《智能網(wǎng)聯(lián)汽車自動駕駛系統(tǒng)技術(shù)要求 第1部分：高速公路及快速路自動駕駛》

ICS43.020

CCST40

DB4403

深圳市地方標(biāo)準(zhǔn)

DB4403/TXXX—XXXX

智能網(wǎng)聯(lián)汽車自動駕駛系統(tǒng)技術(shù)要求

第1部分：高速公路及快速路自動駕駛

Intelligentandconnectedvehicles—Technicalrequirementsfor

automateddrivingsystem—Highwayandexpresswayautomateddriving

(SSG

（送審稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

深圳市市場監(jiān)督管理??發(fā)布

DB4403/TXXX—XXXX

智能網(wǎng)聯(lián)汽車自動駕駛系統(tǒng)技術(shù)要求

第1部分：高速公路及快速路自動駕駛

1范圍

本文件規(guī)定了高速公路及快速路自動駕駛系統(tǒng)的總體要求、動態(tài)駕駛?cè)蝿?wù)執(zhí)行要求、動態(tài)駕駛

任務(wù)后援要求、人機(jī)交互要求。

本文件適用于裝備自動駕駛系統(tǒng)的M類、N類汽車。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用

文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）

適用于本文件。

GB/T40429—2021汽車駕駛自動化分級

DBXXXXX—XXXX智能網(wǎng)聯(lián)汽車自動駕駛系統(tǒng)設(shè)計(jì)運(yùn)行條件

DBXXXXX—XXXX智能網(wǎng)聯(lián)汽車整車信息安全技術(shù)要求

DBXXXXX—XXXX智能網(wǎng)聯(lián)汽車自動駕駛數(shù)據(jù)記錄系統(tǒng)技術(shù)要求

DBXXXXX—XXXX智能網(wǎng)聯(lián)汽車軟件升級技術(shù)要求

GB/T41798—2022智能網(wǎng)聯(lián)汽車自動駕駛功能場地試驗(yàn)方法及要求

GB/T34590.3—2017道路車輛功能安全第3部分：概念階段

GB5768（所有部分）道路交通標(biāo)志和標(biāo)線

GB/T24720交通錐

GB/T24973收費(fèi)用電動欄桿

GB/T12534汽車道路試驗(yàn)方法通則

GA/T115—2020道路交通擁堵度評價(jià)方法

ISO21448道路車輛—預(yù)期功能安全(Roadvehicles—Safetyoftheintendedfunctionality)

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

自動駕駛功能automateddrivingfeature

駕駛自動化系統(tǒng)在特定的設(shè)計(jì)運(yùn)行條件下代替駕駛員持續(xù)自動地執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)的功能。

3.2

自動駕駛系統(tǒng)automateddrivingsystem；ADS

實(shí)現(xiàn)自動駕駛功能的硬件和軟件所共同組成的系統(tǒng)。

3.3

設(shè)計(jì)運(yùn)行范圍operationaldesigndomain；ODD

1

DB4403/TXXX—XXXX

駕駛自動化系統(tǒng)設(shè)計(jì)時(shí)確定的適用于其功能運(yùn)行的外部環(huán)境條件。

注：典型的外部環(huán)境條件有道路、交通、天氣、光照等。

3.4

設(shè)計(jì)運(yùn)行條件operationaldesigncondition；ODC

駕駛自動化系統(tǒng)設(shè)計(jì)時(shí)確定的適用于其功能運(yùn)行的各類條件的總稱，包括設(shè)計(jì)運(yùn)行范圍、車輛

狀態(tài)、駕乘人員狀態(tài)及其他必要條件。

3.5

動態(tài)駕駛?cè)蝿?wù)dynamicdrivingtask；DDT

除策略性功能外的車輛駕駛所需的感知、決策和執(zhí)行等行為，包括但不限于：

——車輛橫向運(yùn)動控制；

——車輛縱向運(yùn)動控制；

——目標(biāo)和事件探測與響應(yīng)；

——駕駛決策；

——車輛照明及信號裝置控制。

注：策略性功能如導(dǎo)航、行程規(guī)劃、目的地和路徑的選擇等。

3.6

目標(biāo)和事件探測與響應(yīng)objectandeventdetectionandresponse；OEDR

對目標(biāo)和事件進(jìn)行探測，并進(jìn)行適當(dāng)?shù)捻憫?yīng)。

3.7

最小風(fēng)險(xiǎn)狀態(tài)minimalriskcondition；MRC

車輛事故風(fēng)險(xiǎn)可接受的狀態(tài)。

[來源：GB/T40429—2021，2.8]

3.8

最小風(fēng)險(xiǎn)策略minimalriskmaneuver；MRM

駕駛自動化系統(tǒng)無法繼續(xù)執(zhí)行動態(tài)駕駛?cè)蝿?wù)時(shí)，所采取的使車輛達(dá)到最小風(fēng)險(xiǎn)狀態(tài)的措施。

3.9

動態(tài)駕駛?cè)蝿?wù)后援dynamicdrivingtaskfallback

當(dāng)發(fā)生即將超出設(shè)計(jì)運(yùn)行范圍、駕駛自動化系統(tǒng)失效或車輛其他系統(tǒng)失效等不滿足設(shè)計(jì)運(yùn)行條

件的情況時(shí)，由用戶接管或由駕駛自動化系統(tǒng)執(zhí)行最小風(fēng)險(xiǎn)策略的后備支援行為。

3.10

介入請求requesttointervene

駕駛自動化系統(tǒng)請求動態(tài)駕駛?cè)蝿?wù)后援用戶執(zhí)行接管的通知。

3.11

接管takeover

動態(tài)駕駛?cè)蝿?wù)后援用戶響應(yīng)介入請求，從駕駛自動化系統(tǒng)獲得車輛駕駛權(quán)的行為。

3.12

用戶user

與駕駛自動化相關(guān)的人類角色的統(tǒng)稱。

注：用戶的角色可以在特定的條件下進(jìn)行轉(zhuǎn)換。

3.13

駕駛員driver

對于某個具體的車輛，實(shí)時(shí)執(zhí)行部分或全部動態(tài)駕駛?cè)蝿?wù)和/或接管的用戶。

3.14

2

DB4403/TXXX—XXXX

自動駕駛數(shù)據(jù)記錄系統(tǒng)datastoragesystemforautomateddriving；DSSAD

裝備在具備自動駕駛功能的車輛上、在自動駕駛系統(tǒng)激活期間具備監(jiān)測、采集、記錄和存儲數(shù)

據(jù)功能并支持讀取記錄數(shù)據(jù)的系統(tǒng)。

3.15

數(shù)據(jù)記錄系統(tǒng)輔助存儲設(shè)備datastoragesystemsecondarystoragedevice

為應(yīng)對DSSAD存儲能力或空間不足而接入的用于獨(dú)立存儲數(shù)據(jù)的設(shè)備。

3.16

未激活狀態(tài)deactivestate

ADS未執(zhí)行車輛橫向運(yùn)動控制或車輛縱向運(yùn)動控制的狀態(tài)。

3.17

未就緒狀態(tài)notreadystate

ADS不可被激活的未激活狀態(tài)。

3.18

就緒狀態(tài)readystate

ADS可被激活的未被激活狀態(tài)。

3.19

激活狀態(tài)activestate

ADS執(zhí)行車輛橫向運(yùn)動控制和車輛縱向運(yùn)動控制的狀態(tài)。

3.20

ADS嚴(yán)重失效severeADSfailure

針對ADS必要部件的一種發(fā)生概率非常低但影響ADS安全運(yùn)行的失效。

注：單個傳感器失效，只有當(dāng)影響系統(tǒng)安全運(yùn)行時(shí)，才會被視為嚴(yán)重失效。

3.21

車輛嚴(yán)重失效severevehiclefailure

任何影響ADS執(zhí)行DDT能力且影響車輛手動操作的車輛失效。

示例：電源掉電、制動系統(tǒng)失效、胎壓突然下降。

3.22

計(jì)劃接管事件plannedtakeoverevent

ADS預(yù)先知曉并需要發(fā)出介入請求的事件。

3.23

非計(jì)劃接管事件unplannedtakeoverevent

ADS非預(yù)先知曉但假設(shè)極有可能發(fā)生，并需要發(fā)出介入請求的事件。

示例：道路施工、車道標(biāo)線消失等。

3.24

干預(yù)intervene

用戶主動通過系統(tǒng)已明確的有效方式影響駕駛自動化系統(tǒng)執(zhí)行動態(tài)駕駛?cè)蝿?wù)的行為。

3.25

安全目標(biāo)safetygoal

由整車層面危害分析和風(fēng)險(xiǎn)評估得出的最高層面的安全要求。

3.26

安全措施safetymeasures

用以避免或控制系統(tǒng)性失效、探測隨機(jī)硬件失效，控制隨機(jī)硬件失效或減輕它們的有害影響的

活動或技術(shù)解決方案。

3

DB4403/TXXX—XXXX

3.27

接受準(zhǔn)則acceptedcriteria

代表不存在不合理的安全風(fēng)險(xiǎn)的準(zhǔn)則。

3.28

控制策略controlstrategy

針對一組特定的環(huán)境和/或運(yùn)行條件，確保系統(tǒng)各種功能健壯、安全運(yùn)行的策略?？砂ㄗ詣雨P(guān)

