DB4403 T 359.1—2023 智能网联汽车自动驾驶系统技术要求 第1部分：高速公路及快速路自动驾驶.pdf

1、 ICS 43.020 CCS T 40 深圳市地方标准 智能网联汽车自动驾驶系统技术要求 第 1 部分：高速公路及快速路自动驾驶 Technical requirements of automated driving system for intelligent and connected vehiclesPart 1:Highway and expressway automated driving 2023-09-01 实施2023-08-22 发布 深圳市市场监督管理发 布 DB4403/T 359.12023 DB4403DB4403/T 359.12023 I 目次 前言.II 1

2、范围.1 2 规范性引用文件.1 3 术语和定义.1 4 符号.5 5 总体要求.6 6 动态驾驶任务执行.7 7 动态驾驶任务后援.8 8 人机交互.10 9 说明书.12 附录 A（规范性）适用于 ADS 的安全性的特殊要求.14 附录 B（规范性）自动驾驶功能仿真试验方法及要求.18 附录 C（规范性）自动驾驶功能场地试验方法及要求.22 附录 D（规范性）自动驾驶功能道路试验方法及要求.39 DB4403/T 359.12023 II 前言 本文件按照 GB/T 1.12020标准化工作导则 第 1 部分：标准化文件的结构和起草规则的规定起草。本文件以推荐性国家标准智能网联汽车 自动驾

3、驶系统通用技术要求（计划号：20213608T339）(2022年9月版本)、GB/T 417982022智能网联汽车 自动驾驶功能场地试验方法及要求、推荐性国家标准智能网联汽车 自动驾驶功能道路试验方法及要求（计划号：20213609T339）(2022年9月版本)为基础制定，主要用于支持深圳市智能网联汽车准入管理工作的实施。本文件由深圳市工业和信息化局提出并归口。本文件起草单位：深圳市工业和信息化局。DB4403/T 359.12023 1 智能网联汽车自动驾驶系统技术要求 第 1 部分：高速公路及快速路自动驾驶 1 范围 本文件规定了高速公路及快速路自动驾驶系统的总体要求、动态驾驶任务执

4、行要求、动态驾驶任务后援要求、人机交互要求。本文件适用于装备高速公路及快速路自动驾驶系统的 M 类、N 类汽车。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 3730（所有部分）道路车辆质量词汇和代码 GB 5768（所有部分）道路交通标志和标线 GB/T 12534 汽车道路试验方法通则 GB 14886 道路交通信号灯设置与安装规范 GB 14887 道路交通信号灯 GB/T 24720 交通锥 GB/T 24973 收费用

5、电动栏杆 GB/T 34590.32022 道路车辆 功能安全 第 3 部分：概念阶段 GB/T 404292021 汽车驾驶自动化分级 GB/T 417982022 智能网联汽车 自动驾驶功能场地试验方法及要求 GA/T 115 道路交通拥堵度评价方法 DB4403/T 3552023 智能网联汽车整车信息安全技术要求 DB4403/T 3562023 智能网联汽车软件升级技术要求 DB4403/T 3572023 智能网联汽车自动驾驶数据记录系统技术要求 DB4403/T 3582023 智能网联汽车自动驾驶系统设计运行条件 ISO 21448 2022 道 路 车 辆 预 期 功 能 安

6、 全(Road vehicles Safety of the intended functionality)3 术语和定义 GB 3730（所有部分）、GB 5768（所有部分）、GB/T 40429 界定的以及下列术语和定义适用于本文件。3.1 自动驾驶功能 automated driving function 驾驶自动化系统在特定的设计运行条件下代替驾驶员持续自动地执行全部动态驾驶任务的功能。DB4403/T 359.12023 2 注：GB/T 404292021 中规定的 3 级及以上驾驶自动化功能的总称，包括“有条件自动驾驶”、“高度自动驾驶”和“完全自动驾驶”功能。3.2 自动驾驶

7、系统 automated driving system；ADS 由实现自动驾驶功能的硬件和软件所共同组成的系统。注：“自动驾驶系统”为 GB/T 404292021 规定的 3 级及以上驾驶自动化系统。3.3 设计运行范围 operational design domain；ODD 驾驶自动化系统设计时确定的适用于其功能运行的外部环境条件。注：典型的外部环境条件有道路、交通、天气、光照等。来源：GB/T 404292021，2.11 3.4 设计运行条件 operational design condition；ODC 驾驶自动化系统设计时确定的适用于其功能运行的各类条件的总称。注：设计运行条

