去年在美國亞利桑那州發(fā)生的自駕車撞人致死事故，讓當(dāng)紅的自動駕駛技術(shù)蒙上陰影。那樁事故在變化快速的科技世界，似乎就像其他舊聞一樣被大多數(shù)人淡忘；但對安全專家──美國卡內(nèi)基美隆大學(xué)（Carnegie Mellon University）副教授、Edge Case Research共同創(chuàng)辦人──Phil Koopman來說，那場悲劇啟發(fā)了新的研究，讓他對那些進行自駕車測試的公司是否設(shè)計了有效的安全測試平臺產(chǎn)生疑問。

提及過往媒體對該意外事故的狂熱報導(dǎo)，以及那些社交媒體上的事后諸葛言論，Koopman特別想問的問題是：我們真的學(xué)到正確的教訓(xùn)了嗎？

他在日前于美國底特律舉行的年度汽車產(chǎn)業(yè)大會SAE WCX （World Congress Experience）上發(fā)表了一篇題為在公開道路進行自駕車測試的安全論據(jù)考慮」（Safety Argument Considerations for Public Road TesTIng of Autonomous Vehicles）的論文，共同作者為Beth Osyk，探討在公開道路上進行自駕車測試是否足夠安全的影響因素；他表示，其目標(biāo)是提供素材，以作為能確保自駕車道路測試項目安全性之穩(wěn)固起點。

無用的事后諸葛言論

雖然在去年Uber自駕車撞人致死事故之后，有不少分析其中問題所在的輿論出現(xiàn)，Koopman指出其中數(shù)個他認(rèn)為「對改善自駕車（AV）測試毫無幫助」的響應(yīng)，包括：

爭論延遲自駕車的實現(xiàn)是不負(fù)責(zé)任而且可能致命（這種論據(jù)來自于堅信「在自駕車技術(shù)完善之前就先布署相關(guān)技術(shù)，終將能拯救更多生命」…）；

討論哪個人有錯（是受害者的錯還是Uber安全駕駛員的錯？）；

試圖找出為何自動駕駛技術(shù)失效。

在談到第三點時，Koopman特別表示：我們都知道今日的自動駕駛車輛不成熟，這也是為什么我們要進行測試；沒有人應(yīng)該對自動駕駛技術(shù)的失效感到驚訝。

建立一個安全案例

雖然模擬、封閉道路測試以及公開道路測試各自的恰當(dāng)比例是一個有爭議的問題，Koopman坦承：在某個時間點，任何自動駕駛車輛會必須要進行某種形式的道路測試?？紤]到這種不可避免性，Koopman認(rèn)為自駕車產(chǎn)業(yè)應(yīng)該要專注在如何最大程度降低其他用路人面臨風(fēng)險的可能性。

在他的論文中強調(diào)，需要以由證據(jù)支持的結(jié)構(gòu)化書面論據(jù)，為自駕車測試操作員建立安全案例（safety case）；范例結(jié)構(gòu)包括：

及時的監(jiān)督者回應(yīng)（TImely supervisor responses）；

充分的監(jiān)督放寬（Adequate supervisor miTIgaTIon）；

恰當(dāng)?shù)淖詣玉{駛失效概略（An appropriate autonomy failure profile）。

Koopman表示，對自駕車業(yè)者來說，收集自動駕駛測試車輛的道路上表現(xiàn)資料至關(guān)重要；原因有數(shù)個，包括人類保持警覺性的時間有限──從15到30分鐘，還有監(jiān)督者中輟──當(dāng)安全觀察員因為不安全事件幾乎沒有發(fā)生而感到無聊時會有這種傾向。而有關(guān)這類資料收集的一個更大問題是：哪些才是正確的數(shù)據(jù)？

解除自駕的迷思

根據(jù)美國加州法令，于該州公開道路執(zhí)行自駕車測試者，需要公開駕駛里程數(shù)以及人類駕駛員被迫取回控制權(quán)的頻率，也就是某個被稱之為解除自駕（disengagement）的危機時刻。

