UNECE WP29《自動(dòng)駕駛汽車框架文件》

2019年6月，聯(lián)合國WP．29會(huì)議審議通過了中國、歐盟、日本和美國共同提出的《自動(dòng)駕駛汽車框架文件》。

在系統(tǒng)功能安全方面，要求“車輛制造廠商應(yīng)該以設(shè)計(jì)出免于不合理安全風(fēng)險(xiǎn)的自動(dòng)駕駛系統(tǒng)和保證負(fù)荷道路交通法規(guī)與本文件列出的原則為目標(biāo)，根據(jù)系統(tǒng)工程方法呈現(xiàn)一個(gè)健全的設(shè)計(jì)和驗(yàn)證過程。設(shè)計(jì)和驗(yàn)證方法應(yīng)該包括對(duì)以下方面的威脅分析和安全風(fēng)險(xiǎn)評(píng)估：自動(dòng)駕駛系統(tǒng)（ADS），目標(biāo)事件探測(cè)與響應(yīng)（OEDR），包含上述內(nèi)容的整車設(shè)計(jì)，以及更廣泛的交通生態(tài)系統(tǒng)（如適用）。設(shè)計(jì)和驗(yàn)證方法應(yīng)展示出自動(dòng)駕駛汽車正常運(yùn)行期間的預(yù)期行為能力，避免碰撞的性能以及后備支援的性能，試驗(yàn)方法可組合模擬測(cè)試、場(chǎng)地測(cè)試和實(shí)際道路測(cè)試”。

在信息安全方面，要求“基于已建立的網(wǎng)絡(luò)車輛物理系統(tǒng)最佳實(shí)踐方案，自動(dòng)駕駛汽車應(yīng)免受網(wǎng)絡(luò)攻擊。車輛制造商應(yīng)表明如何將車輛信息安全考慮整合到自動(dòng)駕駛系統(tǒng)中，這些考慮包括所有的行動(dòng)、變化、設(shè)計(jì)選擇、分析和相關(guān)測(cè)試；以及確保數(shù)據(jù)在文檔版本控制環(huán)境中是可追溯的”。在軟件更新方面，“車輛制造商應(yīng)確保系統(tǒng)更新可根據(jù)需要、以安全的方式進(jìn)行，并可根據(jù)需要應(yīng)用于售后修理和修改”。

在事件數(shù)據(jù)記錄（EDR）和數(shù)據(jù)存儲(chǔ)系統(tǒng)（DSSAD）方面，要求“自動(dòng)駕駛汽車應(yīng)具有采集和記錄與系統(tǒng)狀態(tài)、故障發(fā)生、降級(jí)或失效相關(guān)必要數(shù)據(jù)的功能，采用一種可用來確定任何碰撞發(fā)生的原因、自動(dòng)駕駛系統(tǒng)狀態(tài)以及駕駛員狀態(tài)的方式”。對(duì)于車輛維護(hù)和檢查，要求“應(yīng)利用自動(dòng)駕駛汽車維護(hù)和檢查等相關(guān)措施，確保在用車輛的安全。此外，鼓勵(lì)車輛制造商提供文件，便于對(duì)碰撞后自動(dòng)駕駛汽車的維護(hù)和修理。這些文件將確定能保證自動(dòng)駕駛汽車在修理后可安全運(yùn)行的必要裝備和過程”。

除了《自動(dòng)駕駛汽車框架文件》之外，GRVA的提案Proposal for amendments to Framework document on automated／autonomous vehicles （levels 3 and higher） 還提出了UNECE WP29應(yīng)優(yōu)先考慮的關(guān)鍵問題和原則：

a．系統(tǒng)安全／ System Safety。

b．失效響應(yīng)／Failsafe Response。

c．人機(jī)界面／Human Machine Interface （HMI） ／Operator information。

d．OEDR／Object Event Detection and Response （OEDR）。

e．ODD／ ［Operational Design Domain （ODD／OD）］ （automated mode）。

f．系統(tǒng)安全驗(yàn)證／Validation for System Safety．

g．網(wǎng)絡(luò)安全／Cybersecurity．

h．軟件升級(jí)／ Software Updates．

i．事件記錄與存儲(chǔ)系統(tǒng)／Event data recorder （EDR） and Data Storage System for Automated Driving vehicles （DSSAD）．

j．車輛維護(hù)與檢查／Vehicle maintenance and inspection．

k．用戶教育與培訓(xùn)／Consumer Education and Training．

l．碰撞預(yù)防保護(hù)與兼容／Crashworthiness and Compatibility．

m．碰撞后行為／ Post－crash AV behaviour．

部分國家自動(dòng)駕駛車輛安全原則對(duì)比

UNECE曾對(duì)已公開的部分國家的自動(dòng)駕駛車輛安全原則進(jìn)行了對(duì)比，包括美國、日本、加拿大、歐洲，詳見下表。

自動(dòng)駕駛車輛安全原則對(duì)比Safety PrinciplesUSA （NHTSA FAVP 3．0）Japan （MLIT－Guideline）Canada （Transport Canada）Europe （EC Guidance）

Vision： “0” accidents with injury or fatality by ADVEnsure Safety ： Within ODD ADV shall not cause rationally foreseeable ＆ preventable accidents

1Safe Function （Redundancy）1） System Safety9） Post Crash Behaviorii） System safety by redundancy6） Safety systems （and appropriate redundancies）7） Safety assessment – redundancy； safety concept2Safety Layer3） （OEDR）ii） Automatic stop in situations outside ODD

iii） Compliance with safety regulation

iii） Compliance with standards recommended

vii） for unmanned services： camera link ＆ notification to service center4） International standards and best practices2） Driver／operator／ passenger interaction－ takeover delay； camera ＆ voice link for driverless systems3Operational Design Domain2） Operational Design Domaini） Setting of ODD2） Operational design domain1） System performance in automated mode – description

2） Driver／operator／ passenger interaction – boundary detection4Behavior in Traffic3） OEDR12） Federal， State and local Laws

3） OEDR1） System performance in automated mode – behavior4） MRM – traffic rules； information5Driver‘s Responsibilities

iv） HMI – driver monitoring for conditional automation1） Level of automation and intended use

7） HMI and access of controls – accidental misuse2） Driver／operator／ passenger interaction – information； driver monitoring6Vehicle Initiated Take－Over4） Fallback （MRC）6） HMIii） Automatic stop in situations outside ODD

iv） HMI – inform about planned automatic stop

3） Transition of driving task – lead time； MRM； HMI4） MRM7Driver Initiated Transfer6） HMI

7） HMI and Accessibility of Controls1） System performance in automated mode － takeover8Effects of Automation

7） HMI and Accessibility of Controls –  unsafe misuse

9Safety Certificate

viii） Safety evaluation via simulation， track ＆ real world testingix） In－use safety － inspection5） Testing and validation

11） After market repairs ／ modifications7） Safety assessment – product； processes； risk assessment； standards10Data Recording10） Data Recordingv） Installation of data recording devices12） User privacy

13） Collaboration with government agencies ＆ law enforcement5） Data storage system11Security7） Vehicle Cybersecurityvi） Cybersecurity – safety by design

ix） In－use safety – software update10） Cyber security11） System update6） Cyber security12Passive Safety8） Crashworthiness

9） User protection during collision ＆ system failure

13Driver‘s training11） Consumer Education／Trainingx） Information provision to users8） Public education and awareness8） information provision to users

－ End －