劉法旺 李艷文 李國(guó)俊 李京泰 張微
(工業(yè)和信息化部裝備工業(yè)發(fā)展中心,北京100846)
主題詞:智能網(wǎng)聯(lián)汽車 準(zhǔn)入管理 軟件升級(jí) 網(wǎng)絡(luò)安全
縮略語
ICV Intelligent and Connected Vehicle GRRF Working Party on Braking and Running Gear ITS/AD Intelligent Transportation Systems/Automated Driving GRVA Working Party on Automated/Autonomous and Connected Vehicles ODD Operational Design Domain ODC Operational Design Condition ALKS Automatic Line Keeping System
DSSAD Data Storage System for Automated Driving SOTIF Safety Of The Intended Functionality OTA Over-The-Air Technology
汽車產(chǎn)業(yè)是我國(guó)國(guó)民經(jīng)濟(jì)的重要支柱產(chǎn)業(yè),據(jù)國(guó)家統(tǒng)計(jì)局?jǐn)?shù)據(jù),2020年我國(guó)汽車制造業(yè)整體營(yíng)收8.15萬億元,帶來的稅收、就業(yè)、零售額均占全國(guó)相應(yīng)總量的10%以上[1-2]。在以人工智能、5G通信為代表的科技革命與產(chǎn)業(yè)變革的推動(dòng)下,汽車作為新技術(shù)應(yīng)用的優(yōu)質(zhì)載體,正在加速智能化、網(wǎng)聯(lián)化發(fā)展進(jìn)程。各類前沿技術(shù)、新興業(yè)態(tài)“交相輝映、彼此賦能”,進(jìn)一步催生了汽車產(chǎn)業(yè)結(jié)構(gòu)、產(chǎn)業(yè)價(jià)值鏈、產(chǎn)品形態(tài)、消費(fèi)模式、出行方式等方面的系統(tǒng)性變革,智能網(wǎng)聯(lián)汽車已經(jīng)成為全球汽車產(chǎn)業(yè)發(fā)展的戰(zhàn)略方向[3-5]。
當(dāng)前,智能網(wǎng)聯(lián)汽車處于技術(shù)快速演進(jìn)、產(chǎn)業(yè)加速布局的商業(yè)化前期階段。L2 級(jí)輔助駕駛功能已開始規(guī)模化應(yīng)用,L3、L4 級(jí)自動(dòng)駕駛的產(chǎn)業(yè)化成為各大企業(yè)的瞄準(zhǔn)目標(biāo)。國(guó)際上,Waymo、Uber、Lyft 積極推進(jìn)Robotaxi 測(cè)試驗(yàn)證,正在由道路測(cè)試向商業(yè)化示范運(yùn)營(yíng)推進(jìn),歐洲、美國(guó)干線物流自動(dòng)駕駛已經(jīng)進(jìn)入了商業(yè)試運(yùn)營(yíng)階段。國(guó)內(nèi)的港口、礦區(qū)等限定場(chǎng)景率先開展試點(diǎn)運(yùn)營(yíng),Robotaxi、干線物流等開放道路測(cè)試與示范應(yīng)用蓬勃發(fā)展。
智能網(wǎng)聯(lián)汽車準(zhǔn)入管理是一項(xiàng)復(fù)雜的系統(tǒng)工程,安全形勢(shì)更加嚴(yán)峻,在法規(guī)、標(biāo)準(zhǔn)等方面面臨著新的挑戰(zhàn)。此外,由于產(chǎn)業(yè)變革和跨界融合,相關(guān)行業(yè)主管部門的職能面臨進(jìn)一步協(xié)調(diào)分工。
本文聚焦研究歐美日智能網(wǎng)聯(lián)汽車準(zhǔn)入管理政策、法規(guī)和標(biāo)準(zhǔn)進(jìn)展,剖析智能網(wǎng)聯(lián)汽車準(zhǔn)入管理面臨的問題,提出應(yīng)對(duì)的建議。
