ChinaAutoRegs｜GB/T 44721-2024英文版翻译《智能网联汽车 自动驾驶系统通用本事要求》巨屌

Intelligent and Connected Vehicle—General Technical Requirements for Automated Driving System

CONTENTS

Foreword

Introduction

1 Scope

2 Normative References

3 Terms and Definitions

4 General Requirements

张开剩余97%

5 Execution of Dynamic Driving Task

6 Dynamic Driving Task Fallback

7 Human-Machine Interaction

8 Instructions

Annex A (Normative) Special Requirements Applicable to the Safety of the ADS

Annex B (Informative) Correspondence Between Technical Requirement and Test Type

Bibliography

1限制

本文献国法了自动驾驶系统的总体要求、动态驾驶任求实行要求、动态驾驶任务后盾要求、东说念主机交互要求等。

本文献适用于装备自动驾驶系统的M类、N类汽车。

2按序性援用文献

下列文献中的本体通过文中的按序性援用而构资本文献必不可少的要求。其中，注日历的援用文献，仅该日历对应的版块适用于本文献；不注日历的援用文献，其最新版块（包括系数的修改单）适用于 本文献。

GB/T 34590.1说念路车辆功能安全第1部分：术语

GB/T 34590.3-2022说念路车辆 功能安全 第3部分：办法阶段

GB/T 40429—2021汽车驾驶自动化分级

GB/T 41798智能网联汽车自动驾驶功能方法教化方法及要求

GB/T 43267—2023说念路车辆预期功能安全

GB/T 44298-2024智能网联汽车 专揽件、指引器及信号安设的标志

GB/T 44373—2024智能网联汽车 术语和界说

GB/T 44719智能网联汽车 自动驾驶功能说念路教化方法及要求

3术语和界说

GB/T 34590.1.GB/T 40429 2021、GB/T 43267 2023.GB/T 44373 2024 界定的以及下列术 语和界说适用于本文献。

3.1

自动驾驶功能 automated driving function

驾驶自动化系统在特定的联想运行条件下代替驾驶员陆续白动地实行一都动态驾驶任务的功能，

注：GB/T 40429-2021中国法的3级及以上驾驶自动化功能的总称，包括有条件自动驾驶、高度自动驾驶和实足 自动驾驶功能。

[开首：GB/T 44373 2024，6.4]

3.2

自动驾驶系统 automated driving system ;ADS

由完毕自动驾驶功能的硬件和软件所共同构成的系统。

注：“自动驾驶系统”为GB/T 40429—2021国法的3级及以上驾驶自动化系统。

[开首：GB/T 44373—2024，5.3]

