本文件描述了持续执行部分或全部动态驾驶任务（DDT）的[机动]车辆驾驶自动化系统。SAE J3016提供了一个分类法，详细定义了六个级别的驾驶自动化，从无驾驶自动化（0级）到完全驾驶自动化（5级），涉及[机动]车辆（以下也称为“车辆”）及其在道路上的运行：

5级：完全驾驶自动化

这些级别定义以及本文提供的其他支持性术语和定义可用于以功能一致和连贯方式描述[机动]车辆上配备的所有驾驶自动化功能。“道路上”是指公共交通道路（包括允许公共交通的停车场和私人园区），这些道路共同服务于所有道路使用者，包括骑车人、行人和有/没有驾驶自动化功能的车辆使用者。

这些级别适用于装备车辆在道路上运行的任何给定实例中使用的驾驶自动化功能。因此，尽管给定的车辆可以配备能够提供在不同水平上执行的多个驾驶自动化功能的驾驶自动化系统，但在任何给定实例中展示的驾驶自动化水平由所启用的功能确定。

本文件还涉及驾驶中的三个主要参与者：（人类）用户、驾驶自动化系统以及其他车辆系统和部件。这些其他车辆系统和部件（或一般术语中的车辆）不包括本模型中的驾驶自动化系统，即使作为实际问题，驾驶自动化系统实际上可能与其他车辆系统共享硬件和软件部件，例如处理模块或操作代码。

驾驶自动化水平是根据三个主要行为者在实施DDT和/或DDT后备支援中各自所起的具体作用来确定的。在这种情况下，“角色”是指给定主要参与者的预期角色，基于所讨论的驾驶自动化系统的设计，而不一定是给定主要参与者的实际表现。例如，在1级自适应巡航控制（ACC）系统启用期间未能监控道路的驾驶员仍然具有驾驶员的角色，即使他/她忽略了这一角色。

主动安全系统，如电子稳定控制系统（ESC）和自动紧急制动系统（AEB），以及某些类型的驾驶员辅助系统，如车道保持辅助系统（LKA），不在本驾驶自动化分类法的范围内，因为它们不能持续执行部分或全部动态驾驶任务（DDT），而是在潜在危险情况下提供瞬时干预。由于主动安全系统动作的瞬时性，其干预不会改变或消除驾驶员在执行部分或全部DDT时的作用，因此不被视为驾驶自动化，即使它们执行自动化功能。此外，告知、提醒或警告驾驶员驾驶环境中的危险的系统也不在本驾驶自动化分类法的范围内，因为它们既不能自动执行部分或全部DDT，也不能改变驾驶员在执行DDT时的角色（见8.13）。

但是，应注意的是，配备任何级别的驾驶自动化系统的车辆中都可能包括避撞功能，包括干预型主动安全系统。对于执行完整DDT的自动驾驶系统（ADS）功能（即3至5级），碰撞缓解和避免能力是ADS功能的一部分（另见8.13）。

以下出版物在本文规定的范围内构成本规范的一部分。除非另有说明，否则应使用最新版本的SAE出版物。

2.1.1 SAE出版物

可从SAE International获得，地址：400 Commonwealth Drive，Warrendale，PA 15096-0001，电话：877-606-7323（美国和加拿大境内）或+1 724-776-4970（美国境外），www.sae.org.

SAE J670车辆动力学术语

SAE J3063主动安全系统术语和定义

Shi，E.，Gasser，T.，Seeck，A.，和Auerswald，R.，“操作框架原则：自动驾驶功能的综合分类概念”，SAE国际期刊CAV 3（1）：27-372020，https://doi.org/10.4271/12-03-01-0003.

2.1.2 ANSI认证出版物

这些文件的副本可在网上查阅http://webstore.ansi.org/.

ANSI D16.1-2007机动车交通事故分类手册

2.1.3 其他出版物

49 U.S.C.§ 30102（a）（6）（[机动]车的定义）

碰撞避免度量标准合作伙伴-自动车辆研究联盟，“增强安全性的自动车辆研究-最终报告”，见https://www.regulations.gov/document?D=NHTSA-2014-0070-0003.

Gasser, T. et al.，《车辆自动化程度提高的法律后果》，2013年7月23日，网址

http://bast.opus.hbz-nrw.de/volltexte/2013/723/pdf/Legal_consequences_of_an_increase_in_vehicle_automation.pdf.

Michon，J.A.，1985年，《驾驶员行为模型的批判性观点：我们知道什么，我们应该做什么？》，载于Evans, L.和Schwing，R.C.（编辑）。人类行为和交通安全（第485-520页）。纽约：Plenum出版社，1985年。

Smith，B.W.，《机器人法》（2015年）中的“工程师和律师应该说相同的机器人语言”，见https://newlypossible.org.

ACC (Adaptive cruise control) 主动巡航控制系统

ADAS (Advanced driver assistance system) 高级驾驶辅助系统

ADS (Automated driving system) 自动驾驶系统

ADS-DV (Automated driving system-dedicated vehicle) 自动驾驶系统专用车辆

AEB (Automatic emergency braking) 自动紧急制动系统

DDT (Dynamic driving task) 动态驾驶任务

DSRC (Dedicated short range communications) 专用短程通信

ESC (Electronic stability control) 电子稳定控制

LKA (Lane keeping assistance)车道保持辅助

ODD (Operational design domain)操作设计域

OEDR (Object and event detection and response) 目标和事件检测与响应

主动安全系统是一种车辆系统，用于感知和监控车辆内外的状况，以识别对车辆、乘客和/或其他道路使用者的感知现有和潜在危险，并通过各种方法自动干预以帮助避免或减轻潜在碰撞，包括向驾驶员发出警报、车辆系统调整和/或车辆子系统（刹车、油门、悬架等）的主动控制。

注：在本报告中，符合主动安全系统定义的系统的设计目的主要是提高安全性，而非舒适性、便利性或一般驾驶员辅助。主动安全系统在高风险事件或机动过程中发出警告或进行干预。

