This document is an excerpt from the EUR-Lex website
Document 32022R1426
Commission Implementing Regulation (EU) 2022/1426 of 5 August 2022 laying down rules for the application of Regulation (EU) 2019/2144 of the European Parliament and of the Council as regards uniform procedures and technical specifications for the type-approval of the automated driving system (ADS) of fully automated vehicles (Text with EEA relevance)
Kommissionens gennemførelsesforordning (EU) 2022/1426 af 5. august 2022 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) 2019/2144 for så vidt angår ensartede procedurer og tekniske specifikationer for typegodkendelse af det automatiserede kørselssystem (ADS) i fuldautomatiske køretøjer (EØS-relevant tekst)
Kommissionens gennemførelsesforordning (EU) 2022/1426 af 5. august 2022 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) 2019/2144 for så vidt angår ensartede procedurer og tekniske specifikationer for typegodkendelse af det automatiserede kørselssystem (ADS) i fuldautomatiske køretøjer (EØS-relevant tekst)
C/2022/5402
EUT L 221 af 26.8.2022, p. 1–64
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
26.8.2022 |
DA |
Den Europæiske Unions Tidende |
L 221/1 |
KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2022/1426
af 5. august 2022
om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) 2019/2144 for så vidt angår ensartede procedurer og tekniske specifikationer for typegodkendelse af det automatiserede kørselssystem (ADS) i fuldautomatiske køretøjer
(EØS-relevant tekst)
EUROPA-KOMMISSIONEN HAR ––
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2019/2144 af 27. november 2019 om krav til typegodkendelse af motorkøretøjer og påhængskøretøjer dertil samt systemer, komponenter og separate tekniske enheder til sådanne køretøjer for så vidt angår deres generelle sikkerhed og beskyttelsen af køretøjspassagerer og bløde trafikanter og om ændring af Europa-Parlamentets og Rådets forordning (EU) 2018/858 og ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 78/2009, forordning (EF) nr. 79/2009 og forordning (EF) nr. 661/2009 og Kommissionens forordning (EF) nr. 631/2009, (EU) nr. 406/2010, (EU) nr. 672/2010, (EU) nr. 1003/2010, (EU) nr. 1005/2010, (EU) nr. 1008/2010, (EU) nr. 1009/2010, (EU) nr. 19/2011, (EU) nr. 109/2011, (EU) nr. 458/2011, (EU) nr. 65/2012, (EU) nr. 130/2012, (EU) nr. 347/2012, (EU) nr. 351/2012, (EU) nr. 1230/2012 og (EU) 2015/166 (1), særlig artikel 11, stk. 2, og
ud fra følgende betragtninger:
|
(1) |
Det er nødvendigt at vedtage gennemførelseslovgivningen for typegodkendelse af det automatiserede kørselssystem i fuldautomatiske køretøjer, navnlig de systemer, der er anført i artikel 11, stk. 1, litra a), b), d) og f), i forordning (EU) 2019/2144. Systemer til overvågning af førerens tilgængelighed bør ikke finde anvendelse på fuldautomatiske køretøjer i overensstemmelse med artikel 11, stk. 1, i forordning (EU) 2019/2144. Desuden er det harmoniserede format for udveksling af data til f.eks. konvojkørsel med køretøjer af forskellige mærker stadig underlagt standardiseringsaktiviteter og vil ikke blive medtaget i denne forordning på nuværende tidspunkt. Godkendelsen af de automatiserede kørselssystemer i automatiserede køretøjer bør ikke være omfattet af denne forordning, da det er hensigten, at de skal omfattes med en henvisning til FN-regulativ nr. 157 om systemer til automatisk vognbaneassistance (2) i bilag I til forordning (EU) 2019/2144, der indeholder en liste over de FN-regulativer, som finder obligatorisk anvendelse i EU. |
|
(2) |
For så vidt angår typegodkendelse af fuldautomatiske køretøjer bør typegodkendelsen af deres automatiserede kørselssystem i henhold til denne forordning suppleres med de krav, der er fastsat i bilag II, del I, tillæg 1, til Europa-Parlamentets og Rådets forordning (EU) 2018/858 (3). Som det næste skridt vil Kommissionen fortsætte bestræbelserne på at videreudvikle og senest juli 2024 vedtage de nødvendige krav til EU-typegodkendelse af fuldt automatiserede køretøjer fremstillet i ubegrænsede serier. |
|
(3) |
Vurderingen af det automatiserede kørselssystem i fuldautomatiske køretøjer som foreslået i denne forordning er i høj grad baseret på de trafikscenarier, der er relevante for de forskellige anvendelser af fuldautomatiske køretøjer. Det er derfor nødvendigt at definere disse forskellige brugsscenarier. Der bør regelmæssigt foretages en gennemgang af sådanne brugsscenarier og om nødvendigt en ændring heraf for at dække yderligere brugsscenarier. |
|
(4) |
Det oplysningsskema, der er omhandlet i artikel 24, stk. 1, litra a), i forordning (EU) 2018/858, og som fabrikanten skal fremlægge med henblik på typegodkendelse af det automatiserede kørselssystem i fuldautomatiske køretøjer, bør baseres på den model, der er fastsat for typegodkendelse af et helt køretøj i bilag II til Kommissionens gennemførelsesforordning (EU) 2020/683 (4). For at sikre en konsekvent tilgang er det imidlertid nødvendigt at udtrække de angivelser i oplysningsskemaet, som er relevante for typegodkendelse af det automatiserede kørselssystem i fuldautomatiske køretøjer. |
|
(5) |
I betragtning af kompleksiteten af automatiserede kørselssystemer er det nødvendigt at supplere kravene til ydeevne og prøvningerne i denne forordning med dokumentation fra fabrikanten, der viser, at det automatiserede kørselssystem ikke indebærer urimelige sikkerhedsrisici for køretøjspassagererne under de relevante scenarier og i hele ADS-systemets levetid. I denne forbindelse er det nødvendigt at fastsætte det sikkerhedsstyringssystem, som fabrikanterne skal indføre, at fastsætte de parametre, som fabrikanterne og myndighederne skal anvende i de trafikscenarier, der er relevante for det automatiserede kørselssystem, at fastsætte kriterier for vurdering af, om fabrikantens sikkerhedskoncept tager højde for de relevante trafikscenarier, farer og risici, og at fastsætte kriterier for vurdering af fabrikantens valideringsresultater, navnlig valideringsresultater fra virtuelle værktøjskæder. Endelig er det nødvendigt at specificere de relevante driftsdata, som fabrikanten skal indberette til de typegodkendende myndigheder. |
|
(6) |
Den EU-typegodkendelsesattest og addendummet hertil, der er omhandlet i artikel 28, stk. 1, i forordning (EU) 2018/858, og som udstedes for det automatiserede kørselssystem i fuldautomatiske køretøjer, bør baseres på de modeller, der er fastsat i bilag III til gennemførelsesforordning (EU) 2020/683. For at sikre en konsekvent tilgang er det imidlertid nødvendigt at udtrække de angivelser i typegodkendelsesattesten og addendummet hertil, som er relevante for typegodkendelse af det automatiserede kørselssystem i fuldautomatiske køretøjer. |
|
(7) |
Med forbehold af bestemmelserne i forordning (EU) 2018/858 og relevant EU-lovgivning berører denne forordning ikke medlemsstaternes ret til at regulere ibrugtagningen og sikkerheden ved drift af fuldautomatiske køretøjer i trafikken og sikkerheden ved drift af disse køretøjer i lokale transporttjenester. Medlemsstaterne er ikke forpligtet til at på forhånd at fastsætte områder, ruter eller parkeringsfaciliteter i henhold til denne forordning. Motorkøretøjer, der er omfattet af denne forordning, kan kun anvendes inden for anvendelsesområdet i artikel 1. |
|
(8) |
Foranstaltningerne i denne forordning er i overensstemmelse med udtalelse fra Det Tekniske Udvalg for Motorkøretøjer — |
VEDTAGET DENNE FORORDNING:
Artikel 1
Anvendelsesområde
Denne forordning finder anvendelse på typegodkendelse af fuldautomatiske køretøjer i klasse M og N for så vidt angår deres automatiserede kørselssystem i forbindelse med følgende brugerscenarier:
|
a) |
fuldautomatiske køretøjer, herunder køretøjer med dobbelt funktionsmåde, der er udformet og konstrueret til befordring af passagerer eller godstransport i et foruddefineret område |
|
b) |
»hub-to-hub«: fuldautomatiske køretøjer, herunder køretøjer med dobbelt funktionsmåde, der er udformet og konstrueret til befordring af passagerer eller godstransport på en foruddefineret rute med faste start- og slutpunkter på en rejse/tur |
|
c) |
»automatisk parkeringsservice«: køretøjer med dobbelt funktionsmåde med fuldautomatisk kørsel til parkeringsanvendelser i foruddefinerede parkeringsfaciliteter. Systemet kan anvende ekstern infrastruktur (f.eks. lokaliseringsmarkører, perceptionssensorer osv.) i parkeringsfaciliteten til at udføre den dynamiske kørselsopgave. |
Fabrikanten kan ansøge om individuel typegodkendelse eller typegodkendelse i henhold til denne forordning af det automatiserede kørselssystem i køretøjer som defineret i artikel 2, stk. 3, i forordning (EU) 2018/858, forudsat at disse køretøjer opfylder kravene i nærværende forordning.
Artikel 2
Definitioner
Ud over definitionerne i forordning (EU) 2018/858 og forordning (EU) 2019/2144 gælder følgende definitioner i denne forordning:
|
1) |
»automatiseret kørselssystem« (ADS): hardware og software, der tilsammen er i stand til at udføre hele DDT på et vedvarende grundlag i et specifikt operationelt designdomæne (ODD) |
|
2) |
»ADS-funktionalitet«: en ADS-hardware- og -softwareapplikation, der er specifikt udformet til brug inden for et operationelt designdomæne (ODD) |
|
3) |
»ADS-funktion«: en ADS-hardware- og -softwareapplikation, der er udformet til at udføre en bestemt del af DDT |
|
4) |
»dynamisk kørselsopgave (DDT)«: alle driftsfunktioner og taktiske funktioner i realtid, der er nødvendige for at drive køretøjet, bortset fra strategiske funktioner såsom rejseplanlægning og valg af destinationer og waypoints, herunder uden begrænsning følgende delopgaver:
|
|
5) |
»driftsfunktioner« relateret til DDT: funktioner, der udføres over en tidskonstant på millisekunder, herunder opgaver såsom styreinput for at holde køretøjet inden for en vognbane eller bremsning for at undgå en opdukkende fare |
|
6) |
»taktiske funktioner« relateret til DDT: funktioner, der udføres over en tidskonstant på sekunder, herunder opgaver såsom valg af vognbane, »gap acceptance« og overhaling |
|
7) |
»fejl«: unormal tilstand, der kan medføre et svigt. Dette kan vedrøre hardware eller software |
|
8) |
»svigt«: ophør af en komponents eller et ADS-systems tilsigtede funktion som følge af en fejl |
|
9) |
»overvågning efter ibrugtagning«: data indsamlet af fabrikanten og data fra andre kilder for at få dokumentation for ADS-systemets driftssikkerhed på området |
|
10) |
»rapportering efter ibrugtagning«: data, der indberettes af fabrikanten for at dokumentere ADS-systemets driftssikkerhed på området |
|
11) |
»ADS-systemets levetid«: den periode, hvor ADS-systemet er tilgængeligt på køretøjet |
|
12) |
»ADS-systemets livscyklus«: den periode, der forløber fra design, udvikling, produktion, feltdrift og service til udfasning |
|
13) |
»fejlfunktion«: et svigt i eller en komponents eller et ADS-systems utilsigtede funktion i forhold til hensigten med konstruktionen |
|
14) |
»minimal risikomanøvre (MRM)«: en manøvre, der har til formål at minimere risici i trafikken ved at standse køretøjet i sikker tilstand (dvs. minimale risikoforhold) |
|
15) |
»minimale risikoforhold (MRC)«: en stabil tilstand, hvor køretøjet holder stille, som reducerer risikoen for kollision |
|
16) |
»operationelt designdomæne (ODD)«: driftsforhold, hvorunder et givet ADS er specifikt konstrueret til at fungere, herunder, men ikke begrænset til, miljømæssige, geografiske og tidsmæssige begrænsninger og/eller den krævede tilstedeværelse eller det krævede fravær af visse trafik- og vejegenskaber |
|
17) |
»detektering af genstande og hændelser samt reaktion herpå (OEDR)«: delopgaver af den dynamiske kørselsopgave, som omfatter overvågning af kørselsmiljøet og udførelse af en passende reaktion. Dette omfatter detektering, genkendelse og klassificering af genstande og hændelser og forberedelse og udførelse af reaktioner efter behov |
|
18) |
»scenarie«: en sekvens eller kombination af situationer, der anvendes til at vurdere sikkerhedskravene til et ADS-system |
|
19) |
»nominelle trafikscenarier«: situationer, som med rimelighed kan forudses i ADS, når systemet opererer inden for dets ODD. Disse scenarier er ADS-systemets ikkekritiske interaktioner med andre trafikanter under normale driftsforhold |
|
20) |
»kritiske scenarier«: scenarier vedrørende kanttilfælde (f.eks. uventede forhold med en usædvanlig lav sandsynlighed for forekomst) og operationelle mangler, der ikke er begrænset til trafikforhold, men som også omfatter miljøforhold (f.eks. kraftig regn eller lavtstående sol, der blænder), menneskelige faktorer, konnektivitet og dårlig kommunikation, der fører til nøddrift af ADS |
|
21) |
»svigtscenarier«: scenarier i forbindelse med svigt i ADS og/eller køretøjskomponenter, som kan føre til normal drift eller nøddrift af ADS, afhængigt af om minimumssikkerhedsniveauet opretholdes |
|
22) |
»normal drift«: ADS-systemets drift inden for nærmere angivne driftsgrænser og -forhold med henblik på udførelse af den tilsigtede aktivitet |
|
23) |
»nøddrift«: ADS-systemets drift i forbindelse med hændelser, der kræver øjeblikkelig handling for at afbøde negative konsekvenser for menneskers sundhed eller materiel skade |
|
24) |
»operatør i køretøjet«: hvor det er relevant for ADS-sikkerhedskonceptet, en person, der befinder sig inde i det fuldautomatiske køretøj, og som kan:
I ovennævnte situationer må operatøren i køretøjet ikke drive det fuldautomatiske køretøj, og ADS skal fortsat udføre DDT. |
|
25) |
»fjernoperatør«: personer, der befinder sig uden for det fuldautomatiske køretøj, og som på afstand kan udføre de opgaver, der påhviler operatøren i køretøjet, hvor det er relevant for ADS-sikkerhedskonceptet, såfremt det er sikkert. Fjernoperatøren må ikke drive det fuldautomatiske køretøj, og ADS skal fortsat udføre DDT. |
|
26) |
»fjernfunktioner«: funktioner, der er specifikt udformet til at understøtte fjernbetjening |
|
27) |
» R2022/1426 softwareidentifikationsnummer (R2022/1426 SWIN)«: en dedikeret identifikator, der er defineret af fabrikanten, og som repræsenterer oplysninger om den typegodkendelsesrelevante software i ADS, der bidrager til ADS-systemets typegodkendelsesrelevante egenskaber |
|
28) |
»urimelig risiko«: det samlede risikoniveau for køretøjspassagererne og andre trafikanter, som øges sammenlignet med et manuelt drevet køretøj i sammenlignelige transporttjenester og situationer inden for det operationelle designdomæne |
|
29) |
»funktionel sikkerhed«: fravær af urimelige risici i forbindelse med farer, der skyldes fejlfunktion |
|
30) |
»driftssikkerhed«: fravær af urimelig risiko i forbindelse med farer, der skyldes funktionelle mangler ved den tilsigtede funktionalitet (f.eks. falsk/manglende detektion), driftsforstyrrelser (f.eks. miljøforhold som tåge, regn, skygger, sollys, infrastruktur) eller opstår som følge af med rimelighed forudseelig misbrug/fejl foretaget af køretøjspassagererne og andre trafikanter (dvs. sikkerhedsrisici — uden systemfejl) |
|
31) |
»kontrolstrategi«: en strategi, der skal sikre en robust og sikker drift af ADS som reaktion på et bestemt sæt af omgivelses- og/eller driftsforhold (f.eks. vejbelægningens tilstand, andre trafikanter, ugunstige vejrforhold, overhængende kollisionsrisiko, svigt, opnåelse af ODD-grænser osv.). Dette kan omfatte midlertidige funktionsbegrænsninger (f.eks. nedsættelse af den maksimale driftshastighed osv.), minimale risikomanøvrer, undgåelse eller afbødning af kollision, fjernbetjening osv. |
|
32) |
»tid til kollision« (TTC — time to collision): den tid, der går, før en kollision finder sted mellem de involverede køretøjer/genstande/emner, hvis deres hastighed ikke ændrer sig, og under hensyntagen til deres ruter. Medmindre andet er angivet i teksten, beregnes TTC ved kørsel med konstant hastighed i længderetningen ved at dele afstanden i længderetningen (i prøvekøretøjets bevægelsesretning) mellem prøvekøretøjet og de andre køretøjer/genstande/emner med den relative hastighed i længderetningen for prøvekøretøjet og de andre køretøjer/genstande/emner. Medmindre andet er angivet i teksten, beregnes den ved krydskørsel med konstant hastighed ved at dele afstanden i længderetningen mellem prøvekøretøjet og bevægelseslinjen sideværts for de andre køretøjer/genstande/emner med prøvekøretøjets hastighed i længderetningen |
|
33) |
»køretøjstype for så vidt angår ADS«: fuldautomatiske køretøjer, som ikke adskiller sig fra hinanden på væsentlige punkter som:
|
|
34) |
»køretøjer med dobbelt funktionsmåde«: fuldautomatiske køretøjer med et førersæde, der er udformet og konstrueret:
For køretøjer med dobbelt funktionsmåde må overgangen mellem manuel kørsel og fuldautomatisk kørsel samt overgangen mellem fuldautomatisk kørsel og manuel kørsel kun ske, når køretøjet holder stille, og ikke når køretøjet er i bevægelse. |
|
35) |
»transportoperatør«: den enhed, der leverer en transporttjeneste ved brug af et eller flere fuldautomatiske køretøjer. |
Artikel 3
Administrative bestemmelser og tekniske specifikationer for typegodkendelse af det automatiserede kørselssystem i fuldautomatiske køretøjer
1. De relevante angivelser i oplysningsskemaet, der indgives i overensstemmelse med artikel 24, stk. 1, litra a), i forordning (EU) 2018/858 sammen med ansøgningen om typegodkendelse af det automatiserede kørselssystem i et fuldautomatisk køretøj, skal indeholde de oplysninger, der er relevante for det pågældende system, jf. bilag I.
2. Typegodkendelse af de automatiserede kørselssystemer i fuldautomatiske køretøjer er underlagt de tekniske specifikationer, der er fastsat i bilag II. Disse specifikationer vurderes af de godkendende myndigheder eller deres tekniske tjenester i overensstemmelse med bilag III.
