日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測(cè)試網(wǎng)

  • 公眾號(hào)

    • 汽車測(cè)試網(wǎng)

    • 在線課堂

    • 電車測(cè)試

自動(dòng)駕駛安全框架開發(fā)進(jìn)展綜述

2021-12-16 20:45:25·  來源:智車科技  
 
本文來源:智車科技 / 導(dǎo)讀 /對(duì)于自動(dòng)駕駛車輛來說,安全的重要性毋庸置疑,為了恰當(dāng)評(píng)價(jià)從而確保自動(dòng)駕駛車輛的安全性,各國家、公司和組織已經(jīng)開始努力開發(fā)一
本文來源:智車科技
/ 導(dǎo)讀 /
對(duì)于自動(dòng)駕駛車輛來說,安全的重要性毋庸置疑,為了恰當(dāng)評(píng)價(jià)從而確保自動(dòng)駕駛車輛的安全性,各國家、公司和組織已經(jīng)開始努力開發(fā)一個(gè)自動(dòng)駕駛安全框架或至少部分框架,以指導(dǎo)ADS的安全測(cè)試和部署。本文對(duì)部分已公開的自動(dòng)駕駛安全框架進(jìn)行匯總介紹,歡迎大家留言補(bǔ)充。

RAND公司《衡量自動(dòng)車輛安全:構(gòu)建框架》

蘭德公司(RAND)2018年發(fā)布了一份自動(dòng)駕駛安全衡量框架的報(bào)告Measuring Automated Vehicle Safety: Forging a framework,提出了一個(gè)用于測(cè)量配備ADS自動(dòng)駕駛系統(tǒng)的車輛安全性的部分框架。在開發(fā)該框架時(shí),考慮了如何定義ADS安全性、如何測(cè)量ADS安全性以及如何傳達(dá)對(duì)AV的了解和理解。報(bào)告旨在提供一個(gè)框架,討論如何以技術(shù)和公司中立的方式衡量安全性。
  • 呈現(xiàn)了在不同環(huán)境(模擬、封閉場(chǎng)地、公共道路,有、無安全駕駛員)中針對(duì)不同階段(開發(fā)、驗(yàn)證和部署)可以采用的安全衡量方法,
  • 在報(bào)告中明確了自動(dòng)駕駛汽車生命周期中的三個(gè)階段——開發(fā)、驗(yàn)證和投放,并將碰撞事故次數(shù)、交通違規(guī)次數(shù)、和“公路駕駛技能”(roadmanship)作為評(píng)定自動(dòng)駕駛安全性的指標(biāo)。
  • 采用 Haddon 矩陣對(duì)碰撞因素進(jìn)行分析,以便進(jìn)行測(cè)量與干預(yù)。

測(cè)量框架聚焦于系統(tǒng)和生態(tài)系統(tǒng)級(jí)


