This document is an excerpt from the EUR-Lex website
Document 42024X2689
UN Regulation No 171 – Uniform provisions concerning the approval of vehicles with regard to Driver Control Assistance Systems (DCAS) [2024/2689]
FN-regulativ nr. 171 — Ensartede forskrifter for godkendelse af køretøjer for så vidt angår systemer til førerstyringsstøtte (DCAS — Driver Control Assistance Systems) [2024/2689]
FN-regulativ nr. 171 — Ensartede forskrifter for godkendelse af køretøjer for så vidt angår systemer til førerstyringsstøtte (DCAS — Driver Control Assistance Systems) [2024/2689]
PUB/2024/616
EUT L, 2024/2689, 4.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2689/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Den Europæiske Unions |
DA L-udgaven |
|
2024/2689 |
4.11.2024 |
Kun de originale FN/ECE-tekster har retlig virkning i henhold til folkeretten. Dette regulativs nuværende status og ikrafttrædelsesdato bør kontrolleres i den seneste version af FN/ECE's statusdokument TRANS/WP.29/343, der findes på adressen: https://unece.org/status-1958-agreement-and-annexed-regulations
FN-regulativ nr. 171 — Ensartede forskrifter for godkendelse af køretøjer for så vidt angår systemer til førerstyringsstøtte (DCAS — Driver Control Assistance Systems) [2024/2689]
Ikrafttrædelsesdato: 22. september 2024
Dette dokument er udelukkende et dokumentationsredskab. Den autentiske og juridisk bindende tekst er: ECE/TRANS/WP.29/2024/37
INDHOLD
Regulativ
Indledning
|
1. |
Anvendelsesområde |
|
2. |
Definitioner |
|
3. |
Ansøgning om godkendelse |
|
4. |
Godkendelse |
|
5. |
Generelle specifikationer |
|
6. |
Supplerende specifikationer for DCAS-funktioner |
|
7. |
Overvågning af DCAS-driften |
|
8. |
Systemvalidering |
|
9. |
Systeminformationsdata |
|
10. |
Krav til softwareidentifikation |
|
11. |
Ændring af køretøjstypen og udvidelse af godkendelsen |
|
12. |
Produktionens overensstemmelse |
|
13. |
Sanktioner i tilfælde af produktionens manglende overensstemmelse |
|
14. |
Endeligt ophør af produktionen |
|
15. |
Navne og adresser på tekniske tjenester, som er ansvarlige for udførelse af godkendelsesprøvning, og på de typegodkendende myndigheder |
Bilag
|
1 |
Meddelelsesformular |
|
2 |
Udformning af godkendelsesmærker |
|
3 |
Særlige krav, der skal anvendes i forbindelse med audit/vurdering |
|
Tillæg 1 |
— Model for vurderingsblanket om elektroniske systemer og/eller komplekse elektroniske systemer |
|
Tillæg 2 |
— Aspekter af systemets design, der skal vurderes ved audit/vurdering |
|
Tillæg 3 |
— Eksempel på klassificering af systemets detektionsevne og relevante systemgrænser |
|
Tillæg 4 |
— Erklæring om systemets ydeevne |
|
4 |
Specifikationer for fysisk prøvning ved validering af DCAS |
|
5 |
Principper for troværdighedsvurdering ved brug af virtuelle værktøjskæder til validering af DCAS |
Indledning
|
1. |
Der er udviklet avancerede førerstøttesystemer (ADAS — Advanced Driver Assistance Systems) med henblik på at støtte føreren og forbedre trafiksikkerheden ved at give vedkommende information, f.eks. advarsler i sikkerhedskritiske situationer, med henblik på at støtte føreren midlertidigt eller vedvarende med styring af køretøjet i tvær- og langsgående retning under normal kørsel og endelig med at undgå kollision og/eller afbøde virkningen af en kollision i kritiske situationer. Formålet med ADAS er at støtte føreren, som altid er ansvarlig for at styre køretøjet og løbende skal overvåge omgivelserne samt køretøjets/systemets ydelse. |
|
2. |
Dette FN-regulativ vedrører systemer til førerstyringsstøtte (DCAS — Driver Control Assistance Systems), som er en undergruppe af ADAS. DCAS er førerbetjente køretøjssystemer, der støtter en menneskelig førers dynamiske styring af køretøjet ved hjælp af vedvarende støtte til tvær- og langsgående bevægelsesstyring. Når DCAS er aktivt, yder det støtte til kørselsopgaven, øger komforten og mindsker førerens arbejde ved aktivt at stabilisere køretøjet eller udføre manøvrer. DCAS støtter føreren, såfremt vedkommende kører inden for systemgrænserne, men overtager ikke kørselsopgaven fuldstændigt, og ansvaret forbliver derfor fortsat hos føreren. DCAS-støtten må ikke have nogen negativ indvirkning på trafiksikkerheden eller førerens styring af køretøjet. |
|
3. |
Under hensyntagen til det voksende marked for DCAS i forskellige videreudviklede former har dette FN-regulativ til formål at indføre teknologineutrale og ensartede almindelige forskrifter vedrørende godkendelse af de køretøjer, der er udstyret med DCAS og kan fungere ud over de begrænsninger, der er fastsat i ændringsserie 03 til FN-regulativ nr. 79, og skal gøre det muligt at godkende en række førerstyringsstøttende funktioner, hvorved et hul i den eksisterende lovgivning lukkes. Dette FN-regulativ indeholder minimumskrav til sikkerhed for så vidt angår ethvert DCAS. |
|
4. |
I henhold til standard SAE J3016 (taksonomi og definitioner for termer vedrørende kørselsautomatiseringssystemer til motorkøretøjer til vejfærdsel) behandles DCAS som »SAE niveau 2 i henhold til SAE J3016« (delvis automatisering) dvs. systemer, der kun kan udføre dele af den dynamiske styring af køretøjet, og som derfor kræver, at føreren varetager de øvrige aspekter af den dynamiske styring samt overvåger systemets drift og køretøjets omgivelser (1). Når DCAS er i drift, støtter det føreren, men erstatter altså ikke denne i varetagelsen af den dynamiske styring. Hvis systemet kun yder tværgående eller langsgående styring, nedsættes DCAS-automatiseringsniveauet midlertidigt fra 2 til 1 (førerstøtte). |
|
5. |
Selv om både DCAS og et automatisk køresystem (Automated Driving System — ADS) med automatiseringsniveau 3-5, jf. SAE J3016, yder vedvarende tvær- og langsgående styring, må kun ADS gøre det muligt for føreren at fjerne sin opmærksomhed fra kørselsopgaven, da det pr. definition kun er automatiske køresystemer, der uden yderligere input fra føreren kan håndtere alle de kørselssituationer, som med rimelighed kan forventes at ligge inden for deres operationelle designdomæne (ODD). DCAS støtter derimod kun føreren og erstatter aldrig denne. Som følge heraf er der ingen overdragelse af førerens ansvar for at styre køretøjet. |
|
6. |
Tilgængeligheden af DCAS, herunder støtteevnen, er underlagt de fastsatte driftsbegrænsninger. Selv om DCAS er i stand til at detektere og reagere på almindeligt forekommende situationer i brugsscenariet (DCAS-funktion), er systemet muligvis ikke i stand til at genkende visse forhold i omgivelserne, fordi DCAS ikke er designet til at kunne håndtere alle situationer, og det antages, at det er føreren, der styrer køretøjet. |
|
7. |
Både systemgrænsernes betydning for systemets evne til at opfylde bestemte krav og den måde, hvorpå disse krav kan vurderes, er afspejlet i det sprog, der anvendes i dette FN-regulativ.
|
|
8. |
Afhængigt af brugsscenariet kan DCAS i nogle tilfælde igangsætte køremanøvrer. Når manøvrer igangsættes af systemet, skal systemet være designet til at overholde nationale færdselsregler. Når manøvrer igangsættes af føreren, støtter DCAS imidlertid blot førerens dynamiske styring af køretøjet og sikrer ikke overholdelse af nationale færdselsregler. I begge tilfælde forbliver ansvaret hos føreren. |
|
9. |
Det anerkendes, at overholdelse af færdselsreglerne i forbindelse med manøvrer, der er bekræftet af føreren eller igangsat af systemet, muligvis ikke kan opnås fuldt ud på grund af den kompleksitet og forskelligartethed, der kendetegner reglerne i driftslandene. Førerens løbende involvering i kørselsopgaven anses som kompensation herfor. |
|
10. |
Hvis føreren har overdreven tillid til systemet, kan der opstå en sikkerhedsrisiko. Jo bedre systemet er, desto mere tilbøjelig er føreren til dels at stole på, at systemet altid fungerer korrekt, dels med tiden at slække på sin overvågningsopgave (endda i så vid udstrækning, at systemet forveksles med fuldautomatisk kørsel). DCAS skal derfor sigte mod at forebygge risici, der med rimelighed kan forudses, for så vidt angår førerens fejlanvendelse eller misbrug af systemet. DCAS skal give oplysninger i et omfang, der er tilstrækkeligt til, at føreren kan overvåge den støtte, der ydes. |
|
11. |
DCAS skal være designet til at undgå, at føreren er optaget af andre aktiviteter end kørsel, ud over dem, der forud for dette FN-regulativs ikrafttræden tillades under manuel kørsel, fordi DCAS kræver, at føreren vedblivende har sin opmærksomhed rettet mod kørselsopgaven. DCAS skal derfor være i stand til at evaluere førerens løbende involvering i og overvågning af køretøjets drift. DCAS overvåger førerens opmærksomhed på kørslen (sikrer, at hænderne er på rattet eller øjnene på vejen eller begge dele), evaluerer førerens deltagelse i kørslen og reagerer behørigt på førerens uopmærksomhed ved at give vedkommende tydelige advarsler. Herudover bringer DCAS køretøjet til standsning, hvis føreren ikke har reageret på systemets advarsler og foretaget de nødvendige styrehandlinger. DCAS overvåger tegn på førerens uopmærksomhed ved hjælp af et førerovervågningssystem. Dette system overvåger fysiske tegn på uopmærksomhed, men er på nuværende tidspunkt ikke i stand til at konstatere tilfælde af kognitivt fravær direkte. |
|
12. |
Dette FN-regulativ indeholder generelle funktionskrav til systemets sikkerhed ved normal drift og fejlsikringsreaktionen ved systemsvigt eller førerens manglende evne til at bekræfte sin involvering i styringen af køretøjet. Forskrifterne omfatter dels interaktionen mellem DCAS og andre køretøjsstøttesystemer, dels beskrivelsen af systemets grænsebetingelser og opførsel ved detektion af, at systemgrænserne er nået, dels styrbarheden og dels systemets dynamiske styrestøtte for så vidt angår forskellige DCAS-brugsscenarier (funktioner). Interaktionen mellem DCAS og føreren er ligeledes omfattet, herunder menneske-maskine-grænsefladen (HMI — Human-Machine Interface) i to retninger: førerens betjening af systemet og systemets sikring af, at førerens opmærksomhed er rettet mod kørslen. Ved dette FN-regulativ fastsættes der krav til de specifikke DCAS-funktioner. |
|
13. |
