在过去的十年里,排队驾驶技术取得了重大进展,但要实现下一步,需要一个完整的多品牌方法。
项目目标有:
-
第一年:制定有验收标准的规范和参考设计。
-
第2年:在OEM本参考设计应在自己的卡车上进行,并根据多个标准进行影响评估。
-
第三年:重点测试跑道和国际公共道路上的多品牌车队。
可交付结果包括SOTIF(预期功能安全)要求A级车队在定义的设计运行域内运行。A集合中级车队的定义如下(详见更详细规范)D2.4):
-
有燃油节约、安全、物流等优点。
-
纵向自动化带有故障操作,而不是横向自动化。
-
0.8到1.4秒之间的距离(尽可能接近)需要新的垂直功能,如制动性能计算和安全功能,如冗余制动功能和附加传感器。
-
该系统控制车辆的纵向功能安全。
交付结果由三部分组成:
-
介绍:本部分概述SOTIF分析背后的基本概念。
-
SOTIF风险识别和风险评估:本部分总结了与A级车队相关的所有已知不安全情况,并分析了相关风险。它还总结了解决安全风险的定义。
-
SOTIF安全要求:根据危险识别和风险评估后定义的对策SOTIF安全要求。
本节用于预期功能安全(SOTIF)活动关键词汇表。
注:为保持一致性,摘自以下定义J3016、ISO 21448和ISO 26262。
-
Operation Design Domain (ODD):给定驾驶自动化系统或其功能专门设计的操作条件,包括但不限于环境、地理和时间限制,和/或某些必要存在或不存在的交通或道路特征。”
-
Use case 用例:车辆可能使用的具体情况。
-
Operational situation 操作情况:车辆使用期间可能发生的场景
-
Scenario 场景:描述一系列场景中几个场景之间的时间发展。
图1 场景(虚线)作为事件(边)和场景(点)的时间序列
-
Scene 场景:环境快照,包括风景、动态元素、所有参与者和观察者的自我表达,以及这些实体之间的关系。
-
Misuse 误用:系统制造商不希望使用系统。误用可能是由于对系统性能的过度信心。误用还包括未指定的人为行为,但不包括故意改变系统的人为行为。
-
Triggering Events 触发事件:驾驶场景的具体条件是可能导致危险事件后续系统反应的发起人。例如,当车队行驶时,车辆错误地将路标识别为指导车辆,导致Xg制动Y秒。
-
Hazard 风险:功能非预期行为造成的潜在伤害源。
-
Hazardous Event 风险事件:危险与操作的结合
-
Harm 危害:物理损害或人类健康损害
-
Hazardous Event Model 风险事件模型:下图提供潜在的SOTIF相关风险事件模型的可视化
图2 危险事件模型(ISO/PAS 21448)
报告包括两个主要部分。
这部分记录了对车队不安全的已知不安全场景,并将其与相关触发事件结合起来,分析其潜在的危险后果。然后评估这些危害的风险水平。如果适用,确定对策,将风险降低到可接受水平。
1. SOTIF与FuSa的区别
ISO 用于识别与每种危害相关的风险的方法。SOTIF不处理故障,场景类别不会分类。风险评估仅基于危险事件的可控性和严重性。
2. 定义风险等级
风险等级从1到6,低于2的风险被视为低风险、2-4中等风险和5-6高风险。风险越高,安全机制的完整性就越高。
3. 处理SOTIF的三个问题
通过回答三个主要问题,对导致危险的各种情况采取了对策:
-
场景(和触发事件)是否属于当前A级车队的操作设计域(ODD)?如果是,那么
车队的安全反应只涉及纵向控制吗?
-
如果上述两个问题的答案是肯定的,应在没有任何驾驶员干预的情况下处理(即车队功能自动处理)。系统和驾驶员之间不允许ODD纵向控制责任由内部分担。
-
如何改进功能来处理这种情况?
