2017年9月,,,因此新政策也被称作自动驾驶政策第二版(2.0)。新的政策主要面对SAE自动驾驶分级中划分为L3-L5级的自动程度较高的车辆,将根据新的技术和政策形势发展每年更新一次,3.0版本今年夏天就要发布。
这个政策文件分为两部分,我们分两期进行介绍。
第一部分是针对厂商和技术开发者的指南,介绍了在开发自动驾驶技术时需要重点考虑的12项安全设计要素,供他们自愿采纳,这12项安全设计要素分别是:
1、系统安全
指南鼓励厂商遵循系统工程方法,采纳权威标准组织制订的标准、自愿性指南和最佳实践,并在可能时参考航空、航天、军事方面的相关标准,在设计和验证环节确保安全可靠,并考虑进行危险因素分析和安全风险评估。对故障应有预先的设计冗余和安全策略。应特别重视软件开发、验证和确认有效性,加强对自动驾驶车辆安全性有影响的人工智能和其它软件技术算法的监控。设计安全应考虑到各类软硬件故障、操作错误、可能发生的各种碰撞、在道路上失控、违反交通法规或背离正常驾驶行为的各种行为。设计、分析、测试的全部过程应做详细记录。
2、操作设计范围(ODD)
ODD是指某个自动驾驶系统可以正常工作的设计适用范围,即能力界限,它包括道路类型(高速公路、市区街道…)、地理状况(城市、山区…)、速度范围、环境状况(天气、白天黑夜…)等因素。指南鼓励厂商对每个ODD做出规定并详细记录,确保自动驾驶系统在规定的ODD范围可以安全操作。在超出ODD范围的情况下,车辆应该切换到最低风险状态,L3级别的自动驾驶系统应将控制权移交给做好准备接手的用户,在不确定用户做好准备的情况下,自动驾驶系统应继续处理可控的风险,包括可将车辆减速或在安全情况下停车等。
3、物体和事件监测和应对(OEDR)
OEDR是指自动驾驶系统监测到与当前驾驶任务有关的状况并做出针对性的恰当反应。自动驾驶车辆在其ODD内运行时,OEDR应能够监测到其运行路径内外的其它车辆、行人、自行车、动物、影响安全的其它物体并做出反应,还应该有能力解决可预见或不常见的遭遇场景,包括应急车辆、临时施工区、警察、应急人员或工人指挥交通等状况。自动驾驶车辆应具备保持车道、服从交通法规、遵守道路礼节、对其它车辆或危险状况做出反应等行为能力,也应有能力应对各种即将导致碰撞的情形:包括车辆失控、遭到撞击变向、对向碰撞、追尾、并道、分道、倒车停车等。
4、后备系统
自动驾驶车辆应有能力监测到自身发生故障、无法安全运行,并能够通知人类驾驶员获取控制权,或独立切换到最低风险状况。后备系统策略应考虑到人类驾驶员可能心不在焉、受酒精或其它物质影响、困倦或残疾的状况。后备系统应该有利于车辆安全运行,尽可能减少无规律的驾驶行为,并考虑到将控制权移交人类驾驶员后应尽可能减少其认知或决策可能产生的错误。最低风险状况根据具体故障的类型和范围各有不同,但可以包括将车辆在交通流外安全停稳。
5、验证方法
由于不同自动驾驶功能的范围、技术、能力差异很大,指南鼓励厂商自行开发验证方法。测试应能够展示自动驾驶系统在正常运行情况下的行为能力、在规避车祸情况下的表现、以及后备系统策略的表现。测试方法可由计算机模拟、测试场和上路测试混合组成,测试可由厂商自行进行或委托独立第三方进行。指南鼓励厂商与NHTSA和其他行业标准组织合作,共同制定创新的测试方法和性能标准。
6、人机交互
自动驾驶的出现使车辆与人类驾驶员的交互(人机交互界面,HMI)变得更为复杂,在某些情况下自动驾驶车辆必须准确地将驾驶意图和车辆性能方面的信息提供给人类驾驶员,L3级别车辆的人类驾驶员必须随时准备在车辆提示的情况下接管驾驶的控制权。如果自动驾驶车辆对人类驾驶员进行监控,来确认他们已做好准备,这究竟是否合理和恰当,指南鼓励厂商进行深入考虑。
最低情况下,HMI应有能力告知人类驾驶员或乘客以下内容:车辆功能正常、出现故障、目前处于自动驾驶状态、要求将控制权移交给人类驾驶员、目前无法使用。
