• 正文
    • 前言
    • 1 范围
    • 2. 参考文献
    • 3. 定义
    • 4. 驾驶自动化分类
    • 5.    驾驶自动化的级别或类别
    • 6.    设计运行域(ODD)的意义
    • 7 废弃的术语
    • 8.补充讨论 
    • 9.注释
  • 相关推荐
申请入驻 产业图谱

SAE J3016路面机动车驾驶自动化系统相关术语的分类和定义(2021中文版-全文)

2022/11/25
4245
加入交流群
扫码加入
获取工程师必备礼包
参与热点资讯讨论

文由小明师兄根据SAE J3016-2021版翻译,为了让更多的同行学习,欢迎转发

SAE J3016的此次修订是在SAE公路自动驾驶(ORAD)委员会和ISO TC204/WG14之间通过2018年成立的联合工作组密切合作下进行的。这一合作带来了全球自动驾驶技术和安全方面专家的知识和专长。增加了几个新的术语和定义,并进行了多项更正和澄清,以解决经常被误解的概念,提高文件的实用性,特别是对非英语母语者。与上一版本一样,该文件提供了一个分类法,描述了公路机动车驾驶自动化的全部水平,并包括高级驾驶自动化水平的功能定义及相关术语和定义。本文件不提供技术规范,也不对驾驶自动化系统提出要求。将驾驶自动化水平和支持性术语标准化有几个目的,包括:

1.    澄清(人类)驾驶员在驾驶自动化系统参与过程中的作用,如果有的话。

2.    在制定法律、政策、法规和标准时回答范围问题。

3.    为驾驶自动化规格和技术要求提供一个有用的框架。

4.    在有关驾驶自动化的交流中提供清晰和稳定的信息,并提供一个有用的简写,以节省大量时间和精力。

 

本文件是根据以下指导原则制定的,即它应该:

1.    描述性和信息性,而不是规范性。

2.    提供功能性的定义。

3.    与当前的行业实践相一致。

4.    在可行的范围内,与现有技术保持一致。

5.    对各学科都有用,包括工程、法律、媒体和公共讨论。

6.    明确和有说服力,因此,它应该避免或定义模棱两可的术语。

本文件反映了从各种利益相关者的讨论中,以及从欧洲和美国的AdaptIVe项目和避免碰撞指标伙伴关系(CAMP)自动驾驶汽车研究(AVR)联盟分别开展的研究项目中获得的经验。

本文件中使用的术语在此也有定义。术语名称中的括号内的文字表示使用该术语时可选择加入(即,鉴于使用环境,括号内的文字可能是不必要的)。

前言

ISO(国际标准化组织)是一个由国家标准机构(ISO成员机构)组成的全球联合会。制定国际标准的工作通常是通过ISO技术委员会进行的。对某一技术委员会成立的主题感兴趣的每个成员机构都有权在该委员会任职。与国际标准化组织联络的国际组织、政府和非政府组织也参与这项工作。ISO与国际电工委员会(IEC)在电工标准化的所有事项上进行了密切合作。

 

国际汽车工程师学会是一个由航空航天、汽车和商业车辆行业的128000多名工程师和相关技术专家组成的全球性协会。来自SAE国际的标准被用于推动全世界的移动行业技术发展。SAE技术标准开发项目是该组织对其所服务的航空航天、汽车和商业化车辆等移动行业的主要规定之一。这些工作由来自世界各地的9000多名工程师和其他合格的专业人员的自愿努力来授权、修订和维护。在标准制定过程中,SAE主题专家以个人身份行事,而不是作为其组织的代表。因此,SAE标准代表了在透明、公开和协作过程中开发的最佳技术内容。

ISO/IEC指令第1部分和SAE技术标准委员会政策中描述了用于开发本文件的流程以及旨在进一步维护本文件的流程。特别是,应注意不同类型的ISO文件所需的不同批准标准。本文件是根据ISO/IEC指令第2部分的编辑规则起草的(参考www.iso.org/directives)。

请注意,本文件中的某些内容可能是专利权的对象。ISO和SAE国际不负责识别任何或所有此类专利权。在文件开发过程中确定的任何专利权的细节将在导言中和/或在ISO收到的专利声明列表中(参考www.iso.org/patents)。

SAE执行标准委员会规则规定。"本文件的发布是为了推动技术和工程科学的发展。本文件的使用完全是自愿的,其对任何特定用途的适用性和适宜性,包括由此产生的任何专利侵权行为,完全由用户负责。"

本文件中使用的任何商品名称是为方便用户而提供的信息,并不构成对其的认可。

关于标准的自愿性质的解释,与合格评定有关的ISO特定术语和表达方式的含义,以及关于ISO在技术性贸易壁垒(TBT)方面遵守世界贸易组织(WTO)原则的信息,请参考www.iso.org/iso/foreword.html。

本文件由ISO/SAE定义联合工作组联合编写,专家来自ISO技术委员会204智能运输系统,第14工作组车辆/道路预警和控制系统以及SAE道路自动驾驶委员会,定义任务组。

本标准和ISO出版的对应文件(PAS 22736)在技术上是等同的。文件之间的唯一区别是标准编号和名称以及次要的编辑元素。

1 范围

本文件描述了持续执行部分或全部动态驾驶任务(DDT)的[机动]车辆驾驶自动化系统。它提供了一个分类法,详细定义了六个级别的驾驶自动化,从无驾驶自动化(L0级)到完全驾驶自动化(L5级),适用于[机动]车辆(以下也称为 "车辆"或 "汽车")及其在道路上的运行。

L0级:无驾驶自动化

L1级:驾驶辅助

L2级:部分驾驶自动化

L3级:有条件的驾驶自动化

L4级:高度驾驶自动化

L5级:完全驾驶自动化

 

这些级别的定义,以及本文提供的其他支持性术语和定义,可以用来以功能一致和连贯的方式描述装备在[机动]车辆上的全部驾驶自动化功能。"道路 "是指可公开使用的道路(包括允许公众进入的停车场和私人校园),这些道路共同为所有道路使用者服务,包括骑自行车的人、行人,以及配备和不配备驾驶自动化功能的车辆使用者。

这些级别适用于在装备车辆的任何给定的道路操作实例中所使用的驾驶自动化功能。因此,尽管一个特定的车辆可能配备了能够提供不同级别的多种驾驶自动化功能的驾驶自动化系统,但在任何特定情况下表现出的驾驶自动化水平是由所使用的功能决定的。

本文还提到了驾驶中的三个主要角色:(人类)用户、驾驶自动化系统以及其他车辆系统和部件。这些其他车辆系统和部件(或一般意义上的车辆)在本模型中不包括驾驶自动化系统,尽管实际上驾驶自动化系统可能与其他车辆系统共享硬件软件部件,如处理模块或运行代码。

驾驶自动化的级别是根据三个主要角色中的每一个在执行DDT和/或接管DDT中所发挥的具体作用来定义的。这里的 "作用 "是指基于有关驾驶自动化系统的设计,对某一主要行为者的预期作用,而不一定是指某一主要行为者的实际表现。例如,一个司机在使用一级智能辅助驾驶功能-自适应巡航控制(ACC)系统时没有监测路面情况,即使他/她忽略了这个角色,但他/她仍然具有司机的角色。

主动安全系统,如电子稳定控制(ESC)和自动紧急制动(AEB),以及某些类型的驾驶辅助系统,如车道保持辅助(LKA),被排除在该驾驶自动化分类的范围之外,因为它们并不持续执行部分或全部的DDT,而是在潜在的危险情况下提供瞬间干预。由于主动安全系统行动的瞬间性,它们的干预不会改变或消除驾驶员在执行部分或全部DDT中的作用,因此不被认为是驾驶自动化,即使它们执行自动化功能。此外,对驾驶环境中的危险进行通知、提醒或警告的系统也不属于本驾驶自动化分类法的范围,因为它们既没有使部分或全部的DDT自动化,也没有改变驾驶员在执行DDT中的作用(见8.13)。

然而,应该注意的是,避免碰撞的功能,包括干预型主动安全系统,可以包括在配备任何级别驾驶自动化系统的车辆中。对于执行完整DDT的自动驾驶系统ADS)功能(即3到5级),碰撞缓解和避免能力是ADS功能的一部分(另见8.13)。

 

2. 参考文献

2.1 适用文件

以下出版物在本文规定的范围内构成了本规范的一部分。除非另有说明,否则应以最新一期的SAE出版物为准。

2.1.1 SAE出版物

可从 SAE International, 400 Commonwealth Drive, Warrendale, PA15096-0001获得,电话:877-606-7323(美国和加拿大境内)或+1 724-776-4970(美国境外),www.sae.org。

SAE J670 Vehicle Dynamics Terminology

SAE J3063 Active Safety Systems Terms and Definitions

Shi,E.,Gasser,T.,Seeck,A.,andAuerswald,R.,“ThePrinciplesofOperationFramework:AComprehensiveClassification Conceptfor Automated Driving Functions,” SAE Intl. J CAV 3(1):27-37, 2020https://doi.org/10.4271/12-03-01-0003.

 

2.1.2 ANSI认可的出版物

这些文件的副本可在网上查阅:http://webstore.ansi.org/。

ANSI D16.1-2007 Manual on Classification of Motor Vehicle TrafficAccidents

 

2.1.3 其他出版物 

49 U.S.C. § 30102(a)(6) (definition of [motor] vehicle)

Crash Avoidance Metrics Partnership - Automated Vehicle ResearchConsortium, “Automated Vehicle Research for Enhanced Safety - Final Report,可在https://www.regulations.gov/document?D=NHTSA-2014-0070-0003。

Gasser, T. et al., “Legal Consequences of an Increase in VehicleAutomation,” July 23, 2013,可在http://bast.opus.hbz-nrw.de/volltexte/2013/723/pdf/Legal_consequences_of_an_increase_in_vehicle_automation.pdf。

Michon, J.A., 1985, “A Critical View of Driver Behavior Models: WhatDo We Know, What Should We Do?” In Evans, L. and Schwing, R.C. (Eds.). Humanbehavior and traffic safety (pp. 485-520). New York: Plenum Press, 1985.

Smith, B.W., “Engineers and Lawyers Should Speak the Same RobotLanguage,” in ROBOT LAW (2015),可在https://newlypossible.org。

 

2.2 缩略语列表

ACC 自适应巡航控制

ADAS 高级驾驶辅助系统

ADS 自动驾驶系统

ADS-DV 自动驾驶系统-专用车辆

AEB 自动紧急制动

DDT 动态驾驶任务

DSRC 专用短程通信

ESC 电子稳定控制

LKA 车道保持辅助系统

ODD 运行设计域

OEDR 目标物和事件检测与响应

 

3. 定义

3.1 主动安全系统(SAE J3063)

主动安全系统是指感知和监测车辆内外状况的车辆系统,其目的是识别对车辆、乘员和/或其他道路使用者的现有和潜在危险,并自动干预,通过各种方法帮助避免或减轻潜在的碰撞,包括对驾驶员的提醒、车辆系统的调整和/或对车辆子系统(刹车、油门、悬挂等)的主动控制。

注:在本报告中,符合主动安全系统定义的系统被认为具有主要侧重于提高安全性的设计目的,而不是舒适性、便利性或一般的驾驶帮助。主动安全系统在高风险事件或操作中发出警告或进行干预。

3.2 自动驾驶系统(ADS)

能够持续执行整个DDT的硬件和软件的集合,无论其是否局限于特定的运行设计域(ODD);该术语专门用于描述3级、4级或5级自动驾驶系统。

注:与ADS相反,通用术语 "驾驶自动化系统"(见3.6)指的是任何1至5级的系统或功能,持续执行部分或全部的DDT。鉴于通用术语 "驾驶自动化系统 "和L3至L5级专用术语 "自动驾驶系统 "之间的相似性,后一术语在拼写时应大写,并尽可能简化为其缩写ADS,而前一术语不应如此。

