Организация Объединенных Наций
Экономический
и Социальный Совет
ECE/TRANS/WP.29/2024/39
Distr.: General
16 April 2024
Russian
Original: English
Европейская экономическая комиссия
Комитет по внутреннему транспорту
Всемирный форум для согласования правил
в области транспортных средств
Сто девяносто третья сессия
Женева, 25–28 июня 2024 года
Пункт 4.9.7 предварительной повестки дня
Соглашение 1958 года:
рассмотрение проектов поправок к существующим
правилам ООН, представленных GRVA
Руководящие принципы и рекомендации по требованиям
к безопасности, оценкам безопасности и методам
испытания на безопасность автоматизированных систем
вождения, подкрепляющие разработку нормативных
документов
Представлено Рабочей группой по автоматизированным/
автономным и подключенным транспортным средствам*
Воспроизведенный ниже текст был принят Рабочей группой по
автоматизированным/автономным и подключенным транспортным средствам (GRVA)
на ее восемнадцатой сессии (ECE/TRANS/WP.29/GRVA/18, пункт 18). В его основу
положен неофициальный документ GRVA-18-50. Этот текст представляется
Всемирному форуму для согласования правил в области транспортных средств
(WP.29) и Административному комитету (AC.1) для рассмотрения на их сессиях в
июне 2024 года. Настоящая версия документа охватывает материалы, представленные
GRVA в ходе неофициальных консультаций, состоявшихся во время совещания в
Трое, штат Мичиган, Соединенные Штаты Америки, в рамках подготовки
девятнадцатой сессии.
* В соответствии с программой работы Комитета по внутреннему транспорту на 2024 год,
изложенной в предлагаемом бюджете по программам на 2024 год (A/78/6 (разд. 20),
таблица 20.5), Всемирный форум будет разрабатывать, согласовывать и обновлять правила
ООН в целях улучшения характеристик транспортных средств. Настоящий документ
представлен в соответствии с этим мандатом.
GE.24-06854 (R) 140624 141024
ECE/TRANS/WP.29/2024/39
Руководящие принципы и рекомендации по требованиям
к безопасности, оценкам безопасности и методам
испытания на безопасность АСВ, подкрепляющие
разработку нормативных документов
Содержание
Стр.
Правило
1.
Введение .........................................................................................................................................
3
2.
Область применения и цель ..........................................................................................................
5
3.
Термины и определения ................................................................................................................
6
4.
Обзор требований к безопасности, оценок и способов валидации безопасности АСВ ...........
13
5.
Контрольная проверка, оценка безопасности и документация изготовителя на систему .......
19
6.
Требования к выполнению ДЗУ средствами АСВ ......................................................................
33
7.
Требования к безопасному взаимодействию пользователей с АСВ ..........................................
38
8.
Мониторинг и передача данных на этапе эксплуатации ............................................................
43
1.
История разработки требований к безопасности АСВ ...............................................................
53
2.
Матричная таблица соотнесения ДЗУ и требований пользователя с применимыми
компонентами испытаний .............................................................................................................
59
3.
Подход к определению проверяемых критериев эффективности .............................................
67
4.
Сценарии дорожного движения ....................................................................................................
85
5.
Виртуальные испытания и оценка достоверности ......................................................................
112
6.
Испытания на треке и в реальных условиях ................................................................................
127
7.
МПДЭ и матричная таблица требований к безопасности ..........................................................
137
8.
Формуляры отчетности по МПДЭ ................................................................................................
146
9.
Дополнительные рекомендации по эффективному мониторингу на этапе эксплуатации ......
156
10.
Дальнейшие соображения в отношении будущей работы .........................................................
159
Приложения
2
GE.24-06854
ECE/TRANS/WP.29/2024/39
1.
Введение
1.1
В 2015 году Всемирный форум для согласования правил в области
транспортных средств (WP.29) учредил в рамках неофициальной рабочей
группы по интеллектуальным транспортным системам (ИТС) программу
с акцентом на автоматизированное вождение (ИТС/АВ).
1.2
На своей сто семьдесят четвертой сессии (март 2018 года) WP.29 одобрил
предложение неофициальной группы по ИТС/АВ относительно
подготовки «справочного документа с определениями термина
«автоматизированное вождение» в рамках WP.29 и общих принципов для
разработки
правил
ООН,
касающихся
автоматизированных
транспортных средств»1.
1.3
В марте 2018 года неофициальная группа по ИТС/АВ учредила Целевую
группу по испытаниям автоматизированных транспортных средств
(ТФАВ) «для разработки режима нормативных испытаний,
позволяющего оценить автоматизированные системы транспортного
средства, с тем чтобы обеспечить потенциальную безопасность
дорожного движения и реализовать сопутствующие преимущества в
реальных условиях движения»2.
1.4
ТФАВ учредила подгруппы для рассмотрения следующих методов
оценки АТС:
1.5
a)
физические
проверки;
сертификационные
испытания
b)
испытательные прогоны в реальных условиях.
и
контрольные
В октябре 2018 года ТФАВ предложила создать неофициальную рабочую
группу по методам валидации для автоматизированного вождения
(ВМАД) «в целях разработки методов оценки безопасности управления
транспортным средством при помощи автоматизированных систем
вождения, в том числе безопасных реакций на окружающую обстановку,
а также безопасного поведения по отношению к другим участникам
дорожного движения»:
a)
в контролируемой среде;
b)
путем контрольной проверки процедур ИОО;
c)
в процессе имитационного
испытаний; и
d)
в реальных условиях.
моделирования
и
виртуальных
1.6
На своей сто семьдесят восьмой сессии (июнь 2019 года) WP.29 одобрил
Рамочный документ по автоматизированным/автономным транспортным
средствам3.
1.6.1
В Рамочном документе WP.29 и его вспомогательным рабочим
группам (РГ) даются «руководящие указания путем определения
ключевых принципов обеспечения безопасности и надежности
автоматизированных/автономных транспортных средств уровней 3 и
выше»4.
ECE/TRANS/WP.29/2018/2 с поправками, содержащимися в пункте 31 доклада о работе сессии
(ECE/TRANS/WP.29/1137) и сведенными воедино в документе ECE/TRANS/WP.29/1140.
2 TFAV-02-12.
3 ECE/TRANS/WP.29/2019/34/Rev.2 и ECE/TRANS/WP.29/1147, приложения V и VI.
4 В Рамочном документе делаются отсылки к определениям термина «автоматизированное
вождение», приведенным в справочном документе ECE/TRANS/WP.29/1140, который
упомянут в пункте 1.2. В качестве источника определений уровней автоматизации
вождения (1–5) в справочном документе указан стандарт SAE J3016:2016.
1
GE.24-06854
3
ECE/TRANS/WP.29/2024/39
1.6.2
1.6.3
1.6.4
1.7
1.8
5
4
В Рамочном документе сформулирована концепция безопасности и
определены ключевые аспекты и принципы работы по линии WP.29:
a)
безопасность системы;
b)
отказоустойчивое реагирование;
c)
человеко-машинный интерфейс (ЧМИ)/информация об операторе;
d)
обнаружение и реагирование на объекты и ситуации;
e)
домен штатной эксплуатации;
f)
проверка безопасности системы;
g)
кибербезопасность;
h)
обновление программного обеспечения;
i)
регистратор данных о событиях и система хранения данных для
автоматизированного вождения.
В Рамочном документе определены три дополнительных аспекта,
не перечисленных в списке согласованных приоритетных направлений
работы WP.29:
a)
дистанционное управление;
b)
безопасность находящихся в эксплуатации транспортных средств;
c)
обучение и подготовка пользователей.
Согласно таблице 1 Рамочного документа, деятельность по данным
приоритетным направлениям работы WP.29 распределяется между
несколькими неофициальными рабочими группами:
a)
по функциональным требованиям для автоматизированных
транспортных средств (ФРАВ);
b)
по методам валидации для автоматизированного вождения
(ВМАД);
c)
по
кибербезопасности
и
беспроводному
программного обеспечения (КБ/БПС);
d)
по регистратору данных о событиях/системам хранения данных
для автоматизированного вождения (РДС/СХДАВ).
обновлению
Согласно положению о круге ведения НРГ по ФРАВ, ей поручено
разработать функциональные (эксплуатационные) требования для
автоматизированных транспортных средств, относящиеся к следующим
аспектам:
a)
безопасность системы;
b)
отказоустойчивое реагирование;
c)
ЧМИ/информация об операторе;
d)
ОРОС (функциональные требования)5.
Согласно положению о круге ведения НРГ по ВМАД, ей
поручено разработать новый метод оценки/испытаний (НМОИ)
«для валидации безопасности автоматизированных систем на основе
многокомпонентного подхода», включающего:
a)
сценарии;
b)
контрольные проверки;
ECE/TRANS/WP.29/1147, приложение V.
GE.24-06854
ECE/TRANS/WP.29/2024/39
1.9
1.10
c)
имитационное моделирование/виртуальные испытания;
d)
испытания на треках;
e)
испытания в реальных условиях6.
На своей сессии в июне 2021 года WP.29 одобрил представленный GRVA
проект
документа
«Новый
метод
оценки/испытаний
для
автоматизированного вождения (НМОИ) — Основной документ»,
в котором предлагается многокомпонентный подход, включающий в
себя:
a)
каталог сценариев;
b)
имитационное моделирование/виртуальные испытания;
c)
испытания на испытательном треке;
d)
испытания в реальных условиях;
e)
процедуры контрольной проверки/оценки;
f)
мониторинг и передачу данных на этапе эксплуатации7.
По итогам последующих пересмотров таблицы 1 Рамочного документа
WP.29 поручил НРГ по ФРАВ и ВМАД соответственно подготовить
следующие материалы к своей сессии в июне 2023 года:
a)
Руководство по нормативным требованиям и проверяемым
критериям для проверки безопасности АСВ; и
b)
Руководство по НМОИ8.
1.11
WP.29 далее поручил НРГ по ФРАВ и ВМАД совместно подготовить
сводные материалы по ФРАВ/ВМАД (касающиеся требований и методов
оценки) для их представления на его сессии в июне 2024 года.
1.12
На сессии в июне 2023 года WP.29 рассмотрел и одобрил представленные
GRVA документы, содержащие руководства, которые были
подготовлены НРГ по ФРАВ и ВМАД (согласно пункту 1.13)9.
1.13
За период 2019–2023 годов в порядка 80 совещаниях НРГ по ФРАВ и
ВМАД, посвященных разработке настоящего документа, приняли
участие около 200 экспертов.
2.
Область применения и цель
2.1
Целью настоящего документа является выполнение мандатов НРГ по
ФРАВ и ВМАД и достижение общего результата в соответствии с
указанным выше Рамочным документом.
2.2
В документе предлагаются руководящие указания и рекомендации по
установлению требований безопасности и методов оценки, применимых
к транспортным средствам с АСВ, согласно их определению,
приведенному в разделе 3.
2.3
Настоящее руководство распространяется на транспортные средства с
АСВ, эксплуатируемые на общедоступных дорогах (включая парковки и
частные территории, допускающие общий доступ), которые в своей
совокупности предназначены для использования всеми участниками
ECE/TRANS/WP.29/1147, приложение VI.
ECE/TRANS/WP.29/2021/61 (ECE/TRANS/WP.29/1159).
8 ECE/TRANS/WP.29/2019/34/Rev.2, ECE/TRANS/WP.29/2021/151, ECE/TRANS/WP.29/2023/43.
9 Впоследствии — в ноябре 2023 года — документ WP.29-190-08 был заменен
документами WP.29-191-07 (рекомендации по безопасности, разработанные НРГ по ФРАВ)
и WP.29/2023/44/Rev.1 (руководящие принципы по ВМАД).
6
7
GE.24-06854
5
ECE/TRANS/WP.29/2024/39
дорожного движения (если этого допускают характеристики дороги),
включая велосипедистов, пешеходов и пользователей транспортных
средств как с функциями автоматизации вождения, так и без них.
10
6
2.4
Многообразие конфигураций транспортных средств с АСВ, а также
характеристики и ограничения их ДШЭ обусловливают возникновение
трудностей при разработке согласованных требований к эксплуатации во
всем мире. Для охвата самых разнообразных конфигураций в настоящем
руководстве рекомендуется установить требования высокого уровня.
Кроме того, в руководстве предлагается механизм применения таких
высокоуровневых требований к отдельным вариантам использования
АСВ.
2.5
Сложность процесса управления транспортным средством приводит
также к появлению трудностей с оценкой эффективности АСВ с учетом
всего многообразия возможных ДШЭ. В порядке обеспечения
всесторонней и эффективной валидации безопасности АСВ в настоящем
руководстве рекомендуется принять многокомпонентный подход. Кроме
того, в будущем рекомендуется разработать каталог сценариев для
применения при работе с пятью компонентами валидации:
a)
контрольная проверка
конструкции;
и
оценка
безопасности
b)
имитационное моделирование/виртуальные испытания;
c)
испытания на треке;
d)
испытания в реальных условиях;
e)
мониторинг и передача данных на этапе эксплуатации.
благодаря
2.6
Настоящие руководящие принципы и рекомендации призваны стать
подспорьем для будущих инициатив, с которыми WP.29 может решить
выступить в рамках Соглашений 1958, 1997 и/или 1998 годов.
2.7
Употребление в настоящем документе глагольных форм вида «должен»
(указывающих на обязательное положение) и «может» (указывающих на
необязательное положение) следует понимать в контексте предоставления
таких рекомендаций.
2.8
В руководстве рекомендуется применять технологически нейтральные и
основанные на фактических данных требования и методы для проведения
объективных, повторяемых и воспроизводимых оценок в рамках
механизма, допускающего возможность адаптации к технологическому
прогрессу.
3.
Термины и определения
3.1
В данном разделе приводятся определения терминов, используемых в
настоящем документе. Этими терминами и их определениями
рекомендуется руководствоваться при разработке нормативных
требований, связанных с АСВ и транспортными средствами, оснащенными
АСВ.
3.1.1
«Абстрагирование» означает процесс выбора соответствующих аспектов
исходной или эталонной системы, которые должны быть отражены в
модели или учтены при имитационном моделировании 10.
Любое абстрагирование, связанное с моделированием, выполняется исходя из предположения
о том, что оно не окажет значительного влияния на предполагаемое использование
инструмента имитационного моделирования.
GE.24-06854
ECE/TRANS/WP.29/2024/39
3.1.2
«Автоматизированная
система
вождения
(АСВ)»
означает
совокупность аппаратных и программных компонентов транспортного
средства, способных полноценно выполнять динамическую задачу
управления (ДЗУ) на постоянной основе 11.
3.1.3
«Функция АСВ» означает способ применения АСВ, разработанный
специально для использования в пределах домена штатной эксплуатации
(ДШЭ).
3.1.4
«Функционал (АСВ)» означает конкретную способность аппаратных и
программных средств АСВ выполнять определенную часть ДЗУ.
3.1.5
«Транспортное средство с АСВ» означает транспортное средство,
оснащенное АСВ.
3.1.6
«Поведенческие характеристики» означают ожидаемую и проверяемую
способность функции АСВ осуществлять управление транспортным
средством в пределах ДШЭ этой функции.
3.1.7
«Испытание по схеме замкнутого контура» означает испытание в такой
среде, в которой поведение аппаратного, программного или другого(их)
элемента(ов) АСВ, включенного(ых) в контур, влияет на поведение
других объектов имитационного моделирования 12.
3.1.8
«Испытание по схеме открытого контура» означает испытание в такой
среде, в которой поведение аппаратного, программного или другого(их)
элемента(ов) АСВ, включенного(ых) в контур, не влияет на поведение
других объектов имитационного моделирования 13.
3.1.9
«Стохастический» — термин, обозначающий процесс, в котором
задействована одна или несколько произвольных переменных, связанных
со случайностью или вероятностью.
3.1.10
«Водитель» означает пользователя-человека, который в реальном
времени частично или полностью выполняет ДЗУ и/или которому может
быть передано выполнение ДЗУ конкретным транспортным средством.
3.1.11
«Динамическая задача управления (ДЗУ)» означает выполнение в
реальном времени оперативных и тактических функций, необходимых
для управления транспортным средством.
3.1.11.1
При работающей АСВ ДЗУ, иными словами, вся совокупность
тактических и оперативных функций, необходимых для управления
транспортным средством, всегда выполняется АСВ в полном объеме
(т. е. АСВ обеспечивает «полноценное выполнение ДЗУ», как указано в
определении «автоматизированной системы вождения» по пункту 3.2).
Эти функции можно разделить на три взаимозависимые категории:
обнаружение и восприятие, планирование и принятие решений, а также
управление.
Это определение основано на стандартах SAE J3016 и ISO/PAS 22736 («Классификация и
систематизация, а также определения терминов, относящихся к системам автоматизации
вождения для дорожных автотранспортных средств»). В этих стандартах уровни
автоматизации вождения определяются исходя из возможностей функции системы
автоматизации вождения, которые обусловлены распределением ролей между этой функцией и
пользователем (-человеком) (при его наличии) при выполнении ДЗУ и передаче выполнения
ДЗУ. Термин «автоматизированная система вождения» используется сугубо для описания
системы автоматизации вождения уровня 3, 4 или 5.
12 Например, оценка взаимодействия АСВ с другими объектами, которые реагируют на действия
АСВ в рамках той или иной модели дорожного движения.
13 Например, оценка взаимодействия АСВ с записанной дорожной ситуацией.
11
GE.24-06854
7
ECE/TRANS/WP.29/2024/39
3.1.11.2
3.1.11.3
3.1.11.4
К обнаружению и восприятию относятся:
a)
мониторинг дорожной обстановки посредством обнаружения,
распознавания и классификации объектов и событий;
b)
восприятие других транспортных средств и участников дорожного
движения, проезжей части и ее оборудования, объектов в
окружении транспортного средства и соответствующих условий
окружающей среды;
c)
обнаружение границ ДШЭ данной функции АСВ, если таковые
имеются;
d)
учет положения в пространстве.
К планированию и принятию решений относятся:
a)
прогнозирование
движения;
действий
b)
подготовка к реагированию;
c)
планирование маневров.
других
участников
дорожного
К управлению относятся:
a)
реагирование на объекты и события;
b)
управление боковым перемещением транспортного средства;
c)
управление продольным перемещением транспортного средства;
d)
улучшение видимости транспортного средства за счет освещения
и световой сигнализации.
3.1.11.5
ДЗУ не включает стратегические функции.
3.1.12
«Стратегическая функция» означает способность выдавать команды,
инструкции или указания для их исполнения АСВ 14.
3.1.13
«Тактическая
функция» означает
способность
воспринимать
окружающую обстановку, в которой находится транспортное средство,
и в реальном времени управлять планированием, принятием решений и
выполнением маневров, включая обеспечение заметности транспортного
средства и его движения15.
3.1.14
«Оперативная функция» означает способность управлять движением
транспортного средства в реальном времени16.
3.1.15
«Пограничный случай» означает редко встречающееся происшествие,
которое может возникнуть в рамках ДШЭ той или иной АСВ и которому
необходимо уделить особое внимание при проектировании ввиду
потенциальной
серьезности
последствий,
которыми
чревато
возникновение подобной ситуации или таких условий в контексте
полноценного развертывания парка транспортных средств с АСВ 17.
В качестве примера можно привести задание начальной точки, пункта назначения, маршрута и
путевых точек, которые будут использоваться АСВ во время поездки.
15 В качестве примера можно привести принятие решения об обгоне транспортного средства или
смене полосы движения, предупреждение о планируемом маневре, принятие решения о
времени начала маневра, выбор подходящей скорости и выполнение маневра.
16 К числу оперативных функций относятся незначительная корректировка курса,
подтормаживание и небольшое ускорение для сохранения положения в полосе движения или
надлежащей дистанции между транспортными средствами, а также немедленное реагирование
для предотвращения аварий в критических дорожных ситуациях.
17 В качестве примера можно привести появление на проезжей части уникального дорожного
знака или необычного вида животного.
14
8
GE.24-06854
ECE/TRANS/WP.29/2024/39
3.1.16
«Реагирование АСВ на сбой» означает инициируемую системой
деактивацию АСВ или управляемую АСВ процедуру перевода
транспортного средства в состояние минимального риска.
3.1.17
«Резервный пользователь» означает пользователя, назначенного для
выполнения ДЗУ в связи с реагированием АСВ на сбой.
3.1.18
«Состояние минимального риска (СМР)» означает стабильное состояние
транспортного средства в положении остановки, позволяющее снизить
риск ДТП.
3.1.19
«Модель» означает описание или представление системы, объекта,
явления или процесса.
3.1.20
«Калибровка модели» означает процесс корректировки числовых
значений или параметров моделирования для приведения модели в
соответствие с эталонным образцом.
3.1.21
«Параметр модели» означает числовое значение, полученное на основе
реальных данных и позволяющее охарактеризовать работу системы.
3.1.22
«Происшествие» означает относящееся к безопасности событие с
участием транспортного средства с АСВ.
3.1.22.1
«Некритическое происшествие» означает перерыв в работе, дефект,
неисправность или другое обстоятельство, которое повлияло или могло
повлиять на безопасность АСВ, однако не привело к столкновению или
серьезному инциденту18.
3.1.22.2
«Критическое происшествие» означает происшествие, при котором
выполняется хотя бы один из следующих критериев:
a)
как минимум один человек получает травму, требующую
внимания медиков, либо погибает, поскольку он находился в
транспортном средстве или стал участником происшествия;
b)
транспортное средство с АСВ, другие транспортные средства или
неподвижные объекты получают физические повреждения,
превышающие определенный порог;
c)
в любом транспортном средстве, участвующем в происшествии,
срабатывает подушка безопасности.
3.1.23
«Домен штатной эксплуатации (ДШЭ)» означает условия эксплуатации,
для работы в которых специально предназначена та или иная функция
АСВ.
3.1.24
«Выход из ДШЭ» означает:
3.1.25
a)
наличие одного или нескольких условий ДШЭ вне пределов,
установленных для использования функции АСВ; и/или
b)
отсутствие одного или нескольких условий, необходимых для
создания связанных с ДШЭ условий для функции АСВ19.
«Другой участник дорожного движения» (ДУДД) означает любого
субъекта, пользующегося общедоступной дорожной инфраструктурой.
В качестве примера можно привести незначительные инциденты, ухудшение безопасности, не
препятствующее нормальной эксплуатации, экстренные/сложные маневры для
предотвращения столкновения и в более общем смысле — все происшествия, имеющие
отношение к характеристикам безопасности АСВ в процессе эксплуатации (например,
передача управления, взаимодействие с удаленным оператором и т. д.).
19 Условия ДШЭ отличаются от возможностей АСВ. АСВ может быть предназначена для
управления переходными изменениями в условиях эксплуатации, причем такие переходные
изменения не являются выходом из ДШЭ.
18
GE.24-06854
9
ECE/TRANS/WP.29/2024/39
20
10
3.1.26
«Пользующееся преимущественным правом проезда транспортное
средство» означает транспортное средство, на которое при выполнении
конкретной функции распространяются исключения, разрешения и/или
преимущественное право проезда в соответствии с правилами дорожного
движения.
3.1.27
«Испытательная площадка» и «испытательный трек» означают
объект, закрытый для общественного движения и предназначенный для
физической оценки характеристик АСВ и/или транспортного средства с
АСВ, например, с помощью стимулирования датчиков и/или с
использованием устройств-макетов.
3.1.28
«В реальном времени» означает фактическое время, в течение которого
происходит процесс или событие.
3.1.29
«Специалист по безопасности дорожного движения» означает человека,
занимающегося регулированием движения, обеспечением соблюдения
правил дорожного движения, обслуживанием/строительством дорог
и/или реагированием на дорожно-транспортные происшествия.
3.1.30
«Обоснование безопасности» обозначает структурированный набор
аргументов, подкрепленный совокупностью доказательств, которая
убедительно, понятно и обоснованно подтверждает, что работа АСВ не
сопряжена или не будет сопряжена с необоснованным риском для
конкретного применения в заданных условиях.
3.1.31
«Концепция безопасности» означает описание мер, предусмотренных
конструкцией АСВ для обеспечения такой ее работы, при которой
безопасность пользователя(ей) транспортного средства с АСВ и других
участников дорожного движения не подвергается необоснованным
рискам при любых условиях эксплуатации, относящихся к ДШЭ.
3.1.32
«Стимулирование датчика» означает метод, при котором на
испытуемый элемент подаются искусственно сгенерированные сигналы
с целью вызвать его срабатывание и получить результат, необходимый
для оценки этого элемента.
3.1.33
«Имитационное моделирование» означает имитирование реального
процесса или изменения системы с течением времени.
3.1.34
«Инструментарий
имитационного
моделирования»
означает
комбинацию инструментов моделирования, которые используются для
поддержки валидации АСВ.
3.1.35
«Спецификация испытательного варианта» означает подробное
описание того, что должен сделать испытатель для подготовки к
испытанию.
3.1.36
«Метод испытаний» означает структурированный подход к
последовательному накоплению знаний об АСВ посредством проведения
испытаний20.
Например, виртуальных испытаний в смоделированных условиях или физических
структурированных испытаний в контролируемых условиях испытательного центра либо в
реальных условиях дорожного движения.
GE.24-06854
ECE/TRANS/WP.29/2024/39
3.1.37
«Сценарий
дорожного
движения»
означает
описание
последовательности дорожных ситуаций, которые могут возникнуть во
время поездки21.
3.1.37.1
«Штатный сценарий» означает сценарий дорожного движения,
в котором представлены обычные и/или ожидаемые объекты, находят
отражение поведение этих объектов и/или дорожные условия.
3.1.37.2
«Критический сценарий» означает сценарий дорожного движения, в
котором представлены необычные и/или неожиданные объекты, находят
отражение поведение этих объектов и/или дорожные условия.
3.1.37.3
«Сценарий отказа» означает сценарий дорожного движения,
воспроизводящий отказ системы, который ставит под угрозу способность
АСВ полноценно выполнять ДЗУ.
3.1.37.4
«Функциональный сценарий» означает базовый сценарий дорожного
движения, в котором та или иная ситуация и соответствующие элементы
описываются на естественном — нетехническом — языке с самым
высоким уровнем абстрагирования22.
3.1.37.5
«Абстрактный сценарий» означает формализованное, декларативное
описание сценария, полученное из функционального сценария 23.
Спецификация на абстрактном уровне позволяет выделять значимые
аспекты сценария с акцентом на эффективном описании связей
(причина–следствие).
3.1.37.6
«Логический сценарий» означает сценарий дорожного движения,
разработанный на более низком уровне абстрагирования и включающий
диапазоны значений или распределения вероятностей для каждого
элемента соответствующего функционального сценария 24.
3.1.37.7
«Конкретный сценарий» означает сценарий дорожного движения,
составленный на таком уровне абстрагирования, при котором для
каждого элемента из набора непрерывных диапазонов, которые могут
быть определены в соответствующем логическом сценарии, были
выбраны конкретные значения.
3.1.37.8
«Сложный сценарий» означает сценарий дорожного движения, который
охватывает одну или несколько ситуаций, включающих большое
количество других участников дорожного движения, редкие объекты
дорожной
инфраструктуры
или
аномальные
географические/
экологические условия.
3.1.38
«Инициируемая системой деактивация АСВ» означает процедуру,
посредством которой АСВ инициирует передачу выполнения ДЗУ от
АСВ пользователю транспортного средства.
В сценарии входит один дорожный маневр или последовательность из нескольких дорожных
маневров. Сценарии могут также включать широкий спектр элементов, в частности некоторые
или все части ДЗУ, различные схемы проезжей части, различные типы участников дорожного
движения и объекты, характеризующиеся статическими свойствами или демонстрирующие
разнообразные типы динамического поведения, а также различные условия окружающей
среды (среди многих других факторов).
22 Например, описание действий испытуемого транспортного средства, взаимодействия
испытуемого транспортного средства с другими участниками дорожного движения и
объектами, а также других элементов сценария (например, окружающих условий).
23 Декларативные описания могут выполняться на структурированном естественном языке, языке
программирования или с помощью других форм языка, которые отвечают требуемым
критериям (в плане формализованности и декларативности).
24 Например, разработка элемента «полоса движения», охватывающего возможные значения
ширины полосы.
21
GE.24-06854
11
ECE/TRANS/WP.29/2024/39
12
3.1.39
«Инициируемая пользователем деактивация АСВ» означает процедуру,
посредством которой пользователь инициирует передачу выполнения
ДЗУ от АСВ пользователю транспортного средства.
3.1.40
«Пользователь (АСВ)» означает человека, использующего транспортное
средство с АСВ.
3.1.41
«Срок службы (транспортного средства с АСВ)» означает срок,
в течение которого транспортное средство с АСВ находится в рабочем
состоянии, т. е. способно передвигаться по дорогам общего пользования
независимо от рабочего состояния АСВ.
3.1.42
«Валидация имитационной модели» означает процесс определения того,
с какой точностью имитационная модель описывает реальную систему
с точки зрения предполагаемого использования инструмента
моделирования.
3.1.43
«Верификация имитационной модели» означает процесс определения
того, насколько та или иная имитационная модель или инструмент
виртуальных испытаний отвечают предъявляемым к ним требованиям и
спецификациям, изложенным в соответствующих концептуальных,
математических или других моделях.
3.1.44
«Виртуальное испытание» означает процесс испытания системы с
использованием одной или нескольких имитационных моделей.
3.1.45
«Водитель в контуре управления (ВвКУ)» означает имитатор вождения с
компонентами, позволяющими водителю действовать в виртуальной
среде и взаимодействовать с ней, и используемый для оценки
конструкции, связанной со взаимодействием человека и автоматики.
3.1.46
«Аппаратные средства в контуре управления (АСвКУ)» означает
аппаратное оборудование конкретной подсистемы автомобиля, на
котором функционирует соответствующее программное обеспечение,
а его вход и выход подключены к среде моделирования, позволяющей
воспроизводить датчики, приводы и механические компоненты таким
образом, чтобы обеспечить подключение всех входов/выходов
испытуемых электронных блоков управления (ЭБУ) до интеграции
конечной системы.
3.1.47
«Модель в контуре управления (МвКУ)» означает программную
инфраструктуру высокого уровня абстрагирования, работающую на
процессорах общего назначения и позволяющую быстро разрабатывать
алгоритмы без привлечения специального оборудования.
3.1.48
«Программа в контуре управления (ПвКУ)» означает методологию
испытаний, в рамках которой выполняемые программы (например,
алгоритмы), целые стратегии контроллеров или полная программная
реализация оцениваются в среде моделирования на процессорах общего
назначения.
3.1.49
«Транспортное средство в контуре управления (ТСвКУ)» означает
смешанный (сочетание реальных условий и виртуальной среды) режим
для оценки динамических параметров физического транспортного
средства с АСВ на испытательном стенде или испытательном треке на
том же уровне, что и при испытаниях в реальных условиях.
GE.24-06854
ECE/TRANS/WP.29/2024/39
GE.24-06854
4.
Обзор требований к безопасности, оценок
и способов валидации безопасности АСВ
4.1
Настоящие рекомендации касаются оценки и валидации безопасности
АСВ в нормативном контексте. В данном разделе кратко изложены
ключевые аспекты руководящих указаний и способы их применения для
проведения эффективной, всесторонней и последовательной оценки.
4.2
Управление транспортным средством можно рассматривать как процесс
управления рисками в контексте достижения стратегических целей. АСВ
должна продемонстрировать способность безопасно управлять
транспортным средством, реагировать на внешние условия и управлять
внутренними неисправностями.
4.3
Кроме того, АСВ должна быть спроектирована таким образом, чтобы
обеспечивать безопасность эксплуатации транспортного средства и
безопасность его пользователей на протяжении всего срока службы
автомобиля.
4.4
В настоящем руководстве рассматриваются условия, с которыми может
столкнуться АСВ, посредством установления рамочной основы для
разработки сценариев дорожного движения, исходя из которых следует
оценивать АСВ. Создание сценариев в первую очередь опирается на
анализ домена(ов) штатной эксплуатации (ДШЭ), в рамках которого(ых)
будет работать АСВ (см. приложение 3).
4.5
В рамочной основе проводится различие между штатными,
критическими сценариями и сценариями отказа. Штатные сценарии
позволяют оценить способность АСВ безопасным образом управлять
транспортным средством. Критические сценарии позволяют оценить
способность АСВ справляться с конфликтами и снижать внешние риски.
Сценарии же отказов позволяют оценить способность АСВ справляться
с отказами системы и реагировать на них.
4.6
Цель рамочной основы — проверить работу АСВ с проигрыванием этих
сценариев и оценить особенности поведения, продемонстрированные ею
по каждому сценарию, исходя из требований, предъявляемых к
выполнению динамической задачи управления (ДЗУ). В этих
требованиях акцент делается на желаемых возможностях и результатах
управления транспортным средством. В требованиях намеренно не
упоминаются
технические
характеристики
и
пределы
функционирования, поскольку каждая дорожная ситуация требует
реагирования, соразмерного сочетанию элементов, рисков и доступных
вариантов.
4.7
Ожидается, что при выполнении штатных сценариев АСВ будет
демонстрировать поведенческие характеристики, соответствующие
требованиям к выполнению ДЗУ. Одной из таких характеристик может
быть, например, способность минимизировать риски попадания в
критические ситуации за счет грамотного и аккуратного управления
транспортным средством.
4.8
Тем не менее определить критерии эффективности при выполнении
критических сценариев может оказаться непросто, особенно в условиях,
требующих установления приоритетности требований. Применительно к
таким случаям в рамочной основе предлагается воспользоваться
соответствующими моделями безопасности, позволяющими оценить
работу АСВ в пределах ограничений, налагаемых моделью(ями)
13
ECE/TRANS/WP.29/2024/39
безопасности25. В частности, признается, что АСВ, возможно, будет не в
состоянии предотвратить столкновение, а посему характеристики АСВ
необходимо сравнивать с параметрами модели безопасности для
установления порога, при котором требуется уклонение, и порога, при
котором уклонение не представляется возможным, но возможно
смягчение последствий.
25
14
4.9
В случаях, когда поведенческая характеристика, демонстрируемая АСВ,
предполагает такие исключения, система обращается к моделям
безопасности с целью определить, насколько эти исключения оправданы.
Так, во избежание столкновения АСВ может нарушить ограничение,
связанное со сменой полосы движения. Модель безопасности позволяет
определить риск столкновения, реакцию АСВ и необходимость
нарушения правил дорожного движения.
4.10
В сценариях отказа рассматриваются ситуации, в которых процесс
выполнения ДЗУ средствами АСВ нарушается из-за неисправности
системы. Если на неисправность не среагирует резервный пользователь,
то ожидается, что АСВ обеспечит приведение транспортного средства в
безопасное состояние (т. е. состояние минимального риска) путем его
остановки. Однако благодаря требованиям безопасности АСВ может
адаптировать процедуру выполнения ДЗУ к характеру неисправности с
учетом ее серьезности. Такой допуск позволяет АСВ — в той мере,
в какой это возможно, — снизить риски, обеспечив перемещение
транспортного средства в безопасное место для остановки.
4.11
В руководстве указанные сценарии рекомендуется объединить в единый
каталог сценариев, который может использоваться в рамках НМОИ для
систематической валидации безопасности АСВ.
4.12
Настоящее руководство направлено на обеспечение безопасности
пользователей транспортных средств с АСВ за счет наборов требований,
продиктованных характером возможного взаимодействия между
пользователями и данной АСВ при эксплуатации транспортного средства
с АСВ. Это взаимодействие может меняться в зависимости от того,
находится ли пользователь внутри или снаружи транспортного средства
с АСВ, от степени(ей) возможного контроля пользователя над
транспортным средством во время поездки, а также от того,
взаимодействует ли пользователь только с одним транспортным
средством либо может выполнять определенные функции в отношении
нескольких транспортных средств.
4.13
Вне зависимости от наличия систем помощи водители выполняют ДЗУ
до момента активации ими какой-либо функции АСВ. У функции АСВ
имеется конкретный ДШЭ. После активации той или иной функции АСВ
система начинает решать тактические и оперативные задачи,
необходимые для полноценного выполнения ДЗУ в пределах ДШЭ
данной функции. С точки зрения взаимодействия с водителем
транспортное средство движется (т. е. пользователь управляет
автомобилем), и активация АСВ подразумевает передачу управления
транспортным средством от водителя к АСВ.
4.14
При активации той или иной функции АСВ начинает полноценно
выполнять ДЗУ, необходимую для управления транспортным средством
в пределах ДШЭ данной функции. Таким образом, водитель
переключается на роль резервного пользователя либо пассажира.
В некоторых АСВ конструкционно допустима инициируемая системой
деактивация АСВ (т. е. переход управления к пользователю) в случае,
В настоящем руководстве упомянуты некоторые наглядные примеры, но не указано, какие из
них могут быть подходящими, и не ставится задача ограничить использование
соответствующих моделей безопасности.
GE.24-06854
ECE/TRANS/WP.29/2024/39
если АСВ больше не может выполнять ДЗУ (например, по достижении
границ ДШЭ используемой функции).
4.15
Пассажир не имеет возможности выполнять ДЗУ. Тем не менее
пассажиры должны располагать средствами выбора пунктов назначения,
маршрутов и остановок, т. е. осуществлять необходимое взаимодействие
с AСВ.
4.16
В настоящем руководстве предлагаются принципы и технические
характеристики,
относящиеся
к
обеспечению
безопасности
пользователей и безопасной эксплуатации ими транспортных средств с
АСВ в ходе такого взаимодействия. В руководстве признается, что при
дальнейшей разработке указанных требований к безопасности может
потребоваться рассмотрение дополнительных видов взаимодействия.
4.17
Оценка АСВ на соответствие указанным рекомендациям по безопасности
основывается на пяти компонентах валидации:
1.
документации и контрольных проверках;
2.
виртуальных испытаниях;
3.
испытаниях на треке;
4.
испытаниях в реальных условиях;
5.
мониторинге и передаче данных на этапе эксплуатации.
Рис. 1
Взаимосвязь между требованиями безопасности, анализом ДШЭ и созданием
сценариев, а также компонентами валидации
4.18
GE.24-06854
Эти компоненты предназначены для использования в том или ином
сочетании (или в различных сочетаниях) для обеспечения эффективной,
всесторонней и целостной оценки соответствия АСВ руководящим
принципам в отношении характеристик безопасности. Каждый из
методов испытаний имеет свои преимущества и ограничения, которые
касаются, например, различий в уровнях контроля окружающих условий,
достоверности окружающей среды, масштабируемости и стоимости и
которые следует учитывать. В ряде случаев для оценки способности АСВ
справляться с различными ситуациями, которые могут возникнуть в
реальных условиях дорожного движения, может потребоваться
применение нескольких методов. Задействование нескольких методов
15
ECE/TRANS/WP.29/2024/39
допускает определенную гибкость в плане состава, последовательности
и применимости испытаний ко всему многообразию АСВ, позволяя при
этом избежать дублирования и наложения. На рис. 1 выше показана
взаимосвязь между требованиями к безопасности АСВ, анализом ДШЭ и
созданием сценариев, а также компонентами валидации.
4.19
К числе компонентов относятся контрольные проверки, методы
испытаний, а также мониторинг и передача данных на этапе
эксплуатации.
4.20
Контрольная проверка
4.20.1
Технологии АСВ распространяются на различные конфигурации
транспортных средств, варианты их предполагаемого использования и
ограничения на использование при разных условиях эксплуатации.
Поэтому оценка транспортного средства с АСВ должна основываться на
четком понимании характеристик подлежащей оценке АСВ.
4.20.2
Согласно настоящему руководству, изготовитель должен представить
документацию, содержащую следующие сведения:
ДШЭ каждой функции АСВ;
b)
сценарии дорожного движения, относящиеся к каждому ДШЭ;
c)
валидация АСВ изготовителем;
d)
конструкционная безопасность АСВ;
e)
предусмотренная
изготовителем
безопасностью АСВ.
система
управления
4.20.3
Компонент, связанный с контрольной проверкой, предполагает оценку
этой документации с целью удостовериться в надежности разработки и
валидации АСВ изготовителем и проверку возможности обеспечения
безопасности АСВ после ее внедрения.
4.21
Методы испытаний
4.21.1
Виртуальные испытания позволяют эффективно оценить работу АСВ в
широком диапазоне сценариев дорожного движения. В настоящем
руководстве
рекомендуются
процедуры
оценки
надежности
предусмотренных изготовителем наборов инструментальных средств и
методик виртуальных испытаний. Такая оценка достоверности позволяет
с уверенностью применять эти инструментальные средства и методы, а
также полученные с их помощью доказательства для оценки
безопасности АСВ (см. приложение 5).
4.21.1.1
В ходе виртуальных испытаний используются различные типы
инструментария моделирования для оценки соответствия АСВ
требованиям безопасности в широком диапазоне сценариев дорожного
движения, включая те, которые было бы сложно или даже невозможно
воспроизвести физически.
4.21.1.2
К числу методологий на базе инструментария моделирования относятся,
среди прочего, следующие:
4.21.1.3
16
a)
a)
модель в контуре управления (МвКУ);
b)
программа в контуре управления (ПвКУ);
c)
аппаратные средства в контуре управления (АСвКУ);
d)
транспортное средство в контуре управления (ТСвКУ);
e)
водитель в контуре управления (ВвКУ).
Виртуальные испытания позволяют эффективно оценить выполнение
штатных, критических сценариев и сценариев отказа, а также диапазоны
GE.24-06854
ECE/TRANS/WP.29/2024/39
включенных в сценарии параметров, соответствующие конфигурации
АСВ, видам ее предполагаемого использования и ограничениям на
использование, включая установление границ между предотвращением
столкновения и смягчением последствий аварии. Виртуальные
испытания позволяют также оценить соответствие требованиям
безопасности, относящимся к взаимодействию с пользователем,
особенно посредством испытания в режиме «ВвКУ» и аналогичных
методик типа «пользователь в контуре управления».
GE.24-06854
4.21.1.4
Виртуальные испытания могут быть более подходящими в том случае,
когда необходимо варьировать параметры испытаний и осуществлять
большое количество прогонов для получения эффективного охвата
сценариями (например, для планирования траектории и управления ею
или для проведения оценки качества восприятия с помощью
предварительно записанных данных от датчиков).
4.21.1.5
Виртуальные
испытания
позволяют
выявить
сценарии,
обусловливающие появление исключений из штатных требований к
выполнению ДЗУ (например, отклонения от правил дорожного
движения, маневры уклонения, последствия столкновений), для их
оценки на основе моделей безопасности.
4.21.1.6
Благодаря применению методов рандомизации параметров и
комбинирования сценариев эффективность АСВ можно оценить при
выполнении критических сценариев, включающих маловероятные
события.
4.21.1.7
Виртуальные испытания позволяют выявить ценные сценарии,
применимые для испытаний на треке. После внедрения АСВ
виртуальные испытания могут содействовать анализу поведения АСВ,
несовместимого с теми поведенческими характеристиками, которые
были продемонстрированы в ходе первоначальной оценки.
4.21.2
Испытания на треке предназначены для физической оценки рабочих
характеристик АСВ в контролируемых условиях на закрытых
испытательных площадках. Поэтому испытания на треке, возможно,
лучше всего подходят для оценки эффективности АСВ при выполнении
сценариев, подразумевающих значительные риски для безопасности в
случае невыполнения требований, в рамках которых рабочие
характеристики можно оценить посредством дискретного числа
физических испытаний, причем преимуществом таких испытаний
является возможности контролировать их условия (например, для оценки
ЧМИ и реагирования на сбой при выполнении критических сценариев).
4.21.2.1
После определения в ходе виртуальных испытаний пределов
эксплуатационных характеристик и выявления ситуаций, требующих
реакции АСВ для управления конфликтами и снижения рисков, можно
определить конкретные сценарии испытаний на треке, основанные на
параметрах соответствующих виртуальных сценариев. Сравнение
рабочих характеристик по результатам виртуальных испытаний и
испытаний на треке при выполнении одного и того же сценария
позволяет
оценить
точность
используемого
инструментария
виртуальных испытаний.
4.21.3
В ходе испытаний в реальных условиях оценивается способность АСВ
выполнять ДЗУ и взаимодействовать с пользователем(ями) при
эксплуатации на дорогах общего пользования в условиях реального
дорожного движения. Испытания в реальных условиях могут оказаться
более подходящими для обеспечения уровня достоверности, который не
может быть воспроизведен в виртуальном режиме или на испытательном
треке (например, для оценки взаимодействия с другими участниками
дорожного движения и качества восприятия).
17
ECE/TRANS/WP.29/2024/39
4.21.3.1
Основная цель — проверить соответствие требованиям безопасности в
ходе выполнения ДЗУ при штатных эксплуатационных и дорожных
условиях и штатном режиме взаимодействия АСВ с пользователем(ями).
4.21.3.2
Хотя этот метод обеспечивает высокую степень достоверности
окружающих условий при испытании АСВ, возможность охвата
сценариями дорожного движения в строгом смысле оказывается
ограниченной по соображениям времени, стоимости, управляемости,
воспроизводимости и обеспечения безопасности.
4.21.3.3
Поэтому в случае данного метода требуется особое внимание к
разработке маршрутов испытаний, отражающих предсказуемые аспекты
ДШЭ (например, типы и геометрию дорог), элементы, встречающиеся в
соответствующих штатных сценариях (например, других участников
дорожного движения, знаки и сигналы), и типичные динамические
условия (например, высокую/низкую интенсивность движения).
Маршруты испытаний должны также обеспечивать проверку штатных
требований к безопасности взаимодействия с пользователем, в том числе
до, во время и после входа и выхода той или иной функции АСВ из
соответствующего ДШЭ.
4.21.3.4
Если во время реальных испытаний АСВ сталкивается с критическими
ситуациями или отказами, то реакцию АСВ, в том числе связанную с
исключениями из штатных требований к рабочим характеристикам,
следует рассматривать в сочетании с результатами испытаний на треке и
виртуальных испытаний.
4.22
Мониторинг и передача данных на этапе эксплуатации
4.22.1
В дополнение к первоначальным оценкам безопасности АСВ в
руководстве также рекомендуется проводить оценку рабочих
характеристик АСВ после ее внедрения в рамках компонента
«Мониторинг и передача данных на этапе эксплуатации (МПДЭ)».
4.22.2
В руководстве изготовителям рекомендуется отслеживать работу своих
транспортных средств с АСВ, находящихся в эксплуатации, и передавать
информацию, имеющую отношение к безопасности, органу по надзору за
безопасностью.
4.22.2.1
В рамках мониторинга изготовители должны собирать и анализировать
информацию, относящуюся к рабочим характеристикам АСВ в условиях
эксплуатации, для следующих целей:
4.22.2.2
18
a)
выявление проблем безопасности, в том числе посредством
мониторинга прогнозируемых тенденций, указывающих на
возникновение рисков;
b)
выявление случаев несоответствия рабочих характеристик АСВ
требованиям безопасности и/или поведенческим характеристикам,
продемонстрированным в ходе первоначальной оценки;
c)
описание характера
происшествий; и
d)
постоянная валидация концепции безопасности.
