產品安全是近年來的熱點問題,高質量的生活需求使人們不僅關注產品的便利性,更關注安全性。以汽車產品為例,2018 年全國消費者協會收到汽車投訴(含零部件)1.9 萬件,其中消費者關心的安全權占 47%。近幾年,我國汽車召回年均 220 余次,呈常態化發展趨勢。截至 2019 年底,已實施召回1991 次,涉及缺陷車輛 7 578.01 萬輛。自動駕駛汽車在減少交通事故量、增進特定群體移動、減少環境污染和舒緩城市擁堵等方面優勢突出。電氣和電子工程師協會(Institute of Electrical and ElectronicsEngineers,IEEE)預測,2040 年將有 75% 的車輛采取自動駕駛運行模式。然而,自動駕駛汽車是對人類能力的延展,公眾當前普遍的擔憂仍集中于“安全”這一議題。
安全表征產品的瞬時特征和使用特性,作為一種狀態是不可度量與比較的。安全性是保障產品使用安全的能力體現,與可靠性、維修性等的概念內涵相同,是可度量與比較的?,F代產品不僅需要高可靠性以保證完成規定任務,還需要具備高安全性以保證人員、設備/設施免受損失或環境損害。隨著人們認識的不斷加深及社會需求的不斷發展,安全認知呈現動態演變過程。國內外學者結合各自領域不同類型的安全現象、事故類型及其發展規律,闡述不同的安全觀念。產品安全的本質是產品所處的風險狀態與社會發展協調同步。本文剖析了產品安全認知的演進,探討自動駕駛汽車的安全需求。
1 產品安全認知演進
概念是科學認知的主要成果和形式,體現了人們對過去認識的歸納和提煉,也是開始新認識的邏輯起點。在工業革命初期,安全概念來自于對“不安全”的致因認識。安全就是沒有危險,不觸發事故。從事故預防角度,形成了通過減小危險事故發生的可能性和通過保護來避免有害結果這兩種安全手段。20世紀后期,人類邁入“風險社會”。產品安全體現出產品所處的風險狀態,當風險狀態在人們可接受的水平范圍內時,認為產品是安全的。風險表征產品從安全隱患到觸發事故到造成后果的各個階段都具有不確定性?;陲L險的不確定性特征來定義安全,既可修正追求絕對安全的做法,也可避免“不發生事故就是安全”的片面認識,實現通過風險控制來保障系統的協調運用。至此形成兩種安全概念認知:一是事后型的指向事故,即安全就是不發生事故的狀態;二是預防型的指向風險,即安全就是風險處于可接受的狀態。
近年來,人工智能、大數據等技術的應用帶來了許多未知的、變化的和不確定的風險。為了保障不可預測擾動下系統的可持續性,相關學者提出韌性安全的概念 ?。韌性表征系統應對變化或干擾的能力,包括降低風險和損失的能力、吸收沖擊和干擾的能力、通過自學習和再組織恢復原來狀態或達到新狀態的能力。MACASKILL 等 指出,嚴格統一的定義系統韌性不切實際,需根據實際應用定義符合該領域的韌性。SPERANZA 等指出,韌性應包括向事故學習的能力,即把系統所遭受的風險沖擊和擾動視為改變和優化系統安全狀態的條件。美國國土安全部研究指出,韌性是能夠使系統對逆向事件所產生的負面影響進行抵御、吸收和恢復的能力,這種能力貫穿于事前、事中和事后全過程。黃浪等利用系統在事前、事中和事后的動態響應,構建了系統安全韌性概念框架(圖 1)。在 0 <t < t1 時段,系統處于安全狀態;t1 時刻系統遭受風險沖擊或擾動,超過系統裕度而使系統處于破壞期(t1 < t < t3);t3 時刻采取措施使系統進入恢復期(t3 < t < t4);通過系統自我恢復和適應能力,系統可恢復到安全狀態(C),也可恢復到事前安全狀態(B),還可通過自學習恢復到更好狀態(A)。因此,韌性強調了系統“自學習、恢復、適應、避免”的需求,韌性安全是在預期或者非預期的條件下,確保所期望的可接受的結果最大化的能力。