无论是否限于某一特定的操作设计域（ODD），能够持续执行整个DDT的硬件和软件；该术语专门用于描述3级、4级或5级驾驶自动化系统。

注：与自动驾驶系统（ADS）不同，通用术语“驾驶自动化系统”（见3.6）是指持续执行部分或全部DDT的任何1至5级系统或功能。鉴于通用术语“驾驶自动化系统”与3至5级专用术语“自动驾驶系统”之间的相似性，后一术语在拼写时应大写，并尽可能简化为缩写ADS，而前一术语不应大写。

在无人驾驶的情况下调度配有ADS车辆的实体

注：调度实体执行的功能可分为一个或多个代理，取决于所述配备ADS车辆的使用规范。

示例：一个由L4级封闭式园区ADS专用车辆组成的车队由无人驾驶运行调度实体投入使用，该调度实体在验证每辆车的运行准备就绪后启用每辆车的ADS，并在每辆车停止运行时断开ADS。

通过启用ADS，使配备ADS的车辆在无人驾驶的情况下投入使用。

注1：术语“调度”在配备ADS车辆的上下文之外使用，一般理解为将特定车辆调派到特定的接送地点，以提供运输服务。在配备ADS车辆的上下文中，如本文所使用的，该术语包括在无人驾驶操作中由软件实现的多辆配备ADS车辆的调度，该车辆可在一天或其他预定义的服务期内完成有关乘客或货物接送的多个行程，可能涉及多个代理执行与调度功能相关的各种任务。为了突出“调度”一词的这一专门用法，对该词进行了修改，并规定其仅指无人驾驶操作中的调度车辆。

注2：只有配备ADS车辆能够进行无人驾驶操作（即ADS-DV或双模车辆），才有可能被派遣。

由硬件/软件系统持续执行部分或全部动态驾驶任务（DDT）

能够持续执行部分或全部动态驾驶任务（DDT）的硬件和软件；该术语一般用于描述任何能够实现1至5级驾驶自动化的系统。

注：与任何1至5级系统的通用术语不同，3至5级系统的专用术语为“自动驾驶系统（ADS）”。鉴于通用术语“驾驶自动化系统”与3至5级专用术语“自动驾驶系统”之间的相似性，“后一个术语在拼写时应大写，并尽可能简化为其缩写ADS，而前一个术语不应大写（见3.2）。

1-5级驾驶自动化系统在特定ODD（如适用）内给定驾驶自动化水平的设计特定功能。

注1：由于术语“驾驶自动化系统”包含驾驶员支持功能和ADS功能，因此也可以这样称呼它们。

注2：给定的驾驶自动化系统可能具有多个功能，每个功能都与特定级别的驾驶自动化和ODD相关。

注3：各功能都满足一个使用规范。

注4：功能可通过通用名称（例如，自动泊车）或专有名称来引用。

示例1: 3级ADS功能，在高速公路上的大流量交通中执行DDT，不包括DDT后备。

示例2: 4级ADS功能，在指定的地理围栏城市中心执行DDT，包括DDT后备。

3.7.1 基于机动性的功能

传统车辆上配备的驾驶自动化系统，其特征是：

1.通过执行一组有限的横向和/或纵向车辆运动控制行为来支持驾驶员，这些行为足以满足特定的、狭义定义的用例（例如，驻车操纵），同时驾驶员执行DDT的其余部分并监督1级或2级功能的执行（即1级或2级驾驶员支持功能）；或

2.执行一组有限的横向和纵向车辆运动控制动作，以及相关的目标和事件检测与响应（OEDR）和完整DDT的所有其他元素，以便在无人监督的情况下实现特定的、狭义定义的用例（3级或4级ADS功能）。

示例1: 1级泊车辅助功能自动执行平行泊车所需的横向车辆运动控制动作，同时驾驶员执行纵向车辆运动控制动作并监督该功能。

示例2：2级泊车辅助功能自动执行横向和纵向车辆运动控制操作，以便在驾驶员的监督下平行停放车辆。

示例3: 3级公路超车辅助功能自动执行横向和纵向车辆运动控制动作，以及相关OEDR，当驾驶员或后备就绪用户激活时，这些动作是在多车道公路上通过慢速移动车辆所必需的。

3.7.2 子行程功能

安装在传统车辆上的一种驾驶自动化系统，要求驾驶员在每次行程中至少有一部分时间执行完整的动态驾驶任务（DDT）。

注：子行程功能要求驾驶员在起点和功能ODD边界之间和/或离开功能ODD后操作车辆，直到到达目的地（即完成行程）。

示例1: 1级自适应巡航控制（ACC）功能执行车辆纵向运动控制功能，以支持驾驶员在高速行驶时保持与车道上领先车辆的一致车头时距。

示例2：L2级高速公路功能执行横向和纵向车辆运动控制功能，以支持驾驶员在其行驶车道内保持位置，以及在以较高速度行驶时与车道内领先车辆保持一致的车头时距。

例3：L3级交通拥堵功能在交通密集的高速公路上执行全部动态驾驶任务（DDT），但需要人工驾驶一出ODD时操作车辆（例如，当交通疏通时，以及进入拥堵的高速公路之前，以及再离开高速公路时）。

示例4：在给定的车辆行程中，具有L4级自动停车功能的用户将车辆调度为无人驾驶操作，以便在附近指定的停车设施中找到停车位。在购物一段时间后，用户通过调度检索车辆以开始他/她的回家之旅。

3.7.3全行程功能

整个行程中操作车辆的ADS功能。

示例1：4级ADS-DV采用无人驾驶运行，为其地理围栏运营区域内的客户提供网约车服务。

示例2：一辆5级双模车辆由车主以无人驾驶方式派往指定机场，接送几名家属回家。在整个返程过程中，所有车辆乘员均是乘客。

图1说明了如何通过使用驾驶自动化不同级别的驾驶自动化功能的各种组合来完成行程。

图1-在给定行程中可用的驾驶自动化系统功能/类型示例

1级和2级驾驶自动化系统功能的通用术语。

注：1级（驾驶员辅助）和2级（部分自动化）功能只能执行部分DDT，因此需要驾驶员执行DDT的其余部分，并在启用时监督功能执行情况。因此，这些功能在启用时支持但不取代驾驶员执行DDT。