благоприятных
и
неблагоприятных
В рамках процесса передачи данных изготовители должны оперативно и
периодически сообщать органу по надзору за безопасностью о
вышеуказанных фактах, с тем чтобы:
a)
обеспечить принятие корректирующих мер для устранения
выявленных проблем безопасности;
b)
оценить влияние эксплуатации АСВ на безопасность дорожной
сети;
GE.24-06854
ECE/TRANS/WP.29/2024/39
GE.24-06854
c)
усовершенствовать процедуры оценки безопасности АСВ, в том
числе посредством добавления новых сценариев дорожного
движения; и
d)
эффективно распространять информацию для содействия
постоянному улучшению характеристик безопасности АСВ.
4.22.3
Как отмечалось выше, изготовитель должен подтвердить свою
способность выполнять подобный мониторинг своих находящихся в
эксплуатации транспортных средств с АСВ в ходе процедуры
контрольной проверки/оценки.
5.
Контрольная проверка, оценка безопасности
и документация изготовителя на систему
5.1
Введение
5.1.1
Важными компонентами валидации являются контрольная проверка
предусмотренной изготовителем системы управления безопасностью
АСВ и ориентированная на безопасность оценка представляемого
изготовителем АСВ обоснования безопасности, в том числе ее
концепции безопасности благодаря конструкции, далее именуемой
«концепция безопасности» (см. определение выше). Для проведения
такой контрольной проверки и такой оценки безопасности от
изготовителя АСВ может потребоваться представление определенной
документации. В некоторых юрисдикциях контрольная проверка и
оценка безопасности проводятся непосредственно органом по
официальному утверждению, тогда как в других юрисдикциях для
выполнения этих функций соответствующий орган может привлечь
независимую организацию.
5.2
Цель и элементы компонента, связанного с контрольной проверкой
5.2.1
Цель компонента, связанного с контрольной проверкой, заключается в
содействии установлению следующих фактов:
a)
изготовитель внедрил в производство процессы, необходимые для
обеспечения эксплуатационной и функциональной безопасности в
течение всего срока службы транспортного средства; и
b)
безопасность АСВ транспортного средства обеспечивается самой
ее конструкцией, и эта конструкция прошла надлежащую
валидацию перед выпуском на рынок.
5.2.2
Таким образом, этот компонент состоит из двух основных элементов:
контрольной проверки процессов изготовителя, установленных в рамках
системы управления безопасностью, и оценки (с точки зрения
безопасности)
представленного
изготовителем
обоснования
безопасности, в том числе в части безопасности конструкции АСВ.
5.2.3
Рекомендуется обязать изготовителя продемонстрировать, что:
a)
были
внедрены
надежные
процессы,
обеспечивающие
безопасность на протяжении всего срока службы транспортного
средства (разработки, производства, эксплуатации и вывода из
эксплуатации). Эти процессы включают в себя наиболее
подходящие меры по мониторингу транспортных средств,
находящихся в эксплуатации, и принятие надлежащих
(корректирующих или превентивных) мер для решения любых
проблем;
b)
связанные с АСВ опасности и угрозы были выявлены и есть
ясность в отношении того, что для уменьшения их масштаба
имеется и была применена концепция безопасности изготовителя,
19
ECE/TRANS/WP.29/2024/39
основанная на принципе обеспечения безопасности благодаря
конструкции; и
c)
5.3
Подлежащая представлению документация
5.3.1
Для облегчения проведения органом по официальному утверждению
контрольной проверки и оценки безопасности изготовителю АСВ
следует представить определенную документацию.
5.3.2
В комплекте документации рекомендуется продемонстрировать, что
АСВ:
5.3.3
26
20
оценка рисков и концепция безопасности были валидированы
изготовителем по результатам испытаний и еще до выпуска
транспортного средства на рынок показали, что оно отвечает
требованиям безопасности. Транспортное средство не должно
подвергать необоснованным рискам безопасность участников
расширенной
транспортной
экосистемы,
в
частности
пользователя(ей) транспортного средства с АСВ и других
участников дорожного движения. На основании фактических
данных, представленных изготовителем в обосновании
безопасности, а также результатов испытаний на подтверждение
соответствия, проведенных органом по надзору за безопасностью,
компетентные органы смогут оценить, являются ли процессы,
оценка рисков, конструкция и валидация достаточно надежными с
точки зрения функциональной и эксплуатационной безопасности.
a)
спроектирована и разработана таким образом, чтобы не
подвергать пользователя(ей) транспортного средства с АСВ и
других участников дорожного движения неоправданному риску в
пределах заявленного ДШЭ;
b)
обеспечивает соблюдение всех применимых требований к
рабочим характеристикам, касающихся выполнения ДЗУ и
взаимодействия с пользователями АСВ;
c)
была разработана в соответствии
разработки, указанным изготовителем.
с
процессом/методом
Документацию следует представлять в трех частях:
a)
информационный документ, представляемый компетентному
органу и содержащий краткий обзор отдельных представленных
документов;
b)
для целей проведения контрольной проверки — полное описание
предусмотренной
изготовителем
системы
управления
безопасностью;
c)
для целей проведения оценки безопасности — всеобъемлющее
обоснование безопасности26 АСВ и ее функций, в том числе
описание процессов проектирования, в ходе которых была
реализована концепция безопасности, и структурированные
материалы, демонстрирующее с помощью корпуса фактических
данных, что АСВ и ее функция прошли достаточную валидацию
безопасности для исключения необоснованного риска при работе
АСВ.
Хотя представляемое изготовителем обоснование безопасности подразумевает документальное
подтверждение самостоятельной оценки изготовителем своих процессов, конструкции,
производства и валидационных испытаний, направленных на обеспечение безопасности АСВ,
в настоящем документе используется термин «оценка безопасности», обозначающий оценку
обоснования безопасности компетентным органом.
GE.24-06854
ECE/TRANS/WP.29/2024/39
GE.24-06854
5.3.4
Вместо того, чтобы включать такие сведения в документацию,
направляемую органу по официальному утверждению, дополнительные
конфиденциальные материалы и данные анализа (представляющие собой
интеллектуальную собственность) следует оставлять у изготовителя, но
предоставлять для проверки (например, на местах, в конструкторских
отделах изготовителя) в момент оценки продукта/контрольной проверки
процесса.
5.3.5
Изготовителю следует обеспечить доступность этих материалов и
аналитических данных в течение 10 лет, считая с момента прекращения
производства АСВ. О любых изменениях в конструкции системы
безопасности АСВ следует должным образом сообщать компетентному
органу.
5.4
Система управления безопасностью
5.4.1
Цель проверки предусмотренной изготовителем системы управления
безопасностью состоит в том, чтобы подтвердить, что изготовителем
внедрены надежные процессы для управления рисками нарушения
безопасности и обеспечения безопасности на протяжении всего срока
службы АСВ (разработки, производства, эксплуатации и вывода из
эксплуатации). Эти процессы должны включать надлежащие меры по
мониторингу транспортных средств, находящихся в эксплуатации,
и принятие по мере необходимости корректирующих мер по устранению
недостатков.
5.4.2
СУБ — это системный подход к управлению безопасностью,
охватывающий и включающий в себя организационные, человеческие и
технические факторы:
a)
человеческий фактор, обеспечивающий, чтобы вопросами АСВ на
протяжении всего срока ее службы максимально эффективно
занимались
сотрудники,
обладающие
соответствующими
навыками и подготовкой и умеющие определять риски и
применять надлежащие меры по смягчению последствий;
b)
организационный фактор, а именно процедуры и методы,
позволяющие управлять выявленными рисками, понимать их
взаимосвязи и взаимодействие с другими рисками и мерами по
смягчению последствий, а также способствующие недопущению
непредвиденных последствий;
c)
технический
фактор
(использование
инструментальных средств и оборудования).
соответствующих
5.4.3
Надлежащая СУБ будет охватывать все три указанных фактора в целях
мониторинга и усовершенствования безопасности, а также содействия
управлению выявленными рисками. Оценка СУБ основана на стандартах
проектирования автомобильной (или иной) техники, руководствах и
документах по передовой практике, относящихся к безопасности.
5.5
Политика в области безопасности
5.5.1
Рекомендуется включить в СУБ политику в области безопасности, чтобы
описать цели и задачи, которые организация будет устанавливать для
достижения желаемых результатов в плане безопасности. В рамках этой
политики следует сформулировать принципы и концептуальные
подходы, на которых основывается культура безопасности в организации
и которые доводятся до сведения всех ее сотрудников. Формирование
полноценной культуры безопасности начинается с четкого и твердого
управления безопасностью.
21
ECE/TRANS/WP.29/2024/39
5.5.2
22
К числу процессов и действий, которые изготовителю рекомендуется
документировать, относятся следующие:
a)
политика и принципы достижения безопасности (в соответствии с
концепцией, изложенной в разделе 5.4.1 стандарта ISO 21434 и в
главе 5.2 стандарта ISO 9001, посвященных автомобильным
устройствам и системам);
b)
цели безопасности организации и процедура установления
показателей эффективности мер по обеспечению безопасности,
используемых в обосновании безопасности;
c)
надлежащая структура СУБ, в которой учитываются правила,
стандарты, руководящие указания по оптимальной практике и
варианты использования транспортного средства, и которая
позволяет отобразить в СУБ организационную структуру,
процессы и результаты работы;
d)
культура безопасности (раздел 5.4.2 стандарта ISO 26262-2);
e)
элементы
управления
безопасностью,
в
том
числе:
i) приверженность руководства (в соответствии с концепцией,
изложенной в разделе 5.4.1 стандарта ISO 21434 и в главе 5.1
стандарта ISO 9001, посвященных автомобильным устройствам и
системам); ii) роли и обязанности (раздел 6.4.2 стандарта
ISO 26262-2, относящийся к организационной и проектной
деятельности);
f)
эффективные методы коммуникации в рамках организации по
вопросам безопасности (подраздел 5.4.2.3 стандарта ISO 26262-2);
g)
порядок обмена информацией за пределами организации
(в соответствии с концепцией, изложенной в разделе 5.4.5
стандарта ISO 21434 и стандарте ISO 9001, но с точки зрения
безопасности);
h)
система управления качеством (например, согласно стандартам
IATF 16949, ISO 9001 или эквивалентным стандартам) для
поддержки техники безопасности, включая управление
изменениями,
управление
конфигурацией,
управление
требованиями, управление инструментами и т. д.
5.6
Управление рисками
5.6.1
В СУБ рекомендуется включить процесс управления рисками нарушения
безопасности, направленный на выявление и оценку рисков, связанных с
тремя вышеописанными факторами СУБ (т. е. человеческим,
организационным и техническим). К любым эксплуатационным рискам,
выявленным в отношении продукции, следует в соответствующих
случаях применить меры смягчения на этапе проектирования и
разработки. Соответственно, изготовитель АСВ должен быть в состоянии
продемонстрировать связь между общим процессом управления
рисками, мерами по их смягчению и проистекающими из них
эксплуатационными рисками.
5.6.2
Примеры процессов и действий в области управления рисками, которые
изготовителю рекомендуется документировать:
a)
выявление рисков (в соответствии с разделом 6.4.2 стандарта
ISO 31000 или эквивалентным стандартом);
b)
анализ рисков (в соответствии с разделом 6.4.3 стандарта
ISO 31000 или эквивалентным стандартом);
c)
оценка рисков (в соответствии с разделом 6.4.4 стандарта
ISO 31000 или эквивалентным стандартом);
GE.24-06854
ECE/TRANS/WP.29/2024/39
d)
обработка рисков (в соответствии с разделом 6.4.5 стандарта
ISO 31000 или эквивалентным стандартом);
e)
процессы, направленные
актуальной оценки рисков;
f)
обзор эффективности работы организации в области обеспечения
безопасности и эффективности управления рисками нарушения
безопасности.
поддержание
максимально
5.7
Процесс проектирования и разработки
5.7.1
Рекомендуется должным образом наладить и задокументировать в
рамках СУБ процесс проектирования и разработки. Он должен включать
управление рисками, управление требованиями, выполнение требований,
испытания, отслеживание отказов, действия по их устранению и
управление выдачей разрешений. Примеры процессов и действий,
которые следует рассмотреть для обеспечения надлежащего выполнения
обязанностей:
5.7.2
a)
роли и обязанности людей, участвующих в этапе проектирования
и разработки;
b)
квалификация и опыт лиц, ответственных за принятие решений,
влияющих на безопасность;
c)
координация ролей, ответственности и передачи информации
между процессами проектирования и производства.
Примеры процессов и действий, которые следует документировать для
обеспечения надежности этапа проектирования и разработки:
a)
общее описание того, как организация выполняет все виды
деятельности по проектированию и разработке;
b)
разработка,
интеграция
средства/системы:
c)
GE.24-06854
на
и
внедрение
транспортного
(например,
определение
i)
управление требованиями
валидация требований);
ii)
стратегии валидации, включая, в частности:
и
a.
оценку физической среды испытаний;
b.
оценку достоверности инструментария виртуальных
испытаний;
c.
системную интеграцию;
d.
программное обеспечение;
e.
аппаратное обеспечение;
iii)
управление
функциональной
безопасностью
и
эксплуатационной безопасностью, включая постоянную
оценку и обновление оценок рисков, а также
взаимодействие;
iv)
управление человеческим фактором (например, человекоориентированные процессы проектирования);
управление разработкой и изменениями, включая, в числе
прочего:
i)
основные решения относительно разработки;
ii)
соответствующие изменения конструкции АСВ;
iii)
сотрудников, участвующих в разработке;
23
ECE/TRANS/WP.29/2024/39
iv)
5.7.3
Изготовителю рекомендуется налаживать и поддерживать эффективные
каналы связи между отделами, отвечающими за функциональную/
эксплуатационную безопасность, кибербезопасность и любые другие
соответствующие требования, связанные с достижением безопасности
транспортного средства.
5.8
Процесс производства и внедрения
5.8.1
Рекомендуется должным образом наладить и задокументировать в
рамках СУБ процесс производства. Примеры процессов и действий,
которые рекомендуется документировать для обеспечения надежности
этапа разработки и изготовления продукции, включают:
5.8.2
24
инструментальные средства и пороговые значения,
утвержденные для проверки безопасности АСВ.
a)
аттестацию системы управления качеством (например,
в соответствии со стандартом IATF 16949 или ISO 9001 либо
эквивалентным стандартом);
b)
описание того, как организация выполняет все производственные
функции, включая управление условиями труда, рабочей средой,
а также оборудованием и инструментами.
Примеры процессов и действий, подлежащих документированию для
обеспечения надежности разработки и распределенного производства:
a)
связь между изготовителем транспортного средства и/или АСВ и
всеми другими задействованными организациями (партнерами
или субподрядчиками);
b)
критерии
приемлемости
«подсистемы/компонентов»,
изготовленных другими партнерами или субподрядчиками
(т. е. распространение требований по обеспечению качества
продукции на цепочку поставок).
5.8.3
Изготовителю рекомендуется продемонстрировать, что проводятся
периодические независимые внутренние контрольные проверки, а также
внешние контрольные проверки для обеспечения последовательного
осуществления процессов, установленных в рамках системы управления
безопасностью.
5.8.4
В СУБ рекомендуется включить надежный процесс обеспечения
надлежащей валидации и распространения обновлений программного
обеспечения после внедрения, а также подтверждения их загрузки.
5.8.5
Изготовителю
рекомендуется
достичь
соответствующих
договоренностей (например, в виде договорных отношений, четких
интерфейсов, системы управления качеством) с любыми организациями,
задействованными в процессах разработки, изготовления или доработки
его транспортных средств в ходе эксплуатации (например,
с контрактными поставщиками, обслуживающими компаниями или
филиалами предприятий-изготовителей) для обеспечения того, чтобы
предусмотренные ими подходы к управлению безопасностью, связанные
с деятельностью в рамках договорных обязательств, соответствовали
рекомендациям, изложенным в настоящих руководящих положениях.
Примеры
процессов
и
действий,
которые
рекомендуется
документировать:
a)
организационная политика для цепочки поставок;
b)
учет рисков, исходящих от цепочки поставок;
c)
оценка возможностей поставщика в
соответствующие контрольные проверки;
области
СУБ
и
GE.24-06854
ECE/TRANS/WP.29/2024/39
GE.24-06854
d)
процессы заключения договоров и соглашений для обеспечения
безопасности
на
этапах
разработки,
производства
и
постпроизводства;
e)
процессы децентрализованной деятельности по обеспечению
безопасности.
5.8.6
Документацию по СУБ регулярно обновляют с учетом любых
соответствующих изменений в процессах СУБ. Для обеспечения
надлежащего решения проблем при контрольной проверке и обновлении
СУБ рекомендуется применять анализ пробелов, а также изучать
текущую культуру безопасности перед разработкой новых и более
подходящих процессов СУБ. К СУБ применяется процесс постоянного
улучшения (этапы «планирования, исполнения, проверки и принятия
мер», согласно стандарту ISO 9001). О любых изменениях в
документации по СУБ следует должным образом сообщать
компетентному органу.
5.8.7
В СУБ рекомендуется учитывать меры, подлежащие принятию для
обеспечения безопасности АСВ в случае прекращения производства,
поддержки или технического обслуживания АСВ.
5.8.8
Изготовителю рекомендуется предусмотреть следующие процессы:
a)
обеспечение
соблюдения
всех
методик
задокументированных в рамках СУБ;
b)
обеспечение проведения независимой проверки соответствия
применимым требованиям и нормам (т. е. проводимой не тем же
лицом, которое составляет данные о соответствии);
c)
обеспечение непрерывной
безопасностью с целью
эффективность.
оценки системы
гарантировать ее
и
действий,
управления
постоянную
5.9
Связь с компонентом, относящимся к мониторингу и передаче данных на
этапе эксплуатации
5.9.1
Изготовителю рекомендуется включить в СУБ процессы контроля за
инцидентами/авариями/столкновениями, имеющими отношение к
безопасности и вызванными АСВ. Изготовителям следует также
располагать процессом ликвидации потенциальных пробелов в системе
обеспечения безопасности на этапе эксплуатации (которые могут
выявляться посредством мониторинга на этапе эксплуатации) и
процессом обновления программного обеспечения транспортных
средств.
5.9.2
Изготовителю следует располагать процессами сообщения о
происшествиях, связанных с безопасностью (например, о столкновении
с другими участниками дорожного движения и о потенциальных
пробелах в системе обеспечения безопасности, см. компонент, связанный
с мониторингом и передачей данных на этапе эксплуатации),
компетентному органу в случае возникновения таких происшествий.
5.9.3
Изготовителю следует установить применяющиеся на этапе
эксплуатации процессы подтверждения соответствия установленному
обоснованию безопасности. В них следует включить раннее
обнаружение новых неизвестных ситуаций (в соответствии с SOTIF,
касающейся сведения к минимуму области неизвестных сценариев) и
расследование происшествий с целью обмена опытом, полученным в
результате анализа происшествий и аварийных ситуаций, чтобы дать
возможность всем заинтересованным сторонам извлечь уроки исходя из
обратной связи по опыту эксплуатации и вносить вклад в постоянное
повышение уровня безопасности автотранспортных средств. Пример
руководящих принципов: существует ли документ, описывающий
25
ECE/TRANS/WP.29/2024/39
соответствующую процедуру информирования руководства о
происшествиях? Есть ли доказательства того, что компания соблюдает
эту
процедуру?
Существует
ли
документ,
описывающий
соответствующую процедуру расследования и документирования
происшествий? Есть ли доказательства того, что компания соблюдает эту
процедуру?
26
5.10
Оценка безопасности АСВ
5.10.1
Цель оценки безопасности АСВ состоит в том, чтобы орган по надзору за
безопасностью смог подтвердить, что опасности и риски, связанные с
АСВ, были выявлены изготовителем и что в производство была внедрена
соответствующая концепция безопасности для снижения этих рисков.
В обоснование безопасности АСВ следует включить разъяснение
концепции безопасности изготовителя и способа ее реализации для
обеспечения безопасности благодаря конструкции; кроме того,
с помощью структурированной аргументации и фактических данных в
нем следует продемонстрировать, что оценка рисков и концепция
обеспечения безопасности были валидированы изготовителем по
результатам испытаний и что еще до выпуска на рынок оснащенного
АСВ транспортного средства его АСВ уже отвечала соответствующим
требованиям безопасности. В обоснование безопасности следует
включить достаточные доказательства того, что АСВ не подвергает
необоснованным рискам безопасность участников расширенной
транспортной экосистемы, в частности пользователя(ей) транспортного
средства с АСВ и других участников дорожного движения.
В обосновании безопасности надлежит затронуть нижеследующие
аспекты.
5.10.2
Общее описание АСВ
5.10.2.1
В предоставляемое изготовителем АСВ обоснование безопасности
рекомендуется включить описание конфигурации АСВ, видов
предполагаемого использования и ограничений на использование ее
функций с упрощенным разъяснением эксплуатационных характеристик
и функций АСВ, а именно:
a)
домена штатной эксплуатации (например, ограничения скорости
движения, параметры, относящихся к типу дороги и проезжей
части, страна, факторы окружающей среды, дорожные условия и
т. д.), в том числе условий и ограничений ДШЭ каждой функции
АСВ, выраженных в измеримых и/или проверяемых величинах;
b)
базовых функциональных возможностей (например, обнаружение
и реагирование на объекты и ситуации (ОРОС) и т. д.);
c)
взаимодействия с другими участниками дорожного движения;
d)
основных условий достижения состояния минимального риска;
e)
взаимодействия с водителем (если применимо), включая
процедуры
передачи
управления,
отображаемые
АСВ
уведомлений и виды реакции резервного пользователя;
f)
центра контроля (если применимо);
g)
метода активации, отключения или деактивации АСВ любыми или
же всеми участниками из следующего перечня: пользователем
АСВ (когда это применимо), центром физического контроля
(когда это применимо), пассажирами (когда это применимо) или
другими участниками дорожного движения (когда это
применимо).
GE.24-06854
ECE/TRANS/WP.29/2024/39
5.10.3
Описание функционала АСВ
5.10.3.1
Следует представить описание с четким разъяснением всех функций
АСВ, включая принципы управления, и методов, используемых для
выполнения динамических задач управления в пределах ДШЭ, а также
границ, для работы в которых предназначена АСВ, в том числе описание
механизма(ов), с помощью которого(ых) осуществляется управление.
Рекомендуется предоставить перечень всех вводимых и воспринимаемых
переменных и определить диапазон их работы, наряду с описанием
воздействия каждой переменной на поведение системы. Следует
представить перечень всех выходных переменных, контролируемых
АСВ, и в каждом случае пояснить, осуществляется ли управление
напрямую либо через другую систему транспортного средства. Следует
определить диапазон управления применительно к каждой из
переменных.
5.10.4
Компоновка и схематическое описание АСВ
a)
Перечень компонентов
Следует представить перечень, в который включены все блоки АСВ с
указанием других систем транспортного средства, необходимых для
обеспечения данной функции управления. Следует предоставить краткое
схематическое описание этих блоков с указанием их взаимосвязей и с
четким освещением аспектов распределения и взаимного подсоединения
оборудования. В это схематическое описание рекомендуется включить
следующие элементы: i) восприятие и обнаружение объектов, включая
картирование и позиционирование; ii) определение характера принятия
решений; iii) дистанционный контроль и удаленный мониторинг из
центра удаленного контроля (если применимо); iv) информационный
экран/пользовательский интерфейс; v) система хранения данных
(например СХДАВ).
b)
Функции блоков
Следует кратко охарактеризовать функции каждого блока АСВ и указать
сигналы, обеспечивающие его соединение с другими блоками или
другими системами транспортного средства. Это может быть сделано
при помощи блок-схемы с соответствующей маркировкой или иного
схематического описания либо при помощи текста, сопровождающего
такую схему. Рекомендуется обозначать соединения в рамках АСВ при
помощи принципиальной схемы электрических линий передачи, схемы
пневматического или гидравлического передающего оборудования и
упрощенной диаграммной схемы механических соединений. Следует
также обозначить линии передачи к другим системам и от них. Следует
обеспечить четкое соответствие между линиями передачи и сигналами,
передаваемыми между блоками. В каждом случае, когда на
эксплуатационные качества или безопасность может повлиять фактор
очередности, указывается очередность сигналов на мультиплексных
информационных каналах.
c)
Идентификация блоков
Каждый блок следует четко и однозначно идентифицировать (например,
посредством маркировки аппаратных средств и посредством маркировки
либо
указания
идентификационных
данных
программного
обеспечения — для содержания программных средств). Это должно
обеспечить четкую методику идентификации аппаратного и
программного обеспечения в связанной с ними документации. Если
версия программного обеспечения может быть изменена без
необходимости замены маркировки или компонента, то идентификация
программного обеспечения должна обновляться только при выходе
нового программного обеспечения. Если функции объединены в едином
GE.24-06854
27
ECE/TRANS/WP.29/2024/39
блоке управления или же в едином компьютере, но указываются на
нескольких блоках схемы, то для обеспечения ясности и легкости
понимания рекомендуется использовать единую идентификационную
маркировку аппаратных средств. Идентификация позволяет определить
версию аппаратного и программного обеспечения, причем в случае
изменения программного обеспечения с изменением функций блока
идентификатор, связанный с этим программным обеспечением, также
следует изменить.
d)
Установка компонентов системы обнаружения
Изготовителю следует представить информацию о вариантах установки,
которые будут использоваться для отдельных компонентов,
составляющих систему обнаружения. Эти варианты включают,
в частности, расположение компонента в транспортном средстве/на
транспортном средстве, окружающий(е) компонент материал(ы),
размеры и геометрию окружающего компонент материала, а также
шероховатость поверхности окружающих компонент материалов после
его установки в транспортном средстве. Информация должна также
включать технические требования к установке, которые имеют
решающее значение для работы АСВ, например допуски на угол
установки. Любые изменения в отдельных компонентах системы
обнаружения или вариантах установки следует отражать в
документации.
e)
f)
28
Технические характеристики АСВ:
i)
описание технических характеристик АСВ в штатных,
критических ситуациях и ситуациях отказа, критерии
утверждения и подтверждение соответствия этим
критериям;
ii)
перечень применяемых правил, кодексов и стандартов.
Интерфейс, связанный с техническим обслуживанием и ремонтом;
защита от несанкционированного доступа:
i)
АСВ должна обеспечивать интерфейс для целей
технического обслуживания и ремонта уполномоченными
сотрудниками;
ii)
АСВ должна быть спроектирована таким образом, чтобы
обеспечить
защиту
ее
функционала
от
несанкционированного доступа и несанкционированной
модификации;
iii)
меры защиты от несанкционированного доступа должны
соответствовать оптимальной инженерно-технической
практике.
5.10.5
Концепция безопасности
изготовителем
и
валидация
концепции
безопасности
5.10.5.1
Изготовителю следует предоставить обоснование безопасности,
подтверждающее и доказывающее тот факт, что АСВ не создает
неоправданных рисков для пользователя(ей) транспортного средства с
АСВ и других участников дорожного движения. Частью обоснования
безопасности является концепция безопасности, в которой описываются
предусмотренные в АСВ меры, позволяющие достичь цели
предотвращения неоправданного риска для функциональной и
эксплуатационной безопасности. В дополнение к этой описательной
документации в обоснование безопасности также входит подкрепленное
фактическими данными (в том числе результатами валидационных
испытаний) структурированное подтверждение того, что АСВ не создает
неоправданных рисков. Что касается используемого в АСВ
GE.24-06854
ECE/TRANS/WP.29/2024/39
программного обеспечения, то разъясняются элементы его
конфигурации и определяются использованные методы и средства
проектирования. Изготовителю следует представить фактические
данные в отношении реализации и проверки функционала АСВ в
процессе проектирования и разработки.
5.10.5.2
GE.24-06854
В рамках концепции безопасности, входящей в обоснование
безопасности, изготовителю рекомендуется разъяснить проектные
условия, которым соответствует АСВ, направленные на обеспечение
функциональной и эксплуатационной безопасности. Возможными
проектными условиями АСВ могут служить, например, следующие
требования:
a)
переход
к
функционированию
в
аварийном
(или
отказоустойчивом) режиме с частичным использованием системы;
b)
дублирование с помощью отдельных систем;
c)
наличие перечня потенциальных неисправностей, выявляемых
диагностической(ими) системой(ами) АСВ;
d)
удаление некоторых или всех функций автоматизированного
вождения. Если в соответствии с обозначенным требованием
применяется частичный режим работы при определенных
условиях неисправности (например, в случае критических
отказов), то эти условия указываются (например, тип отказа).
Следует определить соответствующее поведение и функционал
АСВ (например, немедленный переход в состояние минимального
риска), а также принцип предупреждения водителя/центра
удаленного контроля (если применимо). Если в соответствии с
обозначенным требованием выбирается второй вариант (резервная
система), позволяющий выполнить динамическую задачу
управления, то рекомендуется разъяснить принципы работы
механизма переключения, логику и уровень дублирования, а также
любые встроенные функции проверки резерва и определить
соответствующие пределы резервной эффективности. Если в
соответствии с обозначенным требованием выбирается удаление
одной из функций автоматизированного вождения, то
рекомендуется выполнять его согласно соответствующим
положениям настоящих правил. Все соответствующие выходные
сигналы управления, связанные с этой функцией, следует
подавлять.
5.10.5.3
Документацию следует дополнить аналитическими данными,
демонстрирующими возможности реагирования АСВ в целях смягчения
или недопущения угроз, которые могут повлиять на безопасность
пользователя(ей) транспортного средства с АСВ и других участников
дорожного движения. В ней должно быть продемонстрировано, как
изготовитель будет управлять неизвестными опасными сценариями,
чтобы держать остаточный уровень риска под контролем. Выбранный(е)
аналитический(е) подход(ы) устанавливается(ются) изготовителем и
представляется(ются) компетентному органу для оценки до выпуска на
рынок.
5.10.5.4
Проверяющий эксперт проводит оценку применения этих аналитических
подходов, включая:
a)
проверку подхода к безопасности
(транспортного средства);
на
уровне
концепции
b)
этот подход рекомендуется применять с опорой на анализ
факторов опасностей/рисков, предназначенный для оценки
безопасности системы;
29
ECE/TRANS/WP.29/2024/39
5.10.5.5
30
c)
проверку подхода к безопасности на уровне АСВ, включая подход
«сверху вниз» (от возможной опасности к проектированию) и
подход «снизу вверх» (от проектирования к возможной
опасности). Оценка безопасности может основываться на анализе
режима отказа и последствий неисправностей (АРПО), анализе
дерева неисправностей (АДН) и системно-теоретическом анализе
процессов (СТАП) или любом другом аналогичном процессе,
целесообразном
для
обеспечения
функциональной
и
эксплуатационной безопасности системы;
d)
проверку подтверждения в документации планов и результатов
валидации/контроля, включая соответствующие критерии
приемлемости. Такая проверка должна, в частности, включать
пригодное для валидации испытание, например испытание
«Аппаратные средства в контуре управления (АСвКУ)»,
эксплуатационные испытания транспортных средств в дорожных
условиях, испытания с привлечением реальных конечных
пользователей или любые другие аналогичные испытания,
приемлемые для целей валидации/контроля. Контролеру/эксперту
следует провести оценку физической испытательной среды
(испытательной площадки и/или дороги общего пользования) и
оценить
представленную
изготовителем
документацию,
относящуюся к набору инструментальных средств виртуальных
испытаний. Контролер/эксперт может принять решение
о
проведении
испытаний
всего
интегрированного
инструментального средства для оценки достоверности
инструментария виртуальных испытаний. Результаты валидации и
контроля могут быть оценены путем анализа охвата различных
испытаний и установления минимальных пороговых значений
охвата для различных показателей. Более подробную информацию
об оценке достоверности см. в добавлении 1 к приложению 5.
В документации рекомендуется подтверждать охват, по крайней мере,
всех нижеследующих элементов, когда это применимо:
a)
вопросов, касающихся взаимодействия с другими системами
транспортного средства (например, торможения или рулевого
управления);
b)
отказов
автоматизированной
системы
соответствующей стратегии снижения риска;
c)
ситуаций в рамках ДШЭ, когда система может создавать
необоснованные риски для безопасности пользователя(ей)
транспортного средства с АСВ и других участников дорожного
движения из-за эксплуатационных помех, таких как:
вождения
и
i)
невосприятие или неправильное восприятие обстановки,
в которой находится транспортное средство;
ii)
непонимание
реакции
водителя,
пользователя(ей)
транспортного средства с АСВ или других участников
дорожного движения;
iii)
недостаточный контроль;
iv)
сложные сценарии;
d)
определения соответствующих сценариев в пределах ДШЭ и
методологии, используемой для выбора сценариев, а также
методологии валидации и подхода к ней;
e)
процесса принятия
динамических задач
решений относительно
управления (например,
выполнения
экстренного
GE.24-06854
ECE/TRANS/WP.29/2024/39
маневрирования), взаимодействия с другими участниками
дорожного движения и соблюдения правил дорожного движения;
кибернападений, которые могут сказаться на безопасности
транспортного средства;
g)
обоснованно прогнозируемого неправомерного использования
водителем (если применимо) (например, применительно к
использованию системы распознавания готовности водителя или
разъяснения того, каким образом были установлены критерии
готовности), ошибок или недопонимания со стороны водителя
(если применимо) (например, непреднамеренного отключения) и
преднамеренного взлома АСВ.
5.10.5.6
В обоснование безопасности следует включить аргументы и фактические
данные, подкрепляющие внедрение понятной и логичной концепции
безопасности, охватывающей весь набор различных функций АСВ.
Документация также должна продемонстрировать, что меры валидации
достаточно надежны для подтверждения безопасности (например,
в части достаточного охвата выбранной методологией валидации
выбранных сценариев) и выполнены.
5.10.5.7
В документации рекомендуется привести фактические данные,
подтверждающие, что транспортное средство не подвергается
неоправданному риску с точки зрения пользователя(ей) транспортного
средства с АСВ и других участников дорожного движения в рамках
домена штатной эксплуатации. Подтверждением может служить
следующее:
5.10.5.8
GE.24-06854
f)
a)
общие целевые показатели валидации (т. е. критерии
приемлемости
проверки),
подкрепленные
результатами
валидации, которые демонстрируют, что введение в эксплуатацию
АСВ не приведет — в рамках ДШЭ — к повышению общего
уровня риска для пользователя(ей) транспортного средства с АСВ
и других участников дорожного движения по сравнению с
транспортными средствами, управляемыми вручную; и
b)
подход на основе сценариев, показывающий, что АСВ в целом не
повысит общий уровень риска для пользователя(ей)
транспортного средства с АСВ и других участников дорожного
движения по сравнению с транспортными средствами,
управляемыми вручную, в рамках ДШЭ для каждого из сценариев,
имеющего отношение к безопасности.
В обоснование безопасности следует включить документацию,
достаточную для того, чтобы компетентный орган посредством оценки
этого обоснования и, возможно, проведения испытаний, мог убедиться,
что изготовитель успешно реализовал концепцию безопасности,
применимую к АСВ. В документации рекомендуется указать перечень
контролируемых параметров транспортного средства и привести
фактические данные, подтверждающие выполнение применимых
требований к безопасности. Эта документация должна также включать
описание мер, принимаемых для обеспечения того, чтобы АСВ не
создавала необоснованных рисков для пользователя(ей) транспортного
средства с АСВ и других участников дорожного движения в случаях,
когда на ее функционирование влияют факторы окружающей среды
(например, погодные явления, температурные условия, попадание пыли,
проникновение воды или лед на поверхности дороги).
31
ECE/TRANS/WP.29/2024/39
5.10.6
Система хранения данных
5.10.6.1
Рекомендуется включить
элементов:
следующих
a)
место хранения и обеспечения сохранности после аварии;
b)
данные, регистрируемые во время эксплуатации транспортного
средства и происшествий;
c)
безопасность данных и защита от несанкционированного доступа
или использования;
d)
средства и инструменты для осуществления санкционированного
доступа к данным.
5.10.7
Кибербезопасность
обеспечения
5.10.7.1
В документации должно содержаться описание следующих аспектов:
a) кибербезопасность и управление обновлениями программного
обеспечения; b) выявление рисков, меры по смягчению последствий;
c) вторичные риски и оценка остаточных рисков; d) процедура
обновления программного обеспечения и управление этим обновлением
в соответствии с требованиями законодательства.
5.10.8
Предоставление информации пользователям (в соответствующих
случаях: владельцам, пользователям, операторам и т. д.)
5.10.8.1
Документация должна способствовать пониманию пользователями АСВ
функционала системы и ее работы, охватывая как минимум следующие
аспекты:
и
управление
обновлениями
программного
a)
эксплуатационное описание функций, возможностей и
ограничений АСВ (информация должна также относиться к
конкретным сценариям и/или ДШЭ);
b)
условия надлежащего использования АСВ и ее функции(й);
c)
инструкции по активации и деактивации АСВ с четким
разъяснением различий между деактивацией по запросу
пользователя и деактивацией по команде системы;
d)
описание ролей и обязанностей водителя/пользователя и АСВ при
включенной АСВ (активированной функции);
e)
информация о реакции АСВ на вмешательство пользователя
транспортного средства с АСВ в процесс динамического
управления транспортным средством;
f)
описание допустимых случаев передачи ролей и порядка такой
передачи;
g)
общий обзор действий, не связанных с вождением (ДНСВ),
допустимых при активированной функции АСВ;
h)
меры предосторожности и предназначенная для пользователя
информацию о безопасности;
i)
информация, относящаяся к указаниям ЧМИ:
j)
32
в документацию описание
i)
визуальные контрольные сигналы, пиктограммы;
ii)
звуковые сигналы;
iii)
тактильные сигналы;
меры безопасности, которые необходимо принять в случае
неисправности АСВ;
GE.24-06854
ECE/TRANS/WP.29/2024/39
GE.24-06854
k)
сведения об объеме, сроках и периодичности операций по
техническому обслуживанию;
l)
средства,
обеспечивающие
технического осмотра;
m)
документы и шаблоны документов по техническому
обслуживанию, ремонту и периодическим техническим осмотрам;
n)
меры предосторожности, связанные с соблюдением предельных
значений в рамках технических функций;
o)
функциональные возможности в области защиты данных и
безопасности данных.
проведение
периодического
6.
Требования к выполнению ДЗУ средствами
АСВ
6.1
Введение
6.1.1
В следующих подразделах даются рекомендации относительно
критериев валидации безопасности АСВ и/или транспортных средств с
АСВ. В приложении 2 приводится матричная таблица соотнесения этих
критериев с рекомендуемыми методами испытаний.
6.1.2
В общем плане уровень безопасности АСВ должен быть не ниже того,
при котором компетентный и осторожный водитель-человек может
свести к минимуму риски нарушения безопасности для пользователя(ей)
транспортного средства с АСВ и других участников дорожного
движения. Приведенные ниже подразделы касаются выполнения ДЗУ
средствами АСВ. Рекомендуемые требования были разработаны для
применения во всем мире. Поэтому в этих требованиях не оговариваются
предельные технические характеристики ввиду разнообразия
относящихся к ДШЭ условий и требований, которые могут повлиять на
безопасное выполнение ДЗУ.
6.2
Составление сценариев и поведенческие характеристики
6.2.1
Управление транспортным средством подразумевает управление
рисками в режиме реального времени в сложившихся условиях
дорожного движения. Поэтому безопасное выполнение ДЗУ средствами
АСВ зависит от условий, предусмотренных в рамках каждого
конкретного сценария.
6.2.2
В приложении 3 представлен рекомендуемый подход к составлению
сценариев и определению поведенческих характеристик АСВ, которые
должны быть продемонстрированы в рамках этих сценариев. Каждый
сценарий связан с одной или несколькими поведенческими
характеристиками.
6.2.3
Подход к составлению сценариев на основе ДШЭ опирается на
аналитические методы, гарантирующие, что сценарии полностью
охватывают ДШЭ той или иной (тех или иных) функции(й) АСВ. В этих
сценариях рассматриваются штатные, критические ситуации и ситуации
отказа, что позволяет проводить оценки в соответствии с рамочным
документом WP.29 по автоматизированным транспортным средствам
(РДАТС). Поведенческие характеристики определяют реакцию АСВ,
соответствующую указанным ниже глобальным требованиям
(подразделы 6.3–6.6), в рамках соответствующей модели безопасности,
которая позволяет количественно определить параметры оценки
эффективности АСВ (согласно приложению 3). Поведенческие
характеристики коррелируют с уровнем абстрагирования сценария,
обеспечивая наличие проверяемых критериев на функциональном
33
ECE/TRANS/WP.29/2024/39
уровне, и вплоть до измеримых критериев на конкретном уровне
абстрагирования.
34
6.2.4
Применительно к нижеследующим подразделам соответствие
рекомендуемым требованиям определяется путем проверки того,
демонстрирует ли АСВ поведенческие характеристики, связанные со
сценариями, которые относятся к ДШЭ ее функций. Эти требования
подлежат применению при определении поведенческих характеристик,
которые должны быть продемонстрированы при выполнении сценариев
дорожного движения.
6.3
Выполнение ДЗУ средствами АСВ при штатных сценариях дорожного
движения
6.3.1
Приведенные ниже рекомендации касаются изложенных в Рамочном
документе
по
автоматизированным/автономным
транспортным
средствам (ECE/TRANS/WP.29/2019/34/Rev.2) руководящих указаний о
том, что эксплуатация транспортных средств, оснащенных АСВ, не
должна вызывать дорожно-транспортных происшествия или нарушать
дорожное движение. Соответствие этой масштабной цели можно
проверить посредством испытания АСВ и/или транспортного средства с
АСВ при штатных сценариях дорожного движения, в которых
воспроизводятся обычные и ожидаемые дорожные условия и
аналогичное поведение участников движения. Минимизация факторов
риска, выходящих за рамки штатного выполнения ДЗУ средствами АСВ,
позволяет обособленно рассмотреть влияние стиля вождения АСВ на
других участников дорожного движения и транспортный поток.
В настоящем разделе содержатся рекомендации в отношении
требований, касающихся оценки выполнения ДЗУ средствами АСВ при
обычных условиях эксплуатации и вождения:
a)
АСВ должна быть способна полноценно выполнять динамическую
задачу управления (ДЗУ) в пределах ДШЭ своей(их) функции(й);
b)
АСВ должна управлять транспортным средством на безопасной
скорости;
c)
АСВ должна поддерживать надлежащее расстояние до других
участников дорожного движения, управляя продольным и
поперечным перемещением транспортного средства;
d)
АСВ должна адаптировать свой режим вождения к окружающим
условиям дорожного движения (например, избегать нарушения
транспортного потока);
e)
АСВ должна адаптировать свой режим вождения с учетом
имеющихся рисков для безопасности (например, уделять
наивысшее внимание всем участникам дорожного движения и
пассажирам);
f)
АСВ должна обнаруживать объекты и события, имеющие
отношение к выполнению ею ДЗУ, и реагировать на них;
g)
АСВ должна обнаруживать движущиеся транспортные средства,
имеющие преимущественное право проезда, и реагировать на них,
согласно соответствующим правилам дорожного движения;
h)
при штатных сценариях движения режим вождения АСВ не
должен вынуждать других участников дорожного движения
выполнять маневры уклонения во избежание столкновения с
транспортным средством с АСВ;
i)
при штатных сценариях дорожного движения режим вождения
АСВ не должен приводить к столкновению;
GE.24-06854
ECE/TRANS/WP.29/2024/39
27
GE.24-06854
j)
АСВ должна обеспечивать соблюдение правил дорожного
движения в соответствии с действующим законодательством в
районе эксплуатации;
k)
АСВ должна обеспечивать безопасное взаимодействие с другими
участниками дорожного движения;
l)
АСВ должна по возможности избегать столкновений с объектами,
имеющими отношение к безопасности;
m)
АСВ должна предупреждать о предполагаемом изменении
направления движения;
n)
АСВ должна предупреждать о своем функционировании в
соответствии с национальными предписаниями;
o)
по требованию пассажира АСВ должна обеспечить безопасную
остановку транспортного средства.
6.4
Выполнение ДЗУ средствами АСВ при критических сценариях
дорожного движения
6.4.1
Приведенные ниже рекомендации касаются изложенных в Рамочном
документе
по
автоматизированным/автономным
транспортным
средствам (ECE/TRANS/WP.29/2019/34/Rev.2) руководящих указаний о
том, что эксплуатация транспортных средств, оснащенных АСВ, не
должна влечь за собой обоснованно предсказуемые и предотвратимые
дорожно-транспортные происшествия с травмами или смертельным
исходом.
6.4.2
Соответствие этой масштабной цели можно проверить посредством
испытания АСВ и/или транспортного средства с АСВ при критических
сценариях дорожного движения, в которых воспроизводятся необычные
и неожиданные дорожные условия, объекты и/или соответствующее
поведение объектов, которые повышают риски для безопасности
дорожного движения. Посредством введения в сценарии предсказуемых
внешних факторов риска можно оценить способность АСВ справляться
с критическими для безопасности событиями, которые могут возникнуть
в пределах ее ДШЭ:
a)
с целью свести общий риск к минимуму требования к выполнению
ДЗУ, предъявляемые при штатных сценариях, должны — в той
мере, в какой это практически осуществимо в конкретных
обстоятельствах, — также применяться и при критических
сценариях;
b)
в случае столкновения АСВ должна обеспечить остановку
транспортного средства с переводом в состояние минимального
риска и/или в соответствии с применимыми правилами дорожного
движения27;
c)
АСВ не должна возобновлять движение до тех пор, пока не будет
подтверждено безопасное рабочее состояние оснащенного ею
транспортного средства;
d)
АСВ может возобновить движение, если это допустимо в
соответствии
применимым(и)
правилом(ами)
дорожного
движения и другими соображениями безопасности.
6.5
Выполнение ДЗУ средствами АСВ при сценариях отказа
6.5.1
Приведенные ниже рекомендации касаются изложенных в Рамочном
документе
по
автоматизированным/автономным
транспортным
Это положение требует дальнейшего рассмотрения на предмет пороговых параметров
столкновения, при которых необходим перевод в СМР.
35
ECE/TRANS/WP.29/2024/39
средствам (ECE/TRANS/WP.29/2019/34/Rev.2) руководящих указаний в
отношении обеспечения безопасности системы и реагирования на отказы
системы, которые ставят под угрозу способность АСВ полноценно
выполнять ДЗУ:
6.6
36
a)
с целью свести общий риск к минимуму требования к выполнению
ДЗУ, предъявляемые при штатных сценариях, должны — в той
мере, в какой это практически осуществимо в конкретных
обстоятельствах, — также применяться и при критических
сценариях;
b)
АСВ должна обнаруживать неисправности, сбои и аномалии,
которые ставят под угрозу ее способность полноценно выполнять
ДЗУ в пределах ДШЭ ее функции(й) в соответствии с
документацией изготовителя;
c)
АСВ может продолжать работу при наличии неисправностей,
которые не препятствуют соблюдению предъявляемых к АСВ
требований в плане безопасности;
d)
в качестве реакции на неисправность АСВ может разрешить
активацию и использование затронутой этой неисправностью
функции при условии, что АСВ продолжает обеспечивать
функционал, необходимый для полноценного выполнения ДЗУ;
e)
АСВ должна адаптировать порядок выполнения ДЗУ с учетом
серьезности неисправности в целях обеспечения безопасности
дорожного движения;
f)
АСВ должна запрещать активацию той или иной функции при
наличии в АСВ функционального сбоя, ставящего под угрозу
способность системы полноценно выполнять ДЗУ в пределах
ДШЭ данной функции;
g)
эксплуатация АСВ с ограниченной работоспособностью должна
соответствовать
обычно
применяемым
требованиям
безопасности;
h)
по требованию властей должна быть предусмотрена возможность
дистанционного прекращения изготовителем и/или оператором
перевозок работы одной или нескольких АСВ или ее (их)
функции(й);
i)
дистанционное прекращение работы АСВ, выполняющей ДЗУ,
должно быть способно вызывать реакцию АСВ на сбой;
j)
дистанционное прекращение работы АСВ либо функции(й) АСВ
должно приводить к невозможности их активации пользователем.
