20213608-T-339《智能網(wǎng)聯(lián)汽車 自動駕駛系統(tǒng)技術(shù)要求》

ICS43.020CCST40中華人民共和國國家標準`Intelligentandconnectedvehicle—Generaltechnicalrequirementsfora（本草案完成時間：20230713）IGB/TXXXXX—XXXX本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由中華人民共和國工業(yè)和信息化部提出。本文件由全國汽車標準化技術(shù)委員會（SAC/TC114）歸口。本文件起草單位：中國汽車技術(shù)研究中心有限公司、華為技術(shù)有限公司、上海汽車集團股份有限公司、工業(yè)和信息化部裝備工業(yè)發(fā)展中心、東風(fēng)汽車集團有限公司、重慶長安汽車股份有限公司、上汽大眾汽車有限公司、廣州汽車集團股份有限公司、宇通客車股份有限公司、公安部道路交通安全研究中心、一汽解放汽車有限公司、梅賽德斯一奔馳（中國）投資有限公司、上海機動車檢測認證技術(shù)研究中心有限公司、中國第一汽車集團有限公司、廣州小鵬汽車科技有限公司、寶馬（中國）服務(wù)有限公司、北京百度智行科技有限公司、博世汽車部件（蘇州）有限公司、寧波吉利汽車研究開發(fā)有限公司、華人運通（山東）科技有限公司、長城汽車股份有限公司、東風(fēng)商用車有限公司、廈門金龍旅行車有限公司、浙江萬安科技股份有限公司。本文件主要起草人：吳志新、張行、劉楠、陸軍琰、孫航、劉法旺、劉光、徐優(yōu)志、張華桑、陳達興、張嘉芮、劉燕、王祥、劉振楠、趙光明、李艷文、郝值、呂明、費音、崔茂源、陳金鳳、張存璽、彭偉、李迎賓、金晨、何彥、李建冰、李陽、尤雙和、傅直全。GB/TXXXXX—XXXX現(xiàn)階段智能網(wǎng)聯(lián)汽車自動駕駛技術(shù)處于快速發(fā)展時期，產(chǎn)品形態(tài)、落地場景和測評方法都處于探索階段，呈現(xiàn)產(chǎn)品形態(tài)迭代快、落地場景多樣化、測評方法基礎(chǔ)弱的特點。為適應(yīng)智能網(wǎng)聯(lián)汽車自動駕駛功能技術(shù)特點，國際范圍內(nèi)已初步形成采用“多支柱”方法（包含審核評估、仿真試驗、場地試驗、道路試驗等）綜合驗證自動駕駛功能安全性的共識。根據(jù)當前產(chǎn)業(yè)發(fā)展特點和國際共識，我國在智能網(wǎng)聯(lián)汽車自動駕駛領(lǐng)域已啟動制定多項標準。其中，本文件針對自動駕駛系統(tǒng)提出通用性技術(shù)要求，并通過附錄加強本文件與自動駕駛功能場地試驗、道路試驗和仿真試驗等標準相互配合，共同支撐設(shè)計運行范圍包含公路和城市道路的自動駕駛系統(tǒng)的驗證工作；同時，本文件為自動泊車、港口自動駕駛、末端配送自動駕駛等標準提供基礎(chǔ)通用要求，支撐相關(guān)標準的驗證工作。1GB/TXXXXX—XXXX智能網(wǎng)聯(lián)汽車自動駕駛系統(tǒng)通用技術(shù)要求本文件規(guī)定了自動駕駛系統(tǒng)的總體要求、動態(tài)駕駛?cè)蝿?wù)執(zhí)行要求、動態(tài)駕駛?cè)蝿?wù)后援要求、人機交互要求等。本文件適用于裝備自動駕駛系統(tǒng)的M類、N類汽車。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T34590.1道路車輛功能安全第1部分：術(shù)語GB/T34590.3—2022道路車輛功能安全第3部分：概念階段GB/T40429汽車駕駛自動化分級GB/T41798智能網(wǎng)聯(lián)汽車自動駕駛功能場地試驗方法及要求GB/T43267—2023道路車輛預(yù)期功能安全GB/TXXXXX智能網(wǎng)聯(lián)汽車術(shù)語和定義GB/TXXXXX智能網(wǎng)聯(lián)汽車自動駕駛功能道路試驗方法及要求GB/TXXXXX—XXXX智能網(wǎng)聯(lián)汽車操縱件、指示器及信號裝置的標志3術(shù)語和定義GB/T34590.1、GB/T40429、GB/T43267、GB/TXXXXX（智能網(wǎng)聯(lián)汽車術(shù)語和定義）界定的以及下列術(shù)語和定義適用于本文件。3.1自動駕駛功能automateddrivingfunction駕駛自動化系統(tǒng)在特定的設(shè)計運行條件下代替駕駛員持續(xù)自動地執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)的功能。