首部L3级自动驾驶国际法规之ALKS功能解读
01
背景与定义
1. 法规背景
2020年6月24日,联合国欧洲经济委员会(UNECE)车辆法规协调世界论坛(World Forum for Coordination for Vehicle Regulations)通过了“L3级”车辆自动化的第一份具有约束力的国际法规《Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to Automated Lane Keeping System》。
该法规以《Framework document on automated/autonomous vehicles》为指导框架,将安全作为战略核心,并将于2021年1月1日生效。在此背景下,本系列文章将深入解读该法规,以探讨未来ALKS功能设计上因合规性需要注意的方面。
2. 概念定义
为了精简篇幅,本文只针对ALKS系统特殊定义作解读,与传统功能如“车速”、“故障”、“自检”、“寿命”等认知一致的定义,本文不再赘述。
Automated Lane Keeping System (ALKS)
“ALKS自动车道保持系统”是一种被驾驶员激活后,将车辆保持在低速行驶状态,控制车辆行驶速度60公里/小时的情况下,并且在不需要驾驶员进一步输入的系统。
Transition demand
“接管请求”是将动态驾驶任务(DDT)从系统(自动控制)转移到人工驾驶(手动控制)的逻辑和直观的过程。此请求是由系统发送给人类驾驶员。
Transition phase
“接管过程”是指接管请求的持续时间。
Planned event
“计划事件”是指预先知道的情况,如在系统激活时的行程点(例如高速公路出口)等,并且在到达该行程点之前,系统会请求驾驶员接管车辆控制。
Unplanned event
“意外事件”是指事先未知,但假设很有可能发生的情况,例如道路施工、恶劣天气、紧急车辆接近、车道标线缺失、卡车负载掉落(碰撞),出现“意外事件”时,系统会请求驾驶员接管车辆控制。
Imminent collision risk
“紧急的碰撞风险”指的是导致车辆与其他道路使用者或障碍物相撞的情况或事件,该障碍物无法通过低于5 m/s^2的制动指令来避免。
Minimum Risk Manoeuvre (MRM)
“最低风险控制(MRM)”是指旨在将交通风险降至最低的控制过程,该过程在驾驶员没有响应接管请求后,或在严重ALKS或车辆故障的情况下,由系统自动执行。
Emergency Manoeuvre (EM)
“紧急控制(EM)”是指在车辆面临紧急的碰撞风险的情况下,系统进行的一种控制,其目的是避免或减轻碰撞。
System override
驾驶员的“系统超控”是指当系统仍处于激活状态时,驾驶员向控制器提供的控制输入,并且驾驶员输入的优先级高于系统提供的纵向或横向控制输入。
Data Storage System for Automated Driving (DSSAD)
“自动驾驶数据存储系统(DSSAD)”是一种可以确定ALKS和人类驾驶员之间的交互作用的系统。
Occurrences
“事件”是指需要在数据存储系统中存储的发生的事件或事件的行为实例。
ALKS法规安全设计部分(System Safety and Fail-safe Response)是原文中最核心的章节。在这部分对于功能设计的一般要求、动态驾驶任务、紧急控制、接管过程、最低风险控制等方面提出了高层级要求。
对于具体的需求实现,该章节中还存在诸多问题有待在开发过程中深入探讨。本文也在解读过程中,将此类问题加以标识,后续以专题形式进行讨论。
安全设计