3.3 [无人驾驶运行]调度实体

指在无人驾驶运行中调度配备有ADS的车辆的实体。

注:一个调度实体所执行的功能可以分给一个或几个代理,这取决于有关配备了ADS的车辆的使用规范。

例子:一支由L4级封闭式校园ADS专用车辆组成的车队由一个无人驾驶运营调度实体投入使用,该实体在验证了每辆车的运营准备情况后,为其启动ADS,并在每辆车停止使用时解除ADS。

 

3.4 调度[在无人驾驶运营中]

在无人驾驶的情况下,通过启动ADS将装有ADS的车辆投入服务。

注1:术语 "调度",在配备ADS的车辆范围之外使用时,一般理解为为提供运输服务的目的,将特定的车辆送到特定的上客或下客地点。在配备了ADS的车辆的背景下,以及在此使用的情况下,该术语包括在无人驾驶的情况下对多辆配备了ADS的车辆进行软件调度,这些车辆可能在一天或其他预先确定的服务期间完成涉及接送乘客或货物的多次通行,并且可能涉及多个代理执行与调度功能有关的各种任务。为了强调调度一词的这一专门用途,该词被修改,并规定其仅指无人驾驶运营中的车辆的调度。

注2:只有装备了ADS的能够进行无人驾驶操作的车辆(即ADS-DV或双模式车辆)才有可能被调度。

3.5 驾驶自动化

由硬件/软件系统持续执行部分或全部的DDT。

3.6 驾驶自动化系统或技术

能够持续执行部分或全部DDT的硬件和软件;该术语泛指任何能够实现1-5级驾驶自动化的系统。

注意:与任何L1-L5级系统的这个通用术语相比,L3-L5级系统的具体术语是 "自动驾驶系统(ADS)"。鉴于 "驾驶自动化系统 "这一通用术语与L3至L5级特定术语 "自动驾驶系统 "之间的相似性,后一术语在拼写时应大写,并尽可能简化为其缩写ADS,而前一术语不应如此(见3.2)。

3.7 [驾驶自动化系统]功能

一个L1-L5级驾驶自动化系统在特定的驾驶自动化水平上的特定设计的功能和ODD(如适用)。

注1:由于术语 "驾驶自动化系统 "包含了驾驶员支持功能和ADS功能,因此也可以这样称呼它们。

注2:一个特定的驾驶自动化系统可能有多个功能,每个功能与特定的驾驶自动化水平和ODD相关。

注3:每个功能都满足一个使用规范。

注4: 功能可以通过通用名称(如自动停车)或专有名称来提及。

例子1: 一个3级的ADS功能,在完全控制通行的高速公路上的大流量交通中执行DDT,不包括接管DDT。

例2:一个4级的ADS功能,在一个指定的有地理围栏的城市中心执行DDT,包括接管DDT。

3.7.1 基于操纵的功能

装备在传统车辆上的一种驾驶自动化系统功能,它是:

1.    支持驾驶员,执行一套有限的横向和/或纵向车辆运动控制动作,足以完成一个特定的、狭义的用例(如停车动作),而驾驶员执行其余的DDT并监督L1级或L2级功能的性能(即L1级或L2级驾驶员支持功能)。

2.    执行一套有限的横向和纵向车辆运动控制动作,以及相关的目标物和事件检测和响应(OEDR)和完整的DDT的所有其他元素,以满足一个特定的、狭义的用例,而无需人类监督(3级或4级ADS功能)。

例子1: 一个1级停车辅助功能自动执行平行泊车所需的横向车辆运动控制动作,而驾驶员执行纵向车辆运动控制动作并监督该功能。

例2:L2级停车辅助功能在驾驶员的监督下,自动执行平行泊车所需的横向和纵向的车辆运动控制动作。

例子3:一个L3级高速公路超车辅助功能在被驾驶员或准备好的用户激活时,自动执行横向和纵向车辆运动控制动作,以及相关的OEDR,以便在多车道高速公路上超过一辆较慢的车辆。

3.7.2 子行程功能

装备在传统车辆上的驾驶自动化系统功能,要求人类驾驶员在每次行程的至少部分时间内执行完整的DDT。

注:子行程功能要求人类驾驶员在出发点和该功能的ODD边界之间和/或在离开该功能的ODD之后操纵车辆,直到到达目的地(即行程完成)。

例子1: 一级自适应巡航控制(ACC)功能执行纵向车辆运动控制功能,以支持驾驶员在以较高速度行驶时与其车道上的引导车辆保持一致的跟车距离。

例2:2级高速公路功能执行横向和纵向车辆运动控制功能,以支持驾驶员在其行车道上保持位置,以及在高速行驶时与本车道上的引导车辆保持一致的跟车距离和跟随目标路径行驶。

例子3:一个3级交通拥堵功能在交通密集的完全入口控制的高速公路上执行完整的DDT,但要求人类驾驶员在ODD出口时操纵车辆(例如,当交通流畅时,以及在进入拥挤的高速公路之前,并在离开高速公路时再次操纵)。

例子4: 在一次特定的车辆旅行中,具有4级自动停车功能的用户将车辆派遣到无人驾驶操作中,目的是在附近的指定停车设施中找到一个停车位。在购物一段时间后,用户通过调度来取回车辆,以便开始他/她的回家。

3.7.3 全行程功能

在整个完整行程中操纵车辆的ADS功能。

例子1: 一辆4级ADS-DV在无人驾驶的情况下被调度,为位于其地理围栏内的客户提供打车服务。

例子2:一辆L5级双模式车辆被车主派往指定的机场,接几个家庭成员回家,进行无人驾驶操作。所有乘员在回程中都是乘客。

图1说明了如何通过使用不同级别的驾驶自动化功能组合来完成一次行程。

图1 - 在一次特定的行程中可能出现的驾驶自动化系统功能/类型的例子

 

3.8 驾驶员支持[驾驶自动化系统]功能

L1级和L2级驾驶自动化系统功能的总称

注意:1级(驾驶辅助)和2级(部分自动化)功能只能够执行部分的DDT,因此需要驾驶员来执行DDT的其余部分,并在使用时监督该功能的性能。因此,这些功能在使用时,支持但不代替驾驶员执行DDT。

3.9 [配备ADS的车辆]的无人驾驶操作

装备有ADS的车辆在道路上的运行,该车辆无人驾驶,或者车上的用户不是驾驶员或车内准备接管的用户。

注1:ADS-DV总是在无人驾驶的情况下调度(受3.33.3中注3的限制)。

注2:配备了ADS的双模式车辆可以在无人驾驶的情况下被派遣。

注3:车上的乘客既不是驾驶员,也不是准备接管的用户。

例子:一辆L4级ADS-DV在无人驾驶的情况下被派去提供运输服务。

3.10 动态驾驶任务(DDT)

在公路交通中车辆运行所需的所有实时操纵的功能,不包括策略功能,如行程安排和目的地及起始地的选择,并包括但不限于以下子任务:

1.    通过转向进行车辆横向运动控制(运行);

2.    通过加速和减速的纵向车辆运动控制(运行);

3.    通过物体和事件检测、识别、分类和反应准备来监测驾驶环境(运行和策略性);

4.    物体和事件响应的执行(运行和策略性);

5.    操纵计划(策略)。

6.    通过照明、鸣笛、信号、手势等方式加强显眼性。(策略性)。

注1:一些自动驾驶系统(或配备该系统的车辆)可能有办法在前进和接管之间改变车辆的纵向运动控制。

注2:为了简化并提供一个有用的速记术语,子任务(3)和(4)被统称为目标物和事件检测和响应(OEDR)(见3.19)。

注3:在本文件中,提到了 "完成DDT"。这意味着完全执行DDT的所有子任务,无论这个角色是由(人类)驾驶员,还是由驾驶自动化系统,或者由两者的组合来完成。

注4: 图2显示的是驾驶任务的示意图。关于驾驶的运行、策略性和重要的功能之间的差异的更多信息,请参见8.11。

图2-驾驶任务的示意图(不是控制图),显示DDT部分

 

就DDT性能而言,L1级驾驶自动化包括最内环的一部分自动化(即,横向车辆运动控制功能或纵向车辆运动控制功能和与车辆运动控制的给相关的有限OEDR);L2级驾驶自动化包括最内侧环的自动化(横向和纵向车辆运动控制和与车辆运动控制相关的有限OEDR),L3至L5级驾驶自动化包括两个内环的自动化(横向和纵向车辆运动控制和完整OEDR)。请注意,DDT性能不包括驾驶的策略层方面(例如,决定是否,何时,在何处行驶)。

3.11 故障缓解策略

一种车辆功能(不是ADS功能),旨在使装有ADS的车辆在以下两种情况下自动进入受控停车状态。(1)在ADS发出干预请求后,L3级ADS功能的接管就是系统有问题请求驾驶员干预时驾驶员接管,或(2)发生系统故障或外部事件,以至于使ADS失去能力,不能再执行车辆运动控制以执行接管并达到最小风险状态。(见8.6)。

注意:一些配备了L2级驾驶员支持功能的车辆可能被设计成如果驾驶员未能表明他/她在功能激活期间继续监督功能的性能,则将车辆制动到完全停止。虽然这与上面定义的故障缓解策略的功能相似,但 "故障缓解策略 "这一术语是为不需要驾驶员监督的ADS功能保留的。

 

3.12 [动态驾驶任务(DDT)]接管

在发生与动态驾驶任务性能相关的系统故障后,或在退出运行设计域(ODD)时,或在相同的情况下,ADS为实现最小风险条件而作出的反应,以执行动态驾驶任务或实现最小风险条件。

注1:DDT和接管DDT是不同的功能,执行一个的能力不一定意味着执行另一个的能力。因此,一个能够在其ODD内执行整个DDT的L3级ADS可能没有能力在所有需要接管DDT的情况下执行接管DDT,因此在必要时将向接管DDT就绪的用户发出干预请求(见图3至6)。

注2:一些L3级功能可能被设计成在某些情况下自动执行接管并达到最小的风险条件,例如,当无障碍物的相邻路肩存在时,但在其他情况下,例如,没有这样的路肩时,就不能自动执行接管。因此,L3级的分配并不限制ADS自动实现最小风险条件,但它不能保证在其ODD内所有情况下自动实现最小风险条件。此外,在某些,但不是所有需要的情况下,自动实现最小风险条件并不构成L4级功能。

注3:在L3级ADS系统中,一个ADS能够在向接管就绪用户提供干预请求后继续执行DDT至少几秒钟。接管DDT准备好的用户应该恢复手动车辆操作,或者如果他/她认为有必要的话,达到一个最小的风险状态。

注4: 在L4级和5级ADS系统中,ADS必须有能力执行接管DDT并达到最小风险状态。装备了ADS的L4级和L5级车辆,在设计上也能满足驾驶员的操作(无论是车内还是远程),在情况允许的情况下,如果用户选择这样做,可以允许他/她执行接管DDT(见图7和8)。然而,一个L4级或L5级的ADS不需要设计成允许用户执行接管DDT,事实上,可以设计成不允许,以减少碰撞风险(见8.9)。

注5: 当L4级或L5级ADS执行接管DDT时,它可能被设计限制在速度和/或横向和/或纵向车辆运动控制的范围内(即,它可能进入所谓的 "跛行模式")。

注6: 在执行接管DDT时,ADS可能暂时在其ODD之外运行(见3.21注1)。

例子1: 一个L1级自适应巡航控制(ACC)功能经历了一个系统故障,导致该功能停止执行其预定功能。人类驾驶员通过恢复执行完整的DDT来执行接管DDT。

例子2:一个在高速公路交通拥堵时执行整个DDT的3级ADS功能在遇到车祸现场时无法做到,因此准备向用户发出接管DDT干预请求。他/她的反应是接管整个DDT的性能,以便在车祸现场周围进行手动操作(见图4)。(注意在这个例子中,不需要或没有达到最小风险的条件)。

例3:一个在有地理围栏的城市中心执行整个DDT的L4级ADS专用车辆(ADS-DV)经历了一个DDT性能相关的系统故障。作为回应,ADS-DV通过打开危险闪光灯,将车辆开到路肩并停放,然后自动召唤紧急援助,来执行DDT后退(见图7)。(请注意,在这个例子中,ADS-DV自动实现了最小的风险条件)。