注：GB/T40429—2021中規(guī)定的3級及以上駕駛自動化功能的總稱，包括“有條件自動駕駛”、“高度自動駕駛”[來源：GB/TXXXXX—XXXX（智能網(wǎng)聯(lián)汽車術(shù)語和定義），6.4]3.2自動駕駛系統(tǒng)automateddrivingsystem；ADS由實現(xiàn)自動駕駛功能的硬件和軟件所共同組成的系統(tǒng)。[來源：GB/TXXXXX—XXXX（智能網(wǎng)聯(lián)汽車術(shù)語和定義），5.3]3.3未激活狀態(tài)inactivestateADS未執(zhí)行車輛運動控制的狀態(tài)。3.3.1未就緒狀態(tài)not-readystate2GB/TXXXXX—XXXXADS不能被激活的未激活狀態(tài)。3.3.2就緒狀態(tài)readystateADS能被激活的未激活狀態(tài)。3.4激活狀態(tài)activestateADS執(zhí)行車輛運動控制的狀態(tài)。3.5ADS嚴重失效severeADSfailureADS關(guān)鍵部件失效導(dǎo)致嚴重影響ADS安全運行的失效。3.6車輛嚴重失效severevehiclefailure任何同時影響ADS執(zhí)行動態(tài)駕駛?cè)蝿?wù)（DDT）能力且影響人工駕駛的失效。3.7計劃接管事件plannedtakeovereventADS預(yù)先知曉并需要發(fā)出介入請求的事件。3.8非計劃接管事件unplannedtakeovereventADS預(yù)先未知曉但需要發(fā)出介入請求的事件。4總體要求4.1ADS應(yīng)具備明確的設(shè)計運行條件（ODC）。4.2ADS應(yīng)只能在其設(shè)計運行條件（ODC）下被激活。4.3ADS應(yīng)具備足夠的目標和事件探測與響應(yīng)（OEDR）能力，支持其安全地執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)（DDT）。4.4ADS應(yīng)及時響應(yīng)用戶的有效操作。若用戶的操作將導(dǎo)致危急的碰撞風(fēng)險，ADS可根據(jù)車輛制造商聲明的方式暫緩或抑制響應(yīng)。若ADS具備暫緩或抑制響應(yīng)用戶操作的功能，應(yīng)明確暫緩或抑制條件。4.5ADS應(yīng)執(zhí)行合理的控制策略應(yīng)對可合理預(yù)見的用戶誤用。4.6ADS應(yīng)持續(xù)對自身狀態(tài)進行監(jiān)測，以確認ADS是否存在失效以及ADS能否執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)（DDT）。4.7ADS在激活狀態(tài)下應(yīng)執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)（DDT）且不應(yīng)造成不合理的安全風(fēng)險。4.8ADS在激活狀態(tài)下執(zhí)行動態(tài)駕駛?cè)蝿?wù)（DDT）時，應(yīng)符合道路交通規(guī)定。4.9ADS在激活狀態(tài)下執(zhí)行動態(tài)駕駛?cè)蝿?wù)（DDT）時，應(yīng)符合其他道路使用者的合理預(yù)期。4.10ADS在激活狀態(tài)下，對于支持駕駛員恢復(fù)人工駕駛所需的裝置或系統(tǒng)，應(yīng)確認該裝置或系統(tǒng)是否處于適合人工駕駛的運行狀態(tài)。若相關(guān)裝置或系統(tǒng)處于不適當?shù)倪\行狀態(tài)，ADS應(yīng)執(zhí)行合理的控制策略。4.11ADS在激活狀態(tài)下，不應(yīng)導(dǎo)致任何可合理預(yù)見且可預(yù)防的碰撞事故。3GB/TXXXXX—XXXX4.12ADS在激活狀態(tài)下，當碰撞不可避免時，應(yīng)執(zhí)行合理控制策略以降低事故傷害或損失。4.13ADS在激活狀態(tài)下，當檢測到車輛發(fā)生碰撞后，除車輛制造商聲明的情況，應(yīng)使車輛靜止。4.14ADS在激活狀態(tài)下，當設(shè)計運行條件（ODC）即將不滿足或已經(jīng)不滿足時，應(yīng)執(zhí)行合理的控制策4.15ADS在激活狀態(tài)下，應(yīng)與其他道路使用者進行有效的信息交互。4.16ADS在激活狀態(tài)下，應(yīng)避免擾亂正常的交通流而導(dǎo)致整體通行效率下降。