安全文档方法在自动驾驶道路测试安全管理中的应用探析

周文辉

摘 要：我国自动驾驶道路测试管理还较为粗略，具有一定的安全隐患，也在一定程度上影响了“通过测试提升产品和技术能力”目标的实现。主要原因是未系统梳理影响自动驾驶道路测试安全的相关因素、分析相关规律，并在此基础上，按照测试目标、测试任务、潜在隐患点及其风险分析评估、利益相关方关注内容等对测试管理进行科学化分析，进而结合测试企业自身实际提出针对性的对策，并将相关对策作为制度固化并实施。本文详细介绍了英国、澳大利亚等国家在自动驾驶道路测试中广泛使用的安全文档方法，包括其主要目标、内容、理论依据等，特别是从测试系统功能、系统安全、安全员管理、事件报告等15个方面入手，分析了影响自动驾驶道路测试的具体要素，并给出了测试安全管理需要关注的重点内容，提出了完善我国自动驾驶道路测试制度、提升测试企业安全主体责任能力方面的建议。

关键词：自动驾驶；安全档案；测试

1安全文档方法概述

安全文档（Safety Case）是为了说明安全风险已被识别、管理，并按照尽可能合理降低原则（ALARP）进行了减缓，而形成的一系列论据文档集。

安全文档方法起源于英国。在国外，该方法已经广泛应用于核工业、航空、石油、天然气等危险行业的安全管理。比如对于产品的安全完整性等级（Safety Integrity Level，SIL）认证，该认证主要包括产品设计细节的评估、生产厂家安全管理体系的评估以及产品开发人员能力的评估。为了表明产品具有指定的SIL能力，生产厂家需要向认证机构提供一系列的证明文件，来表明产品满足了标准中的要求。这些证明文件所形成的文档集，就称为安全文档。编制安全文档，是指通过收集、分析相应的证据，证明所设计的产品与标准的符合性。安全文档方法提供了一个系统的、完整的方法，来表明与一个或多个标准的符合性。来自于产品开发过程中不同阶段的文档，形成了支持论据的证据。为了保证产品开发人员、操作人员、安全评估人员以及认证机构的安全管理，只进行简单的文档记录是不够的，而应该有结构化的文档。安全文档是一个动态的文档集。在产品设计过程中难免会发生一些变更，这时安全文档就需要进行调整、升级，记录相应的变更，以保证论据与证据的正确性和统一性。当表明产品与标准中要求符合的安全文档完成后，它能够显示所有的要求、每个要求是如何满足的论据、支持论据的证据文档以及评估人员的评估结论。目前，虽然安全文档仅仅在一些行业中是强制性的，但是该方法正被越来越多的行业所采用[1]。

安全文档的理论基础是风险尽可能合理降低原则（ALARP）。该原则最早也由英国提出，是指各类合理可用的风险减缓、消除方法、措施均已使用。此处，合理可用的风险管控方法，是指使用这些方法，不会造成不合理的时间、经费投入。在法国应用更多的合理性评估方式是GAMAB（globalement au moins aussi bon風险水平大体相当），这种方法的要求是，当用一些可接受指标衡量新系统时，任何新系统必须提供它的风险水平，而且这个风险水平一定不能低于现存的同类系统。根据产品的不同，指标可能是每年的人员伤亡人数，每小时使用该设备的受伤人数或其他适当的衡量标准。

2应用安全文档方法管理自动驾驶道路测试工作概述

在自动驾驶道路测试中应用安全文档法，首先应确保安全文档是在自动驾驶测试涉及的各类法律法规和标准规范基础上制定的，同时安全文档至少需要包括测试车辆相关、测试平台相关、车辆操控与运行环境相关的各类风险，以上风险均需要考虑其他参与方，包括其他车辆、行人和非机动车、测试驾驶人或安全员、乘客、道路施工维护人员和其他第三方。安全文档需要动态更新，测试、工作提升和安全保障中的改善均应纳入记录。下图是应用安全文档方法管理自动驾驶道路测试工作的示意图[2]。

3管理自动驾驶道路测试的安全文档内容

完整的管理自动驾驶道路测试的安全文档包括以下内容[2]：

3.1安全文档的目的和范围

安全文档需要说明，在任何时间和地点开展的测试和示范验证均是安全的，并明确开发和拥有安全文档的组织名称。

安全文档应在范围中说明以下内容：

（1）开展的测试和示范应用的概况，包括目的、安全保障方法、主要合作机构及其职责、公众参与的方式等；（2）安全文档未包含的内容（如功能安全）；（3）不同测试阶段对应的安全文档，以及安全文档的管理、升级等内容。