ALKS法规安全设计部分(System Safety and Fail-safe Response)是原文中最核心的章节。在这部分对于功能设计的一般要求、动态驾驶任务、紧急控制、接管过程、最低风险控制等方面提出了高层级要求。
对于具体的需求实现,该章节中还存在诸多问题有待在开发过程中深入探讨。本文也在解读过程中,将此类问题加以标识,后续以专题形式进行讨论。
1. 一般要求
激活的系统应负责执行车辆的动态驾驶任务(DDT),应对包括故障在内的所有情况进行管理,并且不应对车辆乘员或任何其他道路使用者造成不合理的风险。
激活的系统不得导致任何可合理预见和可预防的碰撞。如果可以安全地避免一起碰撞事故而不造成另一起碰撞,则应避免该碰撞。当车辆发生可检测到的碰撞时,系统应引导车辆至静止状态。
激活的系统应符合系统当前运行所处国家与动态驾驶任务有关的交通规则。
系统需要保证驾驶员接管后对系统的可操作性,因此需要控制如除雾、雨刮、车灯等控制器,以保证驾驶员可以随时接管车辆的动态驾驶任务。
接管请求不得危及车辆乘员或其他道路使用者的安全。
如果驾驶员在接管阶段未能恢复对动态驾驶任务的控制,系统应进行最小风险控制。在最小风险控制期间,系统应将使车辆乘员和其他道路使用者安全的风险降至最低。
系统应进行自检,以检测故障的发生,并始终对系统性能进行确认。
系统的有效性不应受到磁场或电场的不利影响。系统的电磁兼容性应通过ECE-R10法规第五修正案或更新的修正案进行证明。
制造商应采取措施防止驾驶员合理可预见的误用和系统篡改。
当系统不再满足本法规的要求时,应有机制确保该系统无法被激活。
制造商应声明并实施一个过程,以管理ALKS系统在整个生命周期内的安全性和持续合规性。
2. 动态驾驶任务
激活的系统应使车辆保持在本车道内,并确保车辆不会越过任何车道标志(以前轮胎外缘越过车道标志外缘为基准)。该系统应旨在使车辆在本车道内保持稳定的横向位置,以避免误导其他道路使用者。
激活的系统应可以检测到旁边行驶的车辆。并且,酌情调整车辆的速度和/或横向位置。
激活的系统应可以控制车辆的速度。
系统运行的最高速度为60 km/h。
激活的系统应根据基础设施和环境条件(例如较小的曲线半径、恶劣的天气)调节车速。
当ALKS车辆在非静止状态下,系统应当调整车速以使本车辆与同车道的前方车辆的距离保持在大于等于最小跟车距离的范围。
如果由于其他道路使用者(例如,车辆正在切入、前车减速等)而暂时无法保持最小跟车时距,则车辆应在下一个适当的机会,在无激烈制动的情况下,重新调整最小跟车距离,除非需要紧急控制。
最小跟车距离应使用以下公式计算:
对于表中未提及的速度值,应采用线性插值法。
对于低于2 m/s的当前速度,最小跟车距离不得小于2 m。
激活的系统应能确保本车在最大运行车速以下,在一辆静止车辆前、或一个静止交通参与者前、或被堵塞的车道中完全刹停,以避免碰撞。
激活的系统应检测特别是由前方或者侧边交通参与者或车辆引起的碰撞风险,如前车减速、车辆切入或突然出现的障碍物等,并应自动执行适当的操作,以将对车辆乘员和其他道路使用者安全的风险降至最低。
激活的系统应避免与全力制动的前车发生碰撞,前提是ALKS车辆在当前速度下没有因为前车的切入控制而导致ALKS车辆的最小跟车距离被打破。
满足以下条件的情况下,激活的系统应避免与切入车辆相撞:
如果切入车辆的纵向速度保持其低于ALKS车辆的纵向速度,并且
在到达TTCLaneIntrusion的基准点之前,车辆的横向移动至少已经出现0.72秒
当本车前部和切入车辆后部之间的距离应通过以下方程式计算TTC时:𝑇𝑇𝐶𝐿𝑎𝑛𝑒𝐼𝑛𝑡𝑟𝑢𝑠𝑖𝑜𝑛 > 𝑣𝑟𝑒𝑙/(2∙6m/s²) + 0.35𝑠
Vrel :两辆车之间的相对速度,如果本车比切入车辆快,则为正