SOTIF分析的所有用例都遵循三个问题的此套方法。
本部分将风险识别和风险评估活动后定义的对策细化为以下四种安全要求:
-
应用需求:车队功能需求。
-
通信要求:在卡车之间建立V2V通信要求。
-
人机界面HMI要求:驾驶员与车队系统的交互要求。
-
司机要求:司机要求。
本节包括各种安全研讨会和讨论的危害识别和风险评估活动的结果。
本次活动分析了七种不同的用例:
-
:这些用例包含由基础设施(如收费站、隧道、车道上的障碍物等)或其他外部因素(如恶劣天气条件、GPS信号丢失等)引起的触发事件。
-
:这些用例包括导致车队卡车完全紧急制动的触发事件。
-
:这些用例包括与外部车辆入侵车队有关的触发事件。
-
:这些用例包括车队功能固有的触发事件(如增加或减少时间间隔,从后面添加等。
-
:这些用例包括驾驶员与功能交互的触发事件(如驾驶员强制控制返回、未知车道变更等。
-
:这些用例包括与卡车通信相关的触发事件。
-
:即使不是SOTIF但这里分析的一部分是非EE轮胎爆裂、漏油等故障相关用例。
主卡车在稳态行驶过程中丢失GPS信号
| 场景描述: |
|
| 操作情况 |
场景:在高速公路上以每小时80公里的速度常行驶。 环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。 系统状态:任意组队驾驶模式。 |
| 触发事件 |
GPS信号丢失。 |
| 结果 |
卡车无法准确估计自己的位置。 |
| 危害 |
GPS丢失的影响尚不清楚。 在规范说明完成后定义。 |
| 风险评估: |
|
| 严重性(S0 - S3级) |
- |
| 严重性的合理性 |
- |
| 可控性(C0-C3级) |
- |
| 可控性的合理性 |
- |
| 风险值 |
待定义。 |
| 对策定义: |
|
| 对策 |
要求:无论GPS信号是否可用,卡车应继续发送PCM(车队控信息)。 |
| 合理性 |
该功能的GPS信号用途尚未定义。 因此,丢失GPS信息的后果不得而知。 一旦规范可用,将重新分析这种情况。 |
当其他车辆试图进入或离开高速公路时,车队正在接近高速公路入口/出口匝道。
| 场景描述: |
|
| 操作情况 |
情景:在高速公路上以每小时80公里的速度正常行驶。 环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。 系统状态:在稳态模式下车队成一车队。 |
| 触发事件 |
车队接近公路入口/出口匝道。 |
| 结果 |
其他道路车辆在整个车队通过之前不能驶出/进入高速公路。 |
| 危害 |
在入口匝道或出口匝道附近(高速公路上)停车的其他道路车辆可能会在入口车道上造成追尾碰撞,或者一些车辆可能试图强行切入而不是等待。 |
| 风险评估: |
|
| 严重性(S0 - S3级) |
S3 |
| 严重性的合理性 |
在高速公路上,外部车辆和一个车队之间的事故可能会导致危及生命的伤害。 |
| 可控性(C0-C3级) |
C2 |
| 可控性的合理性 |
高速公路入口匝道: 这种情况是完全可控的,因为大多数插队的司机会等待车队经过后再进入高速公路。但在极少数情况下,如果车队太长,驾驶员可能会失去耐心,或者进入入口匝道的新驾驶员可能没有注意到停车的车辆,从而导致追尾(C1级)。 公路出口匝道: 这种情况更难控制,因为任何左车道上试图驶出高速公路的车辆都会遇到车队,车队没有足够的空间通过。超车可能很容易控制,但从外部车辆产生的错误反应会导致主动刹车或停止在中间的公路,这是难以控制的(C2级)。 |
| 风险值 |
5(高风险)。 |
| 对策定义: |
|
| 对策 |
-这种情况应该是ODD的一部分。 -这种情况的探测不会自动进行。 -在这种情况下,不应修改现有功能: l如果区域策略需要,则自动增加时间间隔。 l如果不存在区域策略,则对于A级功能应在当前状态下继续车队队。 每名卡车司机仍有权自行决定是否要通过降低速度、增加时间间隔或退出车队而让路。 |
| 合理性 |
