本文将讲述自动驾驶系统的DDT性能&安全交互与在役监控和报告ISMR支柱的映射关系, 以下矩阵指示哪些要求适合ISMR活动。该矩阵旨在为ADS车辆制造商和监管当局监测ADS在役状态提供指导。
矩阵使用广泛适用、有限适用和不适用来指示ADS安全要求和ISMR支柱的相对适用性。
广泛适用:表示ISMR支柱可以监控该安全要求的大部分方面;
有限适用:表示ISMR支柱仅适用于有限的安全要求;
不适用:表示ISMR支柱在很大程度上不适用于该安全要求。
尽管某些安全要求当前被评为有限适用或不适用,但随着技术的进步,可能会在未来变为广泛适用。
|
要求
|
备注
|
ISMR适用性
|
|
正常交通场景下ADS的DDT表现
|
||
|
ADS应以安全速度操作车辆。
|
可以监控,但是很难定义什么是安全速度(不超道路限速?);
限速合规适合周期性上报,但是上报比较困难,因为需要其他来源的数据。
|
广泛适用
|
|
ADS应通过控制车辆的纵向和横向运动,与其他道路使用者保持适当的距离。
|
可以通过外设接口SPIs监控与其它道路使用者的距离(例如,纵向和横向距离)
|
广泛适用
|
|
ADS应根据周围交通情况调整其驾驶行为(例如,避免交通中断)。
|
可以监控简单的运动学指标或类似的指标(例如,碰撞时间TTC、跟车时距THW)
|
广泛适用
|
|
ADS应根据安全风险调整其驾驶行为(例如,给予所有道路使用者和乘客最高优先级)。
|
可以监控简单的运动学指标和类似的指标(例如,碰撞时间TTC、跟车时距THW)
|
广泛适用
|
|
ADS应探测与其执行DDT有关的物体和事件并作出反应。
|
它可以通过SPIs进行监控(例如,OEDR反应时间)
未能响应OEDR可能导致短期报告(例如,由R160-EDR法规要求的事件记录覆盖)
|
广泛适用
|
|
ADS应根据相关交通法规检测并响应优先车辆(警车、救护车、消防车、抢险救援车等)。
|
在某些情况下,ADS可能无法检测到优先车辆,因此无法监控事件。在这种情况下,需要第三方数据来监控和报告事件。
注意:监测并响应优先车辆可能是DSSAD的触发条件。
|
广泛适用
|
|
在正常交通情况下,ADS的驾驶行为不得迫使其他道路使用者采取规避行动,以避免与ADS车辆相撞。
|
R157-ALKS法规规定,L3级自动驾驶系统ALKS在变道时,不得使其它车辆为了避免与ADS车辆碰撞而产生大于3m/s²的减速度。
|
广泛适用
|
|
在正常交通情况下,ADS的驾驶行为不会导致碰撞。
|
需要监测该信息;
发生严重事故时需要提交专门的短期报告;
聚合指标(XX次碰撞/km)需要体现在周期性报告上。
注意:任何碰撞都需要进行适当的调查以确定根本原因。
|
广泛适用
|
|
ADS应当遵守作业区域内相关法律规定的交通规则。
|
在某些情况下,遵守交通规则可能需要第三方数据(公安交管部门、保险公司等)。
|
广泛适用
|
|
ADS应与其他道路使用者安全互动。
|
它可以通过专用的外设接口SPIs进行监控
|
广泛适用
|
|
ADS应尽可能避免与安全相关物体碰撞。
|
它可以通过专用的SPIs进行监控
|
广泛适用
|
|
ADS应表明打算改变方向。
|
可以监控,但这是一个信号需求,主要与设计有关(审计支柱)。
|
有限适用
|
|
ADS应根据国家规则表明其运行状态。
|
可以监控,但这是一个信号需求,主要与设计有关(审计支柱)。
|
有限适用
|
|
根据乘客的要求,ADS应将车辆安全停车。
|
它可以被监控。
|
广泛适用
|
|
要求
|
备注
|
ISMR适用性
|
|
紧急交通场景下ADS的DDT表现
|
||
|
正常交通场景下的DDT性能要求应在合理可行的范围内继续适用于紧急交通场景,以尽量减少总体风险。
|
||
|
发生碰撞事件时,ADS应进入最小风险状态MRC和/或根据适用的交通法规停车。
