日本自动驾驶汽车安全技术指南（全文翻译）

＜目录＞

１．指南制定的背景・目的

２．指南的对象车辆

３．关于自动汽车安全性的基本想法

４．关于自动汽车安全性的要素

(１)设计运行范围(ODD)的设定

(２)自动驾驶系统的安全性

(３)遵守安保标准等

(４)人机界面(HMI)

(５)搭载数据记录装置

(６)网络安全

(７)用于无人驾驶移动服务的车辆安全性(追加要求)

(８)安全性评价

(９)确保使用过程安全

(10)向自动驾驶汽车使用者提供信息

在「未来投资战略2017」(平成29年6月阁议决定)，「官民ITS构想道路地图2017」(平成29年5月高度信息通信网络社会推进战略本部・官民数据活用推进战略会议决定)中，到2020年之前，力争实现在高速道路的高度自动驾驶(L3级以上)的市场化及在限定地域的无人自动驾驶移动服务(L4级)，明示了以2025年为基准，在高速道路的完全自动驾驶(L4级)的市场化等作为政府整体的目标。

为了实现L3级以上的高度自动驾驶，则需要重新考量车辆的安全基准及多方面的道路交通相关法规，「关于自动驾驶的制度整备大纲」(平成30年4月高度信息通信网络社会推进战略本部・官民数据活用推进战略会议决定)，归纳了设想在2020年以后，2025年左右的导入初期阶段的道路交通相关的法律制度，加速在全国集中面向具有L３级或L４级的自动驾驶系统的汽车(以下简称「自动驾驶汽车」)的早期实用化。

面向自动驾驶汽车的实用化，基于以驾驶员驾驶为前提的以往车辆的安全标准，需要设定自动驾驶系统进行操控车辆而对应的新安全标准及安全性评价(标准认证)。现在，在全国各地推进官民实验・验证的同时，在汽车标准协调世界论坛(WP.29)，我国主导了面向制定紧急自动刹车及自动操控、网络安全等自动驾驶相关的国际性安全标准及安全性评价(标准认证)方法的讨论。

本指南，在制度整备大纲，关于自动驾驶汽车应满足的安全性的要素及安全对策，归纳了今年夏天以来的基准，在自动驾驶汽车的导入初期阶段，基于制定车辆应满足的安全要素，结合国际性讨论的安全标准及安全性评价(标准认证)方法被制定完成前，考虑了适当的安全性的以促进自动驾驶汽车的开发、实用化为目的而制作的文件。

另，本指南表明了自动驾驶汽车应满足的基本要求，今后，进行具体要素研讨的同时，基于今后的技术开发及国际标准的制定动向等，可以进行适当修改。

本指南的对象车辆是指，被设定了政府整体的市场化目标，有望今后尽早实现实用化，拥有L3级或L4级自动驾驶系统的乘用车、卡车及巴士。

另，本指南所指的自动化驾驶等级，采用了「自动驾驶相关制度整备大纲」中的定义(SAEJ3016(2016)等)。

自动化驾驶等级的定义概要

红框：本指南对象范围

在我国发生的交通死亡事故件数里，多为驾驶员的违规(人为错误)而引起，因此基于自动驾驶技术的实用化，期待这些人为错误起因的交通死亡事故能大幅度减少。因此自动驾驶汽车在符合各项等级的行使条件下，相比人为驾驶，被进行高度的认知、判断及操作，必定会减少人为错误起因的事故。另，基于自动驾驶的实现，可以应对高龄者等的移动支援、物流服务等领域的人手不足问题，期待可以解决在我国发生的道路交通相关的各种课题，L3级以上的高度自动驾驶系统是尚在开发中的技术，基于社会的接受性，面向其开发・普及，思考对自动驾驶系统引起的事故防患于未然，驾驶员正确使用自动驾驶系统，以实现自动驾驶汽车的运行所要求的作用为前提，必须优先确保本车及周围的道路交通安全。

基于上述，本指南在自动驾驶的实现上，设定「力争实现自动驾驶系统引起的人身事故为零的社会」的目标，明确自动驾驶汽车的开发・促进普及的意义。

面向此目标的达成，自动驾驶汽车应满足的车辆安全定义为「不可容许的无风险」、即，在自动驾驶汽车的运行设计范围(ODD)、对于自动驾驶系统引起的人身事故，进行合理的预测，防止可能的事故发生。基于此定义，设定自动驾驶汽车应满足的车辆安全要素，确保其安全性。

