专注于车载信息安全和预期功能安全技术研究
电话:+86 21 62655001
您的位置: 网站首页 > 学术前沿
2021-08-27 16:51:50

欧盟 | 地平线 2020 ENSEMBLE:D2.13 SOTIF Safety Concept(上)

来源:学术前沿 浏览次数:62 点赞数:0

本文来自轩辕实验室的国外政策文件翻译,主要是针对全欧货车自动跟车项目的需求文档。

图片

一. 执行概要
列队行驶技术在过去十年中取得了重大进展,但对于部署车辆列队行驶技术,要实现下一步,则需要一个完整的多品牌方法。

项目目标有:
  • 第1年:制定规范并制定具有验收标准的参考设计。
  • 第2年:在OEM自己的卡车上执行此参考设计,并根据多个标准进行影响评估。
  • 第3年:重点测试在测试跑道和国际公共道路上的多品牌车队。

该可交付成果包含SOTIF(预期功能安全)要求,当在定义的设计运行域内运行时,这些要求适用于A级车队。A级车队在集合中的定义如下(更详细的规范见D2.4):
  • 具有比如在燃油节约、安全、物流等方面的好处。
  • 带故障操作的纵向自动化,而非横向自动化。
  • 0.8到1.4秒之间的跟车距离(尽可能接近以达到效益),这就需要新的纵向功能,例如制动性能计算和安全功能,例如冗余制动功能、附加传感器。
  • 该系统控制车辆的纵向功能安全。

此交付成果由3部分组成:
  • 介绍:此部分概述了在SOTIF分析背后的基本概念。
  • SOTIF危险识别和风险评估:此部分汇总了所有已知的与A级车队相关的不安全情况,并分析了与之相关的风险。还概述了为解决安全风险而定义的应对措施。
  • SOTIF安全要求:此部分根据危险识别和风险评估后定义的应对措施得出SOTIF安全要求。

二. 介绍
2.1 SOTIF关键定义与概念
本节定义了用于预期功能安全(SOTIF)活动的关键词汇表。
注:为保持一致性,以下定义摘自J3016、ISO 21448和ISO 26262。
  • Operation Design Domain (ODD):给定驾驶自动化系统或其功能专门设计的操作条件,包括但不限于环境、地理和时间限制,和/或某些必要存在或不存在的交通或道路特征。”
  • Use case 用例:车辆可能被使用的一种特定情况。
  • Operational situation 操作情境:在车辆能够使用期间可能发生的场景
  • Scenario 场景:描述一系列场景中几个情景之间的时间发展。
                               

图片

    
         图1  场景(虚线)作为事件(边)和情景(点)的时间序列
  • Scene 情景:环境的快照,包括风景、动态元素、所有参与者和观察者的自我表达,以及这些实体之间的关系。
  • Misuse 误用:人以系统制造商不希望的方式使用系统。误用可能源于对系统性能的过度自信。误用还包括未指定的人为行为但是不包括蓄意改变系统的人为行为。
  • Triggering Events 触发事件:驾驶场景的特定条件,作为可能导致危险事件的后续系统反应的引发者。例如,在一个车队中行驶时,车辆错误地将路标识别为引导车辆,导致在Xg处制动Y秒。
  • Hazard 风险:由功能的非预期行为造成的潜在伤害源。
  • Hazardous Event 风险事件:危险和操作情况的组合
  • Harm 危害:物理损伤或者对于人类的健康损害
  • Hazardous Event Model 风险事件模型:下图提供了对于潜在SOTIF相关风险事件模型的可视化
                   
  • 图片

                图2  危险事件模型(ISO/PAS 21448)


2.2 本报告的结构
报告包括两个主要部分。

2.2.1 危险识别与风险评估
此部分记录了已知的对车队不安全的不安全场景,并将其与相关触发事件结合起来,分析其潜在的危险后果。然后评估这些危害的风险水平,如果适用,确定应对措施,将风险降低到可接受的水平。

1. SOTIF与FuSa的区别
ISO 26262提出的方法用于识别与每种危害相关的风险。由于SOTIF不处理故障,因此场景的类别将不会被分类。风险评估仅基于危险事件的可控性和严重性。

2. 风险等级定义
风险等级从1到6,其中导致风险等级低于2的危险被视为低风险、2-4中等风险和5-6高风险。风险越高,安全机制的完整性水平就应当越高。

3. 处理SOTIF的三个问题
对于导致危险的每种情况,通过回答三个主要问题得出了应对措施:
  • 该场景(和触发事件)是否属于当前A级的车队的操作设计域(ODD)?如果是,那么
    车队的安全反应只涉及纵向控制吗?
  • 如果对上述两个问题的回答是肯定的,则应在没有任何驾驶员干预的情况下进行处理(即由车队功能自动处理)。系统和驾驶员之间不允许在ODD内分担纵向控制责任。
  • 应该如何改进功能来处理这种情况?
SOTIF分析的所有用例都遵循三个问题的此套方法。

