1. ADS需要證明其安全性

2. 如何驗證ADS的安全性

3. ADS安全性原則

1. ADS需要證明其安全性

自動駕駛系統(tǒng)（ADS）必須證明其能夠安全地操作車輛、應對外部條件以及管理內(nèi)部故障的能力。此外，ADS的設計必須確保在整個車輛使用壽命期間的安全使用以及其使用者的安全。

為了確保ADS的安全能力得到證明，需要通過建立完整的交通場景庫來進行評估。該交通場景庫需要包括：正常場景、緊急場景和故障場景。每種交通狀況都需要根據(jù)其元素組合、風險和可用選項進行適當?shù)捻憫?

緊急場景：例如其他交通參與者造成的可能導致事故的非預期情況（未打轉向燈突然別車、對向車道忽然借本車道超車、前車貨物跌落等）。

正常場景下：ADS車輛不得造成交通事故或擾亂交通流。

緊急場景下：ADS車輛不得造成任何可合理預見和預防的導致傷亡的交通事故。

故障場景下：ADS車輛需確保系統(tǒng)安全，能夠應對損害ADS執(zhí)行整個DDT能力的系統(tǒng)故障。

在緊急場景中定義ADS的性能標準可能較為困難。在這種情況下，可以使用適當?shù)陌踩Ｐ蛠碓u估ADS的性能，使其在安全模型的范圍內(nèi)進行評估。

ADS的安全水平至少應與熟練且謹慎的人類駕駛員相當或更高。這一概念對于最小化ADS車輛使用者和其他道路使用者面臨的不合理安全風險至關重要。

制造商的ADS及其功能的安全案例將包括用于實施安全概念的設計流程描述，以及通過一系列證據(jù)有條理地展示ADS及其功能已通過足夠的安全驗證，以確保ADS性能中不存在不合理風險。

2. 如何驗證ADS的安全性

驗證ADS的能力是一項高度復雜的任務，僅通過一種驗證方法無法全面且有效地完成。因此，有必要采用多支柱方法來驗證ADS。

這些不同的驗證方法旨在組合使用，以產(chǎn)生高效、全面且連貫的ADS安全性能評估。

每種測試方法都有其自身的優(yōu)勢和局限性，例如不同的環(huán)境控制水平、環(huán)境保真度、可擴展性和成本，這些因素都應予以考慮。

在某些情況下，可能需要應用多種方法來評估ADS應對現(xiàn)實交通中可能出現(xiàn)的各種情況的能力。使用多種方法可以在不同ADS的多樣性中提供測試的靈活性、順序性和應用性，同時避免不必要的重復和重疊。

下圖展示了ADS安全要求、ODD分析和場景生成以及驗證支柱之間的關系。

(a) 仿真/虛擬測試
它使用不同類型的仿真工具鏈，以評估ADS在廣泛的虛擬場景中對安全要求的符合性，其中一些場景在現(xiàn)實世界中測試將極為困難甚至不可能。仿真/虛擬測試的可信度也包含在這一主題中。

(b) 場地測試它使用一個封閉的測試場地，包含各種場景元素，以測試ADS的能力和功能。

(c) 真實道路測試它使用公共道路來測試和評估ADS在實際交通條件下駕駛的能力。

(d) 審核/評估程序它們規(guī)定了制造商將如何使用文件向安全機構證明其ADS的能力，包括仿真、測試場地和/或現(xiàn)實世界測試。

審核將驗證與系統(tǒng)相關的危險和風險是否已被識別，并且是否已建立一致的安全設計理念。

審核還將驗證確保ADS在整個車輛生命周期內(nèi)滿足相關安全要求的健全流程/機制/策略（即安全管理體系SMS）是否到位。它還將評估不同評估支柱之間的互補性以及整體場景覆蓋范圍。

(e) 在役監(jiān)控和報告它涉及ADS投放市場后的在役安全性。它依賴于在實地收集車隊數(shù)據(jù)，以評估ADS在道路上運行時是否繼續(xù)保持安全。

這些數(shù)據(jù)收集還可以用于為共同場景數(shù)據(jù)庫補充來自實地的新場景，并允許整個ADS行業(yè)從重大的ADS事故/事件中學習。

3. ADS安全性原則

以下問題和原則清單，指導了WP.29及其相關附屬工作組內(nèi)關于自動駕駛車輛的討論和活動。其目的是捕捉監(jiān)管機構的共同利益和關切，提供工作的總體參數(shù)，并提供共同的定義和指導。