3.3

未激活情景inactive state

ADS未实行车辆通顺限度的情景。

3.4

露出

就绪情景 ready state

ADS能被激活的未激活情景。

3.5

激活情景 active state

ADS实行车辆通顺限度的情景。

3.6

ADS严重失效 severe ADS failure

ADS重要部件失效导致严重影响ADS安全运行的失效。

示例：中枢机较单位失效。

3.7

车辆严重失效 severe vehicle failure

任何同期影响ADS实行动态驾驶任务（DDT）才略且影响东说念主工驾驶的失效。

示例：电源掉电、制动系统失效、胎压一会儿下跌。

3.8

打算接受事件 planned takeover event

ADS事先认知并需要发出介入央求的事件。

示例：达到联想运行限制（ODD）旯旮。

4总体要求

4.1 ADS应具备明确的联想运行条件（ODC）。

4.2 ADS应只可在其联想运行条件（3DC）下被激活。

4.3 ADS应具备饱胀的主张和事件探伤与反应（OEDR）才略，守旧其安全地实行一都动态驾驶任务 （DDT）。

4.4 ADS应实时响哄骗户的有用操作。若用户的操作将导致危境的碰撞风险，ADS可字据车辆制造 商声明的方式暂缓或欺压反应。若ADS具备暂缓或欺压响哄骗户操作的功能，应明确暂缓或欺压 条件。

4.5 ADS应实行合理的限度计接应酬可合理意象的用户误用。

4.6 ADS应陆续对自己情景进行监测，以阐发ADS是否存在失效以及ADS能否实行一都动态驾驶 任务（DDT）。

4.7 ADS在激活情景下应实行一都动态驾驶任务（DDT）且不应变成分歧理的安全风险。

4.8 ADS在激活情景下实行动态驾驶任务（DDT）时，应合适说念路交通国法。

4.9 ADS在激活情景下实行动态驾驶任务（DDT）时，应合适其他说念路使用者的合理预期。

4.10 ADS在激活情景下，关于守旧驾驶员规复东说念主工驾驶所需的安设或系统，应阐发该安设或系统是 否处于得当东说念主工驾驶的运奇迹态©若关联安设或系统处于不适当的运奇迹态，ADS应实行合理的控 制计策3

注：所需的安设或系统如除雾安设、前风窗玻璃刮水器、照明安设等0

4.11 ADS在激活情景下，不应导致任何可合理意象且可堤防的碰撞事故。

4.12 ADS在激活情景下，当碰撞不可幸免时，应实行合理限度计策以镌汰事故伤害或亏损。

4.13 ADS在激活情景下，当检测到车辆发生碰撞后，除车辆制造商声明的情况，应使车辆静止。

4.14 ADS在激活情景下，当联想运行条件（ODC）行将不知足或也曾不知足时，应实行合理的限度 计策。

4.15 ADS在激活情景下，应与其他说念路使用者进行有用的信拒绝互。

注：信拒绝互方式如转向信号灯、制动灯等。

4.16 ADS在激活情景下，不应阻挠频频的交通流而导致合座通行效力下跌。

4.17 ADS不应存在由于功能很是阐扬引起的危害而导致的分歧理风险，应合适附录Ao

4.18 ADS不应存在因预期功能或其完毕的功能不及引起的危害而导致的分歧理风险，应合适附 录A o

4.19 装备ADS的车辆应装备自动驾驶数据记载系统（DSSAD）。

4.20 应在审核ADS斥地联想过程和材料的基础上，合理遴荐仿真教化、方法教化、说念路教化等教化 方法考据ADS合适本文献的要求，教化类型可参考附录B进行遴荐。

4.21 关于联想运行限制（ODD）包含公路或城市说念路的ADS，若进行方法教化，应至少按照GB/T 41798 进行教化；若进行说念路教化，应至少按照GB/T 44719进行教化；若进行仿真教化，应至少按照自动驾 驶功能仿真教化方法关联国度尺度进行教化。

5动态驾驶任求实行

5.1 ADS应能陆续识别是否知足其联想运行条件（ODC）。

5.2 ADS的感知系统应具备与ADS的ODC相适配的探伤限制°

5.3 ADS应能笃定自车位置、探伤周围环境中的主张和事件。

注：常见主张如说念路（含说念路类型、说念路名义条件、说念路几何、车说念特征、说念路旯旮等）、说念路法子（含交通标志、交通 信号灯等）、主张物（含活泼车、非活泼车、行东说念主、阻隔物等）、天气环境（含天气、光照条件等）、数字信息环境（含 无线通讯、位置信号等）。