2.2.2 SOTIF安全需求
此部分将危险识别和风险评估活动后定义的应对措施细化为以下四类安全要求:
  • 应用需求:车队功能的需求。
  • 通信要求:货车之间建立V2V通信的要求。
  • 人机界面HMI要求:驾驶员与车队系统的交互要求。
  • 驾驶员要求:驾驶员的需求。


三. 危险识别与风险评估

本节包含通过各种安全研讨会和讨论进行的危害识别和风险评估活动的结果。

在这项活动下分析了七类不同的用例:
  1. 基础设施和其他外部因素这些用例包含由基础设施(如收费站、隧道、车道上的障碍物等)或其他外部因素(如恶劣天气条件、GPS信号丢失等)引发的触发事件。
  2. 紧急制动:这些用例包含导致在车队中卡车完全紧急制动的触发事件。
  3. 插入车队:这些用例包含与外部车辆侵入车队相关的触发事件。
  4. 车队功能特定或其他内部因素:这些用例包含车队功能固有的触发事件(例如,增加或减少时间间隔,从后面加入等)。
  5. 驾驶员行为和误用:这些用例包含源于驾驶员与功能交互的触发事件(例如,驾驶员强制控制返回、进行未知车道更改等)。
  6. 通信:这些用例包含与卡车之间的通信相关的触发事件。
  7. Non-EE故障:即使不是SOTIF的一部分,但在这里分析与非EE故障相关的用例,如轮胎爆裂、漏油等。

3.1 基础设施与其他外部因素

3.1.1 GPS信号丢失

主体卡车在稳态列队行驶过程中丢失GPS信号
场景描述:
操作情况
情景:在高速公路上以每小时80公里的速度正常行驶。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任意组队驾驶模式。
触发事件
GPS信号丢失。
结果
卡车无法准确估计自己的位置。
危害
GPS丢失的影响尚不清楚。
在规范说明完成后定义。
 
风险评估:
严重性(S0 - S3级)
-
严重性的合理性
-
可控性(C0-C3级)
-
可控性的合理性
-
风险值
待定义。

对策定义:
对策
要求:无论GPS信号是否可用,卡车应继续发送PCM(车队控信息)。
合理性
该功能的GPS信号用途尚未定义。
因此,丢失GPS信息的后果不得而知。
一旦规范可用,将重新分析这种情况。

3.1.2. 接近高速公路入口/出口匝道

当其他车辆试图进入或离开高速公路时,车队正在接近高速公路入口/出口匝道。
 
场景描述:
操作情况
情景:在高速公路上以每小时80公里的速度正常行驶。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:在稳态模式下车队成一车队。
触发事件
车队接近公路入口/出口匝道。
结果
其他道路车辆在整个车队通过之前不能驶出/进入高速公路。
危害
在入口匝道或出口匝道附近(高速公路上)停车的其他道路车辆可能会在入口车道上造成追尾碰撞,或者一些车辆可能试图强行切入而不是等待。
 
风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
在高速公路上,外部车辆和一个车队之间的事故可能会导致危及生命的伤害。
可控性(C0-C3级)
C2
可控性的合理性
高速公路入口匝道:
这种情况是完全可控的,因为大多数插队的司机会等待车队经过后再进入高速公路。但在极少数情况下,如果车队太长,驾驶员可能会失去耐心,或者进入入口匝道的新驾驶员可能没有注意到停车的车辆,从而导致追尾(C1级)。
 
公路出口匝道:
这种情况更难控制,因为任何左车道上试图驶出高速公路的车辆都会遇到车队,车队没有足够的空间通过。超车可能很容易控制,但从外部车辆产生的错误反应会导致主动刹车或停止在中间的公路,这是难以控制的(C2级)。
风险值
5(高风险)。
 
对策定义:
对策
-这种情况应该是ODD的一部分。
-这种情况的探测不会自动进行。
-在这种情况下,不应修改现有功能:
l如果区域策略需要,则自动增加时间间隔。
l如果不存在区域策略,则对于A级功能应在当前状态下继续车队队。
每名卡车司机仍有权自行决定是否要通过降低速度、增加时间间隔或退出车队而让路。
合理性
每次进入或离开匝道时增加或减少时间间隔或速度是低效的(平均每2 -3公里)。这将破坏为了效率而列队的目的。
此外,由于增加了时间间隔,这就鼓励了插队。
 
