聯合國《自動車道保持系統（ALKS）》法規

2021-03-11 09:16:19 來源：北京市高級別自動駕駛示范區評論：人

分享到：

聯合國《自動車道保持系統(ALKS)》法規是針對L3級車輛自動化的第一個具有約束力的國際法規。2020年6月24日，聯合國歐洲經濟委員會(UNECE)車輛法規協調世界論壇上通過了該法規，并于2021年1月起實施。該法規以聯合國《自動駕駛框架文件》為指導，將安全作為戰略核心，從系統安全、故障安全響應、人機界面(HMI)、自動駕駛數據存儲系統(DSSAD)、信息安全及軟件升級等方面對ALKS提出嚴格要求。其中,“系統安全”要求系統激活后可執行全部動態駕駛任務；“故障安全響應”要求系統具備駕駛權轉換、碰撞應急策略和最小風險策略；“人機界面”規定系統的激活和退出條件，并明確系統的應提示信息及形式；“DSSAD”要求應記錄系統的駕駛狀態；“信息安全和軟件升級”要求系統應滿足“信息安全法規”和“軟件升級法規”。我們將分兩期發布，聯合國《自動車道保持系統（ALKS）》法規（上）包括了該法規的全文；聯合國《自動車道保持系統（ALKS）》法規（下）包括了法規的通知、認證標識協議、特殊要求和ALKS測試標準細則。

聯合國關于自動車道保持系統(ALKS)車輛認證統一規定

目錄：

法規

引言

1. 范圍和目的

2. 定義

3. 認證申請

4. 審批

5. 系統安全和故障安全響應

6. 人機界面/操作員信息

7. 目標和事件檢測與響應

8. 自動駕駛數據存儲系統

9. 網絡安全和軟件更新

10. 車輛改型與延長認證時間

11. 生產一致性

12. 不符合生產一致性的處罰

13. 完全停產

14. 負責進行認證測試的技術服務部門和型號認證機構的名稱和地址

附件

1. 通知

2. 認證標識協議

3. 預留

4. 適用于電控系統和審查安全方面的特殊要求

5. ALKS測試標準

法規

聯合國關于自動車道保持系統車輛認證統一規定的新法規提案

聯合國智能網聯汽車工作組提交*

以下轉載的文字是根據經已修訂的《關于自動駕駛汽車安全性的框架文件》（ECE/TRANS/WP.29/2019/34）編制的。基于GRVA-06-19第一版，聯合國智能網聯汽車工作組在其第六次會議上通過了該文件，詳見ECE/TRANS/WP.29/GRVA/6第13節。本文將提交給聯合國世界車輛法規協調論壇（WP.29）及其《1958年協定書》管理委員會（AC.1），供其在2020年6月舉行的會議上審議和表決。

注：本文指的是三項聯合國新法規，在起草時尚不知新法規的編號。在本文中，聯合國第15X號法規（UN Regulation No.15X）指的是聯合國自動車道保持系統新法規，聯合國第15Y號法規（UN Regulation No.15Y）指的是聯合國軟件更新和軟件更新管理系統新法規，聯合國第15Z號法規（UN Regulation No.15Z）指的是聯合國網絡安全和網絡安全管理系統新法規。一旦獲悉編碼后，將插入這些編碼。

* 根據2020年擬議方案預算（A/74/6（第五部分第20節）第20.37章）中概述的2020年聯合國內陸運輸委員會的工作方案，世界論壇將制定、協調和更新聯合國新法規，提升車輛性能。本文件是按照該任務規定提交的。

引言

該法規旨在制定有關自動車道保持系統(ALKS)車輛認證的統一規定。

ALKS無需駕駛員其它命令，即可長時間控制車輛的橫向運動和縱向運動。ALKS是一種激活后可主控車輛的系統。

本法規是交通中自動駕駛系統（定義見ECE/TRANS/ WP.29/1140）監管的第一步，因此提供創新條款，解決與系統安全性評估相關的復雜性。本法規包含適用于型號認證的管理規定、技術要求、審核和報告規定以及測試規定。

在某些道路條件下，包括禁止行人和騎車人，以及道路設有物理隔離設施劃分交通流方向防止車輛橫穿行駛，ALKS會激活。首先，本法規的原文本規定乘用車（M1類車輛）行駛最大限速為60 km/h。

本法規包括有關系統安全和故障安全響應的一般要求。ALKS激活后，應代替駕駛員執行駕駛任務，即應對包括故障在內的所有情況，并不得危害車輛乘員或任何其他道路使用者的安全。但駕駛員始終能隨時接管系統。

本法規還規定如何將ALKS駕駛任務安全地移交給駕駛員的要求，包括在駕駛員未能及時反應的情況下，系統能停止運行。

最后，本法規涉及對人機界面(HMI)的要求，以防駕駛員誤解或濫用。例如，要求在ALKS激活時，車載顯示器顯示的駕駛以外的其他活動，應在ALKS發出接管要求后立即自動暫停。

在起草本文件時，全球道路交通安全論壇（WP.1）正在討論，締約方如何使這些措施不影響駕駛員使用系統的行為規則（可閱讀WP.1第七十八屆會議第1期非正式文件修訂本第4版）。

范圍和目的

1.1 本法規適用于有關自動車道保持系統M11類車輛的型號認證。

定義

本法規宗旨

2.1 “自動行車道保持系統（ALKS）”是在低速行駛下由駕駛員激活的系統，通過控制車輛的橫向運動和縱向運動，延長行駛時間，無需駕駛員進一步介入，將車輛保持在車道內，行駛速度不超過60km/h。

在本法規中，ALKS也稱為“系統”。

2.1.1“關于自動車道保持系統（ALKS）的車輛類型”是指在以下關鍵方面無區別的一類車輛：

① 嚴重影響ALKS性能的車輛功能；

② ALKS系統特點和設計。

2.2 “接管請求”是將動態駕駛任務（DDT）從系統（自動控制）轉移到人工駕駛（手動控制）的邏輯和直覺的過程。接管請求由系統發送給人類駕駛員。

2.3 “接管過程”是指接管請求持續的時間。

2.4 “計劃事件”是指事先了解的情況，例如，系統激活時的行程點（如高速公路出口），在到達該行程點之前，系統會請求駕駛員接管車輛。

2.5 “意外事件”是指事先未知但假設很有可能發生的情況，例如，出現道路施工、惡劣天氣、緊急車輛接近、車道標線缺失、卡車負載掉落（碰撞）等情況時，系統會請求駕駛員接管車輛。

2.6 “緊急碰撞風險”是指導致車輛與其他道路使用者或障礙物相撞的情況或事件，碰撞風險無法通過低于5 m/s2的制動指令來避免。

2.7 “最低風險控制（MRM）”是指將交通風險降至最低的控制過程。在駕駛員沒有響應接管請求后，或在ALKS或車輛出現嚴重故障的情況下，由系統自動執行該過程。

2.8 “緊急控制（EM）”是指在車輛面臨緊急碰撞風險的情況下，由系統執行的控制過程，其目的是避免或減輕碰撞。

2.9 速度

2.9.1“額定最大速度”是指制造商聲明系統在最佳條件下運行時所達到的速度。

2.9.2 “最大運行速度”是指當前環境和傳感器條件下，系統可以選擇達到的最大運行速度，是系統可能處于激活狀態時最大的車速，應由傳感系統能力以及環境條件確定。

¹根據《汽車結構的強化標準(R.E.3.)》定義，文件ECE/TRANS/WP.29/78第6版第2節，地址：www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29resolutions.html。

2.9.3 “當前速度”或“速度”是指系統根據交通情況而選擇的當前速度。

2.10 傳感系統的“檢測范圍”是指系統能可靠地識別目標并生成控制信號的距離，其中要考慮車輛生命周期中，因使用所導致的傳感系統部件的磨損情況。

2.11 故障

2.11.1“ALKS故障”是指ALKS在運行時出現的任何單個特定故障（例如，單個傳感器故障、車輛行駛路徑所需計算數據的丟失）。

2.11.2“故障模式”是指系統出現運行故障時系統的運行狀態。

2.11.3“ALKS嚴重故障”是指ALKS在故障模式下，而電子控制單元等重要部件發生故障(概率極低)時，出現的會影響系統安全運行的特定故障。單個傳感器故障僅在有其他影響系統安全運行的因素時，才被視為此類故障。

2.11.4“車輛嚴重故障”是指影響ALKS執行動態駕駛任務(DDT)能力并且還會影響車輛手動操作（例如，斷電、制動系統故障、輪胎突然失壓）的任何車輛故障（例如，電氣、機械故障）。

2.12 “自檢”是指可連續檢查任何系統故障和傳感系統探測范圍的綜合功能。

2.13 駕駛員的“系統超控”是指當系統仍處于激活狀態時，駕駛員向控制器發出控制指令并優先于ALKS系統的縱向或橫向控制。

2.14 “動態駕駛任務（DDT）”是指控制和執行車輛所有縱向運動和橫向運動。

2.15 “自動駕駛數據存儲系統（DSSAD）”是指一種可以確定ALKS和人類駕駛員交互的系統。

2.16 “系統使用壽命”是指ALKS系統作為車輛功能可工作的時間段。

2.17 “事件”是指根據第8節DSSAD內容，需要存儲在數據存儲系統中發生的事件或事件的行為/實例。

2.18 “R15X軟件識別號（R15X SWIN）”是指由車輛制造商定義的專用標識符，代表與電子控制系統型號認證相關軟件有關的信息，有助于聯合國No.15X法規（UN Regulation No.15X）車輛特征相關的型號認證。

2.19 “電子控制系統”是指通過電子數據處理，來配合生產規定的自動車道保持系統的單元組合。此類系統通常由軟件控制，由分立功能組件（例如，傳感器、電子控制單元和執行器）組成，并通過傳輸鏈路進行連接，可以包括機械、電氣動或電液壓元件。

2.20 “軟件”是指電控系統中由數字數據和指令組成的部分。

認證申請

3.1 ALKS車輛類型認證申請應由車輛制造商或制造商的授權代表提交。

3.2 申請需隨附一式三份的下述文件：

3.2.1根據第2.1.1節中提到的項目，描述車輛類型。提供附件1所需的文件包，其中包括ALKS的基本設計、與其他車輛系統連接的方式或直接控制輸出變量的方法。應當規定表示車輛類型的數字和/或符號。

3.3 待審批車輛類型的代表車型應送至技術服務部門進行審批測試。

審批

4.1 如果根據本法規提交的車輛類型符合以下第5至9節的要求，則應批準其申請。

如果

4.2 每種已批準的車輛類型都應配有認證編號；其前兩位數字應表示修訂系列（原始版本中，目前00對應00修訂系列），其中包含發布批件時對該法規進行的最新重大技術修訂。同一締約方不得將相同的編號分配給另一車輛類型。