每次进入或离开匝道时增加或减少时间间隔或速度是低效的(平均每2 -3公里)。这将破坏为了效率而列队的目的。 此外,由于增加了时间间隔,这就鼓励了插队。 对于出口匝道,车辆通常会提前计划好他们的出口,并将自己置于车队的后面。 最后一个动作的任何切入动作都将被视为切入事件。 除非一个车队的卡车数量很高(>5辆),否则不应该产生安全问题。 如果使用匝道的车辆遵守交通规则,则不会产生危险。 注:德国道路运输当局已要求采取特殊措施来处理高速公路入口/出口匝道。 注释:入口和出口将被视为切入点。 |
车队正在接近一个收费站
| 场景描述: |
|
| 操作情况 |
情景:在高速公路上以每小时80公里的速度正常行驶 环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……) 系统状态:任意组队驾驶模式 |
| 触发事件 |
车队正在接近一个收费站。 |
| 结果 |
由于对收费基础设施的干扰,车辆之间的V2V通信受到限制。 |
| 危害 |
卡车可能无法通过V2V传输安全关键信息,这可能使保持0.8秒的时间间隔不安全。 |
| 风险评估: |
|
| 严重性(S0 - S3级) |
S2 |
| 严重性的合理性 |
由于卡车在接近收费站时已经减速,所以低速碰撞可能不会造成危及生命的伤害。 |
| 可控性(C0-C3级) |
C2 |
| 可控性的合理性 |
由于车辆正在减速并接近收费站,司机会更加关注情况,任何异常行为通常都是可控的。 |
| 风险值 |
4(中风险)。 |
| 对策定义: |
|
| 对策 |
-这种情况应该是ODD的一部分。 -这种情况的探测不会自动进行。 -在这种情况下,不应修改现有功能: l如果区域政策限制通过V2I进行沟通,则每辆卡车应降低V2V通信无线电的功率水平(正常功能的一部分)。 l如果没有区域政策要求(降低速度,车辆之间的最小距离,…)是可用的,那么该功能不需要为开过收费站做任何特定的事情。车队应保持当前状态。 l如果任何卡车经历了信息/通信的损失(例如,由于功率减少或在收费时分离),那么遵循功能安全概念所定义的V2V安全关键信息丢失策略。 |
| 合理性 |
在整个欧盟,收费站并不相同。甚至一些国家(如意大利和西班牙)的自动收费站有分隔车辆的大门,直到电子标签被读取和清除。这将打断整个车队。 并不是所有的收费站都有V2I通信来自动化收费过程。 如果区域政策信息是可用的(通过V2I或地图),那么车队应该按照指示减少无线电功率,降低速度,保持最小差距…如果没有可用的信息,则继续保持以前的状态。 任何司机都可以随意减速、转向或离开车队。 |
车队正在接近一个施工区域
| 场景描述: |
|
| 操作情况 |
情景:在高速公路上以每小时80公里的速度正常行驶。 环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。 系统状态:任意组队驾驶模式。 |
| 触发事件 |
车队正在接近一个施工区域。 |
| 结果 |
车队需要减速或改变车道,或者两者同时进行。 |
| 危害 |
前车在没有事先通知的情况下改变车道或刹车,可能会使后车容易发生事故 |
| 风险评估: |
|
| 严重性(S0 - S3级) |
S3 |
| 严重性的合理性 |
在建筑区域发生的卡车事故可能会导致危及生命的伤害,尤其是当人们在建筑工地工作时。 |
| 可控性(C0-C3级) |
C3 |
| 可控性的合理性 |
即使领头的卡车能够察觉到情况并做出反应(例如通过转向),如果没有提前通知其他队伍,他们将无法控制情况。 |
| 风险值 |
6(高风险)。 |
| 对策定义: |
|
| 对策 |
-这种情况应该是ODD的一部分。 -这种情况的探测不会自动进行。 -在这种情况下,不应修改现有功能: l前车应按区域要求减速。 l如果前进车辆刹车,队列会自动刹车。 l如果前方车辆转向,则每个驾驶员都有责任做出适当的反应(A级驾驶员的横向控制是手动的)。 没有司机有权让整个车队的人脱离。领班司机或其他司机可以随意离开队伍。 |
