Dieses Dokument ist ein Auszug aus dem EUR-Lex-Portal.
Dokument 32022R1426
Commission Implementing Regulation (EU) 2022/1426 of 5 August 2022 laying down rules for the application of Regulation (EU) 2019/2144 of the European Parliament and of the Council as regards uniform procedures and technical specifications for the type-approval of the automated driving system (ADS) of fully automated vehicles (Text with EEA relevance)
Durchführungsverordnung (EU) 2022/1426 der Kommission vom 5. August 2022 mit detaillierten Regelungen zur Durchführung der Verordnung (EU) 2019/2144 des Europäischen Parlaments und des Rates im Hinblick auf die einheitlichen Verfahren und technischen Spezifikationen für die Typgenehmigung des automatisierten Fahrsystems (ADS) vollautomatisierter Fahrzeuge (Text von Bedeutung für den EWR)
Durchführungsverordnung (EU) 2022/1426 der Kommission vom 5. August 2022 mit detaillierten Regelungen zur Durchführung der Verordnung (EU) 2019/2144 des Europäischen Parlaments und des Rates im Hinblick auf die einheitlichen Verfahren und technischen Spezifikationen für die Typgenehmigung des automatisierten Fahrsystems (ADS) vollautomatisierter Fahrzeuge (Text von Bedeutung für den EWR)
C/2022/5402
ABl. L 221 vom 26.8.2022, S. 1-64
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In Kraft
|
26.8.2022 |
DE |
Amtsblatt der Europäischen Union |
L 221/1 |
DURCHFÜHRUNGSVERORDNUNG (EU) 2022/1426 DER KOMMISSION
vom 5. August 2022
mit detaillierten Regelungen zur Durchführung der Verordnung (EU) 2019/2144 des Europäischen Parlaments und des Rates im Hinblick auf die einheitlichen Verfahren und technischen Spezifikationen für die Typgenehmigung des automatisierten Fahrsystems (ADS) vollautomatisierter Fahrzeuge
(Text von Bedeutung für den EWR)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2019/2144 des Europäischen Parlaments und des Rates vom 27. November 2019 über die Typgenehmigung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge im Hinblick auf ihre allgemeine Sicherheit und den Schutz der Fahrzeuginsassen und von ungeschützten Verkehrsteilnehmern, zur Änderung der Verordnung (EU) 2018/858 des Europäischen Parlaments und des Rates und zur Aufhebung der Verordnungen (EG) Nr. 78/2009, (EG) Nr. 79/2009 und (EG) Nr. 661/2009 des Europäischen Parlaments und des Rates sowie der Verordnungen der Kommission (EG) Nr. 631/2009, (EU) Nr. 406/2010, (EU) Nr. 672/2010, (EU) Nr. 1003/2010, (EU) Nr. 1005/2010, (EU) Nr. 1008/2010, (EU) Nr. 1009/2010, (EU) Nr. 19/2011, (EU) Nr. 109/2011, (EU) Nr. 458/2011, (EU) Nr. 65/2012, (EU) Nr. 130/2012, (EU) Nr. 347/2012, (EU) Nr. 351/2012, (EU) Nr. 1230/2012 und (EU) 2015/166 der Kommission (1), insbesondere auf Artikel 11 Absatz 2,
in Erwägung nachstehender Gründe:
|
(1) |
Es ist erforderlich, die Durchführungsvorschriften für die Typgenehmigung des automatisierten Fahrsystems vollautomatisierter Fahrzeuge zu erlassen, insbesondere für die in Artikel 11 Absatz 1 Buchstaben a, b, d und f der Verordnung (EU) 2019/2144 aufgeführten Systeme. Systeme zur Überwachung der Fahrerverfügbarkeit sollen gemäß Artikel 11 Absatz 1 der Verordnung (EU) 2019/2144 nicht für vollautomatisierte Fahrzeuge gelten. Darüber hinaus ist das harmonisierte Format für den Austausch von Daten, z. B. für eine Kolonnenbildung aus Fahrzeugen mehrerer Marken, noch Gegenstand von Normungstätigkeiten und wird in diesem Stadium nicht in diese Verordnung aufgenommen. Die Genehmigung der automatisierten Fahrsysteme von automatisierten Fahrzeugen sollte nicht unter diese Verordnung fallen, da diese mit einem Verweis auf die UN-Regelung Nr. 157 über das automatisierte Spurhalteassistenzsystem (2) in Anhang I der Verordnung (EU) 2019/2144, in dem die in der EU verbindlich anzuwendenden UN-Regelungen aufgeführt sind, abgedeckt werden soll. |
|
(2) |
Für die Gesamtfahrzeug-Typgenehmigung von vollautomatisierten Fahrzeugen sollte die Typgenehmigung ihres automatisierten Fahrsystems nach dieser Verordnung durch die Anforderungen in Anhang II Teil I Anlage 1 der Verordnung (EU) 2018/858 des Europäischen Parlaments und des Rates (3) ergänzt werden. In der nächsten Stufe wird die Kommission bis Juli 2024 die Arbeiten zur Weiterentwicklung und Annahme der erforderlichen Anforderungen für die EU-Gesamtfahrzeug-Typgenehmigung von vollautomatisierten Fahrzeugen, die in unbegrenzter Serie hergestellt werden, fortsetzen. |
|
(3) |
Die Bewertung des automatisierten Fahrsystems von vollautomatisierten Fahrzeugen, wie sie in dieser Verordnung vorgeschlagen wird, hängt in hohem Maße von den Verkehrsszenarien ab, die für die verschiedenen Anwendungsfälle vollautomatisierter Fahrzeuge relevant sind. Daher ist es erforderlich, diese verschiedenen Anwendungsfälle zu definieren. Diese Anwendungsfälle sollten regelmäßig überprüft und gegebenenfalls geändert werden, um zusätzliche Anwendungsfälle abzudecken. |
|
(4) |
Der Beschreibungsbogen gemäß Artikel 24 Absatz 1 Buchstabe a der Verordnung (EU) 2018/858, den der Hersteller für die Typgenehmigung des automatisierten Fahrsystems vollautomatisierter Fahrzeuge vorzulegen hat, sollte auf dem Muster basieren, das in Anhang II der Durchführungsverordnung (EU) 2020/683 der Kommission (4) für die Gesamtfahrzeug-Typgenehmigung festgelegt ist. Um jedoch einen einheitlichen Ansatz sicherzustellen, ist es notwendig, die für die Typgenehmigung des automatisierten Fahrsystems des vollautomatisierten Fahrzeugs relevanten Angaben aus dem Beschreibungsbogen zu extrahieren. |
|
(5) |
Angesichts der Komplexität automatisierter Fahrsysteme ist es notwendig, die Leistungsanforderungen und Tests dieser Verordnung durch eine Dokumentation des Herstellers zu ergänzen, die nachweist, dass das automatisierte Fahrsystem in den relevanten Szenarien und während seiner Betriebslebensdauer keine unverhältnismäßigen Sicherheitsrisiken für Fahrzeuginsassen und andere Verkehrsteilnehmer verursacht. In diesem Zusammenhang ist es erforderlich, das von den Herstellern einzurichtende Sicherheitsmanagementsystem festzulegen, für Hersteller und Behörden die Parameter zu bestimmen, die für die relevanten Verkehrsszenarien für das automatisierte Fahren zu verwenden sind, Kriterien zu definieren, anhand deren beurteilt werden kann, ob das Sicherheitskonzept des Herstellers die relevanten Verkehrsszenarien, Gefahren und Risiken abdeckt, sowie Kriterien, anhand deren die Validierungsergebnisse des Herstellers, insbesondere die Validierungsergebnisse virtueller Toolchains, bewertet werden können. Schließlich ist es notwendig, die relevanten Daten aus dem praktischen Einsatz festzulegen, die der Hersteller den Typgenehmigungsbehörden zu melden hat. |
|
(6) |
Der EU-Typgenehmigungsbogen und sein Beiblatt gemäß Artikel 28 Absatz 1 der Verordnung (EU) 2018/858, die für das automatisierte Fahrsystem vollautomatisierter Fahrzeuge auszustellen sind, sollten auf den entsprechenden Mustern in Anhang III der Durchführungsverordnung (EU) 2020/683 basieren. Um jedoch einen einheitlichen Ansatz sicherzustellen, ist es notwendig, die für die Typgenehmigung des automatisierten Fahrsystems der vollautomatisierten Fahrzeuge relevanten Angaben aus dem Typgenehmigungsbogen und seinem Beiblatt zu extrahieren. |
|
(7) |
Vorbehaltlich der Bestimmungen der Verordnung (EU) 2018/858 und anderer einschlägiger EU-Rechtsvorschriften berührt diese Verordnung nicht das Recht der Mitgliedstaaten, das Inverkehrbringen und die Sicherheit des Betriebs vollautomatisierter Fahrzeuge im Straßenverkehr und die Sicherheit des Betriebs dieser Fahrzeuge im Rahmen lokaler Transportdienste zu regeln. Die Mitgliedstaaten sind nicht verpflichtet, Flächen, Strecken oder Parkplätze im Rahmen dieser Verordnung vorab festzulegen. Kraftfahrzeuge, die unter diese Verordnung fallen, dürfen nur im Anwendungsbereich von Artikel 1 betrieben werden. |
|
(8) |
Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des Technischen Ausschusses „Kraftfahrzeuge“ — |
HAT FOLGENDE VERORDNUNG ERLASSEN:
Artikel 1
Anwendungsbereich
Diese Verordnung gilt für die Typgenehmigung von vollautomatisierten Fahrzeugen der Klassen M und N hinsichtlich ihres automatisierten Fahrsystems für die folgenden Anwendungsfälle:
|
a) |
Vollautomatisierte Fahrzeuge einschließlich Fahrzeuge mit dualem Fahrmodus, die für den Personen- oder Gütertransport innerhalb eines festgelegten Gebiets entworfen und gebaut sind. |
|
b) |
„Hub-to-hub“: Vollautomatisierte Fahrzeuge einschließlich Fahrzeuge mit dualem Fahrmodus, die für den Personen- oder Gütertransport auf einer festgelegten Strecke mit festen Anfangs- und Endpunkten einer Fahrt entworfen und gebaut sind. |
|
c) |
„Automatisiertes Parken“: Fahrzeuge mit dualem Fahrmodus, die über einen vollautomatisierten Fahrmodus für Parkanwendungen in vordefinierten Parkeinrichtungen verfügen. Das System kann gegebenenfalls eine externe Infrastruktur (z. B. Ortungsmarkierungen, Wahrnehmungssensoren) der Parkeinrichtung nutzen, um die DDT durchzuführen. |
Der Hersteller kann die Einzelgenehmigung oder die Typgenehmigung nach dieser Verordnung für das automatisierte Fahrsystem der in Artikel 2 Absatz 3 der Verordnung (EU) 2018/858 definierten Fahrzeuge beantragen, sofern diese Fahrzeuge die Anforderungen dieser Verordnung erfüllen.
Artikel 2
Begriffsbestimmungen
Zusätzlich zu den Begriffsbestimmungen in der Verordnung (EU) 2018/858 und der Verordnung (EU) 2019/2144 gelten für die Zwecke dieser Verordnung die folgenden Begriffsbestimmungen:
|
1. |
„Automatisiertes Fahrsystem“ (Automated Driving System, ADS) bezeichnet die Hardware und Software, die in ihrer Kombination in der Lage sind, die gesamte DDT dauerhaft in einer bestimmten zulässigen Betriebsdomäne (Operational Design Domain, ODD) durchzuführen. |
|
2. |
„ADS-Merkmal“ bezeichnet eine Anwendung von Hardware und Software des ADS, die für einen speziellen Einsatz innerhalb einer ODD entwickelt wurde. |
|
3. |
„ADS-Funktion“ bezeichnet eine Anwendung von Hardware und Software des ADS, die speziell für die Durchführung eines bestimmten Teils der DDT entwickelt wurde. |
|
4. |
„DDT“ (Dynamic Driving Task, Dynamische Fahraufgabe) bezeichnet alle operativen Funktionen und taktischen Funktionen in Echtzeit, die für den Betrieb des Fahrzeugs erforderlich sind, mit Ausnahme strategischer Funktionen wie Fahrtenplanung und Auswahl von Zielen und Wegpunkten, und die ohne Einschränkung die folgenden Teilaufgaben einschließen:
|
|
5. |
„operative Funktionen“ der DDT bezeichnet Funktionen, die über eine Zeitkonstante von Millisekunden ausgeführt werden und Aufgaben wie Lenkeingaben zum Einhalten der Fahrspur oder Bremsen zur Vermeidung einer aufkommenden Gefahr umfassen. |
|
6. |
„taktische Funktionen“ der DDT bezeichnet Funktionen, die über eine Zeitkonstante von Sekunden ausgeführt werden und Aufgaben wie Fahrspurwahl, das Abwarten von Lücken sowie das Überholen umfassen. |
|
7. |
„Fehler“ bezeichnet einen abweichenden Zustand, der eine Störung verursachen kann. Dies kann sowohl Hardware als auch Software betreffen. |
|
8. |
„Störung“ bezeichnet die Beendigung eines beabsichtigten Verhaltens einer Komponente oder eines Systems des ADS aufgrund des Auftretens eines Fehlers. |
|
9. |
„Überwachung während des Betriebs“ bezeichnet für vom Hersteller gesammelte Daten und Daten aus anderen Quellen, um Nachweise über die Sicherheitsleistung des ADS im praktischen Einsatz zu erhalten. |
|
10. |
„Berichterstattung während des Betriebs“ bezeichnet Daten, die der Hersteller zum Nachweis der Sicherheitsleistung des ADS im praktischen Einsatz übermittelt. |
|
11. |
„Betriebslebensdauer des ADS“ bezeichnet den Zeitraum, während dessen das ADS-System im Fahrzeug zur Verfügung steht. |
|
12. |
„Lebenszyklus des ADS“ bezeichnet den Zeitraum, der aus den Phasen Entwurf, Entwicklung, Produktion, praktischer Einsatz, Wartung und Stilllegung besteht. |
|
13. |
„Fehlverhalten“ bezeichnet eine Störung oder ein unbeabsichtigtes Verhalten eines Bauteils oder eines Systems des ADS in Bezug auf seine Entwurfsabsicht. |
|
14. |
„risikominimierendes Manöver“ (minimal risk manoeuvre, MRM) bezeichnet ein Manöver, das darauf abzielt, die Risiken im Verkehr zu minimieren, indem das Fahrzeug in einem sicheren Zustand (d. h. bei minimalem Risikozustand) angehalten wird. |
|
15. |
„minimaler Risikozustand“ (minimal risk condition, MRC) bezeichnet einen stabilen und angehaltenen Zustand des Fahrzeugs, der das Risiko eines Unfalls verringert. |
|
16. |
„ODD“ (Operational Design Domain, zulässige Betriebsdomäne) bezeichnet Betriebsbedingungen, für die ein bestimmtes ADS speziell ausgelegt ist, insbesondere umweltbedingte, geografische und tageszeitliche Einschränkungen und/oder das erforderliche Vorhandensein oder Nichtvorhandensein bestimmter Verkehrs- oder Fahrbahnmerkmale. |
|
17. |
„Objekt- und Ereigniserkennung und Reaktion“ (object and event detection and response, OEDR) sind Teilaufgaben der dynamischen Fahraufgabe, die die Überwachung der Fahrumgebung und die Durchführung einer angemessenen Reaktion umfassen. Dazu gehören die Erkennung und Klassifizierung von Objekten und Ereignissen sowie die Vorbereitung und Durchführung von Reaktionen bei Bedarf. |
|
18. |
„Szenario“ bezeichnet eine Abfolge oder eine Kombination von Situationen, die zur Bewertung der Sicherheitsanforderungen an ein ADS verwendet werden. |
|
19. |
„Standardverkehrsszenarien“ bezeichnet begründet vorhersehbare Situationen, denen das ADS beim Betrieb innerhalb seiner ODD begegnet. Diese Szenarien stellen die unkritischen Interaktionen des ADS mit anderen Verkehrsteilnehmern dar und führen zum Normalbetrieb des ADS. |
|
20. |
„kritische Szenarien“ bezeichnet Szenarien im Zusammenhang mit Grenzfällen (z. B. unerwartete Bedingungen mit einer außergewöhnlich geringen Eintrittswahrscheinlichkeit) und operativen Unzulänglichkeiten, die nicht auf Verkehrsbedingungen beschränkt sind, sondern auch Umweltbedingungen (z. B. starker Regen oder schwaches Sonnenlicht, das die Kameras blendet), menschliche Faktoren, Konnektivität und Fehlkommunikation einschließen, und schließlich zu einem Notbetrieb des ADS führen. |
|
21. |
„Fehlerszenarien“ bezeichnet Szenarien im Zusammenhang mit Störungen von ADS- und/oder Fahrzeugkomponenten, die zu einem Normal- oder Notbetrieb des ADS führen können, je nachdem, ob das Mindestsicherheitsniveau aufrechterhalten wird oder nicht. |
|
22. |
„Normalbetrieb“ bezeichnet den ADS-Betrieb innerhalb der festgelegten Betriebsgrenzen und -bedingungen zur Durchführung der vorgesehenen Aktivität. |
|
23. |
„Notbetrieb“ bezeichnet den ADS-Betrieb nach Ereignissen, für die ein sofortiges Handeln erforderlich ist, um nachteilige Folgen für die menschliche Gesundheit oder Sachschäden zu begrenzen. |
|
24. |
„Bediener im Fahrzeug“ bezeichnet, sofern für das ADS-Sicherheitskonzept zutreffend, eine Person, die sich innerhalb des vollautomatisierten Fahrzeugs befindet und folgende Tätigkeiten durchführen kann:
In den oben genannten Situationen darf der Bediener im Fahrzeug das vollautomatisierte Fahrzeug nicht fernbedienen, und das ADS muss weiterhin die Dynamische Fahraufgabe (DDT) wahrnehmen. |
|
25. |
„Bediener für den Ferneingriff“ bezeichnet, sofern für das ADS-Sicherheitskonzept zutreffend, eine/mehrere Person/en, die sich außerhalb des vollautomatisierten Fahrzeugs befindet/en und die Aufgaben des Bedieners im Fahrzeug aus der Ferne wahrnehmen kann/können, wenn dies gefahrlos möglich ist. Der Bediener für den Ferneingriff darf das vollautomatisierte Fahrzeug nicht fahren und das ADS muss weiterhin die Dynamische Fahraufgabe (DDT) wahrnehmen. |
|
26. |
„Fernfunktionen“ bezichnet Funktionen, die speziell für die Unterstützung des Ferneingriffs entworfen wurden. |
|
27. |
„R2022/1426 Software-Identifikationsnummer (R2022/1426 SWIN)“ bezeichnet einen vom Hersteller festgelegten speziellen Identifikator, der Informationen über die für die Typgenehmigung relevante Software des ADS darstellt, die zu den für die Typgenehmigung relevanten Merkmalen des ADS beitragen. |
|
28. |
„unverhältnismäßiges Risiko“ bezeichnet das Gesamtrisikoniveau für die Fahrzeuginsassen und andere Verkehrsteilnehmer, das im Vergleich zu einem manuell gesteuerten Fahrzeug bei vergleichbaren Transportdiensten und in vergleichbaren Situationen innerhalb der ODD erhöht ist. |
|
29. |
„Funktionssicherheit“ bezeichnet die Abwesenheit unangemessener Risiken bei Auftreten von Gefahren aufgrund einer Fehlfunktion. |
|
30. |
„Betriebssicherheit“ bezeichnet die Abwesenheit unangemessener Risiken bei Auftreten von Gefahren aufgrund funktionaler Beeinträchtigungen der vorgesehenen Funktion (z. B. falsche/versäumte Erkennung), aufgrund von betriebsbedingten Beeinträchtigungen (z. B. durch Umgebungsbedingungen wie Nebel, Regen, Schatten, Sonnenlicht, Infrastruktur) oder aufgrund von vernünftigerweise vorhersehbaren Fehlanwendungen/Fehlern durch die Fahrzeuginsassen und andere Verkehrsteilnehmer (d. h. Sicherheitsrisiken — ohne Systemfehler). |
|
31. |
„Kontrollstrategie“ bezeichnet eine Strategie zur Gewährleistung eines robusten und sicheren Betriebs des ADS als Reaktion auf bestimmte Umgebungs- und/oder Betriebsbedingungen (z. B. Straßenzustand, andere Verkehrsteilnehmer, ungünstige Witterungsbedingungen, drohende Kollisionsgefahr, Störungen, Erreichen von ODD-Grenzen usw.). Dies kann vorübergehende Leistungseinschränkungen (z. B. eine Verringerung der Höchstgeschwindigkeit), MRM-Manöver, Kollisionsvermeidung oder -minderung, Ferneingriffe usw. umfassen. |
|
32. |
„TTC“ (Time to Collision, Zeit bis zum Zusammenstoß) bezeichnet die Zeit bis zu einem Zusammenstoß zwischen beteiligten Fahrzeugen/Objekten/Personen, wenn sich deren Geschwindigkeiten unter Berücksichtigung ihrer Bewegungswege nicht ändern würden. Bei reinen Längssituationen mit konstanten Geschwindigkeiten wird der TTC-Wert, sofern im Text nicht anders angegeben, durch Division des Längsabstands (in Fahrtrichtung des betreffenden Fahrzeugs) zwischen dem betreffenden Fahrzeug und den anderen Fahrzeugen/Objekten/Personen durch die relative Längsgeschwindigkeit des betreffenden Fahrzeugs und der anderen Fahrzeuge/Objekte/Personen ermittelt. Bei reinen Kreuzungssituationen mit konstanten Geschwindigkeiten wird dieser Wert, sofern im Text nicht anders angegeben, durch Division des Längsabstands zwischen dem betreffenden Fahrzeug und der seitlichen Bewegungslinie der anderen Fahrzeuge/Objekte/Personen durch die Längsgeschwindigkeit des betreffenden Fahrzeugs ermittelt. |
|
33. |
„Fahrzeugtyp im Hinblick auf das ADS“ bezeichnet vollautomatisierte Fahrzeuge, die sich in wesentlichen Aspekten wie den folgenden nicht unterscheiden:
|
|
34. |
„Fahrzeuge mit dualem Fahrmodus“ bezeichnet vollautomatisierte Fahrzeuge, für die ein Fahrersitz entworfen und gebaut wurde:
Bei Fahrzeugen mit dualem Fahrmodus darf der Übergang zwischen dem manuellen Fahrmodus und dem vollautomatischen Modus sowie der Übergang zwischen dem vollautomatischen Modus und dem manuellen Modus nur bei Stillstand des Fahrzeugs und nicht während der Fahrt des Fahrzeugs erfolgen. |
|
35. |
„Betreiber eines Transportdienstes“ bezeichnet die Einheit, die einen Transportdienst mit einem oder mehreren vollautomatisierten Fahrzeugen erbringt. |
Artikel 3
Verwaltungsvorschriften und technische Spezifikationen für die Typgenehmigung des automatisierten Fahrsystems von vollautomatisierten Fahrzeugen
(1) Der relevante Beschreibungsbogen, der gemäß Artikel 24 Absatz 1 Buchstabe a der Verordnung (EU) 2018/858 zusammen mit dem Antrag auf Erteilung einer Typgenehmigung für das automatisierte Fahrsystem eines vollautomatisierten Fahrzeugs vorgelegt wird, besteht aus den für dieses System relevanten Angaben gemäß Anhang I.
