欧洲杯体育不应导致任何可合理预思且可看护的碰撞事故-开云官网登录入口 开云app官网入口

ChinaAutoRegs｜GB/T 44721-2024英文版翻译《智能网联汽车 自动驾驶系统通用时期要求》

Intelligent and Connected Vehicle—General Technical Requirements for Automated Driving System

CONTENTS

Foreword

Introduction

1 Scope

2 Normative References

3 Terms and Definitions

4 General Requirements

伸开剩余97%

5 Execution of Dynamic Driving Task

6 Dynamic Driving Task Fallback

7 Human-Machine Interaction

8 Instructions

Annex A (Normative) Special Requirements Applicable to the Safety of the ADS

Annex B (Informative) Correspondence Between Technical Requirement and Test Type

Bibliography

1范畴

本文献规则了自动驾驶系统的总体要求、动态驾驶任求本质要求、动态驾驶任务后盾要求、东说念主机交互要求等。

本文献适用于装备自动驾驶系统的M类、N类汽车。

2范例性援用文献

下列文献中的本色通过文中的范例性援用而构资本文献必不可少的条目。其中，注日历的援用文献，仅该日历对应的版块适用于本文献；不注日历的援用文献，其最新版块（包括悉数的修改单）适用于 本文献。

GB/T 34590.1说念路车辆功能安全第1部分：术语

GB/T 34590.3-2022说念路车辆 功能安全 第3部分：想法阶段

GB/T 40429—2021汽车驾驶自动化分级

GB/T 41798智能网联汽车自动驾驶功能场面考研方法及要求

GB/T 43267—2023说念路车辆预期功能安全

GB/T 44298-2024智能网联汽车 主宰件、辅导器及信号安装的标志

GB/T 44373—2024智能网联汽车 术语和界说

GB/T 44719智能网联汽车 自动驾驶功能说念路考研方法及要求

3术语和界说

GB/T 34590.1.GB/T 40429 2021、GB/T 43267 2023.GB/T 44373 2024 界定的以及下列术 语和界说适用于本文献。

3.1

自动驾驶功能 automated driving function

驾驶自动化系统在特定的联想运行条件下代替驾驶员延续白动地本质一皆动态驾驶任务的功能,

注：GB/T 40429-2021中规则的3级及以上驾驶自动化功能的总称,包括有条件自动驾驶、高度自动驾驶和皆备 自动驾驶功能。

[起原：GB/T 44373 2024,6.4]

3.2

自动驾驶系统 automated driving system ;ADS

由竣事自动驾驶功能的硬件和软件所共同构成的系统。

注：“自动驾驶系统”为GB/T 40429—2021规则的3级及以上驾驶自动化系统。

[起原：GB/T 44373—2024,5.3]