TTCLaneIntrusion : 当入侵车辆前轮最靠近车道标线的轮胎外缘穿过侵入可见车道标志外边缘0.3 m处的一条线时的TTC值。
激活的系统应避免与车辆前方无障碍通行的行人相撞。
在横向速度不超过5 km/h的无障碍行人横穿场景中,预期撞击点相对于车辆纵向中心平面的偏移不超过0.2 m,激活的ALK应避免碰撞,此需求应覆盖到系统的最大运行速度。
3. 紧急控制(EM)
在即将发生碰撞风险的情况下,系统应进行紧急控制。
系统任何超过5.0 m/s²的纵向减速需求应视为EM。
必要时,该操纵应使车辆减速达到其完全制动性能,和/或可在适当时进行自动规避控制(automatic evasive manoeuvre)。
如果故障影响系统的制动或者转向性能,紧急控制需要介入来应对剩余动作。
在规避控制期间,ALKS车辆不得越过车道标线(前轮胎外缘超过车道标线外缘)。
规避控制后,车辆应以恢复稳定姿态作为目标。
紧急控制不得被中断,除非紧急的碰撞风险消失,或驾驶员关闭系统。
紧急控制终止后,系统应继续运行。
如果紧急控制导致车辆处于静止状态,则应发出激活危险警告灯的信号。如果车辆再次自动驶离,系统应自动发出关闭危险警告灯的信号。
4. 在接管过程中的接管请求和系统运行
激活的系统应能识别所有需要将控制切换回驾驶员的情况。
接管请求的启动应确保有足够的时间安全过渡到手动驾驶。
如果计划的事件会阻止ALKS继续运行,则系统应尽早给出接管请求,以确保在计划事件发生前,当驾驶员无法恢复控制并使车辆停止时,系统能够进行最小风险的控制。
如果发生意外事件,系统应在检测到后,向驾驶员给出接管请求。
如果发生影响系统运行的故障,系统应在检测到后立即启动接管请求。
在接管过程中,系统应继续运行。该系统能够降低车辆速度以确保其安全运行,但不得使车辆停止,除非情况需要(例如,由于车辆或障碍物阻碍车辆行驶),系统可以在车速小于20 km/h的情况下启动的触觉警告发生。
一旦车辆刹停,车辆可保持此状态,并应在5 s内发出激活危险警告灯的信号。
在接管过程中,接管请求最迟应在接管请求开始后4 s后进行升级。
只有在系统被停用或最低风险控制开始后,接管请求才应终止。
如果驾驶员没有通过停用系统来响应接管请求,则最早应在接管请求开始后10 s开始最低风险控制。
在严重ALKS或严重车辆故障的情况下,可立即启动最低风险控制。
即使发生严重的ALKS或车辆故障导致ALKS系统不再能够满足本法规的要求,ALKS系统也必须有能力使驾驶员能够安全地进行控制转换。
5. 最低风险控制(MRM)
在最低风险控制 (最低风险控制和紧急控制的场景需要进一步明确定义) 期间,车辆应在本车道内减速,或在车道标志不可见的情况下,保持在适当的轨迹上,同时考虑周围交通和道路基础设施,以达到不大于4.0 m/s²的减速要求。
在非常短的持续时间 (发非常短的持续时间需要在指标上进行量化) 内,允许较高的减速度请求值 (较高的减速度请求值需要在指标上进行量化),例如,作为触觉警告,以刺激驾驶员的注意力,或在严重的ALKS或严重车辆故障的情况下。
此外,启动危险警告灯的信号应在最低风险控制开始时生成。
最低风险控制应使车辆刹停,除非在控制过程中驾驶员关闭了系统。
只有当系统停用或系统使车辆刹停时,才应终止最低风险控制。
系统应在任何最低风险控制结束时被终止。
除非手动关闭危险警告灯,否则危险警告灯应保持激活状态,并且在没有手动输入的情况下,车辆在刹停后不得移动。
在任何最低风险控制结束后,只有在每个新的发动机启动/运行循环后,才有可能重新激活系统。
人机交互
1. 驾驶员有效性识别系统
ALKS系统应包括驾驶员有效性识别系统。
驾驶员有效性识别系统应检测驾驶员是否处于驾驶位置,驾驶员的安全带是否系紧,驾驶员是否有能力接管驾驶任务。
驾驶员在场
如果满足以下任一条件,应启动接管请求:
