联合国自动驾驶法规R157对L3级自动驾驶ALKS的要求④

1.背景

2.R157各名词定义

3.系统安全和故障安全响应要求

4.人机交互界面信息要求

5.障碍物和事件感知与响应要求

6.数据存储系统要求

7.网络安全和软件更新要求

8.交通干扰关键场景指南

9.ALKS功能和操作安全的特殊要求

10.试验场内测试规范

11.公共道路测试规范

3.4 接管请求及过渡期系统运行要求

3.4.1  激活的ALKS系统应识别需要将控制权交还给驾驶员的所有情况。需要驾驶员接管的情况类型应由主机厂声明，并包含在留档包中。

3.4.2

       接管请求的启动应为驾驶员的安全接管预留足够的时间。

       如果计划中的事件将阻止ALKS继续运行，应及早提出接管请求，以确保在驾驶员无法恢复控制的情况下，最小风险机动MRM将使车辆在计划事件发生之前停止运行。

       如果发生计划外事件，应在发现事件时给出接管请求。

       如果发生任何影响系统满足本法规要求的故障，系统应在检测到故障后立即启动接管请求。

      如果ALKS能够进行常规变道，则在过渡期应尽可能避免变道，这意味着当接管请求发生时，不应启动LCP。

3.4.3

       在过渡阶段，ALKS系统应继续运行。系统可降低车辆速度以确保其安全运行，但不得使其停止，除非情况需要（例如，阻碍ALKS车辆路径的车辆或障碍物）或由根据第4.4.1段以低于20km/h的速度启动的触觉警告引起。

        一旦ALKS车辆处于静止状态，车辆可保持这种状态（拉起驻车制动，防溜车），并应在5s内发出启动危险警告灯（双闪）的信号。

       在过渡阶段，接管请求最迟应在接管请求开始4s后升级。

3.4.4

       只有在ALKS系统停用或最小风险操作MRM开始后，才能终止接管请求。

       如果驾驶员没有通过停用系统来响应接管请求，则最早应在接管请求开始10s后开始最小风险操作MRM。

        在严重ALKS故障或严重车辆故障的情况下，可立即启动最小风险操作MRM。

       在严重的ALKS故障或严重车辆故障的情况下，ALKS可能不再能满足本法规的要求，但它应尽可能地使车辆控制安全地转移回驾驶员。

       主机厂应声明将导致ALKS立即启动MRM的严重车辆故障和严重ALKS故障的类型。

3.5 最小风险操作MRM

3.5.1

       最小风险操作应使车辆停止，除非驾驶员在操作过程中停用系统。

       如果需要变道才能到达目标停车区域，并且ALKS能够执行MRM变道，则应在给定情况下（例如交通状况、环境条件、系统故障）被认为是最大限度地降低风险的目标停车区域内执行。

        否则，考虑周围交通和道路基础设施，应在其当前车道内，或遵循适当的轨迹（车道标记不可见时）使车辆停下。

3.5.2

       在最小风险操作期间，车辆的减速度应不大于4.0m/s²。

       较高的减速度值在非常短的时间内是允许的，例如作为触觉警告以刺激驾驶员的注意力，或者在严重的ALKS故障或严重的车辆故障的情况下。

        此外，启动危险警告灯的信号应在最低风险操作MRM开始时产生，但在LCP期间暂停。

3.5.3   只有在ALKS系统停用或ALKS系统使车辆停下来后，才应终止最小风险操作MRM。

3.5.4

       ALKS系统应在任何最小风险操作MRM结束时停用。

       危险警告灯应保持激活状态，除非手动停用，并且在没有手动输入的情况下，车辆静止后不得移动（拉起驻车制动，防溜车）。

3.5.5   本次上电周期内，任何最小风险操作MRM结束后，ALKS系统不能重新激活。重新上下电后，才允许再次激活ALKS系统。

4. 人机交互界面信息要求

4.1  驾驶员可用性识别系统

4.1.1

        ALKS系统应包括驾驶员可用性识别系统。

       驾驶员可用性识别系统应检测驾驶员是否处于驾驶位置，驾驶员的安全带是否系好，以及驾驶员是否可以接管驾驶任务。

4.1.2 驾驶员在位

        如果满足以下任何条件，则应根据第3.4段启动接管请求：

      （a）当检测到驾驶员离开座位超过1s时；或

      （b）驾驶员安全带解开时。

       根据UN ECE R16法规发出的未系安全带二级警告可以代替接管请求的声学警告。

4.1.3  驾驶员可用

        ALKS系统应通过监控驾驶员来检测驾驶员是否可用并处于适当的驾驶位置以响应接管请求。

        主机厂应向认证测试机构证明车辆有能力检测到驾驶员是否可以接管驾驶任务。

        认定司机可用的标准：驾驶员应被视为不可用，除非在过去30s内至少有两个单独确认驾驶员可用的标准（例如输入驾驶员专用车辆控制、眨眼、闭眼、有意识地头部或身体运动）。

       系统需要持续性检测，可能在任何时候认为驾驶员不可用。

        一旦驾驶员被认为不可用，或者可以监控的可用性标准少于两个，系统应立即提供独特的警告，直到检测到驾驶员的适当行动或启动接管请求。最迟应在警告15s后根据第3.4段启动接管请求。

