专注于车载信息安全和预期功能安全技术研究
电话:+86 21 62655001
您的位置: 网站首页 > 学术前沿
2021-08-27 16:55:20

欧盟 | 地平线 2020 ENSEMBLE:D2.13 SOTIF Safety Concept(下)

来源:学术前沿 浏览次数:102 点赞数:0

本文来自轩辕实验室的国外政策文件翻译主要是针对全欧货车自动跟车项目的需求文档。




三. 危险识别与风险评估(接上篇)



3.2紧急制动

3.2.1紧急制动/车队完全制动


车队遇到需要完全制动的情况


D2.2中的相关用例
用例ID
3.3
标题
紧急制动




场景描述:
操作情况
情景:在高速公路上以每小时80公里的速度正常行驶。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)以及天气情况。
系统状态:任意组队驾驶模式。
车辆状态:在所有车辆载荷下
触发事件
任何前方车辆执行完全紧急制动(减速>6米/s2)。
结果
所有后方车辆需立即刹车,以免发生碰撞。
危害
由于车队中各车制动性能不同所导致的向前碰撞的风险。




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
在高速公路上由紧急刹车引起的事故可能会导致严重的危及生命的伤害。
可控性(C0-C3级)
C3
可控性的合理性
由于两辆卡车之间的时间间隔是0.8秒,司机没有足够的时间以安全的方式做出反应。
风险值
6(高风险)。




对策定义:
对策
-这种情况可能在ODD中出现。
-应自动检测情况。
-在这种情况下,应修改现有功能:
l该功能将在无需驾驶员干预的情况下自动检测紧急制动情况。
l发生了紧急制动(手动制动或AEB)的车辆,应通过V2V向后方的车辆通报该事件。
l每辆车应独立制动,以避免与前方车辆相撞。
l如果紧急制动事件一直处于活跃状态,直到卡车完全停止,每个卡车司机应使用恢复按钮重新加入队列(以避免卡车移动,直到驾驶员准备就绪)。
l如果紧急制动事件在卡车仍在移动时变为非活跃状态,则该功能应该停止制动,但在收到来自驾驶员的恢复输入之前,不得启动加速/纵向控制。
l如果在收到恢复请求之前达到法定安全距离,则应将控制权移交给驾驶员。
l应通过人机界面HMI通知驾驶员紧急制动事件。
合理性
由于对于A级车辆,后方卡车的纵向控制是自动的,因此该功能应能够自动检测任何制动情况(包括完全制动)并作出反应。
 
根据(主体卡车和前方卡车)的制动性能,每辆卡车应计算所需减速度,以保持与前方卡车的安全距离。
 
如果紧急制动事件激活,直到卡车完全停止,每个卡车驾驶员应使用恢复按钮重新加入车队(以避免卡车移动,直到驾驶员准备就绪)。
 
如果紧急制动事件在卡车仍在移动时变为非激活状态,则该功能应停止制动,但不应启动加速,除非从驾驶员处收到恢复输入。如果在收到恢复请求之前达到法定安全距离,则应将控制权移交给驾驶员。
 
如果驾驶员发现情况不再存在,可按下恢复按钮进行反应式纵向控制。
 
如果前方卡车减速度低于紧急制动限值,则主体卡车应在制动事件结束时恢复纵向控制。
 
Imp要求:驾驶员需要清楚地知道谁在控制(系统还是驾驶员?)
注意:如何处理FCW或HCW?是AEBS级联的一部分,但从减速角度看,没有紧
急制动。




3.3插队

3.3.1外部车辆进入车队


一辆外来车辆进入车队


D2.2中的相关用例
用例ID
3.4.2
标题
在车队内处理插队的情况。
车辆的插入仍然是很长一段时间(相对于穿过)