|
要监测该事件;
短期内要报告ADS车辆碰撞后行为。
|
广泛适用
|
|
在核实ADS车辆的安全运行状态之前(自检完成之前),ADS不得恢复行驶。
|
该行为可以被监控。然而,只有ADS车辆本身进行的自检才能通过监控进行。可能需要第三方信息;
短期内要报告ADS车辆碰撞后行为。
|
广泛适用
|
|
在适用的交通规则和其他安全考虑允许的情况下,ADS可以恢复行驶。
|
该行为可以被监控;
短期内要报告ADS车辆碰撞后行为。
|
广泛适用
|
|
要求
|
备注
|
ISMR适用性
|
|
故障场景下ADS的DDT表现
|
||
|
正常交通场景下的DDT性能要求应在合理可行的范围内继续适用于故障场景,以尽量减少总体风险。
|
||
|
根据制造商的留档,ADS应检测损害其在ODD内执行整个DDT的能力的故障、失效和异常。
|
要监测ADS故障;
ADS故障通过周期性报告来报告该故障。
|
广泛适用
|
|
自动驾驶系统可在故障不妨碍ADS满足适用于ADS的安全要求的情况下继续运行。
|
它可以被监控;
ADS通过周期性报告来报告该故障,但缺少报告故障条件下ADS正常运行的专用法规要求。
|
广泛适用
|
|
响应故障,ADS可以允许激活和使用受故障影响的功能,前提是ADS能够继续执行整个DDT。
|
它可以被监控;
ADS通过周期性报告来报告该故障,但缺少报告故障条件下ADS正常运行的专用法规要求。
|
广泛适用
|
|
ADS应根据故障的严重程度调整其DDT性能以确保道路安全
|
它可以被监控。
|
广泛适用
|
|
如果某故障会损害ADS在其ODD内执行整个DDT的能力,ADS应禁止在该故障下激活对应的功能。
|
它可以在一定程度上进行监控。
|
有限适用
|
|
ADS的受限操作应符合通常适用的安全要求。
|
它可以被监控;
要考虑“通常适用的安全要求”的考虑因素。
|
广泛适用
|
|
监管当局要求时,制造商和/或服务运营商可以远程终止单个或多个ADS功能。
|
它可以被监控,因为它主要是一个设计要求。
远程终止可能是一个需要报告的潜在事件。
|
有限适用
|
|
执行ADS的远程终止DDT应能够触发ADS回退响应。
|
它可以被监控。
远程终止可能是一个需要报告的潜在事件。
|
广泛适用
|
|
远程终止ADS或ADS功能将使其无法再被用户激活。
|
它可以被监控,因为它主要是一个设计要求。
远程终止可能是一个需要报告的潜在事件。
|
有限适用
|
|
要求
|
备注
|
ISMR适用性
|
|
ADS在ODD边界的DDT表现
|
|
|
|
ADS应根据制造商的声明识别其功能的ODD条件和边界。
|
根据前文要求进行监测。
根据前文要求的事故列表,应通过短期报告其ODD之外的ADS操作,并通过定期报告汇总级别。
|
广泛适用
|
|
ADS应能够确定何时满足激活功能的每个条件。
|
它可以被监控。
|
广泛适用
|
|
除非满足ADS功能的ODD条件,否则ADS应阻止功能的激活。
|
它可以在一定程度上(间接)进行监控,但主要是设计要求。
ADS在其ODD之外的操作应通过短期报告上报,并通过周期性报告汇总。
|
广泛适用
|
|
当使用中的ADS功能的一个或多个ODD条件不再满足时,ADS应执行回退响应。
|
它可以被监控;
ADS在其ODD之外的操作应通过短期报告上报,并通过周期性报告汇总;
车辆控制权转移失败的事件应体现在周期性报告中;
未能成功进入最小风险状态MRC的事件需要在短期和周期性报告中上报。
|
广泛适用
|
|
ADS应能够预测每个功能的ODD可预见出口(即ODD边界)。
|
它可以被监控。
注意:这可能是自动驾驶数据记录系统DSSAD的触发条件。
|
广泛适用
|
|
要求
|
备注
|
ISMR适用性
|
|
最小风险状态MRC要求
|
||
|