下面的图3到图8说明了DDT在不同的自动化驾驶水平上的接管情况。

图 3

 

L3级用例序列样本,显示ADS参与和发生车辆系统故障,阻止继续DDT性能。用户执行接管并达到最小的风险条件。

图 4

 

L3级用例序列样本,显示ADS参与和发生ADS系统故障,但不妨碍继续DDT性能。用户执行接管并恢复DDT性能。

图 5

 

L3级的样例用例序列显示ADS被占用以及退出ODD的情况,但这并不妨碍继续的DDT性能。用户执行接管,恢复DDT性能。

图6

 

L4级的样例用例序列显示了ADS的参与和车辆系统故障的发生,从而阻止了DDT的继续运行。ADS执行接管并达到最小的风险条件。 

图7

 

L4级的样例用例序列显示ADS参与和ADS失败的发生,而ADS失败并不阻止可用人类用户继续执行DDT。ADS功能可以提示坐在驾驶座上的乘客(如果有的话)恢复DDT的性能;如果没有接受乘客的驾驶座,ADS自动达到最小的风险条件。

图8 

 

L4级的用例序列显示ADS使用ODD退出,这不会阻止可用人类用户继续执行DDT。ADS功能可以提示坐在驾驶座上的乘客(如果有的话)恢复DDT的性能;如果没有接受乘客的驾驶座,ADS自动达到最小的风险条件。 

3.13 车队运营[功能]

支持在无人驾驶情况下管理配备了ADS的车队的活动,这些活动可能包括但不限于:

- 确保运营准备就绪。

- 在无人驾驶的情况下调度配备有ADS的车辆(即在将车辆投入公共道路使用之前,让ADS参与其中)。

- 授权每次出行(例如,付款、出行路线选择)。

- 在车辆使用过程中为其提供车队资产管理服务(例如,管理紧急情况,根据需要召唤或提供远程援助,响应客户要求和故障)。

- - 在车辆使用过程中,作为负责任的代理人,对执法部门、应急响应者和其他当局负责。

- 在服务结束后解除ADS。

- 根据需要进行车辆维修和保养。

 

3.14 车辆横向运动控制

DDT子任务包括对车辆运动的Y轴分量进行实时、持续调节的必要活动(见图9)。

注:车辆横向运动控制包括检测车辆相对于车道边界的定位,以及应用转向和/或差动制动输入以保持适当的横向定位。

3.15 纵向车辆运动控制

该DDT子任务包括对车辆运动的X轴分量进行实时、持续调节所需的活动(见图9)。

注意:纵向车辆运动控制可能包括正向和反向的方向性,取决于使用规范。

图9 -显示车辆运动轴的图示(SAE J670)

 

3.16 最小风险条件

一个稳定的,停止的状态,当一个特定的行程不能或不应该继续时,用户或ADS在执行接管DDT可以使车辆达到这个状态,以减少碰撞的风险。

注1:在L1级和L2级,车辆驾驶员应根据需要达到一个最小风险的状态。

注2: 在L3级系统中,鉴于ADS或车辆的DDT性能相关的系统故障,准备接管DDT的用户应该在他/她确定有必要时达到最小风险状态,或者在车辆可操作的情况下执行DDT。

注3:在L4级和L5级,ADS能够在必要时(即由于ODD退出,如果适用,或由于ADS或车辆中与DDT性能相关的系统故障)自动达到最小风险状态。在L4级和L5级自动实现最小风险条件的特点将根据系统故障的类型和程度、有关ADS功能的ODD(如果有)以及系统故障或ODD退出发生时的特定运行条件而有所不同。它可能需要自动将车辆停在其当前的行驶路线上,也可能需要一个更广泛的操作,旨在将车辆从交通活动车道上移开和/或将车辆自动返回到调度设施。

例子1: 一个被设计成在高速公路上高速运行的L4级ADS功能遇到了一个与DDT性能相关的系统故障,并在停车前自动将车辆从有效车道上移开。

例子2: 一辆安装了4级ADS的车辆在其主要电力系统中遇到了与DDT性能相关的系统故障。ADS使用了一个备用电源,以达到最小的风险条件。

3.17 [与DDT性能相关的]系统故障

驾驶自动化系统和/或其他车辆系统的故障,使驾驶自动化系统不能可靠地持续执行它的那部分DDT,包括完整的DDT,否则它将会被执行。 

注1:本定义适用于阻止驾驶自动化系统按照设计意图发挥全部能力的车辆故障条件和驾驶自动化系统故障。

注2:本术语不适用于L1级或2级驾驶员支持功能的瞬时失效,这种失效是由于固有的设计限制,并且不妨碍系统在持续的基础上执行其DDT的一部分。

例子1: 一个执行DDT横向车辆运动控制子任务的一级驾驶员支持功能,在它的一个摄像头中遇到DDT性能相关的系统故障,这使它不能可靠地检测到车道标线。该功能导致在中控台上显示一个故障指示信息,同时该功能自动退出,要求驾驶员立即恢复执行DDT的横向车辆运动控制子任务。

例子2:一个L3级ADS在它的一个雷达传感器中经历了一个与DDT性能相关的系统故障,这使它不能可靠地探测到车辆通道中的物体。ADS的反应是向DDT准备接管用户发出干预请求。ADS继续执行DDT,同时降低车速,持续几秒钟,以便有时间让DDT准备接管的用户以有序的方式恢复车辆的操作。

例子3:一辆有L3级ADS的车辆突然发生轮胎爆裂,导致车辆操控性很差,给回落准备的用户充分的运动反馈,表明车辆故障需要干预。准备接管的用户的反应是恢复DDT,打开危险灯,并将车辆开到最近的路肩上,从而达到最小风险的状态。

例子4。一个L4级ADS在其一个计算模块中经历了一个与DDT性能相关的系统故障。ADS通过使用一个或多个冗余的计算模块过渡到接管DDT,以达到最小的风险状态。

 

3.18 监测

一个描述一系列功能的通用术语,涉及实时的人类或机器感应和处理用于操作车辆或支持其运行的数据。

注1:当一般术语 "监测 "及其衍生物不够精确时,应使用以下描述监控类型的术语。

注2:以下四个术语(1-监测用户,2-监测驾驶环境,3-监测车辆性能,4-监测驾驶自动化系统性能)描述了监测的类别(见关于主要角色的范围)。

注3:L3级中假定的驾驶员对警示或其他与DDT性能相关的系统故障指标的接受状态或条件,不是一种监测形式。接受和监测之间的区别最好用例子来说明:一个意识到火警或电话铃声的人,不一定是在监控火警或电话。同样地,一个意识到拖车吊架脱落的用户也不一定是在监测拖车吊架。相比之下,在一辆有主动一级自适应巡航控制(ACC)系统的车辆中,驾驶员应该同时监测驾驶环境和ACC的性能,否则就不会等待警报来引起他/她对需要反应的情况的注意(见3.22)。

3.18.1 监测用户

旨在评估用户是否以及在多大程度上发挥了为其规定的作用的活动和/或自动程序。

注1:驾驶自动化背景下的用户监控最有可能被部署为针对误用或滥用(包括因自满而过度依赖)驾驶自动化系统的对策,但也可用于其他目的。

注2:用户监测主要对L2级和L3级有用,因为从现在使用L1级功能的证据中没有发现误用或滥用驾驶自动化技术的重大事件,而在这些级别以上,根据定义,ADS能够自动实现最小风险条件。

3.18.2 监测驾驶环境

完成实时道路环境目标物和事件检测、识别、分类和响应准备(不包括实际响应)的活动和/或自动程序,这是操作车辆的需要。

注意:当操作没有配备ADS的传统车辆时,驾驶员在视觉上对路况进行充分的采样,以胜任DDT的工作,同时也执行需要短时间离开道路的次要任务(例如,调整车厢舒适度设置,扫描路标,调整无线电等)。因此,对驾驶环境的监测不一定需要驾驶员持续地盯着道路。

 

3.18.3 监测车辆性能[针对与DDT性能相关的系统故障]

完成对车辆性能的实时评估的活动和/或自动程序,并根据操作车辆的需要进行响应准备。

注:在执行DDT时,L4级和L5级ADS监控车辆性能。然而,对于L3级ADS,以及1级和2级驾驶自动化系统来说,人类驾驶员被认为能够接受对DDT性能有不利影响的车辆状况(见3.22)。

例子1: 当L2级驾驶支持功能在走走停停的交通中,一个故障的制动钳导致车辆在刹车时略微向左拉。人类驾驶员观察到车辆偏离了它的车道,要么纠正车辆的横向位置,要么完全解除该功能。

例子2:当L4级ADS在走走停停的交通中,一个故障的刹车钳导致车辆在刹车时向左拉。ADS认识到这一偏差,纠正了车辆的横向位置,并过渡到跛行模式,直到达到最小的风险条件。

3.18.4 监测驾驶自动化系统的性能

评估驾驶自动化系统是否适当地执行部分或全部DDT的活动和/或自动程序。

注1:术语监测驾驶自动化系统的性能不应取代监督,监督包括监测和执行DDT所需的反应,因此更全面。

注2:识别由驾驶自动化系统发出的干预请求不是监控驾驶自动化系统性能的一种形式,而是一种接受的形式。

注3:在L1级和L2级,驾驶员监测驾驶支持功能的性能是监测的一部分。

注4。在更高的驾驶自动化水平上(L3-5级),ADS监测它自己的完整DDT的性能。

例子1:一个车内驾驶员监测一个启动的ACC功能,以验证它在弯道中跟随前面的车辆时保持适当的间隙。

例子2:一个远程驾驶员使用L2级自动停车功能监控车辆的路径,以验证该功能对行人和障碍物的反应。

3.19 目标物和事件检测与响应(OEDR)

DDT的子任务,包括监测驾驶环境(检测、识别和分类物体和事件,并准备在需要时作出反应),并对这些目标物和事件执行适当的反应(即,根据需要完成监测和/或监测接管)。

3.20 操纵[机动车辆]

总的来说,由(人类)驾驶员(有或没有一个或多个L1级或L2级驾驶自动化功能的支持)或由ADS(L3级至L5级)执行的活动,以执行特定车辆的整个DDT。

注1:本文件中没有使用 "驾驶 "一词,但是,在许多情况下,它可以正确地代替 "操纵"使用。

注2:尽管使用操纵/运行/操作这一术语意味着存在一个车辆 "操作者",但这一术语在本文件中没有定义或使用,否则本文件为各种类型的装有ADS的车辆用户提供了非常具体的术语和定义(见3.32)。

注3:诸如 "驾驶"、"操作"、"驾驶员 "和"操作员 "等术语的法律含义可能与本文件中的技术含义不同。

3.21 运行设计域(ODD)

一个特定的驾驶自动化系统或其功能被专门设计为发挥作用的操作条件,包括但不限于环境、地理和时间限制,和/或某些交通或道路特征的必要存在或缺失。

注1:虽然L3级和L4级ADS功能/车辆被设计为完全在其各自的ODD内运行,但一些ODD条件在道路运行期间会迅速变化(例如,恶劣天气、车道线被遮挡)。操作环境的这种瞬时变化不一定代表 "ODD退出",因为ADS决定这种条件变化何时需要后退性能(无论是由准备后退的用户还是ADS)。 

注2:第6节讨论了ODD在驾驶自动化水平方面的意义。

例子1: L1级ACC驾驶员支持功能被设计为向驾驶员提供纵向的车辆运动控制支持。在天气良好的情况下,在完全受控的高速公路上为驾驶员提供纵向车辆运动控制支持。

例2:一个ADS功能被设计为只在低速交通的完全控制的高速公路上,在良好的天气条件和最佳的道路维护条件下(例如,良好的车道标记和不在施工中)操纵车辆。

例3:一辆ADS专用车被设计成只在一个地理上确定的军事基地内运行,并且只在白天以不超过25英里/小时的速度运行。

例子4:一辆ADS专用商业卡车被设计为从一个有地理围栏的海港提取零件,并通过特定的路线将其运送到30英里外的配送中心。该车的ODD仅限于在指定的海港和构成海港与配送中心之间规定路线的特定道路内的白天运行。