(2) Für die Typgenehmigung von automatisierten Fahrsystemen vollautomatisierter Fahrzeuge gelten die technischen Spezifikationen in Anhang II. Diese Spezifikationen werden von den Genehmigungsbehörden oder ihren technischen Diensten in Übereinstimmung mit Anhang III bewertet.
(3) Der EU-Typgenehmigungsbogen für einen Typ des automatisierten Fahrsystems eines vollautomatisierten Fahrzeugs gemäß Artikel 28 Absatz 1 der Verordnung (EU) 2018/858 wird in Übereinstimmung mit Anhang IV ausgestellt.
Artikel 4
Inkrafttreten
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 5. August 2022
Für die Kommission
Die Präsidentin
Ursula VON DER LEYEN
(1) ABl. L 325 vom 16.12.2019, S. 1.
(2) ABl. L 82 vom 9.3.2021, S. 75.
(3) Verordnung (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30. Mai 2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) Nr. 715/2007 und (EG) Nr. 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG (ABl. L 151 vom 14.6.2018, S. 1).
(4) Durchführungsverordnung (EU) 2020/683 der Kommission vom 15. April 2020 zur Durchführung der Verordnung (EU) 2018/858 des Europäischen Parlaments und des Rates hinsichtlich der administrativen Anforderungen für die Genehmigung und Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge (ABl. L 163 vom 26.5.2020, S. 1).
ANHANG I
Beschreibungsbogen für die EU-Typgenehmigung vollautomatisierter Fahrzeuge im Hinblick auf ihr automatisiertes Fahrsystem
MUSTER
Beschreibungsbogen Nr. … für die EU-Typgenehmigung eines Typs eines vollautomatisierten Fahrzeugs im Hinblick auf das automatisierte Fahrsystem (ADS).
Die folgenden Angaben sind in dreifacher Ausfertigung vorzulegen und umfassen ein Inhaltsverzeichnis. Zeichnungen oder Abbildungen sind in einem geeigneten Maßstab und mit ausreichendem Detailgrad in der Größe A4 oder in einer Mappe im Format A4 vorzulegen. Falls Fotos beigefügt sind, müssen diese ausreichende Details zeigen.
|
0. |
ALLGEMEINES |
|
0.1. |
Fabrikmarke (Handelsname des Herstellers): |
|
0.2. |
Typ: |
|
0.2.1. |
Handelsname(n) (sofern vorhanden): |
|
0.2.2. |
Bei Fahrzeugen mit mehrstufiger Typgenehmigung sind die Typgenehmigungsangaben des Basisfahrzeugs bzw. des Fahrzeugs der vorhergehenden Stufe sowie die Angaben für jede Stufe aufzuführen. (Dies kann in Tabellenform erfolgen)
Typ: Variante(n): Version(en): Nummer des Typgenehmigungsbogens einschließlich Erweiterungsnummer … |
|
0.3. |
Merkmale zur Typidentifizierung, sofern am Fahrzeug/Bauteil/an der separaten technischen Einheit vorhanden: |
|
0.3.1. |
Position dieser Kennzeichnung: |
|
0.4. |
Fahrzeugklasse: |
|
0.5. |
Firmenname und Anschrift des Herstellers: |
|
0.5.1. |
Für Fahrzeuge mit mehrstufiger Genehmigung Firmenname und Anschrift des Herstellers des Basisfahrzeugs/der vorhergehenden Stufe(n): … |
|
0.6. |
Position und Art der Anbringung der gesetzlich vorgeschriebenen Schilder und Position der Fahrzeugidentifikationsnummer: … |
|
0.6.1. |
Am Fahrgestell: … |
|
0.6.2. |
An der Karosserie: … |
|
0.8. |
Name(n) und Anschrift(en) der Fertigungsstätte(n): |
|
0.9. |
Name und Anschrift des Bevollmächtigten des Herstellers (falls zutreffend): |
|
17. |
AUTOMATISIERTES FAHRSYSTEM (ADS) |
|
17.1. |
Allgemeine Beschreibung des ADS |
|
17.1.1. |
Bauartbedingter Einsatzbereich (Operational Design Domain — ODD)/Randbedingungen |
|
17.1.2. |
Grundlegende Leistung (Erkennung von Objekten und Ereignissen und Reaktion auf diese, Planung usw.) |
|
17.2. |
Beschreibung der Funktionen des ADS |
|
17.2.1. |
Hauptfunktionen des ADS (Funktionsarchitektur) |
|
17.2.1.1. |
Fahrzeuginterne Funktionen |
|
17.2.1.2. |
Fahrzeugexterne Funktionen (z. B. Backend, erforderliche externe Infrastruktur, erforderliche operative Maßnahmen) |
|
17.3. |
Übersicht über die wichtigsten Komponenten des ADS |
|
17.3.1. |
Steuereinheiten |
|
17.3.2. |
Sensoren und Installation der Sensoren am Fahrzeug |
|
17.3.3. |
Stellglieder |
|
17.3.4. |
Karten und Positionsbestimmung |
|
17.3.5. |
Andere Hardware |
|
17.4. |
Layout und Schaltpläne des ADS |
|
17.4.1. |
Schematisches Systemlayout (z. B. Blockdiagramm) |
|
17.4.2. |
Liste und schematische Übersicht über die Verbindungen |
|
17.5. |
Spezifikationen |
|
17.5.1. |
Spezifikationen für den Normalbetrieb |
|
17.5.2. |
Spezifikationen für den Notbetrieb |
|
17.5.3. |
Abnahmekriterien |
|
17.5.4. |
Demonstration der Konformität |
|
17.6. |
Sicherheitskonzept |
|
17.6.1. |
Erklärung des Herstellers, dass das Fahrzeug frei von unverhältnismäßigen Risiken ist |
|
17.6.2. |
Skizze der Software-Architektur (z. B. Blockdiagramm) |
|
17.6.3. |
Mittel, mit denen die Umsetzung der ADS-Logik bestimmt wird |
|
17.6.4. |
Allgemeine Erklärung der wichtigsten Entwurfsvorschriften, die in das ADS integriert sind, um einen sicheren Betrieb unter Fehlerbedingungen, bei Betriebsstörungen und beim Auftreten von Bedingungen, die die ODD überschreiten würden, zu gewährleisten |
|
17.6.5. |
Allgemeine Beschreibung der wichtigsten Grundsätze der Fehlerbehandlung sowie der Rückfallebenenstrategie einschließlich der Risikominderungsstrategie (risikominimierendes Manöver) |
|
17.6.6. |
Bedingungen für die Auslösung einer Anforderung an den Bediener im Fahrzeug oder an den Bediener für Ferneingriffe |
|
17.6.7. |
Konzept der Mensch-Maschine-Interaktion mit Fahrzeuginsassen, dem Bediener im Fahrzeug und dem Bediener für Ferneingriffe, einschließlich des Schutzes vor einfacher unbefugter Aktivierung/Bedienung und Eingriffen |
|
17.7. |
Verifizierung und Validierung durch den Hersteller der Leistungsanforderungen, einschließlich Objekt- und Ereigniserkennung und Reaktion (OEDR), Mensch-Maschine-Schnittstelle (HMI), Einhaltung der Straßenverkehrsvorschriften und der Schlussfolgerung, dass das System so ausgelegt ist, dass es keine unangemessenen Risiken für die Fahrzeuginsassen und andere Verkehrsteilnehmer nach sich zieht: |
|
17.7.1. |
Beschreibung des übernommenen Ansatzes |
|
17.7.2. |
Auswahl von standardmäßigen, kritischen und Fehlerszenarien |
|
17.7.3. |
Beschreibung der verwendeten Methoden und Werkzeuge (Software, Labors, andere) und Zusammenfassung der Glaubwürdigkeitsbewertung |
|
17.7.4. |
Beschreibung der Ergebnisse |
|
17.7.5. |
Unsicherheit der Ergebnisse |
|
17.7.6. |
Interpretation der Ergebnisse |
|
17.7.7. |
Erklärung des Herstellers:
Der/die Hersteller … bestätigt/bestätigen, dass das ADS frei von unverhältnismäßigen Sicherheitsrisiken für die Fahrzeuginsassen und andere Verkehrsteilnehmer ist. |
|
17.8. |
ADS-Datenelemente |
|
17.8.1. |
Typ der gespeicherten Daten |
|
17.8.2. |
Speicherort |
|
17.8.3. |
Aufgezeichnete Vorkommnisse und Datenelemente |
|
17.8.4. |
Mittel zur Sicherstellung von Datensicherheit und Datenschutz |
|
17.8.5. |
Mittel für den Zugriff auf die Daten |
|
17.9. |
Cybersicherheit und Softwareaktualisierung |
|
17.9.1. |
Typgenehmigungsnummer für Cybersicherheit: |
|
17.9.2. |
Nummer der Konformitätsbescheinigung für das Cybersicherheitsmanagementsystem: |
|
17.9.3. |
Typgenehmigungsnummer für das Software-Update: |
|
17.9.4. |
Nummer der Konformitätsbescheinigung für das Softwareaktualisierungsmanagementsystem |
|
17.9.5. |
Software-Identifizierung des ADS |
|
17.9.5.1. |
Information darüber, wie die RxSWIN oder die Software-Version(en) gelesen werden können, falls die RxSWIN nicht am Fahrzeug angegeben ist. |
|
17.9.5.2. |
Gegebenenfalls sind die relevanten Parameter aufzulisten, die die Identifizierung derjenigen Fahrzeuge gestatten, die mit der von der RxSWIN unter Punkt 17.9.4.1 angegebenen Software aktualisiert werden können. |
|
17.10. |
Betriebshandbuch (als Anhang zum Beschreibungsbogen) |
|
17.10.1. |
Funktionale Beschreibung des ADS und erwartete Rolle des Eigentümers, des Betreibers des Transportdienstes, des Bedieners im Fahrzeug, des Bedieners für Ferneingriffe usw. |
|
17.10.2. |
Technische Maßnahmen für den sicheren Betrieb (z. B. Beschreibung der erforderlichen externen Infrastruktur, Zeitplan, Häufigkeit und Vorlage für Wartungsoperationen) |
|
17.10.3. |
Operative und umweltbedingte Einschränkungen |
|
17.10.4. |
Operative Maßnahmen (z. B. ob ein Bediener im Fahrzeug oder ein Bediener für den Ferneingriff benötigt wird) |
|
17.10.5. |
Anweisungen für den Fall von Störungen und ADS-Anforderungen (Sicherheitsmaßnahmen, die von den Fahrzeuginsassen, dem Betreiber des Transportdienstes, dem Bediener im Fahrzeug und dem Bediener für den Ferneingriff und öffentlichen Behörden im Falle einer Betriebsstörung zu ergreifen sind) |
|
17.11. |
Mittel zur Ermöglichung regelmäßiger Prüfungen im Rahmen der technischen Überwachung
Liste der Abbildungen/Tabellen Akronyme Anhang I — Simulationshandbuch Anhang II — Betriebshandbuch Erklärender Hinweis Dieser Beschreibungsbogen enthält die für das automatisierte Fahrsystem relevanten Angaben und ist nach dem Muster in Anhang I der Durchführungsverordnung (EU) 2020/683 der Kommission auszufüllen. |
ANHANG II
Leistungsanforderungen
1. DDT unter standardmäßigen Verkehrsszenarien
|
1.1. |
Das ADS muss in der Lage sein, die gesamte DDT durchzuführen. |
|
1.1.1. |
Die Fähigkeit des ADS, die gesamte DDT durchzuführen, wird im Rahmen der ODD des ADS bestimmt. |
|
1.1.2. |
Als Teil der DDT muss das ADS in der Lage sein:
|
|
1.1.3. |
Das System muss ein vorausschauendes Verhalten bei der Interaktion mit anderen Verkehrsteilnehmern demonstrieren, um ein stabiles Verhalten in Längsrichtung mit geringer Dynamik sicherzustellen, sowie ein risikominimierendes Verhalten, wenn kritische Situationen drohen, z. B. bei vollständig oder unvollständig sichtbaren ungeschützten Verkehrsteilnehmern (z. B. Fußgängern, Radfahrern usw.) oder bei anderen Fahrzeugen, die vor dem vollautomatisierten Fahrzeug kreuzen oder einscheren. |
|
1.1.4. |
Die Anforderungen im Zusammenhang mit der DDT sind in umgekehrter Richtung zu erfüllen, wenn der Rückwärtsgang in der ODD vorgeschrieben oder angegeben ist. |
|
1.2. |
Das ADS muss für die DDT relevante Objekte und Ereignisse innerhalb der ODD erkennen und angemessen darauf reagieren.
Zu den Objekten und Ereignissen gehören insbesondere:
|
|
1.3. |
Das ADS muss den Verkehrsregeln des Landes entsprechen, in dem es eingesetzt wird. |
|
1.3.1. |
Das ADS muss mit anderen Verkehrsteilnehmern in Übereinstimmung mit den Verkehrsregeln sicher interagieren, z. B. durch:
|
|
1.3.2. |
Beim Fehlen spezifischer Verkehrsregeln dürfen Fahrzeuge mit ADS, die zur Beförderung stehender oder nicht angeschnallter Fahrzeuginsassen bestimmt sind, eine kombinierte Horizontalbeschleunigung von 2,4 m/s2 (als absoluter Wert und berechnet als Kombination von Quer- und Längsbeschleunigung) und eine Änderungsbeschleunigung von 5 m/s3 nicht überschreiten.
Je nach den Faktoren, die das Risiko für die Insassen und andere Verkehrsteilnehmer beeinflussen, kann es angebracht sein, diese Grenzwerte zu überschreiten, z. B. bei Notfalleinsätzen. |
2. DDT unter kritischen Verkehrsszenarien (Notbetrieb)
|
2.1. |
Das ADS muss in der Lage sein, die DDT für alle vernünftigerweise vorhersehbaren kritischen Verkehrsszenarien in der ODD durchzuführen. |
|
2.1.1. |
Das ADS muss in der Lage sein, die Gefahr einer Kollision mit anderen Verkehrsteilnehmern oder einem plötzlich auftretenden Hindernis (Unrat, verlorene Ladung) zu erkennen und automatisch geeignete Notmaßnahmen (Bremsen, Ausweichen) durchzuführen, um vernünftigerweise vorhersehbare Kollisionen zu vermeiden und die Risiken für die Sicherheit der Fahrzeuginsassen und anderer Verkehrsteilnehmer zu minimieren. |
|
2.1.1.1. |
Im Falle eines unvermeidbaren alternativen Risikos für Menschenleben darf das ADS keine Gewichtung auf der Grundlage persönlicher Merkmale von Menschen vorsehen. |
|
2.1.1.2. |
Der Schutz von Menschenleben außerhalb des vollautomatisierten Fahrzeugs darf nicht dem Schutz von Menschenleben innerhalb des vollautomatisierten Fahrzeugs untergeordnet werden. |
|
2.1.2. |
Der Grad des Unfallrisikos beteiligter Verkehrsteilnehmer sollte durch die Strategie zur Risikovermeidung/Risikominderung berücksichtigt werden. |
|
2.1.3. |
Nach dem Ausweichmanöver muss das Fahrzeug versuchen, so schnell wie technisch möglich wieder eine stabile Fahrt aufzunehmen. |
|
2.1.4. |
Das Signal zum Einschalten der Warnblinkanlage muss automatisch in Übereinstimmung mit den Verkehrsregeln erzeugt werden. Fährt das vollautomatisierte Fahrzeug selbsttätig wieder los, muss das Signal zum Ausschalten der Warnblinkanlage automatisch erzeugt werden. |
|
2.1.5. |
Bei einem Verkehrsunfall mit Beteiligung des vollautomatisierten Fahrzeugs muss das ADS darauf abzielen, das vollautomatisierte Fahrzeug anzuhalten und ein risikominimierendes Manöver durchzuführen, um den minimalen Risikozustand zu erreichen. Die Wiederaufnahme des normalen Betriebs durch das ADS darf erst dann möglich sein, wenn der sichere Betriebszustand des vollautomatisierten Fahrzeugs durch Selbsttests des ADS und/oder durch den Bediener im Fahrzeug (falls zutreffend) oder den Bediener für den Ferneingriff (falls zutreffend) bestätigt wurde. |
3. DDT bei ODD-Grenzen
|
3.1. |
Das ADS muss seine ODD-Bedingungen und die Grenzen der ODD erkennen. |
|
3.1.1. |
Das ADS muss in der Lage sein, festzustellen, ob die Bedingungen für die ADS-Aktivierung erfüllt sind. |
|
3.1.2. |
Das ADS muss erkennen, wenn eine oder mehrere ODD-Bedingungen nicht oder nicht mehr erfüllt ist bzw. sind, und entsprechend reagieren. |
|
3.1.3. |
Das ADS muss in der Lage sein, das Verlassen der ODD zu antizipieren. |
|
3.1.4. |
Die ODD-Bedingungen und -Grenzen müssen vom Hersteller festgelegt werden. |
|
3.1.4.1. |
Die vom ADS zu erkennenden ODD-Bedingungen umfassen:
|
|
3.1.5. |
Wenn das ADS die ODD-Grenzen erreicht, führt es ein MRM durch, um einen MRC zu erreichen, und warnt den Bediener im Fahrzeug (falls zutreffend)/den Bediener für den Ferneingriff (falls zutreffend) entsprechend. |
4. DDT unter Fehlerszenarien
|
4.1. |
Das ADS muss ein fehlerhaftes Verhalten des ADS und/oder des Fahrzeugs erkennen und darauf reagieren. |
|
4.1.1. |
Das ADS muss Fehler und Störungen selbstständig diagnostizieren. |
|
4.1.2. |
Das ADS muss seine Fähigkeit auswerten, ob es die gesamte DDT erfüllen kann. |
|
4.1.2.1. |
Das ADS muss sicher auf einen Fehler/eine Störung im ADS reagieren, der bzw. die die Leistung des ADS nicht wesentlich beeinträchtigt. |
|
4.1.2.2. |
Das ADS muss ein MRM ausführen, um einen MRC zu erreichen, falls eine Störung des ADS und/oder eines anderen Fahrzeugsystems das ADS daran hindert, die DDT durchzuführen. |
|
4.1.2.3. |
Das ADS muss den Fahrzeuginsassen, dem Bediener im Fahrzeug (falls vorhanden) oder dem Bediener für den Ferneingriff (falls zutreffend) sowie anderen Verkehrsteilnehmern in Übereinstimmung mit den Verkehrsregeln (z. B. durch Einschalten der Warnblinkanlage) größere Störungen und den sich daraus ergebenden Betriebszustand sofort melden, wenn es diese erkennt. |
|
4.1.2.4. |
Beeinträchtigen Störungen die Brems- oder Lenkfähigkeit des Fahrzeugs, muss das MRM unter Berücksichtigung der verbleibenden Leistungsfähigkeit durchgeführt werden. |
5. Risikominimierendes Manöver (MRM) und minimaler Risikozustand (MRC)
|
5.1. |
Während des MRM wird das vollautomatisierte Fahrzeug mit dem ADS mit dem Ziel abgebremst, eine Abbremsung von nicht mehr als 4,0 m/s2 bis zum Stillstand zu erreichen, und dies an einem Ort, der unter Berücksichtigung des umgebenden Verkehrs und der Straßeninfrastruktur möglichst sicher ist. Höhere Werte für die Abbremsanforderung sind im Falle einer schweren Störung des ADS oder des vollautomatisierten Fahrzeugs zulässig. |
|
5.2. |
Das ADS muss den Insassen des vollautomatisierten Fahrzeugs sowie anderen Verkehrsteilnehmern in Übereinstimmung mit den Verkehrsregeln (z. B. durch Einschalten der Warnblinkanlage) seine Absicht signalisieren, das vollautomatisierte Fahrzeug in einen MRC zu bringen. |
|
5.3. |
Das vollautomatisierte Fahrzeug darf den MRC erst verlassen, nachdem durch Selbsttests des ADS und/oder durch den Bediener im Fahrzeug (falls zutreffend) oder den Bediener für den Ferneingriff (falls zutreffend) bestätigt wurde, dass die Ursachen für das MRM nicht mehr vorliegen. |
6. HMI — Human Machine Interaction (Mensch-Maschine-Interaktion)
|
6.1. |
Die Insassen des vollautomatisierten Fahrzeugs sind angemessen zu informieren, soweit dies für den sicheren Betrieb und im Hinblick auf Sicherheitsgefahren erforderlich ist, |
|
6.2. |
Ist ein Bediener für den Ferneingriff Teil des ADS-Sicherheitskonzepts, so muss das vollautomatisierte Fahrzeug den Fahrzeuginsassen die Möglichkeit bieten, einen Bediener für den Ferneingriff über eine audiovisuelle Schnittstelle im vollautomatisierten Fahrzeug zu kontaktieren. Für die audiovisuelle Schnittstelle sind eindeutige Zeichen zu verwenden (z. B. ISO 7010 E004) |
|
6.3. |
Das ADS muss den Fahrzeuginsassen die Möglichkeit bieten, ein risikominimierendes Manöver anzufordern, um das vollautomatisierte Fahrzeug anzuhalten. Im Notfall:
|
|
6.4. |
Ist ein Bediener für den Ferneingriff Teil des ADS-Sicherheitskonzepts, muss das vollautomatisierte Fahrzeug Sichtsysteme (z. B. Kameras gemäß Kapitel 6 der Norm ISO16505:2019) des Fahrzeuginnenraums und der Umgebung des Fahrzeugs bereitstellen, damit der Bediener für den Ferneingriff die Situation innerhalb und außerhalb des Fahrzeugs beurteilen kann. |
|
6.5. |
Ist ein Bediener für den Ferneingriff Teil des ADS-Sicherheitskonzepts, so muss es dem Bediener für den Ferneingriff möglich sein, die kraftbetätigte Betriebstür fernbedient zu öffnen. |
|
6.6. |
Das ADS muss die relevanten Fahrzeugsysteme aktivieren, wenn dies erforderlich und möglich ist (z. B. Öffnen der Türen, Aktivierung der Scheibenwischer bei Regen, Heizungsanlage usw.) |
7. Funktionale und operative Sicherheit
|
7.1. |
Der Hersteller muss nachweisen, dass die funktionale und operative Sicherheit des ADS beim Entwurfs- und Entwicklungsprozess in angemessenem Umfang berücksichtigt wurde. Die vom Hersteller ergriffenen Maßnahmen müssen gewährleisten, dass das vollautomatisierte Fahrzeug im Vergleich zu gleichwertigen Transportdiensten und Situationen im Betriebsbereich während seiner gesamten Betriebslebensdauer keine unverhältnismäßigen Sicherheitsrisiken für Fahrzeuginsassen und andere Verkehrsteilnehmer verursacht. |
