蔡雄山 腾讯研究院法律研究中心副主任 首席研究员
李 正 腾讯研究院法律研究中心助理研究员
9月20日,美国交通部发布《联邦自动驾驶机动车政策》,为自动驾驶技术的安全检测和运用提供指导性的监管框架。
自动驾驶机动车的应用可以在道路交通安全方面起到重要的促进作用。美国国家公路交通安全管理局(NHTSA)局长Mark Rosekind 指出,美国94%的交通事故与人为操作失误有关。反醉驾母亲协会(Mothers Against Drunk Driving)主席Colleen Sheehey-Church表示,自动驾驶机动车不会出现醉驾、注意力不集中等问题,自动驾驶机动车会遵守交通法规,并且优先考虑行人和骑自行车的人的安全。因此,自动驾驶机动车的普及是必然趋势。
该政策的发布对自动驾驶技术的应用和发展具有重要的意义。《联邦自动驾驶机动车政策》起草的过程中征求了广泛的意见,听取了各利益相关方的讨论。同时,交通部将就这一政策征求公众意见,公示期为60天。交通部也计划每年对该政策进行修订,此次征求的意见会在下一次修订中予以考虑。
该政策主要包括四个部分:
●自动驾驶机动车的性能指南,提出15项安全评估标准;
●明确了联邦和州政府不同的监管职责,强调了州政府监管的重要作用;
●NATSA现行的监管措施;
●新的监管措施、有权机关和监管架构。
本文为《联邦自动驾驶机动车政策》系列第一弹,将详细介绍该政策第一部分中所提出的15项安全评估标准。
一、安全评估的基本概况
该政策第一部分对自动驾驶机动车的研发设计、测试和驾驶过程确定了15项安全评估标准,这一安全评估仅提供指导性框架,并不具有强制性。
该15项安全评估主要针对高度自动化驾驶机动车(highly automated vehicles,HAVs),但部分也适用于低水平的自动驾驶机动车。高度自动化驾驶机动车是指3级或以上水平的自动驾驶机动车辆。该政策采用了国际机动车工程师协会(SAE International)对自动化水平的定义,即,将自动化水平分为5级,3级水平自动化系统是指某些情况下机动车可以完成部分驾驶任务和监控驾驶环境,但是在自动化系统发出请求后必须由驾驶员进行操作;4级水平是指在特定的环境和特定的条件下可以实现全自动化驾驶;5级水平是指可以实现完全自动驾驶。
此外,该安全评估针对的是在公共道路上测试(test)和使用(deploy)的自动驾驶机动车,其中,“使用”是指由非自动驾驶机动车制造商或其他测试/生产企业的员工或代理人进行的驾驶行为。
NHTSA在完成美国《文书削减法》(Paperwork Reduction Act)所要求的程序之后,在联邦公报(Federal Register)发布通知,该安全评估指南即生效。
二、15项安全评估
▲1、数据记录和共享(Data Recording and Sharing)
制造商和其他相关企业应当拥有一个文档记录的程序,可以对测试、检验、发生碰撞等事故时的数据等信息进行收集和存储,这样可以了解到系统故障或失灵的发生情况,建立事故发生原因的资料库。该政策建议机动车应当至少记录发生事故时事故和系统性能方面的全部信息,包括事故发生时HAV系统的状态、HAV系统或者驾驶员在当时是否可以控制机动车等,使得系统可以还原事故发生的情况。
制造商或其他相关企业之间应当可以采取技术手段合法地分享相关信息。政策中指出,数据共享是为了加速对HAV性能的认识过程,强化HAV系统的安全,建立消费者对HAV技术的信任。但是,一般来说,与第三方的数据共享应当是去识别化的(de-identified),即数据不能直接地或合理地联系到特定个人。制造商和其他相关企业应当采取措施确保数据共享符合隐私和安全协议,向机动车发送通知,或经得车辆所有人的同意。
▲2、隐私(Privacy)
保护消费者的隐私权至关重要。制造商的隐私政策中应当确保符合以下几个方面的要求:
透明。企业从机动车上收集、使用、分享、修改或破坏数据的行为都应当确保消费者清楚明白地知晓,符合《消费者隐私权法》的规定。
