ISO 22737 预定低速自动驾驶系统-系统要求、性能要求和性能测试规范(中文版)

简介

自动驾驶系统的发展导致了人员、货物和服务运输方式的转变。其中一种新的运输方式是低速自动驾驶（LSAD）系统，它在预定的路线上运行。LSAD系统将被用于最后一英里的运输、商业区的运输、商业或大学校园区以及其他低速环境的应用。

由LSAD系统驾驶的车辆（可以包括与基础设施的互动）可以有很多潜在的好处，比如提供安全、方便和经济的流动性，减少城市拥堵。它还可以为无法驾驶的人提供更多的流动性。然而，随着LSAD系统在全球行业中的不同应用，有必要为制造商、运营商、最终用户和监管机构提供指导，以确保其安全部署。

此处规定的LSAD系统要求和程序旨在帮助LSAD系统的制造商将最低安全要求纳入其设计中，并允许最终用户、运营商和监管机构在其采购中参考一套最低性能要求。

1. 范围

本文件规定了

- 对操作设计域的要求；

- 系统要求；

- 最低性能要求，以及

- 性能测试程序

在预定路线上运行的低速自动驾驶（LSAD）系统的安全运行。LSAD系统被设计为在特定的运行设计域（ODD）内以L4级自动化（见ISO/SAE PAS 22736）运行。

本文件适用于自动驾驶系统专用车辆（ADS-DVs），也可用于双模式车辆（见ISO/SAE PAS 22736）。本文件没有规定由LSAD系统驾驶的车辆中存在的传感器技术。

2. 规范性参考文献

以下文件在文本中被提及，其部分或全部内容构成本文件的要求。对于有日期的参考文献，只适用于所引用的版本。对于未注明日期的参考文件，适用于所参考文件的最新版本（包括任何修正案）。

ISO 19206-2, Road vehicles — Test devices for target vehicles, vulnerable road usersand other objects, for assessment of active safety functions — Part 2:Requirements for pedestrian targets

ISO 19206-3, Road vehicles — Test devices for target vehicles, vulnerable road usersand other objects, for assessment of active safety functions — Part 3:Requirements for passenger vehicle 3D targets

ISO 19206-4, Road vehicles — Test devices for target vehicles, vulnerable road usersand other objects, for assessment of active safety functions — Part 4:Requirements for bicyclist targets

ISO 26262 (all parts), Road vehicles — Functional safety

ISO 21448: Road vehicles — Safety of the intendedfunctionality

ISO/SAEPAS 22736: Taxonomy and definitions for terms related to driving automationsystems for on-road motor vehicles

3. 术语和定义

在本文件中，ISO/SAE PAS 22736中给出的术语和定义以及以下内容适用于本文件

ISO和IEC在以下地址维护用于标准化的术语数据库。

- ISO在线浏览平台：可在https://www.iso.org/obp

- IEC Electropedia：可在http://www.electropedia.org/

3.1 危险情况

障碍物（如骑自行车的人、行人、车辆等）的位置、方向和运动相对于LSAD系统驾驶的车辆的位置、方向和运动，可能导致即将发生碰撞的情况。

3.2 预定义路线

由LSAD系统驾驶的车辆在行程开始前确定的轨迹，从一个出发点到一个（或多个）目的地。

注释。由LSAD系统驾驶的车辆的一次出行可能有许多目的地。一个预定的路线有长度和曲率，但没有宽度。

3.3 最小风险操作 MRM

由LSAD系统触发并执行的操作，以达到最小的风险条件。

3.4 行程段

在一次出行中，从出发点到目的地或从一个目的地到另一个目的地行程。

注释：一个行程可能包括多个行程段。

3.5 可驾驶区

在预定路线（3.2）周围的可操纵区域，LSAD系统能够在该区域运行。

条目注释1: 可驾驶区域的宽度可以沿着预定路线变化。

3.6 骑自行车的人

人车组合，由骑在轮架上的人组成，有转向装置、刹车、两个踏板推进（可选择电机辅助踩踏），不需要在公共道路上使用的许可证。

3.7 白天

环境光照度大于2 000 lx的情况。

3.8 夜间

环境照度小于1 lx的情况下

3.9 静止状态

车速为0米/秒时的车辆状态

3.10 低速自动驾驶系统LSAD

最大速度为8.89米/秒的自动驾驶系统

3.11 低环境照明条件

白天（3.7）和晚上（3.8）之间的环境光线

4. 符号和缩写

ϴ  在评价路径的直线段上，行人轨迹与车辆轨迹之间的角度

ADS-DV           自动驾驶系统专用车

DDT                 动态驾驶任务

e-stop              紧急停车

LSAD                低速自动驾驶

MaaS                流动即服务

MRC                 最低风险条件

ODD                 运行设计域

R                       可驾驶区域内的轨迹曲率半径

RTI                   请求介入

Slat1                可驾驶区的宽度

Slat2                SV与行人起点之间的横向距离

Slat3                SV和目标车辆之间的横向距离 (TV1 和 TV2)