3. EU-typegodkendelsesattesten for en type af det automatiserede kørselssystem i et fuldautomatisk køretøj, jf. artikel 28, stk. 1, i forordning (EU) 2018/858, udfærdiges i overensstemmelse med bilag IV.
Artikel 4
Ikrafttræden
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 5. august 2022.
På Kommissionens vegne
Ursula VON DER LEYEN
Formand
(1) EUT L 325 af 16.12.2019, s. 1.
(2) EUT L 82 af 9.3.2021, s. 75.
(3) Europa-Parlamentets og Rådets forordning (EU) 2018/858 af 30. maj 2018 om godkendelse og markedsovervågning af motorkøretøjer og påhængskøretøjer dertil samt af systemer, komponenter og separate tekniske enheder til sådanne køretøjer, om ændring af forordning (EF) nr. 715/2007 og (EF) nr. 595/2009 og om ophævelse af direktiv 2007/46/EF (EUT L 151 af 14.6.2018, s. 1).
(4) Kommissionens gennemførelsesforordning (EU) 2020/683 af 15. april 2020 om gennemførelse af Europa-Parlamentets og Rådets gennemførelsesforordning (EU) 2018/858 for så vidt angår de administrative krav i forbindelse med godkendelse og markedsovervågning af motorkøretøjer og påhængskøretøjer dertil samt af systemer, komponenter og separate tekniske enheder til sådanne køretøjer (EUT L 163 af 26.5.2020, s. 1).
BILAG I
Oplysningsskema for EU-typegodkendelse af fuldautomatiske køretøjer for så vidt angår deres automatiserede kørselssystem
MODEL
Oplysningsskema nr. … vedrørende EU-typegodkendelse af en type fuldautomatisk køretøj for så vidt angår det automatiserede kørselssystem (ADS).
Nedennævnte oplysninger skal indsendes i tre eksemplarer og omfatte en indholdsfortegnelse. Eventuelle tegninger eller billeder skal forelægges i en passende målestok og tilstrækkeligt detaljeret på A4-ark eller foldet til denne størrelse. Eventuelle fotografier skal være tilstrækkeligt detaljerede.
|
0. |
GENERELT |
|
0.1. |
Fabrikat (fabrikantens handelsbetegnelse): |
|
0.2. |
Type: |
|
0.2.1. |
Eventuel(le) handelsbetegnelse(r): |
|
0.2.2. |
For etapevis godkendte køretøjer, typegodkendelsesoplysninger om basiskøretøj/køretøjet på de forudgående etaper, der angives oplysninger for hver etape. (Dette kan gøres med et skema)
Type: Variant(er): Version(er): Nummer på typegodkendelsesattest, herunder udvidelsesnummer: |
|
0.3. |
Typeidentifikationsmærker som anført på køretøjet/komponenten/den separate tekniske enhed: |
|
0.3.1. |
Mærkets anbringelsessted: |
|
0.4. |
Køretøjets klasse: |
|
0.5. |
Navn og adresse på fabrikantens virksomhed: |
|
0.5.1. |
For etapevis godkendte køretøjer, firmabetegnelse og adresse på fabrikanten af basiskøretøjet/køretøjet på de(n) forudgående etape(r): |
|
0.6. |
Anbringelsessted og -måde for foreskrevne skilte og påskrifter, og anbringelsessted for køretøjets identifikationsnummer: |
|
0.6.1. |
På chassiset: |
|
0.6.2. |
På karrosseriet: |
|
0.8. |
Navne og adresser på samlefabrikker: |
|
0.9. |
Navn og adresse på fabrikantens eventuelle repræsentant: |
|
17. |
AUTOMATISERET KØRSELSSYSTEM (ADS) |
|
17.1. |
Generel ADS-beskrivelse |
|
17.1.1. |
Operationelt designdomæne/grænsebetingelser |
|
17.1.2. |
Grundlæggende funktion (f.eks. detektering af genstande og hændelser samt reaktion herpå, planlægning osv.) |
|
17.2. |
Beskrivelse af ADS-funktionerne |
|
17.2.1. |
Vigtigste ADS-funktioner (funktionel arkitektur) |
|
17.2.1.1. |
Køretøjets interne funktioner |
|
17.2.1.2. |
Køretøjets eksterne funktioner (f.eks. backend, nødvendig ekstern infrastruktur, nødvendige operationelle foranstaltninger) |
|
17.3. |
Oversigt over de vigtigste komponenter i ADS |
|
17.3.1. |
Styringsenheder |
|
17.3.2. |
Sensorer og montering af sensorer på køretøjet |
|
17.3.3. |
Aktuatorer |
|
17.3.4. |
Kort og positionering |
|
17.3.5. |
Andet hardware |
|
17.4. |
ADS-konfiguration og -diagram |
|
17.4.1. |
Diagram over systemets konfiguration (f.eks. blokdiagram) |
|
17.4.2. |
Fortegnelse og diagram over sammenkoblinger |
|
17.5. |
Specifikationer |
|
17.5.1. |
Specifikationer ved normal drift |
|
17.5.2. |
Specifikationer ved nøddrift |
|
17.5.3. |
Godkendelseskriterier |
|
17.5.4. |
Påvisning af overensstemmelse |
|
17.6. |
Sikkerhedskoncept |
|
17.6.1. |
Fabrikantens erklæring om, at køretøjet ikke indebærer urimelige risici |
|
17.6.2. |
Diagram over softwarearkitekturen (f.eks. blokdiagram) |
|
17.6.3. |
Midler til bestemmelse af ADS-systemets logik |
|
17.6.4. |
Generel redegørelse for de vigtigste konstruktionsmæssige foranstaltninger, der er indbygget i ADS for at opretholde sikker drift i tilfælde af svigt, driftsforstyrrelser og under forhold, der ville overskride ODD |
|
17.6.5. |
Generel beskrivelse af hovedprincipper for håndtering af svigt, fall-back-strategi, herunder risikoreduktionsstrategi (minimal risikomanøvre) |
|
17.6.6. |
Betingelser for udløsning af en anmodning til operatøren i køretøjet eller fjernoperatøren |
|
17.6.7. |
Konceptet menneske-maskine-grænseflade med køretøjspassagererne, operatøren i køretøjet og fjernoperatøren, herunder beskyttelse mod simpel uautoriseret aktivering/drift og indgreb |
|
17.7. |
Fabrikantens verifikation og validering af ydeevnekravene, herunder OEDR, menneske-maskine-grænseflade, overholdelse af færdselsreglerne og konklusionen om, at systemet er konstrueret på en sådan måde, at det er frit for urimelige risici for køretøjspassagererne og andre trafikanter |
|
17.7.1. |
Beskrivelse af den anvendte metode |
|
17.7.2. |
Udvælgelse af nominelle og kritiske scenarier og svigtscenarier |
|
17.7.3. |
Beskrivelse af de anvendte metoder og værktøjer (software, laboratorium, andet) og resumé af troværdighedsvurderingen |
|
17.7.4. |
Beskrivelse af resultaterne |
|
17.7.5. |
Usikkerhed om resultaterne |
|
17.7.6. |
Fortolkning af resultater |
|
17.7.7. |
Fabrikantens erklæring:
Fabrikanten(-erne) … bekræfter, at ADS ikke er forbundet med urimelige sikkerhedsrisici for køretøjspassagererne og andre trafikanter. |
|
17.8. |
ADS-dataelementer |
|
17.8.1. |
Typen af lagrede data |
|
17.8.2. |
Lagringsplacering |
|
17.8.3. |
Registrerede forekomster og dataelementer |
|
17.8.4. |
Midler til sikring af datasikkerhed og databeskyttelse |
|
17.8.5. |
Midler til dataadgang |
|
17.9. |
Cybersikkerhed og softwareopdateringer |
|
17.9.1. |
Typegodkendelsesnummer for cybersikkerhed |
|
17.9.2. |
Nummer på overensstemmelsescertifikatet for systemet til forvaltning af cybersikkerhed (CSMS-overensstemmelsescertifikat): |
|
17.9.3. |
Typegodkendelsesnummer for softwareopdatering: |
|
17.9.4. |
Nummer på overensstemmelsesattesten for systemer til forvaltning af softwareopdateringer (SUMS-overensstemmelsesattest) |
|
17.9.5. |
ADS-softwareidentifikation |
|
17.9.5.1. |
Oplysninger om aflæsning af RxSWIN eller softwareversion(er), hvis RxSWIN ikke opbevares i køretøjet |
|
17.9.5.2. |
Angiv i givet fald de relevante parametre, der gør det muligt at identificere de køretøjer, der kan opdateres med den software, som repræsenteres af RxSWIN under punkt 17.9.4.1. |
|
17.10. |
Driftshåndbog (vedlægges oplysningsskemaet) |
|
17.10.1. |
Funktionsbeskrivelse af ADS og ejerens, transportoperatørens, operatøren i køretøjets, fjernoperatørens eller andre aktørers forventede rolle. |
|
17.10.2. |
Tekniske foranstaltninger til sikker drift (f.eks. beskrivelse af den nødvendige eksterne infrastruktur, tidsplan, hyppighed og model for vedligeholdelsesaktiviteter) |
|
17.10.3. |
Drifts- og miljørestriktioner |
|
17.10.4. |
Operationelle foranstaltninger (f.eks. hvis der er behov for en operatør i køretøjet eller en fjernoperatør) |
|
17.10.5. |
Instruktioner i tilfælde af svigt og ADS-anmodning (sikkerhedsforanstaltninger, der skal træffes af køretøjspassagererne, transportoperatøren, operatøren i køretøjet, fjernoperatøren og de offentlige myndigheder i tilfælde af driftsfejl) |
|
17.11. |
Midler til periodisk teknisk kontrol
Liste over figurer/tabeller Akronymer Bilag I — Simulationshåndbog Bilag II — Driftsmanual Forklarende note Dette oplysningsskema indeholder de oplysninger, der er relevante for det automatiserede kørselssystem, og skal udfyldes i overensstemmelse med modellen i bilag I til Kommissionens gennemførelsesforordning (EU) 2020/683. |
BILAG II
Krav til ydeevne
1. DDT i nominelle trafikscenarier.
|
1.1. |
ADS skal kunne udføre hele DDT. |
|
1.1.1. |
ADS-systemets evne til at udføre hele DDT bestemmes inden for rammerne af ADS-systemets ODD. |
|
1.1.2. |
Som en del af DDT skal ADS kunne:
|
|
1.1.3. |
Systemet skal være forudseende i interaktionen med andre trafikanter for at sikre en stabil og rolig kørsel i længderetningen og minimere risici, når kritiske situationer kan være nært forestående, f.eks. med uhindrede eller hindrede bløde trafikanter (fodgængere, cyklister osv.) eller med andre køretøjer, der krydser vejen eller kører ind foran det fuldautomatiserede køretøj. |
|
1.1.4. |
Kravene vedrørende DDT skal være opfyldt i den modsatte retning, hvis bakgear kræves i henhold til eller er angivet i ODD. |
|
1.2. |
ADS skal detektere og reagere hensigtsmæssigt på genstande og hændelser, der er relevante for DDT inden for ODD.
Genstande og hændelser kan omfatte, men er ikke begrænset til:
|
|
1.3. |
ADS skal overholde færdselsreglerne i det land, hvor det anvendes. |
|
1.3.1. |
ADS skal interagere sikkert med andre trafikanter i overensstemmelse med færdselsreglerne, f.eks. ved at:
|
|
1.3.2. |
I mangel af specifikke færdselsregler må den samlede vandrette acceleration for køretøjer med ADS, der er beregnet til at medtage stående eller ikke-fastspændte køretøjspassagerer, ikke overstige 2,4 m/s2 (i absolut værdi og beregnet som kombinationen af accelerationen sideværts og i længderetningen), og hastighedsændringen må ikke overstige 5 m/s3.
Afhængigt af de faktorer, der påvirker risikoen for passagerer og andre trafikanter, kan det være hensigtsmæssigt at overskride disse grænser, f.eks. i forbindelse med nøddrift. |
2. DDT i kritiske trafikscenarier (nøddrift)
|
2.1. |
ADS skal kunne udføre DDT for alle kritiske trafikscenarier i ODD, som med rimelighed kan forudses. |
|
2.1.1. |
ADS skal kunne detektere risikoen for kollision med andre trafikanter eller en pludseligt opdukkende forhindring (affald, tabt last) og skal automatisk kunne udføre passende nøddrift (bremsning, undvigemanøvre) for at undgå kollisioner, som med rimelighed kan forudses, og minimere sikkerhedsrisiciene for køretøjspassagererne og andre trafikanter. |
|
2.1.1.1. |
I tilfælde af en uundgåelig alternativ risiko for menneskers liv må ADS ikke omfatte vægtning på grundlag af menneskers personlige egenskaber. |
|
2.1.1.2. |
Beskyttelsen af andre menneskers liv uden for det fuldautomatiske køretøj må ikke prioriteres lavere end beskyttelsen af passagerernes liv i det fuldautomatiske køretøj. |
|
2.1.2. |
Der bør tages hensyn til de involverede trafikanters sårbarhed i undgåelses- og afbødningsstrategien. |
|
2.1.3. |
Efter undvigemanøvren skal køretøjet sigte mod at retablere en stabil bevægelse, så snart det er teknisk muligt. |
|
2.1.4. |
Signalet til aktivering af havariblink skal genereres automatisk i overensstemmelse med færdselsreglerne. Hvis det fuldautomatiske køretøj automatisk igangsætter igen, skal signalet til deaktivering af havariblink genereres automatisk. |
|
2.1.5. |
I tilfælde af en trafikulykke med det fuldautomatiske køretøj skal ADS sigte mod at standse det fuldautomatiske køretøj og foretage en minimal risikomanøvre, således at der er minimale risikoforhold. ADS-systemets normale drift må først genoptages, når sikkerheden ved drift af de fuldautomatiske køretøjer er blevet bekræftet ved ADS-selvtest eller/og af operatøren i køretøjet (hvis relevant) eller fjernoperatøren (hvis relevant). |
3. DDT ved ODD-grænser
|
3.1. |
ADS skal detektere systemets ODD-forhold og ODD-grænser. |
|
3.1.1. |
ADS skal kunne bestemme, om de forhold, hvorunder ADS kan aktiveres, er til stede. |
|
3.1.2. |
ADS skal detektere og reagere, når et eller flere ODD-forhold ikke er til stede eller ikke længere er til stede. |
|
3.1.3. |
ADS skal kunne detektere frakørsler fra ODD. |
|
3.1.4. |
ODD-forholdene og -grænserne skal fastlægges af fabrikanten. |
|
3.1.4.1. |
De ODD-forhold, der skal kunne genkendes af ADS, omfatter:
|
|
3.1.5. |
Når ADS når ODD-grænserne, skal systemet foretage en MRM for at opnå MRC og advare operatøren i køretøjet (hvis relevant) /fjernoperatøren herom (hvis relevant). |
4. DDT i svigtscenarier
|
4.1. |
ADS skal detektere og reagere på ADS-systemets eller/og køretøjets fejlfunktion. |
|
4.1.1. |
ADS skal selvdiagnosticere fejl og svigt. |
|
4.1.2. |
ADS skal evaluere systemets evne til at udføre hele DDT. |
|
4.1.2.1. |
ADS skal reagere sikkert på fejl/svigt i ADS, som ikke i væsentlig grad forringer ADS-systemets funktion. |
|
4.1.2.2. |
ADS skal foretage en MRM for at opnå MRC i tilfælde af et svigt i ADS og/eller et andet køretøjssystem, som forhindrer ADS i at udføre DDT. |
|
4.1.2.3. |
ADS skal straks efter detektering signalere større svigt og deraf følgende driftsstatus til køretøjspassagererne, operatøren i køretøjet (hvis relevant) eller fjernoperatøren (hvis relevant) samt til andre trafikanter i overensstemmelse med færdselsreglerne (f.eks. aktivering af havariblink). |
|
4.1.2.4. |
Hvis køretøjets bremse- eller styreevne påvirkes af svigt, skal MRM udføres under hensyntagen til den resterende bremsevirkning. |
5. Minimal risikomanøvre (MRM) og minimale risikoforhold (MRC)
|
5.1. |
Under MRM skal det fuldautomatiske køretøj med ADS bremses for at opnå et decelerationskrav på højst 4,0 m/s2 og standses helt det sikrest mulige sted under hensyntagen til omgivende trafik og vejinfrastruktur. Højere værdier for decelerationskrav tillades i tilfælde af et alvorligt svigt i ADS eller det fuldautomatiske køretøj. |
|
5.2. |
ADS skal signalere til passagererne i det fuldautomatiske køretøj samt til andre trafikanter i overensstemmelse med færdselsreglerne, at systemet vil bringe det fuldautomatiske køretøj under MRC (f.eks. ved at aktivere havariblink). |
|
5.3. |
Det fuldautomatiske køretøj må først forlade MRC, når det ved ADS-selvtest eller/og af operatøren i køretøjet (hvis relevant) eller fjernoperatøren (hvis relevant) er blevet bekræftet, at årsagen/årsagerne til MRM ikke længere er til stede. |
6. Interaktion mellem menneske og maskine
|
6.1. |
Der skal gives tilstrækkelige oplysninger til passagererne i det fuldautomatiske køretøj, når det er nødvendigt af hensyn til sikker drift og sikkerhedsrisici. |
|
6.2. |
Hvis en fjernoperatør er en del af ADS-sikkerhedskonceptet, skal det fuldautomatiske køretøj være udstyret med anordninger, der giver køretøjspassagererne mulighed for at ringe til en fjernoperatør via en audiovisuel grænseflade i det fuldautomatiske køretøj. Der skal anvendes utvetydige skilte til den audiovisuelle grænseflade (f.eks. ISO 7010 E004). |
|
6.3. |
ADS skal omfatte anordninger, der giver køretøjspassagererne mulighed for at anmode om en minimal risikomanøvre for at standse det fuldautomatiske køretøj. I nødstilfælde:
|
|
6.4. |
Hvis en fjernoperatør er en del af ADS-sikkerhedskonceptet, skal det fuldautomatiske køretøj være udstyret med visionssystemer (f.eks. kameraer i overensstemmelse med kapitel 6 i ISO16505:2019), der viser passagerkabinen i køretøjet og køretøjets omgivelser, således at fjernoperatøren kan vurdere situationen i og uden for køretøjet. |
|
6.5. |
Hvis en fjernoperatør er en del af ADS-sikkerhedskonceptet, skal det være muligt for fjernoperatøren at åbne den maskinelt betjente udstigningsdør via fjernbetjening. |
|
6.6. |
ADS skal aktivere de relevante køretøjssystemer, når det er nødvendigt og relevant (f.eks. åbning af døre, aktivering af forrudeviskere i tilfælde af regn, varmeanlæg osv.). |
7. Funktions- og driftssikkerhed
|
7.1. |
Fabrikanten skal påvise, at der i acceptabel grad er taget hensyn til ADS-systemets funktions- og driftssikkerhed under konstruktions- og udviklingsprocesserne. De foranstaltninger, som fabrikanten har truffet, skal sikre, at det fuldautomatiske køretøj ikke indebærer urimelige sikkerhedsrisici for køretøjspassagererne og andre trafikanter i køretøjets levetid sammenlignet med sammenlignelige transporttjenester og situationer inden for det operationelle designdomæne. |