未被占用或车载用户不是驾驶员或车内后备就绪用户的装有ADS车辆的道路运行。

注1:ADS-DV始终以无人驾驶方式调度（以3.33.3中的注3为准）。

注2：配备ADS的双模车辆可无人驾驶方式调度。

注3：车上乘客既不是驾驶员，也非后备用户。

示例：为提供运输服务，4级ADS-DV以无人驾驶方式调度。

在道路交通中操作车辆所需的所有实时操作和策略功能，不包括行程安排和目的地和航路点选择等战略功能，包括但不限于以下子任务：

1.通过转向控制车辆横向运动（操作）。

2.通过加速和减速进行车辆纵向运动控制（操作）。

3.通过目标和事件检测、识别、分类和响应准备（操作和策略）监控驾驶环境。

4.对象和事件响应执行（操作和策略）。

5.机动规划（策略）。

6.通过灯光、鸣笛、信号、手势等增强醒目性（策略）。

注1：某些驾驶自动化系统（或配备这些系统的车辆）可能具有在前进和后退之间改变车辆纵向运动控制的方法。

注2：为了简化和提供有用的速记术语，子任务（3）和（4）统称为对象和事件检测与响应（OEDR）（见3.19）。

注3：在本文件中，提及“完成DDT”。这意味着完全执行DDT的所有子任务，无论该角色是由（人工）驾驶员、驾驶自动化系统或两者的组合来完成。

注4：图2显示了驾驶任务的示意图。有关驾驶的操作、战术和战略功能之间差异的更多信息，请参见8.11。

图2-显示DDT部分的驾驶任务示意图（非控制图）

就执行动态驾驶任务（DDT）目的而言，1级驾驶自动化包括最内环部分的自动化（即，车辆横向运动控制功能或车辆纵向运动控制功能以及与给定车辆运动控制轴相关的有限OEDR）；2级驾驶自动化包括最内环的自动化（车辆横向和纵向运动控制以及与车辆运动控制相关的有限OEDR），3至5级驾驶自动化包括两个内环的自动化（车辆横向和纵向运动控制以及完整OEDR）。注意，执行DDT不包括驾驶的战略方面（例如，决定是否、何时及何地出行）。

一种车辆功能（非ADS功能），设计用于自动使配备ADS车辆在以下路径中受控停车：（1）在ADS发出干预请求后，3级ADS功能的后备就绪用户执行后备的长期故障，或（2）发生系统故障或外部事件，其严重程度导致ADS丧失能力，ADS无法再执行车辆运动控制以执行后备支援并实现最小风险条件(见8.6。）

注意：如果驾驶员在干预过程中没有指示他/她继续监督功能性能，则某些配备2级驾驶员支持功能的车辆可能被设计为将车辆制动至完全停止。尽管这在功能上类似于上面定义的故障缓解策略，但术语“故障缓解策略”是为不需驾驶员监督的ADS功能保留的。

在相同的情况下，用户对执行DDT或达到最低风险条件的响应（1）在发生执行DDT相关系统故障后，或（2）在运行设计域（ODD）退出时，或ADS对达到最低风险条件的响应。

注1：DDT和DDT后备是不同的功能，执行其中一项的能力并不一定意味着执行另一项的能力。因此，能够在ODD范围内执行整个DDT的3级ADS可能无法在所有需要的情况下执行DDT后备，因此将在必要时向DDT后备就绪用户发出干预请求（见图3至图6）。

注2：在某些情况下，如存在无障碍物的相邻路肩时，某些3级功能可设计为自动执行后备并实现最小风险条件，但在其他情况下，如无此类路肩时，则不适用。因此，级别3的划分并不限制ADS自动实现最小风险条件，但不能保证在其ODD范围内的所有情况下自动实现最小风险条件。此外，在某些（但不是所有）情况下实现自动化最小风险条件并不构成4级功能。

注3：在第3级，ADS能够在向后备就绪用户提供干预请求后，继续执行DDT至少几秒钟。然后，DDT后备就绪用户应恢复手动车辆操作，或在其认为必要时实现最低风险条件。

注4：在第4级和第5级，ADS必须能够执行DDT后备支援，并达到最低风险条件。4级和5级ADS车辆的设计也能适应驾驶员的操作（无论是在车内还是远程），如果用户选择这样做（见图7和图8），当情况允许安全地进行DDT后备时，可以允许用户执行DDT支援。然而，4级或5级ADS不需要设计为允许用户执行DDT支援，实际上，也可以设计为不允许，以降低车祸风险（见8.9）。

注5：当4级或5级ADS执行DDT后备时，其速度和/或横向和/或纵向车辆运动控制范围的设计可能会受到限制（即它可能进入所谓的“跛行模式”）。

注6：在执行DDT后备时，ADS可在其ODD之外临时运行（见3.21注1）。

示例1：1级自适应巡航控制（ACC）功能遇到系统故障，导致该功能停止执行其预期功能。人工驾驶员通过执行完整DDT来执行DDT支援。

示例2：在高速公路交通堵塞期间执行整个DDT的3级ADS功能在遇到车祸场景时无法执行，因此会向DDT后备用户发出干预请求。他/她通过接管执行整个DDT以便在车祸现场周围灵活机动（见图4）(请注意，在本例中，不需要或实现最小风险条件。）

示例3：在地理围栏城市中心内执行整个DDT的4级ADS专用车辆（ADS-DV）遇到执行DDT相关系统故障。作为回应，ADS-DV通过打开危险闪光灯，将车辆开到路肩并停车，然后自动呼叫紧急援助（见图7）来执行DDT支援 (注意，在本例中，ADS-DV自动实现最小风险条件。）

