图片调教 母狗调教 母狗

图片

良马集团竭力于于为客户提供猛烈东谈主心的驾驶体验，同期确保为统统谈路使用者提供一个安全的迁移生态系统。自动驾驶是车辆的下一个进化阶段，它为驾驶者提供了将驾驶中一些不太雕悍的部分，如漫长的通勤时期，交给自动驾驶系统的礼聘。2018年，BMW Vision iNEXT想法车在洛杉矶海外车展上初度亮相。良马的第一款以有条目的自动驾驶为功能的系列汽车--换句话说，良马的第一款系列汽车不错在莫得东谈主类驾驶员在设计范围内无间监控驾驶任务的情况下自动驾驶--将以这款iNEXT想法车为基础。良马集团以为，驾驶者应该有礼聘我方驾驶或被驾驶的权益。出于这个原因，BMW iNEXT将有两种模式：Boost模式和通俗模式。在Boost模式下，驾驶员不错保遗留统的适度方式，以传统的方式驾驶iNEXT。在通俗模式下，驾驶者不错激活自动驾驶系统，将眼神从谈路上移开，专注于其他行径。 这种类型的自动驾驶，被称为有条目的自动驾驶，代表了自动化的第一个端倪，在这种情况下，自动驾驶系统或者在一组特定的条目下扩充完满的动态驾驶任务(DDT)；然而，当系统达到设计极限时，驾驶员必须准备好禁受适度。这些设计极限被统称为设计运行域（ODD），代表了自动驾驶系统被设计为运行的物理和性能的界限。在iNEXT中实施的自动驾驶系统（以下简称SAE L3级BMW ADS）的设计限制包括：仅在最高速率为85英里/小时（或最高允许速率限制）的有限通谈高速公路上提供该功能，仅在天气和环境条目允许车辆的传感器不受毁伤的情况下运行，以过甚他肖似情况。 本文将在以下各个方面详细先容好意思邦交通部2016年联邦自动驾驶汽车政策过甚后续校正中强调的自动驾驶的每个安全方面。主要从以下几个方面进行先容：东谈主机交互：解释了SAE L3级BMW ADS的驾驶界面是如何设计的，以提供直不雅和安全的操作。运筹帷幄和事件检测及反应：详细说明系统如何或者监测和搪塞其环境。设计运行限制(ODD)：如上所述，将究诘系统的设计限制。联邦、州和地点法律：将究诘系统如何纳入 "谈路功令"。禁受：将解释在哪些情况下，当系统达到其设计极限时，系统如何将动态驾驶任务的适度权交还给驾驶员，或如何将车辆带到安全的静止状态。耐撞性及碰撞后的行径：将详细说明汽车的安全性，将详细先容车辆在碰撞过程中庸碰撞后的安全问题。数据纪录和分享：将究诘系统网罗哪些信息以及如何使用这些信息。系统安全：将详细说明车辆是如何进行举座设计的，以确保即使在系统发生故障的情况下也能保证安全。汇注安全：将炫耀系统是如何设计的，以幸免可能影响安全的主宰。考据和证明：将究诘设计过程以及如何考据和证明系统达到其设计运筹帷幄。浮滥者证明和培训：将解释良马将如何对其销售东谈主员、客户和公众进行关系其系统的证明。总的来说，本文每一章将详细先容良马如何确保统统谈路使用者的安全。BMW对自动驾驶的将来充满期待，算作智能驾驶行业中的从业者，他山之石，不错攻玉，但愿本文不错为同业交流学习。概述：良马的SAE L3级自动驾驶系统先容自动驾驶汽车是工夫上的一个关键着手，有可能塑造将来的汽车，致使改变将来的出行和交通方式。更高端倪的汽车工夫自动化的主要驱能源是:- 安全：减少由东谈主类失误酿成的车祸。- 结果和环境：通过新的城市交通处置决议，提高交通系统结果，减少在拥堵的交通中的时期。- 舒心：减少司机的融会包袱。- 社会包容：加多老年东谈主和残疾东谈主用户的使用契机。驾驶辅助和自动驾驶的主题在良马集团的将来战略中起着举足轻重的作用。在畴昔几年中，良马集团在开发高档驾驶辅助系统（ADAS）与SAE L1级和L2级系统的阅历基础上，正在采取一种进化的方法，向更高档别的自动驾驶系统（ADS）发展。BMW iNEXT将是BMW集团第一个提供SAE L3级（有条目自动驾驶）ADS的车型。自动驾驶汽车工夫的开发主淌若在德国慕尼黑隔壁的Unterschleißheim的良马集团自动驾驶园区进行的，该园区于2018年4月启用。

图片

 图1. 良马集团的ADAS和ADS的发展时期线BMW愿景：BMW Vision iNEXTBMW Vision iNEXT提供了对将来个东谈主交通的瞻念察力。算作良马集团最新的愿景汽车之一，iNEXT象征着驾驶乐趣新时间的到来，并在2018年洛杉矶车展上进行了全球首发。BMW Vision iNEXT将冲突性的设计与公司战略NUMBER ONE > NEXT中界说的将来行径限制--自动驾驶、互联互通、电气化和服务（统称为 "ACES"）相结合，并回答了这个问题。"当汽车不再需要由东谈主驾驶，但仍然不错由东谈主驾驶时，汽车将是什么表情？"汽车是东谈主们生计和阅历的一个内在构成部分。简而言之，它是东谈主类的一个基本需要。因此，对于将来交通的究诘比以往任何时候都更多地围绕着东谈主、东谈主们的情谊以及交通需乞降偏好伸开。自动驾驶、电气化和越来越多的智能网联所提供的可能性，将在将来为全新的体验和汽车旅行方式掀开大门。同期，它们也有望改变东谈主们的盼愿和生计民俗。BMW Vision iNEXT的驾驶者不错礼聘我方驾驶（在 "Boost"模式下）或被驾驶（在 "Ease "模式下）。"Boost "模式使用电力驱动系统，提供高度动态和确切无声的驾驶体验，并已矣零排放。在 "通俗 "模式下，车辆为驾驶者和乘客提供了一个空间，岂论是车辆行驶如故泊车情景下，使他们或者从事有酷爱酷爱行径。在将来，智能工夫将以越来越微妙和不显眼的方式匡助东谈主们。在BMW Vision iNEXT中，这些工夫保抓在布景和视野除外--因此被称为 " ShyTech"--唯独在需要时或在驾驶员或乘客的要求下才会在车辆上应用。系列化出产的车辆：BMW iNEXT基于BMW Vision iNEXT（该品牌的新工夫旗舰）的量产车型将在将来几年内参加出产。BMW iNEXT的出产车型将在德国丁格芬工场下线。跟着全电动BMW iNEXT的推出，良马集团将在自动驾驶（AD）的开发和买卖化方面迈出下一步。该车将提供一些高档驾驶辅助系统（ADAS，见图2）和SAE L3级BMW ADS算作可选套件。这些ADAS功能不错分为以下几个子类别。安全辅助功能、驾驶员舒心功能和驾驶员信息。

图片

图2.iNEXT中的先进驾驶辅助系统SAE L3级BMW ADS功能是为了在有限的高速公路上扩充动态驾驶任务，包括自动变谈，最高速率可达85mph。因为它是SAE L3级功能，它允许驾驶员减弱，致使从事其他事情。与统统SAEL 3级功能一样，驾驶员/用户必须保抓填塞的警惕性，以履行他/她算作准备禁受用户的事业（见图3中的SAE L3级界说）。另一方面，驾驶员不错礼聘我方驾驶（在 "Boost "模式下使用iNEXT）：车辆将像传统车辆一样运行，驾驶员将得到ADAS的辅助功能。

图片

图3. 根据SAE J3016的SAE级别界说SAE L3级BMW ADS不错识别其性能极限（见设计运行域（ODD）），并向驾驶员发出禁受肯求（TOR），有填塞的准备时期让驾驶员在达到系统极限之前扩充禁受（TO）。在不太可能的情况下，如果驾驶员莫得在这段时期内禁受驾驶任务，SAE L3级BMW ADS会扩充风险缓解操作，即尽可能安全地使车辆统统住手（见禁受（最小风险条目））。然而，有一些驾驶任务不属于SAE L3级系统的义务，因此仍将是驾驶员的事业的一部分。驾驶员将接受关系这些事业的证明（见浮滥者证明和培训）。这些事业包括，但不限于，以下义务：- 执照和驾驶证。- 确保莫得对车辆进行改装（如改装）。- 确保车辆有恰当其时驾驶条目的正确轮胎（冬季、夏令），而况这些轮胎处于精良状态。- 确保车辆总体上处于精良的驾驶状态（举例，雨刷片/挡风玻璃莫得裂痕）。- 驾驶员恰当操作车辆（莫得药物/乙醇毁伤，莫得打盹儿驾驶的风险）。- 驾驶员有填塞的警惕性，在SAE L3级BMW ADS的教唆下，或者禁受驾驶任务。 1. 东谈主机交互"东谈主机界面 "不错界说为互动系统（软件或硬件）的统统部分，它们为用户使用互动系统完成某项任务提供必要的信息和适度。应用于ADS，至少东谈主机界面应该或者通过万般指令器报告用户ADS：运行正常，当今正处于ADS模式，当今 "不可用"，遭受故障，和/或要求从ADS向用户进行适度调换。SAEL3级BMW ADS是根据行业最好实践和圭臬设计的。总之，东谈主机界面允许用户安全、舒心地使用SAE L3级BMW ADS。 以下部分的范围是描写BMW如何设计、开发、评估、测试和考据其SAE L3级BMW ADS的东谈主机界面（HMI）。几十年来，BMW一直在设计车辆的东谈主机界面的时候，效率以客户为导向和无干扰的驾驶体验的原则。跟着SAE L3级BMW ADS的推出，用户的驾驶体验将得到进一步加强，当在SAE L3级BMW ADS的设计运行域（ODD）内操作时，他们有契机暂时将动态驾驶任务（DDT）吩咐给ADS。通过恒久让用户了解SAE L3级BMWADS的状态以及他/她算作驾驶员和用户准备禁受的事业，车辆的东谈主机界面是已矣SAE L3级BMW ADS安全和舒心使用的要道部件。在统统这个词设计和开发过程中，BMW使用发轫进的方法来确保已矣这一愿景，从驾驶模拟器到试车场的驾驶测试媾和路交通的研究。1.1 自愿指导、最好实践、行业圭臬、设计原则、里面进程和公司政策除了联系的圭臬化文献和好意思邦交通部的联邦自动驾驶汽车政策指导中给出的圭臬开刊行径的空洞清单外，在BMW的东谈主机界面开发过程中，琢磨并应用了一些联系的指导、最好实践、行业圭臬和设计原则（见表3）。这个里面清单无间更新，以琢磨到发轫进的科学见解。同期，BMW依靠我方的里面进程，基于车辆的自动化水和善预期的驾驶员参与进度。根据SAE J3016，盼愿为DDT准备禁受的用户或者接受任何L3级BMW ADS发出的打扰肯求，并作出安妥的恢复。当驾驶员禁受驾驶任务时，SAE L3级BMW ADS应该传达统统必要的交通和环境信息，以确保安全驾驶。因此，为L3级BMW ADS系统的HMI开发与考据提供一个量身定作念的过程。为了开发一个可贯通的、容易使用的、安全的SAE L3级 ADS东谈主机界面，BMW依靠基于ISO 9241 "东谈主机交互的东谈主机工程学 "的反复以东谈主为本的设计过程，这也指导BMW的评估、测试和考据。这个过程的中枢是四个相互依赖的以东谈主为本的设计行径:1.    贯通并指定使用的环境2.    指定用户需求3.    提倡知足这些要求的设计决议4.    根据这些要求对设计进行评估咱们还试图通过积极促进自动驾驶的东谈主因研究方法的发展，并参与科学和群众究诘，来扩展现存的学问基础。 1.2 东谈主机界面设计BMW领悟到，对于任何仍然依赖东谈主类操作家算作准备禁受的系统（见SAE L3级界说），可能存在与驾驶员意志和参与关系的东谈主为身分挑战。因此，BMW的东谈主机界面的可贯通性是以安全为主要设计运筹帷幄对统统操作状态进行评估的。这是在统统这个词设计和开发过程中，通过大都的东谈主机界面评估、阅历性和非阅历性数据来完成的。同样地，在必要的时候，与其他谈路使用者的相易也被研究。为了支抓用户准备禁受，系统包括一个驾驶员监测系统，以不雅察准备禁受的用户是否清醒，是否坐在驾驶座上，是否系了安全带等。为了检测司机是否在TOR后禁受了驾驶任务，司机监控系统还包括标的盘上的双手检测传感器、转向扭矩传感器和踏板位置传感器。如果驾驶员操作用户界面元素，掀开车门，或试图换挡，这也将被传统汽车中使用的圭臬传感器检测到。BMW非常谛视确保东谈主机界面或者传达每一种操作状态，以及统统与驾驶员联系的额外信息。在这种情况下，如果信息能知足以下一个或多个运筹帷幄，就被界说为联系信息。- 旨在改变用户行径的信息（举例，当前的系统状态，如 "L3级BMW ADS激活"，用户不再负责扩充动态驾驶任务）。在iNEXT中，SAE L3级BMWADS的激活将通过不同的渠谈进行相易。一朝SAE L3级BMW ADS被激活，容貌盘上将出现相应的状态信息（见图4）。当SAE L3级BMW ADS被激活时，标的盘将被点亮为蓝色。(请谛视：统统炫耀的图像、标记、图形、HMI元素和文本驾驶员报告都是想法性的，在此仅作说明。)

图片

图4. 激活SAE L3级BMW ADS（示范性描写） - 炫耀系统状态和可能的限制（举例，系统不可用和系统故障）或不同的可能操作模式（举例，SAE一级驾驶辅助或SAE二级ADAS）的信息，用户可能会礼聘。表2中回归了SAE L3级BMW ADS的一些关键状态。

图片

表2.SAE L3级BMW ADS的状态- 使用户互动更直不雅的信息（举例，通过标的盘上的按钮图5(b)激活SAE L3级BMW ADS的说明，图5（a），以及证明按下的按钮被接受，系统将被激活，图5（c））。

