UNECE WP29《自动驾驶汽车框架文件》

2019年6月，联合国WP．29会议审议通过了中国、欧盟、日本和美国共同提出的《自动驾驶汽车框架文件》。

在系统功能安全方面，要求“车辆制造厂商应该以设计出免于不合理安全风险的自动驾驶系统和保证负荷道路交通法规与本文件列出的原则为目标，根据系统工程方法呈现一个健全的设计和验证过程。设计和验证方法应该包括对以下方面的威胁分析和安全风险评估：自动驾驶系统（ADS），目标事件探测与响应（OEDR），包含上述内容的整车设计，以及更广泛的交通生态系统（如适用）。设计和验证方法应展示出自动驾驶汽车正常运行期间的预期行为能力，避免碰撞的性能以及后备支援的性能，试验方法可组合模拟测试、场地测试和实际道路测试”。

在信息安全方面，要求“基于已建立的网络车辆物理系统最佳实践方案，自动驾驶汽车应免受网络攻击。车辆制造商应表明如何将车辆信息安全考虑整合到自动驾驶系统中，这些考虑包括所有的行动、变化、设计选择、分析和相关测试；以及确保数据在文档版本控制环境中是可追溯的”。在软件更新方面，“车辆制造商应确保系统更新可根据需要、以安全的方式进行，并可根据需要应用于售后修理和修改”。

在事件数据记录（EDR）和数据存储系统（DSSAD）方面，要求“自动驾驶汽车应具有采集和记录与系统状态、故障发生、降级或失效相关必要数据的功能，采用一种可用来确定任何碰撞发生的原因、自动驾驶系统状态以及驾驶员状态的方式”。对于车辆维护和检查，要求“应利用自动驾驶汽车维护和检查等相关措施，确保在用车辆的安全。此外，鼓励车辆制造商提供文件，便于对碰撞后自动驾驶汽车的维护和修理。这些文件将确定能保证自动驾驶汽车在修理后可安全运行的必要装备和过程”。

除了《自动驾驶汽车框架文件》之外，GRVA的提案Proposal for amendments to Framework document on automated／autonomous vehicles （levels 3 and higher） 还提出了UNECE WP29应优先考虑的关键问题和原则：

a．系统安全／ System Safety。

b．失效响应／Failsafe Response。

c．人机界面／Human Machine Interface （HMI） ／Operator information。

d．OEDR／Object Event Detection and Response （OEDR）。

e．ODD／ ［Operational Design Domain （ODD／OD）］ （automated mode）。

f．系统安全验证／Validation for System Safety．

g．网络安全／Cybersecurity．

h．软件升级／ Software Updates．

i．事件记录与存储系统／Event data recorder （EDR） and Data Storage System for Automated Driving vehicles （DSSAD）．

j．车辆维护与检查／Vehicle maintenance and inspection．

k．用户教育与培训／Consumer Education and Training．

l．碰撞预防保护与兼容／Crashworthiness and Compatibility．

m．碰撞后行为／ Post－crash AV behaviour．

部分国家自动驾驶车辆安全原则对比

UNECE曾对已公开的部分国家的自动驾驶车辆安全原则进行了对比，包括美国、日本、加拿大、欧洲，详见下表。

自动驾驶车辆安全原则对比Safety PrinciplesUSA （NHTSA FAVP 3．0）Japan （MLIT－Guideline）Canada （Transport Canada）Europe （EC Guidance）

Vision： “0” accidents with injury or fatality by ADVEnsure Safety ： Within ODD ADV shall not cause rationally foreseeable ＆ preventable accidents

1Safe Function （Redundancy）1） System Safety9） Post Crash Behaviorii） System safety by redundancy6） Safety systems （and appropriate redundancies）7） Safety assessment – redundancy； safety concept2Safety Layer3） （OEDR）ii） Automatic stop in situations outside ODD

iii） Compliance with safety regulation

iii） Compliance with standards recommended

vii） for unmanned services： camera link ＆ notification to service center4） International standards and best practices2） Driver／operator／ passenger interaction－ takeover delay； camera ＆ voice link for driverless systems3Operational Design Domain2） Operational Design Domaini） Setting of ODD2） Operational design domain1） System performance in automated mode – description

2） Driver／operator／ passenger interaction – boundary detection4Behavior in Traffic3） OEDR12） Federal， State and local Laws

3） OEDR1） System performance in automated mode – behavior4） MRM – traffic rules； information5Driver‘s Responsibilities

iv） HMI – driver monitoring for conditional automation1） Level of automation and intended use

7） HMI and access of controls – accidental misuse2） Driver／operator／ passenger interaction – information； driver monitoring6Vehicle Initiated Take－Over4） Fallback （MRC）6） HMIii） Automatic stop in situations outside ODD

iv） HMI – inform about planned automatic stop

3） Transition of driving task – lead time； MRM； HMI4） MRM7Driver Initiated Transfer6） HMI

7） HMI and Accessibility of Controls1） System performance in automated mode － takeover8Effects of Automation

7） HMI and Accessibility of Controls –  unsafe misuse

9Safety Certificate

viii） Safety evaluation via simulation， track ＆ real world testingix） In－use safety － inspection5） Testing and validation

11） After market repairs ／ modifications7） Safety assessment – product； processes； risk assessment； standards10Data Recording10） Data Recordingv） Installation of data recording devices12） User privacy

13） Collaboration with government agencies ＆ law enforcement5） Data storage system11Security7） Vehicle Cybersecurityvi） Cybersecurity – safety by design

ix） In－use safety – software update10） Cyber security11） System update6） Cyber security12Passive Safety8） Crashworthiness

9） User protection during collision ＆ system failure

13Driver‘s training11） Consumer Education／Trainingx） Information provision to users8） Public education and awareness8） information provision to users

－ End －