Выполнение ДЗУ средствами АСВ в пограничных ДШЭ:
a)
АСВ должна распознавать условия и границы ДШЭ своей(их)
функции(й) в соответствии с представленным изготовителем
описанием ДШЭ согласно главе 5;
b)
АСВ должна быть способна определять, выполняются ли условия
для активации каждой функции;
c)
АСВ должна предотвращать активацию той или иной функции при
невыполнении условий ДШЭ данной функции;
d)
АСВ должна запускать процесс реагирования на сбой в случае,
если одно или несколько условий ДШЭ используемой функции
перестают выполняться;
e)
АСВ должна быть способна прогнозировать вероятные выходы из
ДШЭ каждой функции.
GE.24-06854
ECE/TRANS/WP.29/2024/39
6.7
GE.24-06854
Требования к состоянию минимального риска:
a)
АСВ должна предупреждать о своем намерении перевести
транспортное средство в СМР;
b)
АСВ должна запускать процесс реагирования на сбой в случае
отказа АСВ и/или другой системы транспортного средства, не
позволяющего АСВ выполнять ДЗУ;
c)
в отсутствие резервного пользователя, готового взять на себя
управление, АСВ должна сразу переводить транспортное средство
в СМР;
d)
если АСВ спроектирована таким образом, чтобы запрашивать и
подтверждать вмешательство водителя-человека, АСВ должна
выполнять перевод транспортного средства в СМР в случае сбоя
при передаче управления пользователю;
e)
по завершении перевода в СМР пользователю может быть
разрешено принять на себя управление транспортным средством.
6.8
Соображения в отношении конкретных требований к испытаниям
6.8.1
В приложении 2 приведена матричная таблица, в которой каждое
требование соотносится с соответствующими компонентами валидации.
6.9
Применение компонентов валидации к требованиям, соответствующим
штатным сценариям движения
6.9.1
Большинство требований к выполнению ДЗУ при штатных сценариях
можно подтвердить посредством любого из методов испытаний; при
этом сложные сценарии с высокой интенсивностью движения может
быть непросто реализовать на испытательном треке.
6.10
Применение компонентов валидации к требованиям, соответствующим
критическим сценариям движения
6.10.1
Требования к выполнению ДЗУ при критических сценариях охватывают
сложные и/или небезопасные сценарии, которые было бы опасно
выполнять, задействуя обычных участников дорожного движения в
реальных условиях. Некоторые критические сценарии можно воссоздать
на испытательных треках в контролируемых условиях, однако для
воспроизведения наиболее опасных ситуаций рекомендуется проводить
виртуальные испытания.
6.11
Применение компонентов валидации к требованиям, соответствующим
сценариям отказа
6.11.1
Требования к выполнению ДЗУ при сценариях отказа охватывают
сценарии, в которых отказы системы ставят под угрозу способность АСВ
полноценно выполнять ДЗУ. Необходимо продумать, как можно
вручную вызвать отказ с помощью аппаратных либо программных
механизмов. Намеренное ухудшение характеристик АСВ в реальных
условиях среди обычных участников движения было бы опасно,
за исключением
очень
специфических
ситуаций
с
низкой
интенсивностью движения. Испытание отказов безопаснее и
рациональнее проводить на испытательных треках и в ходе виртуальных
испытаний.
6.12
Применение компонентов валидации к требованиям, связанным с
границами ДШЭ
6.12.1
Требования к выполнению ДЗУ при достижении границ ДШЭ
охватывают ситуации, когда взаимодействие АСВ происходит в
пограничных областях ее ДШЭ. Валидацию некоторых из этих границ
можно выполнить на испытательном треке при условии, что испытания
на треке проводятся на испытательной площадке, являющейся частью
37
ECE/TRANS/WP.29/2024/39
ДШЭ данной АСВ либо надлежащим образом воспроизводящей ДШЭ.
Валидация некоторых же пограничных случаев, в частности
эксплуатационных характеристик практически на границе геозоны ДШЭ,
будет возможна только с помощью испытаний в реальных условиях или
виртуальных испытаний.
38
6.13
Применение компонентов валидации к требованиям, связанным с
состоянием минимального риска
6.13.1
Требования к состоянию минимального риска связаны с переводом АСВ
в СМР. В зависимости от конструкции АСВ, данное СМР не всегда может
быть желательным на реальной дороге, например при остановке на
полосе движения. Таким образом, испытание на перевод в СМР в
реальных условиях движения может быть опасным в зависимости от
характера этого перевода. Подобное испытание, возможно, безопаснее и
рациональнее проводить на испытательных треках и в ходе виртуальных
испытаний.
7.
Требования к безопасному взаимодействию
пользователей с АСВ
7.1
В следующих подразделах приводятся связанные с безопасностью
рекомендации относительно взаимодействия пользователя с АСВ.
Следует отметить, что рекомендации варьируются в зависимости от роли
пользователя, конструкции системы и задач, которые будут выполняться
пользователем в процессе эксплуатации оснащенного АСВ
транспортного средства.
7.2
Для целей безопасной эксплуатации АСВ пользователями, которые
могут быть вынуждены перенять у АСВ выполнение задачи управления,
необходимо предоставить правильную информацию о возможностях
АСВ, с тем чтобы пользователь мог мысленно сконструировать модель,
правильно отражающую эти возможности. Такую информацию следует
предоставлять до начала и во время управления транспортным средством
с АСВ.
7.3
Для детализации некоторых рекомендаций рекомендуется опираться на
знания о человеческих факторах, являющиеся общепризнанной
междисциплинарной областью науки, в которой при разработке и оценке
технологий, направленных на повышение безопасности и удобства
использования, применяются знания о способностях и ограничениях
человека.
7.4
Необходимо отметить, что корпус знаний об испытаниях взаимодействия
пользователя с АСВ, включая критерии прохождения/непрохождения
испытаний, отчасти нуждается в дальнейшей доработке. Важно также
стремиться к определенному уровню «унификации» процесса
взаимодействия пользователя с АСВ всех марок и моделей. Это поможет
пользователям выработать и применять единую мысленную модель,
а также снизить риск путаницы (например, выбора неправильного
режимах) при смене пользователем транспортных средств, оснащенных
АСВ различных изготовителей. В настоящий момент параметры такой
унификации установить невозможно, однако крайне важно сделать ее
целью будущих проектных решений.
7.5
В настоящем разделе представлены рекомендации по разработке схемы
взаимодействия пользователей АСВ с транспортными средствами,
оснащенными АСВ, которые направлены на обеспечение безопасной
эксплуатации транспортных средств с АСВ. Эти рекомендации не
распространяются на транспортные средства с АСВ и функции АСВ,
спроектированные без расчета на участие пользователя. В настоящем
GE.24-06854
ECE/TRANS/WP.29/2024/39
документе рассматриваются следующие типы пользователей АСВ:
водитель, резервный пользователь, пассажир.
7.5.1
Общие рекомендации:
a)
АСВ должна предупреждать о любом сбое, ограничивающем
работу доступной функции;
b)
АСВ должна предупреждать пользователя(ей) АСВ о своем
намерении перевести транспортное средство в СМР;
c)
АСВ, управляющая работой дверей, должна обеспечивать
возможность аварийной передачи этой функции пользователю;
d)
ЧМИ АСВ должен в простой и однозначно трактуемой форме
отображать относящиеся к безопасности сведения и сигналы,
четко видимые целевому(ым) пользователю(ям) при любых
условиях эксплуатации, причем при необходимости такие сигналы
могут быть комбинированными (например, оптический, звуковой
и тактильный).
7.5.2
Функции АСВ, позволяющие пользователю взять на себя ручное
управление в целях выполнения ДЗУ
7.5.2.1
Общие рекомендации:
a)
когда АСВ включена, органы управления транспортным
средством, индикаторы, контрольные сигналы и предупреждения,
связанные с ДЗУ, могут быть отключены, подавлены,
деактивированы, заблокированы или другими способами
приведены в недоступное состояние, если это необходимо для
снижения риска ошибок в эксплуатации, неправильной
эксплуатации, а также для сокращения количества неоднозначных
ситуаций при управлении транспортным средством;
b)
АСВ должна быть спроектирована таким образом, чтобы
предотвращать неправильную эксплуатацию пользователем и
ошибки в его работе;
c)
в порядке обеспечения только надлежащих видов взаимодействия
органы управления транспортным средством, относящиеся к АСВ,
должны четко идентифицироваться и опознаваться28;
d)
если та или иная функция АСВ активирована, то пользователю
должна поступать следующая информация:
e)
7.5.2.2
28
GE.24-06854
i)
сведения о состоянии АСВ;
ii)
роль резервного пользователя, если применимо;
iii)
любой сбой АСВ, ограничивающий работу доступной
функции;
АСВ должна уведомлять о доступности функции для активации.
Рекомендации относительно активации функции АСВ
a)
АСВ должна обеспечивать безопасную активацию той или иной
своей функции;
b)
АСВ должна обеспечивать оперативную обратную связь,
указывающую на успешную либо неуспешную попытку
пользователя включить функцию АСВ;
По размеру, форме, местонахождению, цвету, типу, действию, пространственному
расположению и/или конфигурации. Это предписание направлено на поощрение правильного
использования и не предполагает запрета многофункциональных органов управления.
39
ECE/TRANS/WP.29/2024/39
7.5.2.3
c)
в процессе активации функции (например, при прохождении
последовательности действий и состояний) должны учитываться
соответствующие рекомендации или стандарты;
d)
при активации функции АСВ, в результате которой пользователь
становится резервным пользователем, последнему необходимо
сообщить о дальнейших ожиданиях в отношении его действий.
Рекомендации по деактивации функции АСВ и переходу к ручному
управлению транспортным средством:
a)
АСВ должна быть оборудована системой мониторинга для
обеспечения — при необходимости — безопасного и надлежащего
взаимодействия с пользователем;
b)
по завершении процесса деактивации управление поперечным и
продольным перемещением транспортного средства должно
перейти обратно к водителю без какого-либо постоянного
активного содействия управлению29.
7.5.3
Функции позволяющие деактивировать АСВ по запросу пользователя 30
7.5.3.1
АСВ должна быть спроектирована таким образом, чтобы обеспечить
безопасный процесс деактивации системы по запросу пользователя.
a)
АСВ должна позволять пользователю инициировать процесс
деактивации системы только если она может убедиться, что
пользователь в состоянии вернуться к роли водителя;
b)
деактивация функции АСВ может быть отложена, если, по оценке
АСВ, сложившаяся ситуация не подходит для нового режима
эксплуатации транспортного средства (например, из-за того, что
текущая ситуация непригодна или небезопасна для нового режима
работы);
c)
в процессе деактивации по запросу пользователя (например, при
прохождении последовательности действий и состояний) должны
учитываться соответствующие рекомендации или стандарты;
d)
перед завершением процесса деактивации АСВ должна оценить и
подтвердить, что пользователь готов возобновить выполнение
ДЗУ;
e)
АСВ должна выдавать конкретное предупреждение о завершении
деактивации системы;
f)
если применимо, после деактивации АСВ органы управления
транспортным средством, индикаторы, предупреждения и
контрольные сигналы должны быть переведены в состояние,
соответствующее ручному управлению;
g)
если применимо, функции АСВ, управляющие закрытием, должны
перестать воздействовать на закрытие либо на элементы
управления, связанные с закрытием.
Это положение может быть изменено при получении от изготовителей фактических данных,
доказывающих безопасность непрерывного содействия управлению после деактивации АСВ.
30 Случай АСВ, способной «предложить» пользователю взять управление на себя (например,
по достижении границ ее ДШЭ), но не предназначенной для того, чтобы требовать от
резервного пользователя постоянной готовности взять на себя управление, надлежит
рассматривать как деактивацию системы по запросу пользователя с учетом требований
настоящего раздела.
29
40
GE.24-06854
ECE/TRANS/WP.29/2024/39
7.5.4
Функции, позволяющие деактивировать АСВ по команде системы
7.5.4.1
АСВ должна обеспечивать безопасную инициируемую системой
деактивацию с передачей управления резервному пользователю.
7.5.5
GE.24-06854
a)
об инициируемой системой деактивации в штатных ситуациях
следует своевременно предупреждать, чтобы помочь резервному
пользователю вновь включиться в процесс управления
транспортным средством;
b)
в процессе инициируемой системой деактивации и перехода к
процессу ручного управления (например, при прохождении
последовательности действий и состояний) должны учитываться
соответствующие рекомендации или стандарты;
c)
АСВ должна:
i)
постоянно оценивать, доступен ли резервный пользователь
для инициируемой системой деактивации;
ii)
обеспечить
эффективные
процедуры
повторного
включения в процесс резервного пользователя, который,
согласно результатам оценки, был недоступен;
iii)
запустить процесс перевода в СМР в случаях, когда
повторное включение в процесс резервного пользователя
невозможно, нецелесообразно и/или небезопасно;
iv)
при необходимости адаптировать инициируемый системой
процесс деактивации (например, длительность, уровни
предупреждений) к текущим обстоятельствам (например,
связанных с включенностью резервного пользователя,
состоянием АСВ и транспортного средства, текущей
дорожной обстановкой);
d)
перед завершением процесса деактивации АСВ должна оценить и
подтвердить, что пользователь готов возобновить выполнение
ДЗУ;
e)
АСВ должна оставаться активной до тех пор, пока не будет
завершен инициируемый системой процесс деактивации или пока
транспортное средство с АСВ не перейдет в состояние
минимального риска;
f)
АСВ должна выдавать конкретное предупреждение о завершении
деактивации системы;
g)
если применимо, после деактивации АСВ органы управления
транспортным средством, индикаторы, предупреждения и
контрольные сигналы должны быть переведены в состояние,
соответствующее ручному управлению;
h)
если применимо, функции АСВ, управляющие закрытием, должны
перестать воздействовать на закрытие либо на элементы
управления, связанные с закрытием.
Функции АСВ, не позволяющие пользователю взять на себя ручное
управление в целях выполнения ДЗУ
a)
АСВ должна предоставлять пассажиру(ам)
потребовать остановки транспортного средства;
возможность
b)
транспортное средство с АСВ должно предоставлять пассажирам
информацию, связанную с безопасностью;
c)
АСВ не должна инициировать движение, пока не будут снижены
риски для безопасности пассажира(ов);
41
ECE/TRANS/WP.29/2024/39
42
d)
АСВ может предоставлять пользователю(ям) информацию,
связанную с текущей работой (например, о пункте назначения,
предстоящих остановках, ходе продвижения по маршруту);
e)
органы управления, предусмотренные для ручного управления
(например, рулевой механизм, рабочий тормоз, стояночный
тормоз, акселератор, освещение), должны быть сконструированы
таким образом, чтобы исключить любое воздействие на ДЗУ при
выполнении ДЗУ средствами АСВ, либо должны быть
предусмотрены разумные меры предосторожности для
предотвращения доступа к органам управления.
7.5.6
Испытания на
пользователем
соответствие
требованиям
к
взаимодействию
с
7.5.6.1
В приложении 2 приведена матричная таблица, в которой каждое
требование в отношении пользователя соотносится с соответствующими
компонентами валидации.
7.5.6.2
Многие требования к ЧМИ связаны с конструкцией системы, однако
влияние этих конструкционных особенностей может быть проверено на
практике с помощью имитационного моделирования, испытаний на треке
и испытаний в реальных условиях; при этом наиболее приемлемым
компонентом для установления соответствия конструкционным
требованиям является компонент, связанный с контрольной проверкой.
7.5.6.3
Виртуальные испытания в режиме ВвКУ могут быть целесообразны с
точки зрения подкрепления оценки данной категории требований
безопасности путем анализа взаимодействия между водителем и АСВ в
безопасной и контролируемой среде.
7.5.6.4
Испытания на треке могут быть подходящими в тех случаях, когда
рабочие характеристики АСВ можно оценить в рамках дискретного
числа физических испытаний, при этом более высокий уровень
достоверности позволит улучшить качество оценки в случае испытаний,
относящихся к ЧМИ или реагированию АСВ на сбой.
7.5.6.5
Использование информации о работе АСВ в реальных условиях может
помочь улучшить или изменить процесс испытаний на треке. Кроме того,
из показателей МПДЭ, касающихся взаимодействия с пользователем,
можно получить информацию, полезную для совершенствования ЧМИ
АСВ, удобства его использования и обучения водителей.
7.5.6.6
Как и в случае с требованиями к ДЗУ, для выполнения требований в
отношении пользователя при сценариях отказа (в частности требования,
касающегося предупреждения пользователя о сбое) необходимо
продумать, как можно вручную вызвать отказ с помощью аппаратных
либо программных механизмов. Намеренное ухудшение параметров
выполнения ДЗУ средствами АСВ в условиях реального движения может
привести к неоправданным рискам для безопасности; поэтому проверять
эксплуатационные характеристики при выполнении сценариев отказа
будет безопаснее с помощью испытаний на треке и/или виртуальных
испытаний.
7.5.6.7
Испытание на предмет предупреждения об отказах, аварийного
отключения системы пользователем и инициируемой(го) системой
передачи управления пользователю либо перехода в СМР может
привести к тому, что АСВ переведет транспортное средство в СМР.
В зависимости от конструкции АСВ, данное СМР не всегда может быть
желательным на реальной дороге, например при остановке на полосе
движения. Таким образом, испытание на перевод в СМР в условиях
реального движения может быть опасным в зависимости от параметров
СМР. Подобное испытание, возможно, безопаснее и рациональнее
проводить на испытательных треках и в ходе виртуальных испытаний.
GE.24-06854
ECE/TRANS/WP.29/2024/39
GE.24-06854
7.5.6.8
Системы, которые полагаются на присутствие резервного пользователя,
должны отвечать требованиям, связанным с обнаружением его
присутствия. Для полноценного испытания на соответствие такому
требованию резервный пользователь не должен присутствовать/быть
доступным в момент, когда это необходимо. Система должна быть
способна справиться с такой ситуацией, однако испытание данного
аспекта все же следует проводить на контролируемом испытательном
треке во избежание потенциальных рисков для безопасности в условиях
реального движения на тот случай, если АСВ не будет соответствовать
предъявляемым требованиям.
7.5.6.9
К виртуальным испытаниям относятся как моделирование условий
движения, так и использование имитаторов транспортного средства.
Применительно к большинству требований достаточно одного из этих
видов испытаний; однако в ряде случаев, например для оценки
включенности пользователя перед деактивацией выполнения ДЗУ
средствами АСВ, требуется оценка как АСВ, так и водителя-человека,
что может быть затруднительно при испытаниях на имитаторе.
8.
Мониторинг и передача данных на этапе
эксплуатации
8.1
Введение
8.1.1
Мониторинг и передача данных на этапе эксплуатации (МПДЭ) — это
методология валидации, составляющая часть многокомпонентного
подхода. В рамках этого компонента исследуется безопасность
находящихся в эксплуатации автоматизированных транспортных средств
после их выпуска на рынок.
8.1.2
В принципе, МПДЭ — в отличие от других представленных выше
методов — не является инструментом валидации перед внедрением,
однако (особенно в части мониторинга) его все же можно использовать
для проверки соответствия АСВ требованиям. МПДЭ в основном
предназначен для предоставления доказательства соответствия АСВ
характеристикам эксплуатационной безопасности, выявления смещения
или отклонения от продемонстрированных рабочих характеристик и
обнаружения тех областей, где АСВ дает сбои, а не для предоставления
доказательства того, что само требование перед внедрением
прошло валидацию, продемонстрированную в ходе имитационного
моделирования, испытаний на треке и испытаний в реальных условиях.
8.1.3
На практике применение остальных компонентов руководящих
принципов в отношении НМОИ позволяет оценить, является ли АСВ,
согласно существующим критериям, безопасной для выпуска на рынок,
в то время как мониторинг и передача данных на этапе эксплуатации
позволяют собрать на основе реального опыта дополнительные
фактические данные для демонстрации того, что АСВ по-прежнему
остается безопасной после выпуска на рынок, т. е. что эксплуатация АСВ
не обусловливает возникновение неоправданного риска для
безопасности.
8.1.4
В рамках данного компонента описываются способы динамического
мониторинга в процессе эксплуатации и последующее предоставление
обратной связи в целях обеспечения постоянного повышения уровня
безопасности АСВ.
8.1.5
В основе этого компонента лежит сбор данных о парке транспортных
средств, находящихся в эксплуатации, для оценки того, продолжает ли
АСВ оставаться безопасной при эксплуатации в условиях дорожного
движения. Благодаря такому сбору данных могут также передаваться
43
ECE/TRANS/WP.29/2024/39
сведения, позволяющие разрабатывать новые сценарии или варианты
существующих сценариев в рамках каталога сценариев, с тем чтобы все
занимающиеся АСВ специалисты могли изучить основные
аварии/инциденты, связанные с АСВ.
44
8.1.6
Для целей МПДЭ изготовители АСВ должны собирать и анализировать
информацию о безопасности, связанную с эксплуатацией их
транспортных средств с АСВ в реальных условиях, и сообщать
соответствующему органу данные о проблемах безопасности,
происшествиях и показателях эффективности.
8.1.7
Ответственность за безопасность АСВ в течение всего срока ее службы
несет изготовитель.
8.1.8
МПДЭ — это механизм, позволяющий органам по надзору за
безопасностью получить информацию об АСВ от изготовителя в
дополнение к информации, которая может быть получена из других
источников.
8.1.9
Поэтому для подтверждения характеристик безопасности и
подтверждения валидации, проведенной изготовителем до выпуска на
рынок, рекомендуется наладить обратную связь (посредством
мониторинга парка транспортных средств).
8.1.10
МПДЭ позволяет выявить неоправданные риски, связанные с
эксплуатацией АСВ на дорогах общего пользования, и оценить их
характеристики безопасности в процессе реальной эксплуатации.
8.2
Задачи
8.2.1
Цель МПДЭ — способствовать повышению безопасности дорожного
движения путем обеспечения сбора, обработки и распространения
соответствующей информации о безопасности.
8.2.2
Процесс МПДЭ нацелен на три основные задачи:
a)
выявление рисков для безопасности, связанных с работой АСВ и
требующих устранения, включая случаи несоблюдения
требований безопасности АСВ (задача 1);
b)
поддержку разработки пригодных для испытаний сценариев
дорожного движения путем сбора информации о случаях
небезопасных действий АСВ в непредвиденных ситуациях
(задача 2);
c)
предоставление информации и рекомендаций для содействия
постоянному улучшению характеристик безопасности АСВ
(задача 3).
8.2.3
Фактический уровень безопасности можно будет подтвердить только
тогда, когда в эксплуатацию будет введено достаточное количество
транспортных средств с АСВ и они столкнутся с достаточно широким
диапазоном дорожных условий и условий окружающей среды. Поэтому
крайне важно наладить обратную связь, которой будут способствовать
аспекты МПДЭ.
8.2.4
Эти данные будут служить для оценки и анализа процесса обеспечения
безопасности изготовителем АСВ и для валидации информации,
использованной для содействия ее выпуску на рынок.
8.2.5
Обратная связь по опыту эксплуатации от системы МПДЭ позволит
провести ретроспективную оценку нормативных требований и методов
валидации, а также получить информацию о любых проблемах и,
соответственно, о необходимости внесения любых изменений в
требования.
GE.24-06854
ECE/TRANS/WP.29/2024/39
GE.24-06854
8.2.6
В ходе реальной эксплуатации АСВ могут быть выявлены
непредвиденные ситуации, риски и опасности, и эта информация может
быть использована для разработки новых сценариев, которые будут
включены в будущий каталог сценариев.
8.2.7
На раннем этапе выпуска на рынок транспортных средств с АСВ всем
заинтересованным сторонам важно извлекать уроки из критических с
точки зрения безопасности ситуаций с участием АСВ. Поэтому важно
наличие механизма, позволяющего делиться с заинтересованными в
технологии АСВ сторонами информацией, полученной по итогам МПДЭ,
и рекомендациями, сформулированными в результате ее анализа. Это
позволит другим сторонам реагировать на информацию и должно
привести к изменениям, которые сократят или устранят вероятность
возникновения таких ситуаций с участием других АСВ.
8.2.8
Вместе с тем, МПДЭ находит более широкое применение. Так,
использование информации о работе АСВ в реальных условиях может
помочь улучшить или изменить процесс испытаний на треке. Кроме того,
из показателей МПДЭ, касающихся взаимодействия с пользователем,
можно почерпнуть информацию, полезную для усовершенствования
ЧМИ АСВ, удобства ее использования и обучения водителей.
8.2.9
Сбор, обработка и распространение информации, связанной с
характеристиками безопасности АСВ, в рамках МПДЭ также будут
способствовать оценке влияния эксплуатации АСВ на безопасность
дорожной сети. Кроме того, сведения, собранные благодаря МПДЭ,
могут
использоваться
для
распространения
информации
о
преимуществах АСВ в плане безопасности.
8.3
Мониторинг, передача данных и расследования
8.3.1
Мониторинг охватывает общий сбор данных и анализ, проводимый
изготовителями с целью извлечь из этих данных информацию,
относящуюся к безопасности. В основном это касается сбора
соответствующих элементов данных в процессе обычной эксплуатации
АСВ для выработки активного подхода к представлению доказательств
соответствия АСВ характеристикам эксплуатационной безопасности.
8.3.2
Передача данных относится к происшествиям, которые создают
опасность или, если их не устранить, могут создать опасность для
транспортного средства, его водителя и пассажиров или любого другого
лица, а также, в более общем смысле, к сообщению обо всех
происшествиях, имеющих отношение к безопасности работы АСВ.
Передача данных опирается на методологию сбора данных на основе
событий, который инициируется при наступлении определенного набора
происшествий.
8.3.3
Ожидается, что аспект МПДЭ будет дополнен относящимися к
безопасности расследованиями (по крайней мере) серьезных
происшествий, которые будет проводить независимый орган.
8.4
Процесс МПДЭ
45
ECE/TRANS/WP.29/2024/39
46
8.4.1
Перед внедрением АСВ изготовителю следует разработать процессы
демонстрации своих возможностей по эффективному выполнению
МПДЭ. Эти процессы следует включить в СУБ изготовителя.
8.4.2
Процессы МПДЭ должны демонстрировать следующие возможности:
a)
мониторинга критических и
обусловленных работой АСВ;
b)
ликвидации потенциальных пробелов в системе обеспечения
безопасности на этапе эксплуатации;
c)
информирования компетентного органа о происшествиях,
связанных с безопасностью, в случае их возникновения;
d)
подтверждения
безопасности;
e)
обмена опытом, полученным в результате анализа происшествий
и аварийных ситуаций;
f)
внесения вклада в постоянное повышение уровня безопасности
автотранспортных средств.
соответствия
некритических
разработанному
происшествий,
обоснованию
8.4.3
Изготовителю следует определить соответствующие ключевые
показатели эффективности (КПЭ) для оценки эффективности
деятельности по МПДЭ в ходе эксплуатации АСВ.
8.4.4
Процессы,
внедренные
изготовителем
в
целях
управления
безопасностью АСВ на этапе эксплуатации, например для реагирования
на изменения, касающиеся правил дорожного движения и
инфраструктуры, оцениваются в рамках компонента, связанного с
контрольной проверкой, и к данному компоненту не относятся.
8.5
Внедрение МПДЭ
8.5.1
Мониторинг на этапе эксплуатации
8.5.1.1
Изготовителю и (если применимо) оператору автотранспортного парка
следует разработать программу мониторинга, направленную на сбор и
анализ данных о транспортном средстве, а также данных из других
источников. Ему следует представить доказательства соответствия АСВ
характеристикам
эксплуатационной
безопасности,
а
также
подтверждения результатов контрольной проверки требований системы
управления безопасностью, установленных в рамках компонента,
связанного с контрольной проверкой. (Примечание: мониторинг на этапе
эксплуатации разработан для применения к каждому конкретному типу
АСВ, а не к определенному набору АСВ, отобранному изготовителем
или, если это применимо, оператором автотранспортного парка.)
8.5.1.2
В программу мониторинга следует включить стратегию получения
данных, стратегию сохранения данных, правила доступа к данным,
обеспечения безопасности и защиты данных.
8.5.1.3
Стратегия получения данных обеспечивает репрезентативный сбор
данных для мониторинга характеристик АСВ на этапе эксплуатации.
8.5.1.4
Стратегия сохранения данных должна обеспечивать сохранение набора
данных до завершения процессов принятия и обзора корректирующих
мер. Кроме того, эта стратегия должна обеспечивать сохранение данных
для анализа долгосрочных тенденций (т. е. определенного подмножества
собранных данных).
8.5.1.5
Правила доступа к данным, обеспечения безопасности и защиты данных
должны обеспечивать предоставление доступа к информации только
уполномоченным лицам и содержать гарантии безопасности и защиты
данных.
GE.24-06854
ECE/TRANS/WP.29/2024/39
8.5.1.6
a)
выявлять области эксплуатационного риска и выполнять
количественную оценку текущих пределов безопасности
(например, при мониторинге характеристик безопасности на этапе
эксплуатации);
b)
определять ситуации, в которых АСВ предотвращает
инциденты/аварии (например, посредством перевода в СМР,
предотвращения столкновений, экстренного маневрирования);
c)
выявлять
эксплуатационные
риски
и
проводить
их
количественную оценку посредством сбора данных, относящихся
к описанию и анализу происшествий;
d)
использовать показатели и пороговые значения для оценки рисков
в плане безопасности и выявления тенденций, которые в случае
своего закрепления подразумевают возникновение недопустимых
рисков;
e)
вводить процедуры принятия корректирующих мер в случае
обнаружения недопустимого риска либо его прогнозирования
посредством тенденций;
f)
подтверждать уровень безопасности при
эффективность любых корректирующих мер.
эксплуатации
и
8.5.1.7
Программа мониторинга данных должна позволять проводить анализ
данных с достаточной периодичностью, с тем чтобы обеспечить
оперативное принятие корректирующих мер в соответствии с
требованиями к отчетности.
8.5.1.8
В перечень методов анализа следует включить следующие методы:
8.5.1.9
GE.24-06854
Программа мониторинга данных должна позволять изготовителю и (если
применимо) оператору автотранспортного парка:
a)
регулярные измерения: для характеристики каждой поездки и
обеспечения сравнительного анализа следует собирать сведения о
ряде параметров. Эти измерения должны быть направлены на
выявление и мониторинг возникающих тенденций и
закономерностей до достижения пороговых уровней, граничащих
с превышением (например, мониторинг эксплуатационных
характеристик транспортного средства);
b)
обнаружение превышения: следует выбрать набор базовых
«значений», охватывающих основные области, которые
представляют интерес в плане работы АСВ, с целью поиска
отклонений от характеристик и предельных значений,
установленных для транспортного средства. Как правило,
основные области интереса выводятся по результатам оценки
наиболее значимых рисков до выпуска на рынок. Однако их
следует постоянно пересматривать для отражения текущей
эксплуатации (например, нарушений скоростного режима,
аварийных ситуаций, резкого торможения и т. д.);
c)
анализ происшествий: зарегистрированные данные должны
позволять описывать и расследовать все происшествия,
перечисленные в приложении 8;
d)
подготовка статистики: следует собирать ряды данных для
предоставления дополнительных сведений в поддержку процесса
анализа. Такие данные должны содержать информацию для
формирования показателей и тенденций (например, сведения о
пробеге или продолжительности эксплуатации).
В рамках программы мониторинга данных следует определять КПЭ для
обеспечения оптимального уровня эффективности мониторинга и решать
47
ECE/TRANS/WP.29/2024/39
любые проблемы, влияющие на эффективность программы мониторинга
(например, проблемы повреждения или утраты данных, задержки или
ухудшения обнаружения событий). Примером КПЭ мониторинга
является скорость собираемости данных о поездке, т. е. интервал времени
время между фактическим возникновением влияющего на безопасность
происшествия и обнаружением этого происшествия (дата обнаружения
происшествия системой мониторинга на этапе эксплуатации — дата
фактического возникновения происшествия).
8.5.1.10
В приведенном ниже подразделе «Мониторинг эксплуатационных
характеристик» связь между требованиями к АСВ и деятельностью по
МПДЭ описана с помощью матричной таблицы перекрестных ссылок,
в которой указано, какие именно требования подходят для мониторинга.
8.5.1.11
Сбор данных о транспортном средстве
8.5.1.11.1
Ведется нормативная работа по внедрению требований, касающихся
регистратора данных о событиях (РДС) и системы хранения данных для
автоматизированного вождения (СХДАВ). Пока эти требования не
определены, в настоящем разделе содержатся только предложения по
элементам данных, которые изготовителю следует собирать с
оснащенных АСВ транспортных средств и загружать для дальнейшего
объединения и обработки в целях передачи данных о показателях,
определенных в разделе «Передача данных». Кроме того, доступ к
данным РДС может быть сопряжен с проблемами конфиденциальности,
поскольку эти данные, как правило, принадлежат владельцу
транспортного средства, что обусловливает необходимость разработки
специальных положений в отношении сбора данных для использования
в рамках МПДЭ.
8.5.1.11.2
Можно ожидать, что изготовители будут собирать данные, относящиеся
к типичным режимам работы, например отчеты дилеров, отчеты
клиентов и т. д.
8.5.1.12
Мониторинг эксплуатационных характеристик
8.5.1.12.1
Мониторинг эксплуатационных характеристик АСВ призван:
8.5.1.12.2
48
a)
предоставить доказательства соответствия АСВ характеристикам
эксплуатационной безопасности;
b)
выявлять смещения или отклонения от продемонстрированных
рабочих характеристик, в том числе приводящие к
происшествиям.
По результатам мониторинга изготовителю следует оценить:
a)
показатели эксплуатационной безопасности;
b)
актуальность показателей и пороговых значений;
c)
любые принятые корректирующие меры.
8.5.1.12.3
В приложении 7 приведена матричная таблица с перечислением
требований к АСВ в увязке с деятельностью по МПДЭ.
8.5.2
Передача данных на этапе эксплуатации
8.5.2.1
Основной целью системы передачи данных о происшествиях является
выявление областей потенциального усовершенствования характеристик
безопасности АСВ, а не возложение вины или ответственности.
8.5.2.2
Рекомендованная отчетность со стороны изготовителя
8.5.2.2.1
В соответствии с требованиями компетентного органа изготовителю
следует передавать данные, указанные в настоящем разделе и
подразделах ниже, касающихся передачи данных о происшествиях и
инструментов передачи данных. Ожидается формирование двух видов
GE.24-06854
ECE/TRANS/WP.29/2024/39
сообщений о показателях эксплуатационной безопасности. Эти два вида
сообщений — оперативные и периодические.
8.5.2.2.2
GE.24-06854
Оперативные сообщения о происшествиях и проблемах безопасности
необходимы в случае наступления событий, масштаб которых может
потребовать от изготовителя принятия мер по исправлению ситуации,
включая:
a)
признаки несоответствия требованиям безопасности;
b)
критические происшествия, которые затрагивают АСВ и о
которых становится известно изготовителю АСВ или ИОО;
c)
другие проблемы в эксплуатации, связанные с безопасностью.
8.5.2.2.3
На национальном уровне могут действовать дополнительные требования
в отношении оперативного уведомления/оповещения компетентного
органа в случае, если изготовителю АСВ становится известно о
неисправности/дефекте, представляющем непосредственный риск для
общественной безопасности.
8.5.2.2.4
Изготовителю также следует периодически передавать данные о
показателях эффективности и происшествиях органу по надзору за
безопасностью.
8.5.2.2.5
Периодические сообщения должны содержать фактические данные о
характеристиках безопасности АСВ в процессе эксплуатации.
В частности, они должны демонстрировать, что:
a)
не обнаружено никаких несоответствий по сравнению с
характеристиками безопасности АСВ, заявленными до выпуска на
рынок;
b)
АСВ соответствует требованиям к рабочим характеристикам,
оцененным в рамках методов испытаний;
c)
любые вновь выявленные серьезные проблемы, связанные с
характеристиками безопасности АСВ и обусловливающие
неоправданный риск в плане безопасности, были надлежащим
образом решены (с указанием способа их решения).
8.5.2.2.6
В подразделе «Передача данных о происшествиях» приведен перечень
критических и некритических происшествий, согласованных с
требованиями безопасности. Его элементы представляют собой общие
области интереса, определение которых будет уточнено с учетом как
пользы каждого предлагаемого элемента передаваемых данных для
органов по надзору за безопасностью, так и способности этих органов
рассматривать весь объем представляемых данных, а также практической
осуществимости хранения, сбора различных элементов и передачи
данных по ним.
8.5.2.2.7
В ходе расследования компетентный орган должен располагать
информацией о процедуре обработки (например, фильтрация и
подготовка) данных; кроме того, с ним надлежит согласовывать
действия,
предпринимаемые
для
предоставления
данных,
подкрепляющих отчет.
8.5.2.2.8
Договаривающимся сторонам и их соответствующим национальным
органам по возможности следует разработать согласованный подход к
передаче данных.
8.5.2.2.9
Компетентный орган при необходимости может проверить
представленную
информацию
и,
если
требуется,
дать
правоприменительному органу и/или изготовителю АСВ рекомендации
по исправлению любых обнаруженных условий, представляющих
неоправданный риск для безопасности.
49
ECE/TRANS/WP.29/2024/39
50
8.5.2.2.10
При выявлении серьезного риска для безопасности орган по надзору за
безопасностью может рекомендовать принять временные меры
безопасности, включая немедленное ограничение или приостановку
соответствующих видов эксплуатации, а также потребовать выполнения
действий для восстановления приемлемого уровня безопасности.
8.5.2.3
Передача данных из других источников
8.5.2.3.1
Эффективность компонента МПДЭ определяется наличием данных о
характеристиках безопасности АСВ. Ограничение источников передачи
данных только изготовителями также ограничит набор типов
происшествий, которые могут выявляться посредством МПДЭ, и,
следовательно, уровень повышения безопасности, который может быть
достигнут благодаря обратной связи по опыту эксплуатации.
8.5.2.3.2
Договаривающимся сторонам рекомендуется рассмотреть возможность
распространения механизма передачи эксплуатационных данных на
другие источники (например, водителей, операторов, пользователей,
руководителей, органы управления дорожным движением...) с учетом
уже принятой в других секторах транспорта передовой практики.
8.5.2.4
Передача данных о происшествиях
8.5.2.4.1
В соответствии с требованиями компетентного органа оперативные и
периодические отчеты должны предоставляться в двух частях:
a)
отчет (в соответствии с приложением 8), содержащий резюме и
информацию, которая относится к требованиям отчетности;
b)
данные, лежащие в основе отчета, обмен
компетентным
органом
осуществляется
согласованного файла обмена данными.
которыми с
посредством
8.5.2.4.2
Ожидается, что оперативные сообщения будут направляться по каждому
критическому происшествию.
8.5.2.4.3
Оперативные сообщения должны направляться в течение одного месяца
с момента получения изготовителем сведений о происшествии.
Оперативные сообщения необходимы для информирования о тех
ситуациях, когда эксплуатация АСВ связана или может быть связана с
неоправданным риском для безопасности в ходе эксплуатации.
8.5.2.4.4
Изготовители обязаны незамедлительно уведомлять о таких
происшествиях после их выявления и направлять отчет в течение 30 дней
с момента получения сведений о них.
8.5.2.4.5
Схема передачи данных применяется к тем функциям АСВ
автоматизированного
транспортного
средства,
которые
были
задействованы во время критического происшествия или не позднее чем
за 30 секунд до критического происшествия.
8.5.2.4.6
Периодические сообщение надлежит направлять регулярно, не реже
одного раза в год, в виде агрегированных (например, по часам
эксплуатации или пробегу) данных, относящихся к транспортным
средствам с АСВ и связанных с работой АСВ (т. е. с эксплуатацией при
активированной АСВ).
8.5.2.4.7
Происшествия разделены на четыре категории:
a)
происшествия, связанные с выполнением ДЗУ средствами АСВ;
b)
происшествия, связанные с взаимодействием между АСВ и
пользователями транспортных средств с АСВ;
c)
происшествия, связанные с техническим состоянием АСВ,
включая техническое обслуживание и ремонт;
GE.24-06854
ECE/TRANS/WP.29/2024/39
d)
8.5.2.4.8
происшествия, связанные с выявлением новых сценариев,
имеющих отношение к безопасности.
Приведенный ниже перечень происшествий был составлен с учетом
требований к безопасности АСВ. Рекомендуется принять его в качестве
основы для разработки требований к передаче данных. В отношении
каждого происшествия в нижеприведенной таблице отмечена его
актуальность для оперативной и/или периодической отчетности.
Происшествие
GE.24-06854
Оперативная
Периодическая
отчетность [1 месяц] отчетность [1 год]
1)
Происшествия, связанные с выполнением
ДЗУ средствами АСВ
1.a
Критические с точки зрения безопасности
происшествия, известные изготовителю
АСВ или ИОО
X
X
1.b
Происшествия, связанные с эксплуатацией
АСВ за пределами ее ДШЭ
X
X
1.c
Неспособность АСВ достичь состояния
X
минимального риска, когда это необходимо
X
1.d
Происшествия, относящиеся к связи
X
1.e
Происшествия, связанные с
кибербезопасностью
X
1.f
Взаимодействие с удаленным оператором,
если применимо
Предлагается исключить
X
2)
Происшествия, связанные с
взаимодействием между АСВ и
пользователями транспортных средств с
АСВ
2.a
Неготовность водителя (если применимо)
и другие происшествия, связанные с
пользователем
X
2.b
Происшествия, связанные с нарушением
передачи управления
X
2.c
Предотвращение передачи управления в
небезопасных условиях
X
3.a
Происшествия, связанные с отказом АСВ
X
3.b
Проблемы, связанные с техническим
обслуживанием и ремонтом
X
3.c
Происшествия, связанные с
несанкционированными изменениями
X
3.d
Изменения, внесенные изготовителем АСВ Х (если проблема
или ИОО в целях решения выявленной и
была связана с
значительной проблемы безопасности АСВ неоправданным
риском для
безопасности)
X
4.
Происшествия, связанные с выявлением
новых сценариев, имеющих отношение к
безопасности
(уже охвачено в
X
пп. 1.a, 1.b, 1.c и 3.d)
51
ECE/TRANS/WP.29/2024/39
52
8.5.2.5
Инструменты передачи данных
8.5.2.5.1
Формуляры отчетности призваны обеспечить согласованность
подлежащей представлению информации и облегчить обмен
информацией.
8.5.2.5.2
Формуляры отчетности также призваны обеспечить предоставление
органу по надзору за безопасностью последовательного и полного набора
сведений, способствующего эффективному применению схемы передачи
данных. В зависимости от варианта использования АСВ можно
рассмотреть возможность дальнейшей детализации информации.
8.5.2.5.3
Передача данных должна осуществляться с соблюдением законов,
действующих в каждой Договаривающейся стороне, и в соответствии с
информацией, имеющейся у передающих данные субъектов
(изготовителей и/или операторов).
8.5.2.5.4
Формуляр оперативной отчетности (приложение 8) содержит перечень
сведений, включая указание соответствующих технических требований,
которые следует предоставлять компетентному органу после
наступления происшествия, отмеченного в разделе «Оперативная
отчетность».
8.5.2.5.5
В частности, выполнение предписаний относительно оперативной
отчетности должны способствовать выявлению:
a)
относящихся к
действиями АСВ;
безопасности
происшествий,
вызванных
b)
дорожных ситуаций, которые не были предусмотрены при
первоначальной валидации и привели к поведению АСВ,
не соответствующему ожидаемым особенностям поведения;
c)
несоответствия действий АСВ требованиям к безопасности АСВ;
d)
проблем безопасности, требующих устранения.
8.5.2.5.6
Необходимо также отметить, что сведения, представленные в формуляре
оперативной отчетности, остаются конфиденциальными.
8.5.2.5.7
Формуляр периодической отчетности (приложение 8) содержит перечень
сведений, включая указание соответствующих технических требований,
которые следует ежегодно предоставлять компетентному органу в
отношении происшествий, перечисленных в разделе «Периодическая
отчетность».
GE.24-06854
ECE/TRANS/WP.29/2024/39
Приложение 1
История разработки требований к безопасности АСВ
1.
В настоящем приложении содержится справочная информация, касающаяся
обсуждения требований к безопасности автоматизированных систем вождения (АСВ).
2.
При разработке этих рекомендаций подробно рассматривался вопрос о том, что
такое АСВ и как АСВ связана с ролью человека в управлении транспортным
средством. Соответственно, центральное место в этих рекомендациях занимает
определение АСВ. Два ведущих международных органа по стандартизации (САЕ и
ИСО) определяют АСВ следующим образом: «совокупность аппаратных и
программных средств, способных полноценно выполнять ДЗУ (динамическую задачу
управления) на постоянной основе вне зависимости от того, ограничивается ли она
конкретным доменом штатной эксплуатации (ДШЭ)»1.
3.
Появление АСВ ставит перед регулятором безопасности задачи, требующие
новых концепций, инструментов и методологий в дополнение к тем, которые
традиционно использовались для предшествующих технологий и систем,
относящихся к транспортным средствам.
4.
В данном разделе приводятся соображения, лежащие в основе рекомендаций по
обеспечению безопасности АСВ, представленных в настоящем документе.
Управление транспортным средством
5.
Управление транспортным средством — сложный вид деятельности,
регулируемый правилами дорожного движения и кодексами поведения, которые
основаны на достоинствах и недостатках познавательных способностей человека.
6.
Процессе управления транспортным средством предполагает три уровня
поведения: стратегический, тактический и оперативный.
7.
Стратегический уровень касается общего планирования поездки, например
определения целей поездки, маршрута, выбора вида транспорта, а также оценки затрат
и рисков, связанных с этими решениями.
8.
Тактический уровень связан с маневрированием транспортного средства в
условиях дорожного движения во время поездки, включая восприятие и оценку
дорожной обстановки, принятие решения о конкретном маневре (например, обгонять
ли другое транспортное средство и если да, то в какой момент), его планирование и
выполнение.
9.
Оперативный уровень касается способности стабилизировать транспортное
средство (например, незначительная корректировка курса, подтормаживание и
небольшое ускорение для сохранения положения в полосе движения).
10.
Так, решение ехать на автомобиле из дома на работу предполагает
стратегическую оценку текущих условий, рисков, связанных с вождением в таких
условиях, и вероятности прибыть на работу вовремя. В процессе движения водитель
принимает тактические решения в зависимости от условий, возникающих по ходу
маршрута, например решение о смене полосы движения или повороте на другую
улицу. При перестроении водитель выполняет тактическую оценку целесообразности
смены полосы движения, включает указатели поворота и воздействует на рулевое
1
GE.24-06854
Этот термин используется сугубо для описания системы автоматизации вождения уровня 3, 4
или 5. В настоящих рекомендациях — применительно к определению вариантов применения
технологий АСВ и обеспечению их безопасного внедрения — рассматриваются
соответствующие аспекты ДЗУ и ДШЭ, а также возможности «аппаратных и программных»
средств, в том числе их взаимодействие.
