智能驾驶安全，翻过五座大山

撰文 / 玖   零

编辑 / 张   南

前段时间，华为与小鹏的AEB（Autonomous Emergency Braking，自动紧急制动）之争，把智能汽车的安全性，推到了大众视野，也在广大车主中引发了一场热议。而在这段争论之前，在过去的几年里，也时而会爆出造车新势力的智能驾驶引发碰撞事故的新闻，导致公众对智能驾驶的安全性产生怀疑，难以完全信任。

问题的本质在于：智能驾驶没能做好安全题。安全作为汽车功能的一票否决项，决定着消费者对智能驾驶的根本态度，也决定着智能汽车的普及程度。

随着汽车智能化进程的加速，尤其是各路造车新势力对汽车的重新定义，汽车正在从传统的重工业产品，逐渐具备消费电子产品的属性。智能化是汽车产业升级的趋势，消费电子化对于提升用户体验，让智能汽车更贴近普通消费者，发挥了积极作用，也有利于形成多元化的产业格局。

不过，我们也应该意识到，消费电子产品与与重工业产品，作为两个级别的产品，仍存在较大的差异；汽车虽然正在消费电子化，但其本质仍然是重工业产品，仍然应该符合重工业产品的基本要求，例如安全、可靠、稳定、耐久等。

由于部分车企的过度宣传，很多消费者以为现阶段的智能驾驶就是自动驾驶，即驾驶员可以对车辆行驶过程不管不顾，任由智能驾驶系统控制车辆行驶。但实际上，根据SAE对智能驾驶的分级标准，目前乘用车量产的智能驾驶功能属于L2级，即用户负责观察环境，智能驾驶系统负责操纵车辆，是典型的人机共驾状态，存在明显的系统能力边界，也就是ODC（Operational Design Condition，设计运行条件），包括交通环境、车辆状态、驾驶员状态等。在ODC范围内，智能驾驶系统可以很好地控制车辆，而在ODC边界外，则需由人类驾驶员控制车辆。

因此，现阶段智能驾驶的安全性，需保证在ODC范围内，系统可以控制车辆正常行驶，符合交通法规要求且尽可能避免发生碰撞事故（事故概率应远低于同类场景人类驾驶员发生的事故）；在ODC范围外，系统可以及时提示用户控制车辆，并且在紧急状态时，帮助驾驶员减轻事故概率；同时，应该让用户清晰地获取车辆行驶状态，即提供良好的人机交互。

根据上述对智能驾驶安全性的定义，结合工信部在2021年4月发布的《智能网联汽车生产企业及产品准入管理指南（试行）》，我们认为，智能驾驶的安全性，仍应回归用户本身，从出行场景和用户体验的层面，去关注用户需要的安全保障，而不是一味地把智能驾驶当作炫技和营销的手段。

从用户和场景来看，智能驾驶的安全性最重要的是行驶安全与人机交互安全。此外，还有从开发流程角度须考虑的功能安全、预期功能安全、信息安全等。下面，我们分别对这几个方面，展开解读，详细说明智能驾驶应该如何保障安全。

行驶安全

行驶安全是指车辆在交通环境中正常通行，避免发生碰撞事故。

识别障碍物并避开障碍物，是智能驾驶开发的核心，也是智能驾驶的重难点问题。目前市面上的大部分智能车型，已经能够实现非紧急状态下的目标物识别和避让。感知算法从前几年的CNN（Convolutional Neural Networks，卷积神经网络），到近两年来流行的BEV（Bird's Eye View），以及GOD（General Obstacle Detection，通用障碍物检测）、FreeSpace等，正在不断提高感知的性能与效果；并且从新车型的表现来看，规控算法也在不断升级，避障能力在提升，接管率在降低。

不过，即使现在目标物识别与车辆控制的能力已经在不断提升，但智能驾驶系统对于不同场景的危险预判能力，仍明显不如人类老司机。对于人类驾驶员来说，老司机与新手最大的区别，在于对交通环境的“预见”能力，提前观察道路环境，提前预判交通动态变化，从而提前规避风险。智能驾驶系统的行驶安全，同样离不开“预见”能力。统计数据表明，用户遇到的90%以上交通环境，都属于常规行驶场景，存在一定的规律；对于特定场景中可能存在的危险因素，可以提前做出预判，提前采取措施避免风险，提升安全性。

以大车避让场景为例，在道路中远离大型车辆，是老司机的经验之谈，也是人类司机的常规做法。如果智能驾驶系统识别到周围存在大型车辆，也可以适当远离，提高安全性。在造车新势力的车型中，小鹏最早推出了大车避让功能，即在相邻车道有大车时，适当横向偏离，远离大车。一些开发者在ACC（Adaptive Cruise Control，自适应巡航）的跟车算法模型中，也已经把大型车辆与小型车辆区别对待，增大了跟随大型车辆行驶的间距。