(a) 当检测到驾驶员不在座椅上超过一秒钟时;
(b) 当驾驶员安全带解开时。
根据UN-R16,可以使用安全带提醒器的第二级警告,而非接管请求的声音警告。
驾驶员有效性
系统应通过监控驾驶员来检测驾驶员是否有效并处于适当的驾驶位置,以响应接管请求。
判定驾驶员有效的标准 :
除非至少有两个可接管标准(例如,输入驾驶员专用车辆控制、眨眼、闭眼、有意识的头部或身体运动)单独确定驾驶员在最近的30秒内有效,否则应视为驾驶员无效。
在任何时候,系统都可以判定驾驶员为无效。
一旦驾驶员被视为无效,或可监测到的可接管标准少于两个,系统应立即发出一个特殊的警告,直到检测到驾驶员的适当动作或直到启动接管请求。最迟应根据启动接管请求,此警告持续15秒。
任何有效性标准要求的时间间隔不得超过30秒。
激活ALKS后,在以下情况发生后,通过车载显示器显示的“除驾驶以外的其他活动”应自动暂停
(i)系统发出接管请求;
(ii)系统被停用。
以上两个条件,以先触发者为准。
2. 系统的激活、停用和驾驶员输入
车辆应配备驾驶员激活(激活模式)和停用(关闭模式)系统的专用方式。当ALKS被激活时,解除ALKS的方式提示应可以被驾驶员持续可见。
系统的默认状态应为:在每次新发动机启动/运行循环开始时系统为关闭模式。 当自动执行新的发动机起动/运转循环时,例如通过自动启停系统的操作,此要求不适用。
只有当驾驶员有意操作且满足以下所有条件时,系统才会激活:
(a)驾驶员坐在驾驶座椅上,并系好驾驶员安全带。;
(b)驾驶员可接管DDT的控制。;
(c)不存在影响ALKS安全操作或功能的故障;
(d)DSSAD运行正常;
(e)环境和基础设施条件允许系统运行;
(f)系统自检确认 ;
(g)车辆行驶在禁止行人和骑自行车的道路上,根据设计,该道路配备有物理隔离带,将反向行驶的车辆分开。
如果上述任何条件不再满足,除非本法规另有规定,否则系统应立即启动接管请求。
通过驾驶员的有意操作,应可以手动关闭(关闭模式)系统,方法与激活系统相同。
关闭装置应提供防止意外手动关闭的保护,例如要求单次输入超过一定时间阈值或双次按下,或两次单独但同时输入。
此外还应确保在系统停用的时刻,驾驶员控制车辆的横向运动。
通过驱动控制装置的输入来停用
当至少满足下列条件之一时,应停用系统:
(a)驾驶员在保持转向控制的同时通过转向超控系统,且该超控未被抑制;
(b)驾驶员保持转向控制并通过制动或加速超控系统。
在持续的接管请求或持续的最低风险控制期间停用
如果正在进行接管请求或最低风险操作,则只能在以下情况下停用系统:
(a) 通过驱动控制装置的输入来停用;
(b) 当检测到驾驶员已握持转向控制装置作为对接管请求或最小风险操纵的响应,并且系统确认驾驶员按照本法规的规定保持注意力。
在正在进行的紧急控制期间停用
如果正在进行紧急控制,系统的停用可以被推迟到紧急的碰撞风险消除之后。
在车辆严重故障或ALKS系统严重故障时停用
在车辆严重故障或ALKS系统严重故障的情况下,ALKS可采用不同的退出策略。
当系统停用时,系统不应自动切换到任何可以提供车辆的连续纵向和/或横向移动的功能(例如,B1类功能的ACSF)。
系统停用后,校正转向功能(CSF)可以被激活,目的是使驾驶员易于通过系统逐渐减少横向支持来执行横向控制任务。
在紧急碰撞情况下提供纵向或横向支持的任何其他安全系统(例如,高级紧急制动系统(AEBS)、电子稳定控制系统(ESC)、制动辅助系统(BAS)或紧急转向功能(ESF))在ALKS停用的情况下不得停用。
任何系统停用都应向驾驶员提供指示。
3. 系统超控
当驾驶员横向控制输入超过设计用于防止意外超控的合理阈值时,系统的横向控制应被驾驶员超控。
