从LSAD法规看如何设计一个L4自动驾驶系统

在汽车智驾相关的技术交流会中，如果是关于辅助驾驶，那么话题多半是：如何设计出一个好的辅助驾驶系统；如果是关于自动驾驶，那么话题多半是：如何设计出一个自动驾驶系统。

前者我们不难理解，在全行业这么多年的共同努力下，围绕辅助驾驶系统已经建立了一套比较完善的标准，主机厂或供应商只要思考如何在标准之上将系统做得圆润而不失个性。且市面上已经有量产的比较优秀的辅助驾驶系统，实在不想思考的厂家还可以拿“皮尺”去对标。

后者其实也不难理解，截至2023年，世界范围内还没有达到前装量产级别的L4自动驾驶系统，而针对L4自动驾驶系统的权威国际标准恐怕五个手指头都能数得过来。所以说，如何设计一个L4自动驾驶系统就摆在了主机厂和供应商面前的共同难题。

少并不代表没有，ISO 22737作为第一个针对L4自动驾驶系统的国际标准，为广大从业者提供一个如何设计L4自动驾驶系统的思路。学习之，可能不能摆脱“贫穷”，但可以让我们有尊严的“乞讨”。

01 基本介绍

2021年7月，ISO 22737正式发布，适用的对象为预定路线的低速自动驾驶（Low-speed automated driving，LSAD）系统，也就是最大速度不超过8.89米/秒（32公里/小时）且起点到终点之间行驶路线在系统启动前已经被确定好的自动驾驶系统。

港口、矿山、机场、工业园区、校园等，是搭载这类系统自动驾驶车辆的常见落地场景。比如港口中负责岸桥和堆场间负责水平运输任务的集卡或平板车；比如校园里负责驿站和宿舍之间运送快递的小车等。

该标准由英国华威大学Siddartha Khastgir博士领导的国际专家组制定，同时得到了英国互联与自动驾驶汽车中心（CCAV）和创新英国（Innovate UK）资助的WMG和Aurrigo INTACT项目的研究成果支持，以及Khastgir博士在英国研究与创新部门（UKRI）未来领袖奖学金资助期间的部分研究成果。

搭载LSAD系统的车辆通常与调度平台及用户组成一个完整的出行即服务（Mobility as a Service，MaaS）系统，此类MaaS系统的典型架构如图1所示。

图1 MaaS系统的典型架构

用户通过手机App设置起点和终点信息，调度平台收到用户请求的信息后，调度平台通过无线网络将此信息发送给车辆上的LSAD系统，并由调度平台或LSAD系统生成行驶路线。调度平台可将行程路线发送给用户进行确认，并向LSAD系统下发启动行驶的指令。

由于到达终点的预定义路线可能不止一条，因此在存在多条路线时，还存在由谁确认最终路线的问题，一般有三种方案：

（1）由调度中心决定；

（2）由用户通过手机APP进行选择；

（3）由LSAD系统自身选择。

这种架构及功能分配是一种理想化的状态，实际落地过程中，制造商可基于场景的特点进行裁剪及优化。

02 系统架构

一个完整的LSAD系统架构如图2所示，包括路径规划、感知识别、设计运行范围监测、动态驾驶任务、危险工况识别、最小风险策略、紧急停车、控制执行、乘客监察、数据存储、V2X等子模块。

图2 一个完整的LSAD系统架构

ISO 22737主要对紫色框中子模块的性能和安全做了基础要求，绿色框中子模块也是LSAD系统的必须组成部分，但ISO22737未对这部分进行介绍，橙色框中LSAD系统的可选功能子模块。

一、设计运行范围

LSAD系统设计的第一步就是制定其设计运行范围（Operational Design Domain，ODD），且其中至少包含以下元素：

（1）速度：定义LSAD系统在不同工况下的速度要求，比如晴天、雨天的速度要求，平坦路面、颠簸路面的速度要求，重载、空载的速度要求，但无论如何定义，都不应超过32Km/h的最高速度限制。

（2）区域：定义LSAD系统可行驶的区域，包括公开道路区域、专用道路区域、机动车行驶区域、非机动车行驶区域等。

（3）路线：定义LSAD系统在可行驶区域内的一条或多条可行驶的路线，自动驾驶车辆启动后只允许在这些预定义的道路上行驶，一旦由于各种原因需要在超出预定义的道路上行驶，需要LSAD系统将请求发送调度平台，由调度平台调度员进行安全确认。

（4）照明：定义LSAD系统支持的照明强度范围（单位：lux），包括自然光源和人工光源。

（4）天气：定义LSAD系统支持的天气情况，包括风、雨、雪等常规天气以及雾、霾、沙尘等特殊天气，同时需要定义LSAD系统可以支持到何种程度、比如小雨、中雨、大雨还是暴雨。

（5）道路：定义LSAD系统支持的道路表面（铺装、非铺装），道路表面质量（开裂、车澈、沉陷等），道路表面覆盖物，道路标线（质量、有无、颜色等），道路边缘（护栏、路缘石等）。

（6）障碍物：定义LSAD系统在可行驶区域内是否存在弱势道路使用者（Vulnerable Road Users，VRU）以及静态障碍物。

（7）V2X：定义LSAD系统对V2V、V2I、V2N的支持情况。

LSAD系统在工作时需要实时监测这些定义的ODD元素，以判断系统是否处于ODD内、还是即将超出ODD、还是已经超出ODD。

二、危险工况识别

在激活期间，LSAD系统应通过监测周边环境来实时判断是否有危险工况发生，且一旦监测到危险工况，应采取必要措施避免与障碍物碰撞，并向外部道路使用者发出警告。障碍物类型包括骑行者、行人、车辆以及其他动静态障碍物等。