| 合理性 |
对于建筑区域中遇到的情况,人们的反应各不相同,从简单的降低速度到复杂的改变车道、探测锥状物体、避开障碍物……因此,纵向和横向控制的结合是必要的。 这在A级队列中是不可能自动实现的.功能将保持不变。如果领头的车辆减速或刹车,那么整个队伍都会做出相应的反应。如果需要转向干预,那么按照A级的定义,每个司机都要负责卡车的横向控制。 由于这一附加的含义尚不清楚,因此不会在卡车上引入警告/保持警觉按钮,以使司机意识到特别区域。这将在运行测试和从驾驶员那里得到反馈后进行分析. 领头的卡车司机在车队中没有任何额外的责任。 通过施工区域时的额外风险:当改变车道时,经常需要通过中央预留区(中间地带)。这可能会导致偏航率、横向加速度等。测量值的抖动超过横向加速度阈值可能导致跟随者紧急制动,因为这被评估为规避操纵evasive manoeuvre。 |
车队正在接近一个需要特殊区域政策的区域(桥梁,城市界限)。
| D2.2中的相关用例 |
|
| 用例ID |
3.4.1 |
| 标题 |
由于I2V交互作用的车队空隙适应 |
| 场景描述: |
|
| 操作情况 |
情景:普通组队驾驶,然后战略层发布区域政策。 环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。 系统状态:任意组队驾驶模式。 |
| 触发事件 |
主体车辆从战略层收到一个区域策略,位置决定了该策略是适用的。 |
| 结果 |
区域政策必须以安全的方式执行。 |
| 危害 |
区域策略可能无法检测到,导致系统(车队)进入不安全状态。 |
| 风险评估: |
|
| 严重性(S0 - S3级) |
S3 |
| 严重性的合理性 |
在特殊区域涉及卡车的事故。 |
| 可控性(C0-C3级) |
C1 |
| 可控性的合理性 |
由于领头卡车司机仍然负责横向和纵向控制,情况应该是简单可控的。 |
| 风险值 |
4(中风险)。 |
| 对策定义: |
|
| 对策 |
-这种情况应该是ODD的一部分。 -这种情况的探测不会自动进行。 -在这种情况下,应修改现有功能: l每辆卡车应能识别其当前路线适用的区域政策。 l每辆车的速度和时间差应自动调整,以满足区域的政策要求。 |
| 合理性 |
目前,园区政策只通过路标传达。 如果无法通过V2I通信获取区域警务信息,那么车辆就需要配备先进的道路标志识别技术和地理围栏动态地图。 根据A级定义,所有区域策略的检测都应该是自动化的。如果涉及纵向控制,司机不承担任何检测和反应责任。每辆车应执行检测区域政策(V2I、摄像头、地图等)的机制。 所有的道路政策都不限于限速。例如,区域政策要求保持车辆之间的最小距离(如隧道内)或区域政策要求打开头灯。 该项目更喜欢由基础设施(V2I)自动检测区域策略。这意味着基础设施将在安全方面发挥作用/承担责任。 或者,每辆车应实施车载系统,自动检测区域政策。 讨论了在任何卡车检测到区域策略时传递信息的想法,但是因为如果从不同的卡车接收到不同的消息,可能会有法律影响和问题!所以,每辆卡车都要对自己的决定负责。 对于演示,每个驱动程序将负责独立地检测和遵守规则。 |
车队收到一份不适合当前情况的区域政策指示。
| 场景描述: |
|
| 操作情况 |
情景:普通组队驾驶,然后战略层发布区域政策。 环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。 系统状态:任意组队驾驶模式。 |
| 触发事件 |
主体车辆从策略层收到一个区域策略,位置决定该策略是适用的,但该请求对当前的交通/情况不安全。 |
| 结果 |
必须执行区域策略,但必须确保它是有效的,没有风险。 |
| 危害 |
区域政策对目前的交通状况可能是错误的或不安全的(例如,在车辆很少的高速公路上限速30公里每小时) |
| 风险评估: |
|
| 严重性(S0 - S3级) |
S3 |
| 严重性的合理性 |
在特殊区域涉及卡车的事故。 |
| 可控性(C0-C3级) |
C2 |