閉功能，或者暫時(shí)的性能限制。

3.29

試驗(yàn)車輛vehicleundertest；VUT

進(jìn)行自動駕駛功能試驗(yàn)的車輛。

3.30

目標(biāo)物objecttarget

用于構(gòu)建試驗(yàn)場景的交通參與者及障礙物。

3.31

目標(biāo)車輛vehicletarget；VT

用于構(gòu)建試驗(yàn)場景的量產(chǎn)乘用車。

3.32

自動駕駛模式automateddrivingmode

由自動駕駛系統(tǒng)執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)的模式。

3.33

試驗(yàn)場景testingscenario

車輛試驗(yàn)過程中所處道路、交通標(biāo)志標(biāo)線及目標(biāo)物等要素及其狀態(tài)的集合。

3.34

預(yù)計(jì)碰撞時(shí)間pre—collisiontime

試驗(yàn)車輛在預(yù)設(shè)行駛軌跡中保持當(dāng)前行駛速度到達(dá)與目標(biāo)物的預(yù)碰撞點(diǎn)所需要的時(shí)間。

3.35

最高設(shè)計(jì)運(yùn)行速度maximumdesignoperationalspeed

試驗(yàn)車輛在其設(shè)計(jì)運(yùn)行條件下自動駕駛模式可運(yùn)行的最高速度。

3.36

試驗(yàn)過程testingprocess

試驗(yàn)車輛自第一個試驗(yàn)項(xiàng)目開始至選取試驗(yàn)項(xiàng)目全部完成。

3.37

引導(dǎo)車leadingvehicle

在試驗(yàn)車輛前方，與其處于同一車道，用于滿足試驗(yàn)車輛自動駕駛模式激活條件的車輛。

3.38

穩(wěn)定跟隨stablefollowing

前后車輛速度差在±2km/h以內(nèi)并保持3s以上。

3.39

起動startmoving

試驗(yàn)車輛行駛速度由0km/h加速至2km/h的行駛過程。

3.40

換道lanechanging

車輛車輪首次觸碰車道邊線到車輛全部車輪進(jìn)入相鄰車道。

4

DB4403/TXXX—XXXX

3.41

有效試驗(yàn)時(shí)長總和totaleffectivetestduration

在自動駕駛功能處于激活狀態(tài)下針對某種特定道路類型進(jìn)行試驗(yàn)的總時(shí)長。

3.42

單次連續(xù)試驗(yàn)singlecontinuoustest

試驗(yàn)車輛在特定時(shí)間段內(nèi)不間斷進(jìn)行的一次試驗(yàn)。

3.43

試驗(yàn)人員teststaff

參與場地或道路試驗(yàn)的人員，包括試驗(yàn)操作人員和隨車試驗(yàn)人員。

3.43.1

試驗(yàn)操作人員testoperationstaff

試驗(yàn)過程中，為配合試驗(yàn)進(jìn)行，執(zhí)行必要的動態(tài)駕駛?cè)蝿?wù)和/或動態(tài)駕駛?cè)蝿?wù)接管的人員。

3.43.2

隨車試驗(yàn)人員on—boardteststaff

試驗(yàn)過程中，記錄試驗(yàn)數(shù)據(jù)和事件的人員。

3.44

Ⅰ型道路roadtypeI

高速公路以及快速路的集合。

注：在不引起混淆的情況下，本文件中的“Ⅰ型道路”簡稱為“Ⅰ型”。

3.45

自動駕駛系統(tǒng)標(biāo)志燈（以下簡稱“ADS標(biāo)志燈”）autonomousdrivingsystemmarkerlamp

向其他道路使用者表明自動駕駛系統(tǒng)正在控制車輛運(yùn)行的燈具。

4符號和縮略

下列符號適用于本文件。

Vmax最高設(shè)計(jì)運(yùn)行速度，單位為km/h。

5總體要求

5.1企業(yè)應(yīng)通過合理方式證明ADS符合本文件要求，包括但不限于仿真試驗(yàn)、場地試驗(yàn)和道路試驗(yàn)，

尤其是附錄C和附錄D未測試的內(nèi)容，其中附錄C和附錄D由第三方檢測機(jī)構(gòu)開展，企業(yè)應(yīng)在此基

礎(chǔ)上增加試驗(yàn)場景，充分證明ADS符合本文件要求。企業(yè)應(yīng)基于附錄A要求進(jìn)行系統(tǒng)功能安全和預(yù)

期功能安全評估并輸出評估報(bào)告，并出具仿真試驗(yàn)報(bào)告、場地試驗(yàn)報(bào)告以及道路試驗(yàn)報(bào)告，供審核。

其中，仿真試驗(yàn)，應(yīng)按照附錄B對仿真工具鏈和模型進(jìn)行可信度評估。

5.2ADS應(yīng)具有明確的設(shè)計(jì)運(yùn)行條件，設(shè)計(jì)運(yùn)行條件可參考DBXXXXX—XXXX《智能網(wǎng)聯(lián)汽車自動

駕駛系統(tǒng)設(shè)計(jì)運(yùn)行條件》。

5.3ADS應(yīng)僅允許在其設(shè)計(jì)運(yùn)行條件下被激活。

5.4ADS應(yīng)及時(shí)響應(yīng)用戶的有效操作，若用戶的操作將導(dǎo)致緊迫的碰撞風(fēng)險(xiǎn)，ADS可根據(jù)企業(yè)聲明

的方式暫緩響應(yīng)用戶的操作。

5.5若ADS具備暫緩響應(yīng)功能，應(yīng)具有明確的暫緩響應(yīng)的條件。

5.6ADS應(yīng)采取適當(dāng)?shù)目刂撇呗蕴幚砗侠砜深A(yù)見的用戶誤用。

5

DB4403/TXXX—XXXX

5.7ADS應(yīng)持續(xù)執(zhí)行自檢，以檢測ADS失效并確認(rèn)系統(tǒng)可執(zhí)行全部DDT。

5.8ADS在激活狀態(tài)下，應(yīng)執(zhí)行全部DDT，且不應(yīng)造成不合理的安全風(fēng)險(xiǎn)。

5.9ADS在激活狀態(tài)下，執(zhí)行DDT應(yīng)符合道路交通規(guī)定。

5.10ADS在激活狀態(tài)下，執(zhí)行DDT應(yīng)符合其他道路使用者的預(yù)期。

5.11ADS在激活狀態(tài)下，應(yīng)確認(rèn)支持駕駛員恢復(fù)人工駕駛所需的裝置或系統(tǒng)處于適當(dāng)狀態(tài)。

5.12所需的裝置或系統(tǒng)如除霧裝置、擋風(fēng)玻璃雨刷器、照明裝置。

5.13ADS在激活狀態(tài)下，針對可合理預(yù)見且可預(yù)防的場景，應(yīng)避免導(dǎo)致碰撞事故。

5.14ADS在激活狀態(tài)下，當(dāng)碰撞事故不可避免時(shí)，ADS應(yīng)采取合理策略降低事故傷害或損失。

5.15ADS在激活狀態(tài)下，當(dāng)ADS檢測到車輛發(fā)生碰撞事故后，除企業(yè)聲明的情況外，應(yīng)使車輛靜

止，且至少應(yīng)通過企業(yè)聲明的方式進(jìn)行安全檢測，才允許再次被激活。

5.16ADS在激活狀態(tài)下，當(dāng)設(shè)計(jì)運(yùn)行條件即將不滿足或已經(jīng)不滿足時(shí)，ADS應(yīng)執(zhí)行合理的策略。

5.17ADS在激活狀態(tài)下，ADS應(yīng)與道路使用者道路使用者進(jìn)行有效的信息交互。

5.18信息交互方式如轉(zhuǎn)向信號燈、制動燈等。

5.19ADS在激活狀態(tài)下，ADS應(yīng)避免擾亂正常的交通流而導(dǎo)致整體通行效率下降。

5.20裝備ADS的車輛應(yīng)具備自動駕駛數(shù)據(jù)記錄系統(tǒng)，自動駕駛數(shù)據(jù)記錄系統(tǒng)應(yīng)符合DBXXX—XXX

《智能網(wǎng)聯(lián)汽車自動駕駛數(shù)據(jù)記錄系統(tǒng)技術(shù)要求》。

5.21車輛應(yīng)記錄和存儲發(fā)生碰撞事故前90s的位置、運(yùn)行狀態(tài)、駕駛模式和車內(nèi)外監(jiān)控視頻數(shù)據(jù)，

且該數(shù)據(jù)至少應(yīng)存儲30日不被刪除或覆蓋。

注：運(yùn)行狀態(tài)信息包括DBXXXX—XXX《智能網(wǎng)聯(lián)汽車自動駕駛數(shù)據(jù)記錄系統(tǒng)技術(shù)要求》4.4.2章節(jié)表2的數(shù)據(jù)。

