自动驾驶合规宝典3～ADS设计时要考虑的因素

自动驾驶系统ADS设计是一个复杂且多维度的过程，需要综合考虑多个方面以确保系统的安全性、可靠性、高效性和适应性。

至少要考虑以下内容：

（a）系统安全；

（b）故障安全响应；

（c）HMI人机界面/操作员信息；

（d）目标和事件检测与响应OEDR（Object and Event Detection and Response）；

（e）运行设计域ODD（Operational Design Domain）；

（f）系统安全验证（仿真、轨道、公开道路）；

（g）网络安全；

（h）软件更新；

（i）自动驾驶事件数据记录系统DSSAD（Data Storage System for Automoted Driving）；

（j）远程操控；

（k）在役车辆的安全；

（l）相关者（消费者、运营者、安全员等）教育和培训。

（a）系统安全

需要建立安全管理体系SMS（Safety Management System），使用健全的流程来管理安全风险，并确保整个ADS生命周期（开发、生产、运营和报废）的安全。

SMS是一种管理安全的系统方法，它包括并整合了与安全相关的组织、人力和技术因素：

（i）人力因素：确保ADS生命周期的人的组成部分由具有适当技能、培训和理解的人员监控，以识别风险并制定适当的缓解措施；

（ii）组织（管理）因素：采用系统性的程序和方法管理已识别的风险，了解它们与其他风险和缓解措施的关系和相互作用，并协助确保没有不可预见的后果。

（iii）技术因素：使用适当的工具（8D、FMEA、FAT等）和设备。

确保ADS车辆不会对更广泛的运输生态系统，特别是ADS车辆使用者和其他道路使用者造成不合理的安全风险。

确保ADS车辆会严格遵守所在地区的交规。

（b）故障安全响应

（i）正常情况下的DDT性能要求应在合理可行的范围内继续适用于故障情况，以尽量减少总体风险；

（ii）ADS应检测故障、失效和异常，如果这些故障、失效和异常会损害ADS在其ODD内执行整个DDT的能力；

（iii）当故障不妨碍ADS功能的安全要求时，ADS功能应继续运行；

（iv）ADS可以允许激活和使用受故障影响的功能，前提是ADS能继续执行整个DDT；

（v）ADS应根据故障的严重程度调整其DDT性能，以确保道路安全；

（vi）如果故障会损害ADS在其功能的ODD内执行整个DDT的能力，在该故障出现时，应禁止激活该ADS功能；

（vii）ADS的受限操作应符合安全要求；

（viii）监管部门要求时，制造商和/或服务运营商可以远程终止单个或多个ADS功能；

（ix）执行ADS的远程终止时，ADS应能够安全响应；

（x）远程终止ADS后，用户将无法再次激活。

（c）人机界面/操作员信息

应至少考虑以下ADS相关人机界面信息：

（a）ADS功能、能力和限制的操作描述（信息还应提及具体情景和/或对应的ODD）；

（b）正确使用ADS及其功能的条款；

（c）ADS的启用和停用说明，明确解释用户启动的停用和系统启动的停用之间的区别；

（d）当ADS（功能）处于激活状态时，驾驶员/安全员/用户和ADS的角色和职责的描述；

（e）如果允许角色转换，角色转换的描述以及这些转换的程序；

（f）当ADS功能处于激活状态，控制车辆运动时，ADS如何应对用户的干预；

（g）当ADS功能处于激活状态时，允许的非驾驶相关活动NDRA（Non-Driving Related Activities）的一般概述；

（h）用户的安全注意事项和安全相关信息；

（i）与HMI指示相关的信息：

（i）视觉信号，图标；

（ii）听觉信号；

（iii）触觉信号；

（j）ADS发生故障时应采取的安全措施；

（k）维修保养操作的范围、时间和频率；

（l）进行定期技术检查的方法；

（m）维护、修理和定期技术检查的文件和模板；

（n）符合技术功能限值的预防性声明；

（o）数据保护和数据安全功能。

（d）目标和事件检测与响应OEDR（Object and Event Detection and Response）

应能精确识别和预测其他道路使用者的位姿，并做出合理响应，比如：

（e）运行设计域ODD（Operational Design Domain）

特定自动驾驶系统或其功能被专门设计为运行的操作条件，包括但不限于环境、地理和一天中的时间限制，和/或某些交通或道路特征的必要存在或不存在。（SAEJ3016）

ADS必须确保：

（i）它可以在其ODD中合理预期的条件下安全地运行；

（ii）它将仅在其ODD中使用；

（iii）它可以监控它是否在其ODD内部/外部并做出适当的响应。

构成ADS运行设计阈ODD的条件将有助于确定需要哪些ADS能力。例如，如果ADS的ODD包括没有交通信号灯的路口，则该ADS所需的行为能力之一可能是“无保护的左转或右转”。然而，如果ADS的ODD仅限于高速公路或有交通信号灯的路口，则可能不需要相应的行为能力。

应明确ADS及ADS功能的ODD条件和边界（例如，道路速度限制、道路类型和道路特征、国家、环境、道路条件等），并以可衡量和/或可验证的方式包括每个ADS功能的ODD条件和边界