Integrated Safety framework

MobileEye 公司RSS責(zé)任敏感安全模型


MobileEye提出了一個(gè)名為RSS責(zé)任敏感安全(Responsibility Sensitive Safety)的框架,旨在解決多智能體安全問題(由其定義為在給定環(huán)境中與多個(gè)獨(dú)立道路使用者的安全操作和交互)。RSS是一個(gè)多智能體安全的數(shù)學(xué)模型,希望通過建立數(shù)學(xué)公式的手段,來使得自動(dòng)駕駛汽車有能力判斷自身的安全狀態(tài),從而盡可能避免事故的發(fā)生。它結(jié)合了駕駛的常識(shí)規(guī)則,同時(shí)與其他道路使用者進(jìn)行互動(dòng),以最大限度地減少造成碰撞的可能性,同時(shí)在正常的行為預(yù)期范圍內(nèi)操作。該方法是根據(jù)“路權(quán)”構(gòu)建的規(guī)則、遮擋物體避免以及縱向和橫向的安全距離保持。MobileEye稱討論中涵蓋了特殊交通條件,包括交通燈交叉口、非結(jié)構(gòu)化道路以及涉及行人(或其他道路使用者)的碰撞。
從本質(zhì)上來看,RSS 模型是一整套數(shù)學(xué)公式,將人類對(duì)于安全駕駛的理念和概念轉(zhuǎn)化成為數(shù)學(xué)公式和計(jì)算方式,用來界定什么樣的駕駛行為才是安全的駕駛。RSS 模型希望把人類駕駛員的本能變化成一套嚴(yán)謹(jǐn)?shù)墓剿惴?,來指?dǎo) AI 的決策算法在特定場(chǎng)景下做出合理安全的判斷。
RSS描述的不是駕駛策略,而是對(duì)駕駛策略的結(jié)果進(jìn)行安全判定。另一方面,RSS在定義不同場(chǎng)景下的危險(xiǎn)情況、正確反應(yīng)、事故責(zé)任劃分中,是基于人類駕駛員的常識(shí),而非僅僅法律法規(guī)。
RSS模型要達(dá)到的目標(biāo)具有兩重含義:
  1. 自動(dòng)駕駛汽車本身不會(huì)導(dǎo)致事故(卷入事故和導(dǎo)致事故是完全不同的概念,自動(dòng)駕駛汽車可能卷入事故,但它不是事故的責(zé)任方)
  2. 自動(dòng)駕駛汽車應(yīng)該在其它車輛發(fā)生錯(cuò)誤時(shí)做出正確反應(yīng)
在實(shí)際建立模型的時(shí)候,RSS 模型通過四條形式化的規(guī)則,來確保車輛在自動(dòng)駕駛狀態(tài)下能夠保證安全以及避免成為制造車禍的一方:
  1. 和前車保持安全距離;
  2. 給側(cè)邊的人或車留下足夠的反應(yīng)時(shí)間和空間;
  3. 在堵車的時(shí)候更謹(jǐn)慎;
  4. 要合理使用路權(quán)(路權(quán)的使用應(yīng)優(yōu)先考慮安全)。
Mobileye 在創(chuàng)建 RSS 模型的時(shí)候,則是把 RSS 定位在決策之后、執(zhí)行之前。

如果決策算法在某個(gè)狀態(tài)下做出了剎車的判斷,那么這個(gè)判斷就會(huì)輸入到 RSS 模型中,得出剎車操作是否能在當(dāng)前狀況下保證車輛的安全。如果結(jié)果顯示安全,那么這個(gè)命令會(huì)直接執(zhí)行;如果結(jié)果顯示有危險(xiǎn),那么 RSS 模型會(huì)把這個(gè)指令返回到?jīng)Q策算法,進(jìn)行二次決策直到得到最安全的結(jié)果。
安全距離是指在最惡劣的情況下仍可以避免碰撞的距離。

Mobileye 發(fā)布的官方報(bào)告中例舉了 37 種可能發(fā)生事故的場(chǎng)景,包括了車輛并行狀態(tài)的安全間距、安全并線的間距、避免追尾的最小安全距離、路邊有行人闖入機(jī)動(dòng)車道時(shí)的安全車速等等。這 37 種狀況基本覆蓋了 99.4%的車禍可能性,也說明 RSS 模型目前已經(jīng)達(dá)到了一個(gè)相當(dāng)健全可用的狀態(tài)。
NVIDIA公司SFF安全框架

NVIDIA2019年3月發(fā)布了一種稱為“安全力場(chǎng)(SFF:Safety Force Field)”的框架,該框架作為計(jì)算方法,用于通過模擬評(píng)估ADS是否成功監(jiān)控其周圍環(huán)境且未采取不可接受的行動(dòng)。SFF旨在避免撞車,其目的是通過制定一項(xiàng)駕駛策略來實(shí)現(xiàn)這一目標(biāo),該策略分析周圍環(huán)境并預(yù)測(cè)其他道路使用者的行動(dòng)。根據(jù)這一分析,系統(tǒng)將尋求確定潛在行動(dòng),以避免造成或促成可能導(dǎo)致交通事故的不安全條件崩潰。



安全力場(chǎng)會(huì)確定一組可接受的動(dòng)作來保護(hù)當(dāng)前車輛以及道路上的其他車輛。這些動(dòng)作并不會(huì)造成、加劇或?qū)е挛kU(xiǎn)情形的出現(xiàn),此外還會(huì)包括用于緩解危險(xiǎn)情形的必要措施。NVIDIA DRIVE 平臺(tái)使用車輛傳感器數(shù)據(jù)來支持基于物理原理的SFF逐幀計(jì)算。
自動(dòng)駕駛安全第一至12條原則