5.4 ADS应能探伤主张的位置以及动态主张的挪动速率。

5.5 ADS应实行合理的限度计接应酬感知系统的性能阑珊。

注：性能阑珊一般指由于传感器自己的老化而变成的性能下跌。

5.6 ADS应实行合理的限度计接应酬探伤到但无法识别类型的主张物。

5.7 ADS应实行合理的限度计接应酬无法探伤区域内存在的安全风险。

注：无法探伤区域如传感器布宜及感知限制变成的立区、由其他说念路使用者或阻隔物装潢变成的盲区、说念路拓扑或 气象变成的肓区等。

5.8 ADS在激活情景下，应合理接洽和限度车辆行驶旅途与行驶速率，以得当说念路、说念路法子、主张

物、天气环境、数字信息环境等。

5.9 ADS在激活情景下，应限度车辆与其他说念路使用者保持安全距离；若因其他说念路使用者的行为导 致现时距离无法知足安全距离要求，则应实行合理的限度计策以镌汰安仝风险并在后续合当令机养息 保持安全距离。

5.10 ADS在激活情景下，应实行合理限度计接应酬静止的其他说念路使用者。

5.11 ADS在激活情景下，应至少探伤由于前线车辆延缓、车辆切入或一会儿出现的阻隔物而导致碰撞 的风险，并应自动实行合理的限度计策以最大限制地减少对用户和其他说念路使用者的安全风险。

5.12 ADS在激活情景下.不应与车辆前线无装潢的行东说念主发生碰撞；若因行东说念主导致无法幸免碰撞，则应

减缓碰撞。

5.13 ADS在激活情景下，不应导致车辆失去限度和单车事故。

5.14 ADS在激活情景下，应合理限度车辆的照明和光信号安设，包括但不限于转向信号灯、危险熏陶 信号、制动灯。

6动态驾驶任务后盾

6.1 驾驶员接受才略监测

6.1.1 一般要求

6.1.1.1 关于需要传统驾驶员实行接受的ADS，应具备驾驶员接受才略监测功能。

6.1.1.2 驾驶员接受才略监测功能至少应具备在位监测和实行动态驾驶任务（DDT）才略监测。

6.1.2 驾驶员在位监测

关于需要传统驾驶员实行接受的ADS，在激活情景下，当发生以下任一情况时，ADS应按照6.2 发出介入央求：

a）驾驶员不在驾驶位跨越1s；

b）驾驶员未系安全带。

6.1.3 驾驶员实行动态驾驶任务（DDT）才略监测

6.1.3.1 关于需要传统驾驶员实行接受的ADS，应至少通过2种有用的目的对驾驶员是否具备实行动 态驾驶任务（DDT）的才略进行判定，且应确保判定周期是合理的。

注：目的如特定的东说念主机交互动作、眼部情景、头部通顺或躯壳通顺等。

6.1.3.2 关于需要传统驾驶员实行接受的ADS，当ADS处于激活情景且驾驶员被判定为不具备实行 动态驾驶任务（DDT）的才略时，ADS应立即发出明确的接受才略不及教唆信号，每次发出的接受才略 不及教唆信号应在知足以下任一条件时关闭：

a）监测到驾驶员规复实行动态驾驶任务（DDT）才略；

b） ADS发出介入央求；

c） ADS实行最小风险计策（MRM）；

d） ADS退出。

6.2 接受

6.2.1 一般要求

关于需要传统驾驶员实行接受的ADS，发出介入请乞降反应驾驶员接受的限度计接应安全、可靠 和有用，并应能实时检测驾驶员是否实行接受操作。

6.2.2 发出介入央求

6.2.2.1 关于需要传统驾驶员实行接受的ADS，应具备明确的介入央求触发条件，且ADS应能识别需 要发出介入央求的系数情况。除6.2.2.2 c）和6.2.2.3的非常情况外，当不知足7.1.2.1中任一条件或接 管才略不及教唆信号达到设定时永劫，ADS应发出介入央求。