4.3 根據本法規做出的批準、拒絕或撤回的通知應傳達給適用本法規的各締約方。通知形式應為：符合附件1中的表格模板，申請人提供的文件版式不超過A4（210 x 297毫米），或將文件折疊成該版式，并提供具有適當的縮放比例或電子版。

4.4 在本法規批準的車輛類型中，均應在每輛車的審批表格上顯而易見的指定地方粘貼符合附件2中所述車型的國際認證標識，包括：

4.4.1 中間含字母“ E”的圓圈，其后注明批準的國別編號；

4.4.2 本法規的編號，后跟字母“ R”，破折號，及在以上第4.4.1節規定的“中間含字母‘E’的圓圈”右側標明批準編號。

4.5 如果某國根據本協議附件中一項或多項法規批準了某一車輛類型，則無需重復使用第4.4.1節中規定的符號。在這種情況下，法規編號、批準編號、附加標識應置于第4.4.1節所規定的符號右側的垂直欄中。

4.6 批準標志應清晰易讀且不可磨損。

2 1958年協定締約方的編號刊登在附件3和《汽車結構的強化標準（R.E.3）》中，文件ECE/ TRANS / WP.29 / 78 / Rev.6- www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29resolutions.html

4.7 批準標志應放置在車牌附近或上方。

系統安全和故障安全響應

5.1 總體要求

根據附件4的評估要求（尤其對于未按附件5測試的情況）和附件5中的相關測試，制造商應在檢查安全方法期間向技術服務部門說明本款規定的執行情況。

5.1.1 被激活的系統應執行動態駕駛任務(DDT)，對故障在內的所有情況進行管理，并且對車輛乘員或任何其他道路使用者不構成不合理的風險。

被激活的系統不得造成任何可以合理預見和避免的碰撞。如果可以安全避免發生碰撞而又不引起其他碰撞，則應避免此類碰撞。檢測到可能發生的碰撞時，應將車輛停下來。

5.1.2 被激活系統應遵守所在運營國家有關動態駕駛任務(DDT)的交通規則。

5.1.3 被激活系統應操控系統支持駕駛員隨時恢復手動控制（例如除霧、擋風雨刮和照明）。

5.1.4切換駕駛模式時，不應危害車輛乘員或其他道路使用者的安全。

5.1.5 切換駕駛模式過程中，如果駕駛員未能恢復對動態駕駛任務(DDT)的控制，則系統應執行最低風險策略。在最低風險控制期間，系統應將車輛乘員和其他道路使用者的安全風險降至最低。

5.1.6 系統應進行自檢，隨時檢測故障并確認系統性能（例如，在車輛啟動后，系統根據第7.1節規定的檢測范圍或更遠范圍至少進行一次物體檢測）。

5.1.7 系統的有效性不應受到磁場或電場的不利影響。應當遵守05或以后的聯合國第10號法規的系列修訂。

5.1.8 制造商應采取措施防止駕駛員在合理預見的范圍內濫用和篡改系統。

5.1.9 當系統不再符合本法規的要求時，將無法激活。

制造商應明確執行對生命周期內ALKS系統的安全性和持續合規性進行管理。

5.2 動態駕駛任務

5.2.1 被激活系統應將車輛保持在行駛車道內，并確保車輛不越過任何車道線（前輪胎的外邊緣至車道線的外邊緣）。該系統應總是使車輛在行車道內保持穩定的橫向位置，以免對其他道路使用者造成困擾。

5.2.2 按照第7.1.2節的規定，被激活系統應檢測到附近其他的行駛車輛，并在必要時改變車道內本車速度和/或橫向位置。

5.2.3 被激活的系統應控制車輛速度。

5.2.3.1 系統允許的最大行駛速度為60 km/h。

5.2.3.2 被激活系統應使車輛速度適應基礎設施和環境條件（例如，彎道半徑，惡劣天氣）。

5.2.3.3 被激活的系統應按照第7.1.1節的規定，應檢測到本車與前方車輛之間的距離，并改變車速避免碰撞。

當ALKS車輛非靜止狀態時，系統應改變速度，調整本車與同一車道前方車輛的距離，使其等于或大于最小跟車距離。

如果由于其他道路使用者（例如，車輛切入使前車減速等）而暫時無法遵守最小時間間隔，則本車應利用下一個機會重新調整最小跟車距離，除非緊急情況，無需任何緊急制動。

最小跟車距離應使用以下公式計算：

dmin = VALKS* tfront

其中：

dmin = 最小跟車距離

VALKS = ALKS車輛的當前速度，以m / s為單位

tfront = ALKS車輛與前方先行車輛之間的最小時間間隔（以秒為單位），如下表所示：

對于表中未提及的速度值，應采用線性插值。

盡管上述公式的結果適用于當前速度低于2 m / s的情況，但最小跟車距離不得小于2 m。

5.2.4 被激活系統應使本車完全停在靜止車輛、靜止的道路使用者或受阻的行車道的后面，以免發生碰撞。應確保達到系統的最大運行速度。

5.2.5由于前方車輛減速、切入車輛或障礙物突然出現，被激活的系統應檢測到碰撞風險（尤其是本車與前方或旁側其他道路使用者之間的碰撞風險），并應自動執行適當的操作以最大程度降低對車輛乘員和其他道路使用者的安全風險。

對于第5.2.4、5.2.5節或其子項未指定的情況，至少應確保有一位稱職又細心的駕駛員能夠將風險最小化。應根據附件4評估，并以附件4的附錄3為指導。

5.2.5.1 被激活系統應避免與減速至最大制動性能的前車發生碰撞，但前提是：由于前車的機動性降低，ALKS車輛無需在當前速度下縮小與前車間的最小跟車距離。

5.2.5.2 被激活系統應避免與切入車輛發生碰撞

（a）如果切入車輛保持其縱向速度，且低于ALKS車輛的縱向速度

（b）在到達TTCLaneIntrusion的參考點之前，至少有0.72秒的時間可以看到切入車輛的橫向移動

（c）本車的前部和切入車輛的后部之間的距離通過以下公式計算：

??????????????????tru????????> ????????/(2?6m/s2) + 0.35??

其中：

Vrel =兩輛車之間的相對速度，正值表示本車比切入車輛快

TTCLaneIntrusion = TTC值（離車道線最近的切入車輛前輪胎外側越過本車所在的車道線外側邊緣0.3 m，且切入車輛正朝該車道線偏移）

5.2.5.3 被激活的系統應避免與車輛前方暢通無阻的行人發生碰撞。

當暢通無阻的行人以不超過5 km / h的橫向速度經過車輛，且預期的碰撞點偏離車輛縱向中心平面不超過0.2 m時，被激活的ALKS應避免碰撞,達到系統的最大運行速度。

5.2.5.4除上述之外的其他情況下，可能無法完全滿足第5.2.5節的要求。但是，在其他情況下，系統不得關閉或不合理地改變控制策略。必須按照本法規的附件4執行。

5.3 緊急操作(EM)

根據附件4的評估要求和附件5中的相關測試，制造商應在安全方法檢查期間向技術服務部門說明本款規定的履行情況。

5.3.1 萬一有碰撞危險，應進行緊急操作。

5.3.1.1 當需要以大于系統5.0m /s2的速度縱向減速時，應考慮進行緊急操作。

5.3.2 如果需要的話，緊急行動應使車輛減速至最大制動性能；并且/或者在適當的情況下可以進行自動避讓操作。

如果故障影響系統的制動或轉向性能，則應在進行操作，確保后續順暢運行。

在避讓操作期間，ALKS車輛不得越過車道線（前輪胎的外邊緣至車道線的外邊緣）。

在避讓操作后，車輛應恢復到穩定位置。

5.3.3 除非即將發生的碰撞危險消失或駕駛員關閉系統，否則不得終止緊急操作。

5.3.3.1 緊急操作終止后，系統應繼續運行。

5.3.3.2 如果緊急操作導致車輛處于靜止狀態，則應發出打開危險警告燈的信號。如果車輛再次自動駛離，則應自動發出關閉危險警告燈的信號。

5.3.4 車輛應按照聯合國法規第13-H號的規定發出表示緊急制動的邏輯信號。

5.4 駕駛模式切換時的要求和系統運行

根據附件4的評估要求（尤其對于未按附件5測試的情況）和附件5中的相關測試，制造商應在安全方法檢查期間向技術服務部門說明本款規定的履行情況。

5.4.1 被激活系統應識別出需要將控制權交還給駕駛員的所有情況。

車輛制造商應說明需要將車輛控制權交還給駕駛員的情況，并按附件4的要求寫在文件包中。

5.4.2 發起駕駛模式切換要求時，應確保有足夠的時間安全地切換到手動駕駛。

5.4.2.1 如果計劃事件將阻止ALKS繼續運行，則應盡早要求切換駕駛模式，以確保最低風險策略，以防駕駛員無法恢復控制，并在計劃事件發生前停車。

5.4.2.2 如果發生計劃外事件，應立即要求切換駕駛模式。

5.4.2.3系統應在檢測到影響系統運行的故障后立即要求切換駕駛模式。

5.4.3 在駕駛模式切換時，系統應繼續運行。系統可能會降低車輛的速度以確保其安全運行，但除非情況需要（例如，其他車輛或障礙物阻礙本車的行駛路徑）或根據第6.4.1節規定由觸覺警告引起的時速低于20 km / h時，否則系統不得使車停下。

5.4.3.1 一旦處于靜止狀態，車輛可能會保持這種狀態，并應在5秒內發出打開危險警告燈的信號。

5.4.3.2 在駕駛模式切換時，切換要求應最晚在發出后的4秒內升級。

5.4.4切換要求僅在系統被停用或最低風險策略開始后才可終止。

5.4.4.1 如果駕駛員沒有停用系統、切換駕駛模式（如第6.2.4段或第6.2.5段所述），則應在切換要求發出后的10秒內啟動最低風險策略。

5.4.4.1.1 盡管第5.4.4.1節另有規定，但發生嚴重的ALKS或車輛故障時，可以立即啟動最低風險策略。

在發生嚴重的ALKS或車輛故障的情況下，ALKS可能不再能夠滿足本法規的要求，但它應使控制權安全地交回駕駛員。

5.4.4.1.2對于導致ALKS立即啟動最低風險策略（MRM）的嚴重車輛和ALKS故障，制造商應說明這些故障的類型。

5.5 最低風險策略（MRM）

5.5.1 在最低風險策略執行期間，車輛應在車道內放慢速度，如果看不到車道線，則要在顧及周圍的交通和道路基礎設施的情況下，保持在適當的軌跡上，減速要求不可超過4.0 m/s2。