Ved dette FN-regulativ fastsættes der metoder til at foretage overensstemmelsesvurderinger, der er mindre specifikke end metoderne i FN-regulativ nr. 79, ændringsserie 03 (hvor der er fastsat specifikke krav for hvert enkelt tilfælde). Fabrikanten skal fremlægge en beskrivelse af systemets design med henblik på orientering af den typegodkendende myndighed om den evaluering og kontrol, der skal foretages. Evalueringsmetoderne med flere søjler kompenserer for den usikkerhed, der er forbundet med de DCAS-driftsscenarier, som ikke vurderes direkte, og dækker dermed evalueringen af adskillige DCAS-driftsscenarier. Valideringen af DCAS skal sikre, at fabrikanten som led i design- og udviklingsprocesserne har foretaget en grundig evaluering under hensyntagen til funktions- og driftssikkerheden af de funktioner, der er indbygget i DCAS, og af det samlede DCAS, der er indbygget i et køretøj. Søjlerne i evalueringen omfatter validering af sikkerhedsaspekter ved DCAS ved hjælp af en skærpet audit af fabrikantens dokumentation, fysiske prøvninger på prøvebane og offentlig vej samt fabrikantens overvågning af DCAS-driften efter ibrugtagning. |
|
14. |
Sikker anvendelse af DCAS forudsætter, at føreren har en passende forståelse af ydeevnen af det i køretøjet tilgængelige DCAS. Det er nødvendigt at bibringe føreren de relevante oplysninger, så vedkommende ikke fejlfortolker, overvurderer eller får problemer med køretøjets DCAS og/eller styring af køretøjet. Under udarbejdelsen af dette FN-regulativ stod det klart, at det er nødvendigt at sikre, at føreren til enhver tid besidder særligt eller tilstrækkeligt kendskab til den hensigtsmæssige anvendelse af DCAS. Dette spørgsmål hører under det overordnede emne føreruddannelse, som kan inddeles på følgende måde: a) efteruddannelse og revurdering af førere med henblik på sikker betjening af køretøjer udstyret med DCAS og b) udarbejdelse af en ensartet standard (f.eks. ISO), der i forlængelse af dette FN-regulativ fastsætter den almene HMI og de kommunikationsmetoder, drifttilstande, muligheder for tilsidesættelse, systemmeddelelser og -signaler osv., der skal gælde for DCAS. Dette vil sikre HMI's ensartethed på tværs af forskellige typer af DCAS fremstillet af forskellige fabrikanter, således at alle førere har forudsætningerne for at anvende de forskellige DCAS-funktioner på en sikker måde. |
|
15. |
Dette FN-regulativ har ikke til formål at fastsætte krav til føreren, men krav til det undervisningsmateriale samt de meddelelser og signaler, som DCAS-fabrikanten skal fremlægge for føreren (f.eks. til gennemsyn). Hverken dette FN-regulativ eller den typegodkendende myndighed kan imidlertid gennem forskrifter garantere, at disse materialer gennemses og forstås af føreren på den tiltænkte måde. |
|
16. |
Med udrulningen af DCAS kommer der fokus på behovet for en afbalanceret markedsføring for at undgå, at føreren overvurderer DCAS' ydeevne og tror, at DCAS er mere end et støttesystem. Vildledende udtryk i det informationsmateriale, som fabrikanten stiller til rådighed, kan føre til forvirring hos føreren, eller at denne har overdreven tillid til systemet. For at undgå dette bør udtryk, som de nationale myndigheder anser for at være vildledende, ikke anvendes i markedsføringen af DCAS. |
1. Anvendelsesområde
|
1.1. |
Dette FN-regulativ finder anvendelse på godkendelse af køretøjer i klasse M og N (2) for så vidt angår systemer til førerstyringsstøtte (DCAS). |
|
1.2. |
Dette FN-regulativ finder ikke anvendelse på godkendelse af k øretøjer for så vidt angår styrefunktion med automatiske kommandoer (ACSF) eller risikobegrænsende funktion (RMF), som er godkendt i henhold til FN-regulativ nr. 79, selv når et system samtidig udøver styring i langsgående retning. Hvis fabrikanten imidlertid erklærer, at en sådan ACSF eller RMF er en del af DCAS, finder dette FN-regulativ anvendelse, uanset om der tillige er meddelt godkendelse i henhold til FN-regulativ nr. 79. |
2. Definitioner
I dette regulativ forstås ved:
|
2.1. |
»system til førerstyringsstøtte« (DCAS — Driver Control Assistance System): hardware og software, der tilsammen er i stand til løbende at støtte førerens styring af køretøjet i langs- og tværgående retning.
I dette regulativ benævnes DCAS også »systemet« |
|
2.2. |
»køretøjstype for så vidt angår DCAS«: gruppe af køretøjer, som ikke adskiller sig fra hinanden på væsentlige punkter som:
Hvis DCAS i henhold til fabrikantens køretøjstypebetegnelse består af flere funktioner, hvoraf nogle eventuelt ikke kan monteres på bestemte køretøjer, anses DCAS med en lavere grad af funktionalitet for at tilhøre den samme køretøjstype for så vidt angår DCAS |
|
2.3. |
»(DCAS-)funktion«: en bestemt egenskab ved DCAS, der støtter føreren i forbindelse med fastlagte trafikscenarier, omstændigheder og systemgrænser |
|
2.4. |
»dynamisk styring«: udførelsen i realtid af de driftsfunktioner og de taktiske funktioner, der er nødvendige for at bevæge køretøjet. Dette omfatter styring af køretøjets tvær- og langsgående bevægelse, overvågning af vejforhold, reaktioner på hændelser i trafikken samt planlægning og signalering af manøvrer.
I dette FN-regulativ er føreren alene ansvarlig for den dynamiske styring af køretøjet, hvorimod DCAS støtter udførelsen af driftsfunktioner og taktiske funktioner uden at begrænse førerens mulighed for at gribe ind på et hvilket som helst tidspunkt. |
|
2.5. |
»systemgrænser«: de kontrollerbare eller målelige grænser eller betingelser, der er fastsat af en fabrikant, op til eller under hvilke DCAS eller en DCAS-funktion er designet til at yde støtte til føreren, og de forhold, der påvirker systemets evne til at fungere efter hensigten |
|
2.6. |
»førerens uopmærksomhed«: systemets konstatering af, at føreren i øjeblikket ikke er i stand til på en sikker måde at opfatte omgivelserne, planlægge manøvrer eller træffe beslutninger samt at intervenere i driften af DCAS |
|
2.7. |
»driftsfunktioner«: de grundlæggende og nødvendige styrehandlinger, der foretages af føreren for at bevæge et køretøj og betjene dets systemer, herunder styring af køretøjet i tvær- og langsgående retning. Udførelse af driftsfunktioner forudsætter, at føreren fysisk betjener køretøjet |
|
2.8. |
»taktiske funktioner«: førerens planlægning og valg af manøvrer i realtid. Taktiske funktioner indebærer anvendelse af førerens færdigheder til at betjene køretøjet i omgivelser, der er under konstant forandring |
|
2.9. |
»realtid«: den faktiske tid, i løbet af hvilken en proces forløber eller en begivenhed indtræffer |
|
2.10. |
»manøvre«: en ændring i køretøjets bane, der får køretøjet til som minimum delvist at forlade sin oprindelige bane eller kørselsretning, hvilket kan medføre interaktion med andre trafikanter.
En række manøvrer kan betragtes som én manøvre, hvis manøvrerne følger hinanden uden væsentlig adskillelse og er knyttet til ét taktisk mål (f.eks. vognbaneskift ved gennemkørsel af et kryds). Manøvrer, der udføres med væsentlig adskillelse, mens en planlagt rute følges, betragtes ikke som én manøvre |
|
2.11. |
»målbane«: den vognbane, som systemet har til hensigt at føre køretøjet over i ved hjælp af en manøvre |
|
2.12. |
»vognbaneskiftprocedure« (LCP — Lane Change Procedure): sekvens af handlinger, der har til formål at ændre et køretøjs vognbane. Denne sekvens omfatter følgende handlinger:
|
|
2.13. |
»vognbaneskiftmanøvre« (LCM — Lane Change Manoeuvre)«: en del af LCP, som
|
|
2.17. |
»slukket tilstand«: en DCAS-drifttilstand, hvor systemet er forhindret i at støtte føreren i den dynamiske styring af køretøjet |
|
2.18. |
»tændt tilstand«: en DCAS-drifttilstand, hvor der er foretaget en anmodning om, at systemet eller en DCAS-funktion støtter føreren i den dynamiske styring af køretøjet. I denne drifttilstand er systemet enten i standbytilstand eller aktiv tilstand |
|
2.18.1. |
»aktiv tilstand«: en DCAS-drifttilstand, hvor systemet eller en DCAS-funktion betragter sig selv som værende inden for systemgrænserne og støtter føreren i den dynamiske styring af køretøjet |
|
2.18.2. |
»standbytilstand«: en DCAS-drifttilstand, hvor systemet eller en DCAS-funktion er i »tændt« tilstand uden at generere styreoutput. I denne drifttilstand er systemet enten i »passiv« eller »inaktiv« tilstand |
|
2.18.2.1. |
»passiv tilstand«: en DCAS-drifttilstand, hvor systemet eller DCAS-funktionen er i standbytilstand og betragter sig selv som værende inden for systemgrænserne, uden at nogen forhåndsbetingelse forhindrer et skifte til »aktiv« tilstand |
|
2.18.2.2. |
»inaktiv tilstand«: en DCAS-drifttilstand, hvor systemet eller en DCAS-funktion er i standbytilstand og betragter sig selv som værende uden for grænsebetingelserne, eller en forudsætning er af en sådan art, at et skifte til »aktiv« tilstand forhindres |
|
2.19. |
»risiko for umiddelbart forestående kollision«: en situation eller en hændelse, der fører til et sammenstød mellem køretøjet og en anden trafikant eller en forhindring, som ikke kan undgås ved et bremsekrav på under 5 m/s2 |
|
2.20. |
»detektionsområde«: den afstand, inden for hvilken systemet pålideligt kan genkende et objekt og generere et kontrolsignal, under hensyntagen til at sensorsystemets komponenter forringes over tid og ved brug gennem hele køretøjets levetid |
|
2.21. |
»systemets/funktionens designbestemte hastighedsområde«: det adaptive hastighedsområde, inden for hvilket systemet eller en af dettes funktioner kan være i »aktiv« tilstand baseret på systemets design og ydeevne, idet der i relevante tilfælde tages hensyn til trafikforhold og de øvrige omgivelser |
|
2.22. |
»førerindstillet maksimalhastighed«: den maksimale hastighed for DCAS-drift, som føreren har fastsat |
|
2.23. |
»aktuel maksimalhastighed«: den maksimale hastighed, op til hvilken systemet styrer køretøjet |
|
2.24. |
»Rx-softwareidentifikationsnummer« (RXSWIN): en særlig identifikator, der er defineret af køretøjsfabrikanten, og som repræsenterer oplysninger om den typegodkendelsesrelevante software i det elektroniske kontrolsystem, der bidrager til de relevante egenskaber i forbindelse med køretøjets typegodkendelse i henhold til FN-regulativ nr. 171 |
|
2.25. |
»elektronisk kontrolsystem«: en kombination af enheder, der er designet til at bidrage til frembringelse af den pågældende køretøjskontrolfunktion ved hjælp af elektronisk databehandling. Sådanne systemer, som ofte styres af software, er fremstillet af funktionelle enkeltkomponenter såsom følere, elektroniske kontrolenheder og bremsecylindere og er forbundet via transmissionsforbindelser. De kan omfatte mekaniske, elektropneumatiske eller elektrohydrauliske elementer. |
|
2.26. |
»hændelse«: en sikkerhedsrelateret handling eller en hændelse som omhandlet i punkt 7, der involverer et køretøj udstyret med DCAS |
|
2.27. |
»sikkerhedskritisk hændelse«: en hændelse, hvor DCAS eller en bestemt DCAS-funktion er i »tændt« tilstand på tidspunktet for en kollision, som:
|
|
2.28. |
»styrbarhed«: et mål for sandsynligheden for, at skader kan undgås, hvis der opstår en farlig situation. Den kan skyldes handlinger foretaget af føreren, systemet eller eksterne forhold |
|
2.29. |
