ChinaAutoRegs|GB/T 44721-2024英文版翻译《智能网联汽车 自动驾驶系统通用时刻要求》
Intelligent and Connected Vehicle—General Technical Requirements for Automated Driving System
CONTENTS
Foreword
Introduction
1 Scope
2 Normative References
3 Terms and Definitions
4 General Requirements
伸开剩余97%5 Execution of Dynamic Driving Task
6 Dynamic Driving Task Fallback
7 Human-Machine Interaction
8 Instructions
Annex A (Normative) Special Requirements Applicable to the Safety of the ADS
Annex B (Informative) Correspondence Between Technical Requirement and Test Type
Bibliography
1限度
本文献划定了自动驾驶系统的总体要求、动态驾驶任务实践要求、动态驾驶任务后盾要求、东说念主机交互要求等。
本文献适用于装备自动驾驶系统的M类、N类汽车。
2递次性援用文献
下列文献中的实质通过文中的递次性援用而构老本文献必不可少的条件。其中,注日历的援用文献,仅该日历对应的版块适用于本文献;不注日历的援用文献,其最新版块(包括悉数的修改单)适用于 本文献。
GB/T 34590.1说念路车辆功能安全第1部分:术语
GB/T 34590.3-2022说念路车辆 功能安全 第3部分:观念阶段
GB/T 40429—2021汽车驾驶自动化分级
GB/T 41798智能网联汽车自动驾驶功能场合锤真金不怕火方法及要求
GB/T 43267—2023说念路车辆预期功能安全
GB/T 44298-2024智能网联汽车 主宰件、雷同器及信号装配的标志
GB/T 44373—2024智能网联汽车 术语和界说
GB/T 44719智能网联汽车 自动驾驶功能说念路锤真金不怕火方法及要求
3术语和界说
GB/T 34590.1.GB/T 40429 2021、GB/T 43267 2023.GB/T 44373 2024 界定的以及下列术 语和界说适用于本文献。
3.1
自动驾驶功能 automated driving function
驾驶自动化系统在特定的联想运行条件下代替驾驶员不息白动地实践沿途动态驾驶任务的功能,
注:GB/T 40429-2021中划定的3级及以上驾驶自动化功能的总称,包括有条件自动驾驶、高度自动驾驶和实足 自动驾驶功能。
[开头:GB/T 44373 2024,6.4]
3.2
自动驾驶系统 automated driving system ;ADS
由完结自动驾驶功能的硬件和软件所共同构成的系统。
注:“自动驾驶系统”为GB/T 40429—2021划定的3级及以上驾驶自动化系统。
[开头:GB/T 44373—2024,5.3]
3.3
未激活景象inactive state
ADS未实践车辆畅通限度的景象。
3.4
就绪景象 ready state
ADS能被激活的未激活景象。
3.5
激活景象 active state
ADS实践车辆畅通限度的景象。
3.6
ADS严重失效 severe ADS failure
ADS要道部件失效导致严重影响ADS安全运行的失效。
示例:中枢筹算单位失效。
3.7
车辆严重失效 severe vehicle failure
任何同期影响ADS实践动态驾驶任务(DDT)材干且影响东说念主工驾驶的失效。
示例:电源掉电、制动系统失效、胎压斯须下落。
3.8
