В Америке разработали 15 правил робототехники для беспилотных автомобилей

Американская Национальная администрация по безопасности дорожного движения (NHTSA) опубликовала требования к безопасности роботизированных автомобилей. Этот текст на 115 страницах совсем не похож на технически-бюрократические документы, которые обычно выпускают национальные ведомства по стандартизации. Это скорее список пожеланий, а то и приглашение к дискуссии, которая в итоге все-таки должна привести к созданию стандарта и к изменениям в законодательстве.

К моменту, когда дело дойдет до массовой эксплуатации роботизированных автомобилей, такие стандарты уже должны существовать — в том числе и как инструментарий для проверки машин на соответствие законодательным требованиям.

Текст из NHTSA касается не только поведения автопилота как такового, но и контроля системы за собственным состоянием, вопросов приватности, а также подходов к проектированию софта для таких систем. Кстати, в гражданской авиации разработка программной части уже давно подробнейшим образом регламентирована.

Вот основные тезисы нового документа:

1) Разделение данных. Во время эксплуатации беспилотники будут накапливать огромные массивы данных. Автопроизводители обязаны хранить эти данные и обеспечивать доступ к ним властей в случае аварии или нештатной ситуации, чтобы можно было определить причины происшествия;

2) Приватность. До владельца машины нужно четко донести, какие именно данные собирает электроника автомобиля. Он должен иметь возможность отказаться от сбора персональных данных — например, биометрии или паттернов поведения;

3) Безопасность системы. «Железо» автопилота должно быть спроектировано так, чтобы безопасно реагировать на нештатную работу софта, аварийные ситуации и другие риски. Автопроизводители обязаны проводить внешний аудит системы;

4) Цифровая безопасность. Электронная система должна иметь охранный функционал, позволяющий отражать сетевые атаки (вероятно, речь идет о файерволе. — Прим. автора). Автопроизводителям следует документировать как сами решения в области безопасности, так и данные об их тестировании. Должен быть налажен обмен такими данными между компаниями;

5) Интерфейс «Человек — машина». Переключение между режимом автопилота и ручным управлением должно быть очевидным. Информация о том, когда автоведение не может работать, должна быть легкодоступна водителю. Автопроизводителям также следует создать способ коммуникации между автомобилем под управлением автопилота, пешеходами и другими автомобилями;

6) Пассивная безопасность. Автономный автомобиль должен соответствовать стандартам безопасности, установленным Национальной администрацией по безопасности дорожного движения (NHTSA). В случае аварии автономный автомобиль не должен уступать аналогичному автомобилю традиционного типа;

7) Информирование клиентов. Автопроизводителям следует провести обучение своих сотрудников и персонала дилерских центров, чтобы те могли рассказать покупателям, как работает автопилот. Для клиентов необходимо проводить практические занятия, на которых показывать как возможности, так и ограничения систем автопилотирования;

8) Сертификация. Любое обновление программного обеспечения должно проходить сертификацию в NHTSA;

9) Поведение после аварии. Автопроизводитель должен продемонстрировать, что машина не становится опасной после ДТП. Например, при повреждении критических датчиков режим автоведения не должен активироваться самостоятельно;

10) Законы. Автомобиль должен двигаться по правилам дорожного движения, учитывая различия в местных законах между разными штатами (скажем, в части штатов разворот через сплошную или поворот направо на красный сигнал светофора разрешены, а в других — запрещены). При этом для предотвращения аварии он может отступить от правил;

11) Этические соображения. Не исключено, что система автоведения может быть поставлена в условия этического выбора. Например — «тормозить или уворачиваться?» Алгоритмы принятия таких решений должны быть раскрыты для NHTSA;

12) Операционный дизайн. Исчерпывающее описание условий, в которых система автоведения может (или не может) работать. Автопроизводители должны подтверждать, что машина проходила тестирование в тех или иных условиях. Например: с какой скоростью может двигаться машина, может ли автоведение работать в темноте или на грунтовке;

13) Распознавание и реагирование. Как автомобиль реагирует на других участников дорожного движения, пешеходов, животных, падающие деревья? Автопроизводитель должен показать, что система автоведения способна адекватно отрабатывать как рутинные дорожные ситуации, так и чрезвычайные происшествия;

14) Отключение. В случае неисправности автомобиль должен безопасно переходить из режима автоведения в ручной. При этом должно учитываться и состояние водителя: автомобиль должен распознавать, если тот спит, пьян или переутомлен;

15) Проверка. Автопроизводители должны разработать процедуры тестирования и аттестации автопилотов, включающие виртуальные испытания, работу на тестовом полигоне и тестирование на реальных дорогах.