»førerens tilsidesættelse af systemet«: enhver handling, hvorved føreren midlertidigt griber ind i driften af DCAS, fordi vedkommende aktiverer bremsen eller speederen eller betjener transmissionen eller styretøjet |
|
2.30. |
»motorvej«: en vejtype med forbud mod fodgængere og cyklister, som konstruktionsmæssigt er udstyret med en fysisk adskillelse, der skiller de to trafikretninger fra hinanden |
|
2.31. |
»ikke-motorvej«: en anden vejtype end en motorvej, jf. punkt 2.30 |
|
2.32. |
»automatisk køresystem« (ADS): køretøjets hardware og software, der tilsammen er i stand til løbende at varetage hele den dynamiske kørselsopgave |
|
2.33. |
»dynamisk kørselsopgave«: de driftsfunktioner og de taktiske funktioner i realtid, som betjening af køretøjet i trafikken forudsætter |
3. Ansøgning om godkendelse
|
3.1. |
Ansøgningen om godkendelse af en køretøjstype for så vidt angår DCAS indgives af køretøjsfabrikanten eller dennes bemyndigede repræsentant til den kontraherende parts typegodkendende myndighed i henhold til forskrifterne i skema 3 til overenskomsten af 1958. |
|
3.2. |
Den skal vedlægges følgende dokumentation: |
|
3.2.1. |
En beskrivelse af køretøjstypen med hensyn til de i punkt 2.2 omhandlede punkter, ledsaget af en dokumentationspakke, jf. bilag 1, der giver adgang til DCAS' grundlæggende design og de midler, hvormed det forbindes til andre køretøjssystemer, eller som direkte kontrollerer output-variablerne. |
|
3.3. |
Et køretøj, der er repræsentativt for den køretøjstype, som skal godkendes, skal indleveres til den typegodkendende myndighed eller den deraf udpegede tekniske tjeneste, der er ansvarlig for udførelse af godkendelsesprøvningen. |
4. Godkendelse
|
4.1. |
Hvis den køretøjstype, der søges godkendt efter dette FN-regulativ, opfylder kravene i punkt 5 til 10 nedenfor, meddeles der godkendelse af køretøjstypen. |
|
4.2. |
Hver godkendt type tildeles et godkendelsesnummer. De første to cifre (som for tiden er 00 for FN-regulativet i dets oprindelige form) angiver den ændringsserie, som inkorporerer de tekniske ændringer til FN-regulativet på tidspunktet for godkendelsen. Samme kontraherende part må ikke tildele samme nummer til en anden køretøjstype. |
|
4.3. |
Meddelelse om godkendelse eller udvidelse eller om nægtelse eller inddragelse eller om endeligt ophør af produktionen af en køretøjstype i henhold til dette FN-regulativ meddeles de kontraherende parter, der anvender dette FN-regulativ, ved hjælp af en meddelelsesformular svarende til modellen i bilag 1 til dette FN-regulativ og dokumentation fra ansøgeren i et format på højst A4 (210 × 297 mm) og i passende skala eller elektronisk format. |
|
4.4. |
Alle køretøjer, som er i overensstemmelse med en type, som er godkendt efter dette FN-regulativ, skal på et let synligt og let tilgængeligt sted, der er angivet i godkendelsesattesten, være påført et internationalt godkendelsesmærke, der er i overensstemmelse med modellen i bilag 2 og som består af enten: |
|
4.4.1. |
en cirkel, der omgiver bogstavet »E« efterfulgt af:
|
|
4.5. |
Godkendelsesmærket skal være let læseligt og må ikke kunne slettes. |
|
4.6. |
Inden der meddeles typegodkendelse, påser den typegodkendende myndighed, at der findes tilfredsstillende systemer til effektiv kontrol med produktionens overensstemmelse. |
5. Generelle specifikationer
Fabrikanten skal over for den typegodkendende myndighed godtgøre, at bestemmelserne i dette punkt er opfyldt i forbindelse med inspektion af sikkerhedstilgangen som led i vurderingen i bilag 3 og i overensstemmelse med de relevante prøvninger i bilag 4.
|
5.1. |
Generelle krav |
|
5.1.1. |
Systemet skal være designet til at sikre, at føreren vedblivende har sin opmærksomhed rettet mod kørselsopgaven, jf. punkt 5.5.4.2. |
|
5.1.2. |
Fabrikanten skal gennemføre strategier med henblik på at sikre bevidsthed om drifttilstand og at undgå, at føreren har overdreven tillid til systemet. Dette skal påvises ved opfyldelse af bestemmelserne i punkt 5.5.4. |
|
5.1.3. |
Fabrikanten skal træffe effektive foranstaltninger for at beskytte mod de tilfælde af fejlanvendelse fra førerens side, som med rimelighed kan forudses, og uautoriseret ændring af systemets software- og hardwarekomponenter. |
|
5.1.4. |
Systemet skal til enhver tid give føreren mulighed for på en sikker måde at tilsidesætte eller deaktivere systemet i overensstemmelse med punkt 5.5.3.4. |
|
5.1.5. |
Et køretøj med DCAS skal som minimum være udstyret med et avanceret nødbremsesystem. Det skal desuden være udstyret med enten et system til forhindring af vognbaneskift eller et system til advarsel om vognbaneskift. Disse systemer skal opfylde de tekniske krav og overgangsbestemmelserne i FN-regulativ nr. 131, 152, 79 (korrigerende styrefunktion) og 130, alt efter hvad der er relevant for den pågældende klasse af køretøjer udstyret med DCAS. |
|
5.2. |
Interaktionen mellem DCAS og andre køretøjsstøttesystemer |
|
5.2.1. |
Når systemet er i »aktiv« tilstand, må dets drift ikke medføre deaktivering eller tilsidesættelse af aktiverede nødstøttesystemers funktionalitet i langsgående retning (dvs. AEBS). For så vidt angår funktionalitet i tværgående retning kan systemet deaktivere eller tilsidesætte nødstøttesystemerne i overensstemmelse med de regulativer, der omhandler denne funktionalitet. |
|
5.2.2. |
Overgange mellem DCAS og andre støtte- eller automatiseringssystemer, prioritering af det ene frem for det andet og enhver tilsidesættelse eller deaktivering af andre støttesystemer, der har til formål at tilgodese sikker og nominel drift af køretøjet, skal beskrives nøje i den dokumentation, der forelægges den typegodkendende myndighed. |
|
5.3. |
Funktionskrav |
|
5.3.1. |
Fabrikanten skal i dokumentationen give en detaljeret beskrivelse af systemets detektionsevne, herunder detektionsevnen for hver enkelt funktion, navnlig for de systemgrænser, der er anført i tillæg 3 til bilag 3. |
|
5.3.2. |
Systemet skal være i stand til at vurdere og reagere på omgivelserne i det omfang, det er nødvendigt for at udøve systemets tilsigtede funktionalitet, inden for systemgrænserne, og i muligt omfang ved drift uden for systemgrænserne. |
|
5.3.2.1. |
Systemet skal sigte mod at undgå at forstyrre trafikstrømmen ved at tilpasse driften til den omgivende trafik på en passende sikkerhedsorienteret måde. |
|
5.3.2.2. |
Hvis systemet detekterer en kollisionsrisiko, skal det sigte mod at undgå en kollision eller afbøde virkningen heraf. |
|
5.3.2.3. |
Uden at det berører andre krav i dette FN-regulativ, skal systemet styre køretøjet i langs- og tværgående retning, så det holder passende afstand til andre trafikanter. |
|
5.3.3. |
Systemet kan aktivere de relevante køretøjssystemer, når det er nødvendigt og relevant, under hensyntagen til systemets operationelle design (f.eks. retningsviserblinklygter, aktivering af forrudeviskere i tilfælde af regn, varmeanlæg osv.). |
|
5.3.4. |
Systemets kontrolstrategi skal være designet til at mindske risikoen for kollision og samtidig bevare styrbarhed, idet der tages højde for førerens reaktionstid, jf. punkt 5.3.6. |
|
5.3.5. |
Håndtering af systemgrænser |
|
5.3.5.1. |
Systemet skal sigte mod at detektere de gældende systemgrænser, når DCAS eller en DCAS-funktion er i »tændt« tilstand. Hvis systemet konstaterer, at system- eller funktionsgrænsen er overskredet, skal det skifte til standbytilstand og straks underrette føreren i overensstemmelse med de strategier, der er beskrevet af fabrikanten, jf. punkt 5.3.5.2, og i overensstemmelse med kravene til HMI i punkt 5.5.4.1.
Systemet skal afbryde den førerstøtte, som den pågældende funktion eller systemet yder, på en kontrollerbar måde. Strategien for afbrydelse af støtte skal beskrives af køretøjsfabrikanten og vurderes i henhold til bilag 3. |
|
5.3.5.1.1. |
Fabrikanten skal anvende strategier med henblik på at undgå, at systemet i overdreven grad veksler mellem standbytilstand og »aktiv« tilstand. |
|
5.3.5.2. |
Fabrikanten skal som en del af den dokumentation, der kræves i henhold til punkt 9, give en detaljeret beskrivelse af systemets og dets funktioners grænsebetingelser samt strategierne for underretning af føreren, hvis det detekteres, at en grænsebetingelse er overskredet, er nået eller nærmer sig (jf. punkt 5.3.5.5). |
|
5.3.5.2.1. |
Beskrivelsen skal som minimum tage højde for potentielt relevante grænsebetingelser som anført i bilag 3, tillæg 3. |
|
5.3.5.2.2. |
Fabrikanten skal beskrive og, hvor det er rimeligt, påvise systemets opførsel, indvirkningen på systemets ydelse samt måden, hvorpå sikkerheden garanteres, i tilfælde af at systemet eller dets funktioner forbliver i »aktiv« tilstand uden for disse grænser. |
|
5.3.5.3. |
Fabrikanten skal udpege de systemgrænser, som systemet er i stand til at detektere, og beskrive de midler, hvorved systemet identificerer systemgrænserne. |
|
5.3.5.4. |
Enhver erklæret systemgrænse, som systemet ikke er i stand til at detektere, skal registreres, og det skal over for den typegodkendende myndighed på tilfredsstillende vis godtgøres, at den manglende detektionsevne ikke påvirker den sikre drift af systemet eller dets funktioner. |
|
5.3.5.5. |
Når systemet konstaterer, at køretøjet nærmer sig en systemgrænse for en funktion i »aktiv« tilstand, skal det varsle føreren herom i god tid. |
|
5.3.6. |
Styrbarhed |
|
5.3.6.1. |
Systemet skal være designet til at sikre, at systemets styrehandlinger forbliver under førerens kontrol, også når en styrehandling skyldes systemsvigt, systemgrænser eller systemets overgang til »slukket« tilstand. I denne forbindelse skal der tages hensyn til førerens potentielle reaktionstid, alt efter hvad der er relevant for situationen, således at førerens indgriben til enhver tid kan udføres sikkert (f.eks. under en manøvre). |
|
5.3.6.2. |
For at sikre styrbarheden skal systemet anvende strategier, der er tilpasset dets ydeevne, inden for de definerede systemgrænser.
Strategier for styrbarhed kan omfatte, men er ikke begrænset til:
Fabrikantens styrbarhedsdesign skal beskrives nøje for den typegodkendende myndighed og vurderes i henhold til bilag 3. |
|
5.3.6.3. |
Deceleration og acceleration |
|
5.3.6.3.1. |
Når køretøjet styres af systemet, skal køretøjets deceleration og acceleration være håndterbar for føreren og den omgivende trafik, medmindre højere decelerationsniveauer er nødvendige for at sikre køretøjets eller de omgivende trafikanters sikkerhed. |
|
5.3.6.3.2. |
(Reserveret) |
|
5.3.7. |
Systemets dynamiske styring |
|
5.3.7.1. |
Køretøjets placering i vognbanen |
|
5.3.7.1.1. |
DCAS-funktionen skal, når den er i »aktiv« tilstand, bidrage til, at køretøjet ligger stabilt i vognbanen.