8、件包括设计运行范围、车辆状态、驾乘人员状态及其他必要条件。3.5 动态驾驶任务 dynamic driving task；DDT 除策略性功能外的车辆驾驶所需的感知、决策和执行等行为。注 1：动态驾驶任务包括但不限于车辆横向运动控制、车辆纵向运动控制、目标和事件探测与响应、驾驶决策、车辆照明及信号装置控制。注2：策略性功能如导航、行程规划、目的地和路径的选择等。注3：动态驾驶任务一般由驾驶员、驾驶自动化系统或由两者共同完成。3.6 目标和事件探测与响应 object and event detection and response；OEDR 对目标和事件进行探测，并进行适当的响应。来源：GB/

9、T 404292021，2.73.7 最小风险状态 minimal risk condition；MRC 车辆事故风险可接受的状态。来源：GB/T 404292021，2.8 3.8 最小风险策略 minimal risk maneuver；MRM 驾驶自动化系统无法继续执行动态驾驶任务时，所采取的使车辆达到最小风险状态的措施。来源：GB/T 404292021，2.93.9 动态驾驶任务后援 dynamic driving task fallback 当发生即将超出设计运行范围、驾驶自动化系统失效或车辆其他系统失效等不满足设计运行条件的情况时，由用户接管或由驾驶自动化系统执行最小风险策略的后

10、备支援行为。来源：GB/T 404292021，2.103.10 介入请求 request to intervene 驾驶自动化系统请求动态驾驶任务后援用户执行接管的通知。DB4403/T 359.12023 3 来源：GB/T 404292021，2.133.11 接管 take over 动态驾驶任务后援用户响应介入请求，从驾驶自动化系统获得车辆驾驶权的行为。来源：GB/T 404292021，2.143.12 用户 user 与驾驶自动化相关的人类角色的统称。注：用户的角色可以在特定的条件下进行转换。来源：GB/T 404292021，2.17 3.13 驾驶员 driver 对于某个具

11、体的车辆，实时执行部分或全部动态驾驶任务和/或接管的用户。来源：GB/T 404292021，2.17.13.14 自动驾驶数据记录系统 data storage system for automated driving；DSSAD 在具备自动驾驶功能的车辆上配备的、在自动驾驶系统激活期间具备监测、采集、记录和存储数据功能并支持数据读取的系统。3.15 数据记录系统辅助存储设备 assisted storage device for DSSAD 为应对 DSSAD 存储能力不足而接入的用于独立存储数据的辅助设备。3.16 未激活状态 inactive state ADS 未执行车辆运动控制的状

12、态。3.17 未就绪状态 not ready state ADS 不可被激活的未激活状态。3.18 就绪状态 ready state ADS 可被激活的未被激活状态。3.19 激活状态 active state ADS 执行车辆运动控制的状态。3.20 ADS 严重失效 severe ADS failure 针对 ADS 必要部件的一种发生概率非常低但影响 ADS 安全运行的失效。注：单个传感器失效，只有当影响系统安全运行时，才会被视为严重失效。3.21 车辆严重失效 severe vehicle failure 任何影响 ADS 执行 DDT 能力且影响车辆手动操作的车辆失效。示例：电源掉电

13、、制动系统失效、胎压突然下降。DB4403/T 359.12023 4 3.22 计划接管事件 planned takeover event ADS 预先知晓并需要发出介入请求的事件。3.23 非计划接管事件 unplanned takeover event ADS 非预先知晓但极有可能发生，并需要发出介入请求的事件。示例：道路施工、车道标线消失等。3.24 干预 intervene 用户主动通过系统已明确的有效方式影响驾驶自动化系统执行动态驾驶任务的行为。3.25 安全目标 safety goal 由整车层面危害分析和风险评估得出的最高层面的安全要求。3.26 安全措施 safety mea

14、sures 用来避免或控制系统性失效,探测或控制随机硬件失效,或减轻他们有害影响的活动或技术解决方案。3.27 接受准则 accepted criteria 表征不存在不合理风险水平的准则。3.28 控制策略 control strategy 针对一组特定的环境和/或运行条件，确保系统各种功能鲁棒、安全运行的策略。示例 1：环境和/或运行条件为道路表面条件，交通流密度和其他道路使用者，不利的天气条件等。示例 2：控制策略为自动关闭功能、降低最高运行速度等。3.29 试验车辆 vehicle under test；VUT 进行自动驾驶功能试验的车辆。来源：GB/T 417982022，3.23.

