跳转至

典型事故与经验教训

自动驾驶行业每一次重大事故都会把整个行业向安全曲线的更高处推一寸。与其回避这些痛苦的记忆,不如系统地复盘:哪一层出了错?责任如何认定?行业因此做了什么改变?本节精选 2016 年以来十余起具有行业影响力的事件,以技术栈分层规律提取两条线索加以组织。

阅读说明

  • 每起事件的表述以公开调查报告(NTSB、NHTSA、加州 DMV、国内媒体)为主,必要处补以公司公告与学术论文;
  • 责任认定以最终监管结论为准;正在调查的案例会明确标注"Pending";
  • 本节不旨在指责具体公司,而是希望读者从工程视角提炼可复用的教训。

1. 事故分类框架

在分析具体案例前,先建立一个分层模型,便于把每起事件映射到对应的技术栈位置:

层级 典型失效模式 对应案例
L1 感知层 目标漏检、误检、语义理解错误 Tesla 白色卡车事故、Uber ATG 2018
L2 预测/决策层 意图预测错误、行为决策保守/激进 Cruise SF 2023、Waymo Pedestrian Drag 2024
L3 规划/控制层 轨迹不可执行、控制振荡 Apollo Go Wuhan 2024 碰撞
L4 HMI / 驾驶员接管 提示模糊、监控失效、滥用 Tesla Autopilot 多起、特斯拉滥用 FSD Beta
L5 系统集成 冗余失效、故障切换失败 Tesla Hardware 3 降级、Waymo 灯光通信失效
L6 运营 / 远程协助 远程指令误操作、调度漏洞 Cruise SF 2023 远程处置不当
L7 监管 / 流程 报告隐瞒、资质失效、违规扩张 Cruise 隐瞒 CA-DMV、Uber ATG 停测

所有案例都可以在这张表里"对号入座"——很多重大事故其实是 多层同时失效 的结果。

2. 事故详解

2.1 Uber ATG:Tempe 亚利桑那致死事故(2018-03-18)

事件概述 测试车辆(Volvo XC90,搭载 Uber 自研 ADS)于凤凰城 Tempe 晚间 22:00 前后,以约 63 km/h 通过四车道道路时,撞上推自行车横穿马路的 Elaine Herzberg 女士,致其当场死亡。车内有一名测试安全员 Rafaela Vasquez,事后视频证实其在事发前观看手机视频。

技术原因(NTSB 2019 报告)

层级 问题
感知 检测器在 5.6 秒内对目标的分类在"未知 / 车辆 / 自行车"之间多次切换,未能稳定识别
预测 由于分类不稳,预测器重置了跟踪历史,未能输出连续轨迹
规划 Uber 软件禁用了 Volvo 原厂 AEB(防止冲突),同时将"紧急制动抑制窗口"设置为 1 秒以上,避免急刹体验差
HMI 未向安全员发出声/光警报要求接管;事发前 6 秒系统已识别目标但没有任何提示

责任与结果

  • 安全员 Vasquez 被检方以过失杀人起诉,2023 年认罪换缓刑;
  • Uber 公司未被起诉,但 ATG 部门于 2020 年以 40 亿美元卖给 Aurora;
  • Arizona 吊销 Uber 路测资质,加州也随即暂停。

行业影响

  1. 所有美国路测公司后撤并重新审计检测器的类别切换稳定性
  2. NHTSA 开始要求 L2+ 系统的紧急事件日志最小保留时间
  3. 后续行业共识:不得关闭原厂 AEB,自研 AEB 必须至少达到原厂水平;
  4. 安全员培训更严格:禁止随身携带分心设备,需双人值守。

2.2 Tesla Autopilot:Joshua Brown 事故(2016-05-07,佛罗里达)

事件概述 2016 Tesla Model S 以 Autopilot 模式在 4 车道公路上行驶,一辆白色半挂卡车横穿道路。车辆未识别卡车侧面,以约 119 km/h 径直撞入挂车底部,Brown 当场死亡。这是全球首例 L2 自动驾驶致死事故

技术原因(NTSB 2017 报告)

  • 视觉检测将白色挂车侧面错认为明亮天空;
  • Mobileye EyeQ3 当时不支持垂直于车辆行进方向的静态大目标检测;
  • 毫米波雷达因"避免拱桥误触发"而把静态高空返回过滤掉,挂车被一并过滤;
  • Autopilot 允许用户连续 37 分钟完全不施加方向盘扭矩,监控机制严重不足。

责任与结果

  • NHTSA 认为 Autopilot 没有设计缺陷,但指出 Tesla 对"驾驶员监督"的设计不充分;
  • Mobileye 随后公开与特斯拉分道扬镳,公司随后自研 HW2;
  • 事故加速了 NHTSA 推出新的 L2 系统调查机制,后来演化为 2021 年的 Standing General Order。

