為了進一步貫徹落實《上海市浦東新區(qū)促進無駕駛?cè)酥悄芫W(wǎng)聯(lián)汽車創(chuàng)新應(yīng)用規(guī)定》，促進無駕駛（安全）員智能網(wǎng)聯(lián)汽車測試與示范活動的安全有序開展，充分保障道路交通安全，為支撐創(chuàng)新應(yīng)用實施細則的有關(guān)規(guī)定，結(jié)合本市實際和相關(guān)技術(shù)發(fā)展現(xiàn)狀，特制定本技術(shù)方案。

一、總體要求

（一）適用范圍

本方案規(guī)定了在上海經(jīng)過有駕駛（安全）員自動駕駛測試后，申請開展無駕駛（安全）員自動駕駛功能測試的智能網(wǎng)聯(lián)汽車應(yīng)滿足的總體要求、失效識別與安全響應(yīng)要求、最小風(fēng)險策略要求、人機交互要求及試驗方法。

本方案適用于搭載高度自動駕駛功能的M類、N類汽車，其他類型車輛可參照執(zhí)行。

（二）行駛安全要求

1.自動駕駛系統(tǒng)應(yīng)具備明確的設(shè)計運行條件。

2.自動駕駛系統(tǒng)應(yīng)能持續(xù)識別設(shè)計運行條件是否滿足。

3.自動駕駛系統(tǒng)可識別并實現(xiàn)應(yīng)急指令的執(zhí)行，識別內(nèi)容包括道路交通指揮的交警手勢、車輛接收交警指令或者緊急接管人員接收交警指令等。

4.自動駕駛系統(tǒng)應(yīng)以合理的控制策略應(yīng)對探測到但無法識別類型的目標物。

5.自動駕駛系統(tǒng)應(yīng)以合理的控制策略應(yīng)對無法探測區(qū)域內(nèi)存在的安全風(fēng)險。

6.自動駕駛系統(tǒng)應(yīng)僅允許在其設(shè)計運行條件下被激活，并具備明確的功能激活和退出策略。

7.自動駕駛系統(tǒng)應(yīng)持續(xù)自檢，以檢測自動駕駛系統(tǒng)失效并確認系統(tǒng)性能可執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)。

8.自動駕駛系統(tǒng)應(yīng)合理控制包括轉(zhuǎn)向信號燈、危險警告信號、制動燈在內(nèi)的車輛照明和光信號裝置。

9.自動駕駛系統(tǒng)在激活狀態(tài)下，應(yīng)與其他交通參與者進行有效的信息交互。

10.自動駕駛系統(tǒng)應(yīng)及時響應(yīng)緊急接管人員的有效操作。

11.自動駕駛系統(tǒng)在激活狀態(tài)下，當(dāng)設(shè)計運行條件即將不滿足或已經(jīng)不滿足時，應(yīng)執(zhí)行合理的策略，且至少應(yīng)具備最小風(fēng)險策略，并詳細描述最小風(fēng)險策略的模式及工作方式。

12.自動駕駛系統(tǒng)在激活狀態(tài)下，當(dāng)碰撞事故不可避免時，應(yīng)采取合理策略降低事故傷害或損失。

13.自動駕駛系統(tǒng)在激活狀態(tài)下，當(dāng)自動駕駛系統(tǒng)檢測到車輛發(fā)生碰撞事故后，除車輛制造商聲明的情況外，應(yīng)使車輛靜止，且至少應(yīng)通過車輛制造商聲明的方式進行安全檢測，才允許再次被激活。

（三）功能安全要求

1.應(yīng)根據(jù)自動駕駛系統(tǒng)控制下的車輛目標使用場景及目標用戶，在整車層面開展面向功能安全的危害分析和風(fēng)險評估，并定義相應(yīng)的汽車安全完整性等級和安全目標。

2.應(yīng)至少在系統(tǒng)層面進行面向功能安全的安全概念活動，以保障系統(tǒng)在故障條件下，對乘客和其他道路使用者不存在不合理的風(fēng)險。