2019年7月, “自動(dòng)駕駛安全第一” 11家企業(yè)聯(lián)盟發(fā)布了一種描述ADS安全性設(shè)計(jì)、驗(yàn)證和確認(rèn)(V&V)的方法。旨在解決L3和更高級(jí)別的自動(dòng)駕駛問題,并可作為檢查適用于ADS的V&V方法的有用起點(diǎn)。為指導(dǎo)安全工作,該文件確定的共12條原則包括:安全操作;ODD確認(rèn);交通行為;用戶責(zé)任;車輛接管請(qǐng)求;車輛操作員與自動(dòng)駕駛系統(tǒng)的互相依賴;自動(dòng)化效果;安全評(píng)估;數(shù)據(jù)記錄;安全和被動(dòng)安全;交通行為;安全層等。

Aurora自動(dòng)駕駛安全案例框架

Aurora于2021年8月推出了第一個(gè)適用于自動(dòng)駕駛卡車和乘用車的安全案例框架(Safety Case framework)初始版本。

Aurora使用基于安全案例的方法,評(píng)估自動(dòng)駕駛車輛何時(shí)能夠安全地在公共道路上行駛,并評(píng)估它們是否不會(huì)對(duì)機(jī)動(dòng)車安全造成不合理的風(fēng)險(xiǎn)。
Aurora安全案例框架評(píng)估了車輛的整個(gè)開發(fā)生命周期,夠加快部署的速度,并確定何時(shí)可以接受自動(dòng)駕駛車輛在公共道路上的安全性。
基于安全案例的方法以合乎邏輯的方式將這證據(jù)與主張兩個(gè)基本概念結(jié)合在一起,以有效地展示為確定車輛在公共道路上安全行駛所做的工作。
Aurora的安全案例框架覆蓋了對(duì)評(píng)估公共道路上自動(dòng)駕駛車輛的安全開發(fā)、測(cè)試和運(yùn)行至關(guān)重要的不同要素。該框架的設(shè)計(jì)涵蓋了與車輛操作員的測(cè)試,也包括沒有操作員的測(cè)試。同時(shí),它是為適應(yīng)環(huán)境而構(gòu)建的,因此可以根據(jù)不同的場(chǎng)景和環(huán)境對(duì)其進(jìn)行定制。能夠?qū)踩咐暶鞲木帪檫m用于不同的車輛平臺(tái)、有操作員的車輛、試車跑道上的車輛以及公共道路上的車輛。
安全案例框架旨在適應(yīng)不同的車輛、場(chǎng)景和環(huán)境。因此,將有多個(gè)單獨(dú)的安全案例,涵蓋各種配置、平臺(tái)和操作領(lǐng)域,而不是涵蓋自動(dòng)駕駛車輛所有用途的單一安全案例。
最高級(jí)別目標(biāo)
Aurora安全案例框架圍繞著“我們的自動(dòng)駕駛車輛在公共道路上運(yùn)行是可接受的安全性”這一最高級(jí)別的聲明展開,并將這一主張分解為五個(gè)安全原則或子原則。

G1:精通/Proficient:自動(dòng)駕駛車輛在正常運(yùn)行期間具備可接受的安全。
G2:故障安全/Fail-safe:自動(dòng)駕駛車輛在出現(xiàn)故障和失效時(shí)具備可接受的安全。
G3:不斷改進(jìn)/Continuously improving:對(duì)構(gòu)成不合理安全風(fēng)險(xiǎn)的所有已識(shí)別潛在安全問題進(jìn)行評(píng)估,并采取適當(dāng)?shù)募m正和預(yù)防措施予以解決。
G4:有彈性的/Resilient:在可合理預(yù)見的誤用和不可避免的事件情況下,自動(dòng)駕駛車輛具備可接受的安全。
G5:值得信賴的/Trustworthy:自動(dòng)駕駛企業(yè)應(yīng)是值得信賴的。
頂級(jí)聲明是根據(jù)涵蓋安全操作范圍的安全原則定義的,使用廣度優(yōu)先、深度第二的方法分解每個(gè)安全原則。每個(gè)安全原則都被分解為中間論點(diǎn)、上下文和策略的層次,將每個(gè)安全論點(diǎn)作為邏輯分解進(jìn)行追蹤。

