自动驾驶合规宝典16～ADS与用户的安全交互

1.安全交互概述

2.安全交互的一般要求

3.安全交互的测试要求

1. 安全交互概述

 自动驾驶系统ADS和用户之间的安全交互涉及：明确的角色&责任划分、有效的沟通和反馈机制、友好易用的用户界面、数据安全&隐私保护、法规符合性、用户教育&培训等多个方面。

  这些要求旨在确保自动驾驶系统在使用过程中既能保障用户的安全，又能提供高效、便捷的驾驶体验。

对ADS而言，用户可能是驾驶员、安全员、后备驾驶员、乘客、远程操作员等，而且在一段旅程中，用户的角色可能会发生变动。用户需要明确自己在自动驾驶过程中的角色和责任，同时ADS也应明确其功能和限制。这有助于在必要时进行无缝的交接和合作。

在自动驾驶和人工驾驶之间需要有一个明确的责任重新分区（过渡阶段，涉及人机共驾、override等），以确保在特定情况下（如紧急情况）能够迅速、准确地判断并作出反应。

有效的沟通和反馈机制：

ADS应能实时向用户反馈其当前状态、决策依据以及任何潜在的风险或问题。这可以通过视觉（如显示屏上的信息）、听觉（如语音提示）或触觉（如震动座椅）等方式来实现。

 对于可能需要用户从ADS接管驾驶任务控制权的ADS系统，有必要提供关于ADS能力的正确信息，以确保ADS的安全使用。当ADS无法处理当前情况时，需要有一个清晰、明确的接管方案来指导用户如何安全地接管车辆控制权。这包括提前通知用户接管时机、提供接管指导以及确保接管过程的平稳过渡。

用户界面的友好性和易用性：

ADS的用户界面应设计得直观、易用，以便用户能够快速理解并操作。界面元素应清晰、简洁，避免过多的干扰和混淆。

一个优秀的ADS界面设计，还应允许用户根据个人喜好和驾驶习惯进行个性化设置，以提高驾驶的舒适性和安全性。

数据安全和隐私保护：

ADS在传输和存储用户数据时应采用数据加密技术，以确保数据的安全性和隐私性。

ADS制造商应制定并遵守严格的隐私保护政策，明确告知用户其数据如何被收集、使用和存储，并尊重用户的隐私权。

法规遵从性：

ADS的设计和运营应遵守所有相关的法律法规，包括与自动驾驶技术、数据安全、网络安全、预期功能安全、隐私保护等相关的法规。ADS应通过相关的合规性认证和测试，以确保其符合法规要求和安全标准。

教育和培训：

ADS制造商应向用户提供充分的教育和培训，以帮助用户了解ADS的功能、限制以及安全交互的要求。对于需要人工接管的场景，驾驶员应接受专门的培训，以提高其在紧急情况下的反应能力和操作技能。

2.安全交互的一般要求

本章节就用户和ADS车辆之间的交互设计提供建议，以确保ADS车辆的安全运行。ADS用户类型包括驾驶员、后备驾驶员、乘客等。

2.1 一般要求：

（a）ADS应发出信号，表明存在限制可用功能运行的任何故障；

（b）ADS应向用户表明将车辆进入最小风险状态MRC的意图；

（c）ADS应向用户提供紧急情况下打开车门的操作；

（d）ADS的HMI应在所有操作条件下向目标用户提供安全相关信息和信号，如有需要，应提供多模态（如光学、声学、触觉），信息信号应该是简单明确的。

2.2 允许用户手动接管DDT的要求

 一般要求：

（a）ADS应确保ADS功能激活的安全性；      

（d）导致用户成为后备驾驶员的ADS功能激活时，应通知后备驾驶员对他们的后续期望。

 关于用户停用ADS功能的要求：

2.3 允许用户停用ADS的要求

 本节的要求，不是为了要求后备驾驶员随时准备接管而设计的，而是为了用户安全停用ADS而设计的。当自动驾驶系统允许用户手动停用ADS时， ADS的设计应确保用户停用ADS系统的安全性：