在很短的持續時間內（例如，發出引起駕駛員注意的觸覺警告時，或者嚴重的ALKS或車輛故障發生時），允許更高的減速要求值。

此外，應在最低風險策略啟動時，發出打開危險警告燈的信號。

5.5.2 除非駕駛員停用了系統，否則最低風險策略應使車輛停下。

5.5.4 最低風險策略僅在系統停用或系統使車輛停下后才終止。

5.5.5 任何最低風險策略結束時，均應停用系統。

除非手動禁用，否則危險警告燈應常亮，并且在沒有手動輸入的情況下，車輛在停下后不得駛離。

5.5.6 只有在發動機初啟動/開始新一輪運行周期之后，才能在最低風險策略結束后重新激活系統。

人機界面/操作員信息

6.1 駕駛員可用性識別系統

根據附件4的評估要求和附件5中的相關測試，制造商應在安全方法檢查期間向技術服務部門說明本款規定的履行情況。

6.1.1 系統應包括駕駛員可用性識別系統。

駕駛員可用性識別系統應檢測駕駛員是否處于駕駛位置，駕駛員的安全帶是否系緊以及駕駛員是否有能力接管駕駛任務。

6.1.2 駕駛員在場

如果滿足以下任何條件，應根據第5.4節提出切換駕駛模式的要求：

（a）檢測到駕駛員未坐在座位上的時間超過一秒鐘；

（b）駕駛員解開安全帶。

根據UN-R16，可以用安全帶提醒裝置的第二級警告代替駕駛模式切換裝置的聲音警告。

6.1.3 駕駛員可用性

通過監控駕駛員，系統應檢測駕駛員是否能夠在適當的駕駛位置響應駕駛模式切換要求。

制造商應向技術服務部門證明車輛能檢測駕駛員是否可以接管駕駛任務。

6.1.3.1 駕駛員可用性評判標準

除非至少滿足兩個可用性標準（例如，駕駛員專用車輛控制裝置的輸入，眨眼，閉眼，有意識的頭部或身體移動）分別確定駕駛員在最近30秒鐘內可用，否則應將視駕駛員不可用。

在任何時候，系統都可能認為駕駛員不可用。

一旦認為駕駛員不可用，或者被監控到的可用性標準少于兩個，則系統應立即發出明確警告，直到檢測到駕駛員做出適當動作或發起駕駛模式切換要求。根據第5.4節，駕駛模式切換要求應最遲在警告發出15秒后發起。

制造商應通過書面證據合理解釋可用性標準的數量和組合，特別是相應時間間隔。但是，任何可用性標準所需的時間間隔不得超過30秒。制造商應對此進行說明，并由技術服務部門根據附件4進行評估。

6.1.4 激活ALKS后，以下情況一旦發生（以先發生的為準），車載顯示器提供的“除駕駛以外的其他活動”應自動暫停

（i）系統發出駕駛模式切換要求

（ii）系統停用后

6.2系統激活、停用和駕駛員輸入

根據附件4的評估要求和附件5中的相關測試，制造商應在安全方法檢查期間向技術服務部門說明本款規定的履行情況。

6.2.1 車輛應配備專用裝置，以使駕駛員激活（激活模式）和停用（關閉模式）系統。當激活ALKS時，停用ALKS的裝置應對駕駛員永久可見。

6.2.2每當發動機啟動/開始新一輪運行周期時，系統的默認狀態應為關閉模式。

當發動機自動啟動/開始新一輪運行周期時，此要求并不適用，例如，啟停系統的操作。

6.2.3 只有在駕駛員有意采取措施、且滿足以下所有條件時，系統才能激活：

（a）駕駛員在駕駛員座椅上，并且駕駛員的安全帶已按照第6.1.1和6.1.2節的規定系緊。

（b）根據第6.1.3節，駕駛員可接管對動態駕駛任務(DDT)的控制；

（c）不存在影響安全運行或ALKS功能的故障；

（d）DSSAD正運行；

（e）環境和基礎設施條件允許系統運行；

（f）系統自檢的確認；

（g）車輛在禁止行人和騎行者的道路上，并且該道路設計有區分反方向交通的實體隔離帶。

如果沒有滿足以上條件中的任何一個，則系統應立即發起駕駛模式切換要求，除非本法規另有規定。

6.2.4 如第6.2.1段所述，駕駛員可以用與激活系統相同的方式，有意識地手動停用系統（關閉模式）。

停用系統的方式應有保護機制，防止意外的手動停用，例如，要求超過一定時間閾值的單次輸入，或雙擊，或兩次獨立但同時的輸入。

此外，應通過以下方法確保系統停用時駕駛員對車輛保持橫向控制：例如，通過方向盤停用系統，或確認駕駛員正握緊方向盤。

6.2.5 第6.2.4節外，除以下第6.2.5.1至6.2.5.4節所述的情況，不得通過任何駕駛員輸入來停用系統。

6.2.5.1 通過對駕駛控制器的輸入停用系統

當滿足以下條件至少一項時，應停用系統：

（a）駕駛員握緊方向盤控制轉向的同時超控系統，并且該控制不受抑制，如第6.3節所述；

（b）駕駛員握緊方向盤，并通過制動或加速來超控系統，如以下第6.3.1節所述。

6.2.5.2 正發出駕駛模式切換要求或正執行最低風險策略期間停用系統

如果駕駛模式切換要求正在發出或最低風險策略正在執行，應停用系統：

（a）如第6.2.5.1節所述。

（b）一旦檢測到駕駛員響應駕駛模式切換要求或最低風險策略掌握了方向盤，并且系統確認駕駛員如第6.3.1.1節中規定的那樣集中注意力。

6.2.5.3 緊急操作期間停用系統

正在進行緊急操作的情況下，系統的停用可能會延遲，直到緊急碰撞風險消失為止。

6.2.5.4 發生嚴重車輛或ALKS故障時停用系統

在發生嚴重車輛或ALKS故障的情況下，ALKS可以采用不同的停用策略。

根據附件4，為確保車輛控制被安全地從系統交給駕駛員，制造商應說明不同的停用策略，其有效性應由技術服務部門評估。

6.2.6 系統停用后，不應自動切換到可使車輛連續縱向和/或橫向移動的任何功能（例如，B1類功能的ACSF）。

系統停用后，可以啟用“校正轉向功能”（CSF），以使駕駛員習慣于通過逐漸減少系統側向支撐來執行側向控制任務。

盡管上述兩段有所規定，但在緊急碰撞情況下提供縱向或橫向支撐的任何其他安全系統（例如，高級緊急制動系統（AEBS），電子穩定控制（ESC），制動輔助系統（BAS）或緊急轉向功能（ESF））不得在ALKS停用時關閉。

6.2.7 如第6.4.2.3節所述，任何停用均應通知駕駛員。

6.3 系統超控

6.3.1 駕駛員轉向控制輸入超過合理的閾值（該閾值防止意外的超控）時，駕駛員應通過方向盤超控系統的橫向控制功能。

該閾值應包括規定的作用力和持續時間，并應根據參數進行變化。這些參數包括第6.3.1.1節規定的駕駛員輸入過程中的駕駛員注意力檢查標準。

在根據附件4進行的評估過程中，應向技術服務部門證明這些閾值和變量的合理性。

6.3.1.1 駕駛員注意力

系統應檢測駕駛員是否注意力集中。如果滿足以下至少一項條件，則認為駕駛員注意力集中：

（a）確定駕駛員在大多時間注視前方道路；

（b）確定駕駛員注視著后視鏡；

（c）駕駛員的頭部運動主要與駕駛任務有關。

制造商必須說明駕駛員注意力確認規范或同等安全標準，并提供書面證據支持。還應由技術服務部門根據附件4進行評估。

6.3.2 當駕駛員制動控制導致的減速度高于系統導致的減速度，或者制動系統使車輛保持靜止狀態時，則應超控系統的縱向控制功能。

6.3.3駕駛員可以通過踩油門超控系統的縱向控制功能。但這種操作不應導致系統無法滿足本法規的要求。

6.3.4 當輸入超過合理閾值（該閾值防止意外輸入的發生）時，駕駛員對油門或制動的控制均應立即觸發第5.4段中規定的駕駛模式轉換要求。

6.3.5 盡管第6.3.1至6.3.3節另有規定，但如果系統檢測到駕駛員控制會造成碰撞危險，則系統可能會減小或抑制駕駛員控制帶來的影響。

6.3.6 如果發生嚴重的車輛或ALKS故障，則ALKS可以針對系統超控采用不同的策略。為確保車輛控制安全地從系統交給駕駛員，制造商應說明這些不同的策略，并應由技術服務部門評估其有效性。

6.3.7根據附件4的評估要求，制造商應在安全方法檢查期間向技術服務部門說明第6.3段規定的履行情況。

6.4 提供駕駛員的信息

6.4.1 以下信息應告知駕駛員：

（a）第6.4.2段所規定的系統狀態。

（b）對于任何影響系統運行的故障，至少應向駕駛員發出光信號，除非系統已停用（關閉模式），

（c）發出駕駛模式切換要求時，至少應向駕駛員發出光信號以及聲音和/或觸覺警告信號。

至少在發出駕駛模式切換要求后的4 秒應：

（i）發出持續或間歇的觸覺警告，除非車輛處于靜止狀態；

（ii）升級警告，直到駕駛模式切換要求結束。

（d）至少發出光信號以及聲音和/或觸覺警告信號以提示執行最低風險策略

（e）發出光信號提示緊急操作

上述光信號的大小和對比度應適度。上述聲音信號應響亮清晰。

6.4.2 系統狀況

6.4.2.1 系統不可用指示

如果由于系統不可用而導致駕駛員無法啟動系統，則應至少向駕駛員發出視覺提示。

6.4.2.2 激活時的系統狀態顯示

激活后，系統狀態（激動模式）應通過專用光信號向駕駛員顯示。

光信號應包含明確的指示，包括：

（a）方向盤或車輛以“ A”或“ AUTO”表示，或使用符合聯合國第121號法規的標準化符號

（b）指示在外圍視野中易于識別，靠近望著車輛前方外部的駕駛員視線，例如在儀表盤或方向盤（一部分方向盤外緣面向駕駛員）上突出顯示。

光信號應指示系統處于激活狀態，直到系統停用（關閉模式）。

當系統正常運行時，光信號應保持恒定，并且在發出駕駛模式轉換要求的情況下，至少應根據（b）改變指示特征，例如：斷斷續續信號或其他顏色。

當使用間歇信號時，應采用低頻信號以避免向駕駛員發出不合理的警告。

在駕駛模式切換階段和最低風險控制實行期間，可以將根據（a）的指示替換為根據6.4.3節執行的手動控制指示。

6.4.2.3系統停用狀態顯示

當系統狀態從激活模式變為關閉模式進入停用狀態時，應至少向駕駛員發出一個光信號。

應不顯示用于指示激活模式的光信號，或不顯示切換到手動控制的指令。

另外，除非在有聲駕駛模式切換要求發出后停用系統，否則應提供聲音警告信號。

6.4.3 駕駛模式切換階段和最低風險控制

在駕駛模式切換階段和最低風險控制期間，系統應以直觀、明確的方式指示駕駛員手動控制車輛。該指示應包括顯示手和方向盤的圖形信息，并可附帶其他說明性文字或警告符號，如下例所示。

