1.安全政策

2.風(fēng)險管理

3.設(shè)計和開發(fā)過程

4.生產(chǎn)和部署流程

5.與在役監(jiān)測/報告支柱的鏈接

 制造商安全管理體系審核的目的是確認制造商具有健全的流程來管理安全風(fēng)險，并確保整個ADS生命周期（開發(fā)、生產(chǎn)、運營和退役）的安全。它應(yīng)包括采取適當(dāng)措施監(jiān)控在役車輛，并在必要時采取糾正措施。

安全管理體系SMS是一種管理安全的系統(tǒng)方法，它包括并整合了與ADS相關(guān)的組織、人力和技術(shù)因素：

（a）人力因素：確保ADS生命周期的人的組成部分由具有適當(dāng)技能、培訓(xùn)和理解的人員監(jiān)控，以識別風(fēng)險和適當(dāng)?shù)木徑獯胧?/span>

（b）組織（管理）因素：采用系統(tǒng)性的程序和方法，有助于管理已識別的風(fēng)險，了解它們與其他風(fēng)險和緩解措施的關(guān)系和相互作用，并幫助確保沒有不可預(yù)見的風(fēng)險。

（c）技術(shù)因素：使用適當(dāng)?shù)墓ぞ吆驮O(shè)備。

適當(dāng)?shù)腟MS將結(jié)合人力、組織、技術(shù)三個因素來監(jiān)測和提高安全性，并有助于控制已識別的風(fēng)險。SMS評估應(yīng)基于汽車（或其他行業(yè)）工程標(biāo)準(zhǔn)、指南和與安全相關(guān)的最佳實踐文件（例如：ISO9001、ISO21434、ISO26262、IATF 16949等）。

1. 安全政策

制造商應(yīng)記錄的過程和活動包括：

（a）安全政策和原則（符合ISO21434第5.4.2和ISO9001汽車5.2段所述的概念）；

（b）組織安全目標(biāo)和創(chuàng)建安全案例中使用的安全績效指標(biāo)的過程；

（c）SMS的適當(dāng)結(jié)構(gòu)，考慮法規(guī)、標(biāo)準(zhǔn)、最佳實踐指南和車輛用例，并將其組織結(jié)構(gòu)、流程和工作產(chǎn)品映射到SMS；

（d）安全文化（ISO26262-2，第5.4.2段）；

（e）安全治理要素：

  （ii）角色和責(zé)任（ISO26262-2第6.4.2段，這涉及組織和項目相關(guān)活動）；

（f）在本組織內(nèi)部就安全問題進行有效溝通（ISO26262-2，第5.4.2.3段）；

（g）組織外信息共享（符合ISO21434第5.4.5段所述的概念，ISO9001，但從安全角度來看）；

（h）質(zhì)量管理體系（例如，根據(jù)IATF 16949或ISO9001或同等標(biāo)準(zhǔn)），以支持安全工程，包括變更管理、配置管理、需求管理、工具管理等。

2.風(fēng)險管理

        SMS中應(yīng)包含安全風(fēng)險管理流程，以識別和評估與上述三個SMS因素（即人、組織和技術(shù)）相關(guān)的風(fēng)險。識別到的任何操作風(fēng)險都應(yīng)在設(shè)計和開發(fā)階段實施緩解措施。ADS制造商應(yīng)該能夠展示整體風(fēng)險管理流程、風(fēng)險緩解措施和由此產(chǎn)生的運營風(fēng)險之間的聯(lián)系。

  制造商記錄的風(fēng)險管理流程和活動示例：

（a）風(fēng)險識別（符合ISO31000第6.4.2段標(biāo)準(zhǔn)或同等標(biāo)準(zhǔn)）；

（b）風(fēng)險分析（符合ISO31000第6.4.3段標(biāo)準(zhǔn)或同等標(biāo)準(zhǔn)）；

（c）風(fēng)險評估（符合ISO31000第6.4.4段標(biāo)準(zhǔn)或同等標(biāo)準(zhǔn)）；

（d）風(fēng)險處理（符合ISO31000第6.4.5段標(biāo)準(zhǔn)或同等標(biāo)準(zhǔn)）；

（e）保持風(fēng)險評估持續(xù)更新的流程；

（f）審查組織的安全績效和安全風(fēng)險控制的有效性。

3. 設(shè)計和開發(fā)過程

（a）設(shè)計和開發(fā)階段參與人員的角色和責(zé)任；

（b）負責(zé)做出影響安全決策的人員的資格和經(jīng)驗；

（c）協(xié)調(diào)設(shè)計和生產(chǎn)活動之間的角色、職責(zé)和信息傳遞（工藝）。

  制造商應(yīng)建立并維護負責(zé)功能/操作安全、網(wǎng)絡(luò)安全和與實現(xiàn)車輛安全相關(guān)的任何其他相關(guān)學(xué)科的部門之間的有效溝通渠道。