ADS应表明打算将车辆进入MRC。
|
它可以被监控;这是一个安全关键信息。
|
广泛适用
|
|
如果ADS和/或其他车辆系统发生故障,阻止ADS执行DDT,ADS应执行后备响应。
|
它可以被监控;
ADS未能达到最小风险状态MRC的事件需要在短期报告和周期性报告中体现。
|
广泛适用
|
|
如果没有可用的后备用户,ADS将直接回退到最小风险状态MRC。
|
它可以被监控;
ADS未能达到最小风险状态MRC的事件需要在短期报告和周期性报告中体现。
|
广泛适用
|
|
如果ADS旨在请求并启用人工驾驶员的干预,则ADS应在向用户转移控制权失败时执行回退到MRC。
|
它可以被监控;
车辆控制权转移失败的事件应体现在周期性报告中。
|
广泛适用
|
|
当ADS车辆完成回退到MRC后,可以允许用户承担对车辆的控制。
|
它可以在一定程度上进行监控,但主要是设计要求;
宣称的MRC行为应可以被监控;
进入MRC失败的事件应进行报告。
|
有限适用
|
|
要求
|
备注
|
ISMR适用性
|
|
用户和ADS之间的安全交互。
|
|
|
|
ADS应发出信号,表明存在任何限制可用ADS功能运行的故障。
|
它可以在一定程度上被监控;
通过周期性报告来汇报的ADS故障。
|
有限适用
|
|
ADS应向ADS用户表明将车辆进入MRC的意图。
|
它可以在一定程度上被监控。
|
有限适用
|
|
ADS应向用户提供紧急情况下打开车门的方法。
|
设计要求(审核支柱)。
|
不适用
|
|
ADS的HMI应在所有操作条件下向目标用户提供安全相关信息和信号,如有需要,应提供简单明确的多模态(如光学、声学、触觉)信号。
|
设计要求(审核支柱)。
|
不适用
|
|
要求
|
备注
|
ISMR适用性
|
|
ADS功能,允许用户手动接管DDT。
|
||
|
当ADS处于激活状态时,为了降低操作错误、误用和减少车辆控制的模糊状态的风险。
可以禁用、抑制、停用或通过其他方式使车辆驾驶控制(油门、刹车、方向盘)、指示器(转向灯拨杆)、告警(双闪开关)等不可用。
|
设计要求(审核支柱)。
|
不适用
|
|
ADS的设计应防止用户误用和操作错误。
|
设计要求(审核支柱)。
|
不适用
|
|
专用于ADS的车辆控制器应明确标识和可区分,以适应适当的交互。
|
设计要求(审核支柱)。
|
不适用
|
|
当ADS功能处于激活状态时,它应通知用户:
a)ADS状态信息;
b)后备用户的角色(如果适用);
c)限制ADS可用功能安全运行的任何故障。
|
设计要求(审核支柱)。
|
不适用
|
|
ADS应指示激活功能的可用性。
|
设计要求(审核支柱)。
|
不适用
|
|
要求
|
备注
|
ISMR适用性
|
|
关于ADS功能激活的要求
|
||
|
ADS应确保安全的ADS功能激活:
a)当用户尝试激活ADS功能时,ADS应提供提示,以指示激活成功或失败;
b)功能激活过程(例如,动作和状态的顺序)应考虑相关建议或标准要求;
c)导致用户成为后备用户的ADS功能激活时应通知后备用户对他们的后续期望。
|
设计要求(审核支柱)。
|
不适用
|
|
要求
|
备注
|
ISMR适用性
|
|
关于手动停用ADS功能的要求
|
||
|
ADS应具有监控系统,以支持必要时用户的安全和适当参与。
|
设计要求(审核支柱)。
|
不适用
|
|
停用流程完成后,横向和纵向控制应在没有任何持续控制辅助的情况下归还给驾驶员。
|
设计要求(审核支柱)。
|
不适用
|
|
要求
|
备注
|
ISMR适用性
|
|
允许用户启动“系统停用”的ADS功能的要求
|
||
|
ADS的设计应确保安全的用户启动ADS系统停用流程:
a)只有当ADS能够确认用户能够恢复驾驶员的角色时,ADS才允许用户启动系统停用流程;
