Pouze původní texty EHK OSN mají podle mezinárodního veřejného práva právní účinek. Je zapotřebí ověřit si status a datum vstupu tohoto předpisu v platnost v nejnovější verzi dokumentu EHK OSN o statusu TRANS/WP.29/343, který je k dispozici na internetové adrese:http://www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29fdocstts.html

Předpis OSN č. 157 – Jednotná ustanovení pro schvalování vozidel, pokud jde o systém automatizovaného udržování vozidla v jízdním pruhu [2021/389]

Datum vstupu v platnost: 22. ledna 2021

Tento dokument slouží výhradně jako dokumentační nástroj. Rozhodné a právně závazné znění je: ECE/TRANS/WP.29/2020/81.

OBSAH

PŘEDPIS

ÚVOD

Oblast působnosti a účel

Definice

Žádost o schválení

Schválení

Bezpečnost systému a odolnost proti poruchám

Rozhraní člověk-stroj / informace o řidiči

Detekce předmětů a událostí a odezva

Systém ukládání údajů pro automatizované řízení

Kybernetická bezpečnost a aktualizace softwaru

10.

Změna typu vozidla a rozšíření schválení

11.

Shodnost výroby

12.

Postihy za neshodnost výroby

13.

Definitivní ukončení výroby

14.

Názvy a adresy technických zkušeben odpovědných za provádění schvalovacích zkoušek a názvy a adresy schvalovacích orgánů

PŘÍLOHY

Sdělení

Uspořádání značek schválení typu

(Vyhrazeno)

Zvláštní požadavky týkající se bezpečnostních hledisek elektronických řídicích systémů a audit

Zkušební specifikace systémů automatizovaného udržování vozidla v jízdním pruhu (ALKS)

ÚVOD

Cílem předpisu je stanovit jednotná ustanovení pro schvalování vozidel, pokud jde o systém automatizovaného udržování vozidla v jízdním pruhu (dále jen „ALKS“ nebo „systém ALKS“).

Systém ALKS po delší dobu řídí příčný a podélný pohyb vozidla bez zásahu řidiče. ALKS je systém, který, je-li aktivován, primárně řídí vozidlo.

Tento předpis je prvním regulačním krokem k zavedení automatizovaného systému řízení (jak je definován v ECE/TRANS/WP.29/1140) v provozu, a obsahuje tudíž inovativní ustanovení, jež mají postihnout složitost hodnocení bezpečnosti systému. Obsahuje správní ustanovení vhodná pro schvalování typu, technické požadavky, ustanovení o auditu a podávání zpráv, jakož i o zkouškách.

ALKS může být za určitých podmínek aktivován na pozemních komunikacích, kde je zakázán pohyb chodců a cyklistů a které jsou navrženy tak, že je fyzicky oddělen provoz v protisměru a vozidla jedoucí v protisměru nemohou zkřížit dráhu vozidla. V první fázi omezuje původní znění tohoto předpisu maximální provozní rychlost na 60 km/h a vztahuje se pouze na osobní automobily (vozidla kategorie M1).

Tento předpis obsahuje obecné požadavky na bezpečnost systému a odezvu v nouzovém režimu. Když je ALKS aktivován, řídí namísto řidiče, tj. musí zvládnout všechny situace včetně poruch a nesmí ohrozit bezpečnost cestujících ve vozidle ani jiných účastníků silničního provozu. Řidič má však vždy možnost kdykoliv potlačit funkci systému.

Tento předpis rovněž stanoví požadavky na to, jak musí systém ALKS řidiči bezpečně předat řízení včetně toho, že dokáže vozidlo zastavit, jestliže řidič odpovídajícím způsobem nereaguje.

V neposlední řadě předpis obsahuje požadavky na rozhraní člověk-stroj (HMI), aby nemohlo dojít k nedorozumění nebo nesprávnému použití ze strany řidiče. Předpis například vyžaduje, aby činnost palubních zobrazovacích jednotek používaných řidičem k jiným činnostem, než je řízení v době, kdy je v činnosti ALKS, byla automaticky pozastavena, jakmile systém vyšle požadavek na převzetí řízení. Těmito opatřeními nejsou dotčena pravidla chování řidičů týkající se používání těchto systémů na území smluvních stran, jak je v současné době projednává globální fórum pro bezpečnost silničního provozu (WP.1), jehož zasedání probíhají v době vypracování tohoto dokumentu (viz např. neformální dokument 4, revize 1 ze 78. zasedání WP.1).

1. OBLAST PŮSOBNOSTI A ÚČEL

1.1

Tento předpis se vztahuje na schvalování vozidel kategorie M1 (1) , pokud jde o systém automatizovaného udržování vozidla v jízdním pruhu.

2. DEFINICE

Pro účely tohoto předpisu se použijí tyto definice:

2.1

„systémem automatizovaného udržování vozidla v jízdním pruhu (ALKS)“ se rozumí systém používaný při malé rychlosti, který je aktivován řidičem a při rychlosti maximálně 60 km/h udržuje vozidlo v jízdním pruhu tím, že řídí příčný a podélný pohyb vozidla po delší dobu, aniž by řidič musel do řízení zasahovat.

V rámci tohoto předpisu se na ALKS odkazuje rovněž jako na „ systém “;

2.1.1

„typem vozidla z hlediska systému automatizovaného udržování vozidla v jízdním pruhu (ALKS)“ se rozumí kategorie vozidel, která se vzájemně neliší v takových zásadních hlediscích, jako jsou:

a)	vlastnosti vozidla, které významným způsobem ovlivňují účinnost systému ALKS;

b)	vlastnosti systému ALKS a jeho konstrukce;

2.2

„požadavkem na převzetí řízení“ se rozumí logický a intuitivní postup, jímž se dynamická funkce řízení předává ze systému (automatizované řízení) na řidiče (manuální řízení). Tento požadavek vysílá systém řidiči;

2.3

„fází převzetí“ se rozumí doba trvání požadavku na převzetí řízení;

2.4

„plánovanou událostí“ se rozumí předem známá situace, například v okamžiku aktivace, jako je trasový bod (např. sjezd z dálnice apod.) a při níž je nutný požadavek na převzetí řízení;

2.5

„neplánovanou událostí“ se rozumí situace, jež není předem známá, ale předpokládá se jako velmi pravděpodobná, např. práce na silnici, nepříznivé počasí, blížící se záchranné vozidlo, chybějící značení jízdního pruhu, pád nákladu z nákladního vozidla (srážka) a při níž je nutný požadavek na převzetí řízení;

2.6

„rizikem bezprostřední srážky“ se rozumí situace nebo událost, která povede ke srážce vozidla s jiným účastníkem silničního provozu nebo překážkou a jíž nelze zabránit brzděním slabším než 5 m/s2.

2.7

„manévrem s minimálním rizikem“ se rozumí postup zaměřený na minimalizaci rizik v provozu, který systém provádí automaticky po požadavku na převzetí řízení, na který řidič nereaguje, nebo v případě závažného selhání systému ALKS nebo vozidla.

2.8

„nouzovým manévrem“ se rozumí manévr prováděný systémem v případě události, při níž vozidlu bezprostředně hrozí srážka a jehož účelem je srážce zabránit nebo ji zmírnit.

2.9

Rychlost

2.9.1

„stanovenou maximální rychlostí“ se rozumí rychlost udaná výrobcem, do které systém pracuje v optimálních podmínkách;

2.9.2

„maximální provozní rychlostí“ se rozumí rychlost stanovená systémem, do které systém funguje za panujících podmínek určených prostředím a stavem snímačů; Jedná se o maximální rychlost vozidla, při níž může být systém v činnosti a která je dána schopnostmi snímacího systému a podmínkami prostředí;

2.9.3

„momentální rychlostí“ nebo jen „rychlostí“ se rozumí aktuální rychlost zvolená systémem podle provozu;

2.10

„detekčním dosahem“ snímacího systému se rozumí vzdálenost, na kterou systém dokáže spolehlivě rozpoznat cíl a vydat ovládací signál, a to s přihlédnutím ke zhoršení vlastností konstrukčních částí snímacího systému v důsledku času a používání po dobu životnosti vozidla.

2.11

Poruchy

2.11.1

„poruchou ALKS“ se rozumí každá jednotlivá porucha činnosti systému ALKS (např. porucha jednoho ze snímačů, ztráta údajů nutných k výpočtu jízdní dráhy vozidla);

2.11.2

„poruchovým režimem“ se rozumí provozní stav systému, při němž systém funguje s poruchou ALKS;

2.11.3

„závažnou poruchou ALKS“ se rozumí porucha činnosti systému ALKS ovlivňující jeho bezpečné fungování v poruchovém režimu s velmi nízkou pravděpodobností výskytu, která se všeobecně týká základních konstrukčních částí, například elektronické řídicí jednotky. Porucha jednoho ze snímačů se za tento druh poruchy považuje pouze tehdy, pokud ji doprovází ještě jiný faktor ovlivňující bezpečné fungování systému;

2.11.4

„závažnou poruchou vozidla“ se rozumí každá porucha vozidla (např. elektrická nebo mechanická), která ovlivňuje schopnost ALKS provádět dynamickou funkci řízení a která by rovněž ovlivnila manuální řízení vozidla (např. výpadek napájení, porucha brzdového systému, náhlá ztráta tlaku pneumatiky);

2.12

„samočinnou kontrolou“ se rozumí integrovaná funkce, jež průběžně kontroluje, zda nedošlo k poruše systému a jaký je detekční dosah snímacího systému.

2.13

„potlačením systému“ ze strany řidiče se rozumí situace, kdy řidič zasáhne do řízení úkonem, který má přednost před ovladačem, kterým systém řídí podélný nebo příčný pohyb, když je systém v činnosti;

2.14

„dynamickou funkcí řízení“ se rozumí řízení a provádění veškerých podélných a příčných pohybů vozidla;

2.15

„systém ukládání údajů pro automatizované řízení (DSSAD)“ umožňuje určit interakce mezi ALKS a řidičem;

2.16

„dobou životnosti systému“ se rozumí doba, po kterou je systém ALKS k dispozici jako funkce na vozidle;

2.17

„výskytem“ se v souvislosti s ustanoveními o DSSAD v bodě 8 rozumí úkon nebo situace, k nimž došlo v souvislosti s událostí nebo incidentem a které musí být uloženy do systému ukládání údajů;

2.18

„softwarovým identifikačním číslem pro účely předpisu R157 (R157 SWIN)“ se rozumí specifický identifikátor definovaný výrobcem vozidla představující informace o softwaru elektronického řídicího systému, které se řadí k vlastnostem vozidla pro účely schválení typu podle předpisu OSN č. 157;

2.19

„elektronickým řídicím systémem“ se rozumí kombinace jednotek konstruovaná k tomu, aby podporovala zajištění stanovené funkce pro udržování v jízdním pruhu pomocí elektronického zpracování dat. Takové systémy, obvykle softwarově ovládané, se skládají z jednotlivých funkčních konstrukčních částí, jako jsou čidla, elektronické řídicí jednotky a akční členy, a jsou propojeny přenosovými spoji. Mohou zahrnovat mechanické, elektropneumatické či elektrohydraulické prvky;

2.20

„softwarem“ se rozumí část elektronického řídicího systému, která sestává z digitálních údajů a pokynů.

3. ŽÁDOST O SCHVÁLENÍ

3.1

Žádost o schválení typu vozidla, pokud jde o systém automatizovaného udržování vozidla v jízdním pruhu, podává výrobce vozidla nebo jeho pověřený zástupce.

3.2

K žádosti musí být ve třech vyhotoveních připojeny níže uvedené dokumenty:

3.2.1

Popis typu vozidla, pokud jde o položky uvedené v bodě 2.1.1, se souborem dokumentace podle přílohy 4, který podává informace o základní koncepci systému ALKS a o prostředcích, kterými je spojen s ostatními systémy vozidla nebo kterými přímo ovládá výstupní proměnné. Uvádějí se čísla a/nebo symboly identifikující typ vozidla.

3.3

Technické zkušebně provádějící schvalovací zkoušky se předá vozidlo, které představuje typ vozidla, jenž má být schválen.

4. SCHVÁLENÍ

4.1

Schválení vozidla se udělí v případě, že typ vozidla předaný ke schválení podle tohoto předpisu splňuje požadavky bodů 5 až 9.

4.2

Každému schválenému typu se přidělí číslo schválení; první dvě číslice (v současnosti 00, což odpovídá sérii změn 00, tj. původní znění) udávají sérii změn zahrnující nejnovější podstatné technické změny předpisu v době udělení schválení. Tatáž smluvní strana nesmí přidělit stejné číslo jinému typu vozidla.

4.3

Oznámení o schválení nebo odmítnutí či zrušení schválení podle tohoto předpisu se sdělí stranám dohody prostřednictvím formuláře, který je v souladu se vzorem v příloze 1, a dokumentace poskytnuté žadatelem ve formátu nepřesahujícím A4 (210 × 297 mm) nebo složených v tomto formátu a ve vhodném měřítku nebo elektronickém formátu.

4.4

Na každé vozidlo, které odpovídá typu vozidla schválenému podle tohoto předpisu, se na viditelném a snadno přístupném místě uvedeném na formuláři schválení umístí mezinárodní značka schválení typu, jež odpovídá vzoru popsanému v příloze 2 a sestává z:

4.4.1

písmene „E“ v kružnici, za nímž následuje rozlišovací číslo země, která schválení udělila (2);

4.4.2

čísla tohoto předpisu, za nímž následuje písmeno „R“, pomlčka a číslo schválení vpravo od kružnice předepsané v bodě 4.4.1.

4.5

Vyhovuje-li vozidlo typu vozidla schválenému podle jednoho nebo více dalších předpisů připojených k dohodě v zemi, která udělila schválení typu podle tohoto předpisu, není třeba symbol předepsaný v bodě 4.4.1 opakovat; v takovém případě se čísla předpisu a schválení a doplňkové symboly uvedou ve svislých sloupcích umístěných vpravo od symbolu předepsaného v bodě 4.4.1.

4.6

Značka schválení typu musí být jasně čitelná a nesmazatelná.

4.7

Značka schválení typu musí být umístěna v blízkosti štítku s údaji o vozidle nebo na tomto štítku.

5. BEZPEČNOST SYSTÉMU A ODOLNOST PROTI PORUCHÁM

5.1

Všeobecné požadavky

Splnění ustanovení tohoto bodu musí výrobce prokázat technické zkušebně při inspekci bezpečnostního přístupu v rámci posouzení podle přílohy 4 (zejména u podmínek, které nebyly zkoušeny podle přílohy 5) a podle příslušných zkoušek v příloze 5.

5.1.1

Aktivovaný systém provádí dynamickou funkci řízení a musí zvládnout všechny situace včetně poruch. Nesmí představovat neúměrné riziko pro cestující ve vozidle ani ostatní účastníky silničního provozu.

Aktivovaný systém nesmí způsobovat srážky, které lze rozumně předvídat a kterým lze zabránit. Pokud lze bezpečně zabránit srážce, aniž by došlo k jiné srážce, je třeba jí zabránit. Pokud systém zjistí, že vozidlu hrozí srážka, musí vozidlo zastavit.

5.1.2

Aktivovaný systém musí dodržovat pravidla silničního provozu platná pro dynamickou funkci řízení v zemi, v níž je provozován.

5.1.3

Aktivovaný systém musí ovládat systémy, které jsou zapotřebí k tomu, aby řidič mohl snáze převzít manuální řízení (např. odmlžování, stěrače čelního skla a světla).

5.1.4

Požadavek na převzetí řízení nesmí ohrozit bezpečnost cestujících ve vozidle ani ostatních účastníků silničního provozu.