下面的图3到图8说明了DDT在各驾驶自动化水平上的后备支援。

第3级用例序列示例，显示ADS的启用及阻止持续执行DDT的车辆系统故障的发生。用户执行后备支援并实现最小风险条件。

第3级用例序列示例，显示ADS的启用和不妨碍持续执行DDT的ADS系统故障的发生。用户执行后备支援并恢复执行动态驾驶任务（DDT）。

第3级的用例序列示例，显示ADS的启用和不会妨碍持续执行DDT的退出ODD的情况。用户执行后备支援并恢复执行动态驾驶任务（DDT）。

第4级用例序列示例，显示ADS的启用及阻止持续执行DDT的车辆系统故障的发生。ADS执行后备支援并实现最小风险条件。

第4级用例序列示例，显示ADS的启用和ADS故障的发生，该故障不会阻止可用人类用户继续执行动态驾驶任务（DDT）。ADS功能可能会提示坐在驾驶座上的乘客（如有）恢复执行DDT；如果没有可接受乘客的驾驶座，ADS会自动达到最低风险条件。

第4级的用例序列显示ODD退出的ADS工作状态，这不会阻止可用人类用户继续执行动态驾驶任务（DDT）。ADS功能可能会提示坐在驾驶座上的乘客（如有）恢复执行DDT；如果没有可接受乘客的驾驶座，ADS会自动达到最低风险条件。

支持无人驾驶操作的ADS车辆车队管理的活动，包括但不限于：

•根据需要进行车辆维修和保养。

DDT子任务包括实时、持续调节车辆运动y轴分量所需的活动（见图9）。

注：车辆横向运动控制包括检测车辆相对于车道边界的定位，并应用转向和/或差速制动输入来保持适当的横向定位。

DDT子任务包括实时、持续调节车辆运动x轴分量所需的活动（见图9）。

注：根据使用规范，车辆纵向运动控制可能包括向前和向后方向性。

图9-车辆运动轴示意图（SAE J670）

当给定的行程不能或不应继续时，用户或ADS可在执行DDT回退后将车辆平稳停车，以降低碰撞风险。

注1：在1级和2级，车内驾驶员应根据需要达到最低风险条件。

注2：在3级，考虑到ADS或车辆与DDT执行相关的系统故障，当其确定有必要时，DDT后备就绪用户应达到最低风险条件，或者在车辆可操作的情况下执行DDT。

注3：在4级和5级，ADS能够在必要时自动达到最低风险条件（即，由于ODD退出，如适用，或由于ADS或车辆执行DDT相关系统故障）。在4级和5级自动实现最低风险条件的特征将根据系统故障的类型和程度、有关ADS功能的ODD（如果有）以及发生系统故障或ODD退出时的特定操作条件而有所不同。可能需要自动将车辆停在其当前行驶路径内，或者可能需要更大范围的机动，以便将车辆从活动车道上移开和/或自动将车辆驶回调度设施。

示例1：设计用于在高速公路上高速驾驶车辆的4级ADS功能遇到DDT执行相关的系统故障，并在停车前自动将车辆从活动车道上挪移。

示例2：安装4级ADS的车辆在其主电源系统中遇到DDT执行相关系统故障。ADS使用备用电源，以达到最低风险条件。

驾驶自动化系统和/或其他车辆系统中的故障，妨碍驾驶自动化系统持续可靠地执行其部分DDT，包括其本应执行的完整DDT。

注1：本定义适用于车辆故障条件和驾驶自动化系统故障，这些故障会妨碍驾驶自动化系统按照设计意图以最大能力运行。

例4: 4级ADS的一个计算模块发生DDT执行相关系统故障。ADS通过使用冗余计算模块来实现最小风险条件，从而过渡到DDT后备。

注3：驾驶员接受DDT执行相关系统故障警报或其他指标的状态或条件，如第3级所述，不是一种监测形式。接受能力和监控能力之间的区别最好用一个例子来说明：一个意识到火警或电话铃响的人不一定一直在监控火警或电话。同样，意识到拖车挂接装置脱落的用户不一定一直在监视拖车挂接装置。相比之下，配备主动1级自适应巡航控制（ACC）系统的车辆上的驾驶员需要同时监控驾驶环境和ACC性能，否则就不会等待警报提醒他/她注意需要响应的情况（见3.22）。

3.18.1 监视用户

3.18.2 监控驾驶环境

3.18.3 监测车辆性能[与DDT执行相关的系统故障]

3.18.4 监控驾驶自动化系统性能

示例2：正使用2级自动泊车功能的远程驾驶员监控车辆路径，以验证该功能是否对行人和障碍物做出响应。

DDT的子任务包括监控驾驶环境（检测，识别和分类目标和事件并准备根据需要进行响应），并对这些对象和事件执行适当的响应（即根据需要完成 DDT 和/或 DDT召回）。

注 2：虽然术语“操作”）的使用意味着存在“操作员”，但是本文件中未定义或使用该术语，对各种类型配备 ADS 的车辆用户提供了非常具体的术语和定义（ 见 3.32）。

示例5：3级ADS高速功能（具有清晰可见车道线的ODD要求）遇到一段短的车道线模糊的道路。ADS功能能够通过其他方式（例如，传感器融合、数字地图、引导车辆跟驰）补偿短暂褪色或丢失的车道标记，并在车道线再次清晰可见之前继续对车辆进行短暂的操作。不久之后，车道线再次变得模糊，并保持更长时间，导致ADS功能向后备就绪用户发出干预请求。

示例 2：当 3 级 ADS 在高速公路上执行 DDT 时，左侧镜玻璃从壳体中脱落。DDT召回后备人员，在感知状态，但没有也不会注意到这个故障，因为它不明显，并且不会对ADS执行动态驾驶任务(DDT)产生不利影响。

示例2: 4级ADS-DV检测到车道上的物体看起来太大，无法驶过并停车。远程助理使用车辆的摄像头来识别物体是一个可以安全通过/越过的空袋子，并向ADS-DV提供继续操作的指令。

