L3不是冗余备份,L3是体系安全

许多人认为自己只要上了冗余备份,做到感知冗余、通讯冗余、制动冗余、电源冗余和转向冗余,在主系统出现问题时,无缝切换至备份系统,保证车辆的安全行驶,自己就是L3级自动驾驶了。果真如此么?

驾驶不仅仅是简单的物理操作,更是一种复杂的认知和行为过程,涉及战略、战术和操纵三个行为层面。

当你决定从家中开车到公司时,会涉及到:对当前驾驶条件(例如:自己是否没睡醒、车辆剩余油量/电量、道路拥堵情况、是否有雨雪雾霾天气、是否有便捷公共交通等)、在这些驾驶条件下开车所涉及的风险(例如:半路抛锚、遇到堵车、车祸等)、以及准时到达公司的概率进行战略评估。最终决定乘坐公共交通或者开车走某条路线去公司。

 当你决定开车走某条路线去公司时,在驾驶过程中,你会根据途中遇到的各种条件做出战术决策(例如超车、变道或转向另一条道路)。在变道时,你会进行战术评估(例如:目标车道是否有车、是否是禁止变道的实线、是否有车正在向目标车道变道等)。最终确定变道是可行的后,你会在操纵层面上进行持续调整(例如:启动转向灯,在保持适当速度的同时转动方向盘),最终完成变道。

自动驾驶系统ADS由硬件和软件组成,它们共同能够在一个或多个设计运行域ODD中持续执行整个动态驾驶任务DDT。需要人工干预来执行DDT的驾驶自动化系统不是自动驾驶系统ADS。

3.什么是L3级自动驾驶系统?

L3级别的自动驾驶技术,是汽车自动驾驶技术中的第四级,表明自动系统能够执行特定的驾驶任务,并在某些情况下对驾驶环境进行监控。

在L3级别下,自动驾驶系统可以完全取代驾驶员的操作,只是在紧急不可控情况下留给驾驶员一定的时间来接管车辆。

在L3级自动驾驶系统开启时,事故的责任主体将是系统而非后备驾驶员。

图片

4.

自动驾驶系统ADS设计是一个复杂且多维度的过程,需要综合考虑多个方面以确保系统的安全性、可靠性、高效性和适应性,绝不仅仅是冗余了事。

至少要考虑以下内容:

(a)系统安全;

(b)故障安全响应;

(c)HMI人机界面/操作员信息;

(d)目标和事件检测与响应OEDR(Object and Event Detection and Response);

(e)运行设计域ODD(Operational Design Domain);

(f)系统安全验证(仿真、轨道、公开道路);

(g)网络安全;

(h)软件更新;

(i)自动驾驶事件数据记录系统DSSAD(Data Storage System for Automoted Driving);

(j)远程操控;

(k)在役车辆的安全;

(l)相关者(消费者、运营者、安全员等)教育和培训。

ADS必须展示其安全驾驶车辆、应对外部复杂驾驶条件、管理内部故障的能力。

ADS的设计必须确保车辆在整个使用寿命期间(设计、开发、生产、运行、报废)的使用安全和用户安全,能够避免对驾驶员、乘客和其他道路使用者造成不合理的风险。

企业应建立覆盖车辆全生命周期的功能安全、信息安全和预期功能安全流程,包括设计、开发、生产、运行、服务及报废等阶段。

ADS是否符合安全要求,取决于五个验证支柱:

(a)文件和审核

(b)仿真测试

(c)场地内轨道测试

(d)真实道路测试

(e)在役检测和报告

五个支柱需要结合使用,以对ADS符合安全要求的情况进行有效、全面和一致的评估。

 安全管理体系SMS是一种管理安全的系统方法,它包括并整合了与ADS相关的组织、人力和技术因素:

(a)人力因素:确保ADS生命周期的人的组成部分由具有适当技能、培训和理解的人员监控,以识别风险和适当的缓解措施;

(b)组织(管理)因素:采用系统性的程序和方法,有助于管理已识别的风险,了解它们与其他风险和缓解措施的关系和相互作用,并帮助确保没有不可预见的风险。

(c)技术因素:使用适当的工具和设备。

目前交通规则都是针对人类驾驶员的,里面有很多基于人类理解的假设。

比如英国《公路法规》第195条规定(斑马线):

规则195:“当你接近斑马线时:注意等待过马路的行人,准备减速或停下来让他们过马路;当行人走到斑马线上时,你必须让路。”

