本文來源：智車科技

2024年4月26日，一輛問界M7于高速快車道上與一道路養(yǎng)護(hù)車輛發(fā)生追尾，問界M7車頭起火，后整部車被大火籠罩，現(xiàn)場(chǎng)有多人參與救援，試圖用硬物撞破車窗，將車內(nèi)人員救出，問界M7也因此被質(zhì)疑事故后車門無法打開，事故最終造成三人遇難。 

事發(fā)后家屬提出質(zhì)疑，車輛于1月14日購買，才3個(gè)月的新車，宣傳有AEB自動(dòng)緊急制動(dòng)、 GAEB異型障礙物自動(dòng)緊急制動(dòng)，三元鋰電池阻燃材料和熱失控保護(hù)技術(shù)撞擊等功效，可是事故發(fā)生的當(dāng)時(shí)，這些功能又在何處發(fā)揮了？安全氣囊去哪呢？

家屬的疑問也是我們今天想討論的話題：作為自動(dòng)駕駛輔助產(chǎn)品的AEB為什么沒有避免這起悲��？難道企業(yè)宣傳的自動(dòng)緊急制動(dòng)（AEB）功能是虛假的嗎？先來看一下AEB法規(guī)中關(guān)于AEB功能的要求：

從國標(biāo)中可以看到，無論是運(yùn)動(dòng)目標(biāo)還是靜止目標(biāo)，當(dāng)相對(duì)速度大于一定值時(shí)，是不要求車輛必須剎停的。發(fā)生事故時(shí)M7的車速115km/h，已超出法規(guī)規(guī)定的最大相對(duì)速度，車輛AEB功能可以不覆蓋該速度段。

再來看一下問界M7的使用說明書中對(duì)于AEB功能的描述：

可以看到，說明書中明確指出AEB的工作速度是4-85km/h，發(fā)生事故時(shí)車輛的速度已經(jīng)超過了AEB的工作速度。因此，AEB功能沒有觸發(fā)符合產(chǎn)品功能設(shè)計(jì)，不屬于產(chǎn)品質(zhì)量問題。

通過以上兩份材料，我們發(fā)現(xiàn)無論是從法律角度還是從產(chǎn)品質(zhì)量角度，問界M7的自動(dòng)駕駛輔助系統(tǒng)都不存在所謂的產(chǎn)品質(zhì)量問題，也就是說車企不用承擔(dān)相關(guān)法律責(zé)任。

這個(gè)結(jié)論似乎是冰冷的，普通用戶不愿意接受的。是的，誰買一輛新車會(huì)去翻看車輛使用手冊(cè)呢？對(duì)于輔助駕駛這種功能的使用和了解大部分用戶可能都是在買車的時(shí)候從4S店的銷售口中聽到的。而銷售人員對(duì)于功能的宣傳和講述是否完全按照車輛使用手冊(cè)展開，恐怕很難說了。此外，目前普通用戶對(duì)于自動(dòng)駕駛或輔助駕駛系統(tǒng)的功能預(yù)期往往高于產(chǎn)品或系統(tǒng)本身的性能范圍。

那么，自動(dòng)駕駛到底安全嗎？或者真的能達(dá)到用戶對(duì)于安全性的預(yù)期嗎？本文將詳細(xì)進(jìn)行分析和探討。

自動(dòng)駕駛因何而生？

還記得筆者剛從事自動(dòng)駕駛研發(fā)工作時(shí)，那時(shí)還是國內(nèi)自動(dòng)駕駛的起步階段。在一次部門內(nèi)部的技術(shù)分享會(huì)中談到的一個(gè)比較重要的話題：“為什么要研究自動(dòng)駕駛這項(xiàng)技術(shù)”？當(dāng)時(shí)大家談到的很多原因，諸如：提升道路交通安全、提高出行體驗(yàn)和效率、推動(dòng)能源的合理利用和環(huán)境保護(hù)、提供更多出行選擇等等。但筆者認(rèn)為這些原因中最重要的應(yīng)該是：提高道路交通安全性。

眾所周知，由于駕駛水平，自身狀態(tài)，人類視野空間等限制，人工駕駛具有較高的安全隱患。公安部交通管理局《道路交通事故統(tǒng)計(jì)年報(bào)》數(shù)據(jù)中指出：2017-2019年我國交通事故年均發(fā)生23.19萬次，年均死亡人數(shù)達(dá)6.3萬人，另有24萬人受到非致命傷害，約90%以上的道路交通事故是駕駛員人為因素導(dǎo)致的。易發(fā)多發(fā)點(diǎn)位為交叉口(無信號(hào)燈)處和紅綠燈處，其數(shù)量占比達(dá)到了百分之五十以上，彎道等典型路段也存有一定的規(guī)模。