安全原則分解示例

Waymo 系統(tǒng)安全計(jì)劃 SSP


Waymo在制定其安全計(jì)劃時(shí)借鑒了航空航天、汽車、國防等行業(yè)中的最佳安全實(shí)踐原則。Waymo的安全體系一共有「五個(gè)維度」:
  • 「行為安全」:指車輛在道路上的行駛決策和行為
  • 「功能安全」:確保車輛在系統(tǒng)存故障或失效時(shí)的安全操控,這意味著要建立備份系統(tǒng)和冗余機(jī)制來應(yīng)對(duì)車輛的意外狀況。
  • 「碰撞安全」:車輛通過各種措施保護(hù)車內(nèi)乘客的能力,借助結(jié)構(gòu)性設(shè)計(jì)來保護(hù)車內(nèi)人員,提供座椅約束裝置及安全氣囊,減輕車內(nèi)人員的傷亡程度。
  • 「操作安全」:人機(jī)交互,為消費(fèi)者帶來自動(dòng)駕駛車輛所提供的安全而舒適的體驗(yàn)。
  • 「非碰撞安全」:電子器件與人類的物理隔離,提供身體上的安全防護(hù)。
Waymo在開發(fā)過程里利用了常用的風(fēng)險(xiǎn)評(píng)估方法,如:預(yù)先危險(xiǎn)性分析(PHA)、故障樹(FTA),設(shè)計(jì)失效模式及后果分析(DFMEA)等,也基于系統(tǒng)架構(gòu)要求,針對(duì)軟件在公共道路、閉合環(huán)境及模擬駕駛情景內(nèi)進(jìn)行了大量的測(cè)試。這些鋪墊工作為每一個(gè)安全課題提供了大量的研究數(shù)據(jù)。此外,Waymo也采用了全面的安全實(shí)踐方法來提升系統(tǒng)的可靠性。
NHTSA曾就自動(dòng)駕駛提出了28項(xiàng)核心競(jìng)爭力清單,自動(dòng)駕駛系統(tǒng)需要針對(duì)這28項(xiàng)技能證明自己的“行為能力”。Waymo在此基礎(chǔ)上,從深度和廣度 上都拓展了這個(gè)要求(增加了19項(xiàng)核心能力),創(chuàng)建了具有挑戰(zhàn)性的測(cè)試內(nèi)容。

VSSF車輛安全與安防框架(RDW)


荷蘭交通部車輛認(rèn)證中心RDW提出了自動(dòng)駕駛車輛安全框架提議,目標(biāo)是實(shí)現(xiàn)自動(dòng)駕駛車輛認(rèn)證流程標(biāo)準(zhǔn)化。


美國AV 3.0提出的12項(xiàng)安全要素
美國AV 3.0中提出了自動(dòng)駕駛車輛開發(fā)、開放道路測(cè)試、應(yīng)用相關(guān)最主要的安全要素,包括:系統(tǒng)安全、ODD(Operational Design Domain)、OEDR功能、Fallback(Minimal Risk Condition)、網(wǎng)絡(luò)安全、數(shù)據(jù)記錄、碰撞安全性(成員保護(hù))、碰撞后處置(Post Crash)、自動(dòng)駕駛車輛行為、驗(yàn)證與測(cè)試、人機(jī)界面(HMI)、用戶教育與培訓(xùn)、聯(lián)邦和當(dāng)?shù)胤ㄒ?guī)。

車輛性能指南框架/framework for Vehicle Performance Guidance
UL 4600《自動(dòng)駕駛產(chǎn)品安全評(píng)估標(biāo)準(zhǔn)》

2020年4月,非營利標(biāo)準(zhǔn)組織Underwriters Laboratories(簡稱UL)宣布UL 4600《自動(dòng)駕駛產(chǎn)品安全評(píng)估標(biāo)準(zhǔn)》正式發(fā)布,這是UL針對(duì)無人駕駛車輛而開發(fā)的首個(gè)安全評(píng)估標(biāo)準(zhǔn),屬于自愿性行業(yè)標(biāo)準(zhǔn)草案。
與ISO 26262和21448一樣,UL 4600是一個(gè)以過程為中心的標(biāo)準(zhǔn),旨在供制造商在開發(fā)AV時(shí)使用。
標(biāo)準(zhǔn)范圍包括評(píng)估自動(dòng)駕駛產(chǎn)品的安全原則與流程。此標(biāo)準(zhǔn)基于設(shè)計(jì)流程、測(cè)試、工具資格、自主性驗(yàn)證、數(shù)據(jù)完整性以及針對(duì)非駕駛員的人機(jī)交互等因素,涵蓋相應(yīng)風(fēng)險(xiǎn)分析與安全相關(guān)方面等若干主題,并要求提供安全論證。
標(biāo)準(zhǔn)規(guī)定采用安全案例方法來確保ADS的安全性。已發(fā)布的安全案例方法包括三個(gè)主要要素:目標(biāo)、論證和證據(jù);每個(gè)要素都說明支持前一要素,以構(gòu)建總體安全案例。
ISO 2626-功能安全

