董紅磊，王 琰，肖凌云，樊 杰，高 亞

（1.國家市場監(jiān)督管理總局 缺陷產(chǎn)品管理中心，北京 100088；2.中國汽車工程研究院，重慶 401122）

產(chǎn)品安全是近年來的熱點問題，高質(zhì)量的生活需求使人們不僅關(guān)注產(chǎn)品的便利性，更關(guān)注安全性。以汽車產(chǎn)品為例，2018年全國消費者協(xié)會收到汽車投訴（含零部件）1.9萬件，其中消費者關(guān)心的安全權(quán)占47%。近幾年，我國汽車召回年均220余次，呈常態(tài)化發(fā)展趨勢。截至2019年底，已實施召回1 991次，涉及缺陷車輛7 578.01萬輛。自動駕駛汽車在減少交通事故量、增進特定群體移動、減少環(huán)境污染和舒緩城市擁堵等方面優(yōu)勢突出。電氣和電子工程師協(xié)會（Institute of Electrical and Electronics Engineers，IEEE）預(yù)測，2040年將有75%的車輛采取自動駕駛運行模式。然而，自動駕駛汽車是對人類能力的延展，公眾當(dāng)前普遍的擔(dān)憂仍集中于“安全”這一議題。

安全表征產(chǎn)品的瞬時特征和使用特性，作為一種狀態(tài)是不可度量與比較的。安全性是保障產(chǎn)品使用安全的能力體現(xiàn)，與可靠性、維修性等的概念內(nèi)涵相同，是可度量與比較的?，F(xiàn)代產(chǎn)品不僅需要高可靠性以保證完成規(guī)定任務(wù)，還需要具備高安全性以保證人員、設(shè)備／設(shè)施免受損失或環(huán)境損害。隨著人們認(rèn)識的不斷加深及社會需求的不斷發(fā)展，安全認(rèn)知呈現(xiàn)動態(tài)演變過程。國內(nèi)外學(xué)者結(jié)合各自領(lǐng)域不同類型的安全現(xiàn)象、事故類型及其發(fā)展規(guī)律，闡述不同的安全觀念。產(chǎn)品安全的本質(zhì)是產(chǎn)品所處的風(fēng)險狀態(tài)與社會發(fā)展協(xié)調(diào)同步。本文剖析了產(chǎn)品安全認(rèn)知的演進，探討自動駕駛汽車的安全需求。

1 產(chǎn)品安全認(rèn)知演進

概念是科學(xué)認(rèn)知的主要成果和形式，體現(xiàn)了人們對過去認(rèn)識的歸納和提煉，也是開始新認(rèn)識的邏輯起點。在工業(yè)革命初期，安全概念來自于對“不安全”的致因認(rèn)識。安全就是沒有危險，不觸發(fā)事故。從事故預(yù)防角度，形成了通過減小危險事故發(fā)生的可能性和通過保護來避免有害結(jié)果這兩種安全手段。20世紀(jì)后期，人類邁入“風(fēng)險社會”[1]。產(chǎn)品安全體現(xiàn)出產(chǎn)品所處的風(fēng)險狀態(tài)，當(dāng)風(fēng)險狀態(tài)在人們可接受的水平范圍內(nèi)時，認(rèn)為產(chǎn)品是安全的。風(fēng)險表征產(chǎn)品從安全隱患到觸發(fā)事故到造成后果的各個階段都具有不確定性?；陲L(fēng)險的不確定性特征來定義安全，既可修正追求絕對安全的做法，也可避免“不發(fā)生事故就是安全”的片面認(rèn)識，實現(xiàn)通過風(fēng)險控制來保障系統(tǒng)的協(xié)調(diào)運用。至此形成兩種安全概念認(rèn)知：一是事后型的指向事故，即安全就是不發(fā)生事故的狀態(tài)；二是預(yù)防型的指向風(fēng)險，即安全就是風(fēng)險處于可接受的狀態(tài)。