场景描述:
操作情况
情景:在高速公路上以每小时80公里的速度正常行驶。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)以及天气状况。
外部车辆状况:匀速或减速(最坏情况)。
触发事件
一辆外部车辆进入车队(执行插队)。
结果
后面车辆需立即刹车,以免发生碰撞。
危害
由于突然刹车,会有发生碰撞(在车队内部或与外部车辆)的风险。




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
在高速公路上,插入的车辆和一个车队之间发生的事故可能会导致危及生命的伤害。
可控性(C0-C3级)
C3
可控性的合理性
由于两辆卡车之间的时间间隔是0.8秒,司机没有足够的时间以安全的方式做出反应。
风险值
6(高风险)。




对策定义:
对策
-这种情况可能在ODD中出现。
-应自动检测情况。
-在这种情况下,应修改现有功能:
l插队应由主体卡车自动检测。
l主体卡车应自动调整间隙,以达到法律要求的安全距离,以插入车辆。
l一旦想要插入车队的车离开,主体车辆将自动缩短与前方卡车的时间间隔。
合理性
由于在A级车辆中,后面车辆的纵向控制是自动化的,因此应自动检测和处理插队的情况。
 
即使在侵入者达到法定安全间隙后,车队功能仍应保持纵向控制。
 
该功能还应能检测出离开的入侵者,并自动减少间隙。
 
如果更多的入侵者进入主体卡车和第一个入侵的外部车辆之间的间隙,只要与前方卡车通信仍是活跃的,就可以继续增加距离。然后按照名义上的功能行为离开组队。
注:目前的雷达技术是否能检测到比较近的插队情况?


 


3.3.2多次插入


车队遇到外部车辆多次入(例如拥挤的公路入口匝道)


场景描述:
操作情况
情景:在高速公路上以每小时80公里的速度正常行驶。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)以及天气状况。
外部车辆状况:匀速或减速(最坏情况)。
触发事件
通往高速公路入口/出口匝道附近的拥挤道路导致的多次插入。
结果
多辆车作为入侵者进入该车队。
危害
由于复杂的驾驶环境,可能发生碰撞(在车队内或与外部车辆发生碰撞)。




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
在高速公路上,插入的车辆和一个车队之间发生的事故可能会导致危及生命的伤害。
可控性(C0-C3级)
C3
可控性的合理性
由于卡车之间的时间间隔为0.8秒,车队中有多个入侵者,因此情况难以控制。
风险值
6(高风险)。




对策定义:
对策
-这种情况可能在ODD中出现。
与上述用例(3.3.1)相同的反应,每辆卡车应负责安全管理其前方的切入点。不会实现特殊的功能来处理多个插入。
合理性
与上述用例(3.3.1)相同的反应,每辆卡车应负责安全管理其前方的切入点。不会实现特殊的功能来处理多个插入。在Ego车辆后插队的车辆应当由后面的车辆准确处理。
 
不会实现特殊的功能来处理多个插入。
 
基础设施(V2I)通信可以用来指示繁忙的高速公路入口和出口。这些信息可以用来增加卡车之间的时间间隔。




3.4特定的车队功能或内部因素

3.4.1在稳定状态下增加时间间隔


车队需要增加时间间隔(例如,由于区域政策)。


D2.2中的相关用例
用例ID
3.4.1
标题
由于I2V交互作用的排隙适应。




场景描述:
操作情况
情境:正常组队驾驶,但时间间隔增加。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)
系统状态:车队在稳定模式下行驶。
触发事件
主体车辆(战术或战略层面)发出增加时间间隔指令。
结果
主体车辆与前方卡车之间的距离将会增加。
危害
时间间隔的增加可能会导致非预期的队列振荡。




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
由于卡车之间的时间间隔很短,车队的不稳定可能导致碰撞,从而导致危及生命的伤害。
可控性(C0-C3级)
C3
可控性的合理性
如果不稳定性很快出现,可能就没有足够的时间来控制局势。
 