Når systemet er i »aktiv« tilstand, skal det sikre, at køretøjet ikke forlader sin vognbane som følge af de af fabrikanten angivne værdier for sideværts acceleration. |
|
5.3.7.1.1.1. |
Ved krumning af vejen skal systemet kunne tilpasse køretøjets hastighed for at følge den. |
|
5.3.7.1.2. |
Den aktiverede funktion skal til enhver tid inden for grænsebetingelserne sikre, at køretøjet ikke utilsigtet overskrider en vognbaneafmærkning som følge af de værdier for sideværts acceleration, der skal angives af fabrikanten, og som ikke må overstige 3 m/s2 for køretøjer i klasse M1 og N1 og 2,5 m/s2 for køretøjer i klasse M2, M3, N2 og N3.
Det anerkendes, at de maksimale værdier for sideværts acceleration, der er angivet af køretøjsfabrikanten, muligvis ikke kan realiseres under alle forhold (f.eks. ugunstige vejrforhold, varierende dæktyper monteret på køretøjet, sideværts skrånende veje). Funktionen må ikke deaktivere eller uberettiget ændre kontrolstrategien under disse andre forhold. |
|
5.3.7.1.2.1. |
Det glidende gennemsnit over et halvt sekund af den sideværts retningsforskydning, som systemet genererer, må ikke overstige 5 m/s3. |
|
5.3.7.1.3. |
Den strategi, hvormed systemet bestemmer den passende hastighed og den deraf følgende sideværts acceleration, skal registreres og vurderes af den typegodkendende myndighed. |
|
5.3.7.1.4. |
Når systemet når de grænsebetingelser, der er fastsat i punkt 9.1.3, og både ved manglende input fra føreren til styretøjets betjeningsanordning, og når et af køretøjets fordæk utilsigtet begynder at krydse en vognbaneafmærkning, skal systemet undgå et pludseligt udfald af styrestøtten ved fortsat at yde støtte i videst muligt omfang som beskrevet i køretøjsfabrikantens sikkerhedskoncept. Systemet skal tydeligt informere føreren om denne systemstatus ved hjælp af et optisk advarselssignal samt med et akustisk eller haptisk advarselssignal.
For køretøjerne i klasse M2, M3, N2 og N3 anses ovennævnte advarslers krav for opfyldt, hvis køretøjet er udstyret med et system til advarsel om vognbaneskift (LDWS), der opfylder de tekniske krav i FN-regulativ nr. 130. |
|
5.3.7.2. |
Manøvre |
|
5.3.7.2.1. |
Generelle krav |
|
5.3.7.2.1.1. |
En manøvre må kun igangsættes, hvis systemet ikke har konstateret, at føreren er uopmærksom, og
|
|
5.3.7.2.1.2. |
Det må kun være tilladt for systemet at udføre en manøvre, hvis køretøjet er udstyret med en detektionsevne med tilstrækkelig rækkevidde foran, på siderne af og bag køretøjet til at foretage manøvren. |
|
5.3.7.2.1.3. |
En manøvre må ikke igangsættes, hvis der gives en advarsel om førerens uopmærksomhed. |
|
5.3.7.2.1.4. |
En manøvre må ikke igangsættes, hvis der detekteres en risiko for kollision med et andet køretøj eller en anden trafikant i DCAS-køretøjets forventede bane under manøvren. |
|
5.3.7.2.1.5. |
En manøvre skal være forudsigelig og håndterbar for andre trafikanter. |
|
5.3.7.2.1.6. |
En manøvre skal sigte mod at være én kontinuerlig bevægelse. |
|
5.3.7.2.1.7. |
En manøvre skal afsluttes uden unødig forsinkelse. |
|
5.3.7.2.1.8. |
Når en manøvre er afsluttet, skal systemet atter bidrage til, at køretøjet ligger stabilt i vognbanen. |
|
5.3.7.2.1.9. |
Hvis køretøjet uventet tvinges til standsning under en planlagt manøvre, skal systemet som minimum afgive et visuelt advarselssignal til føreren og kan desuden anmode føreren om at tage styringen. |
|
5.3.7.2.1.10. |
Systemet skal signalere systemstøttede køremanøvrer (f.eks. vognbaneskift eller sving) til andre trafikanter i henhold til alment gældende regler eller som specifikt fastsat i dette regulativ. Dette omfatter brug af retningsviserblinklygterne til at signalere en forestående sideværts manøvre til de øvrige trafikanter. |
|
5.3.7.2.1.11. |
Systemet skal sikre, at manøvren forbliver under førerens kontrol, jf. punkt 5.3.6, ved at tilpasse hastigheden i langsgående retning før og under manøvren, hvis det er nødvendigt. |
|
5.3.7.2.1.12. |
Manøvren skal sigte mod at undgå at forårsage en kollision med et andet køretøj eller andre trafikanter, der er detekteret i køretøjets forventede bane, under manøvren. |
|
5.3.7.2.2. |
Generelle krav til manøvrer igangsat af føreren
Kravene i dette punkt og tilhørende underpunkter finder anvendelse på systemer, der er i stand til at udføre manøvrer, der er igangsat af føreren. |
|
5.3.7.2.2.1. |
Systemet må kun igangsætte manøvren, hvis føreren udtrykkeligt har bedt om det uden forudgående anmodning fra systemet, og hvis det er sikkert at gøre det. |
|
5.3.7.2.2.2. |
Systemet må ikke påbegynde manøvren, hvis der samtidig afgives en advarsel om førerens uopmærksomhed. |
|
5.3.7.2.3. |
Generelle krav til manøvrer bekræftet af føreren
Kravene i dette punkt og tilhørende underpunkter finder anvendelse på systemer, der er i stand til at udføre manøvrer, der er bekræftet af føreren. |
|
5.3.7.2.3.1. |
Kravene i punkt 5.5.4.1.8 og tilhørende underpunkter finder anvendelse. Systemet skal desuden være designet til at sikre, at føreren har tilstrækkelig tid til at bekræfte, at systemet kan fortsætte manøvren, hvis det er relevant. |
|
5.3.7.2.3.2. |
En anmodning fra systemet om, at føreren bekræfter en manøvre, skal som minimum angives ved hjælp af et særligt visuelt signal. |
|
5.3.7.2.3.3. |
Hvis føreren ikke bekræfter en anmodning fra systemet, eller hvis der afgives en advarsel om førerens uopmærksomhed, må systemet ikke igangsætte manøvren. |
|
5.3.7.2.3.4. |
En manøvre må kun foreslås på et berettiget grundlag. |
|
5.3.7.2.3.5. |
Systemet må ikke igangsætte den foreslåede manøvre, selv om den allerede er bekræftet af føreren, medmindre følgende betingelser er opfyldt:
|
|
5.3.7.2.3.6. |
Systemet må ikke foreslå en manøvre, hvis det samtidig ved, at manøvrens udførelse vil tvinge andre trafikanter til at bremse eller undvige køretøjet på en uhensigtsmæssig måde. |
|
5.3.7.2.3.7. |
Systemet skal sigte mod ikke at foreslå en manøvre, hvis denne ville være i strid med relevant skiltning eller andre færdselsregler, jf. punkt 6. |
|
5.3.7.2.3.8. |
Systemet må ikke foreslå en manøvre, hvis den ville få køretøjet til at krydse vognbaneafmærkninger, som det ikke er tilladt at krydse. |
|
5.3.7.2.4. |
Generelle krav til manøvrer igangsat af systemet
Kravene i dette punkt og tilhørende underpunkter finder anvendelse på systemer, der er i stand til at udføre manøvrer, som er igangsat af systemet. |
|
5.3.7.2.4.1. |
(Reserveret) |
|
5.3.7.3. |
Systemets reaktion ved førerens utilgængelighed |
|
5.3.7.3.1. |
Systemet skal opfylde de tekniske krav og overgangsbestemmelserne i ændringsserie 04 eller senere ændringsserier til FN-regulativ nr. 79 med hensyn til den risikobegrænsende funktion (RMF). Hvis det konstateres, at føreren fortsat ikke reagerer efter et forløb med stadig mere intense advarsler førerens uopmærksomhed, jf. punkt 5.5.4.2.6, skal systemet på passende vis aktivere RMF med henblik på sikker standsning. |
|
5.3.7.3.2. |
Hvis systemet er udstyret med en vognbaneskiftfunktion, der bekræftes af føreren eller igangsættes af systemet, skal RMF kunne udføre vognbaneskift under et indgreb på en motorvej. Systemet skal være designet til at udføre vognbaneskift til en langsommere vognbane eller et nødspor, hvis det er muligt og sikkert, samtidig med at der tages højde for omgivende trafik og vejinfrastruktur med henblik på sikker standsning. |
|
5.3.7.4. |
Støtte til overholdelse af hastighedsgrænser |
|
5.3.7.4.1. |
Systemet skal sigte mod at fastslå den aktuelle kørebanes hastighedsgrænse. |
|
5.3.7.4.2. |
Systemet skal konstant vise føreren den systembestemte hastighedsgrænse. |
|
5.3.7.4.3. |
Systemet og hver af dets funktioner må kun yde støtte inden for det pågældende designbestemte hastighedsområde. |
|
5.3.7.4.4. |
Den maksimalhastighed, som systemet og dets funktioner yder støtte op til, må ikke overstige den øvre hastighedsgrænse i det land, hvor køretøjet er i brug. |
|
5.3.7.4.5. |
Den aktuelle maksimalhastighed, som systemet kan yde støtte op til, bestemmes på grundlag af enten:
|
|
5.3.7.4.6. |
Systemet skal justere køretøjets hastighed automatisk, så den ikke overskrider den aktuelle maksimalhastighed. |
|
5.3.7.4.7. |
Systemet skal give føreren mulighed for at fastsætte en førerindstillet maksimalhastighed inden for systemets designbestemte hastighedsområde. |
|
5.3.7.4.7.1. |
Når køretøjets hastighed overskrider den systembestemte hastighedsgrænse, skal systemet som minimum give føreren et optisk signal af passende varighed. |
|
5.3.7.4.7.2. |
Systemet kan have en funktion, der gør det muligt for føreren at bekræfte eller afvise en ændring af den aktuelle maksimalhastighed, inden den gennemføres af systemet. |
|
5.3.7.4.7.3. |
Hvis der sker en ændring af den systembestemte hastighedsgrænse, gælder følgende: |
|
5.3.7.4.7.3.1. |
Føreren skal som minimum gives et akustisk eller haptisk signal, som kan tilsidesættes permanent af føreren. |
|
5.3.7.4.7.3.2. |
Hvis den aktuelle maksimalhastighed før ændringen var en førerindstillet maksimalhastighed, må den aktuelle maksimalhastighed ikke automatisk ændres til den nye systembestemte hastighedsgrænse, hvis den af føreren indstillede maksimalhastighed er lavere end både den tidligere sog den nye systembestemte hastighedsgrænse. |
|
5.3.7.4.7.3.3. |
Hvis den nye systembestemte hastighedsgrænse er lavere end den aktuelle maksimalhastighed, skal den aktuelle maksimalhastighed automatisk ændres til den nye systembestemte hastighedsgrænse. |
|
5.3.7.4.7.3.4. |
I de tilfælde, der ikke specifikt er omhandlet i ovenstående bestemmelser, skal systemets reaktion på en ændring af den systembestemte hastighedsgrænse dokumenteres og påvises af fabrikanten over for den typegodkendende myndighed. |
|
5.3.7.4.8. |
Enhver ændring af køretøjets hastighed, der er igangsat af systemet som følge af en ændret systembestemt hastighedsgrænse, skal være under førerens kontrol. |
|
5.3.7.4.9. |
Systemet må ikke gøre det muligt for føreren at indstille en standardværdi, hvormed den aktuelle maksimalhastighed forventes at overskride den systembestemte hastighedsgrænse. |
|
5.3.7.4.10. |
Teknisk rimelige tolerancer (f.eks. vedrørende speedometerunøjagtighed) kan anvendes på advarselstærsklerne og driftsgrænserne og skal af fabrikanten oplyses til den typegodkendende myndighed. |
|
5.3.7.4.11. |
Bestemmelserne i punkt 5.3.7.4 berører ikke national eller regional lovgivning, der indeholder bestemmelser vedrørende kontrolsystemet til hastighedsbegrænsning. |
|
5.3.7.5. |
Støtte til opretholdelse af afstand i fremadgående retning |
|
5.3.7.5.1. |
Systemet skal hjælpe føreren med at holde afstand i fremadgående retning i henhold til de nationale færdselsregler. |
|
5.3.7.5.1.1. |
For køretøjer i klasse M1 og N 1 anses kravet i punkt 5.3.7.5.1 for at være opfyldt, hvis et af følgende krav er opfyldt: |
|
5.3.7.5.1.1.1. |
Systemet skal løbende over for føreren angive den aktuelle indstilling for afstand i fremadgående retning, mens systemet er i »aktiv« tilstand. |
|
5.3.7.5.1.1.2. |
Efter første aktivering af systemet under en kørselscyklus skal systemet oplyse føreren, at konfigurationen for afstand i fremadgående retning er indstillet til en værdi på under 2 sekunder, hvis dette er tilfældet. |
|
5.4. |
Systemets sikkerhedsmæssige håndtering af detekterede svigt |
|
5.4.1. |
Det aktiverede system skal være i stand til at detektere og reagere på elektriske og ikke-elektriske svigt (f.eks. sensorblokering eller -skævhed), der påvirker systemets eller dets funktioners sikre drift. |
|
5.4.2. |
Ved detektion af et svigt, der påvirker den sikre drift af en eller flere funktioner eller systemet som helhed, skal de berørte funktioners eller systemets styrestøtte helt bringes til ophør på en sikker måde i overensstemmelse med fabrikantens sikkerhedskoncept.
