1.安全交互概述

2.安全交互的一般要求

3.安全交互的測試要求

1. 安全交互概述

 自動駕駛系統(tǒng)ADS和用戶之間的安全交互涉及：明確的角色&責(zé)任劃分、有效的溝通和反饋機(jī)制、友好易用的用戶界面、數(shù)據(jù)安全&隱私保護(hù)、法規(guī)符合性、用戶教育&培訓(xùn)等多個方面。

  這些要求旨在確保自動駕駛系統(tǒng)在使用過程中既能保障用戶的安全，又能提供高效、便捷的駕駛體驗。

對ADS而言，用戶可能是駕駛員、安全員、后備駕駛員、乘客、遠(yuǎn)程操作員等，而且在一段旅程中，用戶的角色可能會發(fā)生變動。用戶需要明確自己在自動駕駛過程中的角色和責(zé)任，同時ADS也應(yīng)明確其功能和限制。這有助于在必要時進(jìn)行無縫的交接和合作。

在自動駕駛和人工駕駛之間需要有一個明確的責(zé)任重新分區(qū)（過渡階段，涉及人機(jī)共駕、override等），以確保在特定情況下（如緊急情況）能夠迅速、準(zhǔn)確地判斷并作出反應(yīng)。

有效的溝通和反饋機(jī)制：

ADS應(yīng)能實時向用戶反饋其當(dāng)前狀態(tài)、決策依據(jù)以及任何潛在的風(fēng)險或問題。這可以通過視覺（如顯示屏上的信息）、聽覺（如語音提示）或觸覺（如震動座椅）等方式來實現(xiàn)。

 對于可能需要用戶從ADS接管駕駛?cè)蝿?wù)控制權(quán)的ADS系統(tǒng)，有必要提供關(guān)于ADS能力的正確信息，以確保ADS的安全使用。當(dāng)ADS無法處理當(dāng)前情況時，需要有一個清晰、明確的接管方案來指導(dǎo)用戶如何安全地接管車輛控制權(quán)。這包括提前通知用戶接管時機(jī)、提供接管指導(dǎo)以及確保接管過程的平穩(wěn)過渡。

用戶界面的友好性和易用性：

ADS的用戶界面應(yīng)設(shè)計得直觀、易用，以便用戶能夠快速理解并操作。界面元素應(yīng)清晰、簡潔，避免過多的干擾和混淆。

一個優(yōu)秀的ADS界面設(shè)計，還應(yīng)允許用戶根據(jù)個人喜好和駕駛習(xí)慣進(jìn)行個性化設(shè)置，以提高駕駛的舒適性和安全性。

數(shù)據(jù)安全和隱私保護(hù)：

ADS在傳輸和存儲用戶數(shù)據(jù)時應(yīng)采用數(shù)據(jù)加密技術(shù)，以確保數(shù)據(jù)的安全性和隱私性。

ADS制造商應(yīng)制定并遵守嚴(yán)格的隱私保護(hù)政策，明確告知用戶其數(shù)據(jù)如何被收集、使用和存儲，并尊重用戶的隱私權(quán)。

法規(guī)遵從性：

ADS的設(shè)計和運營應(yīng)遵守所有相關(guān)的法律法規(guī)，包括與自動駕駛技術(shù)、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、預(yù)期功能安全、隱私保護(hù)等相關(guān)的法規(guī)。ADS應(yīng)通過相關(guān)的合規(guī)性認(rèn)證和測試，以確保其符合法規(guī)要求和安全標(biāo)準(zhǔn)。

教育和培訓(xùn)：

ADS制造商應(yīng)向用戶提供充分的教育和培訓(xùn)，以幫助用戶了解ADS的功能、限制以及安全交互的要求。對于需要人工接管的場景，駕駛員應(yīng)接受專門的培訓(xùn)，以提高其在緊急情況下的反應(yīng)能力和操作技能。

2.安全交互的一般要求

本章節(jié)就用戶和ADS車輛之間的交互設(shè)計提供建議，以確保ADS車輛的安全運行。ADS用戶類型包括駕駛員、后備駕駛員、乘客等。

2.1 一般要求：

（a）ADS應(yīng)發(fā)出信號，表明存在限制可用功能運行的任何故障；

（b）ADS應(yīng)向用戶表明將車輛進(jìn)入最小風(fēng)險狀態(tài)MRC的意圖；

（c）ADS應(yīng)向用戶提供緊急情況下打開車門的操作；

（d）ADS的HMI應(yīng)在所有操作條件下向目標(biāo)用戶提供安全相關(guān)信息和信號，如有需要，應(yīng)提供多模態(tài)（如光學(xué)、聲學(xué)、觸覺），信息信號應(yīng)該是簡單明確的。

2.2 允許用戶手動接管DDT的要求

 一般要求：

（a）ADS應(yīng)確保ADS功能激活的安全性；      

（d）導(dǎo)致用戶成為后備駕駛員的ADS功能激活時，應(yīng)通知后備駕駛員對他們的后續(xù)期望。

 關(guān)于用戶停用ADS功能的要求：

2.3 允許用戶停用ADS的要求

 本節(jié)的要求，不是為了要求后備駕駛員隨時準(zhǔn)備接管而設(shè)計的，而是為了用戶安全停用ADS而設(shè)計的。當(dāng)自動駕駛系統(tǒng)允許用戶手動停用ADS時， ADS的設(shè)計應(yīng)確保用戶停用ADS系統(tǒng)的安全性：

