自動(dòng)駕駛系統(tǒng)ADS設(shè)計(jì)是一個(gè)復(fù)雜且多維度的過(guò)程，需要綜合考慮多個(gè)方面以確保系統(tǒng)的安全性、可靠性、高效性和適應(yīng)性。

至少要考慮以下內(nèi)容：

（a）系統(tǒng)安全；

（b）故障安全響應(yīng)；

（c）HMI人機(jī)界面/操作員信息；

（d）目標(biāo)和事件檢測(cè)與響應(yīng)OEDR（Object and Event Detection and Response）；

（e）運(yùn)行設(shè)計(jì)域ODD（Operational Design Domain）；

（f）系統(tǒng)安全驗(yàn)證（仿真、軌道、公開(kāi)道路）；

（g）網(wǎng)絡(luò)安全；

（h）軟件更新；

（i）自動(dòng)駕駛事件數(shù)據(jù)記錄系統(tǒng)DSSAD（Data Storage System for Automoted Driving）；

（j）遠(yuǎn)程操控；

（k）在役車(chē)輛的安全；

（l）相關(guān)者（消費(fèi)者、運(yùn)營(yíng)者、安全員等）教育和培訓(xùn)。

（a）系統(tǒng)安全

需要建立安全管理體系SMS（Safety Management System），使用健全的流程來(lái)管理安全風(fēng)險(xiǎn)，并確保整個(gè)ADS生命周期（開(kāi)發(fā)、生產(chǎn)、運(yùn)營(yíng)和報(bào)廢）的安全。

SMS是一種管理安全的系統(tǒng)方法，它包括并整合了與安全相關(guān)的組織、人力和技術(shù)因素：

（i）人力因素：確保ADS生命周期的人的組成部分由具有適當(dāng)技能、培訓(xùn)和理解的人員監(jiān)控，以識(shí)別風(fēng)險(xiǎn)并制定適當(dāng)?shù)木徑獯胧?

（ii）組織（管理）因素：采用系統(tǒng)性的程序和方法管理已識(shí)別的風(fēng)險(xiǎn)，了解它們與其他風(fēng)險(xiǎn)和緩解措施的關(guān)系和相互作用，并協(xié)助確保沒(méi)有不可預(yù)見(jiàn)的后果。

（iii）技術(shù)因素：使用適當(dāng)?shù)墓ぞ撸?D、FMEA、FAT等）和設(shè)備。

確保ADS車(chē)輛不會(huì)對(duì)更廣泛的運(yùn)輸生態(tài)系統(tǒng)，特別是ADS車(chē)輛使用者和其他道路使用者造成不合理的安全風(fēng)險(xiǎn)。

確保ADS車(chē)輛會(huì)嚴(yán)格遵守所在地區(qū)的交規(guī)。

（b）故障安全響應(yīng)

（i）正常情況下的DDT性能要求應(yīng)在合理可行的范圍內(nèi)繼續(xù)適用于故障情況，以盡量減少總體風(fēng)險(xiǎn)；

（ii）ADS應(yīng)檢測(cè)故障、失效和異常，如果這些故障、失效和異常會(huì)損害ADS在其ODD內(nèi)執(zhí)行整個(gè)DDT的能力；

（iii）當(dāng)故障不妨礙ADS功能的安全要求時(shí)，ADS功能應(yīng)繼續(xù)運(yùn)行；

（iv）ADS可以允許激活和使用受故障影響的功能，前提是ADS能繼續(xù)執(zhí)行整個(gè)DDT；

（v）ADS應(yīng)根據(jù)故障的嚴(yán)重程度調(diào)整其DDT性能，以確保道路安全；

（vi）如果故障會(huì)損害ADS在其功能的ODD內(nèi)執(zhí)行整個(gè)DDT的能力，在該故障出現(xiàn)時(shí)，應(yīng)禁止激活該ADS功能；

（vii）ADS的受限操作應(yīng)符合安全要求；

（viii）監(jiān)管部門(mén)要求時(shí)，制造商和/或服務(wù)運(yùn)營(yíng)商可以遠(yuǎn)程終止單個(gè)或多個(gè)ADS功能；

