自动驾驶合规宝典14~ADS的DDT性能要求

2024-08-07 09:19:22·  来源:智驾小强  
 

1.正常场景下ADS的DDT性能要求

2.紧急场景下ADS的DDT性能要求

3.故障场景下ADS的DDT性能要求

4.ADS在其ODD边界的DDT性能要求

5.最小风险状态MRC要求

6.DDT性能的测试需求


        一般而言,ADS的安全水平应至少达到一个称职和谨慎的人类驾驶员(老司机)的水平。自动驾驶系统ADS应能够将对ADS车辆使用者和其他道路使用者的不合理安全风险降至最低的水平。

     

  由于ADS的配置条件、ODD特定条件和要求多种多样,这些因素可能影响DDT的安全性能,故而此处只有务求完善的功能性描述,没有规定具体指标的技术性能限制。

    

   “动态驾驶任务Dynamic Driving Task(DDT)”是指操作车辆所需的战术功能和实时操纵,包括感知、决策、规划、控制等。

  

     “运行设计域Operational Design Domain(ODD)”是指为实现ADS功能而专门设计的操作条件,包括道路特征、天气条件、交通流动态要素、ADS的操纵限制等。


1. 正常场景下ADS的DDT性能要求

       

根据联合国的指导意见:ADS车辆不得造成交通事故或扰乱交通流。可根据ADS车辆的ODD及运行区域内的预期交通条件,搭建正常交通场景。在该场景下,对ADS车辆进行测试验证,看ADS车辆是否符合“不得造成交通事故或扰乱交通流”这一目标。

  

正常交通场景下的测试,应通过尽量减少ADS-DDT的正常性能之外的风险因素(例如,系统在无故障的情况下测试),以对“ADS驾驶行为对其他道路使用者和交通流量的影响”进行针对性测试。


在正常操作和驾驶条件下,ADS的DDT性能要求:


(a)ADS应能够在其功能的ODD内执行整个动态驾驶任务(DDT);
(b)ADS须以安全速度操作车辆(例如:不得超速、安全过弯);
(c)ADS应通过控制车辆的纵向和横向运动,与其他道路使用者保持适当的距离;
(d)ADS应根据周围交通情况调整其驾驶行为(例如:避免交通中断);
(e)ADS应根据安全风险调整其驾驶行为(例如:给予所有道路使用者和乘客最高优先权);
(f)ADS应探测与其执行DDT有关的物体和事件并作出反应;
(g)ADS应根据相关交通法规检测并响应优先车辆(例如:公安消防车、急救车等);
(h)在正常交通情况下,ADS的驾驶行为不得迫使其他道路使用者采取规避行动,以避免与ADS车辆相撞;
(i)在正常交通情况下,ADS的驾驶行为不得造成碰撞;
(j)ADS应当遵守运营区域内相关法律规定的交通规则;
(k)ADS应与其他道路使用者安全互动;
(l)ADS应尽可能避免与安全相关物体碰撞(例如:隔离栏、路灯杆、遗落货物等碰撞会造成损伤的物体);
(m)ADS应表明打算改变方向(例如:转向前开启足够时长的转向灯);
(n)ADS应根据国家规则表明其运行状态;
(o)根据乘客的要求,ADS应将车辆安全停车。


2.紧急场景下ADS的DDT性能要求


 根据联合国的指导意见:ADS车辆不得造成任何可合理预见和预防的导致伤亡的交通事故。为了证明ADS车辆符合这一目标,可以通过使ADS车辆经受代表异常或意外交通条件、目标和目标行为的紧急交通场景来验证。


通过将可预见的外部风险因素引入场景中,可以评估ADS管理其ODD中可能出现的安全关键事件的能力。在紧急交通场景下,ADS的DDT性能要求:


(a)正常交通场景下的DDT性能要求应在合理可行的范围内继续适用于紧急交通场景,以尽量减少总体风险;
(b)发生碰撞时,ADS应进入最小风险状态MRC和/或根据适用的交通法规停车(需要明确回退到MRC的门槛);
(c)在核实ADS车辆的安全运行状态之前,ADS不得恢复行驶;
(d)在适用交通规则和其他安全考虑允许的情况下,ADS可以恢复行驶。


3.故障场景下ADS的DDT性能要求


 根据联合国的指导意见:ADS车辆需确保系统安全,能够应对损害ADS执行整个DDT能力的系统故障。在故障交通场景下,ADS的DDT性能要求:


(a)正常交通场景下的DDT性能要求应在合理可行的范围内继续适用于故障交通场景,以尽量减少总体风险;