例子5: 一个L3级ADS公路功能,其ODD要求是清晰可见的车道线,遇到了一小段车道线不明显的道路。ADS功能能够通过其他方式(例如,传感器融合、数字地图、引导车辆跟踪)补偿短暂的车道标记褪色或缺失,并在车道线再次变得清晰可见之前继续操作车辆。过了一会儿,车道线再次变得模糊不清,并保持较长的时间,导致ADS功能向准备接管的用户发出干预请求。 

3.22 [使用者的]接受能力

意识的一个方面,其特点是一个人能够可靠地和适当地集中他/她的注意力来响应一个刺激物。

注1:在L0到L2级的自动驾驶中,驾驶员应能接受明显的车辆系统故障,如横拉杆断裂。

注2:在L3级自动驾驶中,一个DDT准备好接管的用户被认为可以接受干预的请求和/或明显的车辆系统故障,无论ADS是否因为这样的车辆系统故障而发出干预的请求。

例子1: 当一个L3级ADS在走走停停的交通中执行DDT时,左前轮胎突然发生爆胎。准备好接管DDT的用户对车辆明显向左拉动的运动提示很敏感,并进行了干预,以便将车辆移到路肩上。

例子2: 当一个L3级ADS在自由流动的高速公路上进行DDT时,左侧后视镜玻璃从外壳中掉落。准备接管DDT的用户,虽然能接受,但不会也不可能注意到这个故障,因为它不明显,也不会对ADS的DDT性能产生不利的影响。

3.23 远程协助

由远程人员(见3.31.5)以事件为导向,向装有ADS的车辆提供信息或建议,以便在

当ADS遇到它无法处理的情况时,由远程人员(见3.31.5)向处于无人驾驶状态的装有ADS的车辆提供信息或建议,以促进行程的继续。

注1:远程协助不包括远程驾驶员的实时DDT或后退性能。相反,ADS执行完整的DDT和/或接管,即使是在有远程人员协助的情况下。

注2:远程协助可能包括向ADS提供修订的目标和/或任务。

注3:远程协助功能不包括提供关于选择目的地或行程开始时间的战略指示(即,调度功能),即使是同一个人同时执行远程协助和调度功能。

例子1: 一辆4级ADS-DV在其ODD内遇到了一个未宣布的道路施工区域。ADS-DV向一个远程定位的人传达它无法绕过施工区域的信息。远程定位的人类为车辆提供了一条新的路径,使ADS-DV能够自动前进并完成其行程。

例子2:一辆4级ADS-DV检测到它的车道上有一个物体,似乎太大,无法驶过,于是停下来。一个远程助手使用车辆的摄像头来识别该物体是一个可以安全驶过/越过的空袋子,并向ADS-DV提供继续行驶的指令。 

3.24 远程驾驶

由一个远程驾驶员实时执行部分或全部的DDT和/或接管DDT(包括实时制动、转向、加速和变速箱换档)。

注1:当一个接受远程接管的用户执行接管时,他/她就成为一个远程驾驶员。

注2:远程驾驶者执行或完成OEDR,并有权为横向和纵向的车辆运动控制而推翻ADS。

注3:远程驾驶不是驾驶自动化。

注4: 由人远程驾驶车辆有时被称为"远程操作"。但是,文献中对 "远程操作 "的定义并不一致,因此,为避免混淆,在此不作使用。 

3.25 介入请求

由L3级ADS提供给准备接管的用户的警报,表明他/她应该立即执行DDT回退,这可能需要恢复对车辆的手动操作(即再次成为驾驶员),或者在车辆无法操作的情况下达到最小风险状态。

注意:正如本文之前所指出的,在某些条件下,L4级或L5级ADS操作的车辆中的乘客也有可能恢复对车辆的手动操作,只要车辆和功能是为此而设计的(例如,双模式车辆或具有4级子行程功能的常规车辆)。然而,即使被ADS提醒接管车辆操作,这样的车辆的乘客也不需要这样做以确保合格的操作,因为L4级和L5级ADS功能/车辆能够在必要时自动达到最小风险状态。因此,对L4级或L5级ADS操作的车辆的乘客的这种提醒,不是本文对L3级ADS装备的车辆所定义的"干预请求"。 

3.26 常规/正常[ADS]操纵

ADS在其规定的ODD范围内对车辆进行操作,如果有的话,同时没有发生与DDT性能相关的系统故障。

注:常规/正常的ADS操作包括车辆对具有安全和时间重要性的目标物和事件的反应,以及车辆对不具有安全和时间重要性的同样目标物和事件的反应。 

3.27 监测[驾驶自动化系统性能]

驾驶员在操作具有L1级或L2级驾驶支持功能的车辆时进行的活动,以监测该功能的性能,对该功能所采取的不适当的行动作出反应,并以其他方式完成DDT。

举例来说。驾驶员注意到一个启动的自适应巡航控制(ACC)功能在弯道中没有保持与前车的距离,并相应地进行了制动。 

3.28 持续的[车辆操纵]

在外部事件之间和跨越外部事件时执行部分或全部的DDT,包括对外部事件的反应和在没有外部事件时继续执行部分或全部的DDT。

注1:外部事件是指驾驶环境中需要驾驶员或自动驾驶系统做出反应的情况(例如,其他车辆、车道标线、交通标志)。

注2:驾驶自动化系统对部分或全部DDT的持续执行改变了用户的角色。(关于角色的讨论见范围。)相比之下,根据此定义不持续的自动干预不符合驾驶自动化的要求。因此,在横向和/或纵向车辆运动控制中提供瞬间干预,但不持续执行DDT任何部分的系统(例如,防抱死制动系统,电子稳定控制,自动紧急制动)在分类法中不能归类(除0级外)。

注3:传统的巡航控制不提供持续的操作,因为它对外部事件没有反应。

因此,根据分类法,它也不能归类(除0级外)。

3.29 行程

车辆从出发点到目的地的整个行驶路线的过程。

注:在一个特定的行程中,DDT的性能可以全部或部分由驾驶员、自动驾驶系统或两者完成。

3.30 使用规范

在一个特定的ODD中,驾驶自动化的一个特定水平。注:每个功能都需要一个使用规范。

例子1: L2级功能在完全通行控制的高速公路上为驾驶员提供横向和纵向的车辆运动控制支持。

例2:一个L3级功能在指定的完全通行控制的高速公路上的大流量交通中操纵车辆。

例3:一个L4级的ADS-DV在指定的城市中心以低速运行。

3.31 [人类]用户

指人类在驾驶自动化中的作用的一个一般术语。

注1:以下五个术语(1-司机,2-乘客,3-准备接管DDT的用户,4-无人驾驶操作调度员,5-远程助理)描述了(人类)用户的类别。

注2:这些人的类别定义了不重叠的角色,在一次特定的行程中可能以不同的顺序执行。

3.31.1 [人类]司机

为某一特定车辆实时执行部分或全部DDT和/或接管DDT的用户。

注意:"驾驶员 "的这一定义不包括在某些动态测试动作中被设计为行使转向、制动和加速的机器人测试装置。

3.31.1.1 车内驾驶员

一个在车内手动操纵车辆的制动、加速、转向和换挡的驾驶员。

注1:车内驾驶员坐在通常被称为汽车背景下的 "驾驶员座位 "上,这是一个独特的座位位置,使车内输入装置(方向盘、制动和加速踏板、变速箱)能够被(人类)驾驶员所接触。

注2:"常规驾驶员 "是一个可接受的车内驾驶员的同义词。

注3:在装有自动驾驶系统的常规或双模式车辆中,在ADS功能激活期间,可能是乘客或准备接管用户的车内驾驶员,可以在特定的行程中承担或恢复执行自动驾驶系统的部分或全部DDT。

3.31.1.2 远程驾驶员

一个没有坐在位置上,但能手动操纵车辆的制动、加速、转向和换挡装置(如果有的话)的驾驶员。

注1:远程驾驶者可以包括在车辆内,在车辆视线范围内,或在车辆视线范围外的用户。

注2:远程驾驶员与无人驾驶操作调度员(见3.32.4)不同,但如果无人驾驶操作调度员具有远程操作车辆的能力,他/她也可以成为远程驾驶员。

注3:远程驾驶者不包括仅仅创造由ADS感应到的或传达给ADS的与驾驶有关的条件的人(例如,通过扩音器宣布某个停车标志应该被忽略的警察;另一个闪动车前灯以鼓励超车的司机,或使用专用短程通信(DSRC)系统告知其存在的行人)。

例子1: L2级自动停车功能允许远程驾驶者在预定的停车位附近下车,并通过按住钥匙扣上的一个特殊按钮使车辆自动进入停车位,同时他/她正在监测驾驶环境,以确保在停车操作期间没有人或物进入车辆通道。如果在运行过程中,有狗进入车辆通道,远程驾驶员就会释放钥匙扣上的按钮,以使车辆自动停止。(注意在这个L2级的例子中,远程驾驶员在停车过程中完成了DDT的OEDR子任务。)

例2:与例1相同的情况,除了远程驾驶者是坐在后座上,而不是站在车外。

例子3:一辆L4级封闭式校园送货车辆,经历了一次与DDT性能相关的系统故障,迫使它在校园路边停车,以达到最小风险的状态,由一个能够用无线方式操作车辆的远程司机将其送回指定的调度场。

 

3.31.2 乘客

车辆中的使用者,在该车辆的操纵中没有任何作用。

例子 1: 在一辆配备了L4级ADS功能的车辆中,坐在驾驶座上的人在该L4级功能启动时是一名乘客,该功能旨在使车辆在通道控制的高速公路上自动运行。然而,这个人在使用这个L4级ADS功能之前是一个司机,在解除该功能以便离开受控高速公路之后又是一个司机。

例子2:大学校园里的ADS-DV班车的车内用户是乘客。

例子3:一辆配备了L5级ADS的双模式车辆的车内用户是乘客,只要L5级ADS启动。ADS被激活。

3.31.3 [DDT]准备接管用户

配备有L3级ADS功能的车辆的用户,他有适当的资格和能力来操纵车辆,并能接受ADS发出的干预请求,以及车辆中明显的与DDT性能相关的系统故障,迫使他或她执行接管DDT。

注1:L3级ADS的DDT性能假定一个可回退的用户可以按要求执行DDT。在L4级和L5级没有这种假设。

注2:一个接管DDT就绪的用户,如果过渡到执行部分或全部DDT,就会成为一个驾驶员(车内或远程)。

3.31.3.1 车内可接管用户

具有3级ADS功能的常规车辆的可接管用户,他坐在驾驶座上。

例子:一个L3级ADS的子行程功能被设计为在某些高速公路的拥挤交通中执行DDT,遇到了紧急救援人员,他们因为严重的碰撞而将交通改道到出口;ADS发出了干预的请求。车内准备接管的用户成为司机,通过手动操作车辆执行接管。

3.31.3.2 远程接管就绪用户

在无人驾驶的情况下,装备有ADS的L3级车辆的可接管用户,他不在驾驶座上。

例子。一个L3级ADS-DV遇到了一个车祸现场,紧急救援人员正在改变交通路线;ADS发出了干预的请求。远程接管就绪的用户成为远程驾驶员,通过远程操纵车辆。

3.31.4 无人驾驶操作调度员

在无人驾驶操作中调度配备有ADS的车辆的用户。

注:调度员也可以执行其他车队运营功能。

3.31.5 远程助手

为配备ADS的车辆在无人驾驶情况下提供远程协助的人员。

注:远程助手也可执行其他车队操作功能。

3.32 [汽车] 车辆

设计用于在公共街道、道路和高速公路上提供运输的机器。

注1:在本文件中,[机动]车辆是指机动车辆,不包括那些只在铁路线上运行的车辆。作为参考,49 U.S.C. §30102(a)(6)对[机动]车辆定义如下。"[机动]车辆是指由机械动力驱动或牵引,主要为在公共街道、道路和公路上使用而制造的车辆,但不包括仅在铁路线上运行的车辆。"