歐美日等汽車大國(guó)、強(qiáng)國(guó)紛紛加速制定智能網(wǎng)聯(lián)汽車政策法規(guī)及標(biāo)準(zhǔn),加強(qiáng)頂層設(shè)計(jì)。2020年11月,日本在全球第一個(gè)正式批準(zhǔn)了具有L3級(jí)功能的車型本田“里程”。2021年1月,美國(guó)發(fā)布《自動(dòng)駕駛汽車綜合計(jì)劃》,擬構(gòu)建現(xiàn)代化的監(jiān)管環(huán)境,開發(fā)以安全為重點(diǎn)的框架和工具,評(píng)估自動(dòng)駕駛技術(shù)的安全性。2021年2月,德國(guó)通過《“道路交通法”和“強(qiáng)制保險(xiǎn)法”修正案—自動(dòng)駕駛法》,計(jì)劃年中生效,屆時(shí)智能網(wǎng)聯(lián)汽車(L4 級(jí))可在公共道路交通的固定運(yùn)營(yíng)區(qū)域內(nèi)行駛。
通過分析歐美日智能網(wǎng)聯(lián)汽車準(zhǔn)入管理的進(jìn)展及趨勢(shì),總結(jié)其具有以下4個(gè)主要特點(diǎn)。
為協(xié)調(diào)推進(jìn)智能網(wǎng)聯(lián)汽車技術(shù)法規(guī)體系建設(shè),聯(lián)合國(guó)世界車輛法規(guī)協(xié)調(diào)論壇(WP.29)在制動(dòng)與行駛系工作組(GRRF)的基礎(chǔ)上,整合智能交通/自動(dòng)駕駛(ITS/AD)非正式工作組,專門成立了智能網(wǎng)聯(lián)汽車工作組(GRVA)。GRVA工作組負(fù)責(zé)統(tǒng)籌開展聯(lián)合國(guó)有關(guān)智能網(wǎng)聯(lián)汽車法規(guī)的協(xié)調(diào)任務(wù),重點(diǎn)保障自動(dòng)化車輛的安全水平,確保智能網(wǎng)聯(lián)汽車行駛安全,以免遭受任何不可承受的風(fēng)險(xiǎn);確保在其設(shè)計(jì)運(yùn)行范圍(ODD)下,智能網(wǎng)聯(lián)汽車不能導(dǎo)致任何可預(yù)見和可預(yù)防的傷亡交通事故。
GRVA 首先發(fā)布了框架法規(guī)文件,提出總體要求。2019年6月,在日內(nèi)瓦舉行的聯(lián)合國(guó)WP.29 第178 次全體會(huì)議上,審議通過了中國(guó)、歐盟、日本和美國(guó)共同提出的《自動(dòng)駕駛汽車框架文件》(Framework document on automated/autonomous vehicles(level 3 and higher),旨在確立具備L3及更高級(jí)別功能的智能網(wǎng)聯(lián)汽車的安全性相關(guān)原則,并為WP.29附屬工作組提供工作指導(dǎo)。框架文件中對(duì)系統(tǒng)安全、失效保護(hù)響應(yīng)、人機(jī)交互界面/操作者信息、事件數(shù)據(jù)記錄和自動(dòng)駕駛數(shù)據(jù)存儲(chǔ)、消費(fèi)者教育培訓(xùn)、碰撞后智能網(wǎng)聯(lián)汽車行為等13項(xiàng)內(nèi)容進(jìn)行了明確和闡述[6]。
歐美日積極參與WP.29研討,并發(fā)布了相應(yīng)的準(zhǔn)入指南。日本發(fā)布了《自動(dòng)駕駛安全技術(shù)指南》[7],歐盟發(fā)布了《自動(dòng)駕駛車輛豁免程序指南》[8],適用范圍均是具備L3和L4級(jí)功能的智能網(wǎng)聯(lián)汽車。針對(duì)搭載L3~L5級(jí)功能的車輛,美國(guó)發(fā)布了《自動(dòng)駕駛系統(tǒng)2.0:安全愿景》[9],提出了12 項(xiàng)安全要素要求。
《自動(dòng)駕駛汽車框架文件》將安全作為核心關(guān)注點(diǎn),強(qiáng)調(diào)“自動(dòng)/無人駕駛汽車要確保安全水平達(dá)到‘自動(dòng)/無人駕駛汽車不會(huì)造成任何不可忍受的風(fēng)險(xiǎn)’,這就意味著在其自動(dòng)模式下,自動(dòng)/無人駕駛汽車系統(tǒng)不應(yīng)造成可以合理預(yù)見和預(yù)防的傷害或死亡的交通事故發(fā)生”?;诖嗽瓌t,GRVA提出了基于“多支柱法”的自動(dòng)駕駛安全驗(yàn)證框架,融合審核評(píng)估、模擬仿真測(cè)試、封閉場(chǎng)地測(cè)試、實(shí)際道路測(cè)試、在線監(jiān)測(cè)報(bào)告等措施(圖1)[10-11]?!岸嘀еā本劢怪悄芫W(wǎng)聯(lián)汽車安全,由傳統(tǒng)的產(chǎn)品測(cè)試擴(kuò)展到過程安全評(píng)估、多層級(jí)測(cè)試等驗(yàn)證方式。