Slat4                 减少的可驾驶区宽度

Slong                可驾驶区域纵向距离

Slong2              评价路径与工况C的纵向距离

Slong3              点1和点4之间的纵向距离

Slong4               触发MRM的点1和点4之间的纵向距离

Slong5              4号点与评价路径终点之间的纵向距离

SV                     被控车辆

Tped_to_Pt2      行人到达第2点所需时间

Tpc_to_Pt2        骑车人到达第2点所需时间

TV(1,2)             目标车辆(1,2）

V2X                   车辆对X通信

VLSAD               LSAD的速度

VLSAD_max       LSAD系统的最大速度

Vpc                    自行车的速度

Vpc_max            自行车最大速度

Vped                  行人速度

Vped_max         行人最大速度

Vsv_max            被控车辆最大速度

VRU            道路使用者

5. LSAD系统部署的用例

由LSAD系统驾驶的车辆可以作为一个更大的（MaaS）系统的一部分。图1描述了这样一个MaaS系统的示例系统结构。然而，本文件的范围仅限于图1中安装在车辆中的LSAD系统。

按照图1中的例子，LSAD系统通过无线通信从调度员那里接收行程目的地，而调度员又从用户那里接收目的地请求（通过门户网站或移动应用程序。调度员或控制中心处理目的地请求，向用户提供行程/行程段确认，并命令LSAD系统驾驶的车辆继续前进。本文中的术语 "调度员 "是指无人驾驶操作调度员（见ISO/SAE PAS 22736）。

由于到达目的地的预定路线可能不止一条，所选择的预定路线可以是。

1）由调度员/控制中心提供。

2）由用户通过移动应用程序的用户界面或配备LSAD系统的车辆上选择。

3）由LSAD系统本身选择。

LSAD系统定期向用户和调度员/控制服务器提供其状态（如系统健康、行程状态）。

图1 - 系统结构实例 - MaaS系统中的LSAD

6. LSAD系统结构

图2表示单个LSAD系统的系统架构。图2还强调了本文件范围内的LSAD系统架构的组成部分。

本文件中定义的功能要求

本文件中未定义的操作功能

本文件中未定义的功能要求

图2 - 系统结构实例 - 单个LSAD系统

7. 基本要求

7.1 一般要求

LSAD系统应执行动态驾驶任务（见ISO/SAE PAS 22736）。驾驶任务的策略（见ISO/SAE PAS 22736）的实施由制造商决定。然而，LSAD系统应只在预定的路线上运行。启用LSAD系统的车辆的最大运行速度应等于或低于8.89米/秒或32公里/小时。然而，根据本文件中提到的特殊条件（根据无人驾驶操作调度员的酌情选择[ISO/SAE PAS 22736]），例如一天中的时间、能见度、星期几、降雨、雪、雾、道路上的冰等，这个速度可能会大大降低）。

LSAD系统应使用传感器，以实现部分动态驾驶任务。这包括探测物体、车辆、行人、建筑物、路径等。应针对传感器性能和故障以及其他安全关键系统元素进行适当的危险分析和风险评估。LSAD系统的开发应根据ISO 26262系列和ISO 21448进行。

7.2 最低操作能力

由LSAD系统驾驶的标的物车辆应能执行以下功能：

a) 按照预定的路线到达目的地（8.3）；

b) 检测危险情况（8.1）；

c) 启动制动和/或转向，以减轻和/或避免与障碍物的碰撞（9.1，9.2）；

d) 进行最小风险的操纵（8.2）；

e) 通知调度员LSAD系统的故障状态（例如二进制标志）（8.4）；

f) 在出现危险情况时向道路使用者提供警告。

7.3 运行设计域(ODD)