4.17ADS應(yīng)不存在由于功能異常表現(xiàn)引起的危害而導(dǎo)致的不合理風(fēng)險，應(yīng)符合附錄A。4.18ADS應(yīng)不存在因預(yù)期功能或其實現(xiàn)的功能不足引起的危害而導(dǎo)致的不合理風(fēng)險，應(yīng)符合附錄A。4.19裝備ADS的車輛應(yīng)裝備自動駕駛數(shù)據(jù)記錄系統(tǒng)（DSSAD）。4.20應(yīng)在審核ADS開發(fā)設(shè)計過程和材料的基礎(chǔ)上，合理選擇仿真試驗、場地試驗、道路試驗等試驗方法驗證ADS符合本文件的要求，試驗類型可參考附錄B進行選擇。4.21對于設(shè)計運行范圍（ODD）包含公路或城市道路的ADS，若進行場地試驗，應(yīng)至少按照GB/T41798進行試驗；若進行道路試驗，應(yīng)至少按照GB/TXXXXX（《智能網(wǎng)聯(lián)汽車自動駕駛功能道路試驗方法及要求》）進行試驗；若進行仿真試驗，應(yīng)至少按照自動駕駛功能仿真試驗方法相關(guān)國標進行試驗。5動態(tài)駕駛?cè)蝿?wù)執(zhí)行5.1ADS應(yīng)能持續(xù)識別是否滿足其設(shè)計運行條件（ODC）。5.2ADS的感知系統(tǒng)應(yīng)具備足夠的探測范圍。5.3ADS應(yīng)能確定自車位置、探測周圍環(huán)境中的目標和事件。注：常見目標如道路（含道路類型、道路表面條件、道路幾何、車道特征、道路邊緣等）、道路設(shè)施（含交通標志、交通信號燈等）、目標物（含機動車、非機動車、行人、障礙物等）、天氣環(huán)境（含天氣、光照條件5.4ADS應(yīng)能探測目標的位置以及動態(tài)目標的移動速度。5.5ADS應(yīng)執(zhí)行合理的控制策略應(yīng)對感知系統(tǒng)的性能衰退。5.6ADS應(yīng)執(zhí)行合理的控制策略應(yīng)對探測到但無法識別類型的目標物。5.7ADS應(yīng)執(zhí)行合理的控制策略應(yīng)對無法探測區(qū)域內(nèi)存在的安全風(fēng)險。注：無法探測區(qū)域如傳感器布置及感知范圍造成的盲區(qū)、由其他道路使用者或障礙物遮擋造成的盲區(qū)、道路拓撲5.8ADS在激活狀態(tài)下，應(yīng)合理規(guī)劃和控制車輛行駛路徑與行駛速度，以適應(yīng)道路、道路設(shè)施、目標物、天氣環(huán)境、數(shù)字信息環(huán)境等。5.9ADS在激活狀態(tài)下，應(yīng)控制車輛與其他道路使用者保持足夠的安全距離；若因其他道路使用者的行為導(dǎo)致當前距離無法滿足安全距離要求，則應(yīng)執(zhí)行合理的控制策略以降低安全風(fēng)險并在后續(xù)合適時機調(diào)整保持安全距離。5.10ADS在激活狀態(tài)下，應(yīng)執(zhí)行合理控制策略應(yīng)對靜止的其他道路使用者。5.11ADS在激活狀態(tài)下，應(yīng)至少探測由于前方車輛減速、車輛切入或突然出現(xiàn)的障礙物而導(dǎo)致碰撞的風(fēng)險，并應(yīng)自動執(zhí)行合理的控制策略以最大限度地減少對車輛用戶和其他道路使用者的安全風(fēng)險。5.12ADS在激活狀態(tài)下，應(yīng)避免與車輛前方無遮擋的行人發(fā)生碰撞；若因行人導(dǎo)致無法避免碰撞，則應(yīng)盡可能減緩碰撞。5.13ADS在激活狀態(tài)下，不應(yīng)導(dǎo)致車輛失去控制和單車事故。4GB/TXXXXX—XXXX5.14ADS在激活狀態(tài)下，應(yīng)合理控制車輛的照明和光信號裝置，包括但不限于轉(zhuǎn)向信號燈、危險警告信號、制動燈。6動態(tài)駕駛?cè)蝿?wù)后援6.1駕駛員接管能力監(jiān)測6.1.1一般要求6.1.1.1對于需要傳統(tǒng)駕駛員執(zhí)行接管的ADS，應(yīng)具備駕駛員接管能力監(jiān)測功能。6.1.1.2駕駛員接管能力監(jiān)測功能至少應(yīng)具備在位監(jiān)測和執(zhí)行動態(tài)駕駛?cè)蝿?wù)（DDT）能力監(jiān)測。6.1.2駕駛員在位監(jiān)測對于需要傳統(tǒng)駕駛員執(zhí)行接管的ADS，在激活狀態(tài)下，當發(fā)生以下任一情況時，ADS應(yīng)按照6.2發(fā)出介入請求：a)駕駛員不在駕駛位超過1s；b)駕駛員未系安全帶。