大家都知道的搶行、超速、酒駕、疲勞駕駛等等，是造成事故的主要原因。而自動(dòng)駕駛技術(shù)中的感知、決策、規(guī)劃、控制系統(tǒng)，充分地識(shí)別道路中各類動(dòng)態(tài)、靜態(tài)目標(biāo)、實(shí)現(xiàn)自主決策和車輛運(yùn)行并通過了長(zhǎng)時(shí)間的虛擬仿真測(cè)試以及道路測(cè)試。最主要的是系統(tǒng)是“聽話的”，它不會(huì)出現(xiàn)違反交規(guī)的行為，它會(huì)規(guī)規(guī)矩矩的按要求來開車，這一點(diǎn)極大程度上滿足了安全性需求。因此，說自動(dòng)駕駛因安全而生應(yīng)該一點(diǎn)也不為過，這也體現(xiàn)了自動(dòng)駕駛技術(shù)本身的重要意義。

不同自動(dòng)駕駛產(chǎn)品的安全性要求分析

從理論上說，自動(dòng)駕駛系統(tǒng)確實(shí)可以避免駕駛的人為因素，進(jìn)而提高行駛的安全性，但當(dāng)前的自動(dòng)駕駛系統(tǒng)真的能做到比人類駕駛員更安全嗎？這里針對(duì)當(dāng)前市場(chǎng)上主流的自動(dòng)駕駛產(chǎn)品的安全性進(jìn)行分析和討論，希望能得出一些結(jié)論。

目前市面上主流的自動(dòng)駕駛系統(tǒng)或產(chǎn)品可以按照?qǐng)鼍胺譃橐韵滤拇箢悾?/p>

低速載物、高速載物、低速載人、高速載人。

基于ISO26262道路車輛功能安全標(biāo)準(zhǔn)中危害分析和風(fēng)險(xiǎn)評(píng)估（HARA）的方法論，整車功能安全完整性等級(jí)的分析包含三個(gè)維度：

1）功能失效后的可控性； 

2）功能失效后在某場(chǎng)景下所造成危害的嚴(yán)重程度；

3）功能在某場(chǎng)景下的暴露度（概率）。

最終車輛某項(xiàng)功能的功能安全完整性等級(jí)是由以上三個(gè)維度的評(píng)分之和獲得的。這里我們先不去進(jìn)行具象化和規(guī)范化的分析工作，只基于該理論對(duì)以上的四類自動(dòng)駕駛產(chǎn)品進(jìn)行一個(gè)籠統(tǒng)的分析。

1）可控性分析

從可控性角度來看，高速行駛狀態(tài)下系統(tǒng)功能出現(xiàn)失效后，可控性相比低速狀態(tài)下更低�？梢韵胂笠幌略诟咚偕�，橫向控制（方向盤控制）功能失效，方向出現(xiàn)亂打或猛打的情況，駕駛員接管系統(tǒng)并將車輛控制到安全的狀態(tài)下（靠邊停車或者平穩(wěn)駕駛）的可控性明顯會(huì)小于低速行駛。因此，高速狀態(tài)系統(tǒng)失效后的可控性較低，低速狀態(tài)系統(tǒng)失效后的可控性較高。

2）嚴(yán)重程度分析

嚴(yán)重程度與可控性有一定區(qū)別，需要從兩個(gè)維度來分析。首先看速度維度，高速狀態(tài)下系統(tǒng)失效車輛發(fā)生事故造成的嚴(yán)重程度往往要高于低速狀態(tài)。舉個(gè)簡(jiǎn)單的例子：車速100km/h行駛時(shí)，車輛失控撞向路側(cè)護(hù)欄造成的結(jié)果很可能就是車毀人亡；而車速30km/h行駛時(shí)，車輛失控撞向路側(cè)護(hù)欄造成的結(jié)果可能是車輛受損和人員受傷。因此從速度維度來看，高速狀態(tài)系統(tǒng)失效造成的嚴(yán)重程度高于低速狀態(tài)。