|
7.1.1. |
Fabrikanten skal definere de godkendelseskriterier, ud fra hvilke valideringsmålene for ADS udledes, for at evaluere den resterende risiko for ODD under hensyntagen til eventuelle eksisterende ulykkesdata (1), sikkerhedsdata om kompetent og omhyggeligt førte manuelle køretøjer og den nyeste teknologi. |
|
7.2. |
Fabrikanten skal have processer til håndtering af ADS-systemets sikkerhed og fortsatte opfyldelse af kravene i hele systemets levetid (slid på komponenter, navnlig for sensorer, nye trafikscenarier osv.). |
8. Cybersikkerhed og softwareopdateringer
|
8.1. |
ADS skal beskyttes mod uautoriseret adgang i overensstemmelse med FN-regulativ nr. 155 (2). |
|
8.2. |
ADS skal understøtte softwareopdateringer. Effektiviteten af softwareopdateringsprocedurerne og -processerne vedrørende ADS skal påvises gennem overensstemmelse med FN-regulativ nr. 156 (3). |
|
8.2.1. |
Som angivet i regulativet om softwareopdateringer og systemer til forvaltning heraf skal der for at sikre, at systemsoftwaren kan identificeres, anvendes en R 2022/1426SWIN. R 2022/1426SWIN kan opbevares i køretøjet, eller hvis R 2022/1426SWIN ikke opbevares i køretøjet, skal fabrikanten over for den typegodkendende myndighed oplyse køretøjets eller de enkelte elektroniske styreenheders softwareversion samt forbindelsen til de relevante typegodkendelser. |
|
8.2.2. |
Fabrikanten skal afgive følgende oplysninger i oplysningsskemaet:
|
|
8.2.3. |
Fabrikanten kan angive en liste over relevante parametre i oplysningsskemaet, der gør det muligt at identificere de køretøjer, som kan opdateres med den software, som R 2022/1426SWIN repræsenterer. Disse oplysninger skal angives af fabrikanten og må ikke verificeres af en typegodkendende myndighed. |
|
8.2.4. |
Fabrikanten kan opnå en ny køretøjsgodkendelse med henblik på at differentiere softwareversioner, der er beregnet til anvendelse i køretøjer, som allerede er registreret på markedet, fra de softwareversioner, der anvendes i nye køretøjer. Dette kan omfatte de situationer, hvor typegodkendelsesregulativerne ajourføres, eller hvor der foretages hardwareændringer i serieproducerede køretøjer. Efter aftale med den typegodkendende myndighed skal gentagelse af prøvninger undgås, hvor det er muligt. |
9. ADS-datakrav og specifikke dataelementer til kollisionsdatarekorder til fuldautomatiske køretøjer
|
9.1. |
ADS skal registrere følgende hændelser, når ADS aktiveres: |
|
9.1.1. |
Aktivering/geninitialisering af ADS (hvis relevant) |
|
9.1.2. |
Deaktivering af ADS (hvis relevant) |
|
9.1.3. |
Anmodning sendt af ADS til fjernoperatøren (hvis relevant) |
|
9.1.4. |
Anmodning/input fra fjernoperatøren (hvis relevant) |
|
9.1.5. |
Påbegyndelse af nøddrift |
|
9.1.6. |
Afslutning af nøddrift |
|
9.1.7. |
Involvering i en detekteret kollision |
|
9.1.8. |
Udløsning af kollisionsdatarekorder (EDR) |
|
9.1.9. |
Minimal risikomanøvre udløst af ADS |
|
9.1.10. |
Minimale risikoforhold opnået af det fuldautomatiske køretøj |
|
9.1.11. |
ADS-svigt (beskrivelse) |
|
9.1.12. |
Køretøjsfejl |
|
9.1.13. |
Start på procedure for skift af vognbane |
|
9.1.14. |
Afslutning på procedure for skift af vognbane |
|
9.1.15. |
Afbrydelse af procedure for skift af vognbane |
|
9.1.16. |
Start på tilsigtet vognbanepassage |
|
9.1.17. |
Afslutning på tilsigtet vognbanepassage |
|
9.2. |
Hændelsesflag i punkt 9.1.13, 9.1.14, 9.1.16 og 9.1.17 skal kun opbevares, hvis de forekommer inden for 30 sekunder før hændelserne i punkt 9.1.5, 9.1.7, 9.1.15 eller 9.1.8: |
|
9.3. |
ADS-dataelementer |
|
9.3.1. |
For hver hændelse, der er anført i punkt 9.1, skal følgende dataelementer registreres på en klart identificerbar måde: |
|
9.3.2. |
Flag for den registrerede hændelse |
|
9.3.3. |
Årsag til hændelsen, alt efter hvad der er relevant |
|
9.3.4. |
Dato (detaljegrad: åååå/mm/dd) |
|
9.3.5. |
Position (GPS-koordinater) |
|
9.3.6. |
Tidsstempel:
|
|
9.4. |
For hver registreret hændelse skal RXSWIN eller softwareversionerne med angivelse af den software, der var til stede på hændelsestidspunktet, være klart identificerbare. |
|
9.5. |
Et enkelt tidsstempel kan tillades for flere elementer, der registreres samtidigt inden for tidsopløsningen for de specifikke dataelementer. Hvis mere end ét element registreres med samme tidsstempel, skal oplysningerne fra de enkelte elementer angive den kronologiske rækkefølge. |
|
9.6. |
Datatilgængelighed |
|
9.6.1. |
ADS-dataelementerne skal være tilgængelige med forbehold af kravene i EU-retten eller national ret (4). |
|
9.6.2. |
Når lagringsgrænsen er nået, må eksisterende data kun overskrives efter en »først ind, først ud-procedure« efter princippet om overholdelse af de relevante krav til datatilgængelighed.
Fabrikanten skal fremlægge dokumentation for lagerkapaciteten. |
|
9.6.3. |
For køretøjer i klasse M1 og N1 skal dataene kunne hentes selv efter et sammenstød med en alvorsgrad som fastsat i FN-regulativ nr. 94 (5), 95 (6) eller 137 (7). |
|
9.6.4. |
For køretøjer i klasse M2, M3, N2 og N3 skal de dataelementer, der er anført i punkt 9.2, kunne hentes, selv efter et sammenstød. For at påvise, at dette er muligt, gælder følgende:
Enten:
|
|
9.6.5. |
Hvis køretøjets hovedstrømforsyning ikke er tilgængelig, skal det stadig være muligt at hente alle registrerede data. |
|
9.6.6. |
Data, der lagres, skal være let aflæselige på en standardiseret måde via en elektronisk kommunikationsgrænseflade, som minimum gennem standardgrænsefladen (OBD-port). |
|
9.7. |
Specifikke dataelementer til kollisionsdatarekorder til fuldautomatiske køretøjer |
|
9.7.1. |
For køretøjer, der er udstyret med kollisionsdatarekordere i overensstemmelse med artikel 6 i forordning (EU) 2019/2144, skal det være muligt via standardgrænsefladen (OBD-port) at hente ADS-dataelementer som omhandlet i punkt 9.3.1 og 9.3.2, der er registreret i mindst de sidste 30 sekunder før den sidste markering med hændelsesflaget »Udløsning af kollisionsdatarekorder (EDR)«, samt de dataelementer, der er anført i FN-regulativ nr. 160 (9), bilag 4 (EDR-data). |
|
9.7.2. |
Hvis der ikke er indtruffet en hændelse som omhandlet i punkt 9.1 inden for de sidste 30 sekunder før den sidste markering med hændelsesflaget »Udløsning af kollisionsdatarekorder (EDR)«, skal det som minimum være muligt at hente det dataelement, der svarer til de seneste hændelser i samme cyklus som omhandlet i punkt 9.1.1 og 9.1.2, sammen med EDR-dataene. |
|
9.7.3. |
De dataelementer, der hentes i overensstemmelse med punkt 9.7.1 eller 9.7.2, må ikke omfatte dato og tidsstempel eller andre oplysninger, der gør det muligt at identificere køretøjet, dets bruger eller ejer. I stedet skal tidsstemplet erstattes af oplysninger vedrørende tidsforskellen mellem hændelsesflaget »Udløsning af kollisionsdatarekorder (EDR)« og det respektive ADS-dataelements hændelsesflag. |
|
9.8. |
Fabrikanten skal give anvisninger på, hvordan dataene tilgås. |
|
9.9. |
Beskyttelse mod manipulation |
|
9.9.1. |
Det skal sikres, at der er tilstrækkelig beskyttelse mod manipulation af lagrede data (såsom sletning af data), f.eks. ved designmæssigt at sikre dataene herimod. |
10. Manuel kørsel
|
10.1. |
Hvis ADS giver mulighed for manuel kørsel med henblik på vedligeholdelse eller overtagelse efter en minimal risikomanøvre i det fuldautomatiske køretøj, skal køretøjet begrænses til 6 km/t og være udstyret med anordninger, der gør det muligt for føreren at udføre kørselsopgaven sikkert i overensstemmelse med fabrikantens sikkerhedskoncept. Undtagen i tilfælde af svigt skal ADS fortsat detektere en forhindring (f.eks. køretøjer, fodgængere) i manøvreområdet og støtte føreren i at bringe køretøjet til øjeblikkelig standsning for at undgå en kollision. |
|
10.2. |
Hvis den manuelle kørsel er begrænset til 6 km/t, behøver føreren ikke opholde sig i det fuldautomatiske køretøj. Betjeningen kan ske ved brug af en fjernbetjening i nærheden af køretøjet, forudsat at køretøjet forbliver i førerens direkte synsretning. Fjernbetjeningen skal virke inden for en afstand på højst 10 m. |
|
10.3. |
Hvis køretøjet er beregnet til at skulle køres ved hastigheder på over 6 km/t ved manuel kørsel, betragtes køretøjet som et duokøretøj. |
11. Driftshåndbog
|
11.1. |
Fabrikanten skal udarbejde en driftshåndbog. Formålet med driftshåndbogen er at garantere sikker drift af det fuldautomatiske køretøj gennem detaljerede instrukser til ejeren, køretøjspassagererne, transportoperatøren, operatøren i køretøjet, fjernoperatøren og eventuelle relevante nationale myndigheder.
Når det fuldautomatiske køretøj giver mulighed for manuel kørsel med henblik på vedligeholdelse eller overtagelse efter en minimal risikomanøvre, skal det også være omfattet af driftshåndbogen. |
|
11.2. |
Driftshåndbogen skal indeholde funktionsbeskrivelsen af ADS. |
|
11.3. |
Driftshåndbogen skal omfatte de tekniske foranstaltninger (f.eks. kontrol og vedligeholdelse af indbygget og ekstern køretøjsinfrastruktur, transport og krav til fysisk infrastruktur som f.eks. lokaliseringsmarkør og perceptionssensorer), driftsrestriktioner (f.eks. hastighedsgrænse, dedikeret vognbane, fysisk adskillelse fra ankommende trafik), miljøforhold (f.eks. ingen sne) og operationelle foranstaltninger (f.eks. behov for operatør i køretøjet eller fjernoperatør), der er nødvendige for at garantere sikkerheden under det fuldautomatiske køretøjs drift. |
|
11.4. |
Driftshåndbogen skal indeholde en beskrivelse af instrukserne for køretøjspassagererne, transportoperatøren, operatøren i køretøjet (hvis relevant), fjernoperatøren (hvis relevant) og de offentlige myndigheder i tilfælde af svigt og ADS-anmodning. |
|
11.5. |
Driftshåndbogen skal indeholde regler, der sikrer korrekt udførelse af vedligeholdelse, generelle prøvninger og yderligere undersøgelser. |
|
11.6. |
Driftshåndbogen skal indgives til den typegodkendende myndighed sammen med ansøgningen om typegodkendelse og vedlægges typegodkendelsesattesten. |
|
11.7. |
Driftshåndbogen skal stilles til rådighed for ejeren og, hvis relevant, for transportoperatøren, operatøren i køretøjet (hvis relevant), fjernoperatøren (hvis relevant) og relevante nationale myndigheder. |
12. Bestemmelser om periodisk teknisk kontrol
|
12.1. |
Med henblik på periodisk teknisk kontrol skal det være muligt at efterprøve følgende ADS-funktionaliteter: |
|
a) |
status for korrekt systemdrift ved synlig observation af status for advarselssignalet om svigt efter aktivering af køretøjets hovedkontakt og eventuel pærekontrol. Hvis signalet for advarsel om svigt vises i et fællesfelt (det område, hvor to eller flere informationsfunktioner/-symboler kan vises, men ikke samtidig), skal det først kontrolleres, at fællesfeltet er funktionsdygtigt forud for kontrollen af signalet for advarsel om svigt |
|
b) |
dets korrekte funktionalitet og softwareintegritet gennem anvendelse af køretøjets elektroniske grænseflade som fastsat i punkt I, nr. 14), i bilag III til Europa-Parlamentets og Rådets direktiv 2014/45/EU (10), såfremt køretøjets tekniske egenskaber giver muligheder herfor, og de nødvendige data er gjort tilgængelige. Fabrikanterne skal sikre, at de tekniske oplysninger stilles til rådighed med henblik på anvendelse af køretøjets elektroniske grænseflade i overensstemmelse med artikel 6 i Kommissionens gennemførelsesforordning (EU) 2019/621 (11). |
(1) På grundlag af de aktuelle ulykkesdata for busser, lastbiler og biler i EU kunne man f.eks. overveje et vejledende samlet godkendelseskriterium på 10-7 dødsfald pr. driftstime ved markedsføringen af ADS for sammenlignelige transporttjenester og -situationer. Fabrikanten kan anvende andre parametre og metoder, forudsat at det kan påvises, at de ikke fører til en urimelig risiko sammenlignet med sammenlignelige transporttjenester og situationer inden for det operationelle domæne.
(2) EUT L 82 af 9.3.2021, s. 30.
(3) EUT L 82 af 9.3.2021, s. 60.
(4) Der anbefales en lagerkapacitet på 2 500 tidsstempler svarende til en periode på 6 måneders brug.
(5) EUT L 392 af 5.11.2021, s. 1.
(6) EUT L 392 af 5.11.2021, s. 62.
(7) EUT L 392 af 5.11.2021, s. 130.
(8) EUT L 449 af 15.12.2021, s. 1.
(9) EUT L 265 af 26.7.2021, s. 3.
(10) Europa-Parlamentets og Rådets direktiv 2014/45/EU af 3. april 2014 om periodisk teknisk kontrol med motorkøretøjer og påhængskøretøjer dertil og om ophævelse af direktiv 2009/40/EF (EUT L 127 af 29.4.2014, s. 51).
(11) Kommissionens gennemførelsesforordning (EU) 2019/621 af 17. april 2019 om de tekniske oplysninger, som er nødvendige for teknisk kontrol af de punkter, der skal kontrolleres, om anvendelse af de anbefalede kontrolmetoder og om fastsættelse af detaljerede bestemmelser vedrørende dataformat og procedurerne for adgang til de relevante tekniske oplysninger (EUT L 108 af 23.4.2019, s. 5).
BILAG III
Overensstemmelsesvurdering
Den samlede overensstemmelsesvurdering af ADS er baseret på:
|
— |
Del 1: Trafikscenarier, der skal overvejes |
|
— |
Del 2: Vurdering af ADS-sikkerhedskonceptet og audit af fabrikantens sikkerhedsstyringssystem |
|
— |
Del 3: Prøvninger for de mest relevante trafikscenarier |
|
— |
Del 4: De principper, der skal anvendes til at vurdere troværdigheden ved brug af virtuel værktøjskæde til ADS-validering |
|
— |
Del 5: Det system, som fabrikanten har indført for at sikre rapportering efter ibrugtagning. |
Alle krav i bilag II kan kontrolleres ved prøvninger, der udføres af den typegodkendende myndighed (eller dennes tekniske tjeneste).
DEL 1
TRAFIKSCENARIER, DER SKAL OVERVEJES
|
1. |
Minimumssæt af trafikscenarier |
|
1.1. |
De scenarier og parametre, der er opstillet i punkt 1, skal anvendes, når disse scenarier er relevante for ADS-systemets ODD.
Hvis fabrikanten afviger fra de parametre, der er anført i punkt 1, skal de sikkerhedsparametre og grundlæggende antagelser, som fabrikanten anvender, dokumenteres i dokumentationspakken. De valgte sikkerhedsparametre og grundlæggende antagelser skal påvise, at det fuldautomatiske køretøj ikke indebærer urimelige sikkerhedsrisici. Gyldigheden af sådanne sikkerhedsparametre og grundlæggende antagelser skal understøttes af overvågningsdata efter ibrugtagning. |
|
1.2. |
Parametre, der skal anvendes i vognbaneskiftscenarier for det fuldautomatiske køretøj. |
|
1.2.1. |
Scenarierne og parametrene for vognbaneskift skal anvendes som nærmere angivet i FN-regulativ nr. 157 (1). |
|
1.3. |
Parametre, der skal anvendes i vendings- og krydsningsscenarier for det fuldautomatiske køretøj. |
|
1.3.1. |
I mangel af mere specifikke færdselsregler skal der tages hensyn til følgende krav vedrørende interaktion med andre involverede trafikanter under vending og krydsning af vognbane (se figur 1) på en tør og fin vejbelægning. |
|
1.3.2. |
Ved sammenfletning med privilegeret trafik under drejning med eller uden krydsning af trafik i modsat retning bør den privilegerede trafik i den tilsigtede bane ikke være nødsaget til at sænke hastigheden. Det skal dog sikres, at TTC for den modgående privilegerede trafik på målvejen (eksempel a) i figur 1) aldrig ligger under tærsklen TTC
dyn
defineret som:
hvor:
|
|
1.3.3. |
I tilfælde af en vendemanøvre med krydsning af trafik i modsat retning bør den privilegerede trafik i den tilsigtede bane ikke være nødsaget til at sænke hastigheden af hensyn til modgående trafik. Hvis trafiktætheden berettiger det, skal det imidlertid — ud over afstanden fra den modgående privilegerede trafik på målvejen — sikres, at TTC for den privilegerede krydsende trafik til det fiktive kollisionspunkt (banernes skæringspunkt, eksempel b) i figur 1) aldrig ligger under tærsklen TTC
int
defineret som:
hvor:
Det samme gælder for krydsning med privilegeret trafik (eksempel c) i figur 1): TTC for privilegeret trafik til det imaginære kollisionspunkt (banernes skæringspunkt) må aldrig ligge under tærsklen TTC int defineret i dette punkt.