注4：人类远程驾驶车辆有时被称为“遥控”。然而，文献中对“遥控”的定义并不一致，因此，为避免混淆，本文不使用“遥控”。

ADS 向召回后备人员发出通知，指示他/她应该立即执行 DDT 召回，这可能需要恢复车辆的手动操作（即，再次成为驾驶员），或者车辆不可驾驶就实现最小风险条件。

注：如本文件先前所述，4级或5级ADS操作车辆中的乘客也可能在某些条件下恢复车辆的手动操作，前提是车辆和功能为此而设计（例如，双模式车辆或具有4级子行程功能的常规车辆）。然而，即使当ADS发出接管车辆运行的警报时，此类车辆的乘客也无需这样做以确保能够正常运行，因为4级和5级ADS功能/车辆能够在必要时自动达到最低风险条件。因此，对4级或5级ADS操作车辆的乘客发出的此类警报不是本文中针对3级ADS车辆定义的“干预请求”。

在未发生DDT执行相关系统故障的情况下，ADS在其规定的ODD（如有）范围内操作车辆。

注：常规/正常ADS操作包括车辆对安全和时间关键型目标和事件的响应，以及车辆对非安全和时间关键型目标和事件的响应。

示例：驾驶员注意到，启用的自适应巡航控制（ACC）功能无法在弯道上保持与前面车辆的车头时距，并相应地进行制动。

注 3：传统巡航控制不能提供持续的操作，因为它不响应外部事件。因此按 J3016 分类法是 0 级。

车辆从原点到目的地的整个行驶路径。

注意：在给定行程期间 DDT 的性能可以由驾驶员，驾驶自动化系统或两者来全部或部分完成。

示例3: 4级ADS-DV在指定的城市中心低速运行。

3.31.1  [人类]驾驶员

3.31.1.1 车内驾驶员

3.31.1.2 远程驾驶员

3.31.2 乘客

3.31.3（DDT）召回后备用户

3.31.3.1车内后备就绪用户

3.31.3.2 远程后备用户

3.31.4 无人驾驶操作调度员

3.31.5 远程助理

注：远程助理也可以执行其他车队操作功能。

3.32.1 传统车辆

3.32.2 [配备ADS的]双模车辆

3.32.3  ADS-专用车（ADS-DV）

[1] DDT不包括驾驶任务的战略方面，例如确定目的地和决定何时出行。

图10：驾驶自动化级别功能划分的简化逻辑流程图

表2: 按驾驶自动化程度划分的人类用户和驾驶自动化系统的角色

注：配备4级或5级ADS的车辆也可能支持驾驶员角色。例如，为了完成给定的行程，装有4级ADS功能（设计用于在高速高速公路条件下操作车辆）的车辆用户通常会选择在高速公路结束时执行DDT；否则，ADS将自动执行DDT回退，并根据需要实现最低风险条件。然而，与第3级不同的是，该用户在使用ADS时不是DDT后备用户。

示例：带有ADS的车辆，一旦设置了目的地，就能够在公共道路上的整个行程中操作车辆，而不用考虑起点和终点或干预道路、交通和天气条件。

另请注意，对于给定的驾驶自动化系统功能，ODD可能包含一组广泛的参数，这些参数定义了该功能在指定道路环境设计中运行的功能能力限制。它包括范围广泛的变量，如特定道路类型、天气条件、照明条件、地域限制以及是否存在某些道路特征，如车道标线、路侧交通障碍、中央分隔带等。因此，给定的驾驶自动化系统特征只有一个操作设计域（ODD），但此ODD可能是多种多样和多方面的。尽管ODD是由多个变量组成的，但说驾驶自动化功能具有多个ODD是不准确的。只有当所有ODD定义变量满足设计标准时，功能才会按设计运行（见3.26）。图12说明了ODD与驾驶自动化水平的正交性。

图11-相对于驾驶自动化水平的操作设计域（ODD）

图12-相对于驾驶自动化水平的操作设计域（ODD）

为清楚起见，本节确定了本文件中未使用的某些不推荐使用的术语，因为它们在功能上不精确（因此具有误导性）和/或这些术语经常被用于较低水平的驾驶自动化（即1级和2级），其中驾驶自动化系统不执行整个动态驾驶任务（DDT）。

像上面这样的方言术语有时用于描述驾驶自动化系统和/或配备这些系统的车辆时会出现不一致和混淆。因为自动化是利用电子或机械设备来代替人力，根据牛津英语词典，自动化（通过"驾驶"来提供上下文）是执行部分或全部动态驾驶任务（DDT）的系统的适当术语。使用其他术语会导致混淆、误解和降低可信度。

7.1.1 Autonomous

这个术语在机器人学和人工智能研究界已经使用了很长一段时间，用来表示有能力和有权独立并充分地做出决策的系统。随着时间的推移，这种用法被随意地扩展到不仅包含决策，而且代表整个系统的功能，从而成为自动化（Automated）的同义词。这种用法掩盖了所谓的"自主车辆"是否依赖与外部实体的通信和/或合作来实现重要功能（如数据采集和收集）的问题。如果一些驾驶自动化系统能够独立并充分地执行其所有功能，则它们可能确实是自主的，但是如果它们依赖于与外部实体的通信和/或合作，则应将其视为协作而不是自主的。一些方言用法特别将自动驾驶（Autonomous）与全自动驾驶（5级）联系起来，而其他用法将其应用于所有级别的驾驶自动化，一些州立法将其定义为与3级或以上的任何ADS（或配备此类ADS的任何车辆）大致对应。

此外，在法理学中，自主（autonomy）是指自治的能力。从这个意义上说，"自主"（Autonomous）在应用于自动驾驶技术时也是一个误称，因为即使是最先进的ADS也不是"自治的"。相反，ADS是基于算法运行的，否则就服从用户的命令。

基于这些原因，本文档不使用流行术语"自主"（Autonomous）来描述驾驶自动化。

7.1.2 Driving Mode(s)

在本文件的第一版中，使用术语"驾驶模式"代替"操作设计域（ODD）"。然而，"驾驶模式"是一个不精确的术语，排除了ODD的许多特征条件。基于这些原因，我们建议不要使用"驾驶模式"来描述给定驾驶自动化系统功能的ODD。

7.1.3 Self-Driving

这一术语的含义可能因对驾驶和驾驶员含义的未说明假设而有所不同。它被林林总总地用于指没有驾驶员在场的情况、没有用户正在执行DDT的情况以及驾驶自动化系统正在执行DDT的任何部分的情况。