图片

然而,该规则没有提到车辆应该停止多长时间,或者何时被认为是安全的再次行驶。有一个典型的基于人类理解的“隐含假设”,规则不认为有必要定义这一点。然而,对于ADS车辆,车辆停止多长时间以及何时再次离开将由自动驾驶系统及ADS对该场景的相关参数的分析确定,并需要指定。

要想让ADS满足交通规则,就需要对交通规则进行“编码”,对交通规则中的每一个具体场景进行解释。

驾驶涉及在当前交通场景下的实时风险管理,因此,ADS的DDT安全性能取决于每个单独交通场景下,DDT呈现的行为能力。

行为Behaviour:特定目标导向的行动,由参与的ADS在不同的时间尺度上完成ODD内的DDT或DDT回退(如果适用)。

行为能力Behavioural Competency:ADS在其功能的ODD范围内操作车辆的预期和可验证的能力。

在不同交通场景下,如拥堵、施工、事故、合流、环岛、无信号灯路口等等,ADS要展示相应的行为能力,每个交通场景都与一个或多个行为能力相关联。

正常交通场景下ADS的性能指标之一是遵守道路交通规则。此外,ADS安全要求也规定ADS应根据运营区域内相关法律的要求遵守交通规则” 但是,并不是所有的交通场景都有对应的交通规则文本(明确要求),根据交通规则进行测试是具有挑战的。

这时候就需要建立“老司机”模型,看成熟稳重的人类驾驶员面对不同的交通场景是怎么做的。

正常交通场景下,ADS能遵守道路交通规则;在意外情况下,例如其他交通参与者造成的可能导致事故的非预期情况(未打转向灯突然别车、对向车道忽然借本车道超车、前车货物跌落等),自动驾驶系统应该像成熟稳定的人类驾驶员(老司机)一样执行规避行动,以实现最小化任何人类(ADS车内、车外)伤害

交通场景(Traffic Scenario):交通场景是在给定旅行期间可能发生的一个或多个驾驶情况的描述(旅行是车辆从起点到目的地穿越整个旅行路径)。交通场景会涉及许多元素,例如DDT的部分或全部、不同的道路布局、不同类型的道路使用者、静态或多样化动态的物体、不同的环境条件以及许多其他因素。

基于场景的验证方法应包括对相关、正常、故障、关键和复杂场景的充分覆盖,以有效验证ADS。

图片

交通场景可以按照不同的抽象等级分为功能场景、抽象场景、逻辑场景、具体场景。

功能场景可以涵盖几个方面,例如:不同抽象级别的道路几何(例如:双车道直道高速公路)、环境条件(例如:夏季晴天)、自车行为(例如:跟车行驶、变道)、移动/静止目标(例如:前方隧道、限速牌、突然切入的旁车)

逻辑场景应涵盖功能场景未涵盖的其他方面,例如,绝对速度、加速度、位置、故障、通信故障、更详细的道路几何形状。逻辑场景又称为包含的参数场景,参数一般是一个范围或概率分布。

具体场景则是用明确的参数值描述物理属性的场景。

对ADS制造商安全管理体系的审计和对ADS制造商安全案例、安全概念的评估,是ADS安全验证的重要支柱之一。为了实现这种审计和安全评估,ADS制造商需要提供某些留档。审计和安全评估将由批准机构(政府部门)或独立第三方(认证公司、试验场)执行。

正常场景下:ADS车辆不得造成交通事故或扰乱交通流。

紧急场景下:ADS车辆不得造成任何可合理预见和预防的导致伤亡的交通事故。

故障场景下:ADS车辆需确保系统安全,能够应对损害ADS执行整个DDT能力的系统故障。

ADS的DDT性能需要进行验证测试,常用的测试方法包括:仿真测试、场地内轨道测试、真实道路测试三种。

制造商内部开发&开发完成后监管机构型式验证批准时,需要根据不同的性能要求,选择适用的测试方法。

自动驾驶系统ADS和用户之间的安全交互涉及:明确的角色&责任划分、有效的沟通和反馈机制、友好易用的用户界面、数据安全&隐私保护、法规符合性、用户教育&培训等多个方面。

这些要求旨在确保自动驾驶系统在使用过程中既能保障用户的安全,又能提供高效、便捷的驾驶体验。

要想证明自动驾驶系统满足相应的安全交互要求,需要仿真测试、场地内轨道测试、真实道路测试等测试支柱进行支撑。

通过数学建模和仿真技术来模拟测试自动驾驶汽车的功能和性能,以评估其可靠性、安全性和适应性等。这种方法可以在现实世界中极难测试测试成本极高的场景下对ADS进行验证,从而提高自动驾驶系统的安全性和可靠性。

