9月20日,美国交通部发布《联邦自动驾驶机动车政策》,为自动驾驶技术的安全检测和运用提供指导性的监管框架。
自动驾驶机动车的应用可以在道路交通安全方面起到重要的促进作用。美国国家公路交通安全管理局(NHTSA)局长Mark Rosekind 指出,美国94%的交通事故与人为操作失误有关。反醉驾母亲协会(Mothers Against Drunk Driving)主席Colleen Sheehey-Church表示,自动驾驶机动车不会出现醉驾、注意力不集中等问题,自动驾驶机动车会遵守交通法规,并且优先考虑行人和骑自行车的人的安全。因此,自动驾驶机动车的普及是必然趋势。
该政策的发布对自动驾驶技术的应用和发展具有重要的意义。《联邦自动驾驶机动车政策》起草的过程中征求了广泛的意见,听取了各利益相关方的讨论。同时,交通部将就这一政策征求公众意见,公示期为60天。交通部也计划每年对该政策进行修订,此次征求的意见会在下一次修订中予以考虑。
该政策主要包括四个部分:
- 自动驾驶机动车的性能指南,提出15项安全评估标准;
- 明确了联邦和州政府不同的监管职责,强调了州政府监管的重要作用;
- NATSA现行的监管措施;
- 新的监管措施、有权机关和监管架构。
本文为《联邦自动驾驶机动车政策》系列第一弹,将详细介绍该政策第一部分中所提出的15项安全评估标准。
一、安全评估的基本概况
该政策第一部分对自动驾驶机动车的研发设计、测试和驾驶过程确定了15项安全评估标准,这一安全评估仅提供指导性框架,并不具有强制性。
该15项安全评估主要针对高度自动化驾驶机动车,但部分也适用于低水平的自动驾驶机动车。高度自动化驾驶机动车是指3级或以上水平的自动驾驶机动车辆。该政策采用了国际机动车工程师协会(SAE International)对自动化水平的定义,即,将自动化水平分为5级,3级水平自动化系统是指某些情况下机动车可以完成部分驾驶任务和监控驾驶环境,但是在自动化系统发出请求后必须由驾驶员进行操作;4级水平是指在特定的环境和特定的条件下可以实现全自动化驾驶;5级水平是指可以实现完全自动驾驶。
此外,该安全评估针对的是在公共道路上测试和使用的自动驾驶机动车,其中,“使用”是指由非自动驾驶机动车制造商或其他测试/生产企业的员工或代理人进行的驾驶行为。
NHTSA在完成美国《文书削减法》(Paperwork Reduction Act)所要求的程序之后,在联邦公报(Federal Register)发布通知,该安全评估指南即生效。
二、15项安全评估
▲1、数据记录和共享(Data Recording and Sharing)
制造商和其他相关企业应当拥有一个文档记录的程序,可以对测试、检验、发生碰撞等事故时的数据等信息进行收集和存储,这样可以了解到系统故障或失灵的发生情况,建立事故发生原因的资料库。该政策建议机动车应当至少记录发生事故时事故和系统性能方面的全部信息,包括事故发生时HAV系统的状态、HAV系统或者驾驶员在当时是否可以控制机动车等,使得系统可以还原事故发生的情况。
制造商或其他相关企业之间应当可以采取技术手段合法地分享相关信息。政策中指出,数据共享是为了加速对HAV性能的认识过程,强化HAV系统的安全,建立消费者对HAV技术的信任。但是,一般来说,与第三方的数据共享应当是去识别化的,即数据不能直接地或合理地联系到特定个人。制造商和其他相关企业应当采取措施确保数据共享符合隐私和安全协议,向机动车发送通知,或经得车辆所有人的同意。
▲2、隐私(Privacy)
保护消费者的隐私权至关重要。制造商的隐私政策中应当确保符合以下几个方面的要求:
- 透明。企业从机动车上收集、使用、分享、修改或破坏数据的行为都应当确保消费者清楚明白地知晓,符合《消费者隐私权法》的规定。
- 选择。对包括地理位置、生物特征、驾驶行为等数据的收集、使用、分享、存储和重构过程都应当保障消费者的选择权。
- 信赖。对数据的使用应当是与其原本收集时的目的是相一致的。
- 最小化和去识别化。应当是为实现合理的商业目的而必须进行数据的收集和存储,要保证数据收集和存储范围的最小化,同时采取措施避免敏感数据可识别。