7.1.4 Unmanned

该术语经常被误用来描述配备2级或更高级别驾驶自动化系统的任何车辆。"无人驾驶"（Unmanned）一词意味着车辆中没有人，这也可能会产生误导，因为它没有区分由遥控驾驶员驾驶的车辆和ADS驾驶的车辆，其中没有乘客有能力操作车辆。

7.1.5 Robotic

这个术语有时被用来指4级或5级驾驶自动化，例如封闭园区ADS-DV或"自动出租车"，但在技术上是模糊的，因为任何自动化技术都可以被视为"自动"（Robotic），因此它没有传达有关自动驾驶系统（ADS）或车辆的有用信息。

本文件建议不要使用将车辆（而不是驾驶）作为自动化对象的术语，因为这样做会导致（人工）驾驶员或ADS和ADS-DVs（ADS专用车辆）操作的车辆之间的混淆，它也未能区分不涉及部分或全部自动执行DDT的其他形式的车辆自动化。

此外，给定的车辆可配备驾驶自动化系统，该系统能够提供在不同级别上操作的多个驾驶自动化功能；因此，在任何给定实例中展示的驾驶自动化水平由所涉及的功能决定。

因此，用于描述具有驾驶自动化能力的车辆的推荐用法是"配备驾驶自动化系统的车辆的1级或2级"或配备ADS的车辆的"3级、4级，或5级] "。"用于描述配备有启用系统的车辆（与仅可用的系统相比）的推荐用法为"1级或2级驾驶自动化系统启用车辆"或"3级、4级或5级ADS操作车辆"

在口语中，术语"控制"有时用于描述（人类）驾驶员或驾驶自动化系统的各自角色（例如，"驾驶员具有控制权"）。本文件的作者们强烈反对，因此特意避免，这种潜在的问题口语用法。由于"控制"一词有许多技术、法律和通俗的含义，不加仔细限定地使用它可能会混淆而不是澄清。例如，在法律中，"控制"、"实际物理控制"和"控制能力"可以有不同的含义，与工程控制循环关系不大。类似地，（人类）司机"没有控制权"的说法可能无意中错误地暗示人类失去了一切权威。

首选术语"DDT执行"（如上文DDT定义所述）和"操作"（也是上文定义的术语）通过具体描述（人类）驾驶员或驾驶自动化系统在执行部分或全部动态驾驶任务（DDT）方面的实际操作，减少了潜在的混淆。本文件的确使用了术语横向车辆运动控制和纵向车辆运动控制，这两个术语都是根据具体工程功能明确定义的。

如果要在特定的驾驶自动化环境中使用"控制"，则应仔细鉴定。为此，使用术语"应首先描述他们实际想要的控制系统：目标、输入、过程和输出，在一定程度上由人类设计师决定以及在一定程度上由人类或无决定权的计算机代理。"参见Smith，B.W。，《机器人法》（2015）中的"工程师和律师应该说相同的机器人语言"，可在newlypossible.org上查阅。

J3016 提供了一种逻辑分类，用于对驾驶自动化功能（和配备ADS车辆）进行分类，以及一组支持分类的术语和定义，并以其他方式标准化相关概念、术语和用法，促进清晰交流。因此，J3016 是基于合理协议的惯例，而不是技术规范。

从实际出发，不可能描述或指定用于给定 ADS 功能的完整测试或一组测试，以最终确定或验证其驾驶自动化水平。如本规范定义的，级别划分表示该功能的设计意图，告诉潜在用户或其他兴趣方该功能可以预期起的功用，使得在该功能被使用时用户与驾驶自动化系统的角色协调一致。级别指定通常基于制造商对功能/系统的设计，开发和测试的知识。ADS 的功能和局限通过各种手段传达给潜在用户，例如在用户手册中详细说明了包含应该和不应该使用的功能，存在哪些限制（如果有的话），以及在驾驶自动化系统或车辆中发生DDT 执行相关的系统故障时该做什么（如果有的话）。

因此，驾驶自动化系统或用户对其使用中的一个或多个性能缺陷的表现不会自动改变等级指定。例如：

•其制造商设计为5级的ADS功能不会因为遇到特定道路无法操作车辆而自动降级到4 级。

•坐在装备 3 级 ADS 功能车辆驾驶员座位上的用户是 DDT 后备就绪用户，即使他/他不

接受请求干预，因为他/他不当地睡着了。

驾驶自动化系统功能的级别对应于功能的生产设计意图。无论其所配备的车辆是已经部署在商业中的生产车辆还是尚未部署的测试车辆，这都适用。若因为路测需要测试驾驶员在使用时监督功能，并在必要时进行干预以确保安全操作，而将配备 4 级设计预期ADS 功能的测试车辆上分类为 2 级是不正确的。

虽然按顺序编号为 0 到 5，但 J3016 级别在相对优点，技术方面没有指定或暗示层级复杂性或部署顺序。因此，J3016 没有指定或暗示，例如，等级 4 比等级3 或 2 级“更好”。

此外，虽然可以具有相对高功能的 ADS 功能，例如能够执行的 3 级功能在其 ODD 内的大多数但不是所有可预见的条件下自动实现最小风险条件，它会违反 J3016 的定义是指诸如“低功能”或“部分”4 级 ADS 功能之类的功能。同样，小数位描述 SAE J3016 等级驾驶自动化功能是不正确的，例如2.5或4.7。合格或小数位会消除J3016 提供的严格清晰和等级，将使给定车辆中后备用户和用于执行DDT的驾驶自动化系统之间的角色划分变得模糊。

这种分类法的层次是有意的离散和相互排斥的。因此，给定功能被分配多于一个级别在逻辑上是不可能的。例如，由制造商描述为能够低速在完全访问控制的高速公路上执行密集车流中执行完整 DDT 的驾驶自动化功能不能同时属于 3 级和 4 级，它要么能够自动执行DDT召回并在需要时达到最小风险状态，或者依赖驾驶员来响应干预请求并执行 DDT 或达到最小风险状态。