注2:本推荐做法中讨论的[机动]车辆类型包括配备ADS的车辆、ADS专用车辆、双模式车辆和传统车辆。ADS专用车辆和双模式车辆都是指配备了ADS的车辆。常规车辆可能是配备ADS的车辆。

 

3.32.1普通汽车

一种设计为在每次行程的部分或全部由车内司机操纵的车辆。

注1:常规车辆可能配备一个或多个L1级或L2级驾驶自动化系统功能,以支持驾驶员执行DDT,但不执行全部DDT。常规车辆也可能配备L3级和/或L4级ADS子行程功能,要求车内司机在每次行程的部分时间内操纵车辆(见3.7.2)。

注2:虽然将配备ADS的车辆称为“常规”车辆可能是违反直觉的,但在这种情况下是合适的,因为至少在每一段行程中都需要一名车内司机。正如下面所强调的,这种分类法对功能而不是车辆的驾驶自动化水平进行分类(尽管在ADS- DV的特殊情况下,ADS功能和车辆的分类实际上是相同的)。

例1:一种没有驾驶自动化系统功能的车辆,设计成由车内司机在所有行程中操作。

例2:配备L1级自适应巡航控制、L1级车道中心和L3级ADS功能的车辆,设计用于在完全控制通行的高速公路上,在交通堵塞时执行全部DDT。L3级ADS交通堵塞功能要求用户在进入高速公路之前操纵车辆,以及在离开高速公路时再次操纵车辆以完成行程。

例3:配备L4级代客泊车功能的车辆,其设计允许用户在停车场附近下车,然后将其分派到一个停车位。

3.32.2 [ads-equipped]双模式车辆

一种配备ads的车辆,可以在给定ODD(如果有的话)的常规/正常操作条件下实现无人驾驶,也可以由车内司机进行全行程操纵。

注1:ADS操作时,双模式车辆可以实现无人驾驶,但驾驶员座位上也可以有驾驶员。

注意2:一个ADS子行程期间可用的功能,只是行程的一部分,如功能设计来执行完整的DDT在高速公路上交通堵塞,将不足以将其车辆作为一个双模汽车,因为它不会为一个完整的行程无人驾驶操纵。 

注3:配备L5级功能的车辆,司机可以在任何时候选择使用该功能,或可以选择手动操纵车辆,将被归类为双模式车辆。

3.32.3 ADS专用车辆(ADS-DV)

一种配备ADS的车辆,设计用于在给定ODD(如果有的话)内的所有行程中,在常规/正常操作条件下的无人驾驶操作。

注1:与之前的版本相比,该文件规定ADS-DV的级别为L4级和L5级,如果远程接管用户能够接受ADS发出的介入请求,并能在车辆中证明DDT性能相关的系统故障,则这种修订后的ADS-DV定义还允许发生L3级ADS-DV。一旦出现上述任何一种情况,远程准备接管的用户就开始使用无线方式(几乎)实时地执行接管DDT。(请参见3.24和3.22。)

注2:ADS-DV可能在设计时没有设计为供车内驾驶员操作的用户界面,如制动、加速、转向和变速器齿轮选择输入设备,或者在设计时使这些设备在常规/正常操作条件下不工作。

注3:ADS-DVs可能由人工驾驶员临时操纵:

(1)管理来自ODD的瞬时偏差,

(2)解决系统故障,

或(3)在编组站修理/服务或分派之前或之后。 

例子1:一个L4级ADS-DV专门设计在一个公司园区内运行,它沿着ADS-DV调度员指定的特定路线接送乘客和下车。

例2:一个L4级ADS-DV设计专门在一个地理上规定的中心商业区运行,在那里它使用ADS-DV调度员指定的道路(但不一定是路线)上运行。

例子3: L5级ADS-DV能够在美国所有可由驾驶员驾驶的地图道路上运行。用户只需输入一个目的地,ADS-DV就会自动导航到该目的地。

4. 驾驶自动化分类

以上定义的术语定义了一种自动驾驶的分类,包括六个离散且互斥的级别(见8.3和8.4)。这个分类的中心是(人类)用户和驾驶自动化系统各自的角色。由于驾驶自动化系统功能的变化改变了(人类)用户的角色,它们为分类此类系统功能提供了基础。例如:

•如果驾驶自动化系统执行DDT的持续纵向和/或横向车辆运动控制子任务,则司机不参与这些,尽管预计他/她将完成DDT,这种角色划分对应于L1级和L2级。

•如果驾驶自动化系统执行整个DDT,用户就不会这样做。然而,如果当一个与DDT性能相关的系统故障发生时,或当驾驶自动化系统即将离开其设计运行域(ODD)时,有一个准备接管DDT的用户,那么该用户将接受并能够在被提醒需要时恢复DDT性能。这种角色分工与L3级相对应。

•最后,如果驾驶自动化系统能够在规定的ODD(L4级)范围内或在所有驾驶员可管理的道路操纵情况下(L5级)执行全部DDT和接管DDT,那么在ADS使用期间,车内的任何用户都是乘客。

虽然车辆在这个驾驶自动化分类中履行了一个角色(见范围),但它并不改变用户在执行DDT时的角色。相比之下,驾驶自动化系统所扮演的角色补充了用户在执行DDT中的角色,并在这个意义上改变了它。

这样,驾驶自动化系统就可以按照以下层次进行分类:

a.驾驶自动化系统是否执行DDT的纵向或横向车辆运动控制子任务。

b.驾驶自动化系统是否同时执行DDT纵向和横向车辆运动控制子任务。

c.驾驶自动化系统是否也执行DDT的OEDR子任务。

d.驾驶自动化系统是否也执行接管DDT。

e.驾驶自动化系统是否受ODD限制。

表1根据这五个要素总结了六个级别的驾驶自动化。

SAE的驾驶自动化水平是描述性和信息性的,而不是规范性的,是技术性的而不是法规性的。元素表示每个级别的最小能力,而不是最大能力。本表中,“系统”指的是驾驶自动化系统或ADS,具体视情况而定。 

表1--驾驶自动化水平的总结

 
级别

名字

定义描述
DDT
DDT接管
ODD
持续的侧向和纵向
车辆运动控制
OEDR
执行全部或者部分 DDT
 
0
无驾驶自动化
驾驶员的执行整个DDT,即使在主动安全系统的加强下也是如此
驾驶员
驾驶员
驾驶员
n/a
辅助驾驶员
1
驾驶辅助
由驾驶自动化系统持续地、专门地执行DDT的横向或纵向车辆运动控制子任务(但不能同时执行),期望驾驶员执行DDT的其余部分
驾驶员和系统
驾驶员
驾驶员
有限的
2
部分驾驶自动化
驾驶自动化系统持续和专门执行DDT的横向和纵向车辆运动控制子任务,期望驾驶员完成OEDR子任务并监督驾驶自动化系统
系统
驾驶员
驾驶员
有限的
ADS("系统")执行整个DDT(在功能激活时)
智能驾驶
3
有条件的
驾驶自动化
ADS对整个特定的ODD范围内持续执行DDT,并期望DDT准备接管的用户能够在其车辆系统中与DDT性能有关的系统故障,接受ADS发出的干预请求,并将作出适当的反应
系统
系统
准备接管的用户
有限的
4
高度
驾驶自动化
ADS对特定的ODD性能持续执行整个DDT和DDT接管,而不期望用户需要干预
系统
系统
系统
有限的
5
完全
驾驶自动化
ADS无条件地对整个DDT和DDT接管支持续(即,不针对ODD)的性能,而不期望用户需要干预
系统
系统
系统
无限的

 

         

图10-针对功能分配的驾驶自动化级别简化逻辑流程图

 

图10显示了一个简化的逻辑图,用于对驾驶自动化功能进行分类。请注意,回答此图中提出的问题所需的信息不能凭经验得出(见8.2)。

 

表2详细说明了驾驶自动化的六个级别,并参考了用户和驾驶自动化系统在执行DDT和DDT回退中的角色(如果有的话)。(注意:这种角色的分配是指车辆操纵的技术方面,而不是法律方面)。

表2第2栏中的描述表明用户在执行部分或全部DDT和/或DDT接管中的作用(如果有的话),而第3栏中的描述表明驾驶自动化系统在执行同样的作用(如果有的话)。如在表1中,"系统 "指的是驾驶自动化系统或ADS,如适用。

请注意,上述作用是由驾驶自动化系统的设计和提供给用户的指令共同决定的,不管某个驾驶自动化系统的故障或用户在特定情况下错误地履行了他或她的职责(见8.2)。 

表2--按驾驶自动化水平划分的人类用户和驾驶自动化系统的角色

驾驶自动化级别
用户的作用
自动化驾驶系统的作用
L0 -> L2:ADS系统执行部分或全部的DDT
L 0
无驾驶自动化
•    驾驶员 (全部时间):
•     执行全部的 DDT
•    驾驶自动化系统(如有):
•    不持续执行DDT的任何部分(尽管其他车辆系统可能提供警告或瞬时紧急干预)
L1
驾驶辅助系统
司机(在任何时候):
•    执行驾驶自动化系统未执行DDT的剩余部分
•    监督驾驶自动化系统,必要时介入操纵车辆运行
•    确定驾驶自动化系统是否/何时激活或退出
•    在需要时立即执行整个DDT
驾驶自动化系统(激活时):
•    执行部分DDT中纵向或横向车辆运动控制子任务
•    一旦驾驶员要求立即退出
L2
部分驾驶自动化
司机(在任何时候):
•    执行驾驶自动化系统未执行DDT的剩余部分
•    监测驾驶自动化系统,必要时介入操纵车辆运行
•    确定驾驶自动化系统是否/何时激活或退出
•    在需要时立即执行整个DDT
驾驶自动化系统(激活时):
•    通过执行横向和纵向车辆运动控制子任务来执行DDT的部分任务
•    一旦驾驶员要求立即退出
L 3 -> L5: ADS系统激活时执行整个DDT
L3
有条件驾驶自动化
司机(当ADS没有激活时)。
•    核实配备了ADS的车辆的运行准备情况
•    决定是否使用ADS
•    当使用ADS时,成为准备DDT接管用户
准备DDT接管用户(当ADS激活时)。
•    接受干预的请求,并通过及时执行DDT接管
•    能接受车辆系统中与DDT性能相关的系统故障,并在发生时及时执行DDT接管。
•    决定是否和如何实现最小的风险条件
•    在ADS功能退出后成为驾驶员
ADS(在没有激活时)
•    只允许在其ODD范围内激活和运行
ADS(激活时)
•    在其ODD范围内执行整个DDT
•    确定ODD限制是否即将被超出,如果是,及时向准备好的DDT接管用户发出干预请求
•    确定ADS是否存在与DDT性能相关的系统故障,如果是,及时向准备DDT接管用户发出干预请求
•    在发出干预请求后的适当时间内功能退出。
•    应用户要求立即退出
L4
高度驾驶自动化
司机/调度员(当ADS没有激活时)。
•    核实配备ADS的车辆的运行准备情况。
•    决定是否使用 ADS
•    当ADS启动时,只有在车辆中人实际存在的情况下,才会成为乘客。
乘客/调度员(当ADS激活时)。
•    不需要执行DDT或DDT接管
•    不需要决定是否和如何达到最小风险条件
•    可以在ADS达到其ODD极限后执行DDD(见5.5注2)
•    可以要求ADS退出
•    可以在要求ADS退出后成为驾驶员
ADS(在没有激活时)
•    只允许在其ODD范围内进行激活/操纵
ADS(激活时)
•    在其ODD范围内执行整个DDT。
•    当接近ODD极限时,可提示乘客恢复车辆操纵。
•    在以下情况下,执行DDT接管并自动过渡到最小风险状态:
○          发生与DDT性能相关的系统故障
○          一个用户要求它达到最小风险状态
○          车辆即将离开其ODD
•    只有在以下情况下,才会根据情况功能退出。
○          它达到了最小风险条件或
○          驾驶员正在执行DDT
•    用户要求功能退出时可以延迟退出
L5
完全驾驶自动化
司机/调度员(当ADS没有激活时)。
•    核实配备了ADS的车辆的运行准备情况
•    决定是否启动ADS
•    当ADS启动时,只有当人实际存在于车辆中时,才会成为一名乘客。
乘客/调度员(当ADS激活时)。
•    不需要执行DDT或DDT后退程序
•    不需要决定是否和如何达到最小风险条件
•    可以要求ADS功能退出,并且在功能退出后可以达到最小风险状态
•    在要求功能退出后可以成为驾驶员
ADS(在没有激活时)。
•    允许在所有驾驶者可控制的道路条件下使用ADS功能。
ADS(激活时)。
•    执行整个DDT
•    在以下情况下,执行DDT接管并自动过渡到最小风险状态。
○          一个与DDT性能相关的系统故障发生或
○          用户要求其达到最小风险状态
•    如果合适的话,只有在以下情况下才会功能退出。
○          它达到了一个最小风险状态或
○          一个驾驶员正在进行DDT
•    用户要求功能退出时可以延迟退出

