1 范围

本文件规定了自动驾驶公交车的车辆基本要求、车辆运营要求和信息安全要求。
本文件适用于具备4级及以上驾驶自动化能力,提供载客运营服务的小型、中型和大型公共汽车。
其他车型参照执行。
注:小型、中型和大型公共汽车引自JTT 888-2014。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 4785 汽车及挂车外部照明和光信号装置的安装规定
GB 7258 机动车运行安全技术条件
GB 12676 商用车辆和挂车制动系统技术要求及试验方法
GB 13094 客车结构安全要求
GB 14166 机动车乘员用安全带、约束系统、儿童约束系统和 ISOFIX 儿童约束系统
GB 15741 汽车和挂车号牌板(架)及其位置
GB 17675 汽车转向系 基本要求
GB 34655 客车灭火装备配置要求
GB/T 40429 汽车驾驶自动化分级
GA 36 中华人民共和国机动车号牌
JT/T 888 公共汽车类型划分及等级评定

3 术语和定义、缩略语

3.1 术语和定义

下列术语和定义适用于本文件。

3.1.1 自动驾驶公交车 automated driving bus

具备4级及以上驾驶自动化能力,用于城市内运输乘客的公共汽车。
注:驾驶自动化能力指GB/T 40429-2021规定的驾驶自动化分级。

3.1.2 安全员 safety inspector

实时对自动驾驶车辆进行接管并执行部分或全部动态驾驶任务的人员。

3.1.3 远程驾驶员 remote driver

不在可以手动直接操作车辆制动、加速、转向和换挡等操纵装置的驾驶座位上,仍可以实时操纵车
辆的驾驶员。
[来源:GB/T 40429-2021,2.17.1.2]

3.1.4 在线升级 over-the-air update;OTA

通过无线方式而不是使用电缆或其他本地连接进行数据传输的软件升级。

3.1.5 自动驾驶系统 automated driving system;ADS

由实现自动驾驶功能的硬件和软件所共同组成的系统。

3.1.6 最高设计运行速度 maximum design operational speed;Vmax

车辆在自动驾驶模式下运行的最高速度。

3.1.7 运营管理平台 operation management platform

支持用户终端、车内显示屏、人机交互等日常运营工作的管理平台。

3.1.8 安全监控平台 safety monitoring platform

对车辆线路运营状态及异常情况进行监控的监管平台。

3.1.9 设计运行范围 operational design domain;ODD

驾驶自动化系统设计时确定的适用于其功能运行的外部环境条件。
[来源:GB/T 40429-2021,2.11]

3.2 缩略语

以下缩略语适用于本文件。
V2X:车辆与其他设备通讯(Vehicle to Everything)
TLS:传输层安全性协议(Transport Layer Security)
DoS:拒绝服务(Denial of Service)
DDoS:分布式拒绝服务攻击(Distributed Denial of Service)
IMSI:国际移动用户识别码(International Mobile Subscriber Identity)
ECU:电子控制单元(Electronic Control Unit)

4 车辆基本要求

4.1 整车要求

4.1.1 标志标牌

4.1.1.1 在车身前部外表面的易见部位上应至少装置一个能永久保持,且与车辆品牌相适应的商标或 厂标。
4.1.1.2 车辆应留有安装前后号牌的位置,号牌板(架)位置应能满足 GB 7258 和 GB 15741 的要求。
号牌板外廓尺寸和号牌板(架)的号牌安装孔尺寸应满足 GA 36 的要求。
4.1.1.3 车内应设置满足 GB 7258 要求的产品标牌。
4.1.1.4 车辆外部应设置自动驾驶专用标识,可根据要求自行设计标识。

