他山之石,可以攻玉 —— 美国《联邦自动驾驶汽车政策》概述
2016.10.28 封锐 闵娜娜
2016年6月,中国工信部批准国内首个“国家智能网联汽车(上海)试点示范区”封闭测试区在上海投入运营,意味着中国的自动驾驶汽车从国家战略的理论层面正式进入实际操作阶段。在自动驾驶技术和相关路试实践迅猛发展的全球背景下,中国为满足自动驾驶汽车在公共道路上测试甚至正式上路的需求,也必将面对为相关国内实践提供基本政策和标准框架的挑战。
美国交通运输部于2016年9月20日颁布《联邦自动驾驶汽车政策》(下称“《政策》”),首次将自动驾驶安全监管纳入到联邦法律框架内,亦开创全球自动驾驶官方政策之先河。《政策》厚达116页,强调安全性为第一准则,要求技术创新必须在安全性能方面提供保障,也为美国日后制定联邦层面的自动驾驶汽车监管法规奠定了基础。
在前述背景下,本文尝试对《政策》的主要内容进行概括性梳理,期冀可借他山之石,琢己身之玉。
一、《政策》的效力
除个别章节(如涉及数据和信息收集的章节)需待美国《文书简化法案》下的相关审查程序结束后方可生效之外,《政策》的大部分内容在发布后立即生效。然而,《政策》同时也是一份“征求意见稿”,在60天的公示期内,美国国家公路交通安全管理局(交通部下属主管汽车安全的机关,下称“NHTSA”)负责向各界征求对《政策》的意见。NHTSA将分析在此期间内收到的意见,并希望在一年之内发布《政策》的更新版本,将比较重要的意见反映在更新版本中或对其做出回应。美国交通运输部希望根据自动驾驶汽车技术及产业出现的新问题对《政策》进行逐年修订。
二、《政策》下的主要术语及概念
1.“高度自动化汽车”(Highly Automated Vehicles或HAVs)
《政策》的适用范围主要是“高度自动化汽车”,而非所有带自动驾驶或驾驶辅助功能的汽车。为界定“高度自动化汽车”,《政策》采用了国际自动机工程师学会(SAE International,下文简称“SAE国际”)对于自动驾驶分级的定义,自动驾驶级别从低到高依次为:
SAE 0级:人类驾驶员全权操作汽车;
SAE 1级:车辆自动系统可有时协助人类驾驶员完成部分驾驶工作;
SAE 2级:车辆自动系统可实际完成部分驾驶操作,然而人类驾驶员持续监控驾驶环境并完成其余部分的驾驶工作;
SAE 3级:在某些情况下车辆自动系统可以实际完成部分驾驶操作并且可以监控驾驶环境,但是人类驾驶员必须做好准备在自动系统需要时接管车辆;
SAE 4级:车辆自动系统可以完成驾驶操作并且可以监控驾驶环境,人类驾驶员无需接管车辆;然而该等自动系统仅可在特定环境和特定条件下方可运行;
SAE 5级:车辆自动系统可以在人类驾驶员可操作的所有条件和环境下完成所有驾驶操作。
根据驾驶环境的监控主要由人类驾驶员负责还是自动驾驶系统负责,美国交通运输部在《政策》中将SAE 0-2级和SAE 3-5级区分开。该《政策》中,“高度自动化汽车”系指SAE 3-5级的车辆,其基本特征为自动系统负责监控驾驶环境。
需注意的是,根据该《政策》,汽车的自动驾驶级别系由汽车制造商根据SAE国际对不同级别自动驾驶的上述定义自行予以确定。NHTSA会检查汽车制造商对其车辆的自动驾驶级别的认定,并在与汽车制造商的自行认定有不同意见时向制造商提出建议。
2.“使用”
指公众对于高度自动化汽车的操作。该等操作人员并非高度自动化汽车的设计者、研发者或制造商的员工或代理,区别于“测试”。
3.“汽车制造商”
指制造在公共道路上测试或使用的高度自动化汽车的个人或公司。该《政策》下的“汽车制造商”包括原始设备制造商(OEM)、多阶段及最后阶段制造商(multiple and final stage manufacturers)、改装商(包括在汽车第一次零售之前或之后的改装)。