Figur 1: Visualisering af afstandene under vending og krydsning. Eksempel a): Afstand til modgående privilegerede i den tilsigtede bane, som skal holdes under drejning og fletning med privilegeret trafik. Eksempel b): Afstand til modgående privilegeret trafik, som skal holdes, når der vendes ved at krydse trafikken i modsat retning. Eksempel c): Afstand til privilegeret krydsende trafik, der skal holdes under krydsning. |
|
1.4. |
Parametre, der skal anvendes i nødmanøvrescenarier (DDT i kritiske scenarier), for det fuldautomatiske køretøj. |
|
1.4.1. |
ADS skal undgå kollision med det forankørende køretøj, som decelererer med op til dets fulde bremsevirkning, forudsat at et andet køretøj ikke trækker ind foran. |
|
1.4.2. |
Kollisioner med indtrækkende køretøjer, fodgængere og cyklister i samme retning samt med fodgængere, der kan begynde at krydse vejen, skal undgås, i det mindste på de betingelser, der bestemmes ved følgende ligning:
hvor:
v rel er den relative hastighed i meter pr. sekund [m/s] mellem det fuldautomatiske køretøj og det indtrækkende køretøj (positiv, hvis ADS er hurtigere end det indtrækkende køretøj) β er det fuldautomatiske køretøjs maksimale deceleration og antages at være lig med:
Overensstemmelse med denne ligning kræves kun for trafikanter, der trækker ind, og kun hvis de indtrækkende trafikanter var synlige mindst 0,72 sekunder før indtrækningen: Kollision skal således undgås, når en anden trafikant trækker ind i prøvekøretøjets vognbane over følgende TTC-værdier (f.eks. vist for hastigheder i intervaller på 10 km/t). Disse krav skal opfyldes uafhængigt af miljøforhold.
Hvis der foretages vognbaneskift med en lavere TTC-værdi til det fuldautomatiske køretøjs vognbane, kan det ikke længere antages, at der ikke vil være nogen kollisionsundgåelse. ADS-systemets kontrolstrategi kan kun ændre sig mellem undgåelse og afbødning af kollision, hvis fabrikanten kan påvise, at dette øger sikkerheden for køretøjspassagererne og andre trafikanter (f.eks. ved at prioritere bremsning frem for en alternativ manøvre). |
|
1.4.3. |
ADS skal undgå en kollision med en fodgænger, der krydser vejen, eller en cyklist foran køretøjet. |
|
1.4.3.1. |
Kørselsforhold i byer og landdistrikter |
|
1.4.3.1.1. |
ADS skal undgå kollision op til en hastighed på 60 km/t i et scenarie, hvor en fodgænger krydser vejen med en sideværts hastighedskomponent på højst 5 km/t, eller hvor en cyklist krydser vejen med en sideværts hastighedskomponent på højst 15 km/t foran køretøjet. Dette skal sikres uafhængigt af den specifikke manøvre, ADS udfører. |
|
1.4.3.1.2. |
Hvis fodgængeren eller cyklisten fortsætter med en højere hastighed end ovennævnte værdier, og ADS ikke længere kan undgå kollision, kan ADS-kontrolstrategien kun ændre sig mellem forebyggelse og afbødning af kollision, hvis fabrikanten kan påvise, at dette øger sikkerheden for køretøjspassagererne og andre trafikanter (f.eks. ved at prioritere bremsning frem for en alternativ manøvre). |
|
1.4.3.1.3. |
ADS skal afbøde en kollision med en hindret fodgænger eller cyklist, der krydser vejen foran køretøjet, ved at nedsætte hastigheden ved sammenstød med mindst 20 km/t. Dette skal sikres uafhængigt af den specifikke manøvre, ADS udfører. |
|
1.4.3.1.4. |
For at påvise, at de tidligere krav vedrørende fodgængere og cyklister, der krydser vejen foran køretøjet, er opfyldt, kan prøvnings- og vurderingsscenarier udviklet under det europæiske program for vurdering af nye biler (Euro NCAP) anvendes som retningslinjer. |
|
1.4.3.2. |
Kørselsforhold på motorvej |
|
1.4.3.2.1. |
De relevante scenarier, hvor fodgængere krydser vejen, anvendes som nærmere angivet i FN-regulativ nr. 157. |
|
1.4.3.2.2. |
Hvis fodgængeren overskrider de grænser for parameterværdier, der er anført i FN-regulativ nr. 157, og ADS ikke længere kan undgå kollision, kan ADS-kontrolstrategien kun ændre sig mellem forebyggelse og afbødning af kollision, hvis fabrikanten kan påvise, at dette øger sikkerheden for køretøjspassagererne og andre trafikanter (f.eks. ved at prioritere bremsning frem for en alternativ manøvre). |
|
1.5. |
Motorvejstilkørsel
Det fuldautomatiske køretøj skal kunne køre sikkert ind på motorvejen ved at tilpasse hastigheden til trafikstrømmen og aktivere det relevante blinklys i overensstemmelse med færdselsreglerne. Blinklyset skal deaktiveres, når køretøjet har foretaget vognbaneskiftet (LCM). De anvendte parametre i vognbaneskiftsscenariet skal anvendes. |
|
1.6. |
Motorvejsfrakørsel
Det fuldautomatiske køretøj skal kunne detektere den relevante motorvejsfrakørsel ved at køre på vognbanen ved siden af frakørselsbanen, og hastigheden må ikke sænkes unødigt før påbegyndelsen af LCM til frakørselsbanen. Det fuldautomatiske køretøj skal anvende blinklyset i overensstemmelse med færdselsreglerne og foretage LCM til frakørselsbanen uden unødig forsinkelse. Blinklyset skal deaktiveres, når der er foretaget LCM i overensstemmelse med færdselsreglerne i det land, hvor køretøjet anvendes. |
|
1.7. |
Passage af en betalingsstation
Afhængigt af ODD skal det fuldautomatiske køretøj kunne vælge den korrekte bom og tilpasse hastigheden til den tilladte hastighed i betalingsområdet og samtidig tage højde for trafikstrømmen. |
|
1.8. |
Kørsel på andre vejtyper end motorveje
Afhængigt af ODD anvendes det relevante scenario, der er defineret i punkt 1.2 til 1.4 ovenfor. |
|
1.9. |
Parametre, der skal anvendes for automatisk parkeringsplads. |
|
1.9.1. |
Afhængigt af ODD anvendes de relevante scenarier, der er defineret i punkt 1.3 til 1.5 ovenfor. Det kan være nødvendigt at tilpasse de parametre, der skal anvendes i disse scenarier, for at tage hensyn til den begrænsede kørehastighed og den generelle mangel på synlighed, der kan være på en parkeringsplads. Der skal lægges særlig vægt på at undgå kollision med fodgængere og navnlig med børn og barnevogne. |
|
2. |
Scenarier, der ikke er omfattet af punkt 1. |
|
2.1. |
Der skal opstilles scenarier, som ikke er anført i punkt 1, for at dække kritiske situationer, der med rimelighed kan forudses, herunder svigt og trafikfarer inden for det operationelle designdomæne. |
|
2.2. |
Når ADS-funktioner afhænger af fjernfunktioner, skal scenarierne omfatte svigt og trafikfarer forbundet med de tilsvarende fjernfunktioner. |
|
2.3. |
Metoden til opstilling af scenarier, der ikke er anført i afsnit 1, skal følge principperne i tillæg 1 til del 1 i dette bilag. |
|
2.4. |
Den metode, som fabrikanten anvender til at opstille scenarier, der ikke er anført i punkt 1, skal dokumenteres i den dokumentationspakke, der skal leveres i forbindelse med ADS-vurderingen.
Tillæg 1 Principper, der skal følges for at opstille scenarier, der er relevante for ADS-systemets ODD
1. Opstilling og klassificering af scenarier Ud fra et kvalitativt synspunkt kan scenarier klassificeres i nominelle og kritiske scenarier og svigtscenarier med normal drift eller nøddrift. For hver af disse kategorier kan der anvendes en databaseret tilgang og en videnbaseret tilgang til at opstille tilsvarende trafikscenarier. Ved en videnbaseret tilgang udnyttes ekspertviden til at identificere farlige hændelser systematisk og opstille scenarier. Ved en databaseret tilgang anvendes de tilgængelige data til at identificere og klassificere scenarier. Scenarierne skal baseres på det fuldautomatiske køretøjs ODD. 2. Nominelle scenarier En række analytiske rammer kan hjælpe fabrikanten med at udlede yderligere nominelle scenarier for at sikre dækning af den specifikke anvendelse. Disse rammer er opdelt i: 2.1. ODD-analyse Et ODD består af omgivelsesmæssige elementer (f.eks. fysisk infrastruktur), miljøforhold, dynamiske elementer (f.eks. trafik, bløde trafikanter) og operationelle begrænsninger for den specifikke ADS-applikation. Formålet med denne analyse er at identificere ODD-egenskaberne, tildele egenskaberne og definere interaktioner mellem genstandene. Her undersøges indvirkningen af ODD på ADS-adfærdskompetencerne. Tabel 1 indeholder et eksempel på analysen. Tabel 1 Dynamiske elementer og deres egenskaber
2.2. OEDR-analyse: Identifikation af adfærdskompetencer Når genstandene og de relevante egenskaber er blevet identificeret, er det muligt at kortlægge den relevante ADS-reaktion. ADS-reaktionen er baseret på gældende funktionelle krav og ved at anvende kravene til ydeevne i denne forordning og færdselsreglerne i det land, hvor køretøjet anvendes. Resultatet af OEDR-analysen er også et sæt kompetencer, der kan knyttes til de adfærdskompetencer, der er relevante for ODD, for at sikre, at de relevante lovgivningsmæssige og retlige krav overholdes. Tabel 2 indeholder et kvalitativt eksempel på en matchende hændelse — reaktion. Kombinationen af genstande, hændelser og deres potentielle interaktion som en funktion inden for ODD udgør det sæt nominelle scenarier, der er relevante for det undersøgte ADS. Identifikationen af nominelle scenarier kan drage fordel af en forbedret kombination af scenariedeskriptorer, der inden for ODD dækker f.eks. infrastrukturegenskaber, objekt- og begivenhedskarakteristika, farer, der påvirker reaktionen (f.eks. vejr, synlighed). Identifikationen af nominelle scenarier er ikke begrænset til trafikforhold, men omfatter også miljøforhold, menneskelige faktorer, konnektivitet og dårlig kommunikation. Da parametrene (antagelser) for hændelserne endnu ikke er defineret, skal de nominelle scenarier udledt af anvendelsen af analysen tages i betragtning i deres funktionelle og logiske abstraktionslag. Tabel 2 Adfærdskompetencer i forbindelse med bestemte hændelser
3. Kritiske scenarier Kritiske scenarier kan udledes enten med udgangspunkt i ydergrænseantagelser om nominelle trafikscenarier (databaserede) eller ved at anvende standardiserede metoder (videnbaserede) til evalueringen af operationelle mangler (se eksempel på metoder i punkt 3.5.5 i del 2). Identifikationen af kritiske scenarier kan drage fordel af en forbedret kombination af scenariedeskriptorer og ydergrænser, der inden for ODD dækker f.eks. infrastrukturegenskaber, objekt- og begivenhedskarakteristika, farer, der påvirker reaktionen (f.eks. vejr, synlighedsbegrænsninger, interaktion med andre trafikanter end det objekt eller den hændelse, der udløste reaktionen). Identifikationen af kritiske scenarier er ikke begrænset til trafikforhold, men omfatter også miljøforhold, menneskelige faktorer, konnektivitet og dårlig kommunikation. De kritiske scenarier svarer til nøddrift af ADS. 4. Svigtscenarier Formålet med disse scenarier er at vurdere, hvordan ADS reagerer på et svigt. Der findes forskellige metoder i litteraturen (se eksempel på metoder i punkt 3.5.5 i del 2). Fabrikanten skal indføre relevante strategier i forbindelse med udviklingen af ADS (dvs. fejlsikring) for de enkelte konstaterede funktionssvigt og følgevirkninger. Formålet med opstillingen af svigtscenarierne er at vurdere ADS-systemets evne til at opfylde en række krav i sikkerhedskritiske situationer, herunder f.eks. »ADS skal håndtere sikkerhedskritiske kørselssituationer« og »ADS skal på sikker vis håndtere fejltilstande« og de respektive delkrav. 5. Antagelser: logiske i forhold til konkrete scenarier For at sikre, at de scenarier, der er identificeret i de foregående punkter, er klar til at blive vurderet ved simulering eller fysisk prøvning, kan fabrikanten være nødt til at parametrisere dem på en sammenhængende måde ved at anvende antagelser. Fabrikanten skal fremlægge dokumentation til støtte for de antagelser, der er gjort, såsom dataindsamlingskampagner gennemført i udviklingsfasen, forskning i ulykker under faktiske forhold og vurderinger af realistisk kørselsadfærd. Parametre, der anvendes til at karakterisere kritiske scenarier, bør dække rimeligt forudsigelige værdier i scenariedeskriptorer, men bør ikke begrænses til værdier, der allerede er observeret i dokumenterede databaser. |
DEL 2
VURDERING AF ADS-SIKKERHEDSKONCEPTET OG AUDIT AF FABRIKANTENS SIKKERHEDSSTYRINGSSYSTEM
1. Generelt
|
1.1. |
Den typegodkendende myndighed, der meddeler typegodkendelse, eller den tekniske tjeneste, der handler på dennes vegne, skal ved målrettet stikprøvekontrol og prøvning, navnlig som angivet i punkt 4 i dette bilag, kontrollere, at sikkerhedsargumenterne i dokumentationen opfylder kravene i bilag II, og at fabrikanten rent faktisk anvender de konstruktioner og processer, der er beskrevet i dokumentationen. |
|
1.2. |
Selv om det på grundlag af den fremlagte dokumentation, dokumentation for audit af sikkerhedsstyringssystemet og den vurdering af ADS-sikkerhedskonceptet, der er foretaget til den typegodkendende myndigheds tilfredshed i overensstemmelse med denne forordning, skønnes, at det resterende risikoniveau forbundet med det typegodkendte ADS er acceptabelt for ibrugtagning af køretøjstypen, er det fortsat den fabrikant, der anmoder om typegodkendelse, der er ansvarlig for ADS-systemets sikkerhed i hele systemets levetid, jf. kravene i denne forordning. |
2. Definitioner
I dette bilag forestås ved:
|
2.1. |
»sikkerhedskoncept«: en beskrivelse af de foranstaltninger, der er indbygget i ADS, således at det fuldautomatiske køretøj fungerer i de scenarier og under de hændelser, der er relevante for ODD, på en sådan måde, at køretøjspassagererne og andre trafikanter ikke udsættes for urimelige sikkerhedsrisici ved fejltilstand (funktionel sikkerhed) og normaltilstand (driftssikkerhed). Muligheden for »fall-back« til delvis drift eller et back-up-system, der sikrer de vigtigste ADS-funktioner, indgår i sikkerhedskonceptet. |
|
2.2. |
»enheder«: den mindste underinddeling af systemkomponenter, som er omfattet af dette bilag, idet disse kombinationer af komponenter behandles som separate enheder med henblik på identifikation, analyse eller udskiftning. |
|
2.3. |
»transmissionsforbindelser«: midler, som anvendes til at forbinde forskellige enheder med hinanden, med henblik på udsendelse af signaler, driftsdata eller forsyning med energi. Dette udstyr er normalt elektrisk, men kan til dels være mekanisk, pneumatisk eller hydraulisk. |
|
2.4. |
»kontrolområde«: en output-variabel, som definerer det område, inden for hvilket systemet kan forventes at udøve kontrol. |
|
2.5. |
»grænser for funktionel drift«: definerer grænserne for de ydre fysiske grænser, inden for hvilke ADS er i stand til at udføre dynamiske kørselsopgaver. |
3. Dokumentation vedrørende ADS
3.1. Krav
Fabrikanten skal levere en dokumentationspakke, der giver adgang til det grundlæggende ADS-design og de midler, hvormed det forbindes til andre køretøjssystemer, eller som direkte kontrollerer output-variablerne samt ekstern hardware/software og fjernfunktioner.
ADS-systemets funktion(er), herunder kontrolstrategierne, og det af fabrikanten fastsatte sikkerhedskoncept skal forklares.
Dokumentationen skal være kortfattet, men skal godtgøre, at der er anvendt ekspertise fra alle relevante ADS-områder i design- og udviklingsprocessen.
I forbindelse med periodisk teknisk kontrol skal dokumentationen indeholde en beskrivelse af, hvordan ADS-systemets aktuelle driftsstatus samt funktionaliteten og softwareintegriteten kan efterprøves.
Den typegodkendende myndighed skal vurdere dokumentationspakken for at godtgøre, at ADS:
|
a) |
er konstrueret og udviklet til at fungere på en sådan måde, at det ikke indebærer urimelige risici for køretøjspassagererne og andre trafikanter inden for det angivne ODD og de angivne grænser |
|
b) |
opfylder kravene til ydeevne i bilag II til denne forordning |
|
c) |
blev udviklet i overensstemmelse med den udviklingsproces/metode, der er angivet af fabrikanten. |
|
3.1.1. |
Dokumentationen skal foreligge i tre dele:
|
3.2. Generel beskrivelse af ADS
|
3.2.1. |
Der skal gives en beskrivelse med en enkel forklaring på ADS-systemets driftsegenskaber og funktionaliteter. |
|
3.2.2. |
Beskrivelsen skal omfatte: |
|
3.2.2.1. |
Det operationelle designdomæne såsom maksimal driftshastighed, vejtype (f.eks. dedikeret vognbane), land(e)/driftsområder, vejforhold og miljøforhold (f.eks. ingen sne) osv.)/grænsebetingelser. |
|
3.2.2.2. |
Grundlæggende funktion (f.eks. detektering af genstande og hændelser samt reaktion herpå, ekstern infrastruktur, der er nødvendig under drift). |
|
3.2.2.3. |
Interaktion med andre trafikanter. |
|
3.2.2.4. |
Vigtigste betingelser for minimale risikomanøvrer. |
|
3.2.2.5. |
Interaktionskonceptet med køretøjspassagererne, operatøren i køretøjet (hvis relevant) og fjernoperatøren (hvis relevant). |
|
3.2.2.6. |
Midlerne til operatøren i køretøjets (hvis relevant) eller fjernoperatørens (hvis relevant), køretøjspassagerernes (hvis relevant) eller andre trafikanters (hvis relevant) aktivering eller deaktivering af ADS. |
|
3.2.2.7. |
Operationelle foranstaltninger (f.eks. behov for operatør i køretøjet eller fjernoperatør), der er nødvendige for at garantere sikkerheden under det fuldautomatiske køretøjs drift. |
|
3.2.2.8. |
Backend, ekstern infrastruktur, der er nødvendig for at garantere sikkerheden under det fuldautomatiske køretøjs drift. |
3.3. Beskrivelse af ADS-systemets funktioner
Der skal fremlægges en beskrivelse, som giver en forklaring på alle funktioner, herunder kontrolstrategier, der skal sikre en robust og sikker drift af ADS, og de metoder, der anvendes til at udføre de dynamiske kørselsopgaver inden for ODD, og de grænser, inden for hvilke det automatiserede kørselssystem er beregnet til at fungere, herunder en beskrivelse af, hvordan dette sikres.