綜上所述,隨著安全認知的深入,安全概念不斷納入新理論,呈現出更加客觀、豐富而非取代的過程。安全概念發展演進路線如圖 2 所示,從事故預防角度逆向定義安全(從危險出發以事故預防為主線)、從風險控制與管理角度間接定義安全(從隱患出發以風險控制為主線)和從韌性需求角度直接定義安全(從系統出發以優化提升為主線),體現了安全概念內涵和外延的不斷拓展和人們認知水平的不斷提升。如果系統必然會受到意外事件的侵襲,以有準備、有策略的方式來降低不利事件對系統的沖擊,可在危險降臨時爭取到有利的局面并迅速采取措施修復,成為增強系統安全的新理念。系統層面的安全,其本質是減少事故發生概率和降低事故損失,提高系統從事故中恢復的速度和向事故學習的能力。在實操層面,突出事前的“預防、預測”和事中的“響應、應對”,強調事后的“恢復、提升”。
2 自動駕駛安全需求探討
2.1 自動駕駛分級
自動駕駛汽車是指能夠以高度智能化的方式實現自主環境感知、行駛規劃決策和車輛控制功能的車輛。系統架構包括感知層、認知層、決策層、控制層和執行層,用于完成感知定位、路徑規劃、行為預測、軌跡生成和控制執行功能。根據車輛駕駛過程中人類駕駛員和駕駛系統承擔的駕駛職責,國際汽車工程師協會(SAE International)將自動駕駛技術劃分為非自動(Level 0)、駕駛員輔助(Level 1)、部分自動(Level 2)、有條件自動(Level 3)、高度自動(Level 4)和完全自動(Level 5)。在前 3個分級中,人類駕駛員始終是車輛的駕駛主體;在L3 級以上(L3 級與 L4 級的本質區別在于當系統提出請求時,人類駕駛員是否必須作出應答并接管車輛)時,駕駛系統取代人類駕駛員執行駕駛任務。具體分級原則見表 1。
我國《汽車駕駛自動化分級》(征求意見稿)基于駕駛自動化系統能夠完成動態駕駛任務的程度,根據在執行動態任務中的角色分配以及有無設計運行范圍限制,將駕駛自動化分為 0 ~ 5 級。0 級(安全輔助)指駕駛自動化系統不能持續執行動態駕駛任務中的車輛橫向或縱向運動控制,但具備持續執行動態駕駛任務中的部分目標和事件探測與響應的能力;1級(部分駕駛輔助)指駕駛自動化系統在其設計運行范圍內持續執行動態駕駛任務中的車輛橫向或縱向運動控制,且具備與所執行的橫向或縱向運動控制相適應的部分目標和事件探測與響應的能力;2級(駕駛輔助)指駕駛自動化系統在其設計運行范圍內持續執行動態駕駛任務中的車輛橫向和縱向運動控制,且具備與所執行的橫向和縱向運動控制相適應的部分目標和事件探測與響應的能力;3級(有條件自動駕駛)指駕駛自動化系統在其設計運行范圍內持續執行全部動態駕駛任務;4級(高度自動駕駛)指駕駛自動化系統在其設計運行范圍內持續執行全部動態駕駛任務和執行動態駕駛任務接管;5級(完全自動駕駛)指駕駛自動化系統在任何可行駛條件下持續執行全部動態駕駛任務和執行動態駕駛任務接管。
2.2 自動駕駛安全需求
2016 年1月,一輛啟動自動駕駛功能的特斯拉轎車在京港澳高速公路河北邯鄲段,因未能及時躲避前方的道路清掃車而發生追尾,事故導致車主身亡。2016 年 5 月,一輛特斯拉 Model S 電動汽車在自動駕駛模式下與一輛正在左轉的大型牽掛型卡車發生碰撞,原因是卡車大面積白色車廂與明亮的天空相近,自動駕駛系統“看到了”卡車,但未能判別出風險。2018 年 3 月,一輛 Uber 自動駕駛汽車撞死了一名突然橫穿馬路的婦女。自動駕駛受到光照條件、道路條件、復雜路況和惡劣天氣等諸多環境因素影響,導致車輛在不確定的開放環境下無法有效感知和準確識別。自動駕駛技術會大大降低人因失誤引發的事故,但仍無法消除諸多可能引發事故的因素,也會帶來新的事故模式和安全風險。
2.2.1 功能安全?
自動駕駛功能的實現要依靠大量電子電器系統的集成和控制,電子電氣系統的功能安全是汽車自動化的關鍵。功能安全是指避免由于系統功能性故障導致的不可接受風險,主要針對與安全相關的由電子電氣系統故障引起的危害分析。ISO 26262《道路車輛 - 功能安全》是 IEC61508 對電子電氣系統在道路車輛方面的功能安全的具體應用,規定了道路車輛上特定的由電子、電器和軟件組成的安全相關系統在概念階段、產品開發和生產發布全生命周期內與功能安全相關的工作流程和管理流程。基于功能安全的產品生命開發周期包括 3 個階段:概念階段、產品開發和生產發布之后,如圖3所示 。
2.2.1.1 概念階段?
