この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、国家標準化団体 (ISO メンバー団体) の世界的な連合体です。国際規格の作成作業は通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。政府および非政府の国際機関も ISO と連携してこの作業に参加しています。 ISO は、電気技術の標準化に関するあらゆる事項について国際電気標準会議 (IEC) と緊密に協力しています。
この文書の開発に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令第 1 Part に記載されています。特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part の編集規則に従って起草されました ( www.iso.org/directives を参照)
ISO は、この文書の実装には特許の使用が含まれる可能性があることに注意を促します。 ISO は、請求された特許権に関する証拠、有効性、または適用可能性に関していかなる立場もとりません。この文書の発行日の時点で、ISO はこの文書の実装に必要となる可能性のある特許の通知を受け取っていません。ただし、実装者は、これが www.iso.org/patents で入手可能な特許データベースから取得できる最新の情報を表していない可能性があることに注意してください。 ISO は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易の技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、以下を参照してください。 www.iso.org/iso/foreword.html
この文書は、ISO/TC 204, 高度道路交通システム技術委員会によって作成されました。
ISO 23793 シリーズのすべての部品のリストは、ISO の Web サイトでご覧いただけます。
導入
最小リスク操作 (MRM) は、安定した停止状態である最小リスク状態 (MRC) を達成するために使用される自動運転システム (ADS) のフォールバック機能です (ISO/SAE PAS 22736 を参照)
動的駆動タスクが ISO/SAE レベル 3 ~ 5 ADS によって実行されているシナリオでwhere 、ADS が動的駆動タスクを続行できないイベントが発生する可能性があります。このようなイベントの例には次のようなものがあります。
- a) ISO/SAE レベル 3-5 ADS の場合、ADS, 自動運転コンポーネント、またはその他の車両コンポーネントの故障。
- b) ISO/SAE レベル 3 または 4 ADS の場合、ADS が運用設計ドメイン (ODD) から外れるリスク。
- c) ISO/SAE レベル 3 ADS の場合、ADS が介入要求を発行したときに、フォールバック対応ユーザー (FRU) または乗客が動的運転タスクを引き継ぐことができない。
これに応じて、ADS は MRM 機能を開始し、すべての乗客と他の道路利用者の安全性を強化します。 MRM機能は、車両の状態や交通状況を考慮して、リスクを低減するために最適なMRMの種類を選択し、車両制御により最終的に車両を停止させます。特定の MRM タイプでは、縦方向の制御に加えて横方向の制御を追加できます。
MRM はシステムではなく、むしろ ADS 内の機能です。「MRM」と「故障軽減戦略」は、どちらの機能も、レベル 3 ~ 5 の自動化で動作する ADS にとって有害事象に応じて車両を停止するという点で類似しているように見えます。ただし、MRM が ADS の機能であるのに対し、故障軽減戦略は車両が不能になったときに自動的に停止するように設計された車両の機能であるという点で異なります。
「MRM」および「前方車両衝突軽減システム」(FVCMS) などの「物体および事象の検出および対応」(OEDR) ベースの衝突軽減および回避システムは、衝突のリスクを最小限に抑えようとするため、同様に動作することがあります。ただし、それらは目的も異なります。衝突軽減および回避システムは通常の動作中に外部の物体との衝突を考慮しますが、MRM は異常な状況 (ADS システムの故障や ODD 条件の違反など) でのリスクを制限するために車両を停止しようとします。 )車両を減速させます。 OEDR ベースの衝突の軽減と回避は、MRM とは独立して並行して実行されます。
この文書は、高速道路運転手システム (MCS) (ISO/TS 23792-1) や低速自動運転 (LSAD) システム (ISO 22737) などの ADS の MRM 機能を定義するために使用できます。
1 スコープ
この文書では、最小リスク操作 (MRM) の最小要件について説明します。これは、最小リスク状態 (MRC) を達成するために自動フォールバックを実行する ADS の応答です。
この文書は、MRM の分類フレームワークを指定します。分類フレームワークは、MRM 運用の概念、さまざまな MRM タイプの分類、および状況に基づいてどの MRM タイプを実行できるかを決定する意思決定プロセスの基本原則を確立します。
この文書では、MRM の 2 つの最も単純なタイプ (タイプ 1 のストレート ストップとタイプ 2 のインレーン ストップ) の制御戦略とテスト手順の最小要件も指定します。
この文書で説明される MRM の範囲は、MRC の達成を目的とした、開始から終了までの MRM アクション中の ADS パフォーマンスの最小要件をカバーします。 ISO 26262 や ISO 21448 で指定されているような、堅牢なシステム設計のための MRM アクション固有の安全要件は、この文書の範囲内ではありません。
この文書で説明されている MRM は、レベル 3 ~ 5 ADS を装備した小型車両での使用を目的としています。
この範囲には、ADS の障害を検出する方法と、MRM を開始するための意思決定プロセスは含まれません。これは、MRM を開始できるケースが多数あり、業界内でそれらのケースの分類について一般的な合意がないためです。
2 規範的参照
この文書には規範的な参照はありません。
3 用語と定義
この文書の目的上、次の用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
最小限のリスク作戦
MRM
DDTフォールバックを実行しながら自動運転システムによる操縦を行い、リスクを最小限に抑えた状態を実現
3.2
最小限のリスク状態
MRC
特定の旅行を継続できない、または継続すべきでない場合に、衝突のリスクを軽減するために動的運転タスクのフォールバックを実行した後、ユーザーまたは自動運転システムが車両をもたらすことができる安定した停止状態。
[出典:ISO/SAE PAS 22736:2021, 3.16, 修正済み — 入力メモと例は削除されました。]
3.3
対象車両
sv