对于出口匝道,车辆通常会提前计划好他们的出口,并将自己置于车队的后面。
最后一个动作的任何切入动作都将被视为切入事件。
除非一个车队的卡车数量很高(>5辆),否则不应该产生安全问题。
如果使用匝道的车辆遵守交通规则,则不会产生危险。
 
注:德国道路运输当局已要求采取特殊措施来处理高速公路入口/出口匝道。
注释:入口和出口将被视为切入点。
 

3.1.3 通过收费站

车队正在接近一个收费站
场景描述:
操作情况
情景:在高速公路上以每小时80公里的速度正常行驶
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)
系统状态:任意组队驾驶模式
触发事件
车队正在接近一个收费站。
结果
由于对收费基础设施的干扰,车辆之间的V2V通信受到限制。
危害
卡车可能无法通过V2V传输安全关键信息,这可能使保持0.8秒的时间间隔不安全。
风险评估:
严重性(S0 - S3级)
S2
严重性的合理性
由于卡车在接近收费站时已经减速,所以低速碰撞可能不会造成危及生命的伤害。
可控性(C0-C3级)
C2
可控性的合理性
由于车辆正在减速并接近收费站,司机会更加关注情况,任何异常行为通常都是可控的。
风险值
4(中风险)。

对策定义:
对策
-这种情况应该是ODD的一部分。
-这种情况的探测不会自动进行。
-在这种情况下,不应修改现有功能:
l如果区域政策限制通过V2I进行沟通,则每辆卡车应降低V2V通信无线电的功率水平(正常功能的一部分)。
l如果没有区域政策要求(降低速度,车辆之间的最小距离,…)是可用的,那么该功能不需要为开过收费站做任何特定的事情。车队应保持当前状态。
l如果任何卡车经历了信息/通信的损失(例如,由于功率减少或在收费时分离),那么遵循功能安全概念所定义的V2V安全关键信息丢失策略。
合理性
在整个欧盟,收费站并不相同。甚至一些国家(如意大利和西班牙)的自动收费站有分隔车辆的大门,直到电子标签被读取和清除。这将打断整个车队。
 
并不是所有的收费站都有V2I通信来自动化收费过程。
 
如果区域政策信息是可用的(通过V2I或地图),那么车队应该按照指示减少无线电功率,降低速度,保持最小差距…如果没有可用的信息,则继续保持以前的状态。
 
任何司机都可以随意减速、转向或离开车队。
 

3.1.4 接近施工区域

车队正在接近一个施工区域
场景描述:
操作情况
情景:在高速公路上以每小时80公里的速度正常行驶。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任意组队驾驶模式。
触发事件
车队正在接近一个施工区域。
结果
车队需要减速或改变车道,或者两者同时进行。
危害
前车在没有事先通知的情况下改变车道或刹车,可能会使后车容易发生事故
 
风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
在建筑区域发生的卡车事故可能会导致危及生命的伤害,尤其是当人们在建筑工地工作时。
可控性(C0-C3级)
C3
可控性的合理性
即使领头的卡车能够察觉到情况并做出反应(例如通过转向),如果没有提前通知其他队伍,他们将无法控制情况。
风险值
6(高风险)。
 
对策定义:
对策
-这种情况应该是ODD的一部分。
-这种情况的探测不会自动进行。
-在这种情况下,不应修改现有功能:
l前车应按区域要求减速。
l如果前进车辆刹车,队列会自动刹车。
l如果前方车辆转向,则每个驾驶员都有责任做出适当的反应(A级驾驶员的横向控制是手动的)。
没有司机有权让整个车队的人脱离。领班司机或其他司机可以随意离开队伍。
合理性
对于建筑区域中遇到的情况,人们的反应各不相同,从简单的降低速度到复杂的改变车道、探测锥状物体、避开障碍物……因此,纵向和横向控制的结合是必要的。
 
这在A级队列中是不可能自动实现的.功能将保持不变。如果领头的车辆减速或刹车,那么整个队伍都会做出相应的反应。如果需要转向干预,那么按照A级的定义,每个司机都要负责卡车的横向控制。
 
由于这一附加的含义尚不清楚,因此不会在卡车上引入警告/保持警觉按钮,以使司机意识到特别区域。这将在运行测试和从驾驶员那里得到反馈后进行分析.
领头的卡车司机在车队中没有任何额外的责任。
 
通过施工区域时的额外风险:当改变车道时,经常需要通过中央预留区(中间地带)。这可能会导致偏航率、横向加速度等。测量值的抖动超过横向加速度阈值可能导致跟随者紧急制动,因为这被评估为规避操纵evasive manoeuvre
 