“多支柱法”的核心是構(gòu)建了安全測(cè)評(píng)框架,以安全要求為主線,通過過程審核、多層級(jí)測(cè)試等進(jìn)行綜合評(píng)價(jià)。傳統(tǒng)的手段無法窮盡自動(dòng)駕駛場(chǎng)景驗(yàn)證,通過多支柱法,在封閉場(chǎng)地測(cè)試和實(shí)際道路測(cè)試場(chǎng)景有限的前提下,綜合過程審核和模擬仿真測(cè)試,保障自動(dòng)駕駛安全性。
基于框架文件,GRVA發(fā)布了3項(xiàng)法規(guī)。2020年6月24日,WP.29第181 次全體會(huì)議以網(wǎng)絡(luò)會(huì)議形式召開,審議通過了自動(dòng)車道保持系統(tǒng)(ALKS)、網(wǎng)絡(luò)安全(Cybersecurity)和軟件升級(jí)(Software Updates)3 項(xiàng)智能網(wǎng)聯(lián)汽車領(lǐng)域的法規(guī),生效日期是2021年1月[12-14]。3項(xiàng)法規(guī)是該領(lǐng)域首批國(guó)際統(tǒng)一和具有約束力的技術(shù)法規(guī),對(duì)于全球范圍內(nèi)智能網(wǎng)聯(lián)汽車的技術(shù)發(fā)展和產(chǎn)業(yè)規(guī)范具有里程碑式的意義。
圖1 UNECE“多支柱法”框架[10]
ALKS 法規(guī)是針對(duì)L3 級(jí)駕駛自動(dòng)化功能的第一個(gè)具有約束力的國(guó)際法規(guī),該法規(guī)規(guī)定ALKS 在具備物理隔離且無行人及兩輪車的道路上行駛,運(yùn)行速度不應(yīng)高于60 km/h。該法規(guī)以聯(lián)合國(guó)《自動(dòng)駕駛框架文件》為指導(dǎo),從系統(tǒng)安全、故障安全響應(yīng)、人機(jī)界面、自動(dòng)駕駛數(shù)據(jù)存儲(chǔ)系統(tǒng)(DSSAD)、網(wǎng)絡(luò)安全及軟件升級(jí)等方面對(duì)ALKS 提出要求。其中,“系統(tǒng)安全”要求系統(tǒng)在激活后可以執(zhí)行全部動(dòng)態(tài)駕駛?cè)蝿?wù);“故障安全響應(yīng)”要求系統(tǒng)具備駕駛權(quán)轉(zhuǎn)換、碰撞應(yīng)急策略和最小風(fēng)險(xiǎn)策略;“人機(jī)界面”規(guī)定系統(tǒng)的激活和退出條件,并明確系統(tǒng)的應(yīng)提示信息及形式;“DSSAD”要求應(yīng)記錄系統(tǒng)的駕駛狀態(tài)。
ALKS 法規(guī)在“多支柱法”框架下提出限定功能、限定場(chǎng)景的技術(shù)要求,在法規(guī)制定方面邁出了第一小步。其重要意義如下。
(1)限定場(chǎng)景的功能相對(duì)簡(jiǎn)單,測(cè)試驗(yàn)證覆蓋難度相對(duì)較低,風(fēng)險(xiǎn)更為可控;
(2)保留了下一步拓展的空間,通過技術(shù)持續(xù)迭代和測(cè)試,促進(jìn)法規(guī)更新和完善。
國(guó)際標(biāo)準(zhǔn)化組織道路車輛技術(shù)委員會(huì)(ISO/TC 22)負(fù)責(zé)道路車輛的標(biāo)準(zhǔn)化工作,主要包括車輛通訊(SC 31)、車輛電氣電子部件及通用系統(tǒng)(SC 32)、車輛動(dòng)力學(xué)及底盤部件(SC 33)等11 個(gè)分委會(huì)。其中,SC 32 分委會(huì)已經(jīng)發(fā)布了ISO 26262:2018 道路車輛功能安全標(biāo)準(zhǔn)[15],并積極推動(dòng)ISO 21448 預(yù)期功能安全標(biāo)準(zhǔn)[16]以及ISO/SAE 21434 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)[17]的制定,SC 33分委會(huì)在推動(dòng)自動(dòng)駕駛測(cè)試場(chǎng)景等相關(guān)標(biāo)準(zhǔn)的制定。此外,國(guó)際標(biāo)準(zhǔn)化組織智能運(yùn)輸系統(tǒng)技術(shù)委員會(huì)(ISO/TC 204)負(fù)責(zé)城郊地面運(yùn)輸信息、通信和控制系統(tǒng)的標(biāo)準(zhǔn)制定。