5.1.5

Pokud se řidič během fáze převzetí neujme dynamické funkce řízení, musí systém provést manévr s minimálním rizikem. Při tomto manévru musí systém minimalizovat rizika pro bezpečnost cestujících ve vozidle a ostatních účastníků silničního provozu.

5.1.6

Systém musí provádět samočinné kontroly, aby zjistil výskyt poruch a neustále potvrzoval funkčnost systému (např. po nastartování vozidla systém alespoň jednou detekuje předmět ve stejné vzdálenosti jako je uvedený detekční dosah podle bodu 7.1 nebo větší).

5.1.7

Účinnost systému nesmí být nepříznivě ovlivňována působením magnetických nebo elektrických polí. To se prokazuje splněním požadavků série změn 05 předpisu OSN č. 10 nebo novější série.

5.1.8

Výrobce přijme opatření proti nesprávnému používání systému ze strany řidiče, jež lze rozumně předvídat, a nedovolené manipulaci se systémem.

5.1.9

Pokud již systém nesplňuje požadavky tohoto předpisu, nesmí být možné jej aktivovat.

Výrobce přijme a zavede postup pro řízení bezpečnosti a zajištění trvalého souladu systému ALKS po celou dobu životnosti.

5.2

Dynamická funkce řízení

5.2.1

Aktivovaný systém musí udržovat vozidlo v jízdním pruhu a zajistit, aby vozidlo nepřekračovalo značení jízdního pruhu (vnější okraj přední pneumatiky vůči vnějšímu okraji značení jízdního pruhu). Systém se musí snažit udržovat vozidlo ve stabilní příčné poloze uvnitř jízdního pruhu, aby vozidlo nemátlo ostatní účastníky silničního provozu.

5.2.2

Aktivovaný systém musí detekovat vedle jedoucí vozidlo podle definice v bodě 7.1.2 a v případě potřeby přizpůsobit rychlost a/nebo případně příčnou polohu vozidla v jízdním pruhu.

5.2.3

Aktivovaný systém ovládá rychlost vozidla.

5.2.3.1

Maximální rychlost, do které smí být systém provozován, je 60 km/h.

5.2.3.2

Aktivovaný systém musí rychlost vozidla přizpůsobit podmínkám, které vytváří infrastruktura a prostředí (např. malé poloměry zatáček, nepříznivé počasí).

5.2.3.3

Aktivovaný systém musí detekovat vzdálenost od dalšího vozidla vpředu podle definice v bodě 7.1.1 a rychlost vozidla musí upravit tak, aby nedošlo ke srážce.

Pokud vozidlo vybavené ALKS nestojí, musí systém rychlost přizpůsobit tak, aby vzdálenost od vozidla vpředu ve stejném jízdním pruhu byla stejná nebo větší než minimální bezpečná vzdálenost.

Nelze-li minimální odstup dočasně dodržet kvůli ostatním účastníkům silničního provozu (např. na těsno se zařazující vozidlo, zpomalující vozidlo vpředu atd.), musí vozidlo při nejbližší příležitosti minimální bezpečnou vzdálenost znovu přizpůsobit, aniž by muselo prudce brzdit, ledaže by byl nutný nouzový manévr.

Minimální bezpečná vzdálenost se vypočte podle vzorce:

dmin= vALKS* tfront,

kde:

dmin	=	minimální bezpečná vzdálenost
vALKS	=	skutečná rychlost vozidla s ALKS v m/s
tfront	=	minimální odstup v sekundách mezi vozidlem s ALKS a vozidlem jedoucím vpředu podle následující tabulky:

Skutečná rychlost vozidla s ALKS		Minimální odstup	Minimální bezpečná vzdálenost
(km/h)	(m/s)	(s)	(m)
7,2	2,0	1,0	2,0
10	2,78	1,1	3,1
20	5,56	1,2	6,7
30	8,33	1,3	10,8
40	11,11	1,4	15,6
50	13,89	1,5	20,8
60	16,67	1,6	26,7

U rychlostí, které nejsou uvedeny v tabulce, se použije lineární interpolace.

Bez ohledu na výsledek vypočtený z výše uvedeného vzorce pro skutečné rychlosti nižší než 2 m/s nesmí být minimální bezpečná vzdálenost nikdy menší než 2 m.

5.2.4

Aby zabránil srážce, musí aktivovaný systém dokázat vozidlo úplně zastavit za stojícím vozidlem, stojícím účastníkem silničního provozu nebo v zablokovaném jízdním pruhu. Toto musí systém dokázat až do své maximální provozní rychlosti.

5.2.5

Aktivovaný systém musí detekovat riziko srážky zejména s jiným účastníkem silničního provozu před vozidlem nebo vedle něj, v důsledku zpomalujícího vozidla vpředu, ostře se zařazujícího vozidla nebo náhle se objevivší překážky a musí automaticky provést vhodné manévry k minimalizaci rizika pro bezpečnost cestujících ve vozidle a ostatních účastníků silničního provozu.

U podmínek, které nejsou specifikovány v bodech 5.2.4 a 5.2.5 nebo v jejich podbodech, musí být toto zajištěno alespoň tak dobře, jak by rizika dokázal minimalizovat zdatný a obezřetný řidič. Splnění se prokazuje v posouzení provedeném podle přílohy 4 a na základě pokynů z dodatku 3 k příloze 4.

5.2.5.1

Aktivovaný systém musí zabránit srážce s vozidlem, které před ním zpomaluje maximálním brzdným účinkem, pokud nebyla překročena minimální bezpečná vzdálenost, na niž by vozidlo s ALKS při momentální rychlosti přizpůsobilo svůj odstup od vozidla před sebou kvůli tomu, že se toto vozidlo před něj ostře zařadilo.

5.2.5.2

Aktivovaný systém musí zabránit srážce s vozidlem, které se před něj ostře zařazuje

a)	za předpokladu, že ostře se zařazující vozidlo udržuje podélnou rychlost, která je nižší než podélná rychlost vozidla s ALKS a

b)	za předpokladu, že příčný pohyb ostře se zařazujícího vozidla byl viditelný po dobu nejméně 0,72 s před dosažením vztažného bodu TTCLaneIntrusion, (čas do srážky při najetí do jízdního pruhu),

pokud vzdálenost mezi přídí vozidla s ALKS a zádí ostře se zařazujícího vozidla odpovídá TTC vypočtenému podle této rovnice:

kde:

Vrel	=	relativní rychlost mezi oběma vozidly, kladná hodnota platí pro vozidlo s ALKS, které má větší rychlost než ostře se zařazující vozidlo;
TTCLaneIntrusion	=	hodnota TTC v okamžiku, kdy vnější strana pneumatiky předního kola najíždějícího vozidla, které je nejblíže k značení jízdního pruhu, přetne přímku 0,3 m od vnějšího okraje viditelného značení jízdního pruhu, do něhož se najíždějící vozidlo nasouvá.

5.2.5.3

Aktivovaný systém musí zabránit srážce s přecházejícím chodcem, na něhož je volný výhled.

Ve scénáři, při němž příčná složka rychlosti přecházejícího chodce činí nejvýše 5 km/h a kdy se předpokládaný bod nárazu posune o nejvýše 0,2 m vůči podélné středové rovině vozidla, musí aktivovaný ALKS srážce zabránit až do své maximální provozní rychlosti.

5.2.5.4

Připouští se, že požadavek v bodě 5.2.5 se za jiných než výše popsaných podmínek nemusí podařit zcela splnit. Systém však za těchto jiných podmínek nesmí deaktivovat nebo nepatřičně změnit strategii řízení. To se prokazuje v souladu s přílohou 4 tohoto předpisu.

5.3

Nouzový manévr

Splnění ustanovení tohoto bodu musí výrobce prokázat technické zkušebně při inspekci bezpečnostního přístupu v rámci posouzení podle přílohy 4 a podle příslušných zkoušek v příloze 5.

5.3.1

Nouzový manévr se provede v případě rizika bezprostřední srážky.

5.3.1.1

Každý požadavek systému na podélné zpomalení větší než 5,0 m/s2 se považuje za nouzový manévr.

5.3.2

V případě potřeby musí tento manévr vozidlo zpomalit na plný brzdný účinek a/nebo podle situace provést automatický vyhýbací manévr.

Je-li chování systému při brzdění nebo řízení ovlivněno poruchami, provede se manévr s ohledem na dostupný účinek.

Vozidlo s ALKS nesmí při vyhýbacím manévru překročit značení jízdního pruhu (vnější okraj přední pneumatiky vůči vnějšímu okraji značení jízdního pruhu).

Po vyhýbacím manévru se vozidlo musí snažit znovu dostat do stabilní polohy.

5.3.3

Nouzový manévr nesmí být ukončen, dokud trvá riziko bezprostřední srážky nebo dokud řidič systém nedeaktivoval.

5.3.3.1

Po skončení nouzového manévru musí systém nadále fungovat.

5.3.3.2

Je-li výsledkem nouzového manévru zastavení vozidla, vygeneruje se signál k aktivaci výstražných světel. Začne-li se vozidlo automaticky znovu pohybovat, musí se automaticky vygenerovat signál k deaktivaci výstražných světel.

5.3.4

Vozidlo musí uvést do činnosti logický signál, který udává tísňové brzdění, jak je stanoveno v předpisu OSN č. 13-H.

5.4

Požadavek na převzetí řízení a fungování systému během fáze převzetí

5.4.1

Aktivovaný systém musí rozpoznat všechny situace, při nichž musí řízení předat řidiči.

Výrobce vozidla uvede druhy situací, při nichž vozidlo vyšle řidiči požadavek na převzetí řízení, a zařadí je do souboru dokumentace požadovaného v příloze 4.

5.4.2

Požadavek na převzetí řízení musí být vyslán tak, aby byl dostatek času k bezpečnému přechodu na manuální řízení.

5.4.2.1

V případě plánované události, kvůli níž by ALKS nemohl nadále fungovat, musí být požadavek na převzetí řízení vyslán s dostatečným předstihem, aby bylo zajištěno, že pokud řidič řízení nepřevezme, dokáže manévr s minimálním rizikem vozidlo zastavit ještě předtím, než nastane plánovaná událost.

5.4.2.2

V případě neplánované události musí být požadavek na převzetí řízení vyslán, jakmile je taková událost zjištěna.

5.4.2.3

Jakmile systém zjistí poruchu, která ovlivňuje jeho provoz, musí okamžitě vyslat požadavek na převzetí řízení.

5.4.3

Během fáze převzetí musí systém stále fungovat. Systém může snížit rychlost vozidla, aby zajistil jeho bezpečný provoz, ale nesmí jej zastavit, pokud to situace nevyžaduje (např. kvůli vozidlům nebo překážkám v dráze vozidla) nebo pokud byla důvodem haptická výstraha podle bodu 6.4.1, která se aktivovala při rychlostech nižších než 20 km/h.

5.4.3.1

Jakmile vozidlo zastaví, může zůstat stát a do 5 sekund musí vygenerovat signál k aktivaci výstražných světel.

5.4.3.2

Během fáze převzetí se požadavek na převzetí musí zintenzivnit nejpozději 4 s od spuštění.

5.4.4

Požadavek na převzetí nesmí být ukončen, dokud nebyl systém deaktivován nebo nebyl zahájen manévr s minimálním rizikem.

5.4.4.1

Pokud řidič nereaguje na požadavek na převzetí řízení tím, že systém deaktivuje (jak je popsáno v bodě 6.2.4 nebo 6.2.5), manévr s minimálním rizikem se zahájí nejdříve 10 s od vyslání požadavku na převzetí řízení.

5.4.4.1.1

Bez ohledu na bod 5.4.4.1 může být manévr s minimálním rizikem zahájen okamžitě, pokud nastala závažná porucha ALKS nebo samotného vozidla.

V případě závažných poruch ALKS nebo samotného vozidla se může stát, že ALKS již nedokáže splnit požadavky tohoto předpisu, musí však usilovat o to, aby bylo možné řízení bezpečně předat zpět řidiči.

5.4.4.1.2

Výrobce uvede druhy závažných poruch vozidla a závažných poruch ALKS, po jejichž zjištění systém okamžitě zahájí manévr s minimálním rizikem.

5.5

Manévr s minimálním rizikem

5.5.1

Během manévru s minimálním rizikem musí vozidlo zpomalit uvnitř jízdního pruhu nebo v případě, že značení jízdního pruhu není viditelné, zůstat na vhodné dráze vzhledem k okolnímu provozu a silniční infrastruktuře a usilovat o to, aby požadavek na zpomalení nebyl větší než 4,0 m/s2.

Vyšší hodnoty požadavku na zpomalení jsou přípustné po velmi krátkou dobu, např. jako haptická výstraha k vyvolání pozornosti řidiče, nebo v případě vážné poruchy ALKS nebo samotného vozidla.

Při zahájení manévru s minimálním rizikem se navíc musí vygenerovat signál k aktivaci výstražných světel.

5.5.2

Manévr s minimálním rizikem musí vozidlo zastavit, pokud řidič během manévru systém nedeaktivuje.

5.5.3

Manévr s minimálním rizikem smí být ukončen až poté, co byl systém deaktivován nebo dokud vozidlo nezastavil.

5.5.4

Po skončení manévru s minimálním rizikem musí být systém deaktivován.

Výstražná světla musí zůstat rozsvícena, pokud nebyla vypnuta manuálně, a bez manuálního zásahu se vozidlo po zastavení nesmí pohybovat.

5.5.5

Reaktivace systému po skončení manévru s minimálním rizikem musí být možná vždy pouze až po opětovném nastartování motoru.

6. ROZHRANÍ ČLOVĚK-STROJ / INFORMACE O ŘIDIČI

6.1

Systém pro rozpoznávání dostupnosti řidiče

6.1.1

Součástí systému musí být systém pro rozpoznávání dostupnosti řidiče

Systém pro rozpoznávání dostupnosti řidiče musí dokázat zjistit, zda je řidič na svém místě, zda má zapnut bezpečnostní pás a zda je schopen převzít řízení.

6.1.2

Přítomnost řidiče

Požadavek na převzetí řízení se zahájí podle bodu 5.4, je-li splněna některá z těchto podmínek:

a)	zjistí-li se, že řidič není na sedadle po dobu delší než jednu sekundu nebo

b)	bezpečnostní pás řidiče není zapnut.

Místo akustické výstrahy požadavku na převzetí řízení lze použít výstražný signál druhé úrovně podle předpisu OSN č. 16 pro nezapnutý bezpečnostní pás.

6.1.3

Dostupnost řidiče

Monitorováním řidiče musí systém zjistit, zda je řidič k dispozici a zda je ve vhodné poloze pro řízení, aby dokázal reagovat na požadavek na převzetí řízení.

Výrobce musí technické zkušebně uspokojivě prokázat, že vozidlo dokáže zjistit, zda je řidič schopen převzít řízení.

6.1.3.1

Kritéria pro posouzení dostupnosti řidiče

Má se za to, že řidič je nedostupný, jestliže alespoň dvě kritéria (např. převzetí výhradní kontroly nad vozidlem ze strany řidiče, mrkání, zavírání očí, vědomý pohyb hlavy nebo těla) nezávisle na sobě v posledních 30 sekundách nestanovila, že řidič je k dispozici.

Systém může kdykoli pokládat řidiče za nedostupného.

Jakmile je zjištěno, že řidič není k dispozici, nebo lze sledovat méně než dvě kritéria dostupnosti, systém okamžitě začne vydávat nezaměnitelnou výstrahu, dokud u řidiče nezjistí adekvátní jednání nebo dokud není vyslán požadavek na převzetí řízení. Trvá-li tato výstraha 15 s nebo déle, musí být vyslán požadavek na převzetí řízení podle bodu 5.4.

