近些年，自動駕駛/無人駕駛技術已經成為汽車先進技術的集中爆發點。在國外，不但奔馳、谷歌等傳統或非傳統汽車企業紛紛推出自己的無人駕駛汽車，更有特斯拉這樣的汽車行業新兵以軟件遠程升級的方式快速推廣自己的高速公路自動駕駛系統。而在國內，亦有長安、百度等眾多企業開展無人駕駛路試。一時間，無人駕駛汽車如雨后春筍般出現在我們周圍，無人駕駛的時代似乎已近在咫尺。

然而，前不久特斯拉曝出的世界首例自動駕駛汽車車禍致死案例，以及此后發生的幾起在自動駕駛模式下的事故提醒我們，是否這樣的估計太過樂觀？那么，自動駕駛/無人駕駛汽車要像傳統汽車一樣上路，應該進行哪些準備工作？

■特斯拉自動駕駛系統為何會出事故

國外多家權威機構對汽車自動駕駛系統的等級都有明確定義。以比較有代表性的美國SAE（美國汽車工程師學會）的定義為例：1級為駕駛輔助，即系統對汽車的方向或加減速中的某一項進行輔助控制；2級為部分自動駕駛，即系統對汽車的方向和加減速中的多項進行聯合輔助控制；3級為有條件自動駕駛，即系統在一定條件下可完成全自動駕駛，但根據系統請求，駕駛員需要響應并提供支援；4級為高度自動駕駛，即駕駛員可不響應系統提出的支援請求，車輛仍需保持安全行駛；5級為完全無人駕駛，系統自動應對所有工況，不向駕駛員提出請求。

特斯拉的AutoPilot系統實質為2級自動駕駛系統，駕駛員是車輛安全的責任方，AutoPilot系統只是提供輔助功能。但在現實中，很多駕駛員在適應了自動駕駛系統的便捷之后，本能地會放松警惕，甚至出現離開駕駛員座位的情況。在特斯拉的首次惡性事故中，前方卡車轉彎，車廂橫向面朝事故車，這與傳統的車尾特征差異很大，加之白色車廂又與天空背景色接近，導致視覺系統失效。同時由于卡車車廂較高，導致毫米波雷達失效。此外，負有監控責任的駕駛員因為過于相信自動駕駛系統，疏于防范，因而最終發生了事故。

■讓自動駕駛汽車放心上路的兩大前提

筆者認為，要做到讓自動駕駛汽車放心地上路，確保其安全性，必須要做好兩項基本工作。

（1）明確自動駕駛系統等級和駕駛員的監控責任

要想讓自動駕駛更安全，首先需要明確自動駕駛系統的等級，在此基礎上明確駕駛員的監控責任。在SAE分級中的1~3級自動駕駛系統，駕駛員都負有監控責任，需要對最后的行駛安全負責。如日產在最新推出的ProPILOT系統中會通過轉矩傳感器專門檢測駕駛員是否把手放在方向盤上，如果沒有，系統會報警，以保證駕駛員對車輛行駛狀態的監控。從特斯拉和日產對于2級自動駕駛系統的應用，也可以看出傳統汽車企業在涉及安全的問題上更為謹慎。

（2）建立針對自動駕駛系統的法規體系

在明確責任主體之后，還應建立針對自動駕駛系統的標準法規和對應的測試規范。讓自動駕駛汽車能夠放心上路，其核心是要解決交通安全問題，具體而言包括駕駛行為安全、功能安全和信息安全三個不同層面的安全問題。

一是駕駛行為安全。從表象來說，駕駛員的駕駛行為安全指的是駕駛員的駕駛能力能夠滿足當前道路工況的駕駛任務需求，不會引發交通事故。對自動駕駛系統而言，駕駛行為安全就是自動駕駛系統的功能和性能，或者說駕駛模式和駕駛能力能夠滿足當前道路環境條件的駕駛需求。

二是功能安全。被國際上廣泛認可的功能安全標準ISO26262，通過危險造成傷害的嚴重程度S、危險所在工況的發生概率E、駕駛員采取控制避免危險的難易程度C三個主要指標來衡量汽車安全完整性等級（ASIL），對不同ASIL等級的系統從軟件、硬件、系統層面的功能安全規范做出了詳細規定。目前，其主要針對的仍然是傳統汽車的E/E系統，對于自動駕駛汽車的功能安全規范尚在制定完善中。

三是信息安全。信息安全是隨著車輛聯網的普及而被提及，隨著車輛智能化控制程度的增加而被重視，也是傳統汽車企業過去很少接觸的新挑戰。信息安全包括車輛自身控制層面的安全以及隱私信息泄露的安全問題，其觸發包括物理接觸和無線接觸。其中，物理接觸包括如OBD（車載診斷系統）口接入、USB口接入或其他后裝組件的接入造成的安全風險；無線接觸包括針對藍牙、無線鑰匙、TPMS（胎壓監測系統）等近距離通信的攻擊，DSRC（專用短程通信技術）等車際網絡的攻擊，以及3G/4G等蜂窩網絡接入的攻擊。廣義地說，車載雷達采用的毫米波、激光以及攝像頭涉及的可見光都屬于電磁波，也都存在被攻擊的漏洞。

駕駛行為安全、功能安全和信息安全并不是相互獨立的概念，而是互相有重疊的部分。駕駛行為安全側重于自動駕駛系統的能力是否滿足駕駛任務需求，尤其是危險條件下的駕駛任務需求；功能安全側重于相關設計能否保障自動駕駛系統不受隨機軟/硬件失效影響，按照設計正確地發揮應有的駕駛能力；信息安全側重于相關設計能否保障自動駕駛系統免受外界入侵攻擊或使攻擊不影響應有駕駛能力的發揮。

