自动驾驶安全与引入策略

最新推荐文章于 2025-11-24 11:58:48 发布

原创最新推荐文章于 2025-11-24 11:58:48 发布 · 1k 阅读

29 ·

CC 4.0 BY-SA版权

文章标签：

#自动驾驶 # 安全验证 # 引入策略 # 自动化等级 # 社会接受度

自动驾驶导论：安全挑战与市场引入策略概述

1 自动驾驶汽车 – 无人驾驶汽车 – 自动化驾驶？

标题中提到的各种术语被用来描述自动化车辆操控的新可能性。为了理清这些术语的多样性，不同的工作组引入了描述自动化程度的自动化等级。目前通常使用四种定义。首先，Gasser 等人[8],和美国国家公路交通安全管理局（NHTSA）[18]提出了包含四个自动化等级以及0级（即无辅助的人工驾驶）的分类体系，该0级在后续的分类中也将作为基础级别。正如由德国联邦公路研究所（BASt）发起的研究[8]标题所示，其主要关注不同自动化等级所带来的法律后果。因此，该分类依据的是自动化车辆控制与人类驾驶员之间的任务分配关系。另一种分类方式虽无明确的法律界定，但结果非常相似，即根据[18]进行划分。随后，汽车行业协会美国汽车工程师学会（SAE）[19]和德国汽车工业协会（VDA）[21]进一步对最高自动化等级进行了细分，但方式有所不同。SAE将5级自动化的重点放在能够完全自动化地执行通用驾驶任务，无论是否有驾驶员在场；而VDA的5级则描述的是在公共道路上的无人驾驶操作，这些操作可能在时间和区域上有所限制。公众普遍设想的可在几乎任何时间、任何地点无需人工干预自主行驶的无人驾驶车辆，相当于尚未定义的“6级”，从技术角度来看目前仍遥不可及。如何实现这一“6级”的路径在[20]和[29]中有所探讨。当将标题中的术语映射到这些分级体系时，“自动驾驶”（self‐driving）一词在自动化车辆引导功能启动后即可正确适用，这已对应于自动化等级2（所有定义）。因此，“自动驾驶”的含义类似于对“自动化驾驶”这一术语的非特指性使用。“无人驾驶”（driverless）明确对应于VDA定义的5级，隐含对应于SAE定义的5级，意味着无人驾驶车辆在其驾驶任务中必须完全无需驾驶员协助。至于“自主驾驶”（autonomous driving），例如Maurer [16],所使用的术语至少应归类为4级，因为车辆导向系统（通常称为驾驶机器人）必须自行做出符合规则的决策（原文：“在上级（道德）法律范围内的自我决定”）。Wachenfeld 等人 [26] 已阐明自动驾驶汽车应用特征的多样性。他们发现了九个特征维度，用例可在这些维度上有所不同，并可通过组合方式构成大量具体用例。为了聚焦，作者将这种多样性简化为四个替代性特征，即使在其定义多年后，这些特征仍能代表最受讨论的变体。

使用驾驶员实现扩展可用性的高速公路自动驾驶
使用驾驶员实现扩展可用性的全自动驾驶
自主导客泊车
按需用车

第二种变体提供的功能与第一种相同，但几乎可以在任何地方行驶。当自动化车辆控制不再可用且驾驶任务尚未完成时，由“扩展可用性驾驶员”接管车辆控制。与持续监控驾驶机器人的“安全驾驶员”不同，他无需持续监视。自主代客泊车的使用场景超出了当前在停车场内测试的自动化停车，因为在无人驾驶前往停车场或交接区域的过程中，也可能行驶于公共道路。共享汽车的调度行驶也属于此使用场景。按需用车可连接多种服务，例如自动驾驶出租车或接驳服务。

为了讨论安全要求，我们将进一步简化为两个组：3级及以上带有驾驶员（为扩展可用性）的自动化驾驶特征（A组），以及无人驾驶的乘客和货物运输（B组）（见[27]）。这种划分有多种原因。在A组中，负责驾驶的人员如同今天一样坐在车内，可以选择将车辆控制权交由自动化系统，或自行接管车辆控制。而在B组中，这一责任主体缺失，因此必须将责任转移至其他实体，例如运营中心。关于安全参考的显著区别在于，对于A组可以假设存在替代关系，即手动驾驶或辅助驾驶被自动化驾驶所取代。行驶距离和速度曲线与之前相似，因此在安全讨论中与当前事故发生率进行比较似乎是合理的。对于B组，则涉及新的出行方式通过小型道路系统以30公里/小时运行的接驳服务等，实现了许多此前几乎没有先例、更不用说有安全统计数据可供比较的服务。