15、30 目标物 object target 用于构建试验场景的交通参与者、障碍物或其模型。3.31 目标车辆 vehicle target；VT 用于构建试验场景的量产乘用车或其模型。3.32 自动驾驶模式 automated driving mode 由自动驾驶系统执行全部动态驾驶任务的模式。来源：GB/T 417982022，3.53.33 试验场景 testing scenario 车辆试验过程中所处道路、交通标志标线及目标物等要素及其状态的集合。DB4403/T 359.12023 5 来源：GB/T 417982022，3.63.34 最高设计运行速度 maximum design o

16、perational speed 试验车辆在其设计运行条件下自动驾驶模式可运行的最高速度。来源：GB/T 417982022，3.83.35 引导车 leading vehicle 在试验车辆前方，与其处于同一车道，用于满足试验车辆自动驾驶模式激活条件的车辆。来源：GB/T 417982022，3.103.36 稳定跟随 stable following 前后车辆速度差在2 km/h 以内并保持 3 s 以上。来源：GB/T 417982022，3.113.37 起动 start moving 试验车辆行驶速度由 0 km/h 加速至 2 km/h 的行驶过程。来源：GB/T 41798202

17、2，3.123.38 换道 lane changing 车辆车轮首次触碰车道边线到车辆全部车轮进入相邻车道。来源：GB/T 417982022，3.133.39 有效试验时长总和 total effective test duration 在自动驾驶功能处于激活状态下针对某种特定道路类型进行试验的总时长。3.40 单次连续试验 single continuous test 试验车辆在特定时间段内不间断进行的一次试验。3.41 试验人员 test staff 参与道路试验的人员，包括试验操作人员和随车试验人员。3.41.1 试验操作人员 test operation staff 试验过程中，为配

18、合试验进行，执行必要的动态驾驶任务和/或动态驾驶任务接管的人员。3.41.2 随车试验人员 onboard test staff 试验过程中，记录试验数据和事件的人员。3.42 自动驾驶系统标志灯 autonomous driving system marker lamp 向其他道路使用者表明自动驾驶系统正在控制车辆运行的灯具。注：以下简称为“ADS 标志灯”。4 符号 DB4403/T 359.12023 6 下列符号适用于本文件。Vmax：最高设计运行速度，单位为 km/h。5 总体要求 5.1 企业应通过合理方式证明 ADS 符合本文件要求，包括但不限于仿真试验、场地试验和道路试验，企业

19、应基于附录 A 要求进行系统功能安全和预期功能安全评估并输出评估报告，并出具仿真试验报告、场地试验报告以及道路试验报告，供审核。企业应按照附录 B 执行仿真试验，应评估仿真工具链和模型可信度，仿真工具链和模型可信度的评估方式可参照附录 B。企业应交由第三方检测机构按照附录 C 和附录 D 开展测试，第三方检测机构可在此基础上增加试验场景，并出具试验报告，充分验证 ADS 符合本文件要求。5.2 ADS 应具有明确的设计运行条件，设计运行条件应按照 DB4403/T 3582023 的要求进行定义和描述。5.3 ADS 应仅允许在其设计运行条件满足的情况下被激活。5.4 ADS 应及时响应用户的

20、有效操作。若用户的操作将导致紧迫的碰撞风险，ADS 可根据企业声明的方式暂缓响应用户的操作。5.5 本文件中涉及企业声明的部分，应在用户手册中做出明确说明。注：5.5适用于本文件5.4、5.6、5.15、7.2.3.2、7.3.1.1、8.1.2.1、8.1.2.2、8.1.3.3、8.2.4、8.2.5.1、8.2.5.2、A2.2等条款。5.6 若 ADS 具备暂缓响应功能，企业应声明明确的暂缓响应条件。5.7 ADS 应采取适当的控制策略处理合理可预见的用户误用。5.8 ADS 应持续执行自检，以检测 ADS 失效并确认系统是否可执行全部 DDT。5.9 ADS 在激活状态下，应执行全部

21、 DDT，且不应造成不合理的安全风险。5.10 ADS 在激活状态下，执行 DDT 应符合道路交通规定。5.11 ADS 在激活状态下，执行 DDT 应符合其他道路使用者的合理预期。示例：符合其他道路使用者预期的情况，如不可紧急切入等。5.12 ADS 在激活状态下，应确认支持驾驶员恢复人工驾驶所需的装置或系统处于适当状态。注：所需的装置或系统，如除雾装置、挡风玻璃雨刷器、照明装置。5.13 ADS 在激活状态下，针对合理可预见且可预防的场景，应避免导致碰撞事故。5.14 ADS 在激活状态下，当碰撞事故不可避免时，ADS 应采取合理策略降低事故伤害或损失。5.15 ADS 在激活状态下，当