3.1.5特区政策

车队正在接近一个需要特殊区域政策的区域(桥梁,城市界限)。
D2.2中的相关用例
用例ID
3.4.1
标题
由于I2V交互作用的车队空隙适应
 
场景描述:
操作情况
情景:普通组队驾驶,然后战略层发布区域政策。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任意组队驾驶模式。
触发事件
主体车辆从战略层收到一个区域策略,位置决定了该策略是适用的。
结果
区域政策必须以安全的方式执行。
危害
区域策略可能无法检测到,导致系统(车队)进入不安全状态。

风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
在特殊区域涉及卡车的事故。
可控性(C0-C3级)
C1
可控性的合理性
由于领头卡车司机仍然负责横向和纵向控制,情况应该是简单可控的。
风险值
4(中风险)。
 
对策定义:
对策
-这种情况应该是ODD的一部分。
-这种情况的探测不会自动进行。
-在这种情况下,应修改现有功能:
l每辆卡车应能识别其当前路线适用的区域政策。
l每辆车的速度和时间差应自动调整,以满足区域的政策要求。
合理性
目前,园区政策只通过路标传达。
 
如果无法通过V2I通信获取区域警务信息,那么车辆就需要配备先进的道路标志识别技术和地理围栏动态地图。
 
根据A级定义,所有区域策略的检测都应该是自动化的。如果涉及纵向控制,司机不承担任何检测和反应责任。每辆车应执行检测区域政策(V2I、摄像头、地图等)的机制。
 
所有的道路政策都不限于限速。例如,区域政策要求保持车辆之间的最小距离(如隧道内)或区域政策要求打开头灯。
 
该项目更喜欢由基础设施(V2I)自动检测区域策略。这意味着基础设施将在安全方面发挥作用/承担责任。
或者,每辆车应实施车载系统,自动检测区域政策。
 
讨论了在任何卡车检测到区域策略时传递信息的想法,但是因为如果从不同的卡车接收到不同的消息,可能会有法律影响和问题!所以,每辆卡车都要对自己的决定负责。
 
对于演示,每个驱动程序将负责独立地检测和遵守规则。
 

3.1.6 特殊区域政策不适合目前的形势

车队收到一份不适合当前情况的区域政策指示。
场景描述:
操作情况
情景:普通组队驾驶,然后战略层发布区域政策。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任意组队驾驶模式。
触发事件
主体车辆从策略层收到一个区域策略,位置决定该策略是适用的,但该请求对当前的交通/情况不安全。
结果
必须执行区域策略,但必须确保它是有效的,没有风险。
危害
区域政策对目前的交通状况可能是错误的或不安全的(例如,在车辆很少的高速公路上限速30公里每小时)

风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
在特殊区域涉及卡车的事故。
可控性(C0-C3级)
C2
可控性的合理性
有错误的区域政策信息对当前的交通状况是不安全的,这可能是危险的,但由于领队司机的任务不是自动化的,情况通常是可控的。
风险值
5(高风险)。
 
对策定义:
对策
不属于SOTIF的一部分,将进行功能安全分析。
合理性
来自基础设施的信息是错误的。这应该在功能安全的范围内,因为在基础设施执行方面存在故障。因此,基础设施也应满足安全要求,具有安全完整性水平。

3.1.7 车道上出现意外障碍

车队在车道上遇到意想不到的障碍。
场景描述:
操作情况
情景:在高速公路上以每小时80公里的速度正常行驶
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任意组队驾驶模式。
触发事件
车队在车道上遇到意想不到的障碍。
结果
这个车队将不得不采取规避动作以避开障碍物。
危害
前车在没有事先通知后车的情况下变道或刹车,可能使后车容易发生事故

风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
车队在路上与障碍物相撞的事故会导致生命危险,特别是当障碍物是像巨石、木箱(从另一辆车上掉下来的)等硬物品时。
可控性(C0-C3级)
C3
可控性的合理性
即使领头的卡车能够察觉到情况并做出反应(例如通过转向),如果障碍直到最后一刻都不可见,那么其他队伍将无法控制情况。
如果障碍物从车队中的一辆车上掉下来,情况就特别危急。
风险值
6(高风险)。

