首页 > 汽车技术 > 正文

自动驾驶合规宝典3~ADS设计时要考虑的因素

2024-07-22 13:35:11·  来源:智驾小强  
 

自动驾驶系统ADS设计是一个复杂且多维度的过程,需要综合考虑多个方面以确保系统的安全性、可靠性、高效性和适应性。


至少要考虑以下内容:

(a)系统安全;

(b)故障安全响应;

(c)HMI人机界面/操作员信息;

(d)目标和事件检测与响应OEDR(Object and Event Detection and Response);

(e)运行设计域ODD(Operational Design Domain);

(f)系统安全验证(仿真、轨道、公开道路);

(g)网络安全;

(h)软件更新;

(i)自动驾驶事件数据记录系统DSSAD(Data Storage System for Automoted Driving);

(j)远程操控;

(k)在役车辆的安全;

(l)相关者(消费者、运营者、安全员等)教育和培训。


(a)系统安全


需要建立安全管理体系SMS(Safety Management System),使用健全的流程来管理安全风险,并确保整个ADS生命周期(开发、生产、运营和报废)的安全。


SMS是一种管理安全的系统方法,它包括并整合了与安全相关的组织、人力和技术因素:


(i)人力因素:确保ADS生命周期的人的组成部分由具有适当技能、培训和理解的人员监控,以识别风险并制定适当的缓解措施;

(ii)组织(管理)因素:采用系统性的程序和方法管理已识别的风险,了解它们与其他风险和缓解措施的关系和相互作用,并协助确保没有不可预见的后果。

(iii)技术因素:使用适当的工具(8D、FMEA、FAT等)和设备。


确保ADS车辆不会对更广泛的运输生态系统,特别是ADS车辆使用者和其他道路使用者造成不合理的安全风险。


确保ADS车辆会严格遵守所在地区的交规。



图片


(b)故障安全响应


(i)正常情况下的DDT性能要求应在合理可行的范围内继续适用于故障情况,以尽量减少总体风险;

(ii)ADS应检测故障、失效和异常,如果这些故障、失效和异常会损害ADS在其ODD内执行整个DDT的能力;

(iii)当故障不妨碍ADS功能的安全要求时,ADS功能应继续运行;

(iv)ADS可以允许激活和使用受故障影响的功能,前提是ADS能继续执行整个DDT;

(v)ADS应根据故障的严重程度调整其DDT性能,以确保道路安全;

(vi)如果故障会损害ADS在其功能的ODD内执行整个DDT的能力,在该故障出现时,应禁止激活该ADS功能;

(vii)ADS的受限操作应符合安全要求;

(viii)监管部门要求时,制造商和/或服务运营商可以远程终止单个或多个ADS功能;

(ix)执行ADS的远程终止时,ADS应能够安全响应;

(x)远程终止ADS后,用户将无法再次激活。


(c)人机界面/操作员信息


应至少考虑以下ADS相关人机界面信息:


(a)ADS功能、能力和限制的操作描述(信息还应提及具体情景和/或对应的ODD);

(b)正确使用ADS及其功能的条款;

(c)ADS的启用和停用说明,明确解释用户启动的停用和系统启动的停用之间的区别;

(d)当ADS(功能)处于激活状态时,驾驶员/安全员/用户和ADS的角色和职责的描述;

(e)如果允许角色转换,角色转换的描述以及这些转换的程序;

(f)当ADS功能处于激活状态,控制车辆运动时,ADS如何应对用户的干预;

(g)当ADS功能处于激活状态时,允许的非驾驶相关活动NDRA(Non-Driving Related Activities)的一般概述;

(h)用户的安全注意事项和安全相关信息;

(i)与HMI指示相关的信息:

(i)视觉信号,图标;

(ii)听觉信号;

(iii)触觉信号;

(j)ADS发生故障时应采取的安全措施;

(k)维修保养操作的范围、时间和频率;

(l)进行定期技术检查的方法;

(m)维护、修理和定期技术检查的文件和模板;

(n)符合技术功能限值的预防性声明;

(o)数据保护和数据安全功能。


(d)目标和事件检测与响应OEDR(Object and Event Detection and Response)


应能精确识别和预测其他道路使用者的位姿,并做出合理响应,比如:



(e)运行设计域ODD(Operational Design Domain)


特定自动驾驶系统或其功能被专门设计为运行的操作条件,包括但不限于环境、地理和一天中的时间限制,和/或某些交通或道路特征的必要存在或不存在。(SAEJ3016)


ADS必须确保:

(i)它可以在其ODD中合理预期的条件下安全地运行;

(ii)它将仅在其ODD中使用;

(iii)它可以监控它是否在其ODD内部/外部并做出适当的响应。


构成ADS运行设计阈ODD的条件将有助于确定需要哪些ADS能力。例如,如果ADS的ODD包括没有交通信号灯的路口,则该ADS所需的行为能力之一可能是“无保护的左转或右转”。然而,如果ADS的ODD仅限于高速公路或有交通信号灯的路口,则可能不需要相应的行为能力。


