由前文可知：駕駛可以被視為實現(xiàn)戰(zhàn)略目標下的風險管理練習。ADS必須展示其安全駕駛車輛、應對外部條件和管理內(nèi)部故障的能力。

ADS的設(shè)計必須確保車輛在整個使用壽命期間（設(shè)計、開發(fā)、生產(chǎn)、運行、報廢）的使用安全和用戶安全，能夠避免對駕駛員、乘客和其他道路使用者造成不合理的風險。

企業(yè)應建立覆蓋車輛全生命周期的功能安全、信息安全和預期功能安全流程，包括設(shè)計、開發(fā)、生產(chǎn)、運行、服務及報廢等階段。

功能安全（FuSa:Functional Safety）：旨在通過避免、控制措施等使得因電子電氣失效（物理特性決定的）或者系統(tǒng)性失效（人為引發(fā)）造成的功能失效導致交通參與者的人身傷害降低到可接受的水平（ISO26262中已規(guī)定），從而實現(xiàn)功能是“安全”的。

功能安全關(guān)注與安全相關(guān)的失效（failure），確保自動駕駛系統(tǒng)在各種運行條件下都能正確執(zhí)行其預定功能，避免因系統(tǒng)故障導致的事故。

預期功能安全（SOTIF:Safety Of The Intended Functionality）：由功能不足、或者由可合理預見的人員誤用所導致的危害和風險。例如，傳感系統(tǒng)在暴雨、積雪等天氣情況下，本身并未發(fā)生故障，但可能無法執(zhí)行預期的功能。

預期功能安全考慮自動駕駛系統(tǒng)在預期使用場景之外或邊緣情況下的行為，確保系統(tǒng)能夠安全地應對這些非預期情況。

信息安全：主要由網(wǎng)絡(luò)安全和數(shù)據(jù)安全兩部分組成，網(wǎng)絡(luò)安全基于車聯(lián)網(wǎng)復雜環(huán)境，保護其免受網(wǎng)絡(luò)攻擊或緩解網(wǎng)絡(luò)安全風險；數(shù)據(jù)安全用于確保智能網(wǎng)聯(lián)汽車數(shù)據(jù)處于有效保護和合法利用狀態(tài)并具備保障持續(xù)安全狀態(tài)的能力。

信息安全關(guān)注與安全相關(guān)的威脅（threat），通過數(shù)字證書和密碼應用等技術(shù)避免系統(tǒng)受到網(wǎng)絡(luò)攻擊的威脅，通過數(shù)據(jù)安全管理體系的應用，持續(xù)保護重要數(shù)據(jù)和個人信息的安全。

當前階段，通常使用多少公里的實際測試中沒有碰撞、違法或ADS退出等指標來評估ADS性能。在沒有發(fā)生碰撞、違法或退出等情況下行駛的公里數(shù)指標，有助于公眾了解ADS的總體性能。然而，這些測量值本身并不能向監(jiān)管機構(gòu)提供足夠的證據(jù)，證明ADS能夠安全地應對車輛可能遇到的各種不同情況。

此外，僅通過現(xiàn)實世界測試進行驗證的時間和成本是令人望而卻步的，這可能需要ADS在沒有事故的情況下行駛數(shù)十億公里，以證明其安全性能明顯優(yōu)于人類駕駛員。如果系統(tǒng)發(fā)生變化（軟硬件變更、升級、優(yōu)化）則需要重新驗證，復制重現(xiàn)這種測試也是不可行的。

考慮到這些因素，需要使用基于交通場景的方法以高效、客觀、可重復和可擴展的方式系統(tǒng)地組織安全驗證活動。

聯(lián)合國建議通過制定交通場景框架來處理ADS可能遇到的交通場景，并根據(jù)該框架評估ADS。場景的建立主要取決于對ADS的運行設(shè)計域（ODD）的分析。

