SAE J3016：驾驶自动化分级（2021年4月，中文版）

8、进一步探讨

8.1
本文件不是规格书和没有强制的需求

J3016 提供了一种逻辑分类，用于对驾驶自动化功能（和配备ADS车辆）进行分类，以及一组支持分类的术语和定义，并以其他方式标准化相关概念、术语和用法，促进清晰交流。因此，J3016 是基于合理协议的惯例，而不是技术规范。

就其本身而言，J3016 没有规定任何要求，也没有赋予或暗示任何系统性能判断。因此，虽然可能适当地说明，例如，给定的ADS 功能不符合级别 4 的定义，因为它偶尔依赖于远程后备用户来执行召回（因此是级别 3 功能） ，不宜断定所讨论的功能是“不合规”或“不安全”。

8.2
级别是指定的，而不是靠测量，反映其制造商定义的驾驶自动化系统功能的设计意图。

从实际出发，不可能描述或指定用于给定 ADS 功能的完整测试或一组测试，以最终确定或验证其驾驶自动化水平。如本规范定义的，级别划分表示该功能的设计意图，告诉潜在用户或其他兴趣方该功能可以预期起的功用，使得在该功能被使用时用户与驾驶自动化系统的角色协调一致。级别指定通常基于制造商对功能/系统的设计，开发和测试的知识。ADS 的功能和局限通过各种手段传达给潜在用户，例如在用户手册中详细说明了包含应该和不应该使用的功能，存在哪些限制（如果有的话），以及在驾驶自动化系统或车辆中发生DDT 执行相关的系统故障时该做什么（如果有的话）。

因此，驾驶自动化系统或用户对其使用中的一个或多个性能缺陷的表现不会自动改变等级指定。例如：

•其制造商设计为5级的ADS功能不会因为遇到特定道路无法操作车辆而自动降级到4 级。

•坐在装备 3 级 ADS 功能车辆驾驶员座位上的用户是 DDT 后备就绪用户，即使他/他不

接受请求干预，因为他/他不当地睡着了。

驾驶自动化系统功能的级别对应于功能的生产设计意图。无论其所配备的车辆是已经部署在商业中的生产车辆还是尚未部署的测试车辆，这都适用。若因为路测需要测试驾驶员在使用时监督功能，并在必要时进行干预以确保安全操作，而将配备 4 级设计预期ADS 功能的测试车辆上分类为 2 级是不正确的。

8.3
等级划分是定类，而非定序且不会有小数

虽然按顺序编号为 0 到 5，但 J3016 级别在相对优点，技术方面没有指定或暗示层级复杂性或部署顺序。因此，J3016 没有指定或暗示，例如，等级 4 比等级3 或 2 级“更好”。

此外，虽然可以具有相对高功能的 ADS 功能，例如能够执行的 3 级功能在其 ODD 内的大多数但不是所有可预见的条件下自动实现最小风险条件，它会违反 J3016 的定义是指诸如“低功能”或“部分”4 级 ADS 功能之类的功能。同样，小数位描述 SAE J3016 等级驾驶自动化功能是不正确的，例如2.5或4.7。合格或小数位会消除J3016 提供的严格清晰和等级，将使给定车辆中后备用户和用于执行DDT的驾驶自动化系统之间的角色划分变得模糊。

8.4
级别互不包容

这种分类法的层次是有意的离散和相互排斥的。因此，给定功能被分配多于一个级别在逻辑上是不可能的。例如，由制造商描述为能够低速在完全访问控制的高速公路上执行密集车流中执行完整 DDT 的驾驶自动化功能不能同时属于 3 级和 4 级，它要么能够自动执行DDT召回并在需要时达到最小风险状态，或者依赖驾驶员来响应干预请求并执行 DDT 或达到最小风险状态。

然而，根据使用规范和/或用户偏好，驾驶自动化系统很可能拥有在不同级别的多个功能。例如，配备驾驶自动化系统车辆可以在变化的条件下实现：1 级 ACC 功能，2 级道路驾驶辅助，3 级高速公路交通拥堵功能以及 4 级自动代客泊车功能 – 以及允许用户在没有驾驶自动化功能的情况下 0 级操作车辆。从用户角度来看，即使驾驶自动化系统利用大量相同的底层硬件和软件技术来提供所有四种驾驶自动化功能，这些各种功能的使用是有次序的而不是同时进行的。