該階段包括相關項定義、安全生命周期啟動、危害分析和風險評估、功能安全概念 4 部分內容。根據產品的功能定義對相關項進行定義和描述,包括相關項與其他相關項和環境的交互作用和相互影響、功能在所涉及的系統和要素的分配等;以相關項為基礎進行危害分析和風險評估(HazardAnalysis and Risk Assessment,HARA),對功能潛在故障進行識別并對其產生的危害進行分類,確定功能安全目標,以及從暴露度、嚴重度和可控性3個緯度影響因子分析汽車安全完整性等級(Automobile Safety Integrity Levers,ASIL)。功能安全概念源于功能安全目標,目的是當系統發生故障后使其進入安全的可控模式。
2.2.1.2 產品開發?
基于概念階段分析得出的功能安全要求,提出系統層、硬件層和軟件層的技術要求,并指導各個層級的設計開發,經功能安全確認和功能安全評估后通過產品生產發布。
2.2.1.3 生產發布之后?
以產品的生產計劃和運行計劃為基礎,執行基于功能安全的生產、運行、服務和報廢過程的活動。?
2.2.2 預期功能安全?
預期功能安全是指通過一系列確認和驗證手段,探測和發現系統感知、邏輯決策和功能執行中的非失效不足,通過功能改進使自動駕駛車輛在預期使用工況下達到合理安全水平的技術。預期功能安全主要針對自動駕駛系統非故障原因導致的危害,涉及環境干擾、識別錯誤、預警交互信息缺失、系統決策失誤、邏輯錯誤、響應延遲和乘員誤操作等問題。ISO/PAS 21448《道路車輛 - 預期功能安全》對預期功能安全實現思路和流程進行了規范,以系統功能定義為中心,進行危害分析和風險評估,找出可能導致危害的使用案例,對于不可接受的功能予以改進。
預期功能安全評估需要依托典型用例進行評估驗證,自動駕駛場景構建是關鍵。ISO/PAS 21448將場景劃分為 4個區間(圖4),包括已知安全、已知不安全、未知安全和未知不安全4 類。在自動駕駛場景中盡可能縮小已知不安全和未知不安全的場景比例,確保場景控制在安全區間。國家市場監管總局缺陷產品管理中心學者針對自然駕駛道路測試方法存在的時間成本大、效率低且危險場景覆蓋面不足的問題,提出了危險場景批次性衍生的路徑及關聯關系(圖5),并以國家車輛事故深度調查體系事故數據為基礎構建了考慮人 - 車 - 路 - 環境等因素的場景衍生和演繹方法。德國亞琛大學R?SENER 指出,自動駕駛使用場景不一定包含在基于人類駕駛已經發生的事故場景中,需要提出新方法模擬自動駕駛功能,提出綜合考慮駕駛場景頻率預測的安全影響評估的總體方法(圖6)。流程包括定義自動駕駛場景、模擬基于駕駛場景的有效領域、考慮發生駕駛場景的頻率變化和駕駛場景發生事故的嚴重度變化,最后評估自動駕駛功能的有效性。
2.2.3 網絡與數據安全
自動駕駛除自身傳感器外,還會通過網絡與其他車輛、基礎設施及其人員互聯互通,存在因網絡漏洞而受到攻擊的情況。DFF CON 在 2011 年黑客大會上短信解鎖斯巴魯傲虎,在 2013 年通過 OBDII 控制了福特翼虎和豐田普銳斯的方向盤、制動、油門等 。菲亞特克萊斯勒在 2015 年因網絡安全問題召回 140 萬輛汽車。美國獨立研究機構波萊蒙(Ponemon Institute)公布了一項有關汽車網絡安全的調查結果指出,未來將有 60% 的車輛因軟件安全問題被召回,汽車受到信息安全攻擊的威脅正逐步提升。此外,2016 年法國尼斯卡車致 84 人死亡的恐怖事件警示,如果自動駕駛汽車被恐怖分子劫持,將是發動恐怖襲擊的有利武器。網絡安全的核心要義是自動駕駛系統的每個制造商應制定、維護和執行網絡安全計劃,以最小化由網絡安全威脅和漏洞帶來的安全風險。美國 S.1885 法案指出,除制定網絡安全計劃外,制造商可建立以自愿協調一致為基礎的漏洞披露政策,安全研究人員將其發現的與漏洞相關的信息通知制造商,建議其確認和修復漏洞。?