HMI设计应考虑到自动驾驶系统交互的对象包括人类驾驶员、操作者、乘客和外部角色(包括其它车辆、摩托车驾驶员、骑车人、行人),也应该考虑自动驾驶系统遭遇各种互动时可能需要沟通信息的情况。对无需人类控制的车辆,指南鼓励厂商设计HMI时充分考虑残疾人需求,例如通过视觉、听觉或触觉来展示信息。对于完全没有人类驾驶员、乘客、,也应有方法随时获知其状况。
7、网络安全
指南鼓励厂商按照系统工程方法来减少网络安全威胁和漏洞,在设计过程中考虑采纳各主要行业标准组织的自愿性指南、最佳实践和设计原则。鼓励厂商详细记录其车辆网络安全的考虑因素、所有的行为、变更、设计选项、分析及相关测试,并确保严格管理文件版本,数据可追溯。分享车辆网络安全方面的信息有利于全行业合作研究克服漏洞,指南因此鼓励厂商向全美汽车信息分享和分析中心(Auto-ISAC)报告所有在内部测试、消费者报告或外部安全研究过程中发现的事故、入侵、威胁和漏洞,并鼓励所有厂商考虑采纳协调一致的自愿报告/披露政策。
8、防撞性能
厂商应考虑其它车辆撞击自动驾驶车辆的情形,研究怎样在这种情况下保护自动驾驶车辆的乘客。应考虑将自动驾驶使用的先进感测技术所获取的信息整合进乘客保护系统。在设计非传统座位配置方案时应考虑额外的保护乘客措施。没有乘员的自动驾驶车辆也应具有吸收碰撞能量的功能,以保护路上的其它车辆。
9、车祸后行为
自动驾驶车辆车祸后应立即切换到安全状态,根据严重程度不同,执行的行动可以包括关闭油泵、解除动力、将车辆从道路上移开至安全位置、解除电力等。如果车上部署了车辆通讯技术,或可以和运营中心、车祸通知中心联系,应传送分享相关数据,争取减轻车祸损失。厂商也应提供文件,为维护和修理自动驾驶车辆提供便利,确保维修后的安全运行。
10、数据记录
研究车祸数据对自动驾驶车辆的安全性至关重要,指南鼓励厂商收集故障和车祸相关的必要数据,包括致命或非致命人身伤害、需要动用拖车的毁坏等。为了重建车祸情景,建议厂商使用车祸场景数据记录仪,对自动驾驶数据进行储存、维护和随时提取。数据应包括车祸前后自动驾驶系统的状态、是自动驾驶系统还是人类驾驶员在操控汽车。厂商应具备技术和法律能力向政府提交与重建车祸相关的记录信息。
11、消费者教育和培训
指南鼓励厂商对雇员、经销商、分销商和消费者进行教育和培训,让他们了解操作使用自动驾驶车辆与传统车辆的差异,帮助他们正确、安全、有效地使用自动驾驶车辆。教育和培训应介绍自动驾驶系统试图实现的功能、运行参数、系统能力和界限、自动驾驶接入/解除的方法、人机交互界面、紧急后备系统、操作设计范围、可以改变自动驾驶行为的机制,特别是应明确说明自动驾驶车辆能做什么和不能做什么,以减少用户可能的误解和滥用。经销商和分销商的培训应包括上路体验,展示自动驾驶运行和人机交互功能。
12、遵守联邦、州和地方法律
指南鼓励厂商记录他们怎样确保自动驾驶车辆遵守所有适用的联邦、州、地方法律。某些事关安全的紧急情况下(比如为了躲避路上的故障车辆而跨越双实线),人类司机会临时违反某些机动车驾驶法律,自动驾驶系统应具备处理这些可预见状况的能力。厂商也应考虑开发流程,可以升级自动驾驶车辆,使之适应新法律或修订过的旧法律。
自愿性自我安全评估
在第一部分的最后,指南鼓励厂商发布自愿性的自我安全评估报告,向公众(包括各州政府和消费者)介绍厂商是如何处理上述安全要素的。NHTSA已在其网站发布了一份自我安全评估报告的范本供厂商参考使用。针对上述各安全要素,指南鼓励厂商在安全评估报告中声明在产品研发过程中已考虑了该安全要素,或声明该安全要素不适用于其产品。报告将有利于展示厂商充分考虑了自动驾驶汽车的安全,,鼓励自主建立自动驾驶的行业安全规范,并通过公开透明的测试和部署来建立公众对自动驾驶的信心和接受度。
指南鼓励厂商在测试或者部署自动驾驶汽车前进行自愿性的安全评估,NHTSA不要求厂商提交安全评估报告,报告也无需获得批准。