3.3

未激活气象inactive state

ADS未本质车辆暴露限定的气象。

3.4

就绪气象 ready state

ADS能被激活的未激活气象。

3.5

激活气象 active state

ADS本质车辆暴露限定的气象。

3.6

ADS严重失效 severe ADS failure

ADS要害部件失效导致严重影响ADS安全运行的失效。

示例：中枢盘算单位失效。

3.7

车辆严重失效 severe vehicle failure

任何同期影响ADS本质动态驾驶任务（DDT）智商且影响东说念主工驾驶的失效。

示例：电源掉电、制动系统失效、胎压倏得下跌。

3.8

辩论接职业件 planned takeover event

ADS事前暴露并需要发出介入央求的事件。

示例：达到联想运行范畴（ODD）角落。

4总体要求

4.1 ADS应具备明确的联想运行条件（ODC）。

4.2 ADS应只可在其联想运行条件（3DC）下被激活。

4.3 ADS应具备迷漫的主张和事件探伤与反馈（OEDR）智商，援救其安全地本质一皆动态驾驶任务 （DDT）。

4.4 ADS应实时响诈欺户的灵验操作。若用户的操作将导致危险的碰撞风险，ADS可凭据车辆制造 商声明的时势暂缓或扼制反馈。若ADS具备暂缓或扼制响诈欺户操作的功能，应明确暂缓或扼制 条件。

4.5 ADS应本质合理的限定政策搪塞可合理预思的用户误用。

4.6 ADS应延续对自己气象进行监测，以证明ADS是否存在失效以及ADS能否本质一皆动态驾驶 任务（DDT）。

4.7 ADS在激活气象下应本质一皆动态驾驶任务（DDT）且不应形成分歧理的安全风险。

4.8 ADS在激活气象下本质动态驾驶任务（DDT）时，应安妥说念路交通规则。

4.9 ADS在激活气象下本质动态驾驶任务（DDT）时，应安妥其他说念路使用者的合理预期。

4.10 ADS在激活气象下,关于援救驾驶员收复东说念主工驾驶所需的安装或系统，应证明该安装或系统是 否处于妥贴东说念主工驾驶的运功绩态©若有关安装或系统处于不安妥的运功绩态，ADS应本质合理的控 制政策3

注：所需的安装或系统如除雾安装、前风窗玻璃刮水器、照明安装等0

4.11 ADS在激活气象下，不应导致任何可合理预思且可看护的碰撞事故。

4.12 ADS在激活气象下，当碰撞不可幸免时，应本质合理限定政策以镌汰事故伤害或耗损。

4.13 ADS在激活气象下，当检测到车辆发生碰撞后，除车辆制造商声明的情况，应使车辆静止。

4.14 ADS在激活气象下，当联想运行条件（ODC）行将不得志或仍是不得志时，应本质合理的限定 政策。

4.15 ADS在激活气象下，应与其他说念路使用者进行灵验的信拒却互。

注：信拒却互时势如转向信号灯、制动灯等。

4.16 ADS在激活气象下，不应淆乱肤浅的交通流而导致全体通行效率下跌。

4.17 ADS不应存在由于功能止境发达引起的危害而导致的分歧理风险，应安妥附录Ao

4.18 ADS不应存在因预期功能或其竣事的功能不及引起的危害而导致的分歧理风险，应安妥附 录A o

4.19 装备ADS的车辆应装备自动驾驶数据纪录系统（DSSAD）。

4.20 应在审核ADS斥地联想过程和材料的基础上，合理遴荐仿真考研、场面考研、说念路考研等考研 方法考证ADS安妥本文献的要求，考研类型可参考附录B进行遴荐。

4.21 关于联想运行范畴（ODD）包含公路或城市说念路的ADS,若进行场面考研，应至少按照GB/T 41798 进行考研；若进行说念路考研，应至少按照GB/T 44719进行考研；若进行仿真考研，应至少按照自动驾 驶功能仿真考研方法有关国度圭表进行考研。

5动态驾驶任求本质

5.1 ADS应能延续识别是否得志其联想运行条件（ODC）。

5.2 ADS的感知系统应具备与ADS的ODC相适配的探伤范畴°

5.3 ADS应能细目自车位置、探伤周围环境中的主张和事件。

注：常见主张如说念路（含说念路类型、说念路名义条件、说念路几何、车说念特征、说念路角落等）、说念路关节（含交通标志、交通 信号灯等）、主张物（含天真车、非天真车、行东说念主、胁制物等）、天气环境（含天气、光照条件等）、数字信息环境（含 无线通讯、位置信号等）。

