BMWs säkerhetsrapport

Rådet från den amerikanska säkerhetsorganisationen NHTSA till organisationer som utför testning av automatiserade fordon på allmänna vägar i USA är att frivilligt publicera beskrivningar av sitt säkerhetsarbete. Flera organisationer har följ det rådet, nu senast BMW som publicerat en rapport som i första hand kopplar till BMW Vision iNEXT och konceptfordonet iNEXT [1].

I rapporten beskriver BMW bl.a. hur de definierar automationsnivå 3, vilka gränssnitt som används, hur objektdetektering går till, hur de definierat operativ designdomän (ODD), backupphantering, olycksskydd, olyckshantering samt datainsamling och lagring. Jämfört med andra säkerhetsrapporter är den kanske något mer detaljerad men fortfarande ganska generell. 

Då detta handlar om automationsnivå 3 är beskrivningen av kontrollöverlämningen mellan förare och fordonet, och vice versa, extra intressant. Här är några citat där ADS står för ”autonmous driving system”, HMI står för ”human machine interface” och TOR står för ”take-over request”: 

  • At a minimum the HMI should be capable of informing the user through various indicators that the ADS: is functioning properly, is currently engaged in ADS mode, is currently “unavailable”, is experiencing a malfunction, and/ or is requesting a control transition from the ADS to the user. 
  • To support the fallback-ready user, our system includes a driver-monitoring system to observe whether the fallback-ready user is awake, is sitting in the driver’s seat, and has the seat belt fastened. 
  • To detect if the driver has taken over the driving task after a TOR the driver monitoring system also contains a hands-on-detection-sensor in the steering wheel, a steering-torque-sensor, and pedal-position-sensors. If the driver operates user-interface elements, opens the doors, or tries to shift gears this also will be detected by standard-sensors as used inconventional cars. 
  • In the unlikely event that the fallback-ready user does not comply with the TOR, a risk mitigation function has been implemented. In this case, the vehicle tries to get to a minimal risk condition under consideration of the current traffic situation, the remaining functional capabilities of the system and the criticality of the situation. The risk mitigation strategy may vary depending on these conditions, and depending on the situation may consist of stopping on the shoulder of the road or of stopping within the current lane (e.g. in a traffic jam or if failed sensors do not allow a safe lane-change). The BMW vehicle will find a situationally adequate solution that minimizes the risk for other road users. Once the vehicle has reached a safe position, the hazard lights are turned on and an emergency call (eCall) is triggered. 

Säkerhetsrapporter från andra aktörer hittar ni här.