Alle aktiverede eller deaktiverede automatiserede kørselsfunktioner, for hvilke hardware og software er til stede i køretøjet på produktionstidspunktet, skal angives og er underlagt kravene i dette bilag samt i bilag II til denne forordning, inden de tages i brug i køretøjet. Fabrikanten skal også dokumentere databehandlingen, hvis der gennemføres algoritmer til kontinuerlig læring.
|
3.3.1. |
Der skal fremlægges en liste over alle indlæste og målte variabler med definition af arbejdsområdet for disse samt en beskrivelse af, hvordan hver variabel påvirker ADS-systemets funktion. |
|
3.3.2. |
Der leveres en fortegnelse over alle outputvariabler, som styres af ADS, og det forklares i hvert enkelt tilfælde, hvorvidt der er tale om direkte kontrol eller kontrol via et andet køretøjssystem. Det område, inden for hvilket ADS forventes at udøve kontrol over hver output-variabel, skal defineres. |
|
3.3.3. |
Øvre og nedre grænseværdier for funktionel drift, herunder ODD-grænser, angives, hvis det er relevant for ADS-systemets funktion. |
|
3.3.4. |
Konceptet interaktion menneske-maskine (HMI) med køretøjspassagererne, operatøren i køretøjet og fjernoperatøren (hvis relevant), når ODD-grænserne nærmer sig og derefter nås, skal forklares. Forklaringen skal omfatte en redegørelse for de typer situationer, hvor ADS vil generere en støtteanmodning til operatøren i køretøjet/fjernoperatøren (hvis relevant), den måde, hvorpå anmodningen udføres, proceduren for håndtering af en mislykket anmodning, og den minimale risikomanøvre. Signaler og oplysninger, der gives til operatøren i køretøjet/fjernoperatøren, køretøjspassagererne og andre trafikanter om hvert af de ovenstående aspekter, skal også beskrives. |
3.4. ADS-konfiguration og -diagram
|
3.4.1. |
Fortegnelse over komponenter
Der leveres en liste med alle ADS-enhederne og med angivelse af andre køretøjssystemer samt ekstern hardware/software og fjernfunktioner, der er nødvendige for at opnå ADS-systemets specificerede ydeevne, der skal godkendes i henhold til systemets ODD. Desuden leveres et diagram, som viser kombinationen af disse enheder og indeholder en nærmere angivelse af komponenternes fordeling og forbindelser med hinanden. Dette diagram skal omfatte:
|
|
3.4.2. |
Enhedernes funktioner
Der gives en kort beskrivelse af de enkelte enheders funktion i ADS, og de signaler, som forbinder systemet med andre enheder eller med andre køretøjssystemer, angives. Den skal omfatte eksterne systemer, der understøtter ADS og andre køretøjssystemer. Disse oplysninger kan afgives som et blokdiagram eller andet diagram, eller som en beskrivelse suppleret af et sådant diagram. |
|
3.4.3. |
De indbyrdes forbindelser i ADS illustreres med et kredsløbsdiagram for elektriske transmissionsforbindelser, med et rørdiagram for pneumatisk eller hydraulisk transmissionsudstyr og med et forenklet diagram for mekaniske forbindelser. Transmissionsforbindelserne både til og fra andre systemer skal også illustreres. |
|
3.4.4. |
Der skal være en klar overensstemmelse mellem transmissionsforbindelserne og de signaler, der sendes mellem enhederne. Prioriteringer for signaler i multiplexdatastier skal angives, såfremt disse kan påvirke ydeevne eller sikkerhed. |
|
3.4.5. |
Identifikation af enheder |
|
3.4.5.1. |
Hver enhed skal klart og utvetydigt kunne identificeres (f.eks. kan hardware mærkes, og software kan mærkes eller forsynes med softwaresignal) for at sikre sammenhængen mellem hardware og dokumentation. Hvis en softwareversion kan ændres, uden at det er nødvendigt at udskifte mærkningen eller komponenten, skal softwareidentifikationen kun ske ved hjælp af softwareoutput. |
|
3.4.5.2. |
Hvis flere funktioner er kombineret i en enkelt enhed eller i en enkelt computer, men af overskuelighedshensyn er angivet som flere blokke i blokdiagrammet, anvendes kun en enkelt identifikationsmærkning af det pågældende hardware. Ved anvendelse af denne identifikation skal fabrikanten bekræfte, at det leverede udstyr er i overensstemmelse med det respektive dokument. |
|
3.4.5.3. |
Identifikationen angiver den pågældende hardware- og softwareversion, og såfremt der kommer en ny version, som ændrer den i henhold til nærværende forordning angivne funktion, skal identifikationen også ændres. |
|
3.4.6. |
Montering af sensorsystemets komponenter
Fabrikanten skal give oplysninger om monteringsmulighederne for de enkelte komponenter, der indgår i sensorsystemet. Disse valgmuligheder skal omfatte, men er ikke begrænset til, komponentens placering i/på køretøjet, materiale(r) omkring komponenten, dimensionering og geometri af det materiale, der omgiver komponenten, samt overfladebehandling af de materialer, der omgiver komponenten, når den er monteret i køretøjet. Oplysningerne skal også omfatte monteringsspecifikationer, der er kritiske for ADS-systemets ydeevne, f.eks. tolerancer for monteringsvinkel. Ændringer af sensorsystemets enkelte komponenter eller monteringsmulighederne skal meddeles den typegodkendende myndighed og underkastes yderligere vurdering. |
3.5. Fabrikantens sikkerhedskoncept og validering af sikkerhedskonceptet
|
3.5.1. |
Fabrikanten skal udforme en erklæring, hvori det bekræftes, at ADS ikke indebærer urimelige risici for køretøjspassagererne og andre trafikanter. |
|
3.5.2. |
Med hensyn til software, der anvendes i ADS, skal konfigurationen forklares, og de anvendte metoder og redskaber i forbindelse med konceptet skal defineres (jf. 3.5.1). Fabrikanten skal dokumentere, hvordan ADS-systemets logik blev bestemt i udformnings- og udviklingsprocessen. |
|
3.5.3. |
Fabrikanten skal tilsende den typegodkendende myndighed en forklaring af de konstruktionsmæssige foranstaltninger, der er indbygget i ADS for at opretholde funktions- og driftssikkerhed. Mulige konstruktionsmæssige foranstaltninger i ADS kan være:
|
|
3.5.3.1. |
Hvis den valgte foranstaltning aktiverer en delvis driftsfunktion ved visse fejltilstande (f.eks. i tilfælde af alvorlige svigt), skal disse tilstande angives (f.eks. type svigt) og den deraf følgende begrænsede effektivitet defineres (f.eks. øjeblikkelig initiering af en minimal risikomanøvre) sammen med advarselsstrategien i forhold til operatøren i køretøjet/fjernoperatøren, passagererne og andre trafikanter (hvis relevant). |
|
3.5.3.2. |
Hvis den valgte konstruktionsmæssige foranstaltning aktiverer en reserveanordning (back-up) eller anden anordning til opfyldelse af den funktionalitet, der er berørt af fejlen, skal principperne for omskiftningsmekanismen, logikken og redundansniveauet og eventuelle indbyggede kontrolfunktioner forklares, og de deraf følgende begrænsninger for effektiviteten specificeres. |
|
3.5.3.3. |
Hvis den valgte konstruktionsmæssige foranstaltning vælger at fjerne den eller de automatiserede kørselsfunktioner, skal dette ske i overensstemmelse med de relevante bestemmelser i denne forordning. Alle de tilhørende udgangskontrolsignaler, der er forbundet med denne funktion, skal forhindres. |
|
3.5.4. |
Fabrikanten skal også give den typegodkendende myndighed en redegørelse for de operationelle sikkerhedsforanstaltninger, der skal træffes med henblik på sikker drift af ADS, f.eks. en operatør i køretøjet eller en fjernoperatør, ekstern støtteinfrastruktur, transport og krav til fysisk infrastruktur, vedligeholdelsesforanstaltninger osv. |
|
3.5.5. |
Dokumentationen skal understøttes af en analyse, der viser, hvordan ADS skal afbøde eller undgå farer, der kan have betydning for køretøjspassagerernes og andre trafikanters sikkerhed. |
|
3.5.5.1. |
Den eller de valgte analysetilgange følges og forvaltes af fabrikanten og stilles til rådighed i forbindelse med den typegodkendende myndigheds inspektion på typegodkendelsestidspunktet og herefter. |
|
3.5.5.2. |
Den typegodkendende myndighed skal vurdere anvendelsen af analysetilgangen eller -tilgangene:
|
|
3.5.5.3. |
Den analytiske tilgang i punkt 3.5.5.2 skal bekræfte, at følgende punkter som minimum er dækket:
|
|
3.5.5.4. |
Den typegodkendende myndigheds vurdering skal bestå af stikprøvekontrol for at fastslå, at argumentationen til støtte for sikkerhedskonceptet er forståelig og logisk og implementeret i ADS-systemets forskellige funktioner. Vurderingen skal også omfatte kontrol af, at valideringsplanerne er robuste nok til at påvise sikkerhed (f.eks. rimelig dækning af valgte scenarieprøvninger ved hjælp af det valgte valideringsværktøj) og er blevet behørigt gennemført. |
|
3.5.5.4.1. |
Den skal påvise, at driften af det fuldautomatiske køretøj ikke indebærer urimelige risici for køretøjspassagererne og andre trafikanter på det operationelle designdomæne, dvs. gennem:
|
|
3.5.5.5. |
Den typegodkendende myndighed skal udføre eller kræve, at der udføres prøver som angivet i punkt 4 i dette bilag for at efterprøve sikkerhedskonceptet. |
|
3.5.5.6. |
I dokumentationen skal de overvågede parametre være opstillet i punktform, og for hvert af de i dette bilags punkt 3.5.4 specificerede fejltilstandstyper angives de advarselssignaler, der skal afgives til operatøren i køretøjet/fjernoperatøren/køretøjspassagererne/andre trafikanter og/eller til service- og inspektionspersonalet. |
|
3.5.5.7. |
I dokumentationen skal der være en beskrivelse af de foranstaltninger, der er truffet for at sikre, at ADS ikke indebærer urimelige risici for køretøjspassagererne og andre trafikanter, når ADS-systemets ydeevne er påvirket af miljøforhold såsom klima, temperatur, støvindtrængning, vandindtrængning, isslag, ugunstige vejrforhold. |
4. Verifikation og prøvning
Under hensyntagen til resultaterne af analysen af fabrikantens dokumentationspakke skal den typegodkendende myndighed anmode den tekniske tjeneste om at udføre eller overvære prøvningerne for at kontrollere specifikke spørgsmål, som vurderingen har givet anledning til.
|
4.1. |
ADS-systemets funktionelle drift, jf. de i punkt 3 foreskrevne dokumenter, prøves som følger: |
|
4.1.1. |
Verifikation af ADS-systemets funktion
Den typegodkendende myndighed skal kontrollere ADS ved normaltilstand ved at prøve en række funktioner på en vognbane, som den typegodkendende myndighed anser for nødvendige, udvalgt blandt dem, der er beskrevet af fabrikanten, og ved at efterprøve ADS-systemets generelle funktion under faktiske kørselsforhold, herunder overholdelsen af færdselsreglerne. Disse prøvninger skal omfatte scenarier, hvor ADS tilsidesættes af fjernoperatøren (hvis relevant). Disse prøvninger kan baseres på de prøvningsscenarier, der er anført i del 3 i dette bilag, og/eller på yderligere scenarier, der ikke er omfattet af del 3. |
|
4.1.1.1. |
Prøvningsresultaterne skal svare til den beskrivelse, herunder kontrolstrategierne, som fabrikanten har fremlagt i punkt 3.2, og skal opfylde kravene til ydeevne i denne forordning. |
|
4.1.2. |
Verifikation af ADS-sikkerhedskonceptet
ADS-systemets reaktion skal kontrolleres ved fejltilstand i en vilkårlig enhed ved at anvende de respektive outputsignaler til elektriske enheder eller mekaniske elementer for at simulere virkningen af indre svigt i enheden. Den typegodkendende myndighed skal verificere, at disse prøvninger omfatter aspekter, som kan have indflydelse på køretøjets styrbarhed og brugerinformation (HMI-aspekter, f.eks. interaktion med operatøren i køretøjet/fjernoperatøren). |
|
4.1.2.1. |
De typegodkendende myndigheder skal også kontrollere en række scenarier, der er kritiske for detektering af genstande og hændelser samt reaktion herpå (OEDR) og karakteriseringen af ADS-systemets beslutningstagende funktioner og HMI-funktioner (f.eks. en genstand, der er vanskelig at detektere, når ADS når ODD-grænserne, trafikforstyrrelsesscenarier, konnektivitetsproblemer, problemer med eksterne systemer, problemer med fjernfunktioner, f.eks. fjernoperatørens fravær) som defineret i denne forordning. |
|
4.1.2.2. |
Resultaterne af verifikationen skal have en sådan grad af overensstemmelse med den dokumenterede sammenfatning af fareanalysen, at det overordnet kan bekræftes, at sikkerhedskonceptet og dets gennemførelse er tilstrækkelig og i overensstemmelse med kravene i denne forordning. |
|
4.2. |
Simuleringsværktøj og matematiske modeller til verifikation af sikkerhedskonceptet kan anvendes i overensstemmelse med bilag VIII til forordning (EU) 2018/858, navnlig for scenarier, der er vanskeligt realiserbare på prøvebane eller under faktiske kørselsforhold. Fabrikanterne skal påvise simuleringsværktøjets anvendelsesområde, dets gyldighed for det pågældende scenario samt den validering, der er foretaget for simuleringsværktøjskæden (sammenhæng mellem resultatet og fysiske prøvninger). For at påvise validiteten af simuleringsværktøjskæden finder principperne i del 4 i dette bilag anvendelse. Simulering må ikke træde i stedet for de fysiske prøvninger i del 3 i dette bilag. |
|
4.3. |
Fabrikanten skal være i besiddelse af en gyldig overensstemmelsesattest for sikkerhedsstyringssystemet (SMS), som er relevant for den køretøjstype, der skal godkendes. |
5. Sikkerhedsstyringssystem (SMS)
|
5.1. |
For så vidt angår ADS, skal fabrikanten over for den typegodkendende myndighed igennem et sikkerhedsstyringssystem (SMS) påvise, at der forefindes effektive processer, uddannelsesforanstaltninger, metoder, og værktøjer, at disse er ajourførte og følges i organisationen med henblik på at styre sikkerheden og den fortsatte overholdelse i hele ADS-systemets livscyklus. |
|
5.2. |
Der skal etableres en design- og udviklingsproces, herunder et sikkerhedsstyringssystem, forvaltning af krav, gennemførelse af krav, prøvning, sporing af svigt, afhjælpning og frigivelse, og processen skal dokumenteres. |
|
5.3. |
Fabrikanten skal opretholde effektive kommunikationskanaler mellem sine afdelinger med ansvar for funktionel/driftsmæssig sikkerhed, cybersikkerhed og andre relevante områder i forbindelse med opnåelse af køretøjssikkerhed. |
|
5.4. |
Fabrikanten skal have procedurer til indsamling af køretøjsdata og data fra andre kilder med henblik på overvågning og analyse af sikkerhedsrelevante hændelser/ulykker forårsaget af det automatiserede kørselssystem. Fabrikanten skal indberette de relevante hændelser til de typegodkendende myndigheder, markedsovervågningsmyndighederne og Kommissionen i overensstemmelse med del 5 i dette bilag. |
|
5.4.1. |
Fabrikanten skal gøre det muligt for transportoperatøren at forsyne de typegodkendende myndigheder, markedsovervågningsmyndighederne eller andre myndigheder, der er udpeget af medlemsstaterne, med køretøjsdataene i overensstemmelse med punkt 5.4 ovenfor samt med ADS-dataene og de specifikke dataelementer for kollisionsdatarekorder, der er indsamlet i overensstemmelse med punkt 9 i bilag II. |
|
5.5. |
Fabrikanten skal have procedurer til håndtering af potentielle sikkerhedsrelevante mangler efter registreringen og til opdatering af køretøjerne, hvis det er nødvendigt. |
|
5.6. |
Fabrikanten skal påvise, at der gennemføres periodiske uafhængige interne procesauditter (f.eks. hvert andet år) for at sikre, at de processer, der er etableret i overensstemmelse med punkt 5.1-5.5, gennemføres konsekvent. |
|
5.7. |
Fabrikanterne skal indføre passende ordninger (f.eks. kontraktmæssige ordninger, klare grænseflader, kvalitetssikringssystemer) med leverandørerne for at sikre, at leverandørens sikkerhedsstyringssystem opfylder kravene i punkt 5.1 (bortset fra køretøjsrelaterede aspekter som »drift« og »dekommissionering«), 5.2, 5.3 og 5.6. |
|
5.8. |
Overensstemmelsesattest for sikkerhedsstyringssystemet |
|
5.8.1. |
Ansøgning om en overensstemmelsesattest for sikkerhedsstyringssystemet indgives af fabrikanten eller dennes behørigt befuldmægtigede repræsentant til den typegodkendende myndighed. |
|
5.8.2. |
Ansøgningen skal bilægges nedennævnte dokumenter i tre eksemplarer og følgende oplysninger:
|
|
5.8.3. |
Når denne audit af sikkerhedsstyringssystemet er tilfredsstillende gennemført, og når der foreligger en underskrevet erklæring fra fabrikanten i overensstemmelse med modellen i tillæg 3, udstedes der til fabrikanten en attest kaldet overensstemmelsesattest for sikkerhedsstyringssystemet som beskrevet i tillæg 4 (i det følgende benævnt »SMS-overensstemmelsesattest«). |
|
5.8.4. |
SMS-overensstemmelsesattesten forbliver gyldig i højst tre år fra datoen for certifikatets udstedelse, med mindre det bliver tilbagekaldt. |
|
5.8.5. |
Den typegodkendende myndighed kan til enhver tid kontrollere, at kravene til SMS-overensstemmelsesattesten fortsat er opfyldt. Den typegodkendende myndighed skal inddrage SMS-overensstemmelsesattesten, hvis der konstateres væsentlige afvigelser fra kravene i denne forordning, som ikke straks afhjælpes. |
|
5.8.6. |
Fabrikanten skal underrette den typegodkendende myndighed eller den tekniske tjeneste om eventuelle ændringer, der påvirker relevansen af SMS-overensstemmelsesattesten. Efter samråd med fabrikanten afgør den typegodkendende myndighed eller dennes tekniske tjeneste, om der er behov for ny kontrol. |
|
5.8.7. |
Fabrikanten skal i god tid ansøge om en ny attest eller en forlængelse af den eksisterende SMS-overensstemmelsesattest. Med forbehold for en positiv vurdering udsteder den typegodkendende myndighed en ny SMS-overensstemmelsesattest eller forlænger dens gyldighed med yderligere tre år. Den typegodkendende myndighed kontrollerer, at sikkerhedsstyringssystemet fortsat opfylder kravene i denne forordning. Den typegodkendende myndighed udsteder en ny attest, hvis den typegodkendende myndighed eller dennes tekniske tjeneste er blevet gjort opmærksom på ændringer, og den nye vurdering af disse ændringer er positiv. |
|
5.8.8. |
Udløb eller inddragelse af fabrikantens SMS-overensstemmelsesattest betragtes som en ændring af godkendelsen, for så vidt angår de køretøjstyper, som det pågældende sikkerhedsstyringssystem var relevant for, hvilket kan medføre en inddragelse af godkendelsen, hvis betingelserne for at opnå godkendelse ikke længere er opfyldt. |
6. Bestemmelser om rapportering
|
6.1. |
Rapporteringen om sikkerhedsvurderingen af ADS-sikkerhedskonceptet samt auditten af fabrikantens sikkerhedsstyringssystem skal udføres på en sådan måde, at det muliggør sporbarhed, f.eks. kan versioner af dokumenter, der inspiceres, være kodet og opført i den tekniske tjenestes register. |
|
6.2. |
Et eksempel på layout for vurderingsrapporten om ADS-sikkerhedskonceptet fra den tekniske tjeneste til den typegodkendende myndighed er anført i tillæg 1 til denne del. De opførte punkter i dette tillæg er beskrevet som et minimumssæt af punkter, der skal dækkes. |
|
6.3. |
Den typegodkendende myndighed udsteder de sikkerhedsvurderingsresultater, der skal vedlægges typegodkendelsesattesten, på grundlag af dokumentationen fra fabrikanten, rapporten om vurdering af ADS-sikkerhedskonceptet fra den tekniske tjeneste og resultaterne af de verifikations- og prøvningskampagner, der er gennemført i overensstemmelse med del 3 i dette bilag. Et eksempel på et muligt layout for sikkerhedsvurderingsresultaterne er anført i tillæg 4. |
7. Revisorers/assessorers kompetence
|
7.1. |
Vurderingen af ADS-sikkerhedskonceptet og auditten af sikkerhedsstyringssystemet i denne del må kun foretages af revisorer/assessorer, som har den tekniske og administrative viden, der er nødvendig til sådanne formål. De skal navnlig være kompetente som revisor/assessor efter ISO 26262-2018 (Funktionel sikkerhed — Vejkøretøjer) og ISO/PAS 21448 (Safety of the Intended Functionality of road vehicles). De skal være i stand til at skabe den nødvendige forbindelse til cybersikkerhedsaspekter i overensstemmelse med FN-regulativ nr. 155 og ISO/SAE 21434. Denne kompetence skal dokumenteres gennem passende kvalifikationer eller andre tilsvarende uddannelsesbeviser.