表3描述了用户对于在特定时间点以特定的驾驶自动化水平运行的参与驾驶自动化系统的角色。在一次特定的行程中,乘坐特定车辆的用户可以有三种可能的角色之一:(1)司机,(2)车内准备接管的用户,或(3)乘客。一个特定车辆的远程用户(即在使用过程中没有坐在车辆的驾驶座上的人)在一次特定的行程中也可以有三种可能的角色之一:(1)远程司机,(2)远程准备接管的用户,或(3)无人驾驶操作调度员。 

表3--驾驶自动化系统运行时的用户角色

 
无驾驶
自动化L0
不同级别驾驶自动化激活
L1
L2
L3
L4
L5
车内用户
驾驶员
车内准备接管的用户
乘客
远程用户
远程驾驶员
远程准备接管的用户
无人驾驶操作调度员
远程助理

 

注意:配备了L4级或L5级ADS的车辆也可以支持驾驶员的角色。例如,为了完成一个给定的行程,一个配备了4级ADS功能的车辆的用户被设计为在高速公路条件下操作车辆,一般会选择在高速公路结束时执行DDT;否则ADS会根据需要自动执行DDT接管并达到最小风险状态。然而,与L3级不同的是,在ADS参与的时候,这个用户不是准备接管DDT的用户。 

5.    驾驶自动化的级别或类别

如上所述,驾驶自动化水平基于驾驶自动化系统功能的功能,由该功能和(人类)用户(如果有的话)之间的DDT和DDT接管性能中的角色分配决定。驾驶自动化系统功能的制造商确定该功能的要求、设计运行域(ODD)和操纵特征,包括驾驶自动化的水平,如下文所定义。制造商还定义了该功能的正确使用方法。

较低的两个驾驶自动化级别(L1和L2)指的是在驾驶自动化系统介入时,(人类)驾驶员继续执行部分DDT的情况。因此这些被称为 "辅助驾驶员 "功能。(见表2)。

驾驶自动化的后三个级别(L3-L5)指的是自动驾驶系统(ADS)在参与时持续执行整个DDT的情况。因此,这些被称为 "自动驾驶 "功能(或配备这些功能的车辆)。(见表2)。

5.1 0级或0类--无驾驶自动化

驾驶员对整个DDT的表现,即使被主动安全系统加强。

5.2 级别或类别1--驾驶辅助

由驾驶自动化系统持续并针对ODD执行DDT的横向或纵向车辆运动控制子任务(但不能同时执行),期望驾驶员执行DDT的剩余部分。

注1:执行DDT的横向或纵向车辆运动控制子任务的L1级驾驶员支持功能在其范围内(横向或纵向)只能进行有限的OEDR,这意味着有一些事件是驾驶自动化系统无法识别或响应的。因此,驾驶员必须通过完成DDT的OEDR子任务以及执行车辆运动控制的其他维度来监测驾驶自动化系统的表现。见图2(讨论DDT的三个主要子任务)。

注2:术语 "驾驶辅助 "作为修饰语也常用于描述不被认为是驾驶自动化系统功能的汽车功能,因为它们不持续提供部分或全部DDT性能。

注3:术语 "高级驾驶辅助系统"(ADAS)通常用于描述广泛的功能,包括那些提供警告和/或瞬间干预的功能,如前方碰撞警告(FCW)系统、车道保持辅助(LKA)系统和自动紧急制动(AEB)系统,以及一些涉及L1级辅助驾驶功能,如ACC和某些停车辅助功能。因此,ADAS这一术语对于在技术定义文件中使用来说过于宽泛和不精确。

 

5.3 L2级或类别--部分驾驶自动化

由驾驶自动化系统持续并针对ODD的横向和纵向车辆运动控制子任务的执行,期望驾驶员完成OEDR子任务并监测驾驶自动化系统。

注意:一个L2级辅助驾驶员的功能只能进行有限的OEDR,也就是说,有些事件它不能识别或响应。因此,驾驶员通过完成DDT的OEDR子任务来监测该功能的表现。见图2(讨论DDT的三个主要子任务)。

 

5.4 L3级或类别--有条件的驾驶自动化

在常规/正常操作下,在ODD范围内ADS持续执行整个DDT(见3.27),当超车ODDf范围,以及其车辆系统中与DDT性能有关的系统故障时,期望准备DDT接管用户能接受ADS发出的干预请求,并作出适当的反应。

注1:与L1级和L2级驾驶员支持功能不同,所有L3级和L4级ADS功能都被设计成在其ODD限制内参与时监测和执行,并防止超出其规定的ODD运行。

注2: 准备DDT接管的用户不需要在L3级ADS激活时监督它,但要准备好在ADS发出干预请求时恢复DDT性能,或在故障条件下排除车辆继续运行时执行接管请求并达到最小风险条件。

注3:一个L3级ADS的准备DDT接管用户也应该能够接受车辆系统中明显的与DDT性能相关的系统故障,这些故障不一定会触发ADS发出的干预请求,如车身或悬挂部件损坏。

注4: 在L3级ADS中出现DDT性能相关的系统故障时,或在ADS退出其ODD时,ADS将在足够的时间内发出干预请求,以便准备接管用户(无论是车内还是远程)做出适当的反应。

注5:准备DDT接管用户对干预请求的 "适当 "反应可能包括将车辆降至最低风险状态或继续进行。适当的 "反应 "可能是需要使车辆达到最小风险状态或在ADS退出后继续操作车辆。

注6: 尽管3级ADS功能不需要自动DDT接管性能,但L3级功能可以在某些有限条件下执行DDT接管并达到最小风险状态。

例子:一个ADS功能能够低速走走停停的在高速公路交通中执行整个DDT。

5.5 L4 级或类别--高度驾驶自动化

由一个ADS持续并针对ODD执行整个DDT和DDT接管。

注1:用户不需要监督L4级ADS功能,也不需要在ADS参与时接受干预的请求。L4级ADS能够自动执行DDT接管,以及在用户不恢复执行DDT的情况下实现最小风险条件。这种自动DDT接管和最小风险条件实现能力是L4级和L3级ADS功能的主要区别。这意味着一个使用L4级ADS功能的车内用户是一个不需要对DDT性能相关的系统故障做出反应的乘客。

注2:L4级ADS功能可能被设计成在整个行程中操作车辆(见3.7.3),或者它们可能被设计成只在特定行程的一部分操纵车辆(见3.7. 例如,为了完成一个特定的行程,一个配备了L4级ADS功能的车辆的用户,被设计为在高速高速公路条件下操作车辆,需要在高速公路结束时执行DDT,以完成他或她的预定行程;然而,如果用户在高速公路结束时未能接管,ADS将自动执行DDT接管并达到最小风险状态(例如,因为他/她正在睡觉)。与L3级不同的是,L4级功能用户在ADS参与时不是准备DDT接管的用户(见下面的例子2),因此预计不会响应介入的请求以执行接管。然而,在一个四级子行程功能达到其ODD限制的情况下,ADS可以向乘客发出警告,他/她应该恢复驾驶以完成他们的行程。(请注意,在后一种情况下,有关的警报不是干预的请求,因为它没有发出需要接管性能的信号)。

例子1: 一个4级ADS功能能够在代客泊车期间执行整个DDT(即从路边到门外或反之),而不需要任何司机监督。

例2:一个4级ADS功能,能够在高速公路上持续运行期间(即在其ODD内)执行整个DDT。(注意:在这个例子中设想了驾驶座上有一个能够执行DDT的用户,因为在进入高速公路之前,司机执行DDT是必要的,在离开高速公路之后,也是必要的。因此,这种功能将提醒用户在离开ODD前不久应恢复车辆操纵,但如果用户未能对这种提醒作出反应,ADS仍将执行DDT接管并自动达到最小风险状态。)

例子3:一个无人驾驶操作调度员可以让一个L4级ADS-DV参与进来,它能够在一个有限的地理区域(例如,住宅社区、军事基地、大学校园)内遵循预先确定的路线。

5.6 L5级或类别--完全驾驶自动化

由ADS持续和无条件地(即不针对ODD)执行整个DDT和DDT接管。

注1:"无条件/不针对ODD "是指ADS可以在其世界区域内的任何地方,在传统车辆可以由通常熟练的人类驾驶员合理操纵的所有道路条件下,在道路上操纵车辆。这意味着,例如,在ADS可以操纵车辆的地点和时间上,没有基于设计的天气、时间或地理限制。然而,可能会出现司机无法控制的情况,在这种情况下,ADS也无法完成特定的行程(例如,白茫茫的暴风雪、水淹的道路、刺眼的冰块等),直到或除非不利条件清除。在这种无法控制的情况出现时,ADS将执行DDT接管,以达到最小的风险状态(例如,将车停在路边,等待条件改变)。

注2:在发生DDT性能相关的系统故障(ADS或车辆)时,L5级ADS会自动执行DDT接管并达到最小风险状态。

注3:用户不需要监督一个L5级ADS。

举个例子:一辆有ADS的车辆,一旦输入了目的地,就能在公共道路上全程操纵车辆,不管起点和终点,或者中间的道路,交通和天气状况。

 

6.    设计运行域(ODD)的意义

从概念上讲,驾驶自动化系统相对于用户在执行部分或全部DDT中的作用,与它执行该作用的具体条件是正交的。例如,一个自适应巡航控制的具体实现可能只在高速、低速或所有速度下运行。然而,为了简单起见,本分类法将这两个轴线压缩为一套单一的驾驶自动化水平。L1到L4级明确考虑了ODD的限制。相比之下,L5级(与L0级一样)没有ODD限制(以8.8的讨论为准)。

因此,准确描述一个功能(除L0级和L5级外)需要确定其自动化驾驶水平和设计运行域(ODD)。正如上面的定义所规定的,这种驾驶自动化水平和ODD的组合被称为使用规范,而一个给定的功能满足一个给定的使用规范。

由于可能的ODD范围很广,每个级别都可能存在广泛的可能功能(例如,L4级包括停车、高速、低速、地理围栏等)。出于这个原因,本分类法对可能定义特定功能的ODD属性提供的细节较少,而对驾驶自动化系统及其用户的各自作用提供的细节较少。

ODD对于理解为什么一个给定的ADS不是L5级,仅仅因为它操纵的是ADS专用车辆尤为重要。与L5级ADS不同,L3级或L4级ADS的ODD很有限。对ADS-DV的地理、速度、环境或其他ODD限制可能反映了其ADS的技术限制,也可能反映了车辆设计限制。

L1至L4级的功能受到有限的ODD限制。这些限制通常反映了驾驶自动化系统的技术能力。例如,在封闭环境中运行的L4级ADS-DV作为人员运输工具和机场班车已经存在了几十年。这类车辆的ODD非常简单,控制良好,而且物理上是封闭的(车辆在固定的路线上运行;物理屏障防止侵占;免受外部事件和天气等的影响)。这种高度结构化和简单的ODD使得实现L4级驾驶自动化在技术上的难度降低。然而,在混合交通的开放道路上操纵车辆,并在包括恶劣天气的环境中操纵车辆的L3级ADS功能,由于更复杂和非结构化的ODD,在ADS能力方面面临更高的技术门槛(见图11)。