最小限のリスク操作を実行できる自動運転システムを搭載した車両
3.4
停止管理
車両を最小限のリスク状態に維持するために実行される機能
3.5
レーン
目に見える車線区分線によって決定される車線の境界線、および目に見える車線区分線がない場合には、デジタル地図、磁気マーカー、衝突障壁などに対する位置特定など、付随的に検出可能な道路の特徴やその他の手段によって決定される車線の境界線。
3.6
路肩
緊急車両が交通渋滞を回避できるようにするため、または問題に遭遇した車両が活発な交通から抜け出すための場所を提供するために、車線境界の外側の道路の端に設置された道路の一部
3.7
加速制御
パワートレイン制御などの車両機能を利用して正の加速度を発生させる制御
3.8
減速制御
ブレーキなどの車両機能を利用して負の加速度を発生させる制御
3.9
障害軽減戦略
- 1) ADS が介入要求を発行した後、レベル 3 ADS 機能のフォールバック対応ユーザーがフォールバックの実行に長時間失敗する。または
- 2) ADS を無力化するほどの壊滅的なシステム障害または外部イベントの発生。ADS は、フォールバックを実行して最小限のリスク状態を達成するための車両運動制御を実行できなくなります。
[出典:ISO/SAE PAS 22736:2021, 3.11]
3.10
衝突軽減・回避システム
車両、乗員、その他の道路利用者に対する知覚された存在と潜在的な危険を特定する目的で、車両の内外の状況を感知および監視し、車両のアクティブ制御によって潜在的な衝突を回避または軽減するために自動的に介入する車両システム。車両サブシステム (ブレーキ、スロットル、サスペンションなど)
参考文献
| 1 | ISO/SAE PAS 22736:2021, 路上自動車の運転自動化システムに関連する用語の分類と定義 |
| 2 | ISO/TS 23792-1, 高度道路交通システム — 高速道路運転手システム (MCS) — Part 1: フレームワークと一般要件 |
| 3 | ISO 22737, 高度道路交通システム — 事前定義されたルートのための低速自動運転 (LSAD) システム — 性能要件、システム要件および性能試験手順 |
| 4 | ISO 26262-1, 道路車両 — 機能安全 — Part 1: 語彙 |
| 5 | ISO 21448, 道路車両 — 意図された機能の安全性 |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of ISO document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives ).
ISO draws attention to the possibility that the implementation of this document may involve the use of (a) patent(s). ISO takes no position concerning the evidence, validity or applicability of any claimed patent rights in respect thereof. As of the date of publication of this document, ISO had not received notice of (a) patent(s) which may be required to implement this document. However, implementers are cautioned that this may not represent the latest information, which may be obtained from the patent database available at www.iso.org/patents . ISO shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/TC 204, Intelligent transport systems.
A list of all parts in the ISO 23793 series can be found on the ISO website.
Introduction
A minimal risk manoeuvre (MRM) is the fallback function of an automated driving system (ADS) used to achieve a minimal risk condition (MRC) which is a stable, stopped state (see ISO/SAE PAS 22736).
In a scenario where the dynamic driving task is being performed by the ISO/SAE Level 3-5 ADS, an event which prevents the ADS from continuing the dynamic driving task can occur. Examples of such events include:
- a) for ISO/SAE Level 3-5 ADS, the failure of the ADS, automated driving component(s) or other vehicle component(s);
- b) for ISO/SAE Level 3 or 4 ADS, the risk that the ADS exits its operational design domain (ODD);
- c) for ISO/SAE Level 3 ADS, the failure of the fallback ready user (FRU) or passenger to take over the dynamic driving task when the ADS issues a request to intervene.
In response, the ADS initiates an MRM function to provide enhanced safety for all passengers and other road users. The MRM function selects the most appropriate MRM type to reduce the risk (taking into account the subject vehicle state and traffic conditions) and eventually stops the vehicle through vehicle control. In addition to longitudinal control, lateral control can be added for certain MRM types.