本文的重点是自动驾驶车辆的安全性及其对功能路线图和市场引入策略的影响。关于已知项目的技术现状及其背后的技术概念概述，作者参考了[15]。

2 安全参考

2.1 一般参考文献

A组自动化驾驶部署的安全要求可以通过与当前安全标准的比较得出，因为现有的交通方式将被取代，因此对继任者将要求至少同等的安全性。这一原则也被称为“总体至少等效”（GAME）或“总体至少同样好”（GAMAB）。由于生命和健康受到特殊保护，造成伤亡的事故类别具有决定性意义，而仅涉及财产损失的事故则可用经济价值衡量，因而仅构成经济上的可接受性问题。

例如，在德国，这些致命事故的绝对数量非常高。然而，相对于行驶距离而言，这一数字处于一个使得通过道路测试来证明安全性（这需要数倍于该行驶距离）在经济上不可行的水平（见[32, 30,28, 23, 11]）。这意味着，一种因不犯人类错误而承诺提高安全性的新系统，无法在市场准入前证明其承诺。before作者称此为“审批陷阱”（德语：“Freigabefalle”，参见[31, 30]）。

除了合理可行最低原则（ALARP‐principle）外，最低内源性死亡率（Minimum Endogenous Mortality, MEM）的风险阈值也被用于技术革新的引入。该基准还用于铁路应用的EN 50126标准[6],，指的是所有年龄组（主要是5至15岁的儿童）中的最低死亡率。该标准规定的MEM值为 2⋅10 −4人/年死亡人数，而目前在德国这一数值已低于3到4倍。由于MEM准则基于多种风险因素的假设，因此在一个单一技术系统中，仅考虑该 MEM值的二十分之一为可接受水平。因此，一个根据德国当前的安全状况，可从规范值得出每人每年可接受的死亡风险为 1 ⋅10−5，或2.5…3 ⋅ 10−6。如果某人每天暴露于自动驾驶汽车一小时（暴露时间），则风险阈值约为每人每小时 10−8起死亡事故。该数值与（ISO 26262[10]）中给出的数值相当接近，后者要求最高安全等级ASIL D对未检测到的故障的故障率低于每运行小时 10−8。然而，这一水平同样无法通过道路测试来证明，而是通过计算冗余系统架构的故障概率来确定。

2.2 航空技术飞跃的安全接受度

航空领域的例子表明，在引入新一代技术时，每次起飞的事故风险最初高于早期机型，但很快会下降到比较水平以下（空中客车公司 [1]）。

乘坐新一代飞机（并享受新设施）的乘客可能会面临更高的风险，但由于机队主要由“旧”飞机组成，因此大多数乘客的风险最初将保持不变。在解决“新”风险（学习曲线）之后，总体风险将降至现有机队水平以下。此时，乘坐较老一代飞机飞行的风险更高。这种趋势在每一代飞机中都变得更加明显，意味着初始风险甚至高于前几代，而达到风险平衡点的时间也大大提前。

这一类比表明，我们在安全方面使用着一种安全创新信用，即社会显然接受先降低安全性，以便随后实现更大的安全提升。这并不意味着个人意识到了这一点并据此做出决策。

2.3 不同风险群体之间的安全接受度差异

弗里茨舍 [7]已经表明，可接受风险在很大程度上取决于视角。当人类从风险中获得直接优势时，他们所接受的风险值远高于非自愿暴露情况下的风险值。对于伴随大量伤亡的大型技术风险，人们要求更低的风险值。区分技术使用者与非自愿暴露者有助于利用这些差异对于部署策略的可接受程度存在不同层级。

Wachenfeld & Winner[24]提出了风险受限引入的这一思路，并在博士论文[22]中进行了详细建模。如果仅有少量车辆在公共道路上进行自动化驾驶，则对其他交通参与者的风险会被显著稀释。因此，在引入初期，与其他交通参与者发生事故的概率较低，因为此时暴露于可能冲突情况的机会也较小。