3.應(yīng)進行安全分析活動。安全分析至少包括：

（1）整車層面的安全分析,可采用危害分析和風(fēng)險評估方法、潛在失效模式與影響分析、故障樹分析或適合整車安全分析的其它類似方法；

（2）系統(tǒng)層面的安全分析，可采用潛在失效模式與影響分析、故障樹分析、系統(tǒng)理論過程分析或任何適合系統(tǒng)安全分析的其他類似過程；

（3）應(yīng)至少考慮感知系統(tǒng)故障、決策系統(tǒng)故障、執(zhí)行系統(tǒng)故障、供電系統(tǒng)故障等因素可能導(dǎo)致的危害以開展安全分析。

4.應(yīng)進行安全措施制訂和實施，且確保為實現(xiàn)安全目標而選擇的安全措施不會在故障條件、非故障條件下影響車輛的安全運行，保證安全概念的有效實現(xiàn)。自動駕駛系統(tǒng)可采取如下安全策略：

（1）使用部分系統(tǒng)維持運行。在某些故障條件下維持系統(tǒng)部分性能的運行模式，應(yīng)說明這些故障條件并確定其效果；

（2）切換到獨立的備用系統(tǒng)。如選擇備用系統(tǒng)實現(xiàn)動態(tài)駕駛?cè)蝿?wù)，應(yīng)對切換機制的原理、冗余的邏輯和層級、備用系統(tǒng)的狀態(tài)檢查機制進行說明并界定備用系統(tǒng)的效果；

（3）通過緊急接管人員的操作，將風(fēng)險暴露時間降低到一個可接受的時間區(qū)間內(nèi);

（4）執(zhí)行最小風(fēng)險策略或采取車輛制造商聲明的其他失效應(yīng)對策略，使車輛進入安全狀態(tài)。

5.應(yīng)從整車層面和系統(tǒng)層面對影響車輛運動控制和安全目標的所有危害和故障進行驗證和確認。驗證和確認應(yīng)基于模擬仿真測試、封閉場地測試、實際道路測試或其它適當(dāng)?shù)姆椒ā?/span>

（四）預(yù)期功能安全要求

1.應(yīng)根據(jù)自動駕駛系統(tǒng)控制下的車輛目標使用場景及目標用戶，在整車層面開展面向預(yù)期功能安全的危害分析和風(fēng)險評估，并確定風(fēng)險接受準則。

2.應(yīng)進行安全分析活動，以挖掘系統(tǒng)潛在功能不足和潛在觸發(fā)條件。安全分析至少包括：

（1）系統(tǒng)層面的安全分析；

（2）應(yīng)至少考慮感知系統(tǒng)、決策系統(tǒng)和執(zhí)行系統(tǒng)常見功能不足、未能充分考慮或未遵守交通規(guī)則、緊急接管人員和乘客可合理預(yù)見的誤用、設(shè)計運行條件邊界場景識別不足等因素可能導(dǎo)致的危害以開展安全分析：

3.應(yīng)制定和實施面向預(yù)期功能安全的安全措施，確保預(yù)期功能安全風(fēng)險可接受。系統(tǒng)可采取如下安全策略：限制系統(tǒng)激活、緊急接管人員操作、降級或降速運行、執(zhí)行最小風(fēng)險策略等。

4.應(yīng)從感知、規(guī)劃、執(zhí)行、系統(tǒng)集成等層面執(zhí)行驗證和確認活動，以證明滿足面向預(yù)期功能安全的接受準則。驗證和確認應(yīng)基于模擬仿真測試、封閉場地測試、實際道路測試或其它適當(dāng)?shù)姆椒ā?/span>

（五）數(shù)據(jù)記錄要求

1.應(yīng)配備事件數(shù)據(jù)記錄和自動駕駛數(shù)據(jù)記錄功能。

2.應(yīng)具備連續(xù)數(shù)據(jù)存儲能力、斷電存儲能力，遵循存儲覆蓋機制，能夠持續(xù)正常記錄和存儲數(shù)據(jù)。

3.記錄的數(shù)據(jù)應(yīng)能被提取并正確解析。

4.應(yīng)保證記錄數(shù)據(jù)的完整性和真實性，以防止數(shù)據(jù)被篡改、偽造或惡意刪除。

5.在自動駕駛系統(tǒng)激活期間，記錄的事件數(shù)據(jù)應(yīng)至少包括自動駕駛系統(tǒng)激活、退出、執(zhí)行最小風(fēng)險策略、發(fā)生嚴重失效、有碰撞風(fēng)險、發(fā)生碰撞等。