大车避让

再以路口通行场景为例，现阶段的感知算法，已经能够通过对交通信号灯、斑马线等要素的识别，判断车辆正在通过路口。根据交通法规要求，以及驾驶经验，此时应有减速行为，以避免突然出现的其他交通参与者。遗憾的是，目前还少有能够在路口自动减速的案例，大多还是保持原车速通过路口。

在车外避障的同时，行驶安全也包含车内人员、财物的安全，避免急加速、急减速，以及突然地转向，因为这些行为也可能引发车内的人员伤害和财物损坏。在评价智能驾驶的性能时，一项很重要的指标就是加、减速时的加速度值，以及转向时的横摆角速度值，这两个数值都不宜过高，否则车辆也会有失控的风险。

ACC遇到前方静止车辆，是一个典型的案例。当ACC功能遇到前方出现静止车辆时，会控制自车减速停车，此时减速时机非常重要。如果太晚开始减速，就难免出现“急刹”的情况。在这种场景中，目前大部分车型在大部分场景中，都可以做到平稳地减速停车，但也难免出现不明原因的急刹，研究这些急刹出现的原因，提出针对性的解决方案，是提升安全性的重要手段。

减速过弯也是一个典型的案例。LCC（Lane Centering Control，车道居中控制）功能可以控制车辆沿车道线行驶，并能通过弯道。当弯道曲率小时，LCC可以保持原车速，平稳通过弯道；但当弯道曲率较大，如曲率半径超过125m时，如果仍以原车速行驶，则车辆容易出现大的转角，并且表现出转向太急、不平稳的现象，因此减速过弯是必要的，即根据摄像头识别的车道线信息，实时判断当前道路的曲率，并根据曲率计算出平稳过弯所要求的车速（根据公式，并限定加速度a的值，就能通过曲率r，计算出过弯车速上限值v）。目前头部智驾公司，都已经实现了根据弯道曲率调整车速的效果，但后来的追赶者，则容易忽略这一场景。

减速过弯

当交通场景超出ODC范围，进入人工驾驶状态时，智能驾驶虽然不再控制车辆运动，但仍需提供主动安全功能，向用户提供各类安全预警，必要时施加紧急控制等，辅助用户安全驾驶。主动安全功能虽然智能化等级不高（L0级），但做好主动安全功能，却并不容易。

前段时间的热点话题AEB，就是主动安全的典型代表。当前方有碰撞风险时，何时发出预警？何时施加制动？加速度随时间的变化是怎么样的？触发条件如何设定才合理？这些都是AEB功能需要考虑的问题。目前国内大部分车企，采用的还是以前国际Tier 1巨头的AEB方案，实际效果还达不到普通消费者的预期，经常出现不能及时刹停的情况，并且触发条件也比用户想象的更加苛刻。国内的智驾开发者们，正在不断拓展AEB等主动安全功能的能力，可以看到AEB的作用目标范围、避障成功率等，都在不断提升，对提升安全性起到了积极的作用。

AEB示意

合理且明确的ODC范围也十分重要，ODC是人驾与智驾的边界，合理的ODC既要符合系统的能力，又要让用户能够清晰地识别到边界，避免出现“以为系统可以处理”的误区。

高速NOA（Navigate on Autopilot，导航辅助驾驶）功能对ODC的定义就非常明确：当车辆位于高速公路路段时，智能驾驶系统完全控制车辆行驶；当车辆位于非高速公路或城市快速路等半封闭路段时，高速NOA功能退出。可以看到，市场上具有高速NOA功能的车型，如特斯拉、小鹏、蔚来等，都会明确说明功能起作用的地理范围，并在ODC边界处，提前向用户发出提示，以便用户做好接管准备。

人机交互安全

人机交互HMI（Human-Machine Interface）作为汽车与用户的直接交流途径，是用户高知高感的部分，不仅直接影响智能驾驶的用户体验，对智能驾驶的安全性也有着重要影响。智能驾驶的人机交互主要包括信息显示、安全提示、用户接管与干预等，对应地，人机交互安全也需要考虑到这几方面的内容。

信息显示的安全性，是指智能驾驶系统激活时，应该能够让用户知道必要的车辆状态和交通环境信息，给用户提供安全感，赢得用户信任。

以自动变道功能为例，造车新势力如小鹏、蔚来的车型，当智能驾驶系统控制车辆自动变道时，能够准确地在仪表中，重构出本次变道涉及的周边场景，如车道线、自车、其他车、车辆位置、预计的变道后落位、是否有危险车辆等，并能通过语音和触感提示驾驶员当前正在变道。作为用户来说，对于变道的全过程是非常清楚的，对车辆的安全状态也了然于心。