此外,由于系统试图增加时间间隔,可以假设时间间隔不会低于0.8秒。所以,情况通常应该是可控的。
风险值
5(高风险)。




对策定义:
对策
-这种情况可能在ODD中出现。
-应自动检测情况。
-在这种情况下,应修改现有功能:
l各车辆应将“增加时间间隔”的要求转达给后面车辆。
l“增加时间间隔”请求应在目标区域(如隧道、桥梁、区域政策等)前至少2公里(待定)发送。
l每辆车应在收到请求时自动增加与前方车辆的时间间隔(不需要驾驶员干预)。
l每辆卡车都可以独立调整其速度和加速度,以达到其效率目标(只有滑行或滑行+刹车)。
l在过渡期间,Ego车辆的速度与领头车辆的速度不应相差超过10公里/小时(已在D2.4中显示)。
l通过人机交互界面HMI告知司机时间间隔增大。
合理性
每辆卡车都可以独立地以它认为最有效的方式增加与前面车辆的距离。
 
在过渡过程中,车队设定的速度与Ego车队的速度之间的最大差值应加以限制。例如10公里/小时。
 
时间间隔增加要求需要提前到达(例如,在适用区域前5分钟),以便在到达适用点前安全的增加间隔。时间取决于你想增加多少时间间隔,加上车队的速度(可以通过模拟检查)。


3.4.2在稳定状态下减小时间间隔


队需要减少时间间隔例如在区域政策结束时)。


D2.2中的相关用例
用例ID
3.4.1
标题
由于I2V交互作用的排隙适应。


 


场景描述:
操作情况
情境:任何需要较大时间间隔的情况都不再存在。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)
系统状态:车队在稳定模式下行驶。
触发事件
主体汽车(战术或战略层面)发出缩短时间间隔指令。
结果
主体车辆与前方卡车之间的距离将会减少。
危害
时间间隔的减小可能会导致非预期的队列振荡。




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
由于卡车之间的时间间隔很短,车队的不稳定可能导致碰撞,从而导致危及生命的伤害。
可控性(C0-C3级)
C3
可控性的合理性
由于系统的不稳定性是逐渐引起的,司机通常有足够的时间来认识到这个问题,并控制他们的车辆。
但由于系统试图减少时间间隔,不同成员的矛盾行动可能会导致时间间隔低于0.8秒。
因此,情况可能难以控制
风险值
6(高风险)。




对策定义:
对策
-这种情况可能在ODD中出现。
-应自动检测情况。
-在这种情况下,应修改现有功能:
l各车辆应将“减少时间间隔”的要求转达给后面车辆。
l每辆车应在收到请求后自动缩短与前方车的时间间隔(不需要驾驶员干预)。
l每辆卡车应根据其效率目标(低加速度、中加速度等)自主调整车速和加速度。
l在过渡过程中,与前面车辆的时间差不得低于0.8秒,也不得低于主体卡车根据其制动性能计算的当前安全时间差,以较高者为准。
l卡车的速度不得超过车队的法定极限。
l通过HMI告知驾驶员时间差距减小。
合理性
每辆卡车都可以独立地以它认为最有效的方式减少与前面车辆的距离。
 
减小车辆间距时,Ego车辆与前面车辆的时间差不得低于0.8秒或Ego车根据制动性能计算的当前安全时间差,以最大为准。
 
车辆的速度不得超过车队的法定极限。


3.4.3增加车队的速度


队必须将速度从中速50公里/小时提高到高速90公里/小时


场景描述:
操作情况
情境:正常车队行驶,但速度较慢。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:车队在稳定模式下行驶。
触发事件
车队领队要求把车队的速度从中等速度(50公里/小时)提高到高速度(90公里/小时)。
结果
所有的车辆都会开始加速以达到目标速度。
危害
不同步的速度增加可能导致非预期的队列振荡。




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
由于卡车之间的时间间隔很短,车队的不稳定可能导致碰撞,从而导致危及生命的伤害。
可控性(C0-C3级)
C0
可控性的合理性
由于前面车辆在加速,其余车在保持时间差,所以总体上应该是可控的。
风险值
0(没有风险)。




