1. ADS需要证明其安全性
2. 如何验证ADS的安全性
3. ADS安全性原则
1. ADS需要证明其安全性
自动驾驶系统(ADS)必须证明其能够安全地操作车辆、应对外部条件以及管理内部故障的能力。此外,ADS的设计必须确保在整个车辆使用寿命期间的安全使用以及其使用者的安全。
为了确保ADS的安全能力得到证明,需要通过建立完整的交通场景库来进行评估。该交通场景库需要包括:正常场景、紧急场景和故障场景。每种交通状况都需要根据其元素组合、风险和可用选项进行适当的响应。
紧急场景:例如其他交通参与者造成的可能导致事故的非预期情况(未打转向灯突然别车、对向车道忽然借本车道超车、前车货物跌落等)。
正常场景下:ADS车辆不得造成交通事故或扰乱交通流。
紧急场景下:ADS车辆不得造成任何可合理预见和预防的导致伤亡的交通事故。
故障场景下:ADS车辆需确保系统安全,能够应对损害ADS执行整个DDT能力的系统故障。
在紧急场景中定义ADS的性能标准可能较为困难。在这种情况下,可以使用适当的安全模型来评估ADS的性能,使其在安全模型的范围内进行评估。
ADS的安全水平至少应与熟练且谨慎的人类驾驶员相当或更高。这一概念对于最小化ADS车辆使用者和其他道路使用者面临的不合理安全风险至关重要。
制造商的ADS及其功能的安全案例将包括用于实施安全概念的设计流程描述,以及通过一系列证据有条理地展示ADS及其功能已通过足够的安全验证,以确保ADS性能中不存在不合理风险。
2. 如何验证ADS的安全性
验证ADS的能力是一项高度复杂的任务,仅通过一种验证方法无法全面且有效地完成。因此,有必要采用多支柱方法来验证ADS。
这些不同的验证方法旨在组合使用,以产生高效、全面且连贯的ADS安全性能评估。
每种测试方法都有其自身的优势和局限性,例如不同的环境控制水平、环境保真度、可扩展性和成本,这些因素都应予以考虑。
在某些情况下,可能需要应用多种方法来评估ADS应对现实交通中可能出现的各种情况的能力。使用多种方法可以在不同ADS的多样性中提供测试的灵活性、顺序性和应用性,同时避免不必要的重复和重叠。
下图展示了ADS安全要求、ODD分析和场景生成以及验证支柱之间的关系。
(a) 仿真/虚拟测试
它使用不同类型的仿真工具链,以评估ADS在广泛的虚拟场景中对安全要求的符合性,其中一些场景在现实世界中测试将极为困难甚至不可能。仿真/虚拟测试的可信度也包含在这一主题中。
(b) 场地测试它使用一个封闭的测试场地,包含各种场景元素,以测试ADS的能力和功能。
(c) 真实道路测试它使用公共道路来测试和评估ADS在实际交通条件下驾驶的能力。
(d) 审核/评估程序它们规定了制造商将如何使用文件向安全机构证明其ADS的能力,包括仿真、测试场地和/或现实世界测试。
审核将验证与系统相关的危险和风险是否已被识别,并且是否已建立一致的安全设计理念。
审核还将验证确保ADS在整个车辆生命周期内满足相关安全要求的健全流程/机制/策略(即安全管理体系SMS)是否到位。它还将评估不同评估支柱之间的互补性以及整体场景覆盖范围。
(e) 在役监控和报告它涉及ADS投放市场后的在役安全性。它依赖于在实地收集车队数据,以评估ADS在道路上运行时是否继续保持安全。
这些数据收集还可以用于为共同场景数据库补充来自实地的新场景,并允许整个ADS行业从重大的ADS事故/事件中学习。
3. ADS安全性原则
以下问题和原则清单,指导了WP.29及其相关附属工作组内关于自动驾驶车辆的讨论和活动。其目的是捕捉监管机构的共同利益和关切,提供工作的总体参数,并提供共同的定义和指导。
a) 系统安全:
当处于自动驾驶模式时,自动驾驶车辆应对驾驶员和其他道路使用者不存在不合理的安全风险,并确保遵守交通法规;