2.4 允許系統(tǒng)停用ADS的要求

    ADS系統(tǒng)啟動的停用應(yīng)確保用戶的安全：

 （a）應(yīng)及時指示系統(tǒng)啟動的停用，以支持后備駕駛員重新參與駕駛?cè)蝿?wù)；

  （b）系統(tǒng)啟動的停用過程（例如，動作和狀態(tài)的順序）應(yīng)考慮相關(guān)建議或標(biāo)準(zhǔn)；

  （c）ADS應(yīng)：

     （i）持續(xù)評估兜底用戶是否可用于系統(tǒng)發(fā)起的停用；

（d）ADS應(yīng)在停用流程完成前評估用戶是否適合參與恢復(fù)DDT；

（e）ADS應(yīng)保持開啟狀態(tài)，直到系統(tǒng)啟動的停用流程完成或ADS車輛達(dá)到最小風(fēng)險狀態(tài)MRC；

（f）ADS應(yīng)明確表明ADS已完成停用；

（g）如果在ADS停用時適用，車輛控制、指示燈、警告和告警應(yīng)設(shè)置為手動駕駛的適當(dāng)狀態(tài)；

（h）如果適用，ADS功能關(guān)閉的操作控制不應(yīng)再影響關(guān)閉或與關(guān)閉相關(guān)的控制。

2.5 不允許用戶手動控制DDT的要求

（a）ADS應(yīng)為乘客提供請求停車的方法；

（b）ADS車輛應(yīng)當(dāng)向乘客提供安全相關(guān)信息；

（c）除非對乘客的安全風(fēng)險得到緩解，否則ADS不得啟動運動；

（d）ADS應(yīng)向用戶提供與正在進(jìn)行的操作相關(guān)的信息（例如，目的地、即將到達(dá)的站點、路線進(jìn)度）；

（e）為手動駕駛提供的控制裝置（例如轉(zhuǎn)向、行車制動器、駐車制動器、油門、照明）的設(shè)計應(yīng)防止ADS執(zhí)行DDT時對DDT產(chǎn)生任何影響，或者應(yīng)設(shè)置合理的保護(hù)措施以防止接近控制裝置。

3.安全交互的測試要求

  許多人機(jī)界面HMI（Human Machine Interface）要求與系統(tǒng)的設(shè)計有關(guān)，雖然這些設(shè)計的效果可以通過仿真測試、場地內(nèi)軌道測試和真實道路測試等支柱進(jìn)行測試，但審計支柱最適用于確定是否遵循了設(shè)計要求。

駕駛員在環(huán)DIL仿真測試有助于通過分析駕駛員和ADS在安全受控環(huán)境中的相互作用來支持此類安全要求的評估。

場地內(nèi)軌道測試可能非常適合在離散數(shù)量的物理測試中評估ADS的性能，并且該評估將受益于HMI相關(guān)測試或ADS回退響應(yīng)測試的更高保真度。

利用關(guān)于ADS在實際道路條件下的表現(xiàn)的信息有助于加強(qiáng)或修改場地內(nèi)軌道測試。此外，在役監(jiān)控報告ISMR中關(guān)于用戶交互指標(biāo)的有用信息，可用于改善ADS的HMI、可用性和相關(guān)人員的教育培訓(xùn)。

與DDT需求一樣，故障場景中的用戶交互需求，例如向用戶發(fā)出故障信號，需要考慮如何通過硬件或軟件機(jī)制人為制造故障。在真實道路的交通流中故意降低ADS的DDT性能會帶來不合理的安全風(fēng)險，因此，故障場景下的性能測試通過場地內(nèi)軌道測試或仿真測試會更安全。

測試故障信號、緊急用戶override、系統(tǒng)啟動的回退到用戶或MRC等可能會導(dǎo)致ADS回退到最小風(fēng)險狀態(tài)MRC。根據(jù)ADS的設(shè)計，這種MRC在真實道路上不一定是可取的（例如可能會停在快車道上，造成碰撞風(fēng)險）。因此，根據(jù)MRC的設(shè)計，在現(xiàn)實世界的交通流中測試回退到MRC是危險的。測試回退到MRC更安全、更適合的方法是場地內(nèi)軌道測試和仿真測試。

 依賴于后備駕駛員存在的系統(tǒng)，必須滿足與檢測該后備駕駛員可用相關(guān)的要求（例如R157-ALKS必須要有駕駛員監(jiān)控系統(tǒng)DMS監(jiān)控駕駛員可用）。為了充分測試這樣的要求，當(dāng)需要時，后備駕駛員必須不存在/不可用。系統(tǒng)應(yīng)該能夠應(yīng)對這種可能性，但這方面仍然應(yīng)該在受控的測試軌道上進(jìn)行測試，以避免ADS不滿足要求時，現(xiàn)實道路交通中的潛在安全風(fēng)險。

 仿真測試涵蓋交通模擬和車輛模擬。對于大多數(shù)情況，交通模擬或車輛模擬中的一個就能涵蓋該情況；然而，在一些情況下，例如在ADS停用DDT性能之前評估用戶參與，需要評估ADS和人類駕駛員，這在仿真測試中具有挑戰(zhàn)性。