谋略接处事件 planned takeover event
ADS事前阐明并需要发出介入肯求的事件。
示例:达到联想运行限度(ODD)边际。
4总体要求
4.1 ADS应具备明确的联想运行条件(ODC)。
4.2 ADS应只可在其联想运行条件(3DC)下被激活。
4.3 ADS应具备豪阔的主张和事件探伤与反应(OEDR)材干,撑持其安全地实践沿途动态驾驶任务 (DDT)。
4.4 ADS应实时响诓骗户的有用操作。若用户的操作将导致危机的碰撞风险,ADS可把柄车辆制造 商声明的样式暂缓或扼制反应。若ADS具备暂缓或扼制响诓骗户操作的功能,应明确暂缓或扼制 条件。
4.5 ADS应实践合理的限度战术支吾可合理料思的用户误用。
4.6 ADS应不息对本人景象进行监测,以证据ADS是否存在失效以及ADS能否实践沿途动态驾驶 任务(DDT)。
4.7 ADS在激活景象下应实践沿途动态驾驶任务(DDT)且不应酿成不对理的安全风险。
4.8 ADS在激活景象下实践动态驾驶任务(DDT)时,应妥当说念路交通划定。
4.9 ADS在激活景象下实践动态驾驶任务(DDT)时,应妥当其他说念路使用者的合理预期。
4.10 ADS在激活景象下,关于撑持驾驶员复原东说念主工驾驶所需的装配或系统,应证据该装配或系统是 否处于恰当东说念主工驾驶的运功绩态©若关连装配或系统处于不适当的运功绩态,ADS应实践合理的控 制战术3
注:所需的装配或系统如除雾装配、前风窗玻璃刮水器、照明装配等0
4.11 ADS在激活景象下,不应导致任何可合理料思且可着重的碰撞事故。
4.12 ADS在激活景象下,当碰撞不可幸免时,应实践合理限度战术以镌汰事故伤害或亏本。
4.13 ADS在激活景象下,当检测到车辆发生碰撞后,除车辆制造商声明的情况,应使车辆静止。
4.14 ADS在激活景象下,当联想运行条件(ODC)行将不欢畅或也曾不欢畅时,应实践合理的限度 战术。
4.15 ADS在激活景象下,应与其他说念路使用者进行有用的信拒绝互。
注:信拒绝互样式如转向信号灯、制动灯等。
4.16 ADS在激活景象下,不应淆乱普通的交通流而导致举座通行服从下落。
365建站客服QQ:800083652
4.17 ADS不应存在由于功能绝顶推崇引起的危害而导致的不对理风险,应妥当附录Ao
4.18 ADS不应存在因预期功能或其完结的功能不及引起的危害而导致的不对理风险,应妥当附 录A o
4.19 装备ADS的车辆应装备自动驾驶数据纪录系统(DSSAD)。
4.20 应在审核ADS斥地联想过程和材料的基础上,合理采纳仿真锤真金不怕火、场合锤真金不怕火、说念路锤真金不怕火等锤真金不怕火 方法考据ADS妥当本文献的要求,锤真金不怕火类型可参考附录B进行采纳。
4.21 关于联想运行限度(ODD)包含公路或城市说念路的ADS,若进行场合锤真金不怕火,应至少按照GB/T 41798 进行锤真金不怕火;若进行说念路锤真金不怕火,应至少按照GB/T 44719进行锤真金不怕火;若进行仿真锤真金不怕火,应至少按照自动驾 驶功能仿真锤真金不怕火方法关连国度尺度进行锤真金不怕火。
5动态驾驶任务实践
5.1 ADS应能不息识别是否欢畅其联想运行条件(ODC)。
5.2 ADS的感知系统应具备与ADS的ODC相适配的探伤限度°
5.3 ADS应能细目自车位置、探伤周围环境中的主张和事件。
注:常见主张如说念路(含说念路类型、说念路名义条件、说念路几何、车说念特征、说念路边际等)、说念路法子(含交通标志、交通 信号灯等)、主张物(含活泼车、非活泼车、行东说念主、掌握物等)、天气环境(含天气、光照条件等)、数字信息环境(含 无线通讯、位置信号等)。
5.4 ADS应能探伤主张的位置以及动态主张的迁移速率。
5.5 ADS应实践合理的限度战术支吾感知系统的性能零落。
注:性能零落一般指由于传感器本人的老化而酿成的性能下落。
5.6 ADS应实践合理的限度战术支吾探伤到但无法识别类型的主张物。