Systemet skal gradvis reducere den styrestøtte, der ydes af de berørte funktioner eller af systemet, hvis det er sikkert at gøre det, og informere føreren i overensstemmelse med punkt 5.5.4.1. |
|
5.4.2.1. |
Hvis et svigt påvirker hele systemet, skal systemet skifte til »slukket« tilstand, når støtten ophører, og give føreren et optisk advarselssignal om svigt af en passende varighed. |
|
5.4.2.2. |
Svigt, der påvirker systemet, skal som minimum angives over for føreren ved hjælp af et optisk signal, medmindre systemet er i »slukket« tilstand. |
|
5.4.3. |
Fabrikanten skal træffe passende foranstaltninger (i overensstemmelse med punkt 5.3.6) for at sikre, at føreren fortsat har mulighed for at styre i tilfælde af systemsvigt. |
|
5.4.4. |
Hvis et svigt kun påvirker visse funktioner, er systemets fortsatte drift tilladt, såfremt driften af de øvrige funktioner sker i overensstemmelse med dette regulativ. |
|
5.4.4.1. |
De øvrige tilgængelige funktioner eller funktioner, der er utilgængelige som følge af svigtet, skal angives visuelt over for føreren på en letforståelig måde. |
|
5.4.4.2. |
Hvis systemet fortsat er i stand til at yde støtte under et svigt, der har gjort en given funktion ubrugelig, skal fabrikanten beskrive, hvilke funktioner der kan fungere uafhængigt af hinanden. Dette skal vurderes i henhold til bilag 3. |
|
5.4.5. |
Når føreren forsøger at ændre systemets eller en funktions tilstand til »tændt« tilstand, og systemet eller den pågældende funtion ikke er tilgængelig(t) på grund af et svigt, skal systemet give føreren en meddelelse om svigtet og den manglende tilgængelighed af systemet eller den pågældende funktion. |
|
5.5. |
Menneske-maskine-grænseflade (HMI) |
|
5.5.1. |
Drifttilstand
Diagram over drifttilstande for DCAS som defineret i dette regulativ:
|
|
5.5.2. |
Generelle krav |
|
5.5.2.1. |
Når systemet skiftes til »tændt« tilstand, skal bestemte systemfunktioner enten være i »aktiv« tilstand (genererer styreoutput) eller i standbytilstand (genererer i øjeblikket ikke styreoutput), hvorimod andre systemfunktioner kan forblive i »slukket« tilstand og gives kommandoer på en anden måde. |
|
5.5.2.2. |
Når føreren ændrer systemets drifttilstand til »slukket« tilstand, må der ikke ske en automatisk overgang til et andet system, der bevirker, at køretøjet bevæger sig kontinuerligt i langs- eller tværgående retning. |
|
5.5.2.3. |
Når systemet er i »aktiv« tilstand, må der ikke ydes vedvarende langs- og tværgående styrestøtte af andre systemer end DCAS, medmindre indgriben fra et nødsikkerhedssystem anses for nødvendigt i henhold til punkt 5.2. |
|
5.5.2.4. |
HMI skal være konstrueret med henblik på at undgå forveksling med andre systemer, som køretøjet er udstyret med. |
|
5.5.2.4.1. |
Uden at dette berører bestemmelserne i FN-regulativ nr. 121 skal de af køretøjets betjeningsorganer, der er forbeholdt DCAS, være klart mærket og skelnelige (f.eks. via betjeningsorganets størrelse, udformning, farve, type, handling, afstand og/eller form), så der kun er mulighed for formålstjenlige interaktioner. Denne bestemmelse sigter mod at fremme korrekt anvendelse og har ikke til formål at forbyde multifunktionelle betjeningsorganer. |
|
5.5.3. |
Aktivering, deaktivering og førerens tilsidesættelse af systemet |
|
5.5.3.1. |
Systemet skal være i »slukket« tilstand ved hver ny motorstart (eller igangsætning af en kørselscyklus, alt efter hvad der er relevant), uanset hvilken tilstand føreren tidligere har valgt.
Dette krav finder ikke anvendelse, hvis en ny motorstart (eller kørselscyklus, alt efter hvad der er relevant) sker automatisk, f.eks. ved hjælp af et stop-start-system. |
|
5.5.3.2. |
Aktivering |
|
5.5.3.2.1. |
Systemet må kun skifte fra »slukket« til »tændt« tilstand som følge af en bevidst handling fra førerens side. |
|
5.5.3.2.2. |
Systemet eller dets funktioner må kun skifte til »aktiv« tilstand, hvis alle følgende betingelser er opfyldt:
Fabrikanten skal i dokumentationen angive yderligere typer af forhåndsbetingelser, hvorunder systemet eller dets funktioner kan skifte til »aktiv« tilstand, hvis det er relevant. |
|
5.5.3.3. |
Deaktivering |
|
5.5.3.3.1. |
Det skal til enhver tid være muligt for føreren at ændre systemets drifttilstand til slukket tilstand. |
|
5.5.3.3.2. |
Når føreren slukker systemet eller en af dets funktioner, skal systemet eller funktionen skifte til »slukket« tilstand. |
|
5.5.3.3.3. |
Når systemet eller en af dets funktioner registrerer, at forhåndsbetingelserne for at forblive i »aktiv« tilstand ikke længere er opfyldt, skal systemet eller funktionen sikkert og rettidigt afbryde styreoutputtet ved enten at overgå til standbytilstand eller ved at ændre systemets eller funktionens tilstand til »slukket«, medmindre andet udtrykkeligt er fastsat i dette regulativ. |
|
5.5.3.3.4. |
Systemet må ikke genoptage styring i langsgående retning uden input fra føreren, hvis køretøjet er stationært som følge af indgriben fra et nødsikkerhedssystem (f.eks. AEBS). |
|
5.5.3.4. |
Førerens tilsidesættelse af systemet |
|
5.5.3.4.1. |
Systemet kan forblive i »aktiv« tilstand, forudsat at input fra føreren prioriteres i perioden, systemet er tilsidesat. |
|
5.5.3.4.1.1. |
Input fra føreren til bremsens betjeningsanordning, der medfører en kraftigere deceleration end den, som systemet forårsager, skal tilsidesætte enhver funktion knyttet til den styring i langsgående retning, som systemet udøver, og styrestøtten må ikke genoptages efter tilsidesættelse af denne art uden en særskilt førerhandling. |
|
5.5.3.4.1.2. |
Input fra føreren til ethvert bremsesystems betjeningsanordning (f.eks. parkeringsbremsen) med henblik på at holde køretøjet stationært skal tilsidesætte enhver funktion knyttet til den styring i langsgående retning, som systemet udøver. |
|
5.5.3.4.1.3. |
Input fra føreren til speederen, der medfører en acceleration, der er kraftigere end den, som systemet forårsager, skal tilsidesætte systemets styrestøtte i langsgående retning. Systemet skal genoptage styrestøtten i langsgående retning på grundlag af den aktuelle maksimalhastighed. |
|
5.5.3.4.1.4. |
Styreinput fra føreren skal tilsidesætte enhver funktion knyttet til den styrestøtte i tværgående retning, som systemet udøver. Den kraft, som styretøjets betjeningsanordning skal påføres ved tilsidesættelse, må ikke overstige 50 N. Systemet kan give føreren mulighed for at foretage mindre styrekorrektioner i tværgående retning (f.eks. for at undgå et hul i vejen). |
|
5.5.3.4.1.5. |
Hvis det i henhold til punkt 5.3.7.4.4 ikke længere er tilladt for systemet at yde støtte i langs- eller tværgående retning som følge af førerens tilsidesættelse af systemet, skal fabrikanten anvende strategier til sikring af styrbarheden i disse driftsfaser (f.eks. undgå afbrydelse af styring i tværgående retning, hvis systemet har detekteret førerens manglende motoriske opmærksomhed). |
|
5.5.4. |
Orientering af føreren, førerens uopmærksomhed og advarselsstrategier |
|
5.5.4.1. |
Orientering af føreren |
|
5.5.4.1.1. |
Systemet skal orientere eller advare føreren om:
|
|
5.5.4.1.2. |
Systemets meddelelser og signaler skal være utvetydige, rettidige og må ikke føre til forvirring. |
|
5.5.4.1.3. |
Systemets meddelelser og signaler skal anvende enten individuel eller en passende kombination af visuel, lydlig og/eller haptisk feedback alt efter omstændighederne. |
|
5.5.4.1.4. |
Hvis der gives flere meddelelser eller signaler parallelt, skal de prioriteres efter uopsættelighed. Meddelelser og signaler vedrørende sikkerheden skal have højeste prioritet. Fabrikanten skal i dokumentation opstille og gøre rede for alle systemets meddelelser og signaler. |
|
5.5.4.1.5. |
Systemets meddelelser og signaler skal være konstrueret til aktivt at tilskynde føreren til at forstå systemets tilstand, dets ydeevne samt førerens opgaver og ansvar. |
|
5.5.4.1.6. |
Systemets meddelelser og signaler skal tilskynde føreren til at forstå systemets tilsigtede styreoutput. |
|
5.5.4.1.7. |
Systemets overordnede statusangivelse skal klart kunne skelnes fra statusangivelsen for ethvert automatisk køresystem, som køretøjet er udstyret med. |
|
5.5.4.1.8. |
Systemets meddelelser og signaler vedrørende manøvrer bekræftet af føreren |
|
5.5.4.1.8.1. |
Systemet skal visuelt informere føreren om en foreslået manøvre. Hvis der informeres om en række manøvrer, skal det være en kombination inden for en forbundet række, der er forståelig for føreren. Fabrikanten skal over for den typegodkendende myndighed gøre rede for det tidspunkt, hvor disse oplysninger afgives for at sikre en passende reaktion fra føreren. |
|
5.5.4.1.8.2. |
Systemets signaler og meddelelser skal være konstrueret til at undgå, at føreren fejlanvender eller har overdreven tillid til systemet. |
|
5.5.4.1.9. |
Systemets meddelelser og signaler vedrørende manøvrer igangsat af systemet |
|
5.5.4.1.9.1. |
Bestemmelserne i punkt 5.5.4.1.8 finder anvendelse på samme måde. Oplysningerne skal så vidt muligt gives mindst 3 sekunder forud for en relevant tilsigtet manøvre. |
|
5.5.4.1.9.2. |
(Reserveret) |
|
5.5.4.2. |
Overvågning af førerens tilstand og advarselsstrategier
Systemet til overvågning af førerens tilstand og dets advarselsstrategi skal dokumenteres og påvises af fabrikanten over for den typegodkendende myndighed i forbindelse med inspektion af sikkerhedskonceptet som led i vurderingen i bilag 3 og i overensstemmelse med de relevante prøvninger i bilag 4. |
|
5.5.4.2.1. |
Overvågning af førerens uopmærksomhed
Systemet skal være udstyret med midler til på passende vis at detektere førerens uopmærksomhed som angivet i følgende underpunkter. |
|
5.5.4.2.1.1. |
Systemet skal overvåge, om føreren er motorisk (dvs. ikke har hånd/hænder på styretøjets betjeningsanordning) og visuelt (f.eks. forkert synsretning og/eller hovedstilling) uopmærksom. |
|
5.5.4.2.1.2. |
Hvis det detekteres, at bestemmelse af visuel uopmærksomhed er midlertidigt utilgængelig, må systemet ikke få køretøjet til at forlade sin aktuelle vognbane. |
|
5.5.4.2.2. |
Generelle krav til advarsler om førerens uopmærksomhed |
|
5.5.4.2.2.1. |
Advarslen skal oplyse føreren om de påkrævede handlinger og således hjælpe vedkommende til at have den korrekte opmærksomhed på kørselsopgaven. |
|
5.5.4.2.2.3. |
Systemets strategi for advarsler og intensiverede advarsler skal tage hensyn til og prioritere samtidigt aktiverede nødstøttesystemers advarselsstrategier (f.eks. AEBS). |
|
5.5.4.2.3. |
Advarselstyper |
|
5.5.4.2.3.1. |
Anmodning om hænder på rattet (HOR — Hands On Request) |
|
5.5.4.2.3.1.1. |
HOR skal som minimum indeholde løbende (konstant eller periodisk) visuel information svarende til den, der gives i nedenstående eksempel.
