美国NHTSA:发布自动驾驶车指南

分5级,要求整车厂开展15项安全评估

2016/11/16

概要

 2016年9月,NHTSA (National Highway Traffic Safety Administration) 发布了自动驾驶车指南“Federal Automated Vehicle Policy”。自动驾驶技术日新月异,因此这一指南并不是最终版本,今后将根据各方面的反馈,在1年后或1年内发布修订版。NHTSA计划每年对该指南进行修订。

 现阶段,该指南并不具有法律效益,但采用自动驾驶技术的汽车在公路上开展试运行或投放市场前,整车厂 (或其他组织) 需要自发地提交本指南提出的15项安全评估结果。

    指南内容包括:
  1. 自动驾驶车性能相关指南
  2. 联邦法规和州法规的关联
  3. NHTSA实施的现行法规 (FMVSS等)
  4. 未来法规

 此外,NHTSA替代原先的4级,改为采用分为5级的自动驾驶分级。

 本报告将介绍重新分为5级的自动驾驶分级,以及自动驾驶车性能相关指南 (NHTSA要求整车厂提交的15项安全评估结果) 的概要。



采用2级自动驾驶技术的3款车型

Mercedes-Benz E-Class
(デトロイトオートショー2016) Tesla Model X(写真:Tesla Motors) Volvo S90
(デトロイトオートショー2016)
梅赛德斯奔驰E-Class
(2016年底特律车展)
特斯拉Model X
(图片:特斯拉汽车)
沃尔沃S90
(2016年底特律车展)

相关报告:
特斯拉汽车:50万辆的生产计划提前2年,到2018年完成 (2016年10月)
丰田的自动驾驶:Autonomous Vehicle and ADAS Japan 2016 (1) (2016年8月)
实现自动驾驶技术的社会性课题、以及驾驶员的参与情况 (2015年6月)





NHTSA高度评价了自动驾驶技术在安全方面的贡献

 NHTSA表示,包括完全自动驾驶在内的“自动驾驶”是约100年前汽车为个人使用以来最大的技术变革,具有在安全方面作出巨大贡献的潜力。以下2个数字证明了这一点。2015年美国有35,092人因交通事故死亡,碰撞事故的94%源自人为 (驾驶员) 的选择和操作失误。人类总是会犯同样的错误,但自动驾驶车能利用其它众多车辆的数据积累经验。

 自动驾驶车除了安全方面的优势以外,还能使因经济原因、高龄、残疾等原因目前未使用车辆的人群获得使用的可能性。由于认识到这样巨大的可能性,该指南计划加快自动驾驶技术的导入 (该指南的副标题是”Accelerating the Next Revolution in Roadway Safety”)。

 但另一方面,自动驾驶也遭到“自动驾驶是否可能取代人来驾驶?”、“需要怎样的道德判断?”、“隐私和安全或将陷入混乱,遭到破坏”等方面的质疑。自动驾驶技术需要被“安全地”也就是“不会产生新的重大风险地”导入。



自动驾驶驾驶的等级划分从4级变为5级

 NHTSA原先将自动驾驶技术的等级分为4级,2016年9月发布的指南采用SAE International的分类方法,分为5级。原先的3~4级重新分类至3~5级。新增加的4级是“一定行驶条件下 (行驶的地区、固定路线等) 进行完全自动驾驶”,增加这一分类是由于预计到今后这一类自动驾驶车将有所增加。

 NHTSA将自动驾驶大致分为两大类,一类是驾驶员主要承担行驶环境监视责任的1~2级,另一类是系统负主要责任的3~5级,并将3~5级的车辆称为”Highly Automated Vehicle (HAV)”。下表介绍各等级的定义,以及关于“方向盘操作和油门操作”、“行驶环境的监视”、“紧急时的风险最小化”,责任在驾驶员还是自动驾驶系统。

 开发自动驾驶车的整车厂必须要向NHTSA上报开发中的车辆属于哪个等级。NHTSA如果不同意整车厂的意见,就会提出指导意见。一旦决定等级,整车厂就能明确所需解决的课题。