6.1.3駕駛員執(zhí)行動態(tài)駕駛?cè)蝿?wù)（DDT）能力監(jiān)測6.1.3.1對于需要傳統(tǒng)駕駛員執(zhí)行接管的ADS，應(yīng)至少通過2種有效的指標對駕駛員是否具備執(zhí)行動態(tài)駕駛?cè)蝿?wù)（DDT）的能力進行判定，且應(yīng)確保判定周期是合理的。6.1.3.2對于需要傳統(tǒng)駕駛員執(zhí)行接管的ADS，當ADS處于激活狀態(tài)且駕駛員被判定為不具備執(zhí)行動態(tài)駕駛?cè)蝿?wù)（DDT）的能力時，ADS應(yīng)立即發(fā)出明確的接管能力不足提示信號，每次發(fā)出的接管能力不足提示信號應(yīng)在滿足以下任一條件時關(guān)閉：a)監(jiān)測到駕駛員恢復(fù)執(zhí)行動態(tài)駕駛?cè)蝿?wù)（DDT）能力；b)ADS發(fā)出介入請求；c)ADS執(zhí)行最小風(fēng)險策略（MRM）；d)ADS退出。6.2接管6.2.1一般要求對于需要傳統(tǒng)駕駛員執(zhí)行接管的ADS，發(fā)出介入請求和響應(yīng)駕駛員接管的控制策略應(yīng)安全、可靠和有效，并應(yīng)能及時檢測駕駛員是否執(zhí)行接管操作。6.2.2發(fā)出介入請求6.2.2.1對于需要傳統(tǒng)駕駛員執(zhí)行接管的ADS，應(yīng)具備明確的介入請求觸發(fā)條件，且ADS應(yīng)能識別需要發(fā)出介入請求的所有情況。除6.2.2.2（c）和6.2.2.3的特殊情況外，當不滿足7.1.2.1中任一條件或接管能力不足提示信號達到設(shè)定時長時，ADS應(yīng)發(fā)出介入請求。6.2.2.2介入請求的發(fā)出時機應(yīng)確保駕駛員有足夠的時間安全接管車輛，至少應(yīng)滿足以下要求：a)對于計劃接管事件，ADS應(yīng)在適當?shù)臅r刻發(fā)出介入請求，以確保即使駕駛員未接管，最小風(fēng)險策略（MRM）仍能使車輛在計劃接管事件發(fā)生前靜止；b)對于非計劃接管事件，ADS應(yīng)在檢測到該事件時及時發(fā)出介入請求；5GB/TXXXXX—XXXXc)對于影響ADS運行的失效，ADS應(yīng)在檢測到該失效時立即發(fā)出介入請求。若該失效為ADS嚴重失效或車輛嚴重失效，則ADS可不發(fā)出介入請求直接執(zhí)行最小風(fēng)險策略（MRM）。6.2.2.3若發(fā)生車輛制造商所聲明的無法保障駕駛員有充足的時間接管車輛的事件，ADS不應(yīng)發(fā)出介入請求，可立即執(zhí)行最小風(fēng)險策略（MRM）。示例：企業(yè)聲明在“事件X”下無法保障駕駛員有充足的時間接管車輛并證明該聲明的合理性，則ADS在“事件X”6.2.3介入請求階段6.2.3.1在介入請求發(fā)出過程中，ADS應(yīng)保持激活狀態(tài)并符合本文件的要求。6.2.3.2除車輛制造商聲明的特殊情況，在介入請求發(fā)出過程中，ADS不應(yīng)使車輛靜止。6.2.3.3在介入請求發(fā)出過程中，介入請求應(yīng)在發(fā)出后合理時長內(nèi)升級并保持升級狀態(tài)至介入請求終止。6.2.3.4介入請求從發(fā)出到因執(zhí)行最小風(fēng)險策略（MRM）而終止的時長應(yīng)不少于10s，使駕駛員有充足的時間接管車輛。注：若駕駛員持續(xù)未接管的情況下，介入請求發(fā)出、升級以及開始執(zhí)行MRM的時序關(guān)系示意圖如圖1。圖1介入請求發(fā)出、升級以及開始執(zhí)行MRM的時序關(guān)系示意圖6.2.4終止介入請求僅當ADS退出或執(zhí)行最小風(fēng)險策略（MRM）時，才應(yīng)終止介入請求。6.3最小風(fēng)險策略（MRM）6.3.1執(zhí)行最小風(fēng)險策略（MRM）6.3.1.1ADS應(yīng)有明確的執(zhí)行最小風(fēng)險策略（MRM）的條件，且應(yīng)能識別需要執(zhí)行最小風(fēng)險策略（MRM）的所有情況，至少應(yīng)包括：a)對于需要傳統(tǒng)駕駛員執(zhí)行接管的ADS，駕駛員未在規(guī)定的時間（不少于10s）內(nèi)響應(yīng)介入請b)對于不需要傳統(tǒng)駕駛員執(zhí)行接管的ADS，當設(shè)計運行條件（ODC）即將不滿足，ADS及時執(zhí)行最小風(fēng)險策略（MRM）并能使車輛在不滿足設(shè)計運行條件（ODC）之前達到靜止；若因特殊情況使設(shè)計運行條件（ODC）突然不滿足，ADS立即執(zhí)行最小風(fēng)險策略（MRM）并能使車輛達到靜止。