选择。对包括地理位置、生物特征、驾驶行为等数据的收集、使用、分享、存储和重构过程都应当保障消费者的选择权。
信赖。对数据的使用应当是与其原本收集时的目的是相一致的。
最小化和去识别化。应当是为实现合理的商业目的而必须进行数据的收集和存储,要保证数据收集和存储范围的最小化,同时采取措施避免敏感数据可识别。
数据安全。采取与可能造成的损害相当的措施避免数据丢失或未经授权的披露。
完整性和可获得性。采取措施保证个人数据的准确性,并允许驾驶员或用户查阅和修正相关信息。
可归责性。通过对隐私和数据保护措施的评估来确保收集和接收消费者数据的企业遵守相关规定或协议。
▲3、系统安全(System Safety)
制造商和其他相关企业应当保障HAV系统免受不合理的安全风险,即便是遇到了电路故障、机械故障或软件错误的情况,机动车仍然可以处于一个安全的状态。
一方面,HAV系统应当遵守相关的行业标准,比如机动车辆的功能安全标准。还可以参考国际标准组织(ISO)、国际机动车工程师协会设定的标准,以及比如航空、军事等其他行业对系统安全设定的标准与机动车辆相关并且可予适用,也可以参照适用该标准。
另一方面,HAV系统中还应当包括灾害风险分析、安全风险评估和可以处理系统故障的安全战略的程序设计。HAV系统应当重视软件开发、验证和确认,确保对软件使用过程中的意外情况的监测和纠正。政策指出,自动化行业应当确保能控制人工智能、机器学习和其他相关软件技术和算法的发展轨迹,这有助于改善HAV的有效性和安全性。
▲4、机动车辆网络安全(Vehicle Cybersecurity)
机动车辆网络安全指的是更大范围的交通系统的安全,HAV系统设计中应当包括这一方面安全风险的评估。制造商和其他相关企业应当遵循比较稳健的产品开发思路,将对机动车辆网络安全的风险最小化。
政策指出这是一个正在发展中的领域,仍然需要更深入的研究,该政策鼓励企业依据现有的机动车系统网络安全领域的标准、指南、最佳实践来设计HAV系统。与此同时,HAV系统中对网络安全的考量的设计都应当详细地记录,通过对发生的事故、内部测试的记录或外部的安全研究,输出车辆网络安全报告,对车辆网络安全的漏洞进行披露,并且推动信息共享。
▲5、人机切换界面(Human Machine Interface)
在HAV中,要确保系统可以将机动车的性能等信息准确地传达给驾驶员。另外,有些情况下,人机界面的设计还需要考虑将自身的操作信息传达给行人、传统车辆或其他自动驾驶车辆。
政策认为,HAV系统应确保至少将以下信息可以告知驾驶员:
HAV系统运行正常;
HAV系统目前正在自动驾驶模式;
目前自动驾驶模式不可用;
HAV系统出现故障;
请求驾驶员进行驾驶操作。
此外,政策中指出,对于全自动驾驶机动车,制造商还应当设计适合残疾人使用的人机界面。
▲6、耐撞性能(Crashworthiness)
首先,HAV应当满足NHTSA现有的对传统机动车辆的耐撞性标准。其次,在保护车内人员方面,应当开发更先进的传感技术,此外,除了现有标准对座位配置的要求之外,还需要提供其他必要的抗击碰撞措施,使得HAV不管是在自动驾驶还是人工驾驶状态都可以更好地保护各个年龄和体型的车内人员的安全。最后,提高碰撞的兼容性(compatibility),安装可以吸收碰撞过程产生的动能的装置,设计合理的机动车辆几何结构,来减少碰撞对另一方机动车辆的损坏。
▲7、消费者教育和培训(Consumer Education and Training)
适当的教育和培训对安全使用自动驾驶机动车辆至关重要。企业应当开展对员工、经销商、消费者等群体的教育和培训计划,让他们了解HAV和传统机动车辆使用和操作上的区别,保证他们可以合理地、有效地、安全地使用自动化技术。此外,这一培训计划还应该被定期评估和更新,确保培训的有效性。
▲8、注册和确认(Registration and Certification)