危险工况分为有遮挡和无遮挡工况，不同工况下又存在一些不同的危险场景。ISO 22737针对行人和骑行者在这两种工况下的常见危险场景做了最低要求，这也意味着以下场景发生时，LSAD系统必须能够从容应对。

图3展示了无遮挡工况下行人与车辆之间可能存在的一些危险场景，图4展示了无遮挡工况下骑行者与车辆之间可能存在的一些危险场景，图5展示了有遮挡工况下行人、骑行者与车辆之间可能存在的一些危险场景。

图3 无遮挡工况下行人与车辆之间可能存在的一些危险场景

图4 无遮挡工况下骑行者与车辆之间可能存在的一些危险场景

图5 有遮挡工况下行人、骑行者与车辆之间可能存在的一些危险场景

ISO22737规定LSAD系统要能识别最大速度为2.22米/秒（8公里/小时）的行人，要能识别的最大速度为6.94米/秒（25 公里/小时）的骑行人。LSAD系统可以识别更高速度的行人和骑行者，但需要在定义ODD时描述清楚。

三、最小风险策略

最小风险策略（Minimal Risk Maneuver，MRM）是指驾驶自动化系统无法继续执行动态驾驶任务时，LSAD系统所采取的使车辆达到最小风险状态（Minimal Risk Conditon，MRC）的措施。

ISO 22737定义了MRM的最小触发条件，包括以下内容（以下条件为或）：

（1）LSAD系统遇到无法处理的一些危险工况；

（2）发生与动态驾驶任务执行相关的系统故障；

（3）关键的且涉及行驶安全的V2X通信中断；

（4）即将超出ODD；

（5）LSAD系统向调度平台请求安全行驶的确认，但未从调度员处收到继续安全行驶的确认反馈。

需要注意的是，MRM是由LSAD系统触发的，触发后应向乘员和其他道路使用者发出通知，并最终使车辆安全停车，既包括本车道停车也包括路边停车，所以整个MRM过程可能还包括转向。

待车辆静止后，LSAD系统应将MRC状态反馈给调度平台，调度员确认MRC安全后，会启动MRC状态到其他状态的转换。

在LSAD DDT子状态中有一个降级模式，其与MRM不同，因为在MRM结束时，车辆将处于静止状态，而在LSAD DDT子状态的降级模式下，车辆将继续行驶。

四、紧急停车

紧急停车（e-stop）功能可由车内乘客或调度平台调度员触发。

当车内乘客发现身体不适（晕车、肚子痛、晕倒等）、发现配置LSAD系统的车辆出现非预期行为、发现配备LSAD系统的车辆变得不具备自动驾驶能力时，乘客可通过按下车辆上的紧急停车按钮，触发车辆紧急停车功能。

当调度平台调度员发现配置LSAD系统的车辆不具备自动驾驶能力、超出ODD、发现LSAD系统未识别的危害工况时，调度员可通过远程停车命令，触发车辆激活紧急停车功能。

当LSAD系统进入到紧急停车状态时，如果想再次使LSAD系统进入到激活状态，需要调度平台调度员的确认，以确保LSAD系统和装备车辆的系统完整性。

03 状态机

ISO 22737为LSAD系统定义了一种状态机，包含三个大状态OFF、standby和active，active下又包括四个子状态DDT、e-stop、MRM、MRC，如图6所示。制造商可参照这个状态机进行自身LSAD系统状态机的详细设计。

图6 LSAD系统状态机

一、状态描述

（1）OFF状态。在此状态下，LSAD系统不应执行任何动态驾驶任务。

（2）standby状态。在此状态下，LSAD系统应：

（a）验证ODD是否满足切换到active状态；

（b）与调度建立通信；

（c）保持车辆静止状态；

（3）active状态。在此状态下，LSAD系统开始执行动态驾驶任务并持续监控系统性能，最大运行速度由调度平台或LSAD系统决定，包括以下子状态：

（a）DDT子状态。LSAD active下的默认子状态，主要包括两个基本功能：一是执行DDT，要保证可以按照预定路线行驶且避免与障碍物发生碰撞；二是实时检测是否有超出ODD的情况发生。

（b）e-stop子状态。当乘客或调度员请求了紧急停车后进入的状态，在此状态下，LSAD系统应执行紧急减速从而使车辆停止，同时向调度员反馈状态信息，向外部传达紧急情况（例如，通过危险灯、听觉警报）。

（c）MRM子状态。当上文介绍的触发条件满足后，车辆进入此状态。

（d）MRC子状态。在此状态下，LSAD系统应使车辆保持静止、同时向调度员反馈LSAD系统状态信息。

二、状态转换

（1）A1（OFF到standby）：调度员下发远程上电指令后上电成功且自检通过。

（2）B1（standby到OFF）：调度员下发远程下电指令或车辆掉电或发生与DDT有关的系统故障。

（3）B2（standby到DDT）：ODD满足且调度员下发激活的指令且数据记录系统可以正常工作（存储至少足够记录一次重大安全事故）。

（4）C1（DDT到standby）：调度员下发退出激活的指令。

（5）C2（DDT到e-stop）：乘客或调度员触发紧急停车请求。

（6）C3（DDT到MRM）：上文介绍的MRM条件触发。

（7）C4（MRM到MRC）：车辆进入静止状态。

（8）C5（MRC到standby）：LSAD系统收到调度员下发的可以进入stanby状态指令。

（9）C6（e-stop到standby）：车辆进入静止状态且LSAD系统收到调度员下发的可以进入stanby状态指令。

04 写在最后

年少不知标准好，错把爽文当成宝，真心劝各位从业者没事的时候多看看标准。