| 可控性的合理性 |
有错误的区域政策信息对当前的交通状况是不安全的,这可能是危险的,但由于领队司机的任务不是自动化的,情况通常是可控的。 |
| 风险值 |
5(高风险)。 |
| 对策定义: |
|
| 对策 |
不属于SOTIF的一部分,将进行功能安全分析。 |
| 合理性 |
来自基础设施的信息是错误的。这应该在功能安全的范围内,因为在基础设施执行方面存在故障。因此,基础设施也应满足安全要求,具有安全完整性水平。 |
车队在车道上遇到意想不到的障碍。
| 场景描述: |
|
| 操作情况 |
情景:在高速公路上以每小时80公里的速度正常行驶 环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。 系统状态:任意组队驾驶模式。 |
| 触发事件 |
车队在车道上遇到意想不到的障碍。 |
| 结果 |
这个车队将不得不采取规避动作以避开障碍物。 |
| 危害 |
前车在没有事先通知后车的情况下变道或刹车,可能使后车容易发生事故 |
| 风险评估: |
|
| 严重性(S0 - S3级) |
S3 |
| 严重性的合理性 |
车队在路上与障碍物相撞的事故会导致生命危险,特别是当障碍物是像巨石、木箱(从另一辆车上掉下来的)等硬物品时。 |
| 可控性(C0-C3级) |
C3 |
| 可控性的合理性 |
即使领头的卡车能够察觉到情况并做出反应(例如通过转向),如果障碍直到最后一刻都不可见,那么其他队伍将无法控制情况。 如果障碍物从车队中的一辆车上掉下来,情况就特别危急。 |
| 风险值 |
6(高风险)。 |
| 对策定义: |
|
| 对策 |
-这种情况可能在ODD中出现。 -卡车不会侦测到车道上的障碍物,但会侦测到前方卡车突然的转向动作。 -在这种情况下,应修改现有功能: l每辆卡车应将其转向信息传送给后面跟随的卡车(转向角度、偏航率等)。 l如果车队中在前面行驶的卡车进行猛烈且突然的转向操作,则后面的卡车应进行紧急制动操作。 l如果有驾驶员超控制动(通过油门踏板输入),则制动失效,功能进入待机模式。 l一旦被超控,该功能应等待驾驶员的恢复输入,以重新开始车队行驶。 |
| 合理性 |
将ADAS功能强制用于领头的车辆将如何影响这种情况? l当前ADAS系统无法检测到如箱子、巨石、动物等的非金属障碍物。因此,强制执行ADAS功能(如ACC)并不适用于所有情况。 向后面的车辆发出ADAS警告会如何影响情况? l将自动警告传输到后面的卡车可能没有帮助,因为要传输的信息既不清楚(ADAS警告?),也不是每种情况下所需的反应(转向?刹车?增加时间间隔等) 我们能对领头的卡车司机施加任何转向限制吗?例如,如果可能,制动,而不是转向? l不得对领头的卡车驾驶员施加任何限制(例如,不得突然转向,始终制动以避免碰撞等),因为这些限制无法以实际方式实施。 A级的最佳解决方案: 1. 如果前方车辆制动以避开障碍物,则后面的卡车将在任何情况下制动(纵向控制是自动的)。 2. 如果前方车辆突然转向(根据横摆率或转向速度检测),则后续车辆应自动施加紧急制动(>4 m/s2)。 3. 如果任何驾驶员超控制动(通过油门踏板输入),则应禁用制动,并且该功能应进入待机模式。 4. 一旦被超控,该功能应等待驾驶员的恢复输入,以重新开始车队行驶。 后面的卡车驾驶员仍然负责转向。 |
车队在路肩上遇到意外物体/车辆。
| 场景描述: |
|
| 操作情况 |
情景:在高速公路上以每小时80公里的速度正常行驶。 环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。 系统状态:任意组队驾驶模式。 |
| 触发事件 |
车队接近一个停在车道边缘附近的意外物体。 |
| 结果 |
该车队将不得不采取规避转向操纵,以避免驾驶的极度接近障碍物。 |
| 危害 |
由于缺乏预期,后面车辆将无法准备转向操纵。 |
| 风险评估: |
|
| 严重性(S0 - S3级) |
S2 |
| 严重性的合理性 |