NHTSA:自动驾驶采用5级分类

等级 名称 定义 方向盘及
加减速
的操作
行驶环境
监视责任
紧急时
风险
最小化
责任
系统
负责的
行驶模式

NHTSA
的原有等级划分
0~2级时,驾驶员担负监视行驶环境的责任  
0 No
Automation
 驾驶员完全掌控车辆。 驾驶员 驾驶员 驾驶员 0
1 Driver Assistance  车载自动系统有时能够辅助驾驶员完成某些驾驶任务。 驾驶员

系统
驾驶员 驾驶员 固定的
行驶模式
1
2 Partial Automation  车载自动系统能够完成某些驾驶任务,与此同时驾驶员需要监控驾驶环境,完成其余驾驶任务。 系统 驾驶员 驾驶员 固定的
行驶模式
2
3~5级时,系统担负监视行驶环境的责任  
3 Conditional Automation  自动系统既能完成某些驾驶任务也能在某些情况下监控驾驶环境,但是驾驶员必须准备好当自动系统发出请求时重新取得驾驶控制权。 系统 系统 驾驶员 固定的
行驶模式
3
4 High
Automation
 自动系统能够完成驾驶任务并监控驾驶环境,驾驶员不需要重新取得控制权,但自动系统只能在某些环境和特定条件下运行。 系统 系统 系统 固定的
行驶模式
3/4
5 Full
Automation
 自动系统能够完成驾驶员在所有条件下能完成的所有驾驶任务。 系统 系统 系统 所有的
行驶模式
资料:NHTSA的Federal Automated Vehicle Policy (2016年9月) 与Preliminary Statement of Policy concerning Automated Vehicles (2013年5月)、SAE International的Levels of Driving Automation (2014年1月、“J30 16”)
(注) NHTSA原先的3级定义如下:“Limited Self-driving Automation:自动系统负责驾驶操作和监视行驶环境。假设驾驶员不始终监视驾驶环境。然而,当遭遇例如未预见到的施工现场等情况,如果系统判断无法进行自动驾驶,在保证时间充足的情况下,将驾驶操作的责任转交给驾驶员。”


自动驾驶车性能相关指南

 在现行的法律下,整车厂自我保证其所生产的所有用于公共道路的车辆都应完全遵守所适用的《联邦汽车安全标准》(Federal MotorVehicle Safety Standards (FMVSS))的职责。然而,整车厂和其他机构设计的新的自动汽车控制系统服从NHTSA的不合格品认证、召回和强制权利。因此NHTSA为确保车辆在道路上的安全,要求整车厂遵守这一指南。

 具体的来说,NHTSA将要求厂商提供关于如何遵循该指南的报告。该报告可能在将来通过立法来强制执行。期望通过该措施来对每个HAV系统都提交安全评估报告,概括他们计划的车辆在公共道路上使用 (测试或应用) 时是否满足指南的要求。

 如果这些软件更新实质上使得车辆符合 (或者不再符合) 指南15个考量因素时,NHTSA将认定该次更新必须重新进行安全评估并且要求将此次更改情况进行总结、说明并提交。

 15项中,数据记录与共享、系统安全、人机界面等11项和“测试方法”适用于全自动驾驶车。其他3项“HAV系统设计的适用范围 (ODD)”、“目标和意外的检测与响应 (OEDR)”、“自动驾驶功能退出”这3项适用于3级及以上HAV (Highly Automated vehicle)。