ISO 26262:2018《道路車輛功能安全》標(biāo)準(zhǔn)涵蓋功能安全方面的整體開發(fā)過程(包括需求規(guī)劃、設(shè)計(jì)、實(shí)施、集成、驗(yàn)證、確認(rèn)和配置),為智能網(wǎng)聯(lián)汽車功能安全開發(fā)提供了指導(dǎo)方針。ISO/SAE 21434《道路車輛網(wǎng)絡(luò)安全工程》標(biāo)準(zhǔn)參考V 模型開發(fā)流程,主要從風(fēng)險(xiǎn)評(píng)估管理、產(chǎn)品開發(fā)、運(yùn)行/維護(hù)、流程審核等4個(gè)方面來保障汽車網(wǎng)絡(luò)安全工程實(shí)施。ISO 21448預(yù)期功能安全標(biāo)準(zhǔn)是對(duì)ISO 26262 功能安全的補(bǔ)充,旨在避免因智能網(wǎng)聯(lián)汽車整車及系統(tǒng)的預(yù)期功能局限所引起的不合理風(fēng)險(xiǎn)。通過基于對(duì)已知不安全場(chǎng)景和未知不安全場(chǎng)景的預(yù)期功能安全驗(yàn)證和確認(rèn),探測(cè)和發(fā)現(xiàn)整車及系統(tǒng)組件中的功能不足并進(jìn)行改進(jìn),使智能網(wǎng)聯(lián)汽車達(dá)到合理安全水平。
在研究歐美日智能網(wǎng)聯(lián)汽車政策法規(guī)、標(biāo)準(zhǔn)進(jìn)展的基礎(chǔ)上,進(jìn)一步分析智能網(wǎng)聯(lián)汽車準(zhǔn)入管理面臨的難題。
如圖2所示,智能網(wǎng)聯(lián)汽車面臨2個(gè)主要變化。
圖2 智能網(wǎng)聯(lián)汽車準(zhǔn)入管理挑戰(zhàn)
(1)L3 級(jí)及以上功能,駕駛?cè)蝿?wù)部分或全部由駕駛自動(dòng)化系統(tǒng)承擔(dān),用戶(駕駛員)提供必要的協(xié)助和輔助,責(zé)任主體會(huì)發(fā)生變化,汽車產(chǎn)品安全相關(guān)的基本特征、技術(shù)參數(shù)尚不明確。
(2)軟件升級(jí)則有可能會(huì)影響智能網(wǎng)聯(lián)汽車產(chǎn)品一致性管理。
自動(dòng)駕駛安全問題更加復(fù)雜,駕駛權(quán)轉(zhuǎn)移引發(fā)責(zé)任主體變化,產(chǎn)生了責(zé)任判定問題;軟件升級(jí)加劇了網(wǎng)絡(luò)安全和產(chǎn)品一致性管理難題;標(biāo)準(zhǔn)支撐則是影響智能網(wǎng)聯(lián)汽車行業(yè)管理的共性難題。從智能網(wǎng)聯(lián)汽車準(zhǔn)入管理的視角,共識(shí)別出自動(dòng)駕駛安全、責(zé)任判定、軟件升級(jí)、網(wǎng)絡(luò)安全和標(biāo)準(zhǔn)支撐等5個(gè)挑戰(zhàn)。
5 個(gè)挑戰(zhàn)之間又相互關(guān)聯(lián),如軟件升級(jí)也涉及自動(dòng)駕駛安全和網(wǎng)絡(luò)安全問題,網(wǎng)絡(luò)安全也會(huì)引發(fā)自動(dòng)駕駛安全等問題,標(biāo)準(zhǔn)支撐則與其他4個(gè)挑戰(zhàn)難題直接相關(guān)。
自動(dòng)駕駛強(qiáng)化了功能安全和網(wǎng)絡(luò)安全的管理需求,并提出了預(yù)期功能安全管理需求[18]。人機(jī)共駕等應(yīng)用場(chǎng)景的復(fù)雜性和功能的多樣性,增加了功能安全設(shè)計(jì)和驗(yàn)證確認(rèn)的工作量,提高了對(duì)自動(dòng)駕駛殘余風(fēng)險(xiǎn)可接受水平的判定難度。網(wǎng)聯(lián)化需要建立具備縱深防御、長(zhǎng)期監(jiān)控的網(wǎng)絡(luò)安全防護(hù)體系,延伸到車邊界網(wǎng)絡(luò)防護(hù)、車內(nèi)處理器全棧防護(hù)、內(nèi)外網(wǎng)傳輸保護(hù)、車輛安全服務(wù)生態(tài)等諸多方面[19]。針對(duì)自動(dòng)駕駛由于預(yù)期功能的設(shè)計(jì)或其實(shí)現(xiàn)過程的不充分而導(dǎo)致危害、產(chǎn)生不合理的風(fēng)險(xiǎn),提出了對(duì)預(yù)期功能安全的要求。
