自动驾驶合规宝典13~审计支柱(下)

2024-08-03 16:01:13·  来源:智驾小强  
 

1.审计支柱的目的和要素

2.制造商需要提供的文件

3.ADS安全评估


3.4 安全概念和制造商对安全概念的验证


制造商应提供一个安全案例,确认并提供证据证明ADS对ADS车辆用户和其他道路使用者没有不合理的风险。安全案例的一部分是安全概念(功能安全、预期功能安全、信息安全、网络安全、数据安全等),它描述了ADS设计中采用的措施,以实现避免功能和操作安全方面的不合理风险的目标。除了这个描述性档留之外,安全案例还包括一个有证据支持的结构化演示,包括验证测试,证明ADS将没有不合理的风险。关于ADS中使用的软件,应解释概要架构,并确定使用的设计方法和工具。制造商应展示ADS功能是如何在设计和开发过程中实现和检查的证据。


安全案例的安全概念要素应解释ADS中内置的设计条款,以确保功能和操作安全。ADS中可能的设计条款包括:


(a)使用部分功能的后备操作(或故障安全);

(b)使用单独系统的冗余

(c)ADS诊断系统可识别的潜在故障清单

(d)取消部分或全部自动驾驶功能。


图片


如果所选方案为在某些故障条件下(例如严重故障)采用部分功能的后备操作模式,则应说明导致使用部分功能的所有条件(例如故障列表)。应定义由此产生的ADS行为和能力(例如立即实现最小风险条件)以及向驾驶员/远程监控中心发出的警告策略(如果适用)。


如果所选方案为第二种(冗余备份)方式来实现动态驾驶任务的性能,需要解释转换机制的原则、冗余的逻辑和级别以及备份检查功能,并定义备份有效性的最终限制。


如果所选方案为取消自动驾驶功能,需要按照相关规定执行,并应禁止与此功能相关的所有相应输出控制信号。


留档应附有分析,显示ADS将如何减轻或避免可能影响ADS车辆使用者和其他道路使用者安全的危险(功能安全)。它应显示制造商将如何管理未知的危险情况(预期功能安全),以控制剩余风险水平。所选择的分析方法应由制造商制定,并在上市前提供给相关当局进行评估。


认证官/审计师应对这些分析方法的应用进行评估,包括:


(a)概念(车辆)层面的安全方法检查;

(b)基于适合系统安全的危险/风险分析。

(c)在ADS层面检查安全方法,包括自上而下(从可能的危险到设计)和自下而上(从设计到可能的危险)。安全评估可以基于故障模式和影响分析(FMEA)、故障树分析(FTA)和系统理论过程分析(STPA)或任何适合系统功能和操作安全的类似过程;

(d)应对供应商的验证计划和结果的留档检查,包括采用的验收标准。它应包括适合验证的测试,例如,硬件在环(HIL)测试、车辆道路运行测试、与真实最终用户的交互测试或任何其他适合验证的测试。


审核员/评估员应对物理测试(试验场轨道测试和/或真实道路测试)的环境进行评估,并应评估制造商提供的仿真工具链的留档。审核员/评估员可应对完整的集成工具进行测试,以评估仿真工具链的可信度。验证的结果可以通过分析不同测试(仿真、轨道、真实)的覆盖率并为各种指标设置最小覆盖率阈值来评估。


有关仿真工具链的可信度评估的更多信息,详见下文《仿真工具链的可信度评估》。


留档确认在适用情况下至少涵盖以下每一项:


(a)与其他车辆系统交互相关的问题(例如制动、转向);

(b)自动驾驶系统的故障以及由此产生的风险缓解策略;


(c)当一个系统可能因操作干扰而对ADS车辆使用者和其他道路使用者造成不合理的安全风险时,ODD内的情况,例如:

(i)对车辆环境缺乏理解或理解错误;
(ii)不了解驾驶员、ADS车辆使用者或其他道路使用者的反应;
(iii)控制不足;
(iv)具有挑战性的场景;


(d)确定ODD边界内的相关场景以及用于选择场景和选择验证方法论和方法的方法论;

(e)执行动态驾驶任务(例如紧急机动)、与其他道路使用者的互动以及遵守交通规则的决策过程;

(f)可能影响车辆安全的网络攻击;

(g)合理可预见的驾驶员误用(如果适用)(例如,使用驾驶员可用性识别系统和关于如何建立可用性标准的解释),驾驶员的错误或误解(如果适用)(例如,无意override)和故意篡改ADS。


安全案例应包括支持实施安全概念的论据和证据,这些论据和证据应易于理解和合乎逻辑,并涵盖ADS的所有不同功能。留档还应证明验证措施足够稳健(例如,作为所选验证方法的一部分,对所选场景的合理覆盖率),以证明安全性并已完成。


制造商应留档提供证据,证明车辆在操作设计域ODD内对ADS车辆使用者和其他道路使用者没有不合理的风险。这可以通过以下方式实现:


(a)由验证结果支持的总体验证目标(即验证接受标准),验证结果表明,与ODD内的人工驾驶车辆相比,ADS投入使用不会增加ADS车辆使用者和其他道路使用者的总体风险水平;和

(b)针对特定场景的方法表明,对于每个安全相关场景,与ODD内的手动驾驶车辆相比,ADS不会增加ADS车辆使用者和其他道路使用者的总体风险水平。


安全案例应提供足够的留档,使监管机构能够通过对案例的评估和可能的测试来核实制造商已成功实施适用于ADS的安全概念。建议留档逐项列出车辆上正在监测的参数(参见R160-EDR法规和DSSAD法规),并应列出支持已满足适用安全要求的证据。该留档还应描述为确保ADS性能受到环境条件(例如,气候、温度、灰尘进入、水进入、冰雪覆盖等)的影响时不会对ADS用户和其他道路使用者造成不合理风险而采取的措施。


3.5 数据存储系统


应留档说明:

(a)数据存储位置和碰撞生存能力;

(b)车辆运行和事故期间记录的数据清单;

(c)数据安全和防止未经授权的访问或使用;

(d)对数据进行授权访问的手段和工具。


3.6 网络安全和软件更新管理


应留档描述:

(a)网络安全管理系统CSMS和软件更新管理系统SUMS;
(b)风险识别、缓解措施;
(c)次要风险和残余风险评估;
(d)为符合立法要求而实施的软件更新程序和管理(R155、R156)。


3.7 向相关者(所有者、用户、运营商等)提供的信息


留档应有助于相关者了解系统的功能和操作,至少包括:


(a)ADS特征、能力和限制的操作描述(信息还应提及具体情景和/或ODD);
(b)正确使用ADS及其功能的条款;
(c)ADS的启用和停用说明,明确解释用户启动的停用和系统启动的停用之间的区别;
(d)当ADS(功能)处于活动状态时,驱动程序/用户和ADS的角色和职责的描述;
(e)关于车辆动态控制中ADS车辆用户干预的ADS反应的信息;
(f)允许角色转换的描述以及这些转换的程序。
(g)当ADS功能处于活动状态时,允许的非驾驶相关活动NDRAs(Non-Driving Related Activities )的一般概述;
(h)用户的安全注意事项和安全相关信息;
(i)与HMI指示相关的信息:
(i)视觉信号,图标;
(ii)听觉信号;
(iii)触觉信号;
(j)ADS发生故障时应采取的安全措施;
(k)维护操作的范围、时间和频率;
(l)进行定期技术检查的手段;
(m)维护、修理和定期技术检查的文件和模板;
(n)符合技术功能限值的预防性声明;
(o)数据保护和数据安全功能。



分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25