8.5
执行DDT，执行后备和实现最小风险条件是单独的功能。

为 3,4 级，或 5级ADS 在讨论处理系统故障或操作失败的设计域（超出 ODD）条件时，SAE J3016 框架区分以下三个独立功能：（i）DDT 执行，（ii）DDT 后备执行，以及（iii）最小风险条件的实现。

i. 在 ADS 功能正常操作条件下执行DDT。也就是说，该功能在正常运行时及其 ODD范围内执行完整的 DDT（如有）。

ii) 当 ADS 无法继续执行整个 DDT 时（即在正常操作条件），进行DDT后备支援，对于 3 级 ADS 功能，召回后备用户（车内或远程）预计会响应干预请求或是动觉明显的车辆故障，则可以通过恢复手动驾驶来响应干预请求，但如果车辆不能运行，则实现最小风险条件。对于 4 级或 5 级 ADS，该功能或系统通过自动实现最小风险条件来执行后备支援，例如，通过停到路肩，打开危险警示灯，禁用推进系统以及召唤路边援助。（注意：某些 3 级功能可能被设计为在某些情况下自动执行后备并实现最小风险条件，例如当存在无障碍的相邻路肩时，但在其他情况下不存在，例如当没有这样的路肩可用。）当 ADS 执行后备时，它会将车辆调整到最小风险状态，从而结束后备响应。然而，当后备就绪用户执行应急支援时，他/她可以简单地继续手动操控，而不是仅实现最小风险条件。

iii) 执行L4/L5级后备和实现最小风险条件要求ADS 在发生与 DDT执行相关的系统故障或超出ODD 外之后仍然有效。如果 ADS 不起作用，则可能适用故障缓解策略（见3.11和8.6）。最小风险条件取决于触发后备时的车辆状况和操作环境，并且可以遵循降级模式策略，该策略考虑包括继续操作、停靠路边或就地停止的相对风险。

8.6
DDT后备与与故障缓解策略

配备ADS车辆可能具有额外的故障缓解策略，旨在使车辆在故障发生的任何地方都能够受控制停车，例如，如果3级子行程交通拥堵功能的车内后备就绪用户在交通疏通后（超出ODD条件）未能响应干预请求，则车辆可能具有设计用于使车辆在其当前行驶车道上受控停车并打开危险警告灯的故障缓解策略。图13显示了一个示例用例序列。

配备 ADS 的 4 级和 5 级车辆也可能具有在某些罕见的严重故障条件下停止故障的故障缓解策略，这些故障条件会导致 ADS 无法正常工作，例如在初始电源故障后失去备用电源或ADS 的计算能力丧失，使其无法执行后备并实现最小风险条件。

车辆执行的故障缓解与最小风险条件的实现不同，并且不属于划分给4级或5级ADS的后备功能，因为它发生在 ADS 断开或由于罕见严重事件而丧失能力之后，因此它也不属于 SAE J3016 的范围。



图 13 用于显示 3 级功能的 ADS 发生故障或超出 ODD 外相应情况的顺序，由执行应急支援的后

备用户，或者，如果后备用户未能执行此操作，则可以进行故障缓解策略，例如停在车道。

（注意：虚线表示故障缓解策略。）



L4 级 ADS 的响应顺序，严重事件（例如，完全停电）并且系统实现最小风险条件
（注意：虚线表示故障缓解策略。）

8.7
L5 级“完全驾驶自动化”是 0 级“无驾驶自动化”的反向模拟。

如 J3016 中所规定的，级别 5 与级别 4 的区别在于，其操作上不限于特定的操作设计域，并且在熟练的驾驶员通常可以驾驶传统车辆的任何地方/道路上运行。

例如，L4 级 ADS-DV 设计用于特定地理围栏城市中心的低速运行，称为“完全自动化” 或“完全自动的”是不正确的，应该避免。这种区别能识别到不能操作传统车辆的用户，因为配备 5 级 ADS 的车辆能够满足所有相同的出行需求，也就表明其他用户能够操作。

8.8
关于第 5 级的实际考虑

有技术和实际的考虑因素减轻了规定的字面含义，即 5 级 ADS 必须能够“在通常技术熟练的驾驶员可以合理操作传统车辆的任何地方道路上操作车辆”，这也许是不可能实现。

例如，配备 ADS 的车辆能够在整个美国的所有道路上操作车辆，但由于法律或商业原因，无法在加拿大或墨西哥境内操作车辆，但仍然可以被视为 5 级，即使地理围栏仅在美国境内运营。此例外的理由是，地理围栏限制（仅限美国）不是由于对 ADS 技术能力的限制，而是由于法律或业务限制，例如加拿大和墨西哥/中美洲的法律限制禁止 L5 级部署，或无法为这些市场扩展业务。

8.9
当 3 级，4 级或 5 级 ADS 使用时，用户请求执行DDT

装备有 3 级 ADS 功能的车辆预计将根据 DDT 后备用户的要求放弃动态驾驶任务（DDT）。这种期望是DDT 后备用户能够在需要时执行DDT 召回的逻辑结果，包括在发生 DDT 执行相关车辆系统故障的情况下，ADS 可能未监控（如破碎的悬挂部件）。

一些配备驾驶自动化功能的车辆可能设计不允许驾驶员操作（如 ADS-DV）。在这些类型的车辆中，乘客可通过拉紧急停止杆来要求停车，ADS 响应并且达到最小风险状况（例如，鉴于相邻路肩的可用性），或执行中途停车机动。

当然，也有配备 4 级或 5 级驾驶自动化功能的车辆可以设计驾驶员操作（即在任何较低级别，包括 0 级）。即使 ADS 没有发出干预请求，用户也可以要求操作这车辆。在这些情况下，ADS 可能会延迟放弃 DDT，以确保顺利过渡到司机操作而防止危险状况。