其次看載人與載物維度，在同一速度狀態(tài)下，載人車輛的智駕系統(tǒng)失效后造成的人員傷亡是遠(yuǎn)大于載物車輛的，這一點(diǎn)顯而易見。

3）暴露度分析

暴露度維度無法一概而論，高速場(chǎng)景的暴露度高還是低速場(chǎng)景的暴露度高很難去下結(jié)論，針對(duì)定義在不同應(yīng)用場(chǎng)景的自動(dòng)駕駛系統(tǒng)對(duì)應(yīng)著完全不同的暴露度。因此無法從宏觀維度得出四個(gè)維度的暴露度高低結(jié)論。

基于以上三個(gè)維度的分析（確切的說是兩個(gè)維度）可以初步得出目前自動(dòng)駕駛在主要應(yīng)用場(chǎng)景下系統(tǒng)的安全性要求分級(jí)是：高速載人>低速載人>高速載物>低速載物。但是這個(gè)結(jié)論一定是相對(duì)而言的，千萬不可絕對(duì)的去看待這個(gè)結(jié)論。

從這一結(jié)論也能看出自動(dòng)駕駛技術(shù)的發(fā)展和落地路線應(yīng)該是：先載物后載人，先低速后高速。從易到難，這應(yīng)該是大家普遍的思維吧。

不同等級(jí)自動(dòng)駕駛系統(tǒng)的安全性分析

前面我們分析了自動(dòng)駕駛在不同應(yīng)用場(chǎng)景下的安全性要求，但是沒有考慮一個(gè)重要的維度，那就是自動(dòng)駕駛系統(tǒng)本身的自動(dòng)化等級(jí)。SAE將自動(dòng)駕駛系統(tǒng)的自動(dòng)化等級(jí)分為了L0-L5，其中最核心的一個(gè)分界點(diǎn)就是L3。L3以下的自動(dòng)駕駛系統(tǒng)通常稱為駕駛輔助系統(tǒng)（ADAS），L3及以上的系統(tǒng)通常稱為自動(dòng)駕駛系統(tǒng)（ADS），這其中最重要的區(qū)別就是：車輛行駛的控制操作中駕駛員是否“在環(huán)”。

對(duì)于輔助駕駛系統(tǒng)，系統(tǒng)功能失效時(shí)駕駛員是實(shí)時(shí)“在環(huán)”的狀態(tài)，因此可以接管車輛，也就對(duì)失效造成的異常情況具有一定可控性。對(duì)于自動(dòng)駕駛系統(tǒng)，系統(tǒng)功能失效時(shí)駕駛員是“不在環(huán)”的狀態(tài)，因此在系統(tǒng)失效時(shí)對(duì)于異常情況是不具備可控性的�；�于這樣的區(qū)分，自動(dòng)駕駛系統(tǒng)的安全性就需要分兩大類來展開：輔助駕駛系統(tǒng)（即L3以下系統(tǒng)）和自動(dòng)駕駛系統(tǒng)（L3及以上）。

1. 輔助駕駛系統(tǒng)的安全性分析

如前所述，基于傳統(tǒng)的ISO26262功能安全HARA分析理論，輔助駕駛系統(tǒng)是需要考慮可控性的。但在《汽車人因工程學(xué)》一書中對(duì)于自適應(yīng)巡航控制系統(tǒng)（ACC）的安全性提到這樣一個(gè)觀點(diǎn)：ACC將駕駛?cè)藦囊徊糠秩蝿?wù)中解放出來（如制動(dòng)和加速），但同時(shí)又增加了新的任務(wù)。在ACC系統(tǒng)工作時(shí)，駕駛?cè)瞬坏貌槐３謱?duì)系統(tǒng)的監(jiān)控以確保其正常工作。但自動(dòng)駕駛可能反而使駕駛?cè)斯ぷ髫?fù)荷不足，從而降低其分配給該任務(wù)的注意力水平，導(dǎo)致可能在緊急情況下（例如系統(tǒng)功能失效時(shí)）駕駛?cè)擞锌赡苊媾R著注意力資源要求爆炸式增長(zhǎng)，進(jìn)而無法及時(shí)發(fā)現(xiàn)危險(xiǎn)或?qū)�車輛的控制反應(yīng)受到影響的情況。

換句話說，自動(dòng)駕駛功能雖然減輕（或緩解）了一部分駕駛員的體力操作，然而卻導(dǎo)致其頭腦注意力要高度集中以確保及時(shí)接管車輛來避免危險(xiǎn)的發(fā)生。這樣一來，其實(shí)際的結(jié)果可能是駕駛員在開啟自動(dòng)駕駛系統(tǒng)時(shí)不是頭腦集中而是身體和頭腦全部放松下來，當(dāng)出現(xiàn)危險(xiǎn)時(shí)，駕駛員反而無法及時(shí)控制車輛的某一操作（轉(zhuǎn)向、加速、制動(dòng)等）最終發(fā)生事故。這種類似的悲劇貌似在實(shí)際中已經(jīng)發(fā)生過。