6.3.1.2當ADS執(zhí)行最小風(fēng)險策略（MRM）時，應(yīng)將用戶和其他道路使用者的安全風(fēng)險降至可接受水平。注：在執(zhí)行最小風(fēng)險策略（MRM）期間，ADS可能不再有能力滿足本文件的要求，但其目標是使安全風(fēng)險降至可接6.3.1.3當ADS執(zhí)行最小風(fēng)險策略（MRM）時，應(yīng)開啟并保持危險警告信號，在換道過程中應(yīng)根據(jù)道路交通規(guī)定合理使用危險警告信號。6GB/TXXXXX—XXXX6.3.2終止最小風(fēng)險策略（MRM）6.3.2.1僅當ADS退出或ADS使車輛靜止時，才應(yīng)終止最小風(fēng)險策略（MRM）。6.3.2.2當因車輛靜止而終止最小風(fēng)險策略（MRM）后，不應(yīng)因ADS退出導(dǎo)致危險警告信號關(guān)閉。7人機交互7.1激活和退出7.1.1一般要求7.1.1.1ADS應(yīng)配備供用戶激活和退出ADS的專用操縱方式，該方式應(yīng)防止可合理預(yù)見的用戶誤用。7.1.1.2當ADS處于激活狀態(tài)時，應(yīng)至少有一種退出ADS的操縱方式對用戶保持可見。7.1.1.3車輛每次點火（上電）后（發(fā)動機自動啟停除外），ADS應(yīng)處于未激活狀態(tài)。7.1.2激活7.1.2.1對于需要傳統(tǒng)駕駛員執(zhí)行接管的ADS，僅當駕駛員執(zhí)行激活操作且滿足以下所有條件時，ADS才應(yīng)被激活：a)駕駛員坐在駕駛位置上，且系好安全帶；b)駕駛員具備執(zhí)行動態(tài)駕駛?cè)蝿?wù)（DDT）能力；c)不存在影響ADS運行的失效；d)自動駕駛數(shù)據(jù)記錄系統(tǒng)（DSSAD）處于可記錄狀態(tài)；e)車輛未在執(zhí)行影響ADS運行的軟件升級；f)除a）～e）外，車輛制造商聲明的其他設(shè)計運行條件（ODC）。7.1.2.2對于不需要傳統(tǒng)駕駛員執(zhí)行接管的ADS，僅當用戶執(zhí)行激活操作且滿足以下所有條件時，ADS才應(yīng)被激活：a)不存在影響ADS運行的失效；b)自動駕駛數(shù)據(jù)記錄系統(tǒng)（DSSAD）處于可記錄狀態(tài)；c)車輛未在執(zhí)行影響ADS運行的軟件升級；d)除a）～c）外，車輛制造商聲明的其他設(shè)計運行條件（ODC）。7.1.3退出7.1.3.1滿足以下任一條件時，ADS應(yīng)退出：a)用戶通過專用操縱方式退出ADS；b)駕駛員按照7.2.2.1干預(yù)橫向運動控制；c)駕駛員按照7.2.3.1、7.2.3.2干預(yù)縱向運動控制，且駕駛員手握方向盤；d)在介入請求發(fā)出或執(zhí)行最小風(fēng)險策略（MRM）過程中，除a)～c)外，ADS確認駕駛員手握方向盤且專注于動態(tài)駕駛?cè)蝿?wù)（DDT）；e)因車輛靜止而終止最小風(fēng)險策略（MRM）。7.1.3.2在發(fā)生車輛嚴重失效或ADS嚴重失效的情況下，ADS可執(zhí)行車輛制造商聲明的其他安全退出的控制策略。7.1.3.3除7.1.3.1、7.1.3.2以及ADS到達預(yù)設(shè)目的地外，ADS不應(yīng)退出。7.1.3.4僅當用戶執(zhí)行的退出操作將導(dǎo)致危急的碰撞風(fēng)險時，ADS可暫緩?fù)顺觥?.1.3.5ADS的退出不應(yīng)導(dǎo)致：7GB/TXXXXX—XXXXa)任何應(yīng)急輔助功能自動關(guān)閉；b)任何部分駕駛輔助功能或組合駕駛輔助功能自動激活。7.2干預(yù)7.2.1一般要求ADS響應(yīng)駕駛員干預(yù)的控制策略應(yīng)安全、可靠和有效，并應(yīng)能檢測駕駛員是否執(zhí)行干預(yù)操作。7.2.2橫向運行控制干預(yù)7.2.2.1當駕駛員對轉(zhuǎn)向控制的干預(yù)超過車輛制造商聲明的為防止誤用而設(shè)計的合理閾值時，駕駛員輸入的轉(zhuǎn)向控制應(yīng)被執(zhí)行。7.2.2.2ADS應(yīng)檢測駕駛員是否專注于動態(tài)駕駛?cè)蝿?wù)（DDT），7.2.2.1中的閾值應(yīng)與駕駛員專注于動態(tài)駕駛?cè)蝿?wù)（DDT）的情況相關(guān)。7.2.3縱向運動控制干預(yù)7.2.3.1當駕駛員對制動控制的干預(yù)產(chǎn)生比ADS引起的減速度更大或通過任何制動系統(tǒng)使車輛保持靜止時，駕駛員輸入的制動控制應(yīng)被執(zhí)行。