NHTSA要求机动车辆及其设备生产商向其提交身份信息,告知其所生产的设备名目。该政策中指出,使用HAV系统的相关企业现在也应该向NHTSA提交身份注册信息,告知其所设计或使用的HAV系统的信息。
此外,在销售过程中,制造商也应当将HAV系统的关键性能、不足等准确信息告知消费者。
▲9、碰撞后表现(Post-Crash Behavior)
制造商和其他相关企业应当对HAV系统在碰撞后如何恢复使用进行评估、测试和确认,并对这些信息进行记录。如果传感器或关键的安全控制系统遭到损害,那么机动车不得被允许启动自动驾驶模式。
▲10、联邦、州和地方法律(Federal, State and Local Laws)
制造商和其他相关企业应当拟定书面计划,说明其如何能够遵守所有联邦、州和地方法律。此处有两个方面值得注意:
一是在某些情况下,可能基于安全等因素的考量而违反交通法规,比如为了安全避让道路上的故障车辆不得不越过道路的双黄线,这是被允许的。因此,HAV需要有能力安全地处理类似的情况。
二是不同州的交通法规也有所不同,法律也会有所修订,因此制造商和企业需要开发HAV系统的更新程序,应对不同区域的或新修订的法律要求。
▲11、道德考量(Ethical Considerations)
HAV系统基于不同的程序设置或机器学习程序,在面临同一个涉及伦理道德问题的交通事故时会做出不同的选择;甚至在某些情况下,并没有先例可循或者没有明确的道德标准。
对于机动车驾驶员来说,处理交通事故时合理的目标是保证安全性、可移动性和合法性。有些情况下,三者之间或某一目标本身就存在冲突。比如,在面对两辆车的车上人员安全的选择时,可能就需要选择在对其中一人伤害最小的情况下保护另一个人的安全。在这样的两难困境的情况下,HAV的选择会产生重大的影响。制造商和其他相关企业应当与监管者和其他的利益相关方合作,共同解决这类问题,来确保HAV系统有意识地做出符合伦理的判断和选择。政策还提出在HAV系统中所设计得解决这些困境的算法应当对监管者、驾驶员等保证透明。
▲12、操作设计领域(Operational Design Domain,ODD)
ODD是指HAV系统可以合理操作的特定领域,ODD应当包括以下信息:
HAV系统可以安全运行的道路类型;
地理区域;
速度范围;
HAV系统可以运行的环境条件;
其他领域限制。
在ODD范围内,HAV可以安全地操作,而一旦超过了ODD的范围,机动车应当调整为风险最小化的状态。另外,要清晰、以通俗易懂的形式告知驾驶员HAV系统是否可使用。
▲13、物体和事件的探测和响应(Object and Event Detection and Response,OEDR)
OEDR是指驾驶员或HAV系统对突发情况的探测和应对,在自动驾驶模式下,HAV系统有责任进行OEDR。
在正常驾驶情况下,HAV应当有能力根据交通条件适时调整驾驶行为,比如遵守停止和前行的交通指令、变换车道、避开障碍物、应对临时交通管制设备、发现并避让应急车辆等。
在特殊情况下,HAV应当有能力避免发生交通事故,交通部在《自动驾驶机动车的效益评估框架》报告中确定了一系列可能发生交通事故的情况,HAV应当能够合理地预见这些情形。
▲14、应急措施(Fall Back)
自动驾驶模式下,HAV系统可能会出现故障;在人工驾驶模式下,驾驶员可能处于醉酒等意识不清醒的状态,那么就需要采取候补措施来将风险最小化。根据故障不同的类型和程度, HAV所调整到的风险最小化状态也会有所不同,比如可能会自动停止驾驶机动车,或者仅仅是驶出车流较多的车道等。
▲15、检验方法(Validation Methods)
由于不同自动化水平的功能所使用的技术、性能大不相同,制造商和其他相关企业也应当进行不同的测试和检验方法来确保HAV操作的高度安全性。安全测试需要检测HAV系统在正常行驶状态、碰撞避免情境和采取候补措施战略时候的性能表现。该政策鼓励制造商和其他相关企业与NHTSA、SAE International等标准组织合作,研发创新性的检验方法和必要的安全监测标准。