        主机厂应提供书面证据证明可用性标准的数量和组合，特别是相应的时间间隔。然而，任何可用性标准所需的时间间隔不得超过30s。

4.1.4  一旦ALKS系统发出接管请求或一旦ALKS系统停用，驾驶员除驾驶以外的其他活动（如通过中控激活ALKS）应自动暂停。

4.2 激活、抑制和驾驶员输入

4.2.1  车辆应配备驾驶员激活和停用ALKS系统的专用装置。当ALKS激活时，停用ALKS的装置应对驾驶员永久可见。

4.2.2  在每次上电时，ALKS系统应默认为关闭模式。

4.2.3

       只有在驾驶员采取有意行动并满足以下所有条件时，ALKS系统才会激活：

     （a）驾驶员坐在驾驶座位上，并系好安全带；

      （b）驾驶员可根据第4.1.3段接管DDT；

      （c）不存在影响ALKS安全运行的故障；

     （d）自动驾驶数据记录系统DSSAD已投入使用；

     （e）环境和基础设施条件允许激活；

     （f）系统自检无故障；

    （g）车辆行驶在禁止行人和骑自行车的道路上，道路中间设有物理隔离（高速或城市快速路）。

       如果上述任何条件不再满足，系统应立即启动接管请求，除非本法规另有规定。

4.2.4

       如第4.2.1款所述，应可通过驾驶员的有意动作，使用与启动系统相同的手段手动停用ALKS系统。

       停用装置应提供防止意外手动停用的保护，例如要求单个输入超过一定时间阈值或双击，或两个单独但同时的输入。

       此外，应确在停用ALKS时保驾驶员处于车辆的横向控制中，例如，通过将停用装置放置在方向盘上或确认驾驶员手握方向盘。

4.2.5

       除第4.2.4段及下文所述内容外，ALKS系统不得因任何驾驶员输入而停用。

        驾驶员驱动控制输入的停用：当至少满足以下条件之一时，系统应停用：

    （a）驾驶员通过方向盘override，且该override不是第4.3.1段所描述的驾驶员误操作；或

    （b）司机正握着方向盘，并按下文第4.3.2、4.3.3段的规定，以刹车或油门override。

       正在进行接管请求或正在进行最小风险操作MRM期间的停用：在接管请求或最小风险操作正在进行的情况下，系统只能在以下情况下停用：

   （a）如上所述的驾驶员驱动控制输入停用；或

  （b）在检测到驾驶员已掌握转向控制作为对接管请求或最小风险操作的响应时，并且系统确认驾驶员如第4.3.1段所定义的那样注意力集中。

        正在进行紧急机动期间的停用：正在进行紧急机动的情况下，ALKS系统的停用可能会延迟，直到紧急碰撞风险消失。

        车辆严重故障或ALKS严重故障时的停用：在严重车辆故障或严重ALKS故障的情况下，ALKS可采用关于停用的不同策略。这些不同的策略应由主机厂声明，其有效性应由认证机构评估，以确保控制从ALKS系统安全地转移到人类驾驶员。

4.2.6

       在ALKS系统停用时，不得自动转换为提供车辆连续纵向或连续横向控制的任何功能（例如B1类ACSF）。ALKS停用后，校正转向功能（CSF/LDP）可以激活，目的是通过逐渐减少横向辅助来使驾驶员习惯于执行横向控制任务。

       尽管有上述规定，在即将发生碰撞的情况下提供纵向或横向辅助的任何其他安全系统（例如，高级紧急制动系统（AEBS）、电子稳定控制（ESC）、制动辅助系统（BAS）或紧急转向功能（ESF））在ALKS停用的情况下不得停用。

4.2.7  任何停用都应向第4.4.2段中定义的驾驶员说明。

4.3   超控override

4.3.1

        驾驶员通过转向的超控override应设置合理阈值，该阈值应包括力的大小和持续时间，并应根据参数（驾驶员注意力）而变化，以防止意外超控。该参数包括驾驶员输入期间检查驾驶员注意力的标准。

       这些阈值和任何变化的合理性应在型式认证期间向认证机构证明。

       司机的注意力：系统应检测驾驶员是否注意力集中。当满足以下至少一个标准时，驾驶员被视为注意力集中：

      （a）确认驾驶员注视方向主要是看前方道路；

      （b）确认驾驶员注视方向为正在注视后视镜；

      （c）驾驶员头部运动被确认为主要针对驾驶任务。

       确认这些标准的规范必须由主机厂声明并有书面证据支持。

4.3.2   驾驶员对制动控制的输入比ALKS系统引起的减速更高或通过任何制动系统使车辆保持静止时，应override系统的纵向控制功能。

4.3.3   驾驶员对油门的输入可以override系统的纵向控制功能。然而，这种输入不得导致ALKS系统不再符合本法规的要求。

4.3.4  当驾驶员的输入超过为防止无意输入而设计的合理阈值时，驾驶员对油门或制动控制的任何输入应立即启动第3.4段中规定的接管请求。

4.3.5   当输入超过为防止无意激活而设计的合理阈值时，驾驶员对转向灯的任何激活都应启动段落3.4中规定的接管请求。

4.3.6   如ALKS系统侦测到因该驾驶员的输入而有紧急碰撞的危险，则该驾驶员输入对任何控制器的影响可由ALKS系统降低或抑制。

4.3.7   在车辆严重故障或ALKS严重故障的情况下，ALKS可以采用不同的override策略。主机厂应声明这些不同的策略，认证机构应评估其有效性，以确保对车辆的控制从ALKS系统安全转移到人类驾驶员。