近年來，人工智能、大數(shù)據(jù)等技術(shù)的應(yīng)用帶來了許多未知的、變化的和不確定的風(fēng)險。為了保障不可預(yù)測擾動下系統(tǒng)的可持續(xù)性，相關(guān)學(xué)者提出韌性安全的概念[2-3]。韌性表征系統(tǒng)應(yīng)對變化或干擾的能力，包括降低風(fēng)險和損失的能力、吸收沖擊和干擾的能力、通過自學(xué)習(xí)和再組織恢復(fù)原來狀態(tài)或達(dá)到新狀態(tài)的能力[4]。MACASKILL等[5]指出，嚴(yán)格統(tǒng)一的定義系統(tǒng)韌性不切實際，需根據(jù)實際應(yīng)用定義符合該領(lǐng)域的韌性。SPERANZA等[6]指出，韌性應(yīng)包括向事故學(xué)習(xí)的能力，即把系統(tǒng)所遭受的風(fēng)險沖擊和擾動視為改變和優(yōu)化系統(tǒng)安全狀態(tài)的條件。美國國土安全部研究指出，韌性是能夠使系統(tǒng)對逆向事件所產(chǎn)生的負(fù)面影響進行抵御、吸收和恢復(fù)的能力，這種能力貫穿于事前、事中和事后全過程。黃浪等[7]利用系統(tǒng)在事前、事中和事后的動態(tài)響應(yīng)，構(gòu)建了系統(tǒng)安全韌性概念框架（圖1）。在 0＜t＜t1時段，系統(tǒng)處于安全狀態(tài)；t1時刻系統(tǒng)遭受風(fēng)險沖擊或擾動，超過系統(tǒng)裕度而使系統(tǒng)處于破壞期（t1＜t＜t3）；t3時刻采取措施使系統(tǒng)進入恢復(fù)期（t3＜t＜t4）；通過系統(tǒng)自我恢復(fù)和適應(yīng)能力，系統(tǒng)可恢復(fù)到安全狀態(tài)（C），也可恢復(fù)到事前安全狀態(tài)（B），還可通過自學(xué)習(xí)恢復(fù)到更好狀態(tài)（A）。因此，韌性強調(diào)了系統(tǒng)“自學(xué)習(xí)、恢復(fù)、適應(yīng)、避免”的需求，韌性安全是在預(yù)期或者非預(yù)期的條件下，確保所期望的可接受的結(jié)果最大化的能力。

圖1 系統(tǒng)安全韌性概念框架

綜上所述，隨著安全認(rèn)知的深入，安全概念不斷納入新理論，呈現(xiàn)出更加客觀、豐富而非取代的過程。安全概念發(fā)展演進路線如圖2所示，從事故預(yù)防角度逆向定義安全（從危險出發(fā)以事故預(yù)防為主線）、從風(fēng)險控制與管理角度間接定義安全（從隱患出發(fā)以風(fēng)險控制為主線）和從韌性需求角度直接定義安全（從系統(tǒng)出發(fā)以優(yōu)化提升為主線），體現(xiàn)了安全概念內(nèi)涵和外延的不斷拓展和人們認(rèn)知水平的不斷提升。如果系統(tǒng)必然會受到意外事件的侵襲，以有準(zhǔn)備、有策略的方式來降低不利事件對系統(tǒng)的沖擊，可在危險降臨時爭取到有利的局面并迅速采取措施修復(fù)，成為增強系統(tǒng)安全的新理念。系統(tǒng)層面的安全，其本質(zhì)是減少事故發(fā)生概率和降低事故損失，提高系統(tǒng)從事故中恢復(fù)的速度和向事故學(xué)習(xí)的能力。在實操層面，突出事前的“預(yù)防、預(yù)測”和事中的“響應(yīng)、應(yīng)對”，強調(diào)事后的“恢復(fù)、提升”。

圖2 安全概念發(fā)展演進路線

2 自動駕駛安全需求探討

2.1 自動駕駛分級

自動駕駛汽車是指能夠以高度智能化的方式實現(xiàn)自主環(huán)境感知、行駛規(guī)劃決策和車輛控制功能的車輛。系統(tǒng)架構(gòu)包括感知層、認(rèn)知層、決策層、控制層和執(zhí)行層，用于完成感知定位、路徑規(guī)劃、行為預(yù)測、軌跡生成和控制執(zhí)行功能。根據(jù)車輛駕駛過程中人類駕駛員和駕駛系統(tǒng)承擔(dān)的駕駛職責(zé)，國際汽車工程師協(xié)會（SAE International）將自動駕駛技術(shù)劃分為非自動（Level 0）、駕駛員輔助（Level 1）、部分自動（Level 2）、有條件自動（Level 3）、高度自動（Level 4）和完全自動（Level 5）。在前3個分級中，人類駕駛員始終是車輛的駕駛主體；在L3級以上（L3級與L4級的本質(zhì)區(qū)別在于當(dāng)系統(tǒng)提出請求時，人類駕駛員是否必須作出應(yīng)答并接管車輛）時，駕駛系統(tǒng)取代人類駕駛員執(zhí)行駕駛?cè)蝿?wù)。具體分級原則見表1。

