自动驾驶合规宝典12～审计支柱（上）

1.审计支柱的目的和要素

2.制造商需要提供的文件

3.ADS安全评估

1.审计支柱的目的和要素

对ADS制造商安全管理体系的审计和对ADS制造商安全案例、安全概念的评估，是ADS安全验证的重要支柱之一。为了实现这种审计和安全评估，ADS制造商需要提供某些留档。审计和安全评估将由批准机构（政府部门）或独立第三方（认证公司、试验场）执行。

安全管理体系SMS（Safety Management System）：是一种管理安全的系统方法，它包括并整合了与系统安全相关的组织、人力和技术因素。

安全案例Safety case：是指由一组证据支持的结构化论点，这些证据提供了一个令人信服的、可理解的和有效的案例，证明ADS在给定环境中的给定应用程序没有或将没有不合理的风险。（安全案例需要制造商自己对其工艺、设计、生产和验证测试进行评估，以确保ADS的安全。）

安全概念Safety concept：是指对ADS设计的安全措施的描述，以便在与ODD相关的每种操作条件下，其操作方式不会对ADS车辆使用者和其他道路使用者造成不合理的安全风险。

审计支柱的目的是促进确定：

（a）制造商拥有确保车辆全生命周期内操作安全和功能安全的正确流程；

（b）该车辆的ADS在设计上是安全的，并且该设计在上市前已经得到充分验证。

因此，这一支柱由两个主要部分组成：制造商通过安全管理体系建立的流程的审计和制造商提供的安全案例的评估（即安全评估，包括ADS的安全概念）。

制造商需要提供以下证明：

（a）确保车辆在整个生命周期（设计、开发、生产、运营和退役）中的安全，需要建立强大的流程。这应包括采取正确的措施在车辆运行期间监控车辆，并采取适当的（纠正或预防）措施来解决任何问题。

（b）ADS的危险和风险已经明显，制造商的安全概念已经存在，并已通过设计安全方法的应用，来减轻这些危险和风险（功能安全）。

（c）制造商通过测试验证了风险评估和安全概念，并表明车辆在上市前符合安全要求。车辆没有对更广泛的运输生态系统，特别是ADS车辆使用者和其他道路使用者造成不合理的安全风险。

根据制造商在其安全案例中提供的证据以及由监管当局或第三方服务机构进行的确认性测试，监管当局将能够确定：流程、风险评估、设计和验证在功能和操作安全方面是否足够稳健。

2. 制造商需要提供的文件

为了便于监管当局的审核和安全评估，ADS制造商应提供特定的留档。留档应证明ADS：

（a）设计和开发的方式使其对ODD内的ADS车辆使用者和其他道路使用者没有不合理的风险；

（b）满足其DDT性能和HMI性能要求；

（c）根据制造商声明的开发过程/方法开发。

文件应分为三个部分提供：

（a）提交给当局的信息文件（目录），应包含对所提供的单独文件的简要概述；

（b）为了进行审核，制造商需提供安全管理体系SMS的完整描述；

（c）为了进行安全评估，制造商需提供ADS及其功能的完整安全案例，包括用于实施安全概念的设计过程的描述，以及通过大量证据证明ADS及其功能已经过充分的安全验证，确保ADS的性能没有不合理的风险的结构化演示。

制造商可以保留额外的机密材料和分析数据（涉密知识产权），但在产品评估、过程审计时应开放供检查（例如，在制造商的生产现场审核）。

制造商应确保这些材料和分析数据在ADS停止生产之日起，10年内保持可用。ADS安全设计的任何更改都应按要求通知相关当局。

3. ADS安全评估

ADS安全评估的目的是让安全机构确定制造商已经明确了与ADS相关的危险和风险，并实施了一致的安全概念来减轻这些风险。

ADS安全案例应解释：制造商的安全概念、如何实施该安全概念、如何通过设计确保安全、应通过结构化论证和证据证明风险评估和设计已由制造商测试验证，并且在ADS装备的车辆投放市场之前，ADS符合相关安全要求。

安全案例应提供足够的证据，证明ADS对更广泛的运输生态系统，特别是ADS车辆用户和其他道路用户没有不合理的安全风险。安全案例应涉及以下部分：

3.1 ADS概述

ADS制造商提供的安全案例包括对ADS配置及其功能使用的预期用途和限制的描述，需要对ADS和ADS功能的操作特性进行简单的解释：

3.2 ADS功能说明

制造商应提供一份说明，清楚地解释所有功能，包括ADS的控制策略和在ODD内执行动态驾驶任务所采用的方法，以及ADS设计运行的边界，包括行使控制机制（决策规划）的说明。

需要提供所有输入和感应变量的列表，并定义这些变量的工作范围，以及每个变量如何影响系统行为的描述。

应提供由ADS控制的所有输出变量的列表，并在每种情况下解释控制是直接控制还是通过另一个车辆系统，并定义对每个变量的控制范围。

3.3 ADS布局和示意图

（a）组件清单

应提供一份清单，包括ADS的所有单元，并提及实现相关控制功能所需的其他车辆系统。应提供显示这些单元及其关系的概要示意图，明确各单元分布和互连关系。

至少要包括：（i）感知和物体检测，包括测绘和定位；（ii）决策特征；（iii）远程监控中心的远程监控和远程监测（如适用）；（iv）信息显示/用户交互界面；（v）数据存储系统（例如，DSSAD）。

（b）单元的职能

应概述ADS每个单元的功能，并显示每个的单元与其他单元或其他车辆系统连接信号。这可以通过带标签的框图或其他示意图提供，也可以通过图表辅助的描述来提供。ADS内的互连应由电力传输链路的电路图、气动或液压传输设备的管道图和机械链接的简化图解布局显示，还应显示进出其他系统的传输链路。

单元之间的传输链路和所承载的信号之间应该有明确的对应关系，当优先级可能影响性能或安全时，应说明多路复用数据路径上信号的优先级。

（c）单元识别

每个单元都应清晰明确地可识别（例如，通过标记硬件版本号、软件版本号、软件标识），这应为识别相关留档中的硬件和软件提供明确的方法。

如果可以在不需要更换标记或组件的情况下更改软件版本，则必须通过新发布的软件来更新软件标识（例如哈希值）。存在于在单个控制单元内，但在图中以多个块显示的情况，为了清晰和易于解释，应仅使用单个硬件标识标记。标识定义了硬件和软件版本，并且在软件更改和改变单元功能的情况下，与该软件相关的标识符也应更改。

（d）传感系统组件的安装

制造商应提供构成传感系统的各个组件将采用的安装方式的信息。这些安装方式应包括但不限于组件在车辆上的位置、组件周围的材料、组件周围材料的尺寸和几何形状以及组件周围材料的表面光洁度。该信息还应包括对ADS性能至关重要的安装规格，例如安装角度的公差。传感系统各个组件或安装方式的任何更改都应在留档中更新。

（e）ADS规格：

（i）描述正常、临界和故障情况下的ADS规范、验收标准以及符合这些标准的证明；

（ii）应用的法规、规范和标准清单。

（f）维护和维修界面；防止未经授权的访问：