图片

图5. 激活SAE L3级BMW ADS 正如BMW集成到系统中的其他功能一样，其开发运筹帷幄是一个易于使用、直不雅的东谈主机界面，并异常强调驾驶员的安全。与现存的系统（SAE L0级到SAE L2级）比较，驾驶员必须无间地监视这些功能，SAE L3级BMWADS可能--暂时--允许驾驶员从驾驶任务中迁移注见地，同期仍然要求他/她算作一个准备禁受的用户。这意味着必须幸免出现这么的情况，即驾驶员以为SAE L3级BMW ADS是激活的，而事实上它并莫得。因此，BMW实施了以下的设计决议。- 在L3级激活时，标的盘的心思编码照明被使用（见图6），以使驾驶员在职何时候都能第一时期意志到他们在驾驶任务中的事业。当SAE L3级BMW ADS处于激活状态并以全部才略运行时，标的盘会被照亮为蓝色。当SAE L3级BMW ADS向准备禁受的用户发出TOR时，标的盘的照明在着手炫耀预警告后变为黄色。如果驾驶员莫得实时反应这个TOR，下一个警告阶段将被触发，标的盘将被照亮为红色。

图片

图6.TOR：通过使用发光的标的盘和报告，让司机再行进入驾驶任务- 用户生效的TO也和会过不同的渠谈进行相易：标的盘的蓝色照明被关闭，并炫耀一条证明停用的信息，提醒司机他/她的事业，见图7。

图片

图7. 停用TO生效后，用户被报告系统的状态（提醒他们的事业） - 结合听觉和视觉元素（容貌盘上的图形动画，以及标的盘上猛烈明白的照明模式），以确保主动的SAE L3级BMW ADS和统统其他级别的自动化之间的过渡尽可能直不雅。- 针对用户所面对的特定场景，优化东谈主机界面的感官部分。 1.3 与联系利益方的相易和协调BMW竭力于于无间优化其测试和考据方法，并与该限制世界着手的巨匠进行透明的究诘（见良马与行业伙伴在《自动驾驶安全第一》白皮书上的协调）。因此，与平稳的大学和研究机构协调，并在会议和同业评议的科学杂志上发表BMW的测试和考据方法。还积极参与国度和海外资助的都集研究运筹帷幄，以鼓励和支抓共同认同的ADS HMI测试和评估方法，如欧盟资助的L3 Pilot款式。总之，这种方法和BMW的基本进程使其或者开发出L3级BMW ADS，或者在联系操作条目下保抓安全，同期提供优质的用户体验。1.4 L3级的使用安全对于不同级别的自动化进度的车辆（SAE L0-5级），用户的驾驶任务和事业跟着自动化进度的提高而改变，也便是说，每个级别对用户提倡了不同的要求（比较SAE J3016中按驾驶自动化级别辞别的东谈主类驾驶员和自动驾驶系统的扮装，如图8所示）。跟着SAE L3级自动驾驶系统的引入，模式发生了转变，因为这是第一次车辆使用者在自动驾驶系统启动时不需要监督它。因此，出现了事业辞别的情况，这就带来了模式杂乱的可能性。最关键的是，L2级和L3级很有可能被驾驶员浑浊，因为两者都影响纵向和横向适度--诚然一个需要抓续监督，另一个则不需要（见图9）。在具有不同自动化水平的车辆中（SAE L1级、L2级和L3级或更高），安全功能的一个非常关键和具有挑战性的运筹帷幄是用户对本色驾驶模式过甚附庸事业和（驾驶）任务的正确解释：○ 在模式调换的时刻。○在一定时期内以一样的自动化模式驾驶。

图片

图8. 白皮书 "自动驾驶安全第一 "中描写的用户和ADS在不同驾驶自动化级别中的扮装  为了促进第三级功能的安全使用，应该知足以下东谈主机互动的要道要求：○ 在激活，尤其是停用某种驾驶模式期间，以及在（由驾驶员发起的）从L3级到较低的自动化水平的过渡期间，可靠地检测驾驶员的预期行径（尽量减少假阳性和假阴性）。这一要求是指统统类型的HMI操作，包括长途适度。○ 以绝不疲塌和可贯通的方式标明本色的驾驶模式和驾驶员的事业。○ 促进对本色驾驶模式的自动化的安妥信任。发出真贵且易于贯通的禁受肯求（举例，结合声息和视觉信号），使车辆使用者有填塞的时期禁受东谈主工适度并再行赢得对步地的领悟。监视驾驶员的倦怠气象，并在禁受不受驾驶员气象影响的情况下尽早发出禁受肯求。这些要求在功能开发和考据阶段被琢磨在内。为了确保该功能恰当安全的东谈主机互动要求，对不熟悉自动驾驶的对象进行了大都研究，以测试、评估和考据该想法。这意味着受试者对测试中的系统莫得阅历或预先了解。每个要求都是通过安妥的使用来已矣的。每个需求都通过合适的用例和测量圭臬来已矣，这些用例和圭臬展示了用户如安在驾驶环境中处理任务。根据研究问题和联系用例，研究在驾驶模拟器或真正的汽车环境中进行。这些实证研究与阅历丰富的东谈主因研究东谈主员的抓续巨匠评估全部，有助于在开发阶段对想法进行稳步改进和优化，并为客户提供安全使用的功能。

图片

图片

图9. 根据SAE J3016，ADS的作用2. 运筹帷幄和事件检测与反应正如东谈主类驾驶员所需要的那样，SAE L3级BMW ADS必须抓续监测并对驾驶环境作念出反应。在监测方面，车辆使用一些集成传感器来感知其周围环境，这些传感器包括录像头、毫米波雷达、激光雷达和超声波传感器。这些传感器相互配合，以便为车辆提供其周围环境的360°视图，然后将感知到的环境与高潜入度舆图进行对照，以笃定车辆在谈路上的位置。这种感知还包括识别其他车辆和潜在的谈路危险，统统这些都由车辆的车载处理系统进行分类，它不错对东谈主、车、万般物体和潜在的危险情况进行分类。当车辆的环境被感知和分类后，使用来自传感器的信息算作输入来运筹帷幄安妥的下一步，然后车辆就按照这个运筹帷幄的旅途行驶。统统这些感应、运筹帷幄和行动都是在几分之一秒内发生的，而且是连气儿发生的，这么就为安全、无缝的驾驶体验创造了一个连气儿的反馈回路。将机器东谈主和自动化战略中经典的 "感知、运筹帷幄和行动 "框架改编为汽车ADS，该模子包括传感和感知（包括定位）、运筹帷幄和适度以及扩充和稳当，提供了一个与实施无关的一般不雅点。下图说明了这个一般的链路模子。

图片

图10. OEDR过程 当SAE L3级BMW ADS在其界说的ODD中运行时，它负责抓续检测与它的驾驶任务联系的ODD限制和对象，通过琢磨其行驶旅途表里的不同联系实体来决定安妥的反应，并扩充正确的驾驶运筹帷幄或与用户和其他谈路使用者互动。放纵当今，单一的传感器并不具备同期提供可靠、精准的检测、分类、测量和对不利条目的稳当性的才略。为了确保全面的可探伤性，需要一个多模式的方法来涵盖统统联系实体的可探伤性。这些实体包括但不限于界说允许操作区域的基础设施、其他谈路使用者、胁制物和交通指导象征或可见的车谈标记。为了说明必要的高精准度，SAE L3级BMW ADS正在使用一个高性能的竖立，包括几个雷达、几个录像头、一个激光雷达、几个超声波传感器和一个高清舆图，以捕捉统统外部的原地信息，并创建一个可靠的车辆周围世界的360°模子（见图11）。 

图片

图11. 传感器融会--多个传感器的组合，确保对周围环境的完满感知 不同传感器的规格描写如下（也见图12）:- 录像头：具有最高可索求信息含量的传感器，因为它或者捕捉到与东谈主类感知非常的可见足迹。笃定范围的精度有限，对不利条目的敏锐性高。- 激光雷达：对结构化和非结构化元素的高精度测量。对环境条目的敏锐性中等。- 毫米波雷达：对迁移物体的高精度探伤和测量，在雷达操作范围内有安妥的反射率，对天气条目有很强的适合性。- 超声波雷达：完善的近场传感器，或者探伤到与反射实体最近的距离。除了这套车载舱传说感器外，高清舆图被用作平稳的信息来源。它有助于提高功能的质地和可靠性，精准算计出汽车的位置，并提供关系学问，举例，高速公路的绝顶、可驾驶的车谈或易受伤害的谈路使用者（VRU）概率加多的区域。这对于确保该功能只在其ODD中界说的谈路类型上进展作用是很关键的。图12给出了所使用的传感器的优点和瑕玷的概述。 

图片

图12. 各个传感器的优点和瑕玷 万般传感器对万般不利的天气条目有不同的敏锐度。通过使用全部事业的传感器的组合，任何给定的传感器的局限性有可能被另一个传感器的上风所补充，从而允许增强功能，致使在对任何给定的传感器可能具有挑战性的条目下。因此，不同传感器的融会将导致在很大范围内的恶劣天气条目下的举座优异结果。在某些情况下，传感器或者在将数据传送到下一个处理单位之前，通过使用算计机视觉算法，用额外的信息丰富原始数据。举例，图13炫耀了经过处理的录像机数据，包括物体检测和分类，以及识别的交通象征和检测的车谈。

图片

图13. 从录像机传感器数据中进行物体检测和分类通过将统统这些传感器的输入和高清舆图的信息融会在一个处理单位中，ADS或者对周围的世界产生一个可靠的印象，这远远超出了单个传感器的范围。这种对当前环境的解释或者预测其他谈路使用者行将发生的行径。这极少很关键，因为如果不假定/预测其他交通参与者的将来位置，就不可能诡计被控车辆的畅通。基于当今的环境模子过甚预测的进展，该功能根据动态变化的谈路和交通气象礼聘一种驾驶策略，举例，通过调整车辆的速率或轨迹。这使系统或者在琢磨到驾驶员安全以过甚他谈路使用者的情况下，对当前的情况作念出安妥的决定。比如说：- 物体：只须莫得其他谈路使用者受到伤害，该功能就会幸免与可能带来安全危险的物体斗争（即，只须不危过甚他谈路使用者，就会转向以幸免胁制物）。- 易受伤害的谈路使用者（VRU）行东谈主：尽管并不盼愿在高速公路上往往遭受东谈主，但这种可能性老是存在的，因此，仍然要实施安妥的搪塞法子。如果一个东谈主位于车辆的运筹帷幄车谈上，SAE L3级BMW的ADS通过转向和/或制动，在给定的系统限制内尽可能幸免碰撞。如果该功能在通过一个站在BMW标的车谈旁的东谈主时，该功能尽可能地扩大与该东谈主的横向距离，并根据与该东谈主的可已矣的横向距离裁延缓度。- 易受伤害的谈路使用者（VRU）摩托车: 除了上头提到的行东谈主VRU，其他类别的弱势谈路使用者可能会在ODD内出现，包括摩托车。由于BMW集团亦然一家摩托车制造商，是以其机敏地意志到SAE L3级BMW的ADS在检测此类谈路使用者并作出安妥反应方面的特殊需求。BMW的传感器经过设计和考据，不错琢磨到摩托车，包括摩托车私有的情况，如分谈行驶。- 汽车: SAE L3级BMW ADS有一个协调驾驶策略。举例，该功能裁减其速率，以使其他汽车更容易加入高速路进口或出口的交通流。SAE L3级BMW ADS还不雅察其他车谈上的车辆以幸免横向碰撞。车辆的尾部由雷达和录像头监控，以促进安全变谈。如果在ODD内检测到不充分的条目，举例能见度差或风，该功能一般会裁延缓度，并加多与其他车辆的距离，如运行设计域（ODD）章节所述。此外，如果出现达到系统界限的情况，ADS会触发一个TOR给准备禁受的用户，并为安全过渡笔直动驾驶分拨填塞的时期。3. 运行设计限制（ODD）运行设计域是一组设计参数，SAE L3级BMW ADS在这些参数范围内运行。运行设计域包括为了使SAE L3级BMW ADS可操作而必须知足的统统条目。这些条目包括但不限于：地舆限制，举例，SAE L3级BMW ADS只可在有限的高速公路上使用；环境限制，举例，如果BMW车辆的传感器检测到恶劣天气，会妨碍准确感知环境的才略；以及东谈主类驾驶员的限制，举例，驾驶员必须系好安全带坐好，并保抓清醒，等等。当ODD的统统条目得到知足时，SAE L3级BMW ADS或者代替东谈主类驾驶员照料驾驶任务。一朝车辆达到其ODD的极限，车辆将向东谈主类驾驶员发出禁受肯求，以示他们应该还原对驾驶任务的适度。不然，车辆将还原到最小风险状态，这将使车辆停驻来。 ODD指的是SAE L3级BMW ADS的运行条目。这些条目包括但不限于环境条目，如天气和时期，地舆条目，如谈路类型和速率范围，以及法律要求。 在其地舆ODD范围内，SAE L3级BMW ADS只可在有限的高速公路上激活和运行，与交往车辆有连气儿的结构阻滞，莫得径直交叉的交通或环岛。这种谈路类型的特质是行东谈主和自行车出现的概率很小。对这些激活条目的遵照将由车载传感器检测，举例，录像系统，该系统正在监测像 "高速公路绝顶 "这么的交通象征，而况还将通过高清舆图提供的信息得到保证。地舆上的ODD包括地舆围栏的界限和这些界限内区域的统统适用的交通功令。琢磨到法律要求等万般身分，举例，SAE L3级良马ADS被设计为在0至85mph的速率下运行。此外，自动驾驶车辆抓续监测环境条目（环境ODD），以确保在统统条目下安全运行。举例，车辆的速率将根据一天中的时期、色泽条目、如果路面摩擦整个太小（举例，如果路面上有雪或冰）或风太强而调整（见图14）。如果章程的条目发生变化，无法再已矣安全驾驶，系统将自动向驾驶员发出TOR（如果合适），如果驾驶员莫得进行TO，则启动风险缓解操作。由于SAE L3级系统仍然要求驾驶员算作禁受用户，系统提供了一种方法来检测驾驶员是否在驾驶座上并系好安全带，以及他/她是否或者在章程的时期内禁受驾驶任务（举例，他/她莫得睡着），参见上述东谈主机界面（HMI）中描写的驾驶员准备状态监测。如果这些条目莫得得到知足，ADS将自动向驾驶员发出TOR，如果莫得发生TO，则迁移到最小风险状态。此外，如果SAE 3级BMW ADS检测到运筹帷幄道路上的任何特殊情况，如司机走错路或施工区，将向司机发出禁受车辆适度权的肯求。 

