关于根据第15X号法规对ALKS车辆类型型号认证的型号认证通知第……号附录
车辆制造商声明ALKS评估符合当地交通规则的缔约方地区:
*可以在线获得适用联合国15X号法规的缔约方清单,地址:https://treaties.un.org/Pages/ViewDetails.aspx?src=https://www.auto-testing.net/skin/defaultnew2020/image/nopic.gif 15[X]&chapter=11&clang=_en
根据上图认证标识(贴在车辆上),有关ALKS车辆型号已根据联合国第15X号法规在荷兰(E4)认证(认证号:No.002439)。认证号表示:认证是根据联合国第15X号法规原始版本中的要求授予的。
模型B
(请参阅本法规第4.5节)
根据上图认证标识(贴在车辆上),有关车辆型号已根据联合国第15X号法规和联合国第31号法规1(UN Regulation No. 31)在荷兰(E4)认证。认证号表示:在分别获得认证当日,联合国第15X号法规是其原始版本,联合国第31号法规其中包括02系列修改。
1第二个法规编号仅作为示例给出。
适用于自动车道保持系统(ALKS)功能和运行安全方面的特殊要求
本附件旨在确保,制造商在设计和开发过程中,对自动化系统的功能和运行安全进行了合理全面的考虑,自动化系统具备ALKS法规规定的功能;将继续在车型全生命周期内(设计、开发、生产、现场操作、退役)进行这方面的考虑。
制造商必须将本附件包含的说明书,披露给型号认证机构或代表其行事的技术服务部门(以下称为型号认证部门),以便型号认证。
说明书应表明,自动车道保持系统符合本联合国法规中规定的性能要求,并且系统设计和开发不会对驾驶员、乘客和其他道路使用者造成不合理的安全风险。
负责认证的型号认证部门,应通过有针对性的抽查和测试,来验证说明书提供的论据是否足够充足,并且说明书中所述的设计和流程是否实际上是由制造商实施的。
尽管根据提供的说明书、证据和流程审核/产品评估(符合本法规有关的型号认证部门的要求),评估后的自动车道保持系统的剩余风险水平,被认定为符合车型应用的基本标准,但根据本法规的要求,在自动车道保持系统使用寿命期间内,整车安全仍由申请认证的制造商负责。
本附件有关定义如下:
2.1 “系统”是指提供自动驾驶功能的“高级电子控制”系统及其电子控制系统,也包括本自动车道保持功能法规范围以外的、与其他系统互联的传输链路。
2.2 “安全方案”是指系统中设计的措施,例如,在电子单元内,可以使车辆在故障和非故障条件下运行,而不会对驾驶员、乘客和其他道路使用者造成不合理的安全风险。安全方案还包括车辆重要功能的部分运行甚至后备系统的备选方案。
2.3 “电子控制系统”是指通过电子数据处理,来配合生产规定的自动车道保持系统的单元组合。此类系统通常由软件控制,由分立功能组件(例如,传感器、电子控制单元和执行器)组成,并通过传输链路进行连接,可以包括机械、电气动或电液压元件。
2.4 “高级电子控制”系统是指采用处理和/或感知设备来实现动态驾驶任务的系统。
2.5 “单元”是指本附件规定的系统组件的最小划分。出于识别、分析或替换的目的,这些组件的组合将被视为单个实体。
2.6“传输链路”是指用于分布式单元互连的设备,用于传输信号、运行数据或能源供应。该设备通常是电气设备,但在某种程度上可以是机械、气动或液压设备。
2.7 “控制范围”是指输出变量,定义了系统可以执行控制的范围。
2.8 “功能运行的边界”定义了系统能够执行动态驾驶任务的外部物理极限的边界(即,包括接管请求和最低风险控制)。
2.9 自动车道保持系统的“运行设计域(ODD)”在本法规确定的范围内,定义了特定的运行条件(例如,环境、地理、时间、交通、基础设施、速度范围、天气等条件),在这些条件下,自动车道保持系统可在无需驾驶员干预的情况下运行。
2.10 “自动驾驶功能”是指能够执行车辆动态驾驶任务的“系统”的功能。
2.11 “控制策略”是指应对一组特定的环境和/或运行条件(例如,路面状况、交通强度和其他道路使用者、不利的天气条件等),确保“系统”功能稳健安全运行的策略,可包括功能的自动停用或暂时的性能约束(例如,降低最大运行速度等)。
2.12 “功能安全”:在因电气/电子系统故障行为引起危险(由于系统故障导致的安全危险)的情况下,不存在不合理的风险。
2.13 “故障”:可能导致元件(系统、组件、软件)或项目(执行车辆功能的系统或系统组合)失效的异常情况。