5.7 ADS应实践合理的限度战术支吾无法探伤区域内存在的安全风险。
注:无法探伤区域如传感器布宜及感知限度酿成的立区、由其他说念路使用者或掌握物遮拦酿成的盲区、说念路拓扑或 时势酿成的肓区等。
5.8 ADS在激活景象下,应合理筹算和限度车辆行驶旅途与行驶速率,以妥当说念路、说念路法子、主张
物、天气环境、数字信息环境等。
5.9 ADS在激活景象下,应限度车辆与其他说念路使用者保持安全距离;若因其他说念路使用者的步履导 致刻下距离无法欢畅安全距离要求,则应实践合理的限度战术以镌汰安仝风险并在后续合当令机养息 保持安全距离。
5.10 ADS在激活景象下,应实践合理限度战术支吾静止的其他说念路使用者。
5.11 ADS在激活景象下,应至少探伤由于前线车辆延缓、车辆切入或斯须出现的掌握物而导致碰撞 的风险,并应自动实践合理的限度战术以最大限制地减少对用户和其他说念路使用者的安全风险。
5.12 ADS在激活景象下.不应与车辆前线无遮拦的行东说念主发生碰撞;若因行东说念主导致无法幸免碰撞,则应
减缓碰撞。
5.13 ADS在激活景象下,不应导致车辆失去限度和单车事故。
5.14 ADS在激活景象下,应合理限度车辆的照明和光信号装配,包括但不限于转向信号灯、危险告诫 信号、制动灯。
6动态驾驶任务后盾
6.1 驾驶员承袭材干监测
6.1.1 一般要求
6.1.1.1 关于需要传统驾驶员实践承袭的ADS,应具备驾驶员承袭材干监测功能。
6.1.1.2 驾驶员承袭材干监测功能至少应具备在位监测和实践动态驾驶任务(DDT)材干监测。
6.1.2 驾驶员在位监测
关于需要传统驾驶员实践承袭的ADS,在激活景象下,当发生以下任一情况时,ADS应按照6.2 发出介入肯求:
a)驾驶员不在驾驶位朝上1s;
b)驾驶员未系安全带。
6.1.3 驾驶员实践动态驾驶任务(DDT)材干监测
6.1.3.1 关于需要传统驾驶员实践承袭的ADS,应至少通过2种有用的方针对驾驶员是否具备实践动 态驾驶任务(DDT)的材干进行判定,且应确保判定周期是合理的。
注:方针如特定的东说念主机交互动作、眼部景象、头部畅通或身体畅通等。
6.1.3.2 关于需要传统驾驶员实践承袭的ADS,当ADS处于激活景象且驾驶员被判定为不具备实践 动态驾驶任务(DDT)的材干时,ADS应立即发出明确的承袭材干不及请示信号,每次发出的承袭材干 不及请示信号应在欢畅以下任一条件时关闭:
a)监测到驾驶员复原实践动态驾驶任务(DDT)材干;
b) ADS发出介入肯求;
c) ADS实践最小风险战术(MRM);
d) ADS退出。
6.2 承袭
6.2.1 一般要求
关于需要传统驾驶员实践承袭的ADS,发出介入请乞降反应驾驶员承袭的限度战术应安全、可靠 和有用,并应能实时检测驾驶员是否实践承袭操作。
6.2.2 发出介入肯求
6.2.2.1 关于需要传统驾驶员实践承袭的ADS,应具备明确的介入肯求触发条件,且ADS应能识别需 要发出介入肯求的悉数情况。除6.2.2.2 c)和6.2.2.3的迥殊情况外,当不欢畅7.1.2.1中任一条件或接 管材干不及请示信号达到设定时万古,ADS应发出介入肯求。
6.2.2.2 介入肯求的发出时机应确保驾驶员有豪阔的时辰安全承袭车辆,至少欢畅以下要求。
a)关于谋略接处事件,ADS应在适当的时刻发出介入肯求,以确保即使驾驶员未承袭,最小风 险战术(MRM)仍能使车辆在谋略接处事件发生前静止。
b)关于非谋略接处事件,ADS应在检测到该事件时实时发出介入肯求。
注:非谋略接处事件是指ADS事前未阐明但需要发出介入肯求的事件,如说念路临时施工、车说念标线消亡等。
c)关于影响ADS运行的失效.ADS应在检测到该失效时立即发出介入肯求°若该失效为
ADS严重失效或车辆严重失效,则ADS可不发出介入肯求平直实践最小风险战术(MRM)。
6.2.2.3若发生车辆制造商所声明的无法保险驾驶员有充足的时辰承袭车辆的事件,ADS不应发出介 东说念主肯求,可立即实践最小风险战术(MRM)。