然而，根据使用规范和/或用户偏好，驾驶自动化系统很可能拥有在不同级别的多个功能。例如，配备驾驶自动化系统车辆可以在变化的条件下实现：1 级 ACC 功能，2 级道路驾驶辅助，3 级高速公路交通拥堵功能以及 4 级自动代客泊车功能 – 以及允许用户在没有驾驶自动化功能的情况下 0 级操作车辆。从用户角度来看，即使驾驶自动化系统利用大量相同的底层硬件和软件技术来提供所有四种驾驶自动化功能，这些各种功能的使用是有次序的而不是同时进行的。

为 3,4 级，或 5级ADS 在讨论处理系统故障或操作失败的设计域（超出 ODD）条件时，SAE J3016 框架区分以下三个独立功能：（i）DDT 执行，（ii）DDT 后备执行，以及（iii）最小风险条件的实现。

i. 在 ADS 功能正常操作条件下执行DDT。也就是说，该功能在正常运行时及其 ODD范围内执行完整的 DDT（如有）。

ii) 当 ADS 无法继续执行整个 DDT 时（即在正常操作条件），进行DDT后备支援，对于 3 级 ADS 功能，召回后备用户（车内或远程）预计会响应干预请求或是动觉明显的车辆故障，则可以通过恢复手动驾驶来响应干预请求，但如果车辆不能运行，则实现最小风险条件。对于 4 级或 5 级 ADS，该功能或系统通过自动实现最小风险条件来执行后备支援，例如，通过停到路肩，打开危险警示灯，禁用推进系统以及召唤路边援助。（注意：某些 3 级功能可能被设计为在某些情况下自动执行后备并实现最小风险条件，例如当存在无障碍的相邻路肩时，但在其他情况下不存在，例如当没有这样的路肩可用。）当 ADS 执行后备时，它会将车辆调整到最小风险状态，从而结束后备响应。然而，当后备就绪用户执行应急支援时，他/她可以简单地继续手动操控，而不是仅实现最小风险条件。

iii) 执行L4/L5级后备和实现最小风险条件要求ADS 在发生与 DDT执行相关的系统故障或超出ODD 外之后仍然有效。如果 ADS 不起作用，则可能适用故障缓解策略（见3.11和8.6）。最小风险条件取决于触发后备时的车辆状况和操作环境，并且可以遵循降级模式策略，该策略考虑包括继续操作、停靠路边或就地停止的相对风险。

配备ADS车辆可能具有额外的故障缓解策略，旨在使车辆在故障发生的任何地方都能够受控制停车，例如，如果3级子行程交通拥堵功能的车内后备就绪用户在交通疏通后（超出ODD条件）未能响应干预请求，则车辆可能具有设计用于使车辆在其当前行驶车道上受控停车并打开危险警告灯的故障缓解策略。图13显示了一个示例用例序列。

配备 ADS 的 4 级和 5 级车辆也可能具有在某些罕见的严重故障条件下停止故障的故障缓解策略，这些故障条件会导致 ADS 无法正常工作，例如在初始电源故障后失去备用电源或ADS 的计算能力丧失，使其无法执行后备并实现最小风险条件。

车辆执行的故障缓解与最小风险条件的实现不同，并且不属于划分给4级或5级ADS的后备功能，因为它发生在 ADS 断开或由于罕见严重事件而丧失能力之后，因此它也不属于 SAE J3016 的范围。

图 13 用于显示 3 级功能的 ADS 发生故障或超出 ODD 外相应情况的顺序，由执行应急支援的后

备用户，或者，如果后备用户未能执行此操作，则可以进行故障缓解策略，例如停在车道。

（注意：虚线表示故障缓解策略。）

L4 级 ADS 的响应顺序，严重事件（例如，完全停电）并且系统实现最小风险条件

（注意：虚线表示故障缓解策略。）

如 J3016 中所规定的，级别 5 与级别 4 的区别在于，其操作上不限于特定的操作设计域，并且在熟练的驾驶员通常可以驾驶传统车辆的任何地方/道路上运行。

例如，L4 级 ADS-DV 设计用于特定地理围栏城市中心的低速运行，称为“完全自动化” 或“完全自动的”是不正确的，应该避免。这种区别能识别到不能操作传统车辆的用户，因为配备 5 级 ADS 的车辆能够满足所有相同的出行需求，也就表明其他用户能够操作。

有技术和实际的考虑因素减轻了规定的字面含义，即 5 级 ADS 必须能够“在通常技术熟练的驾驶员可以合理操作传统车辆的任何地方道路上操作车辆”，这也许是不可能实现。

例如，配备 ADS 的车辆能够在整个美国的所有道路上操作车辆，但由于法律或商业原因，无法在加拿大或墨西哥境内操作车辆，但仍然可以被视为 5 级，即使地理围栏仅在美国境内运营。此例外的理由是，地理围栏限制（仅限美国）不是由于对 ADS 技术能力的限制，而是由于法律或业务限制，例如加拿大和墨西哥/中美洲的法律限制禁止 L5 级部署，或无法为这些市场扩展业务。

装备有 3 级 ADS 功能的车辆预计将根据 DDT 后备用户的要求放弃动态驾驶任务（DDT）。这种期望是DDT 后备用户能够在需要时执行DDT 召回的逻辑结果，包括在发生 DDT 执行相关车辆系统故障的情况下，ADS 可能未监控（如破碎的悬挂部件）。

一些配备驾驶自动化功能的车辆可能设计不允许驾驶员操作（如 ADS-DV）。在这些类型的车辆中，乘客可通过拉紧急停止杆来要求停车，ADS 响应并且达到最小风险状况（例如，鉴于相邻路肩的可用性），或执行中途停车机动。

当然，也有配备 4 级或 5 级驾驶自动化功能的车辆可以设计驾驶员操作（即在任何较低级别，包括 0 级）。即使 ADS 没有发出干预请求，用户也可以要求操作这车辆。在这些情况下，ADS 可能会延迟放弃 DDT，以确保顺利过渡到司机操作而防止危险状况。