b)ADS功能停用可能会延迟,如果它是由ADS评估该情况不适合于后续的车辆操作模式(例如,驾驶员没有充足的时间接管车辆);
c)用户启动的系统停用流程(例如,动作和状态的顺序)应考虑相关建议或标准要求;
d)ADS应在停用流程完成前评估用户是否适合参与恢复DDT;
e)ADS应具体表明ADS已完成停用;
f)如果适用,在ADS停用时,车辆控制、指示灯、警告和告警应设置为手动驾驶的适当状态。
g)如果适用,ADS功能关闭的操作控制不应再影响关闭或与关闭相关的控制。
|
1.可以进行一定程度的监控。但是,大多数点不适合ISMR支柱。可以对a)和b)点进行监控。
2.根据NATM事件列表报告的不安全条件下的接管预防。
3.根据在役监控系统要求中列举的事件列表报告的驾驶员不可用(如适用)和其他与用户相关的事件。
|
有限适用
|
|
要求
|
备注
|
ISMR适用性
|
|
ADS具有系统启动的“ADS停用”功能的要求
|
||
|
ADS应确保系统启动的安全停用的要求:
a)应及时指示在正常情况下系统启动的停用,以支持后备用户重新参与驾驶任务;
b)系统启动的自动驾驶停用过程(例如,动作和状态序列)应考虑相关建议或标准要求;
c)ADS应:
i. 持续评估后备用户是否可用于系统启动的停用;
ii. 提供有效的程序来重新吸引已检测到不可用的后备用户;
iii. 在重新吸引后备用户不可能、不可行和/或不安全的情况下触发最小风险策略MRM;
iv. 在适当的情况下,根据当前情况(例如后备用户的参与、ADS和车辆的状态、当前交通状况)调整系统启动的停用流程(例如,时间、警告级别);
d)ADS应在停用流程完成前评估用户是否适合参与恢复动态驾驶任务DDT;
e)ADS应保持激活状态,直到系统启动的停用流程完成或ADS车辆达到最小风险状态MRC;
f)ADS应明确表明ADS已完成停用;
g)如果适用,在ADS停用时,车辆控制、指示灯、警告和告警应设置为手动驾驶的适当状态;
h)如果适用,ADS功能关闭的操作控制不应再影响关闭或与关闭相关的控制。
|
1.可以进行一定程度的监控。但是,大多数点不适合ISMR支柱。点c)可以监控。
2.已包含在在役监控系统要求中列举的事件列表中的与控制权转移故障和驾驶员不可用相关的事件。
|
有限适用
|
|
要求
|
备注
|
ISMR适用性
|
|
不允许用户手动控制DDT的ADS功能的要求
|
||
|
ADS应为乘客提供请求停车的手段。
|
设计要求(审核支柱)。
|
不适用
|
|
ADS车辆应向乘客提供安全相关信息。
|
它可以被监控
|
广泛适用
|
|
除非对乘客的安全风险得到缓解,否则ADS不得启动运动。
|
设计要求(审核支柱)。
|
不适用
|
|
ADS可以向用户提供与正在进行的操作(例如,目的地、即将到达的站点、路线进度)相关的信息。
|
设计要求(审核支柱)。
|
不适用
|
|
为手动驾驶提供的控制装置(例如方向盘、行车制动器、驻车制动器、油门、照明)的设计应防止ADS执行DDT时对DDT产生任何影响,或者应设置合理的保护措施以防止接近控制装置。
|
设计要求(审核支柱)。
|
不适用
|
|
要求
|
备注
|
ISMR适用性
|
|
ADS及其功能全生命周期的安全要求
|
||
|
ADS须提供接口,供授权人维修保养。
|
设计要求(审核支柱)。
|
不适用
|
|
ADS的设计应防止未经授权访问和修改ADS功能。
|
进行监测;
需要报告未经授权访问和修改ADS功能的事件。
|
广泛适用
|
|
确保防止未经授权访问的措施应与工程最佳实践保持一致。
|
设计要求(审核支柱)。
|
不适用
|
|
在停止生产、支持和/或维护的情况下,应确保ADS安全。
|
设计要求(审核支柱)。
|
不适用
|
|
注:短期报告中报告的重大事件可能是不符合ADS安全要求的。
|
||
来源:智驾小强