示例:企业声明在“事件X”下无法保险驾驶员有充足的时辰承袭车辆并阐明该声明的合感性,则ADS在“事件X” 下就无用也弗成发出介入肯求。
6.2.3 介入肯求阶段
6.2.3.1 在介入肯求发出过程中,ADS应保持激活景象并实践沿途动态驾驶任务(DDT)。
6.2.3.2 除车辆制造商声明的迥殊情况,在介入肯求发出过程中,ADS不应使车辆静止。
6.2.3.3 在介入肯求发出过程中,介入肯求应在发出后合理时K内升级并保持升级景象至介入肯求 隔绝。
6.2.3.4 介入肯求从发出到因实践最小风险战术(MRM)而隔绝的时长应不小于10 s,使驾驶员有充足 的时辰承袭车辆。
注:在驾驶员不息未承袭的情况下•介入肯求发出、升级以及开动实践MRM的时序关系暗示图如图1。
介入肯求
发出时刻
介入肯求
升级时刻
开动实践MRM
时刻
介入肯求发出、升级以及开动实践MRM的时序关系暗示图
6.2.4 隔绝介入肯求
仅当ADS退出或实践最小风险战术(MRM)时,才应隔绝介入肯求。
6.3 最小风险战术(MRM)
6.3.1.1 ADS应有明确的实践最小风险战术(MRM)的条件,且应能识别需要实践最小风险战术 (MRM)的悉数情况,至少应包括:
a)关于需要传统驾驶员实践承袭的ADS,驾驶员未在划定的时辰(不小于10s)内反应介入 肯求;
b)关于不需要传统驾驶员实践承袭的ADS,当联想运行条件(ODC)行将不欢畅,ADS实时执 行最小风险战术(MRM)并能使车辆在不欢畅联想运行条件(ODC)之前达到静止;若因迥殊 情况使联想运行条件(ODC)斯须不欢畅,ADS立即实践最小风险战术(MRM)并能使车辆达 到静止。
6.3.1.2 当ADS实践最小风险战术(MRM)时,应将用户和其他说念路使用者的安全风险降至可接受 水平。
注:在实践最小风险战术(MRM)时间,ADS可能不再有材干欢畅本文献的要求,但其主张是使安全风险降至可接
受水平。
6.3.1.3 当ADS实践最小风险战术(MRM)时,应开启并保持危险告诫信号,在换说念过程中应把柄说念 路交通划定合理使用危险告诫信号。
6.3.2 隔绝最小风险战术(M RM)
6.3.2.1 仅当ADS退出或ADS使车辆静止时,才应隔绝最小风险战术(MRM)。
6.3.2.2 当因车辆静止而隔绝最小风险战术(MRM)后,不应因ADS退出导致危险告诫信号关闭。
7东说念主机交互
7.1 激活和退出
7.1.1 一般要求
7.1.1.1 ADS应配备供用户激活和退出ADS的专用主宰样式,该样式应驻扎可合理料思的用户误用。 注:专用主宰样式如专用的主宰件或对主宰件的专用主宰方法等。
7.1.1.2 当ADS处于激活景象时,应至少有一种退出ADS的主宰样式对用户保持可见。
7.1.1.3 车辆每次点燃(上电)后(发动机自动启停之外),ADS应处于未激活景象。
7.1.2 激活
7.1.2.1 关于需要传统驾驶员实践承袭的ADS,仅当驾驶员实践激活操作且欢畅以下悉数条件时, ADS才应被激活:
a)驾驶员坐在驾驶位置上,且系好安全带;
b)驾驶员具备实践动态驾驶任务(DDT)材干;
c)不存在影响ADS运行的失效;
d)自动驾驶数据纪录系统(DSSAD)处于可纪录景象;
e)车辆未在实践影响ADS运行的软件升级;
f)除a)〜e)外,车辆制造商声明的其他联想运行条件(ODC)。
7.1.2.2 关于不需要传统驾驶员实践承袭的ADS,仅当用户实践激活操作且欢畅以下悉数条件时, ADS才应被激活:
a)不存在影响ADS运行的失效;
b)自动驾驶数据纪录系统(DSSAD)处于可纪录景象;
c)车辆未在实践影响ADS运行的软件升级;
d)除a)〜c)外,车辆制造商声明的其他联想运行条件(ODC)。
7.1.3 退出
7.1.3.1 欢畅以下任一条件时,ADS应退出:
a)用户通过专用主宰样式退出ADS;
b)驾驶员按照7.2.2.1干扰横向畅通限度;