图片

黑丝内射图14.环境条目对OEDR的影响 为了正确检测这些界说ODD限制的不同条目，不同的机载传感器的输入与机外信息相结合。表4给出了ODD分类过程中使用的传感器和信息的概述。监测系统的功能是通过无间的自我会诊来保证的。条目传感器/监测旨趣示例驾驶速率轮速传感器谈路类型高清舆图，环境模子（车载传感器的融会）。摩擦整个来自环境模子的摩擦整个（融会车载传感器）。横风偏离瞻望轨迹，温度温度传感器路面和几何格局 环境模子（融会机载传感器），高清舆图(如歪斜度、横坡、坑洞等)环境模子（车载传感器的融会），雨量传感器雨、雪、雾BMW车外服务器极点天气条目车内录像头、座椅占用垫、安全带扣、踏板位置传感器、标的盘上的双手检测传感器、转向扭矩传感器表4. 在ODD分类过程中使用的传感器和机外信息由于BMW集团无间提高其家具的质地，运筹帷幄是通过 "空中"（OTA）更新来无间扩大ODD的范围，以提高安全性和最好客户体验。与安全关系的ODD的关键变化将触发本自愿安全自我评估的更新。  4.联邦、州和地点的法律和法例统统在好意思国销售的BMW汽车在设计上都恰当联邦、州和地点对其设计、制造和性能的适用要求。iNEXT的出产版块将有传统的手动适度，将或者像其他BMW车辆一样驾驶，并将按照当今的要求制造。然而，由于SAE L3级BMW ADS将禁受对驾驶任务的适度，在SAE L3级BMW ADS模式下操作时，它还将琢磨到与车辆操作关系的联系州和地点法律，或 "谈路功令"。BMW领悟到，自动驾驶系统的法例正在制定过程中。因此，BMW正积极与利益联系者斗争，以分享BMW对ADS的作念法，并为潜在的新法例提供意见，这些法例将照料配备ADS的车辆的开发和部署到商场。在此期间，BMW正在根据联系行业和政府组织制定的最好作念法，玉成地部署其SAE L3级BMW ADS。举例，好意思国国度公路交通安全照料局（"NHTSA"）仍是在其联邦自动驾驶汽车政策（"FAVP"）中公布并更新了其对ADS测试和部署的指导。BMW公司根据NHTSA在FAVP和后续指南中提倡的建议，提交了本自愿安全自我评估。由于监管框架条目可能跟着时期的推移而改变，BMW正在为其ADS车辆配备空中（OTA）更新功能。这么，SAE L3级BMW ADS就不错在将来以安全和正当的方式运行。 遵照法律要求对BMW集团来说是最关键的。这包括遵照算作自我认证过程一部分的统统认证要乞降遵照适用的谈路交通法。4.1 认证要求基于BMW iNEXT的量产车正在开发中，既不错算作传统车辆驾驶，也不错在SAE Level 3 BMW ADS提供的SAE L3条目自动驾驶模式下驾驶。由于该车仍然具有传统的标的盘和传统的适度安装，统统适用的联邦纯真车安全圭臬（FMVSS）都将得到知足。ADS的快速发展当今仍口角常了相应法例的发展。BMW集团积极与世界各地的联系机构和利益联系者协调，支抓ADS法例的制定。BMW还与行业团体和NHTSA协调，鼓励新的FMVSS的发展，这将(a)简化新安全工夫的创新，(b)鼓励高度自动化汽车工夫的安全。在将来，新的FMVSS和/或对现存FMVSS的修改可能会琢磨到莫得传统适度或传统座椅位置的车辆。BMW在推动这些校正和新圭臬的制定，并将络续与好意思邦交通部（USDOT）和NHTSA斗争，因为他们正在寻求优先琢磨、制定和实施这些圭臬。BMW集团猛烈支抓制定联邦AV立法。一个寰宇性的工夫中立的自动驾驶汽车监管框架将有助于加强NHTSA现存的安全监督，并将补充USDT在自动驾驶汽车政策指导方面的反复事业。此外，联邦反车辆立法将推动这些冲突性的工夫，同期支抓好意思国的研究和投资。同期，BMW集团高度颂传颂邦交通部和NHTSA在《2016年联邦自动驾驶汽车政策》中发布了对于配备ADS的车辆的指导意见；更新的《2017年自动驾驶系统。安全愿景2.0》；2018年《自动驾驶汽车3.0》。为交通的将来作念准备；以及2020年的《确保好意思国在自动驾驶汽车工夫方面的着手地位》。自动驾驶汽车4.0。这些文献为发展配备自动驾驶汽车的安全车辆提供了一个框架，并轨则了联邦和州在迎来这个个东谈主交通新时间中的安妥扮装。4.2 谈路法例谈路法例时时由州和地点政府制定。良马集团的有条目自动驾驶SAE 3级ADS的安全部署需要遵照这些法例，以促进与传统谈路使用者的互动。在L3级中，一朝SAEL3级BMW ADS参加使用，ADS将扩充统统的操作性驾驶任务，即SAE第3级功能在参加使用时也将负责遵照统统适用的车辆操作功令。对于那些与车辆在交通中的操作莫得具体关系的交通法例（举例，确保货品被正确固定，并在需要时正确使用儿童安全座椅），驾驶员/落地准备用户仍将负责。遵照适用的谈路交通法是OEDR的一个关键部分。如同对自驾车系统行径的其他要求一样，咱们在自驾车系统内竖立界限，以促进遵照适用的谈路功令。哪些谈路功令是适用的，也取决于ADS的ODD：由于BMW的SAE 3级BMW ADS被设计为只在有限的高速公路上运行，是以异常暖热适用于高速公路情况的谈路交通法。因此，BMW的SAE 3级BMW ADS被设计为对路标、追随距离和速率限制作出安妥的反应。像任何东谈主类一样，ADS在某些外部条目下需要优先琢磨谈路功令，以调理交通安全。一个例子是，为了幸免撞车，不得不穿越实心车谈象征（举例，当两条高速路合并时）。在BMW的家具开发过程中，BMW将在SAE L3级BMW ADS系统推出之前，查验SAE L3级BMW ADS系统设计的每一条道路（见后文考据与证明）。为此，BMW集团将部署配备传感器和录像头的测试车辆，以网罗数据，用于考据和完善操作其ADS平台的车辆软件。考据过程的一部分将是确保统统的车辆系统和软件全部事业，或者按照联系的谈路交通法在其ODD内操作车辆。 此外，BMW的高清舆图还充实了其他信息，如特定地区的交通象征和速率限制。为了琢磨到谈路交通法的地区各别，ADS根据其当前位置（地舆围栏）旁观一个包含统统适用谈路交通法的数据库。不一致的地点将被旁观，如果需要，舆图数据将被相应更新。BMW也领悟到，"谈路功令"往往跟着时期的推移而改变。因此，BMW集团将设计其自动驾驶车辆，以适合因法律要求的变化而需要对其ADAS和ADS进行软件更新（包括在经销商处和通过OTA）。BMW将有一个评估团队负责抓续监测法律的潜在变化，并将与实施团队全部参与实时的监管斗争和提前诡计，以确保知足适用的终末期限。 5. 禁受（最小风险条目）对于SAE L3级系统，当接近ODD出口或出现ADS故障时，一个接受才略强的 "准备禁受用户 "应准备好禁受驾驶任务。在SAE L3级BMW ADS的情况下，BMW iNEXT车辆的出产版块将在车辆笃定不再知足上文第3章中胪陈的条目时将车辆的适度权吩咐给东谈主类驾驶员。运行设计限制(ODD)不再知足，或者如果ADS系统出现故障，使SAE L3级BMW ADS不可统统保抓对驾驶任务的适度。在系统需要禁受时，SAE L3级BMW ADS将以视觉、听觉和触觉警报的形式向东谈主类驾驶员发出一连串的警告，其挫折进度越来越高。这个警告级联包括SAE L3级BMW ADS的禁受肯求，并诓骗上文第1章东谈主机交互界面中胪陈的HMI。如果准备禁受的用户（即东谈主类驾驶员）不接受禁受肯求的警告，SAE L3级BMW ADS将扩充一个风险缓解操作。这浮浅地意味着，如果到达路肩不可行，举例在交通忙绿时，车辆将采取一种行动，直至并包括将车辆在硬路肩或交通车谈上安全泊车。 由于系统和ODD的限制（地舆和/或环境），可能会出现ADS的抓续安全运行不再可能的情况。这可能是由以下原因酿成的：- 接近ODD的限制（上文第3章运行设计域（ODD））。- 通过连气儿监测联系车辆数据检测到的ADS里面的故障。- 通过传感器自我会诊检测到的退化状态下的操作。一个SAE 3级系统的用户恒久是回退准备用户。在上述条目下，SAE 3级BMW ADS将要求规避准备的用户达到最小风险状态或禁受驾驶任务。如果驾驶员在章程的时期内莫得恢复这一肯求，系统将扩充一个风险缓解动作。在TO过程中，ADS将络续扩充驾驶任务，可能是在有限的功能范围内（举例，在后视传感器故障的情况下不扩充变谈）。为了在TO过程中支抓用户并确保抓续的安全驾驶，ADS会抓续监测准备禁受的用户并在职何时候评估他/她的TO准备情况。警告级别的特质适合于情况的紧迫性。警告级别的开发接纳了不同的模式和万般东谈主因研究，方法万般，以确保安妥的驾驶员反应和对驾驶员的支抓（见图15）。 

图片

图15.减轻风险禁受过程在接近ODD极限时，警告级别包括一个初步/严慎的TOR（第一个警告），在章程的反适时期事后，一个行将发生的TOR（第二个警告）。跟着第一个警告的发出，SAE L3级BMW ADS标记从绿色切换到黄色。此外，东谈主机界面炫耀出收拢标的盘的手。如果驾驶员不遵照要求，第二次警告出现，标的盘的心思变为红色。这个视觉警告伴跟着一个声息问号。在第三阶段，通过炫耀一个能干的红色标的盘和一个声息问号来发出警报。在不太可能发生的情况下，如果准备禁受的用户不遵照TOR，仍是实施了一个风险缓解功能。在这种情况下，车辆在琢磨到当前的交通气象、系统的剩余功能才略和情况的严重性的情况下，试图达到一个最小的风险状态。风险缓解策略可能根据这些条目而变化，根据情况可能包括停在路肩上或停在当前的车谈上（举例在交通堵塞中或如果失败的传感器不允许安全变谈）。良马汽车将根据情况找到一个安妥的处置决议，将其他谈路使用者的风险降到最低。一朝车辆到达安全位置，危险灯就会掀开，并触发一个挫折招呼（eCall）。 

图片

图a 变谈泊车到路肩的功能       图b 在行车谈上停住的功能图16. 风险缓解过程的不同实施方式 如果激活的L3级BMW ADS检测到车辆行将与另一个谈路使用者或胁制物发生碰撞的危险，而况莫得填塞的准备时期将适度权交还给驾驶员，那么ADS会在必要时延缓至统统静止和/或自行扩充自动规避动作，而无需驾驶员的额外输入。

图片

图17.BMW iNEXT想法车中的冗余部分 此外，在评估风险时，触发禁受的频率是至关关键的。BMW集团仍是实施了不同的安全法子，以尽可能地减少这种频率。除其他外，这包括让驾驶员为TO作念好准备的法子（见第1章。东谈主机界面（HMI）），照料安全TO的时期预算，以及实施高水平的功能安全和冗余（见第9章，系统安全）。统统安全操作车辆所需的安全系统都有备份系统（见图17）。正如其他功能一样，SAE 3级BMWADS后备系统将根据良马集团家具开发的高圭臬进行开发，包括功能安全、使用安全以及考据和证明。  6. 防撞性被迫安全对于任何车辆的设计都很关键，岂论是否自动驾驶。此外，这款基于良马iNEXT的量产车将具有“双重用途”，既不错使用传统手动适度，也不错在良马SAE L3级ADS模式下已矣自动驾驶。因此，iNEXT的被迫安全开发与良马其他车型的传统被迫安全开发进程莫得什么不同，并领有与良马其他车型一样的高耐撞性。具体来说，良马琢磨了联邦汽车安全圭臬(FMVSS)章程的设计要求，并琢磨了好意思邦交通部的新车评预运筹帷幄(NCAP)和公路安全保障协会(IIHS)顶级安全奖等碰撞性能评估测试。由于SAE L3级的BMW ADS要求“备胎”用户或者接受再行赢得驾驶任务的适度权，是以出产版的BMW iNEXT想法车保抓了传统的座椅位置(即莫得旋转座椅)。同样，车辆为统统其他乘客保抓一样的传统安全机制(安全带、安全气囊等)，这么岂论车辆以何种方式行驶，都能提供保护。终末，出产车辆将在车内加入行东谈主保护法子，包括主动(自动挫折制动)和被迫(收受能量的保障杠/引擎盖)。 客户的安全对良马集团来说至关关键。因此，在职何一款新车的家具开发过程中，“耐撞性”的话题都是重中之重。基于v型模子(见图18)，在开发过程的一脱手，就对新车的耐撞性要求进行了界说。在界说需求时，咱们琢磨了最新的研究结果、通用圭臬测试、基于事故研究的里面碰撞场景和里面阅历，更无须说基于法例的测试和全球浮滥者利益组织建议的测试。车辆层面的这些需求被调动为子系统的需求，并不才一步调动为单个组件的需求。在该过程的第二部分，对零部件、子系统和整车需求进行了考据。