小鹏自动变道的显示效果

危险场景的安全提示，也是人机交互的重要内容。在车辆周围出现危险场景时，应能及时地通过多种人机交互方式，向用户发出必要的提醒，包括而不限于视觉、听觉、触觉等。

仍以自动变道为例，小鹏在变道过程中，如果目标车道有车辆快速接近，屏幕中会红色高亮显示危险车辆，目标车道也会有黄色的渲染效果，结合智能伙伴“小P”的语音播报“当前不适合变道”，告知用户此时变道可能发生碰撞，提醒用户注意观察目标车道的交通流。

车道偏离预警功能作为一项基础的预警类安全功能，通常会在视觉和听觉之外，增加触觉交互。当车辆压线或偏离车道时，不仅屏幕中会将偏离的车道线高亮显示，还会伴随机械音提醒，同时，方向盘会震动，三者共同提示用户车辆偏离的风险。

车道偏离预警的显示效果

用户干预与接管的安全性，是指当用户主动干预驾驶或接管车辆时，智能驾驶系统应将驾驶权立即交给驾驶员，避免系统与人“抢”控制权的问题。对于用户踩加速或制动踏板的操作，一般系统都会立即让出控制权；但对于用户的横向干预，即转动方向盘时，如果车辆采用扭力式方向盘，则可能出现用户主动施加的力矩，达不到阈值，导致接管延迟的情况，因此合理的横向接管阈值，是非常必要的。

目前市场上采用扭力式方向盘的车型，或多或少都存在与用户“抢”方向盘的情况，尤其是对智能驾驶不熟悉的用户，抱怨更加明显。比较好的做法是定位高端的车型，例如蔚来的多款车型ES8、ET7等，采用电容式方向盘，从原理上解决该问题。如果限于成本原因，只能用扭力式方向盘，那么针对车型的目标群体，调校出合理的干预扭矩阈值，例如针对男性群体的阈值大一些，针对女性群体的阈值小一些，是目前比较可行的折中方案。

近两年来，随着汽车的电子电气架构进一步集成，舱驾一体已经成为一种趋势，在未来，座舱与智能驾驶更将深度融合，而人机交互的安全，也更将成为智能驾驶安全不可或缺的一部分。

功能安全

功能安全（Function Safety），是一套降低电子电气系统的故障所引起危害的开发管理体系。汽车行业的功能安全主要依据国际标准ISO26262和对应的国家标准GB/T34590，其定义为：避免因电子电气系统故障而导致不合理的风险。智能驾驶的实现，主要依赖于可靠的电子电气系统，因此功能安全对智能驾驶来说，是必不可少的。

功能安全关注的是因故障而导致的不合理风险，目标是将这些风险控制在可接受的范围。功能安全通过ASIL（Automotive Safety Integrity Level，汽车安全完整性等级）来区分不同级别的风险（QM，ASIL A，ASIL B，ASIL C，ASIL D），然后根据ASIL等级，对电子电气系统的开发流程，加以约束并制定对应的安全措施。ISO 26262和GB/T34590定义了一套明确、完善的方法与流程，以保证汽车电子电气系统的开发过程，能够满足功能安全的要求。

功能安全的V模型流程

目前行业内的智能驾驶公司，都会把功能安全作为开发流程中必须考虑的内容，并按照功能安全的要求来开发智能驾驶的系统、硬件和软件，也有公司正在或已经完成了功能安全体系的认证。不过，由于智能驾驶的发展时间还不长，技术迭代迅速，而功能安全又是仅针对电子电气系统的标准，对于更加智能化的智能驾驶，没有专门的方法，因此目前行业内对于功能安全在智能驾驶开发过程的应用，还没有形成统一的认知，还处于摸索和局部应用阶段。

例如，根据ASIL的分类依据，我们可以把NOA功能，整体归于ASIL D级别，但是NOA功能包含的场景和子功能有很多，对于其中每一类场景和子功能的故障失效，是否都属于ASIL D级别？如果不是，那么分别应该属于哪一个安全等级？这个问题，相信大多数公司并没有系统而完整的定义。

再如，对于近期热议的AEB功能，网络上开始用最高可激活的车速作为AEB的重要评价指标，似乎可激活的车速越高，AEB功能越好，但是从功能安全的角度来说，这种做法并不妥。众所周知，AEB的制动非常突然且加速度非常大，不仅会造成车内人员极度不适，还会引发后车追尾等次生事故；如果因系统故障导致AEB误触发，那么，车速越高，危害程度越大，也越不可控。因此，目前业内的AEB测试认证标准，对AEB的最高车速要求，都不会特别高。

针对以上问题，我们认为，开发者尤其是消费电子转到汽车电子行业的开发者，一方面应该充分认识到功能安全的重要意义，认真对待；另一方面，也应该遵循长期主义，愿意投入成本，在智能驾驶开发中持续摸索和优化功能安全的实践，真正让功能安全标准，与智能驾驶的先进技术融合，并能形成一套可参考的规范。

