看看美国联邦政府最新的自动驾驶政策指南——《自动驾驶系统2.0:安全展望(上)》
来源: | 作者:zhiyu001 | 发布时间: 1075天前 | 5691 次浏览 | 分享到:


/背景

2017年9月13日,美国交通运输部(DOT,Department Of Transportation)部长赵小兰发布了最新的联邦政府层面的自动驾驶汽车指南——《自动驾驶系统2.0:安全展望》,这个最新的版本更新替代了2016年9月美国交通运输部发布的1.0版本——《美国联邦自动驾驶汽车政策指南》。


/
2.0版本与1.0版本的主要差别

相比于去年的版本,2.0进一步精简了内容、简化了流程、降低了门槛。新版在继续沿用去年制定的方针基础上,不再要求强制执行,而是作为一个可选择的路径供自动驾驶研发厂商和州政府参考使用。1.0版本要求厂商自愿将15个方面的安全评估报告提交给监管机构,2.0版本删除了这一要求。而且,2.0版本鼓励各州重新评估现有的交通法律法规,为自动驾驶技术的测试和部署扫除法律障碍。

/2.0版本的详细内容介绍

2.0版本主要包括两大部分,自愿性自动驾驶系统指南和对州政府技术性支持(最佳监管实践)。本篇文章主要介绍第一部分,第二部分参考下篇文章。

第一部分 自愿性自动驾驶系统指南

交通运输部以及NHTSA对于自动驾驶最主要的出发点是减少交通事故,提高道路交通安全,因此指南的主要立足点也是安全。此部分主要描述了12个自动驾驶系统(Autonomous Driving System,后面简称ADS)安全高度相关的模块,包括每一个模块的安全目标和实现方法。这些模块是科研机构、高校、NHTSA等组织研究的结果,考虑到技术的快速迭代,指南并不强制要求自动驾驶厂商严格遵循指南里描述的实现方法,鼓励自动驾驶厂商创造更多更好的技术或者方法来实现这些安全目标。

1)系统安全

此部分主要是要求汽车整体系统设计时需要遵循“系统工程”的科学方法,保障ADS的整体与局部之间的相互配合及安全,使得车辆即使在发生电子电气、机械、软件等故障时能够处于安全状态。指南要求厂商在设计开发ADS时应充分参考借鉴指导意见、行业最佳实践、行业设计原则以及现有的标准体系。

包括但不限于:结构设计、传感器、执行器、通信故障、潜在软件错误、可靠性、潜在控制不足和不良的控制动作、与周围物体和其他道路使用者的潜在碰撞、可能由ADS引起的潜在碰撞、车道偏离、牵引力或者稳定性损失、交通法规的违反、正常驾驶行为的偏离等。

指南要求整个设计开发过程应该记录,包括所有变更、设计选择项、分析、测试等数据应该记录在案、有迹可循。

2)操作设计范围(ODD,Operational Design Domain)

ODD主要是指某一个自动驾驶功能的适用场景范围,一个清晰的ODD说明应该包括下列信息:

• ADS系统安全运行的道路类型(州际高速、州内公路等)

• 地理区域(城市、山区、沙漠等等)

• 速度范围

• ADS运行环境(天气、白天还是黑夜等)

• 其他范围限制条件

指南要求厂商在测试或者部署自动驾驶汽车时,应该明确定义ADS的各个ODD,并进行清晰的描述。

自动驾驶汽车应该在设计好的ODD范围内安全运行,如果驾驶环境超过ODD范围,车辆应该转换到最低风险条件的运行。对于L3层级的自动驾驶汽车,最低风险条件包括及时提醒驾驶员人工掌控车辆,对于驾驶员来不及掌控或者L4L5级别的自动驾驶汽车,最低风险条件包括减速或者将车辆驶入安全停车区域。 

3)物体和事件的检测与响应(OEDR,Object and Event Detection and Response)

物体和事件的检测响应是指驾驶员或者ADS检测到任何与驾驶行为直接相关的物体或者事件并做出适当的响应。根据本指南,当ADS在其设定的ODD范围内运行时,由ADS负责执行OEDR。在ODD范围内,ADS的OEDR功能除了能够检测并响应其他车辆、行人、自行车、动物等,还必须能够处理包括应急车辆、临时道路施工、交警指挥、交通管制等事件。

OEDR主要包括正常行车能力和危险情况下的防撞能力。正常行车能力主要是指车辆在常规环境下所遇到的一些事件及对应的响应,加州大学伯克利分校的研究提供了一个可供参考的最低能力要求。危险情况下的防撞能力主要是指ADS能够处理与失控、越道碰撞、变道/并道、同向/反向行使、追尾、车道偏离、低速行使(如倒车或者停车)等情况下可能发生的碰撞预防能力。

4)退出机制(最小风险方案)

退出机制主要是指自动驾驶汽车或者ADS遇到故障时能够回撤到一个安全的状态或者最低风险的状态,退出策略需要充分考虑驾驶员可能因为饮酒、疲劳、困倦、身体缺陷或者其他因素导致的注意力不够集中,或者在转换到手动控制过程中驾驶员的认知错误或者决策失误的情况,以及L4、L5级别的自动驾驶汽车没有驾驶员的情况。

最小风险方案将根据故障的类型、程度的不同而有所区别,包括让车辆自动安全的停下来,包括停到应急车道或者临时停车区域 

5)验证方法

验证方法主要用来证明ADS的预期性能,主要包括模拟测试、封闭场景道路、公开道路测试三种。鼓励厂商在公开道路测试前进行仿真或者封闭场景测试,测试可以由厂商自己来做,也可以由独立第三方来做。 