5.22自動駕駛數(shù)據(jù)記錄系統(tǒng)若能滿足5.19條要求，則車輛不需要增加其它輔助存儲設(shè)備。若車輛

自動駕駛數(shù)據(jù)記錄系統(tǒng)系統(tǒng)不能滿足5.19條要求，則應(yīng)增加輔助存儲設(shè)備記錄5.19條要求的數(shù)據(jù)，

輔助存儲設(shè)備數(shù)據(jù)記錄格式和精度要求應(yīng)符合DBXXXX—XXX《智能網(wǎng)聯(lián)汽車自動駕駛數(shù)據(jù)記錄系

統(tǒng)技術(shù)要求》4.4小節(jié)要求。數(shù)據(jù)讀取方式應(yīng)符合DBXXXX—XXX《智能網(wǎng)聯(lián)汽車自動駕駛數(shù)據(jù)記

錄系統(tǒng)技術(shù)要求》4.6小節(jié)要求，實(shí)施日期符合DBXXXX—XXX《智能網(wǎng)聯(lián)汽車自動駕駛數(shù)據(jù)記錄

系統(tǒng)技術(shù)要求》第8章節(jié)要求。

5.23裝備ADS系統(tǒng)的車輛應(yīng)符合DBXXXX—XXX《智能網(wǎng)聯(lián)汽車整車信息安全技術(shù)要求》。

5.24若ADS具備軟件升級功能，裝備ADS系統(tǒng)的車輛應(yīng)符合DBXXXX—XXX《智能網(wǎng)聯(lián)汽車軟件

升級技術(shù)要求》。

5.25ADS應(yīng)不存在由于功能異常表現(xiàn)引起的危害而導(dǎo)致的不合理風(fēng)險(xiǎn)，應(yīng)符合附錄A。

5.26ADS應(yīng)不存在由預(yù)期功能不足和合理誤用引起的危害而導(dǎo)致的不合理的風(fēng)險(xiǎn)，應(yīng)符合附錄A。

5.27ADS在激活狀態(tài)下，自車應(yīng)開啟外部ADS標(biāo)志燈，向道路上的其他道路使用者發(fā)出明顯的安

全提示。ADS退出后，應(yīng)關(guān)閉ADS指示燈。用于道路運(yùn)輸經(jīng)營活動的自動駕駛車輛，應(yīng)以顯著的車

身標(biāo)識進(jìn)行安全提示。用于公交客運(yùn)的自動駕駛車輛，應(yīng)在車內(nèi)播放語音提示。車輛應(yīng)至少安裝1

只或2只朝前、1只或2只朝后的ADS標(biāo)志燈，顏色為藍(lán)綠色，色度應(yīng)符合下表1的要求；在基準(zhǔn)

軸線方向上的視表面面積應(yīng)不小于12.5cm2（不包括任何不透光的回復(fù)反射器發(fā)光面）。

表1ADS標(biāo)志燈的色度

顏色色度區(qū)域邊界邊界交點(diǎn)

xy

T12趨綠極限：y=0.500T10.0120.494

T23趨白極限：x=0.200T20.2000.400

藍(lán)綠色

T34趨藍(lán)極限：y=0.320T30.2000.320

T41光譜軌跡T40.0400.320

6

DB4403/TXXX—XXXX

6動態(tài)駕駛?cè)蝿?wù)執(zhí)行

6.1ADS應(yīng)具備充分的OEDR能力，支持其安全且合理地執(zhí)行全部DDT。

6.2ADS的感知能力應(yīng)覆蓋足夠的范圍和距離。

6.3ADS應(yīng)能持續(xù)識別ODC是否滿足。

6.4ADS應(yīng)以合理的控制策略應(yīng)對傳感系統(tǒng)的性能衰退。

6.5ADS至少應(yīng)能確定自車位置、探測周圍環(huán)境中的目標(biāo)和事件，例如：

a)道路，含道路類型、道路表面條件、道路幾何、車道特征、道路邊緣等；

b)道路設(shè)施，含交通標(biāo)志、交通信號燈等；

c)目標(biāo)物，含機(jī)動車、非機(jī)動車、行人、障礙物等；

d)天氣環(huán)境，含天氣、光照條件等；

e)數(shù)字信息環(huán)境，含無線通信、位置信號等。

6.6ADS應(yīng)能探測目標(biāo)的位置以及動態(tài)目標(biāo)的移動速度。

6.7ADS應(yīng)以合理的控制策略應(yīng)對探測到但無法識別類型的目標(biāo)物。

6.8ADS應(yīng)以合理的控制策略應(yīng)對無法探測區(qū)域內(nèi)存在的安全風(fēng)險(xiǎn)。

注：無法探測區(qū)域如傳感器布置及感知范圍造成的盲區(qū)、由其他交通參與者或障礙物遮擋造成的盲區(qū)、道路拓

撲或形狀造成的盲區(qū)等。

6.9ADS應(yīng)合理規(guī)劃和控制車輛行駛路徑與行駛速度，以適應(yīng)道路、道路設(shè)施、目標(biāo)物、天氣環(huán)境、

數(shù)字信息環(huán)境等。

6.10ADS應(yīng)以合理控制策略應(yīng)對靜止的其他道路使用者。

6.11ADS應(yīng)避免與車輛前方無遮擋的行人發(fā)生碰撞，若因行人行為導(dǎo)致無法避免碰撞，ADS應(yīng)盡可

能減緩碰撞。

6.12ADS應(yīng)至少探測由于前方車輛減速、車輛切入或突然出現(xiàn)的障礙物而導(dǎo)致碰撞的風(fēng)險(xiǎn)，并應(yīng)

自動執(zhí)行適當(dāng)?shù)牟呗砸宰畲笙薅鹊販p少對車輛駕乘人員和其他交通使用者的安全風(fēng)險(xiǎn)。

6.13ADS應(yīng)控制車輛與其他道路使用者保持足夠的安全距離，若其他道路使用者的行為導(dǎo)致當(dāng)前

距離無法滿足安全距離要求，則應(yīng)執(zhí)行適當(dāng)?shù)目刂撇呗砸越档桶踩L(fēng)險(xiǎn)，在后續(xù)合適時(shí)機(jī)調(diào)整保持

安全距離。

6.14ADS不應(yīng)導(dǎo)致車輛失去控制出現(xiàn)傾覆等。

6.15ADS應(yīng)合理控制車輛的照明和信號裝置，包括但不限于轉(zhuǎn)向信號燈、危險(xiǎn)警告信號、制動燈。

7動態(tài)駕駛?cè)蝿?wù)后援

7.1駕駛員接管能力監(jiān)測系統(tǒng)

7.1.1一般要求

7.1.1.1對于需要駕駛員執(zhí)行接管的ADS，應(yīng)具備駕駛員執(zhí)行接管監(jiān)測系統(tǒng)。

7.1.1.2駕駛員接管能力監(jiān)測系統(tǒng)至少應(yīng)具備在位監(jiān)測和執(zhí)行DDT能力監(jiān)測。

7.1.2駕駛員在位監(jiān)測

ADS在激活狀態(tài)下，系統(tǒng)應(yīng)通過以下a)或b)方式進(jìn)行駕駛員在位監(jiān)測，并在滿足條件時(shí)，ADS

應(yīng)按照7.2發(fā)出介入請求：

a)駕駛員不在駕駛位超過1s；

b)駕駛員未系安全帶。

7

DB4403/TXXX—XXXX

7.1.3駕駛員執(zhí)行DDT能力監(jiān)測

7.1.3.1駕駛員接管能力監(jiān)測系統(tǒng)應(yīng)至少通過3種不同的指標(biāo)（例如特定的人機(jī)交互動作、眨眼、

閉眼、有意識的頭部或身體運(yùn)動等）對駕駛員狀態(tài)進(jìn)行監(jiān)測和判定。

7.1.3.2駕駛員接管能力監(jiān)測系統(tǒng)判定駕駛員是否具備執(zhí)行DDT能力的周期應(yīng)不超過30s。

7.1.3.3當(dāng)ADS處于激活狀態(tài)，若駕駛員被判定為不具備執(zhí)行DDT的能力時(shí)，駕駛員執(zhí)行DDT能力

監(jiān)測系統(tǒng)應(yīng)立即發(fā)出明確的接管能力不足提示信號，每次發(fā)出的能力不足提示信號應(yīng)在滿足以下任

一條件時(shí)關(guān)閉：

a)監(jiān)測到駕駛員恢復(fù)接管能力；

b)ADS發(fā)出介入請求；

c)ADS執(zhí)行MRM；

d)ADS退出。

7.1.3.4接管能力不足提示信號應(yīng)明顯區(qū)別于車輛其他提示信號。

7.1.3.5接管能力不足提示信號發(fā)出15s內(nèi)，ADS應(yīng)按照7.2發(fā)出介入請求。

7.2接管

7.2.1一般要求

對于需要駕駛員執(zhí)行接管的ADS，應(yīng)具備安全、可靠、有效的接管策略，并應(yīng)能夠檢測駕駛員

是否在執(zhí)行接管操作。

7.2.2發(fā)出介入請求

7.2.2.1對于需要駕駛員執(zhí)行接管的ADS，應(yīng)具備明確的介入請求觸發(fā)條件，且ADS應(yīng)能識別需要

發(fā)出介入請求的所有情況，當(dāng)不滿足8.1.2.1中任一條件時(shí)，除本文件規(guī)定的特殊條款，ADS應(yīng)發(fā)