53
ECE/TRANS/WP.29/2024/39
управление транспортного средства, поддерживая при этом соответствующую
скорость, зачастую с непрерывными корректировками на оперативном уровне.
11.
Эти уровни поведения связаны с восприятием, обработкой информации и
принятием решений в условиях неопределенности. Управление транспортным
средством можно рассматривать как работу по управлению рисками в контексте
достижения стратегических целей. Водители в режиме реального времени оценивают
воспринятые риски (включая поведение других участников дорожного движения) и
реагируют на них с учетом сложившейся дорожной обстановки.
12.
Тактические и оперативные функции, необходимые для управления
транспортным средством в реальном времени в условиях дорожного движения,
известны под общим названием «динамическая задача управления» (ДЗУ). Как
отмечалось выше, эти функции могут выполняться с учетом стратегических целей,
однако сама ДЗУ исключает выполнение таких стратегических функций. Эти функции
могут пересекаться или выполняться в сочетании друг с другом, например, при
принятии тактического решения об отклонении от первоначальной стратегии для
следования по конкретному маршруту в качестве реакции на дорожные условия. Тем
не менее стратегические решения могут приниматься и во время поездки (например
решение съехать с автомагистрали на менее крупные дороги).
13.
Хотя ДЗУ включает в себя несколько подзадач (обнаружение, когнитивная
обработка, действие), само понятие «ДЗУ» относится к выполнению всей задачи
управления в пределах заданного домена штатной эксплуатации (ДШЭ). АСВ либо
водитель выполняют ДЗУ в пределах ДШЭ. Система, неспособная полноценно
выполнить ДЗУ, может лишь содействовать водителю в ее выполнении.
14.
Тактические функции включают, в частности, планирование и выполнение
маневров, улучшение видимости (посредством освещения, световой сигнализации,
жестикуляции и т. д.) и управление взаимодействием с другими участниками
дорожного движения. Тактические функции обычно выполняются в течение
нескольких секунд.
15.
Оперативные функции включают, в частности, управление поперечным
(рулевое управление) и продольным (ускорение и замедление) перемещением
транспортного средства. Оперативное управление подразумевает реагирование за
доли секунды, например путем незначительной корректировки траектории во время
движения.
16.
ДЗУ нельзя распределять между водителем и системой вождения, поскольку эти
функции взаимозависимы и выполняются как единое целое. Оперативные и
тактические функции неизбежно задействуются при мониторинге дорожной
обстановки (обнаружение, распознавание, классификация объектов и событий и
подготовка к реагированию), а также при собственно реагировании на объекты и
события.
Автоматизированное вождение
17.
Хотя предыдущий раздел касается управления транспортным средством в
целом, между вождением силами человека и автоматизированным вождением
имеются существенные различия.
18.
В отличие от водителей-людей, получающих право на управление
транспортным средством на всех дорогах и в любых условиях, АСВ могут
разрабатываться для конкретных целей и для работы в определенных условиях.
19.
Учитывая разнообразие конфигураций АСВ и транспортных средств с АСВ,
необходимо уделить внимание тем ролям (если таковые предусмотрены), которые
может играть пользователь транспортного средства при его эксплуатации.
Транспортные средства с АСВ могут предназначаться либо не предназначаться для
перевозки людей. Они могут предназначаться либо не предназначаться для их
54
GE.24-06854
ECE/TRANS/WP.29/2024/39
управления человеком. Они могут разрешать либо запрещать водителю активировать
АСВ во время движения транспортного средства.
20.
При разработке требований к безопасности необходимо учитывать роль(и),
которая(ые) может (могут) отводиться пользователю при эксплуатации АСВ и/или
транспортного средства с АСВ, например роль водителя или пассажира.
Пользователи-люди могут выступать в качестве водителей или пассажиров
транспортного средства либо находиться вне транспортного средства.
21.
В ходе поездки роли могут меняться. Так, в случае некоторых конфигураций
водитель может активировать АСВ во время движения транспортного средства, после
чего АСВ становится единственным оператором транспортного средства
(т. е. выполняет ДЗУ в пределах ДШЭ активированной функции), а водитель
принимает на себя роль резервного пользователя. По соображениям безопасности роль
резервного пользователя может подразумевать обязанность не оставлять без внимания
запросы АСВ принять на себя управление транспортным средством (т. е. вернуться к
роли водителя) и реагировать на эти запросы. В случае других конфигураций можно
ожидать, что водитель и пассажиры не будут играть никакой роли, связанной с ДЗУ,
в течение всей поездки.
22.
Рекомендуемые в настоящем документе требования направлены на
предотвращение ненадлежащей эксплуатации и обеспечение безопасного
взаимодействия с пользователем, например при передаче управления транспортным
средством.
23.
Условия работы, для которых предназначена АСВ, известны как «домен
штатной эксплуатации» (ДШЭ) и включают, среди прочего, такие аспекты, как
ограничения скорости на дорогах, конструкция дороги (покрытие, геометрия,
инфраструктура и т. д.), погодные условия и интенсивность движения. В ДШЭ могут
входить ограничения или запреты на эксплуатацию АСВ, связанные, в частности, с
максимальной скоростью транспортного средства, максимальной интенсивностью
осадков или типом дороги.
24.
В требованиях к АСВ должно учитываться разнообразие условий движения,
которые могут возникать как по отдельности, так и в сочетании друг с другом в
пределах ДШЭ.
25.
Кроме того, требования должны относиться к АСВ, которые могут быть
предназначены для работы в нескольких ДШЭ. Если АСВ безопасным образом
выполняет ДЗУ в пределах каждого ДШЭ, то нет причин устанавливать ограничение
на содержание комплексов функциональных возможностей АСВ, рассчитанных на
управление транспортным средством при отдельных наборах относящихся к ДШЭ
условий.
26.
Для целей АСВ оперативные и тактические функции ДЗУ можно логически
разделить на три общие группы:
• Обнаружение и восприятие
Функционал АСВ, относящийся к обнаружению и восприятию, включает
мониторинг дорожной обстановки в целях обнаружения, распознавания и
классификации объектов и событий. Он также включает восприятие других
транспортных средств и участников дорожного движения, проезжей части и ее
оборудования, объектов в окружении транспортного средства и
соответствующих условий окружающей среды, в том числе обнаружение
границ ДШЭ данной функции АСВ, если таковые имеются, и учет положения в
пространстве в увязке с условиями вождения.
• Планирование и принятие решений
К планированию и принятию решений относятся предвидение и
прогнозирование возможных действий других участников дорожного
движения, подготовка к реагированию и планирование маневров.
GE.24-06854
55
ECE/TRANS/WP.29/2024/39
• Управление
К управлению относятся управление боковым и/или продольным
перемещением транспортного средства, а также улучшение его видимости за
счет освещения и световой сигнализации.
Автоматизированные системы вождения
27.
Исходя из вышеизложенного, АСВ необходимо описывать с использованием
терминов, которые охватывают ДЗУ (тактические и оперативные функции,
необходимые для управления транспортным средством в условиях дорожного
движения) и ДШЭ (условия, при которых такие возможности АСВ становятся
доступными для пользователя).
28.
АСВ представляет собой совокупность аппаратных и программных средств,
способных полноценно выполнять ДЗУ на постоянной основе в пределах одного или
нескольких ДШЭ.
29.
Системы автоматизации вождения, требующие вмешательства человека для
выполнения тех или иных аспектов ДЗУ, не соответствуют уровню АСВ.
30.
Для охвата всего многообразия конфигураций, вариантов использования и
ограничений на использование АСВ в настоящих рекомендациях АСВ определяется с
точки зрения функционала и функций.
Функционал АСВ: возможности в плане выполнения ДЗУ
31.
АСВ состоит из подмножеств аппаратных и программных средств
(т. е. функций), предназначенных для выполнения одного или нескольких аспектов
ДЗУ.
32.
Функции АСВ, как правило, соответствуют возможностям системного уровня,
заложенным в конструкцию АСВ.
33.
Функция позволяет АСВ выполнять один или несколько элементов ДЗУ
(например, обнаружение элементов окружающей обстановки).
34.
Функции относятся к первому уровню безопасности, которому должна
соответствовать АСВ. Эти функции соответствуют основным возможностям, без
которых АСВ не может считаться безопасной для использования в условиях
дорожного движения.
35.
Тем не менее функции, позволяющие выполнять ДЗУ, и возможности,
обеспечивающие безопасную эксплуатацию, в том числе безопасность
взаимодействия с пользователем, имеют совершенно разные цели и требования.
Безопасное выполнение ДЗУ средствами АСВ
36.
Требования к обеспечению безопасного выполнения ДЗУ средствами АСВ
направлены на решение функциональных и поведенческих задач, описанных в
рамочном документе WP.29 по автоматизированным транспортным средствам:
эксплуатация АСВ не должна не влечь за собой обоснованно предсказуемые и
предотвратимые дорожно-транспортные происшествия с материальным ущербом,
травмами или смертельным исходом.
37.
Рекомендуемые в настоящем документе требования направлены на обеспечение
того, чтобы каждая АСВ была способна полноценно выполнять ДЗУ в объеме,
необходимом для управления транспортным средством в пределах ДШЭ данной(ых)
функции(й) АСВ. Поскольку выполнение тактических и оперативных функций
зависит от преобладающих условий дорожного движения, в этих требованиях в
отношении ДЗУ указано, что АСВ должна демонстрировать определенные
особенности поведения при выполнении сценариев движения, охватывающих ее
ДШЭ. Подобные особенности поведения диктуют настоятельную необходимость
наличия определенных функциональных возможностей для выполнения ДЗУ.
56
GE.24-06854
ECE/TRANS/WP.29/2024/39
38.
В настоящих рекомендациях намеренно не указаны технические требования к
отдельным функциям, относящимся к ДЗУ. В частности, в рекомендациях в целом не
прописаны технические характеристики управления боковым или продольным
перемещением. Как отмечалось выше, выполнение ДЗУ зависит от условий дорожного
движения, поэтому такие функции невозможно свести к набору репрезентативных
технических характеристик. Например, невозможно определить конкретную степень
управления перемещением в поперечной плоскости, которая была бы уместна во всех
обстоятельствах. Безопасность АСВ подразумевает тактическую и оперативную
адаптацию к динамическим дорожным условиям в реальном времени и в пределах
ДШЭ. Тактические и оперативные функции являются взаимозависимыми,
и комплексный характер их взаимодействия необходимо оценивать в различных
условиях дорожного движения.
39.
За счет проведения испытаний АСВ при помощи сценариев дорожного
движения, отражающих условия, с которыми АСВ вполне вероятно столкнется в
пределах своего ДШЭ, обеспечивается возможность при оценке поведенческих
характеристик, продемонстрированных АСВ в ходе выполнения этих сценариев,
проверить способность АСВ полноценно выполнять ДЗУ, необходимую для движения
в рамках ее ДШЭ.
Дополнительные возможности АСВ: безопасная эксплуатация АСВ и транспортных
средств с АСВ
40.
В дополнение к функциям, относящимся к ДЗУ, может потребоваться
наделение АСВ возможностями, способствующими обеспечению ее безопасного
рабочего состояния и/или предотвращению эксплуатации в случаях, когда АСВ не
находится в безопасном рабочем состоянии.
41.
Функции АСВ также могут обеспечивать ее надлежащую эксплуатацию и
безопасное взаимодействие с пользователем, например при передаче управления.
42.
Для обеспечения безопасности взаимодействия между АСВ и их
пользователями необходимо ориентироваться на потребности пользователя, его
сильные и слабые стороны.
43.
Применение средств автоматизации нередко обусловлено доверием. Есть
вероятность, что операторы не будут использовать надежную автоматизированную
систему, если считают, что она не заслуживает доверия. И наоборот, они могут
продолжать полагаться на автоматику, даже когда она выходит из строя.
Для обеспечения надлежащей эксплуатации АСВ надлежит разрабатывать таким
образом, чтобы способствовать установлению уровня доверия, соответствующего их
возможностям и ограничениям.
44.
Настоящие рекомендации касаются понимания пользователями конфигурации
АСВ, видов предполагаемого использования и ограничений на использование,
простоты определения и доведения до сведения пользователей их ролей и
обязанностей, ясности и единообразия элементов управления АСВ, запросов и
обратной связи, а также предотвращения неправомерного использования и мер
защиты в случае неправомерного использования.
45.
В рекомендациях предлагается обеспечить, чтобы системы управления
безопасностью,
опирающиеся
на
человеко-ориентированные
процессы
проектирования, позволяли гарантировать безопасное взаимодействие между АСВ и
их пользователями.
46.
Эти ориентированные на человека процессы должны включать выполняемый
квалифицированными сотрудниками анализ потребностей и рисков пользователей,
постановку задач в области безопасности и удобства использования, определение
требований пользователей, а также обеспечение понимания пользователями общей
картины и частностей в интересах разработки проектных решений, отвечающих
требованиям.
47.
АСВ надлежит оценивать с опорой на реальных пользователей (а не тех лиц,
которые разрабатывают продукты), особенно при испытаниях в реальных условиях.
GE.24-06854
57
ECE/TRANS/WP.29/2024/39
48.
Эксплуатационные характеристики АСВ подлежат мониторингу в полевых
условиях, а полученную информацию следует использовать для определения будущих
проектно-конструкторских целей и оценки конструкций на соответствие этим
требованиям.
49.
Настоящие рекомендации по обеспечению безопасности пользователей
согласуются с указанным подходом, ориентированным на человека, и позволяют
определить функции, которые должны быть заложены в конструкцию АСВ, с тем
чтобы обеспечить безопасное взаимодействие и предотвратить ненадлежащее
использование.
Функции АСВ
50.
Под функцией АСВ понимается способ применения возможностей АСВ,
разработанный для использования в пределах заданного ДШЭ. В случае с АСВ,
предназначенной для работы в пределах одного ДШЭ, термины «АСВ» и «функция
АСВ» являются синонимами. Примерами функций АСВ являются движение только по
автомагистралям и автоматизированная парковка.
51.
Хотя АСВ полноценно выполняет ДЗУ на постоянной основе, она может быть
предназначена для работы в пределах нескольких ДШЭ.
52.
Каждый комплекс относящихся к ДШЭ возможностей имеет уникальный набор
ограничений, определяющих условия, при которых может использоваться АСВ.
53.
Функционал АСВ позволяет задействовать каждую функцию АСВ в
управлении транспортным средством в пределах ДШЭ данной функции.
Функциональные возможности АСВ могут использоваться несколькими функциями
АСВ, а сами функции могут задействовать функционал АСВ частично или полностью.
54.
В настоящем документе рекомендуется оценивать АСВ на основе ее функций.
В случаях, когда АСВ предусматривает несколько функций (т. е. предназначена для
работы в нескольких ДШЭ), оценить следует каждую функцию, дабы убедиться, что
АСВ обеспечивает функционал, необходимый для полноценного выполнения ДЗУ в
пределах ДШЭ каждой функции.
58
GE.24-06854
ECE/TRANS/WP.29/2024/39
Приложение 2
Матричная таблица соотнесения ДЗУ и требований
пользователя с применимыми компонентами испытаний
1.
В настоящем приложении приведена матричная таблица, содержащая
руководящие указания по соотнесению ДЗУ и требований пользователя с
применимыми компонентами валидации перед внедрением АСВ.
2.
Таблица предназначена для проведения испытаний на официальное
утверждение после того, как изготовитель провел внутренние доводочные испытания,
которые относятся к компоненту контрольной проверки. Однако таблицу можно также
использовать в качестве руководства для изготовителей при проведении внутренних
доводочных испытаний.
3.
В таблице указаны те компоненты, которые можно подвергнуть испытаниям, а
не те, которые следует подвергнуть испытаниям, и не указана очередность/порядок
испытаний, поскольку они зависят от конкретного варианта использования.
4.
Для обозначения относительной применимости компонентов в таблице
используется цветовая схема «бледно-желтый — светло-розовый — красный —
белый».
• Бледно-желтым цветом выделены компоненты, которые широко применимы к
требованиям и в рамках которых можно проверить большинство аспектов
требований, например, способность воспринимать любое отдельное
транспортное средство, пользующееся преимущественным правом проезда.
• Светло-розовым
цветом
выделены
компоненты
с
ограниченной
применимостью к требованиям; например, границы некоторых ДШЭ поддаются
определению при испытании на треке, но для многих это невозможно.
• Красным цветом выделены компоненты, в основном не применимые к
требованиям: так, было бы опасно пытаться реализовать критический сценарий
в ходе дорожных испытаний с обычными участниками движения.
• Белый цвет относится к требованиям, связанным с конструкцией системы,
которые следует оценивать в рамках компонента контрольной проверки.
5.
Если компонент отмечен зеленым цветом, то испытание в его рамках не
обязательно приводит к полноценной валидации требования, а скорее демонстрирует
тот или иной его аспект, т. е. представляет собой выборочную проверку.
6.
Хотя в настоящее время некоторые компоненты оцениваются как имеющие
ограниченную применимость (светло-розовый или красный цвет), в будущем —
по мере технологического прогресса — эта оценка может измениться.
GE.24-06854
59
ECE/TRANS/WP.29/2024/39
Требование
Текстовое описание
Компоненты испытаний
Виртуальное
На треке
В реальных
условиях
Выполнение ДЗУ средствами АСВ при
штатных сценариях дорожного движения
АСВ должна управлять транспортным средством
на безопасной скорости
АСВ должна поддерживать надлежащее
расстояние до других участников дорожного
движения, управляя продольным и поперечным
перемещением транспортного средства
АСВ должна адаптировать свой режим вождения
к окружающим условиям дорожного движения
(например, избегать нарушения транспортного
потока)
АСВ должна адаптировать свой режим вождения
с учетом имеющихся рисков для безопасности
(например, уделять наивысшее внимание всем
участникам дорожного движения и пассажирам)
АСВ должна обнаруживать объекты и события,
имеющие отношение к выполнению ею ДЗУ,
и реагировать на них
АСВ должна обнаруживать движущиеся
транспортные средства, имеющие
преимущественное право проезда, и реагировать
на них, согласно соответствующим правилам
дорожного движения
При штатных сценариях движения режим
вождения АСВ не должен вынуждать других
участников дорожного движения выполнять
маневры уклонения во избежание столкновения
с транспортным средством с АСВ
При штатных сценариях дорожного движения
режим вождения АСВ не должен приводить к
столкновению
АСВ должна обеспечивать соблюдение правил
дорожного движения в соответствии с
действующим законодательством в районе
эксплуатации
АСВ должна обеспечивать безопасное
взаимодействие с другими участниками
дорожного движения
АСВ должна по возможности избегать
столкновений с объектами, имеющими
отношение к безопасности
АСВ должна предупреждать о предполагаемом
изменении направления движения
АСВ должна предупреждать о своем
функционировании в соответствии с
национальными предписаниями
По требованию пассажира АСВ должна
обеспечить безопасную остановку
транспортного средства
60
GE.24-06854
ECE/TRANS/WP.29/2024/39
Требование
Текстовое описание
Компоненты испытаний
Виртуальное
На треке
В реальных
условиях
Выполнение ДЗУ средствами АСВ при
критических сценариях дорожного движения
С целью свести общий риск к минимуму
требования к выполнению ДЗУ, предъявляемые
при штатных сценариях, должны — в той мере,
в какой это практически осуществимо в
конкретных обстоятельствах, — также
применяться и при критических сценариях
В случае столкновения АСВ должна обеспечить
остановку транспортного средства с переводом
в состояние минимального риска и/или в
соответствии с применимыми правилами
дорожного движения
АСВ не должна возобновлять движение до тех
пор, пока не будет подтверждено безопасное
рабочее состояние оснащенного ею
транспортного средства
АСВ может возобновить движение, если это
допустимо в соответствии применимыми
правилами дорожного движения и другими
соображениями безопасности
Выполнение ДЗУ средствами АСВ
при сценариях отказа
С целью свести общий риск к минимуму
требования к выполнению ДЗУ, предъявляемые
при штатных сценариях, должны — в той мере,
в какой это практически осуществимо в
конкретных обстоятельствах, — также
применяться и при критических сценариях
АСВ должна обнаруживать неисправности, сбои
и аномалии, которые ставят под угрозу ее
способность полноценно выполнять ДЗУ в
пределах ДШЭ ее функции(й) в соответствии с
документацией изготовителя
АСВ может продолжать работу при наличии
неисправностей, которые не препятствуют
соблюдению предъявляемых к АСВ требований
в плане безопасности
В качестве реакции на неисправность АСВ
может разрешить активацию и использование
затронутой этой неисправностью функции при
условии, что АСВ продолжает обеспечивать
функционал, необходимый для полноценного
выполнения ДЗУ
АСВ должна адаптировать порядок выполнения
ДЗУ с учетом серьезности неисправности в
целях обеспечения безопасности дорожного
движения
АСВ должна запрещать активацию той или иной
функции при наличии в АСВ функционального
сбоя, ставящего под угрозу способность системы
полноценно выполнять ДЗУ в пределах ДШЭ
данной функции
GE.24-06854
61
ECE/TRANS/WP.29/2024/39
Требование
Текстовое описание
Компоненты испытаний
Виртуальное
На треке
В реальных
условиях
Эксплуатация АСВ с ограниченной
работоспособностью должна соответствовать
обычно применяемым требованиям
безопасности
По требованию властей должна быть
предусмотрена возможность дистанционного
прекращения изготовителем и/или оператором
перевозок работы одной или нескольких АСВ
или ее (их) функции(й)
Дистанционное прекращение работы АСВ,
выполняющей ДЗУ, должно быть способно
вызывать реакцию АСВ на сбой
Дистанционное прекращение работы АСВ либо
функции(й) АСВ должно приводить к
невозможности их активации пользователем
Выполнение ДЗУ средствами АСВ
в пограничных ДШЭ
АСВ должна распознавать условия и границы
ДШЭ своей(их) функции(й) в соответствии с
заявлением изготовителя
АСВ должна быть способна определять,
выполняются ли условия для активации каждой
функции
АСВ должна предотвращать активацию той или
иной функции при невыполнении условий ДШЭ
данной функции
АСВ должна запускать процесс реагирования на
сбой в случае, если одно или несколько условий
ДШЭ используемой функции перестают
выполняться
АСВ должна быть способна прогнозировать
вероятные выходы из ДШЭ каждой функции
Требования к состоянию минимального
риска
АСВ должна предупреждать о своем намерении
перевести транспортное средство в СМР
АСВ должна запускать процесс реагирования на
сбой в случае отказа АСВ и/или другой системы
транспортного средства, не позволяющего АСВ
выполнять ДЗУ
В отсутствие резервного пользователя, готового
взять на себя управление, АСВ должна сразу
переводить транспортное средство в СМР
Если АСВ спроектирована таким образом, чтобы
запрашивать и подтверждать вмешательство
водителя-человека, АСВ должна выполнять
перевод транспортного средства в СМР в случае
сбоя при передаче управления пользователю
По завершении перевода в СМР пользователю
может быть разрешено принять на себя
управление транспортным средством
62
GE.24-06854
ECE/TRANS/WP.29/2024/39
Требование
Текстовое описание
Компоненты испытаний
Виртуальное
На треке
В реальных
условиях
Рекомендации, касающиеся безопасного
взаимодействия пользователей с АСВ
АСВ должна предупреждать о любом сбое,
ограничивающем работу доступной функции
АСВ должна предупреждать пользователя(ей)
АСВ о своем намерении перевести транспортное
средство в СМР
АСВ, управляющая работой дверей, должна
обеспечивать возможность аварийной передачи
этой функции пользователю
ЧМИ АСВ должен в простой и однозначно
трактуемой форме отображать относящиеся к
безопасности сведения и сигналы, четко
видимые целевому(ым) пользователю(ям) при
любых условиях эксплуатации, причем при
необходимости такие сигналы могут быть
комбинированными (например, оптический,
звуковой и тактильный)
Функции АСВ, позволяющие пользователю
взять на себя ручное управление в целях
выполнения ДЗУ
Когда АСВ включена, органы управления
транспортным средством, индикаторы,
контрольные сигналы и предупреждения,
связанные с ДЗУ, могут быть отключены,
подавлены, деактивированы, заблокированы или
другими способами приведены в недоступное
состояние, если это необходимо для снижения
риска ошибок в эксплуатации, неправильной
эксплуатации, а также для сокращения
количества неоднозначных ситуаций при
управлении транспортным средством
АСВ должна быть спроектирована таким
образом, чтобы предотвращать неправильную
эксплуатацию пользователем и ошибки в его
работе
Контрольная проверка
В порядке обеспечения только надлежащих
видов взаимодействия органы управления
транспортным средством, относящиеся к АСВ,
должны четко идентифицироваться и
опознаваться
Контрольная проверка
Если та или иная функция АСВ активирована, то
пользователю должна поступать следующая
информация:
сведения о состоянии АСВ;
роль резервного пользователя, если
применимо;
любой сбой АСВ, ограничивающий работу
доступной функции
АСВ должна уведомлять о доступности функции
для активации
GE.24-06854
63
ECE/TRANS/WP.29/2024/39
Требование
Текстовое описание
Компоненты испытаний
Виртуальное
На треке
В реальных
условиях
Рекомендации относительно активации
функции АСВ
АСВ должна обеспечивать безопасную
активацию той или иной своей функции:
АСВ должна обеспечивать оперативную
обратную связь, указывающую на успешную
либо неуспешную попытку пользователя
включить функцию АСВ;
в процессе активации функции (например,
при прохождении последовательности
действий и состояний) должны учитываться
соответствующие рекомендации или
стандарты;
Контрольная проверка
при активации функции АСВ, в результате
которой пользователь становится резервным
пользователем, последнему необходимо
сообщить о дальнейших ожиданиях в
отношении его действий
Рекомендации по деактивации функции АСВ
и переходу к ручному управлению
транспортным средством
АСВ должна быть оборудована системой
мониторинга для обеспечения — при
необходимости — безопасного и надлежащего
взаимодействия с пользователем
Контрольная проверка
По завершении процесса деактивации
управление поперечным и продольным
перемещением транспортного средства должно
перейти обратно к водителю без какого-либо
постоянного активного содействия управлению
Функции АСВ, позволяющие деактивировать
систему по запросу пользователя и перейти
к ручному управлению
АСВ должна быть спроектирована таким
образом, чтобы обеспечить безопасный процесс
деактивации системы по запросу пользователя:
АСВ должна позволять пользователю
инициировать процесс деактивации системы
только если она может убедиться, что
пользователь в состоянии вернуться к роли
водителя;
деактивация функции АСВ может быть
отложена, если, по оценке АСВ, сложившаяся
ситуация не подходит для нового режима
эксплуатации транспортного средства
(например из-за того, что текущая ситуация
непригодна или небезопасна для нового
режима работы);
в процессе деактивации по запросу
пользователя (например, при прохождении
последовательности действий и состояний)
должны учитываться соответствующие
рекомендации или стандарты;
64
Контрольная проверка
GE.24-06854
ECE/TRANS/WP.29/2024/39
Требование
Текстовое описание
Компоненты испытаний
Виртуальное
На треке
В реальных
условиях
перед завершением процесса деактивации
АСВ должна оценить и подтвердить, что
пользователь готов возобновить выполнение
ДЗУ;
АСВ должна выдавать конкретное
предупреждение о завершении деактивации
системы;
если применимо, после деактивации АСВ
органы управления транспортным средством,
индикаторы, предупреждения и контрольные
сигналы должны быть переведены в
состояние, соответствующее ручному
управлению;
если применимо, функции АСВ,
управляющие закрытием, должны перестать
воздействовать на закрытие либо на элементы
управления, связанные с закрытием
Функции, позволяющие деактивировать АСВ
по команде системы и перейти к ручному
управлению
АСВ должна обеспечивать безопасную
инициируемую системой деактивацию с
передачей управления резервному
пользователю:
об инициируемой системой деактивации в
штатных ситуациях следует своевременно
предупреждать, чтобы помочь резервному
пользователю вновь включиться в процесс
управления транспортным средством;
в процессе инициируемой системой
деактивации и перехода к процессу ручного
управления (например, при прохождении
последовательности действий и состояний)
должны учитываться соответствующие
рекомендации или стандарты
Контрольная проверка
АСВ должна:
постоянно оценивать, доступен ли резервный
пользователь для инициируемой системой
деактивации;
обеспечить эффективные процедуры
повторного включения в процесс резервного
пользователя, который, согласно результатам
оценки, был недоступен;
запустить процесс перевода в СМР в случаях,
когда повторное включение в процесс
резервного пользователя невозможно,
нецелесообразно и/или небезопасно;
при необходимости адаптировать
инициируемый системой процесс
деактивации (например, длительность, уровни
предупреждений) к текущим обстоятельствам
(например, связанных с включенностью
резервного пользователя, состоянием АСВ и
GE.24-06854
65
ECE/TRANS/WP.29/2024/39
Требование
Текстовое описание
Компоненты испытаний
Виртуальное
На треке
В реальных
условиях
транспортного средства, текущей дорожной
обстановкой)
Перед завершением процесса деактивации АСВ
должна оценить и подтвердить, что пользователь
готов возобновить выполнение ДЗУ
АСВ должна оставаться активной до тех пор,
пока не будет завершен инициируемый системой
процесс деактивации или пока транспортное
средство с АСВ не перейдет в состояние
минимального риска
АСВ должна выдавать конкретное
предупреждение о завершении деактивации
системы
Если применимо, после деактивации АСВ
органы управления транспортным средством,
индикаторы, предупреждения и контрольные
сигналы должны быть переведены в состояние,
соответствующее ручному управлению
Если применимо, функции АСВ, управляющие
закрытием, должны перестать воздействовать
на закрытие либо на элементы управления,
связанные с закрытием
Функции АСВ, не позволяющие
пользователю взять на себя ручное
управление в целях выполнения ДЗУ
АСВ должна предоставлять пассажиру(ам)
возможность потребовать остановки
транспортного средства
Контрольная проверка
Транспортное средство с АСВ должно
предоставлять пассажирам информацию,
связанную с безопасностью
АСВ не должна инициировать движение, пока
не будут снижены риски для безопасности
пассажира(ов)
АСВ может предоставлять пользователю(ям)
информацию, связанную с текущей работой
(например, о пункте назначения, предстоящих
остановках, ходе продвижения по маршруту)
Органы управления, предусмотренные для
ручного управления (например, рулевой
механизм, рабочий тормоз, стояночный тормоз,
акселератор, освещение), должны быть
сконструированы таким образом, чтобы
исключить любое воздействие на ДЗУ при
выполнении ДЗУ средствами АСВ, либо должны
быть предусмотрены разумные меры
предосторожности для предотвращения доступа
к органам управления
66
Контрольная проверка
GE.24-06854
ECE/TRANS/WP.29/2024/39
Приложение 3
Подход к определению проверяемых критериев
эффективности
1.
В настоящем приложении приводится обзор подхода, который можно
использовать для получения проверяемых критериев эффективности в целях
сертификации или, в соответствующих случаях, самосертификации АСВ на основе
представляемого изготовителем/разработчиком АСВ описания домена штатной
эксплуатации (ДШЭ) данной АСВ. Такие критерии будут разрабатываться путем
выявления поведенческих характеристик, созвучных и соответствующих конкретным
требованиям к безопасности АСВ и применимым сценариям, которые могут быть
использованы для валидации характеристик АСВ.
2.
Предлагаемый подход включает описание порядка возможного разделения этих
характеристик на характеристики в штатных, критических ситуациях и ситуациях
отказа, а также соотнесения их с соответствующими сценариями, будь то выбранными
из существующих баз данных либо выявленными в результате применения подходов,
основанных на знаниях и данных.
3.
Возможны различные подходы к выполнению такой работы; поэтому
представленный в настоящем приложении подход следует рассматривать в качестве
руководящих указаний как для изготовителей, так и компетентных органов.
A.
Введение и описание подхода
i)
Домен штатной эксплуатации
4.
Домен штатной эксплуатации (ДШЭ) означает:
условия эксплуатации, для работы в которых специально предназначена данная
система автоматизации вождения или ее функция, включающие, в частности,
экологические, географические и временны́е ограничения и/или непременное наличие
либо отсутствие определенных особенностей движения или параметров проезжей
части (SAE J3016).
5.
Ввиду специфичности ДШЭ необходимо убедиться, что АСВ:
• может безопасно работать в пределах своего ДШЭ при обоснованных
ожиданиях от данного ДШЭ;
• будет использоваться только в пределах своего ДШЭ;
• способна отслеживать, находится ли она в пределах или за пределами своего
ДШЭ, и реагировать соответствующим образом.
6.
Условия, заложенные в ДШЭ, для работы в котором предназначается АСВ,
помогут определить, какие именно характеристики требуются от АСВ. Например, если
у АСВ предусмотрен ДШЭ, включающий дороги с нерегулируемыми перекрестками,
то одной из требуемых поведенческих характеристик АСВ в рамках этого ДШЭ может
быть «нерегулируемый поворот налево или направо». Вместе с тем, если ДШЭ данной
АСВ ограничивается автомагистралями или шоссейными дорогами с регулируемыми
перекрестками, то такая поведенческая характеристика может и не потребоваться.
ii)
Поведенческие характеристики
7.
Концепция «поведенческих характеристик» полезна для проверки безопасности
выполнения автоматизированной системой вождения (АСВ) динамической задачи
управления (ДЗУ):
• «поведение» — конкретные целенаправленные действия, реализуемые
задействованной АСВ в процессе выполнения ДЗУ или передачи выполнения
ДЗУ в пределах ДШЭ (если применимо) в различном временнóм диапазоне;
GE.24-06854
67
ECE/TRANS/WP.29/2024/39
• «поведенческие характеристики» — ожидаемая и проверяемая способность
АСВ управлять транспортным средством в пределах ДШЭ своей(их)
функции(й).
8.
Поведенческие характеристики можно описать на различных уровнях
абстрагирования, аналогично функциональным, логическим и конкретным сценариям.
При следовании подходу, предложенному в настоящем руководстве, возможно
уточнение характеристик по мере продвижения от функционального к более
конкретному уровню.
9.
Такие характеристики соответствуют трем широким категориям дорожных
ситуаций, которые могут возникнуть при выполнении ДЗУ, — штатным, критическим
ситуациям и ситуациям отказа.
10.
Штатные дорожные ситуации — это ситуации, при которых поведение других
участников дорожного движения и рабочие условия в рамках данного ДШЭ
обоснованно предсказуемы (например, другие участники дорожного движения
действуют в соответствии с правилами дорожного движения) и не происходит никаких
сбоев, имеющих отношение к выполнению ДЗУ средствами АСВ.
11.
Критические дорожные ситуации — это ситуации, при которых поведение
одного или нескольких участников дорожного движения (например, нарушение
правил дорожного движения) и/или внезапное и не поддающееся разумному
прогнозированию изменение рабочих условий в рамках данного ДШЭ (например,
внезапная гроза, повреждение дорожной инфраструктуры) создают условия, чреватые
непосредственным риском столкновения. В данном случае — поскольку, как
признается, в определенных ситуациях АСВ, возможно, не сможет предотвратить
столкновение — характеристики АСВ сравниваются с характеристиками модели
безопасности для установления порога, при котором требуется уклонение от
столкновения, и порога, при котором уклонение не представляется возможным, однако
возможно смягчение последствий.
12.
Ситуации отказа включают в себя ситуации, при которых АСВ или другая
система транспортного средства сталкивается с неисправностью или отказом, что
приводит к прекращению или снижению способности АСВ выполнять ДЗУ, например,
сбой в работе датчика или компьютера или отказ силовой установки.
13.
Конкретные требования к эксплуатационным характеристикам зависят от
конкретных ситуаций, с которыми сталкивается АСВ, от эталонного поведения,
которое считается надлежащим для водителя-человека или технической системы, и от
определенных допущений (например, связанных со значением силы трения или
временем реакции) в отношении поведения транспортного средства и других
участников дорожного движения. Поскольку практически невозможно разработать
правила, устанавливающие проверяемые критерии для каждой комбинации таких
переменных, то целью настоящего документа является предоставление набора
различных эталонных моделей поведения или моделей безопасности вкупе с обзором
характеристик и необходимых допущений, которые в некоторых ситуациях могут
быть полезны для получения проверяемых критериев эффективности. Задача состоит
в том, чтобы помочь лицам, разрабатывающим конкретные правила, с выбором
функций и определением их параметров либо выбором скалярных величин в качестве
критериев прохождения/непрохождения испытания.
14.
Для достижения этой цели необходимо следующее:
• обзор обоснованных ожиданий (которые могут встречаться в различных ДШЭ);
• обзор эталонных поведенческих характеристик/моделей безопасности,
обозначающих границу между предотвратимыми авариями и смягчением их
последствий (следует иметь в виду, что эти эталонные поведенческие
характеристики не будут использоваться ни для чего другого, кроме как для
определения этой границы в качестве критерия эффективности);
• матричная таблица, в которой предлагаемые эталонные поведенческие
характеристики/модели безопасности соотносятся с дорожными ситуациями.
68
GE.24-06854
ECE/TRANS/WP.29/2024/39
Выявление поведенческих характеристик
B.
15.
Данный подход предполагает применение ряда аналитических схем, благодаря
которым можно получить измеримые критерии, подходящие для конкретного
применения. Эти схемы делятся на следующие группы:
• анализ ДШЭ;
• анализ дорожных ситуаций;
• анализ ОРОС.
Анализ ДШЭ
i)
16.
Этот анализ представляет собой первый шаг, направленный на определение
характеристик ДШЭ. ДШЭ может включать стационарные физические элементы
(например, физическая инфраструктура), элементы окружающей обстановки,
динамические элементы (например, обоснованно ожидаемая интенсивность и состав
дорожного движения, уязвимые участники дорожного движения) и эксплуатационные
ограничения, связанные с конкретным применением АСВ. В различных источниках
можно найти полезные рекомендации по точному определению элементов
конкретного ДШЭ и установлению их формата 1, 2, 3, 4.
17.
В рамках этой деятельности необходимо также определить уровень
детализации определения ДШЭ с использованием атрибутов ДШЭ.
Анализ дорожных ситуаций
ii)
18.
При анализе дорожных ситуаций такие аспекты, как обоснованно ожидаемое
поведение других участников движения и наличие характеристик проезжей части в
рамках ДШЭ, подвергаются более обстоятельному изучению путем отображения
субъектов с соответствующими свойствами и определения взаимодействий между
объектами.
19.
Пример такого анализа представлен в таблице 1, где описано статическое и
динамическое поведение других объектов (включая других участников дорожного
движения), на которое, как можно обоснованно ожидать, АСВ придется реагировать в
пределах ДШЭ. В случае транспортных средств речь идет о таких примерах поведения,
как «ускорение», «замедление», «внезапное перестроение в полосу движения»;
в случае пешеходов примеры динамического поведения включают «переход через
дорогу», «перемещение пешком по тротуару» и т. д. Некоторые из этих примеров
поведения могут относиться к штатным ситуациям (например, замедление идущего
впереди транспортного средства со скоростью, обоснованно ожидаемой с учетом
дорожного движения и других обстоятельств в пределах физических ограничений 5),
тогда как другие — к критическим ситуациям (например, внезапные перестроения в
полосу движения или непредсказуемое поведение пешеходов либо велосипедистов,
включая поведение, которое может являться нарушением местных правил дорожного
движения, например, переход через дорогу вне обозначенного пешеходного перехода).
20.
Поведение других участников дорожного движения и состояние физических
объектов в пределах ДШЭ могут находиться в любой точке вероятностного
Например, AVSC Best Practice for Describing an Operational Design Domain: Conceptual
Framework and Lexicon; и A Framework for Automated Driving System Testable Cases and
Scenarios (НАБДД).
2 Например, BSI PAS 1883:2020 Operational Design Domain (ODD) taxonomy for an automated
driving system (ADS) — Specification.
3 ASAM OpenODD.
4 Road Vehicles — Test scenarios for automated driving systems — Taxonomy for operational design
domain.
5 Факторами, ограничивающими замедление автотранспортных средств, являются коэффициент
трения шин о дорогу и возможное наличие на ее поверхности жидкости (например, влаги или
льда). Лишь в некоторых редких случаях оно ограничено характеристиками тормозов,
в частности при уменьшении тормозного момента из-за перегрева тормозов.
1
GE.24-06854
69
ECE/TRANS/WP.29/2024/39
континуума. Так, величина замедления других транспортных средств может
варьироваться от ожидаемой и разумно обоснованной в данных условиях дорожного
движения до необоснованной (речь может идти о резком подтормаживании) и даже до
крайне маловероятной (например, при внезапном перестроении в полосу в сочетании
с полным торможением на пустой скоростной дороге). При анализе ДШЭ и
обоснованно ожидаемых дорожных ситуаций в рамках ДШЭ надлежит проводить
различия исходя из оценки вероятности ситуаций в порядке обеспечения того, чтобы
эффективность работы АСВ оценивалась на основании ее реагирования на
обоснованно вероятные происшествия, в том числе штатные, критические ситуации и
ситуации отказа, а не ожидания того, что АСВ позволит избежать наименее вероятных
происшествий или смягчить их последствия.
Таблица 1
Статические/динамические элементы и их свойства
Объекты
События/взаимодействие
Транспортные средства (например,
легковые автомобили, легкие
грузовики, тяжелые грузовики,
автобусы, мотоциклы)
замедление идущего впереди транспортного
средства,
остановка идущего впереди транспортного
средства,
ускорение идущего впереди транспортного
средства,
смена полос движения,
внезапное перестроение в полосу движения,
поворот,
выезд встречного транспортного средства за
пределы своей полосы,
выезд попутного транспортного средства за
пределы своей полосы,
въезд на проезжую часть,
внезапный выезд из полосы,
...
Пешеходы
переход через дорогу — в пределах пешеходного
перехода,
переход через дорогу — вне пешеходного перехода,
перемещение пешком по тротуару/обочине.
Велосипедисты
движение по полосе,
движение по соседней полосе,
движение по выделенной полосе,
движение по тротуару/обочине,
переезд через дорогу — в пределах/
вне пешеходного перехода,
...
Животные
неподвижные на полосе движения,
перемещающиеся в полосу/из полосы движения,
неподвижные по соседней полосе/
перемещающиеся по соседней полосе,
неподвижные на обочине/перемещающиеся по
обочине,
...
70
GE.24-06854
ECE/TRANS/WP.29/2024/39
Объекты
События/взаимодействие
Мусор
лежащий на полосе движения
Другие динамические объекты
(например, тележки для покупок)
неподвижные на полосе движения,
перемещающиеся в полосу/из полосы движения,
...
Дорожные знаки
«Проезд без остановки запрещен»,
«Уступи дорогу»,
«Ограничение скорости»,
«Пешеходный переход»,
«Железнодорожный переезд»,
«Школа»,
...
Сигналы транспортных средств
iii)
указатели поворота
Анализ обнаружения и реагирования на объекты и ситуации (ОРОС): выявление
поведенческих характеристик
21.
После выявления объектов и их обоснованно ожидаемого поведения можно
составить схему соответствующих реакций АСВ, каждой из которых присуща та или
иная поведенческая характеристика. Конкретная реакция обусловлена более общими
и применимыми функциональными требованиями. Приемлемая реакция АСВ будут
зависеть от того, относится ли данная дорожная ситуация по своим характеристикам к
категории штатных, критических или ситуаций отказа.
22.
Результатом анализа является набор поведенческих характеристик, которые
можно применить к событиям, характеризующим ДШЭ. В таблице 2 приведен пример
качественного свойства, показывающий смычку событие — реакция.
Таблица 2
Пример элементарных поведенческих характеристик для заданных событий
GE.24-06854
Событие
Реакция
Замедление идущего впереди
транспортного средства
Следовать за транспортным средством,
замедлиться, остановиться
Остановка идущего впереди
транспортного средства
Замедлиться, остановиться
Ускорение идущего впереди
транспортного средства
Ускориться, следовать за транспортным средством
Поворот идущего впереди
транспортного средства
Замедлиться, остановиться
Смена транспортным средством
полосы движения
Уступить дорогу, замедлиться, следовать за
транспортным средством
Внезапное перестроение
транспортного средства в полосу
Уступить дорогу, замедлиться, остановиться,
следовать за транспортным средством
Выезд встречного транспортного
средства за пределы своей полосы
Замедлиться, остановиться, сместиться в пределах
полосы движения, сместиться за пределы полосы
Выезд попутного транспортного
средства за пределы своей полосы
Уступить дорогу, замедлиться, остановиться
Внезапный выезд идущего впереди
транспортного средства из полосы
Ускориться, замедлиться, остановиться
71
ECE/TRANS/WP.29/2024/39
Событие
Реакция
Переход дороги пешеходом
Уступить дорогу, замедлиться, остановиться
Движение велосипедиста по полосе
Уступить дорогу, следовать за велосипедистом
Переезд дороги велосипедистом
Уступить дорогу, замедлиться, остановиться
23.
Совокупность объектов, событий и их потенциального взаимодействия,
связанная с ДШЭ, составляет набор штатных или критических ситуаций, относящихся
к анализируемой АСВ.
iv)
Поведенческие характеристики в штатных ситуациях
24.
В указанных ситуациях поведенческие характеристики АСВ нередко можно
выявить путем применения правил дорожного движения той страны, где
предполагается эксплуатировать АСВ, а также путем применения общих принципов
безопасного вождения к тем ситуациям, которые надлежащим образом не
охватываются действующими правилами дорожного движения, предназначенными
для водителей-людей. Примерами таких характеристик могут быть соблюдение
правил в отношении поддержания безопасной дистанции до идущих впереди
транспортных средств, пропуск пешеходов, подчинение дорожным знакам и сигналам
и т. д. При этом некоторые поведенческие характеристики для штатных ситуаций
(например, относящиеся к безопасному встраиванию в поток или безопасному объезду
опасных участков дороги), возможно, сформулированы нечетко либо не предписаны
правилами дорожного движения. В ряде случаев правила дорожного движения могут
предоставлять водителю широкую свободу действий в плане определения наиболее
безопасной реакции на ту или иную ситуацию (например, реакции на неблагоприятные
погодные условия). Следовательно, не все правила дорожного движения изложены
достаточно конкретно, дабы обеспечить четкую основу для определения той или иной
поведенческой характеристики.
25.
Поэтому в целях обеспечения дополнительной конкретики был разработан
особый подход к кодификации правил дорожного движения (см. добавление 1). Кроме
того, при выведении поведенческих характеристик для штатных дорожных ситуаций
в дополнение к кодифицированным правилам дорожного движения может
потребоваться применение моделей безопасного вождения.
v)
Поведенческие характеристики в критических ситуациях
26.
Для выведения этих характеристик необходимо проанализировать, в чем
заключается: 1) нерациональное поведение ДУДД и/или внезапное изменение рабочих
условий, которое невозможно обоснованно спрогнозировать; и 2) соответствующая
реакция АСВ, направленная на предотвращение или смягчение последствий
неминуемого столкновения. Кроме того, важно выявлять случаи незапланированного
нового поведения в критических ситуациях.
27.
Анализ первого аспекта может основываться на различных методологиях,
включая, например, методологию стандарта IEEE 2846-2022 (в котором предлагаются
руководящие указания по разумному прогнозированию поведения других участников
дорожного движения) и другие модели рационального стиля вождения. Анализ же
второго аспекта может основываться на различных моделях приемлемого стиля
вождения находящимся за рулем человеком в ситуациях, чреватых неминуемым
столкновением.
28.
