕駛到底安全嗎？或者真的能達到使用者對于安全性的預期嗎？本文将詳細進行分析和探讨。

自動駕駛因何而生？

還記得筆者剛從事自動駕駛研發工作時，那時還是國内自動駕駛的起步階段。在一次部門内部的技術分享會中談到的一個比較重要的話題：“為什麼要研究自動駕駛這項技術”？當時大家談到的很多原因，諸如：提升道路交通安全、提高出行體驗和效率、推動能源的合理利用和環境保護、提供更多出行選擇等等。但筆者認為這些原因中最重要的應該是：提高道路交通安全性。

衆所周知，由于駕駛水準，自身狀态，人類視野空間等限制，人工駕駛具有較高的安全隐患。公安部交通管理局《道路交通事故統計年報》資料中指出：2017-2019年大陸交通事故年均發生23.19萬次，年均死亡人數達6.3萬人，另有24萬人受到非緻命傷害，約90%以上的道路交通事故是駕駛員人為因素導緻的。易發多發點位為交叉口(無信号燈)處和紅綠燈處，其數量占比達到了百分之五十以上，彎道等典型路段也存有一定的規模。

大家都知道的搶行、超速、酒駕、疲勞駕駛等等，是造成事故的主要原因。而自動駕駛技術中的感覺、決策、規劃、控制系統，充分地識别道路中各類動态、靜态目标、實作自主決策和車輛運作并通過了長時間的虛拟仿真測試以及道路測試。最主要的是系統是“聽話的”，它不會出現違反交規的行為，它會規規矩矩的按要求來開車，這一點極大程度上滿足了安全性需求。是以，說自動駕駛因安全而生應該一點也不為過，這也展現了自動駕駛技術本身的重要意義。

不同自動駕駛産品的安全性要求分析

從理論上說，自動駕駛系統确實可以避免駕駛的人為因素，進而提高行駛的安全性，但目前的自動駕駛系統真的能做到比人類駕駛員更安全嗎？這裡針對目前市場上主流的自動駕駛産品的安全性進行分析和讨論，希望能得出一些結論。

目前市面上主流的自動駕駛系統或産品可以按照場景分為以下四大類：

低速載物、高速載物、低速載人、高速載人。

基于ISO26262道路車輛功能安全标準中危害分析和風險評估（HARA）的方法論，整車功能安全完整性等級的分析包含三個次元：

1）功能失效後的可控性；

2）功能失效後在某場景下所造成危害的嚴重程度；

3）功能在某場景下的暴露度（機率）。

最終車輛某項功能的功能安全完整性等級是由以上三個次元的評分之和獲得的。這裡我們先不去進行具象化和規範化的分析工作，隻基于該理論對以上的四類自動駕駛産品進行一個籠統的分析。

1）可控性分析

從可控性角度來看，高速行駛狀态下系統功能出現失效後，可控性相比低速狀态下更低。可以想象一下在高速上，橫向控制（方向盤控制）功能失效，方向出現亂打或猛打的情況，駕駛員接管系統并将車輛控制到安全的狀态下（靠邊停車或者平穩駕駛）的可控性明顯會小于低速行駛。是以，高速狀态系統失效後的可控性較低，低速狀态系統失效後的可控性較高。

2）嚴重程度分析

嚴重程度與可控性有一定差別，需要從兩個次元來分析。首先看速度次元，高速狀态下系統失效車輛發生事故造成的嚴重程度往往要高于低速狀态。舉個簡單的例子：車速100km/h行駛時，車輛失控撞向路側護欄造成的結果很可能就是車毀人亡；而車速30km/h行駛時，車輛失控撞向路側護欄造成的結果可能是車輛受損和人員受傷。是以從速度次元來看，高速狀态系統失效造成的嚴重程度高于低速狀态。

其次看載人與載物次元，在同一速度狀态下，載人車輛的智駕系統失效後造成的人員傷亡是遠大于載物車輛的，這一點顯而易見。

3）暴露度分析

暴露度次元無法一概而論，高速場景的暴露度高還是低速場景的暴露度高很難去下結論，針對定義在不同應用場景的自動駕駛系統對應着完全不同的暴露度。是以無法從宏觀次元得出四個次元的暴露度高低結論。

