R1XX对自动驾驶系统ADS的要求1️⃣5️⃣

7. 制造商要求

7.1 安全管理体系SMS

7.2 测试环境

7.3 自动驾驶系统ADS的安全论证

7.4 部署后安全

7.5 其它制造商要求

7.3.2 安全概念

7.3.2.1 制造商应记录其安全概念，该概念应包括根据第 7.1.3段与 ADS 相关的 SMS（安全管理系统）流程识别出的风险，并应包括这些风险如何被降低、缓解或接受。

7.3.2.1.1 安全概念应证明制造商在其危险识别中使用了自上而下（从可能的危险到设计）和自下而上（从设计到可能的危险）的流程方法。［为了防止某种风险而采取了什么样的对应设计，设计方案可能会有什么样的风险］

7.3.2.2 安全概念应描述 ADS 功能如何检测、识别和应对危险，包括以下方面：
(a) 危险的检测和识别，
(b) SOTIF（预期功能安全）和功能安全的设计规定（例如，冗余），
(c) 分析说明 ADS 将如何运行（例如，控制策略）以缓解或避免可能影响 ADS 用户和其他道路使用者安全的危险，以及
(d) 分析说明未知的危险场景和情况将如何管理。

7.3.2.3 安全概念应描述 ADS 用于确定与物体碰撞是否会造成非轻微损坏的过程。

7.3.2.4 安全概念应描述 ADS 用于确定 ADS 车辆是否已与安全相关物体发生碰撞的策略。

［7.3.2.5 安全概念应描述软件更新如何被验证和确认。在 R156法规适用的情况下，制造商应描述 ADS 如何根据第 7.1.4.3段满足该法规的要求。]

7.3.2.6 安全概念应描述 ADS 如何确定第 7.3.1.3 段所述条件的存在/不存在，以及任何关联/依赖条件（例如，结冰天气下降低车速）。

7.3.2.7 安全概念应描述自动驾驶系统在其行程中合理可能遇到的条件，包括但不限于环境和地理条件，及/或特定交通或道路特征的存在或不存在，并解释这些预期条件与根据第 7.3.1.3 段描述的 ADS ODD（设计运行域）的比较情况。

7.3.2.8 安全概念应描述已实施的相关措施或策略（如适用），以：
(a) 预防或缓解乘员可能影响 DDT（动态驾驶任务）安全性能的滥用、误用和错误（例如，乘员试图接触驾驶控制装置），
(b) 预防、缓解或阻止外部来源对乘员造成的伤害（例如，未经授权人员试图进入载有乘员的车辆），以及
(c) 预防、缓解或阻止来自外部来源对车辆或其系统的滥用和误用（例如，在车辆运行期间在车辆上放置物体，试图损坏车辆）。

7.3.2.9 安全概念应描述限制突然退出 ODD（设计运行域）以及频繁激活和停用情况的策略。

7.3.2.10 安全案例应包括对乘客的安全风险清单（例如，安全带未系好、乘客未就座）以及描述在 ADS 功能激活期间如何管理所有乘客的这些风险。

7.3.2.11 安全概念应描述用于在车辆总体工作状况不佳时避免操作车辆的策略（例如，轮胎、制动器、照明、外部负载状态、转向的状况）。这些策略可包括技术解决方案、物理检查或其他相关解决方案。

7.3.2.12 自动驾驶数据存储系统DSSAD

7.3.2.12.1 制造商应提供证明以下方面的证据：
(a) 记录了第 7.3.1.13.1(c) 段所列的数据元素，以及
(b) 根据附件 8 存储了记录的数据。

7.3.2.13 安全概念应描述制造商用于推导与 ODD（设计运行域）相关的行为能力和场景的方法。

7.3.2.13.1 制造商可以参考附件 7 中概述的方法作为推导与 ODD（设计运行域）相关的行为能力和场景的合适方法，或采用替代方法，只要这些方法同样全面。

7.3.2.14 安全概念应描述场景识别和生成方法，以及该方法如何解决以下问题：
(a) 覆盖适当的正常、危急和故障情况，
(b) 使用数据驱动、知识驱动和随机方法来系统地识别危险事件和其他事件，
(c) 包含在预期运行条件中具有代表性的现有交通状况的元素（尤其是动态元素），以及
(d) 纳入所有相关场景元素已识别的特征和行为。

7.3.2.15 安全概念应描述制造商选择场景以覆盖 ADS 将遇到的合理可预见的情况和条件的方法，包括如何涵盖以下方面：
(a) 选择足够的场景，其中 ADS 需要启动降级响应（例如，接近 ODD 边界），
(b) 合理可预见且不被 ADS 认为可预防的情况（例如，与其他道路使用者的不安全行为或基础设施故障相关的情况），以及
(c) 在选择具体场景时，使用适当的技术来探索参数空间。

7.3.2.16 安全论证safety case应描述制造商如何确定其现有的流程、资源和合格人员的适用性，以：
(a) 设计和进行支持 ADS 安全论证证据的测试，
(b) 选择结合测试场地静态和动态元素的场景，以正确复现为场地测试选择的情况，
(c) 识别能捕获 ODD（设计运行域）可预测方面（例如，道路类型和几何形状）、相关正常情况中存在的元素（例如，其他道路使用者、标志和信号）以及典型动态条件（例如，高/低交通密度）的测试路线。这些测试路线应能验证用户互动安全性的正常要求，包括进入和退出 ADS 功能的 ODD（设计运行域）之前、之时和之后，
(d) 根据第 6.1 段的 DDT（动态驾驶任务）性能要求，评估 ADS 在每个场景中表现出的行为能力，以及
(e) 评估 ADS 确保用户安全和 ADS 安全使用的能力。

7.3.2.17 安全概念应包括以下信息：
(a) 验证和确认计划，包括指标和目标：
(i) 解释如何选择场景和交通场景作为验证和确认的一部分，以合理覆盖 ODD（设计运行域）及其边界，
(ii) 用于确定合理的 ODD（设计运行域）覆盖范围的方法、指标和目标，
(iii) 任何比较 ADS 功能性能与同类别（例如，M1 类）手动驾驶车辆在该功能 ODD（设计运行域）内情况的性能的分析，以及
(iv) 识别由 (iii) 项分析产生的任何指标或目标。
(b) 用于获取指标的评分/评估方法，
(c) 所选指标验收标准的理由，
(d) 验证和确认结果，包括目标已实现的证据（即指标满足验收标准），以及
(e) 在 ADS 或 ADS 功能停用后防止其激活的策略。

7.3.2.18 对于装备有已根据 UNECE R157 法规批准的 ALKS（自动车道保持系统）的车辆，安全概念应证明 ALKS 与 ADS 的安全和正确集成以及 ALKS 与其他 ADS 功能的任何互动。