c)驾驶员按照7.2.3.L7.2.3.2干扰纵向畅通限度,且驾驶员手持地点盘;
d)在介入肯求发出或实践最小风险战术(MRM)过程中,除a)〜c)外,ADS证据驾驶员手持方 向盘且专注于动态驾驶任务(DDT);
e)因车辆静止而隔绝最小风险战术(MRM)。
7.1.3.2 在发生车辆严重失效或ADS严重失效的情况下,ADS可实践车辆制造商声明的其他安全退 出的限度战术。
7.1.3.3 除7.1.3.1 1.3.2以及ADS到达预设目的地外,ADS不应退出。
7.1.3.4 仅当用户实践的退出操作将导致危机的碰撞风险时,ADS可暂缓退出。
7.1.3.5 ADS的退出不应导致:
a)任何济急援手功能自动关闭;
b)任何部分驾驶援手功能或组合驾驶援手功能自动激活。
7.2 干扰
7.2.1 一般要求
ADS反应驾驶员干扰的限度战术应安全、可靠和有用,并应能检测驾驶员是否实践干扰操作。
7.2.2 横向运行限度干扰
7.2.2.1 当驾驶员对转向限度的干扰朝上车辆制造商声明的为驻扎误用而联想的合理阈值时,驾驶员 输入的转向限度应被实践。
7.2.2.2 ADS应检测驾驶员是否专注于动态驾驶任务(DDT),7.2.2.1中的阈值应与驾驶员专注于动 态驾驶任务(DDT)的情况关连。
7.2.3 纵向畅通限度干扰
7.2.3.1 当驾驶员对制动限度的干扰产生比ADS引起的延缓度更大或通过任何制动系统使车辆保持 静止时,驾驶员输入的制动限度应被实践。
7.2.3.2 当驾驶员对加快限度进行干扰时,驾驶员的输入可被实践,但不应导致ADS不妥当本文献的 要求。
7.2.3.3 关于需要传统驾驶员实践承袭的ADS,当驾驶员仅干扰制动或加快限度且朝上为驻扎误用而 联想的合理阈值时,A D S应发出介入肯求。
7.2.3.4 关于不需要传统驾驶员实践承袭的ADS,当驾驶员仅干扰制动或加快限度且朝上为驻扎误用 而联想的合理阈值时,ADS应实践合理的限度战术。
7.2.4 干扰扼制
若驾驶员的干扰将导致危机的碰撞风险,ADS可把柄车辆制造商声明的样式松开或扼制驾驶员 的干扰对任何限度的影响。
7.2.5 其他干扰战术
7.2.5.1 在发生车辆严重失效或ADS严重失效的情况下,ADS可实践车辆制造商声明的其他安全响 应干扰的限度战术。
7.2.5.2 若用户主宰车辆其他干扰装配(如有),ADS支吾用户进行请示,并实践车辆制造商声明的控 制战术,
注:其他干扰装配如转向信号灯主宰件,
7.3 系统景象请示
7.3.1 一般要求
7.3.1.1 ADS应不息向用户请示明确、充分的ADS景象信息,各景象信息应易于永别,且不支吾用户 酿成干扰。
7.3.1.2 当ADS景象发生变化时,ADS应实时向用户提供必要的请示信息。
7.3.2 未就绪景象请示
若由于ADS处于未就绪景象而导致用户激活系统失败,则应向用户直不雅地请示。
注:未就绪景象是指ADS弗成被激活的未激活景象。
7.3.3 就绪景象请示
当ADS处于就绪景象时,宜至少通过光学信号向用户请示系统可被激活。
示例:翰墨信息、图形标志等。
7.3.4 激活景象请示
7.3.4.1 ADS由未激活景象投入激活景象时,应至少通过专用的光学信号向用户请示ADS已激活。
7.3.4.2 ADS处于激活景象时,应至少通过光学信号不息向用户请示ADS处于激活景象。
7.3.5 退出请示
ADS由激活景象退出至未激活景象时,应通过至少两种样式向用户请示ADS已退出,至少包括 光学信号。由于驾驶员承袭导致ADS退出,可仅用光学信号请示。
7.3.6 介入肯求
7.3.6.1 未升级的介入肯求的请示样式应在光学信号的基础上附加声学和/或触觉信号。其中光学信 号应直不雅且明确地请示驾驶员介入肯求的反应样式,标志应妥当GB/T 44298-2024表1中序号5的 要求O
7.3.6.2 按照6.2.3.3进行介入肯求升级后,升级的介入肯求至少应增多不息或间歇性的触觉请示。
7.3.7 最小风险战术(M RM )请示