7.2.3.2當駕駛員對加速控制進行干預(yù)時，駕駛員的輸入可被執(zhí)行，但不應(yīng)導(dǎo)致ADS不符合本文件的要求。7.2.3.3對于需要傳統(tǒng)駕駛員執(zhí)行接管的ADS，當駕駛員僅干預(yù)制動或加速控制且超過為防止誤用而設(shè)計的合理閾值時，ADS應(yīng)發(fā)出介入請求。7.2.3.4對于不需要傳統(tǒng)駕駛員執(zhí)行接管的ADS，當駕駛員僅干預(yù)制動或加速控制且超過為防止誤用而設(shè)計的合理閾值時，ADS應(yīng)執(zhí)行合理的控制策略。7.2.4干預(yù)抑制若駕駛員的干預(yù)將導(dǎo)致危急的碰撞風(fēng)險，ADS可根據(jù)車輛制造商聲明的方式減弱或抑制駕駛員的干預(yù)對任何控制的影響。7.2.5其他干預(yù)策略7.2.5.1在發(fā)生車輛嚴重失效或ADS嚴重失效的情況下，ADS可執(zhí)行車輛制造商聲明的其他安全響應(yīng)干預(yù)的控制策略。7.2.5.2若駕駛員操縱車輛其他干預(yù)裝置（如有），ADS應(yīng)對駕駛員進行提示，并執(zhí)行車輛制造商聲明的控制策略。7.3系統(tǒng)狀態(tài)提示7.3.1一般要求7.3.1.1ADS應(yīng)持續(xù)向用戶提示明確、充分的ADS狀態(tài)信息，各狀態(tài)信息應(yīng)易于區(qū)分，且不應(yīng)對用戶造成干擾。7.3.1.2當ADS狀態(tài)發(fā)生變化時，ADS應(yīng)及時向用戶提供必要的提示信息。7.3.2未就緒狀態(tài)提示若由于ADS未就緒而導(dǎo)致用戶激活系統(tǒng)失敗，則應(yīng)向用戶直觀地提示。8GB/TXXXXX—XXXX7.3.3就緒狀態(tài)提示當ADS處于就緒狀態(tài)時，宜至少通過光學(xué)信號向用戶提示系統(tǒng)可被激活。7.3.4激活狀態(tài)提示7.3.4.1ADS由未激活狀態(tài)進入激活狀態(tài)時，應(yīng)至少通過專用的光學(xué)信號向用戶提示ADS已激活。7.3.4.2ADS處于激活狀態(tài)時，應(yīng)至少通過光學(xué)信號持續(xù)向用戶提示ADS處于激活狀態(tài)。7.3.5退出提示ADS由激活狀態(tài)退出至未激活狀態(tài)時，應(yīng)通過至少兩種方式向用戶提示ADS已退出，至少包括光學(xué)信號。由于駕駛員接管導(dǎo)致ADS退出，可僅用光學(xué)信號提示。7.3.6介入請求7.3.6.1未升級的介入請求的提示方式應(yīng)在光學(xué)信號的基礎(chǔ)上附加聲學(xué)和/或觸覺信號。其中光學(xué)信號應(yīng)直觀且明確地提示駕駛員介入請求的響應(yīng)方式，標志應(yīng)符合GB/TXXXX-XXXX（《智能網(wǎng)聯(lián)汽車操縱件、指示器及信號裝置的標志》）表1中序號5的要求。7.3.6.2按照6.2.3.3進行介入請求升級后，升級的介入請求至少應(yīng)增加持續(xù)或間歇性的觸覺提示。7.3.7最小風(fēng)險策略（MRM）提示7.3.7.1在ADS執(zhí)行最小風(fēng)險策略（MRM）過程中，應(yīng)對用戶給出明顯提示，提示方式應(yīng)在光學(xué)信號的基礎(chǔ)上附加聲學(xué)和/或觸覺信號。7.3.7.2ADS處于最小風(fēng)險狀態(tài)（MRC）時，應(yīng)至少以光學(xué)、聲學(xué)或觸覺中的兩種信號提示用戶直至ADS退出。7.3.7.3對于需要傳統(tǒng)駕駛員接管的ADS，最小風(fēng)險策略（MRM）的提示信號應(yīng)與介入請求不同。7.3.8失效提示在ADS激活狀態(tài)下，若檢測到ADS失效，ADS應(yīng)向用戶發(fā)出明顯提示，至少包括光學(xué)提示信號。7.3.9接管能力不足提示接管能力不足提示信號應(yīng)明顯區(qū)別于ADS激活狀態(tài)下車輛其他提示信號。7.3.10暫緩或抑制響應(yīng)用戶操作提示若ADS暫緩或抑制響應(yīng)用戶的操作，應(yīng)明確提示且區(qū)別于ADS激活狀態(tài)下車輛其他提示信號。