基于以上三個次元的分析（确切的說是兩個次元）可以初步得出目前自動駕駛在主要應用場景下系統的安全性要求分級是：高速載人>低速載人>高速載物>低速載物。但是這個結論一定是相對而言的，千萬不可絕對的去看待這個結論。

從這一結論也能看出自動駕駛技術的發展和落地路線應該是：先載物後載人，先低速後高速。從易到難，這應該是大家普遍的思維吧。

不同等級自動駕駛系統的安全性分析

前面我們分析了自動駕駛在不同應用場景下的安全性要求，但是沒有考慮一個重要的次元，那就是自動駕駛系統本身的自動化等級。SAE将自動駕駛系統的自動化等級分為了L0-L5，其中最核心的一個分界點就是L3。L3以下的自動駕駛系統通常稱為駕駛輔助系統（ADAS），L3及以上的系統通常稱為自動駕駛系統（ADS），這其中最重要的差別就是：車輛行駛的控制操作中駕駛員是否“在環”。

對于輔助駕駛系統，系統功能失效時駕駛員是實時“在環”的狀态，是以可以接管車輛，也就對失效造成的異常情況具有一定可控性。對于自動駕駛系統，系統功能失效時駕駛員是“不在環”的狀态，是以在系統失效時對于異常情況是不具備可控性的。基于這樣的區分，自動駕駛系統的安全性就需要分兩大類來展開：輔助駕駛系統（即L3以下系統）和自動駕駛系統（L3及以上）。

1. 輔助駕駛系統的安全性分析

如前所述，基于傳統的ISO26262功能安全HARA分析理論，輔助駕駛系統是需要考慮可控性的。但在《汽車人因工程學》一書中對于自适應巡航控制系統（ACC）的安全性提到這樣一個觀點：ACC将駕駛人從一部分任務中解放出來（如制動和加速），但同時又增加了新的任務。在ACC系統工作時，駕駛人不得不保持對系統的監控以確定其正常工作。但自動駕駛可能反而使駕駛人工作負荷不足，進而降低其配置設定給該任務的注意力水準，導緻可能在緊急情況下（例如系統功能失效時）駕駛人有可能面臨着注意力資源要求爆炸式增長，進而無法及時發現危險或對車輛的控制反應受到影響的情況。

換句話說，自動駕駛功能雖然減輕（或緩解）了一部分駕駛員的體力操作，然而卻導緻其頭腦注意力要高度集中以確定及時接管車輛來避免危險的發生。這樣一來，其實際的結果可能是駕駛員在開啟自動駕駛系統時不是頭腦集中而是身體和頭腦全部放松下來，當出現危險時，駕駛員反而無法及時控制車輛的某一操作（轉向、加速、制動等）最終發生事故。這種類似的悲劇貌似在實際中已經發生過。

如果最終結局都是這樣的話，那豈不是違背了文章一開始提到的研究自動駕駛技術的初衷——安全嗎？這樣說來似乎有些諷刺，但這種類似的分析和推理并不無道理。特斯拉早先的一些使用者就出現在駕駛過程中，嘗試在方向盤上放置礦泉水來騙過系統的接管檢測，進而來放松駕駛員對系統的監控。現在看來，這樣做是多麼的愚蠢，簡直就是在拿自己的生命在開玩笑！但是，這又從另一個側面反映了使用者對于自動駕駛輔助系統能力的信任程度，顯然這種信任是過度的，是無知的。

是以，從這一次元來看，自動駕駛輔助系統（更準确的說是L2及以下的自動駕駛系統）是不安全的，這種不安全并不是來自于系統本身，而是來自于使用者在使用時系統是的兩種不安全因素：

1）使用者的違規操作，即類似于上文中說到“欺騙系統”行為；

2）系統對使用者使用時的高要求無法被滿足，即讓使用者可以放松手腳的同時讓使用者保持大腦的高度緊張。

第二點不安全因素顯然是系統設計引起的，使用者不應該買賬。

再回歸到系統本身的功能中，我們相信所有公司或者開發者在設計系統一定都是符合法規的、合理的、安全的功能。但是由于是輔助駕駛系統，在駕駛的大多數時間仍然是人工駕駛，甚至很多時候當系統按照交通規則規範駕駛但卻不符合“老司機”操作時，駕駛員會立即接管車輛，按照自己的意圖駕駛車輛。而這些場景下其駕駛行為往往是很不安全的。這麼看來，自動駕駛輔助系統本身并沒有有效“屏蔽”我們一開始提到的人類駕駛員的不安全操作。是以，也沒有實作我們安全的初衷。