- 数据安全。采取与可能造成的损害相当的措施避免数据丢失或未经授权的披露。
- 完整性和可获得性。采取措施保证个人数据的准确性,并允许驾驶员或用户查阅和修正相关信息。
- 可归责性。通过对隐私和数据保护措施的评估来确保收集和接收消费者数据的企业遵守相关规定或协议。
▲3、系统安全(System Safety)
制造商和其他相关企业应当保障HAV系统免受不合理的安全风险,即便是遇到了电路故障、机械故障或软件错误的情况,机动车仍然可以处于一个安全的状态。
一方面,HAV系统应当遵守相关的行业标准,比如机动车辆的功能安全标准。还可以参考国际标准组织(ISO)、国际机动车工程师协会设定的标准,以及比如航空、军事等其他行业对系统安全设定的标准与机动车辆相关并且可予适用,也可以参照适用该标准。
另一方面,HAV系统中还应当包括灾害风险分析、安全风险评估和可以处理系统故障的安全战略的程序设计。HAV系统应当重视软件开发、验证和确认,确保对软件使用过程中的意外情况的监测和纠正。政策指出,自动化行业应当确保能控制人工智能、机器学习和其他相关软件技术和算法的发展轨迹,这有助于改善HAV的有效性和安全性。
▲4、机动车辆网络安全(Vehicle Cybersecurity)
机动车辆网络安全指的是更大范围的交通系统的安全,HAV系统设计中应当包括这一方面安全风险的评估。制造商和其他相关企业应当遵循比较稳健的产品开发思路,将对机动车辆网络安全的风险最小化。
政策指出这是一个正在发展中的领域,仍然需要更深入的研究,该政策鼓励企业依据现有的机动车系统网络安全领域的标准、指南、最佳实践来设计HAV系统。与此同时,HAV系统中对网络安全的考量的设计都应当详细地记录,通过对发生的事故、内部测试的记录或外部的安全研究,输出车辆网络安全报告,对车辆网络安全的漏洞进行披露,并且推动信息共享。
▲5、人机切换界面(Human Machine Interface)
在HAV中,要确保系统可以将机动车的性能等信息准确地传达给驾驶员。另外,有些情况下,人机界面的设计还需要考虑将自身的操作信息传达给行人、传统车辆或其他自动驾驶车辆。
政策认为,HAV系统应确保至少将以下信息可以告知驾驶员:
- HAV系统运行正常;
- HAV系统目前正在自动驾驶模式;
- 目前自动驾驶模式不可用;
- HAV系统出现故障;
- 请求驾驶员进行驾驶操作。
此外,政策中指出,对于全自动驾驶机动车,制造商还应当设计适合残疾人使用的人机界面。
▲6、耐撞性能(Crashworthiness)
首先,HAV应当满足NHTSA现有的对传统机动车辆的耐撞性标准。其次,在保护车内人员方面,应当开发更先进的传感技术,此外,除了现有标准对座位配置的要求之外,还需要提供其他必要的抗击碰撞措施,使得HAV不管是在自动驾驶还是人工驾驶状态都可以更好地保护各个年龄和体型的车内人员的安全。最后,提高碰撞的兼容性,安装可以吸收碰撞过程产生的动能的装置,设计合理的机动车辆几何结构,来减少碰撞对另一方机动车辆的损坏。
▲7、消费者教育和培训(Consumer Education and Training)
适当的教育和培训对安全使用自动驾驶机动车辆至关重要。企业应当开展对员工、经销商、消费者等群体的教育和培训计划,让他们了解HAV和传统机动车辆使用和操作上的区别,保证他们可以合理地、有效地、安全地使用自动化技术。此外,这一培训计划还应该被定期评估和更新,确保培训的有效性。
▲8、注册和确认(Registration and Certification)
NHTSA要求机动车辆及其设备生产商向其提交身份信息,告知其所生产的设备名目。该政策中指出,使用HAV系统的相关企业现在也应该向NHTSA提交身份注册信息,告知其所设计或使用的HAV系统的信息。
此外,在销售过程中,制造商也应当将HAV系统的关键性能、不足等准确信息告知消费者。
▲9、碰撞后表现(Post-Crash Behavior)
制造商和其他相关企业应当对HAV系统在碰撞后如何恢复使用进行评估、测试和确认,并对这些信息进行记录。如果传感器或关键的安全控制系统遭到损害,那么机动车不得被允