预期功能安全

功能安全针对的是电子电气系统失效的情况，预期功能安全SOTIF（Safety Of The Intended Functionality）针对的则是系统本身的限制以及非预期的场景。对于智能驾驶来说，仅从系统失效角度，遵守功能安全标准是不够的，还应该充分考虑智能驾驶系统的能力边界，存在风险的行驶场景，以及驾驶员的误操作等因素，因此还应该遵守预期功能安全标准，主要是国际标准ISO 21448的要求。

以交通信号灯场景为例，目前特斯拉、小鹏、蔚来等车型，已经可以通过前视摄像头，识别到红绿灯。不过，仅仅依赖前视摄像头来识别红绿灯，难免会存在错误识别的概率，此时如果能够结合路端设备或大数据统计，将摄像头、V2X、大数据三者的结果融合，那么就能够通过多种策略，确保车辆能够安全地通过路口。

再以气象条件的影响为例，近年来可以明显地发现，智能驾驶对恶劣天气和恶劣光照条件的应对能力，已经有了大幅度的提升。一方面得益于传感器性能的提升，另一方面也是由于在功能开发时，会更多地考虑雨、雪、雾、霾、沙尘，以及强逆光、隧道出入口光线变化、高架广告牌遮挡等场景的影响，更多地关注这些场景中的功能表现，提前制定了相应的安全策略。

目前预期功能安全还处于起步和研讨阶段，更多停留在理论层面，行业内还少有典型案例。不过，已经一些研究结果出现，并且已经有国内企业如地平线、长城等，宣传其已经拿到了ISO21448的流程认证。总体来说，SOTIF提出的时间还比较短，成熟度也不如功能安全，距离行业内的广泛应用，还有一段路要走。

信息安全

信息安全主要指保护车辆及其电子系统免受未经授权的访问、使用、披露、干扰和破坏的威胁。在智能汽车时代，汽车不再仅仅是一个交通工具，而是演变成了物联网的一个节点，汽车也正在从机械产品、电子产品，逐渐成为移动的网络和数据中心，自然也就难免存在信息安全问题，成为黑客攻击的对象。据统计，在过去的5年里，智能汽车遭受到的网络攻击数量增加了数百倍倍。可见，智能汽车的信息安全，已经成为一个非常值得关注的问题，并且引起了世界各国政府的高度重视。值得注意的是，欧盟率先于2020年6月份发布了WP.29 R155信息安全法案，并于2022年7月1日起逐渐开始强制执行。中国政府相关部门也于今年9月13日至14日，在贵阳，审查了强制性国家标准《汽车整车信息安全技术要求》和《智能网联汽车 自动驾驶数据记录系统》，经过起草单位汇报、委员质询、起草单位回复等流程，最终两项强制性国家标准顺利通过审查，预计于近期正式发布实施。

特斯拉的哨兵模式就是信息安全的典型案例。哨兵模式能够通过摄像头检测车辆周围的实时环境，但是环境数据，尤其是周围行人的生物学特征，属于个人隐私。当用户使用哨兵模式时，都会被告知信息安全相关的内容，而系统也会在合法的范围内，记录不同安全等级的数据，并确保数据的安全和合理使用。

去年12月，有人宣称破解并获取了某车企的用户数据，并且在网络上公开销售。这些泄露的数据多达百万条，包括订单数据、车主身份证、地址，甚至车主亲密关系、贷款数据等极度隐私的个人信息。这些数据的泄露，无疑会对车企以及车主，产生难以预计的安全风险。该车企表示：“今后应在抓紧提升技术层面，如防火墙、数据保护能力等基础上，尽可能通过技术提升有效降低人为因素干扰，使用户信息隐私得到更好保障。”

由于汽车的智能化进程正在快速发展，目前智能驾驶仍然处于重点关注功能实现的阶段，而对于信息的安全性，主机厂的重视程度还不够，尤其是很多主机厂当前的设计开发流程中，缺乏数据与信息安全的概念。因此，智能驾驶的信息安全，任重而道远。

从以上分析不难看出，在汽车日益智能化和消费电子化的今天，仍然不应该忽视汽车的安全性。智能驾驶作为汽车智能化的核心和代表，是跨学科融合的产物，其安全性也包含了行驶、人机交互、功能安全、预期功能安全、信息安全等方方面面，每一方面都是一门复杂而系统的学科，更应该认真对待和敬畏。

普通消费电子产品出现故障，还可以重启；汽车一旦出现故障，可能就要付出血的代价。作为汽车行业的从业者，尤其是智能驾驶的从业者，不应该拿智能驾驶作为炫技的工具，而更应该将智能驾驶作为提升通行安全和效率保障，尊重工业产品应有的安全要求，助力行业的良性发展。