Tillæg 1 Model til vurderingsrapporten om ADS-sikkerhedskonceptet Sikkerhedsvurderingsrapport nr.: 1. Identifikation 1.1. Køretøjets fabrikat: 1.2. Køretøjstype 1.3. Køretøjstypeidentifikationsmærke, såfremt dette er angivet på køretøjet: 1.4. Mærkets anbringelsessted: 1.5. Fabrikantens navn og adresse: 1.6. Navn og adresse på fabrikantens eventuelle repræsentant: 1.7. Fabrikantens formelle dokumentationspakke:Referencenummer på dokumentation: Dato for første udstedelse: Dato for seneste opdatering: 2. Evalueringsmetode 2.1. Beskrivelse af vurderingsprocesser og -metoder 2.2. Acceptkriterier 3. Resultaterne af gennemgangen af dokumentationspakken 3.1. Gennemgang af ADS-beskrivelsen 3.2. Gennemgang af fabrikantens sikkerhedskoncept og sikkerhedsanalyse. 3.3. Gennemgang af den verifikation og validering, som fabrikanten har foretaget, navnlig dækningen af de forskellige prøvninger, og fastsættelse af minimumstærskler for forskellige parametre. 3.4. Gennemgang af metoderne og værktøjerne (software, laboratorium, andet) og troværdighedsvurderingen 3.5. Gennemgang af ADS-datakrav og specifikke dataelementer til kollisionsdatarekorder til fuldautomatiske køretøjer 3.6. Kontrol af, om certifikater for cybersikkerhed og softwareopdateringer omfatter ADS 3.7. Gennemgang af oplysningerne i driftshåndbogen 3.8. Gennemgang af forskrifterne vedrørende periodisk teknisk kontrol af ADS 3.9. Gennemgang af yderligere oplysninger, der ikke er indeholdt i oplysningsskemaet 4. Verifikation af ADS-funktioner ved normaltilstand (jf. punkt 4.1.1 i del 2 i bilag III til Kommissionens gennemførelsesforordning (EU) 2022/1426 af 5. august 2022 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) 2019/2144 for så vidt angår ensartede procedurer og tekniske specifikationer for typegodkendelse af det automatiserede kørselssystem (ADS) i fuldautomatiske køretøjer (2) 4.1. Begrundelse for udvælgelsen af prøvningsscenarier 4.2. Udvalgte prøvningsscenarier 4.3. Prøvningsrapporter 4.3.1. Prøvningsnummer (alle udførte prøvninger) 4.3.1.1. Prøvningsmål 4.3.1.2. Prøvningsbetingelser 4.3.1.3. Målte mængder og måleinstrumenter 4.3.1.4. Acceptkriterier 4.3.1.5. Prøvningsresultater 4.3.1.6. Sammenligning med fabrikantens forelagte dokumentation 5. Verifikation af ADS-sikkerhedskonceptet ved fejl (jf. punkt 4.1.2 i del 2 i bilag III til gennemføreslsesforordning (EU) 2022/1426 5.1. Begrundelse for udvælgelsen af prøvningsscenarier 5.2. Udvalgte prøvningsscenarier 5.3. Prøvningsrapporter 5.3.1. Prøvningsnummer (alle udførte prøvninger) 5.3.1.1. Prøvningsmål 5.3.1.2. Prøvningsbetingelser 5.3.1.3. Målte mængder og måleinstrumenter 5.3.1.4. Acceptkriterier 5.3.1.5. Prøvningsresultater 5.3.1.6. Sammenligning med fabrikantens forelagte dokumentation 6. Certifikat for sikkerhedsstyringssystemet (skal vedlægges denne prøvningsrapport) 7. Tidspunkt for vurderingen 8. Endelig vurdering af resultatet af sikkerhedsvurderingen 9. Denne vurdering er udført og resultaterne videregivet i overensstemmelse med gennemførelsesforordning (EU) 2022/1426Teknisk tjeneste, som foretager vurderingen
10. Bemærkninger: Tillæg 2 Model til ADS-vurderingsresultaterne, der skal vedlægges typegodkendelsesattesten 1. Identifikation 1.1. Køretøjets fabrikat: 1.2. Køretøjstype: 1.3. Køretøjstypeidentifikationsmærke, såfremt dette er angivet på køretøjet: 1.4. Mærkets anbringelsessted: 1.5. Fabrikantens navn og adresse: 1.6. Navn og adresse på fabrikantens eventuelle repræsentant: 1.7. Fabrikantens formelle dokumentationspakke:Referencenummer på dokumentation: Dato for første udstedelse: Dato for seneste opdatering: 2. Evalueringsmetode 2.1. Beskrivelse af vurderingsprocesser og -metoder 2.2. Acceptkriterier 3. Verifikation af ADS-funktioner ved normaltilstand (jf. punkt 4.1.1 i del 2 i bilag III til gennemførelsesforordning (EU) 2022/1426 3.1. Begrundelse for udvælgelsen af prøvningsscenarier 3.2. Udvalgte prøvningsscenarier 4. Verifikation af ADS-sikkerhedskonceptet ved enkeltfejl (jf. punkt 4.1.2 i del 2 i bilag III til gennemførelsesforordning (EU) 2022/1426 4.1. Begrundelse for udvælgelsen af prøvningsscenarier 4.2. Udvalgte prøvningsscenarier 5. Resultater af vurderingen 5.1. Resultaterne af gennemgangen af oplysningsskemaet 5.2. Resultater af verifikationen af ADS-funktioner ved normaltilstand 5.3. Resultater af verifikationen af ADS-sikkerhedskonceptet ved enkeltfejl 5.4. Resultaterne af vurderingen af sikkerhedsstyringssystemet 5.5. Resultaterne af verifikationen af bestemmelserne om periodisk teknisk kontrol 6. Endelig vurdering af resultatet af sikkerhedsvurderingen Tillæg 3 Model til fabrikantens erklæring om overensstemmelse for sikkerhedsstyringssystemet Fabrikantens erklæring om overensstemmelse med kravene til sikkerhedsstyringssystemet Fabrikantens navn: Fabrikantens adresse: … (fabrikantens navn) erklærer, at de nødvendige processer til opfyldelse af kravene til sikkerhedsstyringssystemet fastsat i gennemførelsesforordning (EU) 2022/1426 er blevet installeret og vil blive vedligeholdt. Udfærdiget i: … (sted) Dato: Underskriverens navn: Underskriverens funktion: (Fabrikantens repræsentant, stempel og underskrift) Tillæg 4 Model til SMS-overensstemmelsesattesten Overensstemmelsesattest for sikkerhedsstyringssystemet Med genemførelsesforordning (EU) 2022/1426 Attestnummer [referencenummer] [… typegodkendende myndighed] Bekræfter hermed, at Fabrikant: … Fabrikantens adresse: opfylder bestemmelserne i gennemførelsesforordning (EU) 2022/1426 Kontrol er udført den: af (navn og adresse på den typegodkendende myndighed eller tekniske tjeneste): Rapportens nr.: … Attesten er gyldig til den […dato] Udfærdiget i […Sted] Den […Dato] […underskrift] Bilag: Fabrikantens beskrivelse af sikkerhedsstyringssystemet. |
DEL 3
PRØVNINGER
1. Almindelige bestemmelser
Kriterier for godkendelse/ikkegodkendelse ved vurdering af ADS-sikkerheden skal baseres på kravene i bilag II og det scenarie, der er beskrevet i del 1 i dette bilag. Kravene er defineret på en sådan måde, at kriterierne for godkendelse/forkastelse ikke kun kan udledes for et bestemt sæt prøvningsparametre, men også for alle sikkerhedsrelevante kombinationer af parametre, der kan forekomme under de driftsforhold, som er omfattet af typegodkendelsen, og det definerede driftsområde (f.eks. hastighedsområde, accelerationsområde i længderetningen og sideværts, krumningsradier, lysstyrke, antal vognbaner). Under forhold, der ikke er prøvet, men som kan forekomme inden for systemets definerede ODD, skal fabrikanten som led i vurderingen beskrevet i del 2 godtgøre over for den typegodkendende myndighed, at køretøjet er sikkert kontrolleret.
Disse prøvninger skal bekræfte de mindstekrav til ydeevne, der er beskrevet i bilag II, og ADS-systemets funktionalitet og fabrikantens sikkerhedskoncept som beskrevet i del 2 i dette bilag. Prøvningsresultaterne skal dokumenteres og rapporteres i overensstemmelse med punkt 6 i del 2 i dette bilag.
Disse prøvninger skal også bekræfte, at ADS-systemet er i overensstemmelse med færdselsreglerne, tilpasser sin drift til miljøforholdene, undgår forstyrrelser af trafikstrømmen (f.eks. blokering af vognbanen på grund af for mange MRM'er), ikke udviser uforudsigelig adfærd og udviser en rimelig samarbejdsorienteret og foregribende adfærd i relevante situationer (dvs. sammenfletning i tæt trafik eller i nærheden af bløde trafikanter).
2. Prøvningssted
Prøvningsstedet skal omfatte egenskaber (f.eks. friktionsværdi), som er i overensstemmelse med ADS-systemets definerede ODD. Hvis det er nødvendigt for anvendelsen af ADS-systemets specifikke ODD-forhold, udføres der fysiske prøvninger inden for det faktiske ODD (under vejkørsel) eller i en anden prøvningsfacilitet, hvor ODD-forholdene efterlignes, og disse prøvninger skal fastlægges af fabrikanten og den typegodkendende myndighed. ADS skal prøves under kørsel på vej i overensstemmelse med gældende lovgivning i medlemsstaterne, og forudsat at prøvninger kan udføres sikkert og uden risiko for andre trafikanter.
3. Miljøforhold
Prøvningerne skal udføres under forskellige miljøforhold inden for grænserne af ADS-systemets definerede ODD. Under miljøforhold, der ikke er prøvet, men som kan forekomme inden for det definerede ODD, skal fabrikanten som led i vurderingen godtgøre over for den typegodkendende myndighed, at køretøjet er sikkert kontrolleret.
For at teste kravene vedrørende funktionssvigt, ADS-selvtest og iværksættelse og gennemførelse af en minimal risikomanøvre kan fejl fremkaldes kunstigt, og køretøjet kan kunstigt bringes i situationer, hvor det når grænserne for det definerede driftsområde (f.eks. miljøforhold).
4. Systemændringer med henblik på afprøvning
Hvis det er nødvendigt at foretage ændringer af ADS med henblik på prøvning, f.eks. kriterier for vurdering af vejtyper eller vejtypeoplysninger (kortdata), skal det sikres, at disse ændringer ikke påvirker prøvningsresultaterne. Disse ændringer skal i princippet dokumenteres og vedlægges prøvningsrapporten. Beskrivelsen af og (eventuelle) tegn på disse ændringers påvirkning skal dokumenteres og vedlægges prøvningsrapporten.
5. Forhold ved køretøjet
|
5.1. |
Prøvningsmasse
Prøvekøretøjet skal prøves med enhver tilladt belastning af køretøjet. Der må ikke foretages ændringer af belastningen, når prøvningsproceduren er påbegyndt. Fabrikanten skal ved hjælp af dokumentation påvise, at ADS fungerer ved alle belastningsforhold. |
|
5.2. |
Prøvekøretøjet skal prøves ved det dæktryk, som anbefales af fabrikanten. |
|
5.3. |
Det skal verificeres, at systemets tilstand er i overensstemmelse med det tilsigtede prøvningsformål (f.eks. i fejlfri tilstand eller med de specifikke fejl, der skal prøves). |
6. Prøvningsværktøjer
Ud over rigtige køretøjer kan der anvendes avancerede prøvningsværktøjer til at udføre prøvningerne og erstatte rigtige køretøjer og andre trafikanter (f.eks. bløde mål, mobile platforme osv.). Disse værktøjer skal opfylde de egenskaber, der er relevante for vurdering af sensorisk ydeevne, rigtige køretøjer og andre trafikdeltagere. Prøvningerne må ikke udføres på en måde, der kan bringe det involverede personale i fare, og betydelig beskadigelse af det køretøj, der prøves, skal undgås, hvis der findes andre midler til validering.
7. Variation i prøvningsparametre
Fabrikanten skal meddele systemgrænserne til den typegodkendende myndighed. Den typegodkendende myndighed skal definere forskellige kombinationer af prøvningsparametre (f.eks. køretøjets aktuelle hastighed, type og målforskydning, vognbanens kurver osv.) med henblik på prøvning af ADS. De udvalgte prøvninger skal sikre tilstrækkelig prøvningsdækning af alle scenarier, prøvningsparametre og miljøpåvirkninger. Det skal påvises, at ADS-systemets perceptionssystemer er tilstrækkelig robuste over for fejl i input-/sensordata og ugunstige miljøforhold.
Prøvningsparametre for hver prøvning udvælges af den typegodkendende myndighed og registreres i en prøvningsrapport på en sådan måde, at prøveopstillingen er sporbar og repeterbar.
8. Prøvningsscenarier til vurdering af ADS-systemets ydeevne på en prøvebane (punkt 8.1, 8.2, 8.5, 8.6, 8.7, 8.8, 8.9) og under kørsel på vej (8.3, 8.4, 8.10)
Scenarierne i de følgende punkter skal betragtes som et minimumssæt af prøvninger. På den typegodkendende myndigheds anmodning kan der gennemføres yderligere scenarier, som indgår i ODD. Hvis et scenario beskrevet i punkt 8 i dette bilag ikke henhører under køretøjets ODD, skal det ikke tages i betragtning.
Afhængigt af ODD skal prøvningsscenarier udvælges som led i typegodkendelsesprøvningen. Prøvningsscenarierne udvælges i overensstemmelse med del 1 i dette bilag. Typegodkendelsesprøvning kan udføres på grundlag af simuleringer, manøvrer på prøvebanen og kørsel i trafikken. Den må dog ikke udelukkende være baseret på computersimuleringer, og på tidspunktet for typegodkendelsen skal den typegodkendende myndighed som minimums gennemføre eller overvære følgende prøvninger for at vurdere ADS-systemets funktion.
8.1. Vognbanefastholdelse
Prøvningen skal vise, at det fuldautomatiske køretøj ikke forlader sin vognbane og fastholder en stabil bevægelse i sin egen vognbane over hele hastighedsområdet og forskellige kurver inden for systemets grænser.
|
8.1.1. |
Prøvningen skal baseres på ADS-systemets ODD og som minimum udføres:
|
8.2. Vognbaneskift (LCM)
Prøvningerne skal vise, at det fuldautomatiske køretøj ikke indebærer urimelige sikkerhedsrisici for køretøjspassagererne og andre trafikanter under vognbaneskift, og at ADS kan vurdere situationens alvor inden påbegyndelsen af vognbaneskift (LCM) i hele det operationelle hastighedsområde. Disse prøvninger er kun påkrævet, hvis det fuldautomatiske køretøj kan foretage vognbaneskift enten under en minimal risikomanøvre eller under normal drift.
|
8.2.1. |
Følgende prøvninger skal udføres:
|
|
8.2.2. |
Prøvningen udføres som minimum:
|
8.3. Reaktion på forskellige vejgeometrier
Disse prøvninger skal sikre, at det fuldautomatiske køretøj detekterer og tilpasser sig en variation i forskellige vejgeometrier, som kan forekomme inden for det tilsigtede ODD i hele dets hastighedsområde.
|
8.3.1. |
Prøvningen skal som minimum udføres med nedenstående liste over scenarier baseret på ADS-systemets ODD:
|
|
8.3.2. |
Hver prøvning udføres som minimum:
|
8.4. Reaktion på nationale færdselsregler og vejinfrastruktur
Disse prøvninger skal sikre, at det fuldautomatiske køretøj overholder de nationale færdselsregler, og at det tilpasses forskellige permanente og midlertidige ændringer af vejinfrastrukturen (f.eks. vejanlæg) i hele hastighedsområdet.
|
8.4.1. |
Prøvningerne skal som minimum udføres med nedenstående liste over scenarier, som er relevante for ADS-systemets ODD:
|
|
8.4.2. |
Hver prøvning udføres som minimum:
|
8.5. Kollisionsundgåelse: Undgåelse af kollision med en trafikant eller en genstand, der blokerer vognbanen
Prøvningen skal vise, at det fuldautomatiske køretøj undgår kollision i tilfælde af et stationært køretøj, en trafikant eller en helt eller delvis spærret vognbane op til ADS-systemets angivne maksimale hastighed.
|
8.5.1. |
Denne prøvning skal som minimum udføres i følgende scenarier, hvor det er relevant for ODD:
|
8.6. Undgåelse af nødbremsning foran en genstand, der kan passeres, i vognbanen. En »genstand, der kan passeres«, er en genstand, som køretøjet kan køre over, uden at det medfører en urimelig risiko for køretøjspassagererne eller andre trafikanter.
