欧盟完全自动驾驶车辆型式认证法规(EU) 2022/1426

   很重要的法规，不知道为何没人提，自动驾驶公司难道不应该抢着争取认证吗？至少也应该低调表示下自己已具备相应的技术能力。

2022年8月26日，欧盟发布了自动驾驶车辆的型式认证法规Reg.(EU)2022/1426-全自动车辆自动驾驶系统（ADS）型式认证的统一程序和技术规范。该法规是针对完全自动驾驶车辆（fully automated vehicles）的型式认证立法，规范的对象为L4级和L5级自动驾驶。这是世界上首个允许成员国批准注册和销售高级别自动驾驶技术汽车的技术法规，且适用于乘用车与货车。

新的自动驾驶系统（ADS）法规将只适用于以欧盟小批量模式进行的车辆型式认证，大批量生产车辆型式认证要求将会纳入欧盟委员会下一阶段的工作计划中，预计在2024年7月之前完成。对于自动驾驶车辆取代高速公路上的驾驶员（L3级自动驾驶），欧盟立法与联合国一致，参考新的联合国L3级自动化规则-联合国第157号法规修正案-“自动车道保持系统（ALKS）”。

一、适用认证对象

R2022/1426法规认证对象为“全自动车辆的自动驾驶系统（automated driving system (ADS) of fully automated vehicles）” ，也即L4/L5级自动驾驶系统。本法规适用于M类和N类全自动车辆的自动驾驶系统型式认证，适用于以下使用情况：（a）全自动车辆，包括双模车辆，设计和制造用于在预定区域内载客或载货。（b）“枢纽到枢纽”：全自动车辆，包括双模车辆，设计和制造用于在预定路线上运送乘客或货物，行程/行程的起点和终点固定。（c）“自动代客泊车”：具有全自动驾驶模式的双模式车辆，用于在预定义停车设施内停车。系统可以使用或不使用停车设施的外部基础设施（例如定位标记、感知传感器等）来执行动态驾驶任务。

二、带来的技术挑战

法规关于如何进行自动驾驶系统评估的描述非常完整，对性能、测试、场景评估、安全概念、工具链、在用报告提出了具体的详细要求。有两个主要部分：ADS性能要求和ADS合规性评估。其中ADS性能要求是设计自动驾驶车辆软件和硬件的关键，包括安全操作的安全要求。
该法规对当前的自动驾驶技术提出了一些挑战，以下为部分示例：

• 与道路安全官员/执法人员、道路维护人员、应急服务人员、道路检查员等安全互动。

• 响应突然出现的障碍物（碎片、货物）。

• 在MRM期间，带ADS的全自动车辆应减速，在考虑到周围交通和道路基础设施的情况下，在最安全的地方完全静止。

• ADS应为车辆乘客提供要求最小风险操纵以停止全自动车辆的方法。

• 紧急情况下，对于配备自动操作门的车辆，应在安全的情况下自动解锁车门。

• 能够检测并适应不同道路几何形状的变化，这些变化可能发生在整个速度范围内的预期ODD内。

• 符合国家交通规则，并在整个速度范围内适应道路基础设施（如道路施工现场）的各种永久和临时变化。包括临时改造：例如，交通标志、锥体和其他信号指示的道路维护操作、通行限制。

• 响应高速公路入口、出口和收费站。

三、自动驾驶系统性能要求（部分）

本文以下仅介绍ADS系统性能要求，不涉及合规性评估。（以下为性能要求相关法规部分原文MTPE，仅供参考）
性能要求/ Performance requirements1.标称交通情景下的DDT（DDT under nominal traffic scenarios）2.关键交通情景下的DDT（紧急操作）。3.ODD边界条件下的DDT（ DDT at ODD boundaries）4.故障情况下的DDT（DDT under failure scenarios）5. MRM最小风险操作和MRC最小风险条件6.人机交互（Human machine interaction）7.功能和操作安全（Functional and operational safety）8.网络安全和软件更新（Cyber security and software updates）9.全自动车辆事件数据记录器的ADS数据要求和特定数据要素10.手动驾驶模式（Manual driving mode）…