除非满足功能的ODD条件，否则ADS应阻止功能的激活。

当使用中的功能的一个或多个ODD条件不再满足时，ADS应执行安全回退响应。

ADS应能够预测每个功能的ODD的可预见出口（边界条件）。

（f）系统安全验证

（i）制定交通场景测试集；

（ii）场地内轨道测试；

（iii）仿真测试；

（a）模型在环（MIL）；

（b）软件在环（SIL）；

（c）硬件在环（HIL）；

（d）车辆在环（VIL）；

（e）驾驶员在环（DIL）；

（iv）真实道路测试。

（g）网络安全

（i）网络安全管理系统CSMS（Cyber Security Management System）；

（ii）风险识别、缓解措施；

（iii）次要风险和残余风险评估；

（iv）持续的风险评估，保持最新状态；

（v）能有效应对新的威胁和漏洞。

（h）软件更新

（i）软件更新管理系统SUMS（Software Update Management System）；

（ii）Rx软件识别号RxSWIN（Software Identification Number）；

（iii）为符合立法要求而实施的软件更新程序和管理制度。

（i）自动驾驶事件数据记录系统DSSAD（Data Storage System for Automoted Driving）

（i）存储位置和碰撞生存能力；

（ii）车辆运行和事故期间记录的数据；

（iii）数据安全和防止未经授权的访问或使用；

（iv）对数据进行授权访问的手段和工具。

（j）远程操作

（i）远程操作需要一个高效稳定的通信系统，以确保远程操作指令能够实时、准确地传输到车辆，并接收车辆状态反馈；

（ii）远程操作员应熟悉并遵守当地交通规则，包括速度限制、车道规定、交通信号等，以确保自动驾驶车辆在行驶过程中不违法违规；

（iii）针对可能发生的各种突发情况（如车辆故障、网络中断、黑客入侵等），制定详细的应急处理预案，并定期进行演练；

（iv）远程接管时车辆应能安全的移交DDT。

（k）在役车辆的安全

在ADS的整个生命周期内，ADS的安全性能仍然是制造商的责任。制造商和车队经营者（如适用）应建立旨在收集和分析车辆数据以及来自其他来源（公安交警部门）的数据的监测流程。它应提供ADS在役安全性能的证据和安全管理体系要求的审计结果的确认性证据。

（i）监测ADS引起的紧急和非紧急事件；

（ii）在运营阶段管理潜在的安全相关漏洞；

（iii）在安全相关事件发生时向当局报告的方式、流程、模版等；

（iv）确认是否符合定义的安全案例；

（v）分享从事件和险情分析中获得的经验教训；

（vi）为汽车安全的持续改进做出贡献。

（l）相关者（开发者、消费者、运营者、安全员等）教育和培训

通过教育和培训，不断提升自动驾驶技术从业者、驾驶员以及公众对自动驾驶技术的理解、操作能力和安全意识。

自动驾驶技术从业者：包括算法工程师、软件开发人员、系统集成人员、测试工程师、运维工程师等，他们需要深入了解自动驾驶技术的原理、算法、系统设计、测试方法等方面的知识。

驾驶员/安全员/远程操作员：尤其是那些将驾驶配备自动驾驶功能的车辆的人员，他们需要了解自动驾驶系统的功能、操作方式、限制条件以及应急处理措施。

公众：通过教育和培训，提高公众对自动驾驶技术的认知度，包括其安全性、应用场景、潜在风险等。

培训内容包括但不限于：

（a）自动驾驶技术原理：

（i）感知技术：介绍摄像头、雷达、激光雷达等传感器的工作原理和数据处理方法；

（ii）控制技术：讲解自动驾驶车辆如何通过算法和控制系统实现自主驾驶；

（iii）导航技术：阐述地图和定位技术在自动驾驶中的应用；

（iv）安全技术：强调自动驾驶车辆的安全系统设计和保障措施。

（b）自动驾驶系统操作：

（i）系统启动与关闭：培训驾驶员如何正确启动和关闭自动驾驶系统；

（ii）模式切换：介绍如何通过遥控装置或车内按钮切换自动驾驶模式；

（iii）异常情况应对：教育驾驶员在自动驾驶系统出现故障或遇到特殊情况时的应对措施。

（c）道路交通规则与法律法规：

（i）讲解道路交通规则的基本内容和要求；

（ii）介绍相关法律法规对自动驾驶车辆的规范要求；

（iii）培训驾驶员在自动驾驶过程中如何遵守交通规则，避免违法行为。

（d）应急驾驶技能：

（i）教授驾驶员在自动驾驶车辆遇到紧急情况时如何接管车辆控制权，进行安全驾驶；

（ii）强调安全驾驶技能的重要性，包括制动、转向、避让等技巧。

（e）团队合作与问题解决能力：

（i）自动驾驶技术的研发和应用需要团队合作，因此培训中应强调团队协作意识的培养；

（ii）通过案例分析、模拟演练等方式，提升学员的问题解决能力。