每个LSAD系统都应由制造商定义其ODD。一个LSAD系统的ODD限制应至少规定以下属性：

a) 低速：LSAD系统的速度应等于或低于8.89米/秒或32公里/小时；

b) 适用范围：例如，限制进入或专用道路（公共或私人），或行人/自行车道，或限制所有或某些特定类别机动车进入的区域。限制通行的道路可以通过车道标记或速度限制或物理分界来指定。(例子见附件D)；

c) 预定义路线：在LSAD系统运行之前，在LSAD系统内定义的路线。一个LSAD系统只能在预定义的路线上运行。预定义路线应由相关的利益相关者共同定义（例如，地方当局、服务提供商、制造商等）。任何对预定路线的偏离都应由调度员确认不会导致危险情况；

d) 应用区域的照明条件；

e) 天气状况；

f) 道路状况；

g) 存在或不存在VRU；

h) 可驾驶区域内可能存在的静态障碍；

i) 网联要求。

LSAD系统或调度员应根据当前的ODD条件（如雾天条件、夜间照明条件），在ODD属性预定值的范围内为指定的应用选择操作值（对于LSAD系统驾驶的车辆）。

例子 调度员或LSAD系统可以决定将雨天的最大允许速度限制为低于晴天的速度。

7.4 LSAD状态转换图

LSAD系统应按照图3的状态转换图运行。超出图3描述的具体实施应是制造商的责任。

关键词

A1 开机并通过自检

B1 系统故障或断电 调度员命令或电源关闭

B2 满足ODD条件，调度员发出参与ADS命令，配备ADS的车辆具有数据记录能力并参与其中。

C1 调度员解除指令

C2 乘客或调度员启动紧急停车

C3 检测到LSAD系统无法处理的危险情况或DDT性能相关的系统故障或失去安全关键的V2X通信或即将违反ODD或未收到调度员的安全继续确认授权

C4车辆处于静止状态，即0米/秒

C5 调度员确认进入待机状态

C6 车辆处于静止状态，即0米/秒，并由调度员确认进入待机状态

图3 - LSAD状态转换图

7.4.1 LSAD状态功能描述

7.4.1.1 LSAD关闭

在LSAD关闭状态下，LSAD系统不应执行动态驾驶任务的任何方面。

7.4.1.2 LSAD待机

在LSAD待机状态下，LSAD系统应：

a) 验证ODD条件是否得到满足，以便能够过渡到LSAD激活状态。

b) 进行与调度员的通信。

c) 保持静止状态。

LSAD待机状态可以接收来自调度员的外部操作指令，选择LSAD系统在DDT状态时的操作值（例如，正常工作或降级）。

请注意，正常模式表明LSAD系统所驾驶的车辆的理想性能。降级模式表明由于外部或LSAD系统的内部条件，预先定义的车辆参数的性能下降。

7.4.1.3 LSAD激活

在LSAD激活状态下，LSAD应执行DDT。LSAD系统的最大运行速度由调度员或系统本身决定。

LSAD激活状态有四个子状态。

1）LSAD DDT子状态。这应是LSAD激活状态下的默认子状态。在LSAD DDT子状态内，根据LSAD系统服务提供者的决定，LSAD系统的运行参数可以动态变化。一个LSAD系统在LSAD DDT子状态下有两个基本功能：

- 执行DDT，包括在避免与障碍物碰撞的同时，安全地沿着预定的路线行驶，以及

- 检测即将发生的违反ODD条件的情况。

2）LSAD执行电子停靠子状态。如果乘客或调度员要求e-stop，在此状态下，LSAD系统应执行紧急减速，使LSAD系统驾驶的车辆停顿下来，并向调度员提供状态信息，对外传达紧急情况（如通过危险灯、听觉警报）。

