1.在役監(jiān)控

2.數(shù)據(jù)分析

3.性能監(jiān)測

4.在役報告

5.事件報告

6.報告工具

1.在役監(jiān)控

 制造商和ADS車隊經營者（如適用）應建立旨在收集和分析車輛數(shù)據(jù)以及來自其他來源的數(shù)據(jù)的監(jiān)測程序。它應提供ADS在役安全性能的證據(jù)和審計支柱制定的安全管理體系SMS要求的審計結果的確認性證據(jù)。（注：在役監(jiān)測旨在適用于所有ADS功能，而不是制造商或車隊經營者選擇的子集。）

監(jiān)控計劃應包括數(shù)據(jù)采集策略、數(shù)據(jù)存儲策略、數(shù)據(jù)訪問策略、數(shù)據(jù)安全和保護策略。

數(shù)據(jù)采集策略應確保數(shù)據(jù)的代表性收集，足以監(jiān)控ADS的在役安全性能。

數(shù)據(jù)存儲策略應確保數(shù)據(jù)集被安全存儲保留，直到與該事件相關的糾正措施和審查流程已完成。此外，該策略應確保存儲必要的數(shù)據(jù)可以進行長期趨勢分析。

 數(shù)據(jù)訪問、安全和保護策略應確保僅允許授權人員訪問信息，并包含確保數(shù)據(jù)安全和保護的保障措施。

 數(shù)據(jù)監(jiān)控程序應允許制造商和車隊運營商（如適用）：

（a）識別運營風險領域并量化當前安全邊際（例如服務內安全性能監(jiān)控）；

（b）確定ADS何時防止事件/事故（例如，后退到最小風險狀態(tài)MRC、避免碰撞、緊急機動）；

（c）通過收集數(shù)據(jù)來表征和分析事件，識別和量化運營風險；

（d）使用指標和閾值評估安全風險，并發(fā)現(xiàn)趨勢，如果該趨勢持續(xù)下去，則表明出現(xiàn)了不可接受的風險；

（e）在發(fā)現(xiàn)或預測不可接受的風險時，制定補救措施程序；

（f）確認在役安全水平和任何補救措施的有效性。

2.數(shù)據(jù)分析

 數(shù)據(jù)監(jiān)控程序應確保以足夠的頻率執(zhí)行數(shù)據(jù)分析，以便能夠及時采取補救措施并符合報告要求。

數(shù)據(jù)分析技術應至少包括以下內容：

（a）例行測量：應收集一系列表征每次行程的參數(shù)（平均速度、換道次數(shù)、通行效率等），并進行比較分析。這些測量應旨在達到或超過相關的觸發(fā)閾值（例如超標監(jiān)測關注的車輛性能）之前識別和監(jiān)測新興風險趨勢；

（b）超標監(jiān)測：應找到ADS安全操作的主要感興趣領域，例如傳感器老化衰減、系統(tǒng)延遲、新增無法識別的交通標識牌、胎壓異常等，目的是尋找與車輛安全性能要求的極限偏差。通常，主要感興趣的領域來自于ADS服役之前市場存在的最重大的風險。但是，應持續(xù)審查以反映當前的運營情況（例如，超速、險情、急剎車等）；

（c）事件分析：記錄的數(shù)據(jù)應能夠表征和調查下文中列出的所有事件（例如，與ADS執(zhí)行DDT有關的事件、與ADS安全交互有關的事件、與ADS技術條件（包括保養(yǎng)和修理）有關的事件、與新識別的安全相關場景有關的事件等）；

（d）統(tǒng)計數(shù)據(jù)：應收集系列數(shù)據(jù)以支持分析過程并提供額外信息，這些數(shù)據(jù)應提供生成速率和趨勢的信息（例如行駛里程、營業(yè)時間）。

3.性能監(jiān)測

 可以通過引入UN ECE R160事件數(shù)據(jù)記錄器（EDR）和自動駕駛數(shù)據(jù)存儲系統(tǒng)（DSSAD）對車輛數(shù)據(jù)采集的要求進行ISMR的工作。在這些要求被定義之前，建議制造商對從ADS車輛收集和上傳的數(shù)據(jù)元素進行分析和處理，以允許報告ISMR定義的指標。

此外，訪問EDR數(shù)據(jù)可能會受到數(shù)據(jù)隱私問題的影響，因為數(shù)據(jù)通常由車主擁有，這就需要為ISMR提供專門的數(shù)據(jù)采集條款。

