附录 8 自动驾驶数据记录系统DSSAD
1. 目的
1.1 本附件将自动驾驶数据记录系统(DSSAD)定义为车辆监控自动行驶系统(ADS)安全性能的数据存储能力,并确立了支持评估 ADS 安全性能的要求。
2. 数据存储与安全
2.1 DSSAD 应能够记录和存储本附录第 5 段中定义的带时间戳和时间序列数据元素。
2.2 DSSAD 应防止未经授权的访问和篡改。
2.3 对于拟在车外存储的数据,若无法传输,则应继续存储在车辆上。
3. 数据格式
3.1 本附件第 5 段所列的每个数据元素均应按照本附件第 4 段的规定提供。输出应以开放标准格式(例如 JSON、CSV、XML)提供,“传感器数据”除外,并且数据应处于可读形式,“传感器数据” [和“视觉图像”] 除外。
可读意味着数据是数值和自然语言,能够被理解为代表一个与特定值相关的数据点(例如<<speed>>35<<speed/>>,而不是十六进制或二进制)。
3.2 为解释输出并将其与本附件第 5 段要求的数据元素相关联所需的信息,制造商应根据请求并在适用国家法律允许的情况下提供给授权实体。
3.3 时间戳数据格式
3.3.1 时间戳数据应以清晰可识别的方式记录,包含以下数据:
(a) 本附件第 5.2.1 段下所列的带时间戳数据元素。
(b) 本附件第 5.2.1 段表格中针对每个带时间戳数据元素注明的附加信息(如适用)。
(c) 日期(分辨率:yyyy/mm/dd)
(d) 时间戳
(i) 分辨率:hh/mm/ss 时区(例如,12:59:59 UTC)
(ii) 精度:+/- 1.0 秒
(e) 位置:全球经度 + 纬度;应以十进制度记录,且至少精确到五位小数,但不应进行舍入。
3.3.2 允许对在特定数据元素时间分辨率内同时记录的多个元素使用单个时间戳。如果多个元素以相同时间戳记录,来自各个元素的信息应能表明时间顺序。
4. 数据可访问性
4.1 DSSAD 数据(无论存储在车内还是车外)应易于通过符合公开可用接口标准的电子通信接口获取和检索。建议使用国际公认的标准。[缔约方可以根据国内法进一步界定数据可访问性和/或指令可用性的技术规范]
4.2 应通过制造商维护的说明,指导如何通过电子通信接口检索 DSSAD 数据。[缔约方可以根据国内法进一步界定数据可访问性和/或指令可用性的技术规范]
4.3 即使车辆主车载电源不可用,存储的 DSSAD 数据也应能被检索。
4.4 即使车辆遭受相关法规设定的严重程度级别的撞击后,DSSAD 数据也应能被检索。
4.5 如果 DSSAD 数据拟存储在车内,则适用以下规定。
4.5.1 本附件第 5.2.1 段中有关功能激活和停用的数据元素,应在提供手动执行动态驾驶任务DDT相关控制装置的车辆信息显示器/用户界面上可用。
4.5.2 根据授权实体(各国交通部)的请求,制造商应向其提供制造商专用工具、软件、网络服务接口和/或支持,以检索 DSSAD 数据。
4.6 如果 DSSAD 数据拟存储在车外,则适用以下规定。
4.6.1 授权实体(各国交通部)不应被要求安装任何制造商专用系统或软件来检索 DSSAD 数据。
5. 数据元素
5.1 DSSAD 应记录和存储本附件第 5.2 段和第 5.3 段所列的数据元素。此要求不应损害管辖数据访问、可用性、隐私和数据保护的适用法律。
5.2 时间戳数据元素
5.2.1 下表详述了要记录的时间戳数据元素,以及任何附加信息和记录条件。
| 事件 | 附加信息 | 记录条件 |
| 功能激活 | ADS 功能由以下对象激活:(a) 系统,或 (b) 用户 | |
| 功能停用 | ADS 功能由以下对象停用:(a) 系统,或 (b) 用户 | 功能处于激活状态时 |