|
7.1.1. |
Der Hersteller muss die Abnahmekriterien festlegen, aus denen die Validierungsziele für das ADS abgeleitet werden, um das Restrisiko für die ODD zu bewerten, wobei vorhandene Unfalldaten (1), Daten über die Leistung von sachkundig und sorgfältig gefahrenen manuellen Fahrzeugen und der Stand der Technik berücksichtigt werden. |
|
7.2. |
Der Hersteller muss über Verfahren verfügen, die die Sicherheit und kontinuierliche Konformität des ADS über die gesamte Betriebslebensdauer gewährleisten (Abnutzung der Komponenten, insbesondere der Sensoren, neue Verkehrsszenarien usw.). |
8. Cybersicherheit und Software-Updates
|
8.1. |
Das ADS ist gemäß der UN-Regelung Nr. 155 (2) vor unbefugtem Zugriff zu schützen. |
|
8.2. |
Das ADS muss Software-Updates unterstützen. Die Wirksamkeit der Verfahren und Prozesse für Software-Updates für das ADS wird durch die Einhaltung der UN-Regelung Nr. 156 (3) nachgewiesen. |
|
8.2.1. |
Wie in der Regelung hinsichtlich der Softwareaktualisierung und des Softwareaktualisierungsmanagementsystems festgelegt, muss zur sicheren Identifizierung der Software des Systems eine R 2022/1426SWIN verwendet werden. Die R2022/1426SWIN kann am Fahrzeug angebracht werden. Wenn die R2022/1426SWIN nicht am Fahrzeug angebracht ist, muss der Hersteller der Typgenehmigungsbehörde die Softwareversion(en) des Fahrzeugs oder einzelner Steuergeräte in Verbindung mit den entsprechenden Typgenehmigungen mitteilen. |
|
8.2.2. |
Der Hersteller muss die folgenden Angaben im Beschreibungsbogen bereitstellen:
|
|
8.2.3. |
Der Hersteller kann im Beschreibungsbogen eine Liste der relevanten Parameter angeben, anhand derer die Fahrzeuge identifiziert werden können, die mit der Software aktualisiert werden können, die durch die R2022/1426SWIN gekennzeichnet ist. Die bereitgestellten Angaben sind vom Hersteller darzulegen und werden möglicherweise nicht von einer Typgenehmigungsbehörde überprüft. |
|
8.2.4. |
Der Hersteller kann eine neue Fahrzeugtypgenehmigung erhalten, um Softwareversionen, die für bereits auf dem Markt zugelassene Fahrzeuge bestimmt sind, von den Softwareversionen zu unterscheiden, die in neuen Fahrzeugen verwendet werden. Dies kann die Fälle abdecken, in denen Typgenehmigungsverordnungen aktualisiert oder Hardware-Änderungen an Fahrzeugen in der Serienproduktion vorgenommen werden. In Absprache mit der Typgenehmigungsbehörde ist eine doppelte Durchführung von Tests nach Möglichkeit zu vermeiden. |
9. ADS-Datenanforderungen und spezifische Datenelemente für den Ereignisdatenspeicher für vollautomatisierte Fahrzeuge
|
9.1. |
Das ADS muss die folgenden Vorkommnisse aufzeichnen, während das ADS aktiviert ist: |
|
9.1.1. |
Aktivierung/Neuinitialisierung des ADS (falls zutreffend) |
|
9.1.2. |
Deaktivierung des ADS (falls zutreffend) |
|
9.1.3. |
Vom ADS an den Bediener für den Ferneingriff gesendete Anforderung (falls zutreffend) |
|
9.1.4. |
Vom Bediener für den Ferneingriff gesendete Anforderung/Information (falls zutreffend) |
|
9.1.5. |
Start des Notbetriebs |
|
9.1.6. |
Ende des Notbetriebs |
|
9.1.7. |
Beteiligung an einer erkannten Kollision |
|
9.1.8. |
Auslösereingang für den Ereignisdatenspeicher (EDR) |
|
9.1.9. |
Durchführung eines risikominimierenden Manövers durch das ADS |
|
9.1.10. |
Vom vollautomatisierten Fahrzeug erreichter minimaler Risikozustand |
|
9.1.11. |
ADS-Störung (Beschreibung) |
|
9.1.12. |
Fehlfunktion des Fahrzeugs |
|
9.1.13. |
Beginn des Spurwechselvorgangs |
|
9.1.14. |
Ende des Spurwechselvorgangs |
|
9.1.15. |
Abbruch des Spurwechselvorgangs |
|
9.1.16. |
Beginn der absichtlichen Überquerung der Fahrspur |
|
9.1.17. |
Ende der absichtlichen Überquerung der Fahrspur |
|
9.2. |
Ereigniskennzeichnungen (Flags) für die Nummern 9.1.13, 9.1.14, 9.1.16 und 9.1.17 müssen nur gespeichert werden, wenn sie innerhalb von 30 Sekunden vor den Ereignissen gemäß den Nummern 9.1.5, 9.1.7, 9.1.15 oder 9.1.8 eintreten: |
|
9.3. |
ADS-Datenelemente |
|
9.3.1. |
Für jedes unter Punkt 9.1 aufgeführte Vorkommnis müssen die folgenden Datenelemente auf klar identifizierbare Weise aufgezeichnet werden: |
|
9.3.2. |
Das für das Vorkommnis aufgezeichnete Flag |
|
9.3.3. |
Grund für das Vorkommnis, falls zutreffend |
|
9.3.4. |
Datum (Auflösung: JJJJ/MM/TT); |
|
9.3.5. |
Position (GPS-Koordinaten) |
|
9.3.6. |
Zeitstempel:
|
|
9.4. |
Für jedes aufgezeichnete Vorkommnis müssen die RXSWIN oder die Softwareversionen eindeutig identifizierbar sein, wobei die Software anzugeben ist, die beim Auftreten des Vorkommnisses eingesetzt wurde. |
|
9.5. |
Für mehrere gleichzeitig aufgezeichnete Elemente kann abhängig von der zeitlichen Auflösung der spezifischen Datenelemente ein einziger Zeitstempel zulässig sein. Wird mehr als ein Element mit demselben Zeitstempel aufgezeichnet, müssen die Informationen aus den einzelnen Elementen die chronologische Reihenfolge angeben. |
|
9.6. |
Datenverfügbarkeit |
|
9.6.1. |
Die ADS-Datenelemente müssen gemäß den im Unionsrecht oder im nationalen Recht festgelegten Anforderungen verfügbar sein (4). |
|
9.6.2. |
Ist die Speicherkapazität erschöpft, dürfen vorhandene Daten nur nach dem First-in-First-out-Verfahren überschrieben werden, wobei der Grundsatz der Datenverfügbarkeit zu beachten ist.
Der Hersteller muss einen dokumentierten Nachweis über die Speicherkapazität vorlegen. |
|
9.6.3. |
Für Fahrzeuge der Klassen M1 und N1 müssen die Datenelemente auch nach dem Aufprall mit einem in den UN-Regelungen Nr. 94 (5), 95 (6) oder 137 (7) festgelegten Schweregrad abrufbar sein. |
|
9.6.4. |
Für Fahrzeuge der Klassen M2, M3, N2 und N3 müssen die unter Punkt 9.2 aufgeführten Datenelemente auch nach einem Aufprall abrufbar sein. Für die Demonstration dieser Fähigkeit gilt:
Entweder:
|
|
9.6.5. |
Auch wenn die bordeigene Hauptstromversorgung des Fahrzeugs nicht verfügbar ist, muss es möglich sein, alle aufgezeichneten Daten abzurufen. |
|
9.6.6. |
Die gespeicherten Daten müssen über eine elektronische Kommunikationsschnittstelle, zumindest über die Standardschnittstelle (OBD-Port), in standardisierter Form leicht lesbar sein. |
|
9.7. |
Spezifische Datenelemente für Ereignisdatenspeicher für vollautomatisierte Fahrzeuge |
|
9.7.1. |
Bei Fahrzeugen, die mit einer ereignisbezogenen Datenaufzeichnung (Ereignisdatenspeicher, EDR) gemäß Artikel 6 der Verordnung (EU) 2019/2144 ausgerüstet sind, muss es möglich sein, über die Standardschnittstelle (OBD-Port) mindestens die ADS-Datenelemente abzurufen, die gemäß den Punkten 9.3.1 und 9.3.2 in den letzten 30 Sekunden vor dem letzten Setzen des Flags für das Vorkommnis „Ereignisdatenspeicher (EDR) Auslösereingang“ aufgezeichnet wurden, ebenso wie die in der UN-Regelung Nr. 160 (9), Anhang 4 (EDR-Daten) genannten Datenelemente. |
|
9.7.2. |
Ist innerhalb von 30 Sekunden, bevor das Flag für das Vorkommnis „Ereignisdatenspeicher (EDR) Auslösereingang“ zuletzt gesetzt wurde, kein Vorkommnis gemäß Punkt 9.1 aufgetreten, muss es möglich sein, neben den EDR-Daten mindestens das Datenelement abzurufen, das den letzten Vorkommnissen innerhalb desselben Stromversorgungszyklus gemäß den Punkten 9.1.1 und 9.1.2 entspricht. |
|
9.7.3. |
Die gemäß Punkt 9.7.1 oder 9.7.2 abgerufenen Datenelemente dürfen weder Datum und Zeitstempel noch andere Informationen enthalten, die eine Identifizierung des Fahrzeugs, seines Benutzers oder Besitzers ermöglichen. Stattdessen ist der Zeitstempel durch Informationen zu ersetzen, die die Zeitdifferenz zwischen dem Flag für das Vorkommnis „Ereignisdatenspeicher (EDR) Auslösereingang“ und dem Flag für das Vorkommnis des betreffenden ADS-Datenelements darstellen. |
|
9.8. |
Der Hersteller muss Anweisungen zur Verfügung stellen, wie der Zugriff auf die Daten stattfindet. |
|
9.9. |
Schutz gegen Manipulation |
|
9.9.1. |
Ein angemessener Schutz vor Manipulationen (z. B. Datenlöschung) der gespeicherten Daten ist sicherzustellen, beispielsweise durch einen sabotagesicheren Entwurf. |
10. Manueller Fahrmodus
|
10.1. |
Gestattet das ADS das manuelle Fahren des Fahrzeugs zu Wartungszwecken oder zur Übernahme des Fahrzeugs nach einem risikominimierenden Manöver, muss die Geschwindigkeit des Fahrzeugs auf 6 km/h begrenzt und das Fahrzeug mit Mitteln ausgestattet sein, die es der Person, die das Fahrzeug fährt, ermöglichen, die Fahraufgabe gemäß dem Sicherheitskonzept des Herstellers sicher durchzuführen. Außer bei einer Störung muss das ADS weiterhin ein Hindernis (z. B. Fahrzeuge, Fußgänger) im Manövrierbereich erkennen und den Fahrer dabei unterstützen, das Fahrzeug sofort zum Stehen zu bringen, um eine Kollision zu vermeiden. |
|
10.2. |
Wenn das manuelle Fahren auf 6 km/h begrenzt ist, muss sich der Fahrer nicht innerhalb des vollautomatisierten Fahrzeugs aufhalten. Die Steuerung kann über eine Fernbedienung erfolgen, die sich in der Nähe des Fahrzeugs befindet, vorausgesetzt, das Fahrzeug bleibt in der direkten Sichtlinie des Fahrers. Die maximale Entfernung, über die die Steuerung mit einer Fernbedienung möglich ist, darf 10 Meter nicht überschreiten. |
|
10.3. |
Soll das Fahrzeug im manuellen Fahrbetrieb mit einer Geschwindigkeit von mehr als 6 km/h gefahren werden, so gilt das Fahrzeug als Fahrzeug mit zwei Betriebsarten. |
11. Betriebshandbuch
|
11.1. |
Der Hersteller muss ein Betriebshandbuch erstellen. Zweck des Betriebshandbuchs ist es, den sicheren Betrieb des vollautomatisierten Fahrzeugs durch ausführliche Anweisungen für den Eigentümer, die Fahrzeuginsassen, den Betreiber des Transportdienstes, den Bediener im Fahrzeug, den Bediener für den Ferneingriff und alle zuständigen nationalen Behörden zu gewährleisten.
Verfügt das vollautomatisierte Fahrzeug über die Möglichkeit des manuellen Fahrens zu Wartungszwecken oder zur Übernahme des Fahrzeugs nach einem risikominimierenden Manöver, muss dies im Betriebshandbuch ebenfalls berücksichtigt sein. |
|
11.2. |
Das Betriebshandbuch muss die Funktionsbeschreibung des ADS enthalten. |
|
11.3. |
Das Betriebshandbuch muss die technischen Maßnahmen (z. B. Überprüfungen und Wartungsarbeiten am Fahrzeug sowie Anforderungen an die externe Infrastruktur, Verkehrs- und physische Infrastruktur, beispielsweise Ortungsmarkierungen und Wahrnehmungssensoren), die operativen Beschränkungen (z. B. Geschwindigkeitsbegrenzung, zugeordnete Fahrspur, physische Trennung vom entgegenkommenden Verkehr), die Umgebungsbedingungen (z. B. Schneefreiheit) und die operativen Maßnahmen (z. B. Notwendigkeit eines Bedieners im Fahrzeug oder eines Bedieners für den Ferneingriff) enthalten, die erforderlich sind, um die Sicherheit während des Betriebs des vollautomatisierten Fahrzeugs zu gewährleisten. |
|
11.4. |
Das Betriebshandbuch muss für den Fall von Störungen und Anforderungen durch das ADS die Anweisungen für die Fahrzeuginsassen, den Betreiber des Transportdienstes, den Bediener im Fahrzeug (falls zutreffend) und den Bediener für den Ferneingriff (falls zutreffend) sowie für die Behörden enthalten. |
|
11.5. |
Das Betriebshandbuch muss Regeln enthalten, die eine ordnungsgemäße Durchführung der Wartung, der Gesamttests und weiterer Untersuchungen gewährleisten. |
|
11.6. |
Das Betriebshandbuch ist der Typgenehmigungsbehörde zusammen mit dem Antrag auf Erteilung einer Typgenehmigung vorzulegen und dem Typgenehmigungsbogen als Anhang beizufügen. |
|
11.7. |
Das Betriebshandbuch ist dem Eigentümer und gegebenenfalls dem Betreiber des Transportdienstes, dem Bediener im Fahrzeug (falls zutreffend), dem Bediener für den Ferneingriff (falls zutreffend) und den zuständigen nationalen Behörden zur Verfügung zu stellen. |
12. Vorkehrungen für die regelmäßige technische Überwachung
|
12.1. |
Für die Zwecke der regelmäßigen technischen Überwachung müssen folgende Merkmale des ADS überprüft werden können: |
|
a) |
sein ordnungsgemäßer Betriebszustand durch visuelle Beobachtung des Zustands des Störungswarnsignals nach Betätigung des Hauptkontrollschalters des Fahrzeugs und einer etwaigen Kontrolle der Glühlampen. Wird das Störungswarnsignal in einem gemeinsamen Bereich angezeigt (in dem zwei oder mehr Informationsfunktionen/-symbole angezeigt werden können, jedoch nicht gleichzeitig), so ist vor der Prüfung des Zustands des Störungswarnsignals zunächst zu prüfen, ob der gemeinsame Bereich funktionsfähig ist; |
|
b) |
seine korrekte Funktionsweise und die Integrität der Software durch Verwendung einer elektronischen Fahrzeugschnittstelle, wie in Punkt I. (14) von Anhang III der Richtlinie 2014/45/EU des Europäischen Parlaments und des Rates (10) festgelegt, sofern die technischen Merkmale des Fahrzeugs dies zulassen und die erforderlichen Daten zur Verfügung gestellt werden. Hersteller müssen sicherstellen, dass sie die technischen Informationen für die Nutzung der elektronischen Fahrzeugschnittstelle gemäß Artikel 6 der Durchführungsverordnung (EU) 2019/621 (11) der Kommission zur Verfügung stellen. |
(1) Auf der Grundlage aktueller Unfalldaten zu Bussen, Reisebussen, Lastkraftwagen und Personenkraftwagen in der EU könnte beispielsweise ein aggregiertes Abnahmekriterium mit einem Richtwert von 10-7 Todesopfern pro Betriebsstunde für die Markteinführung von ADS für vergleichbare Transportdienste und Situationen in Betracht gezogen werden. Der Hersteller kann andere Parameter und Methoden verwenden, sofern er nachweisen kann, dass es im Vergleich zu vergleichbaren Verkehrsdiensten und Situationen innerhalb des Betriebsbereichs nicht zu einem unangemessenen Sicherheitsrisiko kommt.
(2) ABl. L 82 vom 9.3.2021, S. 30.
(3) ABl. L 82 vom 9.3.2021, S. 60.
(4) Es wird eine Speicherkapazität von 2 500 Zeitstempeln empfohlen, die einer Nutzungsdauer von 6 Monaten entsprechen.
(5) ABl. L 392 vom 5.11.2021, S. 1.
(6) ABl. L 392 vom 5.11.2021, S. 62.
(7) ABl. L 392 vom 5.11.2021, S. 130.
(8) ABl. L 449 vom 15.12.2021, S. 1.
(9) ABl. L 265 vom 26.7.2021, S. 3.
(10) Richtlinie 2014/45/EU des Europäischen Parlaments und des Rates vom 3. April 2014 über die regelmäßige technische Überwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern und zur Aufhebung der Richtlinie 2009/40/EG (ABl. L 127 vom 29.4.2014, S. 51).
(11) Durchführungsverordnung (EU) 2019/621 der Kommission vom 17. April 2019 über die für die technische Überwachung in Bezug auf die zu prüfenden Positionen erforderlichen technischen Angaben sowie zur Anwendung der empfohlenen Prüfmethoden und zur Festlegung detaillierter Regelungen hinsichtlich des Datenformats und der Verfahren für den Zugang zu den einschlägigen technischen Angaben (ABl. L 108 vom 23.4.2019, S. 5).
ANHANG III
Konformitätsbewertung
Die allgemeine Konformitätsbewertung des ADS basiert auf:
|
— |
Teil 1: Zu berücksichtigende Verkehrsszenarien |
|
— |
Teil 2: Bewertung des ADS-Sicherheitskonzepts und Audit für das Sicherheitsmanagementsystem des Herstellers. |
|
— |
Teil 3: Tests der relevantesten Verkehrsszenarien. |
|
— |
Teil 4: Grundsätze für die Glaubwürdigkeitsbewertung bei der Verwendung virtueller Toolchains für die ADS-Validierung |
|
— |
Teil 5: Vom Hersteller eingerichtetes System zur Gewährleistung der Meldung während des Betriebs. |
Alle Anforderungen in Anhang II können durch Tests der Typgenehmigungsbehörde (oder ihres technischen Dienstes) überprüft werden.
TEIL 1
ZU BERÜCKSICHTIGENDE VERKEHRSSZENARIEN
|
1. |
Mindestmenge an Verkehrsszenarien |
|
1.1. |
Die in Punkt 1 aufgeführten Szenarien und Parameter sind zu verwenden, wenn diese Szenarien für die ODD der ADS relevant sind.
Weicht der Hersteller von den in Punkt 1 vorgeschlagenen Parametern ab, so sind die vom Hersteller verwendeten Metriken für die Sicherheitsleistung sowie inhärente Annahmen im Dokumentationspaket zu dokumentieren. Die gewählten Metriken für die Sicherheitsleistung und inhärenten Annahmen müssen demonstrieren, dass das vollautomatisierte Fahrzeug keine unverhältnismäßigen Sicherheitsrisiken aufweist. Die Gültigkeit solcher Metriken für die Sicherheitsleistung und die inhärenten Annahmen ist durch Daten aus der Überwachung während des Betriebs zu belegen. |
|
1.2. |
Parameter für die Spurwechselszenarien für das vollautomatisierte Fahrzeug |
|
1.2.1. |
Die Szenarien und Parameter in Bezug auf den Spurwechsel sind gemäß der UN-Regelung Nr. 157 (1) anzuwenden. |
|
1.3. |
Parameter für die Abbiege- und Überquerungsszenarien für das vollautomatisierte Fahrzeug |
|
1.3.1. |
Beim Fehlen spezifischerer Verkehrsregeln sind beim Abbiegen und Überqueren (siehe Abbildung 1) bei trockener und ordnungsgemäßer Fahrbahn folgende Anforderungen im Hinblick auf die Interaktion mit anderen Verkehrsteilnehmern zu berücksichtigen. |
|
1.3.2. |
Beim Zusammenführen mit vorfahrtsberechtigtem Verkehr während des Abbiegens mit und ohne Kreuzung der Gegenrichtung ist zu vermeiden, dass der vorfahrtsberechtigte Verkehr auf der Zielspur abbremsen muss. Es muss jedoch sichergestellt werden, dass die TTC des sich nähernden vorfahrtsberechtigten Verkehrs auf der Zielstraße (Fall a in Abbildung 1) niemals unter den Schwellenwert fällt, TTC
dyn
definiert als:
Dabei gilt:
|
|
1.3.3. |
Bei einem Abbiegemanöver in die entgegengesetzte Verkehrsrichtung ist zu vermeiden, dass der vorfahrtsberechtigte Verkehr auf der Zielfahrspur unter Berücksichtigung des Gegenverkehrs abbremsen muss. Falls jedoch durch die Verkehrsdichte gerechtfertigt, muss — zusätzlich zum Abstand zum sich nähernden vorfahrtsberechtigten Verkehr auf der Zielstraße — sichergestellt werden, dass die TTC des vorfahrtsberechtigten kreuzenden Verkehrs zum fiktiven Kollisionspunkt (Schnittpunkt der Bewegungsbahnen, Fall b in Abbildung 1) niemals unter den Schwellenwert fällt,TTC
int
definiert als:
Dabei gilt:
Dasselbe gilt für Überquerungen mit vorfahrtsberechtigtem Verkehr (Fall c in Abbildung 1): Die TTC des vorfahrtsberechtigten Verkehrs zum imaginären Kollisionspunkt (Schnittpunkt der Bewegungsbahnen) darf niemals unter den Schwellenwert fallen, TTC int definiert in diesem Punkt.