对策定义:
对策
这种情况不需要特别的SOTIF应对措施。
合理性
不是SOTIF场景,因为这是名义上功能的一部分。
 
这和稳定状态下的车队是一样的,每辆车都要尽量保持安全的时间间隔,同时也要跟上领头车的速度。
 
只有领先的车辆在提高速度,其他人都在保持时间间隔。


3.4.4从后面插入


当一辆外部车辆紧追不舍时,主体卡车从后面加入一个车队。


D2.2中的相关用例
用例ID
2.1
标题
单个车辆从后面加入。


本案例还包括下列情况:
l开得离错误的车辆太近。
l连接到错误的车队


场景描述:
操作情况
情境:接合阶段的正常驾驶状况。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:车队在稳定模式下行驶。
触发事件
当小型车辆紧跟前方车辆时,Ego车辆启动自动连接程序。
结果
由于GPS的精度约为5至10米,因此Ego车辆可能无法检测到外部车辆,并试图缩小与前方卡车的间隙。
危害
将与外部车辆的间隙缩短到0.8秒以下可能会导致碰撞。




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
由于卡车之间的时间间隔很小,车队的不稳定可能导致碰撞,从而导致危及生命的伤害。
可控性(C0-C3级)
C1
可控性的合理性
由于驾驶员在接合阶段更加专注,一旦检测到风险,他们就更有可能控制局面。
情况完全可以控制。
风险值
4(中风险)。




对策定义:
对策
-这种情况可能在ODD中出现。
-应自动检测情况。
-在这种情况下,应修改现有功能:
l主体卡车应确认其正在与正确的车队通信。
l在开始连接操纵之前主体卡车应确认其位于正确的车道上(由第一点间接解决)。
l该功能应检测主体车辆和车队之间是否存在任何入侵者。
l如果主体车辆和车队之间存在入侵者,则连接程序不得启动(纵向控制仍为手动)。
l应通过HMI通知驾驶员连接程序的开始。
合理性
主体卡车应确认其位于正确的车道上,并加入正确的车队。
如果车队后面有入侵者,它不应该加入。
评论:
您如何知道您正在缩小与右侧车辆的距离?


3.4.5车队内事故


一辆卡车在车队内发生了事故。


场景描述:
操作情况
情境:在车队中正常驾驶,然后稳定状态不再存在。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任何车队驾驶模式。
触发事件
车队里的一辆车辆出了事故。
结果
由于时间间隔较短,后面所有车辆都处于危险之中。
危害
由于缺乏系统控制,存在向前碰撞的风险。




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
高速公路上的事故可能导致危及生命的伤害。
可控性(C0-C3级)
C3
可控性的合理性
高速事故通常需要最大减速和/或极端转向操纵以避免碰撞。
风险值
6(高风险)。




对策定义:
对策
-这种情况可能在ODD中出现。
-应自动检测情况。
-在这种情况下,应修改现有功能:
-每辆卡车(包括领头卡车)应使用ADAS功能,该功能可预测前方碰撞并作出反应。
l任何检测到即将发生碰撞情况的卡车应将其告知后面的车辆。
l发生事故的任何卡车应与后面车辆联系。
l收到“即将发生碰撞”或“碰撞”信息后,后面卡车应施加完全制动。
l应通过HMI人机交互界面告知驾驶员前方车辆碰撞导致的紧急制动情况。
合理性
在一个车队中(由于时间间隔较短),避免与前方卡车发生碰撞(在事故情况下)所需的减速度可能非常高。
 
