自动驾驶合规宝典14～ADS的DDT性能要求

1.正常场景下ADS的DDT性能要求

2.紧急场景下ADS的DDT性能要求

3.故障场景下ADS的DDT性能要求

4.ADS在其ODD边界的DDT性能要求

5.最小风险状态MRC要求

6.DDT性能的测试需求

  由于ADS的配置条件、ODD特定条件和要求多种多样，这些因素可能影响DDT的安全性能，故而此处只有务求完善的功能性描述，没有规定具体指标的技术性能限制。

   “动态驾驶任务Dynamic Driving Task（DDT）”是指操作车辆所需的战术功能和实时操纵，包括感知、决策、规划、控制等。

     “运行设计域Operational Design Domain（ODD）”是指为实现ADS功能而专门设计的操作条件，包括道路特征、天气条件、交通流动态要素、ADS的操纵限制等。

1. 正常场景下ADS的DDT性能要求

根据联合国的指导意见：ADS车辆不得造成交通事故或扰乱交通流。可根据ADS车辆的ODD及运行区域内的预期交通条件，搭建正常交通场景。在该场景下，对ADS车辆进行测试验证，看ADS车辆是否符合“不得造成交通事故或扰乱交通流”这一目标。

正常交通场景下的测试，应通过尽量减少ADS-DDT的正常性能之外的风险因素（例如，系统在无故障的情况下测试），以对“ADS驾驶行为对其他道路使用者和交通流量的影响”进行针对性测试。

在正常操作和驾驶条件下，ADS的DDT性能要求：

2.紧急场景下ADS的DDT性能要求

 根据联合国的指导意见：ADS车辆不得造成任何可合理预见和预防的导致伤亡的交通事故。为了证明ADS车辆符合这一目标，可以通过使ADS车辆经受代表异常或意外交通条件、目标和目标行为的紧急交通场景来验证。

通过将可预见的外部风险因素引入场景中，可以评估ADS管理其ODD中可能出现的安全关键事件的能力。在紧急交通场景下，ADS的DDT性能要求：

3.故障场景下ADS的DDT性能要求

 根据联合国的指导意见：ADS车辆需确保系统安全，能够应对损害ADS执行整个DDT能力的系统故障。在故障交通场景下，ADS的DDT性能要求：

（a）正常交通场景下的DDT性能要求应在合理可行的范围内继续适用于故障交通场景，以尽量减少总体风险；

（b）ADS应检测所有的故障、失效和异常，如果这些故障、失效和异常会损害ADS根据留档在其ODD内执行整个DDT的能力；

（c）当故障不妨碍ADS满足其适用的安全要求时，ADS可在该故障的情况下继续运行；

（d）针对部分故障，ADS可以允许激活和使用受该故障影响的功能，前提是ADS继续提供执行整个DDT所需的功能；

（e）ADS应根据故障的严重程度调整其DDT性能，以确保道路安全（例如：侧方感知故障时禁止自动换道）；

（f）针对部分故障，ADS应禁止激活受该故障影响的ADS功能，如果该故障会损害ADS在该功能的ODD内执行整个DDT的能力；

（g）ADS的受限操作应符合适用的安全要求；

（h）当监管当局要求时，制造商和/或服务运营商可以远程终止单个或多个ADS或功能；

（i）执行ADS的远程终止DDT应能够触发ADS回退响应；

（j）远程终止ADS或ADS功能将使其无法被用户激活。

4.ADS在其ODD边界的DDT性能要求

ADS在其ODD边界的DDT性能表现要求如下：

“ODD出口 ODD exit”是指：

 “ADS后备响应ADS fallback response”是指系统启动的ADS停用或ADS控制程序，将车辆置于最小风险状态。

 “最小风险状态Minimal Risk Condition（MRC）”是指降低了碰撞风险的车辆稳定和停止状态。

  "后备用户Fallback user"是指为了执行ADS后备响应DDT而指定的用户。

5. 最小风险状态MRC要求

  最小风险状态MRC要求如下：

6.DDT性能的测试需求

第1-5章节中的每个要求都需要与相应的验证支柱（审核、仿真、轨道、路试）建立映射关系。

 正常场景下DDT性能的大多数要求，都可以用任何测试方法（仿真、轨道、路试）进行验证；然而，具有高交通流量的复杂场景可能难以在实验场地内的测试轨道上实施。

 紧急场景下DDT性能的要求，可以在现实世界中的正常交通中寻找很危险的、很困难的或不安全的场景。一些紧急场景可以在受控的试验场地内测试轨道上模拟搭建，但建议使用仿真测试来测试最危险的情况。

故障场景下DDT性能的要求，主要指ADS系统故障影响ADS执行整个DDT的能力的场景，必须考虑如何通过硬件或软件机制手动触发故障。在真实道路上，在正常的交通流中故意降低ADS的性能是危险的，除非在非常特定的低交通流情况下。故障场景测试更安全、更合适的方法是仿真测试和场地内轨道测试。

 ODD边界的DDT性能要求，主要指ADS与其ODD边界相互作用的情况。其中一些边界可以在场地内测试轨道上验证，前提是轨道测试是在作为ADS的ODD一部分或适当代表ODD的测试场地上进行的。然而，某些边界，例如地理围栏ODD边界边缘的性能，只能通过现实世界或仿真测试来验证。

 最小风险状态要求与ADS实现MRC有关。根据ADS的设计，这种MRC在真实世界的道路上不一定是可取的，例如停在本车道或应急车道上。因此，在真实世界的交通中测试回退到MRC可能是危险的，测试MRC更安全，更适用于场地内轨道测试和虚仿真测试。