2.4 允许系统停用ADS的要求

    ADS系统启动的停用应确保用户的安全：

 （a）应及时指示系统启动的停用，以支持后备驾驶员重新参与驾驶任务；

  （b）系统启动的停用过程（例如，动作和状态的顺序）应考虑相关建议或标准；

  （c）ADS应：

     （i）持续评估兜底用户是否可用于系统发起的停用；

（d）ADS应在停用流程完成前评估用户是否适合参与恢复DDT；

（e）ADS应保持开启状态，直到系统启动的停用流程完成或ADS车辆达到最小风险状态MRC；

（f）ADS应明确表明ADS已完成停用；

（g）如果在ADS停用时适用，车辆控制、指示灯、警告和告警应设置为手动驾驶的适当状态；

（h）如果适用，ADS功能关闭的操作控制不应再影响关闭或与关闭相关的控制。

2.5 不允许用户手动控制DDT的要求

（a）ADS应为乘客提供请求停车的方法；

（b）ADS车辆应当向乘客提供安全相关信息；

（c）除非对乘客的安全风险得到缓解，否则ADS不得启动运动；

（d）ADS应向用户提供与正在进行的操作相关的信息（例如，目的地、即将到达的站点、路线进度）；

（e）为手动驾驶提供的控制装置（例如转向、行车制动器、驻车制动器、油门、照明）的设计应防止ADS执行DDT时对DDT产生任何影响，或者应设置合理的保护措施以防止接近控制装置。

3.安全交互的测试要求

  许多人机界面HMI（Human Machine Interface）要求与系统的设计有关，虽然这些设计的效果可以通过仿真测试、场地内轨道测试和真实道路测试等支柱进行测试，但审计支柱最适用于确定是否遵循了设计要求。

驾驶员在环DIL仿真测试有助于通过分析驾驶员和ADS在安全受控环境中的相互作用来支持此类安全要求的评估。

场地内轨道测试可能非常适合在离散数量的物理测试中评估ADS的性能，并且该评估将受益于HMI相关测试或ADS回退响应测试的更高保真度。

利用关于ADS在实际道路条件下的表现的信息有助于加强或修改场地内轨道测试。此外，在役监控报告ISMR中关于用户交互指标的有用信息，可用于改善ADS的HMI、可用性和相关人员的教育培训。

与DDT需求一样，故障场景中的用户交互需求，例如向用户发出故障信号，需要考虑如何通过硬件或软件机制人为制造故障。在真实道路的交通流中故意降低ADS的DDT性能会带来不合理的安全风险，因此，故障场景下的性能测试通过场地内轨道测试或仿真测试会更安全。

测试故障信号、紧急用户override、系统启动的回退到用户或MRC等可能会导致ADS回退到最小风险状态MRC。根据ADS的设计，这种MRC在真实道路上不一定是可取的（例如可能会停在快车道上，造成碰撞风险）。因此，根据MRC的设计，在现实世界的交通流中测试回退到MRC是危险的。测试回退到MRC更安全、更适合的方法是场地内轨道测试和仿真测试。

 依赖于后备驾驶员存在的系统，必须满足与检测该后备驾驶员可用相关的要求（例如R157-ALKS必须要有驾驶员监控系统DMS监控驾驶员可用）。为了充分测试这样的要求，当需要时，后备驾驶员必须不存在/不可用。系统应该能够应对这种可能性，但这方面仍然应该在受控的测试轨道上进行测试，以避免ADS不满足要求时，现实道路交通中的潜在安全风险。

 仿真测试涵盖交通模拟和车辆模拟。对于大多数情况，交通模拟或车辆模拟中的一个就能涵盖该情况；然而，在一些情况下，例如在ADS停用DDT性能之前评估用户参与，需要评估ADS和人类驾驶员，这在仿真测试中具有挑战性。