6.2.2.2 介入央求的发出时机应确保驾驶员有饱胀的时候安全接受车辆，至少知足以下要求。

a）关于打算接受事件，ADS应在适当的时刻发出介入央求，以确保即使驾驶员未接受，最小风 险计策（MRM）仍能使车辆在打算接受事件发生前静止。

b）关于非打算接受事件，ADS应在检测到该事件时实时发出介入央求。

注：非打算接受事件是指ADS事先未认知但需要发出介入央求的事件，如说念路临时施工、车说念标线褪色等。

c）关于影响ADS运行的失效.ADS应在检测到该失效时立即发出介入央求°若该失效为

ADS严重失效或车辆严重失效，则ADS可不发出介入央求径直实行最小风险计策（MRM）。

6.2.2.3若发生车辆制造商所声明的无法保险驾驶员有充足的时候接受车辆的事件，ADS不应发出介 东说念主央求，可立即实行最小风险计策（MRM）。

示例：企业声明在“事件X”下无法保险驾驶员有充足的时候接受车辆并证明注解该声明的合感性，则ADS在“事件X” 下就无须也不行发出介入央求。

6.2.3 介入央求阶段

6.2.3.1 在介入央求发出过程中，ADS应保持激活情景并实行一都动态驾驶任务（DDT）。

6.2.3.2 除车辆制造商声明的非常情况，在介入央求发出过程中，ADS不应使车辆静止。

6.2.3.3 在介入央求发出过程中，介入央求应在发出后合理时K内升级并保持升级情景至介入央求 辨别。

6.2.3.4 介入央求从发出到因实行最小风险计策（MRM）而辨别的时长应不小于10 s，使驾驶员有充足 的时候接受车辆。

注：在驾驶员陆续未接受的情况下•介入央求发出、升级以及运转实行MRM的时序关连暗示图如图1。

介入央求

发出时刻

介入央求

升级时刻

运转实行MRM

时刻

介入央求发出、升级以及运转实行MRM的时序关连暗示图

6.2.4 辨别介入央求

仅当ADS退出或实行最小风险计策（MRM）时，才应辨别介入央求。

6.3 最小风险计策（MRM）

6.3.1.1 ADS应有明确的实行最小风险计策（MRM）的条件，且应能识别需要实行最小风险计策 （MRM）的系数情况，至少应包括：

a）关于需要传统驾驶员实行接受的ADS，驾驶员未在国法的时候（不小于10s）内反应介入 央求；

b）关于不需要传统驾驶员实行接受的ADS，当联想运行条件（ODC）行将不知足，ADS实时执 行最小风险计策（MRM）并能使车辆在不知足联想运行条件（ODC）之前达到静止；若因非常 情况使联想运行条件（ODC）一会儿不知足，ADS立即实行最小风险计策（MRM）并能使车辆达 到静止。