6)HMI(人机交互界面)

HMI主要是指车辆与驾驶员、车内乘客、远程操控员甚至其他外部物体之间的交互界面以及交互方式。自动驾驶汽车的HMI相对比较复杂,尤其在L3级别中,因为要让人类驾驶员能够随时获得提醒、从自动驾驶状态回到人工驾驶状态比较困难,更不用说还需要考虑自动驾驶汽车本身对周围环境参与者发出信号来表达意图。指南列出了自动驾驶汽车的HMI至少要能够告知人类驾驶员或者操控员以及乘客下列信息:

• ADS是否正常运行

• 是否处于自动驾驶状态

• 自动驾驶不可用

• ADS出现故障

• 请求转为人工驾驶或者操控

自动驾驶汽车的HMI需要考虑残疾人的需求。当车辆处于L4L5级别时,车辆远程操控员或者中控机构应该能够随时监控自动驾驶汽车的状态。

7)网络安全

厂商等应遵循健全的、基于系统工程的产品开发流程来将网络安全风险降至最低,包括网络安全威胁和安全漏洞造成的风向。指南鼓励厂商充分参考借鉴本指南、行业最佳实践、NIST/NHTSA/SAE/Auto-ISAC等机构发布的标准指南和设计原则。

数据共享对自动驾驶汽车的网络安全非常重要,指南鼓励厂商将所有网络安全事故报告给Auto-ISAC(Information Sharing and AnalysisCentre)。

8)耐撞性能

这一节主要是指车辆在发生碰撞事故时对乘客以及对对方车辆的保护措施。由于自动驾驶汽车的普及需要时间,未来道路上将混合自动驾驶汽车和手动驾驶汽车,因此自动驾驶汽车仍然需要提供车辆碰撞时的乘客保护功能和车辆碰撞兼容性功能。

9)碰撞后ADS行为

厂商需要考虑自动驾驶汽车在碰撞后需要迅速恢复到安全状态,包括关闭油门、移动动力装置、移动车辆到安全位置、关闭电源等。如果车辆能够与远程操控中心通信,也鼓励厂商能够及时共享相关信息来减少碰撞伤害。另外,指南也鼓励厂商保存ADS的维修保养记录,这样有利于追踪保障修复后的ADS的安全运行。

10)数据记录

这一节主要是鼓励厂商能够建立一种事故数据保存机制,来记录自动驾驶汽车产生的故障、退化或失灵时的相关事故数据,这些数据有利于进行事故重建和相关的分析,最终找到发生事故的原因并能够有效利用到更多的ADS场景来防范同类事故的产生。

指南鼓励厂商收集保存与以下事件相关的数据:1)死亡和人身伤害;2)任何使车辆不能以自身动力驱动而需要牵引的损害,或者继续行使将给车辆或者其他交通参与者带来伤害的损害。厂商需要从技术上、法律上有能力与监管机构共享这些数据,NHTSA也会与SAE一块研究建立统一的数据标准。 

11)消费者教育和培训

为确保自动驾驶的安全部署,消费者教育培训势在必行。指南鼓励厂商对员工、经销商、渠道商、消费者的教育培训计划进行开发、记录和维护,让公众了解自动驾驶汽车和传统汽车在使用和操作上的差异,让目标用户理解如何正确、高效和安全的使用这些技术。

消费者教育和培训的内容包括ADS场景、操作参数、功能和局限、进入和退出方法、HMI、紧急状况下的退出机制、操作设计范围(ODD)和局限以及其他可能改变ADS功能的潜在方式,尤其需要提醒消费者ADS的功能范围和局限,以最大程度降低消费者滥用或者误解ADS。

作为消费者教育和培训计划的一部分,自动驾驶汽车的经销商和渠道商在正式销售汽车前,需要实地体验或者感受ADS的操作功能和人机交互界面。

鼓励厂商通过各种创新手段比如VR等方式来进行消费者教育和培训。厂商需要对这些计划的有效性进行评估,并在充分吸收各方反馈的基础上做定期更新。 

12)联邦、州、地方法规

指南鼓励厂商记录他们在设计自动驾驶汽车时是如何考虑遵守联邦、州、地方政府的交通法规。根据ODD的功能,ADS需要遵守各个层面的交通法规。

在某些关键性安全场景下(比如为避让抛锚的车辆需要压过双黄线等),人类司机可以临时违反交规,自动驾驶汽车也需要具备此类功能,厂商也需要对此类功能场景进行评估、测试和验证。

交通法规一般也会随着时间的推移发生变化,自动驾驶车辆也需要更新来适应新的法规要求。

/自愿性自我安全评估

指南鼓励厂商在测试或者部署自动驾驶汽车时,对公众发布一个包含以上12个安全元素的自愿性自我安全评估报告,以此向公众证明:

1)充分考虑自动驾驶汽车的安全因素;

2)保持和交通部的沟通合作;

3)建立ADS行业安全准则;

4)建立公众信心。

NHTSA也提供了一个评估报告模板供厂商参考使用,但不需要严格遵循模板。如果发布报告,指南鼓励厂商在报告中申明:

1)某个安全元素在产品功能开发过程中有所考虑;或者:

2)某个安全元素在产品功能开发过程中不需要考虑。

最后,指南再次强调,这是一个自愿性的安全评估指南,厂商在测试或者部署自动驾驶汽车前并不需要向监管部门提交安全评估报告,监管部门也没有相应机制或者机构来强制性要求。

以上便是第一部分“自愿性自动驾驶系统指南”的主要内容。

来源:百度公共政策研究院