交通場景框架需要區(qū)分正常、緊急和故障場景。正常場景可以評估ADS安全操作車輛的能力；緊急場景可以評估ADS管理沖突和減輕風險的能力；故障場景可以評估ADS管理和響應系統(tǒng)故障的能力。

需要讓ADS遍歷這些交通場景，并根據(jù)動態(tài)駕駛?cè)蝿眨―DT）的執(zhí)行要求評估ADS在每個場景下表現(xiàn)出的行為能力。這些要求側(cè)重于期望的駕駛能力和結(jié)果（不考慮法規(guī)要求和ADS限制，在某個場景下該怎么做），有意避開技術(shù)規(guī)范和性能限制，每種交通場景都需要對其元素、風險和可用選項的組合做出適當?shù)恼{(diào)整。

在正常場景下，ADS應展示與DDT表現(xiàn)要求一致的行為能力。例如，其中一項能力是與稱職和謹慎的駕駛員（老司機）一樣，將危急情況的風險降至最低。

然而，在緊急場景下界定ADS的性能標準是困難的，特別是在必須確定優(yōu)先次序的情況下，比如為了避免撞到行人A，可能會撞到行人B。在這些情況下，聯(lián)合國指南提議使用適當?shù)陌踩Ｐ停员隳軌蛟诎踩Ｐ偷姆秶鷥?nèi)評估ADS能力（當前指南提到了一些說明性模型，但沒有具體說明哪些可能是適當?shù)?，也沒有試圖限制適當安全模型的使用）。例如，人們認識到ADS可能無法避免碰撞，因此需要將ADS能力與安全模型能力進行比較，以確定需要避免碰撞的閾值和無法避免碰撞的閾值，以及是否可能減輕碰撞的影響。

在ADS展示的行為能力涉及例外的情況下，將依賴安全模型來確定例外是否合理。例如，ADS可能違反車道限制以避免碰撞（壓實線避撞）。安全模型可以確定碰撞風險、ADS響應和違反交通規(guī)則的必要性。

故障場景用來分析、測試ADS的DDT性能因系統(tǒng)故障而受損的情況。除非有后備用戶管理對故障的響應，否則ADS應將車輛帶到安全的停止狀態(tài)（即最小風險狀態(tài)）。然而，根據(jù)故障的嚴重程度，安全要求允許ADS根據(jù)故障的性質(zhì)調(diào)整其DDT性能。這將允許ADS在可能的情況下減輕風險，同時到達安全位置停止車輛。

需要將所有的故障設(shè)想合并成一個目錄，用于系統(tǒng)地驗證ADS的安全性。

在正常、緊急、故障場景下解決ADS車輛用戶的安全時，要充分考慮到用戶與ADS車輛的關(guān)系。用戶可能位于ADS車輛內(nèi)部或外部；用戶在旅行期間對車輛的控制程度可能不同；用戶是否與單個車輛是否具有一對一的關(guān)系；用戶是否在同時控制多個車輛等。

無論任何輔助駕駛系統(tǒng)，駕駛員都會執(zhí)行DDT，直到他們激活ADS功能。ADS功能特定于ODD存在，ADS功能的激活后，在ODD內(nèi)執(zhí)行整個DDT所需的戰(zhàn)術(shù)和操縱功能。用戶在駕駛的過程中可以激活ADS時，對車輛的操控將從駕駛員轉(zhuǎn)移到ADS，要確保轉(zhuǎn)移過程的安全。

激活ADS功能后，ADS在ODD內(nèi)執(zhí)行操縱車輛所需的整個DDT。因此，駕駛員轉(zhuǎn)變?yōu)楹髠漶{駛員或乘客的角色。一些ADS設(shè)計可能會在事件中啟動“系統(tǒng)啟動的ADS停用”（即回退到用戶），使ADS不能再執(zhí)行DDT（例如，在到達ODD的邊界之前使用該功能）。

乘客可能沒有能力執(zhí)行DDT。盡管如此，乘客需要選擇目的地、路線和站點，因此需要與ADS進行必要的互動。