建议在执行相同场景时,将ADS性能的仿真测试与其在现实世界中的性能进行比较。这将提供评估所使用的仿真测试工具链准确性的机会。鉴于仿真测试可以执行的场景数量比场地内轨道测试多,验证可能需要在相关场景的较小但仍然足够代表性的子集上执行,以便证实验证场景之外的任何推断。

在自动驾驶系统的开发过程中,仿真测试和置信度评估是相互依存、相互促进的。通过仿真测试可以发现潜在的问题和风险,而置信度评估则可以确保仿真测试结果的可靠性和有效性。因此,在自动驾驶系统的开发过程中,应充分利用仿真测试和置信度评估手段,不断提高自动驾驶系统的安全性和可靠性。

图片

轨道测试在封闭测试场地上进行,该场地使用真实障碍物和障碍物替代品(例如,假人假车等碰撞目标)来评估ADS的安全要求(例如,人为因素、安全系统)。这种测试方法允许通过评估ADS子系统(感知系统的感知能力、人机交互系统的安全交互等)整个ADS系统在真实物理环境中的表现,来评估ADS车辆的性能。可以在测试期间控制或测量外部输入和条件。

真实道路测试使用公共道路来测试具有自动驾驶系统(ADS)的车辆在现实世界交通中的能力和安全符合性要求,它提供了在其真实操作环境中验证ADS安全性的机会。

在进行真实道路测试时,至少需要做到以下测试内容和要求:

(a)始终与其他道路使用者ORUs一起进行,在禁止ORUs的公共道路上进行的测试应被视为轨道测试;

(b)评估在真实交通条件下ADS的驾驶性能,例如:

             (i)与其他道路使用者的互动;

              (ii)平稳驾驶;

              (iii)处理密集交通流(拥堵工况)的能力;

              (iv)维持交通流(不扰乱交通流);

              (v)对其他车辆体贴礼貌;

(c)评估ADS在某些ODD边界(正常和复杂情景)的性能,即系统是否在预期时间(例如ODD结束前、天气条件)触发了对驾驶员的过渡请求。该测试也可用于确认这些条件下与人安全交互的性能;

(d)真实道路测试用于场地内轨道测试和仿真测试可能无法很好地捕捉到的问题,例如感知能力的限制(例如由于光照条件、雨水、降雪等)。

在役监控系统是一种专门用于对已经部署并投入实际道路运行的自动驾驶车辆进行持续性能监控和安全评估的系统。该系统旨在收集和分析代表在役ADS性能的各种信息,以便及时发现并解决潜在的安全问题,确保自动驾驶车辆在各种运行条件下都能保持高度的安全性。

ISMR的实施旨在实现三个主要目标:

(a)确定需要解决的与ADS安全性能有关的风险,包括不遵守ADS安全要求的情况(目标1);

(b)当ADS在意外情况下无法安全运行时,通过捕获信息来支持开发可测试的交通场景(目标2);

(c)分享事件、事故信息和建议,以促进ADS安全性能的持续改进(目标3)。

本文将讲述自动驾驶系统的DDT性能&安全交互在役监控和报告ISMR支柱的映射关系, 以下矩阵指示哪些要求适合ISMR活动。该矩阵旨在为ADS车辆制造商和监管当局监测ADS在役状态提供指导。

本文提供了一个模板,用于协助ADS制造商和ADS运营商在自动驾驶车辆发生紧急事件时实施短期报告。

        “紧急事件Critical Occurrence是指至少满足以下标准之一的事件:

(a)至少有一人因在车内或参与事件而受伤需要医疗救治或死亡;

(b)ADS车辆、其他车辆或静止物体遭受超过一定阈值的物理损坏;

(c)任何参与事件的车辆经历了气囊弹出。

非紧急事件Non-critical Occurrence是指影响或可能影响ADS安全但没有导致碰撞或严重事故的操作中断、缺陷、故障或其他情况(例如:轻微事故、不妨碍正常操作的安全降级、防止碰撞的紧急/复杂操作,以及更普遍的与在役ADS的安全性能相关的所有事件(如控制转移、与远程操作员的交互等)

本文提供了一个模板,用于协助ADS制造商和ADS运营商定期实施周期性报告。