7.3.7.1 在ADS实践最小风险战术(MRM)过程中,支吾用户给出显然请示,请示样式应在光学信号 的基础上附加声学和/或触觉信号。
7.3.7.2 ADS处于最小风险景象(MRC)时,应至少以光学、声学或触觉中的两种信号请示用户直至 ADS退出。
7.3.7.3 关于需要传统驾驶员承袭的ADS,最小风险战术(MRM)的请示信号应与介入肯求不同。
7.3.8 失效请示
在ADS激活景象下,若检测到ADS失效,ADS应向用户发出显然请示,至少包括光学请示信号。
7.3.9 承袭材干不及请示
承袭材干不及请示信号应显然区别于ADS激活景象下车辆其他请示信号。
站群论坛7.3.10 暂缓或扼制响诓骗户操作请示
若ADS暂缓或扼制响诓骗户的操作,应明确请示且区别于ADS激活景象下车辆其他请示信号。
8说明书
关于装备ADS的车辆,其家具说明书至少应包含:
a)“本车具备ADS”等实质的说明;
b)ADS的联想运行条件(ODC)的说明;
c)激活ADS的方法及条件的说明;
d)退出ADS的方法及条件的说明;
e)干扰ADS的方法及扫尾的说明;
f) ADS各景象请示信号的说明;
g)若ADS不需要承袭,“本车ADS无需被驾驶员承袭”等实质的说明;
h)若ADS需要承袭,“本车ADS在特定条件下需要被驾驶员承袭”等实质的说明;
i)若ADS需要承袭,介入肯求的说明;
j) 若ADS需要承袭,承袭ADS的方法及扫尾的说明;
k)若ADS需要承袭,承袭材干不及请示信号的说明;
l)ADS实践最小风险战术(MRM)的条件的说明;
m)ADS实践最小风险战术(MRM)的车辆步履及扫尾的说明;
n)若ADS激活景象下发生碰撞事故,对用户的提议°
附录 A
(递次性)
适用于ADS的安全性的迥殊要求
A.1总则
本附录旨在确保车辆制造商在ADS联想和斥地过程中对功能安全和预期功能安全等进行了充分 的计议,并筹商通盘车辆的人命周期过程(斥地、坐褥、运行、办事、报废),以幸免因ADS故障、预期功 能不及导致的对用户和其他说念路使用者酿成不对理的风险,确保ADS的运行安全。
本附录划定了 ADS在功能安全和预期功能安全等方面的迥殊要求。
本附录不针对ADS的标称性能,也不看成ADS功能安全和预期功能安全斥地的具体率领,而是 划定ADS联想、考据和证据过程中应解任的方法和应具备的信息,看成欢畅功能安全和预期功能安全 等的依据。
A .2总体要求
A.2.1车辆制造商应诞生安全处置体系,继承有用的过程、方法和用具处置ADS在车辆全人命周期 (包含斥地、坐褥、运行、办事、报废)中的安全性,并阐明ADS在声明的联想运行条件(ODC)内(包括 畛域)不会对用户和其他说念路使用者酿成不对理的风险。
A.2.2车辆制造商应诞生联想斥地过程,包括安全处置体系、需求处置、需务实施、测试、失效追踪、维 护和发布。
A.2.3车辆制造商应在认真ADS的功能安全、预期功能安全、信息安全和其他安全的部门间诞生并 保持有用的沟通渠说念。
A.2.4车辆制造商应具有一个或多个过程,用于监控由ADS激勉的安全关连事件,以及处置ADS潜 在风险并能升级ADS0
A.2.5车辆制造商应按时进行零丁的里面过程审核,以确保把柄A.2.1〜A.2.4诞生的过程获取一致 的实施。
A.2.6车辆制造商应处置供应商(举例,契约处置、质料处置体系等),以确保供应商的安全处置体系符 合A.2.1〜A.2.3和A.2.5中关连的要求。
A.3系统样式
A.3.1 ADS功能样式
A.3.1.1车辆制造商应具有相应的文档,用于说明ADS的功能(包括其对应的驾驶限度战术)。
A.3.1.2车辆制造商应具有相应的文档,用于说明ADS的联想运行条件(ODC)以及在联想运行条件 (ODC)内实践动态驾驶任务(DDT)所采用的方法。
A.3.1.3车辆制造商应具有相应的文档,用于说明ADS与用户和其他说念路使用者预期的交互,包括当 达到ADS的联想运行条件(ODC)时的东说念主机交互(HMI)战术。