例如：

•由4级ADS高速公路领航功能操作的车辆在通过一个窄弯道时，可能不会在用户请求时立即断开，而是在用户通过转向输入指示其完全重新进入DDT时逐渐断开。

•4级ADS功能设计用于在车辆间距较小的高速车队中操作车辆，可能会延迟在用户请求恢复驾驶时放弃执行DDT，直到ADS安全地将车辆驶离车队，因为（人类）驾驶员可能无法在紧密耦合的车队中安全操作车辆。

车辆操作的战略方面（关于是否，何时，哪里及如何到达目的地的决策）被排除在 DDT

的定义之外，因为它们被认为是更广泛由用户确定驾驶任务的方面。即使部分自动化，例如通过路线导航软件。然而，对于某些高级ADS功能，例如一些 ADS 专用车辆应用（如叫车和配送服务），定时，线路规划甚至目的地选择也可以根据用户（即无人驾驶操作调度员）或调度实体定义。

驾驶需要各种决定和行动，其可能涉及或不涉及行进中的车辆，甚至其处于行车道。整体驾驶行为可以分为三种类型的：战略，战术和操作（Michon，1985）。战略工作涉及行程计划，例如决定是否、何时何地、如何出行、最佳路线等。战术工作涉及在交通行程中操控车辆，包括决定是否以及何时超越其他车辆，改变车道，选择适当的速度，检查镜子等。操作涉及可以是预知或先天的瞬时反应，例如转方向盘，制动和加速等进行微观修正以维持交通中的车道位置或避免道路中的突发障碍或危险事件。

上文提供的 DDT 定义（3.10）包括战术和操作，但不包括战略。这是驾驶的一部分，该部分具体涉及当正常运动或迫在眉睫的时候在行车道中操作车辆。（应该指出，这些术语 - 战略，战术和操作 - 在其他情况下可能具有不同的含义，但为本规范的目的定义如上。）事实上，本规范定义的“操作”包括操作和战术。

目标和事件检测/识别/分类和响应（也称为 OEDR）构成了驾驶工作负载范畴中经常引用的连续活动。在驾驶自动化系统的情况下，OEDR 还包括与系统动作或结果相关的驾驶事件，例如未确定的驾驶自动化系统错误或状态变化。

防撞功能，包括干预型主动安全系统，可以包含在配备有任何级别的驾驶自动化系统的车辆中。对于执行完整 DDT 的配备 ADS 的车辆（即 3-5 级），防撞能力是 ADS 功能的一部分

从驾驶员辅助和驾驶自动化的最广泛角度来看，各种功能可根据技术文件中描述的三个总体操作概念（称为“操作原理”）进行分类，“操作框架原则：自动驾驶功能的综合分类概念。”提供状态信息（例如，电力推进系统充电状态、油压、天气状况等）或提醒驾驶员注意实际或潜在危险（例如车道偏离或盲点警告）属于操作原则A（状态警报和警告）。提供部分或全部DDT持续自动化的功能属于操作B（持续驾驶自动化）原则。提供瞬时、间歇性车辆运动控制动作（非持续性——例如自动紧急制动）的功能属于操作C（碰撞避免干预）的原则。给定的车辆可能配备了几种根据不同操作原理操作的功能。

本文件提供了根据上述类别属于操作原则B的驾驶自动化系统功能的分类。驾驶自动化系统功能持续执行部分或全部DDT，因此，从根本上改变或消除驾驶员在操作车辆中的角色。属于操作原则A或C的功能不能根据本文件所述的分类法进行分类，因为它们不会直接影响车辆运动控制（A），或者因为它们不能持续执行部分或全部DDT（C）。然而，应当注意的是，单个功能可以包括根据一个以上操作原理的功能，例如碰撞避免功能（C），其在启用时向驾驶员（a）提供警告。类似地，在由人工驾驶的车辆上，由属于操作C原则的功能提供的碰撞避免能力仍然作为由ADS操作的车辆提供的持续驾驶自动化（B）的一部分来执行。例如，自动紧急制动（AEB）可自动制动车辆，以避免与前进道路上的车辆/物体发生碰撞，它不是ADS-DV上的独立功能。然而，对其他道路使用者的行为以及交通中的目标和事件的紧急制动包含在ADS的整个驾驶自动化功能中。

在2014年1月SAE J3016 首 次 发 布 之 前 ，德国联邦公路研究所(BundesanstaltfürStrassenwesen, 又名 BASt)发布了“车辆自动化增加的法律后果”（Tom M. Gasser 等，2013 年 7 月 23 日 ））。经过对该文件的全面审查，包括与创作组的讨论，SAE 工作成员理解 BASt 级别也符合工作组的运作原则，即 SAE J3016 应该是：

•描述性而不是规范性，也就是说应该提供功能定义。

•符合当前行业惯例。

•与先前技术一致 - 应该从已经完成的事情开始，只改变必要的变化。

•跨学科适用，包括工程、法律、媒体、公共话语。

•清晰有力，也就是说我们应该避免或定义含糊的术语。

沿着这些指导原则，SAE 大量采用了 BASt 级别，但进行了若干调整：

•增加了 BASt 级别中未描述的第六级（即5级完全驾驶自动化）。

•相应修改级别名称。

•添加支持条款和定义，如 DDT，最小风险状态等。

•描述了明确的区分，提供了逐步提高的等级。

•提供说明性文字和示例，以帮助读者了解其等级，定义及其衍生。

SAE J3016 于 2014 年 1 月发布之后，国际汽车制造商组织（也称为 OICA）吸收了

BASt 级别，而且按 SAE J3016 整合（英文），包括增加第六级代表“完全驾驶自动化”。

位于左边距的更改栏（l）是为了方便用户查找对本文档上一期（2018年6月发行的SAE J3016）发行技术修订（而不是编辑更改）的区域。文档标题左侧的（R）符号表示文档的完整版本，包括技术修订版本。更改栏和（R）不在原始出版物中使用，也不在仅包含编辑更改的文档中使用。

—END—

投稿合作：18918250345（微信）