出介入請求。

7.2.2.2介入請求的發(fā)出時(shí)機(jī)應(yīng)保證駕駛員有足夠的時(shí)間安全接管車輛，至少應(yīng)滿足以下要求：

a)對于計(jì)劃接管事件，ADS應(yīng)在適當(dāng)?shù)臅r(shí)刻發(fā)出介入請求，以確保即使駕駛員未接管，最小

風(fēng)險(xiǎn)策略仍能使車輛在計(jì)劃接管事件發(fā)生前停止；

b)對于非計(jì)劃接管事件，ADS應(yīng)在檢測到該事件時(shí)及時(shí)發(fā)出介入請求；

c)對于影響ADS運(yùn)行的失效，ADS應(yīng)在檢測到該失效時(shí)立即發(fā)出介入請求。若該失效為ADS

嚴(yán)重失效或車輛嚴(yán)重失效，則ADS可不發(fā)出介入請求，直接執(zhí)行MRM。

7.2.3介入請求階段

7.2.3.1在介入請求發(fā)出過程中，ADS應(yīng)持續(xù)執(zhí)行全部DDT。

7.2.3.2在介入請求發(fā)出過程中，除企業(yè)聲明的特殊情況下，ADS不應(yīng)使車輛靜止。若因特殊情況

使車輛達(dá)到靜止，應(yīng)在靜止5s內(nèi)激活危險(xiǎn)警告信號。

7.2.4終止介入請求

7.2.4.1僅當(dāng)ADS被用戶退出或執(zhí)行MRM，才能終止介入請求。

7.2.4.2介入請求從發(fā)出到因執(zhí)行MRM而終止的時(shí)間應(yīng)至少保持10s，以確保駕駛員有充足的時(shí)

間接管車輛。若無法保障駕駛員有充足的時(shí)間接管車輛，可立即執(zhí)行MRM。

7.3最小風(fēng)險(xiǎn)策略

7.3.1執(zhí)行MRM

8

DB4403/TXXX—XXXX

7.3.1.1ADS應(yīng)有明確的執(zhí)行MRM的條件，且ADS應(yīng)能識別需要執(zhí)行MRM的所有情況，至少應(yīng)包括：

a)對于需要駕駛員執(zhí)行接管的ADS，駕駛員未在企業(yè)聲明的時(shí)間內(nèi)響應(yīng)介入請求，所聲明時(shí)

間應(yīng)不小于10s。

b)對于不需要駕駛員執(zhí)行接管的ADS，當(dāng)ODC即將不再滿足，ADS及時(shí)執(zhí)行MRM并確保車輛在

不滿足ODC之前達(dá)到靜止。

c)對于不需要駕駛員執(zhí)行接管的ADS，當(dāng)ODC已經(jīng)不再滿足，ADS立即執(zhí)行MRM并確保車輛達(dá)

到靜止。

7.3.1.2當(dāng)ADS執(zhí)行MRM時(shí)，ADS應(yīng)將用戶和其他道路使用者的安全風(fēng)險(xiǎn)降至最低。

注：在執(zhí)行MRM期間，ADS可能不再有能力滿足本文件第5和6章的要求，但其目標(biāo)是使安全風(fēng)險(xiǎn)降至最低。

7.3.1.3當(dāng)ADS執(zhí)行MRM時(shí)，ADS應(yīng)開啟并保持危險(xiǎn)警告信號，在車輛換道期間應(yīng)暫停危險(xiǎn)警告信

號。

7.3.1.4除非ADS在執(zhí)行MRM期間被退出，否則MRM應(yīng)使車輛停止。

7.3.2終止MRM

7.3.2.1僅當(dāng)ADS被用戶退出或ADS使車輛停止后，才應(yīng)終止MRM。

7.3.2.2當(dāng)終止MRM后，ADS應(yīng)退出。

7.3.2.3當(dāng)因車輛靜止而終止MRM后，不應(yīng)因ADS退出導(dǎo)致關(guān)閉危險(xiǎn)警告信號。

8人機(jī)交互

8.1激活和退出

8.1.1一般要求

8.1.1.1ADS應(yīng)配備供用戶激活和退出ADS的專用操縱方式，該方式應(yīng)防止用戶可合理預(yù)見的誤用。

8.1.1.2當(dāng)ADS處于激活狀態(tài)時(shí)，至少一種退出ADS的操縱方式對用戶應(yīng)總是可見的。

8.1.1.3車輛每次點(diǎn)火（上電）后，ADS應(yīng)處于未激活狀態(tài)。

注1：專用操縱方式如專用的操縱件或?qū)Σ倏v件的專用操縱方式等。

注2：車輛每次點(diǎn)火不包括發(fā)動機(jī)自動啟停。

8.1.2激活

8.1.2.1對于需要駕駛員執(zhí)行接管的ADS，僅當(dāng)駕駛員執(zhí)行激活操作且滿足以下所有條件時(shí)，ADS

才應(yīng)被激活：

a)駕駛員坐在駕駛位置上，且系好安全帶；

b)駕駛員具備執(zhí)行DDT能力；

c)ADS通過自檢確認(rèn)，且不存在影響ADS運(yùn)行的失效；

d)DSSAD處于工作狀態(tài)；

e)車輛未執(zhí)行影響ADS運(yùn)行的軟件升級；

f)企業(yè)聲明的其他設(shè)計(jì)運(yùn)行條件。

8.1.2.2對于不需要駕駛員執(zhí)行接管的ADS，僅當(dāng)用戶執(zhí)行激活操作且滿足以下所有條件時(shí)，ADS

才應(yīng)被激活：

a)ADS通過自檢確認(rèn)，且不存在影響ADS運(yùn)行的失效；

b)DSSAD處于工作狀態(tài)；

c)車輛未執(zhí)行影響ADS運(yùn)行的軟件升級；

9

DB4403/TXXX—XXXX

d)企業(yè)聲明的其他設(shè)計(jì)運(yùn)行條件。

8.1.3退出

8.1.3.1當(dāng)用戶通過專用操縱方式退出ADS時(shí)，ADS應(yīng)及時(shí)退出。僅當(dāng)用戶執(zhí)行的退出操縱將產(chǎn)生

碰撞風(fēng)險(xiǎn)時(shí)，系統(tǒng)可暫緩?fù)顺觥?/p>

8.1.3.2除8.1.3.1外，至少滿足如下任一條件時(shí)，ADS才應(yīng)退出：

a)駕駛員按照8.2.2干預(yù)橫向控制；

b)駕駛員按照8.2.3.1干預(yù)縱向控制，且車輛橫向運(yùn)動被駕駛員控制；

c)在介入請求發(fā)出或執(zhí)行MRM過程中，駕駛員手握轉(zhuǎn)向盤，且ADS確認(rèn)駕駛員專注于DDT；

d)終止MRM。

8.1.3.3在發(fā)生車輛嚴(yán)重失效或ADS嚴(yán)重失效的情況下，ADS可采用企業(yè)聲明的其他安全退出策略。

8.1.3.4ADS的退出不應(yīng)導(dǎo)致：

a)任何應(yīng)急輔助功能自動關(guān)閉；

b)任何部分駕駛輔助功能或組合駕駛輔助功能自動激活。

8.2干預(yù)

8.2.1一般要求

ADS應(yīng)具備安全、可靠、有效的干預(yù)策略，并應(yīng)能檢測駕駛員是否在執(zhí)行干預(yù)操作。

8.2.2橫向控制干預(yù)

8.2.2.1當(dāng)駕駛員對轉(zhuǎn)向控制的干預(yù)超過為防止誤用而設(shè)計(jì)的合理閾值且確認(rèn)駕駛員專注于DDT

時(shí)，車輛應(yīng)執(zhí)行駕駛員輸入的橫向控制。

8.2.3縱向控制干預(yù)

8.2.3.1當(dāng)駕駛員對制動控制的干預(yù)產(chǎn)生比ADS引起的減速度更大，或通過任何制動系統(tǒng)使車輛保

持靜止時(shí)，車輛應(yīng)執(zhí)行駕駛員輸入的制動控制。

注：駕駛員對加速控制的輸入也可能干預(yù)ADS的縱向控制。

8.2.3.2對于需要駕駛員執(zhí)行接管的ADS，當(dāng)駕駛員對制動或加速控制的干預(yù)超過為防止誤用而設(shè)