1.标称交通情景下的DDT（DDT under nominal traffic scenarios）

1.1.ADS应能够执行整个DDT。1.1.1.ADS执行整个DDT的能力应根据ADS的ODD确定。1.1.2.作为DDT的一部分，ADS应能够：（a） 以安全速度运行，并遵守适用于车辆的速度限制；（b） 通过控制车辆的纵向和横向运动，与其他道路使用者保持适当距离；（c） 以适当的安全导向方式使其行为适应周围交通条件（例如，通过避免交通流中断）；（d） 根据安全风险调整其行为，并将保护人的生命作为最高优先事项；1.1.3.系统应证明与其他道路使用者互动时的预期行为，以确保在危急情况可能迫在眉睫时的稳定、低动态、纵向行为和风险最小化行为，例如，无障碍和障碍的易受伤害道路使用者（行人、骑自行车者等）或其他车辆在全自动车辆前面横穿或切入。1.1.4.如果ODD要求或在ODD中声明倒车档位，则应在倒车方向满足与DDT相关的要求，
1.2 ADS应检测并适当响应ODD内与DDT相关的对象和事件。对象和事件可能包括但不限于：（a） 机动车辆和其他道路使用者，如摩托车、自行车、踏板车、轮椅使用者、行人和障碍物（如碎片、丢失的货物）；（b） 道路事故；（c） 交通拥挤；（d） 道路工程；（e） 道路安全官员和执法人员；（f） 应急车辆；（g） 交通标志、道路标线；（h） 环境条件（例如，由于下雨、下雪导致速度降低）。
1.3.AV应符合运营国家的交通规则1.3.1.AV应根据交通规则与其他道路使用者安全互动，例如：（a） 发出操纵意图信号（如方向指示器）。（b） 在适当情况下使用声音报警装置。（c） 与道路安全官员/执法人员、道路维护人员、应急服务人员、道路检查员等安全互动。（d） 对于双模式车辆，道路安全官员/执法人员应能识别ADS状态（手动驾驶模式或全自动驾驶模式）
1.3.2.在没有具体交通规则的情况下，拟搭载站立或未受约束车辆乘员的ADS车辆不得超过2.4 m/s2的组合水平加速度（绝对值，计算为横向和纵向加速度的组合）和5 m/s3的加速度变化率。根据影响占用者和其他道路使用者风险的因素，可能适当超过这些限制，如紧急操作。

2.关键交通情景下的DDT（紧急操作）。

DDT under critical traffic scenarios (emergency operation)2.1 ADS应能够对ODD中所有合理可预见的关键交通场景进行DDT。2.1.1.ADS应能够检测与其他道路使用者碰撞的风险，或突然出现的障碍物（碎片、负载丢失），并应能够自动执行适当的紧急操作（制动、规避转向），以避免合理可预见的碰撞，并将车辆乘员和其他道路使用者的安全风险降至最低。2.1.1.2.在不可避免的人命替代风险的情况下，AV不得基于人的个人特征提供任何加权。2.1.1.2.对全自动车辆外部其他人的生命的保护不应低于对全自动车内部人的生命保护。2.1.2.避免/缓解策略应考虑相关道路使用者的脆弱性。2.1.3.规避操纵后，车辆应在技术上尽快恢复稳定运动。2.1.4.激活危险警告灯的信号应根据交通规则自动生成。如果全自动车辆再次自动驶离，则应自动生成停用危险警告灯的信号。2.1.5.如果发生涉及全自动车辆的交通事故，ADS应旨在停止全自动车辆，并旨在执行最小风险操作，以达到最小风险条件。在通过ADS或/和车载操作员（如适用）或远程干预操作员（若适用）的自检确认全自动车辆的安全运行状态之前，ADS不得恢复正常运行。

3.ODD边界条件下的DDT（ DDT at ODD boundaries）

3.1.ADS应识别其ODD条件和ODD边界。3.1.1.ADS应能够确定是否满足ADS激活条件。3.1.2.当一个或多个ODD条件未满足或不再满足时，ADS应检测并响应。3.1.3.ADS应能够预测退出ODD 。3.1.4.ODD条件和边界应由制造商确定。3.1.4.1.ADS识别的ODD条件包括：（a） 降水（雨、雪）；（b） 一天中的时间；（c） 光强度，包括使用照明设备时的光强度；（d） 雾，薄雾；（e） 道路和车道标线；（f） 道路类别（如车道数、分隔车道数；（g） 地理区域（如适用）。3.1.5.当ADS到达ODD边界时，其应执行MRM以达到MRC，并相应地警告车载操作员（如适用）/远程操作员（若适用）。

4.故障情况下的DDT（DDT under failure scenarios）

4.1.ADS应检测和响应ADS和/或车辆故障行为。4.1.1.ADS应自诊断故障和故障。4.1.2.ADS应评估其完成整个DDT的能力。4.1.2.1.ADS应安全响应不会显著影响ADS性能的ADS故障/故障。4.1.2.2.ADS应执行MRM，以在ADS和/或其他车辆系统发生故障时实现MRC，从而阻止ADS执行DDT。4.1.2.3.ADS应在检测到重大故障后立即向车辆乘客、车载操作员（如果可用）或远程干预操作员（如果相关）以及其他道路使用者发出信号，并根据交通规则（例如，激活危险警告灯）。4.1.2.4.如果故障影响车辆的制动或转向性能，则应考虑剩余性能进行MRM。