內(nèi)涵和外延的演變,對(duì)如何評(píng)價(jià)自動(dòng)駕駛達(dá)到完全安全提出了挑戰(zhàn)。德國(guó)倫理委員會(huì)建議,自動(dòng)駕駛應(yīng)實(shí)現(xiàn)“與人類駕駛水平相比的正風(fēng)險(xiǎn)平衡”的目標(biāo)[20];《自動(dòng)駕駛汽車框架文件》則要求自動(dòng)駕駛應(yīng)避免不合理的安全風(fēng)險(xiǎn)。這些都是原則要求,如何測(cè)試、驗(yàn)證并進(jìn)行有效的統(tǒng)計(jì)分析,是面臨的難題。
對(duì)搭載L3 級(jí)及以上功能的智能網(wǎng)聯(lián)汽車,駕駛權(quán)發(fā)生轉(zhuǎn)移,安全風(fēng)險(xiǎn)更加突出,測(cè)試、驗(yàn)證、評(píng)價(jià)自動(dòng)駕駛的安全性更加困難,主要表現(xiàn)在以下3個(gè)方面。
(1)駕駛自動(dòng)化系統(tǒng)及應(yīng)用場(chǎng)景復(fù)雜,為確保駕駛自動(dòng)化系統(tǒng)本身具有安全執(zhí)行駕駛功能的能力,需要進(jìn)行大量的應(yīng)用場(chǎng)景測(cè)試,尤其是要考慮未知場(chǎng)景驗(yàn)證。
(2)自動(dòng)駕駛高度依賴人工智能和深度學(xué)習(xí),存在不可解釋性,面臨“黑箱”難題,需要開展大規(guī)模試驗(yàn)驗(yàn)證。據(jù)美國(guó)蘭德公司(RAND)分析,證明自動(dòng)駕駛安全性,需要安全駕駛110 億英里(176 億km),同時(shí)保證場(chǎng)景的多樣性和覆蓋度[21-21];實(shí)際道路測(cè)試通??梢苑e累到幾百萬公里,但也只能驗(yàn)證部分場(chǎng)景,大量剩余的長(zhǎng)尾場(chǎng)景無法完全通過實(shí)際道路測(cè)試實(shí)現(xiàn)。
(3)功能、部件安全并不代表整車系統(tǒng)安全,測(cè)試驗(yàn)證評(píng)價(jià)自動(dòng)駕駛的安全性是一項(xiàng)復(fù)雜的系統(tǒng)工程,尚有不少理論和技術(shù)問題有待進(jìn)一步深入研究。
具備L3 和L4 級(jí)功能的智能網(wǎng)聯(lián)汽車,涉及到駕駛權(quán)轉(zhuǎn)移,應(yīng)用場(chǎng)景更加復(fù)雜。L3 級(jí)駕駛自動(dòng)化又稱為有條件自動(dòng)駕駛,是指駕駛自動(dòng)化系統(tǒng)在其設(shè)計(jì)運(yùn)行條件(ODC)內(nèi)持續(xù)地執(zhí)行全部動(dòng)態(tài)駕駛?cè)蝿?wù);對(duì)于L3 級(jí)駕駛自動(dòng)化,動(dòng)態(tài)駕駛?cè)蝿?wù)接管用戶應(yīng)以適當(dāng)?shù)姆绞綀?zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)接管。L4 級(jí)駕駛自動(dòng)化又稱為高度自動(dòng)駕駛,是指駕駛自動(dòng)化系統(tǒng)在其ODC內(nèi)持續(xù)地執(zhí)行全部動(dòng)態(tài)駕駛?cè)蝿?wù)和執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)接管;對(duì)于L4 級(jí)駕駛自動(dòng)化,系統(tǒng)發(fā)出接管請(qǐng)求時(shí),若乘客無響應(yīng),系統(tǒng)應(yīng)具備自動(dòng)達(dá)到最小風(fēng)險(xiǎn)狀態(tài)的能力。
在涉及駕駛權(quán)轉(zhuǎn)移的應(yīng)用場(chǎng)景下[23],如何進(jìn)行事故責(zé)任判定成為一個(gè)重要課題。國(guó)內(nèi)外自動(dòng)駕駛數(shù)據(jù)存儲(chǔ)系統(tǒng)(DSSAD)法規(guī)和標(biāo)準(zhǔn)還處于研究階段,自動(dòng)駕駛數(shù)據(jù)記錄的觸發(fā)條件、數(shù)據(jù)記錄類型、數(shù)據(jù)傳輸?shù)瘸蔀榻裹c(diǎn)討論問題。數(shù)據(jù)記錄、自動(dòng)駕駛復(fù)雜應(yīng)用場(chǎng)景以及駕駛權(quán)頻繁轉(zhuǎn)移都對(duì)責(zé)任判定提出了挑戰(zhàn)。