对策定义:
对策
-这种情况可能在ODD中出现。
-卡车不会侦测到车道上的障碍物,但会侦测到前方卡车突然的转向动作。
-在这种情况下,应修改现有功能:
l每辆卡车应将其转向信息传送给后面跟随的卡车(转向角度、偏航率等)。
l如果车队中在前面行驶的卡车进行猛烈且突然的转向操作,则后面的卡车应进行紧急制动操作。
l如果有驾驶员超控制动(通过油门踏板输入),则制动失效,功能进入待机模式。
l一旦被超控,该功能应等待驾驶员的恢复输入,以重新开始车队行驶。
合理性
将ADAS功能强制用于领头的车辆将如何影响这种情况?
l当前ADAS系统无法检测到如箱子、巨石、动物等的非金属障碍物。因此,强制执行ADAS功能(如ACC)并不适用于所有情况。
 
向后面的车辆发出ADAS警告会如何影响情况?
l将自动警告传输到后面的卡车可能没有帮助,因为要传输的信息既不清楚(ADAS警告?),也不是每种情况下所需的反应(转向?刹车?增加时间间隔等)
 
我们能对领头的卡车司机施加任何转向限制吗?例如,如果可能,制动,而不是转向?
l不得对领头的卡车驾驶员施加任何限制(例如,不得突然转向,始终制动以避免碰撞等),因为这些限制无法以实际方式实施。
 
A级的最佳解决方案:
1. 如果前方车辆制动以避开障碍物,则后面的卡车将在任何情况下制动(纵向控制是自动的)。
2. 如果前方车辆突然转向(根据横摆率或转向速度检测),则后续车辆应自动施加紧急制动(>4 m/s2)。
3. 如果任何驾驶员超控制动(通过油门踏板输入),则应禁用制动,并且该功能应进入待机模式。
4. 一旦被超控,该功能应等待驾驶员的恢复输入,以重新开始车队行驶。
后面的卡车驾驶员仍然负责转向。
 

3.1.8 路肩上的意外物体/车辆

车队在路肩上遇到意外物体/车辆。
场景描述:
操作情况
情景:在高速公路上以每小时80公里的速度正常行驶。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任意组队驾驶模式。
触发事件
车队接近一个停在车道边缘附近的意外物体。
结果
该车队将不得不采取规避转向操纵,以避免驾驶的极度接近障碍物。
危害
由于缺乏预期,后面车辆将无法准备转向操纵。

风险评估:
严重性(S0 - S3级)
S2
严重性的合理性
由于障碍物位于路肩上且未完全位于车道内,因此与位于车道内的障碍物相比,发生危及生命的伤害的概率较低。
可控性(C0-C3级)
C2
可控性的合理性
由于在A级车队中,卡车的横向运动由驾驶员控制,因此情况通常是可控的。
风险值
4(中风险)。
 
对策定义:
对策
-这种情况可能在ODD中出现。
-卡车不会侦测到车道上的障碍物,但会侦测到前方卡车突然的转向动作。
-在这种情况下,应修改现有功能:
l每辆卡车应将其转向信息传送给后面跟随的卡车(转向角度、偏航率等)。
l如果车队中在前面行驶的卡车进行猛烈且突然的转向操作,则后面的卡车应进行紧急制动操作。
l如果有驾驶员超控制动(通过油门踏板输入),则制动失效,功能进入待机模式。
l一旦被超控,该功能应等待驾驶员的恢复输入,以重新开始车队行驶。
合理性
将ADAS功能强制用于领头的车辆将如何影响这种情况?
l当前ADAS系统无法检测到如箱子、巨石、动物等的非金属障碍物。因此,强制执行ADAS功能(如ACC)并不适用于所有情况。

向后面的车辆发出ADAS警告会如何影响情况?
l将自动警告传输到后面的卡车可能没有帮助,因为要传输的信息既不清楚(ADAS警告?),也不是每种情况下所需的反应(转向?刹车?增加时间间隔等)
 
我们能对领头的卡车司机施加任何转向限制吗?例如,如果可能,制动,而不是转向?
l不得对领头的卡车驾驶员施加任何限制(例如,不得突然转向,始终制动以避免碰撞等),因为这些限制无法以实际方式实施。
 
A级的最佳解决方案:
1. 如果前方车辆制动以避开障碍物,则后面的卡车将在任何情况下制动(纵向控制是自动的)。
2. 如果前方车辆突然转向(根据横摆率或转向速度检测),则后续车辆应自动施加紧急制动(>4 m/s2)。
3. 如果任何驾驶员超控制动(通过油门踏板输入),则应禁用制动,并且该功能应进入待机模式。
4. 一旦被超控,该功能应等待驾驶员的恢复输入,以重新开始车队行驶。
后面的卡车驾驶员仍然负责转向。
 

3.1.9 路上有人或大型动物

车队在路上遇到人类或大型动物(动态障碍物)。
场景描述:
操作情况
情景:正常驾驶时,前方道路上有人/动物。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任意组队驾驶模式。
触发事件
主体车辆需要被告知或感知道路上的人/动物。
结果
主体车辆必须考虑人类/动物的不可预知的运动。
危害
主体车辆有撞到人/动物的危险。