Výrobce poskytne zdokumentované důkazy se zdůvodněním počtu a kombinace kritérií dostupnosti, zejména pokud jde o odpovídající časový interval. U žádného z kritérií dostupnosti však tento interval nesmí přesáhnout 30 s. Tuto skutečnost výrobce prokáže a technická zkušebna posoudí podle přílohy 4.

6.1.4

„Jiné činnosti než řízení“ prováděné prostřednictvím palubních displejů dostupných při aktivaci ALKS se musí automaticky zastavit, i) jakmile systém vyšle požadavek na převzetí řízení, nebo ii) jakmile je systém deaktivován, podle toho, co nastane dříve.

6.2

Aktivace, deaktivace a zásah řidiče

6.2.1

Vozidlo musí být vybaveno specifickým zařízením, kterým řidič systém aktivuje („aktivní režim“) a kterým ho deaktivuje (režim „vypnuto“). Když je ALKS aktivován, musí se řidiči stále zobrazovat zařízení k deaktivaci systému.

6.2.2

Při každém nastartování motoru musí být výchozím stavem systému režim „vypnuto“.

Tento požadavek neplatí, když se motor znovu startuje automaticky, např. pomocí systému start/stop.

6.2.3

Systém se nesmí uvést do činnosti jinak než úmyslným úkonem řidiče a jsou-li splněny všechny tyto podmínky:

a)	řidič je na svém sedadle a bezpečnostní pás má zapnut v souladu s body 6.1.1 a 6.1.2;

b)	řidič je připraven převzít dynamickou funkci řízení podle bodu 6.1.3;

c)	nenastala žádná porucha ovlivňující bezpečný provoz nebo funkčnost ALKS;

d)	funguje systém ukládání údajů pro automatizované řízení (DSSAD);

e)	podmínky vytvářené prostředím a infrastrukturou umožňují provoz;

f)	výsledek samočinné kontroly systému je v pořádku a

g)	vozidlo se nachází na pozemních komunikacích, kde je zakázán pohyb chodců a cyklistů a které jsou navrženy tak, že je fyzicky oddělen provoz v protisměru.

Pokud již některá z výše uvedených podmínek splněna není, systém okamžitě vyšle požadavek na převzetí řízení, není-li v tomto předpise stanoveno jinak.

6.2.4

Úmyslným úkonem řidiče musí být možné systém manuálně deaktivovat (režim „vypnuto“), a to prostřednictvím téhož zařízení jako k aktivaci systému, jak je uvedeno v bodě 6.2.1.

Deaktivační zařízení musí být chráněno proti neúmyslné manuální deaktivaci například tím, že vyžaduje, aby jednotlivý úkon trval určitou minimální dobu nebo aby bylo zapotřebí dvojité stisknutí nebo dva samostatné, avšak souběžné úkony.

Kromě toho musí být zajištěno, aby měl řidič v okamžiku deaktivace kontrolu nad příčným pohybem vozidla, např. umístěním deaktivačního zařízení na ovládání řízení nebo potvrzením, že má řidič řízení v rukou.

6.2.5

Navíc k ustanovením bodu 6.2.4 se systém nesmí deaktivovat žádným jiným zásahem řidiče, než jaké jsou popsány v bodech 6.2.5.1 až 6.2.5.4.

6.2.5.1

Deaktivace zásahem do ovládání řízení

Systém se deaktivuje, je-li splněna alespoň jedna z těchto podmínek:

a)	řidič funkci systému potlačí tím, že začne řídit a nepouští řízení z ruky a toto potlačení není zrušeno, jak je uvedeno v bodě 6.3 nebo

b)	řidič drží řízení a potlačí systém tím, že brzdí nebo zrychluje, jak je uvedeno v bodě 6.3.1.

6.2.5.2

Deaktivace při probíhajícím požadavku na předání řízení nebo během manévru s minimálním rizikem

Probíhá-li požadavek na předání řízení nebo manévr s minimálním rizikem, systém se deaktivuje pouze:

a)	v souladu s bodem 6.2.5.1, nebo

b)	pokud zjistí, že se řidič ujal řízení v reakci na požadavek na převzetí řízení nebo na manévr s minimálním rizikem, a za předpokladu, že systém potvrdí řidičovu pozornost, jak je definováno v bodě 6.3.1.1.

6.2.5.3

Deaktivace během nouzového manévru

V případě probíhajícího nouzového manévru může být deaktivace systému odložena do okamžiku, kdy pominulo riziko bezprostřední srážky.

6.2.5.4

Deaktivace v případě vážné poruchy vozidla nebo systému ALKS

V případě vážné poruchy vozidla nebo ALKS může systém při deaktivaci postupovat podle různých strategií.

Tyto strategie uvede výrobce a technická zkušebna posoudí jejich účinnost, aby bylo zajištěno bezpečné předání řízení ze systému zpět řidiči podle přílohy 4.

6.2.6

Deaktivace systému nesmí vést k automatickému přechodu na žádnou funkci, která zajišťuje nepřetržitý podélný a/nebo příčný pohyb vozidla (např. funkce automatického řízení kategorie B1).

Aby si po deaktivaci řidič přivykl na ovládání příčného pohybu, může být v činnosti funkce korektivního řízení, která postupně snižuje podporu ovládání příčného pohybu.

Bez ohledu na oba výše uvedené odstavce se při deaktivaci ALKS nesmí deaktivovat žádný jiný bezpečnostní systém poskytující podélnou nebo příčnou podporu v situacích bezprostředně hrozící srážky (např. vyspělý systém nouzového brzdění (AEBS), elektronické řízení stability (ESC), brzdový asistenční systém (BAS) nebo funkce nouzového řízení (ESF)).

6.2.7

Jakákoliv deaktivace musí být řidiči signalizována, jak je definováno v bodě 6.4.2.3.

6.3

Potlačení systému

6.3.1

Řidič svým zásahem do řízení potlačí funkci systému pro příčné ovládání, pokud jeho zásah překročí přiměřený limit stanovený proto, aby nemohlo dojít k neúmyslnému potlačení systému.

Tento limit je tvořen specifikovanou silou a dobou trvání a liší se v závislosti na parametrech, mezi něž patří kritéria pro ověření pozornosti řidiče, která se při zásahu řidiče kontrolují, jak je definováno v bodě 6.3.1.1.

Uvedené limity a odůvodnění veškerých odchylek se prokazuje technické zkušebně při posuzování podle přílohy 4.

6.3.1.1

Pozornost řidiče

Systém musí zjistit, zda je řidič pozorný. Má se za to, že řidič je pozorný, je-li splněna alespoň jedna z těchto podmínek:

a)	řidič má svůj pohled upřen primárně na silnici před sebou;

b)	řidič sleduje zpětná zrcátka nebo

c)	pohyb hlavy řidiče směřuje primárně k řízení.

Výrobce uvede specifikace pro potvrzení těchto nebo jiných stejně bezpečných kritérií a doloží je důkazy. Technická zkušebna tyto skutečnosti posoudí podle přílohy 4.

6.3.2

Zásah řidiče do ovládání brzd, který vede k vyššímu zpomalení, než jaké určuje systém, nebo k udržení vozidla v klidu pomocí jakéhokoliv brzdového systému, musí potlačit funkci systému pro podélné ovládání.

6.3.3

Působení řidiče na ovládání akcelerátoru může potlačit funkci systému pro podélné ovládání. Nesmí však vést k tomu, že systém přestane splňovat požadavky tohoto předpisu.

6.3.4

Veškeré působení řidiče na ovládání akcelerátoru nebo brzd musí okamžitě vyvolat požadavek na převzetí řízení podle bodu 5.4, pokud překročí přiměřený limit stanovený proto, aby nemohlo dojít k neúmyslnému zásahu.

6.3.5

Bez ohledu na ustanovení v bodech 6.3.1 až 6.3.3 může systém řidičův zásah do ovládání omezit nebo eliminovat, pokud v důsledku řidičova zásahu zjistil riziko bezprostřední srážky.

6.3.6

V případě vážné poruchy vozidla nebo ALKS může ALKS při potlačení systému postupovat podle různých strategií. Tyto strategie uvede výrobce a technická zkušebna posoudí jejich účinnost s ohledem na zajištění bezpečného předání řízení ze systému zpět řidiči.

6.3.7

Splnění ustanovení bodu 6.3 a jeho podbodů musí výrobce prokázat technické zkušebně při inspekci bezpečnostního přístupu v rámci posouzení podle přílohy 4.

6.4

Informovanost řidiče

6.4.1

Řidiči musí být signalizovány tyto informace:

a)	stav systému podle definice v bodě 6.4.2;

b)	veškeré poruchy ovlivňující činnost systému alespoň optickým signálem, není-li systém deaktivován (režim „vypnuto“);

požadavek na převzetí řízení alespoň optickým signálem a navíc také zvukovým a/nebo haptickým výstražným signálem.

Nejpozději do 4 s po zahájení požadavku na převzetí řízení se tento požadavek musí:

i)	projevovat nepřetržitou nebo přerušovanou haptickou výstrahou, ledaže vozidlo stojí a

ii)	stupňovat a zůstat tak, dokud není ukončen požadavek na převzetí řízení;

d)	manévr s minimálním rizikem alespoň optickým signálem a navíc také zvukovým a/nebo haptickým výstražným signálem a

e)	nouzový manévr optickým signálem.

Výše uvedené optické signály musí mít přiměřenou velikost a kontrast. Výše uvedené zvukové signály musí být hlasité a jasné.

6.4.2

Stav systému

6.4.2.1

Signalizace výpadku systému

V případě, že po záměrném úkonu řidiče je aktivace systému odepřena kvůli nedostupnosti systému, musí to být řidiči sděleno alespoň vizuálním signálem.

6.4.2.2

Zobrazení stavu systému, když je systém aktivován

Po aktivaci musí být stav systému (aktivní režim) řidiči zobrazen příslušným optickým signálem.

Optický signál musí tvořit jednoznačné označení zahrnující:

a)	ovladač řízení nebo vozidlo s doplňkovým „A“ nebo „AUTO“ nebo normalizovanými symboly podle předpisu OSN č. 121 a navíc

b)	snadno vnímatelný signál v poli periferního výhledu umístěný v blízkosti přímé osy pohledu řidiče směrem před vozidlo, např. nápadný signál na přístrojovém panelu nebo na ovládání řízení zabírající část vnějšího rámu volantu naproti řidiči.

Optický signál musí ukazovat, že je systém v činnosti, dokud není deaktivován (režim „vypnuto“).

Když je systém v běžném provozu, musí být optický signál konstantní, a při vyslání požadavku na převzetí řízení musí alespoň signál podle písmene b) změnit svůj projev, např. na přerušovaný signál nebo jinou barvu.

U přerušovaného signálu se použije nízká frekvence, aby upozornění nebylo pro řidiče nepřiměřeně rušivé.

Během fáze převzetí a manévru s minimálním rizikem může být signál podle písmene a) nahrazen pokynem k převzetí manuálního řízení podle bodu 6.4.3.

6.4.2.3

Zobrazení stavu systému, když je systém deaktivován

Při deaktivaci, když systém přejde z aktivního režimu do režimu „vypnuto“, to řidiči musí být signalizováno alespoň optickým výstražným signálem. Tento optický signál se projeví tak, že se nezobrazí optický signál použitý k signalizaci aktivního režimu nebo pokyn k převzetí manuálního řízení.

Kromě toho musí zaznít i zvukový výstražný signál, pokud systém nebyl deaktivován na základě požadavku na převzetí řízení, jehož součástí byl zvukový signál.

6.4.3

Fáze převzetí řízení a manévr s minimálním rizikem

Během fáze převzetí a manévru s minimálním rizikem musí systém intuitivním a jednoznačným způsobem řidiči signalizovat, aby převzal manuální řízení vozidla. Tento signál musí obsahovat obrázek zobrazující ruce a ovládání řízení a může jej provázet vysvětlující text nebo výstražné symboly, jako na níže uvedeném příkladu:

6.4.3.2

Při zahájení manévru s minimálním rizikem se daný signál musí změnit tak, aby řidiči zdůraznil naléhavost jeho zásahu, např. červeně blikajícím ovladačem řízení a zobrazením pohybujících se rukou na obrazovém signálu.

6.4.4

Bude-li stejně vhodné a vnímatelné, lze místo výše uvedených příkladů optických signálů použít jiné rozhraní. Jeho vhodnost prokazuje a dokládá výrobce. Technická zkušebna rozhraní posoudí podle přílohy 4.

6.4.5

Priorita pro výstrahy systému ALKS

Výstrahy, které ALKS vysílá během fáze převzetí, manévru s minimálním rizikem nebo nouzového manévru, mohou mít přednost před jinými výstrahami ve vozidle.

Pořadí priorit různých zvukových a optických výstrah během činnosti systému ALKS výrobce sdělí technické zkušebně při schvalování typu.

7. DETEKCE PŘEDMĚTŮ A UDÁLOSTÍ A ODEZVA

7.1

Požadavky na snímání

Vozidlo s ALKS musí být vybaveno takovým snímacím systémem, který dokáže rozpoznat prostředí, v němž se vozidlo pohybuje (např. geometrii vozovky před sebou, značení jízdního pruhu) a dynamiku provozu:

a)	po celé šířce svého jízdního pruhu, po celé šířce jízdního pruhu bezprostředně nalevo a napravo, až na hranici čelního detekčního dosahu;

b)	po celé délce vozidla a až na hranci bočního detekčního dosahu.

Požadavky uvedenými v tomto bodě nejsou dotčeny jiné požadavky tohoto předpisu, zejména bod 5.1.1.

7.1.1

Čelní detekční dosah

Výrobce udá čelní detekční dosah změřený od nejpřednějšího bodu vozidla. Udaná hodnota musí být nejméně 46 metrů.

Technická zkušebna ověří, zda je vzdálenost, na niž snímací systém vozidla během příslušné zkoušky podle přílohy 5 zjistí účastníka silničního provozu, stejná nebo větší než uvedená hodnota.

7.1.2

Boční detekční dosah

Výrobce uvede boční detekční dosah. Uvedený dosah musí postačovat k obsáhnutí celé šířky jízdního pruhu bezprostředně vlevo a jízdního pruhu bezprostředně vpravo od vozidla.

Technická zkušebna během příslušné zkoušky podle přílohy 5 ověří, zda snímací systém vozidla detekuje. Tento dosah musí být stejný jako dosah uvedený výrobcem nebo větší.

7.1.3

Systém ALKS musí používat strategie pro detekci a kompenzaci podmínek prostředí, které omezují jeho detekční dosah, např. znemožnění aktivace systému, deaktivace a předání řízení zpět řidiči, snížení rychlosti při nedostatečné dohlednosti. Tyto strategie musí být výrobcem popsány a posouzeny podle přílohy 4.

7.1.4

Výrobce vozidla musí prokázat, že účinky opotřebení a stárnutí po celou dobu životnosti systému/vozidla nesníží výkon snímacího systému pod minimální požadovanou hodnotu stanovenou v bodě 7.1.

7.1.5

Splnění ustanovení bodu 7.1 a jeho pododstavců se prokazuje technické zkušebně a přezkouší se podle příslušných zkoušek v příloze 5.

7.1.6

Jednorázová chyba snímání, při níž nedojde k poruše, by neměla přivodit nebezpečnou situaci. Výrobce vozidla musí popsat konstrukční strategie, jež zavedl, a jejich bezpečnost musí být prokázána ke spokojenosti technické zkušebny v souladu s přílohou 4.