（ix）執(zhí)行ADS的遠(yuǎn)程終止時(shí)，ADS應(yīng)能夠安全響應(yīng)；

（x）遠(yuǎn)程終止ADS后，用戶(hù)將無(wú)法再次激活。

（c）人機(jī)界面/操作員信息

應(yīng)至少考慮以下ADS相關(guān)人機(jī)界面信息：

（a）ADS功能、能力和限制的操作描述（信息還應(yīng)提及具體情景和/或?qū)?yīng)的ODD）；

（b）正確使用ADS及其功能的條款；

（c）ADS的啟用和停用說(shuō)明，明確解釋用戶(hù)啟動(dòng)的停用和系統(tǒng)啟動(dòng)的停用之間的區(qū)別；

（d）當(dāng)ADS（功能）處于激活狀態(tài)時(shí)，駕駛員/安全員/用戶(hù)和ADS的角色和職責(zé)的描述；

（e）如果允許角色轉(zhuǎn)換，角色轉(zhuǎn)換的描述以及這些轉(zhuǎn)換的程序；

（f）當(dāng)ADS功能處于激活狀態(tài)，控制車(chē)輛運(yùn)動(dòng)時(shí)，ADS如何應(yīng)對(duì)用戶(hù)的干預(yù)；

（g）當(dāng)ADS功能處于激活狀態(tài)時(shí)，允許的非駕駛相關(guān)活動(dòng)NDRA（Non-Driving Related Activities）的一般概述；

（h）用戶(hù)的安全注意事項(xiàng)和安全相關(guān)信息；

（i）與HMI指示相關(guān)的信息：

（i）視覺(jué)信號(hào)，圖標(biāo)；

（ii）聽(tīng)覺(jué)信號(hào)；

（iii）觸覺(jué)信號(hào)；

（j）ADS發(fā)生故障時(shí)應(yīng)采取的安全措施；

（k）維修保養(yǎng)操作的范圍、時(shí)間和頻率；

（l）進(jìn)行定期技術(shù)檢查的方法；

（m）維護(hù)、修理和定期技術(shù)檢查的文件和模板；

（n）符合技術(shù)功能限值的預(yù)防性聲明；

（o）數(shù)據(jù)保護(hù)和數(shù)據(jù)安全功能。

（d）目標(biāo)和事件檢測(cè)與響應(yīng)OEDR（Object and Event Detection and Response）

應(yīng)能精確識(shí)別和預(yù)測(cè)其他道路使用者的位姿，并做出合理響應(yīng)，比如：

（e）運(yùn)行設(shè)計(jì)域ODD（Operational Design Domain）

特定自動(dòng)駕駛系統(tǒng)或其功能被專(zhuān)門(mén)設(shè)計(jì)為運(yùn)行的操作條件，包括但不限于環(huán)境、地理和一天中的時(shí)間限制，和/或某些交通或道路特征的必要存在或不存在。（SAEJ3016）

ADS必須確保：

（i）它可以在其ODD中合理預(yù)期的條件下安全地運(yùn)行；

（ii）它將僅在其ODD中使用；

（iii）它可以監(jiān)控它是否在其ODD內(nèi)部/外部并做出適當(dāng)?shù)捻憫?yīng)。

構(gòu)成ADS運(yùn)行設(shè)計(jì)閾ODD的條件將有助于確定需要哪些ADS能力。例如，如果ADS的ODD包括沒(méi)有交通信號(hào)燈的路口，則該ADS所需的行為能力之一可能是“無(wú)保護(hù)的左轉(zhuǎn)或右轉(zhuǎn)”。然而，如果ADS的ODD僅限于高速公路或有交通信號(hào)燈的路口，則可能不需要相應(yīng)的行為能力。

應(yīng)明確ADS及ADS功能的ODD條件和邊界（例如，道路速度限制、道路類(lèi)型和道路特征、國(guó)家、環(huán)境、道路條件等），并以可衡量和/或可驗(yàn)證的方式包括每個(gè)ADS功能的ODD條件和邊界