后续类似事故

年份 受害者 背景
2018 Walter Huang Model X 沿 US-101 撞上高速护栏分岔头;FSD 未识别磨损车道线
2019 Jeremy Banner Model 3 撞入横穿的卡车,重复 Brown 事故场景
2023 Dillon Angulo FSD Beta 测试过程中 Model S 冲过停车标志撞击路口来车

教训

  1. Operational Design Domain 必须显式定义:高速公路并非所有子场景都可安全驾驶;
  2. 静态大目标检测是视觉感知的经典难题,必须通过多帧融合与多模态校验;
  3. 驾驶员监督不能仅靠方向盘扭矩,需引入面部/视线跟踪;
  4. 产品命名"Autopilot"误导用户,监管持续要求整改。

2.3 Uber ATG 之后:Cruise 旧金山 Pedestrian Drag 事件(2023-10-02)

事件概述 深夜 22:00 前后,旧金山 5th & Market 路口,一名女性行人被另一辆有人驾驶汽车撞飞后抛入 Cruise 无人出租车前方,Cruise 车辆碾压后将其拖拽约 6 米并停车于右前轮下方。行人重伤但幸存。

技术原因(Cruise 自查与 DMV 处罚通告)

层级 问题
感知 车辆检测到了碰撞,但将"人体在车轮下"错判为"路边障碍物"
规划 碰撞后,系统触发"靠边停车"程序,试图完成 pullover maneuver,实际拖行伤者
系统集成 系统未检测到车底存在人体;未实现车底碰撞检测冗余
运营与监管 Cruise 在最初提交 CA-DMV 的视频中隐去拖行片段,只展示碰撞瞬间

责任与结果

  • 加州 DMV 立即吊销 Cruise 无人驾驶运营牌照
  • Cruise 主动撤回全美 Robotaxi 运营,召回 950 辆车辆;
  • CEO Kyle Vogt、CTO、首席产品官辞职;
  • 通用汽车在 2024 年宣布彻底关闭 Cruise Robotaxi 业务(改为将技术用于消费车 Super Cruise);
  • 第三方调查报告(Exponent/Quinn Emanuel)揭露内部沟通不透明与安全治理薄弱。

行业影响

  1. 车底/车轮冗余检测列为一线 Robotaxi 公司的必做项(Waymo 随后公开新增超声波环车检测);
  2. Post-Collision 的规划逻辑写入 SAE J3237 草案(Minimum Post-Crash Behavior);
  3. 各大公司开始公开事故全量视频而非片段,提升监管信任;
  4. 行业意识到:运营治理和工程同等重要,再强的技术也会被透明度丑闻反噬。

2.4 Waymo 拖行行人事件(2024-02,凤凰城)与自报披露

事件概述 2024 年 2 月凤凰城一起事故中,Waymo 车辆在左转过程中刮到一位骑行者,幸无重伤。与 Cruise 形成强烈对比,Waymo 主动在 24 小时内公开事故调查报告。

核心启示

  • Waymo 的主动召回 + 自愿软件更新策略,在公众与监管层建立了区别于 Cruise 的信任档位;
  • 行业观察者将两家处理方式作为"安全文化"好与坏的标准教材。

2.5 Tesla FSD 与 Highway Patrol 案(2023-02,Fremont)

Tesla Model S 激活 FSD Beta 后,沿 880 号高速公路追尾前车,造成 1 死 1 伤。NHTSA 将该事件纳入对 FSD 的大规模调查,至 2024 年 12 月发布召回,要求 Tesla 更新软件以改进驾驶员监控,影响约 202 万辆车。

教训:

  • 长尾场景中的前车减速识别仍是 L2 的软肋;
  • 监管更强硬地使用 OTA Recall 机制,Tesla 软件召回将成为常态工具。

2.6 Apollo Go 武汉运营期间的典型事件(2023–2024)

2024-07 武汉某路口碰撞:萝卜快跑与人驾出租车发生低速碰撞,无人员伤亡。百度第一时间公开行车视频,并向监管提交事故日志。

公众舆情:2024 年夏天,武汉出租车司机对无人出租车"抢单"引发广泛抗议,倒逼运营方调整 ODD(避开高峰时段、限制热门商圈)。

教训:

  • 工程安全之外,社会接受度是商业化必修课;
  • ODD 动态调节需要运营/工程协同流程(如 Geofencing + Time-fencing)。

2.7 Tesla Model S 加州高速火灾(2021-04,Spring, TX)

车辆脱离车道冲出撞树并起火,初步报告称无人在驾驶座。NHTSA 最终调查发现事故时仍有驾驶员,但该事件凸显:

  • BMS 热失控下的救援难度(FSD 配套 4680 电池热保护工程重要性);
  • 事故现场取证对新能源自动驾驶车的新挑战:需要同时保留电池状态、自动驾驶系统日志、远程命令流水。

