日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

自動駕駛合規(guī)寶典13~審計支柱(下)

2024-08-03 16:01:13·  來源:智駕小強  
 

1.審計支柱的目的和要素

2.制造商需要提供的文件

3.ADS安全評估


3.4 安全概念和制造商對安全概念的驗證


制造商應提供一個安全案例,確認并提供證據(jù)證明ADS對ADS車輛用戶和其他道路使用者沒有不合理的風險。安全案例的一部分是安全概念(功能安全、預期功能安全、信息安全、網(wǎng)絡安全、數(shù)據(jù)安全等),它描述了ADS設計中采用的措施,以實現(xiàn)避免功能和操作安全方面的不合理風險的目標。除了這個描述性檔留之外,安全案例還包括一個有證據(jù)支持的結構化演示,包括驗證測試,證明ADS將沒有不合理的風險。關于ADS中使用的軟件,應解釋概要架構,并確定使用的設計方法和工具。制造商應展示ADS功能是如何在設計和開發(fā)過程中實現(xiàn)和檢查的證據(jù)。


安全案例的安全概念要素應解釋ADS中內置的設計條款,以確保功能和操作安全。ADS中可能的設計條款包括:


(a)使用部分功能的后備操作(或故障安全);

(b)使用單獨系統(tǒng)的冗余;

(c)ADS診斷系統(tǒng)可識別的潛在故障清單

(d)取消部分或全部自動駕駛功能。


圖片


如果所選方案為在某些故障條件下(例如嚴重故障)采用部分功能的后備操作模式,則應說明導致使用部分功能的所有條件(例如故障列表)。應定義由此產生的ADS行為和能力(例如立即實現(xiàn)最小風險條件)以及向駕駛員/遠程監(jiān)控中心發(fā)出的警告策略(如果適用)。


如果所選方案為第二種(冗余備份)方式來實現(xiàn)動態(tài)駕駛任務的性能,需要解釋轉換機制的原則、冗余的邏輯和級別以及備份檢查功能,并定義備份有效性的最終限制。


如果所選方案為取消自動駕駛功能,需要按照相關規(guī)定執(zhí)行,并應禁止與此功能相關的所有相應輸出控制信號。


留檔應附有分析,顯示ADS將如何減輕或避免可能影響ADS車輛使用者和其他道路使用者安全的危險(功能安全)。它應顯示制造商將如何管理未知的危險情況(預期功能安全),以控制剩余風險水平。所選擇的分析方法應由制造商制定,并在上市前提供給相關當局進行評估。


認證官/審計師應對這些分析方法的應用進行評估,包括:


(a)概念(車輛)層面的安全方法檢查;

(b)基于適合系統(tǒng)安全的危險/風險分析。

(c)在ADS層面檢查安全方法,包括自上而下(從可能的危險到設計)和自下而上(從設計到可能的危險)。安全評估可以基于故障模式和影響分析(FMEA)、故障樹分析(FTA)和系統(tǒng)理論過程分析(STPA)或任何適合系統(tǒng)功能和操作安全的類似過程;

(d)應對供應商的驗證計劃和結果的留檔檢查,包括采用的驗收標準。它應包括適合驗證的測試,例如,硬件在環(huán)(HIL)測試、車輛道路運行測試、與真實最終用戶的交互測試或任何其他適合驗證的測試。


審核員/評估員應對物理測試(試驗場軌道測試和/或真實道路測試)的環(huán)境進行評估,并應評估制造商提供的仿真工具鏈的留檔。審核員/評估員可應對完整的集成工具進行測試,以評估仿真工具鏈的可信度。驗證的結果可以通過分析不同測試(仿真、軌道、真實)的覆蓋率并為各種指標設置最小覆蓋率閾值來評估。


有關仿真工具鏈的可信度評估的更多信息,詳見下文《仿真工具鏈的可信度評估》。


留檔確認在適用情況下至少涵蓋以下每一項:


(a)與其他車輛系統(tǒng)交互相關的問題(例如制動、轉向);

(b)自動駕駛系統(tǒng)的故障以及由此產生的風險緩解策略;


(c)當一個系統(tǒng)可能因操作干擾而對ADS車輛使用者和其他道路使用者造成不合理的安全風險時,ODD內的情況,例如:

(i)對車輛環(huán)境缺乏理解或理解錯誤;
(ii)不了解駕駛員、ADS車輛使用者或其他道路使用者的反應;
(iii)控制不足;
(iv)具有挑戰(zhàn)性的場景;