3 引入策略——自动化演进与自动化革命

3.1 自动化演进

通往自动驾驶的传统观点假设技术将沿着一条渐进式路径发展，即逐步完善所有辅助功能，并逐步扩展应用领域，例如从高速公路到乡村道路，再到城市内部交通环境，最终实现随时随地的完全自动化。根据“无处不在的事物”与“特定区域的全部功能”这对概念作为自动化驾驶发展的起点描述[20, 2],，传统路线在图1中显示为上方的箭头。这种方法有两个主要优势：一方面，必要技术的巨大开发成本可以分摊到大量车辆上，从而在“学习曲线”期间，随着产品经验和销售量的发展，单位成本可显著降低，使该技术也能应用于低价位车辆市场。另一方面，新功能的安全保障可以基于已有系统的经验，从而使知识差距保持相对较小，并可沿用先前系统的增量开发方法。这条发展路径在最终阶段之前始终需要具备驾驶能力的人和车载驾驶工作区，这正是A组所定义的内容。因此，至少同等安全（GAME）将在很长一段时间内作为安全参考。预计这种渐进式路径不会对交通系统和价值创造周期带来重大变革，但也预期会在实现大量车辆的“某处的一切”之前，消费者可及性将经历一个漫长的阶段。怀疑者认为，这种不完整的自动化供应会使仍需参与的人类驾驶员不堪重负。对另一些人而言，若遵循这一渐进式路径，提供无人驾驶出行所需的时间似乎过长。这两个原因促使人们寻找基于“某处的一切”起点的替代方案，详见下文。

示意图0

3.2 无人驾驶车辆

如今，乘用车在没有明确禁令的情况下可以不受时间和地点限制地使用。关于自动驾驶的安全性，这就要求在所有允许的道路和所有可预见的情况下，在所有可能场景中都能保证安全运行。而正是“随时随地”这一条件显著阻碍了其引入。然而，如果放宽这一要求并进行局部区域限制，则无人驾驶车辆可以较早地提供一种新的出行服务。图1右侧的下层路径展示了这一点。即使采用缓慢的自动驾驶接驳车，也可以在固定路线上实现无需驾驶员的人员运输（Navya [17], EasyMile [5]）。下一步则接近上述按需用车的使用场景：在限定一个或多个城市区域内的道路路段运营范围内，可提供类似出租车的服务。

无人驾驶车辆中原本存在的乘车责任主体现已不复存在，必须在其他地方找到该责任主体。在可预见的未来，这一职责将由运营中心承担，因为目前尚难以想象具有与人类相当的个人责任的机器人。

新型出行服务的可比安全数据目前尚不可得，在最佳情况下，只能从出租车或公交车司机的事故统计数据中粗略估算得出。同样明显的是，在引入之前无法证明所需的安全性。然而，相较于A组车辆，对已发现的问题做出反应会更加容易。

运营中心可以集中与路径与行为规划进行交互，并在问题出现时立即防止不良情况的发生。
例外情况可以针对已知的运营区域轻松定义并快速实施。

集中维护还允许快速进行软件更新，如有需要，也可快速更换硬件。

目前可识别的“某处的一切”概念依赖于低速行驶以及与人类驾驶车辆的明确区分。这似乎是降低事故风险的可行途径。然而，这会导致自动化车辆被视为交通中的异物，从而在混合交通中与其他交通参与者产生兼容性问题。最终将需要进行法律调整，例如德国线路交通已有的相关规定（《德国道路交通秩序法》第20条）。

在收集到首批运营区域的经验并获得首次安全迭代结果后，将着手进行运营区域扩展。这种扩展可能体现在更高速度行驶或新道路路段上。通过这种方式，无人驾驶出行可以实现广泛的覆盖，类似于蜂窝网络的建设过程，但沿用这一类比也可能导致一些区域无法覆盖，因为在这些区域的覆盖在经济上不可行。

3.3 混合自动化

3.3.1 无人驾驶，空车行驶

第1节中提到的自主代客泊车用例是一种混合概念，结合了“处处有物”和“某处的一切”。一般来说，代客泊车包括无人驾驶的空车进行通常较短的短途行程。因此，自动代客泊车可以从家门附近开始，或者可以将汽车共享车辆调度到所需位置。（汽车共享）车队车辆也可以在无需驾驶员的情况下被发送到特定地点。除了这种无人驾驶操作外，车辆还可以像如今常见的那样由驾驶员操作。

可由人类驾驶，无论是否启用辅助系统，也可根据A组规定在有驾驶员的情况下自动驾驶。自动代客泊车期间的驾驶属于B组，并结合了一种新的出行服务。

自动代客泊车的第一级别（例如，博世[3]）仅限于停车场使用，不具备应对公共交通特殊要求的能力。然而，可以预见的是，从交接区域到停车位的路线也将遵循公共道路上预先定义的路径。

这种混合形式的安全参考很难确定，因为即使累积行驶路段，也难以收集到统计上可靠的信息所需的足够无人驾驶里程。由于该功能被视为一种便利功能，即使风险在客观上是合理的，一旦发生事故并引起高度关注，也可能导致该功能被禁止。另一方面，能够无需驾驶员即可驶入停车位的车辆，凭借其技术有望提高安全性，从而在其他方面降低的风险将超过新功能带来的风险增加。

