自动驾驶合规宝典16~ADS与用户的安全交互
1.安全交互概述
2.安全交互的一般要求
3.安全交互的测试要求
1. 安全交互概述
自动驾驶系统ADS和用户之间的安全交互涉及:明确的角色&责任划分、有效的沟通和反馈机制、友好易用的用户界面、数据安全&隐私保护、法规符合性、用户教育&培训等多个方面。
这些要求旨在确保自动驾驶系统在使用过程中既能保障用户的安全,又能提供高效、便捷的驾驶体验。
对ADS而言,用户可能是驾驶员、安全员、后备驾驶员、乘客、远程操作员等,而且在一段旅程中,用户的角色可能会发生变动。用户需要明确自己在自动驾驶过程中的角色和责任,同时ADS也应明确其功能和限制。这有助于在必要时进行无缝的交接和合作。
在自动驾驶和人工驾驶之间需要有一个明确的责任重新分区(过渡阶段,涉及人机共驾、override等),以确保在特定情况下(如紧急情况)能够迅速、准确地判断并作出反应。
有效的沟通和反馈机制:
ADS应能实时向用户反馈其当前状态、决策依据以及任何潜在的风险或问题。这可以通过视觉(如显示屏上的信息)、听觉(如语音提示)或触觉(如震动座椅)等方式来实现。
对于可能需要用户从ADS接管驾驶任务控制权的ADS系统,有必要提供关于ADS能力的正确信息,以确保ADS的安全使用。当ADS无法处理当前情况时,需要有一个清晰、明确的接管方案来指导用户如何安全地接管车辆控制权。这包括提前通知用户接管时机、提供接管指导以及确保接管过程的平稳过渡。
用户界面的友好性和易用性:
ADS的用户界面应设计得直观、易用,以便用户能够快速理解并操作。界面元素应清晰、简洁,避免过多的干扰和混淆。
一个优秀的ADS界面设计,还应允许用户根据个人喜好和驾驶习惯进行个性化设置,以提高驾驶的舒适性和安全性。
数据安全和隐私保护:
ADS在传输和存储用户数据时应采用数据加密技术,以确保数据的安全性和隐私性。
ADS制造商应制定并遵守严格的隐私保护政策,明确告知用户其数据如何被收集、使用和存储,并尊重用户的隐私权。
法规遵从性:
ADS的设计和运营应遵守所有相关的法律法规,包括与自动驾驶技术、数据安全、网络安全、预期功能安全、隐私保护等相关的法规。ADS应通过相关的合规性认证和测试,以确保其符合法规要求和安全标准。
教育和培训:
ADS制造商应向用户提供充分的教育和培训,以帮助用户了解ADS的功能、限制以及安全交互的要求。对于需要人工接管的场景,驾驶员应接受专门的培训,以提高其在紧急情况下的反应能力和操作技能。
2.安全交互的一般要求
本章节就用户和ADS车辆之间的交互设计提供建议,以确保ADS车辆的安全运行。ADS用户类型包括驾驶员、后备驾驶员、乘客等。
2.1 一般要求:
(a)ADS应发出信号,表明存在限制可用功能运行的任何故障;
(b)ADS应向用户表明将车辆进入最小风险状态MRC的意图;
(c)ADS应向用户提供紧急情况下打开车门的操作;
(d)ADS的HMI应在所有操作条件下向目标用户提供安全相关信息和信号,如有需要,应提供多模态(如光学、声学、触觉),信息信号应该是简单明确的。
2.2 允许用户手动接管DDT的要求
一般要求:
(a)ADS应确保ADS功能激活的安全性;
(d)导致用户成为后备驾驶员的ADS功能激活时,应通知后备驾驶员对他们的后续期望。
关于用户停用ADS功能的要求:
2.3 允许用户停用ADS的要求
本节的要求,不是为了要求后备驾驶员随时准备接管而设计的,而是为了用户安全停用ADS而设计的。当自动驾驶系统允许用户手动停用ADS时, ADS的设计应确保用户停用ADS系统的安全性:
2.4 允许系统停用ADS的要求
ADS系统启动的停用应确保用户的安全:
(a)应及时指示系统启动的停用,以支持后备驾驶员重新参与驾驶任务;
(b)系统启动的停用过程(例如,动作和状态的顺序)应考虑相关建议或标准;
