联合国自动驾驶法规R157对L3级自动驾驶ALKS的要求⑥

1.背景

2.R157各名词定义

3.系统安全和故障安全响应要求

4.人机交互界面信息要求

5.障碍物和事件感知与响应要求

6.数据存储系统要求

7.网络安全和软件更新要求

8.交通干扰关键场景指南

9.ALKS功能和操作安全的特殊要求

10.试验场内测试规范

11.公共道路测试规范

6.自动驾驶数据存储系统DSSAD

6.1  安装

每辆配备ALKS系统的车辆均应配备符合以下要求的DSSAD。本条例不影响管理数据访问、隐私和数据保护的国家和地区法律。

6.2  记录的事件

6.2.1

每辆装有DSSAD的车辆，在ALKS系统启动时应至少记录下列每一次事件：

（a）系统启动

（b）系统停用，原因是：

     （iv）在保持转向控制的情况下通过制动控制进行override。

 （c）系统的接管请求，原因是：

（d）降低或抑制驾驶员输入；

（e）紧急机动开始；

（f）紧急机动结束；

（g）事件数据记录器（EDR）触发输入；

（h）参与检测到的碰撞；

（i）系统的最小风险操作MRM参与；

6.2.2

（a）紧急机动开始；

（b）参与检测到的碰撞；

（c）车道变更程序的中断；

（d）事件数据记录器EDR触发输入。

6.2.3

6.3  数据元素

6.3.1

对于第6.2.段所列的每个事件，DSSAD应至少以可明确识别的方式记录以下数据要素：

（b）如第6.2段所列的发生的原因；

（c）日期（格式：yyyy/mm/dd）；

 （d）时间戳：

        （i）格式：hh/mm/ss 时区，例如12:59:59 UTC；

6.3.2  对于第6.2段中列出的每个事件，应清楚地识别ALKS的R（157）SWIN或与ALKS相关的软件版本，表明事件发生时车上正在运行的软件。

6.3.3  可以允许使用同一个时间戳同时记录多个元素。如果使用相同时间戳记录多个元素，则来自各个元素的信息应指示时间顺序。

6.4   数据可用性

6.4.1  应根据国家和地区法律的要求提供DSSAD数据。

6.4.2

一旦达到DSSAD的存储限制，为了尊重数据可用性的相关要求，存量数据只能按照先进先出的顺序进行覆盖。

主机厂应提供有关存数据储容量的书面证据。

6.4.3   数据的可检索性

对于M1类和N1类车辆，第6.3.1段所列的数据要素即使在UN ECE R94（正面碰）、UN ECE R95（侧面碰）或UN ECE R137（正面碰）法规规定的严重程度的撞击后仍应可检索。

对于M2、M3、N2和N3类车辆，第6.3.1段所列数据要素即使在撞击后也应可检索。为了证明这种能力，适用以下规定：

（a）车载载数据储存装置（如有的话）在遭受UN ECE R100.03法规附件9C中规定的机械冲击后仍然可检索数据；且

（b）车载数据存储装置应安装在驾驶室/乘客舱内，或安装在结构完整的位置，以防止物理损坏，从而阻止数据的检索。这应采用适当的方式（例如模拟或仿真）向认证机构证明；或者

（c）主机厂证明符合对M1、N1类车辆的要求。

如果车载主电源不可用，仍可根据国家和地区法律要求检索DSSAD上记录的所有数据。

6.4.4  存储在DSSAD中的数据应通过使用电子通信接口，至少通过标准接口（OBD端口），以标准化的方式易于读取。

6.4.5 结合EDR的数据检索

       在“事件数据记录器（EDR）触发输入”前的最后30s内，如果没有第6.2.1段所述的任何事件发生，至少应能够在EDR数据的同时检索与第6.2.1段（a）和（b）段所述的同一上电周期内的最后一次事件的数据元素。

如果国家或地区法律要求，检索的数据要素不应包括日期（如第6.3.1.（c）段所述）、时间戳（如第6.3.1.（d）段所述）或能够识别车辆、其用户或所有者的任何其他信息。时间戳应替换为“事件数据记录器（EDR）触发输入”和相应DSSAD数据要素发生标志之间的时间差信息。

6.4.6  主机厂应提供如何访问数据的说明。

6.5  防篡改

6.5.1  应确保有足够的保护（例如防篡改设计），防止对存储数据的篡改（例如数据擦除）。

6.6  DSSAD可用性操作

6.6.1  DSSAD应能够与ALKS系统通信，告知DSSAD正在运行。

7.  网络安全和软件更新要求

7.1  网络安全和网络安全管理体系

ALKS系统的有效性不应受到网络攻击、网络威胁和漏洞的不利影响。安全措施的有效性应通过遵守UN ECE R155法规来证明。

7.2  软件更新和软件更新管理体系

如果ALKS系统允许软件更新，软件更新程序和过程的有效性应通过遵守UN ECE R156法规来证明。

7.3  软件识别要求

7.3.1

主机厂应根据UN ECE R156法规获得软件更新管理体系证书。

根据《软件更新和软件更新管理系统条例》的规定，为了确保能够识别系统的软件，应使用R157SWIN。R157SWIN可以保存在车辆上，或者，如果R157SWIN没有保存在车辆上，制造商应向认证机构声明车辆或单个ECU的软件版本以及与相关类型批准的连接。

7.3.2  主机厂应在本法规的通信文档中提供以下信息：

（a）R157SWIN；

（b）如果车辆上没有R157SWIN，如何读取R157SWIN或软件版本。

7.3.3  主机厂可以在本法规的通信文档中提供相关参数的列表，这些参数可识别R157SWIN表示的软件。所提供的信息应由车主机厂声明，可不由认证机构机构验证。

7.3.4  因为硬件更改或法规更新，主机厂可能会更新系统的软件版本，导致新车与市场上已注册上牌的车的软件版本不一致。在与测试机构达成协议的情况下，应尽可能避免重复测试。