8說明書對于裝備ADS的車輛，其產(chǎn)品說明書至少應(yīng)包含：a)“本車具備ADS”等內(nèi)容的說明；b)ADS的設(shè)計運行條件（ODC）的說明；c)激活A(yù)DS的方法及條件的說明；d)退出ADS的方法及條件的說明；e)干預(yù)ADS的方法及結(jié)果的說明；f)ADS各狀態(tài)提示信號的說明；9GB/TXXXXX—XXXXg)若ADS不需要接管，“本車ADS無需被駕駛員接管”等內(nèi)容的說明；h)若ADS需要接管，“本車ADS在特定條件下需要被駕駛員接管”等內(nèi)容的說明；i)若ADS需要接管，介入請求的說明；j)若ADS需要接管，接管ADS的方法及結(jié)果的說明；k)若ADS需要接管，接管能力不足提示信號的說明；l)ADS執(zhí)行最小風(fēng)險策略（MRM）的條件的說明；m)ADS執(zhí)行最小風(fēng)險策略（MRM）的車輛行為及結(jié)果的說明；n)若ADS激活狀態(tài)下發(fā)生碰撞事故，對用戶的建議。GB/TXXXXX—XXXX適用于ADS的安全性的特殊要求A.1總則本附錄旨在確保車輛制造商在ADS設(shè)計和開發(fā)過程中對功能安全和預(yù)期功能安全等進行了充分的考慮，并貫穿整個車輛的生命周期過程（開發(fā)、生產(chǎn)、運行、服務(wù)、報廢），以避免因ADS故障、預(yù)期功能不足導(dǎo)致的對用戶和其他道路使用者造成不合理的風(fēng)險，確保ADS的運行安全。本附錄規(guī)定了ADS在功能安全和預(yù)期功能安全等方面的特殊要求。本附錄不針對ADS的標稱性能，也不作為ADS功能安全和預(yù)期功能安全開發(fā)的具體指導(dǎo)，而是規(guī)定ADS設(shè)計、驗證和確認過程中應(yīng)遵循的方法和應(yīng)具備的信息，作為滿足功能安全和預(yù)期功能安全等的依據(jù)。A.2總體要求A.2.1車輛制造商應(yīng)建立安全管理體系，采用有效的過程、方法和工具管理ADS在車輛全生命周期（包含開發(fā)、生產(chǎn)、運行、服務(wù)、報廢）中的安全性，并證明ADS在聲明的設(shè)計運行條件（ODC）內(nèi)（包括邊界）不會對用戶和其他道路使用者造成不合理的風(fēng)險A.2.2車輛制造商應(yīng)建立設(shè)計開發(fā)過程，包括安全管理體系、需求管理、需求實施、測試、失效跟蹤、維護和發(fā)布。A.2.3車輛制造商應(yīng)在負責ADS的功能安全、預(yù)期功能安全、信息安全和其他安全的部門間建立并保持有效的溝通渠道。A.2.4車輛制造商應(yīng)具有過程，用于監(jiān)控由ADS引發(fā)的安全相關(guān)事件，以及管理ADS潛在風(fēng)險并能升級ADS。A.2.5車輛制造商應(yīng)定期進行獨立的內(nèi)部過程審核，以確保根據(jù)A.2.1～A.2.4建立的過程得到一致的實施。A.2.6車輛制造商應(yīng)管理供應(yīng)商（例如，合同管理、質(zhì)量管理體系等以確保供應(yīng)商的安全管理體系符合A.2.1～A.2.3和A.2.5中相關(guān)的要求。A.3系統(tǒng)描述A.3.1ADS功能描述A.3.1.1車輛制造商應(yīng)具有相應(yīng)的文檔，用于說明ADS的功能（包括其對應(yīng)的駕駛控制策略）。A.3.1.2車輛制造商應(yīng)具有相應(yīng)的文檔，用于說明ADS的設(shè)計運行條件（ODC）以及在設(shè)計運行條件（ODC）內(nèi)執(zhí)行動態(tài)駕駛?cè)蝿?wù)（DDT）所采取的方法。A.3.1.3車輛制造商應(yīng)具有相應(yīng)的文檔，用于說明ADS與用戶和其他道路使用者預(yù)期的交互，包括當達到ADS的設(shè)計運行條件（ODC）時的人機交互（HMI）策略。A.3.1.4車輛制造商應(yīng)具有相應(yīng)的文檔，用于說明ADS激活、干預(yù)（包括干預(yù)的閾值，例如力矩、角度、持續(xù)時間）、最小風(fēng)險策略（MRM）和退出等，包括ADS如何防止用戶合理可預(yù)見的誤用，以及如何通過最小風(fēng)險策略（MRM）使安全風(fēng)險降至可接受水平。此外，A.3.1.5對于需要傳統(tǒng)駕駛員接管的ADS，車輛制造商還應(yīng)具有相應(yīng)的文檔，用于說明ADS向駕駛員GB/TXXXXX—XXXX發(fā)出介入請求的各種情況，和ADS如何確認駕駛員狀態(tài)（例如，是否具備動態(tài)駕駛?cè)蝿?wù)（DDT）執(zhí)行能力）、接管能力不足提示信號以及駕駛員執(zhí)行動態(tài)駕駛?cè)蝿?wù)（DDT）能力的判定周期等。A.3.1.6車輛制造商應(yīng)具有相應(yīng)的文檔，用于說明感知系統(tǒng)的輸入、輸出，感知系統(tǒng)正常工作范圍（包括應(yīng)對傳感器的衰退）以及感知系統(tǒng)對ADS行為的影響。