ADS设计时要考虑的因素

     自动驾驶系统ADS设计是一个复杂且多维度的过程，需要综合考虑多个方面以确保系统的安全性、可靠性、高效性和适应性。

至少要考虑以下内容：

（a）系统安全；

（b）故障安全响应；

（c）HMI人机界面/操作员信息；

（d）目标和事件检测与响应OEDR（Object and Event Detection and Response）；

（e）运行设计域ODD（Operational Design Domain）；

（f）系统安全验证（仿真、轨道、公开道路）；

（g）网络安全；

（h）软件更新；

（i）自动驾驶事件数据记录系统DSSAD（Data Storage System for Automoted Driving）；

（j）远程操控；

（k）在役车辆的安全；

（l）相关者（消费者、运营者、安全员等）教育和培训。

（a）系统安全

SMS是一种管理安全的系统方法，它包括并整合了与安全相关的组织、人力和技术因素：

（i）人力因素：确保ADS生命周期的人的组成部分由具有适当技能、培训和理解的人员监控，以识别风险并制定适当的缓解措施；

（ii）组织（管理）因素：采用系统性的程序和方法管理已识别的风险，了解它们与其他风险和缓解措施的关系和相互作用，并协助确保没有不可预见的后果。

（iii）技术因素：使用适当的工具（8D、FMEA、FAT等）和设备。

确保ADS车辆不会对更广泛的运输生态系统，特别是ADS车辆使用者和其他道路使用者造成不合理的安全风险。

确保ADS车辆会严格遵守所在地区的交规。

（b）故障安全响应

（i）正常情况下的DDT性能要求应在合理可行的范围内继续适用于故障情况，以尽量减少总体风险；

（ii）ADS应检测故障、失效和异常，如果这些故障、失效和异常会损害ADS在其ODD内执行整个DDT的能力；

（iii）当故障不妨碍ADS功能的安全要求时，ADS功能应继续运行；

（iv）ADS可以允许激活和使用受故障影响的功能，前提是ADS能继续执行整个DDT；

（v）ADS应根据故障的严重程度调整其DDT性能，以确保道路安全；

（vi）如果故障会损害ADS在其功能的ODD内执行整个DDT的能力，在该故障出现时，应禁止激活该ADS功能；

（vii）ADS的受限操作应符合安全要求；

（viii）监管部门要求时，制造商和/或服务运营商可以远程终止单个或多个ADS功能；

（ix）执行ADS的远程终止时，ADS应能够安全响应；

（x）远程终止ADS后，用户将无法再次激活。

（c）人机界面/操作员信息

应至少考虑以下ADS相关人机界面信息：

（a）ADS功能、能力和限制的操作描述（信息还应提及具体情景和/或对应的ODD）；

（b）正确使用ADS及其功能的条款；

（e）如果允许角色转换，角色转换的描述以及这些转换的程序；

（f）当ADS功能处于激活状态，控制车辆运动时，ADS如何应对用户的干预；

（g）当ADS功能处于激活状态时，允许的非驾驶相关活动NDRA（Non-Driving Related Activities）的一般概述；

（h）用户的安全注意事项和安全相关信息；

（i）与HMI指示相关的信息：

       （ii）听觉信号；

      （iii）触觉信号；

（j）ADS发生故障时应采取的安全措施；

（k）维修保养操作的范围、时间和频率；

（l）进行定期技术检查的方法；

（m）维护、修理和定期技术检查的文件和模板；

（n）符合技术功能限值的预防性声明；

（o）数据保护和数据安全功能。

（d）目标和事件检测与响应OEDR（Object and Event Detection and Response）

应能精确识别和预测其他道路使用者的位姿，并做出合理响应，比如：

（e）运行设计域ODD（Operational Design Domain）

ADS必须确保：

  （i）它可以在其ODD中合理预期的条件下安全地运行；

  （ii）它将仅在其ODD中使用；

  （iii）它可以监控它是否在其ODD内部/外部并做出适当的响应。

       构成ADS运行设计阈ODD的条件将有助于确定需要哪些ADS能力。例如，如果ADS的ODD包括没有交通信号灯的路口，则该ADS所需的行为能力之一可能是“无保护的左转或右转”。然而，如果ADS的ODD仅限于高速公路或有交通信号灯的路口，则可能不需要相应的行为能力。