图片

图18 碰撞考据6.1 乘员保护可系列的出产版块的BMW iNEXT不错礼聘配备SAE L3级 BMW主动安全ADS系统。因为统统良马汽车测试，以知足或非常他们的商场的安全法例包括FMVSS，以及琢磨浮滥者测试(NCAP)和良马集团的里面圭臬，ADS和非ADS车辆都将以同样的方式保护车内东谈主员。由于SAE 3级车辆属于“双用途”车辆，因此乘员保护将知足统统传统乘用车所需要知足的一样监管要求。BMW集团领额外十年的汽车开发阅历，以知足FMVSS的要求，BMW iNEXT想法车的出产版块将诓骗这一阅历。为了在ADS和非ADS车辆中提供一样水平的乘员保护，两种车型都配备了一样的圭臬碰撞感应系统。此外，SAE L3级BMW ADS系统还配备了用于OEDR的更多传感器。这些额外的传感器专注于不雅察车辆外部发生的情况。增强的传感才略有助于加多ads车辆的主要上风——或者减少导致事故的要道情况的数目。BMW集团将络续研究这些新式传感器在改善乘员保护方面的潜在自制，以及碰撞前算法的潜在增强。使用SAE L3级BMW ADS时，准备禁受用户必须在很短的过渡时期履行禁受扮装，因此改变圭臬的座位位置和里面配置的设计允许司机在必要时赶紧赢得适度权。因此，有条目的自动化铲除了提供革新性的座位位置。在实施之前，即使是对座椅或标的盘位置进行狭窄的调整以提供模式感知，也要评估它们在碰撞情况下对乘员负载的影响。良马SAE L3级ADS的激活要求之一便是要系好驾驶员的安全带。BMW iNEXT想法车的量产版将配备翻转传感器和惯性传感器、压力传感器，以启动收敛系统和关闭高压电动系统。这些机制将在第7章碰撞后激励的行径中详细究诘。在儿童安全方面，出产BMW iNEXT汽车将达到或非常好意思国安全法例的要求，并琢磨到全球的NCAPs。这包括在后排座椅的外侧位置的儿童收敛系绳位置，以及安装儿童座椅评估在一些完满的车辆碰撞测试。儿童座椅检测也集成到前排乘客座位位置，根据FMVSS 208圭臬。6.2 结构完满性结构完满性是一项里面要求，适用于统统碰撞测试的BMW集团车辆的发展。这些碰撞测试包括好意思国、欧洲经委会、日本、韩国、中国的官方章程，以及全球浮滥者组织的测试，以及良马集团我方的里面测试。琢磨到这些测试的数目和种类，最终的车辆结构设计是为了均衡碰撞产生的能量分散和车辆的负载旅途，这些旅途的作用是分拨来自许多不同标的和角度的力。算作一款面向全球商场开发的汽车，因此需要接受大都监管机构的碰撞测试，出产出来的良马iNEXT汽车将领有强劲的结构布局。在良马集团的工场进行第一次碰撞测试之前，基于仿果真捏造版的BMW iNEXT汽车仍是经历了无数次的正面、侧面和后部碰撞。岂论是从FMVSS 200或300系列圭臬，如故从浮滥者组织测试，原型开发的多个阶段都有助于考据和考据模拟(参见图18)。诚然捏造测试提供了可贵的见解，但BMW也依赖于物理碰撞测试:在车辆到达第一个客户之前，仍是进行了100屡次完满的车辆碰撞测试。破碎性组件测试提供了一些谜底，以提高捏造世界的准确性。 FMVSS 208:乘员碰撞保护(前碰撞)

图片

图19所示:正面碰撞FMVSS 301/305:燃料系统完满性、电解液泄漏和电击保护(后碰撞)

图片

图20:后碰撞FMVSS 214:侧面碰撞保护(侧面碰撞)

图片

图21:侧向碰撞保护其他谈路使用者BMW iNEXT的出产车辆正在研发中，以保护行东谈主和其他脆弱的谈路用户以过甚他谈路车辆。自动挫折制动(AEB)和行东谈主自动制动(AEB)将成为好意思国商场上的iNEXT的标装家具，它能探伤行东谈主，并对行东谈主作念出反应，已被证明能灵验地减少事故总额。即使ADS不在时，这些系统也处于行径状态。 主动安全安全辅助功能在耐撞性方面进展真贵要作用:它们是第一谈防地，有助于幸免碰撞和/或减轻碰撞的严重进度。图2列出了当今BMW系列车辆的主动安全功能。通过现场灵验性评估，量化了BMW当今在商场上的主动安全功能的灵验性。评估2014年至2017年出产的BMW汽车，同期配备自动挫折制动和车谈偏离预警系统的车辆在配备至少一种收敛系统的情况下，发生碰撞的可能性比未配备收敛系统的车辆低23%。肖似地，先前在图2(先容)中列出的其他ADAS安全辅助功能为BMW iNEXT提供了幸免或减轻碰撞的额外契机。2016年，BMW集团签署了一份对于实施AEB的宥恕备忘录(MoU)， AEB提供了上前碰撞预警和碰撞挫折制动的结合。在这份宥恕备忘录中，BMW集团甘愿在好意思国出产的统统轻型汽车中，至少95%配备AEB。该系统不错匡助驻扎与静止的车辆或前边行驶的车辆，以及过路的行东谈主发滋事故。在许厚情况下，如果无法驻扎崩溃，系统会匡助裁减碰撞速率。在许多危境情况下，驾驶员会收到对于可能发生碰撞的两阶段警告(早期警告和急性警告)，见图22。配合急性预警，车辆不错由系统延缓到最大的全延缓。根据不同的情况，车辆不错刹车到统统停。

图片

图22：AEB警报信号此外，警告阶段的不同阶段会传达给司机:- 红色照明车辆:预先警告-一级警告，举例，在瞻望有碰撞危险或与前哨车辆距离很近的情况下。- 红色能干带声信号的车辆:当该车辆以较高的差动速率接近其他物体时，可发出挫折警告信号，以搪塞行将发生碰撞的危险。 7. 碰撞后激励的行径良马iNEXT想法车的量产版将或者进行自我会诊，包括在碰撞后。如果车辆以为SAE 3级BMW ADS的功能无法以安全的方式调理，将向东谈主类驾驶员发出禁受肯求，SAE 3级BMW ADS将不再可能再行激活。对于更严重的事故，出产的iNEXT车辆将效率与其他BMW车辆肖似的范例。更具体地说，在碰撞前触发安全气囊保护乘客，设计合理的策略保证开门在碰撞后仍可掀开，断开高压电板，激活危险警告灯，刹车以减少潜在的斗争从事二次碰撞，和BMW发起挫折电话招呼中心等操作，保证车辆在发生碰撞后乘客及谈路使用者的安全。 BMW SAE L3级ADS的主要运筹帷幄之一是，通过可靠的细心肠驾驶策略，减少与手动驾驶比较发生严重车祸的可能性。如果系统预测行将发生的碰撞无法通过规避操作幸免(举例，因为有其他交通参与者)，主动保护系统将以裁减碰撞的严重性为先决条目。ADS和传统BMW车辆接纳的碰撞检测系统是一样的，举例惯性畅通/加快、压力和侧翻传感器。这意味着将优先检测乘员受伤概率高的碰撞事故。诚然系统也不错检测到较低严重进度的碰撞事故，但检测和反应这些碰撞的事业就落到了SAE L3级ADS的准备禁受的用户身上。由于系统的反应取决于影响的严重进度，出产BMW iNEXT车型根据严重进度接纳互补和相通策略。7.1 自我会诊算作一个原则问题，ADS系统无间扩充自检和考据，以确保安全运行。这包括(但不限于):- 传感器性能(举例，不对中，污垢)- 电子/电子元件的可用性和完满性(如电源)- 机械完满性(举例，轮胎压力，底盘对都)如果车辆部件在碰撞过程中损坏，系统将尝试通过第9章中描写的冗余禁受部件来扩充指定的碰撞后行径。如果冲击对惯性传感器来说太低，这种自我会诊也会起作用。7.2 再行激活功能唯独通过统统查验才可能再行激活。这些查验发生在低或高严重影响，维修后，或只是在驾驶时。这些查验并不仅限于在崩溃之后才扩充。如果碰撞损坏了任何组件(举例，损坏或错位的传感器)，故障将由系统自己检测到，而不可能再行激活SAE L3级BMW ADS功能。岂论如何，在检测到碰撞后，如果莫得联系的损坏，而况检测结果精良，则需要再行启动车辆进行统统查验，并再行启用SAE L3级BMW ADS功能。对于任何老例驾驶的车辆，SAE L3级车辆的驾驶员仍然有义务确保车辆在碰撞后的可行驶性。在调理或维修行径之后，不需要扩充当何具体的行径。通过上述究诘的自会诊，确保了安全的激活和操作。任何莫得按照良马集团维修表率进行的维修或调理行径都可能导致故障的自我会诊。 7.3 事故后(包括安全气囊)除上述过程外，惯性传感器检测到碰撞后，ADS将扩充以下技艺:1)司机被提醒并发出一个TOR(参见第五章)。禁受(最小风险条目))。2)如果驾驶员莫得或无法还原驾驶，琢磨到对系统的毁伤，扩充风险缓解策略，见第5章。禁受(最低风险条目)3)扩充了传统(非ads)驾驶的事故后机制。碰撞后策略示例：1.    自动开门。2.    高压电板断开。3.    启动危险警示灯。4.    触发/启动后碰撞AEB。5.    eCall(见下文)。ADS的车载电源系统另一个事故后的法子，SAE L3级BMW ADS是断开其车载电源系统。如第9章所述。在系统安全方面，BMW集团以为有必要对SAE L3级的BMW ADS车载系统进行一定进度的冗余。当一个电源系统都出现故障时，第二个基将用于用户或者系统的禁受，以使风险降到最低。良马SAE 3级ADS系统的失效是通过车辆通讯总线来扩充的。碰撞报告会掀开ADS电板中的一个半导体开关，并禁用/关闭ADS车载电源系统。挫折招呼(eCall)在某些条目下，如触发安全气囊，在相应严重进度的碰撞后，会立即发起自动挫折招呼的挫折肯求。碰撞自动报告不受按SOS键影响。当与良马反应中心建立联接时，eCall LED能干绿色。随后，良马救急中心与乘客取得商酌，并采取进一步法子匡助他们。即使车内的东谈主无法作念出反应，BMW反应中心也不错在特定情况下采取进一步的法子来匡助他们。为此，车辆确当前位置(如果有的话)等数据将被传输到BMW反应中心，以笃定必要的援救法子。 8. 数据纪录与分享统统BMW汽车都配备了事件数据纪录仪(edr)，按照NHTSA的章程，它就像航空中使用的“黑匣子”一样，纪录事故中的联系信息。除了传统的功能，家具的出产版块的BMW iNEXT想法车将配备扩展功能性情以及额外的数据采集设备来纪录万般数据点，不错安全地送到BMW后台服务器用于将来的家具改进。客户的良友躲闪是最关键的。因此，BMW遵照统统适用的数据躲闪法律和指导方针，包括加州浮滥者躲闪法案和汽车制造约定约躲闪指导方针。为了与这些圭臬保抓一致，BMW为其客户提供了退出用于家具改进的数据网罗的契机。在发生碰撞的情况下，车辆会存储一些数据点，可能用于碰撞的重建和分析。存储在EDR上的数据是加密的，唯独在车辆统统者的明确许可下或在适用的法院敕令下能力旁观。用于家具改进主张而分享给良马后端的数据不会被个东谈主识别。 8.1 主张和概述统统配备了高度自动化驾驶工夫的BMW汽车，比如SAE L3级的BMW ADS，都具有大都的数据纪录功能，不错准确地再现撞车联系事件。这些事件不错分为两类:- 径直参与(举例，碰撞、接近碰撞或幸免碰撞的情况);- 迤逦参与(如二次碰撞引起的纯真车辆的驾驶时在自动模式下，尤其是司机不在环，也便是说，司机莫得谛视到二次碰撞，因为他/她是从事其他允许任务而SAE L3级ADS)。为了已矣这一主张，传统的事故数据纪录仪(EDR)恰当事故数据纪录的监管圭臬，将配备一个额外的数据存储设备，用于纪录车载系统、驾驶模子和环境数据的信息。该数据纪录系统具有自会诊功能，并安全地存储数据，驻扎数据丢失、操作和未经授权的旁观，即使在碰撞的情况下也能保抓数据的完满性。数据纪录系统存储来自车辆的预界说数据集，包括传感器数据(也可能包括录像头数据)、车辆动作(OEDR)、任何禁受行径和故障(举例:触发TOR的任缘何障和/或过渡到最低风险条目，以及任何与坠毁联系的事件重建所需的其他信息)。BMW iNEXT车载和车载下的安全数据存储恰当适用的躲闪法律和法例，举例联邦法律(如《躲闪法》)和州法律(如加州浮滥者躲闪法)。此外，算作汽车制造约定约(现为汽车创新定约)的成员，良马集团效率“汽车浮滥者躲闪保护原则”，该原则于2014岁首度制定并于2018年更新。除了因为法律/事业原因而纪录的车辆数据，数据网罗亦然SAE L3级BMW ADS抓续改进的一部分，举例提高舆图质地、识别谈路变化、向其他车辆通报挫折情况等。这些数据用于家具开发过程中，为客户提高万般功能的质地。为此，联整个据被发送到安全的后端，并提供给开发部门进一步分析。客户被报告这些数据网罗行径，如果他们礼聘不支抓这些性情的开发，他们不错决定关闭日记纪录功能。这些数据有助于了解功能的使用情况，并在经过澈底考据后与统统这个词车队分享改进。8.2 数据纪录(a)数据纪录水平事件数据纪录仪中的数据存储根据自动化进度分为以下几个部分:- Basic EDR:崩溃联系事件的基本信息，用于崩溃算法的重建- DAS EDR:驾驶辅助系统(DAS)对碰撞联系事件的影响- HAD EDR:高度自动化驾驶(HAD)SAE 3级+系统对车祸联系事件的影响。与法律/事业联系的碰撞数据被尽可能安全地存储在这些EDR片断中，在抗碰撞的永恒内存存储中。 (b)纪录数据 在发滋事故的情况下，仅提供法律要求的数据和事故所必需的数据重定都储存在车内。这包括以下数据:- 车辆和乘客状态:指令灯、警示灯、乘员状态(座位占用、安全带状态、座位位置)、VIN等。- 收敛系统状态:已部署安全气囊、安全带张紧器等。- 碰撞动态数据(从t = -100ms到t = 300ms):加快度值(x-， y-， z-轴)，delta-v(纵向和横向，碰撞前车辆的矢量差，速率和碰撞后车辆速率)，偏航率，偏航角等。- 碰撞前阶段数据存储在BasicEDR中(从t = -5s到t = 0s):车辆速率、油门踏板位置和刹车踏板激活、转向角度、转速、ABS、GPS位置和时期、里程、转向灯、危险警示灯激活、DSC打扰/状态等。- 碰撞时数据存储在DAS EDR (t = -12 t = 0):高档驾驶员辅助系统(ADAS)功能状态、警告，手在肯求(小时)/禁受肯求(TOR)手(HO) /禁受()，最小的风险操作，车辆纵向打扰和/或横向指导，等等。- 对于SAE L3级及以上的ADS，HAD EDR不错存储撞车前30秒的数据。 如果驾驶者莫得激活SAE L3级BMW ADS，则不会存储任何关系SAE L3级BMW ADS的数据。礼聘ADS (SAE L3级及以上)联系的驾驶数据会被纪录并存储在车内，最长可达3个月，然后自动袒护(缓冲区)。 当车辆达到以下触发阈值条目时，就会发生万古回首数据纪录:- 幸免碰撞:幸免由AEB打扰引起的碰撞(莫得损坏车辆)。- 近撞:车辆在x轴或y轴标的的速率变化不小于在150ms的断绝内5mph(莫得部署收敛系统设备)。- 碰撞:安全气囊或其他收敛系统安装的伸开(举例，安全带张紧器)。唯独在发生碰撞时，通过安全气囊或其他收敛系统安装，永恒回首中的纪录数据才会被锁定，不会被进一步袒护。不然纪录的数据会被袒护。(c)数据检索数据存储在车辆中，不错通过法院敕令或车辆统统者的肯求(在车辆领有期间)通过OBD端口和/或径直从事件数据纪录器组件(安全气囊适度单位)检索。长途数据检索尚未已矣。法律章程的数据不错用可用的读出用具检索。统统存储的数据都在每个EDR系统中加密。8.3 数据网罗 (一)基本原则 除了EDR系统除外，这些车辆还配备了一个基础设备和功能，不错根据需要网罗数据，举例，当使用某个功能时。一些功能，如挫折招呼或自动驾驶功能，需要一个后端联接来发送和接收数据，这是其功能想法的一部分。这个通讯通谈使用的一个非常着名的性情是舆图上的交通讯息和舆图自己。为了AD的安全性，当车辆遭受危境情况时，它不错报告隔壁的车辆，使其或者赶紧作念出反应。这是当今实施在BMW汽车，报告其他BMW司机危险的交通条目，举例。 此外，需要从车辆的数据来提高功能的质地，异常是在不寻常的驾驶情况下。如果发生这么的事件，将向后端发送一组分析所需的数据。触发器条目和联整个据是在开发过程中界说的，但不错在数据网罗过程中修改，以获取联系信息。(b)数据保护和安全 网罗和发送到后端的数据经过仔细处理，以知够数据保护的统统法律要求。这包括车辆和后端之间的加密传输，以及通过最终存储对统统这个词数据链的依期评估。BMW集团建立了里面数据保护评估进程，确保车辆特定数据的所额外据纪录和处理行径的数据保护和安全。数据处理的变化将导致更新数据保护评估。(c) 匿名化 数据的匿名化是车辆从接收数据到存储数据的一个关键技艺。一般而言，无须提供个东谈主良友。因此，咱们只纪录灰度图像数据，并将分辨率裁减到所需的最小值。BMW不会使用在SAE L3级场景中网罗的任何数据来识别任何东谈主。举例，任何被视频捕捉到的东谈主都被浮浅地归类为“交通中的迁移物体”。 9. 系统安全量产版的BMW iNEXT想法车将是，一般而言，就其系统的发展而言，莫得不同于任何其他BMW汽车。换句话说，BMW效率一样的开发进程，以确保统统车辆的系统安全。这些进程包括功能安全性海外ISO圭臬(ISO 26262)和预期功能安全性(ISO/PAS 21448)以过甚他强劲的BMW里面进程。功能安全进程需要进行危害分析和安全风险评估，这赋予了汽车安全完满性等第(ASIL)的属性。对于高度安全联系的功能，仍是建立了特定的冗余，以便这些系统的故障不会酿成分歧理的安全风险。这种情况不错分为三类:“故障操作”，即一个传感器可能出现故障，但冗余传感器不错络续安全运行系统;“故障左迁”，当故障发生时，系统仍可运行，但可能不具备全部功能;“故障安全”指的是系统不再运行，但故障不会酿成不安全的情况。第5章究诘的风险缓解策略是SAE L3级BMW ADS故障安全主宰的一个例子：禁受(最小风险条目))。跟着SAE L3级ADS的改进，一个强劲的更新过程变得至关关键。iNEXT出产车辆将配备空中(OTA)更新才略。这些软件更新在开发、考据和部署策略方面效率行业最好实践，以便实时请托给车辆。 BMW集团在安全创新方面有着悠久的历史，其开发过程基于已矣系统安全的系统方法。 9.1 设计和考据过程 在畴昔的几年里，越来越多的先进功能被引入到车辆中。这些先进的系统严重依赖于传感才略、复杂算法的处理，以及通过电气和/或电子(E/E)系统驱动。 BMW汽车的坚固性和可靠性都很高。这是惟一可能的，因为稳当安全的设计是BMW集团的设计考据和考据过程的一个构成部分。对于安全联系系统，这是最关键的。 为了确保过程和家具的安全性的最高可能的稳当性，BMW仍是纳入了外部和里面的安全圭臬。BMW集团的设计进程包括ISO 26262功能安全、ISO/PAS 21448预期功能安全(SOTIF)的应用，以及一系列里面进程，包括但不限于开发范例框架“理念提供”和整车电动/电子集成进程。 车辆安全是“莫得因E/E系统故障而产生的分歧理风险”(ISO 26262)。ISO 26262进一步描写了危害分析和风险评估:危害分析和风险评估侧重于由部件故障引起的潜在风险。基于这一评估，不错界说裁减这些风险的高档安全运筹帷幄。此外，ISO 26262包含了驻扎和减轻系统故障和速即硬件故障的要乞降建议，这些故障可能会对安全运筹帷幄的已矣产生影响。 即使一个系统依靠传感器来识别其周围环境，莫得任何ISO 26262中章程的故障，预期的功能或系统的性能限制可能会导致潜在的危险行径。这就导致了SOTIF的界说:由于这些与此类限制联系的潜在危险行径，不存在分歧理的风险。一个要道的安全身分是确保用户正确贯通ADS，这将在第12章中详细究诘。浮滥者证明。 统统这些安全圭臬都依赖于一个基本的安全想法:他们的运筹帷幄是摒除不可接受的风险。ISO 26262为安全ADS的开动设计提供了有用的指南，以知足这一运筹帷幄。因此，BMW集团将ISO 26262界说的“基于风险的方法”恒久如一地承接于统统这个词家具开发过程。图23炫耀了如何使用风险裁减方法的界说(根据ISO 26262的汽车安全完满性等第(ASIL)) 该圭臬分为五种不同的分类:QM、ASILA、ASIL B、ASIL C和ASIL D. 其中QM表示除了必要的圭臬质地法子外，不需要接纳ISO 26262。完满性的最高要求被分类为ASIL D:这一级别表示在发生故障的情况下，可能会酿成严重的生命威迫或致命伤害。因此，ASIL D竖立最高阈值，以确保联系的安全运筹帷幄是安妥的，并已充分实施。 