22、ADS 检测到车辆发生碰撞事故后，除企业声明的情况外，应使车辆静止，且至少应通过企业声明的方式进行安全检测，才允许再次被激活。5.16 ADS 在激活状态下，当设计运行条件即将不满足或已经不满足时，ADS 应执行合理的策略。5.17 ADS 在激活状态下，应与道路使用者进行有效的信息交互。注：信息交互方式，如转向信号灯、制动灯等。5.18 ADS 在激活状态下，应避免干扰正常的交通流而导致整体通行效率下降。5.19 装备 ADS 的车辆应具备自动驾驶数据记录系统，自动驾驶数据记录系统应符合 DB4403/T 3572023 的要求。5.20 车辆应记录和存储发生碰撞事故前 90 s 的位置、运

23、行状态、驾驶模式和车内外监控视频数据，且该数据至少应存储 30 日不被删除或覆盖。注1：位置信息包括经度、维度信息。注2：运行状态信息包括DB4403/T 3572023中5.4.2表2的数据。DB4403/T 359.12023 7 注3：驾驶模式信息包括自动驾驶系统处于激活状态、退出状态、发出介入请求状态、执行最小风险策略状态。注4：车外监控视频包括DB4403/T 3572023中5.4.2表4中序号8的数据。5.21 自动驾驶数据记录系统若能满足 5.20 条要求，则车辆不需要增加其它辅助存储设备。若车辆自动驾驶数据记录系统不能满足 5.20 条要求，则应增加辅助存储设备，辅助存储设备

24、记录的数据应满足5.20 条要求。数据读取方式应符合 DB4403/T 3572023 中 5.6 的要求。5.22 装备 ADS 系统的车辆应符合 DB4403/T 3552023 的要求。5.23 若 ADS 具备软件升级功能，装备 ADS 系统的车辆应符合 DB4403/T 3562023 的要求。5.24 ADS 不应存在由于功能异常表现引起的危害而导致的不合理风险，应符合附录 A 要求。5.25 ADS 不应存在由预期功能不足和合理误用引起的危害而导致的不合理的风险，应符合附录 A 要求。5.26 ADS 在激活状态下，自车应开启外部 ADS 标志灯，向自车周围的其他道路使用者发出明

25、显的安全提示。ADS 退出后，应关闭 ADS 标志灯。用于道路运输经营活动的自动驾驶车辆，应以显著的车身标识进行安全提示。用于公交客运的自动驾驶车辆，应在车内播放语音提示。ADS 标志灯颜色为蓝绿色，色度应符合表 1 的要求。表1 ADS 标志灯的色度 颜色 色度区域边界 边界交点 蓝绿色 T12 趋绿极限：y=0.500 T23 趋白极限：x=0.200 T34 趋蓝极限：y=0.320 T41 光谱轨迹 x y T1 0.012 0.494 T2 0.200 0.400 T3 0.200 0.320 T4 0.040 0.320 6 动态驾驶任务执行 6.1 ADS 应具备充分的 OEDR

26、 能力，支持其安全且合理地执行全部 DDT。6.2 ADS 的感知能力应覆盖足够的范围和距离。6.3 ADS 应能持续识别 ODC 是否满足。6.4 ADS 应以合理的控制策略应对传感系统的性能衰退。6.5 ADS 至少应能确定自车位置、探测周围环境中的目标和事件，例如：a)道路，含道路类型、道路表面条件、道路几何、车道特征、道路边缘等；b)道路设施，含交通标志、交通信号灯等；c)目标物，含机动车、非机动车、行人、障碍物等；d)天气环境，含天气、光照条件等；e)数字信息环境，含无线通信、位置信号等。6.6 ADS 应能探测目标的位置以及动态目标的移动速度。6.7 ADS 应以合理的控制策略应对

27、探测到但无法识别类型的目标物。6.8 ADS 应以合理的控制策略应对无法探测区域内存在的安全风险。注：无法探测区域如传感器布置及感知范围造成的盲区、由其他交通参与者或障碍物遮挡造成的盲区、道路拓扑或形状造成的盲区等。6.9 ADS 应合理规划和控制车辆行驶路径与行驶速度，以适应道路、道路设施、目标物、天气环境、数字信息环境等。6.10 ADS 应以合理控制策略应对静止的其他道路使用者。DB4403/T 359.12023 8 6.11 ADS 应避免与车辆前方无遮挡的行人发生碰撞，若因行人行为导致无法避免碰撞，ADS 应尽可能减缓碰撞。6.12 ADS 应至少探测由于前方车辆减速、车辆切入或突