4.“其他机构”
指虽非汽车制造商,但与高度自动化汽车的设计、供应、测试、销售、运行、使用或协助制造有关的任何个人或公司。
三、《政策》的主要内容
《政策》的正文部分主要包括四大章节,分别着重于:高度自动化汽车的性能指引(主要包括15项安全评估标准);建议各州推出高度自动化汽车的统一政策并提出相关指引;澄清现有监管工具如何适用于高度自动化汽车;该领域内未来可能采用的新监管权力及监管工具。
1. 高度自动化汽车的性能指引
非强制性。高度自动化汽车的性能指引(下称“性能指引”)章节涵盖了高度自动化汽车的汽车制造商和其他机构在其设计、测试和使用高度自动化汽车时应当考虑和解决的重要方面,以期指导高度自动化汽车的安全测试和使用。性能指引目前并不具有强制性,但是NHTSA可能考虑未来通过法规形式将性能指引中的部分内容规定为强制性要求。
安全评估报告。NHTSA希望汽车制造商和其他机构就每一个高度自动化汽车系统向NHTSA提交安全评估报告,报告中需展示其车辆是如何符合该性能指引的。该等安全评估报告目前是自愿性的,待NHTSA完成美国《文书简化法案》的相关程序之后将变为强制性义务。
安全评估标准。性能指引下的安全评估涵盖如下15个方面的标准:
(1) 数据记录和分享
汽车制造商及其他机构应当对其车辆测试和验证过程进行记录,收集事故和碰撞相关的信息,记录故障、失灵的发生,以便于解析出现该等情况的原因。
汽车制造商和其他机构应具备相应的技术能力和法律能力以相互分享其记录的数据,以期有助于促进对于高度自动化汽车性能的了解并增强高度自动化汽车系统的安全性。与第三方分享的任何数据都应当“去身份化”,抹去可能直接或合理地联系到某一特定高度自动化汽车车主或用户的相关信息。当然,汽车制造商及其他机构还应确保该等数据的分享符合其相关的隐私性/安全协议或者取得车主/用户的同意。
本项性能指引下关于数据记录和分享的要求将于NHTSA完成美国《文书简化法案》的相关程序之后正式生效。
(2) 隐私性
汽车制造商的隐私政策和实践应确保符合下述原则:1) 隐私政策的透明性;2) 可选择性,就数据(尤其是个人信息)的收集、使用、分享、储存和解析向车主提供选择权;3) 数据的使用应符合收集数据时的目的;4) 信息搜集的必要性原则及使用时的“去身份化”原则;5) 维持信息的安全性和准确性。
(3) 系统安全
汽车制造商及其他机构应遵循适当的设计及验证程序,以确保其设计的高度自动化汽车系统不存在不合理的安全风险,并且其功能设计应使得车辆即使遭遇电气系统故障、电子系统故障、机械故障或软件错误时依然处于安全状态。
(4) 车辆网络安全
汽车制造商及其他机构应遵循健全的产品开发流程,使得安全风险(包括网络安全风险)降到最低。高度自动化汽车系统应具备相关的识别、保护、探测、反应及恢复功能,从而做出风险管理决定,解决风险和威胁,对网络安全事件快速反应并从中总结经验。
该项性能指引还鼓励行业内车辆网络安全相关信息的分享,从而有助于相互吸取经验教训。
(5) 人机交互界面
高度自动化汽车应当能够在自动驾驶和人工控制之间安全切换,这一点对于SAE 3级的高度自动化汽车系统尤为重要和复杂,因为在SAE 3级的高度自动化汽车系统下,人类驾驶员需要在必要情况下接管车辆并恢复人工驾驶任务,然而在自动驾驶模式下人类驾驶员难以时刻保持警惕,这将造成人机切换的现实困难。
除自动驾驶和人工控制之间的切换之外,汽车制造商及其他机构还应考虑高度自动化汽车如何向车辆周边环境(包括行人、自行车和其它车辆)发出信号。对于能够实现完全自动驾驶的车辆而言,汽车制造商及其他机构应当设计适合残疾人士使用的人机交互界面。