表1 SAE自動駕駛分級[8]

我國《汽車駕駛自動化分級》（征求意見稿）基于駕駛自動化系統(tǒng)能夠完成動態(tài)駕駛?cè)蝿?wù)的程度，根據(jù)在執(zhí)行動態(tài)任務(wù)中的角色分配以及有無設(shè)計運行范圍限制，將駕駛自動化分為0～5級。0級（安全輔助）指駕駛自動化系統(tǒng)不能持續(xù)執(zhí)行動態(tài)駕駛?cè)蝿?wù)中的車輛橫向或縱向運動控制，但具備持續(xù)執(zhí)行動態(tài)駕駛?cè)蝿?wù)中的部分目標(biāo)和事件探測與響應(yīng)的能力；1級（部分駕駛輔助）指駕駛自動化系統(tǒng)在其設(shè)計運行范圍內(nèi)持續(xù)執(zhí)行動態(tài)駕駛?cè)蝿?wù)中的車輛橫向或縱向運動控制，且具備與所執(zhí)行的橫向或縱向運動控制相適應(yīng)的部分目標(biāo)和事件探測與響應(yīng)的能力；2級（駕駛輔助）指駕駛自動化系統(tǒng)在其設(shè)計運行范圍內(nèi)持續(xù)執(zhí)行動態(tài)駕駛?cè)蝿?wù)中的車輛橫向和縱向運動控制，且具備與所執(zhí)行的橫向和縱向運動控制相適應(yīng)的部分目標(biāo)和事件探測與響應(yīng)的能力；3級（有條件自動駕駛）指駕駛自動化系統(tǒng)在其設(shè)計運行范圍內(nèi)持續(xù)執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)；4級（高度自動駕駛）指駕駛自動化系統(tǒng)在其設(shè)計運行范圍內(nèi)持續(xù)執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)和執(zhí)行動態(tài)駕駛?cè)蝿?wù)接管；5級（完全自動駕駛）指駕駛自動化系統(tǒng)在任何可行駛條件下持續(xù)執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)和執(zhí)行動態(tài)駕駛?cè)蝿?wù)接管。

2.2 自動駕駛安全需求

2016年1月，一輛啟動自動駕駛功能的特斯拉轎車在京港澳高速公路河北邯鄲段，因未能及時躲避前方的道路清掃車而發(fā)生追尾，事故導(dǎo)致車主身亡。2016年5月，一輛特斯拉Model S電動汽車在自動駕駛模式下與一輛正在左轉(zhuǎn)的大型牽掛型卡車發(fā)生碰撞，原因是卡車大面積白色車廂與明亮的天空相近，自動駕駛系統(tǒng)“看到了”卡車，但未能判別出風(fēng)險。2018年3月，一輛Uber自動駕駛汽車撞死了一名突然橫穿馬路的婦女。自動駕駛受到光照條件、道路條件、復(fù)雜路況和惡劣天氣等諸多環(huán)境因素影響，導(dǎo)致車輛在不確定的開放環(huán)境下無法有效感知和準(zhǔn)確識別。自動駕駛技術(shù)會大大降低人因失誤引發(fā)的事故，但仍無法消除諸多可能引發(fā)事故的因素，也會帶來新的事故模式和安全風(fēng)險。

2.2.1 功能安全

自動駕駛功能的實現(xiàn)要依靠大量電子電器系統(tǒng)的集成和控制，電子電氣系統(tǒng)的功能安全是汽車自動化的關(guān)鍵。功能安全是指避免由于系統(tǒng)功能性故障導(dǎo)致的不可接受風(fēng)險，主要針對與安全相關(guān)的由電子電氣系統(tǒng)故障引起的危害分析。ISO 26262《道路車輛-功能安全》是IEC61508對電子電氣系統(tǒng)在道路車輛方面的功能安全的具體應(yīng)用，規(guī)定了道路車輛上特定的由電子、電器和軟件組成的安全相關(guān)系統(tǒng)在概念階段、產(chǎn)品開發(fā)和生產(chǎn)發(fā)布全生命周期內(nèi)與功能安全相關(guān)的工作流程和管理流程。基于功能安全的產(chǎn)品生命開發(fā)周期包括3個階段：概念階段、產(chǎn)品開發(fā)和生產(chǎn)發(fā)布之后，如圖3所示[9]。