Методы выявления опасностей (например, СТАП, указанный в стандарте
SAE J3187), подразумевающие анализ конструкции системы на предмет
функциональных и эксплуатационных недостатков, могут содействовать выявлению
таких новых особенностей поведения, которые способны привести к критическим
ситуациям.
72
GE.24-06854
ECE/TRANS/WP.29/2024/39
29.
При выведении поведенческих характеристик для критических дорожных
ситуаций может возникнуть ряд проблем. В отношении надлежащих моделей
поведения ДУДД или надлежащей реакции АСВ на нерациональное поведение ДУДД,
чреватое неизбежным столкновением, общего консенсуса нет.
vi)
Поведенческие характеристики в ситуациях отказа
30.
Требования к безопасности АСВ относятся, помимо прочего, к управлению
различными режимами отказов. Как отмечалось выше, ситуации отказа включают в
себя ситуации, в которых АСВ или другая система транспортного средства
сталкивается с неисправностью или отказом, что приводит к прекращению или
ослаблению способности АСВ выполнять ДЗУ, например, сбой в работе датчика или
компьютера или отказ силовой установки.
31.
При выведении поведенческих характеристик, приемлемых для ситуаций
отказа, цель состоит в том, чтобы охарактеризовать способность АСВ обнаруживать
конкретные типы неисправностей и отказов и безопасным образом реагировать на них.
В зависимости от характера и степени неисправности или отказа реакция может
включать выявление незначительной неисправности для немедленного ее устранения
по завершении поездки, реагирование на крупную неисправность с задействованием
на оставшуюся часть поездки ограничений (например, переход в режим аварийной
эвакуации своим ходом) или реагирование на серьезный отказ посредством перехода
в состояние минимального риска. Кроме того, желательной поведенческой
характеристикой АСВ является информирование пользователей транспортного
средства о неисправности или отказе.
C.
Выявление сценариев
32.
С тем чтобы поведенческие характеристики, определенные в предыдущих
пунктах, поддавались оценке посредством имитационного моделирования или
физических испытаний, необходимо разработать сценарии, относящиеся к ДШЭ.
Создание сценариев предполагает использование допущений относительно действий
участников дорожного движения, опирающихся на реалистичные параметры.
33.
Данный подход предполагает применение двух взаимодополняющих
методологий для установления обоснованно ожидаемых ситуаций, которые могут
возникнуть в пределах заданного ДШЭ:
• методологии на основе знаний (например, целеориентированной);
• методологии на основе данных.
34.
В рамках подхода к созданию сценариев, основанному на знаниях, для
систематического выявления опасных событий и формирования сценариев
используются конкретные (или экспертные) знания. В рамках подхода, основанного
на данных, для выявления и классификации возникающих сценариев используются
имеющиеся данные (например, базы данных о ДТП, данные страховых компаний).
На рис. 1 показаны различные методы формирования сценариев на основе данных и
знаний.
GE.24-06854
73
ECE/TRANS/WP.29/2024/39
Рис. 1
Методы формирования сценариев на основе данных и знаний
Базы данных
о ДТП
Каковы
причины
известных
ДТП?
Реальные
данные
Данные с
устройств
телематики
Заявления о
страховых
случаях
В каких
случаях
создается
аварийная
обстановка?
Аналитический
подход на
основе оценки
опасностей
(СТАП)
Официальная
проверка
(правила
дорожного
движения)
Домен
штатной
эксплуатации
(ДШЭ)
Каковы
возможные
причины
отказов?
Какие
небезопасные
ситуации
оговорены
в правилах?
Каковы
известные
границы
безопасности
для АСВ?
Онтология
Стандартные
руководящие
указания в
отношении
правил
Какие сценарии
подразумевают
набор
ограничений?
Какие из
имеющихся
сценариев
выполняются?
Внедрение
и испытания
в реальных
условиях
О каких
небезопасных
ситуациях
известно
в ходе
испытаний?
Библиотека сценариев: база данных сценариев
Язык описания сценариев
Определение параметров и рандомизация
35.
В целях определения «горячих точек» аварийности и тех параметров сценариев,
наличие которых чревато крайне серьезными авариями, можно проанализировать
наборы данных о ДТП и эксплуатационные данные.
36.
Для анализа характеристик архитектуры АСВ и выявления системных сбоев и
опасных ситуаций можно использовать методы на основе знаний или другие
формальные методы [см. SAE J3187]. Затем результаты анализа преобразуют в набор
абстрактных/логических сценариев с соответствующими критериями прохождения/
непрохождения.
37.
К числу других методов на основе знаний относится подход к созданию
сценариев с опорой на формальный анализ и учетом правил дорожного движения.
В каждом из сводов правил дорожного движения описан гипотетический сценарий
движения с соответствующими элементами поведения и ДШЭ. ДШЭ — это
техническая характеристика, установленная изготовителем АСВ и определяющая
условия эксплуатации, в рамках которых AСВ может безопасно работать. Формальные
модели создаются с помощью шаблона с целью представления сценариев,
объединяющих определенные комбинации параметров ДШЭ и параметров поведения,
в математической форме. По результатам анализа определяются параметры
маневрирования, граничащие с несоответствием критериям прохождения испытания,
и формируются сценарии, воспроизводящие эти нарушения. В других методах на
основе знаний для создания сценариев прибегают к формальному представлению
ДШЭ и поведенческих характеристик АСВ.
38.
Кроме того, для испытания АСВ могут использоваться существующие
сценарии, уже определенные в стандартах, правилах или руководствах (вариант 6 —
на основе знаний), например сценарии, изложенные в стандарте ISO 22737 и
программе НКАП. Стандарт ISO 22737 был разработан для низкоскоростных
автоматизированных систем вождения (НСАСВ), тогда как в НКАП содержится набор
сценариев испытаний, направленных на обеспечение безопасности транспортных
средств. Вариант 7 (на основе данных) охватывает сценарии случаев, которые
встречаются во время испытаний в реальных условиях и на этапе внедрения. Такие
сценарии, возможно, не рассматривались до внедрения, однако привели к извлечению
важных уроков.
74
GE.24-06854
ECE/TRANS/WP.29/2024/39
i)
Допущения: от логических до конкретных сценариев
39.
Допущения в отношении действий других участников дорожного движения
могут потребовать учета культурных различий в плане стилей вождения в разных
геолокациях, что делает практически невозможным согласование этих допущений в
различных доменах. Поэтому в подкрепление сделанных допущений следует
предоставить фактические данные. Существующие стандарты, например IEEE 28462022, содержат набор допущений, подлежащих учету в моделях безопасности АСВ
исходя из начального набора дорожных ситуаций. Кроме того, для выведения
связанных с такими допущениями значений можно использовать ряд других
инструментов, включая кампании по сбору данных, проводимые на этапе разработки,
анализ реальных ДТП и оценку реалистичности стиля вождения, рандомизацию
ограничений, байесовскую оптимизацию и т. п.
D.
Применение правил дорожного движения в качестве критериев
прохождения испытаний и предъявляемых для их прохождения
требований
40.
Одним из подходов к определению критерия приемлемости в связи со
штатными дорожными ситуациями является оценка работы АСВ с учетом правил
дорожного движения. Кроме того, в требованиях к безопасности АСВ указано: «АСВ
должна обеспечивать соблюдение правил дорожного движения в соответствии с
законодательством, действующим в районе эксплуатации». При отсутствии
кодифицированных правил дорожного движения проверить выполнение этого
требования сложно.
41.
В добавлении 1 к настоящему приложению приводится общая схема
кодификации правил дорожного движения, регламентирующих поведение АСВ. Этот
подход можно использовать для определения «надлежащего поведения», лежащего в
основе процессов валидации и проверки (в том числе при проведения испытании на
основе сценариев) в рамках штатных сценариев.
i)
Использование правил дорожного движения в качестве критериев прохождения
испытания
42.
На рис. 3 проиллюстрировано использование кодифицированных правил
дорожного движения в качестве критерия прохождения испытаний на основе
сценариев. При разработке каждого сценария испытаний будут определяться атрибуты
ДШЭ и параметры поведения. Каждому правилу дорожного движения также будут
соответствовать определяющие его атрибуты ДШЭ и параметры поведения. Таким
образом, появляется возможность соотнести каждый сценарий с соответствующим(и)
правилом(ами) дорожного движения, используя ДШЭ и поведенческие метки или
ярлыки из каталога сценариев.
GE.24-06854
75
ECE/TRANS/WP.29/2024/39
Рис. 2
Использование правил дорожного движения в качестве критериев
прохождения/непрохождения испытания
База данных
сценариев
Атрибуты
ДШЭ
Поведенческая
характеристика
Сценарий
ДШЭ на базе
правил
дорожного
движения
Вариант
испытания
Показатели
Полнота
База данных
сценариев
43.
Данный подход позволит специалисту по испытаниям соотнести каждый
сценарий с соответствующим правилом (или набором правил), после чего эти правила
могут служить критериями прохождения испытаний на основе сценариев. Таким
образом, этот подход позволяет специалистам и компетентным органам
продемонстрировать/оценить соблюдение правил дорожного движения, обеспечивая
их проверяемость.
E.
Применение моделей безопасности для определения проверяемых
требований к эффективности предотвращения аварий
44.
Несмотря
на
то,
что
поведенческие
характеристики
позволят
автоматизированному транспортному средству не провоцировать аварии или
соблюдать осторожность при управлении во избежание конфликтов, подчас
автоматизированным транспортным средствам приходится реагировать на
неожиданные ситуации, например, если другие участники дорожного движения
создают условия, чреватые авариями. Задача автоматизированной системы вождения,
как и задача водителя-человека, — выполнять маневры уклонения, когда это возможно
и целесообразно, в целях сведения к минимуму любого вреда для человека.
45.
Один из важных вопросов состоит в том, в какой степени и при каких
обстоятельствах можно избежать столкновения? Ответ на этот вопрос необходимо
будет дать при разработке конкретных новых правил (правил ООН и/или глобальных
технических правил), относящихся к автоматизированным системам вождения.
46.
С этой целью вводятся простые логические модели, так называемые модели
безопасности. В них делаются допущения относительно того, как можно реагировать
на нарушение правил дорожного движения и ненадлежащее поведение со стороны
других участников дорожного движения, а для дальнейшей детализации условий
предотвращения аварий используются физические свойства и основополагающие
характеристики динамики движения.
47.
Цель настоящего документа — определить порядок процесса разработки
конкретных критериев эффективности для будущих правил, касающихся АСВ.
48.
Набор моделей безопасности, описанных в настоящем документе, следует
рассматривать как набор инструментальных средств, при этом выбор правильного
76
GE.24-06854
ECE/TRANS/WP.29/2024/39
инструмента (правильной модели безопасности) зависит от граничных условий и
должен быть задачей групп, занимающихся составлением конкретных правил.
Поэтому в настоящем документе ни одной из описанных моделей безопасности не
отдается полного предпочтения.
49.
Следует учесть два важных момента: модели безопасности опираются на
методологию, позволяющую установить порог, разграничивающий те столкновения,
которых необходимо избежать, и столкновения, при которых требуется лишь
смягчение последствий. Цель состоит НЕ в том, чтобы предписать конкретное
поведение АСВ в той или иной критической ситуации. Речь идет только об ожидаемом
результате. Тем не менее выбранная модель безопасности должна соответствовать
конкретному варианту использования. Так, модель объезда нельзя выбирать для
ситуаций, не подразумевающих наличия второй полосы движения.
50.
Кроме того, в процессе официального утверждения приведенными ниже
характеристиками
типичных/базовых
транспортных
средств
следует
руководствоваться при выведении алгоритма предотвращения аварий применительно
не к конкретному транспортному средству, а именно к типичным/базовым
транспортным средствам. Это объясняется тем, что низкий уровень требуемых
возможностей по предотвращению аварии может стать неверным стимулом в процессе
проектирования транспортного средства.
51.
В математическом и логическом смысле любая конкретная ситуация
описывается функцией (зависящей от переменных, частично характеризующих
сценарий), выдающей при определении необходимости избежать столкновения
булевы значения «истинно» или «ложно» и наоборот — при определении
допустимости смягчения последствий:
Предотвращение[0; 1] = 𝑓модель безопасности (переменная 1 сценария, переменная 2 сценария, …),
Смягчение[0; 1] = 1 — fмодель безопасности (переменная 1 сценария, переменная 2 сценария, …).
52.
Предполагается,
что
конкретные
правила
в
отношении
АСВ,
сформулированные (формулируемые) с использованием приведенных в настоящем
документе руководящих указаний, могут содержать либо конкретный скалярный
порог (пример: избегать аварий при скорости движения ниже 42 км/ч, см. Правила
№ 152 ООН), либо конкретную функцию fмодель безопасности с указанием всех параметров
(упрощенный пример из Правил № 157 ООН: если внезапное перестроение других
транспортных средств в полосу происходит до наступления конкретного ВДС,
столкновения необходимо избегать, а результирующая функция, приведенная в
правилах, будет иметь следующий вид:
fмодель безопасности = [1 для ВДСвъезд на полосу > (����/(2∙6 м/с²) + 0,35 с); в противном случае 0].
53.
Выбор надлежащей(их) модели(ей) зависит, в частности, от:
• баланса между риском для самой АСВ и риском для другого участника ДТП
(так, при ДТП с участием пешеходов, скорее всего, будет допустимо несколько
повысить риск для обычно пристегнутых ремнями безопасности водителя и
пассажиров транспортного средства с АСВ, если при этом удастся значительно
снизить риск для пешехода, например за счет более раннего или резкого
торможения; аналогичные расчеты баланса рисков необходимо произвести и в
отношении беспилотных АСВ);
• предполагаемого уровня прогнозирования (например, оценки того, возможно
ли предвосхитить действия других участников дорожного движения и принять
контрмеры раньше, либо просто обеспечить реагирование на сбой);
• параметров, относящихся к окружающим условиям (например, уровня трения
на дорогах, по которым обычно движутся транспортные средства с АСВ);
• баланса между эффективностью и приемлемым остаточным риском (так, объезд
пешехода будет возможен с нулевым допустимым риском лишь на очень низких
скоростях, вследствие чего автоматизация — с учетом существующей
инфраструктура тротуаров вблизи проезжей части — лишается смысла).
GE.24-06854
77
ECE/TRANS/WP.29/2024/39
54.
Эти факторы будут различаться в разных ситуациях; иными словами,
различным критическим ситуациям, которые, как ожидается, возникнут в пределах
домена эксплуатации конкретной АСВ, будут соответствовать различные функции
fмодель безопасности,1, отраженные в правилах с помощью следующего псевдокода:
Пример Правил XXX =
{Ситуация/диапазон параметров 1, предотвращение = fмодель безопасности,1(параметры a,b,c);
# решение проблемы ДТП с участием пешеходов в городских районах
Ситуация/диапазон параметров 2, предотвращение = f модель безопасности,2(параметры a,b,c);
# решение проблемы ДТП с участием транспортных средств в результате
внезапного перестроения в полосу движения на автомагистралях...}.
55.
Модели безопасности можно подразделить на модели эксплуатационных
характеристик, ориентированные на предотвращение аварий, и модели поведения,
ориентированные на предотвращение конфликтных ситуаций, см. таблицу 3. Разница
между этими моделями состоит в следующем: первые могут служить для уяснения
того, насколько неизбежны аварийные ситуации, обусловленные действиями других
участников дорожного движения, тогда как во вторых формализуются стратегии
поведения АСВ, позволяющие не вступать в конфликт. Модели предотвращения
конфликтных ситуаций лучше всего подходят для отражения в документе,
касающемся динамической задачи управления.
Таблица 3
Обзор моделей безопасности*
Модель
Пояснение
Требования к эксплуатационным характеристикам для цели предотвращения аварий
Крайний момент для
выруливания
Оценка возможности предотвращения и смягчения
последствий аварий при движении в продольном
направлении; обычно используется для помощи водителю
и обеспечения активной безопасности
Зона безопасности
Оценка возможности предотвращения и смягчения
последствий аварий с участием УУДД при движении в
пересекающем направлении
Осторожный и компетентный
водитель-человек
Оценка возможности предотвращения и смягчения
последствий аварий при движении в продольном
направлении в случаях внезапного перестроения в полосу
с использованием характеристик реакции опытного
водителя-человека
Нечеткая косвенная модель
безопасности
Оценка возможности предотвращения и смягчения
последствий аварий при движении в продольном
направлении в случаях внезапного перестроения в полосу
с учетом прогнозируемого поведения другого
транспортного средства
* Модели обсуждались при разработке руководства; их перечень не является
исчерпывающим.
56.
В настоящем руководстве рекомендуется разработать нормативные положения,
позволяющие применять модели безопасности, причем не ограничиваясь описанными
в данном приложении подходами, для выработки проверяемых критериев оценки
эффективности АСВ в плане предотвращения столкновений при критических
сценариях движения.
78
GE.24-06854
ECE/TRANS/WP.29/2024/39
F.
Оценка эффективности и целевые показатели
57.
Как уже отмечалось ранее, штатные ситуации считаются обоснованно
прогнозируемыми и предотвратимыми в пределах данного ДШЭ, поэтому ожидается,
что АСВ будет способна справиться с ними без последствий в виде столкновения.
58.
С другой стороны, ситуации отказа воспроизводятся для оценки способности
АСВ распознавать неисправности/отказы в системе.
59.
Для целей определения критериев эффективности в критических ситуациях
необходимо дополнительно проанализировать ситуации, возникшие по вине других
участников, которые ведут себя непредсказуемо, вследствие чего столкновение
становится потенциально непредотвратимым. Применительно к подобным ситуациям
предлагается воспользоваться моделями безопасности для изучения и сравнения
характеристик АСВ с математическими формулами, с тем чтобы определить, какие
ситуации расцениваются как предотвратимые, а в каких необходима стратегия
смягчения последствий.
Рис. 3
Подходы к определению проверяемых критериев эффективности
GE.24-06854
79
ECE/TRANS/WP.29/2024/39
Приложение 3 — Добавление 1
Методология кодификации правил дорожного движения
1.
Действующие правила дорожного движения (для водителей-людей) состоят из
трех компонентов:
Правило движения
= Условия эксплуатации + Поведенческая характеристика + Допущения (неявные)
(для водителей-людей)
2.
Условия эксплуатации включают в себя как аспекты ДШЭ, так и состояние
транспортного средства (например, системные сбои, отказы аппаратных средств
и т. д.). Каждый свод правил дорожного движения или правил поведения
(для водителей-людей), установленный в любой стране, основан на понимании
ожидаемого поведения водителей-людей. Как следствие, они не отражают в явной
форме все аспекты ожидаемого поведения водителя, но при этом можно утверждать,
что они включают «неявные допущения», основанные на его понимании.
Кодифицированное
= Условия эксплуатации + Поведенческая характеристика + Решения относительно управления
правило движения
3.
Следуя этой логике (проиллюстрированной в разделе 8.1), «кодифицированное»
правило дорожного движения для автоматизированной системы вождения также будет
состоять из трех компонентов.
4.
Процесс кодификации позволяет определить, в каких аспектах правил для
водителей-людей присутствуют «неявные допущения» в отношении поведения
водителя. Кодифицированные правила дорожного движения позволяют превратить
«неопределенные» атрибуты правил дорожного движения (для водителей-людей) в
«определенные» атрибуты кодифицированных правил.
5.
Более подробно эта методология разъясняется на примере правил дорожного
движения Соединенного Королевства, в рамках которых поведение водителей-людей
регулируется Кодексом дорожного движения (КДД). Правило 195 Кодекса дорожного
движения Соединенного Королевства (пешеходный переход с разметкой «зебра»)
гласит:
Правило 195: «Приближаясь к переходу с разметкой "зебра", необходимо обратить
внимание на пешеходов, ожидающих перехода, и приготовиться снизить скорость
либо остановиться, чтобы пропустить их; если пешеход уже вышел на переход,
НЕОБХОДИМО уступить ему дорогу».
Рис. 1
Пример пешеходного перехода с разметкой «зебра» из Кодекса дорожного
движения Соединенного Королевства
Источник: https://www.gov.uk/guidance/the-highway-code/rules-for-pedestrians-1-to-35#rule19.
80
GE.24-06854
ECE/TRANS/WP.29/2024/39
6.
Из этого правила можно вывести переменные вида «условия эксплуатации» или
«ДШЭ», а также поведенческие характеристики. Термины «разметка "зебра"» и
«пешеход» определяют условия эксплуатации; а словосочетание «замедлиться или
остановиться» — поведенческую характеристику. Тем не менее в правилах не указано,
на какое время транспортному средству следует остановиться и в какой момент
считается безопасным продолжить движение. Эти аспекты относятся к «неявным
допущениям», основанным на типичном поведении человека (водителя), поэтому
определять их посредством правила не считается необходимым. В случае же АСВ
такие допущения, как длительность остановки и время возобновления движения,
будут определяться автоматизированной системой вождения и зависеть от
проводимого ею анализа соответствующих параметров, относящихся к данной
ситуации, а посему они должны быть четко указаны. Для каждого конкретного
сценария испытаний принимаемые АСВ решения должны быть объяснимы.
7.
Этот процесс отражен на рис. 2. После выполнения процесса кодификации с
целью установить «правила движения» никаких подразумеваемых «допущений» не
останется (см. методологию кодификации ниже).
Рис. 2
Преобразование действующих правил дорожного движения
(для водителей-людей) в кодифицированные правила для АСВ
Действующие правила
дорожного движения = f(условия эксплуатации, поведенческая характеристика,
(для водителей-людей)
решение относительно управления)
Применение
предлагаемого
процесса
Кодифицированное
правило движения = f(условия эксплуатации, поведенческая характеристика,
характеристики управления)
8.
Более того, для всех зон, юрисдикций или стран будет действовать
минимальный
свод
правил
поведения,
предполагающих
согласованные
«характеристики управления», — базовый или общий свод правил дорожного
движения (для АСВ).
Методология кодификации
9.
Методология кодификации предполагает четырехэтапный процесс:
• этап 1 — выявление терминов и создание словаря: анализируется текст правила
на естественном языке и определяются слова, которые ассоциируются с ДШЭ
или поведением указанных в правиле субъектов. Совокупность этих терминов
используется для определения компонента правила, который может быть
кодифицирован;
• этап 2 — выявление неопределенных терминов: некоторые термины неясны,
поскольку не являются однозначными или абсолютными, а посему требуют
уточнения. В ряде случаев, когда их значение можно вывести логически, эти
термины кодифицируются без изменений, тогда как в других случаях
добавляются комментарии с разъяснением, почему термины не определены и
как их можно уточнить;
• этап 3 — запрос/обновление/добавление терминов, относящихся к ДШЭ и
поведению: определяются термины, которые описывают предикаты
(представляющие факты, истинность которых можно оценить) и функции
(представляющие небулевы свойства — в частности атрибуты АСВ, метки
действий). Кодифицированное правило будет состоять из этих предикатов и
GE.24-06854
81
ECE/TRANS/WP.29/2024/39
функций. Результатом этапа 3 является составление промежуточного правила в
его минимальной форме;
• этап 4 — представление правила в логике первого порядка: по каждому правилу
дорожного движения составляется отдельное кодифицированное правило или
набор правил. Для составления правила (правил) используются предикаты и
функции, выявленные на этапе 3, с учетом структуры ограничений по итогам
этапа 1. Результаты этапа 2 дают представление о правиле и тех пробелах,
которые имеются в его кодификации. На этапе 4 с помощью словаря
определяются подправила, которые необходимо преобразовать в логику
первого порядка, а затем выполняется такое преобразование.
Пример кодификации Венской конвенции
10.
Ниже приводится одно из правил Венской конвенции (глава 2 — «Правила
дорожного движения», статья 11 — «Обгон»).
Текст правила Венской конвенции:
«Транспортное средство может обгонять другое транспортное средство,
которое приближается к пешеходному переходу, обозначенному либо
разметкой на проезжей части дороги, либо знаком или сигналом, или которое
остановилось непосредственно перед этим переходом, только на достаточно
сниженной скорости, обеспечивающей своевременную остановку в том случае,
если на переходе окажутся пешеходы».
11.
В нижеследующих разделах это правило будет последовательно подвергнуто
всем этапам кодификации с пояснениями относительно того, как именно
функционирует каждый из компонентов процесса.
Этап 1 — выявление терминов и создание словаря
Ниже правило излагается повторно с выделением важных терминов:
Транспортное средство может обгонять другое транспортное средство, которое
приближается к пешеходному переходу, обозначенному либо разметкой
на проезжей части дороги, либо знаком или сигналом, или которое остановилось
непосредственно перед этим переходом, только на достаточно сниженной
скорости, обеспечивающей своевременную остановку в том случае, если на
переходе окажутся пешеходы.
Термины, относящиеся к ДШЭ и поведению, выделены жирным шрифтом и
подчеркнуты, тогда как другие термины, относящиеся к смыслу правила, выделены
жирным шрифтом.
Этап 2 — выявление неопределенных терминов
Из приведенного выше примера следует, что неопределенными остаются следующие
термины:
Таблица 1
82
Термин
Требуется уточнение
Непосредственно
Какое определение дать понятию
«непосредственно»? Для его определения можно
опираться на расстояние.
Достаточно сниженная
Какая скорость считается достаточно сниженной?
Она может зависеть от расстояния до пешехода либо
иметь абсолютное пороговое значение.
*Обгон — это действие, применимое
к транспортным средствам,
находящимся перед испытуемым
транспортным средством*
Это допущение, понятное читателю-человеку.
GE.24-06854
ECE/TRANS/WP.29/2024/39
Этап 3 — выявление предикатов и функций
Невыделенные термины удаляются, и остаются только те, которые важны для смысла
правила.
может обгонять другое транспортное средство
• приближается к пешеходному переходу на проезжей части дороги либо
знаком или сигналом
• или остановилось непосредственно перед переходом
только достаточно сниженной скорости, обеспечивающей своевременную
остановку, если на переходе пешеходы.
Выявленные термины преобразуются в предикаты. Для правила Венской конвенции
формируются следующие предикаты:
Таблица 2
Предикат
Описание
являетсяИспытуемым(x)
х — испытуемое транспортное средство
можетОбгонять(x,y)
x может обгонять y
приближается(x,y)
x приближается к y
являетсяПешеходнымПереходом(x)
х — пешеходный переход
являетсяПроезжейЧастью(x)
х — проезжая часть
обозначеноЗнакомСигналом(x)
x обозначено знаком или сигналом
остановилось(x)
x остановилось
находитсяВпереди(x,y)
x находится впереди y
имеетСкорость(x,y)
x имеет скорость y
имеетДостаточноСниженнуюСкорость(x,y)
x имеет достаточно сниженную скорость для
выполнения действия y
Этап 4 — представление правила в логике первого порядка
Правило определяет поведение при обгоне транспортного средства, находящегося
вблизи пешеходного перехода. Правило содержит условия, не позволяющие
транспортному средству обгонять другое, но одновременно предусматривает
исключение — достаточно сниженную скорость для остановки. Кроме того,
способность транспортного средства остановиться не зависит от того, есть ли на
переходе тот или иной участник (например, пешеход). В правиле дается ссылка на
скорость транспортного средства, достаточно сниженную для того, чтобы
своевременно остановиться, что было сочтено двусмысленной фразой и представлено
на этапе 3 в качестве предиката. Для обозначения своевременной остановки
используется константа «СВОЕВР_ОСТ».
Для облегчения понимания это правило можно разбить на четыре логически связанных
утверждения, причем взаимосвязь будет указана в последнем правиле. Предикаты,
полученные по итогам этапа 1, используются для формирования логической
характеристики правила.
Параметры для правил: испытуемое транспортное средство (x), другой участник (y),
пешеходный переход (w), проезжая часть I, скорость испытуемого ТС (s).
GE.24-06854
83
ECE/TRANS/WP.29/2024/39
Правила получаются следующими:
Таблица 3
Правило a):
являетсяИспытуемым(x) ⋀
являетсяДругимУчастникомДвижения(y)
x — испытуемое транспортное
средство, а y — другое
транспортное средство
Правило b):
являетсяПешеходнымПереходом(w) ⋀
(являетсяПроезжейЧастьюIV
обозначеноЗнакомСигналом(w))
w — пешеходный переход,
а (c — проезжая часть или
w — обозначено знаком или
сигналом)
Правило I:
приближается(y,w) V находитсяВпереди(w,y)
y приближается к w либо
w находится впереди y
Правило d):
имеетСкорость(x,s) ⋀
¬имеетДостаточноСниженнуюСкорость
(s,СВОЕВР_ОСТ)
x имеет скорость s, причем
скорость s не является
достаточно сниженной для
своевременной остановки
Правило
a) ⋀ b) ⋀ c) ⋀ d) → ¬можетОбгонять(x,z)
Символ «¬», используемый в качестве префикса к предикату, означает отрицание
предиката. В данном контексте на русском языке это правило можно прочитать так:
если «a» истинно и «b» истинно и «c» истинно и «d» истинно, то x не может обгонять
z. Следует обратить внимание на то, что условие исключения — двигаться со
сниженной скоростью — используется в отрицательной форме в порядке утверждения,
что транспортное средство не может совершать обгон, поскольку это четко указано в
правиле.
Необходимость
введения
положительного
правила,
конкретно
разрешающего транспортному средству обгон, остается на усмотрение авторов.
При необходимости должно быть составлено новое правило, позволяющее
транспортному средству совершать обгон. Это будет зависеть от толкования правила.
84
GE.24-06854
ECE/TRANS/WP.29/2024/39
Приложение 4
Сценарии дорожного движения
1.
На нынешнем относительно раннем этапе развития АСВ в большинстве
существующих публикаций, посвященных оценке текущего состояния развития АСВ,
используются такие показатели, как количество миль/километров, пройденных во
время испытаний в реальных условиях без столкновений, нарушений правил или
отключений АСВ транспортного средства.
2.
Такие показатели, как количество километров, пройденных без столкновений,
нарушений правил или отключений системы, могут быть полезны для
информационного наполнения диалога с общественностью на тему прогресса,
достигнутого в развитии АСВ. Однако для международных регламентирующих
органов такие измерения сами по себе не являются источником достаточных
свидетельств в пользу того, что АСВ смогут обеспечивать безопасное движение в
условиях широкого набора различных ситуаций, с которыми, как можно обоснованно
ожидать, придется сталкиваться транспортным средствам.
3.
Кроме того, валидация только с помощью испытаний в реальных условиях
потребует значительных затрат времени и средств, что может привести к тому, что
АСВ придется проехать миллиарды километров без происшествий, чтобы доказать,
что их характеристики безопасности значительно превышают характеристики
безопасности водителя-человека. Помимо этого, такие испытания вряд ли удастся
повторить впоследствии, если в систему будут внесены изменения, требующие
повторной валидации.
4.
С учетом этих соображений для планомерной организации процесса валидации
безопасности рекомендуется использовать подход, основанный на сценариях, таким
образом, чтобы он отличался эффективностью, объективностью, повторяемостью и
масштабируемостью.
5.
Процесс валидации на основе сценариев заключается в воспроизведении
определенных ситуаций, в которых проверяются возможности безопасной
эксплуатации транспортного средства, оснащенного АСВ.
6.
В рамках дальнейшей работы рекомендуется составить каталог сценариев,
которые могут использоваться различными компонентами НМОИ для валидации
функциональных требований безопасности, установленных НРГ по ФРАВ.
В приведенном ниже разделе представлен ряд первоначальных примеров подхода к
составлению такого каталога с акцентом на использование на автомагистралях.
Что такое сценарий дорожного движения?
A.
7.
Сценарий — это описание одной или нескольких дорожных ситуаций, которые
могут возникнуть во время поездки1. Сценарии могут включать множество элементов,
таких как схема проезжей части, типы участников дорожного движения, объекты,
характеризующиеся статическими свойствами или демонстрирующие разнообразные
типы динамического поведения, а также различные условия окружающей среды
(в числе прочих факторов).
Обеспечение надлежащего диапазона сценариев
B.
8.
Для проведения эффективной валидации АСВ рекомендуется включать в
методы валидации на основе сценариев достаточный диапазон актуальных, штатных
сценариев, сценариев отказа, критических и сложных сценариев. Примечание: понятие
1
GE.24-06854
Поездка — это прохождение транспортным средством всего пути следования от пункта
отправления до пункта назначения.
85
ECE/TRANS/WP.29/2024/39
«диапазон» отражает то, насколько полно сценарии охватывают дорожные ситуации,
чтобы подтвердить установленные НРГ по ФРАВ требования. Достаточный диапазон
имеет большое значение для общей эффективности и достоверности данной
методологии как способа валидации. Достаточный диапазон должен относиться к
функции АСВ или ДШЭ. Диапазон можно измерить в различных доменах, а для
определения его достаточности можно использовать показатели.
9.
При валидации безопасности АСВ рекомендуется обеспечить, чтобы каждый
сценарий, выбранный для испытания АСВ, точно отражал конкретные условия
(например, конфигурацию дороги, направление движения на заданной полосе и т. д.),
относящиеся к ДШЭ, для работы в котором предназначена АСВ. Сценарии должны
соответствовать проходящей валидацию функции АСВ. Так, функция АСВ,
предназначенная только для использования на автомагистрали, не будет охватываться
сценарием, включающим повороты на перекрестках, за исключением случаев
испытаний за пределами ее ДШЭ.
10.
Поскольку АСВ должна будет реагировать на действия других участников
дорожного движения, из-за которых авария может стать неизбежной, рекомендуется
не ограничивать набор сценариев только теми сценариями, в которых АСВ, как
ожидается, будет способна предотвратить столкновение. Небезопасное поведение
других участников дорожного движения (например, движение транспортного средства
в противоположном направлении, внезапная смена полосы движения без
предупреждения и превышение скорости) — если его можно разумно предвидеть в
рамках соответствующего ДШЭ — должно составлять одну из частей валидационного
испытания.
11.
Следует рассмотреть целый ряд подходов, которые могут быть использованы
для определения сценариев в целях валидации безопасности, в том числе:
a)
анализ поведения водителя-человека, включая оценку реальных данных
о вождении;
b)
анализ
данных
о
столкновениях,
правоохранительных органов и страховых компаний;
например
баз
данных
c)
анализ закономерностей дорожного движения в конкретных ДШЭ
(например, посредством регистрации и анализа поведения участников дорожного
движения на перекрестках);
d)
анализ данных, получаемых от датчиков АСВ (например, акселерометра,
камеры, радара и системы глобального позиционирования);
e)
использование транспортного средства, оснащенного специальным
измерительным оборудованием, контрольно-измерительной аппаратуры на местах,
измерений с помощью дронов и т. д. для сбора различных данных о дорожном
движении (включая движение других участников дорожного движения);
f)
знания/опыт, приобретенные в ходе разработки АСВ;
g)
искусственные
ключевых параметров;
сценарии,
сгенерированные
на
основе
вариаций
h)
искусственные сценарии, основанные на требованиях к функциональной
безопасности и безопасности предполагаемого функционала;
i)
составление сложных сценариев на основе существующих каталогов
базовых сценариев; и
j)
произвольное изменение всех параметров сценария — как для АСВ, так
и для ДУДД.
12.
Каталог сценариев необязательно должен являться исчерпывающим,
и компетентным органам может потребоваться рассмотреть дополнительные
сценарии, если это необходимо для валидации безопасности функции АСВ.
86
GE.24-06854
ECE/TRANS/WP.29/2024/39
Классификация сценариев
C.
13.
Объем содержащейся в сценариях информации может быть весьма обширным.
В частности, описание сценария может содержать сведения о широком наборе
различных действий, характеристик и элементов2, таких как объекты (например,
транспортные средства и пешеходы), дороги и окружающие условия, а также заранее
спланированный порядок развития сценария и основные события, которые должны
при этом происходить. Поэтому для описания сценариев крайне важно разработать
унифицированный и структурированный язык, чтобы заинтересованные стороны,
связанные с АСВ, понимали замысел сценария, цели всех участвующих сторон и
возможности АСВ. Одним из инструментов для создания единого языка описания
сценария является шаблон, который обеспечивает согласованность информации,
включаемой в сценарий, и сводит к минимуму возможность путаницы при ее
интерпретации.
14.
Для описания сценария рекомендуется применять единый язык, который
обеспечивает согласованность информации, включаемой в сценарий, и сводит к
минимуму возможность путаницы при ее интерпретации.
15.
Сценарии рекомендуется описывать путем их разделения по уровню
абстрагирования. Абстрагирование позволяет сосредоточить описание сценария на
конкретных аспектах, оставляя прочие элементы для дальнейшей доработки по мере
необходимости. В некоторых отраслях и исследованиях предлагается 3 или 4 уровня
абстрагирования сценариев, в соответствии с которыми они делятся на
функциональные, абстрактные, логические и конкретные. Суть этих уровней описана
ниже. Разделение на 3 или 4 уровня не подразумевает и не обусловливает никакого
конкретного способа реализации или перевода с одного уровня на другой:
a)
функциональный сценарий: сценарий, описанный на естественном языке
на концептуальном уровне, в целом, без конкретных физических величин. Это
сценарии с самым высоким уровнем абстрагирования, содержащие описание основной
концепции сценария, например базовое описание действий испытуемого
транспортного средства; взаимодействия испытуемого транспортного средства с
другими участниками дорожного движения и объектами; а также других элементов
сценария (например, окружающих условий и т. д.). В рамках данного подхода
используются простые формулировки, с помощью которых описывается ситуация и
соответствующие ей элементы;
b)
абстрактный сценарий: формализованное, декларативное описание
сценария, полученное из функционального сценария 3. Спецификация на абстрактном
уровне позволяет выделять значимые аспекты сценария с акцентом на эффективном
описании связей (причина–следствие);
c)
логический сценарий: сценарий, в описание которого включены
параметры, причем значения некоторых из них задаются в виде диапазонов. Например,
на основе элементов, определенных в рамках функционального сценария,
разработчики создают логический сценарий, выбирая диапазоны значений или
распределения вероятностей для каждого включенного в сценарий элемента
(в частности, возможных значений ширины полосы движения в метрах);
d)
конкретный сценарий: сценарий, в котором в явной форме содержатся
значения параметров и который описывает физические атрибуты. Конкретные
сценарии создаются путем выбора конкретных значений для каждого элемента. Этот
шаг позволяет обеспечить воспроизводимость конкретного сценария испытания.
Кроме того, для каждого логического сценария с набором непрерывных диапазонов
может быть разработано любое количество конкретных сценариев, благодаря чему
Сценарии дорожного движения формируются путем комбинирования ряда соответствующих
элементов, которые позволяют системно описать все пространство сценариев.
3 Декларативное описание может выполняться на структурированном естественном языке, языке
программирования или с помощью других форм языка, которые отвечают требуемым
критериям (в плане формализованности и декларативности).
2
GE.24-06854
87
ECE/TRANS/WP.29/2024/39
обеспечивается проведение испытаний
воздействия широкого спектра ситуаций.
транспортного
средства
в
условиях
16.
На следующих иллюстрациях представлены различные варианты применения
уровней абстрагирования для формирования конкретных сценариев, однако возможны
и другие варианты реализации.
Рис. 1
Примеры сценариев с разделением на категории функциональных, логических
и конкретных (Pegasus, 2018)
Рис. 2
Примеры взаимосвязи между функциональным сценарием, абстрактным
сценарием, логическим сценарием и конкретным сценарием (ISO 34501)
D.
Использование сценариев
17.
Сценарии могут использоваться применительно к разным методам испытаний,
например для виртуальных испытаний/имитационного моделирования, испытаний на
треке и испытаний в реальных условиях. В совокупности эти методы формируют
многоаспектную систему испытаний, где каждый из методов характеризуется
88
GE.24-06854
ECE/TRANS/WP.29/2024/39
определенными преимуществами и недостатками. Таким образом, некоторые
сценарии будет целесообразнее применять с одними методами испытаний, а не с
другими.
18.
При выборе параметров для создания логических и конкретных сценариев
валидации АСВ, относящихся к конкретной АСВ и ее ДШЭ, рекомендуется
использовать методы выборки, чтобы избежать оптимизации АСВ для набора
известных примеров испытаний. Хотя с точки зрения достоверности
предпочтительным является использование максимального количества случайно
выбранных сценариев, очевидно, что это увеличит нагрузку на изготовителей и
компетентный орган (например, техническую службу). Это следует учитывать при
определении объема испытаний, которые должны проводиться с использованием
случайной
выборки.
Предполагается,
что
для
имитационного
моделирования/виртуальных испытаний нагрузка от случайной выборки будет
меньше, поэтому для этого аспекта испытаний более целесообразно доведение
количества случайных выборок до максимума.
Шаблон сценария
19.
Сценарии для включения в возможный будущий каталог сценариев
рекомендуется разрабатывать по общему шаблону, с тем чтобы облегчить
сопоставление сценариев и помочь компетентным органам определить, какие
сценарии подходят для испытания конкретной АСВ.
Название сценария:
заголовок с описанием сценария
Код сценария:
номер уникального идентификатора
Составлено:
название организации, составившей сценарий
Источник сценария:
каков источник этого сценария (например, МПДЭ,
синтезированный
сценарий,
другие
нормативные
документы, база данных о ДТП и т. д.)? Сюда входит
указание
географического
места,
где
случился
первоначальный инцидент (если применимо)
Версия:
версия сценария для отслеживания обновлений, содержит
дату представления
Изображение:
изображение, воспроизводящее сценарий; кроме того,
перемещения могут быть показаны стрелками или
представлены
другими
графическими
средствами.
Изображение может быть двумерным или трехмерным
Описание функционального сценария: раздел с текстовым описанием сценария. В него
может входить указание некоторых конкретных целей испытания и оценки
безопасности. Описание может быть составлено как на структурированном, так и на
неструктурированном естественном языке
Метки ДШЭ4,5:
элементы окружающей обстановки (оборудование дорог,
здания и т. д.),
окружающие условия,
динамические элементы (элементы, находящиеся в
движении)
Для описания ДШЭ и поведения АСВ применяется множество стандартов меток, которыми
можно руководствоваться при составлении перечня общих меток, используемых в каталоге.
5 Метки ДШЭ в шаблоне сценария не должны трактоваться как «ДШЭ сценария»; скорее они
относятся к меткам ДШЭ, распространяющимся на АСВ, подвергаемую испытаниям с
помощью сценария. Они служат для того, чтобы помочь пользователю каталога найти
сценарии, соответствующие ДШЭ испытуемой АСВ. ДШЭ является компонентом
конструкции данного транспортного средства и определяется разработчиком АСВ.
4
GE.24-06854
89
ECE/TRANS/WP.29/2024/39
Метки поведения3:
поведение и маневры испытуемого транспортного средства
во время выполнения сценария. Сюда также могут входить
ожидаемые реакции. Поведение всех остальных активных
участников сценария
Тип сценария:
штатный, критический или сценарий отказа
Эти типы сценариев определяются внешними условиями,
а не параметрами АСВ, поэтому в целях определения
подхода к их классификации для составления каталога
требуется дальнейшая работа. На функциональном уровне
подходящими могут быть несколько вариантов
Диапазон применимости: ограничения диапазона и/или параметров использования
сценария
Абстрактный сценарий (факультативно):
формализованное, декларативное описание сценария6,
полученное из функционального сценария. Спецификация
на абстрактном уровне позволяет выделять значимые
аспекты сценария с акцентом на эффективном описании
связей (причина–следствие).
6
90
Декларативное описание может выполняться на структурированном естественном языке, языке
программирования или с помощью других форм языка, которые отвечают требуемым
критериям (в плане формализованности и декларативности).
GE.24-06854
ECE/TRANS/WP.29/2024/39
Приложение 4 — Добавление 1
Функциональные сценарии для применения в случае
автомагистралей
1.
В настоящем добавлении дается обобщение различных сценариев дорожного
движения, разработанных с целью целях формирования перечня функциональных
сценариев для АСВ, предназначенной для использования на автомагистралях.
Диапазон ДШЭ: автомагистрали, на которых разрешено движение со скоростью до
130 км/ч и осуществление перестроений.
A.
Структурные элементы функциональных сценариев
2.
Функциональные сценарии могут охватывать несколько аспектов (например,
геометрические параметры дороги на разных уровнях абстрагирования, условия
окружающей
среды,
поведение
испытуемого
транспортного
средства,
движущиеся/стационарные объекты).
3.
Дополнительные аспекты, которые не охвачены функциональными сценариями
(например, абсолютные значения скорости и ускорения, расположение, наличие
отказов, сбои в передаче информации, геометрические параметры дороги на более
детальном уровне), следует включить в логический сценарий.
4.
Поскольку вопрос об отнесении тех или иных аспектов к функциональным и
логическим сценариям (т. е. о том, какие аспекты следует рассматривать в рамках
функциональных сценариев, а какие — в рамках логических сценариев) еще не
обсуждался и не согласовывался, используемая в настоящем документе
классификация аспектов представляет собой первоначальную версию и подлежит
доработке по мере обсуждения.
B.
Охват
5.
Столкновения
всегда
происходят
с
другими
транспортными
средствами/объектами (исходя из предположения, что при отсутствии других
транспортных средств/объектов функционирование будет нормальным). Сценарии
взаимодействия с другими транспортными средствами при движении в штатном
режиме позволяют охватить все варианты взаимодействия между другими
транспортными средствами/объектами и испытуемым транспортным средством. Эти
сценарии могут обеспечить надлежащий охват столкновений с другими
транспортными средствами/объектами.
6.
Как указано выше, факторы, не охваченные в предлагаемых функциональных
сценариях (например, начальная скорость испытуемого транспортного средства,
габариты, исходное положение, начальная скорость и ускорение других транспортных
средств/объектов), некоторые факторы, связанные с восприятием (например,
освещенность, мертвая зона, ложное срабатывание, указатели поворотов других
транспортных средств), и факторы, связанные с устойчивостью транспортного
средства (например, показатели кривизны и уклона дороги, коэффициент сцепления
дорожного покрытия (μ), ветер и т. д.), могут описываться с помощью параметров в
рамках логических сценариев.
C.
Подход к определению семейства сценариев
7.
Семействам сценариев, как правило, присуще определенное сочетание
конфигурации проезжей части и поведения испытуемого транспортного средства и
других транспортных средств. На рис. 1 показаны некоторые из этих сочетаний
применительно к использованию на автомагистрали: геометрии дороги и поведению
GE.24-06854
91
ECE/TRANS/WP.29/2024/39
испытуемого транспортного средства соответствует ось y, а поведению окружающих
транспортных средств — ось x.
8.
24 семейства сценариев, приведенные на рис. 1, могут охватывать
взаимодействие с другими транспортными средствами, движущимися в одном
направлении с испытуемым транспортным средством по той же самой полосе или по
соседним полосам.
Рис. 1
Пример семейств сценариев
9.
Во всех 12 сценариях, в которых испытуемое транспортное средство выполняет
смену полосы движения, транспортное средство, ближайшее к испытуемому
транспортному средству, не обязательно должно находиться на той же полосе
движения или на соседней полосе движения с испытуемым транспортным средством.
Оно может находиться в двух полосах движения от испытуемого транспортного
средства, и даже в этом случае это транспортное средство должно быть обнаружено
испытуемым транспортным средством, поскольку они могут взаимодействовать друг
с другом, если оба меняют полосу движения. Чтобы правильно описать эти случаи во
всех 12 сценариях, на уровне логического сценария необходимо включить некоторые
параметры, такие как «количество полос движения», «полоса движения испытуемого
транспортного средства» и «относительное положение между испытуемым
транспортным средством и другим транспортным средством». Примеры «случая
главной дороги» приводятся ниже. Следует рассмотреть и другие случаи на «слитой
дороге» и «разветвленной дороге».