图片

图23-基于ASIL的可容忍剩余风险的裁减 自动驾驶功能的复杂性，再加上即使在高度自动化(SAE L3级以上)的情况下，驾驶员也有可能进行打扰，这就加多了确保功能安全(不存在系统颓势)并采取安妥安全法子的必要性。因此，良马集团也为SAE 3级以上的功能实施了ISO/PAS 21448 SOTIF圭臬。如第11章考据和证明(V&V)所述，通过现场测试和考据来创建必要的“字据”。 如果上述安全圭臬不可涵盖某些系统安全方面，BMW集团将纳入其他安全圭臬和其他工业部门的最好实践的元素，即IEC 61508。ISO 26262的一般基础IEC 61508不错匡助处置可用性问题和相应的体紧缚构模子。 基于ISO 26262的自动驾驶系统安全评价的一部分，亦然对高清舆图等非车辆要素的安全评价。SAE L3级BMW ADS使用的高清舆图提供了一种机制，为SAE L3级BMW ADS提供行将到来的路段信息。这些信息与SAE 3L级BMW ADS的地舆ODD要求比较较，是激活SAE L3级BMW ADS的必要前提，使得舆图输入与安全联系。因此，高清舆图也被视为整车考据方法的一部分。 9.2 危害分析和安全风险评估BMW严格按照iso26262系统安全圭臬进行危害分析和安全风险评估。对于上头究诘的ISO/PAS 21448 SOTIF，以肖似的方式使用这种分析来界说使用的安全功能。 SOTIF评估时时会导致功能的调整，举例，性能的限制，以允许在无故障条目下的安全功能。功能体紧缚构，BMW集团区分工夫SOTIF SOTIF和东谈主类身分，如所示的法子考据不错通过工夫设计决策(安全-设计)或由东谈主类行径的考据系统的安全运行(设计决策与评估风险)。在功能安全方面，还界说了驾驶功能的安全运筹帷幄，并根据ISO 26262导出了功能和工夫安全想法。 9.3 冗余设计在故障条目下，安全功能不错通过“故障操作”策略(冗余)、“故障左迁”策略(带左迁操作)或“故障安全”策略(使车辆安全泊车)来已矣。礼聘哪种方法取决于故障条目下设计元素的性质和系统的剩余功能。 琢磨到的设计安全身分包括:- 设计架构- 传感器- 扩充器- 通讯失效- 潜在的软件失误 - 可靠性- 潜在的适度不及- 不良适度法子- 可能与环境物体过甚他谈路使用者发生碰撞- 可能由ADS操作引起的潜在碰撞- 离开车谈- 失去牵引力或稳当性- 违抗交通法例- 偏离正常/预期的驾驶方式 在琢磨iso26262和IEC61508的要求并礼聘一个安全想法后，笃定了设计要求，然后不错推导出自动驾驶系统的架构。 BMW集团看到了多元化冗余(万般性)的必要性:主通谈和次通谈自己都是冗余的，而况有我方的会诊单位。这允许检测故障下的通谈，并让其他通谈禁受。当故障同期影响两个通谈时，第三个基本通谈将禁受，以使风险降到最低。图24炫耀了已矣的冗余想法的概览

图片

图24：在良马ADS中已矣冗余想法9.4 安全策略(ADS故障)已矣冗余的运筹帷幄是允许驾驶员算作后备用户禁受驾驶任务。如果准备禁受用户莫得禁受驾驶任务，就会触发风险缓解策略(参见第5章)。风险缓解策略确保安全操作，直到达到故障安全状态(即驾驶员禁受驾驶任务或车辆统统住手)。当SAE L3级BMW ADS无法保证安全抓续运行时，将会扩充，举例:如果圭臬的TOR被司机忽略了-由于环境条目中的危险导致传感器或扩充器性能下落(传感器致盲，低摩擦值等);而且，-由于车辆部件的故障(机械，E/E)。失败操作策略如图25所示。

图片

图25：操作失败的策略9.5 软件开发过程 软件对车辆功能的影响正在稳步加多。为了体现这一日益增长的影响力，BMW集团开发了一系列进程，以适度统统复杂的电子车辆适度系统在各个层面的研发(软件、硬件、子系统、系统和整车)。 软件开发过程基于ISO 26262的适用部分。这包括将安全运筹帷幄分解为软件需乞降体紧缚构，如上所述。通过变更适度照料，这被分拨到统统的开发部门(包括供应链)，而况是统统这个词系列开发过程的一部分。文献和变更照料进程是UNECE复杂电子车辆适度系统类型审批的老例部分(UNECE R79附件6，UNECE R13H附件8)。在好意思国，自我认证也实施了肖似的进程。 BMW集团的东谈主工智能(AI)安全战略是以故障退化想法为基础开发自动驾驶功能。这意味着，包括东谈主工智能算法在内的性能层老是由笃定性开发的安全层来保护，该安全层负责统统安全功能。在自动驾驶过程中，这些安全功能老是活跃的，并适度车辆的行径。安全功能统统平稳于性能层。 9.6 软件更新过程 在车辆赢得认证后，致使在初度注册后，更新车辆的软件越来越关键，举例，用于处置安全问题，扩充软件修正和支抓调回。根据将来都集国汇注安全和空中更新法例的想法(见都集国汇注安全和OTA问题事业队(CS/OTA))，BMW车辆的软件老是在相应的车辆级别上进行开发和考据。 经过开发和考据的软件更新仍然不错通过传统的、完善的系统通过零卖机构进行软件更新，而OTA软件更新仍是成为一个关键的礼聘。岂论更新是通过经销商的物理联接扩充如故通过长途空中扩充，它都不会在考据过程之前发布(参见第11章)考据和证明(V&V))仍是完成。为确保软件恰当适用的安全圭臬，该软件在请托客户车辆前，会在BMW测试车辆上由受过专科教练的安全司机进行测试。在检会场和群众谈路上测试新软件之前，BMW会进行一项琢磨到安全司机扮装的风险分析，以确保谈路交通安全不受影响。 为照料软件更新而制订的主要范例和范例如下:-安全方面的联系信息-联系软件更新的文献化并安全存储在BMW集团;-识别开动和更新软件版块的信息，包括完满性考据数据和安全联系系统的联系硬件组件;-笃定更新后的系统与其他系统的相互依赖关系;-笃定适用于软件更新的特定运筹帷幄车辆;-在核实部署前，运筹帷幄车辆的终末一种配置可能的软件/硬件配置是否与软件更新兼容;-评估、识别和纪录软件更新是否会影响车辆安全抓续运行所需的其他安全联系系统，或与注册时比较，更新是否会加多或改变车辆的功能;-报告车辆使用者关系更新;-向关系当局或工夫部门提供良友。更新过程当车辆登记后发生安全联系软件更新(包括OTA更新)时，将接纳以下技艺:1.    在实施更新之前，BMW集团将确保更新进程或者安全可靠地进行更新。如果改换了更新过程，则需要进行新的考据。2.  BMW集团将评估软件更新是否会径直或迤逦影响车辆自我认证系统的审批，并纪录结果。3.    如果更新不会对任何自我认证系统的投诚性产生影响(举例，更新以开导软件bug)，BMW集团仍将确保接纳的更新过程是安全的。4.    然后可能会进行更新，BMW集团将确保所接纳的更新过程是安全可靠的。BMW集团将依期考据所使用的进程的安全性。 10 汇注安全跟着车辆上电子系统数目的加多，可能试图旁观车辆数据致使主宰其系统的攻击载体也随之加多。为了减少汇注安全风险，BMW集团在安全开发生命周期的基础上开发车辆，其中包括设计、出产和监控统统这个词车辆生命周期的硬件和软件。为此，BMW仍是实施了许多范例来处理汇注安全事件，分析威迫谍报并与外部企业和研究机构交流，以及开发和推出车辆的安全更新。BMW是汽车信息分享和分析中心（Auto- ISAC）的积极参与者，该中心是一个分享与汽车限制联系的汇注安全威迫和谍报信息的行业平台。对于统统的车载和非车载系统，包括联接设备和BMW后端，BMW仍是实施了一个安全架构，诓骗安全设计的方法，并基于最新的行业最好实践。对于统统的汇注物理系统，仍是实施了基本的保护级别，这可能包括加密和认证。此外，对于车辆最要道的系统和数据，仍是实施了额外的保障法子，以已矣对良马客户和统统谈路使用者的更高保护水平。 为了搪塞汇注限制新出现的威迫（如安全驾驶-联系的干扰、主宰、盗窃），BMW集团仍是建立了一个全面的汇注安全运筹帷幄。着手，了解车辆安全和汇注安全之间的主要区别是至关关键的。车辆安全（见第9章系统安全）非常贯注完满性，这时时意味着车辆信号唯独在真正、传输和接收正常的情况下才会被采取行动。安全的主要运筹帷幄亦然车辆安全运行的可用性，时时要求系统是可靠的和故障安全的（即，冗余）。因此，汇注安全需要暖热一个系统或信息的完满性、守秘性和可用性。因此，汇注安全评估一个系统是否不错被主宰，从而毁伤这些方面。自动驾驶（AD）正在迫使汽车行业面对新的挑战，这些挑战是由自动驾驶汽车里面、多辆汽车之间以及它们运行的环境之间无间增长的联接性酿成的。这些挑战包括从知足安全监管要求到保护车队和客户免受汇注安全攻击。为了使车辆或者自动驾驶，更多的功能和更多的接口正在被添加，从而导致一个无间增长的车辆生态系统，如图26所示。其中一些接口处理来自外部的信息，如IT后端系统，其他接口或者适度车辆的驾驶功能。加多新的接口不仅增强了车辆的功能，而且还加多了工夫的复杂性，导致坏心行径者的汇注攻击面扩大。简而言之，工夫仍是发展到了一个水平，除非车辆也能安全运行，不然就无法保抓安全状态。最终，汇注安全原则和实践必须应用于家具开发过程，以确保坏心行径者或攻击者不可纵容适度车辆的驾驶系统。

