https://sellio.store/pl/page/47/     https://fashionetta.org/pl/page/47/     https://home-partner.org/pl/page/47/     https://car-paradise.org/pl/page/47/     https://car-accessories.net/pl/page/47/     https://modeo-shop.com/pl/page/47/     https://wibratory.net/pl/page/47/     https://etui-empire.com/pl/page/47/     https://e-papierosy.org/pl/page/47/     https://ero-land.org/pl/page/47/     https://lampy-sklep.com/pl/page/47/     https://desteo.org/pl/page/47/     https://shopara.org/pl/page/47/     https://shopme-online.org/pl/page/47/     https://shopinio.org/pl/page/47/     https://shopopolis.org/pl/page/47/     https://shoporama.org/pl/page/47/     https://desuto.org/pl/page/47/     https://shopsy-online.org/pl/page/47/     https://e-shopsy.org/pl/page/47/     https://vandershop.net/pl/page/47/    https://wibratory.net/pl/page/47/    https://web-business.info/    https://webwomen.info/pl/

int-news.info

Kolejna witryna oparta na WordPressie

News

Głęboko w chwastach poziomów automatyzacji jazdy czai się niejednoznaczny warunek minimalnego ryzyka

Czy znasz SAE J3016, zalecane praktyki, które definiują, oprócz wielu innych terminów, szeroko (błędnie) cytowane poziomy automatyzacji jazdy? Możesz być! Możesz przeczytać jedno z wielu rzekomych (i często błędnych) streszczeń tego dokumentu. Możesz przeczytać moją krótką glosę na ten temat. Możesz też przeczytać aktualny dokument, pobierając go za darmo ze strony internetowej SAE. Proszę bardzo. Ja poczekam.

Daj mi znać, gdy dotrzesz do części dotyczącej warunku minimalnego ryzyka (MRC). Znajduje się ona na stronie 15 i 38 – ale nie pomijaj jej. Nie chcesz przecież przegapić ważnych fragmentów o strategii łagodzenia skutków awarii i awaryjności, które znajdują się na stronie 10. Wiedza, że „ODD” odnosi się do „operational design domain”, będzie bardzo pomocna. Poza tym wszystkie te „przestarzałe terminy” są zabawne. Ok, gotowi?

Jak już przeczytaliście, MRC to zasadniczo miejsce, w którym zatrzymuje się pojazd (i co robi pojazd podczas postoju), „gdy dana podróż nie może lub nie powinna być kontynuowana”. Na poziomach 4 i 5 MRC powinien osiągnąć raczej zautomatyzowany system kierowania (ADS), a nie ludzki kierowca.

Wiele lat temu przedstawiłem dwie propozycje dotyczące bardziej precyzyjnego zdefiniowania MRC. Pierwsza propozycja dotyczyła opracowania hierarchii warunków, które w zależności od okoliczności można by potencjalnie zakwalifikować jako „minimalne ryzyko”: zatrzymanie się w miejscu, na aktywnym pasie ruchu, na wąskim poboczu, na szerokim poboczu, na parkingu, przed szpitalnym oddziałem ratunkowym itd. Na szczęście w tej dziedzinie nastąpił pewien postęp.

Moja druga propozycja dotyczyła ponownego przemyślenia relacji pomiędzy MRC a systemem automatycznej jazdy (ADS). Aktualna wersja normy J3016 wyjaśnia, że „charakterystyka automatycznego osiągnięcia stanu minimalnego ryzyka na poziomie 4 i 5 będzie różna w zależności od rodzaju i zakresu awarii systemu, ODD (jeżeli występuje) dla danej funkcji ADS oraz szczególnych warunków eksploatacji w momencie wystąpienia awarii systemu lub przekroczenia ODD”.

Moja propozycja: W J3016 należy zamiast tego zdefiniować zarówno „osiągalny MRC”, jak i „oczekiwany MRC”, gdzie:

  • „Stan minimalnego ryzyka” to stan pojazdu, który zmniejsza ryzyko zderzenia, gdy dana podróż nie może lub nie powinna być zrealizowana.
  • Osiągalny MRC (AMRC) to stan, który można osiągnąć, biorąc pod uwagę ograniczenia w systemie ADS, w pozostałych częściach pojazdu i w środowisku jazdy.
  • Oczekiwane MRC (EMRC) to stan, który powinien zostać osiągnięty przy uwzględnieniu ograniczeń w pozostałych częściach pojazdu (z wyłączeniem systemu ADS) i w środowisku jazdy, ale nie w systemie ADS.

