由前文可知：駕駛可以被視為實(shí)現(xiàn)戰(zhàn)略目標(biāo)下的風(fēng)險(xiǎn)管理練習(xí)。ADS必須展示其安全駕駛車輛、應(yīng)對(duì)外部條件和管理內(nèi)部故障的能力。

ADS的設(shè)計(jì)必須確保車輛在整個(gè)使用壽命期間（設(shè)計(jì)、開發(fā)、生產(chǎn)、運(yùn)行、報(bào)廢）的使用安全和用戶安全，能夠避免對(duì)駕駛員、乘客和其他道路使用者造成不合理的風(fēng)險(xiǎn)。

企業(yè)應(yīng)建立覆蓋車輛全生命周期的功能安全、信息安全和預(yù)期功能安全流程，包括設(shè)計(jì)、開發(fā)、生產(chǎn)、運(yùn)行、服務(wù)及報(bào)廢等階段。

功能安全（FuSa:Functional Safety）：旨在通過避免、控制措施等使得因電子電氣失效（物理特性決定的）或者系統(tǒng)性失效（人為引發(fā)）造成的功能失效導(dǎo)致交通參與者的人身傷害降低到可接受的水平（ISO26262中已規(guī)定），從而實(shí)現(xiàn)功能是“安全”的。

功能安全關(guān)注與安全相關(guān)的失效（failure），確保自動(dòng)駕駛系統(tǒng)在各種運(yùn)行條件下都能正確執(zhí)行其預(yù)定功能，避免因系統(tǒng)故障導(dǎo)致的事故。

預(yù)期功能安全（SOTIF:Safety Of The Intended Functionality）：由功能不足、或者由可合理預(yù)見的人員誤用所導(dǎo)致的危害和風(fēng)險(xiǎn)。例如，傳感系統(tǒng)在暴雨、積雪等天氣情況下，本身并未發(fā)生故障，但可能無法執(zhí)行預(yù)期的功能。

預(yù)期功能安全考慮自動(dòng)駕駛系統(tǒng)在預(yù)期使用場(chǎng)景之外或邊緣情況下的行為，確保系統(tǒng)能夠安全地應(yīng)對(duì)這些非預(yù)期情況。

信息安全：主要由網(wǎng)絡(luò)安全和數(shù)據(jù)安全兩部分組成，網(wǎng)絡(luò)安全基于車聯(lián)網(wǎng)復(fù)雜環(huán)境，保護(hù)其免受網(wǎng)絡(luò)攻擊或緩解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；數(shù)據(jù)安全用于確保智能網(wǎng)聯(lián)汽車數(shù)據(jù)處于有效保護(hù)和合法利用狀態(tài)并具備保障持續(xù)安全狀態(tài)的能力。

信息安全關(guān)注與安全相關(guān)的威脅（threat），通過數(shù)字證書和密碼應(yīng)用等技術(shù)避免系統(tǒng)受到網(wǎng)絡(luò)攻擊的威脅，通過數(shù)據(jù)安全管理體系的應(yīng)用，持續(xù)保護(hù)重要數(shù)據(jù)和個(gè)人信息的安全。

當(dāng)前階段，通常使用多少公里的實(shí)際測(cè)試中沒有碰撞、違法或ADS退出等指標(biāo)來評(píng)估ADS性能。在沒有發(fā)生碰撞、違法或退出等情況下行駛的公里數(shù)指標(biāo)，有助于公眾了解ADS的總體性能。然而，這些測(cè)量值本身并不能向監(jiān)管機(jī)構(gòu)提供足夠的證據(jù)，證明ADS能夠安全地應(yīng)對(duì)車輛可能遇到的各種不同情況。

此外，僅通過現(xiàn)實(shí)世界測(cè)試進(jìn)行驗(yàn)證的時(shí)間和成本是令人望而卻步的，這可能需要ADS在沒有事故的情況下行駛數(shù)十億公里，以證明其安全性能明顯優(yōu)于人類駕駛員。如果系統(tǒng)發(fā)生變化（軟硬件變更、升級(jí)、優(yōu)化）則需要重新驗(yàn)證，復(fù)制重現(xiàn)這種測(cè)試也是不可行的。

考慮到這些因素，需要使用基于交通場(chǎng)景的方法以高效、客觀、可重復(fù)和可擴(kuò)展的方式系統(tǒng)地組織安全驗(yàn)證活動(dòng)。

聯(lián)合國(guó)建議通過制定交通場(chǎng)景框架來處理ADS可能遇到的交通場(chǎng)景，并根據(jù)該框架評(píng)估ADS。場(chǎng)景的建立主要取決于對(duì)ADS的運(yùn)行設(shè)計(jì)域（ODD）的分析。