計(jì)的合理閾值時(shí)，ADS應(yīng)發(fā)出介入請求或執(zhí)行MRM。

8.2.3.3對于不需要駕駛員執(zhí)行接管的ADS，若車輛具備駕駛員可控制的制動或加速裝置，當(dāng)駕駛

員對制動或加速控制的干預(yù)超過為防止誤用而設(shè)計(jì)的合理閾值時(shí)，ADS應(yīng)具備合理的控制策略。

8.2.4干預(yù)抑制

若駕駛員的干預(yù)將導(dǎo)致緊迫的碰撞風(fēng)險(xiǎn)，ADS可根據(jù)企業(yè)聲明的方式減弱或抑制駕駛員的干預(yù)

對任何控制的影響。

8.2.5其他干預(yù)策略

8.2.5.1在發(fā)生車輛嚴(yán)重失效或ADS嚴(yán)重失效的情況下，ADS可采用企業(yè)聲明的其他安全干預(yù)策略。

8.2.5.2若駕駛員操縱車輛其他干預(yù)裝置，ADS應(yīng)對駕駛員進(jìn)行提示，并按照企業(yè)聲明的策略執(zhí)行。

注：其他干預(yù)裝置如急停裝置。

8.3系統(tǒng)狀態(tài)提示

10

DB4403/TXXX—XXXX

8.3.1一般要求

ADS應(yīng)持續(xù)向用戶提示明確、充分的ADS狀態(tài)信息，不應(yīng)對用戶造成干擾。當(dāng)ADS狀態(tài)發(fā)生變

化時(shí)，ADS應(yīng)及時(shí)向用戶提供必要的提示信息。

8.3.2未就緒狀態(tài)提示

若由于ADS未就緒而導(dǎo)致用戶激活系統(tǒng)失敗，則應(yīng)向用戶直觀地提示。

8.3.3就緒狀態(tài)提示

當(dāng)ADS處于就緒狀態(tài)時(shí)，應(yīng)至少通過光學(xué)信號向用戶提示系統(tǒng)可被激活。

8.3.4激活狀態(tài)提示

8.3.4.1ADS由未激活狀態(tài)進(jìn)入激活狀態(tài)時(shí)，應(yīng)通過專用的光學(xué)信號向用戶提示ADS已激活。

8.3.4.2ADS處于激活狀態(tài)時(shí)，應(yīng)通過光學(xué)信號向用戶進(jìn)行持續(xù)提示。

8.3.5退出提示

8.3.5.1ADS由激活狀態(tài)退出至未激活狀態(tài)時(shí)，應(yīng)通過兩種以上的方式向用戶提示ADS已退出，至

少包括光學(xué)信號。由于駕駛員接管導(dǎo)致ADS退出，可僅用光學(xué)信號提示。

8.3.6介入請求

8.3.6.1介入請求應(yīng)至少包含光學(xué)和聲學(xué)提示信號。

8.3.6.2介入請求的光學(xué)提示信號應(yīng)直觀和明確地提示駕駛員介入請求的響應(yīng)方式，應(yīng)至少包括手

和方向盤的信息，應(yīng)至少包括表示手部和方向盤的基本構(gòu)成要素。

8.3.6.3在介入請求發(fā)出過程中，介入請求應(yīng)在發(fā)出4s內(nèi)升級并保持升級狀態(tài)至介入請求結(jié)束，

升級的介入請求應(yīng)增加持續(xù)或間歇性的觸覺提示。

8.3.7MRM提示

8.3.7.1在ADS執(zhí)行MRM過程中，應(yīng)對用戶給出明顯提示，提示方式應(yīng)至少包括光學(xué)信號，并附加

聲學(xué)或觸覺信號。

8.3.7.2ADS處于MRC時(shí)，應(yīng)至少以光學(xué)、聲學(xué)或觸覺中的兩種信號提示用戶直至ADS退出。

8.3.7.3對于需要接管的ADS，MRM的提示信號應(yīng)與介入請求不同。

8.3.8失效提示

在ADS激活狀態(tài)下，若檢測到ADS失效，應(yīng)對用戶給出明顯提示，應(yīng)至少包括光學(xué)提示信號。

9說明書

對于裝備ADS的車輛，其產(chǎn)品說明書應(yīng)包含以下說明：

a)“本車具備ADS”等內(nèi)容的說明；

b)ADS允許被激活的設(shè)計(jì)運(yùn)行條件的說明；

c)激活A(yù)DS的方法及條件的說明；

d)ADS就緒狀態(tài)提示信號的說明；

e)ADS激活狀態(tài)提示信號的說明；

11

DB4403/TXXX—XXXX

f)ADS是否需要接管的說明；

g)若ADS需要接管，“本車ADS在特定條件下需要被駕駛員接管”等內(nèi)容的說明；

h)若ADS需要接管，介入請求的說明；

i)若ADS需要接管，接管ADS的方法；

j)駕駛員接管能力不足提示信號的說明；

k)干預(yù)ADS的方法及結(jié)果的說明；

l)ADS執(zhí)行MRM的條件的說明；

m)ADS執(zhí)行MRM期間的提示信號的說明；

n)ADS執(zhí)行MRM的狀態(tài)及結(jié)果的說明；

o)退出ADS的方法及條件的說明；

p)發(fā)生碰撞事故后，對用戶的建議。

12

DB4403/TXXX—XXXX

附錄A

（規(guī)范性）

適用于ADS的安全性的特殊要求

A.1總則

本附錄旨在確保企業(yè)在自動駕駛系統(tǒng)設(shè)計(jì)和開發(fā)過程中對功能安全和預(yù)期功能安全進(jìn)行了充分

的考慮，并貫穿整個車輛的生命周期過程（設(shè)計(jì)、開發(fā)、生產(chǎn)、在用、報(bào)廢），以避免因自動駕駛

系統(tǒng)故障、預(yù)期功能不足以及合理誤用導(dǎo)致的對駕駛員、乘客和其他道路使用者造成不合理的風(fēng)險(xiǎn)，

確保自動駕駛系統(tǒng)的運(yùn)行安全。

A.1.1本附錄規(guī)定了自動駕駛系統(tǒng)在功能安全和預(yù)期功能安全方面的特殊要求。

A.1.2本附錄不針對自動駕駛系統(tǒng)的標(biāo)稱性能，也不作為自動駕駛系統(tǒng)功能安全和預(yù)期功能安全開

發(fā)的具體指導(dǎo)，而是規(guī)定自動駕駛系統(tǒng)設(shè)計(jì)、驗(yàn)證和確認(rèn)過程中應(yīng)遵循的方法和應(yīng)具備的信息，作

為滿足功能安全和預(yù)期功能安全的依據(jù)。

A.2文檔

A.2.1總體要求

A.2.1.1企業(yè)應(yīng)建立覆蓋車輛全生命周期的功能安全和預(yù)期功能安全流程。

注：功能安全流程與預(yù)期功能安全流程可合一。

A.2.1.2企業(yè)應(yīng)具有相應(yīng)的文檔以證明自動駕駛系統(tǒng)在聲明的ODC內(nèi)（包括邊界）不會對駕駛員、

乘客和其他道路使用者造成不合理的風(fēng)險(xiǎn)。

A.2.1.3企業(yè)應(yīng)確保文檔和分析數(shù)據(jù)在該車型確定停產(chǎn)后的10年內(nèi)保持可用。

A.2.2系統(tǒng)功能描述

A.2.2.1企業(yè)應(yīng)具有相應(yīng)的文檔，用來對自動駕駛系統(tǒng)的功能（包括其對應(yīng)的駕駛控制策略）進(jìn)行

描述。

A.2.2.2企業(yè)應(yīng)具有相應(yīng)的文檔，用來對在設(shè)計(jì)運(yùn)行條件內(nèi)執(zhí)行動態(tài)駕駛?cè)蝿?wù)所采取的方法以及對

應(yīng)的系統(tǒng)設(shè)計(jì)運(yùn)行條件進(jìn)行描述。

A.2.2.3企業(yè)應(yīng)具有相應(yīng)的文檔，用來對自動駕駛系統(tǒng)與駕駛員、乘員和其他道路使用者預(yù)期的交

互以及人機(jī)界面進(jìn)行描述，包括當(dāng)達(dá)到系統(tǒng)運(yùn)行邊界時(shí)的人機(jī)交互（HMI）和系統(tǒng)向駕駛員發(fā)出接管

請求的各種情況。

A.2.2.4企業(yè)應(yīng)具有相應(yīng)的文檔，用來對系統(tǒng)激活、干預(yù)（包括干預(yù)的閾值，例如力矩、角度、持

續(xù)時(shí)間）、最小風(fēng)險(xiǎn)策略和系統(tǒng)退出進(jìn)行描述，包括如何防止非預(yù)期的系統(tǒng)退出策略。此外，如適