|
|
5.5.4.2.3.1.2. |
Som minimum anses HOR for bekræftet, når føreren har anbragt hånden eller hænderne på styretøjets betjeningsanordning. |
|
5.5.4.2.3.2. |
Anmodning om korrekt synsretning (EOR — Eyes On Request) |
|
5.5.4.2.3.2.1. |
EOR skal være løbende visuel information kombineret med mindst én anden modalitet, som begge skal være tydelige og letopfattelige signaler, medmindre det kan sikres, at føreren har set den visuelle information. |
|
5.5.4.2.3.2.2. |
Som minimum anses EOR for bekræftet, når føreren ikke længere er visuelt uopmærksom, jf. punkt 5.5.4.2.5. |
|
5.5.4.2.3.3. |
Varsling om direkte styring (DCA — Direct Control Alert) |
|
5.5.4.2.3.3.1. |
DCA skal ved et tydeligt og opsigtsvækkende signal instruere føreren i straks at genoptage den ustøttede styring af køretøjet i tværgående retning eller i tvær- og langsgående retning. DCA skal omfatte en visuel advarsel kombineret med mindst én anden modalitet, som begge skal være tydelige og letopfattelige. |
|
5.5.4.2.3.3.2. |
Som minimum anses DCA for bekræftet, når føreren atter varetager den ustøttede styring af køretøjet i tværgående eller i tvær- og langsgående retning i overensstemmelse med DCA's fordring. |
|
5.5.4.2.4. |
Vurdering af motorisk uopmærksomhed |
|
5.5.4.2.4.1. |
Føreren anses for at være motorisk uopmærksom, når føreren har fjernet hænderne fra styretøjets betjeningsanordning |
|
5.5.4.2.5. |
Vurdering af visuel uopmærksomhed |
|
5.5.4.2.5.1. |
Systemet til overvågning af førerens tilstand skal som minimum detektere førerens visuelle uopmærksomhed på grundlag af førerens synsretning. Hovedstilling kan også anvendes, hvis førerens synsretning ikke kan bestemmes, eller hvis hovedstillingen muliggør hurtigere detektion af uopmærksomhed. |
|
5.5.4.2.5.2. |
Føreren anses for visuelt uopmærksom, når vedkommendes synsretning og/eller hovedstilling, alt efter hvad der er relevant, er rettet væk fra et område af relevans for den aktuelle kørselsopgave.
Fabrikanten skal i den dokumentation, der stilles til rådighed for den typegodkendende myndighed, give en oversigt over områder af relevans for kørselsopgaven og tidspunkterne for disses relevans. I forbindelse med vurdering af visuel uopmærksomhed betragtes instrumentbrættet ikke som et område af relevans for kørselsopgaven. |
|
5.5.4.2.5.2.1. |
Føreren anses for visuelt opmærksom eller atter visuelt opmærksom efter en periode med bortvendt synsretning eller hovedstilling, hvis synsretningen eller hovedstillingen flyttes til et område af relevans for den aktuelle kørselsopgave i en periode af tilstrækkelig varighed afhængigt af situationen. Varigheden skal være mindst 200 millisekunder. |
|
5.5.4.2.5.3. |
Fabrikanten skal gennemføre strategier til håndtering af detektion og reaktion i forbindelse med gentagne, kortvarige tilfælde af bortvendt synsretning eller hovedstilling hos føreren (f.eks. længere frist for atter at være opmærksom og/eller øjeblikkelig udløsning af EOR). |
|
5.5.4.2.6. |
Forløb med stadig mere intense advarsler
Afhængigt af systemets sikkerhedskoncept kan det nedenfor beskrevne forløb med stadig mere intense advarsler påbegyndes på et hvilket som helst advarselsstadie, springe over ethvert advarselsstadie, indeholde samtidige advarsler eller tilsidesætte eller udskyde en advarsel, hvis en anden advarsel allerede er aktiv. |
|
5.5.4.2.6.1. |
Anmodning om hænder på rattet (HOR) |
|
5.5.4.2.6.1.1. |
Ved hastigheder over 10 km/h skal HOR gives senest, når det vurderes, at føreren har været motorisk uopmærksom i mere end 5 sekunder. HOR kan dog udsættes i op til 5 sekunder, hvis systemet kan bekræfte, at føreren ikke er visuelt uopmærksom. |
|
5.5.4.2.6.1.2. |
I tilfælde af fortsat uopmærksomhed skal HOR intensiveres senest 10 sekunder efter den oprindelige HOR. Den intensiverede HOR skal indeholde yderligere akustisk og/eller haptisk information. |
|
5.5.4.2.6.1.3. |
(Reserveret til krav vedrørende »hands-off«) |
|
5.5.4.2.6.2. |
Anmodning om korrekt synsretning (EOR) |
|
5.5.4.2.6.2.1. |
Ved hastigheder over 10 km/h skal EOR gives senest, når det vurderes, at føreren har været visuelt uopmærksom i mere end 5 sekunder. |
|
5.5.4.2.6.2.2. |
I tilfælde af fortsat visuel uopmærksomhed skal systemet intensivere EOR senest 3 sekunder efter den oprindelige EOR i henhold til advarselsstrategien. Denne intensivering skal altid omfatte akustisk og/eller haptisk information. |
|
5.5.4.2.6.3. |
Varslinger om direkte styring (DCA) |
|
5.5.4.2.6.3.1. |
Senest 5 sekunder efter en intensivering af EOR skal DCA vises for føreren. |
|
5.5.4.2.6.4. |
Overgang til systemets reaktion ved førerens utilgængelighed |
|
5.5.4.2.6.4.1. |
Hvis systemet konstaterer, at føreren efter en intensivering af advarslen fortsat er uopmærksom, skal systemet igangsætte reaktion ved førerens utilgængelighed, senest 10 sekunder efter den første intensiverede anmodning eller varsling. |
|
5.5.4.2.6.5. |
(Reserveret til krav vedrørende »hands-off«) |
|
5.5.4.2.7. |
Yderligere strategier til detektion af uopmærksomhed og passende modforanstaltninger
Systemet til overvågning af førerens tilstand skal have strategier til at vurdere, om føreren er uopmærksom, hvis der i en længere periode ikke er registreret noget input fra føreren (f.eks. ved negativ bestemmelse af træthed hos føreren), og skal gennemføre passende modforanstaltninger. |
|
5.5.4.2.8. |
Gentagne eller langvarige tilfælde af førerens uopmærksomhed |
|
5.5.4.2.8.1. |
Fabrikanten skal anvende strategier til forhindring af systemaktivering under start-/kørselscyklussen, når det detekteres, at føreren har udvist tegn på utilstrækkelig opmærksomhed i en længere periode, og som minimum ved mere end en udløsning af systemets reaktion ved førerens utilgængelighed. |
|
5.6. |
Oplysningsmateriale til føreren
Ud over brugervejledningen skal fabrikanten tilvejebringe tydelig, lettilgængelig og gratis information om systemets drift for den enkelte køretøjstype (f.eks. dokumentation, video og webstedsmaterialer). Oplysningsmaterialet skal som minimum omfatte følgende emner og anvende terminologi, som er forståelig for en lægperson uden særlig teknisk viden:
I fabrikantens dokumentation, herunder i undervisningsmaterialet (f.eks. dokumentation, video, webstedsmaterialer) rettet til forbrugerne, må fabrikanten ikke beskrive systemet på en måde, der kan vildlede kunden om systemets ydeevne eller begrænsninger eller om dets automatiseringsgrad. |
6. Supplerende specifikationer for DCAS-funktioner
Fabrikanten skal over for den typegodkendende myndighed godtgøre, at bestemmelserne i dette punkt er opfyldt i forbindelse med inspektion af sikkerhedstilgangen som led i vurderingen i bilag 3 og i overensstemmelse med de relevante prøvninger i bilag 4.
Systemet skal opfylde kravene i punkt 6, hvor det er relevant for systemets design og for sikkerhedskonceptet, når driften sker inden for systemets grænsebetingelser i henhold til punkt 5.3.5.2.
|
6.1. |
Specifikke krav til køretøjets placering i vognbanen |
|
6.1.1. |
Forøget tværgående dynamik |
|
6.1.1.1. |
Uanset kravene i punkt 5.3.7.1.2 kan det for køretøjer i klasse M1 og N1 tillades, at funktionen forårsager værdier for sideværts acceleration, der overstiger 3 m/s2 (f.eks. for ikke at forstyrre trafikstrømmen), forudsat at følgende betingelser er opfyldt:
Hvis en af betingelserne ikke længere er opfyldt, skal systemet gennemføre strategier til sikring af styrbarheden. |
|
6.1.1.2. |
Fabrikanten skal over for den typegodkendende myndighed påvise, hvordan bestemmelserne i punkt 6.1.1.1 er gennemført i forbindelse med systemets design. |
|
6.1.2. |
Sammenfletninger og motorvejstilkørsler |
|
6.1.2.1. |
Systemet skal sigte mod at detektere forhold, hvor den aktuelle vognbane flettes sammen med en anden vognbane (herunder tilkørsler), og skal være konstrueret til at garantere sikker styring i disse situationer, idet der tages højde for trafikanter i de tilstødende vognbaner. Hvis systemet er konstrueret til at håndtere en sådan situation ved at udføre en manøvre, skal denne være i overensstemmelse med bestemmelserne i dette regulativ. |
|
6.1.3. |
Tilfælde, hvor vognbanen forlades med henblik på at danne en korridor med fri passage for udrykningskøretøjer. |
|
6.1.3.1. |
Hvis systemet er i stand til at medvirke til dannelsen af en korridor med fri passage for udrykningskøretøjer, må systemet kun forlade sin aktuelle vognbane (forebyggende handling) med henblik på at danne en korridor med fri passage, hvis dette er påkrævet og tilladt i henhold til nationale færdselsregler. |
|
6.1.3.2. |
Når systemet medvirker til at danne en korridor med fri passage, skal det sikre, at der i tvær- og langsgående retning holdes tilstrækkelig afstand til vejgrænser, køretøjer og andre trafikanter. |
|
6.1.3.3. |
Køretøjet skal vende tilbage til sin oprindelige vognbane, når den situation, der krævede dannelse af en korridor med fri passage, er overstået. |
|
6.1.4. |
Placering i vognbanen på veje uden vognbaneafmærkning |
|
6.1.4.1. |
Hvis systemet er designet til at kunne positionere køretøjet i vognbanen på veje uden vognbaneafmærkning, skal det anvende andre informationskilder til på en pålidelig måde at bestemme og fastholde en passende bane under hensyntagen til andre trafikanter. |
|
6.2. |
Særlige krav ved vognbaneskift |
|
6.2.1. |
Der må kun foretages vognbaneskift, hvis systemet har tilstrækkelige oplysninger om omgivelserne foran, på siderne af og bag køretøjet til at vurdere kritikaliteten af det pågældende vognbaneskift. |
|
6.2.2. |
Vognbaneskift må ikke foretages til en vognbane, der er beregnet til kørsel i modsat retning. |
|
6.2.3. |
Under vognbaneskiftet skal systemet være konstrueret til at undgå en sideværts acceleration, der overstiger 1,5 m/s2 ud over den sideværts acceleration, der genereres af vognbanens krumning, og til at undgå en samlet sideværts acceleration, der overstiger 3,5 m/s2.