ISO 26262描述了功能安全評(píng)估過程的文件,以幫助開發(fā)安全相關(guān)電氣和/或電子(E/E)系統(tǒng)。該框架旨在供制造商用于將功能安全概念集成到公司特定的開發(fā)框架中。一些要求具有明確的技術(shù)重點(diǎn),以將功能安全實(shí)施到產(chǎn)品中;其他要求涉及開發(fā)過程本身,因此可以視為過程要求證明組織在功能安全方面的能力。
ISO 26262解決了由電氣和電子故障引起的已識(shí)別的不合理安全風(fēng)險(xiǎn)。該框架旨在應(yīng)用于安全相關(guān)系統(tǒng),包括安裝在生產(chǎn)道路車輛(不包括輕便摩托車)中的一個(gè)或多個(gè)E/E系統(tǒng)。ISO 26262旨在避免與電子系統(tǒng)相關(guān)的故障包括與軟件編程、間歇性電子硬件故障和電磁干擾相關(guān)的故障,并減輕運(yùn)行期間潛在設(shè)備故障的影響。除了解決故障條件外,還包括危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估規(guī)定、設(shè)計(jì)、驗(yàn)證和確認(rèn)(V&V)要求和安全管理指南。
ISO 26262旨在確保系統(tǒng)能夠充分緩解已識(shí)別危險(xiǎn)的故障風(fēng)險(xiǎn)。所需的緩解量取決于潛在損失事件的嚴(yán)重程度、危險(xiǎn)的操作暴露以及故障發(fā)生時(shí)系統(tǒng)的人類駕駛員可控性。這些因素結(jié)合在一起構(gòu)成汽車安全完整性等級(jí)(ASIL)。ASIL確定應(yīng)采用哪些技術(shù)和過程緩解措施,包括必須執(zhí)行的指定設(shè)計(jì)和分析任務(wù)。

ISO 21448-SOTIF預(yù)期功能安全


ADS的安全性還與其他因素有關(guān),如可想象的人為誤用功能、傳感器或系統(tǒng)的性能限制以及車輛環(huán)境的意外變化。
SOTIF(預(yù)期功能的安全性)試圖防止預(yù)期功能不足或可合理預(yù)見的人員誤用。即使不存在設(shè)備故障,也可能無法正常運(yùn)行。SOTIF不適用于ISO 26262系列涵蓋的故障或直接由系統(tǒng)技術(shù)。相反,SOTIF與ISO 26262協(xié)同工作,以幫助制造商評(píng)估和緩解開發(fā)過程中的各種風(fēng)險(xiǎn),ISO 26262側(cè)重于降低故障風(fēng)險(xiǎn),ISO 21448側(cè)重于緩解可預(yù)見的系統(tǒng)誤用。
ISO 21448旨在應(yīng)用于預(yù)期功能,其中適當(dāng)?shù)膽B(tài)勢(shì)感知對(duì)安全至關(guān)重要,并且該態(tài)勢(shì)感知源自復(fù)雜的傳感器和處理算法;特別是緊急干預(yù)系統(tǒng)(如主動(dòng)安全制動(dòng)系統(tǒng))和高級(jí)駕駛員輔助系統(tǒng)。根據(jù)SAE國際標(biāo)準(zhǔn),該標(biāo)準(zhǔn)可用于更高級(jí)別的自動(dòng)化,但可能需要采取其他措施。
ISO 21448主要考慮緩解因意外操作條件(由于傳感器和算法的限制,預(yù)期功能可能不會(huì)始終在此類條件下工作)和需求差距(缺乏對(duì)實(shí)際預(yù)期功能的完整描述)而產(chǎn)生的風(fēng)險(xiǎn)。
美國NHTSA 的AV安全框架開發(fā)