圖3 基于功能安全的產(chǎn)品生命開發(fā)周期

2.2.1.1 概念階段

該階段包括相關(guān)項定義、安全生命周期啟動、危害分析和風(fēng)險評估、功能安全概念4部分內(nèi)容。根據(jù)產(chǎn)品的功能定義對相關(guān)項進行定義和描述，包括相關(guān)項與其他相關(guān)項和環(huán)境的交互作用和相互影響、功能在所涉及的系統(tǒng)和要素的分配等；以相關(guān)項為基礎(chǔ)進行危害分析和風(fēng)險評估（Hazard Analysis and Risk Assessment，HARA），對 功 能潛在故障進行識別并對其產(chǎn)生的危害進行分類，確定功能安全目標(biāo)，以及從暴露度、嚴(yán)重度和可控性3個緯度影響因子分析汽車安全完整性等級（Automobile Safety Integrity Levers，ASIL）。 功能安全概念源于功能安全目標(biāo)，目的是當(dāng)系統(tǒng)發(fā)生故障后使其進入安全的可控模式。

2.2.1.2 產(chǎn)品開發(fā)

基于概念階段分析得出的功能安全要求，提出系統(tǒng)層、硬件層和軟件層的技術(shù)要求，并指導(dǎo)各個層級的設(shè)計開發(fā)，經(jīng)功能安全確認(rèn)和功能安全評估后通過產(chǎn)品生產(chǎn)發(fā)布。

2.2.1.3 生產(chǎn)發(fā)布之后

以產(chǎn)品的生產(chǎn)計劃和運行計劃為基礎(chǔ)，執(zhí)行基于功能安全的生產(chǎn)、運行、服務(wù)和報廢過程的活動。

2.2.2 預(yù)期功能安全

預(yù)期功能安全是指通過一系列確認(rèn)和驗證手段，探測和發(fā)現(xiàn)系統(tǒng)感知、邏輯決策和功能執(zhí)行中的非失效不足，通過功能改進使自動駕駛車輛在預(yù)期使用工況下達(dá)到合理安全水平的技術(shù)。預(yù)期功能安全主要針對自動駕駛系統(tǒng)非故障原因?qū)е碌奈：?，涉及環(huán)境干擾、識別錯誤、預(yù)警交互信息缺失、系統(tǒng)決策失誤、邏輯錯誤、響應(yīng)延遲和乘員誤操作等問題。ISO/PAS 21448《道路車輛-預(yù)期功能安全》對預(yù)期功能安全實現(xiàn)思路和流程進行了規(guī)范，以系統(tǒng)功能定義為中心，進行危害分析和風(fēng)險評估，找出可能導(dǎo)致危害的使用案例，對于不可接受的功能予以改進。

預(yù)期功能安全評估需要依托典型用例進行評估驗證，自動駕駛場景構(gòu)建是關(guān)鍵。ISO/PAS 21448將場景劃分為4個區(qū)間（圖4），包括已知安全、已知不安全、未知安全和未知不安全4類。在自動駕駛場景中盡可能縮小已知不安全和未知不安全的場景比例，確保場景控制在安全區(qū)間。國家市場監(jiān)管總局缺陷產(chǎn)品管理中心學(xué)者針對自然駕駛道路測試方法存在的時間成本大、效率低且危險場景覆蓋面不足的問題，提出了危險場景批次性衍生的路徑及關(guān)聯(lián)關(guān)系（圖5），并以國家車輛事故深度調(diào)查體系事故數(shù)據(jù)為基礎(chǔ)構(gòu)建了考慮人-車-路-環(huán)境等因素的場景衍生和演繹方法。德國亞琛大學(xué)R?SENER指出，自動駕駛使用場景不一定包含在基于人類駕駛已經(jīng)發(fā)生的事故場景中，需要提出新方法模擬自動駕駛功能，提出綜合考慮駕駛場景頻率預(yù)測的安全影響評估的總體方法（圖6）。流程包括定義自動駕駛場景、模擬基于駕駛場景的有效領(lǐng)域、考慮發(fā)生駕駛場景的頻率變化和駕駛場景發(fā)生事故的嚴(yán)重度變化，最后評估自動駕駛功能的有效性。

