1.審計(jì)支柱的目的和要素

2.制造商需要提供的文件

3.ADS安全評估

1.審計(jì)支柱的目的和要素

對ADS制造商安全管理體系的審計(jì)和對ADS制造商安全案例、安全概念的評估，是ADS安全驗(yàn)證的重要支柱之一。為了實(shí)現(xiàn)這種審計(jì)和安全評估，ADS制造商需要提供某些留檔。審計(jì)和安全評估將由批準(zhǔn)機(jī)構(gòu)（政府部門）或獨(dú)立第三方（認(rèn)證公司、試驗(yàn)場）執(zhí)行。

安全管理體系SMS（Safety Management System）：是一種管理安全的系統(tǒng)方法，它包括并整合了與系統(tǒng)安全相關(guān)的組織、人力和技術(shù)因素。

安全案例Safety case：是指由一組證據(jù)支持的結(jié)構(gòu)化論點(diǎn)，這些證據(jù)提供了一個(gè)令人信服的、可理解的和有效的案例，證明ADS在給定環(huán)境中的給定應(yīng)用程序沒有或?qū)]有不合理的風(fēng)險(xiǎn)。（安全案例需要制造商自己對其工藝、設(shè)計(jì)、生產(chǎn)和驗(yàn)證測試進(jìn)行評估，以確保ADS的安全。）

安全概念Safety concept：是指對ADS設(shè)計(jì)的安全措施的描述，以便在與ODD相關(guān)的每種操作條件下，其操作方式不會對ADS車輛使用者和其他道路使用者造成不合理的安全風(fēng)險(xiǎn)。

審計(jì)支柱的目的是促進(jìn)確定：

（a）制造商擁有確保車輛全生命周期內(nèi)操作安全和功能安全的正確流程；

（b）該車輛的ADS在設(shè)計(jì)上是安全的，并且該設(shè)計(jì)在上市前已經(jīng)得到充分驗(yàn)證。

因此，這一支柱由兩個(gè)主要部分組成：制造商通過安全管理體系建立的流程的審計(jì)和制造商提供的安全案例的評估（即安全評估，包括ADS的安全概念）。

制造商需要提供以下證明：

（a）確保車輛在整個(gè)生命周期（設(shè)計(jì)、開發(fā)、生產(chǎn)、運(yùn)營和退役）中的安全，需要建立強(qiáng)大的流程。這應(yīng)包括采取正確的措施在車輛運(yùn)行期間監(jiān)控車輛，并采取適當(dāng)?shù)模m正或預(yù)防）措施來解決任何問題。

（b）ADS的危險(xiǎn)和風(fēng)險(xiǎn)已經(jīng)明顯，制造商的安全概念已經(jīng)存在，并已通過設(shè)計(jì)安全方法的應(yīng)用，來減輕這些危險(xiǎn)和風(fēng)險(xiǎn)（功能安全）。

（c）制造商通過測試驗(yàn)證了風(fēng)險(xiǎn)評估和安全概念，并表明車輛在上市前符合安全要求。車輛沒有對更廣泛的運(yùn)輸生態(tài)系統(tǒng)，特別是ADS車輛使用者和其他道路使用者造成不合理的安全風(fēng)險(xiǎn)。

根據(jù)制造商在其安全案例中提供的證據(jù)以及由監(jiān)管當(dāng)局或第三方服務(wù)機(jī)構(gòu)進(jìn)行的確認(rèn)性測試，監(jiān)管當(dāng)局將能夠確定：流程、風(fēng)險(xiǎn)評估、設(shè)計(jì)和驗(yàn)證在功能和操作安全方面是否足夠穩(wěn)健。

2. 制造商需要提供的文件

為了便于監(jiān)管當(dāng)局的審核和安全評估，ADS制造商應(yīng)提供特定的留檔。留檔應(yīng)證明ADS：

（a）設(shè)計(jì)和開發(fā)的方式使其對ODD內(nèi)的ADS車輛使用者和其他道路使用者沒有不合理的風(fēng)險(xiǎn)；

（b）滿足其DDT性能和HMI性能要求；

（c）根據(jù)制造商聲明的開發(fā)過程/方法開發(fā)。

文件應(yīng)分為三個(gè)部分提供：

（a）提交給當(dāng)局的信息文件（目錄），應(yīng)包含對所提供的單獨(dú)文件的簡要概述；

（b）為了進(jìn)行審核，制造商需提供安全管理體系SMS的完整描述；

（c）為了進(jìn)行安全評估，制造商需提供ADS及其功能的完整安全案例，包括用于實(shí)施安全概念的設(shè)計(jì)過程的描述，以及通過大量證據(jù)證明ADS及其功能已經(jīng)過充分的安全驗(yàn)證，確保ADS的性能沒有不合理的風(fēng)險(xiǎn)的結(jié)構(gòu)化演示。

制造商可以保留額外的機(jī)密材料和分析數(shù)據(jù)（涉密知識產(chǎn)權(quán)），但在產(chǎn)品評估、過程審計(jì)時(shí)應(yīng)開放供檢查（例如，在制造商的生產(chǎn)現(xiàn)場審核）。

制造商應(yīng)確保這些材料和分析數(shù)據(jù)在ADS停止生產(chǎn)之日起，10年內(nèi)保持可用。ADS安全設(shè)計(jì)的任何更改都應(yīng)按要求通知相關(guān)當(dāng)局。