(6) 防碰撞性能
高度自动化汽车应当符合NHTSA对于防碰撞性能的常规要求。汽车制造商及其他机构应当开发司乘人员保护系统,使其在自动驾驶模式下或者人类控制模式下均能对所有司乘人员提供保护。此外,该项性能指引对于无司乘人员的无人驾驶车辆的碰撞安全性亦提出要求。
(7) 消费者教育和培训
汽车制造商及其他机构应当对其员工、经销商、消费者进行教育和培训,确保他们可以合理、有效、安全地使用自动驾驶汽车。培训的内容应当包括:高度自动化汽车系统的运行参数、能力及限制、人机交互界面、紧急情况下的应急方案等。
(8) 注册和认证
高度自动化汽车及其相关设备的制造商应向NHTSA提交其身份信息以及对于其产品的描述。汽车制造商应当在车辆上向驾驶员和车主标注和传递与高度自动化汽车系统的主要性能相关的准确信息。
(9) 碰撞后反应
若传感器或关键的安全控制系统在车辆碰撞后遭到损害,该车辆将不得被允许在高度自动化驾驶模式下操作,车辆在得到恰当维修之前应维持风险最小化状态。
(10) 联邦、州和地方法律
汽车制造商及其他机构应确保其高度自动化汽车遵守所有适用于该车辆操作设计的法律,包括限速、交通管制、单行道等方面的规定。随着法律法规的不时变化,汽车制造商及其他机构还应对该等高度自动化汽车系统进行升级,以适应新的法规要求。
(11) 伦理考量
车辆运行的三大合理目标为安全性、移动性和合法性。通常,这三大目标可以同时实现,但有些情况下该等目标之间会出现冲突。例如,一辆汽车内司乘人员的安全性目标可能与另一辆汽车内司乘人员的安全性目标产生冲突,要想保护一辆汽车内人员的安全,就必须要牺牲另一辆汽车内人员的安全。在这种两难情境下,高度自动化汽车的程序安排将对该情景下的每一个个体生命产生决定性的影响。
汽车制造商及其他机构,应当与立法者及其他利益相关者(如驾驶员、乘客、行人)等共同合作,以解决自动驾驶可能存在的道德问题,确保高度自动化汽车系统能够有意识地做出符合伦理的判断和选择。
(12) 操作设计范围(Operational Design Domain)
汽车制造商及其他机构应确定每一高度自动化汽车系统的操作设计范围,并将该等操作设计范围用平实的语言体现在车主手册中,清晰地介绍在哪些条件下该高度自动化汽车系统可以运行,哪些条件下不可以。该等说明应当能够使得人类驾驶员简单明了地知晓该高度自动化汽车系统的能力和限制。
在其操作设计范围内,高度自动化汽车应当可以安全运行;一旦超出其设定的操作设计范围,车辆应调整至风险最小化状态。
(13) 物体和事件的探测及响应
在其操作设计范围内,高度自动化汽车的“物体和事件的探测及响应”功能应使其能够探测到其他车辆、行人、自行车、动物和其他可能影响安全驾驶的物体并做出响应,并且应当有能力面对各种不同的情况,包括有优先路权的紧急通行车辆、临时施工区域、警察手动指挥交通等非常见情形。
(14) 应急措施(风险最小化状态)
当自动驾驶系统出现故障、超出其操作设计范围等情形时,高度自动化汽车应当有能力探测到该等情形,并且有能力通知人类驾驶员使其接管对车辆的控制或者独立的使自动驾驶系统切换到风险最小化状态。
应急措施的设计应当考虑到人类驾驶员可能处于心不在焉的状态、受酒精或者其它物质的影响、昏昏欲睡的状态等。切换到风险最小化状态的应急措施将根据具体情形不同而有所不同,例如自动将车辆安全停车、在可行的情况下脱离活跃车道/车流等。
(15) 验证方法
汽车制造商及其他机构应与NHTSA及SAE国际等标准化机构进行合作,研发创新性的测试和检验方法,包括模拟、测试跑道以及路上测试等,确保高度自动化汽车操作的高度安全性。
性能指引是否适用于低级别的自动驾驶系统?