自動駕駛系統是由上千個電子控制單元通過車載網絡進行控制的智能移動終端,可以自動收集與保留數據信息。這些信息不僅關系個人隱私,還與人身財產安全和國家安全直接相關。目前還沒有法規明確這些數據信息的終端匯聚地,以及查閱和使用這些信息的權限邊界,導致這些信息隨時可能被泄露或惡意利用。近期爆發的亞馬遜數據泄露事件和棱鏡門事件都應引起對自動駕駛數據安全和隱私保護的思考。據統計,有 56% 的消費者表示數據安全將成為未來購買汽車時的主要考慮因素。2016年,美國《汽車最佳網絡安全指南》明確表示要對自動駕駛汽車實施網絡安全測試,防止汽車接入未授權的網絡,保護關鍵安全系統和個人數據。2017 年,美國《自動駕駛法案》明確規定,自動駕駛汽車生產廠商需制定和說明如何收集、使用、分享和存貯自動駕駛汽車用戶信息的“隱私方案”,要求運用數據縮小化和去識別化技術防止用戶留存信息被泄露。然而,由于缺少規范的安全監管標準和流程,目前絕大多數廠商不能對其產品進行必要的安全性測試,更無法保障這些數據的安全。因此,應從法律層面盡快對自動駕駛數據安全進行規范,明確自動駕駛汽車獲取數據的屬性,即哪些數據可以被采集及其使用邊界。
2.2.4 韌性安全?
自動駕駛技術會大大降低人因失誤引發的事故,但“零傷亡”仍是愿景。因此,在事故發生前,自動駕駛系統生產者和其他實體應使用識別、保護、檢測、響應和回復等功能對其做出風險管理決策,盡量消除風險和威脅;采用“黑盒子”等技術記錄追溯事故發生前以及發生時所有的行為、改動、設計選擇、分析、關聯測試和數據;在事故發生后,鼓勵共享事故信息和網絡安全數據,以便從中吸取經驗教訓并促進行業整體質量提升。
美國《自動駕駛系統 2.0:安全愿景》針對耐撞性提出兩項要求:一是乘客保護,即無論是在自動駕駛還是人工駕駛模式下,一旦系統出現故障,乘客保護系統均應保持其預期的性能水平;二是兼容性,即用于提供產品、服務或應用于其他場景的自動駕駛車輛應符合與道路上現有車輛的碰撞兼容性。當駕駛系統失效時,被動安全系統是車輛碰撞后乘員保護的最后一道屏障,需要通過優化乘員約束系統減輕傷害或防止車內人員傷亡。PIPKORN等通過試驗和仿真表明,目前的乘員約束系統在80 km/h的碰撞速度下對駕駛員的保護作用不夠,相關傷害指標遠超 FMVSS 208 中規定的損傷容限。因此,相關學者提出需針對不同碰撞強度設計可調節式的自適應約束系統,以應對未來交通事故場景中乘員智能保護的挑戰。
自動駕駛系統是具備自學習的強人工智能系統,以韌性安全為基礎來提高系統從事故中恢復的速度和向事故學習的能力,自動駕駛汽車經歷碰撞事故后應迅速恢復到安全狀態。具體行為包括自動關閉油門、移除動力裝置、移動車輛到安全位置、關閉電源等。如果傳感器或與安全相關的控制系統出現故障,車輛應在最低的風險狀況下運行,直至功能恢復正常。車輛生產者或其他實體應對自動駕駛車輛的相關維修記錄進行存檔,以確保修復后的自動駕駛車輛能夠被調整至更安全的狀態。
3 結論
自動駕駛汽車綜合運用了人工智能、信息物理融合和大數據分析技術,是一個集環境感知、規劃決策、多等級輔助駕駛等功能于一體的智能系統。對智能化的追求應當建立在安全之上,失去了安全性的智能化都是空談。即使最好的汽車安全科技也不能確保挽救每一個生命,對于安全科技效用的限制在于人們使用它的方式。自動駕駛汽車較傳統汽車安全,除了要滿足功能安全、預期功能安全、網絡和數據安全外,還應滿足韌性安全。如果該系統受到意外事件的侵襲,以有準備、有策略的方式來降低不利事件對系統的沖擊,提高系統從事故中恢復到正常狀態的速度和向事故學習的能力?;诋a品安全認知演進規律分析自動駕駛安全需求,不僅突出事前的“預防、預測”和事中的“響應、應對”,還要強調事后的“恢復、提升”,為自動駕駛安全技術發展提出了建議和思路。
? ? ? ? 責任編輯:彭菁
評論
查看更多