自动驾驶所使用的车辆，基于以下措施，务必确保其安全性。

L3级以上的高度自动驾驶系统还属于开发阶段的技术，在所有道路环境及气象条件等方面，自动驾驶汽车还未达到完全可以安全驾驶的技术水平。因此，规定适用于各自动驾驶汽车拥有的性能及使用状态的运行设计范围(ODD)，限制驾驶环境及运用方法，针对自动驾驶系统引起的人身事故，必须确保合理的预判而防止可能的事故发生。

【要素】

1)汽车制造商等及使用自动驾驶汽车的移动服务系统供应商，应根据自动驾驶汽车拥有的性能及使用的状态确定ODD，限制驾驶环境及运用方法，针对自动驾驶系统引起的人身事故，必须确保合理的预判及防止可能的事故发生。

2)ODD规定自动驾驶系统实施功能的特定条件，例如，关于以下驾驶环境条件进行设定：

・道路条件(高速道路、普通道路、车道数目、车道的有无、自动驾驶汽车的专用道路等)

・地理条件(都市、山区、路障的设置等)

・环境条件(天气、夜间限制等)

・其它条件(速度限制、信号信息等基础设施的协调的必要性、限定仅特定路径的行驶、保安人员的乘车必要性等)

自动驾驶汽车在设定的ODD范围内，对于自动驾驶系统引起的人身事故，必须确保合理的预判及防止可能的事故发生。因此，确保控制系统及传感器有冗余等，确保系统安全性的同时，当处于设定的ODD范围外时(包括快要超出范围的情形，下同)或自动驾驶汽车发生故障等的时候，导致自动驾驶难以继续时，最终车辆必须自动停止在安全处。

【要素】

1)必须遵守相关交通法规。

2)准确识别是否在设定的ODD范围内，仅在该范围内启动自动驾驶系统。

3)自动驾驶系统的运行，可以基于驾驶员(或驾驶管理者)的意愿进行实施。

4)通过确保控制系统及传感器的冗余性等，来确保系统的安全性。

5)关于L３级的自动驾驶汽车，是必须满足以下要素的自动驾驶系统：

・当系统判断为处于设定的ODD范围外时及自动驾驶汽车发生故障等的时候，导致自动驾驶难以继续时，对司机发出警告要求介入(驾驶权限的委托)。

・当驾驶员的驾驶权限被委托之前，维持系统功能或在限制系统功能的状态，基于继续着系统运行的fallback，从而继续安全自动驾驶。

・系统要可以辨别驾驶员是否已经接管了驾驶行为。

・系统对驾驶员未接管驾驶行为的情形，设定能让车辆进行自动安全停止的MinimalRiskManeuver(MRM)。

6)关于L4级的自动驾驶汽车，当系统判断为处于设定的ODD范围外时及自动驾驶汽车发生故障等的时候，导致自动驾驶难以继续时，设定能让车辆进行自动安全停止的MRM。

自动驾驶汽车必须满足既定的自动驾驶相关的道路运输车辆的安保标准，以及希望满足相关ISO等国际标准等。

【要素】

1)在自动驾驶相关的装置・功能中，关于规定的道路运输车辆的安保标准，要符合该标准。

2)关于1)以外的自动驾驶相关的装置・功能，建议要符合今后有望早期国连规则成立后的装置・功能的要素、相关ISO等国际标准及行业标准。

3)关于与自动驾驶相关的装置・功能以外车辆的结构・装置，要符合道路运输车辆的安保标准规定。

自动驾驶汽车必须具备对至今为止驾驶员进行的认知、判断及系统操作，变为以系统的运行状况通知驾驶员(或运行管理者)或乘员的人机界面(HMI)。

另，L3级的自动驾驶汽车在事先设定的ODD范围内，系统能够进行驾驶操作，但随着驾驶环境的变化等，当系统判断为处于设定的ODD范围外时及自动驾驶汽车发生故障等的时候，导致自动驾驶系统难以继续时，系统对司机发出警告要求介入，则驾驶员必须接管从系统转移的驾驶操作。因此，必须具备假如驾驶员有疲劳驾驶等，监控驾驶员可以从系统交接驾驶操作，并根据必要性能够发出警报的驾驶员监控功能的HMI。

【要素】

1)关于L3级的自动驾驶汽车，需具备有以下功能的HMI：

・驾驶员能够容易且准确认知自动驾驶系统的工作状况。

・监控驾驶员可以从系统交接驾驶操作，并根据必要性能够发出警报的功能(驾驶员监控系统等)。

・驾驶员能够准确认知系统发出的交接要求。

・能够判断系统发出的驾驶要求有无被驾驶员交接。

2)关于L4级的自动驾驶汽车，需具备有以下功能的HMI：

・具备驾驶员(或运行管理者)或乘员能够容易且准确认知自动驾驶系统的运行状况的功能。

・系统判断自动驾驶难以继续时，能将自动停止车辆的指示事先告知驾驶员或乘员(及运行管理中心的远程监控车辆的运行管理者)。

需要具备将自动驾驶系统的工作状况及驾驶员的状况等作为数据记录保存的装置。今后政府方面还将探讨数据记录装置的具体细节(记录事项、记录时间、保留时间等要素、数据使用目的及个人信息处理等)以及是否要求强制安装。最终规定出详细的数据记录装置的要求。