| 超出ODD | | 功能处于激活状态时 |
| ADS请求后备用户接管开始(如适用) | ADS 功能停用由以下原因引发:(a) 可预见条件 (b) 不可预见条件 (c) 故障 (d) 驾驶控制输入,或 (e) ODD 退出 | 功能处于激活状态时 |
| ADS 向风险缓解状态 (MRC) 降级的开始 | MRC 由以下原因导致:(a) ODD 退出 (b) ADS 故障 (c) 检测到碰撞 (d) 检测到接管用户在其不再满足本法规第 6.2.2.1.6 段条件时不可用(如适用),或 (e) 接管用户在系统发起的 ADS 停用后未能接管控制 | 功能处于激活状态时 |
| 用户对驾驶控制的输入(如适用) | 应用:(a) 制动控制,(b) 加速控制,(c) 转向控制,或 (d) 方向指示器 | 功能处于激活状态时 |
| 应用本法规第 6.2.3.1. 段指定的乘客停车请求 | | 功能处于激活状态时 |
| 阻止用户接管(如适用) | 阻止用户接管(如适用)由于:(a) 非故意的用户输入,(b) 当前情况不合适,(c) 当前情况不安全,或 (d) 用户未适当参与 | 功能处于激活状态时 |
| 检测到后备用户不可用,在其不再满足本法规第 6.2.2.1.6. 段条件时(如适用) | | 功能处于激活状态时 |
| 紧急操控开始 | | 功能处于激活状态时 |
| 紧急操控结束 | | 功能处于激活状态时 |
| 事件数据记录器(EDR)触发输入* | | 功能处于激活状态时 |
| 检测到碰撞 | | 功能处于激活状态时 |
| 达到风险缓解状态MRC | 本法规第 7.3.1.14 段规定的最终状态指示 | 功能处于激活状态时 |
| 检测到的故障场景 | 故障可能包括以下类型:(a) ADS (b) 传感器 (c) 其他车辆系统(机械、电气等) | 功能处于激活状态时 |
| 战术功能中的远程干预(如适用) | | 功能处于激活状态时 |
*不包括任何最后一次触发。
5.3 时间序列数据元素
5.3.1 [达到以下阈值或条件时,应按照第 5.3.x 段的规定记录数据元素:(a) 检测到碰撞 (b) EDR 触发输入(不包括最后一次停车触发)]
5.3.1.1 如果设计上没有系统或传感器来提供本附件第 5.3 段要求记录和存储的数据元素,则若数据能提供与指定数据元素等效的信息,可以使用替代数据。
5.3.2 下表详述了在触发事件期间要记录的时间序列数据元素。
| 数据元素 | 要求条件 | 记录间隔/时间(相对于时间戳) |
| 检测到的物体距离,纵向 | 如果可用,则必须记录 | |
| 检测到的物体距离,横向 | 如果可用,则必须记录 | |
| 检测到的物体相对速度,横向 | 如果可用,则必须记录 | |
| 检测到的物体相对速度,纵向 | 如果可用,则必须记录 | |
| 检测到的物体分类 | 如果可用,则必须记录 | |
| 传感器数据* | 如果“检测到的物体元素”不可用,则必须记录 | |
| ADS请求的加速需求 | 必须记录 | |
| ADS请求的行车制动需求 | 必须记录 | |
| ADS请求的驻车制动需求 | 必须记录 | |
| ADS请求的转向需求 | 必须记录 | |
| 车辆加速度,纵向 | 必须记录 | |
| 车辆加速度,横向 | 必须记录 | |
| ADS确定的车辆速度 | 必须记录 |
|
*例如,ADS用于决策的摄像头、毫米波雷达、激光雷达数据。这应记录在提供给授权实体的信息包中。这应包括在提供DSSAD数据时提交给授权实体的“可视化产示”,并应符合4.1和5.4的要求。
附录9 安全管理体系SMS合规证书模板
(完)