如前所述,整个《政策》的适用对象主要是“高度自动化汽车”,即SAE 3-5级的车辆。性能指引亦主要适用于“高度自动化汽车”,尤其是有关“操作设计范围”、“物体和事件的探测及响应”、“应急措施”,以及相关的测试和验证方法等。然而,该性能指引中的部分内容亦可适用于低级别的自动驾驶系统(SAE 2级及以下),具体而言,
下述各项内容适用于所有级别的自动驾驶系统:数据记录和分享、隐私性、系统安全、车辆网络安全、人机交互界面、防碰撞性能、消费者教育和培训,以及联邦、州和地方法律;
下述各项内容适用于SAE 2级的自动驾驶系统:注册和认证、碰撞后反应,以及伦理考量。
此外,性能指引中特别提示,公众或驾驶员可能难以准确地把握SAE 2级和SAE 3级自动驾驶系统之间的技术差别,因此汽车制造商及其他机构应重点评估人类驾驶员过分依赖SAE 2级自动驾驶系统所可能存在的风险。
2. 各州监管政策指南
该章节内对于州政府和联邦政府之间的监管权限进行澄清,并建议各州建立相对统一的针对高度自动化汽车的政策和法规。其中值得关注的是,就高度自动化汽车在公共道路上测试的申请及审批相关的条件、程序等,该章节提出了框架性的指引,要点如下:
申请主体:汽车制造商和其他机构应向当地主管机关提交拟在公共道路上测试其高度自动化汽车的申请;
申请条件:包括但不限于,
(a) 申请中应说明用于测试的每一辆汽车均符合NHTSA的性能指引并符合适用的联邦机动车安全标准;
(b) 申请中应明确每一辆用于测试的车辆的车型、车辆识别号等信息,以及每一名测试操作员的驾照号码等信息;
(c) 应通过不低于500万美元的保险、保证书等方式证明汽车制造商和其他机构有能力在测试车辆导致人身伤害或财产损失的情况下执行相关判决。
授予许可:主管机关可以根据情况作出许可、不予许可、附限制条件的许可(例如禁止在学校附近或其他特定区域测试)等决定;作出许可应当对汽车制造商或其他机构出具授权书,同时州机动车管理机构应对每一获准测试车辆出具许可证。
3. 现行监管工具的适用
NHTSA并不禁止新机动车或新机动车技术的引进,但前提是该等机动车和技术符合现行的联邦机动车安全标准。在美国现行的法律及监管框架下,汽车制造商应自行认证其产品是否符合相关标准,NHTSA有权进行抽查,若抽查到不符合相关标准的情形或发现存在不合理安全风险的缺陷,NHTSA有权采取执法行动。NHTSA目前尚无权对新机动车或新机动车技术进行事前审批。
在此监管背景下,当且仅当新的机动车设计或技术不符合适用标准、或者对于是否符合现有标准有疑问时,机动车或设备的制造商才需要向NHTSA就该等标准的适用性提出询问。具体而言,NHTSA目前有权通过如下四种监管工具或方式,解决新技术与现行技术标准的协调和适用。
(1) 解释函
有针对性地解释现行法规和标准的含义和适用,尤其是其如何适用于提问者所关注的机动车或相关设备;
解释函所需时间最短,但适用范围及效力最有限。
(2) 临时豁免适用现行标准
仅在《国家交通与车辆安全法案》规定的特定情形下适用,属于对个别联邦机动车安全标准的有限例外;
豁免是临时性的,最多不超过3年;
对于拟在美国市场上销售的车辆,申请豁免联邦机动车安全标准的条件包括:
(a) 重大经济困难(汽车制造商最近一年的机动车总产量低于1万辆);