图片

图26.车辆生态系统在无间发展，变得越来越复杂，导致威迫者的攻击面越来越大 跟着ADS的复杂性加多，潜在的汇注安全风险的可能性也在加多，因此需要安妥的汇注安全保护。谈路使用者和司机的安全依赖于系统的完满性。因此，ADS必须提供填塞的保护，驻扎在统统操作模式下的主宰和未经授权的旁观，异常是驾驶功能。良马集团的首要任务是确保其家具的最高安全圭臬，并以最好方式保护其安全和安保。从SAE L2级扩展到SAE L3+级车辆的汇注安全挑战在于，ADS变得越来越依赖外部数据源，如传感器信息、高清舆图或定位数据。如果这些数据的完满性或真正性受到毁伤，ADS的构件将使用不正确的数据来主宰车辆沿其道路行驶。这最终可能导致车辆定位在不正确或不存在的车谈上，无法识别胁制物，或诬蔑交通气象。因此，BMW集团有事业建驻足够的汇注安全保障和适度法子，以安妥地保护自动驾驶汽车免受坏心攻击。10.1 BMW集团的汇注安全运筹帷幄在本节中，将进一步先容BMW集团搪塞其家具面对的不同威迫的方法。此外，本节还概述了BMW集团用于设计和建造抵抗汇注攻击的自动驾驶系统的家具开发过程。安全必须被设计到一个系统中，以已矣全面袒护。一个严格的、统统集成的安全工程进程是创建安全的、因而亦然安全的系统的基础。该过程有助于致密地整合万般安全适度和保障法子，这将在背面的章节中描写。传统的IT汇注安全贯注不同的安全原则，其中一个最基本的原则被称为 "深度细心"。BMW集团在许多其他汇注安全原则中接纳了深度细心，以确保不同系统层的不同适度法子到位，因此车辆不只单依靠其邻近来抵抗汇注攻击。在BMW集团的家具中灵验诓骗汇注安全工夫和功能是深入细心范式的结果。 10.2 良马集团的安全开发生命周期方法该运筹帷幄的要道要素是安全工程、安全工夫和功能以及安全操作，如图27所示。诚然本节提供了要道要素的概述，但更多的细节不错在本章的深入探讨部分找到。

图片

图27.良马集团的安全开发生命周期方法概述 在安全工程阶段，BMW仍是开发并实施了基于风险的汽车开发方法，基于安全设计的原则。算作安全工程过程的结果，安妥的安全工夫和功能被设计出来，以知足BMW的客户和其他谈路使用者的不同保护需求。在工程设计过程中，每个适度单位、功能或后端系统的设计都有一个基本的保护级别，并由BMW的安全巨匠进一步评估。如果评估发现存更高的保护需求，将设计扩展的保障法子来弥补这一差距。第三个要素--安全操作--在BMW集团的家具发布到商场上时脱手实施。它诓骗当代工夫以及行业协调来识别新的车辆威迫，分析其对家具的影响，并根据识别的风险触发后续进程，如车辆软件更新。汽车ISAC是汽车行业的主要平台，用于交流关系新兴威迫、事件处理和汽车汇注安全最好实践的可贵信息。一般来说，统统的汽车汇注安全行径都是为了知足四个保护运筹帷幄：安全，财产，躲闪和数据安全，以及客户沸腾度。安全算作一个保护运筹帷幄的关键性仍是在第9章中究诘过了。躲闪和数据安全旨在保护客户和车辆数据，财产的保护运筹帷幄波及统统与客户和BMW集团的财富吃亏关系的风险，举例，由盗窃或主宰酿成的。终末但同样关键的是，客户沸腾度的保护运筹帷幄是处理主宰和安全事件，加强公众对BMW集团家具的信任。在BMW集团，汇注安全诟谇常被羡慕的，因此企业照料层负责已矣汽车汇注安全运筹帷幄，并在统统这个词公司内建立包含汇注安全原则的进程，算作安全设计的一部分。这些原则的扩充情况由咱们的职工进行追踪，他们参与了一个由全公司统统联系业务部门的汇注安全巨匠构成的汇注。 该方法结合了多个组织发布的汇注安全最好实践出书物，异常是好意思国国度输送安全局对于"自动驾驶系统（ADS）：安全2.0的愿景"、"为交通的将来作念准备。自动驾驶汽车3.0（AV 3.0）"和 "当代汽车的汇注安全最好实践"，统统的Auto- ISAC最好实践指南，SAE的 "汇注物理车辆系统汇注安全指南J3061"，以及ISO/SAE CD 21434 "谈路车辆-汇注安全工程"，当今仍在开发中。在以下章节中，不错找到更多对于良马集团汇注安全运筹帷幄的要道身分的细节。10.3 深入探讨：安全工程BMW集团效率一个结构潜入的家具开发进程。为了使每个保护运筹帷幄达到安妥的安全水平，将汽车安全想法纳入家具开发过程的早期阶段是至关关键的。BMW集团以设计为导向的安全开发过程可分为五个基本阶段： 1.    设计阶段：建立汽车安全架构和界说灵验的基本保护水平的要求，这与汽车汇注安全风险监测和威迫建模相当合。2.    想法阶段：根据灵验保障法子的新想法进行风险限制，这导致了额外的安全要求。统统这些都是基于深度细心和其他常见的安全原则。3.    ECU和软件开发阶段：空洞诡计和测量安全老到度水平，举例通过实施想法和里程碑，异常是对于高度联接的组件和AD功能。4.    集成和考据阶段：针对最初笃定的风险以及开发生命周期中新发现的威迫进行全面的安全测试和考据，包括渗入测试以纳入黑客的不雅点和源代码审查。5.    优化阶段：对安全设计和一般开发过程进行抓续的改进和更新。 BMW集团不仅对适度单位和车辆功能进行了统统这些技艺，还将其纳入车载汇注、通过无线电接口（如迁移无线电、蓝牙）的外部车辆联接以及统统物理接入点（如OBD接口）的设计中。BMW集团的家具开发过程接纳了夹杂形式的瀑布模子，或前边提到的V型模子，与敏捷方法相搭配。一方面，统统这个词车辆的开发效率瀑布模子，另一方面，在开发不同的ECU软件部分（如AD功能）时接纳敏捷方法。这种夹杂方法使BMW集团或者结合两者的优点，使功能开发具有高度的灵活性，并为安全测试提供固定的里程碑。 BMW集团以为渗入测试是其开发过程中集成和考据阶段的一个基本要素：唯独攻击者的不雅点能力提供对于系统设计和实施中存在颓势的灵验信息。为了从黑客的真正输入中受益，以达到考据和证明的主张，BMW奉求里面和外部的汇注安全照管人。旁观结果和随后的行动会在商场启动前反馈到开发事业进程中。渗入测试算作安全操作的一部分被重复进行，既要依期安排也要根据需要进行。 BMW家具汇注安全战略的另一个关键身分是手动源代码审查和自动代码扫描，以查验适度单位和咱们的服务器、应用范例和第三方服务上的软件要道点。 10.4 深入探讨：安全工夫和功能BMW集团在安全工夫和功能方面的汽车安全方法，如图27底部所示，包括三个部分：-> 安全架构 - 效率安全设计的方法，异常是深度细心。-> 基本保护级别--由统统适度单位、功能和系统组件的默许保障法子集界说；以及。-> 扩展保护级别--适用于高度敏锐的适度单位、功能和系统组件（如AD功能或长途信息处理）的一套单独的高档保护法子。BMW集团的安全工程师评估了总体保护运筹帷幄、联系的攻击场景以及每个客户功能和车辆适度单位的攻击者特征，以笃定必要的个东谈主保护级别并笃定安妥的工夫处置决议。基本保护级别将适用于将来几代汽车的统统车载系统适度单位。它包含的元素有：安全的板上和板下通讯技能，ECU、车辆和IT后端认证机制，以及密钥照料功能（密钥和认证照料），安全的OTA更新等等。咱们的工程师正在无间监测行业圭臬和最好实践，以保抓基本保护水平的更新。除基本保护外，扩展的安全保护是在对车辆过甚生态系统的每个单独的适度单位、功能或系统组件的必要保护水平进行评估后开发和实施的。就车辆结构而言，安全功能被设计为多层深度细心方法。深度细心的基本想想是建立一个具有多个保护级别的系统，从而使车辆或者保抓一般的保护级别，抵抗攻击，即使在单个保护级别失败或被渗入的情况下也不会统统被破碎。基于这种方法，BMW集团建立了一个层级模子（见图28），包括六个与安全关系的层级:-> 第三方-> IT后端-> Car2Backend联接-> 车辆接口-> 车载汇注-> 电子适度单位 该层模子涵盖了车辆以过甚与车辆生态系统的斗争点。基本的和扩展的保护级别都会影响到单独的层和上述层的多个层。在这些不同的安全层中正如实施统统的保障法子，不错确保对单个保障法子的生效攻击不会毁伤统统这个词系统的完满性。为了进一步概述该层模子，图28炫耀了一个不同层如何影响算作车辆和后端系斡旋部分的自动驾驶功能的例子。