3）LSAD执行MRM子状态。如果转换C3的任何一个触发器被满足，LSAD系统应执行最小风险机动（MRM）（子条款8.2）。

4) LSAD MRC子状态。在LSAD MRC状态下，LSAD应：

- 处于静止状态。

- 向调度员提供状态信息。

在所有LSAD活动子状态下，LSAD系统应持续进行系统性能监测。

7.4.2 LSAD的状态转换描述。

7.4.2.1 A1

从LSAD关闭状态过渡到LSAD待机状态。

触发条件：

a) 调度员开机命令，以及

b) 开机顺序已完成，系统无故障（自检通过）。

7.4.2.2 B1

从LSAD待机状态过渡到LSAD关闭状态。

触发条件：

a) 检测到一个与DDT性能相关的系统故障，或

b) 调度员关机命令或电源已被关闭。

7.4.2.3 B2

从LSAD待机状态过渡到LSAD激活状态的默认状态（LSAD DDT）。

触发器条件：

a) LSAD系统满足其ODD条件，且

b) 调度员发送了过渡到LSAD活动状态的指令（调度员参与指令），并且

c) 数据记录器（见10.1）有足够的容量来存储至少一个额外的安全关键事件。

7.4.2.4 C1

从LSAD激活状态的默认状态（LSAD DDT）过渡到LSAD待机状态。

触发器条件：

a) 调度员发出指令，解除LSAD活动状态（调度员解除指令）。

7.4.2.5 C2

从LSAD DDT状态（LSAD主动状态的默认状态）过渡到LSAD执行e-stop状态。

触发条件：

a) 乘客或调度员发起e-stop命令。

7.4.2.6 C3

从LSAD DDT状态过渡到LSAD执行MRM状态。

触发条件：

a) 检测到LSAD系统无法解决的危险情况，或

b) 检测到DDT性能相关的系统故障，或

c) 失去安全关键的V2X通信，或

d) 检测到LSAD系统即将违反ODD条件，或

e）未收到调度员的安全进行确认授权（见7.4.3.1）。

7.4.2.7 C4

从LSAD执行MRM状态过渡到LSAD MRC状态。

触发条件：

a) LSAD车辆进入静止状态（即0米/秒）。

7.4.2.8 C5

从LSAD MRC状态过渡到LSAD待机状态。

触发条件：

a) 调度员发送确认，进入待机状态。

7.4.2.9 C6

从LSAD执行e-stop状态过渡到LSAD待机状态。

触发条件：

a) LSAD车辆速度为0米/秒（即LSAD车辆静止），并且

b) 调度员发送确认，进入待机状态。

7.4.3 LSAD状态图的可能扩展，以适应调度员的输入

7.4.3.1 安全进行的确认请求

这是LSAD DDT状态向调度员（外部实体）提出的请求，以授权LSAD系统所驾驶的车辆在LSAD处于活动模式时，在其可驾驶区域之外暂时前进。

它的依据是：

a) LSAD系统检测到即将超出ODD的情况（对于可驾驶区域），或

b) 可驾驶区域被封锁。

7.4.3.2 安全行驶确认授权

这是调度员在LSAD激活状态下对LSAD系统的输入，以确认继续前进是安全的。

它的依据是：

a) LSAD DDT状态是否已经要求确认安全进行。

7.4.3.3 运行模式命令

这是调度员在LSAD待机状态下对LSAD系统的输入，用于选择LSAD DDT状态下的运行模式（如：额定或降级）。

7.5 通信要求

根据LSAD系统的实现，安全关键事件数据应在LSAD系统驾驶的车辆和调度员或控制中心之间进行通信。安全关键数据的选择应根据7.3的规定，由相关的利益相关者（如当地政府、服务提供商、制造商等）商定。附件B中描述了一套通信信息的例子。

8 功能要求

8.1 危险情况的确定

8.1.1 概述

在LSAD激活状态下，LSAD系统应监测由LSAD系统驾驶的车辆的周围环境，并应确定是否存在危险情况。危险情况可能涉及到骑自行车的人、行人（儿童和成人）或车辆和/或静止的和动态的障碍。一个危险情况可以由于其他静态/动态物体而被遮挡住。一旦LSAD系统确定了危险情况，该系统应采取行动，避免与障碍物相撞，并向外部道路使用者发出警告。

8.1.2 非遮挡视野

作为最低限度，LSAD系统应当对涉及行人的危险情况作出反应，如图4所示，其中SV是LSAD系统所驾驶的车辆。涉及骑脚踏车的人的典型危险情况如图5所示，其中SV是LSAD系统驾驶的车辆。图4和图5显示了迎面而来的物体（行人或骑自行车的人）没有被遮挡的危险情况。

关键词：

SV 被控车辆

Vped 行人速度

VLSAD LSAD速度

图4 - LSAD行人的危险情况

关键词：

SV 被控车辆

Vped 行人速度

VLSAD LSAD速度

图5 - LSAD 自行车的危险情况

8.1.3 遮挡的视野

图6 a)显示了一个典型的涉及行人的危险情况，其中SV是由LSAD系统驾驶的车辆。图6 b)显示了一个典型的危险情况，涉及到一个骑自行车的人在被遮挡的情况下，SV是由LSAD系统驾驶的车辆。此外，在这两个图中，描述了由LSAD系统驾驶的车辆的两个可能的检测区域的例子。这两个检测区的区别在于它们的视野，这可能导致对危险情况的早期或晚期检测。

a) 被遮挡的危险情况--行人            b）隐蔽的危险情况--骑自行车的人

关键词：

SV 被控车辆

Vped 行人速度

VLSAD LSAD速度

图6 - 被遮挡的危险情况--行人和骑自行车的人

8.2 最小风险操作(MRM)