5.4 ADS应能探伤主张的位置以及动态主张的出动速率。

5.5 ADS应本质合理的限定政策搪塞感知系统的性能阑珊。

注：性能阑珊一般指由于传感器自己的老化而形成的性能下跌。

5.6 ADS应本质合理的限定政策搪塞探伤到但无法识别类型的主张物。

5.7 ADS应本质合理的限定政策搪塞无法探伤区域内存在的安全风险。

注：无法探伤区域如传感器布宜及感知范畴形成的立区、由其他说念路使用者或胁制物秘密形成的盲区、说念路拓扑或 阵势形成的肓区等。

5.8 ADS在激活气象下，应合理筹画和限定车辆行驶旅途与行驶速率,以适合说念路、说念路关节、主张

物、天气环境、数字信息环境等。

5.9 ADS在激活气象下，应限定车辆与其他说念路使用者保持安全距离；若因其他说念路使用者的行动导 致刻下距离无法得志安全距离要求，则应本质合理的限定政策以镌汰安仝风险并在后续合当令机调整 保持安全距离。

5.10 ADS在激活气象下，应本质合理限定政策搪塞静止的其他说念路使用者。

5.11 ADS在激活气象下，应至少探伤由于前哨车辆降速、车辆切入或倏得出现的胁制物而导致碰撞 的风险，并应自动本质合理的限定政策以最大限定地减少对用户和其他说念路使用者的安全风险。

5.12 ADS在激活气象下.不应与车辆前哨无秘密的行东说念主发生碰撞；若因行东说念主导致无法幸免碰撞，则应

减缓碰撞。

5.13 ADS在激活气象下，不应导致车辆失去限定和单车事故。

5.14 ADS在激活气象下，应合理限定车辆的照明和光信号安装，包括但不限于转向信号灯、危险告诫 信号、制动灯。

6动态驾驶任务后盾

6.1 驾驶员禁受智商监测

6.1.1 一般要求

6.1.1.1 关于需要传统驾驶员本质禁受的ADS,应具备驾驶员禁受智商监测功能。

6.1.1.2 驾驶员禁受智商监测功能至少应具备在位监测和本质动态驾驶任务（DDT）智商监测。

6.1.2 驾驶员在位监测

关于需要传统驾驶员本质禁受的ADS,在激活气象下，当发生以下任一情况时，ADS应按照6.2 发出介入央求：

a）驾驶员不在驾驶位逾越1s；

b）驾驶员未系安全带。

6.1.3 驾驶员本质动态驾驶任务（DDT）智商监测

6.1.3.1 关于需要传统驾驶员本质禁受的ADS,应至少通过2种灵验的辩论对驾驶员是否具备本质动 态驾驶任务（DDT）的智商进行判定，且应确保判定周期是合理的。

注：辩论如特定的东说念主机交互动作、眼部气象、头部暴露或躯壳暴露等。

6.1.3.2 关于需要传统驾驶员本质禁受的ADS,当ADS处于激活气象且驾驶员被判定为不具备本质 动态驾驶任务（DDT）的智商时，ADS应立即发出明确的禁受智商不及辅导信号，每次发出的禁受智商 不及辅导信号应在得志以下任一条件时关闭：

a）监测到驾驶员收复本质动态驾驶任务（DDT）智商；

b） ADS发出介入央求；

c） ADS本质最小风险政策（MRM）；

d） ADS退出。

6.2 禁受

6.2.1 一般要求

关于需要传统驾驶员本质禁受的ADS,发出介入请乞降反馈驾驶员禁受的限定政接应安全、可靠 和灵验，并应能实时检测驾驶员是否本质禁受操作。

6.2.2 发出介入央求

6.2.2.1 关于需要传统驾驶员本质禁受的ADS,应具备明确的介入央求触发条件，且ADS应能识别需 要发出介入央求的悉数情况。除6.2.2.2 c）和6.2.2.3的很是情况外，当不得志7.1.2.1中任一条件或接 管智商不及辅导信号达到设定时永劫，ADS应发出介入央求。