2.14 “失效”是指元件或项目预期行为的终止。
2.15 “运行安全”是指在预期功能的功能不足(例如,错误/漏检)、运行干扰(例如,雾、雨、阴影、阳光、基础设施等环境条件)带来危险,或驾驶员、乘客和其他道路使用者造成合理可预见的滥用/错误(安全隐患——无系统故障)的情况下,不存在不合理的风险。
2.16 “不合理的风险”是指与熟练、谨慎手动驾驶相比,驾驶员、乘员和其他道路使用者总体水平上升的风险。
制造商应提供一个文件包,说明“系统”的基本设计,以及系统与其他车辆系统连接的方法或直接控制输出变量的方式。应说明制造商提供的“系统”的功能,包括控制策略和安全方案。说明书应简短,但应表明,设计和开发基于所涉及的所有系统领域的专业知识。对于定期技术检测,说明书应说明如何检查“系统”当前运行状态。可通过使用标准化电子通讯接口(至少是标准接口(OBD端口)),读取有关软件版本和故障警告信号状态的信息。型号认证部门应评估文件包,对“系统”进行以下说明:(a)其设计和开发,旨在能够在声明的运行设计域(ODD)和边界范围内,使驾驶员、乘员和其他道路使用者避免不合理的风险;(c)是根据制造商声明的开发过程/方法开发的,并且至少包括第3.4.4节中列出的步骤。(a)型号认证申请:在型号认证申请时,提交给型号认证部门的信息文件应包含附录2中所列项目的简要信息。这是认证的一部分。(b)认证的正式文件包,包含第3节中列出的资料(第3.4.4节除外),应提供给型号认证部门,进行产品评估/流程审核。型号认证部门应将此文件包用作本附件第4节中规定的验证流程的基本参考。型号认证部门应确保该文件包的有效期至少为10年,从该车型完全停产的时间算起。(c)第3.4.4节所述的其他机密资料和分析数据(知识产权)应由制造商保留,但在产品评估/流程审核时,应公开以便检测(例如,在制造商的工程设施现场)。制造商应确保,自该车型完全停产之日的10年内,这些资料和分析数据一直有效。应提供说明书简单介绍“系统”所有功能,包括控制策略,以及在运行设计域(ODD)和自动车道保持系统设计运行边界范围内,采用的执行动态驾驶任务的方法,包括对执行控制机制的声明。制造商应说明系统与驾驶员、乘员和其他道路使用者以及人机界面(HMI)之间的交互。在生产车辆时集成硬件和软件的任何已启用或已禁用的自动驾驶功能,制造商应在将其应用于车辆之前,声明符合本附件的要求。如果执行了连续学习算法,制造商还应记录数据处理。3.2.1 应提供所有输入变量和感知变量的列表,定义这些变量的工作范围,并说明每个变量是如何影响系统行为的。3.2.2 应提供“系统”控制的所有输出变量的列表,并说明在不同情况下,是直接控制还是通过另一个车辆系统进行控制的。应定义每个此类变量所执行控制的范围(第2.7节)。3.2.3 在任何适用自动车道保持系统性能的情况下,应定义功能运行边界的限值,包括ODD限值。3.2.4 当达到运行设计域(ODD)限度时,应说明驾驶员交互方案,包括系统向驾驶员提出接管请求的情况类型列表。3.2.5 应提供有关激活、超控或停用系统方法的信息,包括如何保护系统免受意外停用影响的策略。这还应包括系统如何检测到有驾驶员接管驾驶控制的相关信息,以及所用参数的规格和书面证据,以识别驾驶员的注意力以及对转向阈值的影响。应提供一个清单,整理“系统”所有单元,并提及实现上述控制功能所需的其他车辆系统。应提供组合这些单元的大纲示意图,并清楚说明设备分布和互连。(c)通过远程监管中心进行远程监管和远程监控(如适用)应概述“系统”每个单元的功能,并应说明将系统与其他单元或其他车辆系统链接的信号。可以通过标记框图或其他示意图,或通示意图解释来说明。3.3.3 应通过电气传输链路的电路图、气动或液压传输设备的管道图以及机械联动装置的示意简图,来说明“系统”内部的互连。还应说明系统与其他系统之间的传输链路。3.3.4 传输链路与单元间传输的信号之间应有明确的对应关系。在任何优先级可能影响性能或安全性的情况下,都应说明多路复用数据路径上信号的优先级。每个单元应清晰可辨(例如,通过标记硬件、标记软件内容或软件输出),以提供相应的硬件和文件关联。如果无需更改标记或组件即可更改软件版本,则只能通过软件输出来标识软件。如果功能组合在单个单元或实际上在单个计算机中,但为了通过方块图便于清楚说明功能,则应仅使用单个硬件标识标记。制造商应通过使用此标识,确认所提供的设备符合相应的文件要求。