上海市无驾驶（安全）员智能网联汽车测试技术方案

 为了进一步贯彻落实《上海市浦东新区促进无驾驶人智能网联汽车创新应用规定》，促进无驾驶（安全）员智能网联汽车测试与示范活动的安全有序开展，充分保障道路交通安全，为支撑创新应用实施细则的有关规定，结合本市实际和相关技术发展现状，特制定本技术方案。

一、总体要求

（一）适用范围

本方案规定了在上海经过有驾驶（安全）员自动驾驶测试后，申请开展无驾驶（安全）员自动驾驶功能测试的智能网联汽车应满足的总体要求、失效识别与安全响应要求、最小风险策略要求、人机交互要求及试验方法。

本方案适用于搭载高度自动驾驶功能的M类、N类汽车，其他类型车辆可参照执行。

（二）行驶安全要求

1.自动驾驶系统应具备明确的设计运行条件。

2.自动驾驶系统应能持续识别设计运行条件是否满足。

3.自动驾驶系统可识别并实现应急指令的执行，识别内容包括道路交通指挥的交警手势、车辆接收交警指令或者紧急接管人员接收交警指令等。

4.自动驾驶系统应以合理的控制策略应对探测到但无法识别类型的目标物。

5.自动驾驶系统应以合理的控制策略应对无法探测区域内存在的安全风险。

6.自动驾驶系统应仅允许在其设计运行条件下被激活，并具备明确的功能激活和退出策略。

7.自动驾驶系统应持续自检，以检测自动驾驶系统失效并确认系统性能可执行全部动态驾驶任务。

8.自动驾驶系统应合理控制包括转向信号灯、危险警告信号、制动灯在内的车辆照明和光信号装置。

9.自动驾驶系统在激活状态下，应与其他交通参与者进行有效的信息交互。

10.自动驾驶系统应及时响应紧急接管人员的有效操作。

11.自动驾驶系统在激活状态下，当设计运行条件即将不满足或已经不满足时，应执行合理的策略，且至少应具备最小风险策略，并详细描述最小风险策略的模式及工作方式。

12.自动驾驶系统在激活状态下，当碰撞事故不可避免时，应采取合理策略降低事故伤害或损失。

13.自动驾驶系统在激活状态下，当自动驾驶系统检测到车辆发生碰撞事故后，除车辆制造商声明的情况外，应使车辆静止，且至少应通过车辆制造商声明的方式进行安全检测，才允许再次被激活。

（三）功能安全要求

1.应根据自动驾驶系统控制下的车辆目标使用场景及目标用户，在整车层面开展面向功能安全的危害分析和风险评估，并定义相应的汽车安全完整性等级和安全目标。

2.应至少在系统层面进行面向功能安全的安全概念活动，以保障系统在故障条件下，对乘客和其他道路使用者不存在不合理的风险。

3.应进行安全分析活动。安全分析至少包括：

（1）整车层面的安全分析,可采用危害分析和风险评估方法、潜在失效模式与影响分析、故障树分析或适合整车安全分析的其它类似方法；

（2）系统层面的安全分析，可采用潜在失效模式与影响分析、故障树分析、系统理论过程分析或任何适合系统安全分析的其他类似过程；

（3）应至少考虑感知系统故障、决策系统故障、执行系统故障、供电系统故障等因素可能导致的危害以开展安全分析。

4.应进行安全措施制订和实施，且确保为实现安全目标而选择的安全措施不会在故障条件、非故障条件下影响车辆的安全运行，保证安全概念的有效实现。自动驾驶系统可采取如下安全策略：

（1）使用部分系统维持运行。在某些故障条件下维持系统部分性能的运行模式，应说明这些故障条件并确定其效果；

（2）切换到独立的备用系统。如选择备用系统实现动态驾驶任务，应对切换机制的原理、冗余的逻辑和层级、备用系统的状态检查机制进行说明并界定备用系统的效果；

（3）通过紧急接管人员的操作，将风险暴露时间降低到一个可接受的时间区间内;

（4）执行最小风险策略或采取车辆制造商声明的其他失效应对策略，使车辆进入安全状态。

5.应从整车层面和系统层面对影响车辆运动控制和安全目标的所有危害和故障进行验证和确认。验证和确认应基于模拟仿真测试、封闭场地测试、实际道路测试或其它适当的方法。

（四）预期功能安全要求

1.应根据自动驾驶系统控制下的车辆目标使用场景及目标用户，在整车层面开展面向预期功能安全的危害分析和风险评估，并确定风险接受准则。

2.应进行安全分析活动，以挖掘系统潜在功能不足和潜在触发条件。安全分析至少包括：

（1）系统层面的安全分析；

（2）应至少考虑感知系统、决策系统和执行系统常见功能不足、未能充分考虑或未遵守交通规则、紧急接管人员和乘客可合理预见的误用、设计运行条件边界场景识别不足等因素可能导致的危害以开展安全分析：

3.应制定和实施面向预期功能安全的安全措施，确保预期功能安全风险可接受。系统可采取如下安全策略：限制系统激活、紧急接管人员操作、降级或降速运行、执行最小风险策略等。

4.应从感知、规划、执行、系统集成等层面执行验证和确认活动，以证明满足面向预期功能安全的接受准则。验证和确认应基于模拟仿真测试、封闭场地测试、实际道路测试或其它适当的方法。