6.自動駕駛數(shù)據(jù)采集類型分為Ⅰ型數(shù)據(jù)、Ⅱ型數(shù)據(jù)。針對不同數(shù)據(jù)類型應(yīng)滿足附錄2的相關(guān)記錄要求。

7.不同數(shù)據(jù)類型記錄時間應(yīng)滿足以下要求：

（1）Ⅰ型數(shù)據(jù)需記錄智能網(wǎng)聯(lián)汽車自動駕駛系統(tǒng)激活期間的數(shù)據(jù)；

（2）Ⅱ型數(shù)據(jù)需記錄自動駕駛系統(tǒng)執(zhí)行最小風(fēng)險策略、發(fā)生事故時刻前90s和后30s的數(shù)據(jù)。

二、無駕駛（安全員）測試關(guān)鍵要求

（一）失效識別與安全響應(yīng)要求

1.自動駕駛系統(tǒng)應(yīng)能識別影響系統(tǒng)安全運行的自動駕駛系統(tǒng)失效，包括但不限于感知系統(tǒng)失效、決策系統(tǒng)失效、執(zhí)行系統(tǒng)失效、供電系統(tǒng)失效，系統(tǒng)完全失效等。

2.自動駕駛系統(tǒng)在檢測到影響系統(tǒng)安全運行的自動駕駛系統(tǒng)失效時，應(yīng)立即執(zhí)行最小風(fēng)險策略或采取車輛制造商聲明的其他失效應(yīng)對策略。

（二）最小風(fēng)險策略要求

1.觸發(fā)最小風(fēng)險策略

自動駕駛系統(tǒng)應(yīng)有明確的執(zhí)行最小風(fēng)險策略條件且自動駕駛系統(tǒng)應(yīng)能識別需要執(zhí)行最小風(fēng)險策略的所有情況，至少應(yīng)包括設(shè)計運行條件即將或已經(jīng)不再滿足的情況。

2.執(zhí)行最小風(fēng)險策略

（1）當(dāng)設(shè)計運行條件即將不再滿足，自動駕駛系統(tǒng)應(yīng)及時執(zhí)行最小風(fēng)險策略并確保車輛在不滿足設(shè)計運行條件之前達到靜止。

（2）當(dāng)設(shè)計運行條件已經(jīng)不再滿足，自動駕駛系統(tǒng)應(yīng)立即執(zhí)行最小風(fēng)險策略并確保車輛達到靜止。

（3）當(dāng)自動駕駛系統(tǒng)執(zhí)行最小風(fēng)險策略時，自動駕駛系統(tǒng)應(yīng)將乘客和其他道路使用者的安全風(fēng)險降至最低。

（4）當(dāng)自動駕駛系統(tǒng)執(zhí)行最小風(fēng)險策略時，自動駕駛系統(tǒng)應(yīng)開啟并保持危險警告信號，在車輛換道期間應(yīng)暫停危險警告信號。

（5）除非自動駕駛系統(tǒng)在執(zhí)行最小風(fēng)險策略期間被退出，否則最小風(fēng)險策略應(yīng)使車輛停止。

3.終止最小風(fēng)險策略

（1）僅當(dāng)自動駕駛系統(tǒng)被緊急接管人員退出或自動駕駛系統(tǒng)使車輛靜止后，才應(yīng)終止最小風(fēng)險策略。

（2）當(dāng)終止最小風(fēng)險策略后，自動駕駛系統(tǒng)應(yīng)退出。

（3）當(dāng)因車輛靜止而終止最小風(fēng)險策略后，不應(yīng)因自動駕駛系統(tǒng)退出導(dǎo)致關(guān)閉危險警告信號。

（三）人機交互要求

1.激活與退出

（1）自動駕駛系統(tǒng)應(yīng)配備供緊急接管人員激活和退出系統(tǒng)的專用操縱方式，該方式應(yīng)防止緊急接管人員可合理預(yù)見的誤用。