Det glidende gennemsnit over et halvt sekund af den sideværts retningsforskydning, som systemet genererer, må ikke overstige 5 m/s3. |
|
6.2.4. |
En vognbaneskiftmanøvre må kun indledes, hvis den ikke tvinger et køretøj i målbanen til at decelerere på ustyrlig vis på grund af vognbaneskiftet. |
|
6.2.4.1. |
Tilfælde, hvor et køretøj nærmer sig
Systemet skal være konstrueret til ikke at tvinge et køretøj, der nærmer sig, til at decelerere med mere end 3 m/s2, A sekunder efter systemets påbegyndelse af vognbaneskiftet for at sikre, at afstanden mellem de to køretøjer aldrig er mindre end den, som DCAS-køretøjet tilbagelægger på 1 sekund. hvor:
|
|
6.2.4.2. |
Tilfælde, hvor der ikke detekteres noget køretøj
Hvis systemet ikke detekterer noget køretøj, der nærmer sig i målbanen, skal vurderingen beregnes i henhold til punkt 6.2.4.1 med den antagelse, at:
Hvis målbanen netop er fremkommet, anses dette krav for opfyldt, hvis der ikke er detekteret noget køretøj i målbanens længde bagtil. |
|
6.2.4.3. |
Hvis systemet har til hensigt at decelerere køretøjet under en vognbaneskiftprocedure, skal denne deceleration tages i betragtning ved vurderingen af afstanden til et køretøj, der nærmer sig bagfra, og decelerationen må ikke overstige 2 m/s2, undtagen for at undgå eller mindske risikoen for en umiddelbart forestående kollision. |
|
6.2.4.4. |
Hvis der ikke er tilstrækkelig afstand (målt i tid) til det bagvedliggende køretøj ved vognbaneskiftprocedurens afslutning, må systemet ikke øge decelerationen i mindst 2 sekunder efter vognbaneskiftprocedurens afslutning, medmindre dette er nødvendigt af hensyn til systemets nominelle drift (f.eks. som reaktion på vejinfrastruktur eller andre trafikanter) eller for at undgå eller mindske risikoen for en umiddelbart forestående kollision. |
|
6.2.5. |
Fabrikanten skal over for den typegodkendende myndighed påvise, hvordan bestemmelserne i punkt 6.2.4 er gennemført i forbindelse med systemets design. |
|
6.2.6. |
Systemet skal generere et signal til aktivering og deaktivering af retningsviserblinklygten. Signalet til retningsviserblinklygten skal forblive aktivt i hele den periode, som vognbaneskiftproceduren varer, og skal deaktiveres rettidigt af systemet, når funktionen til placering i vognbanen atter er i drift, medmindre retningsviserblinklygtens betjeningsanordning er slået til og i fastholdt stilling. |
|
6.2.7. |
En vognbaneskiftprocedure skal signaleres til andre trafikanter i mindst 3 sekunder før vognbaneskiftmanøvren påbegyndes. En kortere signaleringsperiode er tilladt, forudsat at dette ikke er i strid med de nationale færdselsregler i driftslandet, og at andre trafikanter ikke desto mindre gives tilstrækkelig varsel om manøvren. |
|
6.2.8. |
Når systemet tilsidesætter vognbaneskiftproceduren, skal det tydeligt oplyse føreren herom ved hjælp af et optisk signal i kombination med enten et akustisk eller haptisk signal. |
|
6.2.9. |
Yderligere krav til vognbaneskift |
|
6.2.9.1. |
Yderligere krav til vognbaneskift, der er bekræftet af føreren |
|
6.2.9.1.1. |
I tillæg til kravene i punkt 6.2.4.1 skal systemet sigte mod at undgå at tvinge et køretøj, der nærmer sig i målbanen, til at decelerere, medmindre dette er nødvendigt som følge af trafiksituationen. |
|
6.2.9.1.2. |
Uanset kravene i punkt 6.2.4.2, litra b), antages det, at det køretøj, der nærmer sig i målbanen, fremføres med den tilladte maksimalhastighed +10 % eller 130 km/h, alt efter hvad der er lavest. |
|
6.2.9.2. |
Yderligere krav til vognbaneskift igangsat af systemet |
|
6.2.9.2.1. |
(Reserveret) |
|
6.2.9.3. |
Støtte til vognbaneskift på veje, hvor der ikke er nogen fysisk adskillelse af de to trafikretninger
Hvis systemet er konstrueret til at yde støtte til vognbaneskift på veje, hvor der ikke er nogen fysisk adskillelse af de to trafikretninger, skal systemet gennemføre strategier, der sikrer, at vognbaneskiftproceduren kun udføres til eller via en bane, hvor målbanen ikke er forbeholdt modgående trafik. Disse strategier skal under typegodkendelsen påvises over for og vurderes af den tekniske tjeneste i henhold til de tilsvarende prøvninger i bilag 4. |
|
6.2.9.4. |
Støtte til vognbaneskift på veje, hvor der ikke er forbud mod fodgængere og/eller cykler
Systemet må kun udføre vognbaneskift på veje med fodgængere og cyklister, hvis systemet kan undgå at skabe risiko for kollision med bløde trafikanter (f.eks. fodgængere og cyklister). |
|
6.2.9.5. |
Støtte til vognbaneskift i situationer, hvor vognbaneskiftmanøvren ikke kan påbegyndes senest 7 sekunder efter igangsætning af vognbaneskiftproceduren
Tidsrummet mellem igangsætning af vognbaneskiftproceduren og vognbaneskiftmanøvrens påbegyndelse må kun vare mere end 7 sekunder, hvis dette ikke er i strid med de nationale færdselsregler. |
|
6.3. |
Særlige krav til øvrige manøvrer, som ikke er vognbaneskift |
|
6.3.1. |
Bestemmelserne i dette punkt gælder for manøvrer, der bevirker, at køretøjet:
|
|
6.3.2. |
Systemet skal være konstrueret til at reagere på køretøjer, trafikanter, infrastruktur eller en blokeret vej fortil, som allerede er i eller kan komme ind i den planlagte bane eller de tilsvarende køreforhold, for at opretholde sikker drift. |
|
6.3.3. |
Systemet skal være konstrueret til at reagere på trafiklys, stoptavler, infrastruktur vedrørende forkørselsret og vigepligt (f.eks. fodgængerfelter eller busstoppesteder) og kørebaner med begrænset adgang, der svarer til systemets bane, eller den bane, som systemet ville befinde sig i som følge af manøvren, hvis dette anses for relevant for den pågældende manøvre og det pågældende driftsdomæne (f.eks. motorvej eller ikke-motorvej). |
|
6.3.4. |
Systemet skal være konstrueret til at køre sikkert og forsigtigt over bakkekamme, når dette anses for relevant for styrbarheden under den pågældende manøvre. |
|
6.3.5. |
Hvis manøvren kan medføre sammenstød med bløde trafikanter, der krydser kørebanen (f.eks. cykelsti, fodgængerfelt), skal systemet være konstrueret til at reagere passende over for trafikanterne og infrastrukturen. |
|
6.3.6. |
Hvis manøvren kan medføre sammenstød med krydsende trafik (f.eks. ved svingning), eller sammenfletning med trafik, der nærmer sig fra en anden retning, skal systemet være konstrueret til at reagere hensigtsmæssigt over for disse trafikanter (f.eks. ved at holde tilbage). |
|
6.3.7. |
Hvis det er relevant for manøvren, skal systemet være konstrueret til at detektere kørebaner med begrænset adgang (f.eks. bus-, cykel- eller taxabaner) og skal sigte mod at undgå at køre i sådanne baner. Hvis systemet detekterer, at det befinder sig i en kørebane med begrænset adgang, skal det foreslå eller foretage et vognbaneskift til en passende kørebane, alt efter hvad der er relevant for systemets design, eller anmode føreren om at overtage styringen. |
|
6.3.8. |
Systemet skal sigte mod at overholde reglerne om forkørselsret og vigepligt. |
|
6.3.9. |
Yderligere krav til kørsel uden om en forhindring på kørebanen |
|
6.3.9.1. |
Der kan køres uden om en forhindring på kørebanen i følgende tilfælde:
Kørsel ind eller over i en anden bane kan accepteres, hvis fabrikanten forelægger den typegodkendende myndighed tilstrækkelige oplysninger, og det fastslås, at det er hensigtsmæssigt og muliggør sikker drift af systemet. |
|
6.3.9.2. |
Kørsel uden om en genstand, der udgør en forhindring på kørebanen, er kun tilladt, hvis systemet er i stand til at bestemme andre trafikanters position og bevægelse foran, på siderne af og bag køretøjet, alt efter hvad der er relevant for den specifikke manøvre, og hvis disse befinder sig i tilstrækkelig afstand til, at manøvren kan udføres. |
|
6.3.9.3. |
Hvis manøvren vil få køretøjet til helt eller delvist at køre over i en anden vognbane, må systemet kun gøre dette, hvis det kan bekræfte, at der er tilstrækkelig plads og tid. Der må ikke være modkørende trafikanter, der kan forhindre systemet i at fuldføre manøvren og vende tilbage til den rette vognbane. Der må ikke køres over i en anden vognbane med modsat kørselsretning for at passere normal trafik, der bevæger sig med passende hastighed. |
|
6.3.9.4. |
Systemet må ikke foreslå føreren en manøvre, hvorved der køres over en fuldt optegnet vognbaneafmærkning, som det ikke er tilladt at krydse, medmindre det er tilladt i den situation, der er beskrevet i punkt 6.3.9.1, litra c). |
7. Overvågning af DCAS-driften
|
7.1. |
Overvågning af DCAS-driften |
|
7.1.1. |
Fabrikanten skal have procedurer til overvågning af sikkerhedskritiske hændelser forårsaget af systemets drift. |
|
7.1.2. |
For at opfylde denne bestemmelse skal fabrikanten etablere et overvågningsprogram, der har til formål at indsamle og analysere data med henblik på så vidt muligt at fremlægge dokumentation for sikkerheden af DCAS efter ibrugtagning og bekræftende dokumentation for auditresultaterne vedrørende kravene til sikkerhedsforvaltningssystemet som fastsat i bilag 3 til dette regulativ. |
|
7.2. |
Rapporter om DCAS-driften |
|
7.2.1. |
Første underretning om sikkerhedskritiske hændelser |
|
7.2.1.1. |
Fabrikanten skal underrette den typegodkendende myndighed, så snart det er praktisk muligt, om enhver sikkerhedskritisk hændelse, som fabrikanten får kendskab til, hvor systemet eller dets funktioner var i »tændt« tilstand eller blev ændret til »tændt« tilstand i løbet af de sidste 5 sekunder før den sikkerhedskritiske hændelse. |
|
7.2.1.2. |
Den første underretning kan være begrænset til data på højt niveau (f.eks. sted, tid eller type af ulykke). |
|
7.2.2. |
Kortsigtede rapporter om sikkerhedskritiske begivenheder |
|
7.2.2.1. |
Efter den første underretning skal fabrikanten undersøge, om hændelsen vedrørte DCAS-driften, og hurtigst muligt meddele den typegodkendende myndighed resultaterne af denne undersøgelse. Hvis systemets drift sandsynligvis var en af årsagerne til hændelsen, skal fabrikanten desuden underrette den typegodkendende myndighed om påtænkte korrigerende foranstaltninger vedrørende DCAS-designet, hvis det er relevant. |
|
7.2.2.2. |
Hvis der er behov for korrigerende foranstaltninger, videreformidler den typegodkendende myndighed disse oplysninger til alle typegodkendende myndigheder. |
|
7.2.2.3. |
Hvis den typegodkendende myndighed underrettes om en sikkerhedskritisk hændelse vedrørende et køretøj udstyret med DCAS gennem andre kilder end køretøjsfabrikanten, f.eks. gennem andre typegodkendende myndigheder, kan denne typegodkendende myndighed anmode fabrikanten om at fremlægge alle tilgængelige oplysninger om hændelsen på en lettilgængelig måde som fastsat i punkt 7.2.1 og 7.2.2. |
|
7.2.3. |
Periodiske rapporter |
|
7.2.3.1. |
Fabrikanten skal til den typegodkendende myndighed mindst én gang om året indgive de oplysninger, der anses for at være behørig dokumentation for systemets tilsigtede drift og sikkerhed i praksis. Fabrikanten skal som minimum indgive de oplysninger, der er anført i nedenstående tabel. Eventuel indgivelse af yderligere oplysninger aftales mellem den typegodkendende myndighed og fabrikanten.
