上海市无驾驶（安全）员智能网联汽车测试技术方案.pdfVIP

e连百无智级（z全）用智能网媒伤多测弑拉木方拿

为了进一步贯彻落实《上海市东新区促进无驾驶人智能网联汽车创新

应用规定》，促进尢驾驶（安全）员智能网联汽车测试与示范活动的安全有

序开展，充分保障道路交通安全，为支撑创新应用实施细则的有关规定，结

合本市实际和相关技术发展现状，特制定本技术方案。

一、总体要求

（一）适用范围

本方案规定了在上海经过有驾驶（安全）员自动驾驶测试后，申请开展

无驾驶（安全）员自动驾驶功能测试的智能网联汽车应满足的总体要求、失

效识别与安全响应要求、最小风险策略要求、人机交互要求及试验方法。

本方案适用于搭载高度自动驾驶功能的M类、N类汽车，其他类型车辆

可参照执行。

（二）行驶安全要求

1.自动驾驶系统应具备明确的设计运行条件。

2.自动驾驶系统应能持续识别设计运行条件是否满足。

3.自动驾驶系统可识别并实现应急指令的执行，识别内容包括道路交通

指挥的交警手势、车辆接收交警指令或者紧急接管人员接收交警指令等。

4.自动驾驶系统应以合理的控制策略应对探测到但无法识别类型的目标

物。

5.自动驾驶系统应以合理的控制策略应对无法探测区域内存在的安全风

险。

6.自动驾驶系统应仅允许在其设计运行条，牛下被激活，并具备明确的功

能激活和退出策略。

7.自动驾驶系统应持续自检，以检测自动驾驶系统失效并确认系统性能

可执行全部动态驾驶任务。

8.自动驾驶系统应合理控制包括转向信号灯、危险警告信号、制动灯在

内的车辆照明和光信号装置。

9.自动驾驶系统在激活状态下，应与其他交通参与者进行有效的信息交

互。

10.自动驾驶系统应及时响应紧急接管人员的有效操作。

11.自动驾驶系统在激活状态下，当设计运行条件即将不满足或已经不满

足时，应执行合理的策略，且至少应具备最小风险策略，并详细描述最小风

险策略的模式及工作方式。

12.自动驾驶系统在激活状态下，当碰撞事故不可避免时，应采取合理策

略降低事故伤害或损失。

13.自动驾驶系统在激活状态下，当自动驾驶系统检测到车辆发生碰犍事

故后，除车辆制造商声明的情况外，应使车辆静止，且至少应通过车辆制造

商声明的方式进行安全检测，才允许再被激活。

（三）功能安全要求

1.应根据自动驾驶系统控制下的车辆目标使用场景及目标用户，在整车

层面开展面向功能安全的危害分析和风险评估，并定义相应的汽车安全完整

性等级和安全目标。

2.应至少在系统层面进行面向功能安全的安全概念活动，以保障系统在

故障条件下，对乘客和其他道路使用者不存在不合理的风险。

3.应进行安全分析活动。安全分析至少包括：

（1）整车层面的安全分析，可采用危害分析和风险评估方法、潜在失效

模式与影响分析、故障树分析或适合整车安全分析的其它类似方法；

2（）系统层面的安全分析，可采用潜在失效模式与影响分析、故障树分

析、系统理论过程分析或任何适合系统安全分析的其他类似过程；

3（）应至少考虑感知系统故障、决策系统故障、执行系统故障、供电系

统故障等因素可能导致的危害以开展安全分析。

4.应进行安全措施制订和实施，且确保为实现安全目标而选择的安全措

施不会在故障条件、非故障条件下影响车辆的安全运行，保证安全概念的有

效实现。自动驾驶系统可采取如下安全策略：

(1)使用部分系统维持运行。在某些故障条件下维持系统部分性能的运

行模式，应说明这些故障条件并确定其效果；

(2)切换到独立的备用系统。如选择备用系统实现动态驾驶任务，应对

切换机制的原理、冗余的逻辑和层级、备用系统的状态检查机制进行说明并

界定备用系统的效果；

(3)通过紧急接管人员的操作，将风险暴露时间降低到一个可接受的时

间区间内；

(4)执行最小风险策略或采取车辆制造商声明的其他失效应对策略，使

车辆进入安全状态。

5.应从整车层面和系统层面对影响