制造商還需要收集與典型操作相關的數(shù)據(jù)，例如經銷商報告、客戶報告等。

監(jiān)測ADS性能的目的是：

 根據(jù)監(jiān)測結果，制造商應評估：

4.在役報告

事件報告的主要目的是確定ADS安全性能的可能改進，而不是歸因于責備或責任。

 制造商應根據(jù)管理當局的規(guī)定，按照本節(jié)和“事件報告”和“上報工具”章節(jié)的要求，提交在役安全表現(xiàn)的兩種類型的報告，即短期報告和周期性報告。

 對于安全和重要性比較高的事項，需要使用短期報告上報事故和安全問題，以便制造商采取補救措施，包括：

       （a）未能滿足安全要求的跡象；

       （b）ADS制造商或OEM已知的涉及ADS的重大事件；

       （c）其他安全性能相關的問題。

在國家一級，如果ADS制造商意識到對公共安全構成直接風險的故障 /失效，應立即向監(jiān)管當局報告/通知。

制造商還應定期向安全監(jiān)管機構報告ADS性能指標和事件。

周期性報告應提供在役ADS安全表現(xiàn)的證據(jù)，特別是，它應該證明：

下文關于"事件報告"的章節(jié)提供了一份符合安全要求的緊急和非緊急事件清單。這代表了需要更詳細界定的一般感興趣的領域，同時考慮到建議向安全當局報告的每個要素的有用性、它們審查報告的數(shù)據(jù)量的能力以及存儲、收集和報告各種要素的可行性。

在調查期間，監(jiān)管當局應被告知數(shù)據(jù)處理（例如：濾波和調節(jié)）的程序，并就提供支持報告的數(shù)據(jù)所采取的處理步驟達成一致。必要時，監(jiān)管當局可核實ADS制造商所提供的信息，必要時可向執(zhí)法當局和/或ADS制造商提出建議，以糾正任何發(fā)現(xiàn)的構成不合理安全風險的原因。

如果發(fā)現(xiàn)嚴重的安全風險，安全機構可以采取臨時安全措施，包括立即限制或暫停相關操作，并要求采取行動恢復可接受的安全水平。

5.事件報告

制造商應按照管理局的要求，分兩部分提供短期和定期報告：

（a）按照下文中的模版提交的報告，其中包含與報告要求相關的摘要和信息；

（b）報告的基礎數(shù)據(jù)，通過規(guī)定的數(shù)據(jù)交換文件與當局交換。

制造商需要為每個緊急事件提交短期報告。短期報告應在制造商了解此事后一個月內提交，需要短期報告來提高對正在使用中的ADS的安全構成不合理風險的情況的認識。制造商必須在發(fā)現(xiàn)此類問題后立即通知，并在了解此事的30天內發(fā)布報告。

短期報告適用于關鍵事件期間或關鍵事件發(fā)生前30秒ADS功能處于激活狀態(tài)的自動駕駛車輛。

 應定期提交周期性報告，至少每年提交一次，以聚合數(shù)據(jù)的形式（例如，XX次/運行小時，XX次/每遠程駕駛小時）提交ADS的報告。

以下是根據(jù)ADS安全要求得出的事件清單，建議使用這些事件構成報告要求的基礎。對于每一次事件，其與短期和/或周期性報告的相關性在下表中標記。

6.報告工具

下文提供了統(tǒng)一的報告模板，報告模板旨在確保要報告的信息的統(tǒng)一并促進信息共享。

報告模板旨在確保向安全監(jiān)管當局提供一致和全面的信息，以促進報告計劃的有效應用?？梢愿鶕?jù)ADS用例考慮進一步細化信息的顆粒度。

報告應根據(jù)每個簽約主體適用的法律和報告行為者（制造商和/或運營商）可獲得的信息進行。

短期模板提供了在“短期報告”下標記的事件發(fā)生后應向當局提供的具有相應規(guī)范的信息列表。特別是，短期報告規(guī)定應有助于確定：

（a）ADS引起的與安全有關的事件；   

（b）原始驗證中未預見的交通情況，導致ADS行為與預期行為能力不一致；    

（c）ADS不符合ADS宣稱的安全要求；    

（d）需要解決的安全問題。

還應注意，短期模板中報告的信息應保密。

周期性報告模板提供了一份信息清單，其中包含相應的規(guī)范，應根據(jù)“周期性報告”下的事件每年向監(jiān)管當局提供。