【要素】

必须具备将自动驾驶系统的工作状况及驾驶员的状况等作为数据记录保存的装置。

自动驾驶汽车要具备3D数码地图信息、交通信息、信号灯信息等驾驶所必须要的信息以外，运行管理中心的远程监控的通信、ECU控制程序及自动驾驶软件基于无线通信技术上传的OTA等，最新的数据及程序以无线通信获取为前提，考量自动驾驶系统的安全功能。因此，从确保连接网络的ConnectedCar的自动驾驶汽车的安全观点来看，考虑网络安全对策是不可缺的。

【要素】

汽车生产商及使用自动驾驶汽车的移动服务系统供应商，应根据网络安全相关的联合国世界车辆法规协调论坛(WP29)的最新规定，在进行车辆的设计和开发时考虑网络安全，包括如何应对黑客攻击等。

关于用于无人自动驾驶移动服务(L4级)的自动驾驶汽车，在(1)～(6)的要素外，须满足以下要素：

【要素】

1)当系统判断为处于设定的ODD范围外时及自动驾驶汽车发生故障等的时候，导致自动驾驶难以继续时，则设定MRM使车辆自动移动并停靠至路肩等安全处。

2)从运行管理中心设置可监控车室内状况的摄像头、声音通信设备。

3)设置可让车内的乘员在醒目位置能够按下紧急停止的按钮。

4)有紧急停止时(包含基于MRM启动及事故的停止，以下同)，向运行管理中心自动报告的功能。

5)关于在紧急停止时与运行管理中心联络状况、紧急状态时的应对，具有基于HMI，能够向乘员简单明确传达的功能。

自动驾驶汽车在设定的ODD里，需要担保对自动驾驶系统引起的人身事故进行合理的预见并防止可能发生的事故。因此，汽车制造商等或使用自动驾驶汽车的移动服务系统供应商，在设定的ODD关于合理预见的危险事项，应进行适当的情景模拟、测试路线或道路试验组合而成的验证，并必须事前确认安全性。

【要素】

汽车生产商及使用自动驾驶汽车的移动服务系统供应商，在设定的ODD里，为了确保能合理预见并预防自动驾驶系统引发的人身事故，应适当进行情景模拟、测试路线或道路试验等组合而成的验证，必须事前确认安全性。

从确保自动驾驶汽车在使用过程中安全的观点看，必须考虑自动驾驶汽车保养管理(点检整备)及为确保网络安全的软件升级等相关措施。

【要素】

1)汽车生产商、使用自动驾驶汽车的移动服务系统供应商，关于自动驾驶汽车搭载的软件等，应对车辆软件进行必要的升级，从而确保使用过程中网络安全。

2)自动驾驶汽车使用者进行自动驾驶汽车保养管理(点检整备)的同时，根据汽车生产商等或使用自动驾驶汽车的移动服务系统供应商的需求，应对车辆软件进行必要的升级，从而确保使用过程中网络安全。

为确保自动驾驶汽车的安全性，自动驾驶汽车使用者，不仅要理解自动驾驶汽车的功能，还需要理解相关功能极限时的反应及驾驶员的义务等。因此，包括经销商在内的汽车生产商或使用自动驾驶汽车的移动服务系统供应商对于自动驾驶汽车的使用者，要告知系统的使用方法、ODD范围、功能极限、系统难以自动驾驶的时候需要交接驾驶等，采取措施让使用者能够理解。

【要素】

汽车生产商等(包括经销商)或移动服务系统供应商对于自动驾驶汽车使用者，采取一定措施通过简单易懂资料，告知使用者以下内容并让其理解：

・系统的运行条件、ODD范围、功能极限

・驾驶员的任务(L3级的车辆，当系统提示难以继续驾驶的时候，则驾驶员必须接管驾驶操作等)

・根据系统的性能、工作状况，可以进行的驾驶以外的行为(L3级的车辆)

・HMI显示(自动驾驶系统是否在工作中等)的相关信息

・系统异常时车辆的反应

・适当进行使用过程的自动驾驶汽车的保养管理(点检整备)及软件升级。