6.3.1.2 当ADS实行最小风险计策（MRM）时，应将用户和其他说念路使用者的安全风险降至可接受 水平。

注：在实行最小风险计策（MRM）时代，ADS可能不再有才略知足本文献的要求，但其主张是使安全风险降至可接

受水平。

6.3.1.3 当ADS实行最小风险计策（MRM）时，应开启并保持危险熏陶信号，在换说念过程中应字传闻念 路交通国法合理使用危险熏陶信号。

6.3.2 辨别最小风险计策（M RM）

6.3.2.1 仅当ADS退出或ADS使车辆静止时，才应辨别最小风险计策（MRM）。

6.3.2.2 当因车辆静止而辨别最小风险计策（MRM）后，不应因ADS退出导致危险熏陶信号关闭。

7东说念主机交互

7.1 激活和退出

7.1.1 一般要求

7.1.1.1 ADS应配备供用户激活和退出ADS的专用专揽方式，该方式应防护可合理意象的用户误用。 注：专用专揽方式如专用的专揽件或对专揽件的专用专揽方法等。

7.1.1.2 当ADS处于激活情景时，应至少有一种退出ADS的专揽方式对用户保持可见。

7.1.1.3 车辆每次焚烧（上电）后（发动机自动启停以外），ADS应处于未激活情景。

7.1.2 激活

7.1.2.1 关于需要传统驾驶员实行接受的ADS，仅当驾驶员实行激活操作且知足以下系数条件时， ADS才应被激活：

a）驾驶员坐在驾驶位置上，且系好安全带；

b）驾驶员具备实行动态驾驶任务（DDT）才略；

c）不存在影响ADS运行的失效；

d）自动驾驶数据记载系统（DSSAD）处于可记载情景；

e）车辆未在实行影响ADS运行的软件升级；

f）除a）〜e）外，车辆制造商声明的其他联想运行条件（ODC）。

7.1.2.2 关于不需要传统驾驶员实行接受的ADS，仅当用户实行激活操作且知足以下系数条件时， ADS才应被激活：

a）不存在影响ADS运行的失效；

b）自动驾驶数据记载系统（DSSAD）处于可记载情景；

c）车辆未在实行影响ADS运行的软件升级；

d）除a）〜c）外，车辆制造商声明的其他联想运行条件（ODC）。

7.1.3 退出

7.1.3.1 知足以下任一条件时，ADS应退出：

a）用户通过专用专揽方式退出ADS；

b）驾驶员按照7.2.2.1骚扰横向通顺限度；

c）驾驶员按照7.2.3.L7.2.3.2骚扰纵向通顺限度，且驾驶员手捏地点盘；

d）在介入央求发出或实行最小风险计策（MRM）过程中，除a）〜c）外，ADS阐发驾驶员手捏方 向盘且专注于动态驾驶任务（DDT）；

e）因车辆静止而辨别最小风险计策（MRM）。

7.1.3.2 在发生车辆严重失效或ADS严重失效的情况下，ADS可实行车辆制造商声明的其他安全退 出的限度计策。

7.1.3.3 除7.1.3.1 1.3.2以及ADS到达预设目的地外，ADS不应退出。

7.1.3.4 仅当用户实行的退出操作将导致危境的碰撞风险时，ADS可暂缓退出。

7.1.3.5 ADS的退出不应导致：

a）任何救急扶助功能自动关闭；

b）任何部分驾驶扶助功能或组合驾驶扶助功能自动激活。

7.2 骚扰

7.2.1 一般要求

ADS反应驾驶员骚扰的限度计接应安全、可靠和有用，并应能检测驾驶员是否实行骚扰操作。

7.2.2 横向运行限度骚扰

7.2.2.1 当驾驶员对转向限度的骚扰跨越车辆制造商声明的为防护误用而联想的合理阈值时，驾驶员 输入的转向限度应被实行。

7.2.2.2 ADS应检测驾驶员是否专注于动态驾驶任务（DDT），7.2.2.1中的阈值应与驾驶员专注于动 态驾驶任务（DDT）的情况关联。

7.2.3 纵向通顺限度骚扰

7.2.3.1 当驾驶员对制动限度的骚扰产生比ADS引起的延缓度更大或通过任何制动系统使车辆保持 静止时，驾驶员输入的制动限度应被实行。

7.2.3.2 当驾驶员对加快限度进行骚扰时，驾驶员的输入可被实行，但不应导致ADS不合适本文献的 要求。

7.2.3.3 关于需要传统驾驶员实行接受的ADS，当驾驶员仅骚扰制动或加快限度且跨越为防护误用而 联想的合理阈值时，A D S应发出介入央求。

7.2.3.4 关于不需要传统驾驶员实行接受的ADS，当驾驶员仅骚扰制动或加快限度且跨越为防护误用 而联想的合理阈值时，ADS应实行合理的限度计策。

7.2.4 骚扰欺压

若驾驶员的骚扰将导致危境的碰撞风险，ADS可字据车辆制造商声明的方式放松或欺压驾驶员 的骚扰对任何限度的影响。

7.2.5 其他干掂量策

7.2.5.1 在发生车辆严重失效或ADS严重失效的情况下，ADS可实行车辆制造商声明的其他安全响 应骚扰的限度计策。

7.2.5.2 若用户专揽车辆其他骚扰安设（如有），ADS应酬用户进行教唆，并实行车辆制造商声明的控 制计策，

注：其他骚扰安设如转向信号灯专揽件，

7.3 系统情景教唆

7.3.1 一般要求

7.3.1.1 ADS应陆续向用户教唆明确、充分的ADS情景信息，各情景信息应易于差别，且不应酬用户 变成干扰。

7.3.1.2 当ADS情景发生变化时，ADS应实时向用户提供必要的教唆信息。

7.3.2 未就绪情景教唆

若由于ADS处于未就绪情景而导致用户激活系统失败，则应向用户直不雅地教唆。

注：未就绪情景是指ADS不行被激活的未激活情景。

7.3.3 就绪情景教唆

当ADS处于就绪情景时，宜至少通过光学信号向用户教唆系统可被激活。

示例：笔墨信息、图形标志等。

7.3.4 激活情景教唆

7.3.4.1 ADS由未激活情景过问激活情景时，应至少通过专用的光学信号向用户教唆ADS已激活。

7.3.4.2 ADS处于激活情景时，应至少通过光学信号陆续向用户教唆ADS处于激活情景。

7.3.5 退出教唆

ADS由激活情景退出至未激活情景时，应通过至少两种方式向用户教唆ADS已退出，至少包括 光学信号。由于驾驶员接受导致ADS退出，可仅用光学信号教唆。

7.3.6 介入央求

7.3.6.1 未升级的介入央求的教唆方式应在光学信号的基础上附加声学和/或触觉信号。其中光学信 号应直不雅且明确地教唆驾驶员介入央求的反应方式，标志应合适GB/T 44298-2024表1中序号5的 要求O