发生事故的卡车应立即通知后面的卡车。
 
卡车应配备ADAS系统,以提醒后面的卡车即将发生碰撞。这样可以避免碰撞后失去通信的风险。这也将给后面的卡车更多的时间作出反应。
 
反应:由于前方卡车状况不可预测,后面卡车完全制动。最好采用完全制动以避免碰撞。
 
事故:车辆撞击或碰撞另一车辆、静止物体、行人或动物时发生的事故或交通碰撞。


3.5 驾驶员行为和错误使用

3.5.1将驾驶任务转移给驾驶员


车队功能需要将任务转移回驾驶员。


场景描述:
操作情况
情境:在车队中正常驾驶,系统需要驾驶员立即输入。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任何车队驾驶模式。
触发事件
主体车辆需要驾驶员立即输入,以解决系统本身因信息不足而无法处理的情况。
结果
必须立即通知驾驶员,并迅速提供输入。
危害
驾驶员可能不了解情况,并给出不充分(或无)的输入。




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
高速公路上的事故可能导致危及生命的伤害。
可控性(C0-C3级)
C3
可控性的合理性
在不将时间间隔增加到更安全水平的情况下,向驾驶员请求的任何转向或制动操作通常是不可控的。
风险值
6(高风险)。




对策定义:
对策
-这种情况可能在ODD中出现。
-该功能不得将纵向控制任务返回给驾驶员,直到与前方车辆的法定安全间距确定。
 
驾驶员仍负责横向控制,因此任何需要转向输入的紧急情况将继续由驾驶员负责。
合理性
A级队列中,后面车辆的纵向控制由系统负责。因此,当系统在ODD内运行时,不应将此任务返回给驾驶员。
 
只有在与前方车辆达到法定安全间隙后,才允许移交纵向控制。
 
移交程序由HMI团队定义。这应包括为了切换调查最佳类型的警告(音频、视觉、触觉……)和切换确认程序(例如接受反馈,如司机的输入/确认)。
 
驾驶员仍然负责横向控制,因此任何需要转向输入的紧急情况都将继续由驾驶员负责。


3.5.2驾驶员立即强制收回所有控制权


车队遇到一种情况,车队中的一名驾驶员立即强制收回所有控制权。


场景描述:
操作情况
情境:在车队中正常驾驶时,驾驶员(PIC)将覆盖系统命令
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任何车队驾驶模式。
触发事件
作为SAE 3级或更低级别的系统,驾驶员是“指挥中的飞行员”,可能随时超越。
结果
驾驶员(PIC)命令可能与系统命令相矛盾或干扰系统行动计划。
危害
驾驶员可能在不了解情况的情况下接管命令,从而使系统进入不安全状态。




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
高速公路上的事故可能导致危及生命的伤害。
可控性(C0-C3级)
C3
可控性的合理性
如果驾驶员出于某种原因加速,碰撞将不可避免。
风险值
6(高风险)。




对策定义:
对策
-这种情况可能在ODD中出现。
-对此情况的反应如下:
l当转向操纵导致变道时,应启动主体车辆的离开列队程序。
l司机加速导致时间差距低于安全限度时,应启动主体车辆的离开列队程序
l手动制动应进入车队功能待机模式:纵向控制应禁用。
l在待机模式下,驾驶员应提供恢复命令以重新启动纵向控制。
合理性
横向控制:
由于横向控制不是自动的,司机可以在任何时候转向。如果转向导致变道,则应为主体车启动排离程序。
 
纵向控制:
如果司机加速并将时间差距缩小到安全限度以下,应启动主体卡车的离开列队程序。主体车辆后面的卡车将自动增加与加速卡车之间的时间间隔(主体卡车被视为入侵者(类似于插队))。
 
如果司机手动刹车,那么他/她是在表示他们想要控制局面。因此纵向控制将被禁用(只对主体车辆)。驾驶员可以通过按恢复按钮来对纵向控制反应。


 


3.5.3领头车辆驾驶员在没有通知后方车辆的情况下执行车道变更


车队的领驾驶员执行一次后方车辆不知情的换道


场景描述:
操作情况
情境:在车队中正常驾驶时,系统需要驾驶员立即输入。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任何车队驾驶模式。
触发事件
不是由于障碍,而是由于轻微的转向变道!!
结果
后面的驾驶员可能没有意识到时间的变化而撞上了障碍物。
危害
后面的车辆可能没有采取适当的行动继续安全行驶。