2020年5月,特斯拉針對(duì)Model3 推出付費(fèi)加速升級(jí)服務(wù)。2020年12月,寶馬對(duì)全球75萬輛汽車OTA 升級(jí),涉及底盤、動(dòng)力等模塊。軟件升級(jí)廣泛應(yīng)用且升級(jí)頻次日益頻繁,車輛功能持續(xù)迭代更新,產(chǎn)品一致性管理面臨挑戰(zhàn),亟需完善準(zhǔn)入審查及監(jiān)督管理方式。
在軟件定義汽車的大趨勢(shì)下,軟件質(zhì)量審核、測(cè)試驗(yàn)證、發(fā)布流程等要求的規(guī)范性將成為影響汽車產(chǎn)品質(zhì)量、安全性、可靠性的重要因素。軟件升級(jí)技術(shù)加速普及和應(yīng)用,對(duì)準(zhǔn)入審查、監(jiān)督管理方式提出新的挑戰(zhàn)。
(1)軟件升級(jí)可能帶來產(chǎn)品一致性問題。軟件升級(jí)后導(dǎo)致實(shí)際生產(chǎn)銷售的智能網(wǎng)聯(lián)汽車產(chǎn)品有關(guān)技術(shù)參數(shù)、配置和性能指標(biāo),與型式批準(zhǔn)的車輛產(chǎn)品相關(guān)技術(shù)參數(shù)、配置和性能指標(biāo)不一致,對(duì)一致性監(jiān)督管理造成沖擊。
(2)軟件升級(jí)可能改變產(chǎn)品安全、環(huán)保、節(jié)能、防盜等性能,出現(xiàn)升級(jí)后車輛不符合現(xiàn)有法規(guī)、標(biāo)準(zhǔn)及技術(shù)要求等問題,造成產(chǎn)品重大安全隱患,引發(fā)產(chǎn)品合規(guī)性風(fēng)險(xiǎn)。
隨著車載系統(tǒng)的數(shù)量和復(fù)雜性不斷增加,對(duì)網(wǎng)絡(luò)安全的需求正在迅速增長(zhǎng)。汽車與制造商之間的通信(如OTA,監(jiān)測(cè)等),車車通信(V2V),汽車與基礎(chǔ)設(shè)施之間的通信(V2I),以及與第三方供應(yīng)商的智能手機(jī)和設(shè)備進(jìn)行通信,新的業(yè)務(wù)服務(wù)模式將對(duì)智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全管理提出新要求。
隨著V2X 技術(shù)的普及應(yīng)用,周邊車輛、基礎(chǔ)設(shè)施等協(xié)同工作,甚至參與感知、決策和控制,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)更加凸顯。周邊終端、云端等可能參與感知、決策、甚至控制,也將面臨責(zé)任劃分問題。
同時(shí),智能網(wǎng)汽車可以采集車輛數(shù)據(jù)、用戶數(shù)據(jù)、地圖數(shù)據(jù)、位置數(shù)據(jù)、路況數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等數(shù)據(jù)信息,并能夠?qū)⒑A繑?shù)據(jù)發(fā)送到云端,也會(huì)產(chǎn)生數(shù)據(jù)安全、個(gè)人信息保護(hù)等問題。
自動(dòng)駕駛技術(shù)的快速演進(jìn),給標(biāo)準(zhǔn)制定造成了2個(gè)難題。
(1)制定具體的功能標(biāo)準(zhǔn)變得更加困難,功能邊界更加多變,安全要求更高;
(2)缺乏足夠的試驗(yàn)數(shù)據(jù),難以量化參數(shù)要求和支撐制定相關(guān)的性能標(biāo)準(zhǔn)。智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)蓬勃發(fā)展,安全隱患也進(jìn)一步增大,行業(yè)管理需求更加迫切,而支撐行業(yè)管理的標(biāo)準(zhǔn)制定相對(duì)滯后,對(duì)智能網(wǎng)聯(lián)汽車準(zhǔn)入管理也會(huì)帶來困擾。
目前,以功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全為代表的系統(tǒng)工程標(biāo)準(zhǔn)[24]被廣泛引用到GRVA法規(guī)。
(1)提出了安全生命周期的概念,涉及到產(chǎn)品過程審核要求,對(duì)傳統(tǒng)準(zhǔn)入管理提出了修訂需求;