用，還包括系統(tǒng)如何確認(rèn)駕駛員狀態(tài)（例如，是否具備動態(tài)駕駛?cè)蝿?wù)接管能力）的相關(guān)說明。

A.2.2.5企業(yè)應(yīng)具有相應(yīng)的文檔，用來對感知系統(tǒng)的輸入、輸出，以及感知系統(tǒng)正常工作范圍（包

括應(yīng)對傳感器的衰退）以及感知系統(tǒng)對ADS行為的影響進(jìn)行描述。

A.2.2.6企業(yè)應(yīng)具有相應(yīng)的文檔，用來對決策系統(tǒng)的輸出，以及對車輛運(yùn)動控制的影響進(jìn)行描述。

A.2.2.7如果包含連續(xù)學(xué)習(xí)算法，企業(yè)應(yīng)具有相應(yīng)的文檔，用來對數(shù)據(jù)處理過程進(jìn)行描述。

A.2.3系統(tǒng)布局和原理圖

A.2.3.1系統(tǒng)組件清單

13

DB4403/TXXX—XXXX

A.2.3.1.1企業(yè)應(yīng)具有組件清單，該清單應(yīng)包含自動駕駛系統(tǒng)的所有單元，同時(shí)也應(yīng)列出為實(shí)現(xiàn)相

關(guān)自動駕駛功能所需的車輛其它系統(tǒng)。

A.2.3.1.2企業(yè)應(yīng)具有自動駕駛系統(tǒng)布局及原理圖，該圖應(yīng)能夠清晰地展示組件分布和相互連接。

A.2.3.1.3布局及原理圖應(yīng)包括：

a）感知系統(tǒng)（包含地圖和定位系統(tǒng)，如適用）；

b）決策系統(tǒng)；

c）由遠(yuǎn)程后臺提供的遠(yuǎn)程監(jiān)管或遠(yuǎn)程監(jiān)控（如果適用）。

A.2.3.2單元功能

企業(yè)應(yīng)具有相應(yīng)的文檔，用來概述系統(tǒng)各單元的功能，并展示該單元與其它單元或車輛其它系

統(tǒng)間的連接?？墒褂脦?biāo)記的框圖或其它示意圖說明。

A.2.3.3單元的識別

A.2.3.3.1企業(yè)應(yīng)具有相應(yīng)的文檔，文檔中應(yīng)能清晰明確地識別每個單元（例如，硬件單元、軟件

單元）并提供相應(yīng)的說明。

A.2.3.3.2企業(yè)應(yīng)明確標(biāo)識硬件和軟件的版本。

A.2.3.4感知系統(tǒng)組件的安裝說明

企業(yè)應(yīng)具有相應(yīng)的文檔，用來說明感知系統(tǒng)中單個組件的安裝信息。這些信息應(yīng)包括但不限于：

a)部件在車輛上的位置；

b)部件外表面的材料；

c)部件外表面的尺寸和形狀；

d)部件外表面的光潔度；

e)對ADS性能影響大的安裝規(guī)范。

A.2.4危害分析和風(fēng)險(xiǎn)評估

A.2.4.1企業(yè)應(yīng)根據(jù)系統(tǒng)控制下的車輛目標(biāo)使用場景及目標(biāo)用戶，在整車層面開展面向功能安全的

危害分析和風(fēng)險(xiǎn)評估，并定義相應(yīng)的汽車安全完整性等級(ASIL)和安全目標(biāo)，符合GB/T34590.3—

—2017第6章的要求。

A.2.4.2企業(yè)應(yīng)根據(jù)系統(tǒng)控制下的車輛目標(biāo)使用場景及目標(biāo)用戶，在整車層面開展面向預(yù)期功能安

全的危害分析和風(fēng)險(xiǎn)評估，并確定風(fēng)險(xiǎn)接受準(zhǔn)則，符合ISO21448第6章的要求。

A.2.5面向功能安全的安全概念

A.2.5.1企業(yè)應(yīng)至少在系統(tǒng)層面進(jìn)行面向功能安全的安全概念活動，以保障系統(tǒng)在故障條件下，對

駕駛員、乘客和其他道路使用者不存在不合理的風(fēng)險(xiǎn)。

注：安全概念包括功能安全概念和技術(shù)安全概念。

A.2.5.2企業(yè)應(yīng)進(jìn)行安全分析活動，并制訂對應(yīng)的安全措施，以說明系統(tǒng)一旦發(fā)生失效該系統(tǒng)如何

避免或減輕可能對駕駛員、乘客和其他道路使用者的安全產(chǎn)生影響的危害。安全分析至少包括：

a）系統(tǒng)層面的安全分析，可采用潛在失效模式與影響分析(FMEA)、故障樹分析(FTA)、系統(tǒng)理

論過程分析（STPA）或任何適合系統(tǒng)安全分析的其他類似過程；

b）應(yīng)至少考慮如下因素可能導(dǎo)致的危害以開展安全分析：

1)感知系統(tǒng)故障；

2)決策系統(tǒng)故障；

14

DB4403/TXXX—XXXX

3)應(yīng)描述對應(yīng)的安全措施，確保功能安全需求和目標(biāo)的達(dá)成。

A.2.5.3企業(yè)應(yīng)具備文檔，用來對ADS的提示信號優(yōu)先級以及在典型故障情況下向駕駛員提供警告

信號進(jìn)行描述。

A.2.5.4企業(yè)應(yīng)進(jìn)行安全措施制訂，以確保安全概念實(shí)現(xiàn)。系統(tǒng)可采取如下安全策略：

a）使用部分系統(tǒng)維持運(yùn)行。在某些故障條件下維持部分性能的運(yùn)行模式，應(yīng)說明這些故障條

件并確定其效果；

示例1：故障條件為探測相鄰車道的傳感器故障；

示例2：維持部分性能為維持在本車道，不支持換道。

b）切換到備用系統(tǒng)。如選擇備用系統(tǒng)實(shí)現(xiàn)動態(tài)駕駛?cè)蝿?wù)，應(yīng)對切換機(jī)制的原理、冗余的邏輯

和層級、備用系統(tǒng)的狀態(tài)檢查機(jī)制進(jìn)行說明并界定備用系統(tǒng)的效果；

c）退出自動駕駛功能。如果選擇退出，過程應(yīng)符合本文件要求。

A.2.6面向預(yù)期功能安全的安全措施制定

A.2.6.1企業(yè)應(yīng)制定面向預(yù)期功能安全的安全措施，以保障對于功能不足和合理誤用，系統(tǒng)不會對

駕駛員、乘客和其他道路使用者造成不合理的風(fēng)險(xiǎn)。

A.2.6.2企業(yè)應(yīng)進(jìn)行安全分析活動，以挖掘系統(tǒng)潛在功能不足和潛在觸發(fā)條件，并制訂對應(yīng)的安全

措施，以說明在對應(yīng)的場景下，該系統(tǒng)如何避免或減輕可能對駕駛員、乘客和其他道路使用者的安

全產(chǎn)生影響的危害。安全分析至少包括：

a）系統(tǒng)層面的安全分析，可參考ISO21448《Roadvehicles—Safetyoftheintended

functionality》表4和附錄B.3，或任何適合系統(tǒng)安全分析的其他類似過程。

b）應(yīng)至少考慮如下因素可能導(dǎo)致的危害以開展安全分析：

1)感知系統(tǒng)和決策系統(tǒng)常見功能不足；

2)未能充分考慮或未遵守交通規(guī)則；

3)駕駛員可合理預(yù)見的誤用；

4)ODC邊界場景識別不足。

c）應(yīng)描述對應(yīng)的安全措施，確保預(yù)期功能安全風(fēng)險(xiǎn)可接受。

A.2.6.3企業(yè)應(yīng)制訂面向預(yù)期功能安全的安全策略。系統(tǒng)可采取如下安全策略：限制系統(tǒng)激活、向

駕駛員發(fā)出警告、請求駕駛員接管、降級或降速運(yùn)行、最小風(fēng)險(xiǎn)策略等。

A.3驗(yàn)證和確認(rèn)

A.3.1功能安全驗(yàn)證和確認(rèn)

A.3.1.1企業(yè)應(yīng)執(zhí)行驗(yàn)證和確認(rèn)活動，并對驗(yàn)證/確認(rèn)計(jì)劃和結(jié)果進(jìn)行檢查，以證明滿足面向功能

安全的安全概念。驗(yàn)證和確認(rèn)應(yīng)基于仿真測試、場地測試、道路測試或其它適當(dāng)?shù)姆椒ā?/p>

A.3.1.2企業(yè)應(yīng)通過向自動駕駛系統(tǒng)相關(guān)的電子電氣組件施加相應(yīng)的輸入，來模擬組件內(nèi)部典型故

障的影響，以檢查系統(tǒng)組件發(fā)生失效的情況。

A.3.2預(yù)期功能安全的驗(yàn)證和確認(rèn)

A.3.2.1企業(yè)應(yīng)執(zhí)行驗(yàn)證和確認(rèn)活動，并對驗(yàn)證/確認(rèn)計(jì)劃和結(jié)果進(jìn)行檢查，以證明滿足面向預(yù)期