由于障碍物位于路肩上且未完全位于车道内,因此与位于车道内的障碍物相比,发生危及生命的伤害的概率较低。 |
| 可控性(C0-C3级) |
C2 |
| 可控性的合理性 |
由于在A级车队中,卡车的横向运动由驾驶员控制,因此情况通常是可控的。 |
| 风险值 |
4(中风险)。 |
| 对策定义: |
|
| 对策 |
-这种情况可能在ODD中出现。 -卡车不会侦测到车道上的障碍物,但会侦测到前方卡车突然的转向动作。 -在这种情况下,应修改现有功能: l每辆卡车应将其转向信息传送给后面跟随的卡车(转向角度、偏航率等)。 l如果车队中在前面行驶的卡车进行猛烈且突然的转向操作,则后面的卡车应进行紧急制动操作。 l如果有驾驶员超控制动(通过油门踏板输入),则制动失效,功能进入待机模式。 l一旦被超控,该功能应等待驾驶员的恢复输入,以重新开始车队行驶。 |
| 合理性 |
将ADAS功能强制用于领头的车辆将如何影响这种情况? l当前ADAS系统无法检测到如箱子、巨石、动物等的非金属障碍物。因此,强制执行ADAS功能(如ACC)并不适用于所有情况。 向后面的车辆发出ADAS警告会如何影响情况? l将自动警告传输到后面的卡车可能没有帮助,因为要传输的信息既不清楚(ADAS警告?),也不是每种情况下所需的反应(转向?刹车?增加时间间隔等) 我们能对领头的卡车司机施加任何转向限制吗?例如,如果可能,制动,而不是转向? l不得对领头的卡车驾驶员施加任何限制(例如,不得突然转向,始终制动以避免碰撞等),因为这些限制无法以实际方式实施。 A级的最佳解决方案: 1. 如果前方车辆制动以避开障碍物,则后面的卡车将在任何情况下制动(纵向控制是自动的)。 2. 如果前方车辆突然转向(根据横摆率或转向速度检测),则后续车辆应自动施加紧急制动(>4 m/s2)。 3. 如果任何驾驶员超控制动(通过油门踏板输入),则应禁用制动,并且该功能应进入待机模式。 4. 一旦被超控,该功能应等待驾驶员的恢复输入,以重新开始车队行驶。 后面的卡车驾驶员仍然负责转向。 |
车队在路上遇到人类或大型动物(动态障碍物)。
| 场景描述: |
|
| 操作情况 |
情景:正常驾驶时,前方道路上有人/动物。 环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。 系统状态:任意组队驾驶模式。 |
| 触发事件 |
主体车辆需要被告知或感知道路上的人/动物。 |
| 结果 |
主体车辆必须考虑人类/动物的不可预知的运动。 |
| 危害 |
主体车辆有撞到人/动物的危险。 |
| 风险评估: |
|
| 严重性(S0 - S3级) |
S3 |
| 严重性的合理性 |
涉及动物的事件中所发生的严重伤害通常发生在随后发生的事件中,即车辆驶离道路时或与其他道路参与者相撞。 |
| 可控性(C0-C3级) |
C3 |
| 可控性的合理性 |
即使领头卡车能够检测到情况并作出反应(例如通过转向),如果没有事先通知后面的卡车情况就进行没有制动的规避操作,则车队的其他成员也将无法控制情况。 |
| 风险值 |
6(高风险)。 |
| 对策定义: |
|
| 对策 |
-这种情况可能在ODD中出现。 -卡车不会侦测到车道上的障碍物,但会侦测到前方卡车突然的转向动作。 -在这种情况下,应修改现有功能: l每辆卡车应将其转向信息传送给后面跟随的卡车(转向角度、偏航率等)。 l如果车队中在前面行驶的卡车进行猛烈且突然的转向操作,则后面的卡车应进行紧急制动操作。 l如果有驾驶员超控制动(通过油门踏板输入),则制动失效,功能进入待机模式。 l一旦被超控,该功能应等待驾驶员的恢复输入,以重新开始车队行驶。 |
| 合理性 |