2020年12月,美國國家公路交通安全管理局(NHTSA)通過ANPRM形式面向社會(huì)征集對(duì)自動(dòng)駕駛安全框架的建議。
以功能安全、SOTIF和UL 4600的描述為背景,NHTSA正在考慮如何在制定關(guān)于ADS的新框架的背景下,利用這些過程標(biāo)準(zhǔn),無論是基于法規(guī)還是提供指導(dǎo)。
該機(jī)構(gòu)預(yù)計(jì)安全框架將包括管理風(fēng)險(xiǎn)的過程和工程措施。過程措施(例如,在車輛設(shè)計(jì)過程中分析、按嚴(yán)重程度和頻率分類以及減少潛在風(fēng)險(xiǎn)源的一般做法)可能包括穩(wěn)健的安全保證和功能安全計(jì)劃。工程措施(例如,性能指標(biāo)、閾值和測(cè)試程序)將尋求提供證明ADS以高水平熟練程度執(zhí)行其預(yù)期功能的感知、感知、規(guī)劃和控制(即執(zhí)行)的方法。
NHTSA的一個(gè)關(guān)鍵研究方向?qū)W⒂贏DS安全性能,并尋求確定方法、指標(biāo)以及評(píng)估配備ADS的車輛執(zhí)行正常駕駛?cè)蝿?wù)和防碰撞能力的工具。此類評(píng)估包括與系統(tǒng)規(guī)定的ODD和對(duì)象及OEDR事件檢測(cè)與響應(yīng)能力相關(guān)的系統(tǒng)性能和行為以及在遇到ODD以外的條件時(shí)的故障安全能力。
第二個(gè)高級(jí)研究重點(diǎn)是功能安全和ADS子系統(tǒng)性能。
第三個(gè)研究領(lǐng)域涉及車輛和系統(tǒng)(包括ADS)的網(wǎng)絡(luò)安全。
最后,NHTSA還研究了配備ADS的車輛可能存在的人為因素問題。
雖然感知、判斷、規(guī)劃與控制四種核心安全功能功能對(duì)于ADS是必要的,但它們不一定足以確保ADS的安全,這還取決于系統(tǒng)的各種其他功能和能力,以及該系統(tǒng)如何與配備ADS的車輛內(nèi)部和周圍的人進(jìn)行交互。
例如,四個(gè)功能中未包含的一個(gè)安全相關(guān)方面是車輛在駕駛環(huán)境中與車輛乘員、其他車輛和人員、尤其是易受傷害的道路使用者進(jìn)行通信的能力。ADS能夠準(zhǔn)確、可靠地檢測(cè)車輛中自身系統(tǒng)或其他系統(tǒng)的故障,同時(shí)確保為響應(yīng)任何檢測(cè)到的問題或故障而開發(fā)的操作模式之間的安全過渡(例如,故障保護(hù)或跛行回家模式)是可能影響ADS預(yù)期性能的另一個(gè)重要考慮因素。
可能影響ADS以安全可靠的方式執(zhí)行其預(yù)期計(jì)劃能力的其他方面包括:
  1. 在出現(xiàn)故障時(shí)識(shí)別降低的系統(tǒng)性能和/或 ODD;
  2. 在降低的系統(tǒng)約束下以降級(jí)模式運(yùn)行;
  3. 執(zhí)行將乘客或貨物從起點(diǎn)運(yùn)送至所選目的地的基本任務(wù);
  4. 識(shí)別來自優(yōu)先響應(yīng)者的通信并作出適當(dāng)反應(yīng),包括消防、EMS 和執(zhí)法;
  5. 接收、裝載和跟蹤 OTA 軟件更新;
  6. 執(zhí)行系統(tǒng)維護(hù)和校準(zhǔn);
  7. 解決與安全相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn);
  8. 系統(tǒng)冗余。
NHTSA致力于開發(fā)安全性能模型和指標(biāo)的一個(gè)關(guān)鍵例子是2017年發(fā)布的ISM瞬時(shí)安全指標(biāo)。ISM瞬時(shí)安全指標(biāo)計(jì)算了受試車輛和周圍交通中的其他道路使用者在給定一組可能行動(dòng)時(shí)在未來預(yù)設(shè)的有限時(shí)間內(nèi)可能采取的物理軌跡(例如,方向盤角度、制動(dòng)/油門),并計(jì)算可能導(dǎo)致潛在多因素碰撞的軌跡組合。由軌跡的數(shù)量和/或比例(以及導(dǎo)致該軌跡的動(dòng)作的嚴(yán)重性/概率)確定可能導(dǎo)致碰撞指標(biāo),作為評(píng)估給定駕駛狀態(tài)安全風(fēng)險(xiǎn)的工具。
更新的方法是MPrISM模型預(yù)測(cè)瞬時(shí)安全度量(:Model Predictive Instantaneous Safety Metric),建立在ISM概念的基礎(chǔ)上并修改其評(píng)估方法。MPrISM考慮受試車輛的完全可控動(dòng)作范圍,并在受試車輛做出最佳響應(yīng)選擇和現(xiàn)場(chǎng)其他參與者做出最差選擇的情況下計(jì)算碰撞影響。
ISM和MPrISM的優(yōu)點(diǎn)之一是它們的邏輯推理和直接分析結(jié)構(gòu)。然而ISM在實(shí)際應(yīng)用中的一個(gè)挑戰(zhàn)是有效利用所需的巨大計(jì)算復(fù)雜性。MPrISM試圖通過新的度量開發(fā)工作解決這一難題,NHTSA將繼續(xù)研究降低復(fù)雜性的方法。