6.4.3.2 最低風險控制一啟動，給定信號將改變其特征以側重駕駛員采取行動的緊迫性。例如，圖像信息上方向盤呈紅色閃爍、雙手在移動。

6.4.4 在上面給出示例的情況下，可以使用適當且可感知的光信號接口設計。制造商應對此進行說明，并應提供書面證據。這應由技術服務部門根據附件4進行評估。

6.4.5 ALKS警告的優先級

在駕駛模式切換階段、最低風險控制或緊急操作期間，ALKS警告可能會優先于車輛中的其他警告。

在車型審批期間，制造商應向技術服務部門聲明在ALKS運行時不同聲音和光警告的優先級。

目標和事件探測與響應（OEDR）

7.1 感知要求

根據《附件四》的評估要求和《附件五》中的相關測試，制造商應在安全方法檢查期間向技術服務部門說明本款規定的履行情況。

ALKS車輛應配備感知系統，該系統至少能夠確定駕駛環境（例如，前方道路的幾何結構、車道標線）和交通動態：

（a）感知范圍需要覆蓋本車道的全寬，以及其左側和右側車道的全寬，覆蓋范圍直至前方縱向探測范圍的極限；

（b）沿本車全長，直至橫向探測范圍的極限。

本章節的要求不影響本法規的其他要求，特別是第5.1.1節。

7.1.1 前向探測范圍

制造商應聲明其前向探測范圍從車輛最前端開始測量。其聲明的探測距離至少應為46米。

技術服務部門應驗證，在《附件五》相關測試中，車輛感知系統探測到道路使用者的距離等于或大于其聲明的范圍。

7.1.2 橫向探測范圍

制造商應聲明其橫向探測范圍。其聲明的范圍應足以即時覆蓋車輛左方車道和車輛右方車道的全寬。

技術服務部門應驗證，在《附件五》相關測試中，車輛感知系統是否探測到車輛。探測范圍應等于或大于聲明的范圍。

7.1.3 ALKS應能監測和補償那些減小探測范圍的環境條件，例如防止啟用系統、禁用系統和將控制權交回駕駛員，在能見度過低時降低速度。制造商應詳細介紹這些策略并根據《附件四》進行評估。

7.1.4 車輛制造商應提供證據證明，在系統/車輛的使用壽命內，磨損和老化不會削弱感知系統的性能，使其低于第7.1節規定的最低要求值。

7.1.5 符合第7.1節及其子項的規定，應向技術服務部門證明，并根據《附件五》中相關測試要求進行測試。

7.1.6 在系統未出現故障的情況下，單個感知故障不應引發危險事件。車輛制造商應詳細介紹所采用的設計策略，并應根據《附件四》證明其安全性，達到技術服務部門的要求。

自動駕駛數據存儲系統

8.1 每輛配備ALKS（系統）的車輛都應安裝符合以下要求規定的自動駕駛數據存儲系統(DSSAD)。在安全方法檢測過程中，制造商應向技術服務部門證明是否符合《附件四》評估第8節的規定。

本法規不影響受管轄的數據訪問、隱私和數據保護的國家和地區法律。

8.2 記錄的事件

8.2.1當系統激活時，配備DSSAD的每輛車應至少記錄以下事件條目：

（a）系統激活

（b）由于以下原因導致系統停用：

（i）駕駛員采用專用方式使系統停用；

（ii）駕駛員對轉向的超控；

（iii）在系統保持轉向控制時，駕駛員通過油門超控；

（iv）在系統保持轉向控制時，駕駛員通過制動超控。

（c）由于以下原因導致的系統接管請求：

（i）計劃事件；

（ii）意外事件；

（iii）駕駛員失效（根據第6.1.3節）；

（iv）駕駛員缺席或者未系安全帶（根據第6.1.2節）；

（v）系統故障；

（vi）通過制動輸入進行的系統超控；

（vii）通過油門輸入進行的系統超控。

（d）減少或限制駕駛員輸入；

（e）啟動緊急控制；

（f）結束緊急控制；

（g）事件記錄器（EDR）觸發輸入；

（h）檢測到的碰撞；

（i）系統最低風險控制介入；

（j）ALKS嚴重故障；

（k）車輛嚴重故障。

8.3 數據元素

8.3.1對于第8.2節列出的每個事件，DSSAD應至少以清晰可辨的方式記錄以下數據元素：

（a）事件出現的標志（如于第8.2節所列）；

（b）事件的發生原因（視情況而定，如于第8.2節所列）；

（c）日期（格式：yyyy/mm/dd）；

（d）時間戳：

（i）分辨率：hh/mm/ss時區，例如，12:59:59 UTC；

（ii）精度：+/-1.0秒。

8.3.2 對于第8.2節列出的每個事件，應清楚地標識用于ALKS R15XSWIN或與ALKS相關的軟件版本，以表明該事件發生時所用的軟件。

8.3.3 對于在特定數據元素的單位時間分辨率內同時記錄多個元素，可以允許使用單個時間戳。如果使用相同的時間戳記錄多個元素，則來自各個元素的信息應包含時間順序的指示。

8.4 數據有效性

8.4.1 DSSAD數據有效性應符合國家和地區法律的要求3。

8.4.2 一旦達到DSSAD的存儲限制，只能按照先進先出的程序覆蓋現有數據，原則是要符合數據有效性的相關要求。

車輛制造商應提供有關存儲容量的書面證據。

8.4.3 即使受到聯合國R94、R95或R137號法規定義的嚴重程度的影響，數據也應可檢索。如果車載主電源不可用，仍可以根據國家和地區法律的要求檢索DSSAD上記錄的所有數據。

8.4.4 存儲在DSSAD中的數據應以標準化方式，通過使用電子通信接口，至少通過標準接口（OBD端口），易于讀取。

8.4.5 制造商應提供有關如何訪問數據的說明。

8.5 防止篡改

8.5.1應確保有足夠的保護措施防止對存儲數據的篡改（如數據擦除），如防篡改設計。

8.6 DSSAD運行有效性

8.6.1 DSSAD應能夠與ALKS系統通信，通知系統DSSAD正在運行。

網絡安全和軟件更新

9.1 系統的有效性不應受到網絡攻擊、網絡威脅和漏洞的不利影響。網絡安全措施的有效性，應通過符合聯合國第15Z號法規（UN Regulation No.15Z）來證明。

9.2 如果系統允許軟件更新，軟件更新程序和過程的有效性，應通過符合聯合國第15Y號法規（UN Regulation No.15Y）來證明。

9.3 軟件識別要求

9.3.1 為確保能識別系統軟件，R15XSWIN可以由車輛制造商執行。如果未執行R15XSWIN，則應執行替代軟件識別系統（即軟件版本）。

9.3.2 如果制造商實施R15XSWIN，則應遵循以下規定：

9.3.2.1 車輛制造商應根據聯合國第15Y號法規（軟件更新法規）獲得有效認證。

3注：根據針對某締約方的最新定量研究，GRVA正在考慮該文本規定多個時間戳規范，涉及2500個時間戳，以對應6個月的使用期限。

9.3.2.2 車輛制造商應以符合本法規的通訊方式提供以下信息：

(a) R15XSWIN

(b) 在R15XSWIN不適用于車輛的情況下,如何閱讀R15XSWIN或軟件版本

9.3.2.3 車輛制造商可通過本法規的通訊方式，提供相關參數列表，這些參數能夠識別用R15XSWIN標識的軟件進行更新的車輛。車輛制造商應聲明所提供的信息，認證機構可不進行驗證。

9.3.3 車輛制造商可獲得新車輛認證，目的是區分市場上已注冊車輛使用的軟件版本與在新車輛使用的軟件版本。這可能包括更新型號認證法規或更改量產車輛硬件的情況。與測試機構達成協議時，應盡可能地避免重復測試。

車輛改型與延長認證時間

10.1 對現有車輛類型的每次修改，均應通知批準該車輛類型的型號認證機構。

該機構應進行如下工作：

（a）與制造商協商，決定同意新型號認證；或者（c）應用第10.1.1節（修訂）中所述的程序；如若適用，應用第10.1.2節中所述的程序（延期）。

10.1.1修訂

當信息文件中記錄的詳細信息已更改，而型號認證機構認為所做的修改不太可能產生明顯的不利影響，并且在任何情況下腳踏控制器仍符合要求時，應將修改認定為“修訂”。

在這種情況下，型號認證機構應在必要時發布信息文件的修訂頁面，并在每頁上進行標記，以清楚顯示修改的性質和重新發布的日期。

在詳細說明修改內容后，信息文檔的合并更新版本應被視為滿足此要求。

10.1.2 延期

除更改信息文檔中記錄的詳細信息外，在以下情況下，修改應認定為“延期”：

(a)需要進一步檢測或測試；或

(b)關于通信文件的任何信息（附件除外）均已更改；或

(c)在其生效后，需要認證其后的一系列修改。

10.2 確認或拒絕認證，指明變更，應按照第4.3節規定的程序送達。以上適用本法規的協議締約方。此外，《附件一》通知文件所附的信息文件和測試報告的索引，應作相應修改，以表明最新修訂或延期的日期。

10.3 簽發認證延期書的主管部門，應為此延期擬定的每種通知表分配一個序列號。

生產一致性

11.1 有關生產一致性的程序應符合《1958年協議書》附表1（E/ECE/TRANS/505 第三版）中規定的程序，并符合以下要求：

11.2 根據本法規認證的車輛，其制造應符合本法規要求批準的類型；

11.3 負責認證的型號認證機構，可以隨時驗證，適用于每個生產單位的控制方法是否具有一致性。此類檢測的正常頻率應為每兩年一次。

不符合生產一致性處罰

12.1 如果不符合上文第8節規定的要求，可以撤回根據本法規授予的車輛型號認證。

12.2 締約一方撤回其先前已授予的認證，應立即通知適用本法規的其他協議締約方，向其發送符合本法規《附件一》范本的通知表，予以通知。

完全停產

13.1 如果認證持有人完全停止生產根據本法規認證的某種型號的車輛，則應將此事通知負責認證的型號認證機構，而該機構又應立即通知適用本法規的其他協議締約方，向其發送符合本法規《附件一》范本的通知表，予以通知。