3.3.5.1 该标识定义了硬件版本和软件版本,并且在软件版本发生更改时(例如,就本法规而言,改变单元功能),还应更改该标识。制造商应提供有关安装选项的信息,安装选项将用于构成感知系统的各个组件。一旦安装在车辆中,这些选项应包括但不限于:部件在车辆中/车辆上的位置、部件周围的材料、部件周围材料的尺寸和几何形状以及部件周围材料的表面光洁度。该信息还应包括对系统性能至关重要的安装规范,例如,安装角度公差。更改感知系统的各个组件或安装选项,应通知型号认证部门,并接受进一步评估。3.4.1 制造商应提供声明,确认“系统”不会给驾驶员、乘员和其他道路使用者带来不合理的风险。3.4.2 对于“系统”中使用的软件,应说明其整体架构,并应确定其所使用的设计方法和工具(请参阅第3.5.1节)。在设计和开发过程中,制造商应提供证据,证明其确定系统逻辑实现的方式。3.4.3 制造商应向型号认证部门说明,“系统”中内置的设计工具,以确保功能和运行安全。以下为“系统”中可能内置的设计工具举例:3.4.3.1 如果所选工具在某些故障条件下(例如,严重故障的情况下),选择了部分性能运行模式,则应说明这些条件(例如,严重故障的类型),并应定义由此产生的有效性极限(例如,立即启动最低风险控制),以及对驾驶员的警告策略。3.4.3.2 如果所选工具选择第二种方式(备用)来实现动态驾驶任务的执行,则应说明转换机制的原理、冗余的逻辑和级别以及任何内置的备用检查功能,并应定义备份有效性极限。3.4.3.3 如果所选工具选择取消自动驾驶功能,则应按照本法规的相关规定进行取消。与该功能相关的所有相应输出控制信号均应被禁止。3.4.4 应通过总体分析,说明该系统将如何减轻或避免对驾驶员、乘员和其他道路使用者带来安全危险,以支持该说明书。所选分析方法应由制造商建立并维护,并应在型号认证时开放给型号认证部门进行检测。(b)系统级别安全方法检测包括自上而下的方法(从可能的危险到设计)和自下而上的方法(从设计到可能的危险)。安全方法可以基于失效模式与影响分析(FMEA)、故障树分析(FTA)以及系统理论过程分析(STPA),或适用于系统功能和运行安全的任何类似的流程。(c)核实/验证计划和结果检测,包括适用的验收标准。这应包括适合于验证的验证测试,例如,硬件在环(HIL)测试、车辆道路运行测试以及实际最终用户测试或任何其他适用于核实/验证的测试。可以通过分析不同测试的覆盖率,并为各种指标设置最小覆盖率阈值,来评估核实和验证的结果。检测应确保在(a)-(c)范围内,在适用的情况下,至少覆盖以下各项中的其中一项:(i)与其他车辆系统交互(例如,制动、转向等)相关的问题;(ii)自动车道保持系统的故障和系统的风险缓解措施;(iii)由于操作干扰(例如,对车辆环境了解不足或理解错误、对驾驶员、乘员或其他道路使用者的反应缺乏了解、控制不力、高难度场景等),在ODD范围内,系统可能给驾驶员、乘员和其他道路使用者带来不合理的安全风险。(iv)边界条件内,确定相关场景以及用于选择场景的管理方法和所选的验证工具。(v)决策过程导致动态驾驶任务执行(例如,紧急操作),以便与其他道路使用者进行交互并符合交通规则。(vi)驾驶员合理的可预见的误用(例如,驾驶员可用性识别系统、说明如何建立可用性标准等)、驾驶员的错误或误解(例如,无意识的超控)以及系统的故意篡改。(vii)网络攻击对车辆安全的影响(可以根据联合国第15Z号法规(网络安全和网络安全管理系统法规),通过分析来完成)。认证机构的评估应包括对选定危害(或网络威胁)的抽查,以证明支持安全方案的论证是可理解的、合乎逻辑的,并能在系统不同功能中得以实施。评估还应核实验证计划是否足够成熟展示其安全性(例如,通过所选验证工具,对所选测试场景进行合理覆盖)、是否已经完成。应证明车辆不会对驾驶员造成不合理的风险;以及不会对运行设计域(ODD)中的车辆乘员和其他道路使用者造成不合理的风险,即通过以下方式:(a)验证结果支持的总体验证目标(即验证验收标准),表明自动车道保持系统投入使用,相比手动驾驶车辆,总体上不会提高驾驶员、乘员和其他道路使用者的风险水平;以及(b)一种场景特定的方法,表明在每种安全相关的场景中,相比手动驾驶车辆,该系统总体上不会提高驾驶员、乘员和其他道路使用者的风险水平。型号认证部门应进行或要求进行第4节中规定的测试,以验证安全方案。