该阈值应包括规定的驾驶员介入力度和持续时间,并阈值应根据驾驶员注意力参数变化。
驾驶员注意力
系统应检测驾驶员是否专注于驾驶任务。当至少满足以下一个标准时,驾驶员被视为注意力集中:
(a) 驾驶员注视方向被确认为主要注视前方道路;
(b) 驾驶员注视方向被确认为注视后视镜;
(c) 驾驶员头部运动被确认为主要针对驾驶任务(需要进一步明确定义何种头部运动被判定为针对驾驶任务)。
在运动过程中,驾驶员输入的制动控制比系统产生的制动减速度更高;或者在静止过程中,驾驶员施加任何制动输入,则系统的纵向控制功能被超控。
驾驶员对油门控制的输入可以被设计为对系统纵向控制功能的超控。但是,这种输入不应导致系统违反本法规的要求。
当驾驶员的加速和减速输入超过为防止意外输入而设计的合理阈值时,系统应立即启动接管请求。
如果系统检测到由于该驾驶员输入而导致即将发生碰撞风险,系统可降低或抑制,该条目在系统/驾驶员优先级上,明确了L3系统优先的方向。但系统降低或抑制驾驶员输入,需要进一步明确抑制和降低的方法论。驾驶员输入对任何控制装置的影响。
在车辆严重故障或ALKS严重故障的情况下,ALKS可针对系统超控采用不同的策略。
4. 驾驶员信息提示
系统应向驾驶员提示以下信息:
(a) 系统状态;
(b) 任何影响系统运行的故障,至少有一个光学提示信号,除非系统已经被停用(处于关闭模式下);
(c) 接管请求需要通过至少一个光学的和另外一个声学和/或触觉警告信号进行传递。
在接管请求启动后4s内,接管请求应:
(i) 包含持续或间歇的触觉警告,除非车辆处于静止状态下;
(ii)升级并保持升级,直到接管请求结束。
(d) 最小风险控制需要通过至少一个光学信号和另外一个声学和/或触觉警告信号进行传递;
(e) 紧急控制需要通过光学信号传递。
上述光学信号应具有足够的尺寸和对比度。上述声学信号应足够响亮、清晰。
5. 系统状态
系统不可用提示
如果是因为系统不可用引起的驾驶员有意图的操作被系统拒绝,则系统至少应向驾驶员提供视觉提示。
激活时系统状态显示
激活后,系统状态(激活模式)应通过专用光学信号显示给驾驶员。
光学信号应包含明确的指示,包括:
(a) 带有附加的“A”或“AUTO”的转向控制装置或车辆符号,或符合联合国第121号法规的标准符号;
(b) 外围视野中的一种易于察觉的指示,位于驾驶员与车辆前方外部的直接视线附近,例如仪表盘或转向控制装置上的明显的指示,覆盖面向驾驶员的外缘部分。
光学信号应指示激活系统状态,直到系统被停用(关闭模式)。
当系统正常运行时,光学信号应保持恒定,并且随着接管请求的启动,至少根据(b)中要求的指示应改变其特性,例如,间歇信号或以不同颜色显示。
当使用间歇信号时,应使用低频信号,以免不合理地警告驾驶员。
在接管阶段和最低风险控制期间,可将(a)中的指示替换为接管手动控制的指示。
停用时系统状态显示
当系统状态从激活模式变为关闭模式时,应通过至少一个光学警告信号向驾驶员指示。该光学信号应通过不显示激活模式的光学信号或不显示接管手动控制的指示来实现。
此外,系统应提供声音警告信号,除非系统在包含声信号的接管请求后被停用。
接管过程和最低风险控制
在接管过程和最低风险控制期间,系统应以直观和明确的方式指示驾驶员接管车辆的手动控制。说明书应包括显示手部和转向控制装置的图示信息,并可附有附加的解释性文字或警告符号,如下例所示。
随着最低风险控制的开始,提示信号应改变其特性,以强调驾驶员采取行动的紧迫性。例如通过转向控制装置的红色闪烁和显示移动的手的图形信息。
ALKS警告的优先级
在接管过程、最小风险控制或紧急控制期间,ALKS的警告优先于车辆中的其他警告。
其他要求
感知要求
ALKS车辆应配备一个感知系统,该系统至少能够确定驾驶环境(例如前方道路几何结构、车道标线)和交通动态:
