自动驾驶合规宝典24～在役监控报告ISMR的实施

1.在役监控

2.数据分析

3.性能监测

4.在役报告

5.事件报告

6.报告工具

1.在役监控

 制造商和ADS车队经营者（如适用）应建立旨在收集和分析车辆数据以及来自其他来源的数据的监测程序。它应提供ADS在役安全性能的证据和审计支柱制定的安全管理体系SMS要求的审计结果的确认性证据。（注：在役监测旨在适用于所有ADS功能，而不是制造商或车队经营者选择的子集。）

监控计划应包括数据采集策略、数据存储策略、数据访问策略、数据安全和保护策略。

数据采集策略应确保数据的代表性收集，足以监控ADS的在役安全性能。

数据存储策略应确保数据集被安全存储保留，直到与该事件相关的纠正措施和审查流程已完成。此外，该策略应确保存储必要的数据可以进行长期趋势分析。

 数据访问、安全和保护策略应确保仅允许授权人员访问信息，并包含确保数据安全和保护的保障措施。

 数据监控程序应允许制造商和车队运营商（如适用）：

（a）识别运营风险领域并量化当前安全边际（例如服务内安全性能监控）；

（b）确定ADS何时防止事件/事故（例如，后退到最小风险状态MRC、避免碰撞、紧急机动）；

（c）通过收集数据来表征和分析事件，识别和量化运营风险；

（d）使用指标和阈值评估安全风险，并发现趋势，如果该趋势持续下去，则表明出现了不可接受的风险；

（e）在发现或预测不可接受的风险时，制定补救措施程序；

（f）确认在役安全水平和任何补救措施的有效性。

2.数据分析

 数据监控程序应确保以足够的频率执行数据分析，以便能够及时采取补救措施并符合报告要求。

数据分析技术应至少包括以下内容：

（a）例行测量：应收集一系列表征每次行程的参数（平均速度、换道次数、通行效率等），并进行比较分析。这些测量应旨在达到或超过相关的触发阈值（例如超标监测关注的车辆性能）之前识别和监测新兴风险趋势；

（b）超标监测：应找到ADS安全操作的主要感兴趣领域，例如传感器老化衰减、系统延迟、新增无法识别的交通标识牌、胎压异常等，目的是寻找与车辆安全性能要求的极限偏差。通常，主要感兴趣的领域来自于ADS服役之前市场存在的最重大的风险。但是，应持续审查以反映当前的运营情况（例如，超速、险情、急刹车等）；

（c）事件分析：记录的数据应能够表征和调查下文中列出的所有事件（例如，与ADS执行DDT有关的事件、与ADS安全交互有关的事件、与ADS技术条件（包括保养和修理）有关的事件、与新识别的安全相关场景有关的事件等）；

（d）统计数据：应收集系列数据以支持分析过程并提供额外信息，这些数据应提供生成速率和趋势的信息（例如行驶里程、营业时间）。

3.性能监测

 可以通过引入UN ECE R160事件数据记录器（EDR）和自动驾驶数据存储系统（DSSAD）对车辆数据采集的要求进行ISMR的工作。在这些要求被定义之前，建议制造商对从ADS车辆收集和上传的数据元素进行分析和处理，以允许报告ISMR定义的指标。

此外，访问EDR数据可能会受到数据隐私问题的影响，因为数据通常由车主拥有，这就需要为ISMR提供专门的数据采集条款。

制造商还需要收集与典型操作相关的数据，例如经销商报告、客户报告等。

监测ADS性能的目的是：

 根据监测结果，制造商应评估：

4.在役报告

事件报告的主要目的是确定ADS安全性能的可能改进，而不是归因于责备或责任。

 制造商应根据管理当局的规定，按照本节和“事件报告”和“上报工具”章节的要求，提交在役安全表现的两种类型的报告，即短期报告和周期性报告。

 对于安全和重要性比较高的事项，需要使用短期报告上报事故和安全问题，以便制造商采取补救措施，包括：

       （a）未能满足安全要求的迹象；

       （b）ADS制造商或OEM已知的涉及ADS的重大事件；

       （c）其他安全性能相关的问题。

在国家一级，如果ADS制造商意识到对公共安全构成直接风险的故障 /失效，应立即向监管当局报告/通知。

制造商还应定期向安全监管机构报告ADS性能指标和事件。

周期性报告应提供在役ADS安全表现的证据，特别是，它应该证明：

下文关于"事件报告"的章节提供了一份符合安全要求的紧急和非紧急事件清单。这代表了需要更详细界定的一般感兴趣的领域，同时考虑到建议向安全当局报告的每个要素的有用性、它们审查报告的数据量的能力以及存储、收集和报告各种要素的可行性。

在调查期间，监管当局应被告知数据处理（例如：滤波和调节）的程序，并就提供支持报告的数据所采取的处理步骤达成一致。必要时，监管当局可核实ADS制造商所提供的信息，必要时可向执法当局和/或ADS制造商提出建议，以纠正任何发现的构成不合理安全风险的原因。

如果发现严重的安全风险，安全机构可以采取临时安全措施，包括立即限制或暂停相关操作，并要求采取行动恢复可接受的安全水平。

5.事件报告

制造商应按照管理局的要求，分两部分提供短期和定期报告：

（a）按照下文中的模版提交的报告，其中包含与报告要求相关的摘要和信息；

（b）报告的基础数据，通过规定的数据交换文件与当局交换。

制造商需要为每个紧急事件提交短期报告。短期报告应在制造商了解此事后一个月内提交，需要短期报告来提高对正在使用中的ADS的安全构成不合理风险的情况的认识。制造商必须在发现此类问题后立即通知，并在了解此事的30天内发布报告。

短期报告适用于关键事件期间或关键事件发生前30秒ADS功能处于激活状态的自动驾驶车辆。

 应定期提交周期性报告，至少每年提交一次，以聚合数据的形式（例如，XX次/运行小时，XX次/每远程驾驶小时）提交ADS的报告。

以下是根据ADS安全要求得出的事件清单，建议使用这些事件构成报告要求的基础。对于每一次事件，其与短期和/或周期性报告的相关性在下表中标记。

6.报告工具

下文提供了统一的报告模板，报告模板旨在确保要报告的信息的统一并促进信息共享。

报告模板旨在确保向安全监管当局提供一致和全面的信息，以促进报告计划的有效应用。可以根据ADS用例考虑进一步细化信息的颗粒度。

报告应根据每个签约主体适用的法律和报告行为者（制造商和/或运营商）可获得的信息进行。

短期模板提供了在“短期报告”下标记的事件发生后应向当局提供的具有相应规范的信息列表。特别是，短期报告规定应有助于确定：

（a）ADS引起的与安全有关的事件；   

（b）原始验证中未预见的交通情况，导致ADS行为与预期行为能力不一致；    

（c）ADS不符合ADS宣称的安全要求；    

（d）需要解决的安全问题。

还应注意，短期模板中报告的信息应保密。

周期性报告模板提供了一份信息清单，其中包含相应的规范，应根据“周期性报告”下的事件每年向监管当局提供。