A.3.1.4车辆制造商应具有相应的文档,用于说明ADS激活、干扰(包括干扰的阈值,举例力矩、角度、 不息时辰)、最小风险战术(MRM)和退出等,包括ADS怎么驻扎用户合理可料思的误用,以及怎么通 过最小风险战术(MRM)使安全风险降至可接受水平。
A.3.1.5关于需要传统驾驶员承袭的ADS,车辆制造商还应具有相应的文档,用于说明ADS向驾驶 员发出介入肯求的多样情况和ADS怎么证据驾驶员景象-举例,是否具备动态驾驶任务(DDT)实践材干]、承袭材干不及请示信号以及驾驶员实践动态驾驶任务(DDT)材干的判定周期等。
A.3.1.6车辆制造商应具有相应的文档,用于说明感知系统的输入、输出,感知系统普通职责限度(包 括支吾传感器的零落)以及感知系统对ADS步履的影响。
A.3.1.7车辆制造商应具有相应的文档,用于说明方案系统的输出,以及对车辆畅通限度的影响等。
A.3.1.8要是在ADS运行阶段使用一语气的学习算法,车辆制造商应具有相应的文档,用来对数据处理 过程进行样式。
A.3.2 系统布局和旨趣图
A.3.2.1系统组件清单
A.3.2.1.1车辆制造商应具有组件清单,该清单应包含ADS的悉数单位,同期也应列出为完结自动驾 驶功能所需的车辆其他系统。
注:车辆其他系统如自动驾驶数据纪录系统(DSSAD)。
A.3.2.1.2车辆制造商应具有ADS布局及旨趣图,且草率了了地展示组件散布和相互联结,旨趣图应 包括以下实质:
a)感知系统(包含舆图和定位系统,如适用);
b)方案系统;
c)实践系统;
注:实践系统本人的功能安全要求在GB 17675、GB 12676和GB 21670中已有具体要求。
d)由长途后台提供的长途监控(如适用)。
A.3.2.2单位功能
车辆制造商应具有相应的文档,用来概括以下实质:
a) ADS各单位的功能,并展示该单位与其他单位或车辆其他系统间的联结,可使用带标记的框 图或其他暗示图说明;
b)信号传输与各单位的对应关系,以及信号的优先级(如适用)。
A.3.2.3单位的识别
A.3.2.3.1车辆制造商应具有相应的文档,文档中应能了了明确地识别每个单位(举例,硬件单位、软件 单位)并提供相应的说明。
A.3.2.3.2车辆制造商应明确标记硬件和软件的版块。
A.3.2.4感知系统部件的安装说明
车辆制造商应具有相应的文档,用来说明感知系统中单个部件的安装信息。这些信息应包括但不 限于:
a)部件在车辆上的位置;
b)部件外名义的材料;
c)部件外名义的尺寸和时势;
d)部件外名义的光洁度;
e)对ADS性能影响大的安装递次。
A.4功能安全要求
A.4.1危害分析和风险评估
车辆制造商应把柄装备ADS的车辆的主张使用场景及主张用户,在整车层面开展面向功能安全的危害分析和风险评估,并界说相应的汽车安全竣工性等第(ASIL)和安全主张,妥当GB/T 34590.3-2022第6章的要求。
A.4.2功能安全观念
A.4.2.1车辆制造商应进行系统层面的面向功能安全的安全观念行径,以保险系统在故障条件下,对用户和其他说念路使用者不存在不对理的风险。
注:安全观念包括功能安全观念和时刻安全观念。
A.4.2.2车辆制造商应进行安全分析行径,并制定对应的安全措施,以说明系和谐旦发生失效,该系统 怎么幸免或减轻可能对用户和其他说念路使用者的安全产生影响的危害。安全分析至少包括以下实质。
a)系统层面的安全分析,可继承潜在失效形态与影响分析(FMEA)、故隙树分析(FTA)、系统理 论过程分析(STPA)或恰当系统安全分析的其他雷同过程。
b)计议如下身分可能导致的危害以开展安全分析:
1)感知系统故障;
2)方案系统故障;
3)实践系统故障。
注:实践系统关连安全分析行径参考关连国度尺度。
A.4.2.3车辆制造商应具备文档,用于样式ADS请示信号优先级以及ADS在典型故障情况下向用户 提供的请示信号。
A.4.2.4车辆制造商应进行安全措施制定,以确保安全观念完结。ADS可采用如下安全措施,