如果最終結(jié)局都是這樣的話，那豈不是違背了文章一開始提到的研究自動(dòng)駕駛技術(shù)的初衷——安全嗎？這樣說來似乎有些諷刺，但這種類似的分析和推理并不無道理。特斯拉早先的一些用戶就出現(xiàn)在駕駛過程中，嘗試在方向盤上放置礦泉水來騙過系統(tǒng)的接管檢測(cè)，進(jìn)而來放松駕駛員對(duì)系統(tǒng)的監(jiān)控�，F(xiàn)在看來，這樣做是多么的愚蠢，簡(jiǎn)直就是在拿自己的生命在開玩笑！但是，這又從另一個(gè)側(cè)面反映了用戶對(duì)于自動(dòng)駕駛輔助系統(tǒng)能力的信任程度，顯然這種信任是過度的，是無知的。

因此，從這一維度來看，自動(dòng)駕駛輔助系統(tǒng)（更準(zhǔn)確的說是L2及以下的自動(dòng)駕駛系統(tǒng)）是不安全的，這種不安全并不是來自于系統(tǒng)本身，而是來自于用戶在使用時(shí)系統(tǒng)是的兩種不安全因素：

1）用戶的違規(guī)操作，即類似于上文中說到“欺騙系統(tǒng)”行為；

2）系統(tǒng)對(duì)用戶使用時(shí)的高要求無法被滿足，即讓用戶可以放松手腳的同時(shí)讓用戶保持大腦的高度緊張。

第二點(diǎn)不安全因素顯然是系統(tǒng)設(shè)計(jì)引起的，用戶不應(yīng)該買賬。

再回歸到系統(tǒng)本身的功能中，我們相信所有公司或者開發(fā)者在設(shè)計(jì)系統(tǒng)一定都是符合法規(guī)的、合理的、安全的功能。但是由于是輔助駕駛系統(tǒng)，在駕駛的大多數(shù)時(shí)間仍然是人工駕駛，甚至很多時(shí)候當(dāng)系統(tǒng)按照交通規(guī)則規(guī)范駕駛但卻不符合“老司機(jī)”操作時(shí)，駕駛員會(huì)立即接管車輛，按照自己的意圖駕駛車輛。而這些場(chǎng)景下其駕駛行為往往是很不安全的。這么看來，自動(dòng)駕駛輔助系統(tǒng)本身并沒有有效“屏蔽”我們一開始提到的人類駕駛員的不安全操作。因此，也沒有實(shí)現(xiàn)我們安全的初衷。

2. 自動(dòng)駕駛系統(tǒng)的安全性分析

分析完了輔助駕駛系統(tǒng)的安全性，再來看一看自動(dòng)駕駛系統(tǒng)的安全性如何。根據(jù)SAE的定義，自動(dòng)駕駛系統(tǒng)應(yīng)該是L3及以上的系統(tǒng)，因?yàn)長(zhǎng)3及以上的系統(tǒng)可以實(shí)現(xiàn)駕駛員“不在環(huán)”。那這樣是不是就能“屏蔽”我們所說的人類危險(xiǎn)操作或弱點(diǎn)呢？

答案是：L3還是不行，L4、L5可以做到這一點(diǎn)。

L3的定義是條件的自動(dòng)駕駛系統(tǒng)，所謂有條件就是系統(tǒng)運(yùn)行需要滿足一定的條件，也就是ODD（運(yùn)行設(shè)計(jì)域）。通常包含以下維度：

但其實(shí)這些維度真的定義起來是很麻煩的，因?yàn)橛绊戱{駛的環(huán)境因素太多了，從某種意義上說是無法窮舉的。這里舉個(gè)例子，比如系統(tǒng)在設(shè)計(jì)時(shí)無法識(shí)別和應(yīng)對(duì)的一種場(chǎng)景是：“自車在道路上行駛，前方車輛上滿載的橘子忽然掉落滿地”。這種場(chǎng)景超出了系統(tǒng)的ODD，但是系統(tǒng)不能應(yīng)對(duì)的類似奇怪的場(chǎng)景太多了，如果全部寫在ODD中是寫不完的，因此智能索性按照上圖中的常見類別進(jìn)行ODD的設(shè)計(jì)。但是筆者認(rèn)為這是不嚴(yán)謹(jǐn)?shù)�，因�(yàn)橛肋h(yuǎn)無法把系統(tǒng)的邊界真正描述清楚。因此ODD是一個(gè)偽命題。