5. MRM最小风险操作和MRC最小风险条件

（Minimal risk manoeuvre (MRM) and Minimal risk Condition (MRC)）5.1.在MRM期间，带ADS的全自动车辆应减速，以达到不大于4.0 m/s2的减速需求，在考虑到周围交通和道路基础设施的情况下，在最安全的地方完全静止。在严重ADS或严重全自动车辆故障的情况下，允许更高的减速需求值。5.2.ADS应根据交通规则（例如，通过激活危险警告灯）向全自动车辆的乘客以及其他道路使用者发出将全自动车辆放置在MRC中的意向信号5.3.全自动车辆应仅在通过ADS自检和/或车载操作员（如适用）或远程干预操作员（若适用）确认MRM原因不再存在后离开MRC。

6.人机交互（Human machine interaction）

6.1.应向全自动车辆的乘客提供足够的信息，以确保安全运行并考虑安全危险，6.2.如果远程干预操作员是ADS安全概念的一部分，则全自动车辆应为车辆乘客提供通过全自动车辆中的视听接口呼叫远程干预操作员的方式。视听界面应使用明确的标志（如ISO 7010 E004）6.3.ADS应为车辆乘客提供要求最小风险操纵以停止全自动车辆的方法。紧急情况下：（a） 对于配备自动操作门的车辆，应在安全的情况下自动解锁车门，（b） 应为乘客提供在车辆静止时离开车辆的方式（打开车门或通过紧急出口）。6.4.如果远程干预操作员是ADS安全概念的一部分，则全自动车辆应提供车辆内部乘员空间和车辆周围的视觉系统（例如，符合ISO16505:2019第6章的摄像头），以允许远程干预操作员评估车辆内外的情况。6.5.如果远程干预操作员是ADS安全概念的一部分，则远程干预操作员应能够远程打开电动服务门。6.6.ADS应在必要和适用时激活相关车辆系统（例如，打开车门、在下雨时激活雨刮器、加热系统等）

7.功能和操作安全（Functional and operational safety）

7.1.制造商应证明在其设计和开发过程中，已对ADS的功能和操作安全给予了可接受程度的考虑。制造商采取的措施应确保，与运营领域内的类似运输服务和情况相比，全自动车辆在车辆使用寿命期间不会对车辆乘员和其他道路使用者造成不合理的安全风险。7.1.1.制造商应定义验收标准，从中得出ADS的验证目标，以评估ODD的剩余风险，同时考虑到现有事故数据（1）、合格且谨慎驾驶的手动车辆的性能数据和最新技术。7.2.制造商应具有管理ADS在使用寿命内的安全性和持续合规性的流程（部件磨损尤其是传感器、新交通场景等）

8.网络安全和软件更新（Cyber security and software updates）

8.1.根据联合国第155号条例，应保护AV免受未经授权的访问。8.2.ADS应支持软件更新。与ADS相关的软件更新程序和过程的有效性应通过遵守联合国第156号法规来证明。8.2.1根据《软件更新和软件更新管理系统条例》的规定，为确保系统软件可识别，应使用R2022/1426SWIN。R2022/1426SWN可固定在车辆上，如果R2022/1426SWIN未固定在车辆中，制造商应向型式认证机构声明车辆或与相关型式认证连接的单个ECU的软件版本。8.2.2制造商应在信息文件中提供以下信息：（a） R2022/1426SWIN；（b） 如果R2022/1426SWN未固定在车辆上，如何读取R2022/1426SWIN或软件版本。8.2.3.制造商可在信息文件中提供相关参数列表，以识别可使用R2022/1426SWIN代表的软件进行更新的车辆。所提供的信息应由制造商声明，不得由型式认证机构验证。8.2.4.制造商可获得新的车辆型式认证，以区分已在市场注册车辆上使用的软件版本和新车辆上使用软件版本。这可能包括更新型式认证法规或对批量生产的车辆进行硬件更改的情况。经型式认证机构同意，应尽可能避免重复试验。