圖4 已知/未知和安全/不安全場景類別定義[10]

圖5 危險場景批次性衍生示意圖

圖6 自動化駕駛安全影響評估的總體方法[11]

2.2.3 網(wǎng)絡(luò)與數(shù)據(jù)安全

自動駕駛除自身傳感器外，還會通過網(wǎng)絡(luò)與其他車輛、基礎(chǔ)設(shè)施及其人員互聯(lián)互通，存在因網(wǎng)絡(luò)漏洞而受到攻擊的情況。DFF CON在2011年黑客大會上短信解鎖斯巴魯傲虎，在2013年通過OBDII控制了福特翼虎和豐田普銳斯的方向盤、制動、油門等[12]。菲亞特克萊斯勒在2015年因網(wǎng)絡(luò)安全問題召回140萬輛汽車。美國獨立研究機構(gòu)波萊蒙（Ponemon Institute）公布了一項有關(guān)汽車網(wǎng)絡(luò)安全的調(diào)查結(jié)果指出，未來將有60%的車輛因軟件安全問題被召回，汽車受到信息安全攻擊的威脅正逐步提升[13]。此外，2016年法國尼斯卡車致84人死亡的恐怖事件警示，如果自動駕駛汽車被恐怖分子劫持，將是發(fā)動恐怖襲擊的有利武器。網(wǎng)絡(luò)安全的核心要義是自動駕駛系統(tǒng)的每個制造商應(yīng)制定、維護和執(zhí)行網(wǎng)絡(luò)安全計劃，以最小化由網(wǎng)絡(luò)安全威脅和漏洞帶來的安全風(fēng)險。美國S.1885法案指出，除制定網(wǎng)絡(luò)安全計劃外，制造商可建立以自愿協(xié)調(diào)一致為基礎(chǔ)的漏洞披露政策，安全研究人員將其發(fā)現(xiàn)的與漏洞相關(guān)的信息通知制造商，建議其確認(rèn)和修復(fù)漏洞。

自動駕駛系統(tǒng)是由上千個電子控制單元通過車載網(wǎng)絡(luò)進行控制的智能移動終端，可以自動收集與保留數(shù)據(jù)信息。這些信息不僅關(guān)系個人隱私，還與人身財產(chǎn)安全和國家安全直接相關(guān)。目前還沒有法規(guī)明確這些數(shù)據(jù)信息的終端匯聚地，以及查閱和使用這些信息的權(quán)限邊界，導(dǎo)致這些信息隨時可能被泄露或惡意利用。近期爆發(fā)的亞馬遜數(shù)據(jù)泄露事件和棱鏡門事件都應(yīng)引起對自動駕駛數(shù)據(jù)安全和隱私保護的思考。據(jù)統(tǒng)計，有56%的消費者表示數(shù)據(jù)安全將成為未來購買汽車時的主要考慮因素。2016年，美國《汽車最佳網(wǎng)絡(luò)安全指南》明確表示要對自動駕駛汽車實施網(wǎng)絡(luò)安全測試，防止汽車接入未授權(quán)的網(wǎng)絡(luò)，保護關(guān)鍵安全系統(tǒng)和個人數(shù)據(jù)。2017年，美國《自動駕駛法案》明確規(guī)定，自動駕駛汽車生產(chǎn)廠商需制定和說明如何收集、使用、分享和存貯自動駕駛汽車用戶信息的“隱私方案”，要求運用數(shù)據(jù)縮小化和去識別化技術(shù)防止用戶留存信息被泄露。然而，由于缺少規(guī)范的安全監(jiān)管標(biāo)準(zhǔn)和流程，目前絕大多數(shù)廠商不能對其產(chǎn)品進行必要的安全性測試，更無法保障這些數(shù)據(jù)的安全。因此，應(yīng)從法律層面盡快對自動駕駛數(shù)據(jù)安全進行規(guī)范，明確自動駕駛汽車獲取數(shù)據(jù)的屬性，即哪些數(shù)據(jù)可以被采集及其使用邊界。