8. SYSTÉM UKLÁDÁNÍ ÚDAJŮ PRO AUTOMATIZOVANÉ ŘÍZENÍ

8.1

Každé vozidlo vybavené systémem ALKS (dále jen „systém“) musí mít systém ukládání údajů pro automatizované řízení (dále jen „DSSAD“) splňující níže uvedené požadavky. Splnění ustanovení bodu 8 musí výrobce prokázat technické zkušebně při inspekci bezpečnostního přístupu v rámci posouzení podle přílohy 4.

Tímto předpisem nejsou dotčeny vnitrostátní a regionální právní předpisy upravující přístup k údajům, soukromí a ochranu údajů.

8.2

Zaznamenané výskyty

8.2.1

Každé vozidlo s DSSAD musí po aktivaci systému zaznamenávat alespoň jeden záznam pro každý z těchto výskytů:

a)	aktivace systému

deaktivace systému z důvodu:

i)	použití specifického zařízení k deaktivaci systému řidičem;

ii)	potlačení funkce systému řidičovým zásahem do ovládání řízení;

iii)	potlačení funkce systému v okamžiku, kdy řidič drží řízení a působí na ovládání akcelerátoru;

iv)	potlačení funkce systému v okamžiku, kdy řidič drží řízení a působí na ovládání brzd;

požadavek systému na převzetí řízení z důvodu:

i)	plánované události;

ii)	neplánované události;

iii)	nedostupnosti řidiče (podle bodu 6.1.3);

iv)	nepřítomnosti řidiče nebo toho, že nemá zapnut bezpečnostní pás (podle bodu 6.1.2);

v)	poruchy systému;

vi)	potlačení funkce systému působením na ovládání brzd;

vii)	potlačení funkce systému působením na ovládání akcelerátoru;

d)	omezení nebo eliminace řidičova zásahu;

e)	zahájení nouzového manévru;

f)	ukončení nouzového manévru;

g)	spuštění zapisovače údajů o události (EDR);

h)	zjištění nebezpečí srážky;

i)	zahájení manévru s minimálním rizikem ze strany systému;

j)	vážná porucha ALKS;

k)	vážná porucha vozidla;

8.3

Datové prvky

8.3.1

U každé události uvedené v bodě 8.2 musí DSSAD zaznamenat jasně identifikovatelným způsobem alespoň tyto datové prvky:

a)	druh výskytu, podle seznamu v bodě 8.2;

b)	případně důvod, proč k výskytu došlo, podle seznamu v bodě 8.2;

c)	datum (ve formátu: rrrr/mm/dd);

časové razítko:

i)	ve formátu: hh/mm/ss a časové pásmo, např. 12:59:59 UTC;

ii)	přesnost: +/– 1,0 s.

8.3.2

U každé události uvedené v bodě 8.2 musí být možné jasně identifikovat R157 SWIN systému ALKS nebo s ním související softwarové verze, které označují software, který byl v činnosti, když k události došlo.

8.3.3

Je-li v rámci časového rozlišení konkrétních datových prvků současně zaznamenáno více prvků, může být povoleno jednotné časové razítko. Je-li se stejným časovým razítkem zaznamenáno více prvků, musí být informace z jednotlivých prvků řazeny chronologicky.

8.4

Dostupnost údajů

8.4.1

Dostupnost údajů DSSAD se řídí požadavky vnitrostátních a regionálních právních předpisů (3).

8.4.2

Jakmile DSSAD dosáhne limitu pro uchovávání údajů, přepíší se stávající údaje výhradně postupem podle pravidla „first in, first out“, a to při dodržení příslušných požadavků na dostupnost údajů.

Kapacitu pro uchovávání údajů prokáže výrobce vozidla v dokumentaci.

8.4.3

Údaje musí být možné získat i po nárazu, jehož závažnost dosáhla úrovně stanovené předpisy OSN č. 94, 95 nebo 137. I když není k dispozici hlavní palubní zdroj napájení vozidla, musí být možné získat všechny údaje zaznamenané v DSSAD, v souladu s vnitrostátními a regionálními právními předpisy.

8.4.4

Údaje uložené v DSSAD musí být snadno čitelné standardizovaným způsobem prostřednictvím elektronického komunikačního rozhraní, přinejmenším prostřednictvím standardního rozhraní (port OBD).

8.4.5

Výrobce musí poskytnout pokyny pro přístup k údajům.

8.5

Ochrana před manipulací

8.5.1

Musí být zajištěna odpovídající ochrana před manipulací (např. vymazání údajů) s uloženými údaji, jako je např. konstrukční opatření proti neoprávněným úpravám.

8.6

Dostupnost funkce DSSAD

8.6.1

DSSAD musí dokázat komunikovat se systémem, aby jej mohl informovat, že je v činnosti

9. KYBERNETICKÁ BEZPEČNOST A AKTUALIZACE SOFTWARU

9.1

Účinnost systému nesmí být nepříznivě ovlivňována kybernetickými útoky, kybernetickými hrozbami a slabými místy. Účinnost bezpečnostních opatření se prokazuje zajištěním souladu s předpisem OSN č. 155.

9.2

Pokud systém umožňuje aktualizace softwaru, účinnost postupů a procesů aktualizace se prokazuje zajištěním souladu s předpisem OSN č. 156.

9.3

Požadavky na identifikaci softwaru

9.3.1

Aby bylo zajištěno, že software systému bude možné identifikovat, může výrobce vozidla použít R157 SWIN. Není-li použito R157 SWIN, musí být zaveden jiný systém identifikace softwaru (tj. číslo softwarové verze).

9.3.2

Pokud výrobce použije R157 SWIN, platí tato ustanovení:

9.3.2.1

Výrobce vozidla musí mít platné schválení podle předpisu OSN č. 156 (předpis o aktualizacích softwaru).

9.3.2.2

Výrobce vozidla musí ve formuláři sdělení podle tohoto předpisu poskytnout tyto informace:

R157SWIN;

b)	Vysvětlivky k číslu R157SWIN nebo verzi (verzím) softwaru, není-li číslo R157SWIN na vozidle.

9.3.2.3

Ve formuláři sdělení podle tohoto předpisu uvede výrobce vozidla seznam příslušných parametrů, podle nichž je možné identifikovat vozidla, která lze aktualizovat softwarem uvedeným pod číslem R157 SWIN. Poskytnuté informace uvádí výrobce vozidla a schvalovací orgán je neověřuje.

9.3.3

Výrobce vozidla může získat nové schválení vozidla, aby mohl softwarové verze pro vozidla, která jsou již na trhu registrována, odlišit od softwarových verzí v nových vozidlech. Může se jednat o situaci, kdy se aktualizují předpisy o schvalování typu nebo se mění hardware u vozidel v sériové výrobě. Po dohodě se zkušebnou je třeba se pokud možno vyhnout opakování zkoušek.

10. ZMĚNA TYPU VOZIDLA A ROZŠÍŘENÍ SCHVÁLENÍ TYPU

10.1

Každá změna stávajícího typu vozidla se musí oznámit schvalovacímu orgánu, který typ vozidla schválil.

Tento orgán pak může:

a)	po konzultaci s výrobcem rozhodnout, že je třeba udělit nové schválení typu, nebo

b)	postupovat podle bodu 10.1.1 (revize), případně podle bodu 10.1.2 (rozšíření).

10.1.1

Revize

Pokud byly změněny údaje zaznamenané v informačních dokumentech a schvalovací orgán usoudí, že provedené úpravy pravděpodobně nemají znatelné nepříznivé účinky a pedály v každém případě stále splňují požadavky, označí se změna jako „revize“.

V tom případě vydá schvalovací orgán podle potřeby revidované stránky informačních dokumentů a na každé revidované stránce zřetelně vyznačí povahu změny a datum nového vydání stránky.

Za splnění tohoto požadavku se považuje rovněž vydání konsolidované a aktualizované verze informačních dokumentů spolu s podrobným popisem změn.

10.1.2

Rozšíření

Jako „rozšíření“ se změna označuje v případě, že kromě změny údajů zaznamenaných v informačních dokumentech:

a)	jsou požadovány další kontroly nebo zkoušky, nebo

b)	se změní jakékoliv informace ve sdělení o schválení typu, s výjimkou jeho příloh, nebo

c)	se požaduje schválení podle pozdější série změn po jejím vstupu v platnost.

10.2

Potvrzení nebo odmítnutí schválení s uvedením změn se sdělí smluvním stranám dohody, které uplatňují tento předpis, postupem stanoveným v bodě 4.3 výše. Kromě toho musí být odpovídajícím způsobem změněn seznam informačních dokumentů a zkušebních protokolů připojený k formuláři sdělení podle přílohy 1, aby uváděl datum poslední revize nebo rozšíření.

10.3

Příslušný orgán, který vydává rozšíření schválení, přidělí každému formuláři sdělení vydanému pro takovéto rozšíření pořadové číslo.

11. SHODNOST VÝROBY

11.1

Postupy pro zajištění shodnosti výroby musí odpovídat postupům stanoveným v příloze 1 dohody z roku 1958 (E/ECE/TRANS/505/Rev.3) a splňovat tyto požadavky:

11.2

Každé vozidlo schválené podle tohoto předpisu musí být vyrobeno tak, aby bylo shodné se schváleným typem vozidla, tj. splňovalo požadavky tohoto předpisu.

11.3

Schvalovací orgán, který udělil schválení, může kdykoliv ověřit postupy pro kontrolu shodnosti, které se používají v každé výrobní jednotce. Obvyklá četnost těchto kontrol je jednou za dva roky.

12. POSTIHY ZA NESHODNOST VÝROBY

12.1

Schválení typu vozidla udělené podle tohoto předpisu může být odňato, nejsou-li splněny požadavky uvedené v bodě 8.

12.2

Pokud smluvní strana odejme schválení, které dříve udělila, neprodleně to zasláním formuláře sdělení odpovídajícího vzoru uvedenému v příloze 1 tohoto předpisu oznámí ostatním smluvním stranám, které tento předpis uplatňují.

13. DEFINITIVNÍ UKONČENÍ VÝROBY

13.1

Pokud držitel schválení zcela ukončí výrobu typu vozidla schváleného v souladu s tímto předpisem, informuje o tom schvalovací orgán, který udělil schválení, a ten o tom prostřednictvím formuláře sdělení odpovídajícího vzoru uvedenému v příloze 1 tohoto předpisu informuje ostatní smluvní strany dohody, jež tento předpis uplatňují.

13.2

Pokud výrobce vozidla hodlá získat další schválení aktualizací softwaru pro vozidla, jež jsou na trhu již registrována, nepovažuje se výroba za definitivně ukončenou.

14. Názvy a adresy technických zkušeben odpovědných za provádění schvalovacích zkoušek a názvy a adresy schvalovacích orgánů

Smluvní strany dohody, jež uplatňují tento předpis, sdělí sekretariátu Organizace spojených národů (4) názvy a adresy technických zkušeben odpovědných za provedení schvalovacích zkoušek a názvy a adresy schvalovacích orgánů, které schválení udělují a kterým se mají zasílat formuláře potvrzující schválení nebo rozšíření nebo odmítnutí nebo odnětí schválení.

(1) Podle definice v Úplném usnesení o konstrukci vozidel (R.E.3.), dokument ECE/TRANS/WP.29/78/Rev.6, bod 2 – www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29resolutions.html

(2) Rozlišovací čísla smluvních stran dohody z roku 1958 jsou uvedena v příloze 3 Úplného usnesení o konstrukci vozidel (R.E.3), dokument ECE/TRANS/WP.29/78/Rev. 6 – www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29resolutions.html

(3) Pozn.: na základě kvantitativní studie, kterou v nedávné době provedla jedna ze smluvních stran, má pracovní skupina pro automatizovaná/autonomní a propojená vozidla (GRVA) za to, že v textu lze počítat s vícero specifikacemi časových razítek pro 2 500 časových razítek odpovídajících 6 měsícům provozu.

(4) Prostřednictvím on-line platformy („/343 Application“) zajišťované EHK OSN, která slouží k výměně takových informací:https://www.unece.org/trans/main/wp29/datasharing.html

PŘÍLOHA 4

Zvláštní požadavky týkající se funkčních a provozních bezpečnostních hledisek systémů automatizovaného udržování vozidla v jízdním pruhu (ALKS)

1. OBECNĚ

Účelem této přílohy je zajistit, aby výrobce při projektování a vývoji náležitě pamatoval na přijatelné a důkladné posouzení funkční a provozní bezpečnosti automatizovaného systému, který zajišťuje funkce upravené předpisem o ALKS, a aby toto posouzení prováděl po celou dobu životnosti typu vozidla (návrh, vývoj, výroba, provoz, vyřazení z provozu).

Zahrnuje dokumentaci, kterou musí výrobce poskytnout schvalovacímu orgánu nebo technické zkušebně jednající jeho jménem (dále jen „schvalovací orgán“) pro účely schválení typu.

Tato dokumentace musí prokázat, že systém automatizovaného udržování vozidla v jízdním pruhu splňuje požadavky na výkonnost stanovené v tomto předpisu OSN a že je navržen a vyvinut tak, aby nepředstavoval nepřiměřené bezpečnostní riziko pro řidiče, cestující a ostatní účastníky silničního provozu.

Schvalovací orgán, který uděluje schválení typu, prostřednictvím cílených kontrol a zkoušek ověří, že argumentace uvedená v dokumentaci je dostatečně solidní a že výrobce skutečně uplatňuje koncepci a postupy popsané v dokumentaci.

Ačkoli na základě předané dokumentace, důkazů a auditů postupů / posouzení výrobků provedených ke spokojenosti schvalovacího orgánu z hlediska tohoto předpisu je zbytková úroveň rizika posuzovaného systému automatizovaného udržování vozidla v jízdním pruhu považována za přijatelnou, aby typ vozidla mohl být uveden do provozu, za celkovou bezpečnost vozidla během životnosti systému automatizovaného udržování vozidla v jízdním pruhu v souladu s požadavky tohoto předpisu stále odpovídá výrobce žádající o schválení typu.