将ADAS功能强制用于领头的车辆将如何影响这种情况? l当前ADAS系统无法检测到如箱子、巨石、动物等的非金属障碍物。因此,强制执行ADAS功能(如ACC)并不适用于所有情况。AEB VRU系统在高速下不工作。 向后面的车辆发出ADAS警告会如何影响情况? l将自动警告传输到后面的卡车可能没有帮助,因为要传输的信息既不清楚(ADAS警告?),也不是每种情况下所需的反应(转向?刹车?增加时间间隔等) 我们能对领头的卡车司机施加任何转向限制吗?例如,如果可能,制动,而不是转向? l不得对领头的卡车驾驶员施加任何限制(例如,不得突然转向,始终制动以避免碰撞等),因为这些限制无法以实际方式实施。 A级的最佳解决方案: 1. 如果前方车辆制动以避开障碍物,则后面的卡车将在任何情况下制动(纵向控制是自动的)。 2. 如果前方车辆突然转向(根据横摆率或转向速度检测),则后续车辆应自动施加紧急制动(>4 m/s2)。 3. 如果任何驾驶员超控制动(通过油门踏板输入),则应禁用制动,并且该功能应进入待机模式。 4. 一旦被超控,该功能应等待驾驶员的恢复输入,以重新开始车队行驶。 后面的卡车驾驶员仍然负责转向。 |
这个车队正在接近一条高速公路的弯曲路段。
| 场景描述: |
|
| 操作情况 |
情景:在高速公路上以每小时80公里的速度正常行驶。 环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。 系统状态:任意组队驾驶模式。 |
| 触发事件 |
车队接近弯曲车道(最大公路限制)。 |
| 结果 |
单个卡车的速度需要根据其负载进行稳定性调整。 |
| 危害 |
低估曲率会使重型卡车不稳定。 |
| 风险评估: |
|
| 严重性(S0 - S3级) |
S3 |
| 严重性的合理性 |
在公路上,由于卡车驾驶员不当的转向操纵而造成的事故可能导致危及生命的伤害。 |
| 可控性(C0-C3级) |
C1 |
| 可控性的合理性 |
以80 km/h的速度行驶时,时差为0.8秒,后面卡车驾驶员被前方卡车阻挡的视野约为8度(假设卡车宽度为2.4米)。由于人在水平道路上的视野约为210度,因此可以假设此情况是简单可控的。 |
| 风险值 |
4(中风险)。 |
| 对策定义: |
|
| 对策 |
-这种情况可能在ODD中出现。 -应自动检测情况。 -在这种情况下,应修改现有功能: l该功能应自动检测影响纵向控制的条件,如道路曲率、道路摩擦力、卡车负载等。 l每辆卡车应自动将其速度和时间间隔调整到安全水平。 l应通过HMI通知驾驶员性能降低的情况。 l只要卡车之间保持通信,车队将继续行进。 |
| 合理性 |
由于对于A级,后面卡车的纵向控制是自动的,车队功能应能够检测影响安全的条件,如道路曲率、道路摩擦力、卡车负载、坡度等并自动将其卡车的速度和时间间隔调整到安全水平。 |
该车队正在接近拥挤繁忙,不断变化的道路状况。
| D2.2中的相关用例 |
|
| 用例ID |
3.2.1 |
| 标题 |
跟随停车在主要车流 |
| 场景描述: |
|
| 操作情况 |
情景:高速公路上的交通变得拥挤,速度降低。 环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。 系统状态:任意组队驾驶模式。 |
| 触发事件 |
主体汽车需要调整速度。列队插车、列队解散具有更高的可能性。 |
| 结果 |
卡车周围的情况变得更加复杂。 |
| 危害 |
主体汽车可能无法构建环境的适当图像。 |
| 风险评估: |
|
| 严重性(S0 - S3级) |
S1 |
| 严重性的合理性 |
由于所有的交通参与者都是低速行驶,并且假定高速公路上没有行人,碰撞可能会导致轻到中度的伤害。 |
| 可控性(C0-C3级) |
C1 |
| 可控性的合理性 |
由于驾驶员在交通繁忙的情况下更加专注,并且此时车辆处于低速状态,因此大多数驾驶员很容易控制这种情况 |
| 风险值 |
2(低风险)。 |
| 对策定义: |
|
| 对策 |
-这种情况可能在ODD中出现。 -应自动检测情况。 -在这种情况下,不应修改现有功能: l后面的车辆应根据前方车辆的行为调整速度。 l所有卡车司机仍负责横向控制。 l插入列队按任何其他情况所定义的进行处理。 |
| 合理性 |