3.2车辆和自动驾驶系统

安全文档应包含以下车辆和自动驾驶系统的信息：基础车型及其改装；车辆外形；符合相关标准的情况；传感器种类、位置及固定方式；自动驾驶系统功能；巡航和定位；人机交互；机器学习；数据存储和读取；信息安全等。

3.3车辆ODD相关信息

包括以下信息：用自然语言对运行边界的描述；系统如何确定是在运行设计域（ODD）范围内运行；系统难以应对的道路交通环境；车辆其他局限性（如限速）；默认进入风险最小状态的流程；ODD范围内车辆行为的监控及干预流程；车辆能够在ODD安全运行的证据。

3.4测试目的

包含以下信息：测试场景构成；测试需要应对或确认的场景边界和场景内元素；测试开展、监控和评估的细则。

3.5运行安全评估

安全评估是制定各项干预手段的基础。运行安全评估主要包括：针对每个具体场景，均需要确定危害，评估风险。评估内容包括：车辆软硬件、车辆监控、车辆操作、外部影响因素（如通讯、路线等），其中与其他交通参与者的交互是评估的重点。

3.6运行安全指南

总结好的经验，形成运行安全指南，指南还应包括与相关方沟通后的紧急事件处理预案。

3.7路线选择和安全评估

根据实际路线进行安全评估，路线中相关设施的变化应随时跟踪记录。

3.8安全操作和控制

应包括以下内容：安全员监控车辆的方法；车辆最小风险状态的条件；接管预警方法。安全员能力保持的机制（对自动驾驶系统的清醒认识，管理分心、疲劳的对策）；对异常事件诊断和反应能力的证据；对安全员的监控。

3.9系统安全

系统安全评估应与测试需求相适应。应说明评估人员及其独立性、评估过程、评估依据的标准等；评估中明确的“隐患”和“安全目标”。评估应确保系统在紧急情况下能够及时回到安全最小状态，并可随时被接管。还应包括信息安全。

3.10之前类似测试情况

包括以下信息：测试地及测试设备（路段）特征。测试方式：仿真、实际道路、场地。测试对象（传感器、软件、硬件、安全员操作和反应）及其合格目标。测试通过/未通过点位情况以及最终的测试结果。

3.11车辆变动的管理

测试中动态管理车辆变动的情况：自动驾驶系统及车辆运行中的各类变动，均需要记录，根据测试情况及时收集、更新隐患点，并进行分类评估。记录车辆变动的机制流程及对应的风险评估方式；车辆变动相关信息的归档、分类和测试应对；重新开始测试的流程；对车辆变动的其他安全监控和管理措施。

3.12利益相关方

与利益相关方开展的相关活动、取得的成效；与利益相关方开展交流、活动中收到的安全反馈及处置。 保险情况，以及开展道路测试所需的各类资质、许可情况。

3.13监督、报告和持续提升

安全文档应反映出学习、证据收集和持续更新迭代的过程，应有版本管理和动态过程管理。主要包括：测试数据收集的类型、收集方法和频率，传感器、冗余、失效数据的监控，动态挑战因素的监控，数据下载、存储、分析、安全保护、日志等。报告事件的类型和方式，接管数据的获取和分析，负责报告的人员信息（数据和报告最好归口单人管理），进一步调查需要数据的获取，数据的复审，测试退出标准。

3.14测试安全员管理

安全员是自动驾驶测试最重要的安全机制[3]。（1）测试机构具有三大职责：制定安全员培训、管理计划并实施；确保安全员能力；管理安全员工作时间（单次测试最好不要超过2小时，中途休息应大于半小时）。（2）安全员资格要求：驾照、经验、违法违规、广泛性；身体、心理、认知、主动报告个人上述事项；对车型、测试、路线、客货运的经验。（3）安全员培训应注重以下内容：车辆预期内的行为和预期外的行为，最小风险状态条件和位置，ODD及其特征，测试路线，测试风险及应对，接管点，客货运等。培训分为通用培训和专门培训。通用培训包括外部培训和内部培训，目的是对基础车型和自动驾驶系统的熟悉。专门培训目的：對测试车的构造、能力和局限性了解，以及人机交互、接管、操作指南、自身职责、测试终止条件、紧急情况应对、安全员和测试工程师的沟通渠道和方式，对测试监管的了解。另外，针对错误、违规，重新上岗等，需要开展再培训。（4）培训记录。记录培训内容、方式、时间、效果，之前培训经历和相关经验。每次测试后，均应记录安全员表现。包括测试时间、错误或失误、事件发生和应对、事件防范措施、良好实践。（5）安全员考试：最少要包含风险识别和应对、接管、车辆意外行为的应对、紧急事件应对、保持专注及对周围环境的警觉等内容；可通过理论、仿真、实际考试等方式进行，尽可能接近实际。