2. DEFINICE

Pro účely této přílohy se použijí tyto definice:

2.1

„systémem“ se rozumí „systém elektronického řízení vyšší úrovně“ a jeho elektronický řídicí systém (systémy), který zajišťuje funkci automatizovaného řízení. To zahrnuje rovněž veškeré přenosové spoje do jiných systémů a z nich, přestože tyto systémy nespadají do působnosti tohoto předpisu, avšak mají vliv na funkci automatizovaného udržování vozidla v jízdním pruhu;

2.2

„koncepcí bezpečnosti“ je popis opatření navržených do systému, například v rámci elektronických jednotek k tomu, aby vozidlo při provozu nepředstavovalo nepřiměřené bezpečnostní riziko pro řidiče, cestující a ostatní účastníky silničního provozu jak při poruše, tak za normálního stavu. Součástí koncepce bezpečnosti musí být možnost přechodu k částečnému fungování nebo dokonce záložnímu systému zajišťujícímu nezbytné funkce vozidla;

2.3

2.4

systémy „elektronického řízení vyšší úrovně“ se rozumí systémy, které používají ustanovení o zpracování a/nebo snímání k realizaci dynamické funkce řízení;

2.5

„jednotkami“ se rozumí nejmenší části jednotlivých konstrukčních částí systému, jimiž se tato příloha zabývá, protože tyto kombinace konstrukčních částí budou pro účely identifikace, analýzy či výměny považovány za samostatné objekty;

2.6

„přenosovými spoji“ se rozumí prostředky využívané k propojení různě rozmístěných jednotek za účelem přenosu signálů, provozních dat či napájení. Obecně se jedná o elektrická zařízení, avšak některé jejich části mohou být mechanické, pneumatické či hydraulické;

2.7

„rozsah ovládání“ odkazuje na výstupní veličinu a definuje rozsah, v rámci něhož systém pravděpodobně uplatní funkce ovládání;

2.8

„hranice funkčního provozu“ definuje hranice vnějších fyzických možností, v rámci nichž je systém schopen provádět dynamickou funkci řízení (tj. včetně požadavků na převzetí řízení a manévrů s minimálním rizikem);

2.9

„provozně-konstrukční doména (ODD)“ systému automatizovaného udržování vozidla v jízdním pruhu definuje specifické provozní podmínky (např. okolní prostředí, geografická situace, denní doba, provoz, infrastruktura, rychlostní rozsah, počasí a další podmínky) v rámci mezí stanovených tímto předpisem, za nichž je systém automatizovaného udržování vozidla v jízdním pruhu navržen tak, aby fungoval bez zásahu řidiče;

2.10

„funkcí automatizovaného řízení“ se rozumí funkce „systému“, která je schopna provádět dynamickou funkci řízení vozidla;

2.11

„strategií řízení“ se rozumí strategie k zajištění spolehlivého a bezpečného provozu funkce (funkcí) „systému“ v reakci na konkrétní soubor okolních a/nebo provozních podmínek (jako je stav povrchu vozovky, intenzita provozu a ostatní účastníci silničního provozu, nepříznivé povětrnostní podmínky atd.). To může zahrnovat automatickou deaktivaci funkce nebo dočasné omezení výkonu (např. snížení maximální provozní rychlosti atd.);

2.12

„funkční bezpečností“ se rozumí neexistence nepřiměřených rizik, hrozí-li nebezpečí v důsledku chybného chování elektrických/elektronických systémů (bezpečnostní rizika vyplývající z poruch systému);

2.13

„vadou“ se rozumí neobvyklé podmínky, které mohou způsobit selhání prvku (systému, konstrukční části, softwaru) nebo položky (systému nebo kombinace systémů, které provádějí funkci vozidla);

2.14

„poruchou“ se rozumí situace, kdy se prvek nebo položka přestane chovat předpokládaným způsobem;

2.15

„provozní bezpečností“ se rozumí neexistence nepřiměřeného rizika, hrozí-li nebezpečí v důsledku funkčních nedostatků zamýšlené funkce (např. špatná/zmeškaná detekce), provozních komplikací (např. podmínek vytvářených prostředím, jako je mlha, déšť, stíny, sluneční světlo, nebo infrastrukturou) nebo důvodně předvídatelného nesprávného použití/chyby ze strany řidiče, cestujících a ostatních účastníků silničního provozu (bezpečnostní rizika – bez vad systému);

2.16

„nepřiměřeným rizikem“ se rozumí celková úroveň rizika pro řidiče, cestující ve vozidle a další účastníky silničního provozu, která je vyšší než u kompetentně a opatrně řízeného vozidla s manuálním ovládáním.

3. DOKUMENTACE

3.1

Požadavky

Výrobce musí předložit soubor dokumentace, který dává přehled o základní koncepci „daného systému“ a o prostředcích, pomocí kterých je tento systém propojen s ostatními systémy vozidla nebo kterými přímo ovládá výstupní proměnné.

Musí být vysvětlena/vysvětleny funkce „daného systému“, včetně strategií řízení, a koncepce bezpečnosti, jak jsou stanoveny výrobcem.

Dokumentace musí být stručná, avšak musí dokládat, že v rámci návrhu a vývoje bylo využito odborných znalostí ze všech oblastí daného systému, jež jsou zahrnuty.

Pro účely pravidelných technických prohlídek musí dokumentace popisovat, jakým způsobem lze zkontrolovat stav fungování „daného systému“.

Informace o tom, jak lze verzi (verze) softwaru a stav výstražného signálu poruchy přečíst standardizovaným způsobem prostřednictvím elektronického komunikačního rozhraní, přinejmenším prostřednictvím standardního rozhraní (port OBD).

Schvalovací orgán musí soubor dokumentace vyhodnotit, aby prokázal, že „daný systém“:

a)	je navržen a vyvinut tak, aby v rámci deklarované provozně-konstrukční domény a mezí nepředstavoval nepřiměřené riziko pro řidiče, cestující a ostatní účastníky silničního provozu;

b)	splňuje požadavky na výkonnost uvedené jinde v tomto předpisu OSN;

c)	byl vyvinut v souladu s vývojovým procesem/metodou podle prohlášení výrobce, přičemž byly dodrženy alespoň kroky uvedené v bodě 3.4.4.

3.1.1

Dokumentace se musí skládat ze tří částí:

a)	žádosti o schválení typu: informační dokument, který se předkládá schvalovacímu orgánu při podání žádosti o schválení typu, musí obsahovat stručné informace o položkách uvedených v dodatku 2. Stane se součástí schválení;

formálního souboru dokumentace pro schválení obsahujícího podklady uvedené v bodě 3 (s výjimkou podkladů uvedených v bodě 3.4.4), jenž musí být předložen schvalovacímu orgánu za účelem posouzení produktu / procesního auditu. Tento soubor dokumentace slouží schvalovacímu orgánu jako základ pro proces ověřování stanovený v bodě 4 této přílohy. Schvalovací orgán zajistí, aby byl tento soubor dokumentace k dispozici nejméně po dobu 10 let od okamžiku definitivního ukončení výroby typu vozidla;

dalších důvěrných údajů a analytických údajů (duševní vlastnictví) podle bodu 3.4.4, které uchovává výrobce, ale při posouzení produktu / procesního auditu je předloží ke kontrole (např. v prostorách technického úseku výrobce). Výrobce musí zajistit, aby tyto podklady a údaje analýzy zůstaly dostupné po dobu 10 let od doby, kdy byla výroba typu vozidla definitivně ukončena.

3.2

Popis funkcí „daného systému“ včetně ovládacích strategií

Musí být poskytnut popis s jednoduchým vysvětlením všech funkcí včetně ovládacích strategií „daného systému“ a metod používaných k provádění dynamické funkce řízení v rámci provozně-konstrukční domény a mezí, v rámci nichž má systém automatizovaného udržování vozidla v jízdním pruhu fungovat, včetně uvedení mechanismu (mechanismů), jimiž se provádí ovládání. Výrobce popíše očekávané interakce mezi systémem a řidičem, cestujícími ve vozidle a ostatními účastníky silničního provozu, jakož i rozhraní člověk-stroj (HMI).

Všechny aktivované nebo deaktivované funkce automatizovaného řízení, pro něž je ve vozidle v době výroby hardware a software, musí být uvedeny a před použitím ve vozidle splnit požadavky této přílohy. Jsou-li zavedeny algoritmy pro soustavné učení, zdokumentuje výrobce rovněž zpracování údajů.

3.2.1

Musí být předložen seznam všech vstupních a snímaných proměnných s definicemi jejich pracovního rozsahu a popisem toho, jak každá proměnná ovlivňuje chování systému.

3.2.2

Musí být předložen seznam všech výstupních proměnných, jež jsou ovládány „daným systémem“, a pro každý případ musí být vysvětleno, zda jsou řízeny přímo, nebo prostřednictvím jiného systému vozidla. U každé takové proměnné musí být vymezen rozsah ovládání (bod 2.7).

3.2.3

Musí být uvedeny meze definující hranice funkčního provozu včetně mezí provozně-konstrukční domény, jestliže jsou pro účinky systému automatizovaného udržování vozidla v jízdním pruhu relevantní.

3.2.4

Musí být vysvětlena koncepce interakce s řidičem při dosažení mezí provozně-konstrukční domény, včetně seznamu druhů situací, v nichž systém vyšle řidiči požadavek na převzetí řízení.

3.2.5

Musí být poskytnuty informace o tom, jakými prostředky se funkce systému aktivuje, potlačí nebo deaktivuje, včetně strategie na ochranu systému proti neúmyslné deaktivaci. Tyto informace musí rovněž uvádět, jak systém zjišťuje, že je řidič schopen převzít ovládání řízení, spolu se specifikacemi a dokumentovanými důkazy o parametru, který byl použit k vyhodnocení pozornosti řidiče a vlivu na mezní hodnoty řízení.

3.3

Uspořádání a schéma systému

3.3.1

Seznam konstrukčních částí

Musí být předložen seznam zahrnující všechny jednotky „daného systému“, kde budou uvedeny i ostatní systémy vozidla, jichž je zapotřebí k zajištění příslušné ovládací funkce.

Musí být předložen základní přehled, jenž tyto jednotky schematicky znázorní v jejich vzájemném spojení, přičemž z něj musí jasně vyplývat rozmístění jednotlivých zařízení i jejich vzájemná propojení.

Součástí tohoto základního přehledu je:

a)	vnímání a detekce objektů, včetně mapování a určování polohy;

b)	charakteristika rozhodování;

c)	dálkový dohled a monitorování ze strany střediska dálkového dohledu (v příslušných případech);

d)	systém ukládání údajů pro automatizované systémy (DSSAD).

3.3.2

Funkce jednotek

Musí být uvedena funkce každé jednotky „daného systému“ a uvedeny signály, které je spojují s jinými jednotkami nebo s jinými systémy vozidla. Tento přehled lze předložit v podobě označeného blokového nebo jiného schématu či formou popisu doplněného takovým schématem.

3.3.3

Jednotlivá propojení v rámci „daného systému“ se znázorní pomocí schématu obvodu v případě elektrických přenosových spojů, schématu potrubí v případě pneumatických či hydraulických přenosových zařízení a pomocí zjednodušeného schematického přehledu u mechanických spojů. Rovněž musí být znázorněny přenosové spoje do jiných systémů a z nich.

3.3.4

Mezi přenosovými spoji a signály přenášenými mezi jednotlivými jednotkami musí existovat jasný soulad. Priority signálů na multiplexovaných datových cestách musí být uvedeny všude, kde může priorita představovat problém ovlivňující účinnost či bezpečnost.

3.3.5

Identifikace jednotek

Každá jednotka musí být jasně a jednoznačně identifikovatelná (např. pomocí označení pro hardware a pomocí označení nebo softwarového výstupu pro softwarový obsah), aby jí bylo možné přiřadit odpovídající hardware a dokumentaci. Pokud lze verzi softwaru změnit, aniž by bylo nutné vyměnit označení nebo konstrukční část, musí být softwarová identifikace provedena pouze softwarovým výstupem.

V případech, kdy jsou funkce kombinovány v rámci jediné jednotky nebo v rámci jediného počítače, avšak z důvodu srozumitelnosti a názornosti znázorněny ve více blocích v blokovém schématu, použije se pouze jediné identifikační označení hardwaru. Výrobce použitím tohoto označení potvrzuje, že dodané zařízení je v souladu s odpovídajícím dokumentem.

3.3.5.1

Označení vymezuje verzi hardwaru a softwaru, přičemž v případě změny verze softwaru jako např. za účelem změny funkce jednotky, pokud jde o tento předpis, se změní i toto označení.

3.3.6

Montáž konstrukčních částí snímacího systému

Výrobce poskytne informace o variantách, jež budou k dispozici pro montáž jednotlivých konstrukčních částí tvořících snímací systém. Tyto varianty zahrnují mimo jiné umístění konstrukční části ve vozidle nebo na něm, materiál (materiály) obklopující konstrukční část, dimenzování a geometrii materiálu obklopujícího konstrukční část a povrchovou úpravu materiálů, které budou konstrukční část po namontování do vozidla obklopovat. Mezi informacemi nesmí chybět montážní specifikace, které mají zásadní význam pro účinnost systému, např. tolerance montážního úhlu.

Změny jednotlivých konstrukčních částí snímacího systému nebo montážní varianty se oznámí schvalovacímu orgánu a podléhají dalšímu posouzení.

3.4

Koncepce bezpečnosti výrobce

3.4.1

Výrobce poskytne prohlášení, v němž potvrdí, že „daný systém“ nepředstavuje pro řidiče, cestující a ostatní účastníky silničního provozu nepřiměřené riziko.

3.4.2

Pokud jde o software použitý v rámci „daného systému“, musí být vysvětlena jeho základní architektura a musí být uvedeny metody a nástroje použité při jeho návrhu (viz bod 3.5.1). Výrobce musí předložit doklady o prostředcích, jejichž pomocí při navrhování a vývoji stanovil provedení logiky systému.

3.4.3

Výrobce musí schvalovacímu orgánu poskytnout vysvětlení konstrukčních opatření integrovaných do „daného systému“ k zajištění funkční a provozní bezpečnosti. Příklady případných konstrukčních opatření v „daném systému“:

a)	omezení na provoz za použití pouze určité části systému;

b)	redundance s jiným samostatným systémem;

c)	odstranění funkce (funkcí) automatizovaného řízení.

3.4.3.1

Pokud se zvoleným opatřením nastaví provozní režim částečného výkonu za určitých poruchových podmínek (např. v případě závažných poruch), musí být tyto podmínky uvedeny (např. druh závažné poruchy) a musí být definovány z nich vyplývající meze účinnosti a výstražná strategie pro řidiče (např. okamžité zahájení manévru s minimálním rizikem).

3.4.3.2

Pokud se zvoleným opatřením nastaví druhotné (záložní) prostředky k zajištění realizace dynamické funkce řízení, musí být vysvětleny zásady mechanismu přepínání, logika a úroveň rezervy a veškeré integrované záložní prvky a musí být definována výsledná omezení účinnosti zálohy.

3.4.3.3

Pokud zvolené opatření znamená odstranění funkce automatizovaného řízení, musí být provedeno v souladu s příslušnými ustanoveními tohoto předpisu. Všechny odpovídající výstupní ovládací signály spojené s touto funkcí musí být zablokovány.

3.4.4

Dokumentace musí být podložena analýzou, která uceleným způsobem ukazuje, jak se bude systém chovat, aby zmírnil rizika, která mohou mít vliv na bezpečnost řidiče, cestujících a ostatních účastníků silničního provozu, nebo se těmto rizikům vyhnul.

Zvolený analytický přístup (přístupy) musí být zaveden a udržován výrobcem a při schvalování typu musí být zpřístupněn schvalovacímu orgánu ke kontrole.

Schvalovací orgán musí posoudit uplatnění analytického přístupu (přístupů):

a)	kontrola bezpečnostního přístupu na úrovni projekce (vozidla). Tento přístup musí být založen na analýze nebezpečí/rizik vhodné z hlediska aspektů bezpečnosti systému.

kontrola bezpečnostního přístupu na úrovni systému, včetně přístupu shora dolů (od možného nebezpečí po návrh) a zdola nahoru (od návrhu po možná nebezpečí). Bezpečnostní přístup může být založen na analýze způsobu selhání a jejich následků (FMEA), analýze pomocí stromové struktury příčin (FTA), systémově-teoretické analýze procesů (STPA) nebo na jiném podobném postupu, který je vhodný z hlediska funkční a provozní bezpečnosti systému;

kontrola plánů validace/ověřování a jejich výsledků, včetně vhodných kritérií přijatelnosti. To zahrnuje vhodné validační zkoušky, například pomocí modelování programem na hardwaru (HIL), provozní zkoušku vozidla na silnici, zkoušení se skutečnými konečnými uživateli nebo jakékoli jiné zkoušky vhodné pro validaci/ověření. Výsledky validace a ověřování lze posoudit analýzou oblastí, jichž se jednotlivé zkoušky týkaly, a stanovením minimálních prahových hodnot pro různá měření.

