仔细研究欧盟 ADS 立法草案中的合规评估

电子说

1.3w人已加入

描述

欧盟 (EU) 于 2022 年 4 月初发布了针对配备自动驾驶系统 (ADS) 的车辆的立法草案。本专栏的重点是概述 ADS 合规性评估。

欧盟 ADS 立法草案有两个主要部分:ADS 性能要求和 ADS 合规性评估。ADS 性能要求规定了自动驾驶汽车必须具备哪些能力才能在欧洲获得型式认证。我之前的专栏概述了 ADS 性能要求 。

ADS 合规性评估指定了自动驾驶汽车 (AV) 在获得型式批准之前将如何进行评估、审核和测试。

下表简要概述了这两个部分的不同之处。立法草案中的章节名称列于表中——ADS 性能要求规范的附件 2 和 ADS 合规性评估规范的附件 3。

ADS 功能描述在立法草案中占 10 页。ADS 合规性评估描述部分占 ADS 立法草案的 50 页或比 ADS 性能要求大 5 倍。有趣的是,ADS 评估、评估和测试比 ADS 性能要求具有更多的复杂性和规范。

欧盟

欧盟


欧盟自动驾驶系统立法概览(来源:Egil Juliussen)

ADS 性能要求摘要

ADS 要求使用五个交通场景来描述所需的功能。ADS 必须针对所有交通场景执行整个动态驾驶任务 (DDT)。

它还规定了要满足的功能和操作安全条件。最小风险机动 (MRM) 对于避免碰撞和危险情况非常重要。

ADS 还必须具有内置的网络安全和软件管理系统。需要一个事件记录器来跟踪 ADS 的性能。作为型式认证申请的一部分,需要一份详细的操作手册。

ADS 合规性评估

上表包含有关 ADS 合规性评估的摘要信息。关键是评估将由型式批准组织进行。ADS 性能的任何要求都可以通过 ADS 合规性评估中规定的型式批准机构进行的测试来检查。每辆具有 ADS 功能的车辆都必须通过这些测试才能在欧盟国家销售。

合规性评估非常复杂,详细描述了如何评估每个 ADS,如下表所示。该表包括立法草案中包含评估描述的部分。

有五个评估类别: 运营设计领域 (ODD) 情景;ADS系统设计和文档;ADS 安全性的道路测试;ADS 建模和仿真 (M&S) 能力;和 ADS 生命周期内的安全性能。每个评估类别总结如下。然而,描述立法草案的许多评估细节是不可行的。对于此类信息,读者必须自己分析ADS 立法草案。

欧盟

欧盟


欧盟 ADS 立法评估类别概览(来源:Egil Juliussen)

ODD 情景评估

ODD 情景评估包括有关诸如变道、合并、转弯、交叉交通和其他驾驶操作等操作的安全参数的详细信息。评估涵盖不同的驾驶环境,包括高速公路/高速公路、城乡道路以及道路使用者的行为。

ADS 立法草案对上一列交通场景中包含的交通场景进行了广泛的描述:正常、关键和故障应急操作。大部分讨论是在道路 ADS 测试性能期间的预期行为。

下图显示了立法草案中包含的评估细节示例。

欧盟

欧盟


推导与 ADS 的 ODD 相关的情景应遵循的原则。(来源:欧盟 ADS 立法草案,第 21 页。)

对于 ADS 的 ODD,可以使用基于数据和基于知识的方法来生成相应的交通场景。基于知识的方法利用专家知识系统地识别危险事件并创建场景。基于数据的方法利用可用数据来识别和分类发生的场景。

ADS 安全概念评估和审计

本节重点评估 ADS 安全概念和审核制造商安全管理体系。型式批准机构应通过有针对性的抽查和测试来验证 ADS 性能要求是否已根据提交的文件实际实施。

这意味着 ADS 在其 ODD 中运行的方式不会在故障(功能安全)和非故障(操作安全)条件下对车辆乘员和其他道路使用者造成不合理的安全风险。

ADS 文件——制造商应提供文件,以提供对 ADS 设计和 ADS 直接控制的其他车辆系统的访问权限,以及非车载硬件/软件和远程功能。文档应简短但提供证据证明设计和开发受益于所有涉及的 ADS 领域的专业知识。文档部分讨论了 ADS 软件、硬件、人机界面 (HMI)、数据元素、算法、原理图、功能操作等所有方面的一长串要求。列出了大约 80 个文档项目。不要求提供专有数据的副本,但需要检查此类信息。

验证和测试——根据 ADS 文件,型式批准机构应要求进行测试,包括 ADS 功能操作和 ADS 安全概念验证。型式批准机构应检查对对象和事件检测和响应以及 ADS 的决策和 HMI 功能至关重要的场景。验证结果应与危害分析的书面总结相对应,以确认安全概念和执行符合法规要求。

安全管 应建立并记录设计和开发过程,包括 SMS、需求管理、需求实施、测试、故障跟踪、补救和发布。制造商还应确保负责功能/操作安全、网络安全的制造商部门之间的有效沟通渠道,以及其他相关的车辆安全纪律。SMS 合规证书的有效期为三年,除非被撤销。在适当的时候,制造商必须申请新的或延长现有的 SMS 合规证书。

安全概念报告规定——制造商对 ADS 安全概念的安全评估和安全管理体系审核的报告应以可追溯的方式进行。型式认可机构应根据制造商提供的文件出具安全评估结果,作为型式认可证书的附件。

ADS 通过-失败测试

评估 ADS 安全性的通过/失败标准应基于上一栏(立法草案中的附件 2)中描述的 ADS 能力要求。要求以这样一种方式定义,即可以为一组特定的测试参数、所有与安全相关的参数组合和指定的操作范围(例如,速度范围、纵向和横向加速度范围、曲率半径、亮度、车道数)。

测试地点应包括与 ADS 规定的 ODD 相对应的特性。测试必须安全地进行,并且不会对其他道路使用者造成任何风险。测试应在不同的环境条件下,在为 ADS 定义的 ODD 范围内进行。

The subject vehicle shall be tested with any permissible vehicle load. No load alteration shall be made once the test procedure has begun. The manufacturer shall demonstrate, through the use of documentation, that the ADS works at all load conditions.