7.3.6.2 按照6.2.3.3进行介入央求升级后，升级的介入央求至少应加多陆续或间歇性的触觉教唆。

7.3.7 最小风险计策（M RM ）教唆

7.3.7.1 在ADS实行最小风险计策（MRM）过程中，应酬用户给出剖析教唆，教唆方式应在光学信号 的基础上附加声学和/或触觉信号。

7.3.7.2 ADS处于最小风险情景（MRC）时，应至少以光学、声学或触觉中的两种信号教唆用户直至 ADS退出。

7.3.7.3 关于需要传统驾驶员接受的ADS，最小风险计策（MRM）的教唆信号应与介入央求不同。

7.3.8 失效教唆

在ADS激活情景下，若检测到ADS失效，ADS应向用户发出剖析教唆，至少包括光学教唆信号。

7.3.9 接受才略不及教唆

接受才略不及教唆信号应剖析区别于ADS激活情景下车辆其他教唆信号。

7.3.10 暂缓或欺压响哄骗户操作教唆

若ADS暂缓或欺压响哄骗户的操作，应明确教唆且区别于ADS激活情景下车辆其他教唆信号。

8证明书

关于装备ADS的车辆，其家具证明书至少应包含:

a）“本车具备ADS”等本体的证明；

b）ADS的联想运行条件（ODC）的证明；

c）激活ADS的方法及条件的证明；

d）退出ADS的方法及条件的证明；

e）骚扰ADS的方法及完了的证明；

f） ADS各情景教唆信号的证明；

g）若ADS不需要接受，“本车ADS无需被驾驶员接受”等本体的证明；

h）若ADS需要接受，“本车ADS在特定条件下需要被驾驶员接受”等本体的证明;

i）若ADS需要接受，介入央求的证明；

j） 若ADS需要接受，接受ADS的方法及完了的证明；

k）若ADS需要接受，接受才略不及教唆信号的证明；

l）ADS实行最小风险计策（MRM）的条件的证明；

m）ADS实行最小风险计策（MRM）的车辆行为及完了的证明；

n）若ADS激活情景下发生碰撞事故，对用户的提议°

附录 A

（按序性）

适用于ADS的安全性的非常要求

A.1总则

本附录旨在确保车辆制造商在ADS联想和斥地过程中对功能安全和预期功能安全等进行了充分 的洽商，并相接通盘车辆的生命周期过程（斥地、坐蓐、运行、作事、报废），以幸免因ADS故障、预期功 能不及导致的对用户和其他说念路使用者变成分歧理的风险，确保ADS的运行安全。

本附录国法了 ADS在功能安全和预期功能安全等方面的非常要求。

本附录不针对ADS的标称性能，也不行为ADS功能安全和预期功能安全斥地的具体带领，而是 国法ADS联想、考据和阐发过程中应谨守的方法和应具备的信息，行为知足功能安全和预期功能安全 等的依据。

A .2总体要求

A.2.1车辆制造商应建造安全科罚体系，接管有用的过程、方法和器具科罚ADS在车辆全生命周期 （包含斥地、坐蓐、运行、作事、报废）中的安全性，并证明注解ADS在声明的联想运行条件（ODC）内（包括 规模）不会对用户和其他说念路使用者变成分歧理的风险。

A.2.2车辆制造商应建造联想斥地过程，包括安全科罚体系、需求科罚、需求实施、测试、失效追踪、维 护和发布。

A.2.3车辆制造商应在认真ADS的功能安全、预期功能安全、信息安全和其他安全的部门间建造并 保持有用的同样渠说念。

A.2.4车辆制造商应具有一个或多个过程，用于监控由ADS激励的安全关联事件，以及科罚ADS潜 在风险并能升级ADS0

A.2.5车辆制造商应按期进行寂寥的里面过程审核，以确保字据A.2.1〜A.2.4建造的过程得回一致 的实施。

A.2.6车辆制造商应科罚供应商（举例，契约科罚、质料科罚体系等），以确保供应商的安全科罚体系符 合A.2.1〜A.2.3和A.2.5中关联的要求。

A.3系统形色

A.3.1 ADS功能形色

A.3.1.1车辆制造商应具有相应的文档，用于证明ADS的功能（包括其对应的驾驶限度计策）。

A.3.1.2车辆制造商应具有相应的文档，用于证明ADS的联想运行条件（ODC）以及在联想运行条件 （ODC）内实行动态驾驶任务（DDT）所接管的方法。

A.3.1.3车辆制造商应具有相应的文档，用于证明ADS与用户和其他说念路使用者预期的交互，包括当 达到ADS的联想运行条件（ODC）时的东说念主机交互（HMI）计策。