 

还要注意的是,某一驾驶自动化系统功能的ODD可能包括一系列广泛的参数,这些参数定义了该功能在设计指定的道路环境中运行的功能能力的限制。它包括范围广泛的变量,如特定的道路类型、天气条件、照明条件、地理限制以及某些道路特征的存在或不存在,如车道标记、路边交通障碍、中间带等。因此,一个给定的驾驶自动化系统功能只有一个ODD,但该ODD可能是相当多样和多面的。即使ODD由多个变量组成,说一个驾驶自动化功能有多个ODD也是不正确的。只有当所有ODD定义的变量满足设计标准时,一个功能才会按设计运行(见3.26)。图12说明了ODD相对于驾驶自动化水平的正交性。

图11- 相对于驾驶自动化水平的ODD 

 

应该指出的是,ODD的确定也可能反映出与技术限制无关的商业考虑,如收入潜力和风险管理策略,由ADS和/或配备ADS的OEM决定。

图12 - 相对于驾驶自动化水平的ODD

7 废弃的术语

为清晰起见,本节确定了本文件中不使用的某些术语,因为这些术语在功能上不精确(因此有误导性),和/或因为它们经常被应用于较低水平的驾驶自动化(即L1 级和L2 级)而被误用,在这种情况下,驾驶自动化系统不执行整个 DDT。

7.1 自主、驾驶模式、自动驾驶、无人驾驶、机器人

诸如上述的白话术语有时被用来描述驾驶自动化系统和/或配备这些系统的车辆的特点--不一致的和混乱的。因为自动化是使用电子或机械装置来取代人类劳动,根据牛津英语词典,自动化(用 "驾驶 "修饰以提供背景)是执行部分或全部DDT的系统的适当术语。使用其他术语会导致混淆、误解和可信度降低。

7.1.1 自主

这个术语在机器人学和人工智能研究界已经使用了很长时间,用来表示那些有能力独立地做出决定的系统。随着时间的推移,这种用法被随意扩大,不仅包括决策,而且代表整个系统功能,从而成为自动化的同义词。这种用法掩盖了一个问题,即所谓的 "自主车辆 "是否依赖与外部实体的沟通和/或合作来实现重要功能(如数据采集和收集)。一些驾驶自动化系统如果能独立、高效地完成所有功能,确实可能是自主的,但如果它们依赖于与外部实体的沟通和/或合作,则应被视为合作而非自主。一些用法将自主与完全的驾驶自动化(L5级)联系起来,而其他的用法则适用于所有级别的驾驶自动化,一些国家的立法将其定义为大约对应于任何达到或超过L3级的ADS(或任何配备了这种ADS的车辆)。

此外,在法学上,自主性是指自我管理的能力。在这个意义上,"自主 "也是适用于自动驾驶技术的一个错误说法,因为即使是最先进的ADS也不是 "自我管理 "的。相反,自动驾驶技术是基于算法运行的,并以其他方式服从用户的命令。

由于这些原因,本文件不使用 "自主 "这一流行术语来描述自动驾驶。

7.1.2 驾驶模式

在本文件的第一版中,使用了 "驾驶模式 "一词来代替 "设计运行域(ODD)"。然而,"驾驶模式 "是一个不精确的术语,并排除了许多构成ODD特征的条件。由于这些原因,我们建议不要使用 "驾驶模式 "来描述特定驾驶自动化系统特征的ODD。

7.1.3 自动驾驶

该术语的含义可根据对驾驶和驾驶员含义的未说明的假设而变化。它可用于指没有驾驶员在场的情况,没有用户执行DDT的情况,以及驾驶自动化系统执行DDT的任何部分的情况。

7.1.4 无人驾驶

这个术语经常被误用来描述任何配备了L2级或更高级别的驾驶自动化系统的车辆。术语 "无人驾驶 "意味着车辆中没有人,这也会产生误导,因为它没有区分由远程驾驶员操作的车辆和由ADS操作的车辆,其中没有乘员有能力操作该车辆。

7.1.5 机器人

这个术语有时被用来指代L4级或L5级自动驾驶,如封闭式校园ADS-DV或 "机器人出租车",但从技术上讲,它是模糊的,因为任何自动化技术都可以被认为是 "机器人",因此它没有传达关于ADS或有关车辆的有用信息。

 

7.2 自动或自主车辆

本文件建议不要使用使车辆而不是驾驶成为自动化对象的术语,因为这样做往往会导致可由(人类)驾驶员或ADS操作的车辆与ADS-DVs之间的混淆,ADS-DVs的设计完全由ADS操纵。它也没有区分其他形式的车辆自动化,不涉及部分或全部DDT的自动化。

此外,一个给定的车辆可能配备了一个驾驶自动化系统,该系统能够提供在不同水平上运行的多个驾驶自动化功能;因此,在任何特定情况下表现出的驾驶自动化水平由所使用的功能决定。

因此,描述具有驾驶自动化能力的车辆的建议用法是 "配备驾驶自动化系统的[L1或L2]级车辆 "或 "配备ADS的[L3、L4或L5]级车辆"。对于描述具有参与系统的车辆(相对于仅有的系统),建议使用"[L1或L2]级驾驶自动化系统参与的车辆 "或"[L3、L4或L5]级ADS操作的车辆"。

 

7.3 控制

在口语中,术语 "控制"有时被用来描述(人类)驾驶员或驾驶自动化系统的各自作用(例如,"驾驶员有控制权")。本文件的作者强烈反对,因此特意避免了这种有潜在问题的口语化用法。因为"控制 "一词有许多技术、法律和流行的含义,在没有仔细限定的情况下使用它可能会混淆而不是澄清。例如,在法律上,"控制"、"实际的物理控制 "和 "控制的能力"可以有不同的含义,与工程控制回路没有什么关系。同样,(人类)驾驶员 "没有控制权 "的说法可能会无意中错误地暗示人类失去了所有权力。

首选的术语 "DDT性能"(如上文DDT定义中解释的)和 "操纵"(也是一个定义的术语,上文)通过具体描述(人类)驾驶员或驾驶自动化系统在执行部分或全部DDT方面的实际工作,减少潜在的混淆。本文确实使用了车辆横向运动控制和车辆纵向运动控制这两个术语,这两个术语在具体的工程功能方面都有明确定义。

如果 "控制 "要在特定的驾驶自动化背景下使用,应该仔细限定。为此,使用这个词的人 "应该首先描述他们实际打算的控制系统:目标、输入、过程和输出,如果它们是由人类设计者决定的,以及人类或计算机代理的权力,如果它们不是。" 参考史密斯,B.W.,"工程师和律师应该说同样的机器人语言",载于《机器人法》(2015年),可在newpossible.org查阅。

 

8.补充讨论 

8.1 本文件不是一个规范,没有提出任何要求 

本文件为驾驶自动化功能(和配备ADS的车辆)的分类提供了一个逻辑分类法,以及一套支持该分类法的术语和定义,并以其他方式规范相关概念、术语和用法,以促进清晰的沟通。因此,它是一个基于合理协议的公约,而不是一个技术规范。 

本文件本身没有提出任何要求,也没有赋予或暗示系统性能方面的任何判断。因此,虽然声明,例如,一个给定的ADS功能不符合L4级的定义,因为它偶尔依赖于一个远程准备接管的用户来执行接管(因此是一个L3级的功能)可能是合适的,但得出结论说该功能因此是 "不符合要求 "或 "不安全"是不合适的。

 

8.2 级别是分配的,而不是测量的,反映了驾驶自动化系统功能的设计意图

作为一个实际问题,不可能描述或规定一个完整的测试或一组测试,可以应用于一个特定的ADS功能,以最终确定或验证其驾驶自动化水平。级别分配表达了对该功能的设计意图,因此告诉潜在的用户或其他相关方,该功能可望发挥功能,当该功能投入使用时,用户与驾驶自动化系统的作用与本文中定义的分配级别一致。级别分配通常是基于制造商对该功能/系统的设计、开发和测试的了解,这也是级别分配的依据。一个ADS功能的能力和限制应该通过各种方式传达给潜在的用户,比如在车主手册中,更详细地解释该功能,比如它应该和不应该被使用,存在哪些限制(如果有的话),以及在驾驶自动化系统或车辆发生DDT性能相关的系统故障时应该怎么做(如果有的话)。 

因此,驾驶自动化系统或用户使用该系统时出现的一个或多个性能缺陷并不会自动改变级别分配。比如说:

- 制造商设计的L5级ADS功能不会仅仅因为遇到无法操作车辆的特定道路而自动降级为L4级。

- 一个使用L3级ADS功能的用户,如果他/她坐在一辆装备好的车辆的驾驶座上,那么他/她就是DDT准备接管的用户,即使他/她因为不适当地睡着而不再接受干预的请求。 

 

一个驾驶自动化系统功能的级别与该功能的生产设计意图相对应。这适用于无论其配备的车辆是已经部署在商业中的生产车辆,还是尚未部署的测试车辆。因此,将装备在测试车辆上的L4级设计意图的ADS功能归类为L2级是不正确的,因为道路测试需要测试司机在启动时监督该功能,并在必要时进行干预以维持操作。

 

8.3 级别分配是名义上的,而不是顺序上的,也不是分数上的 

虽然按顺序编号为0到5,但驾驶自动化的级别并没有规定或暗示相对优点、技术先进性或部署顺序的级别。因此,这个分类法没有规定或暗示,例如,L4级比L3级或L2级 "更好"。 

另外,虽然有可能有一个相对高功能的ADS功能,如L3级功能,能够在其ODD内的大多数但不是所有可预见的条件下自动实现最小风险条件,但将这种功能称为 "低功能 "或"部分 "L4级ADS功能是违反定义的。同样,使用分数级别,如2.5或4.7来描述驾驶自动化功能也是不正确的。有条件的或零碎的级别会使级别的含义变得模糊,因为它消除了用户和驾驶自动化系统在执行DDT和特定车辆的接管方面的严格角色分配所提供的明确性。

 

8.4 级别是相互排斥的 

本分类法中的级别是有意离散的,并且是相互排斥的。因此,从逻辑上讲,一个特定的功能不可能被分配到一个以上的级别。例如,一个被制造商描述为能够在交通密集的完全控制的高速公路上执行完整的DDT的低速自动驾驶功能不可能既是L3级又是L4级,因为它要么能够自动执行DDT接管并在需要时达到最小风险状态,要么(至少有时)依赖于驾驶员对干预请求的反应,要么执行DDT或自己达到最小风险状态。

然而,驾驶自动化系统很有可能根据使用规范和/或用户偏好,在不同级别提供多种功能。例如,一辆车可以配备一个驾驶自动化系统,能够在不同的条件下提供L1级ACC功能、L2级高速公路驾驶辅助功能、L3级高速公路交通堵塞功能和L4级自动代客泊车功能,此外还允许用户在没有驾驶自动化功能的情况下在L0级操纵车辆。从用户的角度来看,这些不同的功能是按顺序进行的,而不是同时进行的,即使驾驶自动化系统使用了很多相同的基础硬件和软件技术来提供所有四个驾驶自动化功能。

 