UNECE WP29《自動(dòng)駕駛汽車框架文件》
2019年6月,聯(lián)合國WP.29會(huì)議審議通過了中國、歐盟、日本和美國共同提出的《自動(dòng)駕駛汽車框架文件》。
在系統(tǒng)功能安全方面,要求“車輛制造廠商應(yīng)該以設(shè)計(jì)出免于不合理安全風(fēng)險(xiǎn)的自動(dòng)駕駛系統(tǒng)和保證負(fù)荷道路交通法規(guī)與本文件列出的原則為目標(biāo),根據(jù)系統(tǒng)工程方法呈現(xiàn)一個(gè)健全的設(shè)計(jì)和驗(yàn)證過程。設(shè)計(jì)和驗(yàn)證方法應(yīng)該包括對(duì)以下方面的威脅分析和安全風(fēng)險(xiǎn)評(píng)估:自動(dòng)駕駛系統(tǒng)(ADS),目標(biāo)事件探測(cè)與響應(yīng)(OEDR),包含上述內(nèi)容的整車設(shè)計(jì),以及更廣泛的交通生態(tài)系統(tǒng)(如適用)。設(shè)計(jì)和驗(yàn)證方法應(yīng)展示出自動(dòng)駕駛汽車正常運(yùn)行期間的預(yù)期行為能力,避免碰撞的性能以及后備支援的性能,試驗(yàn)方法可組合模擬測(cè)試、場(chǎng)地測(cè)試和實(shí)際道路測(cè)試”。
在信息安全方面,要求“基于已建立的網(wǎng)絡(luò)車輛物理系統(tǒng)最佳實(shí)踐方案,自動(dòng)駕駛汽車應(yīng)免受網(wǎng)絡(luò)攻擊。車輛制造商應(yīng)表明如何將車輛信息安全考慮整合到自動(dòng)駕駛系統(tǒng)中,這些考慮包括所有的行動(dòng)、變化、設(shè)計(jì)選擇、分析和相關(guān)測(cè)試;以及確保數(shù)據(jù)在文檔版本控制環(huán)境中是可追溯的”。在軟件更新方面,“車輛制造商應(yīng)確保系統(tǒng)更新可根據(jù)需要、以安全的方式進(jìn)行,并可根據(jù)需要應(yīng)用于售后修理和修改”。
在事件數(shù)據(jù)記錄(EDR)和數(shù)據(jù)存儲(chǔ)系統(tǒng)(DSSAD)方面,要求“自動(dòng)駕駛汽車應(yīng)具有采集和記錄與系統(tǒng)狀態(tài)、故障發(fā)生、降級(jí)或失效相關(guān)必要數(shù)據(jù)的功能,采用一種可用來確定任何碰撞發(fā)生的原因、自動(dòng)駕駛系統(tǒng)狀態(tài)以及駕駛員狀態(tài)的方式”。對(duì)于車輛維護(hù)和檢查,要求“應(yīng)利用自動(dòng)駕駛汽車維護(hù)和檢查等相關(guān)措施,確保在用車輛的安全。此外,鼓勵(lì)車輛制造商提供文件,便于對(duì)碰撞后自動(dòng)駕駛汽車的維護(hù)和修理。這些文件將確定能保證自動(dòng)駕駛汽車在修理后可安全運(yùn)行的必要裝備和過程”。
除了《自動(dòng)駕駛汽車框架文件》之外,GRVA的提案Proposal for amendments to framework document on automated/autonomous vehicles (levels 3 and higher) 還提出了UNECE WP29應(yīng)優(yōu)先考慮的關(guān)鍵問題和原則:
  • a.系統(tǒng)安全/ System Safety。
  • b.失效響應(yīng)/Failsafe Response。
  • c.人機(jī)界面/Human Machine Interface (HMI) /Operator information。
  • d.OEDR/Object Event Detection and Response (OEDR)。
  • e.ODD/ [Operational Design Domain (ODD/OD)] (automated mode)。
  • f.系統(tǒng)安全驗(yàn)證/Validation for System Safety.
  • g.網(wǎng)絡(luò)安全/Cybersecurity.
  • h.軟件升級(jí)/ Software Updates.
  • i.事件記錄與存儲(chǔ)系統(tǒng)/Event data recorder (EDR) and Data Storage System for Automated Driving vehicles (DSSAD).
  • j.車輛維護(hù)與檢查/Vehicle maintenance and inspection.
  • k.用戶教育與培訓(xùn)/Consumer Education and Training.
  • l.碰撞預(yù)防保護(hù)與兼容/Crashworthiness and Compatibility.
  • m.碰撞后行為/ Post-crash AV behaviour.