风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
涉及动物的事件中所发生的严重伤害通常发生在随后发生的事件中,即车辆驶离道路时或与其他道路参与者相撞。
可控性(C0-C3级)
C3
可控性的合理性
即使领头卡车能够检测到情况并作出反应(例如通过转向),如果没有事先通知后面的卡车情况就进行没有制动的规避操作,则车队的其他成员也将无法控制情况。
风险值
6(高风险)。

对策定义:
对策
-这种情况可能在ODD中出现。
-卡车不会侦测到车道上的障碍物,但会侦测到前方卡车突然的转向动作。
-在这种情况下,应修改现有功能:
l每辆卡车应将其转向信息传送给后面跟随的卡车(转向角度、偏航率等)。
l如果车队中在前面行驶的卡车进行猛烈且突然的转向操作,则后面的卡车应进行紧急制动操作。
l如果有驾驶员超控制动(通过油门踏板输入),则制动失效,功能进入待机模式。
l一旦被超控,该功能应等待驾驶员的恢复输入,以重新开始车队行驶。
合理性
ADAS功能强制用于领头的车辆将如何影响这种情况?
l当前ADAS系统无法检测到如箱子、巨石、动物等的非金属障碍物。因此,强制执行ADAS功能(如ACC)并不适用于所有情况。AEB VRU系统在高速下不工作。
 
向后面的车辆发出ADAS警告会如何影响情况?
l将自动警告传输到后面的卡车可能没有帮助,因为要传输的信息既不清楚(ADAS警告?),也不是每种情况下所需的反应(转向?刹车?增加时间间隔等)
 
我们能对领头的卡车司机施加任何转向限制吗?例如,如果可能,制动,而不是转向?
l不得对领头的卡车驾驶员施加任何限制(例如,不得突然转向,始终制动以避免碰撞等),因为这些限制无法以实际方式实施。
 
A级的最佳解决方案:
1. 如果前方车辆制动以避开障碍物,则后面的卡车将在任何情况下制动(纵向控制是自动的)。
2. 如果前方车辆突然转向(根据横摆率或转向速度检测),则后续车辆应自动施加紧急制动(>4 m/s2)。
3. 如果任何驾驶员超控制动(通过油门踏板输入),则应禁用制动,并且该功能应进入待机模式。
4. 一旦被超控,该功能应等待驾驶员的恢复输入,以重新开始车队行驶。
后面的卡车驾驶员仍然负责转向。
 

3.1.10 在弯道上行驶

这个车队正在接近一条高速公路的弯曲路段。
场景描述:
操作情况
情景:在高速公路上以每小时80公里的速度正常行驶。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任意组队驾驶模式。
触发事件
车队接近弯曲车道(最大公路限制)。
结果
单个卡车的速度需要根据其负载进行稳定性调整。
危害
低估曲率会使重型卡车不稳定。
风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
在公路上,由于卡车驾驶员不当的转向操纵而造成的事故可能导致危及生命的伤害。
可控性(C0-C3级)
C1
可控性的合理性
80 km/h的速度行驶时,时差为0.8秒,后面卡车驾驶员被前方卡车阻挡的视野约为8度(假设卡车宽度为2.4米)。由于人在水平道路上的视野约为210度,因此可以假设此情况是简单可控的。
风险值
4(中风险)。
 
对策定义:
对策
-这种情况可能在ODD中出现。
-应自动检测情况。
-在这种情况下,应修改现有功能:
l该功能应自动检测影响纵向控制的条件,如道路曲率、道路摩擦力卡车负载等。
l每辆卡车应自动将其速度和时间间隔调整到安全水平。
l应通过HMI通知驾驶员性能降低的情况。
l只要卡车之间保持通信,车队将继续行进。
合理性
由于对于A级,后面卡车的纵向控制是自动的,车队功能应能够检测影响安全的条件,如道路曲率、道路摩擦力、卡车负载、坡度等并自动将其卡车的速度和时间间隔调整到安全水平。
 

3.1.11 交通拥挤

该车队正在接近拥挤繁忙,不断变化的道路状况。
D2.2中的相关用例
用例ID
3.2.1
标题
跟随停车在主要车流
 
场景描述:
操作情况
情景:高速公路上的交通变得拥挤,速度降低。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任意组队驾驶模式。
触发事件
主体汽车需要调整速度。列队插车、列队解散具有更高的可能性。
结果
卡车周围的情况变得更加复杂。
危害
主体汽车可能无法构建环境的适当图像。
风险评估:
严重性(S0 - S3级)
S1
严重性的合理性
由于所有的交通参与者都是低速行驶,并且假定高速公路上没有行人,碰撞可能会导致轻到中度的伤害。
可控性(C0-C3级)
C1
可控性的合理性
由于驾驶员在交通繁忙的情况下更加专注,并且此时车辆处于低速状态,因此大多数驾驶员很容易控制这种情况
风险值
2(低风险)。
 