6.2.2.2 介入央求的发出时机应确保驾驶员有迷漫的时刻安全禁受车辆，至少得志以下要求。

a）关于辩论接职业件，ADS应在安妥的时刻发出介入央求，以确保即使驾驶员未禁受，最小风 险政策（MRM）仍能使车辆在辩论接职业件发生前静止。

b）关于非辩论接职业件，ADS应在检测到该事件时实时发出介入央求。

注：非辩论接职业件是指ADS事前未暴露但需要发出介入央求的事件,如说念路临时施工、车说念标线褪色等。

c）关于影响ADS运行的失效.ADS应在检测到该失效时立即发出介入央求°若该失效为

ADS严重失效或车辆严重失效，则ADS可不发出介入央求平直本质最小风险政策（MRM）。

6.2.2.3若发生车辆制造商所声明的无法保险驾驶员有充足的时刻禁受车辆的事件，ADS不应发出介 东说念主央求，可立即本质最小风险政策（MRM）。

示例：企业声明在“事件X”下无法保险驾驶员有充足的时刻禁受车辆并讲授该声明的合感性，则ADS在“事件X” 下就毋庸也不可发出介入央求。

6.2.3 介入央求阶段

6.2.3.1 在介入央求发出过程中，ADS应保持激活气象并本质一皆动态驾驶任务（DDT）。

6.2.3.2 除车辆制造商声明的很是情况，在介入央求发出过程中，ADS不应使车辆静止。

6.2.3.3 在介入央求发出过程中，介入央求应在发出后合理时K内升级并保持升级气象至介入央求 停止。

6.2.3.4 介入央求从发出到因本质最小风险政策（MRM）而停止的时长应不小于10 s,使驾驶员有充足 的时刻禁受车辆。

注：在驾驶员延续未禁受的情况下•介入央求发出、升级以及启动本质MRM的时序运筹帷幄默示图如图1。

介入央求

发出时刻

介入央求

升级时刻

启动本质MRM

时刻

介入央求发出、升级以及启动本质MRM的时序运筹帷幄默示图

6.2.4 停止介入央求

仅当ADS退出或本质最小风险政策（MRM）时，才应停止介入央求。

6.3 最小风险政策（MRM）

6.3.1.1 ADS应有明确的本质最小风险政策（MRM）的条件，且应能识别需要本质最小风险政策 （MRM）的悉数情况，至少应包括：

a）关于需要传统驾驶员本质禁受的ADS,驾驶员未在规则的时刻（不小于10s）内反馈介入 央求；

b）关于不需要传统驾驶员本质禁受的ADS,当联想运行条件（ODC）行将不得志，ADS实时执 行最小风险政策（MRM）并能使车辆在不得志联想运行条件（ODC）之前达到静止；若因很是 情况使联想运行条件（ODC）倏得不得志，ADS立即本质最小风险政策（MRM）并能使车辆达 到静止。