（五）数据记录要求

1.应配备事件数据记录和自动驾驶数据记录功能。

2.应具备连续数据存储能力、断电存储能力，遵循存储覆盖机制，能够持续正常记录和存储数据。

3.记录的数据应能被提取并正确解析。

4.应保证记录数据的完整性和真实性，以防止数据被篡改、伪造或恶意删除。

5.在自动驾驶系统激活期间，记录的事件数据应至少包括自动驾驶系统激活、退出、执行最小风险策略、发生严重失效、有碰撞风险、发生碰撞等。

6.自动驾驶数据采集类型分为Ⅰ型数据、Ⅱ型数据。针对不同数据类型应满足附录2的相关记录要求。

7.不同数据类型记录时间应满足以下要求：

（1）Ⅰ型数据需记录智能网联汽车自动驾驶系统激活期间的数据；

（2）Ⅱ型数据需记录自动驾驶系统执行最小风险策略、发生事故时刻前90s和后30s的数据。

二、无驾驶（安全员）测试关键要求

（一）失效识别与安全响应要求

1.自动驾驶系统应能识别影响系统安全运行的自动驾驶系统失效，包括但不限于感知系统失效、决策系统失效、执行系统失效、供电系统失效，系统完全失效等。

2.自动驾驶系统在检测到影响系统安全运行的自动驾驶系统失效时，应立即执行最小风险策略或采取车辆制造商声明的其他失效应对策略。

（二）最小风险策略要求

1.触发最小风险策略

自动驾驶系统应有明确的执行最小风险策略条件且自动驾驶系统应能识别需要执行最小风险策略的所有情况，至少应包括设计运行条件即将或已经不再满足的情况。

2.执行最小风险策略

（1）当设计运行条件即将不再满足，自动驾驶系统应及时执行最小风险策略并确保车辆在不满足设计运行条件之前达到静止。

（2）当设计运行条件已经不再满足，自动驾驶系统应立即执行最小风险策略并确保车辆达到静止。

（3）当自动驾驶系统执行最小风险策略时，自动驾驶系统应将乘客和其他道路使用者的安全风险降至最低。

（4）当自动驾驶系统执行最小风险策略时，自动驾驶系统应开启并保持危险警告信号，在车辆换道期间应暂停危险警告信号。

（5）除非自动驾驶系统在执行最小风险策略期间被退出，否则最小风险策略应使车辆停止。

3.终止最小风险策略

（1）仅当自动驾驶系统被紧急接管人员退出或自动驾驶系统使车辆静止后，才应终止最小风险策略。

（2）当终止最小风险策略后，自动驾驶系统应退出。

（3）当因车辆静止而终止最小风险策略后，不应因自动驾驶系统退出导致关闭危险警告信号。

（三）人机交互要求

1.激活与退出

（1）自动驾驶系统应配备供紧急接管人员激活和退出系统的专用操纵方式，该方式应防止紧急接管人员可合理预见的误用。

（2）当自动驾驶系统处于激活状态时，至少一种退出系统的操纵方式对紧急接管人员应总是可见的。

（3）车辆每次点火（上电）后（发动机自动启停除外），自动驾驶系统应处于未激活状态。

（4）仅当紧急接管人员执行激活操作且满足自动驾驶系统通过自检确认，且不存在影响系统运行或紧急接管人员执行有效操作的失效、事件数据和自动驾驶数据记录设备处于工作状态、车辆未正在执行影响自动驾驶系统运行的软件升级、车辆制造商声明的其他设计运行条件等条件时，自动驾驶系统才应被激活。

（5）当紧急接管人员通过专用操纵方式退出自动驾驶系统时，自动驾驶系统应立即退出。

（6）除（5）外，应满足终止最小风险策略或在发生影响系统安全运行的自动驾驶系统失效情况下，自动驾驶系统执行车辆制造商声明的其他安全退出策略时，自动驾驶系统才可退出。

（7）自动驾驶系统的退出不应导致任何应急辅助功能自动关闭或任何部分驾驶辅助功能或组合驾驶辅助功能自动激活。

2.系统状态提示

（1）自动驾驶系统应持续向紧急接管人员提示明确、充分的系统状态信息。当自动驾驶系统状态发生变化时，自动驾驶系统应及时向紧急接管人员提供必要的提示信息。

（2）若由于自动驾驶系统未就绪而导致系统激活失败，则应向紧急接管人员直观地提示。

（3）自动驾驶系统处于激活状态时，应向紧急接管人员进行持续提示。

（4）自动驾驶系统由激活状态退出至未激活状态时，应向紧急接管人员提示系统已退出。

（5）在自动驾驶系统执行最小风险策略过程中，应对紧急接管人员给出明显提示。

（6）自动驾驶系统处于最小风险状态时，应提示紧急接管人员直至系统退出。

（7）在自动驾驶系统激活状态下，若检测到影响系统安全运行的自动驾驶系统失效，应对紧急接管人员给出明显提示。

（四）测试要求

1.总体要求

（1）应按照《上海市智能网联汽车封闭道路测试与评价规程》完成并通过智能网联汽车有驾驶（安全）员的测试项目。

（2）测试用例应基于设计运行条件、功能安全与预期功能安全的分析结果进行构建，验证和确认所有安全策略的有效性、安全目标和接受准则的符合性。

（3）模拟仿真测试应能充分覆盖设计运行范围边界和面向功能安全、预期功能安全制订的安全策略。模拟仿真测试无法可信实施的测试用例，应通过封闭场地测试、实际道路测试或其它适当的方法进行验证。

（4）当存在多种最小风险策略时，模拟仿真测试应验证所有最小风险策略的有效性。

（5）应对紧急接管人员操作的实现方式进行有效性、可靠性和稳定性验证。

（6）应基于典型场景的封闭场地测试结果对模拟仿真测试结果的可信性进行验证。

2.测试通过要求

按附件3、附件4和附件5的要求完成所有测试项目，各测试项目应按照对应附录规定的相关测试方法进行测试且符合对应的通过条件。