自动驾驶国际标准,欧盟自动驾驶汽车认证管理办法及启示

周

摘要:准入认证是自动驾驶车辆安全管理的重要组成部分，也是车辆进入市场的必要前提。本文系统梳理了欧盟自驾车准入认证管理的相关内容，包括目的、范围、主要安全认证内容、认证程序等，并对我国自驾车准入认证的建设提出了建议。智能车辆是未来发展的趋势。目前，装有智能系统和部件的车辆越来越多。了解自动驾驶车辆的认证和安全管理，也有利于主动应对，提前研究和规划，做好我国自动驾驶车辆的安全管理、登记和检验工作。

关键词:自动驾驶汽车；认证；车辆安全

欧洲自动化车辆认证及其对我们的启示

周(公安部道路交通安全研究中心，北京100062)

摘要:认证是自动化车辆安全管理的重要组成部分，也是车辆进入市场的必要前提。本文系统回顾了欧盟汽车驾驶认证管理的相关内容，包括认证工作的目的、范围、主要安全认证内容和认证程序，并对我国建设自动化车辆认证提出了相关建议。智能汽车是未来发展的趋势。目前，越来越多的智能系统和部件装备在车辆上。了解自动驾驶认证和安全管理的相关情况，也是我国自动驾驶车辆安全管理、注册和检验的必要准备。

关键词:自动化车辆；认证；车辆安全

1欧盟自动驾驶汽车认证指南的目的和适用范围

2018年5月17日，欧盟发布了《欧盟智能与网联汽车战略》[1]。为了实施这一战略，欧盟委员会宣布打算在同一年与成员国联合发布指南，并努力在自动驾驶汽车的认证方面实现欧盟的统一。为此，欧盟委员会于2019年4月5日发布了欧盟自动驾驶车辆认证豁免程序指南[2]。

欧盟规范机动车认证的主要指令是“机动车认证措施(2007/46/EC)”。2020年9月1日起，欧盟新指令《机动车认证和市场监管措施(第858/2018号法规)》正式实施。根据上述规定，如果车辆使用自动驾驶等超出现有技术法规规定的新技术，则需要在认证时实施特殊豁免程序。鉴于自动驾驶技术的标准化管理要求，短时间内很难在欧盟层面达成一致。因此，建议先在成员国层面进行临时认证，然后通过欧盟委员会的决定推动成员国之间的互认。通过这两个步骤，经过认证的自动驾驶汽车可以像其他经过认证的汽车一样投入欧盟市场。

一方面，发布自动驾驶汽车认证指南的目的是通过成员国临时认证，总结自动驾驶系统评估的实践经验；另一方面，推动自动驾驶系统评测的进程化、标准化；这是为了给自动驾驶汽车的发展提供一个公平透明的环境。

在考虑认证指南的优先级时，为了满足应用需求，我们主要侧重于限定条件下的自动驾驶车辆，即美国汽车工程师协会规定的III类(L3)和IV类(L4)车辆。这些车辆目前已经进行了更多的道路测试，并有望在未来几年内实现商业化。

欧盟车辆认证豁免程序仅适用于生产车辆。特殊小批量车辆或样车的开发适用于其他认证程序，如成员国单独认证和成员国小批量认证。

2欧盟对自动驾驶汽车的安全要求

2.1自动驾驶系统的功能要求

欧盟为自动驾驶系统的功能定义了10项安全要求。分别是:(1)自动驾驶模式在运营域内可预见的交通状况下，自动驾驶系统能够自行驾驶，代替驾驶员完成各种驾驶任务。(2)在自动驾驶模式下，车辆不会造成可预见和可预防的交通事故。(3)在自动驾驶模式下，车辆行为应该是审慎的、可预测的，同时能够与其他交通参与者进行适当的互动(例如，服从执法人员的命令、与其他交通参与者进行互动等。).(4)在自动驾驶模式下，车辆应遵守道路交通规则。(5)车企要向认证机构陈述自动驾驶汽车的运行域，即车辆在设计上适合运行的时间和空之间的条件。运行域至少应包括:路况(机动车道/高速公路、普通道路、车道数、车道线要求、自动驾驶汽车专用道路等。)、地理区域(城市/山区、地理围栏设置等。)、环境条件(天气、夜间行车限制等。)、通行速度范围等与自驾运营安全密切相关的条件。(6)自动驾驶系统应能识别当前是否在运行域内，只能在运行域内运行。(7)在运行域内，系统应能够在没有驾驶员持续监督的情况下处理各种情况(环境感知、做出正确的驾驶决策、正确执行动态驾驶任务、与其他交通参与者有效互动)。在营运区域内，车辆不应造成交通事故。对于车辆内外的车辆使用者和其他交通参与者造成的错误，车辆的设计应最大限度地减少此类错误造成的不利影响。(8)车辆应与前车保持安全距离，特别是在拥堵区域。在横向运动中，要给其他交通参与者留有足够的时间和空，他们要能观察到通行权。对于可以避免的事故，如果避免了不会造成新的事故，就应该避免。(9)在设计作业域时，应考虑驾驶员的安全接管，即接管只能在低风险条件下进行，接管时应遵守道路交通规则。(10)在自动驾驶模式下，系统应能自动检测到难以继续驾驶的情况，如操作域的边界或系统的实际效果。