6.3.1.2 当ADS本质最小风险政策（MRM）时，应将用户和其他说念路使用者的安全风险降至可接受 水平。

注：在本质最小风险政策（MRM）时间,ADS可能不再有智商得志本文献的要求,但其主张是使安全风险降至可接

受水平。

6.3.1.3 当ADS本质最小风险政策（MRM）时，应开启并保持危险告诫信号，在换说念过程中应凭听说念 路交通规则合理使用危险告诫信号。

6.3.2 停止最小风险政策（M RM）

6.3.2.1 仅当ADS退出或ADS使车辆静止时，才应停止最小风险政策（MRM）。

6.3.2.2 当因车辆静止而停止最小风险政策（MRM）后，不应因ADS退出导致危险告诫信号关闭。

7东说念主机交互

7.1 激活和退出

7.1.1 一般要求

7.1.1.1 ADS应配备供用户激活和退出ADS的专用主宰时势，该时势应珍藏可合理预思的用户误用。 注：专用主宰时势如专用的主宰件或对主宰件的专用主宰方法等。

7.1.1.2 当ADS处于激活气象时，应至少有一种退出ADS的主宰时势对用户保持可见。

7.1.1.3 车辆每次点燃（上电）后（发动机自动启停之外），ADS应处于未激活气象。

7.1.2 激活

7.1.2.1 关于需要传统驾驶员本质禁受的ADS,仅当驾驶员本质激活操作且得志以下悉数条件时, ADS才应被激活：

a）驾驶员坐在驾驶位置上，且系好安全带；

b）驾驶员具备本质动态驾驶任务（DDT）智商；

c）不存在影响ADS运行的失效；

d）自动驾驶数据纪录系统（DSSAD）处于可纪录气象；

e）车辆未在本质影响ADS运行的软件升级；

f）除a）〜e）外，车辆制造商声明的其他联想运行条件（ODC）。

7.1.2.2 关于不需要传统驾驶员本质禁受的ADS,仅当用户本质激活操作且得志以下悉数条件时, ADS才应被激活：

a）不存在影响ADS运行的失效；

b）自动驾驶数据纪录系统（DSSAD）处于可纪录气象；

c）车辆未在本质影响ADS运行的软件升级；

d）除a）〜c）外，车辆制造商声明的其他联想运行条件（ODC）。

7.1.3 退出

7.1.3.1 得志以下任一条件时，ADS应退出：

a）用户通过专用主宰时势退出ADS；

b）驾驶员按照7.2.2.1搅扰横向暴露限定；

c）驾驶员按照7.2.3.L7.2.3.2搅扰纵向暴露限定，且驾驶员手抓标的盘；

d）在介入央求发出或本质最小风险政策（MRM）过程中，除a）〜c）外，ADS证明驾驶员手抓方 向盘且专注于动态驾驶任务（DDT）；

e）因车辆静止而停止最小风险政策（MRM）。

7.1.3.2 在发生车辆严重失效或ADS严重失效的情况下，ADS可本质车辆制造商声明的其他安全退 出的限定政策。

7.1.3.3 除7.1.3.1 1.3.2以及ADS到达预设目的地外,ADS不应退出。

7.1.3.4 仅当用户本质的退出操作将导致危险的碰撞风险时，ADS可暂缓退出。

7.1.3.5 ADS的退出不应导致：

a）任何济急辅助功能自动关闭；

b）任何部分驾驶辅助功能或组合驾驶辅助功能自动激活。

7.2 搅扰

7.2.1 一般要求

ADS反馈驾驶员搅扰的限定政接应安全、可靠和灵验，并应能检测驾驶员是否本质搅扰操作。

7.2.2 横向运行限定搅扰

7.2.2.1 当驾驶员对转向限定的搅扰逾越车辆制造商声明的为珍藏误用而联想的合理阈值时，驾驶员 输入的转向限定应被本质。

7.2.2.2 ADS应检测驾驶员是否专注于动态驾驶任务（DDT）,7.2.2.1中的阈值应与驾驶员专注于动 态驾驶任务（DDT）的情况有关。

7.2.3 纵向暴露限定搅扰

7.2.3.1 当驾驶员对制动限定的搅扰产生比ADS引起的降速率更大或通过任何制动系统使车辆保持 静止时，驾驶员输入的制动限定应被本质。

7.2.3.2 当驾驶员对加快限定进行搅扰时，驾驶员的输入可被本质，但不应导致ADS不安妥本文献的 要求。

7.2.3.3 关于需要传统驾驶员本质禁受的ADS,当驾驶员仅搅扰制动或加快限定且逾越为珍藏误用而 联想的合理阈值时，A D S应发出介入央求。

7.2.3.4 关于不需要传统驾驶员本质禁受的ADS,当驾驶员仅搅扰制动或加快限定且逾越为珍藏误用 而联想的合理阈值时，ADS应本质合理的限定政策。

7.2.4 搅扰扼制

若驾驶员的搅扰将导致危险的碰撞风险，ADS可凭据车辆制造商声明的时势松开或扼制驾驶员 的搅扰对任何限定的影响。

7.2.5 其他搅扰政策

7.2.5.1 在发生车辆严重失效或ADS严重失效的情况下，ADS可本质车辆制造商声明的其他安全响 应搅扰的限定政策。

7.2.5.2 若用户主宰车辆其他搅扰安装（如有），ADS搪塞用户进行辅导，并本质车辆制造商声明的控 制政策，

注：其他搅扰安装如转向信号灯主宰件，

7.3 系统气象辅导

7.3.1 一般要求

7.3.1.1 ADS应延续向用户辅导明确、充分的ADS气象信息，各气象信息应易于分散，且不搪塞用户 形成干扰。

7.3.1.2 当ADS气象发生变化时，ADS应实时向用户提供必要的辅导信息。

7.3.2 未就绪气象辅导

若由于ADS处于未就绪气象而导致用户激活系统失败,则应向用户直不雅地辅导。

注：未就绪气象是指ADS不可被激活的未激活气象。

7.3.3 就绪气象辅导

当ADS处于就绪气象时，宜至少通过光学信号向用户辅导系统可被激活。

示例：翰墨信息、图形标志等。

7.3.4 激活气象辅导

7.3.4.1 ADS由未激活气象参加激活气象时，应至少通过专用的光学信号向用户辅导ADS已激活。

7.3.4.2 ADS处于激活气象时，应至少通过光学信号延续向用户辅导ADS处于激活气象。

7.3.5 退出辅导

ADS由激活气象退出至未激活气象时，应通过至少两种时势向用户辅导ADS已退出，至少包括 光学信号。由于驾驶员禁受导致ADS退出，可仅用光学信号辅导。

7.3.6 介入央求

7.3.6.1 未升级的介入央求的辅导时势应在光学信号的基础上附加声学和/或触觉信号。其中光学信 号应直不雅且明确地辅导驾驶员介入央求的反馈时势，标志应安妥GB/T 44298-2024表1中序号5的 要求O

