UNECE WP29《自動駕駛汽車框架文件》

2019年6月，聯(lián)合國WP．29會議審議通過了中國、歐盟、日本和美國共同提出的《自動駕駛汽車框架文件》。

在系統(tǒng)功能安全方面，要求“車輛制造廠商應(yīng)該以設(shè)計出免于不合理安全風(fēng)險的自動駕駛系統(tǒng)和保證負(fù)荷道路交通法規(guī)與本文件列出的原則為目標(biāo)，根據(jù)系統(tǒng)工程方法呈現(xiàn)一個健全的設(shè)計和驗證過程。設(shè)計和驗證方法應(yīng)該包括對以下方面的威脅分析和安全風(fēng)險評估：自動駕駛系統(tǒng)（ADS），目標(biāo)事件探測與響應(yīng)（OEDR），包含上述內(nèi)容的整車設(shè)計，以及更廣泛的交通生態(tài)系統(tǒng)（如適用）。設(shè)計和驗證方法應(yīng)展示出自動駕駛汽車正常運行期間的預(yù)期行為能力，避免碰撞的性能以及后備支援的性能，試驗方法可組合模擬測試、場地測試和實際道路測試”。

在信息安全方面，要求“基于已建立的網(wǎng)絡(luò)車輛物理系統(tǒng)最佳實踐方案，自動駕駛汽車應(yīng)免受網(wǎng)絡(luò)攻擊。車輛制造商應(yīng)表明如何將車輛信息安全考慮整合到自動駕駛系統(tǒng)中，這些考慮包括所有的行動、變化、設(shè)計選擇、分析和相關(guān)測試；以及確保數(shù)據(jù)在文檔版本控制環(huán)境中是可追溯的”。在軟件更新方面，“車輛制造商應(yīng)確保系統(tǒng)更新可根據(jù)需要、以安全的方式進行，并可根據(jù)需要應(yīng)用于售后修理和修改”。

在事件數(shù)據(jù)記錄（EDR）和數(shù)據(jù)存儲系統(tǒng)（DSSAD）方面，要求“自動駕駛汽車應(yīng)具有采集和記錄與系統(tǒng)狀態(tài)、故障發(fā)生、降級或失效相關(guān)必要數(shù)據(jù)的功能，采用一種可用來確定任何碰撞發(fā)生的原因、自動駕駛系統(tǒng)狀態(tài)以及駕駛員狀態(tài)的方式”。對于車輛維護和檢查，要求“應(yīng)利用自動駕駛汽車維護和檢查等相關(guān)措施，確保在用車輛的安全。此外，鼓勵車輛制造商提供文件，便于對碰撞后自動駕駛汽車的維護和修理。這些文件將確定能保證自動駕駛汽車在修理后可安全運行的必要裝備和過程”。

除了《自動駕駛汽車框架文件》之外，GRVA的提案Proposal for amendments to Framework document on automated／autonomous vehicles （levels 3 and higher） 還提出了UNECE WP29應(yīng)優(yōu)先考慮的關(guān)鍵問題和原則：

a．系統(tǒng)安全／ System Safety。

b．失效響應(yīng)／Failsafe Response。

c．人機界面／Human Machine Interface （HMI） ／Operator information。

d．OEDR／Object Event Detection and Response （OEDR）。

e．ODD／ ［Operational Design Domain （ODD／OD）］ （automated mode）。

f．系統(tǒng)安全驗證／Validation for System Safety．

g．網(wǎng)絡(luò)安全／Cybersecurity．

h．軟件升級／ Software Updates．

i．事件記錄與存儲系統(tǒng)／Event data recorder （EDR） and Data Storage System for Automated Driving vehicles （DSSAD）．

j．車輛維護與檢查／Vehicle maintenance and inspection．

k．用戶教育與培訓(xùn)／Consumer Education and Training．

l．碰撞預(yù)防保護與兼容／Crashworthiness and Compatibility．

m．碰撞后行為／ Post－crash AV behaviour．

部分國家自動駕駛車輛安全原則對比

UNECE曾對已公開的部分國家的自動駕駛車輛安全原則進行了對比，包括美國、日本、加拿大、歐洲，詳見下表。

自動駕駛車輛安全原則對比Safety PrinciplesUSA （NHTSA FAVP 3．0）Japan （MLIT－Guideline）Canada （Transport Canada）Europe （EC Guidance）

Vision： “0” accidents with injury or fatality by ADVEnsure Safety ： Within ODD ADV shall not cause rationally foreseeable ＆ preventable accidents

1Safe Function （Redundancy）1） System Safety9） Post Crash Behaviorii） System safety by redundancy6） Safety systems （and appropriate redundancies）7） Safety assessment – redundancy； safety concept2Safety Layer3） （OEDR）ii） Automatic stop in situations outside ODD

iii） Compliance with safety regulation

iii） Compliance with standards recommended

vii） for unmanned services： camera link ＆ notification to service center4） International standards and best practices2） Driver／operator／ passenger interaction－ takeover delay； camera ＆ voice link for driverless systems3Operational Design Domain2） Operational Design Domaini） Setting of ODD2） Operational design domain1） System performance in automated mode – description

2） Driver／operator／ passenger interaction – boundary detection4Behavior in Traffic3） OEDR12） Federal， State and local Laws

3） OEDR1） System performance in automated mode – behavior4） MRM – traffic rules； information5Driver‘s Responsibilities

iv） HMI – driver monitoring for conditional automation1） Level of automation and intended use

7） HMI and access of controls – accidental misuse2） Driver／operator／ passenger interaction – information； driver monitoring6Vehicle Initiated Take－Over4） Fallback （MRC）6） HMIii） Automatic stop in situations outside ODD

iv） HMI – inform about planned automatic stop

3） Transition of driving task – lead time； MRM； HMI4） MRM7Driver Initiated Transfer6） HMI

7） HMI and Accessibility of Controls1） System performance in automated mode － takeover8Effects of Automation

7） HMI and Accessibility of Controls –  unsafe misuse

9Safety Certificate

viii） Safety evaluation via simulation， track ＆ real world testingix） In－use safety － inspection5） Testing and validation

11） After market repairs ／ modifications7） Safety assessment – product； processes； risk assessment； standards10Data Recording10） Data Recordingv） Installation of data recording devices12） User privacy

13） Collaboration with government agencies ＆ law enforcement5） Data storage system11Security7） Vehicle Cybersecurityvi） Cybersecurity – safety by design

ix） In－use safety – software update10） Cyber security11） System update6） Cyber security12Passive Safety8） Crashworthiness

9） User protection during collision ＆ system failure

13Driver‘s training11） Consumer Education／Trainingx） Information provision to users8） Public education and awareness8） information provision to users

－ End －