Kontrolou musí být potvrzeno, že písmena a) až c) výše se dle daného případu věnují alespoň každé z těchto položek:

i)	otázky související s interakcemi s jinými systémy vozidla (např. brzdový systém a řízení);

ii)	poruchy systému automatizovaného udržování vozidla v jízdním pruhu a reakce systému za účelem zmírnění rizika;

iii)

situace, které připouští provozně-konstrukční doména, při nichž systém může v důsledku provozních poruch vytvářet nepřiměřená bezpečnostní rizika pro řidiče, cestující a ostatní účastníky silničního provozu (např. nedostatečné nebo špatné porozumění prostředí, v němž se vozidlo nachází, nedostatečné pochopení reakce řidiče, cestujících nebo jiných účastníků silničního provozu, nedostatečná kontrola, komplikovaná situace);

iv)	stanovení příslušných scénářů v rámci mezních podmínek a řídicí metoda, jež byla použita k volbě scénářů a validačního nástroje;

v)	rozhodovací proces v souvislosti s výkonem dynamické funkce řízení (např. nouzové manévry), interakcemi s ostatními účastníky silničního provozu a zajištěním souladu s pravidly silničního provozu;

vi)	nesprávné použití ze strany řidiče, jež lze rozumně předvídat (např. systém rozpoznávání dostupnosti řidiče a vysvětlení, jak byla stanovena kritéria dostupnosti), chyby nebo nedorozumění ze strany řidiče (např. neúmyslné potlačení) a úmyslná manipulace se systémem;

vii)	kybernetické útoky s vlivem na bezpečnost vozidla (lze provést prostřednictvím analýzy provedené podle předpisu OSN č. 155 o kybernetické bezpečnosti a systému řízení kybernetické bezpečnosti).

Posouzení schvalovacím orgánem sestává z namátkových kontrol vybraných nebezpečí (nebo kybernetických hrozeb), aby bylo možné konstatovat, že argumentace, na níž je založena koncepce bezpečnosti, je pochopitelná a logická a uplatňuje se v jednotlivých funkcích systémů. Posouzení rovněž ověří, zda jsou plány validace dostatečně spolehlivé k prokázání bezpečnosti (např. přiměřený rozsah otestování zvolených scénářů pomocí vybraného validačního nástroje) a zda byly provedeny.

Musí se prokázat, že v rámci své provozně-konstrukční domény vozidlo nepředstavuje pro řidiče, cestující ve vozidle a ostatní účastníky silničního provozu nepřiměřené riziko, tj. prostřednictvím:

celkového validačního cíle (tj. kritérií přijatelnosti validace) podloženého výsledky validace, který prokazuje, že uvedení systému automatizovaného udržování vozidla v jízdním pruhu do provozu obecně pro řidiče, cestující ve vozidle a ostatní účastníky silničního provozu nezvýší míru rizika ve srovnání s manuálně řízenými vozidly a

b)	konkrétní strategie pro každý scénář ukazující, že v porovnání s manuálně řízenými vozidly systém obecně nezvýší míru rizika pro řidiče, cestující ve vozidle a ostatní účastníky silničního provozu, a to v každém ze scénářů, jenž jsou důležité z hlediska bezpečnosti; a

k ověření koncepce bezpečnosti provede schvalovací orgán zkoušky podle bodu 4 nebo si vyžádá, aby byly provedeny.

3.4.4.1

Tato dokumentace musí obsahovat podrobný seznam sledovaných parametrů a pro každý poruchový stav druhu vymezeného v bodě 3.4.4 této přílohy musí stanovit výstražný signál určený řidiči/cestujícím ve vozidle/ostatním účastníkům silničního provozu a/nebo servisním pracovníkům nebo pracovníkům provádějícím technickou prohlídku.

3.4.4.2

Tato dokumentace musí popsat zavedená opatření, která zajišťují, že „daný systém“ nepředstavuje nepřiměřené riziko pro řidiče, cestující ve vozidle a ostatní účastníky silničního provozu, jsou-li vlastnosti „daného systému“ ovlivněny podmínkami vnějšího prostředí, např. klimatem, teplotou, vniknutím prachu, vniknutím vody, nánosem ledu.

3.5

Systém řízení bezpečnosti (audit procesů)

3.5.1

Pokud jde o software a hardware používaný v „daném systému“, musí výrobce schvalovacímu orgánu prokázat, že pokud jde o systém řízení bezpečnosti, jsou zavedeny, aktualizovány a v rámci organizace dodržovány účinné postupy, metodiky a nástroje k řízení bezpečnosti a zajištění souladu během celého životního cyklu výrobku (návrh, vývoj, výroba, provoz včetně dodržování pravidel silničního provozu a vyřazení z provozu).

3.5.2

Musí být zaveden proces navrhování a vývoje, včetně systému řízení bezpečnosti, řízení a provádění požadavků, zkoušení, sledování poruch, nápravy a uvedení do provozu.

3.5.3

Výrobce zavede a udržuje účinné komunikační kanály mezi svými odděleními, jež odpovídají za funkční/provozní bezpečnost, kybernetickou bezpečnost a další příslušné oblasti přispívající k zajištění bezpečnosti vozidel.

3.5.4

Výrobce musí mít postupy pro monitorování bezpečnostních incidentů/nárazů/srážek způsobených činností systému automatizovaného udržování vozidla v jízdním pruhu a postup pro řešení případných bezpečnostních nedostatků po registraci (monitorování v terénu v uzavřeném okruhu) a pro aktualizaci vozidel. Tímto postupem se schvalovacímu orgánu hlásí kritické incidenty (např. střet s jinými účastníky silničního provozu a potenciální nedostatky důležité z hlediska bezpečnosti).

3.5.5

Výrobce musí prokázat, že se provádějí pravidelné nezávislé interní audity procesů, aby bylo zajištěno důsledné uplatňování postupů zavedených v souladu s body 3.5.1 až 3.5.4.

3.5.6

Výrobci přijmou vhodná opatření (např. smluvní ujednání, jasná rozhraní, systém řízení kvality) ve vztahu ke svým dodavatelům s cílem zajistit, aby systém řízení bezpečnosti u dodavatelů splňoval požadavky bodu 3.5.1 (kromě prvků týkajících se vozidel, jako jsou „provoz“ a „vyřazení z provozu“), 3.5.2, 3.5.3 a 3.5.5.

4. OVĚŘENÍ A ZKOUŠKY

4.1

Funkční provoz „daného systému“, jak je stanoven v dokumentech požadovaných v bodě 3, se zkouší takto:

4.1.1

Ověření funkce „daného systému“

Schvalovací orgán ověří „daný systém“ za bezporuchových podmínek tak, že na zkušební dráze otestuje některé z funkcí, jež výrobce popisuje v bodě 3.2, a zkontroluje celkové chování systému za skutečných jízdních podmínek včetně dodržování pravidel silničního provozu.

Při těchto zkouškách nesmí chybět scénář, při němž je funkce systému potlačena řidičem.

Zkoušky podle této přílohy musí přihlédnout ke zkouškám, které již byly provedeny podle přílohy 5 tohoto předpisu.

4.1.1.1

Výsledky ověření musí odpovídat popisu, včetně ovládacích strategií, který výrobce uvedl v bodě 3.2, a musí splňovat požadavky tohoto předpisu.

4.1.2

Ověření koncepce bezpečnosti podle bodu 3.4

Reakce „daného systému“ pod vlivem vad v jakékoli samostatné jednotce se musí zkontrolovat použitím odpovídajících výstupních signálů do elektrických jednotek nebo mechanických prvků za účelem simulace účinků vnitřních poruch v rámci dané jednotky. Schvalovací orgán musí tuto kontrolu provést nejméně u jedné samostatné jednotky, avšak nekontroluje reakci „daného systému“ na současné vícenásobné poruchy samostatných jednotek.

Schvalovací orgán musí ověřit, že tyto zkoušky zahrnují prvky, které mohou ovlivňovat řiditelnost vozidla a informace pro uživatele (prvky týkající se rozhraní člověk–stroj, např. scénáře při převzetí řízení).

4.1.2.1

Schvalovací orgány rovněž zkontrolují řadu scénářů, které jsou kritické pro detekci předmětů a událostí a odezvu na ně a pro charakterizaci rozhodovacích funkcí a funkcí HMI systému (např. obtížně zjistitelný předmět, dosažení mezí provozně-konstrukční domény, scénáře s komplikovaným provozem), jak jsou definovány v tomto předpisu.

4.1.2.2

Výsledky ověření se musí shodovat s doloženým shrnutím analýzy nebezpečí na úrovni celkového účinku tak, aby byly koncepce bezpečnosti a její realizace potvrzeny jako přiměřené a v souladu s požadavky tohoto předpisu.

4.2

Simulační nástroj a matematické modely lze k ověření koncepce bezpečnosti použít v souladu s rozpisem 8 připojeným k dohodě z roku 1958 (revize 3), zejména u scénářů, které nelze snadno provést na zkušební dráze nebo v podmínkách skutečného provozu. Výrobce prokáže rozsah simulačního nástroje, jeho vhodnost pro dotčený scénář, jakož i validaci provedenou pro řetězec simulačních nástrojů (korelace výsledku s fyzickými zkouškami).

5. PODÁVÁNÍ ZPRÁV

Protokoly o hodnocení musí být vyhotoveny tak, aby umožňovaly zpětnou zjistitelnost, např. verze kontrolovaných dokumentů jsou kódovány a uvedeny v záznamech technické zkušebny.

Příklad možného uspořádání způsobu hodnocení technickou zkušebnou určeného pro schvalovací orgán je uveden v dodatku 1 k této příloze. Položky uvedené v tomto dodatku jsou uvedeny jako minimální soubor položek, které je třeba obsáhnout.

6. SDĚLENÍ OSTATNÍM SCHVALOVACÍM ORGÁNŮM (DODATEK 2) OBSAHUJÍCÍ:

a)	popis provozně-konstrukční domény a funkční architektury vyšší úrovně zaměřený na funkce, jež jsou k dispozici řidiči, cestujícím ve vozidle a ostatním účastníkům silničního provozu;

b)	zkušební výsledky z procesu ověřování provedeného schvalovacími orgány.

7. ZPŮSOBILOST AUDITORŮ/HODNOTITELŮ

Posouzení podle této přílohy provádějí pouze auditoři/hodnotitelé, kteří mají pro tyto účely nezbytné technické a administrativní znalosti. Zejména musí být způsobilí jako auditoři/hodnotitelé pro účely normy ISO 26262-2018 (Funkční bezpečnost – silniční vozidla) a ISO/PAS 21448 (Bezpečnost zamýšlené funkce silničních vozidel); a musí být schopni provést nezbytné provázání s aspekty kybernetické bezpečnosti v souladu s předpisem OSN č. 155 a normou ISO/SAE 21434). Způsobilost by měla být prokázána vhodnou kvalifikací nebo jinými rovnocennými záznamy o odborné přípravě.

Dodatek 1

Vzor formuláře pro posouzení systému automatizovaného udržování vozidla v jízdním pruhu

Zkušební protokol č.: …

Identifikace

1.1

Značka: …

1.2

Typ vozidla: …

1.3

Způsob označení systému na vozidle: …

1.4

Umístění tohoto označení: …

1.5

Název a adresa výrobce: …

1.6

Název a adresa případného zástupce výrobce…

1.7

Formální soubor dokumentace výrobce:

Referenční číslo dokumentace: …

Datum původního vydání: …

Datum poslední aktualizace: …

Popis systému (systémů) zkoušeného vozidla (zkoušených vozidel)

2.1

Obecný popis: …

2.2

Popis všech řídicích funkcí „daného systému“ a způsobů činnosti: …

2.3

Popis konstrukčních částí a schémata jednotlivých propojení v „daném systému“:

Koncepce bezpečnosti výrobce

3.1

Popis toku signálů, pracovních dat a jejich priorit: …

3.2

Prohlášení výrobce:

Výrobce (výrobci) … potvrzuje (potvrzují), že „daný systém“ nepředstavuje nepřiměřené riziko pro řidiče, cestující ve vozidle a ostatní účastníky silničního provozu.

3.3

Základní architektura softwaru a metody a nástroje použité při jeho návrhu: …

3.4

Vysvětlení koncepce bezpečnosti „daného systému“:…

3.5

Dokumentované analýzy chování „daného systému“ při jednotlivých nebezpečích nebo poruchách: …

3.6

Popis opatření zavedených s ohledem na podmínky vnějšího prostředí: …

3.7

Ustanovení pro pravidelnou technickou prohlídku „daného systému“:…

3.8

Výsledky ověřovací zkoušky „daného systému“ podle bodu 4.1.1 přílohy 4 předpisu OSN č. 157:…

3.9

Výsledky ověřovací zkoušky koncepce bezpečnosti podle bodu 4.1.2 přílohy 4 předpisu OSN č. 157: …

3.10

Datum zkoušky/zkoušek: …

3.11

Tato zkouška byla provedena a její výsledky byly zaznamenány do protokolu podle ... předpisu OSN č. 157 naposledy pozměněného sérií změn ...

Technická zkušebna provádějící zkoušky:

Podpis: …Datum: …

3.12

Poznámky: …

Dodatek 2

Formulář informačního dokumentu pro systémy automatizovaného udržování vozidla v jízdním pruhu, který výrobce předkládá při schválení typu

1. POPIS SYSTÉMU AUTOMATIZOVANÉHO UDRŽOVÁNÍ VOZIDLA V JÍZDNÍM PRUHU

1.1

Provozně-konstrukční doména (rychlost, typ silnice, země, okolní prostředí, stav vozovky atd.) / Mezní/hlavní podmínky pro manévry s minimálním rizikem a požadavky na převzetí řízení …

1.2

Základní vlastnosti (např. detekce předmětů a událostí a odezva...) …

1.3

Prostředky, jimiž se funkce systému aktivuje, potlačí nebo deaktivuje. …

2. POPIS FUNKCÍ „DANÉHO SYSTÉMU“ VČETNĚ OVLÁDACÍCH STRATEGIÍ

2.1

Hlavní funkce automatizovaného řízení (funkční architektura, vnímání okolního prostředí). …

2.1.1

Funkce uvnitř vozidla…

2.1.2

Externí funkce (např. backend) …

3. PŘEHLED HLAVNÍCH KONSTRUKČNÍCH ČÁSTÍ (JEDNOTEK) „DANÉHO SYSTÉMU“

3.1

Řídicí jednotky …

3.2

Čidla …

3.3

Mapy/určování polohy …

4. USPOŘÁDÁNÍ A SCHÉMA SYSTÉMU

4.1

Schematické znázornění uspořádání systému včetně čidel pro vnímání okolního prostředí (např. blokové schéma) …

4.2

Seznam a schematický přehled jednotlivých propojení (např. blokové schéma) …

5. SPECIFIKACE

5.1

Prostředky ke kontrole řádného provozního stavu systému …

5.2

Prostředky k ochraně proti snadné neoprávněné aktivaci / použití a proti zásahům do systému …

6. KONCEPCE BEZPEČNOSTI

6.1

Bezpečný provoz – prohlášení výrobce vozidla …

6.2

Základní architektura softwaru (např. blokové schéma) …

6.3

Prostředky, jimiž se určuje provedení logiky systému …

6.4

Obecné vysvětlení hlavních konstrukčních opatření zabudovaných do „daného systému“ za účelem zajištění bezpečného provozu a interakce s ostatními účastníky silničního provozu při poruchách, provozních výpadcích a při výskytu plánovaných či neplánovaných okolností překračujících meze provozně-konstrukční domény. …