(b)ADS应检测所有的故障、失效和异常,如果这些故障、失效和异常会损害ADS根据留档在其ODD内执行整个DDT的能力

(c)当故障不妨碍ADS满足其适用的安全要求时,ADS可在该故障的情况下继续运行;

(d)针对部分故障,ADS可以允许激活和使用受该故障影响的功能,前提是ADS继续提供执行整个DDT所需的功能;

(e)ADS应根据故障的严重程度调整其DDT性能,以确保道路安全(例如:侧方感知故障时禁止自动换道);

(f)针对部分故障,ADS应禁止激活受该故障影响的ADS功能,如果该故障会损害ADS在该功能的ODD执行整个DDT的能力;

(g)ADS的受限操作应符合适用的安全要求;

(h)当监管当局要求时,制造商和/或服务运营商可以远程终止单个或多个ADS或功能;

(i)执行ADS的远程终止DDT应能够触发ADS回退响应;

(j)远程终止ADS或ADS功能将使其无法被用户激活。


4.ADS在其ODD边界的DDT性能要求

      

ADS在其ODD边界的DDT性能表现要求如下:


(a)ADS应根据制造商留档对ODD的描述,识别其功能的ODD的条件和边界;
(b)ADS应能够确定何时满足激活每个功能的条件;
(c)除非满足功能的ODD条件,否则ADS应阻止该功能的激活;
(d)当使用中的ADS功能的一个或多个ODD条件不再满足时,ADS应执行后备响应;
(e)ADS应能够预测每个功能的可预见性ODD出口。


“ODD出口 ODD exit”是指:


(a)存在一个或多个超出为使用ADS特征而定义的ODD条件,和/或
(b)缺少一个或多个条件来满足ADS特征的ODD条件( ODD条件不同于ADS能力。ADS可以设计为管理操作环境中的瞬态变化,其中此类瞬态变化不代表ODD退出)。

    

 “ADS后备响应ADS fallback response”是指系统启动的ADS停用或ADS控制程序,将车辆置于最小风险状态。

     

 “最小风险状态Minimal Risk Condition(MRC)”是指降低了碰撞风险的车辆稳定和停止状态。

     

  "后备用户Fallback user"是指为了执行ADS后备响应DDT而指定的用户。


5. 最小风险状态MRC要求



  最小风险状态MRC要求如下:



(a)ADS应表明打算将车辆进入最小风险状态MRC;
(b)如果ADS和/或其他车辆系统发生故障,阻止ADS执行动态驾驶任务DDT,ADS应执行后备响应;
(c)如果没有准备好的后备用户,ADS应直接回退到MRC;
(d)如果ADS设计为请求并启用人工驾驶员的干预,则ADS应在向用户转移控制权失败的情况下回退到MRC;
(e)当完成回退到MRC后,可以允许用户承担对车辆的控制。


6.DDT性能的测试需求

 

第1-5章节中的每个要求都需要与相应的验证支柱(审核、仿真、轨道、路试)建立映射关系。

       

 正常场景下DDT性能的大多数要求,都可以用任何测试方法(仿真、轨道、路试)进行验证;然而,具有高交通流量的复杂场景可能难以在实验场地内的测试轨道上实施。

      

 紧急场景下DDT性能的要求,可以在现实世界中的正常交通中寻找很危险的、很困难的或不安全的场景。一些紧急场景可以在受控的试验场地内测试轨道上模拟搭建,但建议使用仿真测试来测试最危险的情况。


图片

        

故障场景下DDT性能的要求,主要指ADS系统故障影响ADS执行整个DDT的能力的场景,必须考虑如何通过硬件或软件机制手动触发故障。在真实道路上,在正常的交通流中故意降低ADS的性能是危险的,除非在非常特定的低交通流情况下。故障场景测试更安全、更合适的方法是仿真测试和场地内轨道测试。

      

 ODD边界的DDT性能要求,主要指ADS与其ODD边界相互作用的情况。其中一些边界可以在场地内测试轨道上验证,前提是轨道测试是在作为ADS的ODD一部分或适当代表ODD的测试场地上进行的。然而,某些边界,例如地理围栏ODD边界边缘的性能,只能通过现实世界或仿真测试来验证。

     

 最小风险状态要求与ADS实现MRC有关。根据ADS的设计,这种MRC在真实世界的道路上不一定是可取的,例如停在本车道或应急车道上。因此,在真实世界的交通中测试回退到MRC可能是危险的,测试MRC更安全,更适用于场地内轨道测试和虚仿真测试。


分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25