Prøvningen skal vise, at det fuldautomatiske køretøj ikke initierer en nødbremsning med et decelerationskrav på mere end 5 m/s2 på grund af en genstand, der kan passeres, i den vognbane, der er relevant for ODD (f.eks. et kloakdæksel eller en lille gren), op til ADS-systemets angivne maksimale hastighed.
|
8.6.1. |
Denne prøvning skal som minimum udføres i følgende scenarier, hvor det er relevant for ODD:
|
8.7. Følgning af forankørende køretøj
Prøvningen skal vise, at det fuldautomatiske køretøj er i stand til at opretholde og genoprette en stabil bevægelse og en sikkerhedsafstand til et forankørende køretøj og er i stand til at undgå en kollision med et forankørende køretøj, der decelererer med op til dets maksimale deceleration.
|
8.7.1. |
Denne prøvning skal som minimum udføres i følgende scenarier, hvor det er relevant for ODD:
|
8.8. Andet køretøjs vognbaneskift ind i vognbanen (indtrækning)
Prøvningen skal vise, at det fuldautomatiske køretøj er i stand til at undgå en kollision med et køretøj eller anden trafikant, der trækker ind i det fuldautomatiske køretøjs vognbane, indtil en vis grænse for indtrækningsmanøvrens kritikalitet.
|
8.8.1. |
Indtrækningsmanøvrens kritikalitet bestemmes i henhold til de bestemmelser, der er indført i del 1 i dette bilag, afstanden mellem det indtrækkende køretøjs bageste punkt og det fuldautomatiske køretøjs forreste punkt. |
|
8.8.2. |
Prøvningen skal som minimum udføres i følgende scenarier, hvor det er relevant for ODD:
|
8.9. Stationær forhindring efter det forankørende køretøjs vognbaneskift (udtrækning)
Prøvningen skal vise, at det fuldautomatiske køretøj i stand til at undgå en kollision med et stationært køretøj, en trafikant eller med en spærret vognbane, som bliver synlig, efter at et køretøj foran har undgået en kollision ved en undvigemanøvre. Prøvningen skal baseres på kravene i bilag II og scenarieparametrene i del 1 i dette bilag. Under forhold, der ikke er prøvet, og som kan forekomme inden for køretøjets definerede driftsområde, skal fabrikanten som led i vurderingen beskrevet i bilag III, del 2, godtgøre over for de relevante myndigheder, at køretøjet er sikkert kontrolleret.
|
8.9.1. |
Prøvningen skal som minimum udføres i følgende scenarier, hvor det er relevant for ODD:
|
8.10. Parkering
Prøvningen skal vise, at ADS-systemet kan parkere på forskellige parkeringspladser og i parkeringskonstruktioner under forskellige forhold, og at det under parkeringsmanøvren ikke skader de omkringliggende genstande, trafikanterne og køretøjet selv.
|
8.10.1. |
Prøvningen skal som minimum udføres i følgende scenarier, hvor det er relevant for ODD:
|
8.11. Navigering på en parkeringsplads
Prøvningen skal vise, at ADS-systemet kan håndtere den lave kørehastighed og den generelle mangel på synlighed, der kan være på en parkeringsplads.
|
8.11.1. |
Prøvningen skal som minimum udføres i følgende scenarier, hvor det er relevant for ODD:
|
8.12. Specifikke motorvejsscenarier
|
8.12.1. |
Motorvejstilkørsel
Prøvningen skal vise, at ADS kan køre sikkert ind på motorvejen. |
|
8.12.1.1. |
Prøvningen skal som minimum udføres i følgende scenarier, hvor det er relevant for ODD:
|
|
8.12.2. |
Motorvejsfrakørsel
Prøvningen skal vise, at ADS kan forlade motorvejen sikkert. |
|
8.12.2.1. |
Prøvningen skal som minimum udføres i følgende scenarier, hvor det er relevant for ODD:
|
|
8.12.3. |
Betalingsstation
Prøvningen skal vise, at ADS-systemet kan vælge den korrekte bom og tilpasse hastigheden til den tilladte hastighed i betalingsområdet. |
|
8.12.3.1. |
Prøvningen skal som minimum udføres i følgende scenarier, hvor det er relevant for ODD:
|
8.13. For duokøretøjer, overgang mellem manuel kørsel og fuldautomatisk kørsel.
Prøvningen skal vise, at ADS overtager DDT på en sikker måde, og kun når køretøjet holder stille.
|
8.13.1. |
Prøvningen skal som minimum udføres i følgende scenarier, hvor det er relevant for ODD:
|
|
8.13.2. |
Prøvningen skal som minimum udføres i følgende scenarier, hvor det er relevant for ODD:
|
DEL 4
PRINCIPPER FOR VURDERING AF TROVÆRDIGHEDEN VED AT BRUGE VIRTUELLE VÆRKTØJSKÆDER TIL ADS-VALIDERING
1. Generelt
|
1.1. |
Troværdigheden kan opnås ved at undersøge og vurdere fem egenskaber ved modellering og simulering (M&S):
|
|
1.2. |
Samtidig skal rammen for vurdering af troværdighed være tilstrækkelig generel til at kunne anvendes til forskellige typer og anvendelser af M&S. Målet kompliceres imidlertid af de store forskelle mellem ADS-funktionaliteter og de forskellige typer og anvendelser af M&S. Disse overvejelser kræver en (risikobaseret/informeret) ramme for vurdering af troværdighed, som er relevant og passende for alle M&S-anvendelser. |
|
1.3. |
Rammen for vurdering af troværdighed omfatter en generel beskrivelse af de vigtigste aspekter, der skal tages i betragtning ved vurderingen af troværdigheden af en M&S-løsning, samt principperne for eksterne assessorers rolle i valideringen af troværdigheden. Med hensyn til sidstnævnte punkt skal den typegodkendende myndighed undersøge den fremlagte dokumentation til støtte for troværdigheden i vurderingsfasen, hvorimod de faktiske valideringsprøvninger finder sted, når fabrikanten har udviklet de integrerede simuleringssystemer. |
|
1.4. |
I sidste ende skal resultatet af den nuværende vurdering af troværdigheden definere den ramme, inden for hvilken det virtuelle værktøj kan anvendes til at understøtte ADS-vurderingen. |
|
1.5. |
Kravene i denne del har derfor til formål at påvise troværdigheden ved at bruge simuleringsmodeller og virtuelle værktøjskæder til ADS-validering. |
2. Definitioner
I dette bilag forstås ved:
|
2.1. |
»abstraktion«: processen med at udvælge de væsentlige aspekter af et kildesystem eller et referencesystem, der skal repræsenteres i en model eller simulering, uden hensyntagen til ikkerelevante aspekter. Enhver modelleringsabstraktion indebærer en antagelse, der ikke i væsentlig grad må påvirke simuleringsværktøjets tilsigtede anvendelser. |
|
2.2. |
»lukket loop-prøvning«: et virtuelt miljø, hvor der tages hensyn til, hvordan loopelementet agerer. Simulerede genstande reagerer på systemets handlinger (f.eks. et system, der interagerer med en trafikmodel). |
|
2.3. |
»deterministisk«: et udtryk, der beskriver et system, hvis udvikling over tid kan forudsiges nøjagtigt, og hvor et givet sæt inputstimuli altid vil give samme output. |
|
2.4. |
»driver-in-the-loop (DIL)«: udføres typisk i en kørselssimulator, der anvendes til prøvning af interaktionsdesignet (interaktion mellem menneske og maskine). DIL har komponenter, der gør det muligt for føreren at drive og kommunikere med det virtuelle miljø. |
|
2.5. |
»hardware-in-the-loop (HIL)«: involverer den endelige hardware i et specifikt delsystem i køretøjet, der kører den endelige software med input og output koblet til et simuleringsmiljø med henblik på virtuel prøvning. HIL-prøvning giver mulighed for at replikere sensorer, aktuatorer og mekaniske komponenter på en måde, der forbinder alle I/O i de elektroniske styreenheder (ECU), som prøves, længe før det endelige system integreres. |
|
2.6. |
»model«: en beskrivelse eller fremstilling af et system, en enhed, et fænomen eller en proces. |
|
2.7. |
»modelkalibrering«: processen med at justere numeriske parametre eller modelleringsparametre i modellen for at forbedre aftalen med en referent. |
|
2.8. |
»modelparameter«: numeriske værdier, der anvendes til at karakterisere en systemfunktionalitet. En modelparameter har en værdi, der ikke kan observeres direkte under faktiske forhold, men som skal udledes af data indsamlet i den virkelige verden (i modelkalibreringsfasen). |
|
2.9. |
»model-in-the-loop (MIL)«: en tilgang, der muliggør hurtig algoritmisk udvikling uden brug af dedikeret hardware. Dette udviklingsniveau omfatter normalt rammer for software til abstraktion på højt niveau i databehandlingssystemer til generelle formål. |
|
2.10. |
»åben loop-prøvning«: et virtuelt miljø, hvor der ikke tages hensyn til, hvordan loopelementet agerer (f.eks. system, der interagerer med en registreret trafiksituation). |
|
2.11. |
»sandsynlighedsbaseret«: udtryk, der vedrører ikke-deterministiske hændelser, hvis udfald beskrives ved en målestok for sandsynligheden. |
|
2.12. |
»prøvebane«: en fysisk prøvningsfacilitet, der er lukket for trafik, og hvor ADS-systemets ydeevne kan undersøges på det rigtige køretøj. Trafikagenter kan indføres via sensorstimulering eller via attrapper placeret på prøvebanen. |
|
2.13. |
»sensorstimulering«: en teknik, hvor kunstigt genererede signaler sendes til det element, der afprøves, således at det kan at frembringe det resultat, der kræves med henblik på verifikation af de faktiske forhold, uddannelse, vedligeholdelse eller forskning og udvikling. |
|
2.14. |
»simulering«: en imitation af en proces eller et system under faktiske forhold over tid. |
|
2.15. |
»simuleringsmodel«: en model, hvis inputvariabler er forskellige over tid. |
|
2.16. |
»simuleringsværktøjskæde«: en kombination af simuleringsværktøjer, der anvendes til at understøtte valideringen af et ADS. |
|
2.17. |
»software-in-the-loop (SIL)«: en tilgang, hvor gennemførelsen af den udviklede model evalueres i databehandlingssystemer til generelle formål. På dette trin kan der foretages en komplet softwareimplementering, der ligger meget tæt på den sidste. SIL-prøvning anvendes til at beskrive en prøvningsmetode, hvor eksekverbare koder såsom algoritmer (eller endog en hel kontrolstrategi) prøves i et modelleringsmiljø, der kan hjælpe med at bevise eller teste softwaren. |
|
2.18. |
»stokastisk«: en proces, der inddrager eller indeholder en eller flere tilfældige variabler. Er relateret til tilfældighed eller sandsynlighed. |
|
2.19. |
»validering af simuleringsmodellen«: proces til bestemmelse af, i hvilket omfang en simuleringsmodel er en nøjagtig gengivelse af de faktiske forhold set i forhold til de påtænkte anvendelser af værktøjet. |
|
2.20. |
»vehicle-in-the-loop« (VIL): et fusionsmiljø for et rigtigt prøvekøretøj under faktiske forhold i et virtuelt miljø. Det kan afspejle køretøjsdynamikken på samme niveau som under faktiske forhold, og det kan monteres på en hertil egnet prøvebænk eller køres på en prøvebane. |
|
2.21. |
»verifikation af simuleringsmodellen«: proces til bestemmelse af, i hvilket omfang en simuleringsmodel eller et virtuelt prøvningsværktøj opfylder de krav og specifikationer, der er beskrevet i de konceptuelle eller matematiske modeller eller i andre konstruktioner. |
|
2.22. |
»virtuel prøvning«: prøvning af et system ved brug af en eller flere simuleringsmodeller. |
3. Komponenter i rammen for vurdering af troværdighed og tilknyttede dokumentationskrav
|
3.1. |
Rammen for vurdering af troværdighed indfører en metode til at vurdere og rapportere om troværdigheden af M&S baseret på kvalitetssikringskriterier, hvor graden af tillid til resultaterne kan angives. Troværdigheden fastslås med andre ord ved at vurdere følgende M&S-påvirkningsfaktorer, som anses for at have størst indflydelse på M&S-egenskaberne og dermed på den overordnede M&S-troværdighed: a) M&S-håndtering, b) teamets erfaring og ekspertise, c) M&S-analyse og -beskrivelse, d) data- og inputkilde og e) verifikation, validering, karakterisering af usikkerhed. Hver af disse faktorer angiver det kvalitetsniveau, der er opnået ved M&S, og sammenligningen mellem de opnåede niveauer og de krævede niveauer er afgørende for, om det er troværdigt og egnet til brug for virtuel prøvning. Nedenfor vises en grafisk fremstilling af forholdet mellem komponenterne i rammen for vurdering af troværdighed.
|
|
3.2. |
Forvaltning af modeller og simuleringer |
|
3.2.1. |
M&S-livscyklussen er en dynamisk proces med hyppige nye versioner, der skal overvåges og dokumenteres. Der skal etableres forvaltningsaktiviteter for at understøtte M&S som produktudvikling. Der skal gives relevante oplysninger om følgende aspekter. |
|
3.2.2. |
M&S-forvaltningsprocessen skal:
|
|
3.2.3. |
Forvaltning af versioner |
|
3.2.3.1. |
Enhver version af M&S-værktøjskæden, der anvendes til at frigive data til certificeringsformål, skal lagres. De virtuelle modeller, der udgør kæden af prøvningsværktøjer, skal dokumenteres for så vidt angår de tilsvarende valideringsmetoder og godkendelsestærskler for at understøtte værktøjskædens overordnede troværdighed. Udvikleren skal anvende en metode til at knytte genererede data til den tilsvarende M&S-version. |
|
3.2.3.2. |
Kvalitetskontrol af virtuelle data. Det skal sikres, at dataene i de enkelte versioner er fuldstændige, nøjagtige og ensartede, så længe M&S-værktøjskæden til støtte for verifikations- og valideringsprocedurerne anvendes. |
|
3.2.4. |
Teamets erfaring og ekspertise. |
|
3.2.4.1. |
Selv om der allerede er erfaring og ekspertise (E&E) generelt i organisationen, er det vigtigt at skabe et grundlag for tillid til den specifikke E&E for M&S-aktiviteter. |
|
3.2.4.2. |
Troværdigheden af M&S afhænger ikke kun af kvaliteten af simuleringsmodellerne, men også af den E&E, der besiddes af det personale, som er involveret i valideringen og anvendelsen af M&S. En korrekt forståelse af begrænsningerne og valideringsområdet vil f.eks. forhindre et eventuelt misbrug af M&S eller fejlfortolkning af resultaterne. |
|
3.2.4.3. |
Det er derfor vigtigt at fastlægge grundlaget for fabrikantens tillid til den E&E, der besiddes af:
|
|
3.2.4.4. |
En korrekt forvaltning af teamets E&E øger tilliden til troværdigheden af M&S og resultaterne heraf ved at sikre, at der tages hensyn til de menneskelige faktorer bag M&S, og at eventuelle risici forbundet med menneskelige komponenter kontrolleres, som det forventes i ethvert passende forvaltningssystem. |
|
3.2.4.5. |
Hvis fabrikantens værktøjskæde omfatter eller anvender input fra organisationer eller produkter uden for fabrikantens eget team, skal fabrikanten redegøre for de foranstaltninger, denne har truffet for at få større tillid til kvaliteten og integriteten af disse input. |
|
3.2.4.6. |
Teamets E&E kan opdeles i to niveauer. |
|
3.2.4.6.1. |
Organisatorisk niveau
Troværdigheden sikres ved, at der etableres processer og procedurer til at identificere og vedligeholde færdigheder, viden og erfaring inden for udførelse af M&S-aktiviteter. Følgende processer skal etableres, vedligeholdes og dokumenteres:
|
|
3.2.4.6.2. |
Teamniveau
Når en M&S er afsluttet, afhænger troværdigheden heraf hovedsagelig af de færdigheder og den viden, der besiddes af den person/det team, som skal validere M&S-værktøjskæden og bruge M&S til validering af ADS. Troværdigheden fastslås ved at dokumentere, at disse team har modtaget tilstrækkelig uddannelse til at udføre deres opgaver. Fabrikanten skal derefter:
Fabrikantens påvisning af, hvordan principperne i ISO 9001 eller en lignende bedste praksis eller standard anvendes til at sikre, at fabrikantens M&S-organisation og enkeltpersoner i organisationen har kompetence på området, vil danne grundlag for denne fastlæggelse. Den typegodkendende myndighed må ikke forlade sig på sin egen vurdering af organisationens eller de ansattes E&E i stedet for fabrikantens. |
|
3.2.5. |
Data-/inputkilde |
|
3.2.5.1. |
Data-/inputkilden indeholder en fortegnelse over sporbarhed ud fra fabrikantens data anvendt i valideringen af M&S. |
|
3.2.5.2. |
Beskrivelse af data anvendt til M&S
|
|
3.2.5.3. |
Virkning af datakvaliteten (f.eks. datadækning, signal/støjforhold og sensorernes usikkerhedsgrad/bias/prøvetagningsfrekvens) på modelparameterusikkerheden.
