R1XX对自动驾驶系统ADS的要求1️⃣6️⃣

7. 制造商要求

7.1 安全管理体系SMS

7.2 测试环境

7.3 自动驾驶系统ADS的安全论证

7.4 部署后安全

7.5 其它制造商要求

7.3.3 声明、论据和证据

7.3.3.1 安全论证应包括一系列声明，每个声明必须至少有一个支持性论据。

7.3.3.1.1 每个论据应至少由一条证据支持。

7.3.3.1.2 每个声明、论据和证据应有唯一标签，但可以多次使用（即一条证据可以支持多个论据）。

7.3.3.2 声明、论据和证据应易于理解、合乎逻辑、正确且稳健，并应证明：
(a) ADS 对 ADS 用户和其他道路使用者不存在不合理的风险，并且
(b) ADS 在以下每个领域满足本法规的适用要求：
(i) DDT（动态驾驶任务）的性能（第 6.1段）
(ii) 用户互动（第6.2段），第6.2.4段的用户信息要求除外，以及
(iii) 其他要求（第6.3段）。

7.3.3.3 关于声明、论据和证据，应提供以下摘要信息：
(a) 识别声明与其支持论据和证据之间关系的摘要，以及
(b) 识别上述每个法规要求以及证明该要求已得到满足的声明的摘要。

7.3.3.4 声明、论据和证据应描述 SMS（安全管理系统）流程（第 7.1 节）如何应用于管理系统整个生命周期的 ADS 安全。

7.3.3.5 应说明与声明、论据和证据相关的假设。

7.3.3.6 声明、论据和证据应证明测试方法适合于论证安全论证和符合性能/功能要求。

7.3.3.7 第 7.3.3.2、7.3.3.4、7.3.3.6 段定义的要求以及制造商可能定义的任何要求，每一项应至少有一个声明。

7.3.3.7.1 可以为声明创建多个子声明，当一个更广泛的声明不够充分或需要额外论证时，只要这些子声明逻辑顺序排列并且它们的关系包含在摘要文件中即可。

7.3.3.8 每个支持声明的论据应提供背景信息和支持信息，解释如何基于适当的一组证据满足声明。

7.3.3.9 支持论证的证据应包括测试结果或分析（例如，系统布局和示意图、照片、所需文档等），视情况而定。

7.3.3.9.1 用于生成证据的虚拟、场地和真实世界测试环境应分别满足第 7.2.1、7.2.2和 7.2.3段的要求。

7.3.3.9.2 测试结果可以单独或汇总提供，并且应包括适当的验收标准。

7.3.3.9.3 每个测试应包含足够的信息，或以可应要求复现的方式进行记录（例如，相同的软件/硬件版本、相同的工具版本、相同的场景、相同的参数等）。

7.3.3.9.3.1 制造商应便于主管部门应要求访问和执行必要的工具和分析软件，以复现此证据，作为型式批准过程或符合性验证的一部分。

7.3.4 制造商对其安全论证的评审

7.3.4.1 作为制造商证明符合第 7.1.4 段规范的演示的一部分，制造商应在批准前评审其安全论证，并鼓励在开发过程中进行评审。

7.3.4.2 评审员应具有独立性，意味着他们不受可能威胁其无偏见地评审安全论证能力的条件影响。

7.3.4.3 评审员可以是制造商内部或外部的人员。

7.3.4.4 评审应有文档记录，可供检查，并包括：
(a) 评审员/评审团队的资格，
(b) 评审日期/期间、安全论证版本、评审的工具和 ADS，
(c) 用于评审安全论证的方法，
(d) 任何重复/复现证据的列表，以及
(e) 识别出的差距、问题或置信度较低或未知的领域。

7.3.4.5 每次评审之后，以及在制造商选择的时间但在符合性评估之前，制造商应在其评审文档中包含为补救或改进任何发现所采取的措施（例如，发布说明）。

7.4 部署后安全

7.4.1 制造商应提供其 ADS 车辆在用安全性能报告，以便：
(a) 监控第7.1.4和7.1.8段要求的 SMS（安全管理系统）流程的实施，
(b) 监控 ADS 性能与第7.3.3段 ADS 安全案例中证明的声明的一致性，以及
(c) 识别需要补救的安全问题。

7.4.2 制造商的报告应基于制造商已知的信息。

7.4.3 制造商应向相关主管部门提供初次通知、短期报告和定期报告。

7.4.4 制造商应在相关主管部门要求时，通过约定的数据交换机制提供支撑报告的基础数据。

7.4.5 制造商应向相关主管部门提供数据处理（例如：过滤和调节）程序的描述，并就提供支撑报告的数据所采取的步骤达成一致。

7.4.6当至少满足以下一项时，制造商应报告事件：
(a) ADS 车辆涉及事件时，有 ADS 功能处于激活状态，或
(b) ADS 车辆发生事件前 30 秒内，有 ADS 功能处于激活状态。

7.4.7 初次通知

7.4.7.1 制造商在知悉严重事件后，应根据适用法律，无不合理延误地通知相关主管部门。

7.4.7.2 初次通知可限于高级别数据（例如，地点、时间、事故类型）。

7.4.8 短期报告

7.4.8.1 制造商应为本法规附件 3 所列的重大和严重事件提供短期报告。

7.4.8.2 制造商应在知悉事件后 30 天内发布每份短期报告。

7.4.8.3 制造商应根据本法规附件 4 提供的模板报告事件。

7.4.9 定期报告

7.4.9.1 制造商应为附件 3 所列事件提供定期报告。

7.4.9.2 定期报告应提供 ADS 在用安全性能的证据。具体而言，它应证明：
(a) ADS 满足在测试方法中评估及/或在安全案例中声明的性能要求，
(b) 与市场引入前声明的 ADS 安全性能相比，未检测到不一致之处，以及
(c) 任何新发现的对安全构成不合理风险的重大 ADS 安全性能问题已得到充分解决以及如何实现，包括如何解决这些问题。

7.4.9.3 制造商应定期提交定期报告，至少每年一次，形式为按 ADS 车辆类型和 ADS 运行相关的汇总数据（例如，每运行小时和行驶里程）。

7.4.9.4 制造商应根据附件 5 提供的模板提供定期报告。

7.5 其他制造商要求

7.5.1 制造商应向车辆所有者或运营者提供保障 ADS 性能安全所必需的维护操作的范围、时间和频率。