功能安全的接受準(zhǔn)則。驗(yàn)證和確認(rèn)應(yīng)基于仿真測試、場地測試、道路測試或其它適當(dāng)?shù)姆椒ā?/p>

a）企業(yè)應(yīng)檢查在關(guān)鍵典型場景下系統(tǒng)的目標(biāo)與事件探測和響應(yīng)（OEDR）、系統(tǒng)決策和人機(jī)交

互（HMI）等是否符合本文件的要求；

15

DB4403/TXXX—XXXX

b）企業(yè)應(yīng)對自動駕駛系統(tǒng)ODC內(nèi)典型的可合理預(yù)見場景進(jìn)行充分確認(rèn)，包括難于利用場地測

試和實(shí)際道路測試的場景。

注：面向功能安全的驗(yàn)證和確認(rèn)與面向預(yù)期功能安全的驗(yàn)證和確認(rèn)可能是同時(shí)進(jìn)行的。

A.4系統(tǒng)評估報(bào)告

企業(yè)應(yīng)基于附錄A要求進(jìn)行系統(tǒng)評估并輸出評估報(bào)告。評估報(bào)告應(yīng)具有可追溯性。

16

DB4403/TXXX—XXXX

附錄B

（規(guī)范性）

自動駕駛功能仿真試驗(yàn)方法及要求

B.1總則

本附錄規(guī)定了智能網(wǎng)聯(lián)汽車自動駕駛功能仿真試驗(yàn)方法以及仿真試驗(yàn)可信度評估要求。

B.2仿真試驗(yàn)方法

B.2.1仿真試驗(yàn)的場景應(yīng)充分覆蓋自動駕駛系統(tǒng)的設(shè)計(jì)運(yùn)行條件，至少應(yīng)包括《附錄C智能網(wǎng)聯(lián)

汽車自動駕駛功能場地試驗(yàn)方法及要求》的所有項(xiàng)目。

B.2.2仿真試驗(yàn)場景的設(shè)計(jì)可基于如下因素：

a）分析自然駕駛數(shù)據(jù)，包括駕駛員行為、自動駕駛系統(tǒng)傳感器收集的數(shù)據(jù)、專門配置的測量

設(shè)備收集的各種交通數(shù)據(jù)；

b）分析碰撞事故數(shù)據(jù)，如執(zhí)法機(jī)構(gòu)和保險(xiǎn)公司的碰撞事故數(shù)據(jù)庫；

c）分析特定設(shè)計(jì)運(yùn)行范圍內(nèi)的交通特點(diǎn)；

d）自動駕駛系統(tǒng)開發(fā)過程中的經(jīng)驗(yàn)；

e）關(guān)鍵參數(shù)變化綜合生成的場景；

f）基于功能安全需求和預(yù)期功能安全設(shè)計(jì)的場景；

g）在合理可預(yù)見的情況下，其他道路使用者的不安全行為

示例：不安全行為為在錯誤車道上行駛、突然橫穿。

B.2.3仿真試驗(yàn)結(jié)果應(yīng)具備可信度，通過仿真試驗(yàn)和實(shí)車對比試驗(yàn)結(jié)果驗(yàn)證，應(yīng)按照第B3～B8章

開展仿真試驗(yàn)可信度評估。

B.2.4應(yīng)按照第B3～B8章開展仿真試驗(yàn)可信度評估。

B.3仿真試驗(yàn)可信度評估框架

仿真試驗(yàn)的可信度評估框架與流程如圖B.1所示，由管理、分析、驗(yàn)證與確認(rèn)四大因素組成。

圖B.1可信度評估框架與流程

B.4管理

17

DB4403/TXXX—XXXX

B.4.1總則

企業(yè)應(yīng)對仿真試驗(yàn)建立管理流程，對模型與仿真工具鏈的發(fā)布內(nèi)容進(jìn)行監(jiān)控與記錄，管理流程

應(yīng)包括：

a）監(jiān)控與記錄模型與仿真工具鏈的每個發(fā)布版本的修改情況；

b）確定仿真工具鏈的相應(yīng)軟件和硬件配置；

c）記錄批準(zhǔn)新發(fā)布內(nèi)容的內(nèi)部審查過程。

B.4.2數(shù)據(jù)/輸入譜系

B.4.2.1企業(yè)應(yīng)記錄用于確認(rèn)模型與仿真工具鏈的輸入數(shù)據(jù)，并確保其可追溯性。

B.4.2.2企業(yè)應(yīng)提供文件，證明用于確認(rèn)或建立模型的數(shù)據(jù)與模型的預(yù)期使用相匹配。

B.4.2.3企業(yè)應(yīng)記錄用于將仿真模型參數(shù)與輸入數(shù)據(jù)擬合的校準(zhǔn)程序。

B.4.2.4模型參數(shù)的估算和校準(zhǔn)應(yīng)充分考慮開發(fā)模型的數(shù)據(jù)質(zhì)量的影響（如數(shù)據(jù)覆蓋率、信噪比和

傳感器不確定性/偏差/采樣率）。

B.4.3數(shù)據(jù)/輸出譜系

B.4.3.1企業(yè)應(yīng)記錄確認(rèn)模型與仿真工具鏈過程中生成的數(shù)據(jù)和場景信息，并確保其可追溯性。

B.4.3.2企業(yè)應(yīng)記錄仿真試驗(yàn)輸出數(shù)據(jù)及其相應(yīng)仿真配置。

B.4.3.3數(shù)據(jù)質(zhì)量對仿真工具鏈可信度的影響，主要包括：

a）輸出數(shù)據(jù)的范圍應(yīng)足夠廣，應(yīng)充分考慮并覆蓋自動駕駛系統(tǒng)的設(shè)計(jì)運(yùn)行范圍；

b）輸出數(shù)據(jù)應(yīng)支持對仿真模型進(jìn)行一致性檢查。

B.4.4團(tuán)隊(duì)經(jīng)驗(yàn)和專業(yè)知識

B.4.4.1企業(yè)應(yīng)至少建立以下團(tuán)隊(duì)：

a）進(jìn)行仿真工具鏈確認(rèn)的團(tuán)隊(duì)；

b）運(yùn)用經(jīng)確認(rèn)的仿真工具鏈開展自動駕駛系統(tǒng)仿真試驗(yàn)的團(tuán)隊(duì)。

B.4.4.2團(tuán)隊(duì)的經(jīng)驗(yàn)和專業(yè)知識包括兩個層面：

a)組織層面，自動駕駛企業(yè)應(yīng)建立、維護(hù)并記錄以下過程：

1)個人能力和技能的識別與評估過程；

2)履行仿真試驗(yàn)相關(guān)職責(zé)人員的培訓(xùn)過程。

b)團(tuán)隊(duì)層面，自動駕駛企業(yè)應(yīng)提供以下資質(zhì)說明：

1)針對進(jìn)行仿真工具鏈確認(rèn)的個人/團(tuán)隊(duì)的經(jīng)驗(yàn)和專業(yè)知識，提供能力資質(zhì)說明；

2)針對開展自動駕駛系統(tǒng)仿真試驗(yàn)的個人/團(tuán)隊(duì)的經(jīng)驗(yàn)和專業(yè)知識，提供能力資質(zhì)說明。

B.4.4.3若企業(yè)的仿真工具鏈包含或依賴企業(yè)自有團(tuán)隊(duì)之外的其他組織或產(chǎn)品時(shí)，應(yīng)對防止其他組

織或產(chǎn)品對仿真工具鏈可信度評估產(chǎn)生影響所采取的措施進(jìn)行說明。

B.4.5發(fā)布管理

B.4.5.1企業(yè)應(yīng)保存模型與仿真工具鏈的所有發(fā)布版本，并應(yīng)記錄構(gòu)成仿真工具鏈的仿真模型及其

確認(rèn)方法和接受閾值。企業(yè)應(yīng)確保可將生成的數(shù)據(jù)追溯到相應(yīng)仿真工具鏈版本。

B.4.5.2企業(yè)應(yīng)檢查仿真輸入和輸出數(shù)據(jù)的質(zhì)量，在仿真工具鏈的整個發(fā)布過程和生命周期中，應(yīng)

確保數(shù)據(jù)完整性、準(zhǔn)確性和一致性。

B.5分析

18

DB4403/TXXX—XXXX

B.5.1通則

B.5.1.1企業(yè)應(yīng)提供關(guān)于試驗(yàn)?zāi)康?、自動駕駛系統(tǒng)功能及設(shè)計(jì)運(yùn)行條件的明確說明。

B.5.1.2仿真試驗(yàn)分析應(yīng)定義整個仿真試驗(yàn)的過程，包括模型和仿真工具鏈的范圍和局限性，以及

可能影響建模與仿真結(jié)果的不確定性來源，并通過仿真試驗(yàn)評估不確定性來源的參數(shù)范圍。

B.5.1.3企業(yè)應(yīng)提供完整仿真工具鏈的說明，以及如何利用仿真數(shù)據(jù)支持自動駕駛系統(tǒng)驗(yàn)證和確認(rèn)