图片

图28.BMW集团的车辆安全架构的层模子 就AD而言，中枢功能，即传感器融会、驾驶策略和车辆畅通适度，位于多层架构的最内圈。在这种情况下，这些是车载汇注和ECU的层。外部数据亦然AD功能的一个关键构成部分。举例，高清舆图数据在AD操作中被使用。这些数据需要依期更新。然而，AD的中枢功能从未与任何车外实体径直通讯，反之亦然。相悖，外部通讯是通过其他ECU和专用接口，按照最小权限原则进行代理和防火墙。在这个例子中，来自第三方舆图供应商的AD舆图更新将着手在其起源得到认证，并转发到BMW集团的IT后端层。在何处，着手进行质地查验以及数据融会。然后，通过相互认证和加密的车辆-后端承接，车辆将在空中下载必要的舆图更新。然后，舆图数据在ECU上进行腹地解密，举例，在信息文娱限制，它被照料在一个专门的存储空间。最终，AD功能不错通过一个专门的车载汇注接口，通过一个防火墙网关导入数据，算作车载汇注的一部分。终末，ECU将在腹地查验来自IT后端的真正性信息，以确保数据的端到端完满性，然后再将其用于AD主张。五层中的每一层的统统保障法子的结合，确保了在职何时候都不会有对抗性数据被注入，莫得任何数据改变不被发现，而且外部攻击者不可径直旁观任何可能影响车辆AD功能安全运行的车辆畅通适度接口。 10.5 深入研究:安全操作在完成安全工程阶段后，车辆进入出产阶段并请托给客户。系统化的汽车安全方法涵盖了从设计阶段到车辆不错请托给客户的商场启动阶段。然而，无间变化的威迫环境要求良马集团在客户请托后负重致远，跟上工夫着手和潜在的坏心行径者的行径。10.6 安全监控/威迫谍报BMW集团监控全球安全事件，以保抓对其车辆和IT系统的新发展和攻击情况的了解。信息通过OEM官方渠谈和汇注安全巨匠在汇注安全和黑客会议上究诘。新的威迫被评估为与公司家具的关联性。此外，良马集团稳重对待供应链安全，并与硬件和软件制造商坚毅了契约，以尽早提醒他们谛视潜在的罅隙。对于威迫谍报交流协调的更多细节将在后续章节中解释。10.7 事故照料与IT行业一样，在家具的统统这个词生命周期中，表率的软件生命周期对于快速灵验地弥补潜在的安全罅隙至关关键。此外，有必要琢磨到老化的密码学、文凭取销以及新的攻击性工夫的快速发展。因此，BMW集团为处理汽车安全事故建立了明确的进程。处理事件的才略猛烈依赖于良马集团的供应商的支抓。传统的适度单位供应商的模式仍是不再可行，他们以为软件是统统这个词系统的一个构成部分，不需要在系列推出后进行通俗的更新。BMW集团很明晰这个问题，并在其汽车价值链中处置这个问题。主动的车辆软件支抓正在成为车辆开发的一个关键构成部分，使咱们或者在潜在的安全罅隙出当前赶紧作念出反应。这便是为什么BMW集团要求统统为将来一代汽车提供部件的供应商保抓在短时期内采取行动的才略，也要超越积极的开发阶段。10.8 汇注安全协调和伙伴关系（Auto-ISAC)BMW集团意志到，唯独与合适的伙伴协调，能力达到较高的汇注安全水平，因此赞赏伙伴关系，积极参加万般协调，并促进威迫信息的交流。BMW集团通过与其他汽车公司就汇注攻击和分享威迫谍报进行协调，积极寻求汇注安全巨匠群体的支抓，同期仍然保抓在工夫处置决议上的竞争。在汽车汇注安全限制，饱读舞协调的一个关键的非渔利组织是Auto-ISAC，由汽车行业于2015年8月成立。Auto-ISAC通过分享对于新威迫和真正事件的信息，以及提供对于如何改善汽车组织内汇注安全进程的最好实践，勤劳提高汽车行业的安全水平。BMW集团是Auto-ISAC的创举成员之一，从那时起就一直积极参与，竭力于于制定万般汇注安全进程的最好实践指南，参加关系当前汇注安全主题的行业会议，并分享联系威迫和罅隙信息。BMW集团的安全巨匠处意义Auto-ISAC谍报平台提供的威迫谍报，并在必要时将其转发给工程师或事件反应团队。就最好实践而言，BMW集团不仅积极与业界协调开发，而且还统统内化了以下Auto-ISAC最好实践指南。安全开发生命周期、治理、事件反应、第三方协调与参与、培训与意志、风险照料以及威迫检测、分析和监控。本节所示的举座方法与统统Auto-ISAC最好实践指南保抓一致，以生效确保家具的安全。除了Auto-ISAC除外，BMW集团还与许多IT安全公司建立了协调关系。如果协调伙伴发现了安全罅隙，当需要进行时期紧迫的扶助时，事件反应团队会对其进行安妥处理，安全工程团队也会对其进行永恒安全设计改进。此外，与学术界和研究界的依期商酌和交流有助于良马集团永恒提高家具的汇注安全。BMW的失误赏金和罅隙线路运筹帷幄饱读舞平稳的安全研究东谈主员（谈德黑客）向其证明发现的安全罅隙。同样关键的是，BMW集团正积极为ISO/SAE都集事业组21434 "谈路车辆-汇注安全工程 "作念出孝顺，并与全球汽车行业全部，为每个汽车公司的安全工程事业制定合理的最低要求。10.9 安全的车辆数据旁观BMW集团意志到其联网车辆所产生的数据越来越多，而用户和第三方也要求旁观这些数据。BMW集团通过提供BMW和MINI CarData，确保了对车辆用户产生的数据的旁观，以及对第三方数据的可移植性。BMW集团是最早引入这项服务的汽车制造商之一，并根据欧盟通用数据保护条例（EU-GDPR）扩充这项服务。CarData是 "扩展的车辆方法 "的实施，该方法得到了德国汽车工业协会（VDA）的支抓。图28中的 "中立服务器"是该方法的一个关键构成部分，确保BMW集团为联网车辆的服务和数据保管高水平的汇注安全和数据躲闪。通过BMW CarData，BMW集团为其客户提供了巡逻其车辆的采选长途信息处理数据的契机，如果感酷爱酷爱，还不错主动为他们信任的第三方发布这些数据。为了或者提供量身定作念的服务，数据旁观许可的肯求老是由第三方发起，然后由用户批准。 11.  考据和证明（V&V）考据与证明代表了前几节中提到的V型模子的右半部分。对于SAE L3级BMW ADS，这包括每个级别的V&V，包括。SW级（举例，代码袒护率）；组件级（举例，传感器）；子系统级（举例，自动转向适度）；系统级（举例，SAE L3级BMW ADS的功能逻辑）和车辆级（举例，SAE L3级BMW ADS与其环境的交互）。对于考据，每个级别都要根据V型模子左半部分的参考具体设计要求进行测试，这些要求知足万般圭臬，举例之前在第9章系统安全中列出的圭臬。对于证明，SAE L3级BMW ADS还针对万般预先界说的实验场景和真正世界的交通情况进行了不同级别的测试。在这种情况下，有几种用具被使用，包括。硬件/软件（HW/SW）开环再处理，HW/SW在环模拟（举例，包括最低风险条目的驾驶策略）；驾驶模拟器中的客户研究（举例，驾驶员与车辆的互动）；真正世界的开环试驾（举例，传感器性能）和闭环（举例，驾驶能源学）。终末，运筹帷幄车辆中的闭环试车也用于全车考据，以确保系统在谈路上安妥地运行。在这个整车水平上，对SAE L3级良马ADS进行严格的测试，肖似于对传统BMW汽车进行的测试。通过将上述布景下的模拟与车辆级别的测试相结合，SAE L3级BMW ADS正在开发中，以提供对其运行安全性的统计学信心。在SAE L3级BMW ADS初步部署后，通过网罗和分析在用车辆的匿名数据，抓续监测系统的安全性。如有必要，将相应提供所需的安全更新。 11.1 考据与证明先容系统安全的考据和证明是BMW集团的重中之重。因此，BMW集团正在积极研究海外圭臬（如ISO26262、ISO/PAS 21448），以进一步建立自动驾驶的安全架构、想法和考据。考据的一个要道款式是PEGASUS，这是一个德国研究款式，旨在建立合适的考据方法，重心是SAE L3级公路驾驶，并运筹帷幄开展后续款式（举例，SetLevel4至5和VV-Methoden）。BMW集团还在行业内协调，界说安全圭臬以及安妥的用具和工夫，这些都纪录在白皮书 "自动驾驶的安全第一 "中。该白皮书中确立的不雅点和想法是BMW集团为SAE L3级BMW ADS进行考据和证明行径的指导原则。基于BMW多年来为系列出产车辆开发高档驾驶辅助系统（最高为SAE L2级）所赢得的阅历，仍是开发了考据和证明进程和组织结构，以处置功能的统统联系安全方面的考据，并在对自动驾驶系统特真谛真谛的地点扩展这些进程、结构和方法。术语 "考据 "和 "证明 "界说如下：- 考据："通过提供客不雅字据，证明指定的要求仍是得到知足"[ISO 15288]。- 证明：通过提供客不雅字据，证明特定用途或应用的要求已得到知足" [ISO 15288]。11.2 测试运筹帷幄类别SAE L3级BMW ADS的安全联系测试运筹帷幄类别来自于《自动驾驶安全第一》白皮书的安全愿景章节中确立的12项原则。安全联系的测试运筹帷幄类别是:- 功能安全（ISO 26262）- 被控功能的工夫安全（SOTIF）。- 东谈主为身分的被控功能安全（SOTIF）- 安全问题- 仿果真考据这些类别也涵盖了第9章中描写的安全运筹帷幄-系统安全。遵命ISO 26262，统统的功能要求都从系统级追踪到软件级，并与相应的测试用例相商酌，以进行考据和证明。11.3 一般方法一般来说，一个多技艺的方法仍是被界说，以确保SAE 3级BMW ADS的安全部署和抓续运行（见图29）。1.    分析--设计的安全性。2.    考据--考据安全设计的要求。3.    证明--通过重心测试进行统计证明。4.    现场操作--部署后的现场不雅察。

图片

图29.核查和考据过程（参考：《自动驾驶的安全第一》白皮书）在开发过程中，需求来自于安全设计方法（分析），其中包括功能安全的危险和风险分析、工夫SOTIF、东谈主为身分SOTIF和安全方面。除了需求除外，开发过程的质地审计或通过分析工夫已矣稳健的系统设计都是在分析阶段完成的。 考据技艺确保通过安全设政策略得出的要求得到知足。这个技艺确保已知的情况被袒护，而况系统的行径恰当章程。基于设计的安全原则是安全方法的基础。然而，只是将系统的安全性建立在逐个安全设计的基础上是不够的，因为一些不安全的情况在开发阶段可能是未知的。因此，使用统计方法来证明安全性，包括开发过程中以前未知的情况，并有填塞的信心建立一个安妥的统计论证（考据）。考据将经过考据的系统放在系统发布后在日常驾驶中可能遭受的场景或情况下进行测试。为此，咱们建立了一个数据库，其中包含了在实验世界中发生的、具有高度代表性的场景，并琢磨到了其要道进度。此外，还琢磨了边际案例，这些案例测试了系统在ODD界限的行径，并结合了极点/挑战性的测试参数。此外，还实施了量产应用后不雅察进程（现场操作）。这包括对ADS安全性能的现场监测，以及为处置部署后发现的瑕玷所需的任何更新。在这个技艺中，ODD也被抓续监测，并根据先验假定进行考据。统统技艺的结果都被反复反馈到ADS设计以及开发和测试过程中，以确保系统安全的统统方面得到抓续改进。当需要对系统进行改变时，BMW效率严格的改变照料过程，以确保系统的改变不会引入新的风险，如第九章系统安全所述。11.4 不同的测试平台和模拟为了测试系统自己和系统组件的联系方面，BMW使用了表9中列出的不同测试平台。如《自动驾驶安全第一》白皮书中的测试平台一章所述，这些平台在捏造和真正刺激的应用方面有所不同。测试平台缩写.描写例子软件在环(闭环)Software-in- the-Closed- Loop SiL部分运筹帷幄SW是在原型硬件上扩充的，而SW的决定影响了捏造生成的激励。E.g. MATLAB， Simulink model   AUTOSAR Stack， C++ DLL软件反应(开环)Software reprocessing (open loop)SWRepro运筹帷幄SW在原型硬件上扩充，而SW的决定对不影响激励。E.g.replayofsynthetic datatostimulateaCEM硬件在环Hardware-in- the-Closed- Loop HiL 运筹帷幄SW在运筹帷幄HW上扩充，而HW输出影响HW输入。E.g.  AUTOSAR Stack on Radar without frontend硬件反应Hardware Reprocessing (Open Loop)HWRepro运筹帷幄软件在运筹帷幄硬件上扩充，而硬件的输出并不影响硬件的输入。 E.g. monitor HiL驾驶员在环Driver-in-the- Loop DiL运筹帷幄软件在运筹帷幄车辆或模子中的原型或运筹帷幄硬件上扩充，环境被捏造刺激所改变，而驾驶员的反应会影响车辆的行径。E.g. driving simulator (augmented reality for safety critical  maneuvers)车辆在环Vehicle-in-the- LoopVIL运筹帷幄软件在运筹帷幄车辆硬件上扩充，环境被捏造刺激所改变，而驾驶员的反应会影响车辆的行径。E.g. driving simulator or ViL (augmented reality for safety  critical maneuvers)统统这些测试平台都用于考据和证明SAE L3级BMW ADS的ODD内的OEDR。在每个平台内，仿真起真贵要的作用，统统这个词系统（如带有轮胎和AD功能的整车）、一个子系统（如一个扩充器或一个硬件适度器）或一个部件（如一个传感器或一个通讯总线）不错被仿真。所使用的模子是对物理实验的抽象，并依赖于对实验世界中真正复杂性的简化。为了达到仿真模子所需的准确度，BMW通过对车辆测试中的实验世界的边际案例进行考据，无间改进咱们的仿真模子。11.5 车辆测试和数据网罗诚然仿真测试有助于考据好多不同的情况，但由于以下原因，在运筹帷幄车辆中的本色驾驶亦然考据和证明过程的一个关键部分。- 用于车辆和传感器模子考据的真正世界数据：车辆数据和车辆传感器检测到的数据是量化和论证模子准确性的关键来源（举例，车辆能源学或模拟传感器模子）。- 用于场景积贮的真正世界数据：车队数据可用于笃定着手模拟哪些联系（边际）案例。- 用于交通建模的真正世界数据：在模拟中产生新的场景需要真正的交通参与者行径，以便使捏造模拟保抓真谛真谛和代表性。- 在预定的参考道路上的性能评估息争放道路测试：通过在好意思国不同地区（不同的州、特定的征象条目、谈路条目、基础设施和其他谈路使用者的行径）的预定参考道路上依期评估系统性能，咱们不错笃定并琢磨到地区各别。- 扩充特定的测试案例：由于仿真环境的潜在颓势或模子的不完善，特定的测试案例可能需要在运筹帷幄车辆上扩充。 异常是，在SAE L3级BMW ADS的开发阶段，BMW正在扩充世界范围内和好意思国特定的车辆测试（举例，详细测试和永恒运行），以及应用部署后的现场监测（举例，用于考据开发期间假定的ODD）。在向客户发布SAE L3级BMW ADS之前，BMW将完成研究，证明该系统可由驾驶员安全处理（举例，激活、停用和禁受肯求）。此外，BMW集团的开发车队正在全球范围内行驶数百万英里，在巨大的数据存储中心网罗PB级的车辆数据（和参考数据），用于开发和考据测试。这项行径也在北好意思进行，以确保在开发过程中琢磨到好意思国ODD的特殊情况。来自世界范围和好意思国特定永恒性运行的纪录数据被用来考据功能逻辑的安全性（举例，安全联系的性能指数），并考据咱们的仿真框架中使用的模子。另外，遭受的真正世界的情况被用来产生实验的模拟场景，异常是边际的情况，然后不错通过联系的参数来改变，以考据咱们的算法在系统安全方面的稳健性。 11.6 测试场景为了礼聘联系的测试场景，BMW琢磨了几个输入源（举例，车队监测、永恒运行、解放绽开谈路测试和巨匠学问）。底下的列表概述了咱们在系统安全方面重心考据的驾驶场景特征。- 联系的预期实验世界事件，基于等价类的方法（见测试策略）。- 在ODD中的边际案例。- 当达到ODD的极限时的回退情况或可能导致故障操作或故障安全状态的系统故障。- 幸免碰撞的情况（NHTSA的ADS可测试案例框架 - DOT HS 812 623）。回退/最小风险行径是通过明确地产生SAE3级BMW ADS功能内的故障或组件的禁受状态被仿真或SAE3级BMW ADS故意在ODD限制下运行的情况来考据和证明的（见第5章。回落（最小风险条目））。这不错通过模拟或在测试轨谈上驾驶，并注入纰谬或故意接近ODD极限来已矣。此外，通过永恒运行和现场不雅察网罗回退情况的真正数据，并用于抓续改进禁受策略和系统的坚固性。11.7 测试策略下图炫耀了上述测试平台的一个例子，用于考据和证明被测试的系统元素与相应的测试运筹帷幄类别关系。

