歐盟 (EU) 于 2022 年 4 月初發布了針對配備自動駕駛系統 (ADS) 的車輛的立法草案。本專欄的重點是概述 ADS 合規性評估。

歐盟 ADS 立法草案有兩個主要部分：ADS 性能要求和 ADS 合規性評估。ADS 性能要求規定了自動駕駛汽車必須具備哪些能力才能在歐洲獲得型式認證。我之前的專欄概述了 ADS 性能要求 。

ADS 合規性評估指定了自動駕駛汽車 (AV) 在獲得型式批準之前將如何進行評估、審核和測試。

下表簡要概述了這兩個部分的不同之處。立法草案中的章節名稱列于表中——ADS 性能要求規范的附件 2 和 ADS 合規性評估規范的附件 3。

ADS 功能描述在立法草案中占 10 頁。ADS 合規性評估描述部分占 ADS 立法草案的 50 頁或比 ADS 性能要求大 5 倍。有趣的是，ADS 評估、評估和測試比 ADS 性能要求具有更多的復雜性和規范。

歐盟自動駕駛系統立法概覽（來源：Egil Juliussen）

ADS 性能要求摘要

ADS 要求使用五個交通場景來描述所需的功能。ADS 必須針對所有交通場景執行整個動態駕駛任務 (DDT)。

它還規定了要滿足的功能和操作安全條件。最小風險機動 (MRM) 對于避免碰撞和危險情況非常重要。

ADS 還必須具有內置的網絡安全和軟件管理系統。需要一個事件記錄器來跟蹤 ADS 的性能。作為型式認證申請的一部分，需要一份詳細的操作手冊。

ADS 合規性評估

上表包含有關 ADS 合規性評估的摘要信息。關鍵是評估將由型式批準組織進行。ADS 性能的任何要求都可以通過 ADS 合規性評估中規定的型式批準機構進行的測試來檢查。每輛具有 ADS 功能的車輛都必須通過這些測試才能在歐盟國家銷售。

合規性評估非常復雜，詳細描述了如何評估每個 ADS，如下表所示。該表包括立法草案中包含評估描述的部分。

有五個評估類別： 運營設計領域 (ODD) 情景；ADS系統設計和文檔；ADS 安全性的道路測試；ADS 建模和仿真 (M&S) 能力；和 ADS 生命周期內的安全性能。每個評估類別總結如下。然而，描述立法草案的許多評估細節是不可行的。對于此類信息，讀者必須自己分析ADS 立法草案。

歐盟 ADS 立法評估類別概覽（來源：Egil Juliussen）

ODD 情景評估

ODD 情景評估包括有關諸如變道、合并、轉彎、交叉交通和其他駕駛操作等操作的安全參數的詳細信息。評估涵蓋不同的駕駛環境，包括高速公路/高速公路、城鄉道路以及道路使用者的行為。

ADS 立法草案對上一列交通場景中包含的交通場景進行了廣泛的描述：正常、關鍵和故障應急操作。大部分討論是在道路 ADS 測試性能期間的預期行為。

下圖顯示了立法草案中包含的評估細節示例。

推導與 ADS 的 ODD 相關的情景應遵循的原則。（來源：歐盟 ADS 立法草案，第 21 頁。）

對于 ADS 的 ODD，可以使用基于數據和基于知識的方法來生成相應的交通場景。基于知識的方法利用專家知識系統地識別危險事件并創建場景。基于數據的方法利用可用數據來識別和分類發生的場景。

ADS 安全概念評估和審計

本節重點評估 ADS 安全概念和審核制造商安全管理體系。型式批準機構應通過有針對性的抽查和測試來驗證 ADS 性能要求是否已根據提交的文件實際實施。

這意味著 ADS 在其 ODD 中運行的方式不會在故障（功能安全）和非故障（操作安全）條件下對車輛乘員和其他道路使用者造成不合理的安全風險。

ADS 文件——制造商應提供文件，以提供對 ADS 設計和 ADS 直接控制的其他車輛系統的訪問權限，以及非車載硬件/軟件和遠程功能。文檔應簡短但提供證據證明設計和開發受益于所有涉及的 ADS 領域的專業知識。文檔部分討論了 ADS 軟件、硬件、人機界面 (HMI)、數據元素、算法、原理圖、功能操作等所有方面的一長串要求。列出了大約 80 個文檔項目。不要求提供專有數據的副本，但需要檢查此類信息。

驗證和測試——根據 ADS 文件，型式批準機構應要求進行測試，包括 ADS 功能操作和 ADS 安全概念驗證。型式批準機構應檢查對對象和事件檢測和響應以及 ADS 的決策和 HMI 功能至關重要的場景。驗證結果應與危害分析的書面總結相對應，以確認安全概念和執行符合法規要求。

安全管 應建立并記錄設計和開發過程，包括 SMS、需求管理、需求實施、測試、故障跟蹤、補救和發布。制造商還應確保負責功能/操作安全、網絡安全的制造商部門之間的有效溝通渠道，以及其他相關的車輛安全紀律。SMS 合規證書的有效期為三年，除非被撤銷。在適當的時候，制造商必須申請新的或延長現有的 SMS 合規證書。

安全概念報告規定——制造商對 ADS 安全概念的安全評估和安全管理體系審核的報告應以可追溯的方式進行。型式認可機構應根據制造商提供的文件出具安全評估結果，作為型式認可證書的附件。

ADS 通過-失敗測試

評估 ADS 安全性的通過/失敗標準應基于上一欄（立法草案中的附件 2）中描述的 ADS 能力要求。要求以這樣一種方式定義，即可以為一組特定的測試參數、所有與安全相關的參數組合和指定的操作范圍（例如，速度范圍、縱向和橫向加速度范圍、曲率半徑、亮度、車道數）。

測試地點應包括與 ADS 規定的 ODD 相對應的特性。測試必須安全地進行，并且不會對其他道路使用者造成任何風險。測試應在不同的環境條件下，在為 ADS 定義的 ODD 范圍內進行。

The subject vehicle shall be tested with any permissible vehicle load. No load alteration shall be made once the test procedure has begun. The manufacturer shall demonstrate, through the use of documentation, that the ADS works at all load conditions.