除非滿(mǎn)足功能的ODD條件，否則ADS應(yīng)阻止功能的激活。

當(dāng)使用中的功能的一個(gè)或多個(gè)ODD條件不再滿(mǎn)足時(shí)，ADS應(yīng)執(zhí)行安全回退響應(yīng)。

ADS應(yīng)能夠預(yù)測(cè)每個(gè)功能的ODD的可預(yù)見(jiàn)出口（邊界條件）。

（f）系統(tǒng)安全驗(yàn)證

（i）制定交通場(chǎng)景測(cè)試集；

（ii）場(chǎng)地內(nèi)軌道測(cè)試；

（iii）仿真測(cè)試；

（a）模型在環(huán)（MIL）；

（b）軟件在環(huán)（SIL）；

（c）硬件在環(huán)（HIL）；

（d）車(chē)輛在環(huán)（VIL）；

（e）駕駛員在環(huán)（DIL）；

（iv）真實(shí)道路測(cè)試。

（g）網(wǎng)絡(luò)安全

（i）網(wǎng)絡(luò)安全管理系統(tǒng)CSMS（Cyber Security Management System）；

（ii）風(fēng)險(xiǎn)識(shí)別、緩解措施；

（iii）次要風(fēng)險(xiǎn)和殘余風(fēng)險(xiǎn)評(píng)估；

（iv）持續(xù)的風(fēng)險(xiǎn)評(píng)估，保持最新?tīng)顟B(tài)；

（v）能有效應(yīng)對(duì)新的威脅和漏洞。

（h）軟件更新

（i）軟件更新管理系統(tǒng)SUMS（Software Update Management System）；

（ii）Rx軟件識(shí)別號(hào)RxSWIN（Software Identification Number）；

（iii）為符合立法要求而實(shí)施的軟件更新程序和管理制度。

（i）自動(dòng)駕駛事件數(shù)據(jù)記錄系統(tǒng)DSSAD（Data Storage System for Automoted Driving）

（i）存儲(chǔ)位置和碰撞生存能力；

（ii）車(chē)輛運(yùn)行和事故期間記錄的數(shù)據(jù)；

（iii）數(shù)據(jù)安全和防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)或使用；

（iv）對(duì)數(shù)據(jù)進(jìn)行授權(quán)訪(fǎng)問(wèn)的手段和工具。

（j）遠(yuǎn)程操作

（i）遠(yuǎn)程操作需要一個(gè)高效穩(wěn)定的通信系統(tǒng)，以確保遠(yuǎn)程操作指令能夠?qū)崟r(shí)、準(zhǔn)確地傳輸?shù)杰?chē)輛，并接收車(chē)輛狀態(tài)反饋；

（ii）遠(yuǎn)程操作員應(yīng)熟悉并遵守當(dāng)?shù)亟煌ㄒ?guī)則，包括速度限制、車(chē)道規(guī)定、交通信號(hào)等，以確保自動(dòng)駕駛車(chē)輛在行駛過(guò)程中不違法違規(guī)；

（iii）針對(duì)可能發(fā)生的各種突發(fā)情況（如車(chē)輛故障、網(wǎng)絡(luò)中斷、黑客入侵等），制定詳細(xì)的應(yīng)急處理預(yù)案，并定期進(jìn)行演練；

（iv）遠(yuǎn)程接管時(shí)車(chē)輛應(yīng)能安全的移交DDT。

（k）在役車(chē)輛的安全

在ADS的整個(gè)生命周期內(nèi)，ADS的安全性能仍然是制造商的責(zé)任。制造商和車(chē)隊(duì)經(jīng)營(yíng)者（如適用）應(yīng)建立旨在收集和分析車(chē)輛數(shù)據(jù)以及來(lái)自其他來(lái)源（公安交警部門(mén)）的數(shù)據(jù)的監(jiān)測(cè)流程。它應(yīng)提供ADS在役安全性能的證據(jù)和安全管理體系要求的審計(jì)結(jié)果的確認(rèn)性證據(jù)。

（i）監(jiān)測(cè)ADS引起的緊急和非緊急事件；

（ii）在運(yùn)營(yíng)階段管理潛在的安全相關(guān)漏洞；

（iii）在安全相關(guān)事件發(fā)生時(shí)向當(dāng)局報(bào)告的方式、流程、模版等；

（iv）確認(rèn)是否符合定義的安全案例；

（v）分享從事件和險(xiǎn)情分析中獲得的經(jīng)驗(yàn)教訓(xùn)；

（vi）為汽車(chē)安全的持續(xù)改進(jìn)做出貢獻(xiàn)。

（l）相關(guān)者（開(kāi)發(fā)者、消費(fèi)者、運(yùn)營(yíng)者、安全員等）教育和培訓(xùn)