b) 故障安全响应:
自动驾驶车辆应能够检测其自身的故障或当[运行设计域(ODD)]的条件不再满足时。在这种情况下,车辆应能够自动(最小风险机动)过渡到最小风险状态;
c) 人机界面(HMI)/操作员信息:
在驾驶员可能参与(例如接管请求)驾驶任务的情况下,自动驾驶车辆应包含驾驶员参与度监测,以评估驾驶员对驾驶任务的意识和准备情况。
如果驾驶员需要重新获得对车辆的适当控制,车辆应要求驾驶员接管驾驶任务。
此外,自动驾驶车辆应允许与其他道路使用者进行互动(例如通过车辆运行状态的外部HMI等);
d) 目标和事件检测与响应(OEDR):
自动驾驶车辆应能够检测并响应在[运行设计域(ODD)]中可能合理预期的目标和事件;
e) 运行设计域(ODD):
制造商应记录其车辆上可用的ODD以及车辆在规定的ODD内的功能。
ODD应描述自动驾驶车辆打算以自动驾驶模式行驶的具体条件。
ODD至少应包括以下信息:道路类型;地理区域;速度范围;环境条件(天气以及白天/夜间);以及其他领域限制;
f) 系统安全验证:
制造商应展示基于系统工程方法的健全设计和验证过程,目标是设计出不存在不合理的安全风险的自动驾驶系统(ADS),并确保遵守交通法规和ADS法规中列出的原则。
设计和验证方法应包括对ADS、OEDR以及ADS将被集成的整体车辆设计的危险分析和安全风险评估。
如适用,应将更广泛的交通生态系统纳入此分析中。设计和验证方法应展示自动驾驶车辆在正常运行期间、碰撞避免情况下的行为能力以及后备策略的性能。测试方法可能包括仿真、测试场地和道路测试的组合;
g) 网络安全:
自动驾驶车辆应按照网络车辆物理系统的既定最佳实践,受到针对网络攻击的保护。制造商应展示他们如何将车辆网络安全考虑纳入ADS中,包括所有行动、变更、设计选择、分析以及相关测试,并确保数据在健全的文档版本控制环境中可追溯;
h) 软件更新:
制造商应确保系统更新以安全可靠的方式按需进行,并根据需要提供售后维修和改装;
i) 事件数据记录器(EDR)和自动驾驶车辆数据存储系统(DSSAD):
自动驾驶车辆应具备收集和记录与系统状态、故障发生、退化或故障相关的必要数据的能力,这些数据可用于确定任何碰撞的原因,并识别自动驾驶系统和驾驶员的状态。EDR和DSSAD之间的差异识别将被确定;
暂未被WP.29列入优先考虑的事项:
j) 车辆维护和检查:
通过维护和检查与自动驾驶车辆相关的措施,确保在用车辆的车辆安全。此外,鼓励制造商提供便于在碰撞后维护和修理ADS的文档。此类文档可能会确定确保自动驾驶车辆在修理后安全运行所需的设备和流程;
k) 消费者教育和培训:
制造商应开发、记录并维护员工、经销商、分销商和消费者的教育和培训计划,以解决自动驾驶车辆的使用和操作与传统车辆预期的不同之处;
l) 碰撞安全性和兼容性:
鉴于自动驾驶车辆和传统车辆将在公共道路上混合行驶,应保护自动驾驶车辆的乘员免受与其他车辆的碰撞;
m) 碰撞后自动驾驶车辆行为:
自动驾驶车辆应在参与碰撞后立即恢复到安全状态。将车辆置于安全状态包括考虑关闭燃油泵、移除动力、将车辆移至道路外的安全位置以及切断电力等。至关重要的是,ADS应具备与运营中心或碰撞通知中心进行互动的能力;
n) 人工智能:
车辆自动化基于硬件和软件的结合。联合国ADS法规中的要求基于该软件不包括在线车内学习人工智能的条件。
人工智能可用于在工程环境中分析和改进ADS软件。通过软件更新(OTA或本地连接)可以将此更新安装到车辆中,再次在运行此版本时没有车内学习功能;[这里是不是说,卖给客户的车辆,客户使用的过程,不能用于开发/完善ADS系统?]
o) 法规符合性:
ADS车辆应符合地区法规(例如数据保护、隐私保护等)。
来源:智驾小强