那說了這么多，L3系統(tǒng)到底怎么不安全了呢？因?yàn)镺DD寫不清楚嗎？是的，這確實(shí)是其中一個(gè)原因，但是原因不止這一個(gè)。因?yàn)長(zhǎng)3在系統(tǒng)功能失效時(shí)是需要駕駛員來及時(shí)接管的，系統(tǒng)不具備最小風(fēng)險(xiǎn)控制（MRC）的能力。因此，L3同樣會(huì)遇到前文提到的問題：對(duì)駕駛員的專注度和反應(yīng)時(shí)間提出了更高的要求。為什么是“更高”.原因是L3的功能更全面，更容易引起駕駛員的“麻痹”，甚至是在系統(tǒng)出現(xiàn)故障時(shí)駕駛員已經(jīng)睡著了，從而導(dǎo)致在需要接管車輛不能及時(shí)接管而出現(xiàn)更嚴(yán)重的后果，并且這種情況的概率大大增加了。

L4、L5安全，為什么？這里先說L5，按照SAE的定義L5是沒有ODD的，那就不存在寫不清楚的情況，換句話說：用戶不用關(guān)心哪里能開，哪里不能開；啥時(shí)候能開，啥時(shí)候不能開等類似問題。到了L5用戶根本就不用關(guān)注ODD，也不用關(guān)注出現(xiàn)系統(tǒng)失效時(shí)要不要接管，這些系統(tǒng)都可以搞定。可以理解為你買了一張大巴票，你就坐車就可以了，開車的事兒司機(jī)替你搞定。

再來說L4，L4自動(dòng)駕駛系統(tǒng)跟L3的區(qū)別就是當(dāng)系統(tǒng)出現(xiàn)失效時(shí)或超出ODD時(shí)可以自己處理系統(tǒng)使車輛進(jìn)入最小風(fēng)險(xiǎn)狀態(tài)。這樣對(duì)于用戶就友好多了，可以開車玩手機(jī)、睡覺，不用擔(dān)心系統(tǒng)提示接管。當(dāng)然了用戶想接管也是可以的，但是不強(qiáng)制要求。因此L4也是安全的。

自動(dòng)駕駛行業(yè)的浮躁

前面分析了這么多，所謂的自動(dòng)駕駛安全性分析理論，所謂的自動(dòng)駕駛分級(jí)，其實(shí)都是一些人搞出來的理論。用戶對(duì)自動(dòng)駕駛的要求其實(shí)很簡(jiǎn)單，這里借用一個(gè)外行朋友的話：“自動(dòng)駕駛？那我以后是不是不用考駕照了？”雖然是疑問句，但是很直接陳述自己的需求�，F(xiàn)在市面上的自動(dòng)駕駛系統(tǒng)能達(dá)到這樣的要求嗎？很顯然，達(dá)不到。所以之前一些急于求成的廠家宣稱自己是自動(dòng)駕駛系統(tǒng)后導(dǎo)致了一些悲劇的發(fā)生，后面大家都改成輔助駕駛系統(tǒng)了。

為了獲得更多客戶的使用和青睞，基于推出并不能完全滿足客戶需求甚至沒有用的功能來獲取產(chǎn)品的增值，這似乎是現(xiàn)在大家的狀態(tài)。當(dāng)今的社會(huì)，大家都很浮躁，著急量產(chǎn)，著急賺錢，著急證明自己。很少有人耐心的去滿足真正的客戶需求，甚至連最基本的安全問題都沒有解決。筆者認(rèn)為，大家是時(shí)候放慢腳步了，不要走太遠(yuǎn)而忘了我們想要去哪里。

- End -

免責(zé)聲明：

凡本公眾號(hào)注明“來源：XXX（非智車科技）”的作品，均轉(zhuǎn)載自其它媒體，轉(zhuǎn)載目的在于傳遞和分享更多信息，并不代表本平臺(tái)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)，版權(quán)歸原作者所有，如有侵權(quán)請(qǐng)聯(lián)系我們刪除。

       原文標(biāo)題 : 自動(dòng)駕駛真的安全嗎？