28、然出现的障碍物而导致碰撞的风险，并应自动执行适当的策略以最大限度地减少对车辆驾乘人员和其他交通使用者的安全风险。6.13 ADS 应控制车辆与其他道路使用者保持足够的安全距离，若其他道路使用者的行为导致当前距离无法满足安全距离要求，则应执行适当的控制策略以降低安全风险，在后续合适时机调整保持安全距离。6.14 ADS 不应导致车辆失去控制出现倾覆等。6.15 ADS 应合理控制车辆的照明和信号装置，包括但不限于转向信号灯、危险警告信号、制动灯。7 动态驾驶任务后援 7.1 驾驶员接管能力监测系统7.1.1 一般要求7.1.1.1 对于需要驾驶员执行接管的 ADS，应具备驾驶员接管能力监测系统。

29、7.1.1.2 驾驶员接管能力监测系统至少应具备在位监测和执行 DDT 能力监测。7.1.2 驾驶员在位监测ADS 在激活状态下，系统应通过以下其中一种方式进行驾驶员在位监测，并在满足下列条件时，ADS应按照 7.2 发出介入请求：a)驾驶员不在驾驶位超过 1 s；b)驾驶员未系安全带。7.1.3 驾驶员执行 DDT 能力监测7.1.3.1 驾驶员接管能力监测系统应至少通过 2 种不同的指标对驾驶员状态进行监测和判定。示例：指标如特定的人机交互动作、眼部状态、头部或身体运动等。7.1.3.2 驾驶员接管能力监测系统判定驾驶员是否具备执行 DDT 能力的任一指标周期应不超过 30 s。7.1.3

30、.3 当 ADS 处于激活状态，若驾驶员被判定为不具备执行 DDT 的能力时，驾驶员执行 DDT 能力监测系统应立即发出明确的接管能力不足提示信号，每次发出的能力不足提示信号应在满足以下任一条件时关闭：a)监测到驾驶员恢复接管能力；b)ADS 发出介入请求；c)ADS 执行 MRM；d)ADS 退出。7.1.3.4 接管能力不足提示信号应明显区别于车辆其他提示信号。7.1.3.5 接管能力不足提示信号发出 15 s 内，ADS 应按照 7.2 发出介入请求。示例：驾驶员执行 DDT 能力监测时序示例见图 1。DB4403/T 359.12023 9 图 1 驾驶员执行 DDT 能力监测时序示例

31、 注：图1中五角星标志表示驾驶员在该监测时刻，在该指标上被判断具有执行DDT能力。7.2 接管7.2.1 一般要求对于需要驾驶员执行接管的 ADS，应具备安全、可靠、有效的接管策略，并应能够检测驾驶员是否在执行接管操作。7.2.2 发出介入请求7.2.2.1 对于需要驾驶员执行接管的 ADS，应具备明确的介入请求触发条件，且 ADS 应能识别需要发出介入请求的所有情况，当不满足 8.1.2.1 中任一条件时，除本文件规定的特殊条款，ADS 应发出介入请求。7.2.2.2 介入请求的发出时机应保证驾驶员有足够的时间安全接管车辆，至少应满足以下要求：a)对于计划接管事件，ADS 应在适当的时刻发出

32、介入请求，以确保即使驾驶员未接管，最小风险策略仍能使车辆在计划接管事件发生前停止；b)对于非计划接管事件，ADS 应在检测到该事件时及时发出介入请求；c)对于影响 ADS 运行的失效，ADS 应在检测到该失效时立即发出介入请求。若该失效为 ADS 严重失效或车辆严重失效，则 ADS 可不发出介入请求，直接执行 MRM。7.2.3 介入请求阶段7.2.3.1 在介入请求发出过程中，ADS 应保持激活状态。7.2.3.2 在介入请求发出过程中，除企业声明的特殊情况下，ADS 不应使车辆静止。DB4403/T 359.12023 10 7.2.4 终止介入请求7.2.4.1 仅当 ADS 退出或执行

33、 MRM，才能终止介入请求。7.2.4.2 介入请求从发出到因执行 MRM 而终止的时间应至少保持 10 s，以确保驾驶员有充足的时间接管车辆。若无法保障驾驶员有充足的时间接管车辆，可立即执行 MRM。7.3 最小风险策略7.3.1 执行 MRM7.3.1.1 ADS 应有明确的执行 MRM 的条件，且 ADS 应能识别需要执行 MRM 的所有情况，至少应包括：a)对于需要驾驶员执行接管的 ADS，驾驶员未在企业声明的时间（不小于 10 s）内响应介入请求；b)对于不需要驾驶员执行接管的 ADS，当 ODC 即将不再满足，ADS 及时执行 MRM 并确保车辆在不满足 ODC 之前达到静止；当