Kvaliteten af de data, der er anvendt til at udvikle modellen, vil påvirke estimationen og kalibreringen af modelparametrene. Usikkerhed i modelparametre vil være et andet vigtigt aspekt i den endelige usikkerhedsanalyse. |
|
3.2.6. |
Data-/outputkilde |
|
3.2.6.1. |
Data-/outputkilden indeholder en fortegnelse over M&S-output anvendt i ADS-valideringen. |
|
3.2.6.2. |
Beskrivelse af data genereret af M&S
|
|
3.2.6.3. |
Virkning af datakvaliteten på M&S-troværdigheden
|
|
3.2.6.4. |
Forvaltning af stokastiske modeller
|
|
3.3. |
M&S-analyse og -beskrivelse |
|
3.3.1. |
M&S-analysen og beskrivelsen har til formål at definere hele M&S og identificere det parameterrum, der kan vurderes ved virtuel prøvning. Den definerer omfanget af og begrænsningerne i modellerne og værktøjskæden og de usikkerhedskilder, der kan påvirke dens resultater. |
|
3.3.2. |
Generel beskrivelse |
|
3.3.2.1. |
Fabrikanten skal fremlægge en beskrivelse af hele værktøjskæden og af, hvordan simuleringsdataene vil blive anvendt til at understøtte ADS-valideringsstrategien. |
|
3.3.2.2. |
Fabrikanten skal give en klar beskrivelse af prøvningsmålet. |
|
3.3.3. |
Antagelser, kendte begrænsninger og usikkerhedskilder |
|
3.3.3.1. |
Fabrikanten skal begrunde de modelantagelser, der lå til grund for konstruktionen af M&S-værktøjskæden. |
|
3.3.3.2. |
Fabrikanten skal fremlægge dokumentation for:
|
|
3.3.3.3. |
Fabrikanten skal begrunde, at tolerancen for sim-real-korrelation er acceptabel for prøvningsmålet. |
|
3.3.3.4. |
Endelig skal dette afsnit indeholde oplysninger om kilder til usikkerhed i modellen. Dette vil udgøre et vigtigt input til den endelige usikkerhedsanalyse, som vil definere, hvordan modellens output kan påvirkes af de forskellige kilder til usikkerhed i den anvendte model. |
|
3.3.4. |
Anvendelsesområde (anvendelse af M&S i ADS-valideringen) |
|
3.3.4.1. |
Det virtuelle værktøjs troværdighed skal styrkes gennem et klart defineret anvendelsesområde for de udviklede modeller. |
|
3.3.4.2. |
Den udviklede M&S skal gøre det muligt at virtualisere de fysiske fænomener med en grad af nøjagtighed, der svarer til den fidelitetsgrad, der kræves for certificering. M&S vil således være en »virtuel prøvebane« for ADS-prøvning. |
|
3.3.4.3. |
Simuleringsmodeller kræver særlige valideringsscenarier og -parametre. Udvælgelsen af scenarier, der anvendes til validering, skal være tilstrækkelig til, at værktøjskæden vil fungere på samme måde i scenarier, der ikke er omfattet af valideringen. |
|
3.3.4.4. |
Fabrikanten skal fremlægge en liste over valideringsscenarier sammen med begrænsningerne for de tilsvarende parametre. |
|
3.3.4.5. |
ODD-analysen er et afgørende input til at udlede krav, omfang og virkninger, som skal tage i betragtning i forbindelse med M&S for at understøtte ADS-valideringen. |
|
3.3.4.6. |
De parametre, der genereres for scenarierne, skal definere eksterne og iboende data for værktøjskæden og simuleringsmodellerne. |
|
3.3.5. |
Kritikalitetsvurdering |
|
3.3.5.1. |
De simuleringsmodeller og simuleringsværktøjer, der anvendes i den overordnede værktøjskæde, skal undersøges med hensyn til deres ansvar i tilfælde af en sikkerhedsfejl i slutproduktet. Den foreslåede tilgang til kritikalitetsanalyse er afledt af ISO 26262, som kræver, at nogle af de værktøjer, der anvendes i udviklingsprocessen, kvalificeres. |
|
3.3.5.2. |
For at udlede, hvor kritiske de simulerede data er, skal der i kritikalitetsvurderingen tages hensyn til følgende parametre:
|
|
3.3.5.3. |
Med hensyn til kritikalitetsvurderingen er de tre mulige vurderingsscenarier:
|
|
3.4. |
Verifikation |
|
3.4.1. |
Verifikationen af en M&S involverer analyse af den korrekte gennemførelse af de konceptuelle og matematiske modeller til opbygning af M&S-værktøjskæden. Verifikationen er med til at øge M&S-troværdigheden, da den giver sikkerhed for, at M&S ikke vil udvise urealistisk adfærd for en række input, der ikke kan prøves. Proceduren er baseret på en flertrinstilgang, herunder kodeverifikation, verifikation af beregning og følsomhedsanalyse. |
|
3.4.2. |
Kodeverifikation |
|
3.4.2.1. |
Kodeverifikationen involverer prøvninger, der viser, at de virtuelle modeller ikke er påvirket af numeriske eller logiske fejl. |
|
3.4.2.2. |
Fabrikanten skal dokumentere gennemførelsen af korrekte kodeverifikationsteknikker, f.eks. statisk/dynamisk kodeverifikation, konvergensanalyse og sammenligning med nøjagtige løsninger, hvis relevant. |
|
3.4.2.3. |
Fabrikanten skal fremlægge dokumentation for, at udforskningen af inputparametrene var tilstrækkelig bred til at identificere den parameterkombination, hvor M&S udviser ustabil eller urealistisk adfærd. Dækningsparametre for parameterkombinationer kan anvendes til at påvise den krævede udforskning af modeladfærden. |
|
3.4.2.4. |
Fabrikanten skal indføre procedurer for kontrol af sundhed/overensstemmelse, når dataene giver grundlag herfor. |
|
3.4.3. |
Verifikation af beregning |
|
3.4.3.1. |
Verifikation af beregning involverer estimationen af numeriske fejl, der påvirker M&S. |
|
3.4.3.2. |
Fabrikanten skal dokumentere numeriske fejlskøn (f.eks. diskretioneringsfejl, afrundingsfejl, konvergens mellem iterative procedurer). |
|
3.4.3.3. |
De numeriske fejl skal holdes tilstrækkelig begrænsede til, at valideringen ikke påvirkes. |
|
3.4.4. |
Følsomhedsanalyse |
|
3.4.4.1. |
Følsomhedsanalysen har til formål at kvantificere, hvordan modellens outputværdier påvirkes af ændringer i modellens inputværdier, og dermed at identificere de parametre, der har den største indvirkning på simuleringsmodellens resultater. Følsomhedsanalysen bidrager også til at fastslå, i hvilket omfang simuleringsmodellen opfylder valideringstærsklerne, når der er små variationer i parametrene. Det er derfor afgørende at støtte simuleringsresultaternes troværdighed. |
|
3.4.4.2. |
Fabrikanten skal fremlægge dokumentation for, at de mest kritiske parametre, der påvirker simuleringsoutputtet, er blevet identificeret ved hjælp af følsomhedsanalyseteknikker, f.eks. ved at indføre en forstyrrelse i modelparametrene |
|
3.4.4.3. |
Fabrikanten skal påvise, at der er anvendt robuste kalibreringsprocedurer ved identificering og kalibrering af de mest kritiske parametre for at øge den udviklede værktøjskædes troværdighed. |
|
3.4.4.4. |
I sidste ende vil følsomhedsanalyseresultaterne også bidrage til at definere de input og parametre, hvor der skal være særlig fokus på karakteriseringen af usikkerhed for at kunne definere usikkerheden i simuleringsresultaterne korrekt. |
|
3.4.5. |
Validering |
|
3.4.5.1. |
Den kvantitative proces til bestemmelse af, i hvilket omfang en model eller en simulering er en nøjagtig gengivelse af de faktiske forhold set i forhold til de påtænkte anvendelser af M&S, kræver udvælgelse og definition af en række elementer, |
|
3.4.5.2. |
Mål for ydeevne (parametre) |
|
3.4.5.2.1. |
Målene for ydeevne er de parametre, der anvendes til at sammenligne simuleringsmodellen med de faktiske forhold. Målene for ydeevnen defineres i forbindelse med M&S-analysen. |
|
3.4.5.2.2. |
Valideringsparametre kan omfatte:
|
|
3.4.5.3. |
Hensigtsmæssighed af passende foranstaltninger |
|
3.4.5.3.1. |
De analytiske rammer anvendes til at sammenligne parametre under faktiske forhold og simuleringsparametre. Det er generelt centrale resultatindikatorer (KPI'er), som angiver den statistiske sammenlignelighed mellem to datasæt. |
|
3.4.5.3.2. |
Valideringen skal vise, at disse KPI'er er opfyldt. |
|
3.4.5.4. |
Valideringsmetode |
|
3.4.5.4.1. |
Fabrikanten skal definere de logiske scenarier anvendt i valideringen af den virtuelle prøvning af værktøjskæder. De skal i videst muligt omfang kunne dække ODD for virtuel prøvning med henblik på ADS-validering. |
|
3.4.5.4.2. |
Den nøjagtige metode afhænger af værktøjskædens struktur og formål. Valideringen kan bestå af en eller flere af følgende valideringer:
|
|
3.4.5.5. |
Nøjagtighedskrav |
|
3.4.5.5.1. |
Kravet om korrelationstærsklen defineres i forbindelse med M&S-analysen. Valideringen skal vise, at de KPI'er, der er identificeret i punkt 3.4.5.3.1 i denne del, er opfyldt. |
|
3.4.5.6. |
Valideringsomfang (den del af værktøjskæden, der skal valideres) |
|
3.4.5.6.1. |
En værktøjskæde består af flere værktøjer, og hvert værktøj anvender en række modeller. Valideringsomfanget omfatter alle værktøjer og de relevante modeller, der skal valideres. |
|
3.4.5.7. |
Interne valideringsresultater |
|
3.4.5.7.1. |
Dokumentationen skal ikke kun dokumentere valideringen af simuleringsmodellen, men skal også anvendes til at indhente tilstrækkelige oplysninger om de processer og produkter, der giver den anvendte værktøjskæde generel troværdighed. |
|
3.4.5.7.2. |
Dokumentation/resultater kan overføres fra tidligere troværdighedsvurderinger. |
|
3.4.5.8. |
Uafhængige valideringsresultater |
|
3.4.5.8.1. |
Den typegodkendende myndighed skal vurdere den dokumentation, som fabrikanten har fremlagt, og kan udføre fysiske prøvninger af det komplette integrerede værktøj. |
|
3.4.5.9. |
Karakterisering af usikkerhed |
|
3.4.5.9.1. |
I dette afsnit beskrives den forventede variation i resultaterne af den virtuelle værktøjskæde. Vurderingen består af to faser. I den første fase anvendes de oplysninger, der er indsamlet i M&S-analysen og -beskrivelsen, og afsnittene om data-/inputkilder anvendes til at karakterisere usikkerheden i inputdataene, i modelparametrene og i modelleringsstrukturen. Ved at udbrede alle usikkerhederne gennem den virtuelle værktøjskæde kvantificeres usikkerheden i modelresultaterne. Afhængigt af usikkerheden i modelresultaterne skal fabrikanten indføre passende sikkerhedsmargener ved brug af virtuel prøvning til ADS-validering. |
|
3.4.5.9.2. |
Karakterisering af usikkerheden i inputdataene
Fabrikanten skal påvise, at han har estimeret de kritiske modelinput korrekt ved brug af robuste teknikker såsom flere gentagelser ved vurderingen af mængden |
|
3.4.5.9.3. |
Karakterisering af usikkerheden i modelparametrene (efter kalibrering)
Fabrikanten skal påvise, at kritiske modelparametre, som ikke kan estimeres identisk, er karakteriseret ved en fordeling og/eller konfidensintervaller |
|
3.4.5.9.4. |
Karakterisering af usikkerheden i M&S-strukturen
Fabrikanten skal dokumentere, at modelleringsantagelserne omfatter en kvantitativ karakterisering af den genererede usikkerhed (f.eks. ved at sammenligne resultaterne af forskellige modelleringstilgange, når det er muligt). |
|
3.4.5.9.5. |
Karakterisering af aleatorisk vs. epistemisk usikkerhed:
Fabrikanten skal skelne mellem den aleatoriske komponent i usikkerheden (som kun kan estimeres, men ikke reduceres) og den epistemiske usikkerhed som følge af den manglende viden om virtualisering af processen (som i stedet kan reduceres). |
4. Dokumentationsstruktur
|
4.1. |
I dette afsnit redegøres der for, hvordan ovennævnte oplysninger skal indsamles og organiseres i den dokumentation, som fabrikanten skal forelægge den relevante myndighed. |
|
4.2. |
Fabrikanten skal udarbejde et dokument (en »simuleringshåndbog«), der er struktureret i overensstemmelse med denne oversigt, for at dokumentere de fremlagte emner. |
|
4.3. |
Dokumentationen skal fremlægges sammen med den tilsvarende version af M&S og tilknyttede producerede data. |
|
4.4. |
Fabrikanten skal give klare referencer, der gør det muligt at spore dokumentationen tilbage til de tilsvarende M&S-data. |
|
4.5. |
Dokumentationen skal vedligeholdes i hele M&S-livscyklussen. Den typegodkendende myndighed kan foretage audit af fabrikanten ved at vurdere dennes dokumentation og/eller ved at udføre fysiske prøvninger. |
DEL 5
RAPPORTERING EFTER IBRUGTAGNING
1. Definitioner
I dette bilag forestås ved:
|
1.1. |
»Hændelse«: en sikkerhedsrelateret situation, der involverer et køretøj udstyret med et automatiseret kørselssystem. |
|
1.2. |
»Ikke-kritisk hændelse«: en hændelse, der involverer en driftsafbrydelse, defekt, fejl eller anden omstændighed, der har eller kan have påvirket ADS-sikkerheden, og som ikke har resulteret i en ulykke eller en alvorlig hændelse. Denne kategori omfatter f.eks. mindre hændelser, sikkerhedsforringelse, der ikke forhindrer normal drift, nødmanøvrer/komplekse manøvrer for at forhindre en kollision og mere generelt alle hændelser, der er relevante for det ADS-systemets sikkerhed under kørsel på vej (f.eks. interaktion med fjernoperatør osv.). |
|
1.3. |
»Kritisk hændelse«: enhver hændelse, hvor ADS aktiveres på tidspunktet for en kollision, og som forårsager:
|
2. Fabrikantens indberetning og rapportering
|
2.1. |
Fabrikanten skal omgående indberette sikkerhedskritiske hændelser til de typegodkendende myndigheder, markedsovervågningsmyndighederne og Kommissionen. |
|
2.2. |
Fabrikanten skal senest en måned herefter indberette alle hændelser af kortvarig karakter som beskrevet i tillæg 1, som fabrikanten skal afhjælpe, til de typegodkendende myndigheder, markedsovervågningsmyndighederne og Kommissionen. |
|
2.3. |
Fabrikanten skal hvert år indberette de hændelser, der er anført i tillæg 1, til den typegodkendende myndighed, der har meddelt godkendelsen. Rapporten skal indeholde dokumentation for ADS-systemets håndtering af sikkerhedsrelevante hændelser på området. Rapporten skal navnlig påvise:
Den typegodkendende myndighed skal dele disse oplysninger med andre typegodkendende myndigheder, markedsovervågningsmyndighederne og Kommissionen. |
|
2.4. |
De typegodkendende myndigheder, markedsovervågningsmyndighederne og Kommissionen kan anmode fabrikanten om data, der anvendes til at udbygge de oplysninger, som indgår i rapporteringen og indberetningen efter ibrugtagning. Disse oplysninger skal udveksles ved brug af en aftalt dataudvekslingsfil. De typegodkendende myndigheder, markedsovervågningsmyndighederne og Kommissionen træffer alle nødvendige foranstaltninger for at sikre sådanne data. |
|
2.5. |
Enhver forbehandling af data bør indberettes til den typegodkendende myndighed i rapporten efter ibrugtagning.
Tillæg Liste over hændelser til brug for rapportering efter ibrugtagning Hændelserne er blevet inddelt i fire kategorier på grundlag af deres relevans for DDT, interaktionen med brugerne af fuldautomatiske køretøjer og ADS-systemets tekniske forhold. For hver hændelse er dens relevans for kortsigtet og/eller periodisk indberetning blevet markeret i tabellen nedenfor. Den periodiske rapportering af hændelser forventes at blive indgivet i form af aggregerede data (pr. driftstime eller kørte km) for ADS-køretøjstypen og relateret til ADS-systemets drift (dvs. når ADS er aktiveret).
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(1) ECE/TRANS/WP.29/2022/59/Rev.1.
(2) EUT L XXX af XX.XX.2022, s. 1.
BILAG IV
EU-typegodkendelsesattest (køretøjssystem)
Meddelelse vedrørende meddelelse/udvidelse/nægtelse/inddragelse (1) af typegodkendelse af en type fuldautomatisk køretøj for så vidt angår køretøjets automatiserede kørselssystem (ADS) i overensstemmelse med kravene i gennemførelsesforordning (EU) 2022/1426, senest ændret ved gennemførelsesforordning (EU) …/…
EU-typegodkendelsesattestens nummer:
Grund til udvidelse/nægtelse/inddragelse (1):
AFSNIT I
|
0.1. |
Fabrikat (fabrikantens handelsbetegnelse): |
|
0.2. |
Type: |
|
0.2.1. |
Eventuel(le) handelsbetegnelse(r): |
|
0.3. |
Typeidentifikationsmærke, såfremt dette er angivet på køretøjet: |
|
0.3.1. |
Mærkets anbringelsessted: |
|
0.4. |
Køretøjets klasse: |
|
0.5. |
Fabrikantens navn og adresse: |
|
0.8. |
Navne og adresser på samlefabrikker: |
|
0.9. |
Navn og adresse på fabrikantens eventuelle repræsentant: |
AFSNIT II
|
1. |
Eventuelle supplerende oplysninger: se tillæg. |
|
2. |
Teknisk tjeneste, som er ansvarlig for udførelse af prøvningerne: |
|
3. |
Prøvningsrapportens dato: |
|
4. |
Prøvningsrapportens nummer: |
|
5. |
Eventuelle bemærkninger: se tillæg. |
|
6. |
Sted: |
|
7. |
Dato: |
|
8. |
Underskrift: |
Tillæg
til EU-typegodkendelsesattest nr.
1.
Beskrivelse og/eller tegning af ADS, herunder:
1.1.
ODD, systemgrænser og den angivne maksimale hastighed for ADS som oplyst af fabrikanten:
1.2.
Beskrivelse af de vigtigste ADS-funktioner
1.2.1.
Køretøjets interne funktioner
1.2.2.
Køretøjets eksterne funktioner (f.eks. backend, nødvendig ekstern infrastruktur, nødvendige operationelle foranstaltninger)
1.3.
Sensorsystem (inkl. komponenter):
1.4.
Montering af ADS-sensorsystem:
1.5.
ADS-softwareidentifikation:
2.
Skriftlig beskrivelse og/eller tegning af den menneskelige overvågning af ADS
2.1.
Fjernoperatør og fjernbetjening af ADS
2.2.
Midler til aktivering og deaktivering af ADS
2.3.
Overvågning inde i køretøjet
2.4.
Eventuelle systembegrænsninger på grund af omgivende forhold eller vejforhold
3.
Skriftlig beskrivelse og/eller tegning af de oplysninger, der gives til køretøjspassagererne og andre trafikanter
3.1.
Systemstatus:
3.2.
Anmodning til operatøren i køretøjet/fjernoperatøren:
3.3.
Minimal risikomanøvre:
3.4.
Nødmanøvre:
4.
ADS-dataelementer
4.1.
ADS-dataelementer efterprøvet efter prøvningerne udført i overensstemmelse med bilag III, del 3:
4.2.
Dokumentation vedrørende datahentningsevne, selvtest af dataintegritet og beskyttelse mod manipulation af lagrede data verificeret: ja/nej
5.
Cybersikkerhed og softwareopdateringer
5.1.
Typegodkendelsesnummer for cybersikkerhed:
5.2.
Typegodkendelsesnummer for softwareopdatering:
6.
Vurdering af funktionelle og driftsmæssige sikkerhedsaspekter ved det automatiserede kørselssystem
6.1.
Fabrikantens dokumentreference for vurderingen (inkl. versionsnummer):
6.2.
Oplysningsskema
7.
Teknisk tjeneste, som er ansvarlig for udførelse af godkendelsesprøvning
7.1.
Dato på prøvningsrapport udstedt af denne tjeneste
7.2.
(Reference)nummer på rapport udstedt af denne tjeneste
8.
Bilag|
Tillæg 1: |
Oplysningsskema for automatiserede kørselssystemer (henvis til bilag I til gennemførelsesforordning (EU) 2022/1426) |
|
Tillæg 2: |
Medlemsstater og specifikke områder, hvor fabrikanten har erklæret, at ADS er blevet vurderet til at overholde de lokale færdselsregler. Liste over dokumenter i godkendelsessagen, som er indgivet til den myndighed, der har givet godkendelsen, og kan udleveres på anmodning |
|
Tillæg 3: |
ADS — Vurderingsrapport/prøvningsresultater fra den typegodkendende myndighed |
|
Tillæg 4: |
SMS-overensstemmelsesattest |
(1) Det ikke relevante overstreges.