7.3.6.2 按照6.2.3.3进行介入央求升级后，升级的介入央求至少应增多延续或间歇性的触觉辅导。

7.3.7 最小风险政策（M RM ）辅导

7.3.7.1 在ADS本质最小风险政策（MRM）过程中，搪塞用户给出显著辅导，辅导时势应在光学信号 的基础上附加声学和/或触觉信号。

7.3.7.2 ADS处于最小风险气象（MRC）时，应至少以光学、声学或触觉中的两种信号辅导用户直至 ADS退出。

7.3.7.3 关于需要传统驾驶员禁受的ADS,最小风险政策（MRM）的辅导信号应与介入央求不同。

7.3.8 失效辅导

在ADS激活气象下，若检测到ADS失效，ADS应向用户发出显著辅导，至少包括光学辅导信号。

7.3.9 禁受智商不及辅导

禁受智商不及辅导信号应显著区别于ADS激活气象下车辆其他辅导信号。

7.3.10 暂缓或扼制响诈欺户操作辅导

若ADS暂缓或扼制响诈欺户的操作，应明确辅导且区别于ADS激活气象下车辆其他辅导信号。

8讲解书

关于装备ADS的车辆，其居品讲解书至少应包含:

a）“本车具备ADS”等本色的讲解；

b）ADS的联想运行条件（ODC）的讲解；

c）激活ADS的方法及条件的讲解；

d）退出ADS的方法及条件的讲解；

e）搅扰ADS的方法及结果的讲解；

f） ADS各气象辅导信号的讲解；

g）若ADS不需要禁受，“本车ADS无需被驾驶员禁受”等本色的讲解；

h）若ADS需要禁受,“本车ADS在特定条件下需要被驾驶员禁受”等本色的讲解;

i）若ADS需要禁受，介入央求的讲解；

j） 若ADS需要禁受，禁受ADS的方法及结果的讲解；

k）若ADS需要禁受，禁受智商不及辅导信号的讲解；

l）ADS本质最小风险政策（MRM）的条件的讲解；

m）ADS本质最小风险政策（MRM）的车辆行动及结果的讲解；

n）若ADS激活气象下发生碰撞事故，对用户的提倡°

附录 A

（范例性）

适用于ADS的安全性的很是要求

A.1总则

本附录旨在确保车辆制造商在ADS联想和斥地过程中对功能安全和预期功能安全等进行了充分 的商量，并邻接通盘车辆的人命周期过程（斥地、出产、运行、管事、报废），以幸免因ADS故障、预期功 能不及导致的对用户和其他说念路使用者形成分歧理的风险，确保ADS的运行安全。

本附录规则了 ADS在功能安全和预期功能安全等方面的很是要求。

本附录不针对ADS的标称性能，也不四肢ADS功能安全和预期功能安全斥地的具体率领，而是 规则ADS联想、考证和证明过程中应恪守的方法和应具备的信息，四肢得志功能安全和预期功能安全 等的依据。

A .2总体要求

A.2.1车辆制造商应建立安全处理体系，汲取灵验的过程、方法和器用处理ADS在车辆全人命周期 （包含斥地、出产、运行、管事、报废）中的安全性，并讲授ADS在声明的联想运行条件（ODC）内（包括 范围）不会对用户和其他说念路使用者形成分歧理的风险。

A.2.2车辆制造商应建立联想斥地过程，包括安全处理体系、需求处理、需求实施、测试、失效追踪、维 护和发布。

A.2.3车辆制造商应在隆重ADS的功能安全、预期功能安全、信息安全和其他安全的部门间建立并 保持灵验的疏通渠说念。

A.2.4车辆制造商应具有一个或多个过程，用于监控由ADS激发的安全有关事件，以及处理ADS潜 在风险并能升级ADS0

A.2.5车辆制造商应如期进行寥寂的里面过程审核，以确保凭据A.2.1〜A.2.4建立的过程得回一致 的实施。

A.2.6车辆制造商应处理供应商（举例，条约处理、质料处理体系等），以确保供应商的安全处理体系符 合A.2.1〜A.2.3和A.2.5中有关的要求。

A.3系统描画

A.3.1 ADS功能描画

A.3.1.1车辆制造商应具有相应的文档，用于讲解ADS的功能（包括其对应的驾驶限定政策）。

A.3.1.2车辆制造商应具有相应的文档，用于讲解ADS的联想运行条件（ODC）以及在联想运行条件 （ODC）内本质动态驾驶任务（DDT）所遴选的方法。

A.3.1.3车辆制造商应具有相应的文档，用于讲解ADS与用户和其他说念路使用者预期的交互，包括当 达到ADS的联想运行条件（ODC）时的东说念主机交互（HMI）政策。