在A级,可以根据交通情况自动调整队列的速度(纵向控制)。 即使是插入列队也由相同的纵向控制功能处理。 如果需要转向干预,根据A级定义,每个卡车驾驶员应自行处理。 让路给其他车辆将使该车队在以后难以恢复统一。因此,不建议以自动方式增加时间间隔。 如果任何卡车驾驶员认为当前关于车队功能的条件不稳定,他可以离开车队。 |
车队遇到一辆紧急车辆。
| 场景描述: |
|
| 操作情况 |
情景:车队正常驾驶,遇到紧急车辆接近(从任何方向)时。 环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。 系统状态:任意组队驾驶模式。 |
| 触发事件 |
主体车辆需要探测紧急车辆。 |
| 结果 |
为了解决这个问题,必须尽早通知司机。 |
| 危害 |
司机可能没有反应,主体车辆可能会阻塞紧急车辆。 |
| 风险评估: |
|
| 严重性(S0 - S3级) |
S3 |
| 严重性的合理性 |
在紧急情况下,紧急车辆不需要完全遵守交通法规,因此,如果车队中的驾驶员不立即交还车辆管理权,就有可能与车队发生碰撞。 比如救护车在对面车道行驶、在硬路肩行驶、越过白色实线等。 |
| 可控性(C0-C3级) |
C2 |
| 可控性的合理性 |
如果后面的卡车司机很注意,并且警笛清晰可闻(不是强制性的),那么情况通常是可控的。但如果不是这样,因为司机只有不到一秒钟的时间来分析情况并采取适当的行动,所以很难控制其执行一些违反交通法规的行为以对紧急车辆进行反应。 |
| 风险值 |
5(高风险)。 |
| 对策定义: |
|
| 对策 |
-这种情况可能在ODD中出现。 -应自动检测情况。 -在这种情况下,不应修改现有功能: l如果前面的车辆刹车,车队会自动刹车。 l如果在前面行驶的车辆转向,那么由于A级车辆的横向控制是手动的,每个驾驶员都需要做出适当的反应。 l如果任何一名驾驶员决定让路,他们可以通过转向或刹车单独行动。 |
| 合理性 |
因为在A级车队中,队列将保持在最慢的车道上,所以它不应该挡在急救车辆的路上。 由于转向系统不是自动的,在A级系统中,只能通过纵向控制来提供帮助,如果检测到超车或需要刹车,纵向控制系统就会失效。 如果任何一名驾驶员决定自己让路,他们可以通过转向或刹车单独行动。 |
车队遭遇恶劣天气,能见度低。
| 场景描述: |
|
| 操作情况 |
情景:在高速公路上以每小时80公里的速度正常行驶。 环境:专用高速公路/州际公路的所有情况(高速公路、多车道高速公路……)。 系统状态:任意组队驾驶模式。 |
| 触发事件 |
车队遭遇低摩擦力(易滑路面)、低能见度等恶劣天气。 |
| 结果 |
卡车可能会发现很难安全地保持这个时间间隔。 |
| 危害 |
任何意想不到的情况变化都可能导致碰撞。 |
| 风险评估: |
|
| 严重性(S0 - S3级) |
S3 |
| 严重性的合理性 |
在湿滑能见度低的高速公路上发生的事故可能会导致危及生命的伤害。 |
| 可控性(C0-C3级) |
C3 |
| 可控性的合理性 |
由于两辆卡车之间的时间间隔是0.8秒,司机没有足够的时间对制动性能较低的情况做出反应。 |
| 风险值 |
6(高风险)。 |
| 对策定义: |
|
| 对策 |
-这种情况可能在ODD中出现。 -应自动检测情况。 -在这种情况下,不应修改现有功能: l该功能应自动检测阻碍天气条件的道路摩擦力和能见度(例如,天气远程通信、摄像头…)。 l每辆卡车应不断地将其当前的制动性能(由于条件的变化)通报给后面的车辆。 l每辆卡车应调整其速度和时间差到安全水平。 l应通过人机界面HMI告知驾驶员相关环境条件和性能降低情况。 l只要卡车之间保持通讯,车队就会继续行进。 l车队里的任何驾驶员都可以自行决定离开。 |
| 合理性 |
由于对于A级车辆,后面车辆的纵向控制是自动化的,因此车队功能应能够在不需要驾驶员输入的情况下检测ODD内影响车队安全的天气情况。 该功能将根据情况自动决定需要采取的措施(增加时间间隔,降低速度或完全离开车队)。 车队不应在不安全的条件下继续行进。 |
车队需要在湿滑路面条件下制动(非完全