3.15测试事故调查

事故调查可全面提升安全能力，回应各相关方关切。事故调查需要弄清以下事实：（1）事发环境与ODD关系；（2）辆内部状态如何，有无功能失效或退化：（3）外部状态如何，有无功能失效或退化；（4）有无信息安全攻击；（5）系统何时意识到有事件发生，如何意识到的；（6）事件发生时，哪些功能在起作用；（7）事件发生时，哪个执行器在起作用，最后一次接管情况；（8）系统能否提供事件的详情；（9）谁在驾驶？接管情况[4]……。调查是对上述安全文档内容的全面检查和评估，也是对车辆本身性能的全面检查和评估，因而对提升车辆安全性能和测试运行安全管理均具有重要意义。由于数据记录的全面性和可获取性，自动驾驶测试事故调查应该是以数据为基础而开展的系统性、全面调查。

4启示与建议

2021年7月，工业和信息化部、公安部、交通运输部联合印发《智能网联汽车道路测试与示范应用管理规范（试行）》（工信部联通装〔2021〕97号），各地也陆续发布了地方智能网联汽车道路测试与示范应用管理的规定。目前各自动驾驶测试企业主要依据上述规定开展相应的道路测试和示范应用活动。从相关调研和测试事故调查情况来看，我国自动驾驶道路测试管理还有较大的提升空间，突出表现在未按照上述相关规定开展测试，企业层面的管理也较为粗略，具有一定的安全隐患，也在一定程度上影响了“通过测试提升产品和技术能力”目标的实现。

安全文档方法是系统、科学、规范管理自动驾驶道路测试的有效工具和手段，已在英国和澳大利亚等国家普遍应用，具备较好的理论基础和实践经验，该方法不仅囊括道路测试需要遵守的各项标准规范，也充分考虑自动驾驶道路测试的基本规律，便于测试企业结合自身实际制定和实施测试安全管理办法。另外，从内容上看，安全文档的相关规定，与自动驾驶认证管理中实施的“多支柱”安全保障策略具有较强的关联性。因此，为保障测试安全、发挥测试对研发和产品能力的促进作用、同时与量产认证做好衔接，希望借鉴安全文档的相关经验，提升自动驾驶道路测试安全管理的针对性、科学性和精细化能力。

参考文献

[1]郭苗. 第三十三讲：Safety Case方法及专用工具介绍[J]. 仪器仪表标准化与计量，2013（2）：3.

[2] Assuring the safety of automated vehicle trials and testing–Specification. PAS 1881：2020.

[3] Safety operators in automated vehicle testing and trialling Guide. PAS 1884：2021.

[4] Data collection and management for automated vehicle trials Specification. PAS 1882：2021.

国外自动驾驶交通事故责任划分

德国《道路交通法》《自动驾驶汽车交通伦理准则》都从立法角度，承认驾驶人，车主和汽车制造商同为事故风险承担者，正式将汽车制造商纳入责任范围。

对于“人机共驾”的L3级自动驾驶汽车来说，区分驾驶进程的某个时间节点，尤其是交通事故发生瞬间，是由驾驶人还是系统控制车辆，就变得尤为重要。

《欧盟自动驾驶汽车认证豁免程序指南》规定自动驾驶汽车应装备车载设备，即所谓的“黑匣子”。记录任何时间点的自动驾驶系统运行状态和人类驾驶状态，以便区分事故发生时的驾驶任务承担者。

“黑匣子”记录的数据应包括自动驾驶系统运行状态、人类驾驶状态、周围环境信息、自动驾驶控制信息，这些信息将为重建事故场景、分析事故原因、明确事故责任提供重要证据。

对于高度自动化的L4车辆，德国《自动驾驶法》要求为自动驾驶公司在进行商业化运营时，必须购买相应的责任险，以此承担相应的事故责任。

同样决定不再隔靴搔痒，敢于直视技术与立法困境的還有日本。

日本《道路交通法》明确提及，因系统错误操作等明显故障导致事故发生的话，制造商可能将承担过失；

如果因为瞌睡等原因，驾驶人没有按照系统要求切换驾驶模式而导致事故发生，那么驾驶人将承担责任。

判断依据同样来自于车载记录装置，并对数据保存期限做出规定。