自动驾驶车性能相关指南的构成

适用于2级及以上全自动驾驶车 1) 数据记录与共享;2) 隐私;3) 系统安全;4) 网络安全;5) 人机界面 (HMI);6) 防撞性;7) 客户教育与培训;8) 注册与认证;9) 碰撞后反应;10) 联邦政府与州政府法规;11) 道德考量
适用于HAV 12) HAV系统设计的适用范围 (注1) 1) 地理范围;2) 道路类型;3) 车速;4) 昼夜;5) 天气;6) 其他领域的限制
13) 目标和意外的检测与响应 (注2) 1) 正常行驶;2) 防撞能力—危险
14) 自动驾驶功能退出 (注3) 1) 驾驶员承担责任;2) 系统承担责任
适用于2级及以上全自动驾驶车 15) 测试方法 1) 模拟;2) 测试场地;3) 道路上
资料:根据NHTSA的Federal Automated Vehicle Policy制作
(注) 1. NHTSA的英文原文是"Operational Design Domain (Where does it operate ?)"。
2. 英文原文是"Object and Event Detection and Response"。
3. 英文原文是"Fall Back Minimal Risk Condition"。



适用于全部自动驾驶车的11项

适用于2级及以上全自动驾驶车的11项指南

1) 数据记录与共享  除了量产车,测试车辆也需要。1) 人员伤亡;2) 汽车受到损害的程度达到以通常方式无法继续启动,因此需要拖车的情况。车辆需要记HAV系统状态的相关信息,以及HAV系统或人类驾驶员驾驶车辆时的信息。
 系统应该记录类似避免了一次事故等有积极意义的数据。HAV系统在增强延伸安全性上有很大的潜力,通过与其他整车厂共享这些数据,能增强HAV系统的安全性并建立用户对HAV技术的信心。但分享给第三方的数据应该去除身份。
2) 隐私  必须遵守《白宫消费者隐私权利法案》和联邦贸易委员会的隐私指南。
3) 系统
安全
 厂商及其他机构应该以HAV系统不存在不合理的安全性风险为目标,并基于系统工程方法上进行鲁棒性设计和验证过程。该过程应该包含当车辆在电力、电子、机械失效或者软件错误时维持安全状态的功能。
 该过程还应该描述处理HAV系统失效的冗余性设计 (采取至少2条线路) 和安全策略。自动驾驶产业应该关注人工智能(AI)、机器学习以及其他相关软件技术和算法的发展、实现和安全性评估,利用这些技术来提高HAV系统的效率和安全性。
4) 网络安全  遵守National Institute for Standards and Technology、SAE International等机构发布的网络安全相关指南。正如数据安全,行业共享对于网络安全同样是是很重要的。
5) 人机界面 (HMI)  车辆必须能够准确地根据驾驶员意图和车辆的性能传达信息。这就是SAE3级系统面临的实际情况,人类期望回归到监测任务和驾驶职责,但当人从驾驶任务中退出以后,又往往难以时刻保持警觉,因此也考虑配套驾驶员监视系统。
 系统应该至少能够通知操作员或乘员HAV系统的以下状态:1) 功能正常;2) 自动驾驶模式已开启;3) 自动驾驶不可用;4) HAV系统故障;5) 从系统切换至驾驶员。在有些设计成为无需驾乘人员操作的HAV,控制中心应能随时知道HAV的现状。