13.2 如果車輛制造商想要獲得市場上已注冊車輛軟件更新的進一步認證，則不會視其完全停產該車型。

負責進行認證測試的技術服務部門和型號認證機構的名稱和地址

適用本法規的協議締約方應通知聯合國秘書處4以下信息：負責進行認證測試的技術服務部門的名稱和地址；負責認證的型號認證機構的名稱和地址，向其送達認證或延期、拒絕或認證撤回的表格通知。

附件一

通知

（最大格式：A4 (210 x 297 mm）

頒布：管理機構名稱______

關于根據聯合國第15X號法規，關于轉向設備車輛類型的認證2，涉及以下內容：

認證授予

認證延期

認證拒絕

認證撤銷

完全停產

認證號

延期或修訂的原因：

1. 車輛的商標名稱或商標

2. 車輛型號

3. 制造商名稱和地址

4. 制造商代表的名稱和地址（如適用）

5. 車輛一般結構特征：

5.1 代表車輛的圖片和/或圖紙：

6. ALKS系統說明和/或圖紙，包括：

6.1 制造商聲明的ALKS的額定最大速度：

6.2 感知系統（包括組件）：

6.3 ALKS感知系統的安裝：

6.4 ALKS軟件標識（如適用）：

7. ALKS人機界面的書面說明書和/或圖紙，包括：

7.1 檢測駕駛員可用性的方法

7.2 系統激活、停用和超控的方法

7.3 確定駕駛員注意力的方法

7.4 由于環境或道路條件而導致的任何系統限制

8. 供給駕駛員的信息書面說明書和/或圖紙，包括：

8.1 系統狀態：

8.2 接管請求：

¹授予/延期/拒絕/撤銷認證的國家/地區的區分號（請參閱聯合國第15X號法規中的認證規定）。

²刪除不適用的內容。

8.3 最低風險控制：

8.4 緊急控制：

9. 自動駕駛數據存儲系統（DSSAD）：

9.1 根據《附件五》進行測試后，驗證DSSAD性能：是/否

9.2 數據可檢索性、數據完整性自檢以及已存儲數據防止篡改有關的DSSAD文檔驗證：是/否

10. 網絡安全和軟件更新

10.1 網絡安全類型認證號（如適用）：

10.2 軟件更新類型認證號（如適用）：

11. 適用于電子控制系統安全方面的特殊要求（《附件四》）

11.1《附件四》制造商文檔參考（包括版本號）：

11.2 信息文件表格（附件四附錄2）

12. 技術服務部門負責進行認證測試

12.1 該服務部門發布的報告日期

12.2（參考）該服務部門發布的報告編號

13. 認證授予/延期/修訂/拒絕/撤銷2

14. 認證標志在車輛上的位置

15. 地點

16. 日期

17. 簽名

18. 隨函附上的是認證文件中的文件清單，文件存放在送達認證的行政服務部門，可以應要求獲得。

其他信息

19. R15XSWIN:

19.1 在R15XSWIN不適用于車輛的情況下，有關如何讀取R15XSWIN或軟件版本的信息：

19.2 如適用，列出相關參數，以識別可以用第19.1節中R15XSWIN標識的軟件進行更新的車輛：

附錄

關于根據第15X號法規對ALKS車輛類型型號認證的型號認證通知第……號附錄

其他信息

車輛制造商聲明ALKS評估符合當地交通規則的締約方地區：

*可以在線獲得適用聯合國15X號法規的締約方清單，地址：https://treaties.un.org/Pages/ViewDetails.aspx?src=TREATY&mtdsg_no=XI-B-16- 15[X]&chapter=11&clang=_en

附件二

認證標識協議

模型A

（請參閱本法規第4.4節）

根據上圖認證標識（貼在車輛上），有關ALKS車輛型號已根據聯合國第15X號法規在荷蘭（E4）認證（認證號：No.002439）。認證號表示：認證是根據聯合國第15X號法規原始版本中的要求授予的。

模型B

（請參閱本法規第4.5節）

根據上圖認證標識（貼在車輛上），有關車輛型號已根據聯合國第15X號法規和聯合國第31號法規1（UN Regulation No. 31）在荷蘭（E4）認證。認證號表示：在分別獲得認證當日，聯合國第15X號法規是其原始版本，聯合國第31號法規其中包括02系列修改。

¹第二個法規編號僅作為示例給出。

附件三

預留

附件四

適用于自動車道保持系統（ALKS）功能和運行安全方面的特殊要求

1. 一般要求

本附件旨在確保，制造商在設計和開發過程中，對自動化系統的功能和運行安全進行了合理全面的考慮，自動化系統具備ALKS法規規定的功能；將繼續在車型全生命周期內（設計、開發、生產、現場操作、退役）進行這方面的考慮。

制造商必須將本附件包含的說明書，披露給型號認證機構或代表其行事的技術服務部門（以下稱為型號認證部門），以便型號認證。

說明書應表明，自動車道保持系統符合本聯合國法規中規定的性能要求，并且系統設計和開發不會對駕駛員、乘客和其他道路使用者造成不合理的安全風險。

負責認證的型號認證部門，應通過有針對性的抽查和測試，來驗證說明書提供的論據是否足夠充足，并且說明書中所述的設計和流程是否實際上是由制造商實施的。

盡管根據提供的說明書、證據和流程審核/產品評估（符合本法規有關的型號認證部門的要求），評估后的自動車道保持系統的剩余風險水平，被認定為符合車型應用的基本標準，但根據本法規的要求，在自動車道保持系統使用壽命期間內，整車安全仍由申請認證的制造商負責。

2. 定義

本附件有關定義如下：

2.1 “系統”是指提供自動駕駛功能的“高級電子控制”系統及其電子控制系統，也包括本自動車道保持功能法規范圍以外的、與其他系統互聯的傳輸鏈路。

2.2 “安全方案”是指系統中設計的措施，例如，在電子單元內，可以使車輛在故障和非故障條件下運行，而不會對駕駛員、乘客和其他道路使用者造成不合理的安全風險。安全方案還包括車輛重要功能的部分運行甚至后備系統的備選方案。

2.3 “電子控制系統”是指通過電子數據處理，來配合生產規定的自動車道保持系統的單元組合。此類系統通常由軟件控制，由分立功能組件（例如，傳感器、電子控制單元和執行器）組成，并通過傳輸鏈路進行連接，可以包括機械、電氣動或電液壓元件。

2.4 “高級電子控制”系統是指采用處理和/或感知設備來實現動態駕駛任務的系統。

2.5 “單元”是指本附件規定的系統組件的最小劃分。出于識別、分析或替換的目的，這些組件的組合將被視為單個實體。

2.6“傳輸鏈路”是指用于分布式單元互連的設備，用于傳輸信號、運行數據或能源供應。該設備通常是電氣設備，但在某種程度上可以是機械、氣動或液壓設備。

2.7 “控制范圍”是指輸出變量，定義了系統可以執行控制的范圍。

2.8 “功能運行的邊界”定義了系統能夠執行動態駕駛任務的外部物理極限的邊界（即，包括接管請求和最低風險控制）。

2.9 自動車道保持系統的“運行設計域（ODD）”在本法規確定的范圍內，定義了特定的運行條件（例如，環境、地理、時間、交通、基礎設施、速度范圍、天氣等條件），在這些條件下，自動車道保持系統可在無需駕駛員干預的情況下運行。

2.10 “自動駕駛功能”是指能夠執行車輛動態駕駛任務的“系統”的功能。

2.11 “控制策略”是指應對一組特定的環境和/或運行條件（例如，路面狀況、交通強度和其他道路使用者、不利的天氣條件等），確保“系統”功能穩健安全運行的策略，可包括功能的自動停用或暫時的性能約束（例如，降低最大運行速度等）。

2.12 “功能安全”：在因電氣/電子系統故障行為引起危險（由于系統故障導致的安全危險）的情況下，不存在不合理的風險。

2.13 “故障”：可能導致元件（系統、組件、軟件）或項目（執行車輛功能的系統或系統組合）失效的異常情況。

2.14 “失效”是指元件或項目預期行為的終止。

2.15 “運行安全”是指在預期功能的功能不足（例如，錯誤/漏檢）、運行干擾（例如，霧、雨、陰影、陽光、基礎設施等環境條件）帶來危險，或駕駛員、乘客和其他道路使用者造成合理可預見的濫用/錯誤（安全隱患——無系統故障）的情況下，不存在不合理的風險。

2.16 “不合理的風險”是指與熟練、謹慎手動駕駛相比，駕駛員、乘員和其他道路使用者總體水平上升的風險。

3. 說明書

3.1 要求

制造商應提供一個文件包，說明“系統”的基本設計，以及系統與其他車輛系統連接的方法或直接控制輸出變量的方式。

應說明制造商提供的“系統”的功能，包括控制策略和安全方案。

說明書應簡短，但應表明，設計和開發基于所涉及的所有系統領域的專業知識。

對于定期技術檢測，說明書應說明如何檢查“系統”當前運行狀態。

可通過使用標準化電子通訊接口（至少是標準接口（OBD端口）），讀取有關軟件版本和故障警告信號狀態的信息。

型號認證部門應評估文件包，對“系統”進行以下說明：

(a)其設計和開發，旨在能夠在聲明的運行設計域(ODD)和邊界范圍內，使駕駛員、乘員和其他道路使用者避免不合理的風險；

(b)符合本聯合國法規另行規定的性能要求；

(c)是根據制造商聲明的開發過程/方法開發的，并且至少包括第3.4.4節中列出的步驟。

3.1.1 說明書應分為三部分。

(a)型號認證申請：在型號認證申請時，提交給型號認證部門的信息文件應包含附錄2中所列項目的簡要信息。這是認證的一部分。

(b)認證的正式文件包，包含第3節中列出的資料（第3.4.4節除外），應提供給型號認證部門，進行產品評估/流程審核。型號認證部門應將此文件包用作本附件第4節中規定的驗證流程的基本參考。型號認證部門應確保該文件包的有效期至少為10年，從該車型完全停產的時間算起。

(c)第3.4.4節所述的其他機密資料和分析數據（知識產權）應由制造商保留，但在產品評估/流程審核時，應公開以便檢測（例如，在制造商的工程設施現場）。制造商應確保，自該車型完全停產之日的10年內，這些資料和分析數據一直有效。