A.3.1.7車輛制造商應(yīng)具有相應(yīng)的文檔，用于說明決策系統(tǒng)的輸出，以及對車輛運動控制的影響等。A.3.1.8如果在ADS運行階段使用連續(xù)的學(xué)習(xí)算法，車輛制造商應(yīng)具有相應(yīng)的文檔，用來對數(shù)據(jù)處理過程進行描述。A.3.2系統(tǒng)布局和原理圖A.3.2.1系統(tǒng)組件清單A.3.2.1.1車輛制造商應(yīng)具有組件清單，該清單應(yīng)包含ADS的所有單元，同時也應(yīng)列出為實現(xiàn)自動駕駛功能所需的車輛其他系統(tǒng)（例如，自動駕駛數(shù)據(jù)記錄系統(tǒng)（DSSAD。A.3.2.1.2車輛制造商應(yīng)具有ADS布局及原理圖，該圖應(yīng)包括以下內(nèi)容，且能夠清晰地展示組件分布和相互連接：a)感知系統(tǒng)（包含地圖和定位系統(tǒng)，如適用）；b)決策系統(tǒng)；c)執(zhí)行系統(tǒng)；注：執(zhí)行系統(tǒng)自身的功能安全要求在GB17675、GBd)由遠程后臺提供的遠程監(jiān)控（如適用）。A.3.2.2單元功能車輛制造商應(yīng)具有相應(yīng)的文檔，用來概述以下內(nèi)容：a)ADS各單元的功能，并展示該單元與其他單元或車輛其他系統(tǒng)間的連接，可使用帶標記的框圖或其他示意圖說明；b)信號傳輸與各單元的對應(yīng)關(guān)系，以及信號的優(yōu)先級（如適用）。A.3.2.3單元的識別A.3.2.3.1車輛制造商應(yīng)具有相應(yīng)的文檔，文檔中應(yīng)能清晰明確地識別每個單元（例如，硬件單元、軟件單元）并提供相應(yīng)的說明。A.3.2.3.2車輛制造商應(yīng)明確標識硬件和軟件的版本。A.3.2.4感知系統(tǒng)部件的安裝說明車輛制造商應(yīng)具有相應(yīng)的文檔，用來說明感知系統(tǒng)中單個部件的安裝信息。這些信息應(yīng)包括但不a)部件在車輛上的位置；b)部件外表面的材料；c)部件外表面的尺寸和形狀；d)部件外表面的光潔度；e)對ADS性能影響大的安裝規(guī)范。A.4功能安全要求GB/TXXXXX—XXXXA.4.1危害分析和風(fēng)險評估車輛制造商應(yīng)根據(jù)裝備ADS的車輛的目標使用場景及目標用戶，在整車層面開展面向功能安全的危害分析和風(fēng)險評估，并定義相應(yīng)的汽車安全完整性等級(ASIL)和安全目標，符合GB/T34590.3-2022第6章的要求。A.4.2功能安全概念A(yù).4.2.1車輛制造商應(yīng)進行系統(tǒng)層面的面向功能安全的安全概念活動，以保障系統(tǒng)在故障條件下，對用戶和其他道路使用者不存在不合理的風(fēng)險。A.4.2.2車輛制造商應(yīng)進行安全分析活動，并制訂對應(yīng)的安全措施，以說明系統(tǒng)一旦發(fā)生失效該系統(tǒng)如何避免或減輕可能對用戶和其他道路使用者的安全產(chǎn)生影響的危害。安全分析至少包括：a)系統(tǒng)層面的安全分析，可采用潛在失效模式與影響分析(FMEA)、故障樹分析(FTA)、系統(tǒng)理論過程分析（STPA）或適合系統(tǒng)安全分析的其他類似過程；b)應(yīng)至少考慮如下因素可能導(dǎo)致的危害以開展安全分析：1)感知系統(tǒng)故障；2)決策系統(tǒng)故障；3)執(zhí)行系統(tǒng)故障。A.4.2.3車輛制造商應(yīng)具備文檔，用于描述ADS提示信號優(yōu)先級以及ADS在典型故障情況下向駕駛員提供的提示信號。A.4.2.4車輛制造商應(yīng)進行安全措施制定，以確保安全概念實現(xiàn)。ADS可采取如下安全措施：a)使用部分系統(tǒng)維持運行。若選擇在某些故障條件下（例如：探測相鄰車道的傳感器故障）維持部分性能（例如，維持在本車道，不支持變道）的運行模式，應(yīng)說明這些故障條件并確定部分系統(tǒng)維持運行的效果；b)切換到備用系統(tǒng)。若選擇備用系統(tǒng)實現(xiàn)動態(tài)駕駛?cè)蝿?wù)（DDT），應(yīng)說明切換機制的原理、冗余的邏輯和層級、備用系統(tǒng)的狀態(tài)檢查機制并界定備用系統(tǒng)的效果；c)退出自動駕駛功能。若選擇退出，過程應(yīng)符合本文件要求。A.4.3驗證和確認A.4.3.1車輛制造商應(yīng)執(zhí)行驗證和確認活動，并對驗證和確認計劃及結(jié)果進行檢查，以證明滿足面向功能安全的安全概念。驗證和確認應(yīng)基于仿真試驗、場地試驗、道路試驗或其他適當