3. ADS安全評估

ADS安全評估的目的是讓安全機(jī)構(gòu)確定制造商已經(jīng)明確了與ADS相關(guān)的危險(xiǎn)和風(fēng)險(xiǎn)，并實(shí)施了一致的安全概念來減輕這些風(fēng)險(xiǎn)。

ADS安全案例應(yīng)解釋：制造商的安全概念、如何實(shí)施該安全概念、如何通過設(shè)計(jì)確保安全、應(yīng)通過結(jié)構(gòu)化論證和證據(jù)證明風(fēng)險(xiǎn)評估和設(shè)計(jì)已由制造商測試驗(yàn)證，并且在ADS裝備的車輛投放市場之前，ADS符合相關(guān)安全要求。

安全案例應(yīng)提供足夠的證據(jù)，證明ADS對更廣泛的運(yùn)輸生態(tài)系統(tǒng)，特別是ADS車輛用戶和其他道路用戶沒有不合理的安全風(fēng)險(xiǎn)。安全案例應(yīng)涉及以下部分：

3.1 ADS概述

ADS制造商提供的安全案例包括對ADS配置及其功能使用的預(yù)期用途和限制的描述，需要對ADS和ADS功能的操作特性進(jìn)行簡單的解釋：

3.2 ADS功能說明

制造商應(yīng)提供一份說明，清楚地解釋所有功能，包括ADS的控制策略和在ODD內(nèi)執(zhí)行動態(tài)駕駛?cè)蝿?wù)所采用的方法，以及ADS設(shè)計(jì)運(yùn)行的邊界，包括行使控制機(jī)制（決策規(guī)劃）的說明。

需要提供所有輸入和感應(yīng)變量的列表，并定義這些變量的工作范圍，以及每個(gè)變量如何影響系統(tǒng)行為的描述。

應(yīng)提供由ADS控制的所有輸出變量的列表，并在每種情況下解釋控制是直接控制還是通過另一個(gè)車輛系統(tǒng)，并定義對每個(gè)變量的控制范圍。

3.3 ADS布局和示意圖

（a）組件清單

應(yīng)提供一份清單，包括ADS的所有單元，并提及實(shí)現(xiàn)相關(guān)控制功能所需的其他車輛系統(tǒng)。應(yīng)提供顯示這些單元及其關(guān)系的概要示意圖，明確各單元分布和互連關(guān)系。

至少要包括：（i）感知和物體檢測，包括測繪和定位；（ii）決策特征；（iii）遠(yuǎn)程監(jiān)控中心的遠(yuǎn)程監(jiān)控和遠(yuǎn)程監(jiān)測（如適用）；（iv）信息顯示/用戶交互界面；（v）數(shù)據(jù)存儲系統(tǒng)（例如，DSSAD）。

（b）單元的職能

應(yīng)概述ADS每個(gè)單元的功能，并顯示每個(gè)的單元與其他單元或其他車輛系統(tǒng)連接信號。這可以通過帶標(biāo)簽的框圖或其他示意圖提供，也可以通過圖表輔助的描述來提供。ADS內(nèi)的互連應(yīng)由電力傳輸鏈路的電路圖、氣動或液壓傳輸設(shè)備的管道圖和機(jī)械鏈接的簡化圖解布局顯示，還應(yīng)顯示進(jìn)出其他系統(tǒng)的傳輸鏈路。

單元之間的傳輸鏈路和所承載的信號之間應(yīng)該有明確的對應(yīng)關(guān)系，當(dāng)優(yōu)先級可能影響性能或安全時(shí)，應(yīng)說明多路復(fù)用數(shù)據(jù)路徑上信號的優(yōu)先級。

（c）單元識別

每個(gè)單元都應(yīng)清晰明確地可識別（例如，通過標(biāo)記硬件版本號、軟件版本號、軟件標(biāo)識），這應(yīng)為識別相關(guān)留檔中的硬件和軟件提供明確的方法。

如果可以在不需要更換標(biāo)記或組件的情況下更改軟件版本，則必須通過新發(fā)布的軟件來更新軟件標(biāo)識（例如哈希值）。存在于在單個(gè)控制單元內(nèi)，但在圖中以多個(gè)塊顯示的情況，為了清晰和易于解釋，應(yīng)僅使用單個(gè)硬件標(biāo)識標(biāo)記。標(biāo)識定義了硬件和軟件版本，并且在軟件更改和改變單元功能的情況下，與該軟件相關(guān)的標(biāo)識符也應(yīng)更改。

（d）傳感系統(tǒng)組件的安裝

制造商應(yīng)提供構(gòu)成傳感系統(tǒng)的各個(gè)組件將采用的安裝方式的信息。這些安裝方式應(yīng)包括但不限于組件在車輛上的位置、組件周圍的材料、組件周圍材料的尺寸和幾何形狀以及組件周圍材料的表面光潔度。該信息還應(yīng)包括對ADS性能至關(guān)重要的安裝規(guī)格，例如安裝角度的公差。傳感系統(tǒng)各個(gè)組件或安裝方式的任何更改都應(yīng)在留檔中更新。

（e）ADS規(guī)格：

（i）描述正常、臨界和故障情況下的ADS規(guī)范、驗(yàn)收標(biāo)準(zhǔn)以及符合這些標(biāo)準(zhǔn)的證明；

（ii）應(yīng)用的法規(guī)、規(guī)范和標(biāo)準(zhǔn)清單。

（f）維護(hù)和維修界面；防止未經(jīng)授權(quán)的訪問：