3.2 說明“系統”功能，包括控制策略

應提供說明書簡單介紹“系統”所有功能，包括控制策略，以及在運行設計域(ODD)和自動車道保持系統設計運行邊界范圍內，采用的執行動態駕駛任務的方法，包括對執行控制機制的聲明。制造商應說明系統與駕駛員、乘員和其他道路使用者以及人機界面（HMI）之間的交互。

在生產車輛時集成硬件和軟件的任何已啟用或已禁用的自動駕駛功能，制造商應在將其應用于車輛之前，聲明符合本附件的要求。如果執行了連續學習算法，制造商還應記錄數據處理。

3.2.1 應提供所有輸入變量和感知變量的列表，定義這些變量的工作范圍，并說明每個變量是如何影響系統行為的。

3.2.2 應提供“系統”控制的所有輸出變量的列表，并說明在不同情況下，是直接控制還是通過另一個車輛系統進行控制的。應定義每個此類變量所執行控制的范圍（第2.7節）。

3.2.3 在任何適用自動車道保持系統性能的情況下，應定義功能運行邊界的限值，包括ODD限值。

3.2.4 當達到運行設計域(ODD)限度時，應說明駕駛員交互方案，包括系統向駕駛員提出接管請求的情況類型列表。

3.2.5 應提供有關激活、超控或停用系統方法的信息，包括如何保護系統免受意外停用影響的策略。這還應包括系統如何檢測到有駕駛員接管駕駛控制的相關信息，以及所用參數的規格和書面證據，以識別駕駛員的注意力以及對轉向閾值的影響。

3.3 系統布局和原理圖

3.3.1 組件清單

應提供一個清單，整理“系統”所有單元，并提及實現上述控制功能所需的其他車輛系統。

應提供組合這些單元的大綱示意圖，并清楚說明設備分布和互連。

大綱示意圖應包括以下內容：

(a)感知和對象檢測，包括映射和定位

(b)決策的特征

(c)通過遠程監管中心進行遠程監管和遠程監控（如適用）

(d)數據存儲系統（DSSAD）

3.3.2 單元功能

應概述“系統”每個單元的功能，并應說明將系統與其他單元或其他車輛系統鏈接的信號。可以通過標記框圖或其他示意圖，或通示意圖解釋來說明。

3.3.3 應通過電氣傳輸鏈路的電路圖、氣動或液壓傳輸設備的管道圖以及機械聯動裝置的示意簡圖，來說明“系統”內部的互連。還應說明系統與其他系統之間的傳輸鏈路。

3.3.4 傳輸鏈路與單元間傳輸的信號之間應有明確的對應關系。在任何優先級可能影響性能或安全性的情況下，都應說明多路復用數據路徑上信號的優先級。

3.3.5 單元識別

每個單元應清晰可辨（例如，通過標記硬件、標記軟件內容或軟件輸出），以提供相應的硬件和文件關聯。如果無需更改標記或組件即可更改軟件版本，則只能通過軟件輸出來標識軟件。

如果功能組合在單個單元或實際上在單個計算機中，但為了通過方塊圖便于清楚說明功能，則應僅使用單個硬件標識標記。制造商應通過使用此標識，確認所提供的設備符合相應的文件要求。

3.3.5.1 該標識定義了硬件版本和軟件版本，并且在軟件版本發生更改時（例如，就本法規而言，改變單元功能），還應更改該標識。

3.3.6 感知系統組件的安裝

制造商應提供有關安裝選項的信息，安裝選項將用于構成感知系統的各個組件。一旦安裝在車輛中，這些選項應包括但不限于：部件在車輛中/車輛上的位置、部件周圍的材料、部件周圍材料的尺寸和幾何形狀以及部件周圍材料的表面光潔度。該信息還應包括對系統性能至關重要的安裝規范，例如，安裝角度公差。

更改感知系統的各個組件或安裝選項，應通知型號認證部門，并接受進一步評估。

3.4 制造商的安全方案

3.4.1 制造商應提供聲明，確認“系統”不會給駕駛員、乘員和其他道路使用者帶來不合理的風險。

3.4.2 對于“系統”中使用的軟件，應說明其整體架構，并應確定其所使用的設計方法和工具（請參閱第3.5.1節）。在設計和開發過程中，制造商應提供證據，證明其確定系統邏輯實現的方式。

3.4.3 制造商應向型號認證部門說明，“系統”中內置的設計工具，以確保功能和運行安全。以下為“系統”中可能內置的設計工具舉例：

(a)使用部分系統回退到運行狀態。

(b)具有獨立系統的冗余。

(c)取消自動駕駛功能。

3.4.3.1 如果所選工具在某些故障條件下（例如，嚴重故障的情況下），選擇了部分性能運行模式，則應說明這些條件（例如，嚴重故障的類型），并應定義由此產生的有效性極限（例如，立即啟動最低風險控制），以及對駕駛員的警告策略。

3.4.3.2 如果所選工具選擇第二種方式（備用）來實現動態駕駛任務的執行，則應說明轉換機制的原理、冗余的邏輯和級別以及任何內置的備用檢查功能，并應定義備份有效性極限。

3.4.3.3 如果所選工具選擇取消自動駕駛功能，則應按照本法規的相關規定進行取消。與該功能相關的所有相應輸出控制信號均應被禁止。

3.4.4 應通過總體分析，說明該系統將如何減輕或避免對駕駛員、乘員和其他道路使用者帶來安全危險，以支持該說明書。

所選分析方法應由制造商建立并維護，并應在型號認證時開放給型號認證部門進行檢測。

型號認證部門應對分析方法的應用進行評估：

(a)方案（車輛）級別安全方法檢測。

該方法應基于適用于系統安全的危險/風險分析。

(b)系統級別安全方法檢測包括自上而下的方法（從可能的危險到設計）和自下而上的方法（從設計到可能的危險）。安全方法可以基于失效模式與影響分析（FMEA）、故障樹分析（FTA）以及系統理論過程分析（STPA），或適用于系統功能和運行安全的任何類似的流程。

(c)核實/驗證計劃和結果檢測，包括適用的驗收標準。這應包括適合于驗證的驗證測試，例如，硬件在環（HIL）測試、車輛道路運行測試以及實際最終用戶測試或任何其他適用于核實/驗證的測試。可以通過分析不同測試的覆蓋率，并為各種指標設置最小覆蓋率閾值，來評估核實和驗證的結果。

檢測應確保在（a）-（c）范圍內，在適用的情況下，至少覆蓋以下各項中的其中一項：

(i)與其他車輛系統交互（例如，制動、轉向等）相關的問題；

(ii)自動車道保持系統的故障和系統的風險緩解措施；

(iii)由于操作干擾（例如，對車輛環境了解不足或理解錯誤、對駕駛員、乘員或其他道路使用者的反應缺乏了解、控制不力、高難度場景等），在ODD范圍內，系統可能給駕駛員、乘員和其他道路使用者帶來不合理的安全風險。

(iv)邊界條件內，確定相關場景以及用于選擇場景的管理方法和所選的驗證工具。

(v)決策過程導致動態駕駛任務執行（例如，緊急操作），以便與其他道路使用者進行交互并符合交通規則。

(vi)駕駛員合理的可預見的誤用（例如，駕駛員可用性識別系統、說明如何建立可用性標準等）、駕駛員的錯誤或誤解（例如，無意識的超控）以及系統的故意篡改。

(vii)網絡攻擊對車輛安全的影響（可以根據聯合國第15Z號法規（網絡安全和網絡安全管理系統法規），通過分析來完成）。

認證機構的評估應包括對選定危害（或網絡威脅）的抽查，以證明支持安全方案的論證是可理解的、合乎邏輯的，并能在系統不同功能中得以實施。評估還應核實驗證計劃是否足夠成熟展示其安全性（例如，通過所選驗證工具，對所選測試場景進行合理覆蓋）、是否已經完成。

應證明車輛不會對駕駛員造成不合理的風險；以及不會對運行設計域（ODD）中的車輛乘員和其他道路使用者造成不合理的風險，即通過以下方式：

(a)驗證結果支持的總體驗證目標（即驗證驗收標準），表明自動車道保持系統投入使用，相比手動駕駛車輛，總體上不會提高駕駛員、乘員和其他道路使用者的風險水平；以及

(b)一種場景特定的方法，表明在每種安全相關的場景中，相比手動駕駛車輛，該系統總體上不會提高駕駛員、乘員和其他道路使用者的風險水平。

型號認證部門應進行或要求進行第4節中規定的測試，以驗證安全方案。

3.4.4.1 該說明書應逐項列出被監測的參數，并應對本附件中第3.4.4節中定義的每種失效條件進行闡述，將警告信號發送給駕駛員/乘員/其他道路使用者和/或服務/技術檢測人員。

3.4.4.2 該說明書還應說明，在“系統”性能受到環境條件影響時（例如，氣候、溫度，灰塵進入、進水、結冰等），實施的措施可確保“系統”不會對駕駛員、乘員和其他道路使用者造成不合理風險。

3.5 安全管理體系（流程審核）

3.5.1 對于“系統”中使用的軟件和硬件，在安全管理體系方面，制造商應向型號認可部門說明，在整個產品生命周期中（設計、開發、生產以及運行，包括遵守交通規則和退役），有效的過程、方法和工具是已經到位、是最新的，并在組織內部執行以管理安全性和持續合規性。

3.5.2 應建立設計和開發流程，包括安全管理體系、管理要求、要求實施、測試、故障跟蹤、補救和發布。

3.5.3 制造商應在負責功能/運行安全、網絡安全以及與實現汽車安全相關的任何其他相關學科的制造商部門之間，建立并維持有效的溝通渠道。

3.5.4 制造商應建立流程，監測因啟用自動車道保持系統引起的與安全相關的事故/碰撞，管理注冊后潛在的安全相關間隙（閉環場景監測）并更新車輛。這些流程應在發生嚴重事故時（例如，與其他道路使用者碰撞以及潛在的安全相關間隙），向型號認證部門報告。

3.5.5 制造商應證明，進行定期、獨立的內部流程審核，以確保根據第3.5.1節至第3.5.4節建立的流程實現統一實施。

3.5.6 制造商應與供應商一道，將合理的安排（例如，合同安排、清晰的接口、質量管理體系等）落實到位，以確保供應商安全管理體系符合第3.5.1節、第3.5.2節、第3.5.3節以及第3.5.5節的要求（車輛相關方面除外，例如，“運行”和“退役”）。