Type–approval testing may be carried out based on simulations, maneuvers on the test track, and driving tests on real road traffic. However, it may not be based solely on computer simulations.

A large variety of test scenarios will be done on a test track to assess the performance of the ADS — a list of 13 tests is included with many variations for some tests. The specified tests include lane keeping, lane changing, collision avoidance, emergency braking avoidance, following lead vehicle, lane cut–in by another vehicle, lane cut–out due to stationary vehicle in lane, parking, parking facility navigation, and specific motorway scenarios.

ADS M&S assessment

The key to this section is establishing a framework for credible assessment of developing and using virtual toolchains in ADS validation. The legislative draft lists five properties to achieve credibility of M&S:

Capability:What can the M&S do, and what risks are associated with it?

Accuracy:How well does M&S reproduce the target data?

Correctness:How sound and robust are M&S data and algorithms?

Usability:What training and experience is needed?

Fit for purpose:How suitable is the M&S for the ODD and ADS assessment?

At the same time, the credibility assessment framework must be general enough to be used for different M&S types and applications. It also defines the envelope of how a virtual tool can be used for assessing ADS safety and capabilities.

立法草案包括一个可信度评估框架。该框架提供了一种基于质量保证标准评估和报告 M&S 可信度的方法。下图显示了可信度评估框架组件之间关系的图形表示。

欧盟

欧盟


可信度评估框架的组成部分之间的关系。(来源:ADS 立法草案,第 54 页)

在这个数字之后,ADS 立法草案对 M&S 技术问题进行了超过六页的讨论,包括多个管理问题、数据输入、数据质量、建模假设、模型验证、代码验证、验证和准确性。

最后一个 M&S 部分是对文档结构的讨论,其中有两个项目很突出:

制造商应制作一份文件(“模拟手册”),为所提出的主题提供证据。

该文件应在 M&S 使用的整个生命周期中得到维护。

本节包含对 M&S 技术的广泛讨论,在本专栏中涵盖所有细节是不可行的。应该由该领域的专家研究。

ADS 寿命安全性能评估

本节重点介绍 ADS 生命周期部署期间的要求。本质上,这是制造商在发生意外 ADS 事件时的报告职责。有两种类型的报告事件:非关键事件和关键事件。

危急事件是指 ADS 在与至少一个受伤需要医疗救助的人发生碰撞时接合的事件,或对 ADS 车辆、其他车辆或静止物体造成超过一定阈值的物理损坏。制造商必须立即向型式批准机构、市场监督机构和欧盟委员会通报重大事件。

制造商应在一个月内报告必须由制造商补救的任何短期事件,如下表所述。下表是立法草案中表格的副本。

我对这张表有一个不同意见:网络安全漏洞太重要了,应该在一个月内而不是一年内报告。

欧盟

欧盟


短期事件示例制造商必须在一个月内向欧盟委员会报告。(来源:Egil Juliussen) 

ADS 合规性评估摘要

ADS 合规性评估部分详细说明了型式批准组织将如何评估 ADS 能力并评估其是否符合欧盟法规。

第一项任务是评估 ODD 道路场景,包括城市、农村和高速公路。ODD 评估包括常见的操作,例如变道、并道、逆行、交叉路口和其他驾驶任务。

第二部分是 ADS 安全概念的审核和评估,包括制造商提供的所有 ADS 文件。制造商的安全管理体系也经过审核。

第三个要素是对将要进行的驾驶考试的描述。这些是通过或失败测试,用于评估 ADS 在各种驾驶情况下的安全性。

第四个评估是查看制造商已执行的 M&S 和 M&S 系统的功能。本节内容非常全面,为获得成功的型式批准提供了广泛的技术建议。

最后的合规性评估是在部署后跟踪 ADS 的性能。它包括必须跟踪和向型式批准组织报告的信息,以保留车辆的型式批准。

ADS 合规性评估非常出色且非常完整。我没有看到任何接近这个 ADS 立法草案的质量和完整性的东西。各个 AV 领域的专家肯定会找到改进的主题,但这是一个可靠的建议。

有什么影响?

欧盟 ADS 立法草案解决了包括个人 AV 在内的所有AV 用例,并使其成为一项雄心勃勃且影响深远的监管提案。它指定了汽车 OEM 和服务提供商的 ADS 要求和性能,但没有指定使用什么技术。ADS 的 ODD 将决定 AV 用例。

对如何执行 ADS 评估的描述非常完整,可能会让一些 AV 工程师和高管度过许多不眠之夜。从我的角度来看,M&S 部分特别令人印象深刻,并且可能会影响 AV 行业如何全面使用仿真和建模来设计、开发、测试和部署 ADS 车辆。

与欧盟不同,美国不使用型式批准程序来确定车辆是否可以出售。相反,每个汽车 OEM 都会自行证明车辆型号已准备好安全使用和销售。因此,型式批准程序对在美国销售的车辆的直接影响有限,但间接影响将是巨大的,因为美国原始设备制造商将参与欧洲 ADS 细分市场并需要型式批准。

也许引入自动驾驶汽车是在美国使用型式批准程序的时候了。对于原始设备制造商来说,这将是一个非常不受欢迎的决定,他们可能会发起一场大斗争来阻止它。也许这是一个需要大量讨论的问题,并且可能是未来的话题。


审核编辑 黄昊宇

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分