Abbildung 1: Visualisierung der Abstände beim Abbiegen und Überqueren Fall a: Abstand zum sich nähernden vorfahrtsberechtigten Verkehr auf der Zielspur, der beim Einbiegen und Einfädeln mit vorfahrtsberechtigtem Verkehr zu beachten ist. Fall b: Abstand zum entgegenkommenden vorfahrtsberechtigten Verkehr, der beim Wenden und Überqueren der entgegengesetzten Verkehrsrichtung einzuhalten ist. Fall c: Abstand zum vorfahrtsberechtigten kreuzenden Verkehr, der beim Überqueren einzuhalten ist. |
|
1.4. |
Parameter für die Notfallmanöver-Szenarien des vollautomatisierten Fahrzeugs (DDT bei kritischen Szenarien) |
|
1.4.1. |
Das ADS muss eine Kollision mit einem vorausfahrenden Fahrzeug, das bis zu seiner vollen Bremsleistung abbremst, vermeiden, vorausgesetzt, es ist kein anderes Fahrzeug eingeschert. |
|
1.4.2. |
Kollisionen mit einscherenden Fahrzeugen, Fußgängern und Radfahrern, die sich in die gleiche Richtung bewegen, sowie mit Fußgängern, die beginnen könnten, die Straße zu überqueren, müssen mindestens unter den durch die folgende Gleichung festgelegten Bedingungen vermieden werden.
Dabei gilt:
v rel ist die relative Geschwindigkeit in Metern pro Sekunde [m/s] zwischen dem vollautomatisierten Fahrzeug und dem einscherenden Fahrzeug (positiv, wenn das ADS schneller ist als das einscherende Fahrzeug); β ist die maximale Abbremsung des vollautomatisierten Fahrzeugs und entspricht folgenden Werten:
Die Einhaltung dieser Gleichung ist nur für einscherende Verkehrsteilnehmer erforderlich, und auch nur dann, wenn die einscherenden Verkehrsteilnehmer mindestens 0,72 Sekunden vor dem Einscheren sichtbar waren: Daraus ergibt sich eine geforderte Kollisionsvermeidung, wenn ein anderer Verkehrsteilnehmer oberhalb der folgenden TTC-Werte in die Ego-Spur einschert (für das gezeigte Beispiel für Geschwindigkeiten in 10 km/h-Schritten). Diese Anforderungen müssen unabhängig von den Umgebungsbedingungen erfüllt werden.
Wird ein Spurwechsel mit einer niedrigeren TTC auf die Fahrspur des vollautomatisierten Fahrzeugs durchgeführt, kann nicht mehr davon ausgegangen werden, dass keine Kollisionsvermeidung stattfindet. Die Kontrollstrategie des ADS darf nur dann zwischen Kollisionsvermeidung und -minderung wechseln, wenn der Hersteller nachweisen kann, dass dies die Sicherheit der Fahrzeuginsassen und der anderen Verkehrsteilnehmer erhöht (z. B. durch Bevorzugung des Bremsens gegenüber einem alternativen Manöver). |
|
1.4.3. |
Das ADS muss eine Kollision mit einem kreuzenden Fußgänger oder einem Radfahrer vor dem Fahrzeug vermeiden. |
|
1.4.3.1. |
Fahrbedingungen in der Stadt und auf dem Land |
|
1.4.3.1.1. |
Das ADS muss bis zu einer Geschwindigkeit von 60 km/h eine Kollision mit einem nicht verdeckten kreuzenden Fußgänger mit einer Quergeschwindigkeitskomponente von höchstens 5 km/h oder einem nicht verdeckten kreuzenden Radfahrer mit einer Quergeschwindigkeitskomponente von nicht mehr als 15 km/h vor dem Fahrzeug vermeiden. Dies muss unabhängig von dem spezifischen vom ADS durchgeführten Manöver sichergestellt werden. |
|
1.4.3.1.2. |
Für den Fall, dass der Fußgänger bzw. der Radfahrer mit einer höheren Geschwindigkeit als den oben genannten Werten weitergeht bzw. -fährt und das ADS eine Kollision nicht mehr vermeiden kann, darf die Kontrollstrategie des ADS nur dann zwischen Kollisionsvermeidung und -minderung wechseln, wenn der Hersteller nachweisen kann, dass dies die Sicherheit der Fahrzeuginsassen und der anderen Verkehrsteilnehmer erhöht (z. B. durch bevorzugtes Bremsen gegenüber einem alternativen Manöver). |
|
1.4.3.1.3. |
Das ADS muss eine Kollision mit einem verdeckten Fußgänger oder Radfahrer, der vor dem Fahrzeug kreuzt, abmildern, indem es seine Kollisionsgeschwindigkeit um mindestens 20 km/h verringert. Dies muss unabhängig von dem spezifischen vom ADS durchgeführten Manöver sichergestellt werden. |
|
1.4.3.1.4. |
Für den Nachweis der Erfüllung der vorstehenden Anforderungen im Zusammenhang mit dem Kreuzen von Fußgängern und Radfahrern vor dem Fahrzeug können die im Rahmen des Europäischen Programms zur Bewertung von Neufahrzeugen (Euro NCAP) entwickelten Test- und Bewertungsszenarien als Orientierung dienen. |
|
1.4.3.2. |
Fahrbedingungen auf der Autobahn |
|
1.4.3.2.1. |
Die relevanten Szenarien und Parameter in Bezug auf das Kreuzen von Fußgängern sind gemäß der UN-Regelung Nr. 157 anzuwenden. |
|
1.4.3.2.2. |
Für den Fall, dass der Fußgänger mit Parameterwerten außerhalb der in der UN-Regelung Nr. 157 kreuzt und das ADS eine Kollision nicht mehr vermeiden kann, darf die Kontrollstrategie des ADS nur dann zwischen Kollisionsvermeidung und -minderung wechseln, wenn der Hersteller nachweisen kann, dass dies die Sicherheit der Fahrzeuginsassen und der anderen Verkehrsteilnehmer erhöht (z. B. durch bevorzugtes Bremsen gegenüber einem alternativen Manöver). |
|
1.5. |
Auffahrt auf die Autobahn
Das vollautomatisierte Fahrzeug muss in der Lage sein, sicher auf die Autobahn aufzufahren, indem es die Geschwindigkeit an den Verkehrsfluss anpasst und den entsprechenden Fahrtrichtungsanzeiger gemäß den Verkehrsregeln aktiviert. Der Fahrtrichtungsanzeiger muss deaktiviert werden, sobald das Fahrzeug das Spurwechselmanöver (LCM) abgeschlossen hat. Die für das Spurwechselszenario verwendeten Parameter müssen angewendet werden. |
|
1.6. |
Abfahrt von der Autobahn
Das vollautomatisierte Fahrzeug muss in der Lage sein, die vorgesehene Autobahnausfahrt zu antizipieren, indem es auf dem Fahrstreifen neben der Ausfahrtspur fährt; es darf nicht unnötig abbremsen, bevor das LCM in die Ausfahrtspur beginnt. Das vollautomatisierte Fahrzeug muss den Fahrtrichtungsanzeiger in Übereinstimmung mit den Verkehrsregeln betätigen und ohne unnötige Verzögerung in die Ausfahrtspur einfahren. Der Fahrtrichtungsanzeiger muss deaktiviert werden, sobald das LCM gemäß den Verkehrsvorschriften des Landes, in dem es durchgeführt wird, abgeschlossen ist. |
|
1.7. |
Durchfahren einer Mautstelle
Je nach ODD muss das vollautomatisierte Fahrzeug in der Lage sein, die richtige Durchfahrtsschranke zu wählen und seine Geschwindigkeit unter Berücksichtigung des Verkehrsflusses an die zulässige Höchstgeschwindigkeit innerhalb der Mautstelle anzupassen. |
|
1.8. |
Betrieb auf anderen Straßentypen als Autobahnen
Je nach ODD muss das jeweilige in den Punkten 1.2 bis 1.4 oben definierte relevante Szenario angewendet werden. |
|
1.9. |
Parameter für das automatisierte Parken |
|
1.9.1. |
Je nach ODD müssen die in den Punkten 1.3 bis 1.5 oben definierten relevanten Szenarien angewendet werden. Die für diese Szenarien zu verwendenden Parameter müssen unter Umständen angepasst werden, um die begrenzte Fahrgeschwindigkeit und die allgemein schlechte Sicht in einer Parkeinrichtung zu berücksichtigen. Es ist besonders darauf zu achten, dass Kollisionen mit Fußgängern und insbesondere mit Kindern und Kinderwagen vermieden werden. |
|
2. |
Nicht von Punkt 1 abgedeckte Szenarien. |
|
2.1. |
Szenarien, die nicht in Punkt 1 aufgeführt sind, sind zu generieren, um vernünftigerweise vorhersehbare kritische Situationen abzudecken, einschließlich Störungen und Verkehrsgefährdungen innerhalb der ODD. |
|
2.2. |
Wenn ADS-Funktionen von Fernfunktionen abhängig sind, müssen die Szenarien Störungen und Verkehrsgefährdungen umfassen, die von den entsprechenden Fernfunktionen ausgehen. |
|
2.3. |
Die Methode zur Generierung von Szenarien, die nicht in Abschnitt 1 aufgeführt sind, muss den in Anlage 1 zu Teil 1 dieses Anhangs festgelegten Grundsätzen entsprechen. |
|
2.4. |
Die vom Hersteller angewandte Methode zur Generierung von Szenarien, die nicht in Punkt 1 aufgeführt sind, ist in dem für die ADS-Bewertung vorzulegenden Dokumentationspaket darzulegen.
Anlage 1 Grundsätze für die Ableitung von Szenarien, die für die ODD des ADS relevant sind
1. Generierung und Klassifizierung von Szenarien Aus qualitativer Sicht können die Szenarien in die Kategorien Standard/Kritisch/Störung eingeteilt werden und entsprechen dem Normal- oder Notbetrieb. Für jede dieser Kategorien können ein datenbasierter Ansatz und ein wissensbasierter Ansatz verwendet werden, um entsprechende Verkehrsszenarien zu generieren. Bei einem wissensbasierten Ansatz wird Expertenwissen genutzt, um gefährliche Ereignisse systematisch zu identifizieren und Szenarien zu erstellen. Ein datenbasierter Ansatz nutzt die verfügbaren Daten, um auftretende Szenarien zu identifizieren und zu klassifizieren. Die Szenarien werden von der ODD des vollautomatisierten Fahrzeugs abgeleitet. 2. Standardszenarien Eine Reihe von Analyserahmen kann dem Hersteller helfen, zusätzliche Standardszenarien abzuleiten, um die Abdeckung der spezifischen Anwendung zu gewährleisten. Diese Rahmen sind unterteilt in: 2.1. ODD-Analyse Eine ODD besteht aus Landschaftselementen (z. B. physische Infrastruktur), Umweltbedingungen, dynamischen Elementen (z. B. Verkehr, gefährdete Verkehrsteilnehmer) und operativen Einschränkungen für die spezifische ADS-Anwendung. Das Ziel dieser Analyse ist es, die Merkmale der ODD zu identifizieren, Eigenschaften zuzuordnen und die Interaktionen zwischen den Objekten zu definieren. Hier wird der Einfluss der ODD auf die Verhaltenskompetenzen des ADS untersucht. Ein Beispiel für eine solche Analyse ist in Tabelle 1 dargestellt. Tabelle 1 Dynamische Elemente und ihre Eigenschaften
2.2. OEDR-Analyse: Identifizierung von Verhaltenskompetenzen Sobald die Objekte und relevanten Eigenschaften identifiziert sind, kann die entsprechende Reaktion des ADS abgebildet werden. Die Reaktion des ADS wird auf der Grundlage der geltenden funktionalen Anforderungen und unter Anwendung der Leistungsanforderungen dieser Verordnung und der Verkehrsregeln des Landes, in dem der Betrieb erfolgt, modelliert. Das Ergebnis der OEDR-Analyse ist auch eine Reihe von Kompetenzen, die auf die für die ODD geltenden Verhaltenskompetenzen abgebildet werden können, um die Einhaltung der relevanten behördlichen und rechtlichen Anforderungen zu gewährleisten. Tabelle 2 enthält ein qualitatives Beispiel für eine Übereinstimmung von Ereignis und Reaktion. Die Kombination von Objekten, Ereignissen und ihrer potenziellen Interaktion als Funktion innerhalb der ODD bilden die Menge der für das zu analysierende ADS relevanten Standardszenarien. Die Identifizierung nominaler Szenarien kann von einer verbesserten Kombination von Szenariodeskriptoren profitieren, die innerhalb der ODD z. B. Infrastrukturmerkmale, Objekt- und Ereignismerkmale, Gefahren für Reaktionen (z. B. Wetter, Sichtbarkeit) abdecken. Die Identifizierung von Standardszenarien ist nicht auf die Verkehrsbedingungen beschränkt, sondern umfasst auch Umweltbedingungen, menschliche Faktoren, Konnektivität und Fehlkommunikation. Da die Parameter (Annahmen) für die Ereignisse noch zu definieren sind, sind die aus der Anwendung der Analyse abgeleiteten Standardszenarien in ihrer funktionalen und logischen Abstraktionsebene zu betrachten. Tabelle 2 Verhaltenskompetenzen für vorgegebene Ereignisse
3. Kritische Szenarien Kritische Szenarien können abgeleitet werden, indem entweder Grenzfallannahmen für Standardverkehrsszenarien (datengestützt) berücksichtigt oder standardisierte Methoden (wissensgestützt) für die Bewertung operativer Unzulänglichkeiten verwendet werden (siehe Beispiel für Methoden in Teil 2, Punkt 3.5.5). Die Identifizierung kritischer Szenarien kann von einer verbesserten Kombination von Szenariodeskriptoren und Randwerten profitieren, die innerhalb der ODD z. B. Infrastrukturmerkmale, Objekt- und Ereignismerkmale, Gefahren für Reaktionen (z. B. Wetter, Sichtbarkeitsbehinderungen, Interaktionen mit anderen Verkehrsteilnehmern als dem ausgelösten Objekt oder Ereignis) abdecken. Die Identifizierung kritischer Szenarien ist nicht auf die Verkehrsbedingungen beschränkt, sondern umfasst auch Umweltbedingungen, menschliche Faktoren, Konnektivität und Fehlkommunikation. Kritische Szenarien entsprechen einem Notbetrieb des ADS. 4. Fehlerszenarien Anhand dieser Szenarien soll bewertet werden, wie das ADS auf einen Fehler reagiert. In der Literatur sind verschiedene Methoden beschrieben (siehe Methodenbeispiele in Teil 2, Punkt 3.5.5). Für jeden der ermittelten Verhaltensfehler und die sich daraus ergebenden Folgen muss der Hersteller bei der Entwicklung der ADS entsprechende Strategien anwenden (d. h. es muss ausfallsicher sein). Bei Anwendung der Fehlerszenarien geht es darum, die Fähigkeit des ADS zu bewerten, die Anforderungen für sicherheitskritische Situationen und die entsprechenden Unteranforderungen zu erfüllen, z. B. „Das ADS muss sicherheitskritische Fahrsituationen beherrschen“ und „Das ADS muss Fehlermodi sicher beherrschen“. 5. Annahmen: Logische bis konkrete Szenarien Um sicherzustellen, dass die in den vorangegangenen Punkten identifizierten Szenarien für eine Bewertung durch Simulationen oder physische Tests geeignet sind, muss der Hersteller sie gegebenenfalls durch Anwendung von Annahmen durchgängig parametrisieren. Der Hersteller muss Nachweise für die getroffenen Annahmen vorlegen, z. B. Datenerfassungskampagnen während der Entwicklungsphase, reale Unfälle und realistische Bewertungen des Fahrverhaltens. Parameter, die zur Charakterisierung kritischer Szenarien verwendet werden, sollten vernünftigerweise vorhersehbare Werte in Szenariodeskriptoren abdecken, sollten sich jedoch nicht auf bereits in dokumentierten Datenbanken beobachtete Werte beschränken. |
TEIL 2
BEWERTUNG DES ADS-SICHERHEITSKONZEPTS UND AUDIT DES SICHERHEITSMANAGEMENTSYSTEMS DES HERSTELLERS
1. Allgemeines
|
1.1. |
Die Typgenehmigungsbehörde, die die Typgenehmigung erteilt, oder der in ihrem Auftrag tätige technische Dienst überprüft durch gezielte Stichproben und Tests, insbesondere gemäß Punkt 4 dieses Anhangs, ob die in der Dokumentation enthaltenen Sicherheitsargumente mit den Anforderungen von Anhang II übereinstimmen und ob der in der Dokumentation beschriebene Entwurf und die darin beschriebenen Verfahren vom Hersteller tatsächlich umgesetzt werden. |
|
1.2. |
Auch wenn das verbleibende Sicherheitsrisiko des typgenehmigten ADS für die Inbetriebnahme des Fahrzeugtyps auf der Grundlage der vorgelegten Dokumentation, der für das Audit des Sicherheitsmanagementsystems vorgelegten Nachweise und der zur Zufriedenheit der Typgenehmigungsbehörde gemäß dieser Verordnung durchgeführten Bewertung des ADS-Sicherheitskonzepts als akzeptabel angesehen wird, bleibt der Hersteller, der die Typgenehmigung beantragt, verantwortlich für die Gesamtsicherheit des ADS während der Betriebslebensdauer des ADS gemäß den Anforderungen dieser Verordnung. |
2. Begriffsbestimmungen
Für die Zwecke dieses Anhangs gelten folgende Begriffsbestimmungen:
|
2.1. |
„Sicherheitskonzept“ bezeichnet eine Beschreibung der Maßnahmen, die beim Entwurf des ADS berücksichtigt wurden, sodass das vollautomatisierte Fahrzeug für die Szenarien und Ereignisse funktioniert, die relevant für die ODD sind, und dies frei von unverhältnismäßigen Sicherheitsrisiken für die Fahrzeuginsassen und andere Verkehrsteilnehmer unter Fehlerbedingungen (funktionale Sicherheit) und fehlerfreien Bedingungen (operative Sicherheit). Die Möglichkeit des Rückfalls auf einen Teilbetrieb oder sogar auf ein Reservesystem für wichtige ADS-Funktionen muss Teil des Sicherheitskonzepts sein. |
|
2.2. |
„Einheiten“ bezeichnet die kleinsten Unterteilungen von Systemkomponenten, die in diesem Anhang berücksichtigt werden, da diese Kombinationen von Komponenten für die Zwecke der Identifizierung, der Analyse oder des Austauschs als einzelne Einheiten behandelt werden. |
|
2.3. |
„Übertragungsverbindungen“ bezeichnet die Mittel, die zur Verbindung verteilter Einheiten zum Zwecke der Übertragung von Signalen, Betriebsdaten oder einer Energieversorgung verwendet werden. Diese Ausrüstung ist im Allgemeinen elektrisch, kann aber teilweise auch mechanisch, pneumatisch oder hydraulisch sein. |
|
2.4. |
„Kontrollbereich“ bezeichnet eine Ausgangsvariable und definiert den Bereich, in dem das System wahrscheinlich die Kontrolle ausüben wird. |
|
2.5. |
„Grenze des funktionalen Betriebs“ bezeichnet die externen physikalischen Grenzen, innerhalb derer das ADS die dynamischen Fahraufgaben erfüllen kann. |
3. Dokumentation des ADS
3.1. Anforderungen
Der Hersteller muss ein Dokumentationspaket zur Verfügung stellen, das Zugang zum grundlegenden Entwurf des ADS und zu den Mitteln gibt, mit denen es mit anderen Fahrzeugsystemen verbunden ist oder mit denen es Ausgangsvariablen direkt steuert, sowie zur Hardware/Software außerhalb des Fahrzeugs und zu den Fernfunktionen.
Die Funktion(en) des ADS, einschließlich der Kontrollstrategien, und das vom Hersteller festgelegte Sicherheitskonzept sind zu erläutern.
Die Dokumentation ist kurz zu halten, muss jedoch den Nachweis erbringen, dass in den Entwurf und die Entwicklung Fachwissen aus allen relevanten ADS-Bereichen eingeflossen ist.
Für die regelmäßige technische Überwachung muss die Dokumentation beschreiben, wie der aktuelle Betriebszustand des ADS sowie die Funktionsweise und Integrität der Software überprüft werden können.
Die Typgenehmigungsbehörde bewertet das Dokumentationspaket, aus dem hervorgeht, dass das ADS:
|
a) |
so entworfen und entwickelt wurde, dass es ohne unverhältnismäßige Risiken für Fahrzeuginsassen und andere Verkehrsteilnehmer innerhalb der angegebenen ODD und Grenzen funktioniert; |
|
b) |
die Leistungsanforderungen von Anhang II dieser Verordnung erfüllt; |
|
c) |
gemäß dem vom Hersteller angegebenen Entwicklungsprozess/der angegebenen Methode entwickelt wurde. |
|
3.1.1. |
Die Dokumentation wird in drei Teilen zur Verfügung gestellt:
|
3.2. Allgemeine Beschreibung des ADS
|
3.2.1. |
Es ist eine Beschreibung vorzulegen, die eine einfache Erläuterung der Betriebsmerkmale des ADS und der ADS-Funktionen enthält. |
|
3.2.2. |
Die Beschreibung muss umfassen: |
|
3.2.2.1. |
die ODD wie Höchstgeschwindigkeit, Straßentyp (z. B. zugeordnete Fahrspur), Land bzw. Länder/Gebiet(e) des Einsatzes, Straßenbedingungen und erforderliche Umweltbedingungen (z. B. Schneefreiheit) usw.)/Randbedingungen |
|
3.2.2.2. |
grundlegende Leistung (z. B. Erkennung von Objekten und Ereignissen und Reaktion darauf, für den Betrieb erforderliche externe Infrastruktur) |
|
3.2.2.3. |
Interaktion mit anderen Verkehrsteilnehmern |
|
3.2.2.4. |
Hauptbedingungen für risikominimierende Manöver |
|
3.2.2.5. |
Interaktionskonzept mit den Fahrzeuginsassen, dem Bediener im Fahrzeug (falls zutreffend) und dem Bediener für den Ferneingriff (falls zutreffend) |
|
3.2.2.6. |
die Mittel zur Aktivierung oder Deaktivierung des ADS durch den Bediener im Fahrzeug (falls zutreffend) oder den Bediener für den Ferneingriff (falls zutreffend), die Fahrzeuginsassen (falls zutreffend) oder andere Verkehrsteilnehmer (falls zutreffend) |
|
3.2.2.7. |
operative Maßnahmen (z. B. Bediener im Fahrzeug oder Bediener für den Ferneingriff erforderlich), die zur Gewährleistung der Sicherheit während des Betriebs des vollautomatisierten Fahrzeugs getroffen werden müssen |
|
3.2.2.8. |
Backend, externe Infrastruktur, die erforderlich ist, um die Sicherheit während des Betriebs des vollautomatisierten Fahrzeugs zu gewährleisten. |
3.3. Beschreibung der Funktionen des ADS
Es ist eine Beschreibung vorzulegen, in der alle Funktionen erläutert werden, einschließlich der Kontrollstrategien, die einen robusten und sicheren Betrieb des ADS gewährleisten, sowie die Methoden zur Ausführung der dynamischen Fahraufgaben innerhalb der ODD und die Grenzen, auf die das automatisierte Fahrsystem ausgelegt ist, zusammen mit einer Beschreibung, wie dies sichergestellt wird.