A.3.1.4车辆制造商应具有相应的文档，用于证明ADS激活、骚扰（包括骚扰的阈值，举例力矩、角度、 陆续时候）、最小风险计策（MRM）和退出等，包括ADS何如防护用户合理可意象的误用，以及何如通 过最小风险计策（MRM）使安全风险降至可接受水平。

A.3.1.5关于需要传统驾驶员接受的ADS，车辆制造商还应具有相应的文档，用于证明ADS向驾驶 员发出介入央求的多样情况和ADS何如阐发驾驶员情景-举例，是否具备动态驾驶任务（DDT）实行才略］、接受才略不及教唆信号以及驾驶员实行动态驾驶任务（DDT）才略的判定周期等。

A.3.1.6车辆制造商应具有相应的文档，用于证明感知系统的输入、输出，感知系统频频使命限制（包 括应酬传感器的阑珊）以及感知系统对ADS行为的影响。

A.3.1.7车辆制造商应具有相应的文档，用于证明决议系统的输出，以及对车辆通顺限度的影响等。

A.3.1.8要是在ADS运行阶段使用一语气的学习算法，车辆制造商应具有相应的文档，用来对数据处理 过程进行形色。

A.3.2 系统布局和旨趣图

A.3.2.1系统组件清单

A.3.2.1.1车辆制造商应具有组件清单，该清单应包含ADS的系数单位，同期也应列出为完毕自动驾 驶功能所需的车辆其他系统。

注：车辆其他系统如自动驾驶数据记载系统（DSSAD）。

A.3.2.1.2车辆制造商应具有ADS布局及旨趣图，且粗略透露地展示组件分散和互相纠合，旨趣图应 包括以下本体：

a）感知系统（包含舆图和定位系统，如适用）；

b）决议系统；

c）实行系统；

注：实行系统自己的功能安全要求在GB 17675、GB 12676和GB 21670中已有具体要求。

d）由而已后台提供的而已监控（如适用）。

A.3.2.2单位功能

车辆制造商应具有相应的文档，用来详细以下本体：

a） ADS各单位的功能，并展示该单位与其他单位或车辆其他系统间的纠合，可使用带符号的框 图或其他暗示图证明；

b）信号传输与各单位的对应关连，以及信号的优先级（如适用）。

A.3.2.3单位的识别

A.3.2.3.1车辆制造商应具有相应的文档，文档中应能透露明确地识别每个单位（举例，硬件单位、软件 单位）并提供相应的证明。

A.3.2.3.2车辆制造商应明确象征硬件和软件的版块。

A.3.2.4感知系统部件的安装证明

车辆制造商应具有相应的文档，用来证明感知系统中单个部件的安装信息。这些信息应包括但不 限于：

a）部件在车辆上的位置；

b）部件外名义的材料；

c）部件外名义的尺寸和气象；

d）部件外名义的光洁度；

e）对ADS性能影响大的安装按序。

A.4功能安全要求

A.4.1危害分析和风险评估

车辆制造商应字据装备ADS的车辆的主张使用场景及主张用户，在整车层面开展面向功能安全的危害分析和风险评估，并界说相应的汽车安全齐全性等第（ASIL）和安全主张，合适GB/T 34590.3-2022第6章的要求。

A.4.2功能安全办法

A.4.2.1车辆制造商应进行系统层面的面向功能安全的安全办法行为，以保险系统在故障条件下，对用户和其他说念路使用者不存在分歧理的风险。

注：安全办法包括功能安全办法和本事安全办法。

A.4.2.2车辆制造商应进行安全分析行为，并制定对应的安全措施，以证明系斡旋旦发生失效，该系统 何如幸免或减轻可能对用户和其他说念路使用者的安全产生影响的危害。安全分析至少包括以下本体。