Type–approval testing may be carried out based on simulations, maneuvers on the test track, and driving tests on real road traffic. However, it may not be based solely on computer simulations.

A large variety of test scenarios will be done on a test track to assess the performance of the ADS — a list of 13 tests is included with many variations for some tests. The specified tests include lane keeping, lane changing, collision avoidance, emergency braking avoidance, following lead vehicle, lane cut–in by another vehicle, lane cut–out due to stationary vehicle in lane, parking, parking facility navigation, and specific motorway scenarios.

ADS M&S assessment

The key to this section is establishing a framework for credible assessment of developing and using virtual toolchains in ADS validation. The legislative draft lists five properties to achieve credibility of M&S:

Capability:What can the M&S do, and what risks are associated with it?

Accuracy:How well does M&S reproduce the target data?

Correctness:How sound and robust are M&S data and algorithms?

Usability:What training and experience is needed?

Fit for purpose:How suitable is the M&S for the ODD and ADS assessment?

At the same time, the credibility assessment framework must be general enough to be used for different M&S types and applications. It also defines the envelope of how a virtual tool can be used for assessing ADS safety and capabilities.

立法草案包括一個可信度評估框架。該框架提供了一種基于質量保證標準評估和報告 M&S 可信度的方法。下圖顯示了可信度評估框架組件之間關系的圖形表示。

可信度評估框架的組成部分之間的關系。（來源：ADS 立法草案，第 54 頁）

在這個數字之后，ADS 立法草案對 M&S 技術問題進行了超過六頁的討論，包括多個管理問題、數據輸入、數據質量、建模假設、模型驗證、代碼驗證、驗證和準確性。

最后一個 M&S 部分是對文檔結構的討論，其中有兩個項目很突出：

制造商應制作一份文件（“模擬手冊”），為所提出的主題提供證據。

該文件應在 M&S 使用的整個生命周期中得到維護。

本節包含對 M&S 技術的廣泛討論，在本專欄中涵蓋所有細節是不可行的。應該由該領域的專家研究。

ADS 壽命安全性能評估

本節重點介紹 ADS 生命周期部署期間的要求。本質上，這是制造商在發生意外 ADS 事件時的報告職責。有兩種類型的報告事件：非關鍵事件和關鍵事件。

危急事件是指 ADS 在與至少一個受傷需要醫療救助的人發生碰撞時接合的事件，或對 ADS 車輛、其他車輛或靜止物體造成超過一定閾值的物理損壞。制造商必須立即向型式批準機構、市場監督機構和歐盟委員會通報重大事件。

制造商應在一個月內報告必須由制造商補救的任何短期事件，如下表所述。下表是立法草案中表格的副本。

我對這張表有一個不同意見：網絡安全漏洞太重要了，應該在一個月內而不是一年內報告。

短期事件示例制造商必須在一個月內向歐盟委員會報告。（來源：Egil Juliussen）

ADS 合規性評估摘要

ADS 合規性評估部分詳細說明了型式批準組織將如何評估 ADS 能力并評估其是否符合歐盟法規。

第一項任務是評估 ODD 道路場景，包括城市、農村和高速公路。ODD 評估包括常見的操作，例如變道、并道、逆行、交叉路口和其他駕駛任務。

第二部分是 ADS 安全概念的審核和評估，包括制造商提供的所有 ADS 文件。制造商的安全管理體系也經過審核。

第三個要素是對將要進行的駕駛考試的描述。這些是通過或失敗測試，用于評估 ADS 在各種駕駛情況下的安全性。

第四個評估是查看制造商已執行的 M&S 和 M&S 系統的功能。本節內容非常全面，為獲得成功的型式批準提供了廣泛的技術建議。

最后的合規性評估是在部署后跟蹤 ADS 的性能。它包括必須跟蹤和向型式批準組織報告的信息，以保留車輛的型式批準。

ADS 合規性評估非常出色且非常完整。我沒有看到任何接近這個 ADS 立法草案的質量和完整性的東西。各個 AV 領域的專家肯定會找到改進的主題，但這是一個可靠的建議。

有什么影響？

歐盟 ADS 立法草案解決了包括個人 AV 在內的所有AV 用例，并使其成為一項雄心勃勃且影響深遠的監管提案。它指定了汽車 OEM 和服務提供商的 ADS 要求和性能，但沒有指定使用什么技術。ADS 的 ODD 將決定 AV 用例。

對如何執行 ADS 評估的描述非常完整，可能會讓一些 AV 工程師和高管度過許多不眠之夜。從我的角度來看，M&S 部分特別令人印象深刻，并且可能會影響 AV 行業如何全面使用仿真和建模來設計、開發、測試和部署 ADS 車輛。

與歐盟不同，美國不使用型式批準程序來確定車輛是否可以出售。相反，每個汽車 OEM 都會自行證明車輛型號已準備好安全使用和銷售。因此，型式批準程序對在美國銷售的車輛的直接影響有限，但間接影響將是巨大的，因為美國原始設備制造商將參與歐洲 ADS 細分市場并需要型式批準。

也許引入自動駕駛汽車是在美國使用型式批準程序的時候了。對于原始設備制造商來說，這將是一個非常不受歡迎的決定，他們可能會發起一場大斗爭來阻止它。也許這是一個需要大量討論的問題，并且可能是未來的話題。


審核編輯 黃昊宇