Alle aktivierten oder deaktivierten automatisierten Fahrfunktionen, deren Hardware und Software zum Zeitpunkt der Herstellung im Fahrzeug vorhanden sind, müssen vor ihrer Verwendung im Fahrzeug angegeben werden und unterliegen den Anforderungen dieses Anhangs sowie von Anhang II dieser Verordnung. Wenn kontinuierliche Lernalgorithmen eingesetzt werden, muss der Hersteller auch die Datenverarbeitung dokumentieren.
|
3.3.1. |
Es ist eine Liste aller Eingangs- und Messvariablen mit Angabe ihres jeweils definierten Gültigkeitsbereichs vorzulegen, zusammen mit einer Beschreibung, wie die einzelnen Variablen das Verhalten des ADS beeinflussen. |
|
3.3.2. |
Es ist eine Liste aller Ausgangsvariablen vorzulegen, die durch das ADS gesteuert werden, und es ist in jedem Fall zu erläutern, ob die Steuerung direkt oder über ein anderes Fahrzeugsystem erfolgt. Der Bereich, in dem das ADS voraussichtlich die Kontrolle über jede dieser Variablen ausübt, ist festzulegen. |
|
3.3.3. |
Die Grenzen des funktionalen Betriebs, einschließlich der ODD-Grenzwerte, sind anzugeben, wenn dies für die Leistung des ADS relevant ist. |
|
3.3.4. |
Das Konzept der Mensch-Maschine-Interaktion (HMI) mit den Fahrzeuginsassen/dem Bediener im Fahrzeug/dem Bediener für den Ferneingriff (falls vorhanden) bei Annäherung an ODD-Grenzwerte und deren Erreichen ist zu erläutern. Die Erläuterung muss eine Liste der verschiedenen Situationen enthalten, in denen das ADS eine Unterstützungsanforderung an den Bediener im Fahrzeug/den Bediener für den Ferneingriff (falls zutreffend) stellt, die Art und Weise, wie die Anforderung vorgenommen wird, das Verfahren, mit dem eine fehlgeschlagene Anforderung behandelt wird, und das risikominimierende Manöver. Die Signale und Informationen, die dem Bediener im Fahrzeug/dem Bediener für den Ferneingriff, den Fahrzeuginsassen und anderen Verkehrsteilnehmern bei jedem der oben genannten Aspekte übermittelt werden, sind ebenfalls zu beschreiben. |
3.4. Layout und Schaltpläne des ADS
|
3.4.1. |
Bestandsverzeichnis der Komponenten
Es ist eine Liste vorzulegen, in der alle Einheiten des ADS zusammengefasst sind und in der die anderen Fahrzeugsysteme sowie die externe Hardware/Software und die Fernfunktionen aufgeführt sind, die erforderlich sind, um die spezifizierte Leistung des ADS zu erreichen, das gemäß seiner ODD genehmigt werden soll. Es ist ein Übersichtsplan vorzulegen, der diese Einheiten in Kombination zeigt und aus dem sowohl die Geräteverteilung als auch die Verbindungen deutlich hervorgehen. Diese Übersicht muss enthalten:
|
|
3.4.2. |
Funktionen der Einheiten
Die Funktion jeder Einheit des ADS ist zu beschreiben, und die Signale, die sie mit anderen Einheiten oder anderen Fahrzeugsystemen verbinden, sind darzustellen. Dazu gehören auch externe Systeme, die das ADS und andere Fahrzeugsysteme unterstützen. Dies kann durch ein beschriftetes Blockdiagramm oder einen anderen Übersichtsplan oder durch eine Beschreibung mit Unterstützung eines solchen Diagramms erfolgen. |
|
3.4.3. |
Die Verbindungen innerhalb des ADS sind durch einen Schaltplan für die elektrischen Übertragungsverbindungen, durch einen Leitungsplan für pneumatische oder hydraulische Übertragungsausrüstung und durch eine vereinfachte schematische Darstellung für mechanische Verbindungen darzustellen. Die Übertragungsverbindungen zu und von anderen Systemen müssen ebenfalls dargestellt werden. |
|
3.4.4. |
Es muss eine klare Zuordnung zwischen den Übertragungsverbindungen und den zwischen den Einheiten übertragenen Signalen bestehen. Die Prioritäten von Signalen auf gemultiplexten Datenpfaden müssen angegeben werden, wenn die Priorität einen Einfluss auf die Leistung oder die Sicherheit haben kann. |
|
3.4.5. |
Identifizierung der Einheiten |
|
3.4.5.1. |
Jede Einheit muss klar und eindeutig identifizierbar sein (z. B. durch Kennzeichnung der Hardware und durch Kennzeichnung oder Softwareausgabe für den Softwareinhalt), um eine entsprechende Zuordnung von Hardware und Dokumentation zu ermöglichen. Wenn eine Softwareversion geändert werden kann, ohne dass die Kennzeichnung oder das Bauteil ausgetauscht werden muss, darf die Softwareidentifikation nur durch die Softwareausgabe erfolgen. |
|
3.4.5.2. |
Sind Funktionen in einem einzigen Gerät oder sogar in einem einzigen Computer kombiniert, aber aus Gründen der Übersichtlichkeit und der leichteren Erklärung im Blockschaltbild in mehreren Blöcken dargestellt, so ist nur eine einzige Hardware-Kennzeichnung zu verwenden. Der Hersteller muss durch die Verwendung dieser Kennzeichnung bestätigen, dass das gelieferte Gerät mit dem entsprechenden Dokument übereinstimmt. |
|
3.4.5.3. |
Die Kennzeichnung gibt die Hardware- und Softwareversion an; wenn sich die letztere so ändert, dass sich die Funktion der Einheit im Sinne dieser Verordnung ändert, muss auch diese Kennzeichnung geändert werden. |
|
3.4.6. |
Einbau der Komponenten des Sensorsystems
Der Hersteller muss Informationen über die Einbaumöglichkeiten für die einzelnen Komponenten des Sensorsystems zur Verfügung stellen. Zu diesen Optionen gehören unter anderem die Lage der Komponente im/am Fahrzeug, der/die die Komponente umgebende(n) Werkstoff(e), die Abmessungen und die Geometrie des die Komponente umgebenden Werkstoffs sowie die Oberflächenbeschaffenheit der die Komponente umgebenden Werkstoffe nach dem Einbau in das Fahrzeug. Die Informationen müssen auch Einbauspezifikationen enthalten, die für die Leistung des ADS entscheidend sind, z. B. Toleranzen beim Einbauwinkel. Änderungen an den einzelnen Komponenten des Sensorsystems oder an den Einbaumöglichkeiten sind der Typgenehmigungsbehörde mitzuteilen und werden einer weiteren Bewertung unterzogen. |
3.5. Sicherheitskonzept des Herstellers und Validierung des Sicherheitskonzepts durch den Hersteller
|
3.5.1. |
Der Hersteller muss eine Erklärung vorlegen, in der er bestätigt, dass das ADS keine unverhältnismäßigen Risiken für die Fahrzeuginsassen und andere Verkehrsteilnehmer darstellt. |
|
3.5.2. |
In Bezug auf die im ADS verwendete Software sind die Grundzüge der Architektur zu erläutern und die verwendeten Entwurfsmethoden und Werkzeuge anzugeben (siehe 3.5.1.). Der Hersteller muss nachweisen, mit welchen Mitteln er die Realisierung der ADS-Logik im Entwurfs- und Entwicklungsprozess bestimmt hat. |
|
3.5.3. |
Der Hersteller muss der Typgenehmigungsbehörde eine Erläuterung der in das ADS eingebauten Entwurfsvorschriften zur Gewährleistung der funktionalen und operativen Sicherheit vorlegen. Mögliche Entwurfsvorschriften im ADS sind zum Beispiel:
|
|
3.5.3.1. |
Wenn die gewählte Vorschrift unter bestimmten Fehlerbedingungen (z. B. bei schwerwiegenden Störungen) eine Betriebsart mit Teilleistung vorgibt, sind diese Bedingungen anzugeben (z. B. Art der Störung), ebenso wie die sich daraus ergebenden definierten Grenzen der Wirksamkeit (z. B. sofortige Einleitung eines risikominimierenden Manövers) und die Warnstrategie für den Bediener/den Bediener für den Ferneingriff, die Insassen und andere Verkehrsteilnehmer (falls zutreffend). |
|
3.5.3.2. |
Wenn die gewählte Entwurfsvorschrift ein zweites (Reserve-) Mittel oder verschiedene Mittel zur Realisierung der von dem Fehler betroffenen Leistung vorsieht, sind die Grundsätze des Umschaltmechanismus, die Logik und der Grad der Redundanz sowie etwaige eingebaute Kontrollfunktionen zu erläutern, ebenso wie die sich daraus ergebenden definierten Grenzen der Wirksamkeit. |
|
3.5.3.3. |
Wenn die gewählte Entwurfsvorschrift die Aufhebung der automatisierten Fahrfunktion(en) vorsieht, muss dies in Übereinstimmung mit den einschlägigen Bestimmungen dieser Verordnung erfolgen. Alle entsprechenden Ausgangssteuersignale, die mit dieser Funktion verbunden sind, sind zu sperren. |
|
3.5.4. |
Der Hersteller muss der Typgenehmigungsbehörde auch eine Erläuterung der Betriebssicherheitsmaßnahmen vorlegen, die für den sicheren Betrieb des ADS zu ergreifen sind, wie z. B. ein Bediener im Fahrzeug oder ein Bediener für den Ferneingriff, unterstützende externe Infrastruktur, Anforderungen an die Transport- und die physische Infrastruktur, Wartungsmaßnahmen usw. |
|
3.5.5. |
Die Dokumentation muss durch eine Analyse gestützt werden, aus der hervorgeht, wie sich das ADS verhält, um Gefahren, die sich auf die Sicherheit der Fahrzeuginsassen und anderer Verkehrsteilnehmer auswirken können, zu mindern oder zu vermeiden. |
|
3.5.5.1. |
Das (die) gewählte(n) analytische(n) Konzept(e) ist (sind) vom Hersteller zu erstellen und zu pflegen und der Typgenehmigungsbehörde zum Zeitpunkt der Typgenehmigung und danach zur Einsichtnahme vorzulegen. |
|
3.5.5.2. |
Die Typgenehmigungsbehörde bewertet die Anwendung des analytischen Ansatzes/der analytischen Ansätze:
|
|
3.5.5.3. |
Der Analyseansatz nach Abschnitt 3.5.5.2 muss bestätigen, dass zumindest jeder der folgenden Punkte abgedeckt ist:
|
|
3.5.5.4. |
Die Bewertung durch die Typgenehmigungsbehörde erfolgt durch Stichproben, um festzustellen, ob die Argumentation für das Sicherheitskonzept verständlich und logisch ist und in den verschiedenen Funktionen des ADS umgesetzt wurde. Bei der Bewertung ist auch zu prüfen, ob die Validierungspläne robust genug sind, um die Sicherheit nachzuweisen (z. B. angemessene Abdeckung der gewählten Szenarien, die durch das gewählte Validierungswerkzeug getestet werden), und ob sie ordnungsgemäß ausgeführt wurden. |
|
3.5.5.4.1. |
Es muss nachgewiesen werden, dass der Betrieb des vollautomatisierten Fahrzeugs keine unverhältnismäßigen Risiken für die Fahrzeuginsassen und andere Verkehrsteilnehmer in der ODD verursacht, d. h. durch:
|
|
3.5.5.5. |
Die Typgenehmigungsbehörde führt zur Überprüfung des Sicherheitskonzepts die in Nummert 4 dieses Anhangs genannten Tests durch oder verlangt deren Durchführung. |
|
3.5.5.6. |
In dieser Dokumentation sind die zu überwachenden Parameter aufzuführen, und für jeden Störungszustand der in Punkt 3.5.4 dieses Anhangs definierten Art ist das Warnsignal anzugeben, das dem Bediener/dem Bediener für den Ferneingriff/den Fahrzeuginsassen/anderen Verkehrsteilnehmern und/oder dem Personal des technischen Dienstes/der technischen Überprüfung gegeben werden muss. |
|
3.5.5.7. |
In dieser Dokumentation sind auch die Maßnahmen zu beschreiben, mit denen sichergestellt wird, dass das ADS keine unverhältnismäßigen Risiken für die Fahrzeuginsassen und andere Verkehrsteilnehmer verursacht, wenn die Leistung des ADS durch Umweltbedingungen wie Klima, Temperatur, Staub- und Wassereintritt, Eisbildung oder schlechtes Wetter beeinträchtigt wird. |
4. Verifizierung und Tests
Unter Berücksichtigung der Analyseergebnisse für die Dokumentation des Herstellers fordert die Typgenehmigungsbehörde den technischen Dienst auf, Tests durchzuführen oder ihnen beizuwohnen, um bestimmte Punkte, die sich aus der Bewertung ergeben, zu überprüfen.
|
4.1. |
Der funktionale Betrieb des ADS, wie er in den unter Punkt 3 geforderten Dokumenten dargelegt ist, muss wie folgt getestet werden: |
|
4.1.1. |
Verifizierung der Funktion des ADS
Die Typgenehmigungsbehörde prüft das ADS unter störungsfreien Bedingungen, indem sie auf einer Teststrecke eine Reihe ausgewählter Funktionen testet, die sie für erforderlich hält und die vom Hersteller beschrieben werden, und indem sie das Gesamtverhalten des ADS unter realen Fahrbedingungen einschließlich der Einhaltung der Verkehrsregeln prüft. Diese Tests umfassen auch Szenarien, in denen das ADS durch den Bediener für den Ferneingriff (falls zutreffend) außer Kraft gesetzt wird. Diese Tests können auf den in Teil 3 dieses Anhangs aufgeführten Prüfszenarien und/oder auf zusätzlichen, nicht in Teil 3 behandelten Szenarien beruhen. |
|
4.1.1.1. |
Die Testergebnisse müssen mit der vom Hersteller in Punkt 3.2 angegebenen Beschreibung, einschließlich der Kontrollstrategien, übereinstimmen und den Leistungsanforderungen dieser Verordnung genügen. |
|
4.1.2. |
Überprüfung des ADS-Sicherheitskonzepts
Die Reaktion des ADS muss unter dem Einfluss eines Fehlers in jeder einzelnen Einheit überprüft werden, indem entsprechende Ausgangssignale auf elektrische Einheiten oder mechanische Elemente angewendet werden, um die Auswirkungen einer internen Störung innerhalb der Einheit zu simulieren. Die Typgenehmigungsbehörde muss überprüfen, ob diese Tests Aspekte umfassen, die sich auf die Steuerbarkeit des Fahrzeugs und die Benutzerinformation auswirken können (HMI-Aspekte, z. B. Interaktion mit dem Bediener/dem Bediener für den Ferneingriff). |
|
4.1.2.1. |
Die Typgenehmigungsbehörden prüfen auch eine Reihe von Szenarien, die für die Objekt- und Ereigniserkennung und -reaktion (OEDR) und die Charakterisierung der Entscheidungsfindung und Mensch-Maschine-Funktionen des ADS kritisch sind (z. B. schwer zu erkennende Objekte, wenn das ADS die ODD-Grenzen erreicht, Verkehrsstörungsszenarien, Konnektivitätsprobleme, Probleme mit Systemen außerhalb des Fahrzeugs, Probleme mit Fernfunktionen, wie z. B. die Abwesenheit des Bedieners für den Ferneingriff), wie in dieser Verordnung festgelegt. |
|
4.1.2.2. |
Die Überprüfungsergebnisse müssen mit der dokumentierten Zusammenfassung der Gefahrenanalyse so weit übereinstimmen, dass das Sicherheitskonzept und die Ausführung als angemessen und in Übereinstimmung mit den Anforderungen dieser Verordnung bestätigt werden. |
|
4.2. |
Simulationswerkzeuge und mathematische Modelle zur Überprüfung des Sicherheitskonzepts können gemäß Anhang VIII der Verordnung (EU) 2018/858 verwendet werden, insbesondere für Szenarien, die auf einer Teststrecke oder unter realen Fahrbedingungen schwierig sind. Hersteller müssen den Anwendungsbereich des Simulationswerkzeugs, seine Gültigkeit für das betreffende Szenario sowie die für die Simulations-Toolchain durchgeführte Validierung (Korrelation der Ergebnisse mit physischen Tests) nachweisen. Für den Nachweis der Gültigkeit der Simulations-Toolchain gelten die Grundsätze von Teil 4 dieses Anhangs. Die Simulation ist kein Ersatz für die physischen Tests in Teil 3 dieses Anhangs. |
|
4.3. |
Der Hersteller muss über eine gültige Konformitätsbescheinigung für das Sicherheitsmanagementsystem (SMS) verfügen, das für den zu genehmigenden Fahrzeugtyp relevant ist. |
5. Sicherheitsmanagementsystem (SMS)
|
5.1. |
Der Hersteller muss für das ADS gegenüber der Typgenehmigungsbehörde in Form eines Sicherheitsmanagementsystems (SMS) nachweisen, dass wirksame Verfahren, Methoden, Schulungen und Werkzeuge vorhanden sind, auf dem neuesten Stand sind und innerhalb des Unternehmens angewendet werden, um die Sicherheit und die durchgängige Einhaltung der Vorschriften während des gesamten ADS-Betriebslebenszyklus zu gewährleisten. |
|
5.2. |
Der Entwurfs- und Entwicklungsprozess ist festzulegen und zu dokumentieren, einschließlich des Sicherheitsmanagementsystems, des Anforderungsmanagements, der Umsetzung der Anforderungen, der Tests, der Störungsverfolgung, der Abhilfe und der Freigabe. |
|
5.3. |
Der Hersteller muss funktionierende Kommunikationskanäle zwischen den Abteilungen des Herstellers sicherstellen, die für die funktionale/operative Sicherheit, die Cybersicherheit und andere relevante Disziplinen im Zusammenhang mit der Fahrzeugsicherheit zuständig sind. |
|
5.4. |
Der Hersteller muss über Verfahren zur Erfassung von Fahrzeugdaten und Daten aus anderen Quellen verfügen, um sicherheitsrelevante Vorfälle/Unfälle, die durch das eingeschaltete automatisierte Fahrsystem verursacht wurden, zu überwachen und zu analysieren. Der Hersteller meldet den Typgenehmigungsbehörden, den Marktüberwachungsbehörden und der Kommission die einschlägigen Vorkommnisse gemäß Teil 5 dieses Anhangs. |
|
5.4.1. |
Der Hersteller muss es dem Verkehrsdienstbetreiber ermöglichen, den Typgenehmigungsbehörden, Marktüberwachungsbehörden oder anderen von den Mitgliedstaaten benannten Behörden die Fahrzeugdaten gemäß Absatz 5.4 sowie die gemäß Anhang II Abschnitt 9 erfassten ADS-Daten und spezifischen Datenelemente des Ereignisdatenspeichers (EDR) zur Verfügung zu stellen. |
|
5.5. |
Der Hersteller muss über Verfahren verfügen, um mögliche sicherheitsrelevante Lücken nach der Zulassung zu verwalten und die Fahrzeuge erforderlichenfalls zu aktualisieren. |
|
5.6. |
Der Hersteller muss nachweisen, dass regelmäßige unabhängige interne Prozessaudits (z. B. alle zwei Jahre) durchgeführt werden, um sicherzustellen, dass die gemäß den Punkten 5.1. bis 5.5 festgelegten Prozesse konsequent umgesetzt werden. |
|
5.7. |
Der Hersteller hat geeignete Regelungen (z. B. vertragliche Regelungen, eindeutige Schnittstellen, Qualitätsmanagementsysteme) mit seinen Lieferanten zu treffen, um sicherzustellen, dass das Sicherheitsmanagementsystem der Lieferanten den Anforderungen unter den Nummern 5.1 (ausgenommen die fahrzeugbezogenen Aspekte wie „Betrieb“ und „Stilllegung“), 5.2, 5.3 und 5.6 entspricht. |
|
5.8. |
Konformitätsbescheinigung für das Sicherheitsmanagementsystem |
|
5.8.1. |
Ein Antrag auf Erteilung einer Konformitätsbescheinigung für das Sicherheitsmanagementsystem ist vom Hersteller oder seinem ordnungsgemäß bevollmächtigten Vertreter bei der Typgenehmigungsbehörde einzureichen. |
|
5.8.2. |
Dem Antrag sind die nachstehend genannten Dokumente in dreifacher Ausfertigung beizufügen, insbesondere:
|
|
5.8.3. |
Wenn dieses Audit des SMS zufriedenstellend abgeschlossen wurde und eine unterzeichnete Erklärung des Herstellers nach dem Muster in Anlage 3 vorliegt, wird dem Hersteller eine Bescheinigung mit der Bezeichnung „Konformitätsbescheinigung für das SMS“ ausgestellt, wie in Anlage 4 beschrieben (nachstehend „Konformitätsbescheinigung für das SMS“). |
|
5.8.4. |
Die Konformitätsbescheinigung für das SMS ist höchstens drei Jahre ab dem Datum der Ausstellung der Bescheinigung gültig, sofern sie nicht zurückgezogen wird. |
|
5.8.5. |
Die Typgenehmigungsbehörde kann jederzeit überprüfen, ob die Anforderungen für die Konformitätsbescheinigung für das SMS weiterhin erfüllt sind. Die Typgenehmigungsbehörde entzieht die Konformitätsbescheinigung für das SMS, wenn schwerwiegende Mängel bei der Einhaltung der in dieser Verordnung festgelegten Anforderungen festgestellt und nicht unverzüglich behoben werden. |
|
5.8.6. |
Der Hersteller unterrichtet die Typgenehmigungsbehörde oder ihren technischen Dienst über alle Änderungen, die die Gültigkeit der Konformitätsbescheinigung für das SMS beeinträchtigen. Nach Rücksprache mit dem Hersteller entscheidet die Typgenehmigungsbehörde oder ihr technischer Dienst, ob neue Prüfungen erforderlich sind. |
|
5.8.7. |
Der Hersteller beantragt rechtzeitig eine neue Konformitätsbescheinigung für das SMS oder eine Verlängerung der bestehenden Konformitätsbescheinigung für das SMS. Die Typgenehmigungsbehörde stellt vorbehaltlich einer positiven Prüfung eine neue Konformitätsbescheinigung für das SMS aus oder verlängert deren Gültigkeit um weitere drei Jahre. Die Typgenehmigungsbehörde prüft, ob das SMS weiterhin den Anforderungen dieser Verordnung entspricht. Die Typgenehmigungsbehörde stellt eine neue Bescheinigung aus, wenn der Typgenehmigungsbehörde oder ihrem technischen Dienst Änderungen zur Kenntnis gebracht wurden und diese Änderungen positiv bewertet wurden. |
|
5.8.8. |
Das Erlöschen oder die Rücknahme der Konformitätsbescheinigung des Herstellers für das SMS gilt in Bezug auf die Fahrzeugtypen, für die das betreffende SMS relevant war, als Änderung der Genehmigung, die die Rücknahme der Genehmigung einschließen kann, wenn die Bedingungen für die Erteilung der Genehmigung nicht mehr erfüllt sind. |
6. Berichtspflicht
|
6.1. |
Die Berichterstattung über die Sicherheitsbewertung des ADS-Sicherheitskonzepts sowie das Audit des Sicherheitsmanagementsystems des Herstellers sind so durchzuführen, dass eine Rückverfolgbarkeit möglich ist. Beispielsweise können die Versionen der geprüften Dokumente codiert und in den Aufzeichnungen des technischen Dienstes aufgeführt werden. |
|
6.2. |
Ein Beispiel für das Layout des Berichts über die Bewertung des ADS-Sicherheitskonzepts durch den technischen Dienst an die Typgenehmigungsbehörde ist in Anlage 1 zu diesem Teil enthalten. Die in dieser Anlage aufgeführten Punkte sind als Mindestanforderungen zu verstehen, die abgedeckt werden müssen. |
|
6.3. |
Die erteilende Typgenehmigungsbehörde stellt die Ergebnisse der Sicherheitsbewertung aus, die dem Typgenehmigungsbogen beizufügen sind, und stützt sich dabei auf die vom Hersteller vorgelegte Dokumentation, den Bericht über die Bewertung des ADS-Sicherheitskonzepts durch den technischen Dienst und die Ergebnisse der gemäß Teil 3 dieses Anhangs durchgeführten Überprüfungs- und Testkampagnen. Ein Beispiel für ein mögliches Layout für die Ergebnisse der Sicherheitsbewertung ist in Anlage 4 enthalten. |
7. Kompetenz der Auditoren/Prüfer
|
7.1. |
Die Bewertung des ADS-Sicherheitskonzepts und das Audit des Sicherheitsmanagementsystems gemäß diesem Teil dürfen nur von Prüfern/Auditoren durchgeführt werden, die über die für diese Zwecke erforderlichen technischen und administrativen Kenntnisse verfügen. Sie müssen insbesondere als Auditor/Prüfer für ISO 26262-2018 (Funktionale Sicherheit — Straßenfahrzeuge) und ISO/PAS 21448 (Sicherheit der bestimmungsgemäßen Funktionalität von Straßenfahrzeugen) kompetent sein und müssen in der Lage sein, die erforderliche Verknüpfung mit Aspekten der Cybersicherheit gemäß der UN-Regelung Nr. 155 und ISO/SAE 21434 herzustellen. Diese Kompetenz ist durch entsprechende Qualifikationen oder andere gleichwertige Ausbildungsnachweise nachzuweisen.