34、ODC 已经不再满足，ADS 立即执行 MRM 并确保车辆达到静止。7.3.1.2 当 ADS 执行 MRM 时，ADS 应将用户和其他道路使用者的安全风险降至最低。注：在执行MRM期间，ADS可能不再有能力满足本文件第5和6章的要求，但其目标是使安全风险降至最低。7.3.1.3 当 ADS 执行 MRM 时，ADS 应开启并保持危险警告信号，在换道过程中应根据道路交通规定合理使用危险警告信号。7.3.1.4 除非 ADS 在执行 MRM 期间被退出，否则 MRM 应使车辆停止。7.3.2 终止 MRM7.3.2.1 仅当 ADS 退出或 ADS 使车辆停止后，才应终止 MRM。7.3.2.2

35、 当因车辆静止而终止 MRM 后，不应因 ADS 退出导致关闭危险警告信号。8 人机交互 8.1 激活和退出8.1.1 一般要求8.1.1.1 ADS 应配备供用户激活和退出 ADS 的专用操纵方式，该方式应防止用户可合理预见的误用。8.1.1.2 当 ADS 处于激活状态时，至少一种退出 ADS 的操纵方式对用户应总是可见的。8.1.1.3 车辆每次点火（上电）后（发动机自动启停除外），ADS 应处于未激活状态。注1：专用操纵方式如专用的操纵件或对操纵件的专用操纵方式等。注2：车辆每次点火不包括发动机自动启停。8.1.2 激活8.1.2.1 对于需要驾驶员执行接管的 ADS，仅当驾驶员执行激

36、活操作且满足以下所有条件时，ADS 才应被激活：a)驾驶员坐在驾驶位置上，且系好安全带；b)驾驶员具备执行 DDT 能力；c)ADS 通过自检确认，且不存在影响 ADS 运行的失效；d)DSSAD 处于工作状态；e)车辆未执行影响 ADS 运行的软件升级；f)企业声明的其他设计运行条件。DB4403/T 359.12023 11 8.1.2.2 对于不需要驾驶员执行接管的 ADS，仅当用户执行激活操作且满足以下所有条件时，ADS 才应被激活：a)ADS 通过自检确认，且不存在影响 ADS 运行的失效；b)DSSAD 处于工作状态；c)车辆未执行影响 ADS 运行的软件升级；d)企业声明的其他设

37、计运行条件。8.1.3 退出8.1.3.1 当用户通过专用操纵方式退出 ADS 时，ADS 应及时退出。仅当用户执行的退出操纵将产生碰撞风险时，系统可暂缓退出。8.1.3.2 除 8.1.3.1 外，至少满足如下任一条件时，ADS 才应退出：a)驾驶员按照 8.2.2 干预横向控制；b)驾驶员按照 8.2.3.1 干预纵向控制，且 ADS 确认驾驶员手握方向盘；c)在介入请求发出或执行 MRM 过程中，除 a)、b)外，ADS 确认驾驶员手握方向盘且驾驶员专注于DDT；d)终止 MRM。8.1.3.3 在发生车辆严重失效或 ADS 严重失效的情况下，ADS 可采用企业声明的其他安全退出策略。8

38、.1.3.4 ADS 的退出不应导致：a)任何应急辅助功能自动关闭；b)任何部分驾驶辅助功能或组合驾驶辅助功能自动激活。8.2 干预8.2.1 一般要求ADS 应具备安全、可靠、有效的干预策略，并应能检测驾驶员是否在执行干预操作。8.2.2 横向控制干预8.2.2.1 当驾驶员对转向控制的干预超过为防止误用而设计的合理阈值且确认驾驶员专注于 DDT 时，车辆应执行驾驶员输入的横向控制。8.2.2.2 ADS 应检测驾驶员是否专注于 DDT，8.2.2.1 中的阈值应与驾驶员专注于 DDT 的情况相关。8.2.3 纵向控制干预8.2.3.1 当驾驶员对制动控制的干预产生比 ADS 引起的减速度更

39、大，或通过任何制动系统使车辆保持静止时，车辆应执行驾驶员输入的制动控制。注：驾驶员对加速控制的输入也可能干预ADS的纵向控制。8.2.3.2 对于需要驾驶员执行接管的 ADS，当驾驶员对制动或加速控制的干预超过为防止误用而设计的合理阈值时，ADS 应发出介入请求。8.2.3.3 对于不需要驾驶员执行接管的 ADS，若车辆具备驾驶员可控制的制动或加速装置，当驾驶员对制动或加速控制的干预超过为防止误用而设计的合理阈值时，ADS 应执行合理的控制策略。8.2.4 干预抑制若驾驶员的干预将导致紧迫的碰撞风险，ADS 可根据企业声明的方式减弱或抑制驾驶员的干预对任何控制的影响。DB4403/T 359.