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
高速公路上的事故可能导致危及生命的伤害。
可控性(C0-C3级)
C3
可控性的合理性
由于当前车道上的障碍物只对前面的司机可见,后面的司机将没有足够的时间发现问题并采取适当的行动(转向或刹车)。
风险值
6(高风险)。




对策定义:
对策
-这种情况可能在ODD中出现。
-对此情况的反应如下:
l领头车辆的非侵略性变道应启动离开列队程序
l所有后方卡车应检测它们是否仍在跟随指定的前方卡车。
l在没有领头卡车的情况下,领头角色应转移到车队内跟随的下一辆卡车上。
l交接启动后,新领头车中的车队功能应当停止加速(开始滑行)。
l制动功能应保持到领头驾驶员能控制驾驶为止。
l车队功能应重新配置车队的布局,以反映当前卡车的位置和角色。
合理性
车队的领队的非主动性道应启动ego/领队卡车的离开列队程序。后面的卡车还应检测是否仍在跟随前方卡车。
 
注:车队中任何车的主动转向会导致后面卡车紧急制动(参考用例3.1.7)
 
在没有领头卡车的情况下,领头角色应转移到车队内跟随的下一辆卡车上。
 
这将导致纵向控制任务将会被移交给新的领头车辆的驾驶员。
 
一旦开始移交,新的领头车辆的车队功能应停止加速并开始滑行,以便驾驶员进行手动控制。为安全起见,制动功能仍应处于激活状态。
 
如果新的领头车辆的驾驶员没有控制驾驶,则卡车应继续滑行直到完全停止。
 
移交程序由HMI团队定义。这应包括为了切换调查最佳类型的警告(音频、视觉、触觉……)和切换确认程序(例如接受反馈,如司机的输入/确认)。
 
该功能应重新配置车队布局,以反映当前车辆的位置和角色。
 
注意:检测车道变化/主动转向的功能应足够强大,以滤除路况(如隆隆声带等)产生的振动。


3.5.4 后方驾驶员执行其他车辆不知情的换道


后方任何驾驶员(拖车除外)执行其他车辆不知情的车道变换


场景描述:
操作情况
情境:在车队中正常驾驶时,驾驶员(PIC)将覆盖系统命令。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任何车队驾驶模式。
触发事件
主体车辆驾驶员在没有通知车队内其他成员的情况下开始改变车道。
结果
后面卡车必须安全适应这种情况。
危害
后面的车辆可能没有采取适当的行动继续安全行驶。




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
高速公路上一排卡车之间的事故可能导致危及生命的伤害。
可控性(C0-C3级)
C2
可控性的合理性
由于纵向控制仍处于自动模式,任何驾驶员的非预期转向不应导致车队内卡车之间发生碰撞。但如果未检测到车道变化,退出的卡车的行动可能会影响车队,即使它不在同一车道上。
 
此外,由于卡车之间的时间间隔低于法律限制,驾驶员干预可能不安全。
风险值
5(高风险)。




对策定义:
对策
-这种情况可能在ODD中出现。
-对此情况的反应如下:
l任何卡车的非侵略性变道应启动离开的卡车的离开列队程序。
l所有后面的卡车应检测它们是否仍在跟随指定的前方卡车。
l后面卡车应加速以缩小与前方新卡车之间的差距。
l车队功能应重新配置车队的布局,以反映当前卡车的位置和角色。
合理性
车队中任何一辆卡车的非攻击性换道应启动主体卡车(离开卡车)的离开列队程序。后面卡车还应检测是否仍在跟随指定的前方卡车。
注:车队中任何卡车的主动转向应导致后面卡车紧急制动(参考用例3.1.7)。
 