Рис. 2
Примеры сценариев, подразумевающих смену полосы движения
92
GE.24-06854
ECE/TRANS/WP.29/2024/39
D.
Перечень примеров сценариев для применения в случае
автомагистралей
10.
Следующие сценарии были отформатированы с использованием описанного
выше шаблона.
Название сценария
Движение по прямой
Код сценария
S.1.1.a
Составлено
[составитель]
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Описание
функционального
сценария
Испытуемое транспортное средство (зеленого цвета) движется
по прямой дороге. Цель данного сценария заключается в
проверке способности удерживать транспортное средство в
полосе при нормальных или сложных условиях и параметрах.
Метки ДШЭ
Прямая дорога
Метки поведения
Удержание в полосе
Контроль скорости
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный
Диапазон применимости
Без ограничений
Используемый стандарт: BSI Flex 1889
Ссылка: https://www.bsigroup.com/en-GB/CAV/bsi-flex-1889/
Разветвление дорог отсутствует. Имеется одна дорога —
дорога R1. Дорога R1 — это прямая дорога категории А.
Абстрактный сценарий
(факультативно)
Для 1–1 а) b) с ТСДВ
Имеются 2 транспортных средства — испытуемое транспортное
средство и транспортное средство V1. Испытуемое транспортное
средство находится на дороге R1. Транспортное средство V1
находится на дороге R1.
При движении транспортного средства V1 испытуемое
транспортное средство движется позади него в том же темпе на
обычной дистанции и с обычной скоростью 60–70 миль в час.
Сценарий выполняется в период с 09:00 до 21:00 при показателе
условий освещенности от 100,0 до 25 000,0 лк и облачности
0–8 октантов.
GE.24-06854
93
ECE/TRANS/WP.29/2024/39
Название сценария
Движение по изгибу дороги
Код сценария
S.1.1.b
Составлено
[составитель]
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Описание
функционального
сценария
Испытуемое транспортное средство (зеленого цвета) движется
по извилистой дороге. Цель данного сценария заключается в
проверке способности транспортного средства справляться с
кривизной дороги, указанной как часть ДШЭ.
Метки ДШЭ
Извилистая дорога
Метки поведения
Удержание в полосе
Контроль скорости
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный
Диапазон применимости
Без ограничений
Используемый стандарт: BSI Flex 1889
Ссылка: https://www.bsigroup.com/en-GB/CAV/bsi-flex-1889/
Разветвление дорог отсутствует. Имеется одна дорога —
дорога R1.
Абстрактный сценарий
(факультативно)
Дорога R1 — это извилистая дорога категории А с умеренной
кривизной. На дороге R1 имеются две полосы движения —
полоса 1 и полоса 2. Движение по полосе 1 и полосе 2
осуществляется в противоположных направлениях.
Имеется одно транспортное средство, а именно испытуемое
транспортное средство.
Испытуемое транспортное средство находится на полосе 1
дороги R1.
Сценарий выполняется в период с 09:00 до 21:00 при показателе
условий освещенности от 100,0 до 25 000,0 лк и облачности
0–8 октантов.
94
GE.24-06854
ECE/TRANS/WP.29/2024/39
Название сценария
Испытуемое транспортное средство выполняет смену полосы с
движущимся позади транспортным средством
Код сценария
S.2.1.A
Составлено
SAFE/Foretellix
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Описание
функционального
сценария
По соседней полосе в том же направлении, что и испытуемое
транспортное средство (зеленого цвета), движется другое
транспортное средство (красного цвета). Испытуемое
транспортное средство пытается осуществить перестроение на
полосу, по которой движется другое транспортное средство.
Метки ДШЭ
Прямая дорога
Метки поведения
Смена полосы движения
Контроль скорости
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный
Диапазон применимости
Без ограничений
Используемый стандарт: ASAM OpenSCENARIO® DSL
Ссылка: https://www.asam.net/static_downloads/public/asamopenscenario/2.0.0/welcome.html/
Абстрактный сценарий
(факультативно)
scenario sut.ego_cut_in:
other_vehicle: vehicle
other_vehicle_side: av_side
do serial():
# Исходные положения
start_scenario_cut_in: parallel(overlap:equal, duration:
[duration_range]second):
ego.car.drive() with:
keep_lane()
other_vehicle.drive() with:
position(time: [time_ahead_range]s, behind: ego.car, at:
start)
lane(side_of: ego.car, side: other_vehicle_side, at: start)
# Перестраивающееся на другую полосу транспортное
средство пытается перестроиться перед испытуемым
транспортным средством и движется спереди от него
same_as_other_vehicle: parallel(overlap:equal,
duration:[cut_in_duration_range]second):
ego.car.drive() with:
lane(same_as:other_vehicle, at: end)
other_vehicle.drive() with:
position(time: [post_cut_in_range]s, behind: ego.car, at: end)
GE.24-06854
95
ECE/TRANS/WP.29/2024/39
Название сценария
Встраивание в поток на занятой полосе движения
Код сценария
S.2.1.D
Составлено
SAFE/Foretellix
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Описание
функционального
сценария
Другие транспортные средства (серого цвета) занимают полосу,
прилегающую к полосе движения испытуемого транспортного
средства. Испытуемое транспортное средство (зеленого цвета)
пытается осуществить перестроение на полосу, по которой
движутся другие транспортные средства [1–4]. Сложность
сценария варьируется в зависимости от геометрических
параметров дороги, скорости, количества и расположения других
транспортных средств.
Прямая дорога
Метки ДШЭ
Любые окружающие условия
Занятая полоса
Метки поведения
Смена полосы движения
Контроль скорости
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный
Диапазон применимости
Без ограничений
Используемый стандарт: ASAM OpenSCENARIO® DSL
Ссылка: https://www.asam.net/static_downloads/public/asamopenscenario/2.0.0/welcome.html
Абстрактный сценарий
(факультативно)
96
scenario sut.ego_with_adjacent_vehicle_group:
adjacent_vehicle_group: single_lane_vehicle_group
for vehicles in adjacent_vehicle_group.cars:
keep(vehicles.initial_bm == behavioural_model)
keep(vehicles.tau == [time_range_between_vehicles]s)
do serial():
# Исходные положения
initial_placement: parallel(overlap:equal, duration:
[duration_range]second):
ego.car.drive() with:
keep_lane()
adjacent_vehicle_group.drive() with:
lane(side_of: ego.car, at: all)
# сменить полосу движения и встроиться в полосу, занятую
группой
ego_changed_lane_same_as_adjacent_vehicles: parallel(overlap:
equal, duration[change_lane_duration_range]second):
ego.car.drive() with:
lane(same_as: adjacent_vehicle_group,at: end)
adjacent_vehicle_group.drive() with:
keep_lane()
GE.24-06854
ECE/TRANS/WP.29/2024/39
Название сценария
Непреодолимый объект на траектории
Код сценария
S.2.2.e
Составлено
SAFE/Foretellix
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Описание
функционального
сценария
По дороге движется испытуемое транспортное средство
(зеленого цвета), на полосе движения которого находится
непреодолимый объект (красного цвета). Задача испытуемого
транспортного средства — продолжить движение по прямой.
Испытуемое транспортное средство должно среагировать.
Сложность сценария варьируется в зависимости от скорости
движения испытуемого транспортного средства.
Прямая дорога
Метки ДШЭ
Любые окружающие условия
Непреодолимый объект на дороге
Смена полосы движения
Метки поведения
Контроль скорости
Объезд объекта на дороге
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный/критический
Диапазон применимости
Без ограничений
Используемый стандарт: ASAM OpenSCENARIO® DSL
Ссылка: https://www.asam.net/static_downloads/public/asamopenscenario/2.0.0/welcome.html
Абстрактный сценарий
(факультативно)
GE.24-06854
scenario sut.ego_with_impassable_stationary_object:
# определить непреодолимый объект
red_box_pose: pose_3d # which has lon and lat defined
red_box_pose.position[lat_range_as_per_ego]
red_box_pos.position[lon_range]
# Добавить ограничения для полей green_box_pose
red_box: stationary_object
red_box.physical.passable = false
red_box.location(green_box_pose)
# двигаться вперед
do ego.car.drive(duration:[duration_range]) with:
lane(1, curb, at: start)
97
ECE/TRANS/WP.29/2024/39
Название сценария
Преодолимый объект на траектории
Код сценария
S.2.2.f
Составлено
SAFE/Foretellix
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Описание
функционального
сценария
По дороге движется испытуемое транспортное средство
(зеленого цвета), на полосе которого находится преодолимый
объект (зеленый квадрат), например, крышка люка или
небольшая ветка дерева. Задача испытуемого транспортного
средства — продолжить движение по прямой. Испытуемое
транспортное средство должно среагировать. Сложность
сценария варьируется в зависимости от скорости движения
испытуемого транспортного средства.
Проверяемые параметры: реакция испытуемого транспортного
средства (ложное срабатывание, смена полосы/торможение),
расстояние до объекта, боковая скорость испытуемого
транспортного средства (в случае смены полосы движения)
и т. д.
Прямая дорога
Метки ДШЭ
Любые окружающие условия
Преодолимый объект на дороге
Метки поведения
Объезд объекта на дороге
Контроль скорости
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный
Диапазон применимости
Без ограничений
Абстрактный сценарий
(факультативно)
98
GE.24-06854
ECE/TRANS/WP.29/2024/39
Название сценария
Торможение идущего впереди транспортного средства
Код сценария
S.2.2.g
Составлено
SAFE/Foretellix
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Описание
функционального
сценария
Метки ДШЭ
Испытуемое транспортное средство (зеленого цвета) движется
позади ТСДВ (красного цвета). ТСДВ тормозит, и испытуемое
транспортное средство должно адаптировать свою скорость,
чтобы оставаться на безопасном расстоянии от ТСДВ.
Проверяемые параметры: расстояние между испытуемым
транспортным средством и ТСДВ, реакция на другие
транспортные средства, занимающие соседние полосы движения,
и т. д.
Прямая дорога
Любые окружающие условия
Метки поведения
Контроль скорости
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный
Диапазон применимости
Без ограничений
Абстрактный сценарий
(факультативно)
GE.24-06854
99
ECE/TRANS/WP.29/2024/39
Название сценария
Приближение к движущемуся с меньшей
скоростью/остановившемуся ТСДВ
Код сценария
S.2.2.h
Составлено
[составитель]
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
ТСДВ (красного цвета) движется с меньшей скоростью перед
испытуемым транспортным средством (зеленого цвета). Чтобы
избежать столкновения, испытуемое транспортное средство
может затормозить или сменить полосу движения. Сложность
данного сценария можно оценивать в зависимости от скоростей
движения ТСДВ и испытуемого транспортного средства.
Описание
функционального
сценария
Выделенные параметры сценария: скорость испытуемого
транспортного средства (правила дорожного движения), профиль
скорости ТСДВ (замедление), расположение на проезжей части и
профили скоростей других транспортных средств (если таковые
присутствуют).
Проверяемые параметры: расстояние между испытуемым
транспортным средством и ТСДВ, реакция на другие
транспортные средства, занимающие соседние полосы движения,
и т. д.
Метки ДШЭ
Прямая дорога
Любые окружающие условия
Метки поведения
Контроль скорости
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный
Диапазон применимости
Без ограничений
Абстрактный сценарий
(факультативно)
100
GE.24-06854
ECE/TRANS/WP.29/2024/39
Название сценария
Внезапное перестроение в полосу перед испытуемым транспортным
средством
Код сценария
S.2.2.I
Составлено
SAFE/Foretellix
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Описание
функционального
сценария
По соседней полосе в том же направлении, что и испытуемое
транспортное средство (зеленого цвета), движется другое
транспортное средство (красного цвета). Другое транспортное
средство меняет полосу движения таким образом, что становится
ТСДВ по отношению к испытуемому транспортному средству.
Сложность маневра, связанного с внезапным перестроением в
полосу, варьируется в зависимости от дистанции и боковой
скорости ТСДВ.
Выделенные параметры сценария: боковая скорость ТСДВ,
расстояние до ТСДВ, скорость испытуемого транспортного
средства, ширина полосы движения, расположение на проезжей
части и профили скоростей других транспортных средств (если
таковые присутствуют).
Проверяемые параметры: расстояние между испытуемым
транспортным средством и ТСДВ, расстояние до других
транспортных средств и т. д.
Метки ДШЭ
Прямая дорога
Любые окружающие условия
Метки поведения
Контроль скорости
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный
Диапазон применимости
Без ограничений
Абстрактный сценарий
(факультативно)
GE.24-06854
101
ECE/TRANS/WP.29/2024/39
Название сценария
Внезапный выезд из полосы перед испытуемым транспортным
средством
Код сценария
S.2.2.J
Составлено
SAFE/Foretellix
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
102
Описание
функционального
сценария
Перед испытуемым транспортным средством (зеленого цвета)
в одном с ним направлении движется ТСДВ (красного цвета).
ТСДВ меняет полосу движения таким образом, что оно перестает
находиться перед испытуемым транспортным средством. В целях
проверки поведения испытуемого транспортного средства перед
испытуемым транспортным средством на его полосе движения
устанавливается препятствие (серого цвета). Сложность данного
сценария варьируется в зависимости от скорости испытуемого
транспортного средства и боковой скорости ТСДВ.
Выделенные параметры сценария: боковая скорость ТСДВ,
расстояние до ТСДВ, скорость испытуемого транспортного
средства, ширина полосы движения, расположение на проезжей
части и профили скоростей других транспортных средств (если
таковые присутствуют).
Проверяемые параметры: расстояние между испытуемым
транспортным средством и препятствием, расстояние до других
транспортных средств и т. д.
Метки ДШЭ
Прямая дорога
Любые окружающие условия
Метки поведения
Контроль скорости
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный/критический
Диапазон применимости
Без ограничений
Абстрактный сценарий
(факультативно)
Используемый стандарт: ASAM OpenSCENARIO® DSL
Ссылка: https://www.asam.net/static_downloads/public/asamopenscenario/2.0.0/welcome.html
scenario sut.vehicle_cut_out:
car1: vehicle # Автомобиль, внезапно выезжающий из полосы
do serial():
# Исходные положения
start_scenario_cut_out: parallel(overlap:equal, duration:
[duration_range]second):
ego.car.drive() with:
keep_lane()
car1.drive() with:
position(time: [time_ahead_range]s, ahead_of: ego.car, at:
start)
lane(same_as: ego.car, at: start)
# движущееся впереди транспортное средство выезжает из
полосы на полосу сбоку
side_of_ego_lane: parallel(overlap:equal,
duration:[cut_out_duration_range]second):
ego.car.drive() with:
keep_lane()
car1.drive() with:
lane(side_of:ego.car, at: all)
GE.24-06854
ECE/TRANS/WP.29/2024/39
Название сценария
Обнаружение транспортного средства, которое резко сворачивает в
сторону, и реагирование на этот маневр
Код сценария
S.2.2.K
Составлено
[составитель]
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Описание
функционального
сценария
Метки ДШЭ
По соседней полосе в том же направлении, что и испытуемое
транспортное средство (зеленого цвета), движется другое
транспортное средство (красного цвета). Другое транспортное
средство резко сворачивает в сторону полосы движения
испытуемого транспортного средства.
Прямая дорога
Любые окружающие условия
Метки поведения
Контроль скорости
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный/критический
Диапазон применимости
Без ограничений
Используемый стандарт: BSI Flex 1889
Ссылка: https://www.bsigroup.com/en-GB/CAV/bsi-flex-1889/
Пересечение дорог отсутствует. Имеется одна дорога —
дорога R1. Дорога R1 — это прямая дорога категории А.
На дороге R1 имеются две полосы движения — полоса 1 и
полоса 2. Движение по полосе 1 и полосе 2 осуществляется в
одном и том же направлении.
Абстрактный сценарий
(факультативно)
Имеются 2 транспортных средства — испытуемое транспортное
средство и транспортное средство V1. Испытуемое транспортное
средство находится на полосе 1 дороги R1, а транспортное
средство V1 находится спереди слева от испытуемого
транспортного средства на небезопасном расстоянии.
Во время движения испытуемого транспортного средства
транспортное средство V1 осуществляет перестроение направо,
резко сворачивая перед испытуемым транспортным средством на
его полосу, причем на критически малом расстоянии.
Сценарий выполняется в период с 09:00 до 21:00 при показателе
условий освещенности от 100,0 до 25 000,0 лк и облачности
0–8 октантов.
GE.24-06854
103
ECE/TRANS/WP.29/2024/39
Название сценария
Изменение ограничения скорости
Код сценария
S.3.A
Составлено
SAFE/Foretellix
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Испытуемое транспортное средство (красного цвета) движется по
прямой дороге с изменением скоростного режима. Задача
испытуемого транспортного средства — надлежащим образом
реагировать на изменение скоростного режима посредством
замедления при въезде в зону с более низким ограничением
скорости.
Требования к окружающим условиям: прямая дорога, на которой
как минимум один раз меняется скоростной режим.
Описание
функционального
сценария
Поведение испытуемого транспортного средства: испытуемое
транспортное средство движется по прямой дороге, его скорость
адаптируется с учетом меняющихся ограничений скорости.
Выделенные параметры сценария: расположение на проезжей
части и профили скоростей других транспортных средств (если
таковые присутствуют), скорость испытуемого транспортного
средства.
Проверяемые параметры: управление продольным
перемещением испытуемого транспортного средства
(торможение/ускорение), способность испытуемого
транспортного средства к восприятию.
Прямая дорога
Метки ДШЭ
Любые окружающие условия
Знак ограничения скорости
Метки поведения
Контроль скорости
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный
Диапазон применимости
Без ограничений
Абстрактный сценарий
(факультативно)
104
GE.24-06854
ECE/TRANS/WP.29/2024/39
Название сценария
Реверсивные светофоры
Код сценария
S.3.B
Составлено
[составитель]
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
На дороге для проведения испытания имеются как минимум две
полосы движения. На полосах испытательной дороги
установлены «умные» световые указатели, расположенные над
дорогой. Испытуемое транспортное средство (серого цвета)
находится на полосе, которая обозначена как закрытая, а в
реверсивных светофорах, относящихся к соседним полосам,
непрерывно горит сигнал, указывающий, что они открыты.
Задача испытуемого транспортного средства — надлежащим
образом реагировать на сигналы реверсивного светофора,
осуществляя перестроение, когда светофор указывает на то, что
занятая полоса закрыта.
Описание
функционального
сценария
Требования к окружающим условиям: дорога, на которой
имеются не менее двух полос движения, и установлены «умные»
реверсивные светофоры, указывающие на состояние полосы
движения (открыта/закрыта).
Поведение испытуемого транспортного средства: испытуемое
транспортное средство движется по дороге, по мере
необходимости осуществляя перестроения в соответствии с
сигналами реверсивных светофоров.
Выделенные параметры сценария: расположение на проезжей
части и профили скоростей других транспортных средств (если
таковые присутствуют), скорость испытуемого транспортного
средства.
Проверяемые параметры: реакция испытуемого транспортного
средства (смена полосы движения/торможение), боковая скорость
испытуемого транспортного средства (в случае перестроения)
и т. д.
Прямая дорога
«Умные» световые указатели на полосе
Метки ДШЭ
Табло с указанием на чередование полос
Любые окружающие условия
Реверсивные светофоры
Метки поведения
Смена полосы движения
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный
Диапазон применимости
Без ограничений
Абстрактный сценарий
(факультативно)
GE.24-06854
105
ECE/TRANS/WP.29/2024/39
Название сценария
Движение в туннеле
Код сценария
S.3.C
Составлено
Китай
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Описание
функционального
сценария
Испытуемое транспортное средство (зеленого цвета) движется
в туннеле (сигналы глобальной системы позиционирования и
естественное освещение отсутствуют). Необходимо, чтобы
движение транспортного средства адаптировалось с учетом
быстро меняющихся параметров освещения и отсутствия сигнала
глобальной системы позиционирования.
Сложность сценария варьируется в зависимости от скорости
движения испытуемого транспортного средства, разницы между
условиями освещенности снаружи и внутри туннеля, а также от
протяженности туннеля.
Любые окружающие условия
Метки ДШЭ
Туннель
Ограниченный сигнал GPS
Ограниченные возможности связи и доступа к Интернету
Метки поведения
Удержание в пределах полосы движения
Контроль скорости
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный
Диапазон применимости
Без ограничений
Используемый стандарт: BSI Flex 1889
Ссылка: https://www.bsigroup.com/en-GB/CAV/bsi-flex-1889/
Пересечение дорог отсутствует. Имеется одна дорога —
дорога R1.
Абстрактный сценарий
(факультативно)
Дорога R1 — это прямая дорога категории А. На дороге R1
имеются две полосы движения — полоса 1 и полоса 2. Движение
по полосе 1 и полосе 2 осуществляется в одном и том же
направлении.
Впереди на дороге R1 на расстоянии 50–60 м находится туннель
«Сооружение T1».
Имеется одно транспортное средство, а именно испытуемое
транспортное средство.
Испытуемое транспортное средство находится на полосе 1
дороги R1.
Сценарий выполняется в период с 09:00 до 21:00 при показателе
условий освещенности от 100,0 до 25 000,0 лк и облачности
0–8 октантов.
106
GE.24-06854
ECE/TRANS/WP.29/2024/39
Название сценария
Пункт взимания платы за проезд
Код сценария
S.3.D
Составлено
[составитель]
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Описание
функционального
сценария
Испытуемое транспортное средство (зеленого цвета) движется по
протяженному прямолинейному участку дороги как минимум с
одной полосой движения. На этой дороге расположен пункт
взимания платы за проезд, на подъезде к которому установлены
соответствующие предупреждающие знаки, знаки ограничения
скорости и ограничители скорости. Задача испытуемого
транспортного средства — безопасно въехать на пункт взимания
платы, при необходимости замедляясь и/или останавливаясь,
и безопасно выехать из него.
Выделенные параметры сценария: схема проезжей части
(расположение ограничителей скорости, кабины сбора платы
и т. д.), расположение на проезжей части и профили скоростей
других транспортных средств (если таковые присутствуют),
скорость испытуемого транспортного средства.
Проверяемые параметры: реакция испытуемого транспортного
средства (замедление и/или остановка).
Прямая дорога
Любые окружающие условия
Метки ДШЭ
Кабина сбора платы за проезд
Знаки ограничения скорости
Ограничители скорости
Метки поведения
Контроль скорости
Безопасная остановка
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный
Диапазон применимости
Без ограничений
Абстрактный сценарий
(факультативно)
GE.24-06854
107
ECE/TRANS/WP.29/2024/39
Название сценария
Обычные препятствия
Код сценария
S.3.E
Составлено
[составитель]
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Описание
функционального
сценария
Испытуемое транспортное средство (зеленого цвета) движется по
протяженному прямолинейному участку дороги как минимум с
двумя полосами движения, разделенными между собой белой
пунктирной линией. В соответствии с требованиями,
касающимися регулирования дорожного движения во время
дорожно-ремонтных работ, на полосах движения установлены
дорожные знаки в форме конусов и нанесена дорожная разметка.
Задача испытуемого транспортного средства — безопасно
объехать эти препятствия, при необходимости осуществляя
перестроение в рядах.
Выделенные параметры сценария: схема проезжей части
(видимость препятствий на траектории), расположение на
проезжей части и профили скоростей других транспортных
средств (если таковые присутствуют), скорость испытуемого
транспортного средства.
Проверяемые параметры: реакция испытуемого транспортного
средства (смена полосы движения/торможение), боковая скорость
испытуемого транспортного средства (в случае перестроения)
и т. д.
Прямая дорога
Метки ДШЭ
Несколько полос
Любые окружающие условия
Препятствия на дороге
Объезд объектов на дороге
Метки поведения
Контроль скорости
Смена полосы движения
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный
Диапазон применимости
Без ограничений
Абстрактный сценарий
(факультативно)
108
GE.24-06854
ECE/TRANS/WP.29/2024/39
Название сценария
Внезапный въезд на перекресток другого транспортного средства
Код сценария
S.4.a
Составлено
SAFE/Foretellix
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Описание
функционального
сценария
Перекрестки представляют особую сложность для испытуемого
транспортного средства (зеленого цвета) ввиду повышенной
вероятности возникновения конфликтов с другими участниками
дорожного движения. В рамках данного сценария испытуемое
транспортное средство проезжает перекресток в тот момент,
когда на него внезапно въезжает другое транспортные средство
(красного цвета). В этом сценарии проверяется поведение
испытуемого транспортного средства при движении по
траектории, ведущей к столкновению с другим транспортным
средством на перекрестке, который может быть оборудован
знаками, сигналами или светофорами. Необходимо, чтобы
испытуемое транспортное средство было способно безопасным
образом проехать через перекресток и избежать столкновения
или смягчить его последствия.
Перекресток (пересечение с 4 сторон)
Любые окружающие условия
Метки ДШЭ
Знаки
Сигналы
Светофор
Поворот налево
Метки поведения
Контроль скорости
Планирование траектории
GE.24-06854
Тип сценария
(штатный/критический/
сценарий отказа)
Штатный
Диапазон применимости
Без ограничений
109
ECE/TRANS/WP.29/2024/39
Название сценария
Внезапный въезд на перекресток другого транспортного средства
Используемый стандарт: BSI Flex 1889
Ссылка: https://www.bsigroup.com/en-GB/CAV/bsi-flex-1889/
Имеется перекресток — пересечение C1, соединяющееся с
дорогой 1, дорогой 2, дорогой 3 и дорогой 4. Пересечение
дороги 1 с дорогой 2 находится впереди, дороги 1 с дорогой 3 —
справа, дороги 3 с дорогой 4 — впереди.
Абстрактный сценарий
(факультативно)
Имеются 4 дороги: дорога 1, дорога 2, дорога 3 и дорога 4.
Дорога 1 — это прямая дорога категории А, на которой имеются
две полосы движения — полоса 1 и полоса 2. Движение по
полосе 1 и полосе 2 осуществляется в противоположных
направлениях. На дороге 2 имеются две полосы движения —
полоса 1 и полоса 2. Движение по полосе 1 и полосе 2
осуществляется в противоположных направлениях. На дороге 3
имеются две полосы движения — полоса 1 и полоса 2. Движение
по полосе 1 и полосе 2 осуществляется в противоположных
направлениях. На дороге 4 имеются две полосы движения —
полоса 1 и полоса 2. Движение по полосе 1 и полосе 2
осуществляется в противоположных направлениях.
Имеются 2 транспортных средства — испытуемое транспортное
средство и транспортное средство, внезапно въезжающее на
перекресток. Испытуемое транспортное средство находится на
полосе 1 дороги 1, а транспортное средство, внезапно
въезжающее на перекресток, — на полосе 2 дороги 3.
Во момент поворота испытуемого транспортного средства налево
транспортное средство V1 приближается к испытуемому
транспортному средству сзади на критически малом расстоянии.
Сценарий выполняется в период с 09:00 до 21:00 при показателе
условий освещенности от 100,0 до 25 000,0 лк и облачности
0–8 октантов.
110
GE.24-06854
ECE/TRANS/WP.29/2024/39
Название сценария
Транспортное средство, движущееся против потока
Код сценария
S.5.a
Составлено
SAFE/Foretellix
Источник сценария
Синтезированный сценарий
Версия
1.0
Схема
Описание
функционального
сценария
В рамках сценария с движением навстречу другое транспортное
средство (красного цвета) приближается к испытуемому
транспортному средству (зеленого цвета) с противоположного
направления и проезжает мимо испытуемого транспортного
средства.
Прямая дорога
Метки ДШЭ
Дорога с односторонним движением
Пересечение осевой линии
Любые окружающие условия
Метки поведения
Транспортное средство, движущееся против потока
Контроль скорости
Тип сценария
(штатный/критический/
сценарий отказа)
Критический
Диапазон применимости
Без ограничений
Используемый стандарт: ASAM OpenSCENARIO® DSL
Ссылка: https://www.asam.net/static_downloads/public/asamopenscenario/2.0.0/welcome.html
scenario sut.oncoming_vehicle:
Абстрактный сценарий
(факультативно)
car1: vehicle
do oncoming: parallel(overlap:equal):
car1.drive()
ego.car.drive() with:
oncoming(ref_car: car1, distance: [distance_range]meter,
at:all)
GE.24-06854
111
ECE/TRANS/WP.29/2024/39
Приложение 5
Виртуальные испытания и оценка достоверности
I.
Типы подходов к инструментарию имитационного моделирования
1.
На основе инструментария имитационного моделирования, используемого для
виртуальных испытаний, можно сформировать целый набор различных подходов.
В частности, испытания могут проводиться одним из следующих способов:
a)
полностью в компьютерной среде (т. н. «испытания с использованием
модели или программы в контуре управления», МвКУ/ПвКУ), когда взаимодействие с
моделью задействованных элементов (например, простое представление логической
схемы управления АСВ) осуществляется в имитируемой среде; и/или
b)
в условиях, когда с виртуальной средой взаимодействует датчик,
подсистема или все транспортное средство (испытания в режиме «аппаратное средство
в контуре управления» или в режиме «транспортное средство в контуре управления»,
АСвКУ/ТСвКУ). В случае испытаний в режиме ТСвКУ транспортное средство может:
i)
находиться в лаборатории, где оно будет стоять на месте либо двигаться
на динамометрическом стенде или стенде для испытания силового агрегата и
будет подключено к модели окружающих условий с помощью проводов или же
будет оказываться непосредственное воздействие на его датчики; или
ii)
находиться на испытательной площадке, где транспортное средство
будет подключено к модели окружающих условий и будет взаимодействовать с
виртуальными объектами, физически перемещаясь по испытательному треку;
c)
в условиях, когда с подсистемой взаимодействует водитель-человек
(испытание в режиме «водитель в контуре управления», ВвКУ).
II.
Взаимодействие между системой и окружающей средой
2.
Взаимодействие между испытуемой системой и окружающей средой может
осуществляться по схеме открытого контура или по схеме замкнутого контура.
3.
При виртуальных испытаниях по схеме открытого контура блок предоставления
данных подает в АСВ входные стимулы. Этот блок может предоставлять данные,
собранные при движении в реальных условиях, либо данные из другого источника.
В частности, данные могут быть получены в ходе испытания с использованием
имитатора окружающих условий. В любом случае, предоставленные данные
позволяют сформировать для АСВ окружающую обстановку. В отличие от испытаний
по схеме замкнутого контура, между блоком предоставления данных и АСВ
отсутствует обратная связь. Поскольку распространенным вариантом является
повторный расчет на основе записанных прогонов, испытание по схеме открытого
контура иногда называют повторным расчетом, повторным воспроизведением или
повторным моделированием. Полезной особенностью испытания по схеме открытого
контура является присущее ему совсем небольшое расхождение между виртуальным
испытанием и соответствующей реальной ситуацией, о которой были собраны данные:
испытание по схеме открытого контура может быть настолько реалистичным,
насколько это позволяет используемый механизм сбора данных; при этом в идеальных
условиях подход по схеме открытого контура не приводит к появлению
дополнительных ошибок. К числу возможных областей применения испытаний по
схеме открытого контура относятся:
• регрессионное тестирование аспектов ранее решенных проблем, а также
испытания новых функций АСВ;
112
GE.24-06854
ECE/TRANS/WP.29/2024/39
• повторная валидация — например, в рамках валидации усовершенствованной
АСВ — ранее валидированных функций, особенно тех из них, которые не
претерпели функциональных изменений;
• испытание нефункциональных свойств АСВ. Например, оценка поведения
исполняемых файлов, относящихся к диспетчеризации или хронированию.
4.
При испытании в теневом режиме испытуемая АСВ подключается к блоку
предоставления данных. При этом испытуемая АСВ не управляет самим
транспортным средством. Соответственно, она не влияет на состояние или поведение
блока управления транспортного средства. Такой подход позволяет проводить
реалистичные крупномасштабные испытания с использованием автомобильных
парков в качестве испытательных платформ. Поскольку испытуемая АСВ не
оказывает никакого влияния на транспортное средство, использование теневого
режима можно отнести к испытаниям по схеме открытого контура.
5.
Виртуальные испытания по схеме замкнутого контура включают в себя петлю
обратной связи, по которой АСВ при выполнении определенных действий непрерывно
получает ответную информацию от контроллера «замкнутого контура». В таких
испытательных системах цифровые объекты окружающей среды могут реагировать
по-разному в зависимости от поведения испытуемой системы.
6.
Выбор схемы испытания — с открытым или замкнутым контуром — может
зависеть от таких факторов, как цели виртуального испытания и уровень зрелости
испытуемой системы.
7.
Благодаря своей гибкости имитационное моделирование является стандартным
методом проведения испытаний при проектировании транспортных средств, поэтому
при разработке этого компонента он также войдет в процесс валидации АСВ. В случае
АСВ будет невозможно проверить поведение транспортного средства в реальных
условиях во всех возможных ситуациях и с учетом любых последующих изменений
логики вождения АСВ. Поэтому виртуальные испытания станут незаменимым
инструментом для
проверки способности автоматизированной системы
функционировать в широком диапазоне возможных сценариев. Кроме того,
виртуальные испытания могут быть полезны в качестве альтернативы испытаниям в
реальных условиях и на испытательных площадках в случае опасности возникновения
критических с точки зрения безопасности сценариев дорожного движения. Поэтому
виртуальные испытания рекомендуется использовать для проверки АСВ на
критических с точки зрения безопасности сценариях, воспроизведение которых на
испытательных треках или дорогах общего пользования затруднено и/или
небезопасно.
8.
В зависимости от общей стратегии валидации и точности исходного
имитационного моделирования и соответствующих моделей виртуальные испытания,
используемые для валидации АСВ, могут обеспечивать достижение различных целей:
a)
предоставление
безопасности всей системы;
качественной
оценки
степени
уверенности
в
b)
непосредственное
содействие
повышению
статистической
достоверности в отношении безопасности всей системы (с оговорками);
c)
предоставление количественных или статистических показателей
степени уверенности в отношении характеристик конкретных подсистем или
компонентов;
d)
условиях.
выявление сложных сценариев для проведения испытаний в реальных
9.
Несмотря на все потенциальные преимущества данного подхода, у него имеется
недостаток, связанный с присущей ему ограниченной достоверностью. Поскольку
модели создают представление о реальности, необходимо тщательно оценивать
целесообразность использования той или иной модели для удовлетворительной
замены реальных условий при валидации безопасности АСВ. Поэтому для
определения качества и надежности результатов по сравнению с характеристиками
GE.24-06854
113
ECE/TRANS/WP.29/2024/39
работы в реальных условиях крайне важно проводить валидацию процессов
имитационного моделирования и соответствующих моделей, используемых в
виртуальных испытаниях.
10.
Рекомендуется сопоставить характеристики АСВ в условиях виртуальных
испытаний с ее характеристиками в реальных условиях при реализации одного и того
же сценария. Это позволит оценить точность используемого инструментария
виртуальных испытаний. С учетом большого количества сценариев, которые могут
быть реализованы в рамках виртуальных испытаний, по сравнению с испытаниями на
треке, валидацию, вероятно, понадобится проводить с использованием меньшего, но
все же достаточно репрезентативного подмножества соответствующих сценариев,
чтобы доказать обоснованность любой экстраполяции, выходящей за пределы
используемых для валидации сценариев.
11.
В краткосрочной перспективе виртуальные испытания могли бы проводиться
только с использованием инструментариев имитационного моделирования,
разрабатываемых и обслуживаемых изготовителями АСВ. Ввиду того, что
конструкция АСВ зависит от стратегий валидации и верификации, реализуемых
изготовителями, на данный момент рекомендуется не применять к инструментариям
имитационного моделирования какое-либо регулирование или стандартизацию.
Скорее их свойства должны разъясняться и документироваться изготовителями АСВ,
а их пригодность — оцениваться в ходе сертификации. По этой причине результат
НМОИ, касающийся виртуальных испытаний, обеспечивает пригодность
документации и данных, предоставляемых изготовителем. Кроме того, виртуальные
испытания с использованием имитационного моделирования должны быть достаточно
достоверными, чтобы эксперт мог принимать обоснованные решения. Вопросы
достоверности рассматриваются ниже.
12.
При валидации безопасности АСВ рекомендуется уделять особое внимание
связи между виртуальными испытаниями и другими методами испытаний.
Виртуальные испытания будут тесно связаны со всеми компонентами руководящих
принципов в отношении НМОИ. В частности:
a)
виртуальные испытания дополняют физические испытания в плане учета
количества и разнообразия конфигураций АСВ, видов их предполагаемого
использования и ограничений на использование. Одним из преимуществ виртуальных
испытаний является предоставляемая ими возможность оценить работу АСВ по
нескольким сценариям и по различным диапазонам включенных в сценарии
параметров экономически эффективным способом. Виртуальные испытания
позволяют дополнить результаты ограниченных физических испытаний
поддающимися верификации данными, которые охватывают различные варианты
сценариев испытаний с различными параметрами. С помощью этого подхода
виртуальные испытания могут продемонстрировать, что АСВ охватывает критически
важные для безопасности сценарии, и, следовательно, предоставить доказательства
того, что в реальных условиях АСВ будет функционировать согласно изначальному
замыслу для данного типа сценария. Эти преимущества позволяют уменьшить
нагрузку, связанную с физическими испытаниями (компенсируя при этом их
недостатки), и способствовать повышению эффективности общего процесса оценки по
всем компонентам. Кроме того, виртуальные испытания можно эффективно
использовать для выявления и охвата пограничных случаев и других маловероятных
сценариев в целях повышения степени уверенности в вероятных эксплуатационных
характеристиках АСВ;
b)
виртуальные испытания могут сыграть важную роль в разработке
сценариев дорожного движения;
c)
виртуальные испытания позволяют оценить пределы эксплуатационных
характеристик АСВ, что дает возможность четко установить границы между
предотвращением столкновения и смягчением последствий аварии. Благодаря
применению методов рандомизации и комбинирования сценариев виртуальные
испытания позволяют разработчикам или экспертам всесторонне проверять АСВ и
114
GE.24-06854
ECE/TRANS/WP.29/2024/39
повышать степень уверенности в тех характеристиках, которые АСВ демонстрируют
в случае маловероятных событий;
d)
виртуальные испытания будут одним из ключевых элементов оценки по
результатам контрольной проверки. Результаты виртуальных испытаний, полученные
как на этапе разработки транспортного средства, так и на этапе верификации и
валидации, будут представлять собой ценные фактические данные, подкрепляющие
результаты контрольной проверки безопасности. Изготовители должны предоставить
свидетельства и документы, касающиеся способа проведения виртуальных испытаний
и утверждения набора инструментальных средств для лежащего в их основе
имитационного моделирования;
e)
благодаря результатам испытания в реальных условиях можно улучшить
точность процессов имитационного моделирования и соответствующих моделей;
f)
виртуальные испытания могут сыграть важную роль в реагировании на
проблемы, выявляемые в ходе мониторинга характеристик АСВ на этапе
эксплуатации. Виртуальные испытания обеспечивают быстрый и гибкий подход к
анализу характеристик АСВ на основе реальных событий. Они позволяют
изготовителям понять и проверить поведение АСВ и выяснить, почему могла
возникнуть та или иная проблема. Также с их помощью можно определить
непроверенный сценарий или набор неиспытанных параметров. Кроме того, с их
помощью можно определить «масштаб» любой проблемы. Если в ходе виртуальных
испытаний выявляется небезопасное поведение АСВ, то они также могут помочь
оценить эффективность внесенных в АСВ изменений и в конечном итоге улучшить
общие рабочие характеристики АСВ. При необходимости информацию и описания
сценариев можно распространять по всему миру и включать в сценарии и программы
испытаний.
13.
Как известно, конкретные требования к регулированию функциональной
безопасности все еще находятся в стадии разработки. Однако виртуальные испытания
с использованием утвержденных инструментариев имитационного моделирования
демонстрируют серьезные перспективы в плане оценки следующих общих требований
безопасности, рассматриваемых в настоящее время:
a)
АСВ должны обеспечивать безопасное вождение и функционирование в
критических с точки зрения безопасности ситуациях. В отношении именно этих
требований виртуальные испытания могут сыграть заметную роль. Виртуальные
испытания в режимах МвКУ/ПвКУ, АСвКУ и ТСвКУ могут использоваться для
оценки соответствия этим требованиям на различных этапах верификации и
валидации транспортного средства;
b)
АСВ должны обеспечивать безопасное взаимодействие с пользователем.
Виртуальные испытания в режиме ВвКУ могут быть целесообразны с точки зрения
поддержки оценки по данной категории требований безопасности путем анализа
взаимодействия между водителем и АСВ в безопасной и контролируемой среде;
c)
АСВ должны обеспечивать безопасное функционирование в режимах
отказа, а также безопасное рабочее состояние. Применение виртуальных испытаний
для этих двух категорий требований также представляется весьма перспективным,
однако для этого, вероятно, потребуется проведение дополнительных исследований.
Виртуальные испытания в режиме ПвКУ могут включать моделирование отказов и
запросов на техническое обслуживание. Виртуальные испытания в режимах АСвКУ и
ТСвКУ могут применяться для оценки реакции системы на возникновение
неисправности, вызванной в реальной системе.
GE.24-06854
115
ECE/TRANS/WP.29/2024/39
Приложение 5 — Добавление 1
Оценка достоверности результатов при использовании
инструментария виртуальных испытаний для валидации
АСВ
I. Введение, мотивировка и сфера применения
1.
Использование имитационного моделирования (ИМ) становится широко
распространенным благодаря растущим вычислительным возможностям, точности,
удобству использования и доступности программных пакетов ИМ. ИМ может быть
полезно для валидации безопасности АСВ, поскольку дает возможность преодолеть
некоторые ограничения испытаний в реальных условиях и увеличить количество
сценариев испытаний. Тем не менее ИМ может также привести к
ошибочным/кажущимся правильными результатам, особенно в отношении
комплексного моделирования, не подкрепленного адекватной практикой,
учитывающей все аспекты ИМ, помимо чистой валидации. Поэтому для проведения
виртуальных испытаний вместо других компонентов и в сочетании с другими
компонентами необходима более высокая уверенность в достоверности ИМ. Другими
словами, ИМ можно использовать для виртуальных испытаний, если эксперт способен
считать результаты моделирования достаточно достоверными для принятия
обоснованных решений с учетом потенциальных погрешностей ИМ.
2.
Для подтверждения достоверности ИМ необходимо выполнить его валидацию.
Валидация моделей, а также инструментов и процессов моделирования, составляющих
инструментарий ИМ, является непростой задачей, имеющей определенные
ограничения, в числе которых ограниченная сфера охвата валидационных испытаний
и трудности со сбором данных, подтверждающих процедуры валидации.
Использование ИМ требует уделения внимания всем факторам, влияющим на качество
и достоверность инструментария ИМ и всех его отдельных элементов. Цели валидации
следующие:
a)
установить общую систему для определения, обоснования и оценки
общей достоверности инструментария ИМ и для составления соответствующего
отчета;
b)
установить способ указания уровней достоверности результатов,
полученных при проведении оценки валидации, а также определения
соответствующих областей применимости инструментария.
3.
Эта система должна быть достаточно общей, чтобы ее можно было
использовать для различных типов и способов применения ИМ. К сожалению,
достижение данной цели дополнительно осложняется диапазоном и различиями
функций АСВ и разнообразием применяемых инструментов и наборов
инструментальных средств имитационного моделирования. Эти соображения
обусловливают решение об использовании (основанной на риске/на полной
информации) системы оценки достоверности, которую можно использовать для всех
способов применения ИМ.
4.
В предлагаемой системе оценки достоверности содержится общее описание
основных аспектов, необходимых для оценки достоверности того или иного
технического решения ИМ, а также рекомендации относительно роли, которую в
процессе валидации должен играть соответствующий эксперт по оценке в отношении
установления достоверности. Эксперту по оценке следует изучить документацию и
фактические данные, подтверждающие достоверность, на этапе контрольной
проверки. При этом считается, что фактические валидационные испытания проводятся
после получения достаточного количества фактических данных, подтверждающих,
что применение инструмента или набора инструментальных средств приводит к
достоверным результатам.
116
GE.24-06854
ECE/TRANS/WP.29/2024/39
5.
Результат текущей оценки достоверности должен определять, в каком
диапазоне можно использовать виртуальный инструмент для поддержки оценки АСВ.
II. Компоненты системы оценки достоверности
6.
Инструментарий ИМ рекомендуется использовать для виртуальных испытаний,
если его достоверность установлена путем оценки пригодности ИМ для намеченной
цели. Достоверности рекомендуется достигать путем изучения и оценки пяти
следующих характеристик ИМ:
a)
функциональные возможности — чего можно достичь с помощью ИМ и
какие риски с этим связаны;
b)
точность — насколько эффективно ИМ воспроизводит целевые данные;
c)
корректность — насколько надежны и устойчивы данные ИМ и
алгоритмы, заложенные в инструменты;
d)
удобство использования — какая профессиональная подготовка и опыт
необходимы и каким должно быть качество процесса управления пользованием этим
инструментарием;
e)
соответствие назначению — насколько набор инструментальных средств
ИМ подходит для оценки АСВ в пределах ее ДШЭ.
Рис. 1
Графическое представление взаимосвязей между компонентами системы
оценки достоверности
7.
Таким образом, для оценки достоверности требуется унифицированный метод
изучения этих характеристик и получения уверенности в результатах ИМ. Система
оценки достоверности вводит способ оценки достоверности ИМ и представления
отчетности о ней на основе критериев обеспечения качества, которые позволяют
указать уровни достоверности результатов. Другими словами, достоверность
устанавливается путем оценки ключевых влияющих факторов, которые являются
основными источниками воздействия на поведение моделей и инструментов
моделирования и, следовательно, затрагивают общую достоверность инструментария
ИМ. Все перечисленные далее факторы влияют на общую достоверность ИМ:
организационное управление деятельностью по ИМ; опыт и знания проводящей
испытания группы; анализ и описание выбранного набора инструментов ИМ;
источник происхождения данных и входных параметров; верификация; валидация;
и характеристики неопределенности. Эффективность учета каждого из этих факторов
указывает на уровень качества, достигнутый с помощью инструментария ИМ,
GE.24-06854
117
ECE/TRANS/WP.29/2024/39
а сравнение полученных уровней с требуемыми уровнями обеспечивает
количественное измерение достоверности ИМ и его пригодности для использования в
виртуальных испытаниях. Графическое представление взаимосвязей между
компонентами системы оценки достоверности приведено на рис. 1.
A.
Управление имитационным моделированием
8.
Жизненный цикл ИМ — это динамичный процесс, подразумевающий
регулярный выпуск обновлений, которые необходимо отслеживать и
документировать. Поэтому для поддержки ИМ в рамках типовых подходов к
управлению продуктом рекомендуется предусмотреть управленческую деятельность.
В данный раздел следует включить соответствующую информацию по
нижеуказанным аспектам.
9.
В этой части рекомендуется:
a)
описать изменения в выпускаемых версиях инструментария ИМ;
b)
указать соответствующее программное (например, конкретный
программный продукт и версию) и аппаратное обеспечение (например, конфигурацию
интерфейса XвКУ);
c)
задокументировать процессы внутренней проверки, в ходе которых были
приняты новые выпускаемые версии;
d)
получать поддержку в течение всего срока проведения виртуальных
испытаний.