3.4.4.1 该说明书应逐项列出被监测的参数,并应对本附件中第3.4.4节中定义的每种失效条件进行阐述,将警告信号发送给驾驶员/乘员/其他道路使用者和/或服务/技术检测人员。3.4.4.2 该说明书还应说明,在“系统”性能受到环境条件影响时(例如,气候、温度,灰尘进入、进水、结冰等),实施的措施可确保“系统”不会对驾驶员、乘员和其他道路使用者造成不合理风险。3.5.1 对于“系统”中使用的软件和硬件,在安全管理体系方面,制造商应向型号认可部门说明,在整个产品生命周期中(设计、开发、生产以及运行,包括遵守交通规则和退役),有效的过程、方法和工具是已经到位、是最新的,并在组织内部执行以管理安全性和持续合规性。3.5.2 应建立设计和开发流程,包括安全管理体系、管理要求、要求实施、测试、故障跟踪、补救和发布。3.5.3 制造商应在负责功能/运行安全、网络安全以及与实现汽车安全相关的任何其他相关学科的制造商部门之间,建立并维持有效的沟通渠道。3.5.4 制造商应建立流程,监测因启用自动车道保持系统引起的与安全相关的事故/碰撞,管理注册后潜在的安全相关间隙(闭环场景监测)并更新车辆。这些流程应在发生严重事故时(例如,与其他道路使用者碰撞以及潜在的安全相关间隙),向型号认证部门报告。3.5.5 制造商应证明,进行定期、独立的内部流程审核,以确保根据第3.5.1节至第3.5.4节建立的流程实现统一实施。3.5.6 制造商应与供应商一道,将合理的安排(例如,合同安排、清晰的接口、质量管理体系等)落实到位,以确保供应商安全管理体系符合第3.5.1节、第3.5.2节、第3.5.3节以及第3.5.5节的要求(车辆相关方面除外,例如,“运行”和“退役”)。4.1 第3节要求,“系统”的功能运行应在文件中说明,并按以下方式进行测试:型号认证部门应验证非失效条件下的“系统”,在测试场上测试第3.2节中制造商所述的一系列选定功能,并检查系统在实际驾驶条件下的整体行为,包括是否遵守交通规则。根据本附件,测试应侧重于本法规《附件五》中已进行的测试。4.1.1.1 验证结果应与在第3.2节中制造商提供的说明书(包括控制策略)相符,并应符合本法规的要求。应通过对电气单元或机械元件施加相应的输出信号,以模拟单元内部失效的影响,在任何独立单元故障的影响下,检查“系统”的反应。型号认证部门应至少对一个独立单元进行检查,但不得检查“系统”对多个独立单元同时失效时的反应。型号认证部门应验证,这些测试是否包括可能影响车辆可控制性和用户信息的方面(HMI方面,例如接管场景)。4.1.2.1 型号认证部门还应检查一些本法规定义的、对目标和事件探测与响应(OEDR)以及系统决策和HMI功能特性描述至关重要的场景(例如,难以探测的目标,当系统到达ODD边界时,交通干扰场景)。4.1.2.2 验证结果应与危害分析的书面摘要相一致,并达到安全方案及其执行被确认为是正确的并且符合本法规要求的总体效果。4.2 可以根据《1958年协定书》修订版第3版中附录8,使用仿真工具和数学模型来验证安全方案,尤其是针对在测试场或实际驾驶条件下难以实现的场景。制造商应说明模拟工具的范围,其在有关场景下的有效性,以及针对模拟工具链(结果与物理测试的关联)进行的验证。评估报告应通过可追溯的方式进行,例如,检查的文件版本已编码并列入技术部门记录。在本附件的附录1中,举例说明了技术服务机构提交给型号认证部门的评估表可能会有的格式。本附录所列项目可概述为需要涵盖的最小项目集。6. 发送给其他型号认证部门(《附录2》)的通知包括:(a)ODD和高级功能架构说明,着重于驾驶员、乘员和其他道路使用者可用的功能。本附件项下的评估只能由具有必要的技术和行政知识的专业审核员/评估员进行。特别是有资格担任ISO 26262-2018(《道路车辆功能安全》)和ISO/PAS 21448(《道路车辆预期功能安全》)的审核员/评估员; 并应能够根据联合国第15Z号法规和ISO/SAE 21434,与网络安全方面建立必要的联系。这种资质应通过适当的资格证明或其他等效的培训记录来证明。制造商______确认“系统”不会对驾驶员、乘员和其他道路使用者造成不合理的风险。3.5 在个别危险或故障情况下“系统”的行为记录分析:3.8 根据联合国第[15X]号法规附件四的第4.1.1节,“系统”的验证测试结果:3.9根据联合国第[15X]号法规附件四的第4.1. 2节,安全概念的验证测试结果:3.11 根据联合国第[15X]号法规的最新修订,该测试已经执行并上报结果。
广告
广告
广告
广告
广告