通過(guò)教育和培訓(xùn)，不斷提升自動(dòng)駕駛技術(shù)從業(yè)者、駕駛員以及公眾對(duì)自動(dòng)駕駛技術(shù)的理解、操作能力和安全意識(shí)。

自動(dòng)駕駛技術(shù)從業(yè)者：包括算法工程師、軟件開(kāi)發(fā)人員、系統(tǒng)集成人員、測(cè)試工程師、運(yùn)維工程師等，他們需要深入了解自動(dòng)駕駛技術(shù)的原理、算法、系統(tǒng)設(shè)計(jì)、測(cè)試方法等方面的知識(shí)。

駕駛員/安全員/遠(yuǎn)程操作員：尤其是那些將駕駛配備自動(dòng)駕駛功能的車(chē)輛的人員，他們需要了解自動(dòng)駕駛系統(tǒng)的功能、操作方式、限制條件以及應(yīng)急處理措施。

公眾：通過(guò)教育和培訓(xùn)，提高公眾對(duì)自動(dòng)駕駛技術(shù)的認(rèn)知度，包括其安全性、應(yīng)用場(chǎng)景、潛在風(fēng)險(xiǎn)等。

培訓(xùn)內(nèi)容包括但不限于：

（a）自動(dòng)駕駛技術(shù)原理：

（i）感知技術(shù)：介紹攝像頭、雷達(dá)、激光雷達(dá)等傳感器的工作原理和數(shù)據(jù)處理方法；

（ii）控制技術(shù)：講解自動(dòng)駕駛車(chē)輛如何通過(guò)算法和控制系統(tǒng)實(shí)現(xiàn)自主駕駛；

（iii）導(dǎo)航技術(shù)：闡述地圖和定位技術(shù)在自動(dòng)駕駛中的應(yīng)用；

（iv）安全技術(shù)：強(qiáng)調(diào)自動(dòng)駕駛車(chē)輛的安全系統(tǒng)設(shè)計(jì)和保障措施。

（b）自動(dòng)駕駛系統(tǒng)操作：

（i）系統(tǒng)啟動(dòng)與關(guān)閉：培訓(xùn)駕駛員如何正確啟動(dòng)和關(guān)閉自動(dòng)駕駛系統(tǒng)；

（ii）模式切換：介紹如何通過(guò)遙控裝置或車(chē)內(nèi)按鈕切換自動(dòng)駕駛模式；

（iii）異常情況應(yīng)對(duì)：教育駕駛員在自動(dòng)駕駛系統(tǒng)出現(xiàn)故障或遇到特殊情況時(shí)的應(yīng)對(duì)措施。

（c）道路交通規(guī)則與法律法規(guī)：

（i）講解道路交通規(guī)則的基本內(nèi)容和要求；

（ii）介紹相關(guān)法律法規(guī)對(duì)自動(dòng)駕駛車(chē)輛的規(guī)范要求；

（iii）培訓(xùn)駕駛員在自動(dòng)駕駛過(guò)程中如何遵守交通規(guī)則，避免違法行為。

（d）應(yīng)急駕駛技能：

（i）教授駕駛員在自動(dòng)駕駛車(chē)輛遇到緊急情況時(shí)如何接管車(chē)輛控制權(quán)，進(jìn)行安全駕駛；

（ii）強(qiáng)調(diào)安全駕駛技能的重要性，包括制動(dòng)、轉(zhuǎn)向、避讓等技巧。

（e）團(tuán)隊(duì)合作與問(wèn)題解決能力：

（i）自動(dòng)駕駛技術(shù)的研發(fā)和應(yīng)用需要團(tuán)隊(duì)合作，因此培訓(xùn)中應(yīng)強(qiáng)調(diào)團(tuán)隊(duì)協(xié)作意識(shí)的培養(yǎng)；

（ii）通過(guò)案例分析、模擬演練等方式，提升學(xué)員的問(wèn)題解決能力。