1.
Управление выпускаемыми версиями
10.
Рекомендуется сохранять любую версию инструментария ИМ, используемую
для выпуска данных в целях сертификации. Виртуальные модели, составляющие
инструмент испытаний, следует документировать с точки зрения соответствующих
методов валидации и порогов приемлемости в целях поддержки общей достоверности
набора инструментальных средств. Разработчику следует создать и внедрить метод
отслеживания сгенерированных данных вплоть до соответствующей версии
инструментария.
11.
Проверка качества виртуальных данных. Полнота, точность и согласованность
данных обеспечиваются на протяжении всех выпусков и всего срока службы
инструмента или набора инструментальных средств для поддержки процедур
верификации и валидации.
2.
Опыт и знания группы
12.
Хотя опыт и знания (ОЗ) уже охвачены в общем смысле в рамках той или иной
организации, важно создать основу для уверенности в конкретном опыте и знаниях,
относящихся к деятельности в области ИМ.
13.
По сути, достоверность ИМ зависит не только от качества имитационных
моделей, но и от ОЗ сотрудников, участвующих в валидации и использовании ИМ.
В частности, правильное понимание ограничений и области валидации предотвратит
возможное неправильное использование ИМ или неверную трактовку его результатов.
14.
Важно заложить основу для уверенности изготовителя АСВ в опыте и знаниях:
a)
испытательных групп, которые будут проводить внутреннюю оценку и
валидацию инструментария ИМ;
b)
испытательных групп, которые будут использовать валидированное
моделирование для проведения виртуальных испытаний с целью валидации АСВ.
15.
Таким образом, если ОЗ проводящей испытания группы находятся на
надлежащем уровне, то это повышает уровень достоверности ИМ и, следовательно,
его результатов за счет обеспечения учета человеческих факторов, лежащих в основе
118
GE.24-06854
ECE/TRANS/WP.29/2024/39
деятельности по ИМ, и возможности контроля рисков, связанных с человеческим
аспектом деятельности, посредством его системы управления.
16.
Если набор инструментальных средств изготовителя АСВ включает в себя
входные параметры, полученные от организаций или продуктов, не входящих в
собственную испытательную группу изготовителя, или основывается на них,
то изготовителю АСВ рекомендуется предоставить разъяснение в отношении мер,
которые он принял для управления своей уверенностью в качестве и полноте этих
входных параметров и для повышения этой уверенности.
17.
Опыт и знания проводящей испытания группы включают в себя два аспекта.
a)
Уровень организации
Достоверность устанавливается путем создания процессов и процедур,
предназначенных для выявления и поддержания навыков, знаний и опыта в области
деятельности по ИМ. Необходимо внедрить, поддерживать и документировать
следующие процессы:
i)
процесс определения и оценки компетентности и навыков того или иного
лица;
ii)
процесс подготовки компетентных
обязанностей, связанных с ИМ.
b)
Уровень группы
сотрудников
для
выполнения
После завершения разработки инструментария его достоверность в основном
определяется навыками и знаниями групп, которые будут сперва валидировать ИМ,
а затем использовать его для валидации АСВ. Достоверность устанавливается путем
документального подтверждения того, что эти группы прошли соответствующую
профессиональную подготовку для выполнения своих обязанностей.
18.
Затем изготовителю АСВ следует:
a)
обеспечить основу для уверенности изготовителя АСВ в опыте и знаниях
лица/группы, которое(ая) валидирует инструментарий ИМ;
b)
обеспечить основу для уверенности изготовителя АСВ в опыте и знаниях
лица/группы, которое(ая) использует моделирование для проведения виртуальных
испытаний в целях валидации АСВ.
19.
Необходимую основу для такого определения обеспечит демонстрация
изготовителем АСВ применения принципов своих систем управления, например
стандарта ISO 9001, или аналогичной передовой практики либо стандарта в
отношении компетентности своей организации ИМ и отдельных сотрудников этой
организации. Эксперту по оценке рекомендуется не заменять своим суждением
суждение изготовителя АСВ в отношении опыта и знаний организации или ее
сотрудников.
3.
Источник происхождения данных/входных параметров
20.
Важное значение отводится источнику происхождения, а также
прослеживаемости данных и входных параметров, используемых при валидации ИМ.
Изготовителю надлежит вести соответствующие учетные записи, позволяющие
эксперту по оценке проверить качество и пригодность таких данных и параметров.
a)
Описание данных, используемых для валидации ИМ
i)
Изготовителю АСВ следует документировать данные, используемые для
валидации моделей, которые включены в инструмент или инструментарий, и отмечать
важные качественные характеристики;
ii)
изготовителю
АСВ
следует
представить
документацию,
подтверждающую, что данные, используемые для валидации моделей, охватывают
GE.24-06854
119
ECE/TRANS/WP.29/2024/39
предполагаемые функциональные
предназначен инструментарий;
возможности,
для
виртуализации
которых
iii)
изготовителю АСВ следует документировать процедуры калибровки,
используемые для подгонки параметров виртуальных моделей к собранным входным
данным.
b)
Влияние качества данных (включая охват данных, соотношение сигнал/шум
и погрешность/смещение/частоту дискретизации датчиков) на погрешность
параметров модели
Качество данных, используемых для разработки модели, будет влиять на
предварительную оценку и калибровку параметров модели. Погрешность в
параметрах модели будет еще одним важным аспектом при окончательном анализе
погрешности.
4.
Источник происхождения данных/выходных параметров
21.
Важное значение имеет источник происхождения выходных данных.
Изготовителю надлежит вести учет выходных данных инструментария ИМ и
обеспечивать их прослеживаемость до входных данных и набора инструментальных
средств ИМ, из которых/с помощью которых их получают. Это станет частью
доказательной базы для валидации АСВ.
a)
Описание данных, генерируемых ИМ
a)
Изготовителю АСВ следует представить информацию о любых данных и
сценариях, использованных для валидации инструментария виртуальных испытаний.
b)
Изготовителю АСВ следует документировать экспортированные данные
и отмечать важные качественные характеристики, например путем использования
методик корреляции.
c)
Изготовителю АСВ следует прослеживать выходные данные ИМ вплоть
до соответствующей конфигурации процесса ИМ:
i)
ii)
B.
Влияние качества данных на достоверность ИМ
а)
Спектр выходных данных ИМ должен быть достаточным, чтобы
обеспечить правильное проведение валидации. Эти данные
должны в достаточной степени отражать ДШЭ, относящийся к
виртуальной оценке АСВ.
b)
Выходные
данные
должны
позволять
проверять
корректность/исправность виртуальных моделей, возможно,
посредством использования избыточной информации.
Управление стохастическими моделями
а)
Стохастические модели следует характеризовать с точки зрения их
расхождения.
b)
Использование стохастических моделей не должно исключать
возможность детерминированного повторного выполнения.
Анализ и описание ИМ
22.
Анализ и описание ИМ направлены на определение всего инструментария и
выявление массива параметров, которые можно оценить с помощью виртуальных
испытаний. Они позволяют определить сферу применения и ограничения моделей и
инструментов моделирования, а также источники погрешности, которые могут
повлиять на результаты ИМ.
120
GE.24-06854
ECE/TRANS/WP.29/2024/39
1.
Общее описание
23.
Изготовителю АСВ следует представить описание полного инструментария, а
также информацию о том, как данные ИМ будут использоваться для поддержки
стратегии валидации АСВ.
Изготовителю АСВ следует представить четкое описание цели испытания.
2.
Допущения, известные ограничения и источники погрешности
24.
Изготовителю АСВ следует обосновать допущения моделирования, на основе
которых был разработан набор инструментальных средств ИМ. Изготовителю АСВ
следует представить фактические данные, касающиеся:
a)
роли допущений,
ограничений инструментария;
b)
установленных
изготовителем,
в
определении
уровня достоверности, требуемого для имитационных моделей.
25.
Изготовителю АСВ следует представить обоснование того, что допуск на
корреляцию «ИМ — реальность» является приемлемым для цели испытания.
26.
Наконец, в этом разделе должна содержаться информация об источниках
погрешности в модели. Эта информация станет важным вкладом в окончательный
анализ погрешности, на основании которого будет определено, как различные
источники погрешности используемого набора инструментальных средств ИМ могут
повлиять на выходные данные, получаемые с помощью инструментария ИМ.
3.
Сфера применения (для чего нужна модель?) Она определяет, как ИМ
используется при валидации АСВ
27.
Доверие к виртуальному инструменту должно подкрепляться четко
определенной сферой использования разработанных наборов инструментальных
средств ИМ.
28.
Усовершенствованный процесс ИМ должен позволять виртуализировать
физические явления со степенью точности, соответствующей требуемому для
сертификации уровню достоверности. Таким образом, среда ИМ будет действовать
как «виртуальная испытательная площадка» для испытаний АСВ.
29.
Применительно к наборам инструментальных средств ИМ требуются
специальные сценарии и показатели для валидации. Выбор сценариев, используемых
для валидации, должен быть достаточным для обеспечения уверенности в том, что
инструментарий будет работать таким же образом и в сценариях, не входящих в сферу
охвата валидации.
30.
Изготовителям АСВ следует представить перечень сценариев валидации вместе
с указанием ограничений описания соответствующих параметров.
31.
Анализ ДШЭ является важнейшим компонентом для определения требований,
сферы применения и видов влияния, которые должны учитываться инструментарием
ИМ для поддержки валидации АСВ.
32.
Параметры, сформулированные для сценариев, будут определять внешние и
внутренние типы данных для инструментария и имитационных моделей.
4.
Оценка критичности
33.
Имитационные модели и средства имитационного моделирования,
используемые в общем наборе инструментальных средств, следует изучать с точки
зрения их последствий в случае ошибки безопасности в конечном продукте.
Предлагаемый подход к анализу критичности заимствован из стандарта ISO 26262,
который
требует
проведения
квалификационной
проверки
некоторых
инструментальных средств, используемых в процессе разработки. Для того чтобы
определить, насколько критичны смоделированные данные, при оценке критичности
учитываются следующие параметры:
GE.24-06854
121
ECE/TRANS/WP.29/2024/39
a)
ISO 26262;
b)
последствия для безопасности персонала, например классы опасности в
степень влияния результатов применения инструментария ИМ на АСВ.
34.
В нижеследующей таблице приведен пример матрицы оценки критичности для
демонстрации этого анализа. Изготовители АСВ могут скорректировать матрицу в
соответствии со своим конкретным вариантом использования.
Таблица 4
Матрица оценки критичности
Влияние
на АСВ
Значительное
Н/П
Умеренное
Незначительное
Ничтожное
Н/П
Ничтожное
Незначительное
Умеренное
Значительное
Последствие решения
35.
С точки зрения оценки критичности тремя возможными вариантами для оценки
являются следующие:
i)
модели или инструментальные средства, являющиеся
кандидатами на прохождение полной оценки достоверности;
явными
ii)
модели или инструментальные средства, которые могут быть или не быть
кандидатами на прохождение полной оценки достоверности по усмотрению
эксперта;
iii)
модели или инструментальные средства, от которых не требуется
прохождение оценки достоверности.
C.
Верификация
36.
Верификация ИМ связана с анализом правильности реализации
концептуальных/математических моделей, на основе которых создается и
составляется весь инструментарий. Верификация способствует повышению
достоверности ИМ, обеспечивая уверенность в том, что отдельные инструменты не
будут демонстрировать нереалистичное поведение для набора входных данных,
которые не могут быть проверены. Процедура основана на описанном ниже
многоступенчатом подходе, который включает в себя верификацию кода,
верификацию расчетов и анализ чувствительности.
1.
Верификация кода
37.
Верификация кода связана с выполнением тестирования, демонстрирующего,
что на виртуальные модели не влияют никакие численные/логические недостатки.
38.
Изготовителю АСВ следует документировать выполнение верификации кода с
использованием надлежащих методов, например статической/динамической
верификации кода, анализа конвергенции и сравнения с точными решениями, если это
применимо.
39.
Изготовителю АСВ следует представить документацию, демонстрирующую,
что спектр исследования области входных параметров был достаточно широким для
выявления комбинаций параметров, в отношении которых инструменты ИМ
демонстрируют неустойчивое или нереалистичное поведение. Для демонстрации
требуемого исследования поведения модели можно использовать показатели охвата
комбинаций параметров.
122
GE.24-06854
ECE/TRANS/WP.29/2024/39
40.
Изготовителю АСВ следует применять процедуры
исправность/корректность, если это позволяют данные.
2.
проверки
на
Верификация расчетов
41.
Верификация расчетов связана с оценкой численных ошибок, влияющих на ИМ.
Изготовителю АСВ следует документировать предварительные оценки численных
ошибок (например, ошибок дискретизации, ошибок округления, конвергенции
итеративных процессов). Численные ошибки должны быть достаточно
ограниченными, чтобы не влиять на валидацию.
3.
Анализ чувствительности
42.
Цель анализа чувствительности — количественная оценка воздействия
изменений входных значений модели на выходные значения модели, а также,
соответственно, выявление параметров, оказывающих наибольшее влияние на
результаты имитационного моделирования. Исследование чувствительности также
позволяет определить, в какой степени имитационная модель соответствует
пороговым значениям валидации при небольших изменениях параметров, поэтому оно
играет основополагающую роль в поддержке достоверности результатов
имитационного моделирования.
43.
Изготовителю АСВ следует представить подтверждающую документацию,
демонстрирующую, что наиболее критические параметры, влияющие на результаты
моделирования, были определены с помощью методов анализа чувствительности,
например путем возмущения параметров модели.
44.
Изготовителю АСВ следует продемонстрировать, что были внедрены надежные
процедуры калибровки, которые позволили выполнить выявление и калибровку
наиболее важных параметров, в результате чего повысилась достоверность
разработанного инструментария.
45.
Наконец, результаты анализа чувствительности также помогут определить
входные данные и параметры, характеристика погрешности которых требует особого
внимания, чтобы охарактеризовать погрешность результатов моделирования.
4.
Валидация
46.
Количественный процесс определения того, с какой степенью точности модель
или имитация описывает реальную систему с точки зрения предполагаемого
использования ИМ. При оценке действенности модели или имитации рекомендуется
учитывать нижеследующие аспекты.
a)
Критерии эффективности (показатели)
Критерии эффективности — это показатели, которые используются для
сравнения эффективности функционирования АСВ при виртуальных
испытаниях с реальными показателями ее эффективности. Критерии
эффективности определяются в ходе анализа ИМ. Показатели для валидации
могут включать:
i)
анализ дискретных значений,
обнаружения, скорости срабатывания;
ii)
например
коэффициента
изменение во времени, например положения, скорости, ускорения;
iii)
анализ изменения состояния, например расчеты расстояния/
скорости, расчет ВДС, начала торможения.
b)
Критерии точности приближения
Рамки анализа, используемые для сравнения показателей реальной системы и
показателей моделирования, которые обычно определяются как ключевые
показатели эффективности (КПЭ), указывающие на статистическую
сопоставимость двух наборов данных. Валидация должна продемонстрировать,
что эти КПЭ достигнуты.
GE.24-06854
123
ECE/TRANS/WP.29/2024/39
c)
Методология валидации
Изготовителю АСВ следует определить логические сценарии, используемые
для валидации набора инструментальных средств виртуальных испытаний.
Сценарии следует разрабатывать таким образом, чтобы они максимально
охватывали ДШЭ виртуальных испытаний для валидации АСВ. Точная
методика зависит от структуры и назначения набора инструментальных
средств. Валидация может включать один или нескольких нижеперечисленных
элементов:
i)
валидацию моделей подсистем, например моделей окружающих
условий (дорожная сеть, погодные условия, взаимодействие с
участниками дорожного движения), моделей датчиков (радиолокатор
(радар), лазерный локатор (лидар), камера), модели транспортного
средства (рулевое управление, торможение, трансмиссия);
ii)
валидацию системы транспортного средства (модель динамики
транспортного средства вместе с моделью окружающих условий);
iii)
валидацию системы обнаружения (модель датчика вместе с
моделью окружающих условий);
iv)
валидацию интегрированной системы (модель датчика + модель
окружающих условий с влиянием модели транспортного средства).
d)
Требование к точности
Требование к пороговому значению корреляции определяется в ходе анализа
ИМ. Валидация должна показать, что эти КПЭ достигнуты.
e)
Область валидации (какая часть набора инструментальных средств
подлежит валидации)
Инструментарий состоит из нескольких инструментальных средств, причем
каждое из них использует несколько моделей. В область валидации входят все
инструментальные средства и их соответствующие модели.
f)
Результаты внутренней валидации
Документация должна не только служить доказательством валидации ИМ, но и
содержать достаточный объем информации, которая связана с процессами и
продукцией и демонстрирует общую достоверность используемого
инструментария. Документы/результаты могут переноситься из предыдущих
оценок достоверности.
g)
Независимая валидация результатов
Эксперту по оценке следует проверить документацию, представленную
изготовителем; также он может провести испытания всего интегрированного
инструментального средства. Если результаты виртуальных испытаний
недостаточно точно повторяют результаты физических испытаний, эксперт
может потребовать повторного проведения виртуальных и/или физических
испытаний. Результаты испытаний анализируются, причем любые отклонения
в результатах подлежат рассмотрению совместно с изготовителем.
Для обоснования отклонения в результатах, вызванного конфигурацией
испытания, требуется достаточно убедительное объяснение.
h)
Характеристика погрешности
Этот раздел посвящен характеристике ожидаемой изменчивости результатов
инструментария виртуальных испытаний. Оценка должна состоять из двух
этапов. На первом этапе информация, собранная в разделах «Анализ и описание
ИМ» и «Источник происхождения данных/входных параметров», используется
для характеристики погрешности во входных данных, параметрах модели и
структуре моделирования. Затем, путем распространения всех погрешностей
через инструментарий виртуальных испытаний, количественно оценивается
погрешность результатов моделирования. В зависимости от погрешности
124
GE.24-06854
ECE/TRANS/WP.29/2024/39
результатов моделирования изготовителю АСВ необходимо будет ввести
соответствующие пределы безопасности при проведении виртуальных
испытаний в рамках валидации АСВ.
i)
Характеристика погрешности во входных данных
Изготовителю АСВ следует продемонстрировать, что он оценил
ключевые входные данные модели с помощью надежных методов, таких
как обеспечение многократных повторений их оценки.
ii)
Характеристика погрешности в параметрах модели (после
калибровки)
Изготовителю
АСВ
следует
продемонстрировать,
что
при
невозможности полноценного определения ключевых параметров
модели эти параметры характеризуются посредством распределения
и/или доверительных интервалов.
iii)
Характеристика погрешности в структуре ИМ
Изготовителю АСВ следует предоставить доказательства того, что
допущениям, принимаемым при моделировании, дана количественная
характеристика путем оценки полученной погрешности (например,
путем сравнения результатов различных подходов к моделированию,
когда это возможно).
iv)
Характеристика случайной
эпистемологической погрешностью
погрешности
в
сравнении
с
Изготовителю АСВ следует стремиться различать случайную
составляющую погрешности (которую можно только оценить, но не
уменьшить) и эпистемологическую погрешность, возникающую из-за
отсутствия знаний при виртуализации процесса.
GE.24-06854
125
ECE/TRANS/WP.29/2024/39
Приложение 5 — Добавление 2
Структура документации
1.
В настоящем добавлении будет определен порядок сбора вышеупомянутой
информации и ее организации в виде документации, представляемой изготовителем
АСВ соответствующему органу.
2.
Изготовителю АСВ следует подготовить документ («руководство по
моделированию»), структурированный в соответствии с настоящим планом, чтобы
предоставить фактические данные, касающиеся представленных тем.
3.
Документация должна представляться вместе с соответствующим выпуском
инструментария и надлежащими подкрепляющими данными.
4.
Изготовителю АСВ следует представить четкую ссылку, позволяющую
проследить документацию до соответствующих элементов инструментария и данных.
5.
Документацию следует вести на протяжении всего жизненного цикла
использования набора инструментальных средств. Эксперт по оценке может провести
проверку изготовителя АСВ путем оценки его документации и/или путем проведения
физических испытаний.
126
GE.24-06854
ECE/TRANS/WP.29/2024/39
Приложение 6
Испытания на треке и в реальных условиях
A.
Испытания на треке
1.
Испытания на треке проводятся на закрытой для доступа испытательной
площадке, где реальные препятствия и их заменители (например, мишени для
столкновения с транспортным средством) используются для оценки соответствия АСВ
требованиям безопасности (например, в отношении человеческого фактора, системы
безопасности). Такой подход к испытаниям позволяет проводить валидацию АСВ
физических транспортных средств с применением реалистичных сценариев путем
оценки либо подсистем, либо полностью собранной системы. Во время испытания
можно контролировать или измерять соответствующие входные данные и внешние
условия.
2.
Применение испытаний на треке целесообразно для оценки возможностей АСВ
с использованием штатных сценариев, критических сценариев и сценариев отказа.
Они также могут проводиться для проверки характеристик транспортных средств,
касающихся человеческого фактора или аварийных режимов при реализации
указанных сценариев. Вместе с тем работа на испытательных треках может быть
весьма ресурсоемкой.
3.
Рекомендуется:
a)
использовать испытания на треке для оценки характеристик АСВ с
выполнением определенного количества отобранных штатных сценариев,
критических сценариев и сценариев отказа высокой важности, особенно с учетом того,
что в отличие от испытаний в реальных условиях испытания на треке позволяют
ускорить наступление известных редких событий или реализацию критических с
точки зрения безопасности сценариев, и при этом проводятся в более контролируемой
и безопасной среде;
b)
проводить испытания на треке на такой испытательной площадке,
которая является частью ДШЭ данной АСВ либо надлежащим образом отражает его.
Сюда не входят испытания на треке, целью которых является оценка соответствия
требованиям, не связанным с ДШЭ или выходящим за его пределы, например, в случае
применимости, испытания на предмет проверки безопасного реагирования АСВ при
выходе за пределы ее ДШЭ;
c)
рассматривать испытание на дорогах общего пользования, закрытых для
других участников дорожного движения, в качестве испытания на треке;
d)
отражать в параметрах испытания изменчивость, характерную для
реальных условий, а не ограничивать их стандартными параметрами, стандартными
испытательными объектами и стандартными испытательными средами. Поэтому
параметры испытания должны выходить за рамки имеющихся стандартов, но
оставаться в пределах ДШЭ данной АСВ. Рекомендуется разработать согласованный
метод выбора параметров;
e)
в связи с подпунком d) — регистрировать используемое испытательное
оборудование, применяемую схему испытания, испытательную среду, а также
привнесенные в них изменения с такой степенью детализации, которая обеспечивает
возможность воспроизведения конкретного испытания;
f)
по возможности выбирать сценарии, подлежащие проигрыванию на
испытательном треке, с учетом ДШЭ. Условия испытания на треке должны
обеспечивать управляемость автомобилем и гарантировать возможность
использования в ходе физических испытаний тех конкретных параметров, которые
могут варьироваться в пределах ДШЭ;
GE.24-06854
127
ECE/TRANS/WP.29/2024/39
g)
проверку поведения АСВ по отношению к другим участникам дорожного
движения проводить на испытательном треке с использованием нескольких
сценариев;
h)
что касается человеческого фактора, то — в порядке обеспечения
безопасной эксплуатации АСВ — проверять взаимодействие «человек–машина» с
участием пользователя АСВ, причем в рамках различных сценариев;
i)
разработать применительно к испытанию на треке протокол,
содержащий минимальные требования, стандартизирующие порядок сбора и анализа
относящихся к испытанию данных (например, каким образом производится
регистрация данных, как на основе зарегистрированных данных проводятся измерения
и как анализируются результаты измерений);
j)
разрабатывать испытания на треке в соответствии с подходом,
изложенным в добавлении к настоящему приложению.
4.
Признается, что критерии прохождения/непрохождения зависят от конкретного
сценария испытания, ну а выбор сценариев зависит от ДШЭ испытуемой АСВ. Кроме
того, признается, что часть требуемых критериев прохождения/непрохождения пока
еще отсутствует, и их — либо некоторые методы выведения таких критериев — все
еще предстоит разработать, а отдельные из них могут оставаться субъективными.
5.
Поскольку на испытательных треках проведение оценки в густонаселенных
районах может оказаться затруднительным, рекомендуется проводить такие оценки
при испытаниях в реальных условиях. Такими оценками не должны охватываться
критические с точки зрения безопасности сценарии.
6.
Информацию, полученную в ходе испытаний на треке, можно использовать в
качестве дополнительных данных для валидации виртуальных испытаний
посредством сравнения характеристик АСВ по результатам виртуальных испытаний и
испытаний на треке при реализации одних и тех же сценариев. К примеру, испытания
на треке могут использоваться в качестве дополнительного инструмента/метода для
валидации качества/надежности инструментария виртуальных испытаний.
B.
Испытания в реальных условиях
7.
Испытания в реальных условиях проводятся на дорогах общего пользования в
целях проверки в условиях реального дорожного движения возможностей
транспортного средства, оснащенного автоматизированной системой вождения
(АСВ), и его соответствия требованиям безопасности (например, в отношении
человеческого фактора, системы безопасности). Таким образом, они позволяют
проводить валидацию безопасности АСВ в реальных условиях эксплуатации.
8.
Признается, что и при испытаниях в реальных условиях критерии
прохождения/непрохождения зависят от конкретных вероятностных сценариев
испытания, ну а предварительный выбор сценариев зависит от ДШЭ испытуемой АСВ.
Кроме того, признается, что часть требуемых критериев прохождения/непрохождения
пока еще отсутствует, и их — либо некоторые методы выведения таких критериев —
все еще предстоит разработать, а отдельные из них могут оставаться субъективными.
9.
Испытания в реальных условиях рекомендуется:
a)
проводить с оценкой АСВ по штатным сценариям. Признается, что в ходе
испытаний в реальных условиях, возможно, придется сталкиваться с критическими
сценариями и/или сценариями отказа, однако их, как правило, не следует проигрывать
специально. В случае возникновения такого сценария его не следует исключать из
оценки;
b)
проводить безопасным образом. Поэтому рекомендуется, если это
применимо к варианту использования АСВ, чтобы инспектор по контролю за
проведением испытаний имел возможность в любой момент завершить испытание в
реальных условиях. Кроме того, также рекомендуется проводить впоследствии
128
GE.24-06854
ECE/TRANS/WP.29/2024/39
обстоятельный анализ любого выявленного ненадлежащего поведения и/или причины
вынужденного прекращения испытания;
c)
проводить только при наличии возможности обеспечить хотя бы
минимальный уровень безопасности других участников дорожного движения на
дорогах общего пользования и находящихся в транспортном средстве пользователей
АСВ с учетом методов валидации имитационного моделирования, итогов контрольной
проверки и испытания на треке, а также результатов проведенного изготовителем
предварительного испытания АСВ в реальных условиях;
d)
всегда проводить при наличии других участников дорожного движения.
Испытания на дорогах общего пользования, закрытых для движения других
транспортных средств, надлежит рассматривать как испытания на треке;
e)
рассмотреть на предмет использования для оценки характеристик АСВ
по таким аспектам, которые связаны с ее способностью осуществлять управление
транспортным средством в условиях реального дорожного движения, например:
i)
поведенческие характеристики;
ii)
взаимодействие с другими участниками дорожного движения;
iii)
безопасное и упреждающее поведение;
iv)
плавность движения;
v)
способность функционировать в условиях плотного потока;
vi)
поддержание движения в потоке; и
vii)
проявление уважения и
транспортным средствам;
вежливости
по
отношению
к
другим
f)
рассмотреть на предмет использования для оценки характеристик АСВ в
некоторых пограничных ДШЭ (в штатных и сложных сценариях), например для
выяснения того, направляет ли система водителю запросы на передачу управления в
тех случаях, когда она должна это делать (в частности, при выходе из ДШЭ или при
определенных погодных условиях). Те же испытания можно проводить для
верификации в этих условиях характеристик, связанных с человеческим фактором;
g)
рассмотреть на предмет использования для выявления проблем, которые
могут с трудом поддаваться анализу при испытаниях на треке и моделировании, таких
как ограничение качества восприятия (например, из-за условий освещения, дождя и
т. д.);
h)
рассмотреть на предмет использования для оценки аспектов, связанных
с человеческим фактором, таких как деактивация по запросу пользователя,
деактивация по команде системы (не приводящая к состоянию минимального риска) и
слышимость сообщений в реальных условиях, если это применимо к АСВ.
10.
Кроме того, рекомендуется:
a)
чтобы окружающие условия и состояние выбранных маршрутов
испытаний отражали параметры, предусмотренные применимым ДШЭ. Кроме того,
выбранные
маршруты
испытаний
должны
обеспечивать
намечаемое
функционирование испытуемой АСВ в рамках сложных сценариев;
b)
разрабатывать испытания в реальных условиях в соответствии с
подходом, изложенным в добавлении к настоящему приложению;
c)
разработать применительно к испытанию в реальных условиях протокол,
содержащий минимальные требования, стандартизирующие порядок сбора и анализа
относящихся к испытанию данных (например, каким образом производится
регистрация данных, как на основе зарегистрированных данных проводятся измерения
и как анализируются результаты измерений).
11.
Хотя АСВ предназначена для выполнения ДЗУ только в условиях,
предусмотренных ее ДШЭ, при проведении испытаний в реальных условиях на
GE.24-06854
129
ECE/TRANS/WP.29/2024/39
дорогах общего пользования рекомендуется оценивать работу АСВ как в пределах, так
и за пределами ее ДШЭ (например, для определения способности АСВ обеспечивать
надлежащее распознавание и реагирование за пределами ее ДШЭ).
12.
Несмотря на то, что в ходе испытаний в реальных условиях невозможно
проверить все сценарии дорожного движения, вероятность охвата отдельных сложных
сценариев можно повысить путем выбора определенного типа ДШЭ (например,
автомагистрали) и анализа времени и места обычного наблюдения определенных
элементов (например, движения с высокой или низкой плотностью потока).
13.
Отдельные нарушения, выявленные в ходе испытаний в реальных условиях,
могут быть изучены и/или оценены путем анализа данных, собранных в ходе этих
испытаний, и любых данных, собранных в ходе дополнительных виртуальных
испытаний, испытаний на треке и испытаний в реальных условиях.
14.
Данные, полученные в ходе испытаний в реальных условиях, могут
использоваться в качестве дополнительных данных для валидации правильности
моделирования части среды для виртуальных испытаний и/или испытаний на треке
посредством сравнения характеристик АСВ по результатам имитационного
моделирования и испытаний на треке с характеристиками АСВ в реальных условиях
при реализации одного и того же сценария испытания.
15.
Кроме того, данный метод может использоваться для поддержки разработки
новых сценариев дорожного движения для виртуальных испытаний и испытаний на
треке, позволяя таким образом выявлять пограничные случаи и другие
непредвиденные опасные ситуации, которые могут представлять проблему для АСВ.
16.
Информация, полученная в ходе испытаний в реальных условиях, также может
использоваться для поддержки усовершенствований в области анализа опасностей и
рисков и в области проектирования АСВ.
130
GE.24-06854
ECE/TRANS/WP.29/2024/39
Приложение 6 — Добавление
А.
Введение
1.
Как продемонстрировал обзор передовой практики, процедур, технических
ресурсов и инструментов, связанных с испытаниями на треке и испытаниями в
реальных условиях, для оценки безопасности транспортных средств с
автоматизированными системами вождения (например, АСУП) и особенно с
усовершенствованными системами помощи водителю разработаны и используются
многочисленные процедуры и стандарты испытаний на треке, которые могут
послужить исходным материалом для разрабатываемой методологии испытаний на
треке. Кроме того, в обзоре было продемонстрировано, что процедура испытаний для
оценки безопасности транспортных средств с автоматизированными системами
вождения на дорогах общего пользования еще не разработана, а большинство
имеющейся документации касается руководства или технических требований в
отношении испытаний (т. е. проверки) таких транспортных средств, проводимых ИОО
на этапах разработки их систем, или испытания водителей-людей.
2.
В настоящем добавлении предлагаются матрицы испытаний, подкрепляющие
испытания АСВ и транспортных средств с АСВ на треке и в реальных условиях.
В рамках данного подхода рекомендуется использование одной общей матрицы для
физических испытаний, а также матриц испытаний, разработанных соответственно
для испытаний на треке и в реальных условиях.
3.
Общая матрица для физических испытаний дает представление о том, как
требования к безопасности АСВ можно оценить с помощью испытаний на треке,
испытаний в реальных условиях или обоих видов испытаний. Матрицы для испытаний
на треке и в реальных условиях будут отличаться по структуре, чтобы учесть
различные условия проведения испытаний, а также обеспечить использование
сильных сторон каждого метода испытаний.
4.
Матрицы испытаний, содержащиеся в настоящем приложении, приводятся для
наглядности и включают скорее ориентировочные, нежели окончательные критерии.
5.
Важно отметить, что АСВ предназначена для выполнения ДЗУ только в
условиях, предусмотренных ее ДШЭ. Поэтому испытания на треке следует проводить
на такой испытательной площадке, которая является частью ДШЭ данной АСВ либо
надлежащим образом отражает его. При проведении же испытаний в реальных
условиях на дорогах общего пользования оценивать работу АСВ можно как в
пределах, так и за пределами ее ДШЭ (например, для определения способности АСВ
обеспечивать надлежащее распознавание и реагирование за пределами ее ДШЭ).
B.
Общая матрица для физических испытаний
6.
Общая матрица обеспечит четкое представление о типе или типах физических
испытаний, которые будут использоваться для оценки соответствия применимым
требованиям безопасности. В нижеследующей таблице проиллюстрирована
концепция перечисления требований наряду с указанием того, могут ли испытания на
треке и/или испытания в реальных условиях быть пригодны для оценки соответствия
им. Перечисленные требования являются ориентировочными и будут заменены
проверяемыми критериями, определенными для подвергаемых оценке АСВ (подход к
определению этих критериев на основе высокоуровневых требований к безопасности
АСВ см. в приложении 3).
GE.24-06854
131
ECE/TRANS/WP.29/2024/39
Таблица 1
Пример общей матрицы для физических испытаний
Испытания
на треке
Испытания в
реальных условиях
1. АСВ должна полноценно выполнить динамическую задачу
управления
Да
Да
2. АСВ должна управлять продольным и поперечным
перемещением транспортного средства
Да
Да
Да
При
возникновении
Требование к безопасности АСВ
(…)
7. АСВ должна адаптировать свое поведение к имеющимся
рискам для безопасности
8. АСВ должна адаптировать свое поведение к окружающим
условиям дорожного движения
Да
(…)
30. АСВ должна безопасно управлять кратковременными
выходами из ДШЭ
Да
Да
31. После столкновения АСВ должна остановить
транспортное средство и отключиться
Да
При
возникновении
(…)
7.
Словосочетание «при возникновении», используемое в приведенной выше
таблице, указывает, что испытание в реальных условиях не будет направлено на
оценку конкретного требования, однако оценка будет проведена, если
соответствующее событие возникнет в ходе испытания. Некоторые ситуации на
дорогах общего пользования явно нежелательны с точки зрения безопасности. Однако,
поскольку в ходе испытаний в реальных условиях неминуемо появляются
неконтролируемые параметры, критические дорожные ситуации могут произойти
спонтанно, и в этом случае следует оценить эффективность выполнения конкретного
требования. Следует также учитывать безопасность при испытаниях на дорогах
общего пользования, и эксперту по оценке либо водителю в случае необходимости
следует взять на себя выполнение задачи управления.
8.
Вместо слов «да» или «при возникновении» в структуре таблицы может
фигурировать дополнительная информация о предполагаемой(ых) задаче(ах)
испытания. Например:
Таблица 2
Пример альтернативной структуры общей матрицы
Требование к безопасности АСВ
АСВ должна безопасно
реагировать на внезапное
перестроение другого
транспортного средства в
полосу.
Испытания на треке
Испытания в реальных условиях
Проверка реакции функции
предотвращения аварий АСВ
на опасное внезапное
перестроение в полосу.
Номинальная проверка того,
что АСВ адаптирует
положение транспортного
средства в качестве реакции
на внезапное перестроение.
Проверка реакции функции
предотвращения аварий АСВ
на опасное внезапное
перестроение в полосу, при
его возникновении.
132
GE.24-06854
ECE/TRANS/WP.29/2024/39
Матрица испытаний на треке
C.
9.
В нижеследующей таблице проиллюстрирован подход, в рамках которого
сценарии движения, требования к эффективности и характеристики испытаний
сведены в матрицу для проведения испытаний на треке. В столбце «Сценарий» будут
даны перекрестные ссылки на испытание и сценарий, на котором основано это
испытание и который охватывает дорожную ситуацию, элементы инфраструктуры,
объекты, элементы ДШЭ и т. д. В столбце «Требование(я) к безопасности» будут
приведены перекрестные ссылки на применимые требования безопасности,
установленные в привязке к эффективности выполнения АСВ данного сценария.
В столбце «Дополнительные характеристики испытания» можно указать условия или
параметры, которые не были изложены ни в сценарии дорожного движения, ни в
требовании(ях) к безопасности, но необходимы для проведения испытания на треке
(например, минимальная продолжительность испытания).
Таблица 3
Пример матрицы испытаний на треке
Сценарий дорожного
движения
Требование(я) к
безопасности
Дополнительные
характеристики
испытания
Принятие
Беспрепятственное безопасного
Продолжительность
движение по
поперечного
испытания не менее
прямой траектории положения на полосе 5 минут
движения
Принятие
безопасного
поперечного
Продолжительность
Беспрепятственный
положения на полосе испытания не менее
проезд по кривой
движения
5 минут
Адаптация к
дорожным условиям
Внезапное
перестроение в
полосу другого
транспортного
средства при
движении по
прямой траектории
1
GE.24-06854
Безопасная реакция
на внезапное
перестроение
Принятие
безопасного
продольного
положения
относительно
идущего впереди
транспортного
средства
Сценарий с
выбранными
параметрами для
проверки реакции
функции
предотвращения аварий
АСВ на опасное
внезапное перестроение
в соответствии с
требованиями
безопасности1
Характеристика оценки
Испытание должно подтвердить,
что АСВ не позволяет выходить за
пределы своей полосы движения и
сохраняет устойчивое положение
испытуемого транспортного средства
внутри своей полосы движения во
всем диапазоне скоростей в пределах
граничных возможностей системы
Испытание должно
продемонстрировать, что АСВ не
позволяет выходить за пределы
своей полосы движения и сохраняет
устойчивое положение испытуемого
транспортного средства внутри своей
полосы движения во всем диапазоне
скоростей и при различной кривизне
в пределах граничных возможностей
системы
Испытание должно
продемонстрировать, что АСВ
способна избежать столкновения с
транспортным средством, внезапно
перестраивающимся в полосу
движения транспортного средства
с АСВ, до определенной степени
критичности такого маневра
Включение этой проверки предполагает, что сценарий дорожного движения не предписывает
диапазон параметров, которые должны быть выбраны при возникновении критической для
безопасности ситуации. Если бы она была включена в сценарий, это поле могло бы быть
пустым.
133
ECE/TRANS/WP.29/2024/39
Сценарий дорожного
движения
Требование(я) к
безопасности
Дополнительные
характеристики
испытания
Характеристика оценки
Обнаружение АСВ
границы ДШЭ
Сценарий выхода
из ДШЭ
Автоматизированная
реакция (при
отсутствии реакции
резервного
пользователя или
отсутствии
резервного
пользователя)
Испытание на
отсутствие реакции
резервного
пользователя
Испытание должно
продемонстрировать, что АСВ
способна выполнить безопасную
остановку транспортного средства
при отсутствии реакции резервного
пользователя
Матрица испытаний в реальных условиях
D.
10.
В нижеследующей таблице проиллюстрирован подход, в рамках которого
требования к эффективности и дорожные ситуации сведены в матрицу для проведения
испытаний в реальных условиях. В столбце «Требования к безопасности»
указывается(ются) проверяемое(ые) требование(я) к эффективности.
11.
В верхних строках с правой стороны описаны дорожные ситуации, которые
должны возникнуть в ходе испытаний в реальных условиях. В матрице намеренно
используется термин «дорожная ситуация», а не «сценарий дорожного движения»,
поскольку реальным движением невозможно управлять до такой степени, чтобы во
всех случаях воспроизводить заранее определенные сценарии. Предполагаемые
описания ситуаций будут достаточно общими, чтобы обеспечить крайне высокую
вероятность их возникновения во время испытания в реальных условиях. Поэтому
маршрут(ы) испытаний следует разработать таким образом, чтобы АСВ в пределах ее
ДШЭ попадала в ситуации, в которых она может продемонстрировать соответствие
требованиям безопасности.
12.
В остальных полях матрицы описываются поведенческие характеристики,
определенные для дорожных ситуаций, которые перечислены в приложении 3.
В описании каждой поведенческой характеристики кратко, одним предложением,
излагаются желаемые показатели, тогда как более подробное описание при
необходимости должно быть изложено в протоколах испытаний, сопровождающих
матрицу испытаний. Поведенческие характеристики соответствуют требованию(ям)
безопасности, применимому(ым) к каждой дорожной ситуации.
13.
Как уже отмечалось в разделе «Общая матрица», матрица испытаний в
реальных условиях позволяет проводить оценки ситуаций вида «при возникновении»
в двух возможных случаях. Во-первых, оценку требований безопасности,
соответствующих ситуациям, которые нежелательно проверять на дорогах общего
пользования, но которые, тем не менее, могут возникнуть 2. Во-вторых, оценку
требований безопасности (при штатных условиях дорожного движения),
соответствующих ситуациям, которые нельзя гарантировать (и, следовательно,
требовать) в ходе испытаний в реальных условиях, но которые могут возникнуть.
14.
В качестве иллюстрации первого варианта можно привести пример строки 2.1
таблицы, касающейся безопасного реагирования на внезапное перестроение в полосу.
Требованием является оценка реакции АСВ на (штатное) внезапное перестроение
другого транспортного средства в полосу во время испытаний в реальных условиях.
Реакцию АСВ на опасное внезапное перестроение можно оценить только в том случае,
если оно произойдет в ходе испытаний в реальных условиях, о чем свидетельствует
добавление формулировки «если применимо».
2
134
У эксперта должна быть возможность прервать испытание на дорогах общего пользования,
если ситуация станет опасной.
GE.24-06854
ECE/TRANS/WP.29/2024/39
15.
В качестве иллюстрации второго варианта можно также привести пример
строки 2.1 таблицы, касающейся безопасного реагирования на (штатное) внезапное
перестроение в полосу. Такая ситуация вероятно, но не гарантированно возникает в
ходе любой дорожной ситуации или, возможно, даже всех дорожных ситуаций,
перечисленных в верхней строке таблицы. При возникновении ее следует оценить.
16.
Аспекты,
связанные
с
маршрутизацией
(например,
минимальная
продолжительность, минимальная частота возникновения той или иной дорожной
ситуации во время испытаний и т. д.), будут изложены в сопроводительных
протоколах испытаний.
GE.24-06854
135
Дорожные ситуации
Требования к
безопасности
Движение по автомагистрали
Встраивание в поток
Смена полосы движения
Обгон
Съезд с
автомагистрали
1.1 Принятие
безопасного
поперечного
положения на
полосе движения
АСВ демонстрирует, что
транспортное средство не выходит
за пределы своей полосы движения,
и сохраняет устойчивое положение
испытуемого транспортного средства
внутри своей полосы движения во
всем диапазоне скоростей в пределах
граничных возможностей системы
АСВ демонстрирует
достижение стабильного
положения внутри целевой
полосы после завершения
процедуры смены полосы
движения
АСВ демонстрирует стабильное
положение внутри целевой полосы
после завершения процедуры смены
полосы движения
АСВ демонстрирует
достижение
стабильного
положения внутри
целевой полосы
после завершения
процедуры смены
полосы движения
АСВ
демонстрирует
сохранение
стабильного
положения на
полосе съезда с
автомагистрали
2.1 Безопасное
реагирование на
внезапное
перестроение
другого
транспортного
средства в полосу
АСВ адаптирует положение
транспортного средства, реагируя на
(штатное) внезапное перестроение.
2.2 Принятие
безопасного
продольного
положения
относительно
идущего впереди
транспортного
средства
АСВ демонстрирует сохранение
безопасного продольного положения
относительно идущего впереди
транспортного средства
АСВ демонстрирует
сохранение безопасного
продольного положения
относительно идущего
впереди транспортного
средства во время и после
завершения процедуры
смены полосы движения
АСВ демонстрирует сохранение
безопасного продольного положения
относительно идущего впереди
транспортного средства до и во время
смены полосы движения
АСВ демонстрирует
сохранение
безопасного
продольного
положения
относительно
АСВ демонстрирует сохранение
безопасного продольного положения идущего впереди
транспортного
относительно идущего впереди
средства до и во
транспортного средства после
завершения процедуры смены полосы время смены полосы
движения
движения, если применимо
АСВ
демонстрирует
сохранение
безопасного
продольного
положения
относительно
идущего впереди
транспортного
средства, если
применимо
АСВ надлежащим образом1 реагирует
на опасное внезапное перестроение,
если это применимо2
GE.24-06854
Содержание понятия «надлежащая реакция» будет впоследствии изложено в протоколах испытаний, которые сопровождают матрицу испытаний и
поступают от НРГ по ФРАВ.
2 Предстоит определить, следует ли включать ситуации вида «при возникновении» в саму матрицу. В эту часть таблицы, равно как и в другие части, они
включены в качестве иллюстрации.
1
ECE/TRANS/WP.29/2024/39
136
Таблица 4
Пример матрицы испытаний в реальных условиях: применение на автомагистрали
ECE/TRANS/WP.29/2024/39
Приложение 7
МПДЭ и матричная таблица требований к безопасности
1.
В приведенной ниже матричной таблице указано, какие требования подходят
для деятельности по МПДЭ.
2.
Эта таблица призвана послужить для изготовителя и компетентных органов
руководящим указанием в отношении мониторинга работы АСВ.
3.
Для обозначения относительной применимости компонентов в таблице
используется цветовая схема «бледно-желтый — светло-розовый — красный».
• Бледно-желтым цветом выделены компоненты, которые широко применимые к
требованиям и в рамках мониторингу поддается большинство аспектов
требований.
• Светло-розовым
цветом
выделены
применимостью к требованиям.
компоненты
с
ограниченной
• Красным цветом выделены компоненты, в основном не применимые к
требованиям.
4.
Если компонент отмечен зеленым цветом, то применение компонента,
связанного с МПДЭ, не обязательно означает полный мониторинг требования;
возможно, речь идет о том или ином его аспекте.
5.
Хотя в настоящее время некоторые компоненты оцениваются как имеющие
ограниченную применимость (светло-розовый или красный цвет), в будущем —
по мере технологического прогресса — эта оценка может измениться.
Требования
Примечания
Выполнение ДЗУ средствами АСВ при штатных сценариях дорожного движения
АСВ должна управлять транспортным
средством на безопасной скорости
1) мониторинг возможен, но трудно
определить, что является безопасной
скоростью;
2) соблюдение ограничений скорости
подходит для периодической отчетности.