A.3.1.4车辆制造商应具有相应的文档，用于讲解ADS激活、搅扰（包括搅扰的阈值，举例力矩、角度、 延续时刻）、最小风险政策（MRM）和退出等，包括ADS若何珍藏用户合理可预思的误用，以及若何通 过最小风险政策（MRM）使安全风险降至可接受水平。

A.3.1.5关于需要传统驾驶员禁受的ADS,车辆制造商还应具有相应的文档，用于讲解ADS向驾驶 员发出介入央求的多样情况和ADS若何证明驾驶员气象-举例,是否具备动态驾驶任务（DDT）本质智商］、禁受智商不及辅导信号以及驾驶员本质动态驾驶任务（DDT）智商的判定周期等。

A.3.1.6车辆制造商应具有相应的文档，用于讲解感知系统的输入、输出，感知系统肤浅责任范畴（包 括搪塞传感器的阑珊）以及感知系统对ADS行动的影响。

A.3.1.7车辆制造商应具有相应的文档，用于讲解方案系统的输出，以及对车辆暴露限定的影响等。

A.3.1.8淌若在ADS运行阶段使用一语气的学习算法,车辆制造商应具有相应的文档，用来对数据处理 过程进行描画。

A.3.2 系统布局和旨趣图

A.3.2.1系统组件清单

A.3.2.1.1车辆制造商应具有组件清单，该清单应包含ADS的悉数单位,同期也应列出为竣事自动驾 驶功能所需的车辆其他系统。

注：车辆其他系统如自动驾驶数据纪录系统（DSSAD）。

A.3.2.1.2车辆制造商应具有ADS布局及旨趣图，且约略明晰地展示组件分散和相互聚合，旨趣图应 包括以下本色：

a）感知系统（包含舆图和定位系统，如适用）；

b）方案系统；

c）本质系统；

注：本质系统自己的功能安全要求在GB 17675、GB 12676和GB 21670中已有具体要求。

d）由汉典后台提供的汉典监控（如适用）。

A.3.2.2单位功能

车辆制造商应具有相应的文档，用来概括以下本色：

a） ADS各单位的功能，并展示该单位与其他单位或车辆其他系统间的聚合，可使用带象征的框 图或其他默示图讲解；

b）信号传输与各单位的对应运筹帷幄，以及信号的优先级（如适用）。

A.3.2.3单位的识别

A.3.2.3.1车辆制造商应具有相应的文档，文档中应能明晰明确地识别每个单位（举例,硬件单位、软件 单位）并提供相应的讲解。

A.3.2.3.2车辆制造商应明确符号硬件和软件的版块。

A.3.2.4感知系统部件的安装讲解

车辆制造商应具有相应的文档，用来讲解感知系统中单个部件的安装信息。这些信息应包括但不 限于：

a）部件在车辆上的位置；

b）部件外名义的材料；

c）部件外名义的尺寸和阵势；

d）部件外名义的光洁度；

e）对ADS性能影响大的安装范例。

A.4功能安全要求

A.4.1危害分析和风险评估

车辆制造商应凭据装备ADS的车辆的主张使用场景及主张用户，在整车层面开展面向功能安全的危害分析和风险评估，并界说相应的汽车安全完满性等第（ASIL）和安全主张，安妥GB/T 34590.3-2022第6章的要求。

A.4.2功能安全想法

A.4.2.1车辆制造商应进行系统层面的面向功能安全的安全想法行为，以保险系统在故障条件下，对用户和其他说念路使用者不存在分歧理的风险。

注：安全想法包括功能安全想法和时期安全想法。

A.4.2.2车辆制造商应进行安全分析行为，并制定对应的安全步履，以讲解系结伙旦发生失效，该系统 若何幸免或减轻可能对用户和其他说念路使用者的安全产生影响的危害。安全分析至少包括以下本色。