(2)界定了框架安全,對(duì)智能網(wǎng)聯(lián)汽車產(chǎn)品提出了系統(tǒng)安全的評(píng)價(jià)概念,確保了安全的充分性,但缺乏智能網(wǎng)聯(lián)汽車量化技術(shù)參數(shù),對(duì)行業(yè)管理提出了難題。
參照聯(lián)合國(guó)以及歐美日智能網(wǎng)聯(lián)汽車準(zhǔn)入管理的進(jìn)展,結(jié)合我國(guó)國(guó)情,對(duì)智能網(wǎng)聯(lián)汽車準(zhǔn)入面臨的挑戰(zhàn)提出如下應(yīng)對(duì)思考和建議。
智能網(wǎng)聯(lián)汽車發(fā)展需要國(guó)家頂層政策的指導(dǎo)和規(guī)劃設(shè)計(jì)。
(1)智能網(wǎng)聯(lián)汽車涉及駕駛權(quán)轉(zhuǎn)移問題,引發(fā)一系列法規(guī)、標(biāo)準(zhǔn)、保險(xiǎn)、商業(yè)模式、倫理道德等領(lǐng)域的挑戰(zhàn),需要國(guó)家層面的整體布局。
(2)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)覆蓋面廣、技術(shù)交叉強(qiáng),涉及與能源、環(huán)境、通信、交通等領(lǐng)域的協(xié)同,具備本地屬性和跨領(lǐng)域、跨部門監(jiān)管的特點(diǎn),也需要國(guó)家層面進(jìn)行頂層規(guī)劃和工作協(xié)同。
建議部門間形成合力,積極推動(dòng)形成跨部門協(xié)同管理機(jī)制,明確包容審慎監(jiān)管原則,堅(jiān)持依法監(jiān)管、底線監(jiān)管、創(chuàng)新監(jiān)管的理念。處理好發(fā)展與安全之間的關(guān)系,盡快推動(dòng)適用于智能網(wǎng)聯(lián)汽車的法律法規(guī)制修訂工作。
建議延續(xù)企業(yè)準(zhǔn)入、產(chǎn)品準(zhǔn)入、產(chǎn)品生產(chǎn)一致性監(jiān)督管理等管理框架,參考國(guó)際經(jīng)驗(yàn),進(jìn)一步強(qiáng)化企業(yè)主體責(zé)任,針對(duì)智能網(wǎng)聯(lián),尤其是自動(dòng)駕駛,有針對(duì)性地加強(qiáng)企業(yè)安全保障、產(chǎn)品過程保障、產(chǎn)品測(cè)試驗(yàn)證等要求,逐步探索建立適用于我國(guó)的智能網(wǎng)聯(lián)汽車準(zhǔn)入管理辦法。
我國(guó)智能網(wǎng)聯(lián)汽車道路測(cè)試和示范應(yīng)用已具備一定基礎(chǔ),但對(duì)行業(yè)管理和產(chǎn)業(yè)發(fā)展的支撐作用并未充分發(fā)揮出來。對(duì)于高等級(jí)自動(dòng)駕駛功能而言,其主要技術(shù)特征是基于場(chǎng)景和人工智能(AI),需要針對(duì)其設(shè)計(jì)運(yùn)行范圍(ODD)持續(xù)進(jìn)行訓(xùn)練和優(yōu)化;對(duì)于高等級(jí)自動(dòng)駕駛管理而言,其難點(diǎn)在于相關(guān)產(chǎn)品和技術(shù)仍在迭代,管理經(jīng)驗(yàn)和數(shù)據(jù)積累不足,安全責(zé)任邊界難以界定,管理尺度難以拿捏。基于此提出如下3點(diǎn)建議。
(1)進(jìn)一步擴(kuò)大范圍,開展規(guī)模化智能網(wǎng)聯(lián)汽車測(cè)試驗(yàn)證及示范應(yīng)用,支撐準(zhǔn)入管理政策法規(guī)和標(biāo)準(zhǔn)規(guī)范編制,探索商業(yè)模式。
(2)推動(dòng)基于數(shù)據(jù)平臺(tái)認(rèn)可的測(cè)試結(jié)果互認(rèn)和數(shù)據(jù)共享,推動(dòng)不同地區(qū)測(cè)試相關(guān)標(biāo)準(zhǔn)和管理辦法統(tǒng)一。
(3)研究建立符合中國(guó)特色的智能網(wǎng)聯(lián)汽車測(cè)試評(píng)價(jià)體系。
聯(lián)合國(guó)自動(dòng)駕駛法規(guī)、歐美日智能網(wǎng)聯(lián)汽車管理政策均是以L3級(jí)為限界,制定或出臺(tái)相關(guān)法規(guī)、指南或框架要求。其本質(zhì)原因在于L3級(jí)及以上功能的智能網(wǎng)聯(lián)汽車涉及到駕駛權(quán)轉(zhuǎn)移,安全要求更高,應(yīng)用場(chǎng)景更加復(fù)雜。