6.5

Obecný popis hlavních zásad řešení poruch, strategie fungování v nouzovém režimu včetně strategie zmírňování rizik (manévr s minimálním rizikem) …

6.6

Interakce mezi řidičem, cestujícími ve vozidle a ostatními účastníky silničního provozu, včetně výstražných signálů a požadavků na převzetí řízení určených řidiči. …

6.7

Ověření, v němž výrobce potvrdí, že jsou splněny požadavky na výkonnost uvedené jinde v tomto předpisu, včetně detekce předmětů a událostí a odezvy (OEDR), rozhraní člověk-stroj (HMI), dodržování pravidel silničního provozu a závěru, že systém je navržen tak, aby nepředstavoval nepřiměřené riziko pro řidiče, cestující ve vozidle a ostatní účastníky silničního provozu. …

7. OVĚŘENÍ A ZKOUŠKY PROVÁDĚNÉ ORGÁNY

7.1

Ověření základní funkce „daného systému“…

7.2

Příklady pro ověření toho, jak systém reaguje pod vlivem poruchy nebo provozních výpadků, za nouzových podmínek a mezních podmínek …

8. SYSTÉM UKLÁDÁNÍ ÚDAJŮ

8.1

Druh ukládaných údajů …

8.2

Umístění úložiště …

8.3

Zaznamenané události a datové prvky, prostředky k zajištění bezpečnosti a ochrany údajů …

8.4

Prostředky pro přístup k údajům …

9. KYBERNETICKÁ BEZPEČNOST (JE MOŽNÉ ODKÁZAT NA PŘEDPIS O KYBERNETICKÉ BEZPEČNOSTI)

9.1

Všeobecný popis systému řízení kybernetické bezpečnosti a softwarových aktualizací …

9.2

Všeobecný popis rizik a opatření zavedených za účelem jejich zmírnění. …

9.3

Všeobecný popis postupu pro aktualizace …

10. USTANOVENÍ TÝKAJÍCÍ SE INFORMOVÁNÍ UŽIVATELŮ

10.1

Vzor informací poskytovaných uživatelům (včetně úkolů, které se od řidiče očekávají v rámci mezí provozně-konstrukční domény a při jejich překročení. …

10.2

Výňatek z příslušné části příručky uživatele…

Dodatek 3

Pokyny ke scénářům pro komplikovaný provoz, které jsou kritické z hlediska ALKS

1. OBECNĚ

1.1

Tento dodatek objasňuje odvozovací postup s cílem vymezit podmínky, za nichž musí systémy automatizovaného udržování vozidla v jízdním pruhu (ALKS) zabránit srážce. Podmínky, za nichž musí ALKS zabránit srážce, jsou určeny obecným simulačním programem, který pracuje s modelem pozorného lidského řidiče a souvisejícími parametry ve scénářích s kritickými komplikacemi provozu.

2. SCÉNÁŘE S KRITICKÝMI KOMPLIKACEMI PROVOZU

2.1

Při scénářích s kritickými komplikacemi provozu panují takové podmínky, za nichž je možné, že ALKS nedokáže zabránit srážce.

2.2

Níže jsou uvedeny tři scénáře s kritickými komplikacemi provozu:

a)	zařazení na těsno: „jiné vozidlo“ se náhle zařadilo těsně před „zkoušené vozidlo“;

b)	vybočení: „jiné vozidlo“ náhle opustilo jízdní pruh, v němž se pohybuje „zkoušené vozidlo“;

c)	zpomalení: „jiné vozidlo“ náhle zpomalilo před „zkoušeným vozidlem“.

2.3

Každý z těchto scénářů s kritickými komplikacemi provozu lze vytvořit pomocí těchto parametrů/prvků:

a)	geometrie vozovky;

b)	chování/manévry ostatních vozidel.

3. VÝKONNOSTNÍ MODEL SYSTÉMU ALKS

3.1

Scénáře s kritickými komplikacemi provozu z hlediska ALKS se dělí na scénáře, kterým lze zabránit a kterým zabánit nelze. Hranice mezi těmito dvěma typy scénářů je stanovena na základě simulace chování kvalifikovaného a pozorného lidského řidiče. Očekává se, že některým scénářům, které jsou z lidského hlediska „nevyhnutelné“, může systém ALKS ve skutečnosti dokázat zabránit.

3.2

U scénářů s nízkou rychlostí ALKS se předpokládá, že model řidiče bude schopen srážce zabránit pouze brzděním. Model řidiče je rozdělen do těchto tří segmentů: „vnímání“, „rozhodnutí“ a „reakce“. Následující schéma je vizuálním znázorněním těchto segmentů:

3.3

K určení podmínek, za nichž musí systémy automatizovaného udržování vozidla v jízdním pruhu (ALKS) zabránit srážce, by měly být jako výkonnostní model pro ALKS použity faktory výkonnostního modelu pro tyto tři segmenty uvedené v následující tabulce, přičemž se zohledňuje chování pozorných lidských řidičů využívajících pokročilé asistenční systémy.

Tabulka 1

Faktory výkonnostního modelu pro vozidla

		Faktory
Bod vnímání rizika	Změna jízdního pruhu (těsné zařazení, vybočení)	odchýlení středu vozidla od středu jízdního pruhu o více než 0,375 m (na základě výzkumu provedeného Japonskem)
	Zpomalení	Poměr mezi zpomalením vpředu jedoucího vozidla a bezpečným odstupem zkoušeného vozidla
Doba posuzování rizika		0,4 sekundy (na základě výzkumu provedeného Japonskem)
Doba mezi ukončením vnímání a začátkem zpomalení		0,75 sekundy (běžně dostupné údaje v Japonsku)
Prodleva před plným zpomalením (adheze vozovky 1,0)		0,6 s až 0,774 G (na základě pokusů provedených agenturou NHTSA a Japonskem)
Prodleva do plného zpomalení (poté, co vozidlo dokončilo těsné zařazení před zkoušené vozidlo, adheze vozovky 1,0)		0,6 s až 0,85 G (na základě předpisu OSN č. 152 o vyspělých systémech záchranného brzdění, AEBS)

3.4

Modelace řidiče pro tři scénáře zkoušení ALKS

3.4.1

Scénář se zařazením na těsno:

Příčný pohyb vozidla uvnitř jízdního pruhu běžně nepřesahuje 0,375 m.

Vyhodnocení situace jako zařazení na těsno nastane v případě, že vozidlo překročí běžnou vzdálenost, v rámci níž se příčně pohybuje v jízdním pruhu (pravděpodobně před skutečnou změnou jízdního pruhu).

Vzdálenost a. je vnímaná vzdálenost na základě doby vnímání [a]. Definuje boční vzdálenost, při jejímž dosažení je situace vyhodnocena, tak, že se vozidlo zařazuje na těsno. Tato vzdálenost a. se vypočítá z následujícího vzorce:

a. = rychlost příčného pohybu x doba vnímání rizika [a] (0,4 s)

Doba vnímání rizika začíná, jakmile vpředu jedoucí vozidlo překročí mezní hodnotu zařazení na těsno.

Maximální rychlost příčného pohybu vychází ze skutečných údajů shromážděných v Japonsku.

Doba vnímání rizika [a] vyplývá z údajů získaných ze simulátorů řízení vozidel v Japonsku.

2 s* je maximální doba do srážky (TTC). Byl učiněn závěr, že při nižší hodnotě existuje nebezpečí srážky v podélném směru.

Pozn.:

Hodnota TTC = 2,0 s byla zvolena na základě pokynů v předpisu OSN o výstražných signálech.

3.4.2

Scénář s vyjetím z jízdního pruhu:

Příčný pohyb vozidla uvnitř jízdního pruhu běžně nepřesahuje 0,375 m.

Vyhodnocení situace jako vyjetí z jízdního pruhu nastane v případě, že vozidlo překročí běžnou vzdálenost, v rámci níž se příčně pohybuje v jízdním pruhu (pravděpodobně před skutečnou změnou jízdního pruhu).

Doba vnímání rizika [a], jež činí 0,4, začíná, jakmile vpředu jedoucí vozidlo překročí mezní hodnotu vyjetí z jízdního pruhu.

Doba 2 s je maximální doba definovaná volným prostorem před vozidlem (THW). Byl učiněn závěr, že při nižší hodnotě existuje nebezpečí srážky v podélném směru.

Pozn.:

Hodnota THW = 2,0 s byla zvolena podle předpisů a pokynů jiných zemí.

3.4.3

Scénář se zpomalením:

Doba vnímání rizika [a] je 0,4 s. Doba vnímání rizika [a] začíná, jakmile vpředu jedoucí vozidlo překročí mezní hodnotu zpomalení, která činí 5m/s2.

4. PARAMETRY

4.1

Při popisu struktury scénářů s kritickými komplikacemi provozu v oddíle 2.1 jsou nezbytné níže uvedené parametry.

4.2

Podle provozního prostředí je možné přidat doplňkové parametry (např. míra tření vozovky, zakřivení vozovky, světelné podmínky).

Tabulka 2

Doplňkové parametry

Provozní podmínky	Vozovka	Počet jízdních pruhů = počet souběžných k sobě přiléhajících jízdních pruhů ve stejném směru jízdy Šířka jízdního pruhu = šířka každého jízdního pruhu Sklon vozovky = sklon vozovky na zkušebním úseku Stav vozovky = stav vozovky (suchá, mokrá, zledovatělá, pokrytá sněhem, nová, opotřebovaná) včetně koeficientu tření Značení jízdního pruhu = typ, barva, šířka, viditelnost značení jízdního pruhu
Provozní podmínky	Podmínky prostředí	Světelné podmínky = intenzita a směr světla (den, noc, slunečno, zataženo) Povětrnostní podmínky = množství, druh a intenzita větru, deště, sněhu atd.
Počáteční podmínky	Počáteční rychlost	Ve0 = zkoušené vozidlo
		Vo0 = vozidlo jedoucí vpředu ve stejném nebo sousedním jízdním pruhu
		Vf0 = vozidlo před vozidlem jedoucím vpředu ve stejném jízdním pruhu
	Počáteční vzdálenost	dx0 = vzdálenost v podélném směru mezi předním okrajem zkoušeného vozidla a zadním okrajem vozidla jedoucího vpředu ve stejném pruhu jako zkoušené vozidlo nebo v sousedním jízdním pruhu
		dy0 = vnitřní příčná vzdálenost mezi vnější hranou zkoušeného vozidla rovnoběžně se střední podélnou rovinou vozidla v jízdních pruzích a vnější hranou vozidla jedoucího vpředu rovnoběžně se střední podélnou rovinou vozidla v sousedních pruzích.
		dy0_f = vnitřní příčná vzdálenost mezi vnější hranou vozidla jedoucího vpředu rovnoběžně se střední podélnou rovinou vozidla v jízdních pruzích a vnější hranou vozidla před vozidlem jedoucím vpředu rovnoběžně se střední podélnou rovinou vozidla v sousedních pruzích.
		dx0_f = vzdálenost v podélném směru mezi předním koncem vozidla jedoucího vpředu a zadním koncem vozidla před vozidlem jedoucím vpředu
		dfy = šířka vozidla před vozidlem jedoucím vpředu
		doy = šířka vozidla jedoucího vpředu
		dox = délka vozidla jedoucího vpředu
Pohyb vozidel	Příčný pohyb	Vy = rychlost příčného pohybu vozidla jedoucího vpředu
	Zpomalení	Gx_max = maximální zpomalení vozidla jedoucího vpředu, v G
	Zpomalení	dG/dt = míra zpomalení (trhnutí) vozidla jedoucího vpředu

4.3

Obrázek 5 znázorňuje parametry pro uvedené tři typy scénářů

5. ODKAZ

Následující datové listy na příkladech znázorňují simulace, které určují podmínky, za nichž musí systém ALKS zabránit srážce, přičemž se zohledňuje kombinace každého parametru při maximální povolené rychlosti vozidla s ALKS a nižší rychlosti.

5.1

Zařazení na těsno

(Zobrazení datových listů)

5.2

Vyjetí z jízdního pruhu

Při THW 2,0 s se lze vyhnout všem zpomalujícím (stojícím) vozidlům před vozidlem jedoucím vpředu, které vyjíždí z pruhu.

(Zobrazení datových listů)

5.3

Zpomalení

Při THW 2,0 s lze zabránit náhlému zpomalení ve výši –1,0 G nebo méně za této provozní situace:

(Zobrazení datových listů)

(Zobrazení datových listů)

PŘÍLOHA 5

Zkušební specifikace systémů automatizovaného udržování vozidla v jízdním pruhu (ALKS)

1. ÚVOD

Tato příloha definuje zkoušky k ověření toho, zda jsou splněny technické požadavky na ALKS.

Dokud nebudou schválena zvláštní ustanovení o zkouškách, zajistí technická zkušebna, aby byl ALKS podroben alespoň zkouškám uvedeným v příloze 5. Technická zkušebna zvolí zvláštní zkušební parametry pro každou zkoušku a zaznamená je do zkušebního protokolu tak, aby bylo možné zkušební sestavu zpětně vysledovat a opakovat.

Kritéria vyhovění a nevyhovění při zkouškách jsou odvozena výhradně z technických požadavků v bodech 5 až 7 tohoto předpisu. Tyto požadavky jsou formulovány tak, aby na jejich základě bylo možné odvodit kritéria vyhovění a nevyhovění nejen pro daný soubor zkušebních parametrů, ale i pro jakoukoli kombinaci parametrů, za níž má systém fungovat (např. rozsah provozní rychlosti, rozsah provozního bočního zrychlení, rozsah zakřivení, jak jsou stanoveny v mezích pro činnost systému).

Zkušební specifikace v této příloze představují minimum požadované od souboru zkoušek. Technické zkušebny mohou provést jakoukoli jinou zkoušku v rámci mezí systému a následně porovnat naměřené výsledky s požadavky (konkrétní výsledek, který se od zkoušky očekává).

2. DEFINICE

Pro účely této přílohy se použijí tyto definice:

2.1

„dobou do srážky (TTC)“ se rozumí doba, jež se rovná podílu podélné vzdálenosti (ve směru jízdy zkoušeného vozidla) mezi zkoušeným vozidlem a cílem a podélné relativní rychlosti zkoušeného vozidla a cíle v jakémkoli okamžiku;

2.2

„posunem“ se rozumí vzdálenost mezi střední podélnou rovinou vozidla a podélnou střední rovinou příslušného cíle ve směru jízdy, měřená na vozovce, normalizovaná na polovinu šířky vozidla bez zařízení pro nepřímý výhled a korigovaná přičtením 50 %;

2.3

„cílovým objektem – chodcem“ se rozumí měkký cíl, který představuje chodce;

2.4

„cílem – osobním automobilem“ se rozumí cíl, který představuje osobní vozidlo;

2.5

„cílem – jednostopým motorovým vozidlem (PTW)“ se rozumí kombinace motocyklu a jeho řidiče.

3. OBECNÉ ZÁSADY

3.1

Zkušební podmínky

3.1.1

Zkoušky se provádějí za podmínek (např. prostředí, geometrie silnice), při nichž lze aktivovat ALKS.

3.1.2

Jsou-li k provedení zkoušek nutné systém upravit, např. kritéria posouzení typu silnice nebo informace o typu silnice (mapové údaje), musí být zajištěno, aby tyto úpravy neměly vliv na výsledky zkoušek. V zásadě je třeba tyto úpravy zdokumentovat a připojit ke zkušebnímu protokolu. Popis těchto úprav a důkazy o jejich vlivu (existuje-li) musí být zdokumentovány a připojeny ke zkušebnímu protokolu.