40、12023 12 8.2.5 其他干预策略8.2.5.1 在发生车辆严重失效或 ADS 严重失效的情况下，ADS 可采用企业声明的其他安全干预策略。8.2.5.2 若驾驶员操纵车辆其他干预装置，ADS 应对驾驶员进行提示，并按照企业声明的策略执行。注：其他干预装置如急停装置。8.3 系统状态提示8.3.1 一般要求ADS 应持续向用户提示明确、充分的 ADS 状态信息，不应对用户造成干扰。当 ADS 状态发生变化时，ADS 应及时向用户提供必要的提示信息。8.3.2 未就绪状态提示若由于 ADS 未就绪而导致用户激活系统失败，则应向用户直观地提示。8.3.3 就绪状态提示当 ADS 处于就绪状

41、态时，应至少通过光学信号向用户提示系统可被激活。8.3.4 激活状态提示8.3.4.1 ADS 由未激活状态进入激活状态时，应通过专用的光学信号向用户提示 ADS 已激活。8.3.4.2 ADS 处于激活状态时，应通过光学信号向用户进行持续提示。8.3.5 退出提示ADS 由激活状态退出至未激活状态时，应通过两种以上的方式向用户提示 ADS 已退出，至少包括光学信号。由于驾驶员接管导致 ADS 退出，可仅用光学信号提示。8.3.6 介入请求8.3.6.1 介入请求应至少包含光学和声学提示信号。8.3.6.2 介入请求的光学提示信号应直观和明确地提示驾驶员介入请求的响应方式，应至少包括手和方向盘

42、的信息，应至少包括表示手部和方向盘的基本构成要素。8.3.6.3 在介入请求发出过程中，介入请求应在发出 4 s 内升级并保持升级状态至介入请求结束，升级的介入请求应增加持续或间歇性的触觉提示。8.3.7 MRM 提示8.3.7.1 在 ADS 执行 MRM 过程中，应对用户给出明显提示，提示方式应至少包括光学信号，并附加声学或触觉信号。8.3.7.2 ADS 处于 MRC 时，应至少以光学、声学或触觉中的两种信号提示用户直至 ADS 退出。8.3.7.3 对于需要接管的 ADS，MRM 的提示信号应与介入请求不同。8.3.8 失效提示在 ADS 激活状态下，若检测到 ADS 失效，应对用户给

43、出明显提示，应至少包括光学提示信号。9 说明书 DB4403/T 359.12023 13 对于装备 ADS 的车辆，其产品说明书应包含以下说明：a)“本车具备 ADS”等内容的说明；b)ADS 允许被激活的设计运行条件的说明；c)激活 ADS 的方法及条件的说明；d)ADS 就绪状态提示信号的说明；e)ADS 激活状态提示信号的说明；f)ADS 是否需要接管的说明；g)若 ADS 需要接管，“本车 ADS 在特定条件下需要被驾驶员接管”等内容的说明；h)若 ADS 需要接管，介入请求的说明；i)若 ADS 需要接管，接管 ADS 的方法；j)驾驶员接管能力不足提示信号的说明；k)干预 ADS

44、 的方法及结果的说明；l)ADS 执行 MRM 的条件的说明；m)ADS 执行 MRM 期间的提示信号的说明；n)ADS 执行 MRM 的状态及结果的说明；o)退出 ADS 的方法及条件的说明；p)发生碰撞事故后，对用户的建议。DB4403/T 359.12023 14 附录A （规范性）适用于 ADS 的安全性的特殊要求 A.1 总则 A.1.1 本附录旨在确保企业在自动驾驶系统设计和开发过程中对功能安全和预期功能安全进行了充分的考虑，并贯穿整个车辆的生命周期过程（设计、开发、生产、在用、报废），以避免因自动驾驶系统故障、预期功能不足以及合理误用导致的对驾驶员、乘客和其他道路使用者造成不合理