加州車輛管理局（DMV）將解除自駕定義為當(dāng)自動駕駛技術(shù)被偵測到故障時停用自動駕駛模式，或是車輛的安全操作員要求該自駕車的測試駕駛員脫離自動駕駛模式、對車輛采取立即性的手動控制。但Koopman斷然指出：解除自駕是錯誤的安全測試指標(biāo)，因為這傾向于巧妙地鼓勵測試操作員最小化其人為干預(yù)，而這就可能導(dǎo)致不安全的測試。

目前的現(xiàn)實情況是缺乏從自駕車測試產(chǎn)生的可用數(shù)據(jù)；如Koopman在論文中所寫：目前針對自動駕駛車輛測試公布的指標(biāo)，大部份與測試的后勤工作相關(guān)，例如車輛布署數(shù)量、駕駛里程數(shù)。最被廣泛報導(dǎo)的統(tǒng)計資料是所謂的解除自駕報告，這不是建立安全性的充分依據(jù)。

今日之解除自駕數(shù)據(jù)經(jīng)常是由媒體以及自我推銷的自駕車業(yè)者引用，以作為評判自駕車成熟度──通常被視為有如自駕車賽馬──的指標(biāo)。這種方法是有誤導(dǎo)性的，因為任何努力認(rèn)真打造更安全自駕車的工作，解除自駕數(shù)據(jù)必須要是能改善技術(shù)的指標(biāo)，而非用以宣傳在安全競賽中的勝利。Koopman接受EE Times訪問時表示：在測試的早期階段，有越多次解除自駕越好，因為可以藉此判別設(shè)計缺陷。

Koopman表示，解除自駕──無論是全面爆發(fā)的危機或者只是曇花一現(xiàn)──能指向一個機械錯誤或者是人為疏忽；換句話說，你需要將每一個事件、事故或未遂事故，當(dāng)作測試項目安全程序中的一次失敗。除了解決任何表面癥狀，判別并修正所有安全問題的根源非常重要。

各家自駕車業(yè)者的每次解除自駕行駛里程數(shù)。

人為因素

最后，要審慎考慮人為因素。Koopman表示，試想自駕車沿著一個熟悉的路線在一致的駕駛情況下進行測試，隨著時間越長，車上的駕駛員──試圖將誤報自駕解除情況減至最少──將會了解車輛的一般行為，并只會在不尋常事件發(fā)生或是出現(xiàn)明顯、迫切的危險時才進行干預(yù)；而他指出，像這樣的正常情況或許會像人類行為，是存在風(fēng)險的。

監(jiān)督者可能沒有關(guān)于自動駕駛系統(tǒng)內(nèi)部實際上發(fā)生什么的準(zhǔn)確模型，Koopman指出，在這個等式中的人無法診斷系統(tǒng)中的潛在失誤，而那種失誤僅是還沒有被激發(fā)。一點在此刻還未能燎原的星火，可能不會被注意到。

監(jiān)督退化低谷。

簡而言之，讓我們面對現(xiàn)實：人類無法非常妥善地監(jiān)督自動駕駛。

當(dāng)然，假設(shè)受過良好訓(xùn)練的監(jiān)督者只因為被指示要保持警覺就能百分之百專注，是不切實際的。Koopman指出：可靠的安全論據(jù)必須要允許而且放寬監(jiān)督者專注力降低、分心甚至可能在測試中打瞌睡的可能性；如果自動駕駛技術(shù)的設(shè)計沒有留下發(fā)生錯誤的余裕，可以想見會有多么嚴(yán)重的災(zāi)難可能發(fā)生。

回顧去年的Uber事故，輿論應(yīng)該對自駕車業(yè)者提出的問題，不應(yīng)該是關(guān)于Level 4自駕車多快能上市，他們應(yīng)該要求知道那些孜孜不倦的自駕車推廣者能為他們的道路測試，建立多強──或是多弱──的安全案例。