參照聯(lián)合國(guó)自動(dòng)駕駛法規(guī)要求,基于“多支柱法”進(jìn)行測(cè)試驗(yàn)證和統(tǒng)計(jì)證明。通過模擬仿真測(cè)試、封閉場(chǎng)地測(cè)試、實(shí)際道路測(cè)試等驗(yàn)證系統(tǒng)安全,對(duì)系統(tǒng)運(yùn)行安全性進(jìn)行全面監(jiān)測(cè),量化并評(píng)估以前未考慮的情景,提高驗(yàn)證的置信度。
加快推動(dòng)汽車軟件升級(jí)相關(guān)標(biāo)準(zhǔn)與規(guī)范制定,明確軟件升級(jí)相關(guān)功能要求、安全要求及測(cè)試規(guī)范,保障軟件升級(jí)質(zhì)量。加快軟件升級(jí)分類體系與判定技術(shù)條件研制,完善軟件升級(jí)安全評(píng)估與測(cè)試體系。
開展軟件升級(jí)安全監(jiān)管技術(shù)研究和安全監(jiān)管平臺(tái)試點(diǎn)。支持企業(yè)穩(wěn)步發(fā)展,保護(hù)消費(fèi)者權(quán)益,引導(dǎo)企業(yè)從框架性、整體性的角度來考慮,包括基礎(chǔ)設(shè)施安全、流程上的規(guī)范等方面,探索建立軟件升級(jí)監(jiān)管數(shù)據(jù)平臺(tái),組織開展監(jiān)管技術(shù)研究,細(xì)化企業(yè)保障能力要求和軟件升級(jí)功能測(cè)試要求,加強(qiáng)軟件升級(jí)監(jiān)督管理工作。
網(wǎng)絡(luò)安全涉及面寬、相關(guān)管理機(jī)構(gòu)多,建議進(jìn)一步梳理明確政府、行業(yè)、企業(yè)職責(zé)定位和責(zé)任劃分。對(duì)車端的網(wǎng)絡(luò)安全,從企業(yè)網(wǎng)絡(luò)安全保障、產(chǎn)品網(wǎng)絡(luò)安全過程保障、產(chǎn)品網(wǎng)絡(luò)安全測(cè)試驗(yàn)證3個(gè)方面提出要求。
數(shù)據(jù)安全方面,建議研究制定智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全相關(guān)的管理、技術(shù)、測(cè)評(píng)等標(biāo)準(zhǔn)規(guī)范。開展數(shù)據(jù)安全標(biāo)準(zhǔn)框架研究,加快數(shù)據(jù)分類、數(shù)據(jù)脫敏、數(shù)據(jù)防泄漏等標(biāo)準(zhǔn)研制。持續(xù)推動(dòng)完善智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全和用戶個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系。
在產(chǎn)業(yè)變革的大背景下,智能網(wǎng)聯(lián)汽車的技術(shù)特征、生產(chǎn)組織方式及服務(wù)體系等都在發(fā)生改變,行業(yè)管理更加復(fù)雜。智能化對(duì)車輛行駛安全、責(zé)任判定等提出更高要求,網(wǎng)聯(lián)化對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)和個(gè)人信息保護(hù)、軟件升級(jí)等提出了新的行業(yè)管理難點(diǎn)。
本文聚焦智能網(wǎng)聯(lián)汽車準(zhǔn)入管理政策研究,梳理聯(lián)合國(guó)自動(dòng)駕駛法規(guī)進(jìn)展及歐美日的準(zhǔn)入管理經(jīng)驗(yàn),分析智能網(wǎng)聯(lián)汽車駕駛權(quán)發(fā)生轉(zhuǎn)移和網(wǎng)聯(lián)化增強(qiáng)后面臨的各種行業(yè)管理挑戰(zhàn),研究提出加強(qiáng)頂層設(shè)計(jì)與戰(zhàn)略協(xié)同、推進(jìn)試點(diǎn)應(yīng)用與測(cè)試、基于“多支柱法”進(jìn)行安全證明、推進(jìn)軟件升級(jí)管理要求、推進(jìn)數(shù)據(jù)安全管理政策標(biāo)準(zhǔn)制定這5個(gè)方面的應(yīng)對(duì)建議。