Anlage 1 Muster für den Bewertungsbericht für das ADS-Sicherheitskonzept Sicherheitsbewertungsbericht Nr.: 1. Identifizierung 1.1. Fahrzeugmarke 1.2. Fahrzeugtyp 1.3. Mittel zur Fahrzeugtypidentifizierung, sofern am Fahrzeug angebracht: 1.4. Position dieser Kennzeichnung: 1.5. Name und Anschrift des Herstellers: 1.6. Gegebenenfalls Name und Anschrift des Bevollmächtigten des Herstellers: 1.7. Formelles Dokumentationspaket des Herstellers:Referenznummer der Dokumentation: Datum der Originalausgabe: Datum der letzten Aktualisierung: 2. Bewertungsmethode 2.1. Beschreibung der Bewertungsverfahren und -methoden 2.2. Abnahmekriterien 3. Ergebnisse der Überprüfung des Dokumentationspakets 3.1. Überprüfung der ADS-Beschreibung 3.2. Überprüfung des Sicherheitskonzepts des Herstellers und der Sicherheitsanalyse durch den Hersteller 3.3. Überprüfung der Verifizierung und Validierung durch den Hersteller, insbesondere des Abdeckungsgrads der verschiedenen Tests und die Festlegung von Mindestabdeckungsschwellen für verschiedene Metriken 3.4. Überprüfung der Methoden und Tools (Software, Labors, andere) und der Glaubwürdigkeitsbewertung 3.5. Überprüfung der ADS-Datenanforderungen und der spezifischen Datenelemente für Ereignisdatenspeicher für vollautomatisierte Fahrzeuge 3.6. Überprüfungen der Bescheinigungen für Cybersicherheit und Software-Updates decken das ADS ab. 3.7. Überprüfung der im Betriebshandbuch bereitgestellten Informationen 3.8. Überprüfung der Vorschriften für die regelmäßige technische Überwachung des ADS: 3.9. Überprüfung zusätzlicher, nicht im Beschreibungsbogen enthaltener Informationen 4. Verifizierung der ADS-Funktionen unter störungsfreien Bedingungen (Referenz in Punkt 4.1.1 von Anhang III Teil 2 der Durchführungsverordnung (EU) 2022/1426 der Kommission vom 5. August 2022 mit detaillierten Regelungen zur Durchführung der Verordnung (EU) 2019/2144 des Europäischen Parlaments und des Rates im Hinblick auf die einheitlichen Verfahren und technischen Spezifikationen für die Typgenehmigung des automatisierten Fahrsystems (ADS) vollautomatisierter Fahrzeuge (2). 4.1. Begründung für die Auswahl der Testszenarien 4.2. Ausgewählte Testszenarien 4.3. Testberichte 4.3.1. Testnr. (die der Anzahl durchgeführter Tests entsprechende Nummer hinzufügen) 4.3.1.1. Ziele des Tests 4.3.1.2. Testbedingungen 4.3.1.3. Gemessene Quantitäten und Messgeräte 4.3.1.4. Abnahmekriterien 4.3.1.5. Testergebnisse 4.3.1.6. Vergleich mit der vom Hersteller bereitgestellten Dokumentation 5. Verifizierung der ADS-Funktionen bei einer Störung (Referenz in Punkt 4.1.2 von Anhang III Teil 2 der Durchführungsverordnung (EU) 2022/1426 5.1. Begründung für die Auswahl der Testszenarien 5.2. Ausgewählte Testszenarien 5.3. Testberichte 5.3.1. Testnr. (die der Anzahl durchgeführter Tests entsprechende Nummer hinzufügen) 5.3.1.1. Ziele des Tests 5.3.1.2. Testbedingungen 5.3.1.3. Gemessene Quantitäten und Messgeräte 5.3.1.4. Abnahmekriterien 5.3.1.5. Testergebnisse 5.3.1.6. Vergleich mit der vom Hersteller bereitgestellten Dokumentation 6. Bescheinigung für das Sicherheitsmanagementsystem (im Anhang dieses Testberichts bereitzustellen) 7. Datum der Bewertung 8. Abschließende Beurteilung des Ergebnisses der Sicherheitsbewertung 9. Diese Bewertung wurde gemäß der Durchführungsverordnung (EU) 2022/1426 durchgeführt und die Ergebnisse wurden mitgeteiltTechnischer Dienst, der die Bewertung durchführt
10. Kommentare: Anlage 2 Muster der ADS-Bewertungsergebnisse, die dem Typgenehmigungsbogen als Anhang beigefügt werden müssen 1. Identifizierung 1.1. Fahrzeugmarke 1.2. Fahrzeugtyp 1.3. Mittel zur Fahrzeugtypidentifizierung, sofern am Fahrzeug angebracht: 1.4. Position dieser Kennzeichnung: 1.5. Name und Anschrift des Herstellers: 1.6. Gegebenenfalls Name und Anschrift des Bevollmächtigten des Herstellers: 1.7. Formelles Dokumentationspaket des Herstellers:Referenznummer der Dokumentation: Datum der Originalausgabe: Datum der letzten Aktualisierung: 2. Bewertungsmethode 2.1. Beschreibung der Bewertungsverfahren und -methoden 2.2. Abnahmekriterien 3. Verifizierung der ADS-Funktionen unter störungsfreien Bedingungen (Referenz in Punkt 4.1.1 von Anhang III Teil 2 der Durchführungsverordnung (EU) 2022/1426 3.1. Begründung für die Auswahl der Testszenarien 3.2. Ausgewählte Testszenarien 4. Verifizierung des ADS-Sicherheitskonzepts bei einer einzelnen Störung (Referenz in Punkt 4.1.2 von Anhang III Teil 2 der Durchführungsverordnung (EU) 2022/1426 4.1. Begründung für die Auswahl der Testszenarien 4.2. Ausgewählte Testszenarien 5. Bewertungsergebnisse 5.1. Ergebnisse der Überprüfung des Beschreibungsbogens 5.2. Ergebnisse der Verifizierung der ADS-Funktionen unter störungsfreien Bedingungen 5.3. Ergebnisse der Verifizierung des ADS-Sicherheitskonzepts bei einer einzelnen Störung 5.4. Ergebnisse der Bewertung des Sicherheitsmanagementsystems 5.5. Ergebnisse der Verifizierung von Vorschriften für die regelmäßige technische Überwachung 6. Abschließende Beurteilung des Ergebnisses der Sicherheitsbewertung Anlage 3 Muster der Konformitätserklärung für das SMS durch den Hersteller Konformitätserklärung des Herstellers für die Anforderungen zum Sicherheitsmanagementsystem Name des Herstellers: Anschrift des Herstellers: … (Name des Herstellers) bescheinigt, dass die zur Einhaltung der in der Durchführungsverordnung (EU) 2022/1426 festgelegten Anforderungen an das Sicherheitsmanagementsystem erforderlichen Verfahren vorhanden sind und regelmäßig überprüft werden. Ausgefertigt in: … (Ort) Datum: Name des Unterzeichnenden: Funktion des Unterzeichnenden: (Stempel und Unterschrift des Bevollmächtigten des Herstellers) Anlage 4 Muster der Konformitätsbescheinigung für das SMS Konformitätsbescheinigung für das Sicherheitsmanagementsystem Mit Durchführungsverordnung (EU) 2022/1426 Bescheinigungsnummer [Referenznummer] [… Typgenehmigungsbehörde] Bescheinigt, dass Hersteller: …. Anschrift des Herstellers: die Vorschriften der Durchführungsverordnung (EU) 2022/1426 erfüllt Überprüfungen wurden durchgeführt am: durch (Name und Adresse der Typgenehmigungsbehörde oder des technischen Dienstes): Nummer des Berichts: . … Dieses Zertifikat ist gültig bis [….Datum] Ausgefertigt in […Ort] Am [….Datum] […Unterschrift] Anlagen: Beschreibung des Sicherheitsmanagementsystems durch den Hersteller. |
TEIL 3
TESTS
1. Allgemeine Vorschriften
Die Pass/Fail-Kriterien für die Bewertung der ADS-Sicherheit beruhen auf den in Anhang II festgelegten Anforderungen und dem in Teil 1 dieses Anhangs beschriebenen Szenario. Die Anforderungen sind so definiert, dass die Pass/Fail-Kriterien nicht nur für einen bestimmten Satz von Testparametern abgeleitet werden können, sondern auch für alle sicherheitsrelevanten Kombinationen von Parametern, die unter den von der Typgenehmigung abgedeckten Betriebsbedingungen und im angegebenen Betriebsbereich (z. B. Geschwindigkeitsbereich, Bereich der Längs- und Querbeschleunigung, Kurvenradien, Helligkeit, Anzahl der Fahrspuren) auftreten können. Für Bedingungen, die nicht getestet wurden, die aber innerhalb der festgelegten ODD des Systems auftreten können, muss der Hersteller als Teil der in Teil 2 beschriebenen Bewertung zur Zufriedenheit der Typgenehmigungsbehörde nachweisen, dass das Fahrzeug sicher beherrscht wird.
Diese Tests müssen die in Anhang II beschriebenen Mindestanforderungen an die Leistung sowie die Funktionsfähigkeit des ADS und das Sicherheitskonzept des Herstellers gemäß Teil 2 dieses Anhangs bestätigen. Die Testergebnisse sind gemäß Teil 2 Punkt 6 dieses Anhangs zu dokumentieren und zu melden.
Diese Prüfungen müssen auch bestätigen, dass das ADS den Verkehrsregeln entspricht, seinen Betrieb an die Umweltbedingungen anpasst, Störungen des Verkehrsflusses (z. B. Blockierung der Fahrspur aufgrund zu vieler MRM) verhindert, kein unvorhersehbares Verhalten aufweist und in relevanten Situationen (z. B. in sich verdichtendem Verkehr oder in der Nähe gefährdeter Verkehrsteilnehmer) ein vernünftiges kooperatives und antizipatives Verhalten aufweist.
2. Teststandort
Der Teststandort muss Eigenschaften aufweisen (Beispiel: Reibungswert), die der angegebenen ODD des ADS entsprechen. Soweit dies für die Anwendung der besonderen Bedingungen der ODD des ADS erforderlich ist, werden physische Prüfungen innerhalb des tatsächlichen ODD (auf der Straße) oder in einer Prüfeinrichtung durchgeführt, in der die ODD-Bedingungen nachgebildet sind; diese Prüfungen werden vom Hersteller und von der Typgenehmigungsbehörde festgelegt. Das ADS ist auf der Straße zu testen, und zwar in Übereinstimmung mit den geltenden Rechtsvorschriften der Mitgliedstaaten und unter der Voraussetzung, dass die Tests sicher und ohne Gefahr für andere Verkehrsteilnehmer durchgeführt werden können.
3. Umweltbedingungen
Die Tests sind unter verschiedenen Umweltbedingungen innerhalb der Grenzen der für das ADS festgelegten ODD durchzuführen. Für Umweltbedingungen, die nicht getestet wurden, die aber innerhalb der festgelegten ODD auftreten können, muss der Hersteller als Teil der beschriebenen Bewertung zur Zufriedenheit der Typgenehmigungsbehörde nachweisen, dass das Fahrzeug sicher beherrscht wird.
Um die Anforderungen im Hinblick auf Störungen von Funktionen, die Selbsttests des ADS und die Einleitung und Durchführung eines risikominimierenden Manövers zu testen, können Störungen künstlich herbeigeführt und das Fahrzeug künstlich in Situationen gebracht werden, in denen es die Grenzen des festgelegten Betriebsbereichs erreicht (z. B. Umweltbedingungen).
4. Systemänderungen zu Testzwecken
Wenn Änderungen am ADS erforderlich sind, um den Test zu ermöglichen, z. B. Kriterien zur Bewertung des Straßentyps oder Informationen über den Straßentyp (Kartendaten), muss sichergestellt werden, dass diese Änderungen die Testergebnisse nicht beeinflussen. Diese Änderungen sind grundsätzlich zu dokumentieren und dem Testbericht beizufügen. Die Beschreibung und der Nachweis des Einflusses (falls vorhanden) dieser Änderungen sind zu dokumentieren und dem Testbericht beizufügen.
5. Fahrzeugbedingungen
|
5.1. |
Testgewicht
Das zu testende Fahrzeug ist mit jeder zulässigen Fahrzeuglast zu testen. Nach Beginn des Testverfahrens darf keine Laständerung vorgenommen werden. Der Hersteller muss anhand der Dokumentation nachweisen, dass das ADS bei allen Lastzuständen funktioniert. |
|
5.2. |
Das betreffende Fahrzeug ist mit dem vom Hersteller empfohlenen Reifendruck zu testen. |
|
5.3. |
Es ist zu überprüfen, ob der Zustand des Systems dem vorgesehenen Testzweck entspricht (z. B. in fehlerfreiem Zustand oder mit den zu prüfenden spezifischen Fehlern). |
6. Testwerkzeuge
Zusätzlich zu realen Fahrzeugen können für die Durchführung der Tests Testwerkzeuge verwendet werden, die dem Stand der Technik entsprechen und reale Fahrzeuge und andere Verkehrsteilnehmer ersetzen (z. B. Soft-Targets, mobile Plattformen usw.). Die Ersatztestwerkzeuge müssen den für die sensorische Leistungsbewertung relevanten Merkmalen, realen Fahrzeugen und anderen Verkehrsteilnehmern entsprechen. Die Tests dürfen nicht so durchgeführt werden, dass das beteiligte Personal gefährdet wird, und eine erhebliche Beschädigung des getesteten Fahrzeugs muss vermieden werden, wenn andere Mittel zur Validierung zur Verfügung stehen.
7. Variation der Testparameter
Der Hersteller muss der Typgenehmigungsbehörde die Systemgrenzen mitteilen. Die Typgenehmigungsbehörde legt verschiedene Kombinationen von Testparametern (z. B. aktuelle Geschwindigkeit des Fahrzeugs, Art und Versatz des Ziels, Krümmung der Fahrbahn usw.) für den Test des ADS fest. Die ausgewählten Testfälle müssen eine ausreichende Testabdeckung für alle Szenarien, Testparameter und Umwelteinflüsse bieten. Es ist nachzuweisen, dass die Wahrnehmungssysteme für das ADS gegenüber Störungen der Eingabe-/Sensordaten und ungünstigen Umweltbedingungen ausreichend robust sind.
Die von der Typgenehmigungsbehörde ausgewählten Testparameter sind in einem Testbericht so festzuhalten, dass die Rückverfolgbarkeit und Wiederholbarkeit des Testaufbaus gewährleistet ist.
8. Testszenarien für die Bewertung der Leistung des ADS auf einer Teststrecke (Punkte 8.1, 8.2, 8.5, 8.6, 8.7, 8.8, 8.9) und auf der Straße (8.3, 8.4, 8.10)
Die in den folgenden Abschnitten aufgeführten Szenarien sind als Mindestanzahl von Tests zu betrachten. Auf Verlangen der Typgenehmigungsbehörde können zusätzliche Szenarien, die Teil der ODD sind, durchgeführt werden. Gehört ein in Punkt 8 dieses Anhangs beschriebenes Szenario nicht zur ODD des Fahrzeugs, wird es nicht berücksichtigt.
Je nach ODD sind die Testszenarien im Rahmen der Typgenehmigungsprüfung auszuwählen. Die Testszenarien sind gemäß Teil 1 dieses Anhangs auszuwählen. Typgenehmigungstests können auf der Grundlage von Simulationen, Manövern auf der Teststrecke und Fahrtests im realen Straßenverkehr durchgeführt werden. Sie dürfen jedoch nicht ausschließlich auf Computersimulationen beruhen, und zum Zeitpunkt der Typgenehmigung muss die Typgenehmigungsbehörde zumindest die folgenden Tests durchführen oder beobachten, um das Verhalten des ADS zu bewerten.
8.1. Beibehalt der Fahrspur
Der Test muss demonstrieren, dass das vollautomatisierte Fahrzeug seine Fahrspur nicht verlässt und über den gesamten Geschwindigkeitsbereich und bei unterschiedlichen Kurvenverläufen innerhalb seiner Systemgrenzen eine stabile Bewegung innerhalb seiner Fahrspur beibehält.
|
8.1.1. |
Der Test muss basierend auf der ODD des ADS mindestens ausgeführt werden:
|
8.2. Spurwechselmanöver (LCM)
Die Tests sollen demonstrieren, dass das vollautomatisierte Fahrzeug während eines Spurwechsels kein unverhältnismäßiges Risiko für die Sicherheit der Fahrzeuginsassen und anderer Verkehrsteilnehmer verursacht und dass das ADS in der Lage ist, die Kritikalität der Situation vor Beginn des Spurwechselmanövers über den gesamten Betriebsgeschwindigkeitsbereich zu beurteilen. Diese Tests sind nur erforderlich, wenn das vollautomatisierte Fahrzeug in der Lage ist, entweder bei einem risikominimierenden Manöver oder im regulären Betrieb die Fahrspur zu wechseln.
|
8.2.1. |
Die folgenden Tests sind auszuführen:
|
|
8.2.2. |
Die Tests müssen mindestens durchgeführt werden:
|
8.3. Reaktion auf unterschiedliche Straßengeometrien
Diese Tests müssen sicherstellen, dass das vollautomatisierte Fahrzeug unterschiedliche Straßengeometrien, die innerhalb der vorgesehenen ODD auftreten können, über seinen gesamten Geschwindigkeitsbereich erkennt und sich darauf einstellt.
|
8.3.1. |
Der Test muss mindestens mit den unten aufgeführten Szenarien basierend auf der ODD des ADS durchgeführt werden:
|
|
8.3.2. |
Jeder Test muss mindestens durchgeführt werden:
|
8.4. Reaktion auf nationale Verkehrsregeln und Straßeninfrastruktur
Diese Tests müssen sicherstellen, dass das vollautomatisierte Fahrzeug die nationalen Verkehrsregeln einhält und sich an verschiedene permanente und temporäre Veränderungen der Straßeninfrastruktur (z. B. Baustellen) im gesamten Geschwindigkeitsbereich anpasst.
|
8.4.1. |
Die Tests müssen mindestens mit den unten aufgeführten Szenarien durchgeführt werden, die für die ODD des ADS relevant sind:
|
|
8.4.2. |
Jeder Test muss mindestens durchgeführt werden:
|
8.5. Kollisionsvermeidung: Vermeidung von Kollisionen mit Verkehrsteilnehmern oder Objekten, die die Fahrspur blockieren
Der Test soll demonstrieren, dass das vollautomatisierte Fahrzeug eine Kollision mit einem stationären Fahrzeug, einem Verkehrsteilnehmer oder einer ganz oder teilweise blockierten Fahrspur bis zur angegebenen Höchstgeschwindigkeit des ADS vermeidet.
|
8.5.1. |
Dieser Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls in der ODD relevant:
|
8.6. Vermeidung einer Vollbremsung vor einem passierbaren Objekt auf der Fahrbahn. Ein „passierbares Objekt“ ist ein Objekt, das überrollt werden kann, ohne eine unverhältnismäßige Gefahr für die Fahrzeuginsassen oder andere Verkehrsteilnehmer zu verursachen.