部分國家自動(dòng)駕駛車輛安全原則對(duì)比

UNECE曾對(duì)已公開的部分國家的自動(dòng)駕駛車輛安全原則進(jìn)行了對(duì)比,包括美國、日本、加拿大、歐洲,詳見下表。
自動(dòng)駕駛車輛安全原則對(duì)比
Safety Principles
USA (NHTSA FAVP 3.0)
Japan (MLIT-Guideline)
Canada (Transport Canada)
Europe (EC Guidance)
Vision: “0” accidents with injury or fatality by ADV
Ensure Safety : Within ODD ADV shall not cause rationally foreseeable & preventable accidents
1
Safe Function (Redundancy)
1) System Safety
9) Post Crash Behavior
ii) System safety by redundancy
6) Safety systems (and appropriate redundancies)
7) Safety assessment – redundancy; safety concept
2
Safety Layer
3) (OEDR)
ii) Automatic stop in situations outside ODD
iii) Compliance with safety regulationiii) Compliance with standards recommendedvii) for unmanned services: camera link & notification to service center
4) International standards and best practices
2) Driver/operator/ passenger interaction
- takeover delay; camera & voice link for driverless systems
3
Operational Design Domain
2) Operational Design Domain
i) Setting of ODD
2) Operational design domain
1) System performance in automated mode – description2) Driver/operator/ passenger interaction – boundary detection
4
Behavior in Traffic
3) OEDR
12) Federal, State and local Laws
3) OEDR
1) System performance in automated mode – behavior
4) MRM – traffic rules; information
5
Driver‘s Responsibilities
iv) HMI – driver monitoring for conditional automation
1) Level of automation and intended use7) HMI and access of controls – accidental misuse
2) Driver/operator/ passenger interaction – information; driver monitoring
6
Vehicle Initiated Take-Over
4) Fallback (MRC)
6) HMI
ii) Automatic stop in situations outside ODDiv) HMI – inform about planned automatic stop
3) Transition of driving task – lead time; MRM; HMI
4) MRM
7
Driver Initiated Transfer
6) HMI
7) HMI and Accessibility of Controls
1) System performance in automated mode - takeover
8
Effects of Automation
7) HMI and Accessibility of Controls – unsafe misuse
9
Safety Certificate
viii) Safety evaluation via simulation, track & real world testing
ix) In-use safety - inspection
5) Testing and validation11) After market repairs / modifications
7) Safety assessment – product; processes; risk assessment; standards
10
Data Recording
10) Data Recording
v) Installation of data recording devices
12) User privacy13) Collaboration with government agencies & law enforcement
5) Data storage system
11
Security
7) Vehicle Cybersecurity
vi) Cybersecurity – safety by designix) In-use safety – software update
10) Cyber security
11) System update
6) Cyber security
12
Passive Safety
8) Crashworthiness
9) User protection during collision & system failure
13
Driver‘s training
11) Consumer Education/Training
x) Information provision to users
8) Public education and awareness
8) information provision to users

分享到:
 
反對(duì) 0 舉報(bào) 0 收藏 0 評(píng)論 0
滬ICP備11026917號(hào)-25