4. 驗證與測試

4.1 第3節要求，“系統”的功能運行應在文件中說明，并按以下方式進行測試：

4.1.1 “系統”功能驗證

型號認證部門應驗證非失效條件下的“系統”，在測試場上測試第3.2節中制造商所述的一系列選定功能，并檢查系統在實際駕駛條件下的整體行為，包括是否遵守交通規則。

這些測試應包括駕駛員超控系統的場景。

根據本附件，測試應側重于本法規《附件五》中已進行的測試。

4.1.1.1 驗證結果應與在第3.2節中制造商提供的說明書（包括控制策略）相符，并應符合本法規的要求。

4.1.2 驗證第3.4節中的安全方案。

應通過對電氣單元或機械元件施加相應的輸出信號，以模擬單元內部失效的影響，在任何獨立單元故障的影響下，檢查“系統”的反應。型號認證部門應至少對一個獨立單元進行檢查，但不得檢查“系統”對多個獨立單元同時失效時的反應。

型號認證部門應驗證，這些測試是否包括可能影響車輛可控制性和用戶信息的方面（HMI方面，例如接管場景）。

4.1.2.1 型號認證部門還應檢查一些本法規定義的、對目標和事件探測與響應（OEDR）以及系統決策和HMI功能特性描述至關重要的場景（例如，難以探測的目標，當系統到達ODD邊界時，交通干擾場景）。

4.1.2.2 驗證結果應與危害分析的書面摘要相一致，并達到安全方案及其執行被確認為是正確的并且符合本法規要求的總體效果。

4.2 可以根據《1958年協定書》修訂版第3版中附錄8，使用仿真工具和數學模型來驗證安全方案，尤其是針對在測試場或實際駕駛條件下難以實現的場景。制造商應說明模擬工具的范圍，其在有關場景下的有效性，以及針對模擬工具鏈（結果與物理測試的關聯）進行的驗證。

5. 報告

評估報告應通過可追溯的方式進行，例如，檢查的文件版本已編碼并列入技術部門記錄。

在本附件的附錄1中，舉例說明了技術服務機構提交給型號認證部門的評估表可能會有的格式。本附錄所列項目可概述為需要涵蓋的最小項目集。

6. 發送給其他型號認證部門（《附錄2》）的通知包括：

(a)ODD和高級功能架構說明，著重于駕駛員、乘員和其他道路使用者可用的功能。

(b)型號認證部門在驗證過程中的測試結果。

7. 審核員/評估員的資質

本附件項下的評估只能由具有必要的技術和行政知識的專業審核員/評估員進行。特別是有資格擔任ISO 26262-2018（《道路車輛功能安全》）和ISO/PAS 21448（《道路車輛預期功能安全》）的審核員/評估員; 并應能夠根據聯合國第15Z號法規和ISO/SAE 21434，與網絡安全方面建立必要的聯系。這種資質應通過適當的資格證明或其他等效的培訓記錄來證明。

附錄1

自動車道保持系統的模型評估表

測試報告編號：

1.識別

1.1 制作：

1.2 車輛類型：

1.3 車輛上的系統識別方式：

1.4 標記位置：.

1.5 制造商名稱和地址：

1.6 制造商代表的姓名和地址（如適用）：

1.7 制造商的正式文件包：

文件參考編號：

首次發布日期：

制造商應提供自動車道保持系統的信息文件表格，以供審批

1. 系統描述：自動車道保持系統

1.1 運行設計域（速度、道路類型、國家、環境、道路狀況等）/邊界條件/最低風險策略和駕駛模式切換要求的主要條件

1.2 基本性能（例如，物體和事件檢測與響應（OEDR））

1.3 激活、超控或停用系統的方法。

2. “系統”功能描述，包括控制策略

2.1 主要自動駕駛功能（功能架構，環境感知）。

2.1.1 車輛內部

2.1.2 車輛外部（例如后端）

3. “系統”主要組件（單元）概述

3.1 控制單元

3.2傳感器

3.3 地圖/定位

4. 系統布局和原理圖

4.1系統布局示意圖，包括用于環境感知的傳感器在內（例如區塊圖）

4.2 互連關系列表和概述（例如區塊圖）

5. 規范

5.1 檢查系統正確運行狀態的方法

5.2 防止未經授權的激活/操作以及對系統的干預的方法

6. 安全概念

6.1 安全操作–車輛制造商聲明

6.2 軟件架構概述（例如區塊圖）

6.3 確定實現系統邏輯的方法

6.4 概述“系統”中內置的主要設計規定，以便在發生故障、運行干擾以及超出ODD的計劃/意外狀況時，車輛可以安全運行并與其他道路使用者交互。

6.5 主要故障處理原則，應變退回(Fallback)策略，包括風險緩解策略（最低風險策略）。

6.6 駕駛員、車輛乘員和其他道路使用者之間的互動，包括警告信號和需要將控制權交給駕駛員的要求。

6.7制造商確認遵守本法規中另行規定的性能要求，包括目標和事件探測及反應(OEDR)、人機交互(HMI)、遵守交通規則，并確定該系統的設計方式不會對駕駛員、乘員和其他道路使用者造成不合理的風險。

7. 管理部門的驗證和測試

7.1 驗證“系統”的基本功能。

7.2 在故障或運行干擾、緊急情況和限制條件的影響下檢查系統反應的示例

8. 數據存儲系統

8.1 存儲的數據類型

8.2 存儲位置

8.3 記錄的事件和數據元素確保數據安全和數據保護

8.4訪問數據的方法

9. 網絡安全（可以交叉引用網絡法規）

9.1 網絡安全和軟件更新管理方案概述

9.2 各種風險概述以及減輕風險而采取的措施。

9.3 更新程序概述

10. 針對用戶的信息規定

10.1 提供給用戶的信息模型（包括在ODD中以及在超出ODD時預期的駕駛員任務）。

10.2 用戶手冊相關部分的摘錄

附錄3

ALKS交通干擾關鍵場景指南

1. 概述

1. 本文件闡明了如何推導、確定自動車道保持系統（ALKS）應避免碰撞的情況。ALKS應避免發生碰撞的情況由通用模擬程序確定，以及以下專注駕駛員行為模型和交通關鍵干擾場景中的相關參數。

2. 交通關鍵場景

2.1 交通干擾關鍵場景是指那些在某些情況下ALKS可能無法避免碰撞的場景。

2.2. 以下是三個交通干擾關鍵場景：

（a）切入：“其他車輛”突然出現在“本車”的前面

（b）切出：“其他車輛”突然退出“本車”的車道

（c）減速：“其他車輛”突然在“本車”前面減速

2.3 可以使用以下參數/元素創建任一個交通關鍵場景中：

（a）道路幾何

（b）其他車輛的行為/動作

3. ALKS的性能模型

3.1 ALKS的交通關鍵場景分為可預防和不可預防場景。可預防/不可預防的閾值基于熟練和專注的駕駛員的模擬表現。預計，ALKS系統實際上可以預防某些按照人類標準 “不可預防”的場景。

3.2 在低速ALKS場景中，駕駛員模型的避讓能力被假定為僅通過制動實現。駕駛員模型分為以下三個部分：“感知”、 “決策”和“反應”。下圖是其直觀表示：

3.3 為了確定自動車道保持系統（ALKS）應在哪些情況下避免發生碰撞，考慮到專注的駕駛員在使用ADAS時的行為模式，下表中“感知”、 “決策”和“反應”的行為模型因素應被用作ALKS性能模型。

圖1 熟練的人類表現模型

表1 車輛性能模型因素

3.4. 三個ALKS場景下的駕駛員模型：

3.4.1. 針對切入場景:

通常，車輛在車道內的橫向漂移距離為0.375米。

當車輛超過正常的橫向漂移距離時（可能在實際變道之前），可感知的切入邊界就會出現。

距離a.是基于感知時間[a]的感知距離。它定義了感知到車輛切入所需的橫向距離。a.從下式獲得：

a.=橫向移動速度x風險感知時間[a]（0.4秒）

當前車超過切入邊界閾值時，風險感知時間開始。

最大橫向移動速度是日本的真實數據。

風險感知時間[a]正在推動日本的模擬器數據。

2秒*被指定為最大碰撞時間（TTC），低于該時間則說明存在縱向碰撞危險。

注：TTC = 2.0秒是根據聯合國法規關于警告信號的指示選擇的。

圖2 切入場景的駕駛員模型

3.4.2. 針對切出場景:

通常，車輛在車道內的橫向漂移距離為0.375米。

當車輛超過正常的橫向漂移距離時（可能在實際變道之前）時，可感知的切出邊界就會出現。風險感知時間[a]為0.4秒＃，并且在前車超過切出邊界閾值時開始。

2秒的時間被定為最大車頭時距（THW），據此得出結論，存在縱向危險。

注：THW = 2.0秒是根據其他國家的法規和準則選擇的。

圖3 切出場景

3.4.3. 針對減速場景:

風險感知時間[a]為0.4秒。當前車超過減速閾值5m / s2時，風險感知時間[a]開始。

圖4 減速場景

4. 參數

4.1 在描述第2.1部分中的交通關鍵場景的模型時，以下參數至關重要。

4.2 可以根據運行環境添加其他參數（例如，道路的摩擦率，道路曲率，光照狀況）。

表2 其他參數

4.3 以下是三種場景下參數的直觀表示

圖5 可視化

5. 參考

以下數據表是模擬的圖形示例，這些模擬明確了ALKS應避免發生碰撞的情況，并考慮了在不大于最高允許ALKS車速時的每個參數組合。

5.1.切入

圖6 參數

（數據表圖）

圖7 總覽

圖8

Ve0 = 60 kph

圖9

Ve0 = 50 kph

圖10

Ve0 = 40kph

圖11

Ve0 = 30kph

圖12

Ve0 = 20kph

5.2 切出

當車間時距（THW) 為 2.0秒時，在以下行駛條件下，可以避免讓本車在前車切出前減速（停車）。

圖12

參數

（數據表圖）

5.4 減速

當車間時距（THW) 為 2.0秒時，在跟隨行駛的情況下，可以避免本車以-1.0G或更小的突然減速。

（數據表圖）

附件五

ALKS測試標準

1.引言

本附件定義了關于驗證ALKS技術要求的測試。

在達成特定測試規定之前，技術服務部門應確保ALKS至少要進行《附件五》中概述的測試。應由技術服務部門選擇每種測試的特定測試參數，并通過實現測試設置的可追溯和可重復方式，記錄在測試報告中。

測試的通過/失敗標準僅是本法規第5至7節中技術要求的衍生。根據這些要求內容，衍生出通過/失敗標準不僅為了一組給定的測試參數，還為了提供系統工作的任何參數組合（例如，運行速度范圍、橫向運行加速度范圍、系統邊界中包含的曲率范圍等）。