4.1.2 最高设计运行速度

车辆在自动模式下的最高设计运行速度应不小于20 km/h。

4.1.3 侧倾稳定性

按GB/T 14172规定的方法测试,车辆在空载及静态条件下,向左侧和右侧倾斜的侧倾稳定角均应不小于35°。

4.1.4 信号及照明

车辆应配备满足GB 4785要求的照明和光信号装置。

4.1.5 转向

车辆的转向性能应满足GB 17675及GB 7258的要求。

4.1.6 制动

车辆的制动性能应满足GB 12676及GB 7258的要求。

4.2 安全配置

4.2.1 安全带

车辆所有座椅应配备满足GB 14166及GB 7258要求的安全带。

4.2.2 灭火装备

车辆应配备满足GB 34655要求的灭火装备。

4.2.3 火灾监测报警系统

车辆应具备火灾检测自动报警功能,能够检测到动力电池、发动机舱、驾驶舱及车厢的起火情况,并能向安全员及乘客发出声学和光学报警信号。

4.2.4 紧急制动装置

车辆应具备紧急制动装置,确保车辆在紧急情况下可制动并停止。

4.2.5 乘客用扶手和把手

如车辆设有乘客站立区,应配备满足GB 13094要求的扶手和把手。

4.3 专用设备

4.3.1 车内信息交互设备

4.3.1.1 车辆应配备向车内乘客提供信息交互的设备。
4.3.1.2 如车辆设有安全员,应配备向安全员提供信息交互的设备。

4.3.2 车外信息交互设备

4.3.2.1 车辆应配备向车外交通参与者提供信息交互的功能。
4.3.2.2 车外信息交互设备可安装在车辆前侧、右侧或后侧的上方位置。

4.3.3 车内监控设备

车辆应配备车内监控设备,且监控范围应保证对车内空间的完全覆盖,此功能应满足个人信息保护要求。

5 车辆运营要求

5.1 身份验证

5.1.1 乘客验证

车辆应具备乘客身份识别与验证功能,此功能应满足个人信息保护要求。

5.1.2 安全员验证

如车辆设有安全员,车辆应具备安全员身份识别与验证的功能,此功能应满足个人信息保护要求。

5.2 车内信息交互

5.2.1 乘客信息交互

5.2.1.1 车辆面向乘客的信息交互功能应包括但不限于如下内容:
a) 线路名、起终点、运营时间、班次间隔及途径站点在内的线路基础信息;
b) 车辆行驶路径、实时位置、实时车速及剩余里程在内的车辆运行信息;
c) 语音报站、安全提醒及紧急停车提醒。
5.2.1.2 车辆面向乘客的交互功能宜包括车内温度、湿度、天气预报等信息。

5.2.2 安全员信息交互

5.2.2.1 如车辆设有安全员,车辆应具备面向安全员的信息交互功能。信息交互功能应设置安全验证机制,确保经过授权的安全员才能使用。
5.2.2.2 车辆面向安全员的信息交互功能应包括但不限于如下内容:
a) 识别并记录安全员上岗及下岗时间信息;
b) 面向安全员提供班次计划及调度指令信息;
c) 线路名、起终点、运营时间、班次间隔及途径站点在内的线路基础信息;
d) 车辆行驶路径、实时位置、实时车速及剩余里程在内的车辆运动学信息;
e) 车辆周围交通参与者及道路标志标线信息;
f) 语音报站、安全提醒及紧急停车提醒;
g) 车辆故障信息。

5.3 车外信息交互

5.3.1 应用信息

5.3.1.1 车辆在转向及制动时应能给后方车辆发出提示信息,提示信息应能从车辆后方清晰识别。
5.3.1.2 车辆应具备在进站及出站时向车外交通参与者发出安全提示的功能。

5.3.2 公益信息

5.3.2.1 车辆宜具备向其他道路使用者显示前方信号灯信息的能力。
5.3.2.2 车辆宜具备向其他道路使用者显示车辆感知到的道路异常信息的能力,如前方施工、事故等。
5.3.2.3 车辆宜具备公共信息宣传能力。

5.3.3 V2X 信息

车辆宜具备接收或发送V2X消息的能力,如交通、天气信息等。

5.4 外部响应

5.4.1 运营管理平台

5.4.1.1 车辆应具备接入运营管理平台的能力,运营管理平台应对车辆运行情况进行管理。
5.4.1.2 车辆向运营管理平台应至少上传如下内容:
a) 车辆数据,包括车辆电子档案、维修保养信息、OTA 升级等信息;
b) 车辆运营相关的数据,包括车辆实时位置、行驶轨迹、乘车人次、行驶里程。