45、的风险，确保自动驾驶系统的运行安全。A.1.2 本附录规定了自动驾驶系统在功能安全和预期功能安全方面的特殊要求。A.1.3 本附录不针对自动驾驶系统的标称性能，也不作为自动驾驶系统功能安全和预期功能安全开发的具体指导，而是规定自动驾驶系统设计、验证和确认过程中应遵循的方法和应具备的信息，作为满足功能安全和预期功能安全的依据。A.2 总体要求（安全管理体系）A.2.1 企业应建立覆盖车辆全生命周期（包含开发、生产、运行、服务、报废）的功能安全和预期功能安全流程，至少包含设计和开发流程、运行阶段安全相关事件监控流程,以及确保供应商满足相关的功能安全和预期功能安全流程。A.2.2 企业应具有相应的文

46、档以证明自动驾驶系统在声明的 ODC 内（包括边界）不会对驾驶员、乘客和其他道路使用者造成不合理的风险。A.3 系统描述A.3.1 系统功能描述A.3.1.1 企业应具有相应的文档，用来对自动驾驶系统的功能（包括其对应的驾驶控制策略）进行描述。A.3.1.2 企业应具有相应的文档，用来对系统设计运行条件以及在设计运行条件内执行动态驾驶任务所采取的方法进行描述。A.3.1.3 企业应具有相应的文档，用来对自动驾驶系统与驾驶员、乘员和其他道路使用者预期的交互以及人机界面进行描述，包括当达到系统运行边界时的人机交互和系统向驾驶员发出接管请求的各种情况。A.3.1.4 企业应具有相应的文档，用来对系统

47、激活、干预（包括干预的阈值，例如力矩、角度、持续时间）、最小风险策略和系统退出进行描述，包括如何防止非预期的系统退出策略。此外，如适用，还包括系统如何确认驾驶员状态的相关说明。示例：驾驶员状态为是否具备动态驾驶任务接管能力。A.3.1.5 企业应具有相应的文档，用来对感知系统的输入、输出，以及感知系统正常工作范围（包括应对传感器的衰退）以及感知系统对 ADS 行为的影响进行描述。A.3.1.6 企业应具有相应的文档，用来对决策系统的输出，以及对车辆运动控制的影响进行描述。A.3.1.7 如果包含连续学习算法，企业应具有相应的文档，用来对数据处理过程进行描述。A.3.2 系统布局和原理图DB44

48、03/T 359.12023 15 A.3.2.1 系统组件清单A.3.2.1.1 企业应具有组件清单，该清单应包含自动驾驶系统的所有单元，同时也应列出为实现相关自动驾驶功能所需的车辆其它系统。A.3.2.1.2 企业应具有自动驾驶系统布局及原理图，该图应能够清晰地展示组件分布和相互连接。A.3.2.1.3 布局及原理图应包括：a）感知系统（包含地图和定位系统）；b）决策系统；c）执行系统；d）由远程后台提供的远程监管或远程监控。注：执行系统自身的功能安全要求已在相关国标中有具体要求。A.3.2.2 单元功能企业应具有相应的文档，用来概述系统各单元的功能，并展示该单元与其它单元或车辆其它系统间

49、的连接。可使用带标记的框图或其它示意图说明。A.3.2.3 单元的识别A.3.2.3.1 企业应具有相应的文档，文档中应能清晰明确地识别每个单元并提供相应的说明。示例：单元为硬件单元、软件单元。A.3.2.3.2 企业应明确标识硬件和软件的版本。A.3.2.4 感知系统组件的安装说明企业应具有相应的文档，用来说明感知系统中单个组件的安装信息。安装信息应包括但不限于：a）部件在车辆上的位置；b）部件外表面的材料；c）部件外表面的尺寸和形状；d）部件外表面的光洁度；e）对 ADS 性能影响大的安装规范。A.4 功能安全要求A.4.1 危害分析和风险评估企业应根据系统控制下的车辆目标使用场景及目标用

50、户，在整车层面开展面向功能安全的危害分析和风险评估，并定义相应的汽车安全完整性等级(ASIL)和安全目标，符合 GB/T 34590.32022 第 6 章的要求。A.4.2 功能安全概念A.4.2.1 企业应至少在系统层面进行面向功能安全的安全概念活动，以保障系统在故障条件下，对驾驶员、乘客和其他道路使用者不存在不合理的风险。注：安全概念包括功能安全概念和技术安全概念。A.4.2.2 企业应进行安全分析活动，并制定对应的安全措施，以说明系统一旦发生失效该系统如何避免或减轻可能对驾驶员、乘客和其他道路使用者的安全产生影响的危害。安全分析至少包括：DB4403/T 359.12023 16 a）