（2）當(dāng)自動駕駛系統(tǒng)處于激活狀態(tài)時，至少一種退出系統(tǒng)的操縱方式對緊急接管人員應(yīng)總是可見的。

（3）車輛每次點火（上電）后（發(fā)動機自動啟停除外），自動駕駛系統(tǒng)應(yīng)處于未激活狀態(tài)。

（4）僅當(dāng)緊急接管人員執(zhí)行激活操作且滿足自動駕駛系統(tǒng)通過自檢確認，且不存在影響系統(tǒng)運行或緊急接管人員執(zhí)行有效操作的失效、事件數(shù)據(jù)和自動駕駛數(shù)據(jù)記錄設(shè)備處于工作狀態(tài)、車輛未正在執(zhí)行影響自動駕駛系統(tǒng)運行的軟件升級、車輛制造商聲明的其他設(shè)計運行條件等條件時，自動駕駛系統(tǒng)才應(yīng)被激活。

（5）當(dāng)緊急接管人員通過專用操縱方式退出自動駕駛系統(tǒng)時，自動駕駛系統(tǒng)應(yīng)立即退出。

（6）除（5）外，應(yīng)滿足終止最小風(fēng)險策略或在發(fā)生影響系統(tǒng)安全運行的自動駕駛系統(tǒng)失效情況下，自動駕駛系統(tǒng)執(zhí)行車輛制造商聲明的其他安全退出策略時，自動駕駛系統(tǒng)才可退出。

（7）自動駕駛系統(tǒng)的退出不應(yīng)導(dǎo)致任何應(yīng)急輔助功能自動關(guān)閉或任何部分駕駛輔助功能或組合駕駛輔助功能自動激活。

2.系統(tǒng)狀態(tài)提示

（1）自動駕駛系統(tǒng)應(yīng)持續(xù)向緊急接管人員提示明確、充分的系統(tǒng)狀態(tài)信息。當(dāng)自動駕駛系統(tǒng)狀態(tài)發(fā)生變化時，自動駕駛系統(tǒng)應(yīng)及時向緊急接管人員提供必要的提示信息。

（2）若由于自動駕駛系統(tǒng)未就緒而導(dǎo)致系統(tǒng)激活失敗，則應(yīng)向緊急接管人員直觀地提示。

（3）自動駕駛系統(tǒng)處于激活狀態(tài)時，應(yīng)向緊急接管人員進行持續(xù)提示。

（4）自動駕駛系統(tǒng)由激活狀態(tài)退出至未激活狀態(tài)時，應(yīng)向緊急接管人員提示系統(tǒng)已退出。

（5）在自動駕駛系統(tǒng)執(zhí)行最小風(fēng)險策略過程中，應(yīng)對緊急接管人員給出明顯提示。

（6）自動駕駛系統(tǒng)處于最小風(fēng)險狀態(tài)時，應(yīng)提示緊急接管人員直至系統(tǒng)退出。

（7）在自動駕駛系統(tǒng)激活狀態(tài)下，若檢測到影響系統(tǒng)安全運行的自動駕駛系統(tǒng)失效，應(yīng)對緊急接管人員給出明顯提示。

（四）測試要求

1.總體要求

（1）應(yīng)按照《上海市智能網(wǎng)聯(lián)汽車封閉道路測試與評價規(guī)程》完成并通過智能網(wǎng)聯(lián)汽車有駕駛（安全）員的測試項目。

（2）測試用例應(yīng)基于設(shè)計運行條件、功能安全與預(yù)期功能安全的分析結(jié)果進行構(gòu)建，驗證和確認所有安全策略的有效性、安全目標和接受準則的符合性。

（3）模擬仿真測試應(yīng)能充分覆蓋設(shè)計運行范圍邊界和面向功能安全、預(yù)期功能安全制訂的安全策略。模擬仿真測試無法可信實施的測試用例，應(yīng)通過封閉場地測試、實際道路測試或其它適當(dāng)?shù)姆椒ㄟM行驗證。

（4）當(dāng)存在多種最小風(fēng)險策略時，模擬仿真測試應(yīng)驗證所有最小風(fēng)險策略的有效性。

（5）應(yīng)對緊急接管人員操作的實現(xiàn)方式進行有效性、可靠性和穩(wěn)定性驗證。

（6）應(yīng)基于典型場景的封閉場地測試結(jié)果對模擬仿真測試結(jié)果的可信性進行驗證。

2.測試通過要求

按附件3、附件4和附件5的要求完成所有測試項目，各測試項目應(yīng)按照對應(yīng)附錄規(guī)定的相關(guān)測試方法進行測試且符合對應(yīng)的通過條件。