对策定义:
对策
-这种情况可能在ODD中出现。
-应自动检测情况。
-在这种情况下,不应修改现有功能:
l后面的车辆应根据前方车辆的行为调整速度。
l所有卡车司机仍负责横向控制。
l插入列队按任何其他情况所定义的进行处理。
合理性
在A级,可以根据交通情况自动调整队列的速度(纵向控制)。
 
即使是插入列队也由相同的纵向控制功能处理。
 
如果需要转向干预,根据A级定义,每个卡车驾驶员应自行处理。
让路给其他车辆将使该车队在以后难以恢复统一。因此,不建议以自动方式增加时间间隔。
 
如果任何卡车驾驶员认为当前关于车队功能的条件不稳定,他可以离开车队。
 

3.1.12 紧急车辆

车队遇到一辆紧急车辆。
场景描述:
操作情况
情景:车队正常驾驶,遇到紧急车辆接近(从任何方向)时。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任意组队驾驶模式。
触发事件
主体车辆需要探测紧急车辆。
结果
为了解决这个问题,必须尽早通知司机。
危害
司机可能没有反应,主体车辆可能会阻塞紧急车辆。
风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
在紧急情况下,紧急车辆不需要完全遵守交通法规,因此,如果车队中的驾驶员不立即交还车辆管理权,就有可能与车队发生碰撞。
 
比如救护车在对面车道行驶、在硬路肩行驶、越过白色实线等。
可控性(C0-C3级)
C2
可控性的合理性
如果后面的卡车司机很注意,并且警笛清晰可闻(不是强制性的),那么情况通常是可控的。但如果不是这样,因为司机只有不到一秒钟的时间来分析情况并采取适当的行动,所以很难控制其执行一些违反交通法规的行为以对紧急车辆进行反应。
风险值
5(高风险)。
 
对策定义:
对策
-这种情况可能在ODD中出现。
-应自动检测情况。
-在这种情况下,不应修改现有功能:
l如果前面的车辆刹车,车队会自动刹车。
l如果在前面行驶的车辆转向,那么由于A级车辆的横向控制是手动的,每个驾驶员都需要做出适当的反应。
l如果任何一名驾驶员决定让路,他们可以通过转向或刹车单独行动。
合理性
因为在A级车队中,队列将保持在最慢的车道上,所以它不应该挡在急救车辆的路上。
 
由于转向系统不是自动的,在A级系统中,只能通过纵向控制来提供帮助,如果检测到超车或需要刹车,纵向控制系统就会失效。
 
如果任何一名驾驶员决定自己让路,他们可以通过转向或刹车单独行动。
 

3.1.13 恶劣天气条件

车队遭遇恶劣天气,能见度低。
场景描述:
操作情况
情景:在高速公路上以每小时80公里的速度正常行驶。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任意组队驾驶模式。
触发事件
车队遭遇低摩擦力(易滑路面)、低能见度等恶劣天气。
结果
卡车可能会发现很难安全地保持这个时间间隔。
危害
任何意想不到的情况变化都可能导致碰撞。
风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
在湿滑能见度低的高速公路上发生的事故可能会导致危及生命的伤害。
可控性(C0-C3级)
C3
可控性的合理性
由于两辆卡车之间的时间间隔是0.8秒,司机没有足够的时间对制动性能较低的情况做出反应。
风险值
6(高风险)。
 
对策定义:
对策
-这种情况可能在ODD中出现。
-应自动检测情况。
-在这种情况下,不应修改现有功能:
l该功能应自动检测阻碍天气条件的道路摩擦力和能见度(例如,天气远程通信、摄像头…)。
l每辆卡车应不断地将其当前的制动性能(由于条件的变化)通报给后面的车辆。
l每辆卡车应调整其速度和时间差到安全水平。
l应通过人机界面HMI告知驾驶员相关环境条件和性能降低情况。
l只要卡车之间保持通讯,车队就会继续行进。
l车队里的任何驾驶员都可以自行决定离开。
合理性
由于对于A级车辆,后面车辆的纵向控制是自动化的,因此车队功能应能够在不需要驾驶员输入的情况下检测ODD内影响车队安全的天气情况。
 