由LSAD系统启动的MRM应使车辆停顿，并可进行转向。当LSAD系统启动MRM时，它还应向乘员和其他道路使用者提供通知。

最小风险机动(MRM)至少应在以下情况下被触发：

a) 检测到一个LSAD系统无法解决的危险情况，或

b) 一个与DDT性能相关的系统故障，或

c) 一个安全关键的V2X通信丢失，或

d) LSAD系统即将违反ODD条件，或

e) 没有收到调度员的安全进行确认授权。

MRM由系统发起，而紧急停车（8.4）则由乘客或调度员发起。

在LSAD系统执行了MRM停车的情况下，系统应将其MRC的信息传达给调度员。调度员应确认LSAD系统的安全性，以启动从MRC到LSAD待机状态的转换。

注 MRM与LSAD DDT子状态的降级模式不同，因为在MRM结束时，车辆将处于静止状态，而在LSAD DDT子状态下，车辆继续行驶。

8.3 在可行驶区域内行驶

由LSAD系统驾驶的车辆应始终保持在作为该系统预定路线一部分的可驾驶区域内。可驾驶区域应始终包括路线以及路径的宽度（对于路线而言），即为了定义可驾驶区域，相关利益方应在整个预定路线中指定Slong和Slat1（见图7）。Slat1可以沿着预定的路线变化。对于弯曲的路线，曲率半径R也应被定义。参数Slat1和R可以沿着路线的长度变化。

关键字：

VLSAD 装备LSAD系统的车辆速度 (m/s)

Slat1 可驾驶区域宽度 (m)

Slong     可驾驶区域长度(m)  

R 可驾驶区域道路半径(m)

图 7 可驾驶区域

根据制造商的ODD定义，直路和弯路的最大允许VLSAD可能不同。

8.4 紧急停车(e-stop)

e-stop是指LSAD系统乘客或调度员在检测到火灾等紧急情况或车辆不能安全行驶时，由其驾驶的车辆启动的紧急停车功能。

如果乘客按下LSAD系统驾驶的车辆上存在的紧急停车（e-stop）按钮，应适当地触发乘客发起的紧急停车。乘客可能会因为乘员的疾病、配备LSAD系统的车辆的非预期的行为、配备LSAD系统的车辆失去能力等原因而按下紧急停止按钮。e-stop界面应该是可见的，易于理解的，并且乘客可以使用。

如果调度员命令紧急停车，应触发调度员发起的紧急停车。调度员可能会因为LSAD系统驾驶的车辆变得无力，或发生变化，而命令紧急停车。调度员可能会因为LSAD系统驾驶的车辆失去能力、ODD条件发生变化、检测到LSAD系统未识别的危险情况等而发出紧急停车命令。

为了使LSAD系统重新进入活动状态，必须得到调度员的确认，以确保LSAD系统和配备的车辆的系统完整性。

9 LSAD系统的性能要求

9.1 主体车辆的最高速度（VSV_max)

所有由LSAD系统驾驶的车辆，其最大速度的上限应为8.89米/秒（32公里/小时）（VLSAD = VSV_max）。

9.2 障碍物探测要求

9.2.1 最大行人速度(Vped_max)

由LSAD系统驾驶的车辆应要求检测的最大行人速度为2,22 m/s或8 km/h。由LSAD系统驾驶的车辆可能能够检测到以更高速度行驶的行人。

相关的利益相关者可以决定增加额外的要求（例如，根据ODD定义的更高目标速度）。

9.2.2 脚踏车的最大速度(Vpc_max)

由LSAD系统驾驶的车辆应被要求检测的最大脚踏车速度为6,94米/秒（25公里/小时）。由LSAD系统驾驶的车辆可以检测到以更高速度行驶的脚踏车主。

相关的利益相关者可以决定增加额外的要求（例如，根据ODD的定义提高目标速度）。

9.2.3 LSAD系统减速

由LSAD系统驾驶的车辆应具有4,9 m/s2的最大减速，用于MRM。

如果触发了电子停车（乘客或调度员发起的）或MRM，LSAD系统应施加最大4,9 m/s2的减速，直到车辆停稳。

如果LSAD系统驾驶的车辆可以容纳站立的乘员，它应该有能力检测站立的乘员，并在检测到站立的乘员时降低减速。

关于系统需求和性能测试流程后续更新，欢迎大家关注，转发，让更多的同行了解国外技术发展