Der Test soll demonstrieren, dass das vollautomatisierte Fahrzeug keine Notbremsung mit einem Verzögerungsbedarf von mehr als 5 m/s2 aufgrund eines passierbaren Objekts auf der für die ODD relevanten Fahrspur (z. B. einen Gullydeckel oder einen kleinen Ast) bis zur angegebenen Höchstgeschwindigkeit des ADS einleitet.
|
8.6.1. |
Dieser Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls in der ODD relevant:
|
8.7. Einem vorausfahrenden Fahrzeug folgen
Mit diesem Test soll nachgewiesen werden, dass das vollautomatisierte Fahrzeug in der Lage ist, eine stabile Bewegung und einen Sicherheitsabstand zu einem vorausfahrenden Fahrzeug einzuhalten und wiederherzustellen und eine Kollision mit einem vorausfahrenden Fahrzeug, das bis zu seiner maximalen Verzögerung abbremst, zu vermeiden.
|
8.7.1. |
Dieser Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls in der ODD relevant:
|
8.8. Spurwechsel eines anderen Fahrzeugs in die Spur (Einscheren)
Der Test soll demonstrieren, dass das vollautomatisierte Fahrzeug in der Lage ist, eine Kollision mit einem Fahrzeug oder anderen Verkehrsteilnehmer, die in die Spur des vollautomatisierten Fahrzeugs einscheren, bis zu einer gewissen Kritikalität des Einschermanövers zu vermeiden.
|
8.8.1. |
Die Kritikalität des Einschermanövers wird gemäß den Bestimmungen in Teil 1 dieses Anhangs und in Abhängigkeit vom Abstand zwischen dem hintersten Punkt des einscherenden Fahrzeugs und dem vordersten Punkt des vollautomatisierten Fahrzeugs bestimmt. |
|
8.8.2. |
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:
|
8.9. Stationäres Hindernis nach Spurwechsel des vorausfahrenden Fahrzeugs (Ausweichen)
Der Test soll demonstrieren, dass das vollautomatisierte Fahrzeug in der Lage ist, eine Kollision mit einem stationären Fahrzeug, einem Verkehrsteilnehmer oder einer blockierten Fahrbahn zu vermeiden, die sichtbar werden, nachdem ein vorausfahrendes Fahrzeug eine Kollision durch ein Ausweichmanöver vermieden hat. Der Test soll auf den in Anhang II festgelegten Anforderungen und den in Teil 1 dieses Anhangs beschriebenen Szenarioparametern beruhen. Für Bedingungen, die nicht getestet wurden, die innerhalb des festgelegten Betriebsbereichs des Fahrzeugs auftreten können, muss der Hersteller als Teil der in Anhang III, Teil 2 beschriebenen Bewertung zur Zufriedenheit der zuständigen Behörden nachweisen, dass das Fahrzeug sicher beherrscht wird.
|
8.9.1. |
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:
|
8.10. Parken
Der Test soll demonstrieren, dass das ADS in der Lage ist, in verschiedenen Parklücken und Parkanlagen unter verschiedenen Bedingungen einzuparken und dass es während des Einparkmanövers keine Schäden an umliegenden Objekten, Verkehrsteilnehmern und sich selbst verursacht.
|
8.10.1. |
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:
|
8.11. Navigieren auf einem Parkplatz
Der Test soll demonstrieren, dass das ADS in der Lage ist, die niedrige Fahrgeschwindigkeit und die allgemein schlechte Sicht, die auf einem Parkplatz möglich ist, zu bewältigen.
|
8.11.1. |
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:
|
8.12. Spezifische Szenarien für die Autobahn
|
8.12.1. |
Auffahrt auf die Autobahn
Mit diesem Test soll nachgewiesen werden, dass das ADS in der Lage ist, sicher auf die Autobahn aufzufahren. |
|
8.12.1.1. |
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:
|
|
8.12.2. |
Abfahrt von der Autobahn
Der Test muss demonstrieren, dass das ADS in der Lage ist, sicher von der Autobahn abzufahren. |
|
8.12.2.1. |
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:
|
|
8.12.3. |
Mautstation
Der Test soll demonstrieren, dass das ADS in der Lage ist, das richtige Gate auszuwählen und seine Geschwindigkeit an die im Mautbereich zulässige Geschwindigkeit anzupassen. |
|
8.12.3.1. |
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:
|
8.13. Bei Fahrzeugen mit zwei Betriebsarten ist zwischen dem manuellen Fahrmodus und dem vollautomatisierten Modus zu wechseln.
Der Test soll demonstrieren, dass das ADS die DDT auf sichere Weise und nur im Stillstand des Fahrzeugs übernimmt.
|
8.13.1. |
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:
|
|
8.13.2. |
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:
|
TEIL 4
GRUNDSÄTZE FÜR DIE GLAUBWÜRDIGKEITSBEWERTUNG DER VERWENDUNG EINER VIRTUELLEN TOOLCHAIN BEI DER ADS-VALIDIERUNG
1. Allgemeines
|
1.1. |
Die Glaubwürdigkeit kann durch die Untersuchung und Bewertung von fünf Eigenschaften der Modellierung und Simulation (M&S) erreicht werden:
|
|
1.2. |
Gleichzeitig muss der Rahmen für die Glaubwürdigkeitsbewertung allgemein genug sein, um für verschiedene M&S-Typen und -Anwendungen verwendet werden zu können. Dieses Ziel wird jedoch durch die zahlreichen Unterschiede zwischen den ADS-Merkmalen und die Vielfalt der M&S-Typen und -Anwendungen erschwert. Diese Überlegungen erfordern einen (risikobasierten/informierten) Rahmen für die Glaubwürdigkeitsbewertung, der für alle M&S-Anwendungen relevant und angemessen ist. |
|
1.3. |
Der Rahmen für die Glaubwürdigkeitsbewertung enthält eine allgemeine Beschreibung der Hauptaspekte, die bei der Glaubwürdigkeitsbewertung einer M&S-Lösung berücksichtigt werden, sowie Grundsätze für die Rolle von Drittgutachtern im Validierungsprozess im Hinblick auf die Glaubwürdigkeit. Für den letztgenannten Punkt prüft die Typgenehmigungsbehörde in der Bewertungsphase die erstellte Dokumentation, die die Glaubwürdigkeit belegt, während die eigentlichen Validierungstests stattfinden, nachdem der Hersteller die integrierten Simulationssysteme entwickelt hat. |
|
1.4. |
Letztlich soll das Ergebnis der aktuellen Glaubwürdigkeitsbewertung den Rahmen festlegen, in dem das virtuelle Werkzeug zur Unterstützung der ADS-Bewertung eingesetzt werden kann. |
|
1.5. |
Die Anforderungen dieses Teils sollen daher die Glaubwürdigkeit eines Simulationsmodells oder einer virtuellen Toolchain für eine ADS-Validierung nachweisen. |
2. Begriffsbestimmungen
Für die Zwecke dieses Anhangs gelten die folgenden Begriffsbestimmungen:
|
2.1. |
„Abstraktion“ bezeichnet den Prozess der Auswahl der wesentlichen Aspekte eines Ausgangssystems oder eines Referenzsystems, die in einem Modell oder einer Simulation dargestellt werden sollen, während nicht relevante Aspekte ignoriert werden. Für jede Modellierungsabstraktion wird vorausgesetzt, dass sie die beabsichtigten Verwendungszwecke des Simulationswerkzeugs nicht wesentlich beeinträchtigt. |
|
2.2. |
„Closed-Loop-Testing“ bezeichnet eine virtuelle Umgebung, die die Aktionen des Elements in einem geschlossenen Kreislauf berücksichtigt. Simulierte Objekte reagieren auf die Aktionen des Systems (z. B. ein System, das mit einem Verkehrsmodell interagiert). |
|
2.3. |
„Deterministisch“ bezeichnet ein System, dessen Entwicklung im Verlauf der Zeit genau vorhergesagt werden kann und das bei festen Eingangsparametern immer die gleiche Leistung erbringt. |
|
2.4. |
„Driver-in-the-Loop (DIL)“ bezeichnet ein Verfahren, das in der Regel in einem Fahrsimulator durchgeführt wird, der für den Test des Entwurfs der Mensch-Automation-Interaktion verwendet wird. DIL verfügt über Komponenten, mit denen der Fahrer die virtuelle Umgebung bedienen und mit ihr kommunizieren kann. |
|
2.5. |
„Hardware-in-the-Loop (HIL)“ bezeichnet ein Verfahren, bei dem die endgültige Hardware eines bestimmten Fahrzeugteilsystems mit der endgültigen Software betrieben wird, wobei die Ein- und Ausgänge mit einer Simulationsumgebung verbunden sind, um virtuelle Tests durchzuführen. HIL-Tests ermöglichen die Nachbildung von Sensoren, Stellgliedern und mechanischen Komponenten in einer Weise, die alle E/A der zu testenden elektronischen Steuergeräte (ECU) miteinander verbindet, lange bevor das endgültige System integriert wird. |
|
2.6. |
„Modell“ bezeichnet eine Beschreibung oder Darstellung eines Systems, einer Einheit, eines Phänomens oder eines Prozesses. |
|
2.7. |
„Modellkalibrierung“ bezeichnet den Prozess der Anpassung von numerischen oder Modellierungsparametern im Modell, um eine bessere Übereinstimmung mit einem Referenzwert zu erreichen. |
|
2.8. |
„Modellparameter“ bezeichnet numerische Werte, die zur Charakterisierung der Funktionalität eines Systems verwendet werden. Ein Modellparameter hat einen Wert, der in der realen Welt nicht direkt beobachtet werden kann, sondern aus in der realen Welt gesammelten Daten abgeleitet werden muss (in der Phase der Modellkalibrierung). |
|
2.9. |
„Model-in-the-Loop (MIL)“ bezeichnet ein Verfahren, das eine schnelle algorithmische Entwicklung ohne spezielle Hardware ermöglicht. Auf dieser Entwicklungsebene werden in der Regel Softwareumgebungen auf hoher Abstraktionsebene genutzt, die auf allgemeinen Computersystemen laufen. |
|
2.10. |
„Open-Loop-Test“ bezeichnet eine virtuelle Umgebung, in der die Aktionen des Elements im Kreislauf nicht berücksichtigt werden (z. B. ein System, das mit einer aufgezeichneten Verkehrssituation interagiert). |
|
2.11. |
„Probabilistisch“ bezeichnet einen Begriff, der sich auf nicht-deterministische Ereignisse bezieht, deren Ergebnisse durch ein Wahrscheinlichkeitsmaß beschrieben werden. |
|
2.12. |
„Prüfgelände oder Teststrecke“ bezeichnet eine physische, für den Verkehr gesperrte Testeinrichtung, wo die Leistung eines ADS am realen Fahrzeug untersucht werden kann. Verkehrsteilnehmer können über Sensorstimulation oder über auf der Strecke positionierte Attrappen eingeführt werden. |
|
2.13. |
„Sensorstimulation“ bezeichnet eine Technik, bei der dem zu testenden Element künstlich erzeugte Signale zugeführt werden, um es zu veranlassen, das für die Überprüfung der realen Welt, das Training, die Wartung oder für Forschung und Entwicklung erforderliche Ergebnis zu liefern. |
|
2.14. |
„Simulation“ bezeichnet die Nachahmung der Funktionsweise eines realen Prozesses oder Systems im Verlauf der Zeit. |
|
2.15. |
„Simulationsmodell“ bezeichnet ein Modell, dessen Eingangsvariablen im Laufe der Zeit variieren. |
|
2.16. |
„Simulations-Toolchain“ bezeichnet eine Kombination von Simulationswerkzeugen, die zur Unterstützung der Validierung eines ADS verwendet werden. |
|
2.17. |
„Software-in-the-Loop (SIL)“ bezeichnet das Verfahren, bei dem die Implementierung des entwickelten Modells auf allgemeinen Computersystemen evaluiert wird. In diesem Schritt kann eine vollständige Softwareimplementierung verwendet werden, die der endgültigen sehr nahekommt. SIL-Tests werden zur Beschreibung einer Testmethodik verwendet, bei der ausführbarer Code wie Algorithmen (oder sogar eine gesamte Steuerungsstrategie) innerhalb einer Modellierungsumgebung getestet wird, was dazu beitragen kann, die Funktion der Software nachzuweisen oder zu testen. |
|
2.18. |
„Stochastisch“ bezeichnet einen Prozess, der eine oder mehrere Zufallsvariable(n) einschließt oder enthält. Bezieht sich auf Zufall oder Wahrscheinlichkeit. |
|
2.19. |
„Validierung des Simulationsmodells“ bezeichnet den Prozess, bei dem festgestellt wird, inwieweit ein Simulationsmodell ein genaues Abbild der realen Welt aus der Perspektive der beabsichtigten Verwendung des Werkzeugs ist. |
|
2.20. |
„Vehicle-in-the-Loop (VIL)“ bezeichnet eine Fusionsumgebung aus einem realen Testfahrzeug in der realen Welt und einer virtuellen Umgebung. Sie kann die Fahrzeugdynamik auf dem gleichen Niveau wie in der realen Welt wiedergeben und kann auf einem Fahrzeugprüfstand oder auf einer Teststrecke eingesetzt werden. |
|
2.21. |
„Verifikation des Simulationsmodells“ bezeichnet den Prozess, bei dem festgestellt wird, inwieweit ein Simulationsmodell oder ein virtuelles Testwerkzeug mit den Anforderungen und Spezifikationen übereinstimmt, die in den konzeptionellen Modellen, mathematischen Modellen oder anderen Konstruktionen festgelegt wurden. |
|
2.22. |
„Virtuelles Testen“ bezeichnet den Prozess, ein System anhand eines oder mehrerer Simulationsmodelle zu testen. |
3. Komponenten des Rahmens für die Glaubwürdigkeitsbewertung und damit verbundene Anforderungen an die Dokumentation
|
3.1. |
Der Rahmen für die Glaubwürdigkeitsbewertung bietet eine Möglichkeit, die Glaubwürdigkeit von M&S basierend auf Qualitätssicherungskriterien zu bewerten und in Berichtsform zu melden, wobei der Grad des Vertrauens in die Ergebnisse angegeben werden kann. Mit anderen Worten, die Glaubwürdigkeit wird durch die Bewertung der folgenden M&S-Einflussfaktoren ermittelt, die als Hauptfaktoren für die M&S-Eigenschaften und somit für die allgemeine M&S-Glaubwürdigkeit betrachtet werden: a) M&S-Management; b) Erfahrung und Fachwissen des Teams; c) M&S-Analyse und -Beschreibung; d) Herkunft der Daten/Eingaben und e) Verifizierung; Validierung, Unsicherheitscharakterisierung. Jeder dieser Faktoren gibt das von M&S erreichte Qualitätsniveau an; der Vergleich zwischen den erreichten und den geforderten Niveaus soll bestimmen, ob M&S glaubwürdig und für die Verwendung bei virtuellen Tests geeignet ist. Eine grafische Darstellung der Beziehung zwischen den Komponenten des Rahmens für die Glaubwürdigkeitsbewertung ist nachfolgend gezeigt.
|
|
3.2. |
Modelle und Simulationsmanagement |
|
3.2.1. |
Der M&S-Lebenszyklus ist ein dynamischer Prozess mit häufigen Releases, der überwacht und dokumentiert werden muss. Es müssen Managementaktivitäten eingerichtet werden, um M&S im Sinne eines Arbeitsprodukt-Managements zu unterstützen. Relevante Informationen zu den folgenden Aspekten sind bereitzustellen. |
|
3.2.2. |
Der M&S-Managementprozess muss:
|
|
3.2.3. |
Release-Management |
|
3.2.3.1. |
Jede Version der M&S-Toolchain, die zur Freigabe von Daten für Zertifizierungszwecke verwendet wird, muss gespeichert werden. Die virtuellen Modelle, die die Test-Toolchain bilden, müssen in Bezug auf die entsprechenden Validierungsmethoden und Abnahmeschwellen dokumentiert werden, um die allgemeine Glaubwürdigkeit der Toolchain zu unterstützen. Der Entwickler muss eine Methode zur Rückverfolgung der erzeugten Daten auf die entsprechende M&S-Version vorsehen. |
|
3.2.3.2. |
Qualitätsprüfung der virtuellen Daten Die Vollständigkeit, Genauigkeit und Konsistenz der Daten muss während der Releases und der gesamten Lebensdauer einer M&S-Toolchain sichergestellt werden, um die Verifikations- und Validierungsverfahren zu unterstützen. |
|
3.2.4. |
Erfahrung und Fachwissen des Teams |
|
3.2.4.1. |
Auch wenn Erfahrung und Fachwissen (E&E) bereits in einem allgemeinen Sinne innerhalb der Organisation abgedeckt sind, ist es wichtig, die Grundlage für das Vertrauen in die spezifische E&E für M&S-Aktivitäten zu schaffen. |
|
3.2.4.2. |
Die Glaubwürdigkeit von M&S hängt nicht nur von der Qualität der Simulationsmodelle ab, sondern auch von der E&E der an der Validierung und Nutzung von M&S beteiligten Mitarbeiter. So wird beispielsweise durch ein angemessenes Verständnis der Grenzen und des Validierungsbereichs ein möglicher Missbrauch von M&S oder eine Fehlinterpretation ihrer Ergebnisse verhindert. |
|
3.2.4.3. |
Daher ist es wichtig, die Grundlage für das Vertrauen des Herstellers in E&E zu schaffen:
|
|
3.2.4.4. |
Ein angemessenes Management der E&E des Teams erhöht das Vertrauen in die Glaubwürdigkeit von M&S und ihrer Ergebnisse, indem es sicherstellt, dass die menschlichen Faktoren hinter M&S berücksichtigt werden und jedes mögliche Risiko der menschlichen Komponente kontrolliert wird, wie es in jedem geeigneten Managementsystem erwartet wird |
|
3.2.4.5. |
Wenn die Toolchain des Herstellers Beiträge von Unternehmen oder Produkte außerhalb des eigenen Teams enthält oder sich auf diese stützt, muss der Hersteller eine Erklärung über die Maßnahmen abgeben, die er ergriffen hat, um sein Vertrauen in die Qualität und Integrität dieser Beiträge zu unterstützen. |
|
3.2.4.6. |
Die E&E des Teams besteht aus zwei Ebenen. |
|
3.2.4.6.1. |
Organisatorische Ebene
Die Glaubwürdigkeit wird durch die Einrichtung von Prozessen und Verfahren zur Identifizierung und Pflege von Fähigkeiten, Kenntnissen und Erfahrungen zur Durchführung von M&S-Aktivitäten hergestellt. Die folgenden Prozesse müssen eingerichtet, gepflegt und dokumentiert werden:
|
|
3.2.4.6.2. |
Team-Ebene
Sobald eine M&S fertiggestellt ist, wird ihre Glaubwürdigkeit hauptsächlich von den Fähigkeiten und Kenntnissen der Person/des Teams bestimmt, die/das die M&S-Toolchain validiert und die M&S für die Validierung des ADS verwendet. Glaubwürdigkeit wird hergestellt, indem dokumentiert wird, dass diese Teams eine angemessene Schulung erhalten haben, um ihre Aufgaben zu erfüllen. Der Hersteller muss dann:
Der Nachweis des Herstellers, wie er die Grundsätze von ISO 9001 oder eines ähnlichen bewährten Verfahrens oder einer Norm anwendet, um die Kompetenz seiner M&S-Organisation und der Mitarbeiter in dieser Organisation sicherzustellen, ist die Grundlage für diese Feststellung. Die Typgenehmigungsbehörde darf ihre Beurteilung der E&E der Organisation oder ihrer Mitglieder nicht durch die Beurteilung des Herstellers ersetzen. |
|
3.2.5. |
Herkunft der Daten/Eingaben |
|
3.2.5.1. |
Die Herkunft der Daten/Eingaben enthält eine Aufzeichnung der Rückverfolgbarkeit von den Daten des Herstellers, die bei der Validierung der M&S verwendet wurden. |
|
3.2.5.2. |
Beschreibung der für M&S verwendeten Daten
|
|
3.2.5.3. |
Auswirkung der Datenqualität (z. B. Datenabdeckung, Signal-Rausch-Verhältnis und Unsicherheit/Bias/Abtastrate der Sensoren) auf die Unsicherheit der Modellparameter.