该功能将根据情况自动决定需要采取的措施(增加时间间隔,降低速度或完全离开车)。
 
车队不应在不安全的条件下继续行进。
 

3.1.14 在湿滑的路面上刹车

车队需要在湿滑路面条件下制动(非完全制动)(例如,分列摩擦)。
场景描述:
操作情况
情景:在高速公路上以每小时80公里的速度正常行驶。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任意组队驾驶模式。
触发事件
车队内制动事件。
结果
卡车需要在湿滑条件下刹车。
危害
不同的制动性能可能导致事故。
风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
在湿滑条件下的高速公路上发生事故可能导致危及生命的人身伤害。
可控性(C0-C3级)
C3
可控性的合理性
在湿滑条件下,由于车与车之间的时间差小、车与车之间的制动性能不同,制动情况很难控制。
风险值
6(高风险)。
 
对策定义:
对策
不适用。
合理性
与上文所述的在恶劣天气条件下组队情况相同,不需要特殊处理。
 

3.1.15 车队在坡道上

队遇到有陡坡的道路(高速公路上允许的最大坡度)。
场景描述:
操作情况
情景:在高速公路上以每小时80公里的速度正常行驶。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任意组队驾驶模式。
触发事件
车队遇到有陡坡的路线。
结果
由于对动力系统和制动系统的新要求,卡车将很难安全地保持时间间隔。
危害
任何意想不到的情况变化都可能导致碰撞。
风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
高速公路上的交通事故可能会导致危及生命的伤害。
可控性(C0-C3级)
C2
可控性的合理性
由于两辆卡车之间的时间间隔是0.8秒,司机没有足够的时间对变化的情况做出反应。
但在斜坡上,司机会更加小心,可能会对不断变化的情况做出快速反应。
风险值
5(高风险)。
 
对策定义:
对策
-这种情况可能在ODD中出现。
-应自动检测情况。
-在这种情况下,应修改现有功能:
l该功能将自动检测道路坡度(例如使用地图、传感器等)。
l每辆卡车应调整其速度、加速度和时间差至安全水平。
l应通过人机界面HMI告知驾驶员性能下降的情况。
l只要卡车之间保持通信,车队就会继续行进。
合理性
由于对于A级车辆,纵向控制是自动化的,因此该系统应该能够检测道路坡度,并根据单个车辆的负载、制动性能、动力系统性能等,将其速度调整到一个更安全的值。
 
这应当适用于上坡和下坡驾驶。
 

3.1.16 在隧道中行驶

稳定状态下,车队接近隧道。
场景描述:
操作情况
情景:在高速公路上以每小时80公里的速度正常行驶。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任意组队驾驶模式。
触发事件
进入一个隧道。
结果
在封闭的环境中,卡车行驶的时间间隔缩短了。
危害
任何意想不到的情况变化都具有很高的概率导致碰撞。
风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
隧道内发生的任何意外均可视为危及生命的事故,原因包括火警风险、能见度低(如涉及火灾或烟雾)、交通便利(救援队伍)及逃生困难引起的恐慌。
可控性(C0-C3级)
C3
可控性的合理性
稳态行驶时情况通常是可控的,但如果在能见度较低的隧道内遇到制动情况,则情况难以控制。
风险值
5(高风险)。
 
对策定义:
对策
-这种情况可能在ODD中出现。
-应自动检测情况。
-在这种情况下,应修改现有功能:
l该功能将自动检测接近的隧道(如使用地图)。
l每辆卡车应根据法规要求调整车速、加速度和时间差至安全水平。
l通过人机界面HMI告知司机即将到达的隧道。
l只要卡车之间保持通信,队列就会继续。
l隧道内不允许加入? 规格明确后再确认。若加入时需使用GPS,则不允许加入。
-这种情况可能在ODD中出现。
-应自动检测情况。
-在这种情况下,应修改现有功能:
l每辆卡车应能识别在其行驶的当前路线中所适用的区域政策。
l每辆车的速度和时间差应自动调整,以满足区域政策要求。
合理性
由于对于A级队列,对于后面的卡车纵向控制是自动化的。该功能应能够检测特殊区域政策要求(如果适用于隧道),并调整车队参数,以符合法律要求。
 
与特殊区域策略相同(3.1.5)。如果没有特殊区域要求,卡车应继续在当前状态下行进。
 
如果GPS信号的丢失影响到隧道内的加入,则可能不允许加入隧道。一旦规范说明确定,将对这种情况进行分析。
 
一旦有了规范说明,其他需要分析的问题:
l如何减小在隧道内插队后的空隙?
l你怎么知道你前面的新车不是另一个插队进来的车辆?