2.8 Pony.ai / WeRide 等国内路测事件

时间 公司 事件 处置
2021-10 Pony.ai 加州 Fremont 单车撞隔离带 加州 DMV 暂停路测牌照 6 个月,公司补交感知模块整改报告
2022-04 WeRide 广州 路口识别不全撞环卫车 广州监管要求暂停部分路线,驾驶员全员培训
2023-06 某初创公司 追尾事故,数据未及时上报 行业自律倡议加强,中汽协牵头推出事故信息披露自律条例

教训:

  • 路测数据完整留存与 5 分钟内 upload-to-cloud 是监管底线;
  • 单车事故即可触发全车队重新验证,模块化测试回归的自动化工具必不可少。

2.9 网络安全事件:Jeep Cherokee 远程劫持(2015)

虽然早于自动驾驶规模化,但 Charlie Miller 与 Chris Valasek 利用 Uconnect 漏洞远程控制 Jeep 方向盘/刹车,触发 140 万辆车召回。对自动驾驶行业的意义:

  • 首次证明车载 T-Box / IVI 可以成为汽车被劫持的入口;
  • 催生 ISO/SAE 21434、UN R155/R156 等现行车辆网络安全法规。

3. 关键教训汇总

将所有案例按"失效层级 × 频次"聚合,可以抽象出七条可复用的工程经验

  1. 不要抑制原厂安全功能:任何自研 AEB、AES、LKA 必须在关闭原厂时同等覆盖,且监管可稽核。
  2. 监控驾驶员不是形式主义:扭矩检测易被规避,要结合视线/面部监测;L2 必须在 ODD 边界主动脱退。
  3. 感知不稳并不罕见,架构要能"失败安全":一旦类别连续切换,系统应进入保守策略而非正常规划。
  4. 事故后行为(Post-Collision Behavior)是设计目标,不是补丁:停车、打双闪、呼叫远程、不得拖曳。
  5. 多传感器并不自动等于冗余:需要交叉校验(cross-check)和独立失效分析,不是简单"加块 LiDAR"。
  6. 远程运营中心(ROC)是安全链的一部分:流程、话术、审计日志都需纳入 ISO 26262/SOTIF 管理。
  7. 监管透明是生存策略:隐瞒细节会被加倍惩罚;主动披露是长期商业模型的一部分。

4. 事故复盘的方法论

对工程团队而言,每起真实事故都应转化为可执行的改进项。推荐使用如下复盘模板:

1. 事件摘要       → 5W1H(时间 / 地点 / 车辆 / 环境 / 结果)
2. 时间轴重建     → 传感器帧、规划指令、执行器响应毫秒级对齐
3. 故障树分析(FTA)→ 根因树 → 潜在共因故障
4. 失效模式(FMEA) → 与事件相关的所有 FMEA 条目是否已覆盖?
5. 责任矩阵       → 工程 / 流程 / 运营 / 监管各占比例
6. 改进项         → 可验证、可追踪、有截止日期
7. 回归用例       → 写入仿真场景库,作为后续所有版本的必考题
8. 对外沟通       → 客户、乘客、监管、大众分别准备哪些材料

高成熟度组织会把每个事件都变成长久存在的场景脚本(Scenario)。Waymo 的 Carcraft、Cruise 的 Matrix、Apollo 的 Scenario Factory 都是此方法论的产物。

5. 小结

事故并非技术的耻辱,而是行业诚实面对自身的镜子。自动驾驶发展的真正里程碑,从来不是"xxx 不再出错",而是每次出错后能否让所有人更安全

  • Brown(2016)到 Herzberg(2018),行业意识到了"驾驶员监督的必要性";
  • Cruise(2023)到 Waymo 召回(2024),行业学会了"透明披露的商业价值";
  • 接下来的几年,随着 Robotaxi 规模扩大,事故统计学基础将越来越清晰,也会有更多未知场景暴露出来。

读者在后续章节学习具体模块时,不妨回忆:这个设计选择,能避免本节中的哪一起事故?

参考资料

  1. NTSB. Collision Between Vehicle Controlled by Developmental Automated Driving System and Pedestrian, Tempe, Arizona. HAR-19/03, 2019.
  2. NTSB. Collision Between a Car Operating With Automated Vehicle Control Systems and a Tractor-Semitrailer Truck. HAR-17/02, 2017.
  3. California DMV. Order of Suspension of Autonomous Vehicle Deployment Permit, Cruise LLC. 2023-10-24.
  4. Exponent / Quinn Emanuel. Cruise Incident Independent Review. 2024-01.
  5. NHTSA. Standing General Order 2021-01: Incident Reporting for Automated Driving Systems and Level 2 Advanced Driver Assistance Systems.
  6. Miller, C., Valasek, C. Remote Exploitation of an Unaltered Passenger Vehicle. Black Hat USA 2015.
  7. 国家市场监督管理总局. 汽车产品召回通告,2022–2024.
  8. 百度 Apollo. 萝卜快跑安全白皮书. 2024.