Podczas gdy „osiągalne MRC” odpowiada temu, jak „MRC” jest obecnie zdefiniowane w J3016, „oczekiwane MRC” odpowiada temu, jak MRC jest często używane zarówno poza, jak i nawet w ramach J3016.

Kluczowa różnica polega na tym, że EMRC jest funkcją pojazdu i środowiska jazdy – ale nie funkcją samego systemu ADS. Innymi słowy, EMRC to stabilny stan, który jest racjonalny dla danego pojazdu w jego aktualnym otoczeniu, niezależnie od zamierzonych możliwości lub aktualnej funkcjonalności danego systemu ADS. Jeżeli funkcja poziomu 4 (więcej na ten temat za chwilę) nie jest w stanie osiągnąć tego EMRC, to znaczy, że nie spełniła swojego zadania. Nie oznacza to, że system ADS powinien po prostu zepchnąć pojazd z urwiska: powinien on nadal próbować zmniejszyć ryzyko, ale jest mało prawdopodobne, aby uzyskana w ten sposób AMRC była równie bezpieczna jak EMRC.

Przejdźmy do konkretów. (AC lub PCC? Kiepski żart. Przepraszam.) Pojazd, który zatrzymuje się na szerokim poboczu (poza aktywnym pasem ruchu) z włączonymi awaryjnymi światłami błyskowymi engaged osiągnął MRC w powszechnym rozumieniu tego terminu. Obecna trudność nie wynika z tego, że potencjalne MRC są bardziej ambitne (np. powrót do magazynu remontowego), ale z tego, że potencjalne MRC są mniej ambitne.

W szczególności: Czy zatrzymanie się na aktywnym pasie ruchu może stanowić warunek minimalnego ryzyka? W tym miejscu pomocne może być rozróżnienie między AMRC a EMRC. Rozważmy trzy przykłady, z których każdy obejmuje funkcję poziomu 4:

Po pierwsze, jeśli wał napędowy pojazdu nagle pęknie w warunkach dużego natężenia ruchu, dojechanie do pobocza może być fizycznie niemożliwe. W takim przypadku zatrzymanie się na aktywnym pasie ruchu (z jednoczesnym włączeniem świateł awaryjnych i wezwaniem pomocy) może stanowić zarówno AMRC, jak i EMRC. Jest to najlepsza rzecz, jaką sprawny system ADS mógłby zrobić w danych warunkach drogowych i środowiskowych (EMRC), a ten system ADS rzeczywiście może to zrobić (AMRC).

Po drugie, jeżeli śnieżyca lub katastrofa spowoduje, że wąska jezdnia stanie się nagle nieprzejezdna dla pojazdów konwencjonalnych i zautomatyzowanych, to bezpieczne dotarcie do pobocza może okazać się fizycznie niemożliwe. Również w tym przypadku zatrzymanie się na aktywnym pasie ruchu (z jednoczesnym włączeniem świateł awaryjnych i wezwaniem pomocy) może stanowić zarówno AMRC, jak i EMRC. Ponownie, jest to najlepsza rzecz, jaką funkcjonalny system ADS mógłby zrobić w danych warunkach drogowych i środowiskowych (EMRC), a ten system ADS rzeczywiście może to zrobić (AMRC).

W trzecim przykładzie moja propozycja odbiega od normy J3016. Jeżeli system ADS utraci najważniejsze czujniki w wyniku uderzenia przez jelenia, może nie być w stanie wykryć, czy pojazd ma wolną drogę z bieżącego pasa ruchu na pobocze. W takim przypadku zatrzymanie się na aktywnym pasie ruchu (z jednoczesnym włączeniem świateł awaryjnych i wezwaniem pomocy) mogłoby stanowić AMRC, ponieważ może to być najlepsze, co ADS może zrobić w tych okolicznościach.