(a) 感知需要覆盖本车道的全宽,以及其左侧和右侧车道的全宽,覆盖范围直至前方纵向探测范围的极限;
(b) 沿本车全长,直至横向探测范围的极限。
前向探测范围
前向探测方位从车辆最前端开始计算,至少应覆盖46米的距离。
横向探测范围
横向探测范围应足以覆盖车辆左侧车道和右侧车道的全宽。
ALKS应监测和补偿换环境条件,监控探测范围的是否减小,并实施策略,例如防止启用系统、禁用系统和将控制权转移回驾驶员,在能见度过低时降低速度。
非故障引起的单一感知失效不应诱发危险事件。
2. 自动化系统的数据存储系统DSSAD
每辆装有ALKS(系统)的车辆应安装符合以下规定要求的DSSAD。
本法规不影响受管辖的数据访问、隐私和数据保护相关的国家和地区法律。
记录的事件
当系统激活时,配备DSSAD的每辆车辆应至少记录以下事件条目:
(a) 系统激活
(b) 由于以下原因导致系统停用:
(i) 驾驶员使用专用方式使系统停用;
(ii)驾驶员转向控制导致的超控;
(iii)在系统保持转向控制的同时,驾驶员通过油门超控;
(iv)系统保持转向控制时,驾驶员通过制动控制超控。
(c) 由于以下原因导致的系统接管请求:
(i) 计划事件;
(ii)意外事件;
(iii)驾驶员失效;
(iv)驾驶员缺席或者驾驶员安全带未系;
(v) 系统故障;
(vi)通过制动输入的系统超控;
(vii)通过加速器输入进行系统超控。
(d) 系统减少或抑制驾驶员输入;
(e) 启动紧急控制;
(f) 紧急控制结束;
(g) 事件记录器(EDR)输入;
(h) 检测到的碰撞;
(i) 系统的最低风险控制介入;
(j) 严重ALKS故障;
(k) 车辆严重故障 。
数据元素
对于上文列出的每个事件,DSSAD应至少以清晰可识别的方式记录以下数据元素:
(a) 事件出现的标志位;
(b) 事件的发生原因(视情况而定);
(c) 日期(格式:yyyy/mm/dd);
(d) 时间戳:
(i) 分辨率:hh/mm/ss时区,例如12:59:59 UTC;
(ii)精度:+/-1.0秒。
系统应能清楚地识别出事件发生时存在的软件版本。
对于在特定数据元素的单位时间分辨率内同时记录多个元素,可以允许使用单个时间戳。如果使用相同的时间戳记录多个元素,则来自各个元素的信息应包含时间顺序的指示。
数据有效性
应根据国家和地区法律的要求提供DSSAD数据。
一旦达到DSSAD的存储限制,现有数据只能按照先进先出的程序进行覆盖,原则是要符合数据有效性的相关要求。
即使受到R94、R95或R137号法规定义的严重程度的影响,数据也应可检索。如果车载主电源不可用,则仍可以根据国家和地区法律的要求检索DSSAD上记录的所有数据。
存储在DSSAD中的数据应通过使用电子通信接口,至少通过标准接口(OBD端口)以标准化方式易于读取。
防止篡改
应确保有足够的保护措施防止对存储数据的操纵,如防篡改(如数据擦除)设计。
DSSAD运行有效性
DSSAD应能够与ALKS系统通信,以告知DSSAD正在运行。
3. 网络安全和软件更新
系统的有效性不应受到网络攻击、网络威胁和漏洞的不利影响。安全措施的有效性应通过遵守联合国第15Z号法规来证明。
如果系统允许软件更新,软件更新程序和过程的有效性应符合联合国第15Y号法规。
软件标识要求
为了确保系统的软件能够被识别,软件生产过程中,需要符合联合国相关规定,并且提供相应的形式认证。
结语
以上是本系列文章的全部内容,ALKS法规原文在附录部分还补充说明了功能运行安全要求、关键交通场景说明、测试要求等内容以辅助系统制造商完善ALKS系统设计,本系列文章将不赘述这部分内容,读者如有兴趣探讨相关问题可以与笔者联系。
作者:彭艺,专注自动驾驶系统设计与研究
来源:汽车电子与软件