6) 防撞性 <乘员保护>HAV需要满足NHTSA碰撞性标准,因为,无论对HAV防撞能力的如何,整车厂和其他机构仍然需要考虑另一辆车撞到他们的可能性。此外,乘员保护系统即使在传感器故障的情况下,也应保持其预期的性能水准。
<兼容性>用于提供产品运输服务或其他没有驾乘人员的HAV,也应达到适合该种车型的车辆碰撞相容性预期值。这些车辆应提供与现存车辆几何及能量吸收的碰撞相容性 (不会对碰撞的对方车辆造成过大的损伤)。
7) 客户教育与培训  HAV的制造商、经销商等单位需要向消费者开展HAV与传统车辆驾驶的差异、HAV系统的能力和局限、接管和托管方法、人机界面、紧急退出自动驾驶场景等方面的教育。
 作为他们的教育和培训项目,应考虑在售卖给消费者之前,在实际道路进行经验教授,来展示HAV的操作和功能。
8) 注册与认证  NHTSA了解到,在车辆的生命周期中,由于软件更新,车辆的自动化水平可能会有所改变。旧车可能会被修改,新增自动驾驶的功能。
 NHTSA目前要求车辆和车辆零部件必须符合FMVSS的规定。要求提交与HAV系统相关产品的明细报告。
 HAV的整车厂关于各HAV的“HAV系统的设计适用范围 (Operational Design Domain)”,必须在车主手册或车内的HMI上明示时速、行驶的地理范围、天气及其他相关性能和限制等。
9) 碰撞后反应  整车厂和其他机构应该对于他们的HAV设备在车祸后如何恢复正常服务的流程进行明示。如果某些传感器或者关键的安全控制系统被破坏,该车辆则不允许以HAV模式继续行驶。当问题被诊断出后,HAV需保持最低风险状况直到得到恰当的维修。
10) 联邦政府与州政府法规  制造商和企业应该制作详细文件,说明他们打算如何遵守所有适用的联邦政府与州政府法规。
 为躲避路上的故障车辆而穿过分离行车方向的双黄线、避免其他道路危险等,人类驾驶员可以暂时违反州机动车驾驶的法律某些特定部分。可以预期的是,HAV有能力安全地处理可预见的事件。还考虑留下影像记录。
 州与州的交通法规有所不同 (甚至城市与城市之间),HAV应该能够适应所有法规。包括单行道、Right-on-red (转为红灯后才能右转的路口)等。鉴于法律法规将不可避免地随着时间变化,应该持续更新HAV系统,来应对新的法律要求。
11) 道德考量  由HAV的计算机驾驶员做出的很多决策,将上升到道德维度。是由程序化决策规则甚至在没有明确道德规则情况下的机器学习过程。确保这样的决策是有意识的。
 大多数车辆运营商的三个合理目标是安全性、流动性和合法性。当前方有事故车辆等障碍物,无法前进时,这三个目标的实行可能会发生冲突。大多数州都禁止机动车超过双黄线,如果车辆越过双黄线前进的话,流动性就可能与安全性、合法性产生冲突。
 当针对两辆汽车的乘员时,安全性就可能产生冲突。在这种情况下,它可能是以其中一个人的安全为代价。在这种两难的情况,HAV系统的决策程序将会对每一个相关人员的未来产生重要影响。必须在众多相关人员之间保持公开,并考虑到到HAV行为造成的后果再作决定。
资料:NHTSA Federal Automated Vehicle Policy 