图片

图30.测试运筹帷幄过甚对应的测试平台和系统元素 在SAE L3级BMW ADS的考据中，要道的挑战之一是统计学上证明系统的安全性和莫得驾驶员打扰的积极风险均衡（见白皮书《自动驾驶的安全第一》）。 在考据自动驾驶功能安全性的纯统计、黑箱方法中，"自动驾驶车辆必须行驶数亿英里，未必致使数千亿英里，能力证明其在伤一火方面的可靠性"。为了以可行的勤劳搪塞这一挑战，要测试的影响身分的参数空间被辞别为所谓的等价类，正如《自动驾驶的安全第一》白皮书中提倡的那样。等价类是指与它们对不安全结果的影响比例关系的身分类别。界说等效等第的圭臬由知道进度、严重进度和可控性水平（如ISO 26262中的界说）支抓，算作操作情况的代表样本，将被归入等效等第。更详细的等价类界说，请参考白皮书 "自动驾驶的安全第一"。使用等价类的想法有助于在最要道的情况下（边际案例）。通过这么作念，不错在驾驶和仿真考据的里程数与据此代表普通车辆经历的实验生计里程数之间产生一个杠杆整个。因此，专门礼聘的用于考据的里程数（实验世界的驾驶和模拟）不错代表客户在老例驾驶条目下驾驶的更多里程数。将数百万英里的车辆真正世界测试与包括场景变化在内的数百万英里的模拟相结合，再加上等值等第的想法，不错照料上述挑战，并在莫得驾驶员互动的情况下提供系统安全和积极风险均衡的统计证明。11.8 车辆-驾驶员交互为了考据车辆与驾驶员的互动想法（东谈主机界面、禁受情况等），在开发过程中使用了驾驶员在环（DiL）和车辆在环测试。SAE 3级BMW ADS在预先界说的场景中对驾驶员的可控性水和善预期的驾驶员反适时期通过客户研究得到考据。在与客户全部上群众谈路之前，东谈主机界面与驾驶员的互动在驾驶模拟器研究中得到考据，有代表性的客户、安全驾驶员和巨匠驾驶员在阻塞的检会场息争放谈路上驾驶。此外，通过永恒运行和现场不雅察，网罗禁受情况的真正数据，并用于禁受策略的抓续改进。11.9 安全联系的高清舆图内容与安全联系的高清舆图内容是通过与参考数据集的比较来考据的。系统测试是为了确保在舆图/实验世界不匹配的情况下，AD系统在统计学上是安全的。使用安全设计方法、仿真模拟和端到端考据，咱们确保舆图内容尽可能的准确。车队测试和现场监测也用于分析表示舆图可能是失误来源的舆图数据。  12 用户证明和培训诚然BMW的SAE L3级BMW ADS旨在为最终用户提供直不雅的体验，但对客户进行系统使用方面的证明，以及向公众宣传BMW的自动驾驶汽车方法仍然是有利的。对于客户来说，关键的是证明他们了解系统的功能，包括他们算作禁受用户的扮装，以及证明客户了解系统的才略和限制。这种证明对于客户了解他们在使用该系统时的事业，以及幸免过度信任和/或滥用该系统非常关键。由于经销商是客户的主要斗争点，BMW有事业为经销商的销售和服务提供安妥的资源，如证明用具和培训，以解释系统的功能、事业和限制。终末，对BMW来说，关键的是通过这种安全自我评估等用具向浩瀚公众传达BMW对自动化的格调。 浮滥者证明是建立公众信任和已矣新HAD系统的全部后劲的要道身分。BMW集团将在客户在其车辆上体验SAE L3级BMW ADS之前向其提供关系SAE L3级BMW ADS的信息。这将通过证明材料，以及通过消息开通、游刃过剩的零卖和服务东谈主员来完成。然而，咱们的径直客户将不是咱们SAE 3级BMW ADS系统的惟一用户- 猜测了一些常见的使用情况，如出租汽车和其他将与SAE L3级BMW ADS适度的车辆互动的谈路使用者。因此，不仅要证明BMW的客户，而且要向公众提供信息，这极少很关键。12.1 对经销商的培训BMW的浮滥者证明方法的第一个关键守旧是经过安妥培训的零卖东谈主员。鼓励迁移性创新是咱们战略重心的一个中枢要素。提供着手的工夫需要一个系统的方法来与BMW的经销商和客户相易，并对他们进行培训。为了最大法则地提高他们对BMW的家具和服务组合的沸腾度，在每次买卖发布时都会提供许多证明、信息和资源渠谈。在提供创新工夫方面的历史和阅历，为提供必要的证明用具以支抓推出SAE L3级BMW ADS奠定了基础。算作BMW集团举座证明理念的关键构成部分，BMW集团向统统服务工夫东谈主员提供工夫培训，以确保BMW客户的车辆得到最高圭臬的调理和修理。培训有多种形式，包括但不限于在线汇注课程、自学参考材料、工夫视频以及教师指导的实践课程。BMW车辆的自动化将要求不仅要抵浮滥者进行新工夫的证明，而且要对BMW的服务工夫东谈主员进行证明。算作第一步，仍是脱手对工夫东谈主员进行驾驶辅助系统的证明，如盲点检测（BSD）、高档巡航适度和车谈保抓辅助，这只是BMW集团ADAS功能中的几个例子。证明工夫东谈主员的一个要道部分是告诉他们在需要这些系统时如何正确会诊和维修。跟着向更高水平的车辆自动化迈进，自动系统的会诊和维修将抓续进展要道作用。 12.2 对系统用户的证明浮滥者证明方法的第二个关键守旧是对用户进行SAE L3级BMW ADS的证明。a) 用户证明的内容在用户证明过程中，将波及的内容有。- ADS的章程使用/功能意图，以及用户算作 "禁受准备用户 "的剩余事业（举例，挫折禁受情况）。- 系统被设计为运行的条目，包括其ODD和传感器的限制；以及。- ADS的操作参数，如系统的正确使用（举例，激活/停用）。当车辆在SAE L3级BMW ADS模式下运行时，对驾驶员扮装的明确相易将是用户证明的中枢内容。根据BMW在SAE L2级ADAS的阅历，以及从其他行业吸取的造就，BMW信赖安妥的相易将对谈路安全产生很大影响。必须非常明晰地说明禁受准备用户的事业。驾驶员必须或者在系统发出TOR后的较短时期内还原驾驶任务。这也意味着，当车辆在SAE L3级BMW ADS模式下运行时，扩充完满的操作性驾驶任务时，驾驶员不应该，举例，睡着或受到任何影响。另一个关键问题是驾驶员的模式意志。这极少尤其关键，因为量产的BMW iNEXT车辆将同期配备SAE L3级BMW ADS功能以过甚他几个驾驶辅助系统（举例，车谈保抓辅助和变谈辅助）。为了让驾驶员在参与不同SAE辅助驾驶级别的系统时正确贯通他/她的扮装，需要明确报告每个级别中驾驶员的事业，见表11和图31。 SAEL2级                             SAE  L3级ADAS扩充OEDR的部单干作ADS扩充完满的OEDR驾驶员恒久统统负责司机算作准备禁受用户驾驶员的立即（自觉）反应过渡需求后的几秒钟驾驶员监控：重心暖热注见地司机监控：贯注接受才略和基本警惕性司机必须遵照交通功令ADS必须遵照交通功令表11.SAE L2级和SAE L3级中驾驶员的事业

图片

图31. 任务分拨和事业迁移 b) 如何证明用户从BMW的阅历和研究中，知谈心爱学习的方式因东谈主而异，举例取决于年事、性别，致使是畴昔的品牌阅历（新的与以前的良马司机）等身分。为了知足个东谈主需求，创建了一个多渠谈的经销商和客户证明方法。这包括诸如以下渠谈：- 车主手册（印刷品、车外数字、车载数字、智妙手机应用范例）- 车载智能个东谈主助理（IPA）。- 视频（快速操作、培训、营销）。- 紧凑的 "初学指南"（印刷或数字手册，以浮浅易懂的形式解释关键的车辆特征和功能）- 智妙手机应用范例- 实践演示、教程和诊所- 体验式驾驶课程BMW提供的全面证明用具为SAE L3级BMW ADS的膨胀奠定了基础。自SAE L2级ADAS与BMW的驾驶辅助系统和驾驶辅助系统选项推出以来，BMW仍是接纳了与这些系统的主题巨匠的体验式学习行径。2015年，BMW集团脱手为职工提供启动前的演示课程和体验式驾驶课程。这些课程由主题巨匠主抓，为职工提供对于咱们首个买卖化的SAE L2级ADAS的真正体验。从2018年脱手，BMW推出了更先进的SAE L2级ADAS，包括辅助驾驶Plus功能（有史以来第一个转向和交通堵塞辅助，不错在限制的 "交通堵塞 "条目下使用）。在买卖启动之前，BMW扩大了演示和体验式学习行径，包括公司外的利益联系者，如营销机构协调伙伴和车展东谈主员的行径。然后，这些体验式行径初度被纳入到汽车发布行径中。c) BMW Genius2013年推出的BMW天才运筹帷幄是为了栽种零卖环境中的客户体验。该运筹帷幄在经销商中成立了一个新的扮装，其惟一主张是算作一个非奉求的家具巨匠。其主要职责是在购买之前、期间和之后协助客户。家具天才们在BMW家具以及客户服务方面都接受了密集的培训。在销售过程中，他们协助进行需求评估，使浮滥者与特定的BMW车型和功能最匹配。售后方面，通过BMW EncoreTM款式处理请托过程和后续的 "请托"，客户在未必期体验车辆后不错回到经销商处赢得更多解释。12.3 以东谈主为本的ADS设计对至今天的公众来说，有条目的自动驾驶SAE L3级车辆是一个新想法。BMW信赖，使浮滥者或者与SAE L3级BMW ADS安全互动的最好方式是使用户体验尽可能直不雅，并围绕客户设计家具。莫得办法保证每个司机都能得到个别指导。诸如租车、二次销售，致使像合并家庭的多个司机这么浮浅的使用案例，说明了为什么BMW不可只是依靠径直的客户证明。这便是为什么BMW如斯羡慕开发的车内系统。车辆的东谈主机界面--岂论它们是否配备了ADS--都被设计成不言自明的，因此使用起来直不雅、浮浅，最关键的是安全。这是通过提供用户定位、可控性、反馈以及在与咱们的系统互动的过程中提供安妥的匡助来已矣的。这使咱们或者提供高效、灵验和令东谈主沸腾的用户体验，并在设计和开发过程中无间进行实证研究测试。12.4 对公众的证明终末，在究诘浮滥者证明的话题时，不可只暖热BMW集团的客户。浮滥者证明的一个方面亦然对统统在日常通勤中会斗争到BMW系统的公众的证明。这份安全评估证明是BMW将如何向感酷爱酷爱的公众传达SAE L3级BMW ADS的才略--同期亦然其局限性的一个例子。BMW信赖NHTSA所想象的自愿安全自我评估是高度自动驾驶汽车系统的一个关键用具，不错传达关系系统发展近况和剩余挑战的信息。  缩写ABSAntilockBrake SystemACES      Automated- Connected - Electrified - SharedACSM     AdvancedCrash- and Safety Management Control UnitAD  AutomatedDrivingADAS     AdvancedDriver Assistance SystemADSAutomatedDriving SystemAEBS      AdvancedEmergency Braking SystemAI    ArtificialIntelligenceASILAutomotiveSafety Integrity LevelAuto-ISAC     AutomotiveInformation Sharing and Analysis CenterAUTOSAR      AutomotiveOpen System ArchitectureAV   AutomatedVehicleBSDBlindSpot DetectionBCPBasicCentral PlatformBMW     BayerischeMotoren WerkeCD  CommissionDraftCL   Closed-LoopCS   CybersecurityDC  DirectCurrentDiL  Driver-in-the-LoopDOT Departmentof TransportationDSC DynamicStability ControlE/E  Electrics/ElectronicsECE EconomicCommission for EuropeECUElectronicControl UnitEDR EventData RecorderDAS DriverAssistance systems HAD HighlyAutomated Driving FMVSS: FederalMotor Vehicle Safety StandardFuSa  FunctionalSafetyGB   GigabyteGNSS     GlobalNavigation Satellite SystemGPS GlobalPositioning SystemHD  HighDefinitionHiL  Hardware-in-the-LoopHMI HumanMachine InterfaceHO  Hands-OnHOR       Hands-OnRequestHW HardwareIEC  InternationalElectrotechnical CommissionIPA  IntelligentPersonal AssistantISO  InternationalStandardization OrganizationISTQB     InternationalSoftware Testing Qualifications BoardIT    informationtechnologyL2   SAELevel 2L3   SAELevel 3L3+ SAELevel 3-5LED LightEmitting DiodeLIDAR     LightDetection and RangingMB  Megabyte MIL-STD Military StandardMISRA Motor Industry Software Reliability Association MoU Memorandum of UnderstandingMRC Minimal Risk ConditionNCAP New Car Assessment Program NFC Near FieldCommunicationNHTSA National Highway and Traffic Safety Administration NIST National Institute of Standards and TechnologyOBD On-Board-Diagnosis ODD Operational DesignDomainOEDR Object and Event Detection and Response OEM Original Equipment Manufacturer OL Open-Loop  OTA Over-the-AirPAS Publicly Available Specification PEGASUS Project for the Establishment of Generally Accepted quality criteria， tools and methods as well as Scenarios and Situations for the release of highly-automated driving functions (Germanresearch project)PR   PublicrelationsPR Hacker  Hacker，who wants to generate PR with the publication of a hackSAE Society of Automotive EngineersSiL  Software-in-the-LoopSOTIF  Safetyof The Intended FunctionSW  SoftwareTO  TakeOverTOR TakeOver RequestU.S. UnitedStatesUN  UnitedNationsUNECE   UnitedNations Economic Commission for EuropeV&V Verificationand ValidationViL  Vehicle-in-the-LoopVIN VehicleIdentification Number 本站仅提供存储服务，统统内容均由用户发布，如发现存害或侵权内容，请点击举报。