a) 系統(tǒng)安全：

當處于自動駕駛模式時，自動駕駛車輛應對駕駛員和其他道路使用者不存在不合理的安全風險，并確保遵守交通法規(guī)；

b) 故障安全響應：

自動駕駛車輛應能夠檢測其自身的故障或當[運行設計域（ODD）]的條件不再滿足時。在這種情況下，車輛應能夠自動（最小風險機動）過渡到最小風險狀態(tài)；

c) 人機界面（HMI）/操作員信息：

在駕駛員可能參與（例如接管請求）駕駛任務的情況下，自動駕駛車輛應包含駕駛員參與度監(jiān)測，以評估駕駛員對駕駛任務的意識和準備情況。

如果駕駛員需要重新獲得對車輛的適當控制，車輛應要求駕駛員接管駕駛任務。

此外，自動駕駛車輛應允許與其他道路使用者進行互動（例如通過車輛運行狀態(tài)的外部HMI等）；

d) 目標和事件檢測與響應（OEDR）：

自動駕駛車輛應能夠檢測并響應在[運行設計域（ODD）]中可能合理預期的目標和事件；

e) 運行設計域（ODD）：

制造商應記錄其車輛上可用的ODD以及車輛在規(guī)定的ODD內(nèi)的功能。

ODD應描述自動駕駛車輛打算以自動駕駛模式行駛的具體條件。

ODD至少應包括以下信息：道路類型；地理區(qū)域；速度范圍；環(huán)境條件（天氣以及白天/夜間）；以及其他領域限制；

f) 系統(tǒng)安全驗證：

制造商應展示基于系統(tǒng)工程方法的健全設計和驗證過程，目標是設計出不存在不合理的安全風險的自動駕駛系統(tǒng)（ADS），并確保遵守交通法規(guī)和ADS法規(guī)中列出的原則。

設計和驗證方法應包括對ADS、OEDR以及ADS將被集成的整體車輛設計的危險分析和安全風險評估。

如適用，應將更廣泛的交通生態(tài)系統(tǒng)納入此分析中。設計和驗證方法應展示自動駕駛車輛在正常運行期間、碰撞避免情況下的行為能力以及后備策略的性能。測試方法可能包括仿真、測試場地和道路測試的組合；

g) 網(wǎng)絡安全：

自動駕駛車輛應按照網(wǎng)絡車輛物理系統(tǒng)的既定最佳實踐，受到針對網(wǎng)絡攻擊的保護。制造商應展示他們?nèi)绾螌④囕v網(wǎng)絡安全考慮納入ADS中，包括所有行動、變更、設計選擇、分析以及相關測試，并確保數(shù)據(jù)在健全的文檔版本控制環(huán)境中可追溯；

h) 軟件更新：

制造商應確保系統(tǒng)更新以安全可靠的方式按需進行，并根據(jù)需要提供售后維修和改裝；

i) 事件數(shù)據(jù)記錄器（EDR）和自動駕駛車輛數(shù)據(jù)存儲系統(tǒng)（DSSAD）：

自動駕駛車輛應具備收集和記錄與系統(tǒng)狀態(tài)、故障發(fā)生、退化或故障相關的必要數(shù)據(jù)的能力，這些數(shù)據(jù)可用于確定任何碰撞的原因，并識別自動駕駛系統(tǒng)和駕駛員的狀態(tài)。EDR和DSSAD之間的差異識別將被確定；

暫未被WP.29列入優(yōu)先考慮的事項：
j) 車輛維護和檢查：

通過維護和檢查與自動駕駛車輛相關的措施，確保在用車輛的車輛安全。此外，鼓勵制造商提供便于在碰撞后維護和修理ADS的文檔。此類文檔可能會確定確保自動駕駛車輛在修理后安全運行所需的設備和流程；

k) 消費者教育和培訓：

制造商應開發(fā)、記錄并維護員工、經(jīng)銷商、分銷商和消費者的教育和培訓計劃，以解決自動駕駛車輛的使用和操作與傳統(tǒng)車輛預期的不同之處；

l) 碰撞安全性和兼容性：

鑒于自動駕駛車輛和傳統(tǒng)車輛將在公共道路上混合行駛，應保護自動駕駛車輛的乘員免受與其他車輛的碰撞；

m) 碰撞后自動駕駛車輛行為：

自動駕駛車輛應在參與碰撞后立即恢復到安全狀態(tài)。將車輛置于安全狀態(tài)包括考慮關閉燃油泵、移除動力、將車輛移至道路外的安全位置以及切斷電力等。至關重要的是，ADS應具備與運營中心或碰撞通知中心進行互動的能力；

n) 人工智能：

車輛自動化基于硬件和軟件的結合。聯(lián)合國ADS法規(guī)中的要求基于該軟件不包括在線車內(nèi)學習人工智能的條件。

人工智能可用于在工程環(huán)境中分析和改進ADS軟件。通過軟件更新（OTA或本地連接）可以將此更新安裝到車輛中，再次在運行此版本時沒有車內(nèi)學習功能；［這里是不是說，賣給客戶的車輛，客戶使用的過程，不能用于開發(fā)/完善ADS系統(tǒng)？］

o) 法規(guī)符合性：

ADS車輛應符合地區(qū)法規(guī)（例如數(shù)據(jù)保護、隱私保護等）。