该车队的其他成员:
后面卡车应缩短与新的前方车辆的时间间隔,并继续排成一个车队。
车队功能应重新配置车队布局,以反映当前卡车位置和角色。
 
注:即使快车道(左车道)上的车辆比车队慢,车队也应继续。这适用于最近离开车队的卡车或左车道上的任何其他车辆。
 
注:检测车道变化/主动转向的功能应足够强大,以过滤来自路况(如隆隆声带等)的振动。


 


3.6通信

3.6.1无线信道接收问题


主体车辆遇到无线信道接收问题


D2.2中的相关用例
用例ID
3.4.4
标题
由于系统状态(例如数据包丢失),车队时间间隔自适应。




场景描述:
操作情况
情境:在一个车队中正常驾驶,然后无线信道遇到问题(噪音)。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任何车队驾驶模式。
触发事件
主体车辆需要及早发现无线信道问题。
结果
主体车辆的战略层必须被告知无线信道的退化。
危害
由于传感器故障有向前碰撞的风险。




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
高速公路上的交通事故可能会导致危及生命的伤害。
可控性(C0-C3级)
C3
可控性的合理性
前方车辆的安全关键信息(例如减速)丢失可能导致制动延迟和与前方车辆相撞。
风险值
6(高风险)。




对策定义:
对策
不适用。
合理性
如果主体卡车检测到安全相关信息缺失,无论原因如何(系统故障或影响Wi-Fi的环境条件),都应遵循功能安全概念中定义的信息缺失策略。
不需要单独的SOTIF要求。


3.6.2无线信道传输问题


主体车辆遇到无线信道传输问题


D2.2中的相关用例
用例ID
3.4.4
标题
由于系统状态(例如数据包丢失),车队时间间隔自适应




场景描述:
操作情况
情境:在一个车队中正常驾驶,然后无线信道遇到问题(噪音)。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任何车队驾驶模式。
触发事件
主体车辆需要及早发现无线信道问题。
结果
主体车辆的战略层必须被告知无线信道的退化。
危害
由于传感器故障有向前碰撞的风险。




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
高速公路上的交通事故可能会导致危及生命的伤害。
可控性(C0-C3级)
C3
可控性的合理性
前方车辆的安全关键信息(例如减速)丢失可能导致制动延迟和与前方车辆相撞。
风险值
6(高风险)。




对策定义:
对策
不适用。
合理性
如果主体卡车检测到安全相关信息缺失,无论原因如何(系统故障或影响Wi-Fi的环境条件),都应遵循功能安全概念中定义的信息缺失策略。
不需要单独的SOTIF要求。


 


3.7 Non-EE故障

3.7.1机械故障


主体卡车经历系统故障爆胎,漏油等)。


场景描述:
操作情况
情境:在一个车队中正常驾驶,然后系统在操作中检测到异常。
环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。
系统状态:任何车队驾驶模式。
触发事件
主体车辆需要能够发现任何异常的操作,并及早报告给司机。
结果
必须尽早通知驾驶员,并迅速给予输入。
危害
驾驶员可能不了解情况,并给出不充分(或无)的输入




风险评估:
严重性(S0 - S3级)
S3
严重性的合理性
高速公路上的交通事故可能会导致危及生命的伤害。
可控性(C0-C3级)
C3
可控性的合理性
根据故障情况,可能难以控制。
风险值
6(高风险)。




对策定义:
对策
-这种情况可能在ODD中出现。
-对这种情况的反应不应自动进行。
驾驶员应负责检测和响应Ego卡车中的机械故障(轮胎爆裂、漏油等)。
合理性
一些故障可由EE系统检测,而其他故障通常仅由驾驶员检测(例如,轮胎充气、振动等)。无法自动检测所有故障,因此纵向控制无法完全自动化。
 
在某些情况下,系统能否提供帮助?
可以考虑需要车辆制动的故障。该功能可在某些情况下辅助制动。
 
评论:
EE系统无法检测到故障的情况下,驾驶员有责任检测到故障并离开队列并做出相应的反应。
在定义制动性能算法时,应分析导致对制动性能错误估计的故障。