這三個側重點正好涵蓋了確保自動駕駛系統安全可靠的三個層次。以自動駕駛系統在某危險情況下為例，當自動駕駛汽車行進過程中，如前車有重物跌落，安全可靠的要求是自動駕駛系統能夠有效避開跌落物體——自動駕駛系統應具備能力在相對車速X米/秒、物體相對位置Y米時，控制轉向輪轉向角Z度。安全的第一層次為自動駕駛系統應滿足此駕駛能力需求，即自動駕駛系統的駕駛行為不會導致汽車在小于Y米后再進行轉向；在滿足第一層次前提下，安全的第二層次為自動駕駛系統應保障軟/硬件的隨機失效不會影響駕駛能力的發揮，即自動駕駛系統在大于Y米進行轉向時，沒有因為隨機軟/硬件失效導致轉向未完成；在滿足第二層次前提下，安全的第三層次為自動駕駛系統應保障駕駛能力的發揮不受黑客攻擊影響，即自動駕駛系統能在大于Y米進行轉向、所有部件可實現應有功能的前提下，不發生因黑客攻擊導致的轉向距離滯后。

交通安全是上述安全問題在宏觀層面上的體現。目前谷歌、特斯拉等的自動駕駛數據都表明，在特定工況下，現有技術能夠保證自動駕駛汽車的安全性能高于普通人類駕駛員。但是，僅在特定工況下高于普通人類駕駛員還不夠，作為乘客，誰都不愿意把自己的生命交給一輛每100萬或200萬公里就有可能出現重大事故的機器。為此，大部分人寧愿選擇手動駕駛。此外，自動駕駛汽車出現事故后的責任劃分和賠償、召回等問題，都要求自動駕駛汽車在交通安全方面必須經過非常苛刻的測試。

■如何開展自動駕駛汽車測試

那么，究竟應該如何開展自動駕駛汽車的測試？筆者認為，一種潛在的解決方案是引入“普通人類駕駛員”的抽象概念，并建立安全基線——一系列定性、定量的關鍵功能、性能指標，表征自動駕駛系統駕駛汽車的安全程度。如果把自動駕駛系統看作是一名駕駛員，對其的考核也可以類比駕駛員的考核過程。首先需要體檢，檢查“身體”基本情況；其次是理論測試，學習并考核交通法規；再次是場地考，即在特定場景下的測試；最后是實路考核。

1、“體檢”階段

所謂的“體檢”，就是需要對自動駕駛系統的基本要素功能進行考核，形象地說就是保證自動駕駛系統這個駕駛員“視聽良好、手足健全、身體健康”。考核的內容包括圖像識別能力、雷達對障礙物的探測能力、網絡聯通性能、執行器的控制性能、信息安全防護性能、相關電氣電子系統的功能安全設計等，保證自動駕駛系統各要素功能的正常。

2、“理論測試”階段

在“理論測試”階段，要對自動駕駛系統理解我國相關交通法規的能力進行考核，比如對信號燈的識別、對交警手勢的識別、對限速限高等交通標識物的識別，對路權優先級的判斷與控制。

3、“場地考”階段

在“場地考”階段，需要專門整理出自動駕駛汽車會遇見的典型場景工況，對自動駕駛系統進行各場景下的專門測試。一方面通過典型的、常規的工況，考察自動駕駛系統能否完成正常的駕駛任務；另一方面通過惡劣的、極端的工況，考察自動駕駛系統能否完成危險的駕駛任務。

危險工況大致有三類：一類是針對自動駕駛汽車傳感系統薄弱之處和多源傳感數據融合之處設計的危險工況，如惡劣的天氣環境或者特斯拉事故中面臨的場景等；一類是針對自動駕駛汽車邊界或者極限能力的危險工況，如正好和車身高度接近的龍門架或者車身寬度接近的道路狀況等；一類是突然的、預期之外的危險工況，包括事故數據分析得出的高頻情景和可帶來嚴重后果的小概率事件，如突然出現的行人、吹動的垃圾、前方道路突然塌方、傳感器失靈、其他交通參與者的非理性行為等。

另外，應特別強調的是，對于自動駕駛系統的危險場景和對人類駕駛員的危險場景是不一樣的。比如，自動駕駛系統區分出老人、小孩、非機動車等不同障礙物并對其可能的行為進行預測是較為困難的，而人類處理這些情況則相對簡單。因此，需要針對自動駕駛系統的危險場景進行不斷迭代測試。場景測試中，除實路測試外，也應充分重視仿真和駕駛模擬測試系統的作用，這些系統可以精確模擬和復現期望的測試工況。

4、“路考”階段


最后一關就是“路考”，它要讓自動駕駛汽車在劃分好的測試區域內，面對真實的、隨機出現的交通情況，作出自主決策與控制，以檢測其是否能夠依法依規安全行駛。內容應包括測試自動駕駛汽車應對特殊場景的表現、自動駕駛汽車在實際路況中與其他交通參與者的相互影響等。此處不僅要考察自動駕駛汽車對危險的預測與規避能力，還要考察自動駕駛汽車在危險或事故已經發生后是否采取了適當的、符合交通法規的措施，如是否會出現意外刮蹭后逃逸等情況。

由于特斯拉等自動駕駛汽車出現的安全事故，目前我國對于自動駕駛汽車上路測試的管理十分嚴格，工信部也正在聯合公安部等部門聯合制定相關的上路測試規范。在這一背景下，建立專門的自動駕駛汽車測試示范區就顯得更為必要。目前上海智能網聯汽車測試示范區已經正式開始運營，重慶、北京等地的示范區建設也在積極開展，而部分企業自建的測試基地也在相繼動工和運行，這些測試示范區的建設將有效推動我國自動駕駛汽車的檢測和測試。