3.3.2 限制区域内的完全自动化驾驶

哥德堡的Drive‐Me项目（Drive‐Me [4]）可以被视为这种混合形式的一个范例。该项目最初是一项用于积累经验的研究。为此，哥德堡城市环路通过建设实现了无对向交通，并且仅允许机动交通参与者通行，同时该环路配备了能够控制道路路段开放供自动化驾驶使用的基础设。计划在2017年，100辆配备相关技术的沃尔沃乘用车在开放期间可在该城市环路上实现完全自动化（= 4级）驾驶。只有当道路路段再次关闭自动化驾驶功能或车辆驶离城市环路时，驾驶员才需要接管控制，即使车辆自身具备进入安全状态的能力。显然，如此小的运营区域带来的效益有限。然而，由于该技术随车辆一同带出运营区域之外，因此可以提前积累经验，从而加快运营区域的扩展，进而提升效益。尽管这种方法被视为A组的一部分，但它采用了“处处部分”的理念。不同之处在于，自动化的演进被替换为从少数核心区域逐步扩展到更大范围道路网络的扩展策略。然而，如果技术不具备兼容性，则会出现问题。

在不同城市之间存在差异，因此车辆必须支持多种标准以实现广泛的可用性。

4 剩余挑战

4.1 安全验证

在公共道路上驾驶是一项复杂的任务，其技术描述远非完整。即使从简单的逻辑标准场景入手，结合不同的起始条件、环境和天气状况也会产生无法控制的测试场景数量。通过应用实验设计和蒙特卡洛方法，这一数量固然可以显著减少。然而，何时才算完成足够测试的问题仍然没有答案。

人们寄予厚望的一种方法是用于安全保障的虚拟测试；参见[25]。无需进行昂贵的实车测试，可在计算机集群中“行驶”虚拟测试里程。尽管该领域已取得巨大进展，但在所用模型的有效性方面仍存在许多未解决的问题，特别是关于环境建模以及用于环境感知的传感器建模。通过光线追踪，已经可以生成相当逼真的相机图像和激光雷达散点图。而针对雷达传感器，能够实时生成真实有效的雷达图像的环境表征仍是遥不可及的未来课题。在很长一段时间内，我们仍需依赖带有标注的参考数据的录制原始数据，以验证传感器及其任务。“某处的一切”方法在这方面具有显著优势，因为需要覆盖的内容大大减少，即只需覆盖为运营区域定义的环境条件。

与传统的基于规则的方法相比，数据驱动的机器学习方法尤其是深度学习在一些与驾驶相关的任务中表现出显著更优的性能，因此预计将成为自动化驾驶功能的一部分。然而，针对这些具有输入的高维度和模型大量参数的黑箱进行测试是一项特殊的挑战，这一点常常被忽视，与对该方法论的 hype 形成对比[9]。

4.2 接受度

将驾驶任务转移给机器人时，从技术上讲，责任转移到了技术执行。但仍存在与人类的各种交互，不仅即车辆中的乘客。潜在客户是否会认为这项进步足够吸引人，从而愿意使用并为此付费？因为只有这样，相关的商业案例才能形成。如果一辆自动驾驶汽车撞到了儿童，公众和政界将作何反应？自动驾驶汽车在交通中的接受度如何？人们会配合它们，给予安全距离，并保持谨慎吗？还是经常会突然变道超车，从而导致它们落后？

除了关于电车难题示例的带有偏见的伦理讨论（见 [12]）之外，还有其他一些关键方面将影响社会接受度 [13, 14]。由于即使在上一次美国国防高级研究计划局自动驾驶挑战赛——2007年城市挑战赛的十年后，仍然不存在真实且可评估的实际产品，因此用于可靠评估个人和社会接受度的经验性数值尚属缺失。因此，大多数特别是关于接受度的话题仍停留在推测阶段。

5 结论

自动驾驶提供了道路出行的新品质。然而，其特性可能是异质的，并允许多样化、创新的出行服务。但是，要实现自动驾驶，必须达到用户和受影响人群均可接受的安全水平。显然，即使是确定这一安全水平本身也十分困难，尤其是对于那些并非传统驾驶替代方案的使用场景而言。无论如何，该安全水平都极高，以至于在引入之前基本上无法完成安全验证。因此，这一验证过程必须与引入后的市场观察相结合。所有已知的方法都为此选择了一种“谨慎”的引入策略。然而，安全验证仍然是一个巨大的挑战。目前仅对其进行了初步规划并部分实施，但在很长一段时间内都无法得到充分验证。另一个不确定性在于自动驾驶的接受度。对于此类评估而言，能够在代表性运行条件下证明自身性能的实际产品仍然缺失。