W tym przypadku jednak EMRC to zatrzymanie się na poboczu, a nie na aktywnym pasie ruchu. AMRC i EMRC różnią się w tym przypadku, ponieważ niemożność dotarcia do pobocza wynika z ograniczenia ADS, a nie z ograniczenia w pozostałej części pojazdu lub w środowisku drogowym. Krótko mówiąc, zawiódł sam system ADS. Nie musi to oznaczać potępienia systemu ADS (chociaż w wielu typowych sytuacjach brak wystarczającej redundancji może rzeczywiście stanowić jego wadę), ale raczej uznanie, że system ADS nie był w stanie skutecznie ustawić sprawnego pojazdu w danym środowisku drogowym.

Powyższe trzy przykłady można porównać do kierowania pojazdem przez człowieka – przynajmniej do pewnego stopnia. Ludzki kierowca może zatrzymać się na aktywnym pasie ruchu, jeżeli pęknie wał napędowy lub zamieć sprawi, że droga będzie nieprzejezdna. Może też zatrzymać się na aktywnym pasie ruchu, jeśli dozna zawału serca lub zostanie oślepiony przez jelenia – ale tylko dlatego, że człowieka nie da się zaprojektować tak, aby działał inaczej. Natomiast zautomatyzowane systemy kierowania pojazdami są projektowane z myślą o niekorzystnych zdarzeniach, od awarii oprogramowania po utratę sprzętu. I znowu, nie jest to jednoznaczne z potępieniem ADS: Analiza bezpieczeństwa funkcjonalnego opiera się raczej na niedoskonałości niż na perfekcji. Jednak nieuchronność – a nawet potencjalna akceptowalność – sporadycznych awarii nie neguje awarii.

W istocie, w normie J3016 występuje inny termin – „strategia łagodzenia skutków awarii” – opisujący reakcję pojazdu na taką awarię. Jednak jego definicja brzmi następującopodkreśla, że ograniczanie skutków awarii jest wyłącznie funkcją pojazdu, a nie systemu ADS. I tak rozróżniam tutaj łagodzenie skutków awarii podejmowane przez częściowo niezdolny do działania system ADS (co jest objęte zakresem J3016) i łagodzenie skutków awarii podejmowane przez pojazd w przypadku całkowicie niezdolnego do działania systemu ADS (co, choć wykracza poza zakres J3016, jest z pewnością objęte zakresem projektu i przepisów dotyczących zautomatyzowanej jazdy).

To rozróżnienie uwypukla istotną wadę mojej propozycji: Narysowanie granicy między systemem ADS a resztą pojazdu jest trudne zarówno w teorii, jak i w praktyce. Na przykład, czy siłownik hamulca jest częścią systemu ADS? Czy odpowiedź zależy od tego, czy siłownik ten byłby również obecny w konwencjonalnym pojeździe? A co w przypadku, gdy dana klasa pojazdów została zaprojektowana, a nie doposażona w celu automatyzacji jazdy, tak że wszystkie jej układy są ściśle zintegrowane? Jak wynika z obecnej definicji strategii ograniczania skutków awarii, norma J3016 już wyznacza tę granicę. Pojęcie to wzmacnia potencjalnie pomocną koncepcję systemu ADS jako analogicznego do ludzkiego kierowcy, który prowadzi – lub, mówiąc językiem J3016, „wykonuje dynamiczne zadanie prowadzenia” pojazdu.

Na szczęście moja propozycja ma pewne zalety.

Po pierwsze, zdefiniowanie EMRC niezależnie od projektu ADS umożliwia określenie (w ramach lub poza J3016) podstawowego poziomu dla tej koncepcji: Gdy podróż nie może lub nie powinna być ukończona, EMRC wymaga zatrzymania się poza aktywnym pasem ruchu, chyba że pojazd (z wyłączeniem jego ADS) lub środowisko jazdy to uniemożliwiają. Dotyczy to zarówno sytuacji, w której oczekuje się, że kierowca (na poziomie 3 lub poniżej) lub system ADS (na poziomie 4 lub powyżej) osiągnie EMRC.

Po drugie, ponieważ EMRC nie zależy od konstrukcji ADS, EMRC w przypadku źle zaprojektowanego ADS nie jest niższe niż EMRC w przypadku dobrze zaprojektowanego ADS. Jeżeli system ADS nie posiada odpowiedniego zasilania awaryjnego, utrata zasilania podstawowego nie wpływa na wymagany poziom EMRC, ale na to, czy system ADS może spełnić te oczekiwania.