(d)確定ODD邊界內的相關場景以及用于選擇場景和選擇驗證方法論和方法的方法論;

(e)執(zhí)行動態(tài)駕駛任務(例如緊急機動)、與其他道路使用者的互動以及遵守交通規(guī)則的決策過程;

(f)可能影響車輛安全的網(wǎng)絡攻擊;

(g)合理可預見的駕駛員誤用(如果適用)(例如,使用駕駛員可用性識別系統(tǒng)和關于如何建立可用性標準的解釋),駕駛員的錯誤或誤解(如果適用)(例如,無意override)和故意篡改ADS。


安全案例應包括支持實施安全概念的論據(jù)和證據(jù),這些論據(jù)和證據(jù)應易于理解和合乎邏輯,并涵蓋ADS的所有不同功能。留檔還應證明驗證措施足夠穩(wěn)健(例如,作為所選驗證方法的一部分,對所選場景的合理覆蓋率),以證明安全性并已完成。


制造商應留檔提供證據(jù),證明車輛在操作設計域ODD內對ADS車輛使用者和其他道路使用者沒有不合理的風險。這可以通過以下方式實現(xiàn):


(a)由驗證結果支持的總體驗證目標(即驗證接受標準),驗證結果表明,與ODD內的人工駕駛車輛相比,ADS投入使用不會增加ADS車輛使用者和其他道路使用者的總體風險水平;和

(b)針對特定場景的方法表明,對于每個安全相關場景,與ODD內的手動駕駛車輛相比,ADS不會增加ADS車輛使用者和其他道路使用者的總體風險水平。


安全案例應提供足夠的留檔,使監(jiān)管機構能夠通過對案例的評估和可能的測試來核實制造商已成功實施適用于ADS的安全概念。建議留檔逐項列出車輛上正在監(jiān)測的參數(shù)(參見R160-EDR法規(guī)和DSSAD法規(guī)),并應列出支持已滿足適用安全要求的證據(jù)。該留檔還應描述為確保ADS性能受到環(huán)境條件(例如,氣候、溫度、灰塵進入、水進入、冰雪覆蓋等)的影響時不會對ADS用戶和其他道路使用者造成不合理風險而采取的措施。


3.5 數(shù)據(jù)存儲系統(tǒng)


應留檔說明:

(a)數(shù)據(jù)存儲位置和碰撞生存能力;

(b)車輛運行和事故期間記錄的數(shù)據(jù)清單;

(c)數(shù)據(jù)安全和防止未經授權的訪問或使用;

(d)對數(shù)據(jù)進行授權訪問的手段和工具。


3.6 網(wǎng)絡安全和軟件更新管理


應留檔描述:

(a)網(wǎng)絡安全管理系統(tǒng)CSMS和軟件更新管理系統(tǒng)SUMS;
(b)風險識別、緩解措施;
(c)次要風險和殘余風險評估;
(d)為符合立法要求而實施的軟件更新程序和管理(R155、R156)。


3.7 向相關者(所有者、用戶、運營商等)提供的信息


留檔應有助于相關者了解系統(tǒng)的功能和操作,至少包括:


(a)ADS特征、能力和限制的操作描述(信息還應提及具體情景和/或ODD);
(b)正確使用ADS及其功能的條款;
(c)ADS的啟用和停用說明,明確解釋用戶啟動的停用和系統(tǒng)啟動的停用之間的區(qū)別;
(d)當ADS(功能)處于活動狀態(tài)時,驅動程序/用戶和ADS的角色和職責的描述;
(e)關于車輛動態(tài)控制中ADS車輛用戶干預的ADS反應的信息;
(f)允許角色轉換的描述以及這些轉換的程序。
(g)當ADS功能處于活動狀態(tài)時,允許的非駕駛相關活動NDRAs(Non-Driving Related Activities )的一般概述;
(h)用戶的安全注意事項和安全相關信息;
(i)與HMI指示相關的信息:
(i)視覺信號,圖標;
(ii)聽覺信號;
(iii)觸覺信號;
(j)ADS發(fā)生故障時應采取的安全措施;
(k)維護操作的范圍、時間和頻率;
(l)進行定期技術檢查的手段;
(m)維護、修理和定期技術檢查的文件和模板;
(n)符合技術功能限值的預防性聲明;
(o)數(shù)據(jù)保護和數(shù)據(jù)安全功能。



分享到:
 
反對 0 舉報 0 收藏 0 評論 0
滬ICP備11026917號-25