Die Qualität der Daten, die zur Entwicklung des Modells verwendet werden, wirkt sich auf die Schätzung und Kalibrierung der Modellparameter aus. Die Unsicherheit der Modellparameter wird ein weiterer wichtiger Aspekt in der abschließenden Unsicherheitsanalyse sein. |
|
3.2.6. |
Herkunft der Daten/Ausgaben |
|
3.2.6.1. |
Die Herkunft der Daten/Ausgaben enthält eine Aufzeichnung der für die ADS-Validierung verwendeten M&S-Ausgaben. |
|
3.2.6.2. |
Beschreibung der von M&S generierten Daten
|
|
3.2.6.3. |
Auswirkung der Datenqualität auf die Glaubwürdigkeit der M&S
|
|
3.2.6.4. |
Verwaltung stochastischer Modelle
|
|
3.3. |
M&S-Analyse und -Beschreibung |
|
3.3.1. |
Die M&S-Analyse und -Beschreibung sind darauf ausgelegt, die gesamte M&S zu definieren und den Parameterraum zu identifizieren, der durch virtuelle Tests bewertet werden kann. Sie definiert den Umfang und die Grenzen der Modelle und der Toolchain sowie die Quellen für Unsicherheiten, die ihre Ergebnisse beeinflussen können. |
|
3.3.2. |
Allgemeine Beschreibung |
|
3.3.2.1. |
Der Hersteller muss eine Beschreibung der vollständigen Toolchain vorlegen und darlegen, wie die Simulationsdaten zur Unterstützung der ADS-Validierungsstrategie verwendet werden sollen. |
|
3.3.2.2. |
Der Hersteller muss eine klare Beschreibung des Testziels vorlegen. |
|
3.3.3. |
Annahmen, bekannte Einschränkungen und Quellen der Unsicherheit |
|
3.3.3.1. |
Der Hersteller muss die Annahmen für die Modellierung begründen, die dem Entwurf der M&S-Toolchain zugrunde liegen. |
|
3.3.3.2. |
Der Hersteller muss folgende Nachweise erbringen:
|
|
3.3.3.3. |
Der Hersteller muss begründen, dass die Toleranz für die Korrelation zwischen Simulation und Realität für das Testziel akzeptabel ist. |
|
3.3.3.4. |
Schließlich muss dieser Abschnitt Informationen über die Quellen der Unsicherheit im Modell enthalten. Dies ist ein wichtiger Beitrag zur abschließenden Unsicherheitsanalyse, die definiert, wie die Modellergebnisse durch die verschiedenen Unsicherheitsquellen des verwendeten Modells beeinflusst werden können. |
|
3.3.4. |
Gültigkeitsbereich (wie die M&S in der ADS-Validierung verwendet wird) |
|
3.3.4.1. |
Die Glaubwürdigkeit des virtuellen Werkzeugs muss durch einen klar definierten Gültigkeitsbereich der entwickelten Modelle sichergestellt werden. |
|
3.3.4.2. |
Die ausgereifte M&S muss eine Virtualisierung der physikalischen Phänomene mit einem Genauigkeitsgrad ermöglichen, der dem für die Bescheinigung geforderten Treuegrad entspricht. Somit dient die M&S als „virtuelles Versuchsgelände“ für ADS-Tests. |
|
3.3.4.3. |
Simulationsmodelle benötigen spezielle Szenarien und Metriken für die Validierung. Die für die Validierung verwendeten Szenarien müssen so gewählt werden, dass die Toolchain auch in Szenarien außerhalb des Gültigkeitsbereichs für die Validierung in gleicher Weise funktioniert. |
|
3.3.4.4. |
Der Hersteller muss eine Liste von Validierungsszenarien zusammen mit den Einschränkungen der entsprechenden Parameter bereitstellen. |
|
3.3.4.5. |
Die ODD-Analyse ist ein entscheidender Beitrag zur Ableitung von Anforderungen, Gültigkeitsbereichen und Auswirkungen, die die M&S berücksichtigen müssen, um die ADS-Validierung zu unterstützen. |
|
3.3.4.6. |
Die für die Szenarien generierten Parameter definieren extrinsische und intrinsische Daten für die Toolchain und die Simulationsmodelle. |
|
3.3.5. |
Kritikalitätsbewertung |
|
3.3.5.1. |
Die Simulationsmodelle und die Simulationswerkzeuge, die in der gesamten Toolchain verwendet werden, sind im Hinblick auf ihre Verantwortung im Falle eines Sicherheitsfehlers im Endprodukt zu untersuchen. Der vorgeschlagene Ansatz für die Kritikalitätsanalyse ist von der ISO-Norm 26262 abgeleitet, die eine Qualifizierung für einige der im Entwicklungsprozess verwendeten Werkzeuge verlangt. |
|
3.3.5.2. |
Um abzuleiten, wie kritisch die simulierten Daten sind, muss die Kritikalitätsbewertung die folgenden Parameter berücksichtigen:
|
|
3.3.5.3. |
Aus Perspektive der Kritikalitätsbewertung gibt es drei mögliche Fälle für die Bewertung:
|
|
3.4. |
Verifizierung |
|
3.4.1. |
Die Verifizierung einer M&S beinhaltet die Analyse der korrekten Implementierung der konzeptionellen/mathematischen Modelle, die die M&S-Toolchain bilden. Die Verifizierung trägt zur Glaubwürdigkeit der M&S bei, indem sie sicherstellt, dass die M&S kein unrealistisches Verhalten für eine Reihe von Eingaben zeigt, die nicht getestet werden können. Das Verfahren basiert auf einem mehrstufigen Ansatz, der die Überprüfung des Codes, die Überprüfung der Berechnungen und eine Sensitivitätsanalyse umfasst. |
|
3.4.2. |
Code-Überprüfung |
|
3.4.2.1. |
Die Überprüfung des Codes umfasst Tests, die zeigen, dass keine numerischen/logischen Fehler die virtuellen Modelle beeinträchtigen. |
|
3.4.2.2. |
Der Hersteller muss die Durchführung geeigneter Verfahren für die Codeverifizierung dokumentieren, z. B. statische/dynamische Codeverifizierung, Konvergenzanalyse und ggf. Vergleich mit exakten Lösungen. |
|
3.4.2.3. |
Der Hersteller muss Dokumentationen vorlegen, aus denen hervorgeht, dass die Untersuchung des Eingangsparameterbereichs umfassend genug war, um Parameterkombinationen zu identifizieren, für die die M&S ein instabiles oder unrealistisches Verhalten zeigt. Abdeckungsmetriken für Parameterkombinationen können verwendet werden, um die erforderliche Untersuchung der Modellverhaltens zu demonstrieren. |
|
3.4.2.4. |
Der Hersteller muss Verfahren zur Überprüfung der Korrektheit/Konsistenz anwenden, wann immer die Daten dies zulassen. |
|
3.4.3. |
Überprüfung der Berechnungen |
|
3.4.3.1. |
Die Überprüfung der Berechnungen beschäftigt sich mit der Abschätzung von numerischen Fehlern, die die M&S beeinflussen. |
|
3.4.3.2. |
Der Hersteller muss Schätzungen der numerischen Fehler dokumentieren (z. B. Diskretisierungsfehler, Rundungsfehler, Konvergenz iterativer Verfahren), |
|
3.4.3.3. |
Die numerischen Fehler müssen ausreichend begrenzt sein, um die Validierung nicht zu beeinträchtigen. |
|
3.4.4. |
Sensitivitätsanalyse |
|
3.4.4.1. |
Mit der Sensitivitätsanalyse soll quantifiziert werden, wie sich Änderungen der Modelleingabewerte auf die Modellausgabewerte auswirken, um so die Parameter zu ermitteln, die den größten Einfluss auf die Ergebnisse des Simulationsmodells haben. Die Untersuchung der Sensitivität hilft auch zu bestimmen, inwieweit das Simulationsmodell die Validierungsschwellenwerte erfüllt, wenn kleine Variationen der Parameter darauf angewendet werden. Sie ist daher von grundlegender Bedeutung, um die Glaubwürdigkeit der Simulationsergebnisse zu unterstützen. |
|
3.4.4.2. |
Der Hersteller muss eine stützende Dokumentation vorlegen, aus der hervorgeht, dass die kritischsten Parameter, die das Simulationsergebnis beeinflussen, mithilfe von Sensitivitätsanalysetechniken ermittelt wurden, beispielsweise durch Anwendung einer Störung der Modellparameter. |
|
3.4.4.3. |
Der Hersteller muss nachweisen, dass bei der Ermittlung und Kalibrierung der kritischsten Parameter robuste Kalibrierverfahren angewandt wurden, um die Glaubwürdigkeit der entwickelten Toolchain zu erhöhen. |
|
3.4.4.4. |
Letztlich werden die Ergebnisse der Sensitivitätsanalyse auch dazu beitragen, die Eingaben und Parameter zu definieren, deren Unsicherheitscharakterisierung besonderer Aufmerksamkeit bedarf, um die Unsicherheit der Simulationsergebnisse richtig zu definieren. |
|
3.4.5. |
Validierung |
|
3.4.5.1. |
Der quantitative Prozess für die Bestimmung, in welchem Grad ein Modell oder eine Simulation eine genaue Darstellung der realen Welt aus der Perspektive der beabsichtigten Anwendungen des M&S bieten, erfordert die Auswahl und Definition mehrerer Elemente. |
|
3.4.5.2. |
Leistungsmaße (Metriken) |
|
3.4.5.2.1. |
Die Leistungsmaße sind die Metriken, die zum Vergleich des Simulationsmodells mit der realen Welt verwendet werden. Die Leistungsmaße werden während der M&S-Analyse definiert. |
|
3.4.5.2.2. |
Metriken für die Validierung können Folgendes umfassen:
|
|
3.4.5.3. |
Anpassungsgütemessungen |
|
3.4.5.3.1. |
Die analytischen Rahmen werden verwendet, um reale und simulierte Metriken zu vergleichen. Im Allgemeinen handelt es sich dabei um wesentliche Leistungsindikatoren (KPIs), die die statistische Vergleichbarkeit zwischen zwei Datensätzen anzeigen. |
|
3.4.5.3.2. |
Die Validierung muss zeigen, dass diese KPIs erfüllt sind. |
|
3.4.5.4. |
Validierungsmethodik |
|
3.4.5.4.1. |
Der Hersteller muss die logischen Szenarien definieren, die für die Validierung der Toolchain für virtuelle Tests verwendet werden. Sie müssen in der Lage sein, die ODD der virtuellen Tests für die ADS-Validierung so weit wie möglich abzudecken |
|
3.4.5.4.2. |
Die genaue Methodik hängt von dem Aufbau und dem Zweck der Toolchain ab. Die Validierung kann aus einem oder mehreren der folgenden Punkte bestehen:
|
|
3.4.5.5. |
Genauigkeitsanforderung |
|
3.4.5.5.1. |
Die Anforderung an die Korrelationsschwelle wird während der M&S-Analyse festgelegt. Die Validierung soll zeigen, dass die in 3.4.5.3.1 dieses Teils genannten KPIs erfüllt sind. |
|
3.4.5.6. |
Validierungsumfang (der zu validierende Teil der Toolchain) |
|
3.4.5.6.1. |
Eine Toolchain besteht aus mehreren Werkzeugen, und jedes Werkzeug verwendet mehrere Modelle. Der Validierungsumfang umfasst alle Werkzeuge und die entsprechenden Modelle, die Gegenstand der Validierung sind. |
|
3.4.5.7. |
Interne Validierungsergebnisse |
|
3.4.5.7.1. |
Die Dokumentation soll nicht nur den Nachweis der Validierung des Simulationsmodells erbringen, sondern auch dazu dienen, ausreichende Informationen über die Prozesse und Produkte zu erhalten, die die allgemeine Glaubwürdigkeit der verwendeten Toolchain darlegen. |
|
3.4.5.7.2. |
Die Dokumentation/Ergebnisse können aus früheren Glaubwürdigkeitsbewertungen übernommen werden. |
|
3.4.5.8. |
Unabhängige Validierung der Ergebnisse |
|
3.4.5.8.1. |
Die Typgenehmigungsbehörde bewertet die vom Hersteller vorgelegte Dokumentation und kann physische Tests des vollständigen integrierten Werkzeugs durchführen. |
|
3.4.5.9. |
Unsicherheitscharakterisierung |
|
3.4.5.9.1. |
Dieser Abschnitt befasst sich mit der Charakterisierung der erwarteten Variabilität der Ergebnisse der virtuellen Toolchain. Die Bewertung muss aus zwei Phasen bestehen. In der ersten Phase werden die in der M&S-Analyse und -Beschreibung sowie in den Abschnitten über die Herkunft der Daten/Eingaben gesammelten Informationen verwendet, um die Unsicherheit in den Eingabedaten, in den Modellparametern und in der Modellierungsstruktur zu charakterisieren. Durch die Fortpflanzung aller Unsicherheiten durch die virtuelle Toolchain wird die Unsicherheit der Modellergebnisse quantifiziert. Je nach Unsicherheit in den Modellergebnissen muss der Hersteller bei der Verwendung virtueller Tests für die ADS-Validierung angemessene Sicherheitstoleranzen einführen. |
|
3.4.5.9.2. |
Charakterisierung der Unsicherheit in den Eingabedaten
Der Hersteller muss demonstrieren, dass er die Eingaben des kritischen Modells mithilfe robuster Techniken angemessen geschätzt hat, wie z. B. mehrfache Wiederholungen für die Bewertung der Größe. |
|
3.4.5.9.3. |
Charakterisierung der Unsicherheit der Modellparameter (nach der Kalibrierung)
Der Hersteller muss nachweisen, dass die Parameter des kritischen Modells, die nicht identisch geschätzt werden können, durch eine Verteilung und/oder Vertrauensintervalle charakterisiert werden. |
|
3.4.5.9.4. |
Charakterisierung der Unsicherheit in der M&S-Struktur
Der Hersteller muss nachweisen, dass die Annahmen für die Modellierung mit einer quantitativen Charakterisierung der erzeugten Unsicherheit versehen sind (z. B. durch Vergleich der Ergebnisse verschiedener Modellierungsansätze, wann immer dies möglich ist). |
|
3.4.5.9.5. |
Charakterisierung der aleatorischen im Vergleich zur epistemischen Unsicherheit:
Der Hersteller muss versuchen, zwischen der aleatorischen Komponente der Unsicherheit (die nur geschätzt, aber nicht reduziert werden kann) und der epistemischen Unsicherheit, die sich aus dem fehlenden Wissen bei der Virtualisierung des Prozesses ergibt (und die wiederum reduziert werden kann), zu unterscheiden. |
4. Aufbau der Dokumentation
|
4.1. |
In diesem Abschnitt wird beschrieben, wie die oben genannten Informationen in der Dokumentation, die der Hersteller der zuständigen Behörde vorlegt, erfasst und organisiert werden. |
|
4.2. |
Der Hersteller erstellt ein Dokument (ein „Simulationshandbuch“), das entsprechend dem vorliegenden Entwurf gegliedert ist, um den Nachweis für die dargestellten Themen zu erbringen. |
|
4.3. |
Die Dokumentation ist zusammen mit dem entsprechenden Release der M&S und den damit verbundenen produzierten Daten zu liefern. |
|
4.4. |
Der Hersteller muss eindeutige Referenzen angeben, die eine Rückverfolgung der Dokumentation zu der entsprechenden M&S bzw. den Daten ermöglichen. |
|
4.5. |
Die Dokumentation muss während des gesamten Lebenszyklus der M&S-Nutzung gepflegt werden. Die Typgenehmigungsbehörde kann ein Audit für den Hersteller durchführen, indem es seine Dokumentation bewertet und/oder physische Tests durchführt. |
TEIL 5
BERICHTERSTATTUNG WÄHREND DES BETRIEBS
1. Begriffsbestimmungen
Für die Zwecke dieses Anhangs gelten folgende Begriffsbestimmungen:
|
1.1. |
„Vorkommnis“ bezeichnet eine sicherheitsrelevante Situation, an der ein mit einem automatisierten Fahrsystem ausgestattetes Fahrzeug beteiligt ist. |
|
1.2. |
„Nicht kritisches Vorkommnis“ bezeichnet ein Vorkommnis, bei dem es sich um eine Betriebsunterbrechung, einen Defekt, eine Störung oder einen anderen Umstand handelt, der sich auf die Sicherheit des ADS auswirkt oder ausgewirkt haben könnte und nicht zu einem Unfall oder einer schweren Störung geführt hat. Zu dieser Kategorie gehören z. B. geringfügige Vorfälle, Sicherheitsbeeinträchtigungen, die den normalen Betrieb nicht verhindern, Not-/komplexe Manöver zur Vermeidung einer Kollision und ganz allgemein alle Vorkommnisse, die für die Sicherheitsleistung des ADS auf der Straße relevant sind (z. B. Interaktion mit dem Bediener für den Ferneingriff usw.). |
|
1.3. |
„Kritisches Vorkommnis“ bezeichnet jedes Vorkommnis, bei dem das ADS zum Zeitpunkt eines Kollisionsereignisses in Betrieb ist und aufgrund dessen:
|
2. Benachrichtigungen und Berichte vom Hersteller
|
2.1. |
Der Hersteller benachrichtigt die Typgenehmigungsbehörden, Marktüberwachungsbehörden und die Kommission unverzüglich übersicherheitskritische Vorkommnisse. |
|
2.2. |
Der Hersteller meldet den Typgenehmigungsbehörden, den Marktüberwachungsbehörden und der Kommission innerhalb eines Monats alle kurzfristigen Vorkommnisse gemäß Anhang 1, die vom Hersteller behoben werden müssen. |
|
2.3. |
Der Hersteller meldet der Typgenehmigungsbehörde, die die Genehmigung erteilt hat, jährlich die in Anlage 1 aufgeführten Ereignisse. Der Bericht enthält Nachweise für die Leistung der ADS in Bezug auf sicherheitsrelevante Ereignisse in dem jeweiligen Bereich. Insbesondere muss er darlegen, dass:
Die ausstellende Typgenehmigungsbehörde teilt diese Informationen den Typgenehmigungsbehörden, den Marktüberwachungsbehörden und der Kommission mit. |
|
2.4. |
Die Typgenehmigungsbehörden, die Marktüberwachungsbehörden und die Kommission können vom Hersteller unterstützende Daten anfordern, um die Informationen genauer auszuwerten, die in den Berichten und Benachrichtigungen während des Berichts bereitgestellt werden. Diese Daten werden mithilfe einer Datenaustauschdatei im vereinbarten Format ausgetauscht. Die Typgenehmigungsbehörden, die Marktüberwachungsbehörden und die Kommission ergreifen alle erforderlichen Maßnahmen, um diese Daten zu sichern. |
|
2.5. |
Jede Vorverarbeitung von Daten muss der erteilenden Typgenehmigungsbehörde im Bericht über in Betrieb befindliche Fahrzeuge mitgeteilt werden.
Anlage 1 Liste der Vorkommnisse für die Meldung während des Betriebs Die Vorkommnisse wurden in vier Kategorien unterteilt, basierend auf ihrer Relevanz für die DDT, für die Interaktion mit den Benutzern des vollautomatisierten Fahrzeugs sowie für die technischen Bedingungen des ADS. In der nachstehenden Tabelle ist für jedes Vorkommnis angegeben, ob es für die kurzfristige und/oder regelmäßige Meldung relevant ist. Es wird erwartet, dass die regelmäßige Meldung von Vorkommnissen in Form von aggregierten Daten (pro Betriebsstunde oder gefahrenen Kilometern) für den ADS-Fahrzeugtyp und im Zusammenhang mit dem ADS-Betrieb (d. h., wenn das ADS aktiviert ist) erfolgt.
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(1) ECE/TRANS/WP.29/2022/59/Rev.1.
(2) Siehe Seite 1dieses Amtsblatts.
ANHANG IV
EU-Typgenehmigungsbogen (Fahrzeugsystem)
Mitteilung über die Erteilung/Erweiterung/Versagung/Rücknahme (1) der Typgenehmigung eines Typs eines vollautomatisierten Fahrzeugs im Hinblick auf sein automatisiertes Fahrsystem (ADS) in Übereinstimmung mit den Anforderungen der Durchführungsverordnung (EU) 2022/1426, zuletzt geändert durch Durchführungsverordnung (EU) …/…
Nummer des EU-Typgenehmigungsbogens:
Grund für die Erweiterung/Versagung/Rücknahme (1):
TEIL I
|
0.1. |
Fabrikmarke (Handelsname des Herstellers): |
|
0.2. |
Typ: |
|
0.2.1. |
Handelsname(n) (sofern vorhanden): |
|
0.3. |
Mittel zur Typidentifizierung, sofern am Fahrzeug angebracht: |
|
0.3.1. |
Position dieser Kennzeichnung: |
|
0.4. |
Fahrzeugklasse: |
|
0.5. |
Name und Anschrift des Herstellers: |
|
0.8. |
Name(n) und Anschrift(en) der Fertigungsstätte(n): |
|
0.9. |
Name und Anschrift des Bevollmächtigten des Herstellers (falls zutreffend): |
TEIL II
|
1. |
Zusätzliche Angaben (erforderlichenfalls): siehe Beiblatt. |
|
2. |
Verantwortlicher des technischen Dienstes für die Durchführung der Tests: |
|
3. |
Datum des Testberichts: |
|
4. |
Nummer des Testberichts: |
|
5. |
(Gegebenenfalls) Anmerkungen: siehe Beiblatt. |
|
6. |
Ort: |
|
7. |
Datum: |
|
8. |
Unterschrift: |
Addendum
zum EU-Typgenehmigungsbogen Nummer
1.
Beschreibung und/oder Zeichnung des ADS mit:
1.1.
ODD, Systemgrenzen und die vom Hersteller angegebene Höchstgeschwindigkeit des ADS:
1.2.
Beschreibung der Hauptfunktionen des ADS
1.2.1.
Fahrzeuginterne Funktionen
1.2.2.
Fahrzeugexterne Funktionen (z. B. Backend, erforderliche externe Infrastruktur, erforderliche operative Maßnahmen)
1.3.
Sensorsystem (inkl. Komponenten):
1.4.
Installation des ADS-Sensorsystems:
1.5.
Software-Identifizierung des ADS:
2.
Schriftliche Beschreibung und/oder Zeichnung der Überwachung des ADS durch den Menschen
2.1.
Externer Bediener und Ferneingriffe für das ADS
2.2.
Mittel zur Aktivierung bzw. Deaktivierung des ADS
2.3.
Überwachung im Fahrzeuginneren
2.4.
Systemeinschränkungen aufgrund von Umwelt- oder Straßenbedingungen
3.
Schriftliche Beschreibung und/oder Zeichnung der Informationen, die Fahrzeuginsassen und anderen Verkehrsteilnehmern bereitgestellt werden
3.1.
Systemstatus:
3.2.
Anforderung an den Bediener im Fahrzeug/den Bediener für den Ferneingriff:
3.3.
Risikominimierendes Manöver:
3.4.
Notfallmanöver:
4.
ADS-Datenelemente
4.1.
ADS-Datenelemente, geprüft nach den in Übereinstimmung mit Anhang III Teil 3 durchgeführten Tests:
4.2.
Dokumentation bezüglich Zugänglichkeit der Daten, Selbstprüfung der Datenintegrität und Schutz vor Manipulation der gespeicherten Daten verifiziert: ja/nein
5.
Cybersicherheit und Software-Updates
5.1.
Typgenehmigungsnummer für Cybersicherheit:
5.2.
Typgenehmigungsnummer für das Software-Update:
6.
Bewertung funktionaler und operativer Sicherheitsaspekte des automatisierten Fahrsystems
6.1.
Dokumentreferenz des Herstellers für die Bewertung (einschließlich der Versionsnummer):
6.2.
Beschreibungsbogen
7.
Verantwortlicher des technischen Dienstes für die Durchführung von Genehmigungstests
7.1.
Datum des von diesem Dienst ausgestellten Testberichts
7.2.
(Referenz) Nummer des von diesem Dienst ausgestellten Berichts
8.
Anhänge|
Addendum 1: |
Beschreibungsbogen für automatisierte Fahrsysteme (siehe Anhang I der Durchführungsverordnung (EU) 2022/1426). |
|
Addendum 2: |
Mitgliedstaaten und bestimmte Gebiete, in denen der Hersteller erklärt hat, dass das ADS auf die Einhaltung der örtlichen Verkehrsregeln geprüft wurde. Liste der Dokumente in der Genehmigungsakte, die bei den Verwaltungsstellen, die die Genehmigung erteilt haben, hinterlegt sind und auf Anfrage erhältlich sind. |
|
Addendum 3: |
ADS-Bewertungsbericht/Testergebnisse von der Behörde, die die Typgenehmigung ausgestellt hat. |
|
Addendum 4: |
Konformitätsbescheinigung für das SMS. |
(1) Löschen, falls nicht zutreffend.