5.4.2 安全监控平台

5.4.2.1 车辆应接入安全监控平台。
5.4.2.2 车辆应实时将车辆位置、行驶轨迹、车辆异常情况等信息上传至安全监控平台。

5.4.3 配套设施

车辆如需使用智慧站台等配套设施,应具备向配套设施发送信息的能力,信息宜包括车辆位置、到站时间等。

5.5 安全监测

5.5.1 超载监测

车辆应具备乘车人数识别的能力。如车辆超过额定载客人数时应报警,并提示后续乘客换乘其他车辆。

5.5.2 安全带监测

车辆应配备满足GB/T 24551要求的安全带提醒装置,并能对所有安全带的使用状态进行监测。

5.5.3 乘员状态监测

车辆应具备对车内乘员危险动作监测的功能。

5.6 数据记录

5.6.1 功能要求

车辆应具备自动驾驶数据记录功能,以用于事故分析及责任判定。

5.6.2 记录存储

自动驾驶系统开启时,车辆应采用实时记录的方式记录数据,且记录数据的能力不低于48小时。

5.6.3 数据元素

车辆记录的数据应包括附录A的车辆及系统基本信息、车辆状态及动态信息、自动驾驶系统运行信息、行车环境信息及驾乘人员状态信息。

5.7 其他要求

5.7.1 车门防夹

车辆应具备满足GB 13094要求的车门防夹功能。

5.7.2 远程控制

5.7.2.1 车辆宜具备远程控制能力。
5.7.2.2 如车辆具备远程控制能力,当车辆出现故障、驶出设计运行范围及遇到难以通过的场景,车辆应能主动发起远程控制请求,请求远程驾驶员协助控制。

6 信息安全要求

6.1 自动驾驶车载终端

6.1.1 硬件安全要求

6.1.1.1 自动驾驶车载终端的芯片调试接口应禁用或设置安全访问控制,且不存在后门或隐蔽接口。
6.1.1.2 自动驾驶车载终端所使用的关键芯片,包含但不限于处理器、存储模块、通讯 IC 等用于处理、存储和传输敏感信息的安全芯片。
6.1.1.3 自动驾驶车载终端使用的关键芯片应减少暴露管脚。
6.1.1.4 自动驾驶车载终端的芯片之间应减少通信线路的数量,如使用多层电路板的车载信息交互系统可采用内层布线方式隐藏通信线路。
6.1.1.5 自动驾驶车载终端的电路板及芯片不宜暴露用以标注、端口和管脚功能的可读丝印。
6.1.1.6 自动驾驶车载终端能够对抗针对加密及解密操作的密码分析攻击、侧信道攻击、故障注入攻击等破坏数据保密性和完整性的安全威胁,保证车载端所存储的关键数据不被泄露或篡改,芯片功能可以正常使用。

6.1.2 软件安全要求

6.1.2.1 操作系统、固件系统、应用软件和配置文件的升级、加载和安装,应验证提供方的身份真实性和来源的合法性。
6.1.2.2 操作系统应验证登录用户身份的真实性和合法性。
6.1.2.3 应用软件应具备针对安全威胁的防护措施,防止被逆向分析、反编译、篡改、非授权访问等,宜采用代码混淆或加壳等措施。
6.1.2.4 应验证操作系统、固件系统和配置文件的升级、加载和安装的完整性。
6.1.2.5 软件系统和固件系统启动及运行时,应验证其完整性。
6.1.2.6 操作系统、固件系统、应用软件、配置文件和数据资产的访问可控性应满足如下要求:
a) 能验证对操作系统、固件系统、应用软件、配置文件和数据资产的访问、操作和使用的权限;
b) 能验证操作系统、固件系统、应用软件和配置文件的升级、加载和安装的权限。
6.1.2.7 操作系统、固件系统及应用软件的日志应满足如下要求:
a) 对用户活动和操作指令的重要信息安全事件进行记录,记录内容宜包含事件的时间、用户、事件类型及事件成功情况的信息;
b) 采取访问控制机制管理日志读取和写入的权限;
c) 对日志文件进行安全存储;
d) 对个人敏感信息,应进行脱敏等防护后,才能写入日志文件。日志文件不包含敏感信息,如括个人信息、账户信息。
6.1.2.8 操作系统、固件系统及应用软件应具备对自身受到信息安全攻击的感知能力。当受到信息安全攻击时,宜进行信息安全报警或阻止攻击的响应。