a)使用部分系统保管运行°若采纳在某些故障条件下(如探伤相邻车说念的传感器故障)保管部 分性能(举例,保管在本车说念,不撑持变说念)的运行形态,应说明这些故障条件并细目部分系统 保管运行的后果。
b)切换到备用系统。若采纳备用系统完结动态驾驶任务(DDT),应说明切换机制的旨趣、冗余 的逻辑和层级、备用系统的景象查验机制并界定备用系统的后果。
c)退出自动驾驶功能。若采纳退出,过程应妥当本文献要求。
A.4.3考据和证据
A.4.3.1车辆制造商应实践考据和证据行径,并对考据和证据谋略及扫尾进行查验,以阐明欢畅面向 功能安全的安全观念。考据和证据应基于仿真锤真金不怕火、场合锤真金不怕火、说念路锤真金不怕火或其他适当的方法。
A.4.3.2车辆制造商应通过模拟ADS组件的典型故隙,以查验系统组件发生失效情况下的安全推崇。
A.5预期功能安全要求
A.5.1危害识别和风险评估
车辆制造商应把柄装备ADS的车辆的主张使用场景及主张用户,在整车层面开展面向预期功能 安全的危害识别和风险评估,并细目风险接受准则,妥当GB/T 43267-2023第6章的要求。
A.5.2预期功能安全措施的制定
A.5.2.1车辆制造商应制定面向预期功能安全的安全措施,以保隙关于功能不及,ADS不会对用户和 其他说念路使用者酿成不对理的风险。ADS可采用如下安全措施:
a)改善系统性能;
b)甘休系统激活;
c)向用户发出告诫;
d)肯求驾驶员承袭;
e)减慢运行;
f) 最小风险战术(MRM)。
A.5.2.2车辆制造商应进行安全分析行径,以识别和评估系统潜在功能不及和潜在触发条件,并制定 对应的安全措施,以说明在对应的场景下,该ADS怎么幸免或减轻可能对用户和其他说念路使用者的安 全产生影响的危害。安全分析至少包括以下实质。
a)系统层面的安全分析,见GB/T 43267—2023中的表4和B.3,或任何恰当系统安全分析的其 他雷同过程。
b)计议如下身分可能导致的危害以开展安全分析:
1)感知系统、方案系统和实践系统的常见功能不及;
2)未能充分计议或未治服说念路交通划定;
3)可合理料思的误用;
4)联想运行条件(ODC)畛域场景识别不及。
A.5.3考据和证据战术制定
车辆制造商应针对ADS制定考据和证据战术,包括考据和证据方法及合感性阐明,妥当GB/T 43267—2023 第 9 章的要求 °
A.5.4考据和证据
A.5.4.1车辆制造商应实践考据和证据行径,并对考据和证据谋略及扫尾进行查验,以阐明欢畅面向 预期功能安全的接受准则。考据和证据应基于仿真锤真金不怕火、场合锤真金不怕火、说念路锤真金不怕火或其他适当的方法。
A.5.4.2车辆制造商支吾ADS的联想运行条件(ODC)下典型的可合理料思的场景进行充分证据。
A.5.4.3车辆制造商应查验在要道典型场景下ADS的主张和事件探伤与反应(OEDR)、系统方案和 东说念主机交互(HMI)等是否妥当本文献的要求。
A.5.5运行阶段预期功能安全监控
车辆制造商应诞生并落完结场监控历程,以确保ADS运行阶段的预期功能安全,妥当GB/T 43267-2023第13章的要求。
示例:面向ADS的现场监控历程可包括但不限于自动驾驶数据纪录系统(DSSAD)、汽车事件数据纪录系统 (EDR)、车载安全监控系统或长途安全监控系统。
A.6系统评估阐发
车辆制造商应基于本附录的要求进行系统评估并输出评估阐发。评估阐发应具有可挂牵性。
发布于:山东省
- 汽车思维 传统与当代的会通 iMAX8 DMH 新陆尊品鉴之旅 2024-12-23
- 汽车思维 弥散大的空间,弥散安闲的环境 2024-12-21
- 汽车思维 更多细节曝光!全新一汽奥迪A5L实车内饰,配曲面双联屏+副驾屏 2024-12-21
- 汽车思维 良马有 15 万控制的车吗?且看我来扒一扒! 2024-12-20
- 汽车思维 特斯拉副总裁陶琳:清凉地区电车依然能彻底替代油车 2024-12-20