8. 合规性评估
8.1 安全管理体系SMS审核
8.2 测试环境评估
8.3 安全论证评估
8.4 部署后安全评估
8.1 安全管理体系SMS审核
8.1.1 审批机关或其指定的技术服务机构应审核制造商安全管理体系的文档,以验证其符合第7.1段的要求。
8.1.2 审批机关或其指定的技术服务机构应验证制造商管理安全风险并在ADS整个生命周期(开发、生产、部署和部署后)确保安全的流程稳健性的证据。
8.1.3 审批机关或其指定的技术服务机构应评估制造商监控安全管理体系活动(KPIs)并采取适当(纠正或预防)措施处理任何问题的流程的稳健性。
8.1.4 安全管理体系的审核应由符合第4.4段要求(如适用)的审核员进行。
[具备适当技能和功能安全(例如ISO 26262)、预期功能安全(例如ISO 21448)、建模与仿真、安全管理体系、自动驾驶系统及人因工程等特定知识,并能够与网络安全建立必要联系的专业人员。]
8.1.5 安全方针审核
8.1.5.1 审批机关或其指定的技术服务机构应验证安全方针涵盖以下方面:
(a) SMS建立、运行和维护所依据的原则和目标定义;
(b) 对ADS相关活动在其整个生命周期内固有风险(包括相关各方风险)的总体认知;
(c) 组织结构、安全治理要素及其对组织需求的适当性;
(d) 安全承诺的证据;以及
(e) 组织内人员参与安全文化的方式/途径描述。
8.1.6 风险管理审核
8.1.6.1 审批机关或其指定的技术服务机构应验证风险管理流程涵盖以下方面:
(a) 已建立反应性和主动性的风险管理实践;
(b) 风险管理活动不限于ADS本身,还包括可能影响SMS有效性或ADS安全性的组织/人员产生的风险;
(c) 风险管理活动包括来自第三方的风险;以及
(d) 风险管理活动覆盖并在整个生命周期内执行。
8.1.7 安全保障审核
8.1.7.1 审批机关或其指定的技术服务机构应验证安全保障流程涵盖以下方面:
(a) 定期独立的内部审核和外部审核;
(b) 可能影响ADS安全性的供应链和任何其他相关组织的管理流程;
(c) 已建立变更管理流程;
(d) 已建立采取纠正措施以维持可接受安全水平的流程;
(e) 纠正措施同时适用于ADS和SMS;
(f) 已建立衡量整体安全绩效的监控实践;
(g) 监控实践同时适用于ADS和SMS;以及
(h) 已建立执行符合性评估和审核的独立职能。
8.1.8 安全促进审核
8.1.8.1 审批机关或其指定的技术服务机构应验证安全促进流程涵盖以下方面:
(a) 人员具备履行其职责的适当能力水平;
(b) 通过培训提升能力;
(c) 已建立内部和外部安全沟通的途径;以及
(d) 持续改进的流程。
8.1.9 设计和开发流程审核
8.1.9.1 审批机关或其指定的技术服务机构应验证设计和开发流程涵盖以下方面:
(a) 设计和开发阶段的管理;以及
(b) 安全方针、风险管理、安全保障和安全促进方面在设计和开发中得到体现的证据。
8.1.10 生产流程审核
8.1.10.1 审批机关或其指定的技术服务机构应验证生产流程涵盖以下方面:
(a) 生产阶段的管理;以及
(b) 安全方针、风险管理、安全保障和安全促进方面在生产中得到体现的证据。
8.1.11 部署后流程审核
8.1.11.1 审批机关或其指定的技术服务机构应验证部署后安全流程涵盖以下方面:
(a) 部署后阶段的管理;以及
(b) 安全方针、风险管理、安全保障和安全促进方面在部署后阶段得到体现的证据。
8.1.11.2 在用监控与报告ISMR审核
8.1.11.2.1 审批机关或其指定的技术服务机构应验证制造商ISMR实践对ADS的适用性。
8.1.11.2.2 文档审查应提供证据表明:
(a) ISMR流程适用于该ADS;
(b) 用于ISMR的工具适用于该ADS;以及
(c) 负责ISMR的人员具备足够能力水平。
8.1.11.2.3 审批机关或其指定的技术服务机构应验证制造商根据第7.1.8.1至7.1.8.7段要求监控ADS的能力。
8.1.11.2.4 审批机关或其指定的技术服务机构应评估制造商的方法:
(a) 以验证ADS在运行期间的安全绩效;以及
(b) 以确保其安全风险控制措施的有效性。
8.1.11.2.5 审批机关或其指定的技术服务机构应验证和评估制造商已建立机制:
(a) 从车辆收集数据并接收来自其他来源的数据;以及
(b) 利用所有相关数据来源,以评估ADS安全风险、评估其安全绩效,并及时采取适当行动并检查其有效性。
8.1.11.2.6 文档审查应至少提供证据表明:
(a) 已定义职责和时间线,以确保监控得到应用且有效;
(b) 数据收集和分析方法足以确保实现监控目标;
(c) ADS安全绩效将参考安全案例中所述的安全绩效指标和安全绩效目标进行验证;
(d) 基于监控活动产生的信息管理和控制风险;
(e) 监控考虑了ADS车辆数据以外的来源反馈和信息;以及
(f) 监控活动的有效性将定期评审。
8.1.11.2.7 审批机关或其指定的技术服务机构应验证制造商报告附录3所列事件的能力。
8.1.11.2.8 审批机关或其指定的技术服务机构应评估制造商报告ADS在运行期间经历的事件及评估此类事件原因的方法/途径。
8.1.11.2.9 审批机关或其指定的技术服务机构应验证制造商使用了附录4和附录5提供的报告模板。
8.1.11.2.10 审批机关或其指定的技术服务机构应评估制造商拟用于描述事件特征的信息(例如,数据元素和指标)的充分性。