3.1.3

Aby bylo dosažené kýženého výsledku zkoušky, musí zkušební povrch musí umožňovat adhezi alespoň na úrovni požadované daným scénářem.

3.1.4

Zkušební cíle

3.1.4.1

Jako cíl se při zkouškách detekce vozidla použije běžné sériově vyráběné vozidlo kategorie M nebo N, případně „měkký cíl“ představující vozidlo, pokud jde o jeho detekční vlastnosti týkající se systému čidel systému ALKS zkoušeného podle normy ISO 19206-3:2018. Referenční bod pro umístění vozidla musí být nejzadnější bod na střednici vozidla.

3.1.4.2

Při zkouškách s jednostopým motorovým vozidlem se jako cíl použije zařízení odpovídající normě ISO CD 19206-5 nebo typově schválený sériově vyráběný motocykl kategorie L3 se zdvihovým objemem motoru nepřesahujícím 600 cm3. Referenční bod pro umístění motocyklu musí být nejzadnější bod na střednici motocyklu.

3.1.4.3

Při zkouškách detekce chodce se použije „kloubový měkký cíl“, který svými vlastnostmi představuje náhražku lidského těla a je použitelný pro systém čidel zkoušeného systému ALKS podle normy ISO 19206-2:2018.

3.1.4.4

Podrobnosti, které umožní přesně identifikovat a reprodukovat cíl (cíle), musí být zaznamenány v dokumentaci ke schválení typu vozidla.

3.2

Variace zkušebních parametrů

Výrobce technické zkušebně oznámí, jaké jsou meze systému. Technická zkušebna musí definovat různé kombinace zkušebních parametrů (např. rychlost vozidla s ALKS, typ a posun cíle, zakřivení jízdního pruhu), aby obsáhla scénáře, v nichž se má systém vyhnout srážce a případně také scénáře, kdy se neočekává, že se srážce podaří zabránit.

Považuje-li to za odůvodněné, může technická zkušebna navíc zkoušet jakoukoli jinou kombinaci parametrů.

Nelze-li u některých parametrů zkoušky zabránit srážce, musí výrobce prokázat buď dokumentací, nebo pokud možno ověřením/zkouškou, že systém bezdůvodně nepřepíná svou strategii řízení.

4. ZKUŠEBNÍ SCÉNÁŘE PRO POSOUZENÍ VÝKONNOSTI SYSTÉMU PŘI PROVÁDĚNÍ DYNAMICKÉ FUNKCE ŘÍZENÍ

4.1

Udržování vozidla v jízdním pruhu

4.1.1

Zkouška musí prokázat, že ALKS neopouští jízdní pruh a udržuje stabilní polohu uvnitř svého jízdního pruhu v rámci celé škály rychlostí a různých poloměrů zakřivení, které nepřekračují meze systému.

4.1.2

Minimální požadavky na provedení zkoušky:

a)	nesmí trvat méně než 5 minut;

b)	cíle musí představovat osobní automobil a jednostopé motorové vozidlo (vozidlo jedoucí vpředu / další vozidlo);

c)	vozidlo jedoucí vpředu musí vybočovat z jízdního pruhu a

d)	další vozidlo musí jet na stejné úrovni v sousedním jízdním pruhu.

4.2

Zabránění střetu s uživatelem silničního provozu nebo předmětem blokujícím jízdní pruh

4.2.1

Zkouška musí prokázat, že i při své maximální specifikované rychlosti dokáže systém ALKS zabránit srážce se stojícím vozidlem, účastníkem silničního provozu nebo předmětem zcela nebo částečně blokujícím jízdní pruh.

4.2.2

Minimální požadavky na provedení zkoušky:

a)	s cílem v podobě stojícího osobního automobilu;

b)	s cílem v podobě stojícího jednostopého motorového vozidla;

c)	s cílem v podobě stojícího chodce;

d)	s cílem v podobě chodce přecházejícího jízdní pruh rychlostí 5 km/h;

e)	s cílem představujícím zablokovaný jízdní pruh;

f)	s cílem, který částečně zasahuje do jízdního pruhu;

g)	s několika po sobě následujícími překážkami blokujícími jízdní pruh (např. v tomto pořadí: zkoušené vozidlo – motocykl – automobil);

h)	na točitém úseku silnice

4.3

Jízda za vozidlem jedoucím vpředu

4.3.1

Zkouška musí prokázat, že ALKS dokáže udržovat a obnovit požadovanou bezpečnou vzdálenost od vozidla jedoucího vpředu a zabránit střetu, pokud před ním toto vozidlo brzdí až do maximálního zpomalení.

4.3.2

Minimální požadavky na provedení zkoušky:

a)	obsáhnout celou škálu rychlostí systému ALKS;

b)	jako cíl použít osobní automobil i jednostopé motorové vozidlo jakožto vozidla jedoucí vpředu, pokud je k dispozici normalizované jednostopé motorové vozidlo vhodné k bezpečnému provedení zkoušky;

c)	zkoušet při konstantní a proměnlivé rychlosti vozidel jedoucích vpředu (např. podle realistického rychlostního profilu získaného z databází se záznamy o řízení);

d)	zkoušet na rovných i točitých úsecích silnice;

e)	zkoušet při různých příčných polohách vozidla jedoucího vpředu v jízdním pruhu;

f)	zkoušet při průměrném zpomalení vozidla jedoucího vpředu ve výši alespoň 6 m/s2 až do zastavení.

4.4

Vjetí jiného vozidla do jízdního pruhu

4.4.1

Zkouška musí prokázat, že ALKS dokáže zabránit srážce s vozidlem, které se do jízdního pruhu vozidla s ALKS zařazuje tak na těsno, že se do určité míry jedná o kritický manévr.

4.4.2

Kritičnost vjetí do jízdního pruhu se určí podle TTC, podélné vzdálenosti mezi nejzadnějším bodem vjíždějícího vozidla a nejpřednějším bodem vozidla s ALKS, příčné rychlosti vjíždějícího vozidla a jeho podélného pohybu, jak je definováno v bodě 5.2.5 tohoto předpisu.

4.4.3

Při této zkoušce je třeba dodržet alespoň tyto podmínky:

a)	různé hodnoty TTC, hodnoty vzdálenosti a relativní rychlosti vjetí do jízdního pruhu na těsno, přičemž je třeba realizovat jak scénáře, při nichž lze při takovém vjetí do jízdního pruhu srážce zabránit, tak scénáře, kdy srážce zabránit nelze;

b)	vozidla při vjetí do jízdního pruhu na těsno musí jet konstantní podélnou rychlostí, zrychlovat a zpomalovat;

c)	při různé příčné rychlosti a příčných zrychleních vozidla, které se na těsno zařazuje do jízdního pruhu;

d)	jako cíl použít osobní automobil i jednostopé motorové vozidlo jakožto vozidla, která se na těsno zařazují do jízdního pruhu, pokud je k dispozici normalizované jednostopé motorové vozidlo vhodné k bezpečnému provedení zkoušky;

4.5

Statická překážka poté, co vozidlo jedoucí vpředu změnilo jízdní pruh

4.5.1

Zkouška musí prokázat, že ALKS dokáže zabránit srážce se stojícím vozidlem, účastníkem silničního provozu nebo překážkou blokující jízdní pruh, které se objevily poté, co vozidlo jedoucí vpředu zabránilo srážce úhybným manévrem.

4.5.2

Minimální požadavky na provedení zkoušky:

a)	s cílem v podobě osobního automobilu stojícího uprostřed jízdního pruhu;

b)	s cílem v podobě jednostopého motorového vozidla uprostřed jízdního pruhu;

c)	s cílem v podobě chodce stojícího uprostřed jízdního pruhu;

d)	s cílem představujícím překážku blokující jízdní pruh;

e)	s několika po sobě následujícími překážkami blokujícími jízdní pruh (např. v tomto pořadí: zkoušené vozidlo – vozidlo měnící jízdní pruh – motocykl – automobil).

4.6

Zkouška vyhodnocení zorného pole

4.6.1

Zkouška musí prokázat, že ALKS dokáže detekovat jiného účastníka silničního provozu v rámci přední detekční oblasti až po hranici deklarovaného předního detekčního dosahu a vozidlo nacházející se vedle v rámci postranní detekční oblasti, a to alespoň po celé šířce sousedního jízdního pruhu.

4.6.2

Minimální požadavky na provedení zkoušky čelního detekčního dosahu:

a)	přiblížení k cíli v podobě motocyklu umístěného na vnějším okraji každého sousedního jízdního pruhu;

b)	přiblížení k cíli v podobě chodce stojícího na vnějším okraji každého sousedního jízdního pruhu;

c)	přiblížení ke stojícímu cíli v podobě motocyklu umístěného v jízdním pruhu zkoušeného vozidla;

d)	přiblížení k cíli v podobě chodce stojícího v jízdním pruhu zkoušeného vozidla.

4.6.3

Minimální požadavky na provedení zkoušky bočního detekčního dosahu:

a)	cíl v podobě motocyklu se k vozidlu s ALKS přibližuje z levého sousedního jízdního pruhu;

b)	cíl v podobě motocyklu se k vozidlu s ALKS přibližuje z pravého sousedního jízdního pruhu;

5. DODATEČNÉ OVĚŘENÍ

5.1

(Vyhrazeno)

5.2

Při schválení typu výrobce prokáže a technická zkušebna posoudí, že jsou splněna tato ustanovení:

Zkouška/kontrola

6.2.2

režim „vypnuto“ po nastartování motoru

6.2.3

systém lze aktivovat pouze tehdy, pokud

a)	řidič je na svém sedadle a má zapnutý bezpečnostní pás;

b)	řidič je k dispozici;

c)	nenastala žádná porucha;

d)	systém ukládání údajů pro automatizované řízení (DSSAD) je v činnosti;

e)	Podmínky nepřekračují meze systému.

6.2.1

6.2.4

6.2.5

6.2.6

Způsoby deaktivace

Specifické prostředky k aktivaci a deaktivaci

ochrana proti neúmyslnému jednání

Řízení

a)	řidič drží volant a brzdí nebo zrychluje;

b)	řidič drží volant v reakci na požadavek na převzetí řízení a manévr s minimálním rizikem;

c)	po deaktivaci.

6.3

Způsoby potlačení funkce systému

a)	ovládání řízení;

b)	řidič brzdí intenzivněji než systém;

c)	zrychlení na rychlost, která je v rámci mezí systému.

6.1.3.1

Kritéria pro posouzení dostupnosti řidiče

5.1.3

Systémy pro podporu řízení jsou v činnosti

6.3.1.1

Pozornost řidiče

5.5

Chování systému při manévru s minimálním rizikem

a)	řidič přebírá řízení;

b)	zastavení (výstražná světla);

c)	po zastavení nelze reaktivovat.

5.1.4

5.1.5

5.4

Chování systému při požadavku na převzetí řízení, stupňování požadavku

Řidič přebírá řízení

Řidič nereaguje (manévr s minimálním rizikem)

a)	plánované převzetí;

b)	neplánované převzetí.

6.1.2

6.1.3

5.4

Požadavek na převzetí řízení za provozu

Překročení systémových parametrů

Porucha

a)	zjistitelná srážka;

b)	řidič nepřítomen.

5.3

Chování systému při nouzovém manévru

a)	vede k zastavení;

b)	nevede k zastavení.

7.1

7.1.1

7.1.2

Detekční oblasti systému

Přední

Boční

7.1.3

Viditelnost

5.3

Považuje-li to za odůvodněné, může technická zkušebna provést posouzení dalších zkušebních případů. Může se jednat o tyto případy:

a)	rozdvojení dálničních pruhů ve tvaru Y;

b)	vozidla vjíždějí na dálnici nebo z ní sjíždějí;

c)	jízdní pruh zkoušeného vozidla je částečně zablokován, tunel;

semafory;

e)	pohotovostní vozidla;

f)	práce na silnici;

g)	značení jízdního pruhu opotřebované, smazané nebo skryté;

h)	provoz řídí pracovníci tísňových služeb nebo údržby;

i)	změna vlastností silnice (konec rozdělení, povolen pohyb chodců, kruhový objezd, křižovatka);

j)	obnovení běžné plynulosti provozu (tj. všechna vozidla se pohybují rychlostí větší než 60 km/h).

5.4

Zkouška v reálném provozu

Technická zkušebna provede posouzení systému, v bezchybném stavu, za provozu (zkouška v reálném provozu) nebo na provedení takového posouzení dohlíží. Tato zkouška se provádí, aby technická zkušebna mohla lépe porozumět fungování systému v jeho provozním prostředí a doplnit posouzení dokumentace předložené podle přílohy 4.

Posouzení podle přílohy 4 a zkouška v reálném provozu umožní technické zkušebně určit oblasti, u nichž může výkonnost systému vyžadovat další posouzení, a to buď prostřednictvím zkoušek nebo dalšího přezkumu přílohy 4.

Při posuzování v reálném provozu posoudí technická zkušebna alespoň tyto prvky:

a)	zablokování aktivace, je-li systém mimo své technické meze/požadavky na ALKS;

b)	dodržování pravidel silničního provozu;

c)	odezva na plánovanou událost;

d)	odezva na neplánovanou událost;

e)	detekce přítomnosti jiných účastníků silničního provozu v rámci čelního a bočního detekčního dosahu;

f)	chování vozidla vůči ostatním účastníkům silničního provozu (bezpečná vzdálenost, scénář těsného najetí do jízdního pruhu, scénář s vyjetím z jízdního pruhu atd.).

g)	Potlačení funkce systému

Zkušební trasu a její umístění, denní dobu a podmínky okolního prostředí stanoví technická zkušebna.

Zkušební jízda se zaznamená a zkušební vozidlo musí být osazeno zařízením, které není zdrojem rušení. Považuje-li to za nezbytné pro hodnocení po zkoušce, může technická zkušebna zaznamenávat všechny datové kanály, které systém používá nebo generuje, nebo požádat o záznam těchto datových kanálů.

Doporučuje se, aby byla zkouška v reálném provozu provedena, až systém zvládne ostatní zkoušky uvedené v této příloze a technická zkušebna dokončí posouzení rizik.

Země	Posouzení provedeno	Poznámky k případným omezením
E 1 Německo	ano/ne
E 2 Francie
E 3 Itálie
E 4 Nizozemsko
E 5 Švédsko
E 6 Belgie
E 7 Maďarsko
E 8 Česká republika
E 9 Španělsko
E 10 Srbsko
E 11 Spojené království
E 12 Rakousko
E 13 Lucembursko
E 14 Švýcarsko
E 16 Norsko
E 17 Finsko
E 18 Dánsko
E 19 Rumunsko
E 20 Polsko
E 21 Portugalsko
E 22 Ruská federace
E 23 Řecko
E 24 Irsko
E 25 Chorvatsko
E 26 Slovinsko
E 27 Slovensko
E 28 Bělorusko
E 29 Estonsko
E 30 Moldavská republika
E 31 Bosna a Hercegovina
E 32 Lotyšsko
E 34 Bulharsko
E 35 Kazachstán
E 36 Litva
E 37 Turecko
E 39 Ázerbájdžán
E 40 Severní Makedonie
E 43 Japonsko
E 45 Austrálie
E 46 Ukrajina
E 47 Jihoafrická republika
E 48 Nový Zéland
E 49 Kypr
E 50 Malta
E 51 Korejská republika
E 52 Malajsie
E 53 Thajsko
E 54 Albánie E 55 Arménie
E 56 Černá Hora
E 57 San Marino
E 58 Tunisko
E 60 Gruzie
E 62 Egypt
E 63 Nigérie
[E 64 Pákistán]
(*)