2. 自動駕駛系統的安全性分析

分析完了輔助駕駛系統的安全性，再來看一看自動駕駛系統的安全性如何。根據SAE的定義，自動駕駛系統應該是L3及以上的系統，因為L3及以上的系統可以實作駕駛員“不在環”。那這樣是不是就能“屏蔽”我們所說的人類危險操作或弱點呢？

答案是：L3還是不行，L4、L5可以做到這一點。

L3的定義是條件的自動駕駛系統，所謂有條件就是系統運作需要滿足一定的條件，也就是ODD（運作設計域）。通常包含以下次元：

但其實這些次元真的定義起來是很麻煩的，因為影響駕駛的環境因素太多了，從某種意義上說是無法窮舉的。這裡舉個例子，比如系統在設計時無法識别和應對的一種場景是：“自車在道路上行駛，前方車輛上滿載的橘子忽然掉落滿地”。這種場景超出了系統的ODD，但是系統不能應對的類似奇怪的場景太多了，如果全部寫在ODD中是寫不完的，是以智能索性按照上圖中的常見類别進行ODD的設計。但是筆者認為這是不嚴謹的，因為永遠無法把系統的邊界真正描述清楚。是以ODD是一個僞命題。

那說了這麼多，L3系統到底怎麼不安全了呢？因為ODD寫不清楚嗎？是的，這确實是其中一個原因，但是原因不止這一個。因為L3在系統功能失效時是需要駕駛員來及時接管的，系統不具備最小風險控制（MRC）的能力。是以，L3同樣會遇到前文提到的問題：對駕駛員的專注度和反應時間提出了更高的要求。為什麼是“更高”.原因是L3的功能更全面，更容易引起駕駛員的“麻痹”，甚至是在系統出現故障時駕駛員已經睡着了，進而導緻在需要接管車輛不能及時接管而出現更嚴重的後果，并且這種情況的機率大大增加了。

L4、L5安全，為什麼？這裡先說L5，按照SAE的定義L5是沒有ODD的，那就不存在寫不清楚的情況，換句話說：使用者不用關心哪裡能開，哪裡不能開；啥時候能開，啥時候不能開等類似問題。到了L5使用者根本就不用關注ODD，也不用關注出現系統失效時要不要接管，這些系統都可以搞定。可以了解為你買了一張大巴票，你就坐車就可以了，開車的事兒司機替你搞定。

再來說L4，L4自動駕駛系統跟L3的差別就是當系統出現失效時或超出ODD時可以自己處理系統使車輛進入最小風險狀态。這樣對于使用者就友好多了，可以開車玩手機、睡覺，不用擔心系統提示接管。當然了使用者想接管也是可以的，但是不強制要求。是以L4也是安全的。

自動駕駛行業的浮躁

前面分析了這麼多，所謂的自動駕駛安全性分析理論，所謂的自動駕駛分級，其實都是一些人搞出來的理論。使用者對自動駕駛的要求其實很簡單，這裡借用一個外行朋友的話：“自動駕駛？那我以後是不是不用考駕照了？”雖然是疑問句，但是很直接陳述自己的需求。現在市面上的自動駕駛系統能達到這樣的要求嗎？很顯然，達不到。是以之前一些急于求成的廠家宣稱自己是自動駕駛系統後導緻了一些悲劇的發生，後面大家都改成輔助駕駛系統了。

為了獲得更多客戶的使用和青睐，基于推出并不能完全滿足客戶需求甚至沒有用的功能來擷取産品的增值，這似乎是現在大家的狀态。當今的社會，大家都很浮躁，着急量産，着急賺錢，着急證明自己。很少有人耐心的去滿足真正的客戶需求，甚至連最基本的安全問題都沒有解決。筆者認為，大家是時候放慢腳步了，不要走太遠而忘了我們想要去哪裡。

注：本站轉載的文章大部分收集于網際網路，文章版權歸原作者及原出處所有。文中觀點僅供分享交流，不代表本站立場以及對其内容負責，如涉及版權等問題，請您告知，我将及時處理。