The MRM is not a system, but rather a functionality within an ADS."MRM" and"failure mitigation strategy" appear similar in that both functions stop the vehicle in response to an adverse event for ADS operating at Level 3 to 5 automation. However, they differ in that the MRM is a function of an ADS, whereas failure mitigation strategy is a vehicle function designed to automatically bring a vehicle to a stop when it has been incapacitated.
"MRM" and"object and event detection and response" (OEDR) based collision mitigation and avoidance systems such as a"forward vehicle collision mitigation system" (FVCMS) sometimes behave similarly, as they try to minimize the collision risk. However, they also differ in their purposes: collision mitigation and avoidance systems consider impacts with external objects during normal operations, whereas an MRM tries to stop the vehicle in order to limit risk under abnormal conditions (such as ADS system failures or violations of ODD conditions) by decelerating the vehicle. OEDR-based collision mitigation and avoidance will be executed independently of and in parallel to MRM.
This document can be used to define the MRM function of ADSs such as motorway chauffeur systems (MCS) (ISO/TS 23792-1) or low speed automated driving (LSAD) systems (ISO 22737).
1 Scope
This document addresses the minimum requirements for minimal risk manoeuvres (MRM), which are the response of an ADS to perform automated fallback to reach a minimal risk condition (MRC).
This document specifies the classification framework for MRMs. The classification framework establishes the concept of MRM operation, classification of different MRM types, and basic principles of the decision-making process to decide which MRM type can be performed based on the situation.
This document also specifies the minimum requirements of the control strategy and test procedures for the two simplest types of MRM: straight stop for type 1 and in-lane stop for type 2.
The scope of the MRM described in this document covers minimum requirements for ADS performance during MRM action, from initiation to termination, aimed at achieving an MRC. MRM action-specific safety requirements for robust system design, such as those specified in ISO 26262 and ISO 21448, are not within the scope of this document.
The MRM described in this document are intended to be used on light-duty vehicles equipped with Level 3-5 ADS.
The scope does not include methods for detecting ADS failures and the decision-making process to initiate an MRM. This is because there are numerous cases that can initiate MRMs, and there is no general agreement on classification of those cases in the industry.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
minimal risk manoeuvre
MRM
manoeuvre by an automated driving system while performing the DDT fallback to attain the minimal risk condition
3.2
minimal risk condition
MRC
stable, stopped condition to which a user or an automated driving system may bring a vehicle after performing the dynamic driving task fallback in order to reduce the risk of a crash when a given trip cannot or should not be continued
[SOURCE:ISO/SAE PAS 22736:2021, 3.16, modified — Notes to entry and Examples have been removed.]
3.3
subject vehicle
sv
vehicle equipped with an automated driving system that is capable of performing minimal risk manoeuvres
3.4
standstill management
function that is implemented in actions taken to maintain the vehicle in minimal risk condition
3.5
lane boundary
borderline of the lane that is determined by a visible lane marking, and in the absence of a visible lane marking, by incidental detectable road features or other means such as localization relative to a digital map, magnetic markers, crash barriers, etc.
3.6
road shoulder
part of the road installed at the edge of the road, outside the lane boundary, to enable an emergency vehicle to bypass traffic congestion or to provide a place for a vehicle that encounters a problem to get out of the active traffic
3.7
acceleration control
control that generates positive acceleration using vehicle functions such as powertrain control
3.8
deceleration control
control that generates negative acceleration using vehicle functions such as brake
3.9
failure mitigation strategy
- 1) prolonged failure of the fallback-ready user of a Level 3 ADS feature to perform the fallback after the ADS has issued a request to intervene; or
- 2) occurrence of a system failure or external event so catastrophic that it incapacitates the ADS, which can no longer perform vehicle motion control in order to perform the fallback and achieve a minimal risk condition
[SOURCE:ISO/SAE PAS 22736:2021, 3.11]
3.10
collision mitigation and avoidance system
vehicle system that senses and monitors conditions inside and outside the vehicle for the purpose of identifying perceived present and potential dangers to the vehicle, occupants and/or other road users, and that automatically intervenes to help avoid or mitigate potential collisions via active control of the vehicle subsystems (brakes, throttle, suspension, etc.)
Bibliography
| 1 | ISO/SAE PAS 22736:2021, Taxonomy and definitions for terms related to driving automation systems for on-road motor vehicles |
| 2 | ISO/TS 23792-1, Intelligent transport systems — Motorway chauffeur systems (MCS) — Part 1: Framework and general requirements |
| 3 | ISO 22737, Intelligent transport systems — Low-speed automated driving (LSAD) systems for predefined routes — Performance requirements, system requirements and performance test procedures |
| 4 | ISO 26262-1, Road vehicles — Functional safety — Part 1: Vocabulary |
| 5 | ISO 21448, Road vehicles — Safety of the intended functionality |