8.5 DDT性能,接管性能和最小风险条件的实现是独立的功能 

在讨论L3级、L4级或L5级ADS的系统故障或超出设计运行域(Out-of-ODD)条件的处理时,本文区分了以下三个独立的功能。(i)DDT性能,(ii)DDT接管性能,和(iii)最小风险条件的实现。 

i.     DDT性能发生在ADS功能的常规/正常操作条件下。也就是说,该功能在正常运作和在其ODD(如果有)范围内执行完整的DDT。 

ii.     当ADS不能继续执行完整的DDT时(即,在常规/正常操作下),DDT接管发生。对于L3级ADS功能,一个可接管的人类用户(车内或远程)预计将对干预请求或从肉眼可见的车辆故障做出反应,如果车辆仍然可操作,则恢复DDT性能,如果车辆不可操作,则达到最小风险状态。对于L4级或L5级ADS,该功能或系统通过自动实现最小风险条件来执行接管,例如,停在路肩上,打开危险灯,关闭推进系统,并召唤路边援助。(注意:一些L3级功能可能被设计成在某些情况下自动执行后退并达到最小风险条件,例如当无障碍物、相邻的路肩存在时,但在其他情况下,例如没有这样的路肩时,就不能自动执行接管)。当ADS执行接管时,它操纵车辆进入最小风险状态,这就结束了接管响应。然而,当准备接管的用户执行接管时,他/她可能只是继续手动操纵车辆,而不是在车辆可操纵的情况下实现最小风险状态。 

iii.    L4级和L5级的接管性能和最小风险条件的实现要求ADS在发生DDT性能相关的系统故障或ODD外的情况下仍能发挥作用。如果ADS不能正常工作,可以采用故障降级策略(见3.11和8.6)。最小的风险条件取决于触发接管时的车辆状况和操作环境,并且可以遵循降级模式策略,考虑与继续运行、驶离道路或停在原地相关的相对风险。

 

8.6 DDT接管与故障降级策略 

装有ADS的车辆可能有一个额外的故障降级策略,旨在使车辆在任何地方都能控制地停下来。例如,如果L3级子行程交通拥堵功能的车内接管准备用户未能响应交通清理后的干预请求(ODD外的条件),车辆可能有一个故障降级策略,旨在使车辆在其目前的行车道上受控停车并打开危险灯。图13显示了一个用例序列样本。 

L4级和L5级配备ADS的车辆也可以有一个故障降级策略,即在某些罕见的、灾难性的故障条件下就地停车,这些故障条件使ADS无法工作,例如,在初始电源故障后失去备用电源或ADS的计算能力丧失,使其无法执行接管和实现最小风险条件。图14显示了一个用例序列样本。 

车辆执行的故障降级不同于最小风险条件的实现,也不是分配给L4级或L5级ADS的接管功能的一部分,因为它发生在ADS退出或因罕见的灾难性事件而丧失能力之后,因此,它也不属于本分类法的范围。             

           

 

图13- 第3级功能的用例序列,显示ADS参与

 

发生故障或ODD外的情况,以及接管准备好的用户进行接管,或者,如果接管准备好的用户未能这样做,则采用故障降级策略,如在车道上停车。(注:虚线代表故障降级策略。)

图14- L4级的用例序列显示ADS的参与。

 

灾难性事件(例如,完全断电)和系统达到最小风险状态

(注:虚线代表故障降级策略。)

 

8.7 L5级 "完全驾驶自动化 "是L0级 "无驾驶自动化 "的逆向模拟 

如本文所述,L5级与L4级的区别在于,它在操纵上不限于特定的设计运行域,而是可以在一般熟练的人类驾驶员可以合理地操作传统车辆的任何地方进行操作。 

例如,将设计用于在特定地理围栏的城市中心低速运行的L4级ADS-DV称为 "完全自动化"或 "完全自动化 "是不正确的,应避免。这种区别承认了这样一个事实:对于无法操作传统车辆的用户来说,只有配备了L5级ADS的车辆才能满足所有的移动需求,而对于能够操作车辆的用户来说,传统车辆也能满足这些需求。

 

8.8 关于L5级的实际考虑

有一些技术和实际的考虑,减轻了L5级ADS必须能够 "在典型熟练的人类驾驶员能够合理地操作传统车辆的任何地方操作车辆"这一规定的字面意思,否则可能无法实现。例如,一辆配备了ADS的车辆能够在美国所有的道路上操作车辆,但由于法律或商业原因,不能在加拿大或墨西哥的边界上操作车辆,即使在美国境内有地理围栏,也可以被视为l5级。美国)不是由于ADS技术能力的限制,而是由于法律或商业限制,如加拿大和墨西哥/中美洲的法律限制,禁止L5级部署,或无法为扩展到这些市场提供商业理由。

 

8.9 当L3级、L4级或L5级ADS投入使用时,用户要求执行DDT 

配备有L3级ADS功能的车辆应在DDT接管用户的要求下放弃DDT。这种期望是DDT接管用户需要在任何时候都能执行DDT接管的逻辑结果,包括在DDT性能相关的车辆系统故障发生而ADS可能没有监测到的情况下(如悬挂部件损坏)。 

一些配备了ADS的车辆在设计上可能不允许司机操纵(即ADS专用车辆)。在这些类型的车辆中,乘客可以通过例如拉动紧急停车杆来要求车辆停车,作为回应,ADS将实现最小风险条件(例如,考虑到邻近路肩的可用性),或执行路径中停车机动。 

然而,其他配备了L4级或L5级ADS功能的车辆也可以设计成由司机操纵(即在任何较低的级别,包括L0级)。用户可以要求在ADS启动时操作这些车辆,而没有被ADS发出警报。在这些情况下,ADS可能会延迟放弃DDT,以确保平稳过渡到驾驶员执行DDT,或防止出现危险状况。 

比如说:

- 一辆由L4级ADS公路驾驶功能操作的车辆,如果正在谈判一个狭窄的弯道,可能不会在用户的要求下立即脱离,而是在用户通过转向输入表明他/她已经完全重新进入DDT时,逐步退出。

 - 一个为在高速车队中操作车辆而设计的L4级ADS功能,在用户要求恢复驾驶时,可能会推迟将DDT的性能交给用户,直到ADS将车辆安全地调出车队,因为(人类)驾驶员可能没有能力在一个紧密结合的车队中安全地操作车辆。

 

8.10 驾驶的某些操纵策略方面可能的自动化 

车辆操作的策略方面(关于是否、何时、何地以及如何到达的决定)不包括在DDT的定义中,因为它们被认为是更广泛的驾驶任务中由用户决定的方面,即使是部分自动化,如通过路线导航软件,然而,对于某些先进的ADS功能,如作为叫车或送货服务车队运营的ADS专用车辆,计时、路线规划甚至目的地选择也可以按照用户,即无人驾驶操作调度员或调度实体所定义的目的进行自动化。

 

8.11 驾驶与DDT

驾驶需要做出各种决定和行动,这些决定和行动可能涉及到车辆的运动,甚至可能不涉及到车辆在交通的主动车道上。整个驾驶行为可以分为三种类型的驾驶努力:策略,操纵,和操作(Michon, 1985)。战略性工作包括行程规划,如决定是否、何时、何地、如何出行、最佳路线等。操纵上的努力包括在行程中操纵车辆,包括决定是否和何超越另一辆车或改变车道,选择一个适当的速度,检查后视镜等。操作上的努力包括瞬间的反应,这些反应可以被认为是预先认知的或与生俱来的,例如对转向、刹车和加速进行微调,以保持交通中的车道位置,或避免车辆行驶过程中的突然障碍物或危险事件。 

上面提供的DDT的定义(3.10)包括操纵和操作努力,但不包括策略努力。它是指在车辆行驶中或即将行驶的情况下,在有效车道上驾驶车辆的那部分具体工作。(应该注意的是,这些术语--战略、战术和行动--在其他情况下可能有不同的含义,但在本文件中的定义如上)。事实上,本建议实践对"操作 "的定义包括了操作和战术的努力。 

目标物和事件检测、识别、分类和响应(又称OEDR)构成了驾驶员工作量文献中经常引用的连续活动。在驾驶自动化系统的情况下,OEDR还包括与系统行动或结果相关的事件,如未诊断的驾驶自动化系统错误或状态变化。

 

8.12 一些为人类操纵而设计的常规车辆上的避免碰撞功能被ADS所包含 

避免碰撞的功能,包括干预型主动安全系统,可以包括在配备了任何级别的驾驶自动化系统的车辆中。对于装备了ADS的车辆(即L3到L5级),执行完整的DDT,避免碰撞的能力是ADS功能的一部分。

 

8.13 将本文件置于驾驶辅助、驾驶自动化和主动安全功能的更广泛背景下 

从最广泛的驾驶辅助和自动驾驶的角度来看,各种功能可以根据技术文件《操作原则框架》中描述的三个总体操作概念(称为 "操作原则")进行分类。自动驾驶功能的综合分类概念"。提供状态信息(如电力推进系统的充电状态、油压、天气状况等),或提醒驾驶员注意实际或潜在危险(如车道偏离或盲点警告)的功能属于操作原则A(状态提醒和警告)。为部分或全部DDT提供持续自动化的功能,属于操作原则B(持续驾驶自动化)。而提供瞬间的、间歇性的车辆运动控制动作(不是持续的--例如,自动紧急制动)的功能属于操作原则C(避免碰撞的干预)。一个特定的车辆可能配备了几个功能,根据不同的操作原则运作。 

本文根据上述类别,为属于操作原则B的驾驶自动化系统功能提供了一个分类法。驾驶自动化系统特征在持续的基础上执行部分或全部的DDT,因此,从根本上改变或消除了驾驶员在操作车辆中的作用。属于操作原则A或C的功能在本文描述的分类法中无法归类,因为它们不直接影响车辆运动控制(A),或者因为它们不提供部分或全部DDT的持续性能(C)。然而,应该注意的是,一个单独的特征可以根据一个以上的操作原则纳入功能,例如避免碰撞的特征(C),当它被激活时向驾驶员(A)提供警告。同样,由人类驾驶员操作的车辆上属于操作原则C的功能所提供的避免碰撞的能力,还是作为由ADS操作的车辆提供的持续驾驶自动化(B)的一部分来执行。例如,自动紧急制动(AEB),它自动制动车辆以避免与前行路径上的车辆/物体相撞,并不是ADS-DV上的独立功能。然而,对其他道路使用者的行动以及交通中的物体和事件作出反应的紧急制动被包括在ADS的整体驾驶自动化能力中。

 

8.14 SAE J3016驾驶自动化水平与BASt水平的比较

在2014年1月首次发布SAE J3016之前,德国联邦公路研究所(Bundesanstalt fürStrassenwesen,又称BASt)发布了《车辆自动化程度提高的法律后果》(Gasser, T.M., et al., July 23, 2013)。经过对该文件的彻底审查,包括与编写组织的讨论,SAE任务组成员被说服,BASt水平符合任务组的运作原则,即SAE J3016应该是:

- 描述性而非规范性,也就是说,它应该提供功能定义。

- 与当前的行业实践相一致。

- 与现有技术保持一致--我们应该从已经完成的工作开始,只对必要的部分进行修改。

- 对各学科都有用,包括工程、法律、媒体、公共论述。

- 清晰而有说服力,也就是说,我们应该避免或定义模棱两可的术语。

 

根据这些指导原则,SAE在很大程度上采用了BASt级别,但做了一些调整:

- 增加了BASt级别中未描述的第六个级别(即第五级--完全驾驶自动化)。

- 相应地修改了级别名称。

- 增加了辅助术语和定义,如DDT、最小风险条件等。

- 描述了分类的区别,规定了级别的阶梯式发展。

- 提供了解释性的文字和例子,以帮助读者理解级别、定义及其推导。

 

在SAE J3016于2014年1月发布后,国际机动车制造商组织(Organisation Internationaledes Constructeurs d'Automobiles, a.k.a., OICA)采用了BASt级别,并将其(英文)与SAE J3016保持一致,包括增加第六级以代表 "完全驾驶自动化"。

 

9.注释

9.1 修订指示器

位于左侧空白处的修改栏(l)是为了方便用户定位在编写本文件时对2018年6月版SAE J3016进行了技术修订的地方,而不是编辑性修改。文件标题左侧的(R)符号表示该文件的完整修订,包括技术修订。变更栏和(R)不用于原始出版物,也不用于仅包含编辑性修改的文件。

由SAE道路自动驾驶(ORAD)委员会和ISO TC204第14工作组的联合工作小组编写

欢迎申请加入智能驾驶交流学习群,加小编微信号zhijiashexiaoming

 

相关推荐

登录即可解锁
  • 海量技术文章
  • 设计资源下载
  • 产业链客户资源
  • 写文章/发需求
立即登录