本文檔中的測試標準旨在作為最小測試集，技術服務部門可以在系統邊界范圍內，進行任何其他測試，然后可以將測試結果與要求進行比較（具體為預期測試結果）。

2.定義

就本附件而言

2.1“碰撞時間”（TTC）表示在任何時間，通過將目標車輛和目標之間的縱向距離（沿目標車輛的行駛方向）除以目標車輛和目標的縱向相對速度而獲得的時間值。

2.2“偏移”是指沿著行駛方向車輛的縱向中心平面與相應目標的縱向中心平面之間的距離，在地面上測量，按車輛寬度的一半歸一化，不包括間接視覺設備，并加上50％進行校正。

2.3“行人目標”是指代表行人的軟目標。

2.4“乘用車目標”是指代表乘用車的目標。

2.5“機動兩輪車目標（PTW）”是指摩托車和騎摩托車的人的組合。

3.一般原理

3.1 測試條件

3.1.1 測試應在允許激活ALKS的條件下（例如，環境、道路幾何形狀）進行。

3.1.2 如果需要進行系統修改才能進行測試，例如，道路類型評估標準或道路類型信息（地圖數據），應確保這些修改不會影響測試結果。這些修改原則上應形成文件并隨附測試報告。這些修改的說明以及影響的證據（如有）應形成文件并隨附測試報告。

3.1.3 為了達到預期的測試結果，測試表面應至少具備場景所需的附著力。

3.1.4 測試目標

3.1.4.1 用于車輛探測測試的目標應為M或N類的常規大批量生產的車輛，或者是根據ISO 19206-3:2018，在適用于被測ALKS的傳感器系統識別特性方面代表車輛的“軟目標”。車輛位置的參考點應為車輛中心線上最靠后的一點。

3.1.4.2 機動兩輪車測試所使用的目標應是符合ISO CD 19206-5的測試設備，或發動機容量不超過600cm3、L3類類型認證的大批量生產的摩托車。摩托車位置的參考點應為摩托車中心線上最靠后的一點。

3.1.4.3 用于行人探測測試的目標應為“鉸接式軟目標”，并代表人類屬性，適用于根據ISO19206-2:2018測試的AEBS的傳感器系統。

3.1.4.4 實現具體識別和復制目標的細節應記錄在車輛型號認證文件中。

3.2 測試參數變化

制造商應向技術服務部門聲明系統邊界。技術服務部門應定義不同的測試參數組合（例如，ALKS車輛的當前速度、目標的類型和偏移、車道曲率等），以涵蓋系統應避免發生碰撞的場景以及在適用的情況下預計不能避免碰撞的場景。

如果認為合理，技術服務部門可另外測試任何其他參數組合。

如果在某些測試參數中無法避免沖突，制造商應通過說明書，或在可能的情況下通過驗證/測試，來證明系統不會不合理地切換其控制策略。

4. 測試場景評估動態駕駛任務方面的系統性能

4.1 車道保持

4.1.1 該測試應證明ALKS不會離開其車道，并且在整個系統邊界范圍內的速度范圍和不同曲率下，在當前車道內保持穩定的位置。

4.1.2 在進行該測試時，至少應考慮以下條件：

(a)測試時間最少為5分鐘；

(b)將乘用車目標以及PTW目標作為前方車輛/其他車輛；

(c)前方車輛在車道上轉彎;以及

(d)另一輛車在相鄰車道旁靠近行駛。

4.2 避免與道路使用者或道路障礙物相撞

4.2.1 該測試應證明，當速度達到系統最大的額定速度時，ALKS可以避免與固定車輛、道路使用者或完全/部分阻塞車道的障礙物發生碰撞。

4.2.2 在進行該測試時，至少應考慮以下條件：

(a)固定的乘用車目標；

(b)固定的機動兩輪車目標；

(c)固定的行人目標；

(d)行人目標以5 km/h的速度穿過車道；

(e)代表車道障礙物的目標；

(f)部分位于車道內的目標；

(g)多個連續障礙物阻塞車道（例如，按以下順序：本車-摩托車-汽車）；

(h)在彎曲的路段上。

4.3 跟隨前方車輛

4.3.1 該測試應證明ALKS能夠保持和恢復與前方車輛的安全距離，并能夠在前方車輛減速至最大減速度時避免與其發生碰撞。

4.3.2 在進行該測試時，至少應考慮以下條件：

(a)在整個ALKS速度范圍內；

(b)乘用車目標以及作為前方車輛的PTW目標（如果適用于進行安全測試的標準化PTW目標可用）；

(c)前方車輛固定和變化的速度（例如，符合現有駕駛數據庫中的實際速度曲線）；

(d)筆直和彎曲路段；

(e)前方車輛在車道中不同的橫向位置；

(f)前方車輛減速至少為6 m/s2，表示完全減速直至停止。

4.4 另一輛車變道為ALKS車輛車道

4.4.1 該測試應證明，在切入ALKS車輛車道的車輛切入動作達到臨界狀態時，ALKS能夠避免與其發生碰撞。

4.4.2 應根據TTC、切入車輛的最后端與ALKS車輛的最前端之間的縱向距離、切入車輛的橫向速度以及縱向運動，來確定本法規第5.2.5節中定義的切入動作的臨界狀態。

4.4.3 在進行該測試時，至少應考慮以下條件：

(a)不同TTC，切入動作的距離和相對速度值，涵蓋可以避免碰撞和無法避免碰撞的切入場景類型；

(b)切入車輛以固定縱向速度行駛，加速和減速；

(c)切入車輛不同的橫向速度、橫向加速度；

(d)乘用車以及作為切入車輛的PTW目標（如果適用于進行安全測試的標準化PTW目標可用）。

4.5前方車變道后的固定障礙物

4.5.1該測試應證明，當前方車輛通過規避動作避免碰撞后，固定車輛、道路使用者或道路障礙物變得可見，ALKS能夠避免與其發生碰撞。

4.5.2在進行該測試時，至少應考慮以下條件：

(a)固定乘用車目標車道居中；

(b)固定機動兩輪車目標車道居中；

(c)固定行人目標車道居中；

(d)代表車道障礙物的目標車道居中；

(e)多個連續障礙物阻塞車道（例如，按以下順序：本車-變道車輛-摩托車-汽車）。

4.6視場測試

4.6.1該測試應證明，ALKS能夠檢測到，在前向探測范圍直至聲明的前向探測范圍內的另一名道路使用者，并能夠檢測到在橫向探測范圍內直至至少在相鄰車道全寬內的其他車輛。

4.6.2在進行該前向探測范圍測試，至少應考慮以下條件：

(a)當接近位于每個相鄰車道外緣的摩托車目標時；

(b)當接近位于每個相鄰車道外緣的固定行人目標時；

(c)當接近位于本車道內的固定摩托車目標時；

(d)當接近位于本車道內的固定行人目標時。

4.6.3在進行該橫向探測范圍測試，至少應考慮以下條件：

(a)摩托車目標從左側相鄰車道駛近ALKS車輛；

(b)摩托車目標從右側相鄰車道駛近ALKS車輛。

5. 其他驗證

5.1（預留）

5.2制造商應證明符合以下規定，并在型號認可時由技術服務部門評估是否合規：

5.3 如果技術服務部門認為合理，則可以評估其他測試用例。可能包括以下用例：

(a)Y型高速公路車道

(b)車輛進入或離開高速公路

(c)本車道、隧道部分受阻

(d)紅綠燈

(e)緊急車輛

(f)施工區

(g)褪色/擦除/隱藏的車道標記

(h)緊急/服務人員指揮交通

(i)道路特征變化（道路不再劃分、允許行人、環島、十字路口等）

(j)恢復正常的交通流（即所有車輛行駛速度超過60 km/h）

5.4真實世界測試

在交通場景下（“真實世界”測試），技術服務部門應在無故障的情況下，進行或見證系統評估。該測試的目的是，幫助技術服務部門了解系統在其運行環境中的功能，并補充《附件四》所述的說明書評估。

《附件四》評估和真實世界測試應共同實現，通過測試或進一步審核《附件四》，技術服務部門能夠確定可能需要進一步評估的系統性能領域。

在實際評估中，技術服務部門至少應進行以下評估：

(a)當系統超出其技術邊界/ALKS要求時，防止激活

(b)不違反交通規則

(c)響應計劃事件

(d)響應意外事件

(e)在前方和側面探測范圍內，探測是否有其他道路使用者

(f)響應其他道路使用者時的車輛行為（跟車距離、切入場景、切出場景等）

(g)系統超控

測試路線的位置和選擇、當日時間和環境條件應由技術服務部門確定。

應記錄試驗駕駛情況，并為試車配備無擾動設備。技術服務部門可能會記錄或需要系統使用或生成的任何數據通道的日志，這是后期測試評估所必需的。

一旦系統通過了本附件概述的所有其他測試，而技術服務部門完成風險評估后，建議進行真實世界測試。

測試/檢查

6.測試/檢查

6.1 發動機重新啟動/運行后關閉模式

6.2 只有在以下情況下才能激活系統：

(a)駕駛員坐在駕駛員座椅上并且系好安全帶

(b)駕駛員可用

(c)無失效

(d)自動駕駛數據存儲系統(DSSAD)運行

(e)符合系統限制條件

6.3 停用方式

6.3.1 激活和停用專用方式

6.3.2 防止意外行為

6.3.3 轉向

(a)手握方向盤和剎車/加速

(b)在響應接管請求和最低風險控制(MRM)時，駕駛員手握方向盤

(c)停用后

6.4 系統超控方式

(a)轉向控制

(b)制動輸入高于系統

(c)在系統限制內加速

6.5 認定駕駛員可用的標準

6.5.1 駕駛員輔助系統處于激活狀態

6.5.2 駕駛員注意力

6.6 最低風險控制（MRM）期間的系統行為

(a)駕駛員接管

(b)停頓（危險警告燈）

(c)如果處于停頓狀態，則無法重新激活

6.7 接管請求&行為/升級

6.8 駕駛員恢復控制

6.9 駕駛員無響應（MRM）

(a)預期接管

(b)意外接管

6.9.1 運行期間的接管請求

6.9.2 超過系統參數

6.10 失效

(a)可檢測到的碰撞

(b)駕駛員不可用

6.11 緊急控制的系統行為

(a)導致停頓

(b)不會導致停頓

7系統探測范圍

7.1.1前方

7.1.2側面

7.1.3可見性

關鍵字：自動車道保持系統

責任編輯：黑蘿莉

上一篇：為歐洲MaaS模型創建功能基礎

下一篇：最后一頁

新聞中心

聯合國《自動車道保持系統（ALKS）》法規

制造商應提供自動車道保持系統的信息文件表格，以供審批

1. 系統描述：自動車道保持系統

延伸閱讀！

VIP項目信息

每周新聞精選