2.2.4 韌性安全

自動駕駛技術(shù)會大大降低人因失誤引發(fā)的事故，但“零傷亡”仍是愿景。因此，在事故發(fā)生前，自動駕駛系統(tǒng)生產(chǎn)者和其他實體應(yīng)使用識別、保護、檢測、響應(yīng)和回復(fù)等功能對其做出風(fēng)險管理決策，盡量消除風(fēng)險和威脅；采用“黑盒子”等技術(shù)記錄追溯事故發(fā)生前以及發(fā)生時所有的行為、改動、設(shè)計選擇、分析、關(guān)聯(lián)測試和數(shù)據(jù)；在事故發(fā)生后，鼓勵共享事故信息和網(wǎng)絡(luò)安全數(shù)據(jù)，以便從中吸取經(jīng)驗教訓(xùn)并促進行業(yè)整體質(zhì)量提升。

美國《自動駕駛系統(tǒng)2.0：安全愿景》針對耐撞性提出兩項要求：一是乘客保護，即無論是在自動駕駛還是人工駕駛模式下，一旦系統(tǒng)出現(xiàn)故障，乘客保護系統(tǒng)均應(yīng)保持其預(yù)期的性能水平；二是兼容性，即用于提供產(chǎn)品、服務(wù)或應(yīng)用于其他場景的自動駕駛車輛應(yīng)符合與道路上現(xiàn)有車輛的碰撞兼容性。當(dāng)駕駛系統(tǒng)失效時，被動安全系統(tǒng)是車輛碰撞后乘員保護的最后一道屏障，需要通過優(yōu)化乘員約束系統(tǒng)減輕傷害或防止車內(nèi)人員傷亡。PIPKORN等[14]通過試驗和仿真表明，目前的乘員約束系統(tǒng)在80 km/h的碰撞速度下對駕駛員的保護作用不夠，相關(guān)傷害指標(biāo)遠(yuǎn)超F(xiàn)MVSS 208中規(guī)定的損傷容限。因此，相關(guān)學(xué)者提出需針對不同碰撞強度設(shè)計可調(diào)節(jié)式的自適應(yīng)約束系統(tǒng)，以應(yīng)對未來交通事故場景中乘員智能保護的挑戰(zhàn)[15]。

自動駕駛系統(tǒng)是具備自學(xué)習(xí)的強人工智能系統(tǒng)，以韌性安全為基礎(chǔ)來提高系統(tǒng)從事故中恢復(fù)的速度和向事故學(xué)習(xí)的能力，自動駕駛汽車經(jīng)歷碰撞事故后應(yīng)迅速恢復(fù)到安全狀態(tài)。具體行為包括自動關(guān)閉油門、移除動力裝置、移動車輛到安全位置、關(guān)閉電源等。如果傳感器或與安全相關(guān)的控制系統(tǒng)出現(xiàn)故障，車輛應(yīng)在最低的風(fēng)險狀況下運行，直至功能恢復(fù)正常。車輛生產(chǎn)者或其他實體應(yīng)對自動駕駛車輛的相關(guān)維修記錄進行存檔，以確保修復(fù)后的自動駕駛車輛能夠被調(diào)整至更安全的狀態(tài)。

3 結(jié)論

自動駕駛汽車綜合運用了人工智能、信息物理融合和大數(shù)據(jù)分析技術(shù)，是一個集環(huán)境感知、規(guī)劃決策、多等級輔助駕駛等功能于一體的智能系統(tǒng)。對智能化的追求應(yīng)當(dāng)建立在安全之上，失去了安全性的智能化都是空談。即使最好的汽車安全科技也不能確保挽救每一個生命，對于安全科技效用的限制在于人們使用它的方式。自動駕駛汽車較傳統(tǒng)汽車安全，除了要滿足功能安全、預(yù)期功能安全、網(wǎng)絡(luò)和數(shù)據(jù)安全外，還應(yīng)滿足韌性安全。如果該系統(tǒng)受到意外事件的侵襲，以有準(zhǔn)備、有策略的方式來降低不利事件對系統(tǒng)的沖擊，提高系統(tǒng)從事故中恢復(fù)到正常狀態(tài)的速度和向事故學(xué)習(xí)的能力?；诋a(chǎn)品安全認(rèn)知演進規(guī)律分析自動駕駛安全需求，不僅突出事前的“預(yù)防、預(yù)測”和事中的“響應(yīng)、應(yīng)對”，還要強調(diào)事后的“恢復(fù)、提升”，為自動駕駛安全技術(shù)發(fā)展提出了建議和思路。