a）系统层面的安全分析，可接管潜在失效模式与影响分析（FMEA）、故隙树分析（FTA）、系统理 论过程分析（STPA）或得当系统安全分析的其他雷同过程。

b）洽商如下成分可能导致的危害以开展安全分析：

1）感知系统故障；

2）决议系统故障；

3）实行系统故障。

注：实行系统关联安全分析行为参考关联国度尺度。

A.4.2.3车辆制造商应具备文档，用于形色ADS教唆信号优先级以及ADS在典型故障情况下向用户 提供的教唆信号。

A.4.2.4车辆制造商应进行安全措施制定，以确保安全办法完毕。ADS可接管如下安全措施，

a）使用部分系统保管运行°若遴荐在某些故障条件下（如探伤相邻车说念的传感器故障）保管部 分性能（举例，保管在本车说念，不守旧变说念）的运行模式，应证明这些故障条件并笃定部分系统 保管运行的后果。

b）切换到备用系统。若遴荐备用系统完毕动态驾驶任务（DDT），应证明切换机制的旨趣、冗余 的逻辑和层级、备用系统的情景搜检机制并界定备用系统的后果。

c）退出自动驾驶功能。若遴荐退出，过程应合适本文献要求。

A.4.3考据和阐发

A.4.3.1车辆制造商应实行考据和阐发行为，并对考据和阐发打算及完了进行搜检，以证明注解知足面向 功能安全的安全办法。考据和阐发应基于仿真教化、方法教化、说念路教化或其他适当的方法。

A.4.3.2车辆制造商应通过模拟ADS组件的典型故隙，以搜检系统组件发生失效情况下的安全阐扬。

A.5预期功能安全要求

A.5.1危害识别和风险评估

车辆制造商应字据装备ADS的车辆的主张使用场景及主张用户，在整车层面开展面向预期功能 安全的危害识别和风险评估，并笃定风险接受准则，合适GB/T 43267-2023第6章的要求。

A.5.2预期功能安全措施的制定

A.5.2.1车辆制造商应制定面向预期功能安全的安全措施，以保隙关于功能不及，ADS不会对用户和 其他说念路使用者变成分歧理的风险。ADS可接管如下安全措施：

a）改善系统性能；

b）收尾系统激活；

c）向用户发出熏陶；

d）央求驾驶员接受；

e）放慢运行；

f） 最小风险计策（MRM）。

A.5.2.2车辆制造商应进行安全分析行为，以识别和评估系统潜在功能不及和潜在触发条件，并制定 对应的安全措施，以证明在对应的场景下，该ADS何如幸免或减轻可能对用户和其他说念路使用者的安 全产生影响的危害。安全分析至少包括以下本体。

a）系统层面的安全分析，见GB/T 43267—2023中的表4和B.3，或任何得当系统安全分析的其 他雷同过程。

b）洽商如下成分可能导致的危害以开展安全分析：

1）感知系统、决议系统和实行系统的常见功能不及；

2）未能充分洽商或未谨守说念路交通国法；

3）可合理意象的误用；

4）联想运行条件（ODC）规模场景识别不及。

A.5.3考据和阐发计策制定

车辆制造商应针对ADS制定考据和阐发计策，包括考据和阐发方法及合感性证明注解，合适GB/T 43267—2023 第 9 章的要求 °

A.5.4考据和阐发

A.5.4.1车辆制造商应实行考据和阐发行为，并对考据和阐发打算及完了进行搜检，以证明注解知足面向 预期功能安全的接受准则。考据和阐发应基于仿真教化、方法教化、说念路教化或其他适当的方法。

A.5.4.2车辆制造商应酬ADS的联想运行条件（ODC）下典型的可合理意象的场景进行充分阐发。

A.5.4.3车辆制造商应搜检在重要典型场景下ADS的主张和事件探伤与反应（OEDR）、系统决议和 东说念主机交互（HMI）等是否合适本文献的要求。

A.5.5运行阶段预期功能安全监控

车辆制造商应建造并落完毕场监控经由，以确保ADS运行阶段的预期功能安全，合适GB/T 43267-2023第13章的要求。

示例：面向ADS的现场监控经由可包括但不限于自动驾驶数据记载系统（DSSAD）、汽车事件数据记载系统 （EDR）、车载安全监控系统或而已安全监控系统。

A.6系统评估陈诉

车辆制造商应基于本附录的要求进行系统评估并输出评估陈诉。评估陈诉应具有可牵记性巨屌。

发布于：山东省