(c)ADS应:
(i)持续评估兜底用户是否可用于系统发起的停用;
(d)ADS应在停用流程完成前评估用户是否适合参与恢复DDT;
(e)ADS应保持开启状态,直到系统启动的停用流程完成或ADS车辆达到最小风险状态MRC;
(f)ADS应明确表明ADS已完成停用;
(g)如果在ADS停用时适用,车辆控制、指示灯、警告和告警应设置为手动驾驶的适当状态;
(h)如果适用,ADS功能关闭的操作控制不应再影响关闭或与关闭相关的控制。
2.5 不允许用户手动控制DDT的要求
(a)ADS应为乘客提供请求停车的方法;
(b)ADS车辆应当向乘客提供安全相关信息;
(c)除非对乘客的安全风险得到缓解,否则ADS不得启动运动;
(d)ADS应向用户提供与正在进行的操作相关的信息(例如,目的地、即将到达的站点、路线进度);
(e)为手动驾驶提供的控制装置(例如转向、行车制动器、驻车制动器、油门、照明)的设计应防止ADS执行DDT时对DDT产生任何影响,或者应设置合理的保护措施以防止接近控制装置。
3.安全交互的测试要求
许多人机界面HMI(Human Machine Interface)要求与系统的设计有关,虽然这些设计的效果可以通过仿真测试、场地内轨道测试和真实道路测试等支柱进行测试,但审计支柱最适用于确定是否遵循了设计要求。
驾驶员在环DIL仿真测试有助于通过分析驾驶员和ADS在安全受控环境中的相互作用来支持此类安全要求的评估。
场地内轨道测试可能非常适合在离散数量的物理测试中评估ADS的性能,并且该评估将受益于HMI相关测试或ADS回退响应测试的更高保真度。
利用关于ADS在实际道路条件下的表现的信息有助于加强或修改场地内轨道测试。此外,在役监控报告ISMR中关于用户交互指标的有用信息,可用于改善ADS的HMI、可用性和相关人员的教育培训。
与DDT需求一样,故障场景中的用户交互需求,例如向用户发出故障信号,需要考虑如何通过硬件或软件机制人为制造故障。在真实道路的交通流中故意降低ADS的DDT性能会带来不合理的安全风险,因此,故障场景下的性能测试通过场地内轨道测试或仿真测试会更安全。
测试故障信号、紧急用户override、系统启动的回退到用户或MRC等可能会导致ADS回退到最小风险状态MRC。根据ADS的设计,这种MRC在真实道路上不一定是可取的(例如可能会停在快车道上,造成碰撞风险)。因此,根据MRC的设计,在现实世界的交通流中测试回退到MRC是危险的。测试回退到MRC更安全、更适合的方法是场地内轨道测试和仿真测试。
依赖于后备驾驶员存在的系统,必须满足与检测该后备驾驶员可用相关的要求(例如R157-ALKS必须要有驾驶员监控系统DMS监控驾驶员可用)。为了充分测试这样的要求,当需要时,后备驾驶员必须不存在/不可用。系统应该能够应对这种可能性,但这方面仍然应该在受控的测试轨道上进行测试,以避免ADS不满足要求时,现实道路交通中的潜在安全风险。
仿真测试涵盖交通模拟和车辆模拟。对于大多数情况,交通模拟或车辆模拟中的一个就能涵盖该情况;然而,在一些情况下,例如在ADS停用DDT性能之前评估用户参与,需要评估ADS和人类驾驶员,这在仿真测试中具有挑战性。
-
汽车测试网V课堂
-
微信公众号
-
汽车测试网手机站
编辑推荐
最新资讯
-
4G/5G网络新时代的高效紧急呼叫系统NG-eCal
2024-12-20 22:33
-
海克斯康端齿联轴器测量方案,助力大众汽车
2024-12-20 22:27
-
设计仿真 | 新版本Dytran 用户子程序调用及
2024-12-20 22:26
-
设计仿真 | MSC Nastran高性能求解计算(一
2024-12-20 22:16
-
动力电池揭秘 | 安全性全面解析
2024-12-20 22:13