交通場(chǎng)景框架需要區(qū)分正常、緊急和故障場(chǎng)景。正常場(chǎng)景可以評(píng)估ADS安全操作車輛的能力；緊急場(chǎng)景可以評(píng)估ADS管理沖突和減輕風(fēng)險(xiǎn)的能力；故障場(chǎng)景可以評(píng)估ADS管理和響應(yīng)系統(tǒng)故障的能力。

需要讓ADS遍歷這些交通場(chǎng)景，并根據(jù)動(dòng)態(tài)駕駛?cè)蝿?wù)（DDT）的執(zhí)行要求評(píng)估ADS在每個(gè)場(chǎng)景下表現(xiàn)出的行為能力。這些要求側(cè)重于期望的駕駛能力和結(jié)果（不考慮法規(guī)要求和ADS限制，在某個(gè)場(chǎng)景下該怎么做），有意避開技術(shù)規(guī)范和性能限制，每種交通場(chǎng)景都需要對(duì)其元素、風(fēng)險(xiǎn)和可用選項(xiàng)的組合做出適當(dāng)?shù)恼{(diào)整。

在正常場(chǎng)景下，ADS應(yīng)展示與DDT表現(xiàn)要求一致的行為能力。例如，其中一項(xiàng)能力是與稱職和謹(jǐn)慎的駕駛員（老司機(jī)）一樣，將危急情況的風(fēng)險(xiǎn)降至最低。

然而，在緊急場(chǎng)景下界定ADS的性能標(biāo)準(zhǔn)是困難的，特別是在必須確定優(yōu)先次序的情況下，比如為了避免撞到行人A，可能會(huì)撞到行人B。在這些情況下，聯(lián)合國(guó)指南提議使用適當(dāng)?shù)陌踩Ｐ?，以便能夠在安全模型的范圍?nèi)評(píng)估ADS能力（當(dāng)前指南提到了一些說明性模型，但沒有具體說明哪些可能是適當(dāng)?shù)?，也沒有試圖限制適當(dāng)安全模型的使用）。例如，人們認(rèn)識(shí)到ADS可能無法避免碰撞，因此需要將ADS能力與安全模型能力進(jìn)行比較，以確定需要避免碰撞的閾值和無法避免碰撞的閾值，以及是否可能減輕碰撞的影響。

在ADS展示的行為能力涉及例外的情況下，將依賴安全模型來確定例外是否合理。例如，ADS可能違反車道限制以避免碰撞（壓實(shí)線避撞）。安全模型可以確定碰撞風(fēng)險(xiǎn)、ADS響應(yīng)和違反交通規(guī)則的必要性。

故障場(chǎng)景用來分析、測(cè)試ADS的DDT性能因系統(tǒng)故障而受損的情況。除非有后備用戶管理對(duì)故障的響應(yīng)，否則ADS應(yīng)將車輛帶到安全的停止?fàn)顟B(tài)（即最小風(fēng)險(xiǎn)狀態(tài)）。然而，根據(jù)故障的嚴(yán)重程度，安全要求允許ADS根據(jù)故障的性質(zhì)調(diào)整其DDT性能。這將允許ADS在可能的情況下減輕風(fēng)險(xiǎn)，同時(shí)到達(dá)安全位置停止車輛。

需要將所有的故障設(shè)想合并成一個(gè)目錄，用于系統(tǒng)地驗(yàn)證ADS的安全性。

在正常、緊急、故障場(chǎng)景下解決ADS車輛用戶的安全時(shí)，要充分考慮到用戶與ADS車輛的關(guān)系。用戶可能位于ADS車輛內(nèi)部或外部；用戶在旅行期間對(duì)車輛的控制程度可能不同；用戶是否與單個(gè)車輛是否具有一對(duì)一的關(guān)系；用戶是否在同時(shí)控制多個(gè)車輛等。

無論任何輔助駕駛系統(tǒng)，駕駛員都會(huì)執(zhí)行DDT，直到他們激活A(yù)DS功能。ADS功能特定于ODD存在，ADS功能的激活后，在ODD內(nèi)執(zhí)行整個(gè)DDT所需的戰(zhàn)術(shù)和操縱功能。用戶在駕駛的過程中可以激活A(yù)DS時(shí)，對(duì)車輛的操控將從駕駛員轉(zhuǎn)移到ADS，要確保轉(zhuǎn)移過程的安全。

激活A(yù)DS功能后，ADS在ODD內(nèi)執(zhí)行操縱車輛所需的整個(gè)DDT。因此，駕駛員轉(zhuǎn)變?yōu)楹髠漶{駛員或乘客的角色。一些ADS設(shè)計(jì)可能會(huì)在事件中啟動(dòng)“系統(tǒng)啟動(dòng)的ADS停用”（即回退到用戶），使ADS不能再執(zhí)行DDT（例如，在到達(dá)ODD的邊界之前使用該功能）。

乘客可能沒有能力執(zhí)行DDT。盡管如此，乘客需要選擇目的地、路線和站點(diǎn)，因此需要與ADS進(jìn)行必要的互動(dòng)。