Po trzecie, niniejsze brzmienie wyraźniej rozróżnia poziomy 3 i 4 zautomatyzowanej jazdy. Konstruktor ADS, który opisuje funkcję zautomatyzowanego prowadzenia pojazdu jako poziom 4, obiecuje, że ADS niezawodnie osiągnie ten EMRC. Również w tym przypadku niespełnienie tej obietnicy nie musi oznaczać potępienia lub błędnej klasyfikacji, ale nadal jest to niepowodzenie. W przeciwieństwie do tego, producent ADS, który opisuje daną funkcję jako poziom 3, nie obiecuje, że ADS niezawodnie osiągnie EMRC, dlatego też konieczna jest interwencja człowieka. Jeżeli człowiek nie wznowi aktywnego prowadzenia pojazdu, funkcja poziomu 3 może nadal próbować minimalizować ryzyko, ale nie oczekuje się, że osiągnie EMRC.

Jednak bez tego poziomu definicja poziomu 4 staje się tautologiczna. Jeżeli MRC to po prostu stan, jaki dany system ADS może osiągnąć w aktualnych okolicznościach, to system ADS zawsze osiąga taki MRC. Ale taka jest właśnie definicja poziomu 4, co oznacza, że poziom 3 po prostu przestaje istnieć. Ujmując to bardziej konkretnie: Zatrzymanie na aktywnym pasie ruchu jest MRC dla systemu ADS, który ze względu na własne ograniczenia konstrukcyjne z konieczności zatrzymuje się tylko na swoim aktualnym pasie ruchu. ADS, który niezawodnie doprowadza pojazd do zatrzymania – dowolnego zatrzymania– gdyczłowiek nie wznawia aktywnego prowadzenia pojazdu, jest zatem poziomem 4. A jednak kwintesencją poziomu 3 od dawna jest funkcja, która w przypadku, gdy kierowca nie wznowi aktywnego prowadzenia pojazdu przez człowieka, jest w stanie zatrzymać pojazd.

ng, przynajmniej zatrzymuje pojazd, ale nie przenosi go konsekwentnie na pobocze.

Rozróżnienie EMRC i AMRC rozwiązuje ten problem. Wartość EMRC jest taka sama niezależnie od poziomu automatyzacji, a różnica polega na tym, gdzie mieszczą się oczekiwania: Na poziomie 3 oczekuje się, że kierowca ludzki osiągnie EMRC, a na poziomie 4, że ADS osiągnie EMRC.

W ten sposób EMRC jest bardziej zgodny z tym, w jaki sposób w J3016 używa się

obecnie terminu „warunek minimalnego ryzyka” w celu odróżnienia ADS, który może wymagać udziału człowieka-kierowcy, aby osiągnąć akceptowalny poziom ryzyka (tj. poziom 3), od ADS, który tego nie wymaga (tj. poziom 4).

Z kolei AMRC odpowiadałby obecnej definicji

„warunku minimalnego ryzyka” zawartej w J3016. Jest to przydatne także z innych względów. Na przykład ważne jest, aby wiedzieć, że zatrzymanie się na aktywnym pasie ruchu może być AMRC funkcji poziomu 3 w przypadku braku interwencji człowieka lub funkcji poziomu 4 w przypadku katastrofalnej awarii. Podczas gdy EMRC służy do definiowania, AMRC może być stosowana do opisywania.

Tak, to jest skomplikowane. A normę J3016 krytykuje się za to, że jest już wystarczająco skomplikowana. Ale to jest skomplikowany temat. Podczas gdy publicznie dostępne streszczenia mogą i powinny być uproszczone, definicje techniczne leżące u ich podstaw wymagają niuansów, których wymaga wiarygodność i użyteczność.

(Na marginesie: zdaję sobie sprawę, że dokument J3016 jest długi i skomplikowany głównie z powodu poziomu 3. Ale usuwanie poziomu 3 z dokumentu, ponieważ jest on złożony i kontrowersyjny, nie ma większego sensu niż usuwanie pewnych słów ze słownika, ponieważ one również są złożone i kontrowersyjne. Czy się go lubi, czy nie, poziom 3 reprezentuje…


Czytaj dalej: http://cyberlaw.stanford.edu/blog/2022/01/deep-weeds-levels-driving-automation-lurks-ambiguous-minimal-risk-condition

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.