(b) 开发或评估新的机动车安全性能(每年最多2500辆);
(c) 开发或评估低排放的机动车(每年最多2500辆);
(d) 受豁免车辆的总体安全等级不低于未受豁免车辆的总体安全等级(销售不符合一项或数项标准的车辆最多不超过每年2500辆)。
(3) 修改现行标准或制定新标准
适用情形:任何汽车制造商或其他机构希望在更长的时间内、或者为更大规模的车辆豁免适用联邦机动车安全标准;或者其机动车或设备的设计与现行标准有实质性差别等;
本项工具所需时间长、适用范围广、对现行规定的改变大、公众参与程度高。
(4)针对缺陷的执法权
NHTSA发布了一份与安全缺陷和新型汽车技术相关的《执行指南公告》。根据该公告,针对某一类型的先进技术,不论是否存在适用的联邦机动车安全标准,对于新技术相关的安全问题,NHTSA均有权作出回应,其方式可与NHTSA回应现有技术相关安全问题的方式相同。因此,NHTSA有权认定是否存在具有不合理安全风险的缺陷,也有权要求汽车制造商予以召回。
4. 未来可能的监管权力及工具
《政策》除澄清了现有监管工具如何适用于高度自动化汽车的新技术,还探讨了为促进高度自动化汽车的安全及快速发展,NHTSA未来可能采取的新监管方式和手段。未来可能被赋予的监管权力包括:
(1) 上市前安全保证
具体方式例如,汽车制造商或其他机构向美国交通运输部报告车辆上市前的测试、数据和相关分析(比如前述性能指引中所述的安全评估),以确保汽车制造商及其他相关机构的设计、制造和测试程序符合NHTSA的性能指引、行业内的最佳实践等。
(2) 上市前的审批权
上市前审批权尽管常用于其他政府机关(如美国联邦航空管理局),但目前尚未用于NHTSA对于机动车的监管。顾名思义,上市前审批权即NHTSA对每一车型在上市之前进行检测,以确定其符合所有适用标准,否则不得上市销售。
对于这一未来可能的监管权力,《政策》讨论了两种可能的方案:
上市前审批权完全替代现行的“自行认证”制度;
自行认证和审批程序的混合机制,例如,由高度自动化汽车制造商自行认证车辆是否符合美国联邦机动车安全标准,而NHTSA(或其指定的第三方专业机构)仅对美国联邦机动车安全标准中未予覆盖的高度自动化汽车性能行使审批权。
(3) 签发禁制令的权力
若经过测试、检查等程序,NHTSA发现存在迫在眉睫的风险,其可以立刻向汽车制造商发布禁制令,明确其应当采取的用以消除紧急状况
的限制性或者禁止性措施。
(4) 针对高度自动化汽车扩大豁免权限
目前NHTSA的豁免权限对于被豁免车辆的数量和时间的严格限制,可能导致汽车制造商、政府等难以收集足够数据,在此意义上不利于提高高度自动化汽车的安全性。未来可以考虑,在确保整体安全水平的前提下,将NHTSA对单个汽车制造商的豁免权限扩大至每年5000辆,豁免时间延长至五年。
(5) 对售后软件更新的监管权
高度自动化汽车售出之后,汽车制造商及其他机构对其所做的软件更新可能会实质性影响相关车辆的性能。此类更新可能会触发重新认证,或者在导致不合理安全风险的情况下,还应触发NHTSA的缺陷召回权。
在前述可能的新监管权力之外,《政策》亦讨论了变量测试程序、性能和系统安全监管、常规性评估(以不断完善各项标准)、要求汽车制造商进行数据记录与汇报、加强事故数据收集等未来可能采取的新监管工具。
