建言工信部《智能网联汽车 自动驾驶系统安全要求(报批稿)》
任雁冰,15902025918
工信部6月16日发布了关于公开征求《智能网联汽车 自动驾驶系统安全要求》等2项强制性国家要求(报批稿)意见的公示,公示时间6月17日至24,如有不同意见,可在公示期间填写《强制性国家标准反馈意见表》。这对智能船舶的发展也具有重要的参考价值。
我今天(20日)对《智能网联汽车 自动驾驶系统安全要求(报批稿)》D.2.4.2.4条提出了修改意见并向工信部指定邮箱发送了电子邮件。
D.2.4.2.4全文:在 ADS 运行过程中发生安全相关故障时,安全概念应描述为符合安全目标至少采用以下一种或多种安全措施(含外部措施):
a)使用ADS 的部分系统实现 ADS 后援响应;
注:描述的内容包括激活该模式的条件 (例如,失效类型)、在此模式下自动驾驶功能行为和能力 (例如,到达 MRC)、向后援用户发出预警的策略(如适用)。
b)使用独立系统实现冗余设计;
注:描述的内容包括独立系统实现的冗余、切换机制的原则、用于确定切换的逻辑架构、该措施的局限性。
c)执行相同功能的多样性系统设计;
注:描述的内容包括多样性系统实现的冗余、切换机制的原则、用于确定切换的逻辑架构、该措施的局限性。
d)限制部分或全部自动驾驶功能。
注:描述的内容包括按照本文件的相关规定来执行此操作的方法、与自动驾驶功能相关的所有输出控制信号的抑制策略。
修改意见:将“在ADS运行过程中发生安全相关故障时,安全概念应描述为符合安全目标至少采用一种或多种安全措施(含外部措施)”修改为“在ADS运行过程中发生安全相关故障时,安全概念应描述为符合安全目标至少采用两种或多种安全措施(含外部措施)”。
理由一:如该标准允许在ADS运行过程中发生安全相关故障时采用一种安全措施,那么车辆制造商出于成本考虑将仅采取最低限度的一种安全措施,即措施“a)使用ADS的部分系统实现ADS后援响应”,而不会采取成本更高的措施,如“b)使用独立系统实现冗余设计”和“c)执行相同功能的多样性系统设计”,导致L3和L4级驾驶鲁棒性不够充分。
理由二:仅采用措施“a)使用ADS的部分系统实现ADS后援响应”不能实质性解决ADS运行过程中发生的相关故障,而只是将安全责任推卸给车辆使用者。与此相比,如强制性增加措施b)或措施c),则可保证在ADS运行过程中发生安全相关故障时另有一套异构冗余系统运行,使车辆继续处于L3或L4级驾驶状态,有效增强其鲁棒性,只有在异构冗余系统也发生故障时才使车辆使用者介入,作为兜底。
理由三:强制性增加措施b)或措施c)既可以更充分保证L3或L4级驾驶的鲁棒性,也可以通过较低的车辆制造成本显著提升社会安全价值,预付更多人身伤亡和财产损失,不能因过度“照顾”对L3和L4级车辆安全标准要求低的车辆制造商而损害全社会安全水平,不能因小失大,因短期利益而损害长期利益。更重要是,这也可以明显增强我国L3和L4级车辆的国际竞争力。
10个月宝宝每天需要喝多少奶粉?