Тем не менее отчетность по нему
затруднена, поскольку для ее составления
могут потребоваться данные из других
источников
АСВ должна поддерживать надлежащее
расстояние до других участников дорожного
движения, управляя продольным и
поперечным перемещением транспортного
средства
Мониторинг надлежащего расстояния
возможен с помощью показателей
эффективности в плане безопасности (ПЭБ)
(например, относящихся к продольному и
поперечному расстоянию)
АСВ должна адаптировать свой режим
вождения к окружающим условиям
дорожного движения (например, избегать
нарушения транспортного потока)
Мониторинг возможен в отношении простых
кинематических или аналогичных
показателей (например, ВДС, ВИ)
АСВ должна адаптировать свой режим
Мониторинг возможен в отношении простых
вождения с учетом имеющихся рисков для
кинематических и аналогичных показателей
безопасности (например, уделять наибольшее (например, ВДС, ВИ)
внимание всем участникам дорожного
движения и пассажирам)
GE.24-06854
137
ECE/TRANS/WP.29/2024/39
Требования
Примечания
АСВ должна обнаруживать объекты и
Мониторинг возможен с помощью ПЭБ
события, имеющие отношение к выполнению (например, времени реакции в рамках ОРОС).
ею ДЗУ, и реагировать на них
Неспособность реагировать в рамках ОРОС
может быть предметом оперативной
отчетности (т. е. охватываться требованиями,
относящимися к РДС)
АСВ должна обнаруживать движущиеся
транспортные средства, имеющие
преимущественное право проезда, и
реагировать на них, согласно
соответствующим правилам дорожного
движения
Могут сложиться обстоятельства, при
которых АСВ неспособна обнаружить
автомобиль экстренных служб и,
следовательно, не имеет возможности
выполнять мониторинг этого события. В этом
случае для мониторинга события и передачи
данных о нем необходимы данные третьих
сторон.
Примечание: это может быть условием
задействования СХДАВ
При штатных сценариях движения режим
вождения АСВ не должен вынуждать других
участников дорожного движения выполнять
маневры уклонения во избежание
столкновения с транспортным средством с
АСВ
Могут сложиться обстоятельства, при
которых АСВ неспособна обнаружить
автомобиль экстренных служб и,
следовательно, не имеет возможности
выполнять мониторинг этого события. В этом
случае для мониторинга события и передачи
данных о нем необходимы данные третьих
сторон
При штатных сценариях дорожного движения 1) необходим мониторинг;
режим вождения АСВ не должен приводить к 2) оперативная отчетность в случае
столкновению
столкновений, относящихся к категории
критических происшествий;
3) периодическая отчетность по
агрегированным показателям.
Примечание: любое столкновение требует
надлежащего расследования для выявления
основной причины
АСВ должна соблюдать правила дорожного
движения в соответствии с действующим
законодательством в районе эксплуатации
Бывают ситуации, когда для контроля
соблюдения правил дорожного движения
требуются данные третьих сторон
АСВ должна обеспечивать безопасное
взаимодействие с другими участниками
дорожного движения
Мониторинг возможен с помощью
специальных ПЭБ
АСВ должна по возможности избегать
столкновений с объектами, имеющими
отношение к безопасности
Мониторинг возможен с помощью
специальных ПЭБ
АСВ должна предупреждать о
предполагаемом изменении направления
движения
Мониторинг возможен, но это требование к
световой сигнализации, относящееся главным
образом к разряду конструкционных
АСВ должна предупреждать о своем
функционировании в соответствии с
национальными предписаниями
Мониторинг возможен, но это требование к
световой сигнализации, относящееся главным
образом к разряду конструкционных
По требованию пассажира АСВ должна
обеспечить безопасную остановку
транспортного средства
Мониторинг возможен
Выполнение ДЗУ средствами АСВ при критических сценариях дорожного движения
С целью свести общий риск к минимуму
требования к выполнению ДЗУ,
предъявляемые при штатных сценариях,
138
GE.24-06854
ECE/TRANS/WP.29/2024/39
Требования
Примечания
должны — в той мере, в какой это
практически осуществимо в конкретных
обстоятельствах, — также применяться и при
критических сценариях
В случае столкновения АСВ должна
обеспечить остановку транспортного
средства с переводом в состояние
минимального риска и/или в соответствии с
применимыми правилами дорожного
движения
1) необходим мониторинг;
АСВ не должна возобновлять движение до
тех пор, пока не будет подтверждено
безопасное рабочее состояние оснащенного
ею транспортного средства
1) мониторинг возможен. Однако с помощью
мониторинга возможна только
самодиагностика, осуществляемая самим
транспортным средством с АСВ. Может
потребоваться информация от третьих
сторон;
2) о поведении после столкновения
надлежит сообщать в рамках оперативной
отчетности
2) о поведении после столкновения надлежит
сообщать в рамках оперативной
отчетности
АСВ может возобновить движение, если это
допустимо в соответствии применимым(и)
правилом(ами) дорожного движения и
другими соображениями безопасности
1) мониторинг возможен;
2) о поведении после столкновения
необходимо сообщать в рамках
оперативной отчетности
Выполнение ДЗУ средствами АСВ при сценариях отказа
С целью свести общий риск к минимуму
требования к выполнению ДЗУ,
предъявляемые при штатных сценариях,
должны — в той мере, в какой это
практически осуществимо в конкретных
обстоятельствах, — также применяться и при
критических сценариях
АСВ должна обнаруживать неисправности,
1) необходим мониторинг;
сбои и аномалии, которые ставят под угрозу 2) о неисправностях АСВ надлежит
ее способность полноценно выполнять ДЗУ в
сообщать в рамках периодической
пределах ДШЭ ее функции(й) в соответствии
отчетности
с документацией изготовителя
АСВ может продолжать работу при наличии
неисправностей, которые не препятствуют
соблюдению предъявляемых к АСВ
требований в плане безопасности
1) мониторинг возможен;
2) о неисправностях АСВ надлежит
сообщать в рамках периодической
отчетности, однако в их отношении
отсутствует специальное положение,
касающееся передачи данных о штатной
работе в условиях неисправности
В качестве реакции на неисправность АСВ
1) мониторинг возможен;
может разрешить активацию и использование 2) о неисправностях АСВ надлежит
затронутой этой неисправностью функции
сообщать в рамках периодической
при условии, что АСВ продолжает
отчетности, однако в их отношении
обеспечивать функционал, необходимый для
отсутствует специальное положение,
полноценного выполнения ДЗУ
касающееся передачи данных о работе в
условиях неисправности
АСВ должна адаптировать порядок
выполнения ДЗУ с учетом серьезности
неисправности в целях обеспечения
безопасности дорожного движения
GE.24-06854
Мониторинг возможен
139
ECE/TRANS/WP.29/2024/39
Требования
Примечания
АСВ должна запрещать активацию той или
Мониторинг в определенной степени
иной функции при наличии в АСВ
возможен
функционального сбоя, ставящего под угрозу
способность системы полноценно выполнять
ДЗУ в пределах ДШЭ данной функции
Эксплуатация АСВ с ограниченной
1) мониторинг возможен;
работоспособностью должна соответствовать 2) действуют те же соображения
обычно применяемым требованиям
относительно «обычно применяемых
безопасности
требований»
По требованию властей должна быть
предусмотрена возможность дистанционного
прекращения изготовителем и/или
оператором перевозок работы одной или
нескольких АСВ или ее (их) функции(й)
1) мониторинг возможен, но требование
относится главным образом к разряду
конструкционных;
Дистанционное прекращение работы АСВ,
выполняющей ДЗУ, должно быть способно
вызывать реакцию АСВ на сбой
1) мониторинг возможен;
Дистанционное прекращение работы АСВ
либо функции(й) АСВ должно приводить к
невозможности их активации пользователем
1) мониторинг возможен, но требование
относится главным образом к разряду
конструкционных;
2) дистанционное прекращение работы
теоретически может стать событием,
подлежащим сообщению
2) дистанционное прекращение работы
теоретически может стать событием,
подлежащим сообщению
2) дистанционное прекращение работы
теоретически может стать событием,
подлежащим сообщению
Выполнение ДЗУ средствами АСВ в пограничных ДШЭ
АСВ должна распознавать условия и границы 1) необходим мониторинг в соответствии с
ДШЭ своей(их) функции(й) в соответствии с
разделом 8;
заявлением изготовителя
2) о работе АСВ за пределами ее ДШЭ
надлежит сообщать в рамках оперативной
отчетности, а также (посредством
агрегированных данных) в рамках
периодической отчетности в соответствии
с перечнем происшествий, приведенным в
разделе 8
АСВ должна быть способна определять,
выполняются ли условия для активации
каждой функции
Мониторинг возможен
АСВ должна предотвращать активацию той
или иной функции при невыполнении
условий ДШЭ данной функции
1) (косвенный) мониторинг в определенной
степени возможен, но требование
относится главным образом к разряду
конструкционных;
2) о работе АСВ за пределами ее ДШЭ
надлежит сообщать в рамках оперативной
отчетности, а также (посредством
агрегированных данных) в рамках
периодической отчетности
АСВ должна запускать процесс реагирования 1) мониторинг возможен;
на сбой в случае, если одно или несколько
2) о работе АСВ за пределами ее ДШЭ
условий ДШЭ используемой функции
надлежит сообщать в рамках оперативной
перестают выполняться
отчетности, а также (посредством
агрегированных данных) в рамках
периодической отчетности;
140
GE.24-06854
ECE/TRANS/WP.29/2024/39
Требования
Примечания
3) о нарушениях передачи управления
сообщается в рамках периодической
отчетности;
4) о нарушениях в процессе перевода в СМР
сообщается в рамках оперативной и
периодической отчетности
АСВ должна быть способна прогнозировать
вероятные выходы из ДШЭ каждой функции
Мониторинг возможен.
Примечание: это может быть условием
задействования СХДАВ
Требования к состоянию минимального риска
АСВ должна предупреждать о своем
намерении перевести транспортное средство
в СМР
Мониторинг возможен. Это информация,
имеющая критическое значение для
безопасности
АСВ должна запускать процесс реагирования 1) мониторинг возможен;
на сбой в случае отказа АСВ и/или другой
2) о неспособности АСВ достичь состояния
системы транспортного средства, не
минимального риска сообщается в рамках
позволяющего АСВ выполнять ДЗУ
оперативной и периодической отчетности
В отсутствие резервного пользователя,
готового взять на себя управление, АСВ
должна сразу переводить транспортное
средство в СМР
1) мониторинг возможен;
Если АСВ спроектирована таким образом,
чтобы запрашивать и подтверждать
вмешательство водителя-человека, АСВ
должна выполнять перевод транспортного
средства в СМР в случае сбоя при передаче
управления пользователю
1) мониторинг возможен;
2) о неспособности АСВ достичь состояния
минимального риска сообщается в рамках
оперативной и периодической отчетности
2) о нарушениях передачи управления
сообщается в рамках периодической
отчетности
По завершении перевода в СМР
1) мониторинг в определенной степени
пользователю может быть разрешено принять
возможен, но требование относится
на себя управление транспортным средством
главным образом к разряду
конструкционных;
2) мониторинг возможен в отношении
поведения после перевода в СМР;
3) имеются положения относительно
отчетности в случае нарушений перевода
в СМР
Рекомендации, касающиеся безопасного взаимодействия пользователей с АСВ
АСВ должна предупреждать о любом сбое,
ограничивающем работу доступной функции
1) мониторинг в определенной степени
возможен;
2) о неисправностях АСВ надлежит
сообщать в рамках периодической
отчетности
АСВ должна предупреждать пользователя(ей) Мониторинг в определенной степени
АСВ о своем намерении перевести
возможен
транспортное средство в СМР
АСВ, управляющая работой дверей, должна
обеспечивать возможность аварийной
передачи этой функции пользователю
1) конструкционное требование
ЧМИ АСВ должен в простой и однозначно
1) конструкционное требование
трактуемой форме отображать относящиеся к
безопасности сведения и сигналы, четко
видимые целевому(ым) пользователю(ям) при
любых условиях эксплуатации, причем при
необходимости такие сигналы могут быть
GE.24-06854
141
ECE/TRANS/WP.29/2024/39
Требования
Примечания
комбинированными (например, оптический,
звуковой и тактильный)
Функции АСВ, позволяющие пользователю принять на себя ручное управление в целях
выполнения ДЗУ
Когда АСВ включена, органы управления
транспортным средством, индикаторы,
контрольные сигналы и предупреждения,
связанные с ДЗУ, могут быть отключены,
подавлены, деактивированы, заблокированы
или другими способами приведены в
недоступное состояние, если это необходимо
для снижения риска ошибок в эксплуатации,
неправильной эксплуатации, а также для
сокращения количества неоднозначных
ситуаций при управлении транспортным
средством
1) конструкционное требование
АСВ должна быть спроектирована таким
1) конструкционное требование
образом, чтобы предотвращать неправильную
эксплуатацию пользователем и ошибки в его
работе
В порядке обеспечения только надлежащих
видов взаимодействия органы управления
транспортным средством, относящиеся к
АСВ, должны четко идентифицироваться и
опознаваться [1]
Если та или иная функция АСВ активирована, 1) конструкционное требование
то пользователю должна поступать
следующая информация:
a)
сведения о состоянии АСВ;
b)
роль резервного пользователя, если
применимо;
c)
любой сбой АСВ, ограничивающий
работу доступной функции
АСВ должна уведомлять о доступности
функции для активации
1) конструкционное требование
Рекомендации относительно активации функции АСВ
АСВ должна обеспечивать безопасную
активацию той или иной своей функции.
142
a)
АСВ должна обеспечивать оперативную
обратную связь, указывающую на
успешную либо неуспешную попытку
пользователя включить функцию АСВ;
b)
в процессе активации функции
(например, при прохождении
последовательности действий и
состояний) должны учитываться
соответствующие рекомендации или
стандарты;
c)
при активации функции АСВ, в
результате которой пользователь
становится резервным пользователем,
последнему необходимо сообщить о
дальнейших ожиданиях в отношении его
действий
1) конструкционное требование
GE.24-06854
ECE/TRANS/WP.29/2024/39
Требования
Примечания
Рекомендации по деактивации функции АСВ и переходу к ручному управлению
транспортным средством
АСВ должна быть оборудована системой
мониторинга для обеспечения — при
необходимости — безопасного и
надлежащего взаимодействия с
пользователем
1) конструкционное требование
По завершении процесса деактивации
управление поперечным и продольным
перемещением транспортного средства
должно перейти обратно к водителю без
какого-либо постоянного активного
содействия управлению [2]
1) конструкционное требование
Функции АСВ, позволяющие деактивировать систему по запросу пользователя и перейти к
ручному управлению
АСВ должна быть спроектирована таким
образом, чтобы обеспечить безопасный
процесс деактивации системы по запросу
пользователя.
a)
b)
GE.24-06854
1)
мониторинг в определенной степени
возможен. Однако большинство пунктов
не пригодны для МПДЭ. Мониторинг
возможен в отношении пунктов a) и b);
АСВ должна позволять пользователю
2)
инициировать процесс деактивации
системы только если она может
убедиться, что пользователь в состоянии
вернуться к роли водителя;
3)
деактивация функции АСВ может быть
отложена, если, по оценке АСВ,
сложившаяся ситуация не подходит для
нового режима эксплуатации
транспортного средства (например из-за
того, что текущая ситуация непригодна
или небезопасна для нового режима
работы);
о предотвращении передачи управления
в небезопасных условиях надлежит
сообщать в соответствии с перечнем
происшествий в рамках НМОИ;
c)
в процессе деактивации по запросу
пользователя (например, при
прохождении последовательности
действий и состояний) должны
учитываться соответствующие
рекомендации или стандарты;
d)
перед завершением процесса
деактивации АСВ должна оценить и
подтвердить, что пользователь готов
возобновить выполнение ДЗУ;
e)
АСВ должна выдавать конкретное
предупреждение о завершении
деактивации системы;
f)
если применимо, после деактивации
АСВ органы управления транспортным
средством, индикаторы, предупреждения
и контрольные сигналы должны быть
переведены в состояние,
соответствующее ручному управлению;
g)
если применимо, функции АСВ,
управляющие закрытием, должны
перестать воздействовать на закрытие
либо на элементы управления, связанные
с закрытием
о неготовности водителя (если
применимо) и других происшествиях,
связанных с пользователем, надлежит
сообщать в соответствии с перечнем
происшествий, приведенным в разделе 8
143
ECE/TRANS/WP.29/2024/39
Требования
Примечания
Функции, позволяющие деактивировать АСВ по команде системы и перейти к ручному
управлению
АСВ должна обеспечивать безопасную
инициируемую системой деактивацию с
передачей управления резервному
пользователю.
a)
об инициируемой системой деактивации
в штатных ситуациях следует
своевременно предупреждать, чтобы
помочь резервному пользователю вновь
включиться в процесс управления
транспортным средством;
b)
в процессе инициируемой системой
деактивации и перехода к процессу
ручного управления (например, при
обеспечении последовательности
действий и состояний) должны
учитываться соответствующие
рекомендации или стандарты;
c)
АСВ должна:
i)
1)
мониторинг в определенной степени
возможен. Однако большинство пунктов
не пригодны для МПДЭ. Мониторинг
возможен в отношении пункта с);
2)
происшествия, связанные с нарушением
передачи управления и неготовностью
водителя, уже включены в перечень
происшествий, приведенный в разделе 8
постоянно оценивать, доступен ли
резервный пользователь для
инициируемой системой
деактивации;
ii) обеспечить эффективные процедуры
повторного включения в процесс
резервного пользователя, который,
согласно результатам оценки, был
недоступен;
iii) запустить процесс перевода в СМР в
случаях, когда повторное включение
в процесс резервного пользователя
невозможно, нецелесообразно и/или
небезопасно;
iv) при необходимости адаптировать
инициируемый системой процесс
деактивации (например,
длительность, уровни
предупреждений) к текущим
обстоятельствам (например,
связанных с включенностью
резервного пользователя, состоянием
АСВ и транспортного средства,
текущей дорожной обстановкой);
144
d)
перед завершением процесса
деактивации АСВ должна оценить и
подтвердить, что пользователь готов
возобновить выполнение ДЗУ;
e)
АСВ должна оставаться активной до тех
пор, пока не будет завершен
инициируемый системой процесс
деактивации или пока транспортное
средство с АСВ не перейдет в состояние
минимального риска;
f)
АСВ должна выдавать конкретное
предупреждение о завершении
деактивации системы;
g)
если применимо, после деактивации АСВ
органы управления транспортным
GE.24-06854
ECE/TRANS/WP.29/2024/39
Требования
Примечания
средством, индикаторы, предупреждения
и контрольные сигналы должны быть
переведены в состояние,
соответствующее ручному управлению;
h)
если применимо, функции АСВ,
управляющие закрытием, должны
перестать воздействовать на закрытие
либо на элементы управления, связанные
с закрытием
Функции АСВ, не позволяющие пользователю взять на себя ручное управление в целях
выполнения ДЗУ
АСВ должна предоставлять пассажиру(ам)
возможность потребовать остановки
транспортного средства
1)
конструкционное требование
Транспортное средство с АСВ должно
предоставлять пассажирам информацию,
связанную с безопасностью
Мониторинг возможен
АСВ не должна инициировать движение,
пока не будут снижены риски для
безопасности пассажира(ов)
1)
конструкционное требование
АСВ может предоставлять пользователю(ям)
информацию, связанную с текущей работой
(например, о пункте назначения,
предстоящих остановках, ходе продвижения
по маршруту)
1)
конструкционное требование
Органы управления, предусмотренные для
1)
ручного управления (например, рулевой
механизм, рабочий тормоз, стояночный
тормоз, акселератор, освещение), должны
быть сконструированы таким образом, чтобы
исключить любое воздействие на ДЗУ при
выполнении ДЗУ средствами АСВ, либо
должны быть предусмотрены разумные меры
предосторожности для предотвращения
доступа к органам управления
конструкционное требование
Безопасность на протяжении всего срока эксплуатации АСВ и работы ее функций
АСВ должна обеспечивать интерфейс для
целей технического обслуживания и ремонта
уполномоченными сотрудниками
1)
конструкционное требование
АСВ должна быть спроектирована таким
образом, чтобы обеспечивать защиту ее
функционала от несанкционированного
доступа и несанкционированной
модификации
1)
необходим мониторинг;
2)
надлежит сообщать о
несанкционированном доступе к
функционалу АСВ и его
несанкционированной модификации
Меры защиты от несанкционированного
доступа должны соответствовать
оптимальной инженерно-технической
практике
1)
конструкционное требование
Необходимо обеспечивать безопасность АСВ 1)
на случай прекращения производства,
поддержки и/или технического обслуживания
конструкционное требование
Примечание: критические происшествия, о которых надлежит сообщать в рамках
оперативной отчетности, могут быть обусловлены несоблюдением требований к
безопасности АСВ
GE.24-06854
145
ECE/TRANS/WP.29/2024/39
Приложение 8
Формуляры отчетности по МПДЭ
1.
В настоящем приложении содержится руководство, позволяющее
изготовителям и операторам АСВ внедрить схему оперативной и периодической
отчетности.
I. Оперативная отчетность
2.
Первый раздел формуляра отчетности («ЧТО») содержит краткое описание
события с целью дать краткую информацию о происшествии. Список примеров
ситуаций можно найти в шаблонах отчетов о страховых случаях и в постоянном
положении НАБДД по АСВ.
ЧТО
Наименование позиции
Заголовок
Поле для заполнения
Тип/размер
Текст(200)
3.
Во втором разделе происшествия делятся на классы в соответствии с
приблизительным перечнем. На данный момент в настоящем документе различие
проводится только между критическими и некритическими происшествиями. Эти
категории можно уточнить, включив в них дополнительные классы, например с
разбивкой по типам конфликтов.
КЛАССИФИКАЦИЯ ПРОИСШЕСТВИЙ
Класс происшествия
Текст(50)
Тип происшествия
Текст(200)
4.
Формуляр отчетности надлежит заполнять с указанием погодных условий и
другой имеющейся информации, которая может помочь определить значимость
происшествия с точки зрения безопасности (скорость, ускорение и масса, наличие и
поведение других участников дорожного движения, изменчивые характеристики
инфраструктуры). Кроме того, если предоставляются вспомогательные данные с
устройств телематики и/или мультимедийных устройств транспортного средства
(например, записи с камер/лазерных локаторов), то они должны быть указаны в
следующем разделе.
СВЕДЕНИЯ О ПРОИСШЕСТВИИ
Погодные условия
Текст(20)
Условия освещенности
Текст(20)
Скорость транспортного средства с АСВ
до происшествия
Число(3) — [км/ч]
Максимальное замедление транспортного
средства с АСВ после происшествия
Число(3) — [м/с2]
Расчетная масса транспортного средства с
АСВ до происшествия
Число(5) — [кг]
Данные, полученные от устройств
телематики транспортного средства с АСВ
[Имеются/Отсутствуют]
146
GE.24-06854
ECE/TRANS/WP.29/2024/39
Данные, полученные от РДС
транспортного средства с АСВ
[Имеются/Отсутствуют]
Данные, полученные от СХДАВ
транспортного средства с АСВ
[Имеются/Отсутствуют]
Данные, полученные от мультимедийных
устройств транспортного средства с АСВ
[Имеются/Отсутствуют]
Данные мультимедийных
устройств/устройств телематики,
полученные из сторонних источников
[Имеются/Отсутствуют]
О происшествии сообщено в полицию
[Да/Нет]
Составлен протокол полиции
[Да/Нет]
Уровень автономности в момент
происшествия
Текст(50)
Присутствие водителя/дистанционного
оператора в момент происшествия
[Да/Нет]
Водитель/дистанционный оператор
пытался взять на себя управление
[Да/Нет]
5.
В формуляре отчетности надлежит указать время — как местное, так и время UTC.
КОГДА
Дата в формате UTC
[ГГГГ/ММ/ДД]
Время в формате UTC
[чч:мм]
Местная дата
[ГГГГ/ММ/ДД]
Местное время
[чч:мм]
6.
В формуляре отчетности надлежит указать полные сведения о месте
происшествия и кратко описать местную обстановку.
ГДЕ
Страна
Текст(50)
Штат/провинция
Текст(50)
Город
Текст(50)
Почтовый индекс
Число(10)
Улица/пересечение
Текст(50)
Координаты ГНСС
[долгота, широта] [десятичные
градусы]
Сценарий в рамках ДШЭ
[Имеется/Отсутствует]
Ограничение скорости на месте
происшествия
Число(3) — [км/ч]
Тип проезжей части
Текст(50)
Поверхность проезжей части
Текст(50)
Описание проезжей части
Текст(100)
7.
В формуляре отчетности надлежит указать степень и характер повреждений,
зафиксированных как для транспортного средства с АСВ, так и для других участников
дорожного движения/объектов. Практическую классификацию степеней повреждения
можно найти в практике авиакомпаний:
GE.24-06854
147
ECE/TRANS/WP.29/2024/39
a)
полное разрушение — ввиду полученных повреждений восстановление
транспортного средства нецелесообразно;
b)
значительное — транспортное средство
конструкции, требующие капитальной замены узлов;
получило
повреждения
c)
незначительное — транспортное средство можно привести в надлежащее
рабочее состояние посредством простого ремонта/замены деталей;
d)
отсутствует — транспортное средство не получило повреждений;
e)
неизвестно — степень повреждения неизвестна.
8.
Кроме того, если это применимо, надлежит указать класс деформации при
столкновении (КДС) или индекс повреждения транспортного средства (ИПТС).
ПОВРЕЖДЕНИЕ
Максимальное повреждение
Текст(20)
Степень повреждения транспортного
средства с АСВ
Текст(20)
Место повреждения транспортного
средства с АСВ
Текст(20)
Максимальное повреждение, нанесенное
другому объекту
Текст(20)
Поврежденный объект (степень)
Текст(50)
Текст(50)
Текст(50)
Текст(50)
9.
В формуляр отчетности надлежит внести подробную информацию о степени
тяжести телесных повреждений водителя/пассажиров транспортного средства с АСВ
и всех прочих участников дорожного движения, которые были задействованы в ДТП
и заявили о том, что пострадали. Примеры классификации телесных повреждений из
базы данных CADaS:
a)
со смертельным исходом — смерть наступает в течение 30 дней после
ДТП, которое и является ее причиной;
b)
тяжелые — пострадавшее (хотя и не погибшее) в ДТП лицо находится в
крайне тяжелом состоянии, для выживания может потребоваться операция или
длительное лечение в стационаре;
c)
серьезные — пострадавшее (хотя и не погибшее) в ДТП лицо
госпитализировано по меньшей мере на одни сутки;
d)
незначительные — пострадавшему в ДТП не требуется госпитализация,
только первая помощь;
e)
отсутствуют — во время происшествия никто не пострадал;
f)
неизвестно — лицо пострадало в ДТП, но степень тяжести телесных
повреждений неизвестна.
10.
По возможности рекомендуется дополнительно использовать классификацию
телесных повреждений согласно сокращенной шкале травматизма (АИС) как для
описания отдельных травм, так и применительно к травмированным лицам,
и предоставлять отчетность по МАИС1.
1
148
В качестве дополнительного примера можно привести Национальную базу данных о ДТП
Канады (NCDB).
GE.24-06854
ECE/TRANS/WP.29/2024/39
ТЕЛЕСНЫЕ ПОВРЕЖДЕНИЯ
Степень тяжести телесных повреждений
Текст(50)
• Общее число погибших в транспортном
средстве с АСВ
Число(3)
• Общее число погибших среди других
участников дорожного движения
Число(3)
Тип участника дорожного движения
Текст(50)
• Общее число пострадавших с серьезными
травмами в транспортном средстве с АСВ
Число(3)
• Общее число пострадавших с серьезными
травмами среди других участников
дорожного движения
Число(3)
Тип участника дорожного движения
Текст(50)
• Общее число пострадавших с
незначительными травмами в
транспортном средстве с АСВ
Число(3)
• Общее число пострадавших с
незначительными травмами среди других
участников дорожного движения
Число(3)
Тип участника дорожного движения
Текст(50)
• Общее число пострадавших с
неизвестными телесными повреждениями
в транспортном средстве с АСВ
Число(3)
• Общее число пострадавших с
неизвестными телесными повреждениями
среди других участников дорожного
движения
Число(3)
В формуляр отчетности надлежит внести подробные сведения о транспортном
средстве с АСВ.
ТРАНСПОРТНОЕ СРЕДСТВО
GE.24-06854
Идентификационный номер транспортного
средства
Текст(17)
Серийный номер
Текст(50)
Номерной знак
Текст(10)
Штат/страна/провинция регистрации
Текст(50)
Категория транспортного средства
Текст(50)
Изготовитель
Текст(50)
Модель
Текст(50)
Год выпуска модели
Число(4)
Пробег
Число(9)
Версия АСВ
Текст(50)
Лицензирование АСВ
Текст(50)
Оператор (при наличии)
Текст(50)
Уровень автономности
Текст(50)
149
ECE/TRANS/WP.29/2024/39
11.
В формуляр отчетности надлежит внести подробное описание происшествия.
Для лучшего понимания обстоятельств происшествия можно подготовить
схематическое изображение, аналогичное изображениям в отчетах о страховых
случаях. Оценку сценария до столкновения можно провести в соответствии с
разработанной НАБДД топологией сценариев столкновения, если это применимо.
Кроме того, в этот раздел надлежит внести сведения о поведении транспортного
средства с АСВ после столкновения. По возможности следует предоставить файлы с
данными цифровой реконструкции (например, файлы PC CRASH и т. д.).
ОПИСАТЕЛЬНАЯ ЧАСТЬ
Описание события
Поведение после столкновения
12.
В отчет должны входить предварительный анализ основной причины, включая
оценку рисков, и изложение соответствующей процедуры корректирующих мер (при
ее наличии), примененной отчитывающимся органом после того, как ему стало
известно о происшествии.
АНАЛИЗ
Анализ основной причины
Применение корректирующих мер
13.
В отчет надлежит включить сведения о руководстве организации, в том числе о
подразделении, предоставляющем отчетность, и статусе отчета. В отношении статуса
отчета предусмотрено несколько вариантов:
a)
предварительный — сообщение, переданное в целях оперативного
распространения данных, полученных на ранних этапах расследования. Ожидается
поступление новых данных;
b)
первоначальное уведомление — отчет основан на сведениях,
соответствующих уровню информации в первоначальном уведомлении об аварии или
инциденте, либо содержит такие сведения (глава 4 приложения 13 к Конвенции
ИКАО);
c)
фактологический — обработка сведений о происшествии еще не
завершена, однако имеется достаточно информации для анализа происшествия и
присвоения ему кода;
d)
завершен и выпущен — отчет закрыт отчитывающейся организацией в
связи с его первоначальным выпуском;
e)
150
завершен — дополнительных сведений не ожидается.
GE.24-06854
ECE/TRANS/WP.29/2024/39
УПРАВЛЕНИЕ ОТЧЕТАМИ
Отчитывающееся подразделение
Текст(100)
Идентификационный номер отчета
Текст(240)
Редакция отчета
Число(10)
Статус отчета
Текст(100)
Дата представления отчета
[ГГГГ/ММ/ДД]
Проинформированные стороны
Текст(100)
II. Периодическая отчетность
14.
Первый набор данных относится к общим сведениям об идентификации АСВ и
ее использовании из расчета пробега/длительности эксплуатации. Основной целью
этого набора данных является предоставление компетентным органам возможности
стандартизации сведений о происшествиях с точки зрения эффективности работы
АСВ.
ИДЕНТИФИКАЦИЯ АСВ
Наименование позиции
Поле для заполнения
Тип/размер
Изготовитель АСВ
Текст(50)
Лицензирующий АСВ орган
Текст(50)
Версия АСВ
Текст(50)
Уровень автономности
Текст(50)
Модель транспортного средства
Текст(50)
Год выпуска модели
Текст(50)
ИНФОРМАЦИЯ О РАБОТЕ АСВ
Число транспортных средств с АСВ
Число(10)
Совокупный пробег с работающей АСВ
Число(10)
Совокупная длительность эксплуатации с
работающей АСВ
Число(10)
Среднее время работы АСВ
Число(10)
15.
Второй набор относится к группе происшествий, которые не были
проанализированы в рамках оперативной отчетности, согласно таблице
происшествий, дополняемой сведениями о последствиях таких событий в плане
безопасности. В конечном итоге, объединив данные о работе АСВ с перечнем
происшествий, компетентному органу и изготовителю надлежит согласовать
численные показатели и показатели эффективности мер по обеспечению безопасности
для подтверждения уровня безопасности, заявленного изготовителем АСВ.
GE.24-06854
151
ECE/TRANS/WP.29/2024/39
ОЦЕНКА ПРОИСШЕСТВИЙ
152
Общее число происшествий
Число(10)
Происшествия, подпадающие под
действие положений об оперативной
отчетности
Число(10)
• Критические с точки зрения
безопасности происшествия,
известные изготовителю АСВ или
ИОО
Число(10)
• Происшествия, связанные с работой
АСВ за пределами ее ДШЭ
Число(10)
• Неспособность АСВ достичь
состояния минимального риска, когда
это необходимо
Число(10)
• Изменения, внесенные изготовителем
АСВ или ИОО в целях решения
выявленной и значительной проблемы
безопасности АСВ
Число(10)
Происшествия, подпадающие под
действие положений о периодической
отчетности
Число(10)
• Происшествия, относящиеся к связи
Число(10)
• Происшествия, связанные с
кибербезопасностью
Число(10)
• Взаимодействие с удаленным
оператором, если применимо
Число(10)
• Неготовность водителя (если
применимо) и другие происшествия,
связанные с пользователем
Число(10)
• Происшествия, связанные с
нарушением передачи управления
Число(10)
• Предотвращение передачи управления
в небезопасных условиях
Число(10)
• Происшествия, связанные с отказом
АСВ
Число(10)
• Проблемы, связанные с техническим
обслуживанием и ремонтом
Число(10)
• Происшествия, связанные с
несанкционированными изменениями
Число(10)
• Происшествия, связанные с
выявлением новых сценариев,
имеющих отношение к безопасности
Число(10)
Прочие происшествия
Число(10)
GE.24-06854
ECE/TRANS/WP.29/2024/39
16.
Третий набор, а именно набор сведений о последствиях происшествий в плане
безопасности, надлежит передавать вместе с агрегированными данными о других
участниках дорожного движения, причастных к происшествиям.
ПОСЛЕДСТВИЯ ПРОИСШЕСТВИЙ В ПЛАНЕ БЕЗОПАСНОСТИ
Число погибших
Число(10)
• Водитель/пассажиры транспортного
средства с АСВ
Число(10)
• Другие участники дорожного
движения
Число(10)
Серьезные телесные повреждения
Число(10)
• Водитель/пассажиры транспортного
средства с АСВ
Число(10)
• Другие участники дорожного
движения
Число(10)
Незначительные телесные повреждения
Число(10)
• Водитель/пассажиры транспортного
средства с АСВ
Число(10)
• Другие участники дорожного
движения
Число(10)
Неизвестные телесные повреждения
Число(10)
• Водитель/пассажиры транспортного
средства с АСВ
Число(10)
• Другие участники дорожного
движения
Число(10)
Аварии и серьезные инциденты
Число(10)
Незначительные инциденты
Число(10)
СГРУППИРОВАННОЕ ОПИСАНИЕ ПРОИСШЕСТВИЙ
GE.24-06854
Участник движения, с которым
произошло столкновение:
-
• легковой автомобиль
Число(10)
• автофургон
Число(10)
• грузовой автомобиль
Число(10)
• автобус
Число(10)
• другое: транспортное средство
Число(10)
• мотоцикл
Число(10)
• велосипедист
Число(10)
• пешеход
Число(10)
• другое: УУДД
Число(10)
• животное
Число(10)
• неподвижный объект
Число(10)
• неизвестно
Число(10)
Степень повреждения транспортного
средства с АСВ
–
• полное разрушение
Число(10)
153
ECE/TRANS/WP.29/2024/39
• значительное
Число(10)
• незначительное
Число(10)
• неизвестно
Число(10)
Зона повреждения транспортного
средства с АСВ
–
• спереди
Число(10)
• спереди слева
Число(10)
• спереди справа
Число(10)
• сзади
Число(10)
• сзади слева
Число(10)
• сзади справа
Число(10)
• слева
Число(10)
• справа
Число(10)
• крыша
Число(10)
• днище
Число(10)
• неизвестно
Число(10)
17.
Четвертый набор данных относится к модификациям (при их наличии),
внесенным в АСВ при обнаружении пробелов в области безопасности.
ПРОБЕЛ В ОБЛАСТИ БЕЗОПАСНОСТИ АСВ
Обнаруженные пробелы в области
безопасности АСВ
Число(10)
• Пробел № 1:
Текст(500)
• Пробел № 2:
Текст(500)
Устраненные пробелы (при наличии) в
области безопасности АСВ
Число(10)
• Пробел № 1:
Текст(500)
• Пробел № 2:
Текст(500)
Способы устранения пробелов в области
безопасности АСВ
Число(10)
• Пробел № 1:
Текст(500)
• Пробел № 2:
Текст(500)
18.
Наконец, в отчет надлежит включить сведения о руководстве организации,
в том числе о подразделении, предоставляющем отчетность, и статусе отчета.
В отношении статуса отчета предусмотрено несколько вариантов:
• предварительный — сообщение, переданное в целях оперативного
распространения данных, полученных на ранних этапах расследования.
Ожидается поступление новых данных;
• первоначальное уведомление — отчет основан на сведениях, соответствующих
уровню информации в первоначальном уведомлении об аварии или инциденте,
либо содержит такие сведения (глава 4 приложения 13 к Конвенции ИКАО);
• фактологический — обработка сведений о происшествии еще не завершена,
однако имеется достаточно информации для анализа происшествия и
присвоения ему кода;
154
GE.24-06854
ECE/TRANS/WP.29/2024/39
• завершен и выпущен — отчет закрыт отчитывающейся организацией в связи с
его первоначальным выпуском;
• завершен — дополнительных сведений не ожидается.
УПРАВЛЕНИЕ ОТЧЕТАМИ
Отчитывающееся подразделение
Текст(100)
Идентификационный номер отчета
Текст(240)
Редакция отчета
Число(10)
Статус отчета
Текст(100)
Дата представления отчета
[ГГГГ/ММ/ДД]
Проинформированные стороны
Текст(100)
GE.24-06854
155
ECE/TRANS/WP.29/2024/39
Приложение 9
Дополнительные рекомендации по эффективному
мониторингу на этапе эксплуатации
I. Добровольная передача данных
1.
На национальном уровне органы по надзору за безопасностью могут создать
систему добровольной передачи данных в целях сбора и анализа информации о таком
наблюдаемом поведении АСВ, о котором не требуется сообщать в рамках системы
отчетности о происшествиях, установленной в настоящем документе, но которое тем
не менее воспринимается передающим данные лицом как источник реальной или
потенциальной опасности.
II. Сбор и хранение информации
2.
Рекомендуется создать систему обязательной отчетности, которая на
национальном уровне будет функционировать по линии национальной базы данных,
а на международном уровне — по линии унифицированного единого
централизованного хранилища.
3.
Качество и единообразие данных следует обеспечить как на национальном, так
и на международном уровнях путем внедрения процедур проверки.
A.
Национальный уровень
4.
Для реализации системы МПДЭ Договаривающимся сторонам рекомендуется
назначить один или несколько компетентных органов, отвечающих за создание
механизма сбора, оценки, обработки и хранения отчетов о происшествиях в
соответствии с принципами МПДЭ.
5.
Орган(ы) по надзору за безопасностью на национальном уровне должен
(должны) отвечать за сбор и оценку данных, а также за выработку и распространение
рекомендаций по безопасности. Ему (им) следует работать с информацией,
касающейся безопасности и хранящейся в национальной базе данных, а также
обмениваться этой информацией с другими компетентными органами. Органы по
надзору за безопасностью также отвечают за выпуск ежегодного доклада, в котором
обобщается уровень безопасности АСВ, дается общая оценка безопасности и
предлагается план действий. Ежегодный доклад следует представлять WP.29.
6.
Оперативные и периодические отчеты следует хранить в единой национальной
базе данных. Рекомендации по безопасности также следует хранить в единой
национальной базе данных, обеспечивая соответствующим заинтересованным
сторонам доступ к ним.
7.
Органам по надзору за безопасностью следует передавать рекомендации по
безопасности и ежегодные доклады в единое централизованное хранилище.
B.
Международный уровень
8.
WP.29 обеспечивает международную структуру, пригодную для обмена
мнениями между Договаривающимися сторонами и для определения руководящих
принципов внедрения системы МПДЭ.
9.
WP.29 рекомендуется создать надлежащую систему управления единым
централизованным хранилищем. В рамках этой системы должны быть охвачены
вопросы доступности и распространения информации, защиты данных (при
156
GE.24-06854
ECE/TRANS/WP.29/2024/39
необходимости), оценки данных и ежегодной отчетности. Кроме того, следует
разработать технические протоколы для передачи всех рекомендаций по безопасности
в единое централизованное хранилище.
10.
WP.29 следует предоставлять на международном уровне четкое руководство по
стандартизированному подходу к МПДЭ, в том числе по согласованию процесса ввода
данных, посредством разработки руководящих принципов, проведения рабочих
совещаний и соответствующего обучения.
III. Расследование происшествий
11.
Каждой Договаривающейся стороне рекомендуется назначить на национальном
уровне один компетентный орган, который будет отвечать за проведение
расследований аварий, инцидентов и любых других соответствующих событий в своей
стране, согласно своему мандату на проведение расследований. Этим органом может
стать действующий следственный орган по безопасности на транспорте, отвечающий
за расследование дорожно-транспортных происшествий.
12.
Желательно, чтобы в части своей организационной, юридической структуры и
принятия решений этот орган был независим от любой заинтересованной стороны,
включая другие правомочные регулирующие органы и другие национальные органы,
отвечающие за расследования дорожно-транспортных происшествий с целью
установления ответственности либо отвечающие за сбор и хранение передаваемой
изготовителями информации.
13.
В случае ДТП/инцидентов следует составлять отчет по результатам
расследования. Его следует подготавливать и распространять среди всех
задействованных сторон в кратчайшие сроки с момента происшествия.
При необходимости в нем должны содержаться рекомендации по безопасности.
14.
Не реже одного раза в год (или при необходимости чаще) следует
подготавливать и распространять периодический отчет. В нем должна содержаться
информация о проведенных в предыдущем году расследованиях и выданных
рекомендациях по безопасности.
IV. Обмен информацией
15.
WP.29 рекомендуется способствовать и содействовать более широкому обмену
информацией и распространению рекомендаций по безопасности среди
Договаривающихся сторон в целях повышения уровня безопасности.
16.
Органам по надзору за безопасностью следует регулярно участвовать в обмене
информацией, содержащейся в едином централизованном хранилище, и анализе этой
информации.
17.
Органам по надзору за безопасностью рекомендуется участвовать в обмене
информацией посредством предоставления всей соответствующей информации,
касающейся безопасности, другим компетентным органам.
18.
В случае расследования аварий/инцидентов необходимо обеспечить обмен
соответствующей информацией между задействованными Договаривающимися
сторонами/органами.
19.
Для обеспечения надлежащего уровня конфиденциальности информации ее
распространение следует ограничить той информацией, которая непосредственно
необходима с точки зрения целей ее адресатов.
GE.24-06854
157
ECE/TRANS/WP.29/2024/39
V. Защита информации
20.
Учитывая чувствительный характер информации, касающейся безопасности,
следует — в той степени, в какой это юридически осуществимо, — гарантировать
защиту ее источника и оправдывать доверие авторов сообщений. Для защиты
чувствительной информации рекомендуется использовать ее исключительно для
действий, связанных с безопасностью, а не для каких-либо иных целей.
21.
Для защиты конфиденциальности передаваемой информации необходимо
соблюдать меры безопасности. Так, меры и протоколы безопасности должны
гарантировать, что ни в каком случае в базы данных как национального, так и
международного уровня не будут заноситься личные данные и что будут
использоваться соответствующие средства защиты коммерческой тайны и
конфиденциальной деловой информации.
22.
Без ущерба для применимого национального законодательства органам по
надзору за безопасностью рекомендуется воздерживаться от возбуждения
разбирательств по факту непредумышленных или непреднамеренных нарушений
закона, о которых им стало известно исключительно из сообщений, поступивших по
схеме передачи данных о происшествиях в рамках МПДЭ, за исключением случаев
грубой халатности.
23.
В соответствии с процедурами, определенными в национальных законах и
практике, органам по надзору за безопасностью следует гарантировать, чтобы
сотрудники, сообщающие о потенциально известных им происшествиях, не
подвергались предвзятому отношению со стороны работодателей.
158
GE.24-06854
ECE/TRANS/WP.29/2024/39
Приложение 10
Дальнейшие соображения в отношении будущей работы
В данном приложении изложены темы для дальнейшего рассмотрения,
затронутые в ходе работы над настоящим руководством. Для дальнейшего
рассмотрения предлагаются следующие аспекты:
• взаимосвязь между концепцией системы управления безопасностью и
правилами, касающимися кибербезопасности и управления обновлениями
программного обеспечения;
• процедуры определения объективных поведенческих характеристик для
выполнения ДЗУ на основе требований к безопасности и их применение к
сценариям и методам испытаний;
• взаимосвязь между мониторингом и передачей данных на этапе эксплуатации
(МПДЭ) и поведенческими характеристиками, продемонстрированными в ходе
первоначальной оценки АСВ;
• процедуры установления достоверности моделей безопасности, используемых
для оценки эффективности АСВ при выполнении критических сценариев в
части предотвратимых/непредотвратимых последствий;
• дальнейшее рассмотрение подходов к разработке моделей безопасности,
включая их применимость для оценки аспектов эффективности АСВ, с учетом
проводимых НРГ по ФРАВ обсуждений методик, связанных с концепциями
«современность», «осторожный и компетентный водитель» и «оболочка
безопасности»;
• рассмотрение вопроса о формировании общего каталога или базы данных
сценариев дорожного движения для использования в нормативных целях;
• рассмотрение вопроса о записи данных в рамках МПДЭ и деятельности
неофициальной группы по РДС/СХДАВ;
• разработка процедур для создания матриц и протоколов испытаний на треке и в
реальных условиях;
• рассмотрение вопроса о «дистанционной эксплуатации» транспортных средств
с АСВ;
• выбор резервного пользователя (например, необученный, профессионал,
уровень опыта) в рамках процедур физических испытаний и рассмотрение
возможности замены термина «резервный пользователь» термином «бортовой
оператор»;
• несение гражданской ответственности в ходе испытаний в реальных условиях
(WP.29, WP.1?);
• определение критериев прохождения/непрохождения испытаний в реальных
условиях;
• согласование результатов испытаний на треке с охватом ДШЭ;
• протоколы разработки испытаний в реальных условиях (например, сценарии,
составление маршрутов испытаний);
• рассмотрение вопроса о мониторинге действий пользователей в плане
безопасной эксплуатации АСВ;
• рассмотрение менее субъективных определений штатных и критических
сценариев движения и процедур классификации сценариев движения в
контексте оценки соответствия требованиям безопасности;
GE.24-06854
159
ECE/TRANS/WP.29/2024/39
• рассмотрение вопроса о «материалах, касающихся толкования» в поддержку
руководящих указаний относительно системы управления безопасностью;
• разработка согласованных положений
единообразия всех описаний ДШЭ;
для
обеспечения
разумного
• меры по устранению риска неправильного выбора режима работы;
• рассмотрение формуляров
заинтересованных сторон.
160
для
целей
МПДЭ
и
отчетов
других
GE.24-06854