      除非满足功能的ODD条件，否则ADS应阻止功能的激活。

      当使用中的功能的一个或多个ODD条件不再满足时，ADS应执行安全回退响应。

（f）系统安全验证

（i）制定交通场景测试集；

（ii）场地内轨道测试；

（iii）仿真测试；

        （b）软件在环（SIL）；

        （c）硬件在环（HIL）；

        （d）车辆在环（VIL）；

       （e）驾驶员在环（DIL）；

（iv）真实道路测试。

（g）网络安全

（i）网络安全管理系统CSMS（Cyber Security Management System）；

（ii）风险识别、缓解措施；

（iii）次要风险和残余风险评估；

（iv）持续的风险评估，保持最新状态；

（v）能有效应对新的威胁和漏洞。

（h）软件更新

（i）软件更新管理系统SUMS（Software Update Management System）；

（ii）Rx软件识别号RxSWIN（Software Identification Number）；

（iii）为符合立法要求而实施的软件更新程序和管理制度。

（i）自动驾驶事件数据记录系统DSSAD（Data Storage System for Automoted Driving）

（i）存储位置和碰撞生存能力；

（ii）车辆运行和事故期间记录的数据；

（iii）数据安全和防止未经授权的访问或使用；

（iv）对数据进行授权访问的手段和工具。

（j）远程操作

（i）远程操作需要一个高效稳定的通信系统，以确保远程操作指令能够实时、准确地传输到车辆，并接收车辆状态反馈；

（ii）远程操作员应熟悉并遵守当地交通规则，包括速度限制、车道规定、交通信号等，以确保自动驾驶车辆在行驶过程中不违法违规；

（iii）针对可能发生的各种突发情况（如车辆故障、网络中断、黑客入侵等），制定详细的应急处理预案，并定期进行演练；

（iv）远程接管时车辆应能安全的移交DDT。

（k）在役车辆的安全

（i）监测ADS引起的紧急和非紧急事件；

（ii）在运营阶段管理潜在的安全相关漏洞；

（iii）在安全相关事件发生时向当局报告的方式、流程、模版等；

（iv）确认是否符合定义的安全案例；

（v）分享从事件和险情分析中获得的经验教训；

（vi）为汽车安全的持续改进做出贡献。

（l）相关者（开发者、消费者、运营者、安全员等）教育和培训

      通过教育和培训，不断提升自动驾驶技术从业者、驾驶员以及公众对自动驾驶技术的理解、操作能力和安全意识。

培训内容包括但不限于：

（a）自动驾驶技术原理：

       （i）感知技术：介绍摄像头、雷达、激光雷达等传感器的工作原理和数据处理方法；    

      （ii）控制技术：讲解自动驾驶车辆如何通过算法和控制系统实现自主驾驶；

      （iii）导航技术：阐述地图和定位技术在自动驾驶中的应用；

      （iv）安全技术：强调自动驾驶车辆的安全系统设计和保障措施。

（b）自动驾驶系统操作：

       （ii）模式切换：介绍如何通过遥控装置或车内按钮切换自动驾驶模式；

      （iii）异常情况应对：教育驾驶员在自动驾驶系统出现故障或遇到特殊情况时的应对措施。

（c）道路交通规则与法律法规：

        （i）讲解道路交通规则的基本内容和要求；

        （ii）介绍相关法律法规对自动驾驶车辆的规范要求；

        （iii）培训驾驶员在自动驾驶过程中如何遵守交通规则，避免违法行为。

（d）应急驾驶技能：

        （ii）强调安全驾驶技能的重要性，包括制动、转向、避让等技巧。

（e）团队合作与问题解决能力：

        （i）自动驾驶技术的研发和应用需要团队合作，因此培训中应强调团队协作意识的培养；

        （ii）通过案例分析、模拟演练等方式，提升学员的问题解决能力。