4. 生產(chǎn)和部署流程

（a）質(zhì)量管理體系認證（例如，根據(jù)IATF 16949或ISO9001或同等標(biāo)準(zhǔn)）；

（b）組織執(zhí)行所有生產(chǎn)職能的方式描述，包括工作條件、工作環(huán)境、設(shè)備和工具的管理。

為確保開發(fā)和分布式生產(chǎn)的穩(wěn)健性而記錄的流程和活動示例：

（a）車輛和/或ADS制造商與所有其他相關(guān)組織（合作伙伴或分包商）之間的聯(lián)絡(luò)；

（b）其他合作伙伴或分包商制造的“子系統(tǒng)/組件”的可接受性標(biāo)準(zhǔn)（即將生產(chǎn)保證要求部署到供應(yīng)鏈）。

 制造商應(yīng)證明定期進行獨立的內(nèi)部審核和外部審核，以確保為安全管理體系建立的流程得到一致實施。

 SMS應(yīng)包括一個健壯的流程，以確保部署后的軟件更新得到適當(dāng)?shù)尿炞C和分發(fā)，并確認下載。

 制造商應(yīng)與參與其車輛開發(fā)、制造或使用部署的任何組織（例如合同供應(yīng)商、服務(wù)提供商或制造商子組織）建立適當(dāng)?shù)陌才牛ɡ绾贤才?、清晰的接口、質(zhì)量管理體系），以確保其與承諾活動相

關(guān)的安全管理方法符合本指南的建議。建議記錄的流程和活動示例：

（a）供應(yīng)鏈組織政策；

（b）供應(yīng)鏈風(fēng)險的納入；

（c）供應(yīng)商SMS能力評估及相應(yīng)審核；

（d）建立合同、協(xié)議以確保開發(fā)、生產(chǎn)和后期制作階段的安全的流程。

（e）分布式安全活動的流程。

SMS留檔應(yīng)根據(jù)SMS流程的任何相關(guān)變化定期更新。建議在審計和更新SMS時使用差距分析，在制定新的更合適的SMS流程之前檢查當(dāng)前的安全文化，以確保問題得到充分解決。SMS應(yīng)遵循持續(xù)改進的過程（例如，ISO9001中描述的“計劃、執(zhí)行、檢查、行動”）。對SMS留檔的任何更改應(yīng)按要求通知相關(guān)當(dāng)局。

 SMS應(yīng)采取措施，確保停止生產(chǎn)、支持或維護后的ADS安全。

    制造商應(yīng)有以下流程：

（a）確保作為SMS一部分記錄的所有做法和活動得到遵守；

（b）確保對適用要求的合規(guī)性進行獨立檢查（即不是來自創(chuàng)建合規(guī)性數(shù)據(jù)的人）；

（c）確保持續(xù)評估安全管理體系，使其保持有效。

5. 與在役監(jiān)測/報告支柱的鏈接

  制造商應(yīng)具備向相關(guān)機構(gòu)報告安全相關(guān)事件的流程（例如與其他道路使用者的碰撞和潛在的安全相關(guān)漏洞，請參閱在役監(jiān)測和報告支柱）。

制造商應(yīng)為運營階段建立流程，以確認符合其定義的安全案例。它應(yīng)包括早期發(fā)現(xiàn)新的未知情況（符合SOTIF安全發(fā)展目標(biāo)，以最小化未知場景區(qū)域），事件調(diào)查，分享從事件和接近事故分析中得出的經(jīng)驗教訓(xùn)，以使整個生態(tài)從運營反饋中學(xué)習(xí)，并為汽車安全的持續(xù)改進做出貢獻。

 示例：是否有文件描述向管理層報告事件的適當(dāng)程序？是否有證據(jù)表明公司正在遵守該程序？是否有文件描述調(diào)查和留檔事件的適當(dāng)程序？是否有證據(jù)表明公司正在遵守該程序？