自动驾驶合规宝典4～ADS安全要求概述

由前文可知：驾驶可以被视为实现战略目标下的风险管理练习。ADS必须展示其安全驾驶车辆、应对外部条件和管理内部故障的能力。

ADS的设计必须确保车辆在整个使用寿命期间（设计、开发、生产、运行、报废）的使用安全和用户安全，能够避免对驾驶员、乘客和其他道路使用者造成不合理的风险。

企业应建立覆盖车辆全生命周期的功能安全、信息安全和预期功能安全流程，包括设计、开发、生产、运行、服务及报废等阶段。

功能安全（FuSa:Functional Safety）：旨在通过避免、控制措施等使得因电子电气失效（物理特性决定的）或者系统性失效（人为引发）造成的功能失效导致交通参与者的人身伤害降低到可接受的水平（ISO26262中已规定），从而实现功能是“安全”的。

功能安全关注与安全相关的失效（failure），确保自动驾驶系统在各种运行条件下都能正确执行其预定功能，避免因系统故障导致的事故。

预期功能安全（SOTIF:Safety Of The Intended Functionality）：由功能不足、或者由可合理预见的人员误用所导致的危害和风险。例如，传感系统在暴雨、积雪等天气情况下，本身并未发生故障，但可能无法执行预期的功能。

预期功能安全考虑自动驾驶系统在预期使用场景之外或边缘情况下的行为，确保系统能够安全地应对这些非预期情况。

信息安全：主要由网络安全和数据安全两部分组成，网络安全基于车联网复杂环境，保护其免受网络攻击或缓解网络安全风险；数据安全用于确保智能网联汽车数据处于有效保护和合法利用状态并具备保障持续安全状态的能力。

信息安全关注与安全相关的威胁（threat），通过数字证书和密码应用等技术避免系统受到网络攻击的威胁，通过数据安全管理体系的应用，持续保护重要数据和个人信息的安全。

当前阶段，通常使用多少公里的实际测试中没有碰撞、违法或ADS退出等指标来评估ADS性能。在没有发生碰撞、违法或退出等情况下行驶的公里数指标，有助于公众了解ADS的总体性能。然而，这些测量值本身并不能向监管机构提供足够的证据，证明ADS能够安全地应对车辆可能遇到的各种不同情况。

此外，仅通过现实世界测试进行验证的时间和成本是令人望而却步的，这可能需要ADS在没有事故的情况下行驶数十亿公里，以证明其安全性能明显优于人类驾驶员。如果系统发生变化（软硬件变更、升级、优化）则需要重新验证，复制重现这种测试也是不可行的。

考虑到这些因素，需要使用基于交通场景的方法以高效、客观、可重复和可扩展的方式系统地组织安全验证活动。

联合国建议通过制定交通场景框架来处理ADS可能遇到的交通场景，并根据该框架评估ADS。场景的建立主要取决于对ADS的运行设计域（ODD）的分析。

交通场景框架需要区分正常、紧急和故障场景。正常场景可以评估ADS安全操作车辆的能力；紧急场景可以评估ADS管理冲突和减轻风险的能力；故障场景可以评估ADS管理和响应系统故障的能力。

需要让ADS遍历这些交通场景，并根据动态驾驶任务（DDT）的执行要求评估ADS在每个场景下表现出的行为能力。这些要求侧重于期望的驾驶能力和结果（不考虑法规要求和ADS限制，在某个场景下该怎么做），有意避开技术规范和性能限制，每种交通场景都需要对其元素、风险和可用选项的组合做出适当的调整。

在正常场景下，ADS应展示与DDT表现要求一致的行为能力。例如，其中一项能力是与称职和谨慎的驾驶员（老司机）一样，将危急情况的风险降至最低。

然而，在紧急场景下界定ADS的性能标准是困难的，特别是在必须确定优先次序的情况下，比如为了避免撞到行人A，可能会撞到行人B。在这些情况下，联合国指南提议使用适当的安全模型，以便能够在安全模型的范围内评估ADS能力（当前指南提到了一些说明性模型，但没有具体说明哪些可能是适当的，也没有试图限制适当安全模型的使用）。例如，人们认识到ADS可能无法避免碰撞，因此需要将ADS能力与安全模型能力进行比较，以确定需要避免碰撞的阈值和无法避免碰撞的阈值，以及是否可能减轻碰撞的影响。

在ADS展示的行为能力涉及例外的情况下，将依赖安全模型来确定例外是否合理。例如，ADS可能违反车道限制以避免碰撞（压实线避撞）。安全模型可以确定碰撞风险、ADS响应和违反交通规则的必要性。

故障场景用来分析、测试ADS的DDT性能因系统故障而受损的情况。除非有后备用户管理对故障的响应，否则ADS应将车辆带到安全的停止状态（即最小风险状态）。然而，根据故障的严重程度，安全要求允许ADS根据故障的性质调整其DDT性能。这将允许ADS在可能的情况下减轻风险，同时到达安全位置停止车辆。

需要将所有的故障设想合并成一个目录，用于系统地验证ADS的安全性。

在正常、紧急、故障场景下解决ADS车辆用户的安全时，要充分考虑到用户与ADS车辆的关系。用户可能位于ADS车辆内部或外部；用户在旅行期间对车辆的控制程度可能不同；用户是否与单个车辆是否具有一对一的关系；用户是否在同时控制多个车辆等。

无论任何辅助驾驶系统，驾驶员都会执行DDT，直到他们激活ADS功能。ADS功能特定于ODD存在，ADS功能的激活后，在ODD内执行整个DDT所需的战术和操纵功能。用户在驾驶的过程中可以激活ADS时，对车辆的操控将从驾驶员转移到ADS，要确保转移过程的安全。

激活ADS功能后，ADS在ODD内执行操纵车辆所需的整个DDT。因此，驾驶员转变为后备驾驶员或乘客的角色。一些ADS设计可能会在事件中启动“系统启动的ADS停用”（即回退到用户），使ADS不能再执行DDT（例如，在到达ODD的边界之前使用该功能）。

乘客可能没有能力执行DDT。尽管如此，乘客需要选择目的地、路线和站点，因此需要与ADS进行必要的互动。