a）系统层面的安全分析，可汲取潜在失效模式与影响分析（FMEA）、故隙树分析（FTA）、系统理 论过程分析（STPA）或妥贴系统安全分析的其他相通过程。

b）商量如下要素可能导致的危害以开展安全分析：

1）感知系统故障；

2）方案系统故障；

3）本质系统故障。

注：本质系统有关安全分析行为参考有关国度圭表。

A.4.2.3车辆制造商应具备文档，用于描画ADS辅导信号优先级以及ADS在典型故障情况下向用户 提供的辅导信号。

A.4.2.4车辆制造商应进行安全步履制定，以确保安全想法竣事。ADS可遴选如下安全步履,

a）使用部分系统保管运行°若遴荐在某些故障条件下（如探伤相邻车说念的传感器故障）保管部 分性能（举例，保管在本车说念，不援救变说念）的运行模式，应讲解这些故障条件并细目部分系统 保管运行的结果。

b）切换到备用系统。若遴荐备用系统竣事动态驾驶任务（DDT）,应讲解切换机制的旨趣、冗余 的逻辑和层级、备用系统的气象查抄机制并界定备用系统的结果。

c）退出自动驾驶功能。若遴荐退出，过程应安妥本文献要求。

A.4.3考证和证明

A.4.3.1车辆制造商应本质考证和证明行为，并对考证和证明辩论及结果进行查抄，以讲授得志面向 功能安全的安全想法。考证和证明应基于仿真考研、场面考研、说念路考研或其他安妥的方法。

A.4.3.2车辆制造商应通过模拟ADS组件的典型故隙，以查抄系统组件发生失效情况下的安全发达。

A.5预期功能安全要求

A.5.1危害识别和风险评估

车辆制造商应凭据装备ADS的车辆的主张使用场景及主张用户，在整车层面开展面向预期功能 安全的危害识别和风险评估，并细目风险接受准则，安妥GB/T 43267-2023第6章的要求。

A.5.2预期功能安全步履的制定

A.5.2.1车辆制造商应制定面向预期功能安全的安全步履,以保隙关于功能不及，ADS不会对用户和 其他说念路使用者形成分歧理的风险。ADS可遴选如下安全步履：

a）改善系统性能；

b）结果系统激活；

c）向用户发出告诫；

d）央求驾驶员禁受；

e）降速运行；

f） 最小风险政策（MRM）。

A.5.2.2车辆制造商应进行安全分析行为，以识别和评估系统潜在功能不及和潜在触发条件，并制定 对应的安全步履，以讲解在对应的场景下，该ADS若何幸免或减轻可能对用户和其他说念路使用者的安 全产生影响的危害。安全分析至少包括以下本色。

a）系统层面的安全分析，见GB/T 43267—2023中的表4和B.3,或任何妥贴系统安全分析的其 他相通过程。

b）商量如下要素可能导致的危害以开展安全分析：

1）感知系统、方案系统和本质系统的常见功能不及；

2）未能充分商量或未着力说念路交通规则；

3）可合理预思的误用；

4）联想运行条件（ODC）范围场景识别不及。

A.5.3考证和证明政策制定

车辆制造商应针对ADS制定考证和证明政策，包括考证和证明方法及合感性讲授，安妥GB/T 43267—2023 第 9 章的要求 °

A.5.4考证和证明

A.5.4.1车辆制造商应本质考证和证明行为，并对考证和证明辩论及结果进行查抄，以讲授得志面向 预期功能安全的接受准则。考证和证明应基于仿真考研、场面考研、说念路考研或其他安妥的方法。

A.5.4.2车辆制造商搪塞ADS的联想运行条件（ODC）下典型的可合理预思的场景进行充分证明。

A.5.4.3车辆制造商应查抄在要害典型场景下ADS的主张和事件探伤与反馈（OEDR）、系统方案和 东说念主机交互（HMI）等是否安妥本文献的要求。

A.5.5运行阶段预期功能安全监控

车辆制造商应建立并落竣事场监控经过，以确保ADS运行阶段的预期功能安全，安妥GB/T 43267-2023第13章的要求。

示例：面向ADS的现场监控经过可包括但不限于自动驾驶数据纪录系统（DSSAD）、汽车事件数据纪录系统 （EDR）、车载安全监控系统或汉典安全监控系统。

A.6系统评估论说

车辆制造商应基于本附录的要求进行系统评估并输出评估论说欧洲杯体育。评估论说应具有可记忆性。

发布于：山东省