适用于3~5级自动驾驶车 (HAV) 的项目

 以下4项中,3项适用于3~5级HAV (Highly Automated Vehicle),“测试方法”适用于所有自动驾驶车。

 关于各HAV,12) 明确“HAV系统设计的适用范围”(HAV系统安全运行的条件 (地区、道路类型、车速等));13) 确认“目标和意外的检测和响应”(设想在何种形式环境下,如何发现并应对 (列举了一般行驶、执行高速合流等28个例子)。以及发生碰撞时,需要明确在何种条件下可能发生碰撞以及如何避免。

 如果系统仍陷入失控状态时,将车安全停在路肩等,必须进行14) “自动驾驶功能退出”,将风险最小化。3级自动驾驶车需要根据系统的要求由驾驶员接管驾驶,4~5级必须由系统独力进行“自动驾驶功能退出”。

适用于HAV (3~5级) 的指南

12) HAV系统设计的适用范围 (ODD)  英文原文是Operating Design Domain (ODD)。表示为了使HAV能够安全运行设计的适用范围和条件,是指道路类型、地域、时速、天气和时间等条件。ODD表示HAV的能力和局限性。如果HAV偏离这个范围时,就必须结束HAV系统,进行“自动驾驶功能退出”。
13) 目标和意外的检测和响应 (OEDR)   英文原文是Object and Event Detection and Response (OEDR)。当HAV系统按照既定的ODD自动驾驶时,如遇到需要需要应对的对象物体或事件,整车厂需要在文件中确认HAV系统会发现并进行恰当的应对。
 指南分为正常行驶和防撞两大类,其中正常行驶列举了28种情况。例如,执行高速合流、检测可超车和不可超车区域并进行超车操作、检测交通信号和优先道路 (车辆、行人)、通过环岛等。 
 在防撞方面,HAV应该能够应对的事故前场景包括正面碰撞、变道/合流、停车等情况下发生的所有碰撞。只要是在既定的Domain内,可以妥善处理如救护车、临时施工、警察指挥引导交通等特殊状况。如果有不能安全运行,HAV应该退出到一个最小的风险状况。
14) 自动驾驶功能退出  英文原文是Fall Back (Minimal Risk Condition)。Fall back被翻译为“退化驾驶”等,当系统功能失灵时,即使功能有所限制,仍进行有限的驾驶,避免车辆车辆完全停下。
 当HAV系统发生问题时,3级自动驾驶车会通知驾驶员接管车辆,而4~5级自动驾驶车则必须能够退回到一个无人类驾驶员的最小的风险状况。一个最小的风险状况根据给定的故障的类型和程度会有所不同,包括自动将车辆安全停车,最好是在没有被交通使用的车道上。
 3级自动驾驶车应该考虑到——尽管法律法规明确反对——但是驾驶员可能还是会无法专心驾驶。驾驶员接管操作也应尽量减少在手动控制转换以及之后的过程中人类驾驶员识别和决策的错误所带来的影响。
15) 测试方法  不同级别的自动驾驶功能有不同的目标、技术与需求,制造商应该建立测试与验证的方法,以确保高级自动驾驶汽车在高安全级别运行。
 测试应当展示的自动驾驶汽车(HAV)系统性能包括以下三部分:在正常操作时的性能;在防撞情况下的性能;以及与设计的适用范围(ODD)有关的退出自动驾驶策略的性能。测试方法应该包括一系列模拟、试车场测试以及上路测试,也可由第三方实施。
资料:NHTSA Federal Automated Vehicle Policy 


2级自动驾驶指南:寻求驾驶员过度依赖系统的风险对策

 前11项以及“测试方法”的指南还适用于2级自动驾驶车。

 此外,2级自动驾驶车虽然由自动驾驶系统负责驾驶,但驾驶员仍需始终监控行驶环境。但实际上也存在驾驶员过于依赖系统,未能充分监控、或者在需要接管驾驶时无法进行驾驶。NHTSA在这方面要求整车厂提出彻底的对策,“如果驾驶员散漫或疏忽,在发生重大安全事故时,可能导致无法控制车辆,如果存在这种风险,NHTSA可以要求整车厂进行召回。

 此外,2级自动驾驶应该提供一个监控驾驶员状态的系统,如判断驾驶员没有做好接管驾驶的准备,应由系统主导,使车辆过渡到最小风险状态。

 据悉,针对2级的指南是来自于2016年5月,搭载相当于2级的Autopilot系统的特斯拉Model S发生的死亡事故。



安全评估项目对3~5级 (HAV) 与2级的适用

 以上安全评估项目对各级HAV的适用情况整理至下表。

本指南对3~5级 (HAV) 和2级的适用

  3~5级 (HAV) 2级
向NHTSA提交安全评估结果
1) 数据记录与共享
2) 隐私
3) 系统安全
4) 网络安全
5) 人机界面 (HMI)
6) 防撞性
7) 客户教育与培训
8) 注册与认证
9) 碰撞后反应
10) 联邦政府与州政府法规 向驾驶员明示
11) 道德考量
12) HAV设计的适用范围 (ODD)
13) 目标和意外的检测与响应 (OEDR)
14) 自动驾驶功能退出
(Fall back minimal risk condition)
15) 测试方法
对2级自动驾驶车的指南
资料:NHTSA Federal Automated Vehicle Policy 

关键词

自动驾驶车、NHTSA、指南、分级

<全球汽车产业平台 MarkLines>