方案的說明；

B.5.2模型與仿真工具鏈的范圍/說明

B.5.2.1企業(yè)應(yīng)給出模型的使用范圍。

B.5.2.2成熟的仿真試驗(yàn)應(yīng)實(shí)現(xiàn)物理現(xiàn)象的虛擬化，企業(yè)應(yīng)證明仿真準(zhǔn)確度與所需的真實(shí)度水平相

匹配。

B.5.2.3仿真模型應(yīng)通過專用場景和指標(biāo)進(jìn)行確認(rèn)。用于確認(rèn)仿真模型的場景應(yīng)數(shù)量充足，以確保

在這些場景之外的場景中，仿真工具鏈仍能以相同方式起作用。

B.5.2.4企業(yè)應(yīng)提供一份用于確認(rèn)仿真模型及仿真工具鏈的場景清單以及相應(yīng)參數(shù)限值。

B.5.2.5模型的使用范圍、真實(shí)度水平、確認(rèn)場景和指標(biāo)應(yīng)與自動駕駛系統(tǒng)的設(shè)計(jì)運(yùn)行條件相匹配。

B.5.3假設(shè)、局限性和不確定性

B.5.3.1企業(yè)應(yīng)使用合理的建模假設(shè)并提供關(guān)于以下各項(xiàng)的證據(jù)：

a）建模假設(shè)說明；

b）建模假設(shè)對仿真工具鏈局限性的緩解作用；

c）仿真模型所需保真度。

B.5.3.2企業(yè)應(yīng)說明模型中不確定性來源的相關(guān)信息，以及所用不同來源的不確定性會如何影響模

型輸出。

B.5.4相關(guān)性閾值

企業(yè)應(yīng)確定仿真試驗(yàn)結(jié)果與實(shí)車試驗(yàn)結(jié)果的相關(guān)性閾值。

B.6驗(yàn)證

B.6.1總則

企業(yè)應(yīng)分析構(gòu)成仿真試驗(yàn)仿真工具鏈和模型是否得到正確的運(yùn)用，確保仿真試驗(yàn)流程中的輸入

值與對應(yīng)的輸出結(jié)果是符合現(xiàn)實(shí)情況的，至少應(yīng)對敏感性進(jìn)行驗(yàn)證。

B.6.2敏感性分析

B.6.2.1對模型和仿真工具鏈的敏感性開展分析時(shí)：

a)應(yīng)量化模型輸出值如何受到模型輸入值變化的影響；

b)確定對仿真模型結(jié)果具有最大影響的參數(shù)。

B.6.2.2企業(yè)應(yīng)證明，已經(jīng)通過敏感性分析方法（如擾亂應(yīng)用模型參數(shù)）確定了影響仿真輸出結(jié)果

的關(guān)鍵參數(shù)。

B.6.2.3企業(yè)應(yīng)證明，為提高所開發(fā)仿真工具鏈的可信度，在識別和校準(zhǔn)關(guān)鍵參數(shù)時(shí)采用了魯棒校

準(zhǔn)程序。

B.7確認(rèn)

19

DB4403/TXXX—XXXX

B.7.1確認(rèn)范圍

企業(yè)應(yīng)對仿真試驗(yàn)用到的所有仿真工具鏈及其相關(guān)模型進(jìn)行確認(rèn)，包括以下一項(xiàng)或多項(xiàng)內(nèi)容：

a)確認(rèn)子系統(tǒng)模型，例如環(huán)境模型、傳感器模型、車輛模型；

示例1：環(huán)境模型為道路、道路設(shè)施、天氣環(huán)境、目標(biāo)物等。

示例2：傳感器模型為超聲波雷達(dá)、毫米波雷達(dá)、激光雷達(dá)、攝像頭。

示例3：車輛模型為轉(zhuǎn)向、制動、動力系統(tǒng)。

b)確認(rèn)車輛系統(tǒng)（車輛動力學(xué)模型和環(huán)境模型）；

c)確認(rèn)傳感器系統(tǒng)（傳感器模型和環(huán)境模型）；

d)確認(rèn)集成系統(tǒng)（傳感器模型、環(huán)境模型和車輛模型）。

B.7.2確認(rèn)方法

企業(yè)應(yīng)指定用于確認(rèn)仿真試驗(yàn)仿真工具鏈的邏輯場景。邏輯場景應(yīng)能最大限度地覆蓋自動駕駛

系統(tǒng)確認(rèn)所需仿真試驗(yàn)的設(shè)計(jì)運(yùn)行條件。

B.7.3不確定性表征

B.7.3.1評估仿真工具鏈結(jié)果的不確定性應(yīng)包括兩個步驟并證明：

a）使用B.4.2以及B.5章節(jié)所述的信息表征輸入數(shù)據(jù)、模型參數(shù)和建模結(jié)構(gòu)中的不確定性；

b）通過仿真工具鏈量化模型輸出的不確定性。

B.7.3.2根據(jù)模型輸出的不確定性，企業(yè)在執(zhí)行自動駕駛系統(tǒng)確認(rèn)的仿真試驗(yàn)時(shí)，應(yīng)引入適當(dāng)裕度。

B.7.4性能指標(biāo)

企業(yè)應(yīng)確定能用于比較仿真試驗(yàn)工具的輸出結(jié)果和真實(shí)世界的性能指標(biāo)，如探測率、位置、速

度、加速度、碰撞時(shí)間等。

B.7.5相關(guān)性驗(yàn)證

企業(yè)應(yīng)證明對于試驗(yàn)?zāi)康膩碚f，仿真試驗(yàn)結(jié)果與實(shí)車試驗(yàn)結(jié)果中性能指標(biāo)的相關(guān)性是達(dá)到閾值

的。

B.8評估要求

B.8.1企業(yè)應(yīng)提交仿真試驗(yàn)全生命周期的文件，內(nèi)容至少應(yīng)包括：

a)試驗(yàn)場景清單及其通過條件與結(jié)果；

b)B.4～B.7章節(jié)中提到的仿真試驗(yàn)可信度要求及其證據(jù)；

c)仿真工具鏈和模型的相應(yīng)發(fā)布版本以及相關(guān)生成數(shù)據(jù)；

d)文件與仿真工具鏈、模型和數(shù)據(jù)之間的溯源關(guān)系。

B.8.2評估人員可以通過評估企業(yè)的文件和/或進(jìn)行測試，對企業(yè)進(jìn)行審核。

20

DB4403/TXXX—XXXX

附錄C

（規(guī)范性）

自動駕駛功能場地試驗(yàn)方法及要求

C.1總則

本附錄規(guī)定了智能網(wǎng)聯(lián)汽車自動駕駛功能場地試驗(yàn)的一般要求、試驗(yàn)項(xiàng)目和通過要求。

C.2一般要求

C.2.1試驗(yàn)場地及試驗(yàn)環(huán)境

C.2.1.1試驗(yàn)場地應(yīng)滿足以下條件：

a）試驗(yàn)場地具有良好附著能力的混凝土或?yàn)r青路面；

b）交通標(biāo)志和標(biāo)線清晰可見，并符合GB5768要求；

c）道路及基礎(chǔ)設(shè)施符合GB14886、GB14887、GB/T24973要求；

d）試驗(yàn)道路限速大于等于60km/h時(shí)，車道寬度不小于3.5m且不大于3.75m；

e）具備試驗(yàn)車輛自動駕駛模式正常激活的必要數(shù)據(jù)和設(shè)施條件。

C.2.1.2試驗(yàn)環(huán)境應(yīng)天氣良好且光照正常環(huán)境下進(jìn)行。

若試驗(yàn)車輛需要在夜晚環(huán)境進(jìn)行試驗(yàn)，根據(jù)其設(shè)計(jì)運(yùn)行條件選取表C.1對應(yīng)光照強(qiáng)度，進(jìn)行

C.3.1.1所選取的全部試驗(yàn)項(xiàng)目并滿足通過要求。

表C.1夜間路面光照強(qiáng)度分級表

單位為勒克司

有路側(cè)照明裝置無路側(cè)照明裝置

最暗處最亮處最暗處最亮處

≥5≤50≥0≤5

若試驗(yàn)車輛需要進(jìn)行特殊天氣（雨、雪、霧等）試驗(yàn)，在對應(yīng)的天氣環(huán)境下，進(jìn)行C.3.1.1所

對應(yīng)的全部試驗(yàn)項(xiàng)目并滿足通過要求。

C.2.2試驗(yàn)設(shè)備及數(shù)據(jù)采集

C.2.2.1目標(biāo)物

目標(biāo)車輛和摩托車應(yīng)為大批量生產(chǎn)的乘用車和兩輪普通摩托車，或表面特征參數(shù)能夠代表上述

車輛且適應(yīng)傳感器系統(tǒng)的柔性目標(biāo)。其中，目標(biāo)車輛速度控制準(zhǔn)確度應(yīng)為±2km/h。交通錐高度應(yīng)

大于90cm且符合GB/T24720。

注：兩輪普通摩托車指車輛縱向中心平面上裝有兩個車輪的普通摩托車，其尺寸為長小于等于2.5m，寬小于

等于1.0