R1XX对自动驾驶系统ADS的要求2️⃣0️⃣

8. 合规性评估

8.1 安全管理体系SMS审核

8.2 测试环境评估

8.3 安全论证评估

8.4 部署后安全评估

8.3.2.4.2 虚拟测试证据评估

8.3.2.4.2.1 审批机关或其指定的技术服务机构应验证制造商的虚拟测试在执行时是否恰当考虑了仿真工具链中的假设、准确性和不确定性，符合第7.2.1段的要求。评审人员应验证虚拟测试结果的使用反映了这些考虑因素。

8.3.2.4.2.2 审批机关或其指定的技术服务机构应验证任何使用包含随机元素的仿真工具链的虚拟测试是否已考虑结果中可能的不确定性。

8.3.2.4.2.3 如果制造商使用虚拟测试来演示场景覆盖度，审批机关或其指定的技术服务机构应验证其已包括关键场景和低概率事件。关键场景应包括不可避免的碰撞场景。

8.3.2.4.3 场地测试证据评估

8.3.2.4.3.1 审批机关或其指定的技术服务机构应评审制造商为支持ADS安全论证而提供的场地测试证据。

8.3.2.4.3.2 审批机关或其指定的技术服务机构应验证至少部分通过场地测试的场景包括复现可能导致碰撞条件的关键场景。

8.3.2.4.4 真实世界测试证据评估

8.3.2.4.4.1 审批机关或其指定的技术服务机构应评审制造商为支持ADS安全案例而提供的真实世界测试证据。

8.3.2.4.4.2 审批机关或其指定的技术服务机构应验证制造商通过真实世界测试收集的证据涵盖了ADS在其真实世界运行期间可能遇到的各种情境和条件。

8.3.2.4.4.3 若ADS在真实世界测试驾驶中遇到关键或故障情况，审批机关或其指定的技术服务机构应结合场地和虚拟测试的结果，考虑ADS的响应，包括与正常性能要求的任何差异。

8.3.3 确认性测试

8.3.3.1 由审批机关或其指定的技术服务机构进行或要求的确认性测试应使用一种或多种测试方法以及预定义且可重复的测试协议，以确认制造商提供的证据准确代表了ADS性能。确认性测试应覆盖一系列代表ODD的驾驶条件，至少并酌情包括：
(a) 故障情况；
(b) 存在弱势道路使用者时的行为；
(c) 大量其他道路使用者、交通干扰、不太可能的道路基础设施、不常见的道路条件和/或非典型环境条件的情况；
(d) 用户交互；
(e) 交通规则遵守；
(f) 碰撞避免和减轻；
(g) ODD边界和向MRC的后备操作；以及
(h) 触发DSSAD和ISMR功能的条件。

［附件7中报告的信息可用于扩展验证性测试的情景列表］

8.3.3.1.1 为确认性测试选择的场景应具有适当的关键性，并应旨在重现ADS在真实世界运行时可能遇到的情况。确认性测试应按照批准的条件进行。

8.3.3.1.2 确认性测试的范围和持续时间应限于确认制造商的证据或对先前测试中观察到的性能问题进行调查。不应被用作重新进行制造商开发过程的替代方案。

［确认性测试只是对前边安全论证的验证，一旦不通过就结束彻底重新来，不能边测边改🙃🙃🙃最后测完了都不知道中间改了多少版软件］

8.3.3.1.2.1 确认性测试的进行不得对道路使用者、车辆乘员或环境造成不当风险。

8.3.3.1.2.2 如果ADS在确认性测试过程中遇到ODD退出，制造商应解释该事件，并说明如何在未来的运行中减轻或防止此类退出。

8.3.3.2 虚拟确认性测试

8.3.3.2.1 如果使用虚拟测试进行确认，制造商应向审批机关或其指定的技术服务机构提供访问其仿真环境和所需资产的权限，以便运行确认性测试。

8.3.3.2.2 确认性测试的环境和场景集应反映安全论证的范围和制造商声称的ODD。场景应根据测试目标进行选择，例如：验证ADS是否满足特定安全要求；确认ADS性能与制造商证据一致；以及调查在制造商测试或先前确认性测试中观察到的潜在性能问题。

8.3.3.2.3 如果制造商使用虚拟测试来展示能力，则确认性虚拟测试也可以使用虚拟测试进行。

8.3.3.2.4 如果制造商在虚拟环境中记录了为支持安全论证而执行的测试，则可以使用相同的虚拟环境进行确认性测试。

8.3.3.3 场地确认性测试

8.3.3.3.1 如果使用场地测试进行确认，制造商应向审批机关或其指定的技术服务机构提供访问其测试车辆和测试设施的权限，以便在受控环境中进行确认性测试。

8.3.3.3.2 为场地确认性测试选择的场景应反映安全论证的范围和制造商声称的ODD。场景应根据测试目标进行选择，例如：验证ADS是否满足特定安全要求；确认ADS性能与制造商证据一致；以及调查在制造商测试或先前确认性测试中观察到的潜在性能问题。

8.3.3.3.3 如果制造商使用场地测试来展示能力，则确认性测试也可以使用场地测试进行。

8.3.3.3.3.1 如果制造商使用场地测试来展示能力，则场地确认性测试可以在任何适当的测试设施中进行，或在实际道路上使用适当的控制措施进行。

8.3.3.3.4 可进行场地测试，以验证自动驾驶系统（ADS）对以下情况是否做出安全响应：

(a) 在设计运行域（ODD）内发生的情况；
(b) 在跨越设计运行域边界时发生的情况；以及
(c) 关于其设计运行域之外的激活情况。

8.3.3.3.5 批准机关或其指定的技术服务机构应考虑如何管理现实世界中的变化。变化可能包括但不限于照明条件、天气、路面条件及周围交通行为的变化。批准机关或其指定的技术服务机构应确认自动驾驶系统在其设计运行域内保持安全性能，并验证自动驾驶系统对接近和跨越设计运行域边界的响应符合安全论证。

8.3.3.3.6 批准机关或其指定的技术服务机构应确保使用适当的协议记录场地测试。该协议至少应包含对测试相关数据收集和分析的最低要求，例如数据如何记录、如何从记录的数据中得出测量值以及如何分析测量值。

8.3.3.3.7 批准机关或其指定的技术服务机构应确保所进行的场地测试记录有足够的细节，以便能够以足够高的准确度复现测试。记录的信息应至少包括测试设备、测试设置、测试环境以及任何变化和调整。

8.3.3.3.8 批准机关或其指定的技术服务机构应选择其他道路使用者的行为或位置要求自动驾驶系统对其运动或存在做出反应的场景。

8.3.3.3.9 批准机关或其指定的技术服务机构还应使用场地测试来确认与用户相关的方面符合自动驾驶系统安全论证。