2.2人机交互要求

欧盟对自动驾驶系统的人机交互定义了五项安全要求。分别是:(1)只有满足运行域条件，才能启动自动驾驶模式。驾驶员、操作员或控制中心的主管可以接管或退出自动驾驶模式，并且必须易于操作。当人类发出的自动驾驶模式退出指令可能包含安全风险时，自动驾驶系统应当延迟退出自动驾驶模式。(2)车辆必须连续清晰地向接收器显示系统的运行状态，如运行和故障。(3)驾驶员要清楚自动驾驶模式的功能和局限性，需要知道自动驾驶系统能给驾驶员的任务功能。(4)如果系统设计为在特定情况下接管，则系统应监控驾驶员的状态是否符合接管要求。系统应通过驾驶员监控预警系统确保驾驶员处于接管状态，设计应能预防和预见驾驶员在操作域内的误操作。(5)对于无人驾驶汽车渡船等无人驾驶自动驾驶汽车，应提供向控制中心发送紧急通知的信息传输系统。此外，车内还应配备摄像头和声音传输装置，以确保控制中心能够监控车内情况。

2.3驾驶任务交接要求

当车辆因超出运行域或出现故障而难以在自动驾驶模式下继续行驶时，自动驾驶系统可以请求驾驶员接管，但应预留足够的接管时间。如果驾驶员未能接管，自动驾驶系统应继续以自动驾驶模式行驶或执行最小风险操作。车辆的设计应确保驾驶员能够清楚地识别接管请求。该系统还应该准确地识别驾驶员是否已经接管。

2.4最低风险操作要求

当自动驾驶系统检测到自动驾驶模式下难以继续行驶时，车辆应通过最小风险操作回到最低风险状态。在最低风险操作期间，应根据交通规则提醒其他交通参与者最低风险操作，如打开危险警告闪光灯、刹车灯、转向灯等。最低风险操作应符合交通法规的要求。风险最小的操作可以包括停在本车道或变道，在提醒周围交通参与者后安全停在路边。在最小风险操作的最后阶段，可能需要驾驶员接管。例如，对于具有车道保持功能的L3自动驾驶汽车，人类驾驶员可能需要在路边执行最后一次安全停车。

2.5数据存储系统要求

自动驾驶汽车应当配备车载设备，记录自动驾驶系统的运行状态和人类的驾驶状态，以便在事故发生时区分驾驶任务承担者。记录的数据应能支持事故责任的分配和事故中人类驾驶或自动驾驶反应的评估。至少应该包括自动驾驶系统的运行状态，人类的驾驶状态，周围环境的信息，自动驾驶控制的信息。记录的数据应该能够保持数据的完整性和可读性，即使在撞击、火灾等之后。，并应注意数据安全保护，防止数据篡改，确保其符合欧盟数据保护法规，但应允许其被成员国相关监管部门读取和解读。随着实践经验的积累，应制定更详细的数据要求(如记录时间、保留时间、数据使用目的、数据读取接口的标准化、隐私信息的保护等。).

2.6信息安全

自动驾驶汽车应在设计上应用最先进的技术，防止车辆受到黑客攻击，并确保车辆符合欧盟数据保护法规。主要是通过车企的风险评估、安全设计方法和流程管理来预防、缓解和应对信息攻击。对于软件升级，车企要采取安全措施，保证在用车辆全生命周期的信息安全。