9.全自动车辆事件数据记录器的ADS数据要求和特定数据要素

ADS data requirements and specific data elements for event data recorder for fully automated vehicles9.1.当ADS激活时，ADS应记录以下事件：9.1.1.ADS的激活/重新初始化（如适用）9.1.2.AV的停用（如适用）9.1.3.ADS向远程干预操作员发送的请求（如适用）9.1.4.远程干预操作员发送的请求/输入（如适用）9.1.5.启动应急运行9.1.6.应急运行结束9.1.7.涉及检测到的碰撞9.1.8.事件数据记录器（EDR）触发输入9.1.9.ADS的最小风险机动参与9.1.10.全自动车辆达到的最小风险条件9.1.11.ADS故障（说明）9.1.12.车辆故障9.1.13.车道变更程序的开始9.1.14.车道变更程序结束9.1.15.车道变更程序的中止9.1.16.开始有意交叉车道（intentional lanecrossing）9.1.17.结束有意车道交叉9.2 Occurrencesflagsforpoints9.1.13.,9.1.14.,9.1.16.and9.1.17.areonlyrequiredtobestorediftheyhappen within 30 seconds before the occurrences in points 9.1.5., 9.1.7., 9.1.15. or9.1.8.:9.3.ADS数据元素9.3.1.对于第9.1点中列出的每次事件，应以清晰可识别的方式记录以下数据元素：9.3.2.记录的发生标志9.3.3.发生原因（视情况而定），9.3.4.日期（年月日）；9.3.5.位置（GPS坐标）9.3.6.时间戳：（a） 分辨率：hh/mm/ss时区，例如UTC的12:59:59（b） 精度：+/-1.0秒。9.4.对于每次记录的事件，应清楚识别RXSWIN或软件版本，表明事件发生时存在的软件。9.5.对于在特定数据元素的时序分辨率内同时记录的多个元素，可以允许单个时间戳。如果使用相同的时间戳记录了多个元素，则来自单个元素的信息应指示时间顺序。9.6.数据可用性9.6.1.ADS数据元素应符合欧盟或国家法律（4）规定的要求。9.6.2.一旦存储容量达到其极限，现有数据只能按照先进先出程序覆盖，原则是尊重相关数据可用性要求。制造商应提供存储容量的书面证据。9.6.3.对于M1和N1类车辆，即使在受到联合国第94、95或137号法规规定的严重性水平的影响后，也应可检索数据元素。9.6.4.对于M2、M3、N2和N3类车辆，第9.2点中列出的数据元素应可在碰撞后检索。为了证明这种能力，以下适用：（a） 应在联合国第100（8）号法规03系列修正本附件9C的部件试验中规定的严重程度下，对车载数据存储设备（如有）施加机械冲击，以及（b） 车载数据存储设备应安装在车辆驾驶室/乘客舱内，或安装在具有足够结构完整性的位置，以防止可能妨碍数据检索的物理损坏。这应与适当的文件（如计算或模拟）一起向技术服务部门证明；或（c） 制造商证明满足第9.6.3点的要求（例如，对于源自M1/N1的M2/N2车辆）。9.6.5.如果车载主电源不可用，仍应能够检索所有记录的数据。9.6.6.通过使用电子通信接口，至少通过标准接口（OBD端口），存储的数据应易于以标准化方式读取。9.7全自动车辆事件数据记录器的特定数据元素9.7.1.对于根据法规（EU）2019/2144第6条安装事件数据记录器的车辆，应能够通过标准接口（OBD端口）检索第9.3.1点和第9.2.2点中所述的ADS数据元素，该数据元素在事件标志“事件数据记录器（EDR）触发输入”的最后设置之前至少记录30秒，除联合国条例160（9）附件4（EDR数据）中规定的数据元素外。9.7.2.如果没有第9.1点中提到的任何事件，在事件标志“事件数据记录器（EDR）触发输入”最后设置之前的最后30秒内，应能够检索与EDR数据一起的数据元素，该数据元素至少与第9.2.1点和第9.3.2点中提及的相同功率循环内的最后事件相对应。9.7.3.根据第9.7.点或第9.1.2.点检索的数据元素不应包括日期和时间戳或允许识别车辆、其用户或车主的任何其他信息。相反，时间戳应替换为表示发生标志“事件数据记录器（EDR）触发输入”与相应ADS数据元素的发生标志之间的时间差的信息。9.8.制造商应提供如何访问数据的说明。9.9.防止操纵9.9.1.应确保对存储数据的操纵（如数据擦除）提供充分的保护，例如通过防篡改设计

10.手动驾驶模式（Manual driving mode）

10.1. 如果ADS允许手动驾驶以进行维护或在全自动车辆中提供最小风险操纵后接管，车辆应限制在6 km/h，并应提供使驾驶车辆的人员能够根据制造商的安全概念安全执行驾驶任务的方法。除故障情况外，ADS应继续检测操纵区域内的障碍物（如车辆、行人），并应支持驾驶员立即停止车辆以避免碰撞。10.2. 如果手动驾驶限制为6 km/h，则驾驶员无需停留在全自动车辆内。可通过位于车辆附近的遥控器执行控制，前提是车辆保持在驾驶员的直接视线内。遥控器可控制的最大距离不得超过10米。