应明确ADS及ADS功能的ODD条件和边界(例如,道路速度限制、道路类型和道路特征、国家、环境、道路条件等),并以可衡量和/或可验证的方式包括每个ADS功能的ODD条件和边界


除非满足功能的ODD条件,否则ADS应阻止功能的激活。


当使用中的功能的一个或多个ODD条件不再满足时,ADS应执行安全回退响应。


ADS应能够预测每个功能的ODD的可预见出口(边界条件)。


(f)系统安全验证


(i)制定交通场景测试集;

(ii)场地内轨道测试;

(iii)仿真测试;

(a)模型在环(MIL);

(b)软件在环(SIL);

(c)硬件在环(HIL);

(d)车辆在环(VIL);

(e)驾驶员在环(DIL);

(iv)真实道路测试。


(g)网络安全


(i)网络安全管理系统CSMS(Cyber Security Management System);

(ii)风险识别、缓解措施;

(iii)次要风险和残余风险评估;

(iv)持续的风险评估,保持最新状态;

(v)能有效应对新的威胁和漏洞。




(h)软件更新

(i)软件更新管理系统SUMS(Software Update Management System);

(ii)Rx软件识别号RxSWIN(Software Identification Number);

(iii)为符合立法要求而实施的软件更新程序和管理制度。


(i)自动驾驶事件数据记录系统DSSAD(Data Storage System for Automoted Driving)


(i)存储位置和碰撞生存能力;

(ii)车辆运行和事故期间记录的数据;

(iii)数据安全和防止未经授权的访问或使用;

(iv)对数据进行授权访问的手段和工具。


(j)远程操作


(i)远程操作需要一个高效稳定的通信系统,以确保远程操作指令能够实时、准确地传输到车辆,并接收车辆状态反馈;

(ii)远程操作员应熟悉并遵守当地交通规则,包括速度限制、车道规定、交通信号等,以确保自动驾驶车辆在行驶过程中不违法违规;

(iii)针对可能发生的各种突发情况(如车辆故障、网络中断、黑客入侵等),制定详细的应急处理预案,并定期进行演练;

(iv)远程接管时车辆应能安全的移交DDT。


图片


(k)在役车辆的安全


在ADS的整个生命周期内,ADS的安全性能仍然是制造商的责任。制造商和车队经营者(如适用)应建立旨在收集和分析车辆数据以及来自其他来源(公安交警部门)的数据的监测流程。它应提供ADS在役安全性能的证据和安全管理体系要求的审计结果的确认性证据。


(i)监测ADS引起的紧急和非紧急事件;

(ii)在运营阶段管理潜在的安全相关漏洞;

(iii)在安全相关事件发生时向当局报告的方式、流程、模版等;

(iv)确认是否符合定义的安全案例;

(v)分享从事件和险情分析中获得的经验教训;

(vi)为汽车安全的持续改进做出贡献。


(l)相关者(开发者、消费者、运营者、安全员等)教育和培训

通过教育和培训,不断提升自动驾驶技术从业者、驾驶员以及公众对自动驾驶技术的理解、操作能力和安全意识。


自动驾驶技术从业者:包括算法工程师、软件开发人员、系统集成人员、测试工程师、运维工程师等,他们需要深入了解自动驾驶技术的原理、算法、系统设计、测试方法等方面的知识。


驾驶员/安全员/远程操作员:尤其是那些将驾驶配备自动驾驶功能的车辆的人员,他们需要了解自动驾驶系统的功能、操作方式、限制条件以及应急处理措施。


公众:通过教育和培训,提高公众对自动驾驶技术的认知度,包括其安全性、应用场景、潜在风险等。


培训内容包括但不限于:


(a)自动驾驶技术原理:

(i)感知技术:介绍摄像头、雷达、激光雷达等传感器的工作原理和数据处理方法;

(ii)控制技术:讲解自动驾驶车辆如何通过算法和控制系统实现自主驾驶;

(iii)导航技术:阐述地图和定位技术在自动驾驶中的应用;

(iv)安全技术:强调自动驾驶车辆的安全系统设计和保障措施。


(b)自动驾驶系统操作:

(i)系统启动与关闭:培训驾驶员如何正确启动和关闭自动驾驶系统;

(ii)模式切换:介绍如何通过遥控装置或车内按钮切换自动驾驶模式;

(iii)异常情况应对:教育驾驶员在自动驾驶系统出现故障或遇到特殊情况时的应对措施。


(c)道路交通规则与法律法规:

(i)讲解道路交通规则的基本内容和要求;

(ii)介绍相关法律法规对自动驾驶车辆的规范要求;

(iii)培训驾驶员在自动驾驶过程中如何遵守交通规则,避免违法行为。


(d)应急驾驶技能:

(i)教授驾驶员在自动驾驶车辆遇到紧急情况时如何接管车辆控制权,进行安全驾驶;

(ii)强调安全驾驶技能的重要性,包括制动、转向、避让等技巧。


(e)团队合作与问题解决能力:

(i)自动驾驶技术的研发和应用需要团队合作,因此培训中应强调团队协作意识的培养;

(ii)通过案例分析、模拟演练等方式,提升学员的问题解决能力。

分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25