2.7安全评估和测试

安全评估和检测要求如下:(1)自动驾驶车辆、自动驾驶系统、自动驾驶系统的部件和技术单元均需要满足《机动车认证办法(2007/46/ EC)》附录4所列的安全技术规定。(2)认证机构对车企的认证和评估应重点关注:自动驾驶系统具有稳健的设计和稳健的验证程序，确保车辆符合本指南，特别是车辆不会造成事故，并能提出安全接管请求和执行最小风险操作。根据车企提供的检测、验证、评估等方面的安全评估报告，认证机构应该得出与传统车辆等同的安全结论。(3)车企应该特别声明，已经对自动驾驶系统进行了危害和风险分析，并且这种分析已经融入到整体车辆设计中，甚至考虑到更广泛的道路交通生态系统，并且已经进行了足够的设计和冗余，以确保车辆能够应对这些风险。(4)对功能安全影响较大的风险应在系统设计中进行处理，这些风险可能由信息攻击、实际效果(功能安全)或潜在控制不足、不可预见的控制行为、人员误用、与其他交通参与者互动不足(运行安全)等因素引起。对于这种方法，可以参考功能安全标准(STRA)和系统理论分析过程中关于操作安全的部分(ISO 26262)，或者参考其他等效的方法，如预期功能安全标准草案(ISO 21448)。(5)所有的设计决策都要经过车企在独立子系统层面，在整车整体框架下的测试、验证和确认。(6)认证机构应:1)确认车企的危害和风险分析已覆盖所有与系统相关的故障和行驶风险，并能评估风险的临界值。2)风险响应评估的逻辑图(冗余、操作)涵盖可预见的系统故障和驱动风险。3)根据相关性测试并考虑不同用户，确保人机交互得到正确评估。4)进行最少次数的测试(考虑严重故障和驾驶风险场景，以及正常驾驶场景)，从功能和操作两方面确认车辆能够安全运行。上面提到的最小数量的测试应该包括假阴性和假阳性测试场景。5)确保评估系统运行安全性能的方法是透明的。6)可以使用模拟试验验证的方法，但应符合欧盟指令“机动车认证措施(2007/46/EC)”和“机动车认证和市场监管措施(第2007/46号法规)”的要求。858/2018)”关于虚拟测试。(7)认证机构在实施车辆安全评估时，可以访问被测试的自动驾驶系统。(8)认证机构应具备必要的能力、资格并接受相应的培训，以便开展上述车辆安全评估和测试。

2.8向用户提供的信息

企业应采取各种措施，以通俗易懂的方式向用户提供自动驾驶相关知识。主要包括:(1)自动驾驶系统的运行条件、运行域和功能限制；(2)关闭自动驾驶模式的方法；(3)人类驾驶员的任务(如L3级自动驾驶需要驾驶员承担的接管任务)；(4)对于L3级自动驾驶，需要人类驾驶员采取的驾驶以外的其他动作；(5)人机交互提供的指示信息(如是否处于自动驾驶状态)；(6)在紧急情况下，用户应采取的措施；(7)自动驾驶系统出现问题时，车辆的行为；(8)车辆维护、检测、在线系统升级知识。

3欧盟自动驾驶汽车认证计划

根据欧盟指令“机动车辆认证措施(2007/46/ EC)”第20章和“机动车辆认证和市场监管措施(2007/46/EC号法规)”第39章。858/2018)”，自动驾驶车辆认证免检程序如下:

(1)汽车企业向成员国认证机构提交认证申请。所需材料见表1。

(2)在条件允许的情况下，成员国可根据认证豁免程序临时认证该许可，该程序仅在成员国有效，并告知欧盟委员会和成员国以下信息:1)说明豁免原因，说明各车辆系统、部件和独立技术单元符合和不符合现有技术法规。还应考虑具有自动驾驶功能的车辆中各系统的相互作用。2)车辆安全和使用环境的说明，以及采取的相应措施。认证机构应根据认证豁免指南对自动驾驶车辆进行评估。此外，欧盟委员会和成员国还可以修改欧盟和联合国欧洲经济委员会的相关技术法规，作为认证的替代性基本规定。3)应说明豁免项目的测试和结果，以确保安全和环保的测试和结果不低于现有类似标准的要求。

(3)欧盟委员会应组织机动车技术委员会就是否将成员国临时认证转换为欧盟认证进行投票。欧盟委员会的认证决定也应基于认证豁免指南，并明确标识自动驾驶功能。欧盟认证决定应该公开。欧盟应根据风险评估和未来认证可能适用的条件，限制认证的期限(最少36个月)和数量。

(4)在等待欧盟委员会的认证决定之前，成员国可以接受其他成员国的临时认证，并允许它们在自己的领土内获得临时认证。

(5)对于根据认证豁免程序认证的车辆，欧盟委员会可以根据认证机构提供的简化材料扩大认证范围。以上简化材料应清楚描述拟扩建车辆与已批准车辆的区别。

4给我们的启示

2021年7月30日，工信部发布《关于加强智能网联汽车生产企业和产品准入管理的意见》(工信部发〔2021〕103号)，要求加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理，确保产品质量和生产一致性，促进智能网联汽车产业高质量发展。《意见》从加强数据和网络安全管理、规范软件在线升级、加强产品管理、保障措施等方面提出了11条具体意见。，为自动驾驶汽车的产品准入提供了很好的指导。但需要注意的是，在自动驾驶汽车的功能安全要求、道路交通规则、对场景的反应等方面，我国的相关规定并不详细甚至缺失。目前自动驾驶汽车的安全相关评价是空白，需要进一步研究和完善。

参考

[1]委员会致欧洲议会、理事会、欧洲经济和社会委员会、地区委员会的信函。走向自动化交通:欧盟未来交通战略(COM/2018/283)。https://eur-lex.europa.eu/legalcontent/EN/TXT/?uri=CELEX:52018DC0283

[2] GROW.DDG1.C.4 .欧盟自动驾驶汽车批准豁免程序指南。https://ec.europa.eu/docsroom/文件/34802