6.2 通信安全要求

6.2.1 车云平台通信

6.2.1.1 蜂窝移动通信网络层之上应支持独立的双向认证机制。
6.2.1.2 蜂窝移动通信网络层之上应支持独立的加密机制,应采用 TLS1.2 版本及以上的安全协议进行加密。
6.2.1.3 蜂窝移动通信网络层之上应支持独立的完整性机制,应采用 TLS1.2 版本及以上安全协议进行完整性保护,并满足如下要求:
a) 与外部通信的部件应支持防 DoS/DDoS 攻击;
b) 与外部通信的部件应支持抗无线干扰;
c) 车外远距离通信应具备对通信报文进行访问控制的能力,白名单访问控制、报文过滤、防通信流量过载机制等;
d) 车外远距离通信应确保蜂窝移动通信网络层通信 ID(如:国际移动用户识别码 IMSI 等)的唯一性;
e) 车外远距离通信应具备对通信报文的安全监控能力和攻击行为的感知能力,当受到信息安全攻击时,宜进行报文清洗、流量控制或阻止攻击行为的响应。

6.2.2 车内通信

6.2.2.1 车内以太网络通信应验证 ECU 双方身份的真实性。
6.2.2.2 车内以太网数据应进行加密。
6.2.2.3 车内通信数据应采用完整性保护机制。
6.2.2.4 车内通信应具备通信流量控制能力,受到恶意软件感染或者服务拒绝攻击而造成车内通信流量异常时,仍然有能力提供可接受的通信。
6.2.2.5 应将车内网络划分为不同的信息安全区域,每个信息安全区域之间宜进行网络隔离。
6.2.2.6 信息安全区域间应采用边界访问控制机制对来访的报文进行控制,例如采用报文过滤机制、报文过载控制机制和用户访问权限控制机制等。
6.2.2.7 车内通信应具备日志记录的能力,如记录流量过载、高频率收到异常报文等。
6.2.2.8 车内通信应对异常报文具有感知能力。当感知到异常报文时,宜具有报警或其他安全响应的能力,如接收到高频率的重放报文或者被篡改过的报文等异常现象。

6.3 OTA 要求

6.3.1 安全要求

6.3.1.1 自动驾驶系统升级时,车载网络设备和远程服务器之间应采用双向认证。
6.3.1.2 升级包的传输应采用加密措施。
6.3.1.3 自动驾驶系统接收升级包后,应对升级包的数字签名信息进行验证,以校验升级包的完整性。

6.3.2 管理要求

应具备OTA管理功能,包括但不限于版本管理、版本备份及升级失败回滚,以保证正在更新的系统能够从失败或者中断的更新中恢复。

附 录 A (规范性) 自动驾驶公交车数据记录元素集

A.1 车辆及自动驾驶数据记录系统基本信息

车辆及自动驾驶数据记录系统基本信息应符合表A.1要求。
image.png
image.png

A.2 车辆状态及动态信息

车辆状态及动态信息应符合表A.2要求。
image.png

A.3 自动驾驶系统运行信息

自动驾驶系统运行信息应符合表A.3要求。
image.png
image.png

A.4 行车环境信息

行车环境信息应符合表A.4要求。
image.png
image.png

A.5 驾乘人员操作及状态信息

驾乘人员操作及状态信息应符合表A.5要求。
02.自动驾驶公交车第 1 部分:车辆运营技术要求 - 图8