Hvis systemet har været genstand for væsentlige ændringer, der er relevante for de oplysninger, der er indgivet i rapporteringsperioden, skal ændringerne af systemet angives i rapporten. Tabel 1 Oplysninger i periodiske rapporter
|
8. Systemvalidering
|
8.1. |
Systemvalideringen skal sikre, at fabrikanten som led i konstruktions- og udviklingsprocesserne har foretaget en tilstrækkelig grundig evaluering, jf. bilag 3, af funktions- og driftssikkerheden af de funktioner, der er indbygget i systemet, og af hele det system, der er indbygget i et køretøj. |
|
8.2. |
Ved systemvalideringen skal det påvises, at de funktioner, der er indbygget i systemet, og systemet som helhed opfylder kravene til ydeevne i punkt 5 og 6 i dette regulativ.
Systemvalideringen skal omfatte:
|
|
8.2.1. |
Systemvalideringen kan omfatte anvendelse af virtuel prøvning og rapportering af parametre, der fremkommer ved virtuel prøvning, f.eks. måling af dækning og sikkerhedsparametre. Hvis der udføres virtuel prøvning, skal der fremlægges en troværdighedsvurdering for den typegodkendende myndighed, jf. bilag 5. |
9. Systeminformationsdata
|
9.1. |
Følgende data skal sammen med den dokumentationspakke, der kræves i bilag 3 til dette FN-regulativ, indleveres af fabrikanten til den typegodkendende myndighed på tidspunktet for typegodkendelsen. |
|
9.1.1. |
Særlige funktioner, jf. klassificeringen i punkt 6, som er indbygget i systemet.
Fabrikanten skal med »x« eller »ikke relevant« angive, i hvilket domæne funktionen kan anvendes, og udfylde alle relevante felter i tabellen:
|
|
9.1.2. |
Domæner (motorvej eller ikke-motorvej), hvor systemet yder bestemte former for støtte i henhold til punkt 9.1.1.
Fabrikanten skal med »x« eller »ikke relevant« angive, i hvilket domæne funktionen kan anvendes, og udfylde alle relevante felter i tabellen:
|
|
9.1.3. |
Betingelserne for, hvornår systemet og dets funktioner kan aktiveres og driftsgrænserne (grænsebetingelser). |
|
9.1.4. |
Interaktion mellem DCAS og andre køretøjssystemer |
|
9.1.5. |
Midler til aktivering, deaktivering og tilsidesættelse af systemet. |
|
9.1.6. |
Kriterier under overvågning og midler til overvågning af førerens uopmærksomhed. |
|
9.1.7. |
Dynamisk styrestøtte, der ydes af systemets enkelte funktioner. |
|
9.1.8. |
Input, bortset fra vognbaneafmærkninger, som systemet anvender til pålideligt at bestemme vognbanens forløb og fortsat yde styrestøtte i tværgående retning ved fravær af en fuldt afmærket kørebane.
|
10. Krav til softwareidentifikation
|
10.1. |
For at sikre, at systemsoftwaren kan identificeres, skal køretøjsfabrikanten anvende en R171SWIN. R171SWIN kan opbevares i køretøjet, eller hvis R171SWIN ikke opbevares i køretøjet, skal fabrikanten oplyse den typegodkendende myndighed køretøjets eller de enkelte elektroniske styreenheders softwareversion samt forbindelsen til relevante typegodkendelser. |
|
10.2. |
Køretøjsfabrikanten skal påvise overensstemmelse med FN-regulativ nr. 156 (softwareopdateringer og systemer til forvaltning heraf) ved at opfylde kravene og overholde overgangsbestemmelserne i den oprindelige udgave af FN-regulativ nr. 156 eller senere ændringsserier. |
|
10.3. |
Køretøjsfabrikanten skal afgive følgende oplysninger i meddelelsesformularen i dette FN-regulativ:
|
|
10.4. |
Køretøjsfabrikanten kan i meddelelsesformularen i det pågældende regulativ angive en liste over de relevante parametre, der gør det muligt at identificere de køretøjer, der kan opdateres med den software, som R171SWIN repræsenterer. Disse oplysninger skal angives af køretøjsfabrikanten og må ikke verificeres af en typegodkendende myndighed. |
|
10.5. |
Køretøjsfabrikanten kan opnå en ny køretøjsgodkendelse med henblik på at differentiere softwareversioner, der er beregnet til anvendelse i køretøjer, der allerede er registreret på markedet, fra de softwareversioner, der anvendes i nye køretøjer. Dette kan omfatte situationer, hvor typegodkendelsesregulativerne ajourføres, eller hvor der foretages hardwareændringer i serieproducerede køretøjer. Efter aftale med den typegodkendende myndighed skal gentagelse af prøvninger undgås, hvor det er muligt. |
11. Ændring af køretøjstypen og udvidelse af godkendelsen
|
11.1. |
Alle ændringer af køretøjstypen som defineret i punkt 2.2 i dette regulativ skal meddeles den typegodkendende myndighed, der har godkendt køretøjstypen. Den pågældende typegodkendende myndighed kan da enten:
|
|
11.1.1. |
Revision
Hvis oplysningerne i oplysningsskemaerne er ændret, og den typegodkendende myndighed skønner, at de foretagne ændringer næppe vil have nogen mærkbar ugunstig virkning, betegnes ændringen som en »revision«. I disse tilfælde udsteder den typegodkendende myndighed de reviderede rettelsesblade til oplysningsskemaerne, og hvert enkelt rettelsesblad mærkes tydeligt med ændringens art og datoen for den nye udstedelse. En samlet, ajourført version af oplysningsskemaerne ledsaget af en nøjagtig beskrivelse af ændringens art anses for at opfylde dette krav. |
|
11.1.2. |
Udvidelse
Ændringen betegnes som en »udvidelse«, hvis der ud over ændringen af de oplysninger, der er registreret i oplysningsskemaerne:
|
|
11.2. |
De kontraherende parter, der anvender dette FN-regulativ, underrettes om, hvorvidt godkendelse er meddelt eller nægtet, med angivelse af ændringer, efter proceduren i punkt 4.3 ovenfor. Desuden skal det til meddelelsesformularen i bilag 1 vedlagte indeks over oplysningsskemaer og prøvningsrapporter ændres i overensstemmelse hermed, således at datoen for den seneste revision eller udvidelse fremgår. |
|
11.3. |
Den typegodkendende myndighed underretter de øvrige kontraherende parter om udvidelsen ved hjælp af meddelelsesformularen i bilag 1 til dette FN-regulativ. Den skal tildele et serienummer til hver udvidelse: det såkaldte udvidelsesnummer. |
12. Produktionens overensstemmelse
|
12.1. |
Procedurerne til sikring af produktionens overensstemmelse skal være i overensstemmelse med de almindelige forskrifter i overenskomstens artikel 2 og skema 1 (E/ECE/TRANS/505/Rev.3) og overholde følgende forskrifter: |
|
12.2. |
Et køretøj, der er godkendt i henhold til dette FN-regulativ, skal være således fremstillet, at det svarer til den godkendte type, og det skal opfylde de krav, der er fastlagt i punkt 5 ovenfor. |
|
12.3. |
Den typegodkendende myndighed, der har meddelt godkendelse, kan til enhver tid efterprøve de metoder, der anvendes til kontrol af overensstemmelsen i de enkelte produktionsanlæg. Der skal normalt foretages en inspektion hvert andet år. |
|
12.4. |
En godkendelse, som er meddelt for en køretøjstype i henhold til dette regulativ, kan inddrages, hvis kravene i punkt 8 ovenfor ikke er opfyldt. |
|
12.5. |
Hvis en af de kontraherende parter inddrager en godkendelse, som den tidligere har meddelt, skal den straks underrette de øvrige kontraherende parter, der anvender dette regulativ, herom ved hjælp af en meddelelsesformular, der er i overensstemmelse med modellen i bilag 1 til dette FN-regulativ. |
13. Sanktioner i tilfælde af produktionens manglende overensstemmelse
|
13.1. |
En godkendelse, som er meddelt for en køretøjstype i henhold til dette regulativ, kan inddrages, hvis kravene i punkt 12 ovenfor ikke er opfyldt. |
|
13.2. |
Hvis en af de kontraherende parter inddrager en godkendelse, som den tidligere har meddelt, skal den straks underrette de øvrige kontraherende parter, der anvender dette FN-regulativ, herom ved hjælp af en meddelelsesformular, der er i overensstemmelse med modellen i bilag 1 til dette FN-regulativ. |
14. Endeligt ophør af produktionen
|
14.1. |
Hvis indehaveren af godkendelsen endeligt ophører med at fremstille en køretøjstype, som er godkendt i henhold til dette regulativ, skal denne underrette den godkendende myndighed, som har meddelt godkendelsen, herom, og myndigheden underretter derpå straks de øvrige kontraherende parter i overenskomsten, der anvender dette regulativ, ved hjælp af en meddelelsesformular, der stemmer overens med modellen i bilag 1 til dette regulativ. |
|
14.2. |
Produktionen anses ikke for endeligt ophørt, hvis køretøjsfabrikanten har til hensigt at opnå yderligere godkendelse af softwareopdateringer for køretøjer, der allerede er registreret på markedet. |
15. Navne og adresser på tekniske tjenester, som er ansvarlige for udførelsen af godkendelsesprøvning, og på de typegodkendende myndigheder
|
15.1. |
De kontraherende parter i overenskomsten, der anvender dette FN-regulativ, meddeler FN's sekretariat (3) navn og adresse på de tekniske tjenester, som er ansvarlige for udførelse af godkendelsesprøvningerne, og på de typegodkendende myndigheder, som meddeler godkendelse, og hvortil meddelelser om godkendelse, udvidelse, nægtelse eller inddragelse af godkendelse skal fremsendes. |
(1) De automatiseringsniveauer, der er beskrevet i SAE J3016, er også medtaget i referencedokumentet ECE/TRANS/WP29/1140.
(2) Som fastlagt i den konsoliderede resolution om køretøjers konstruktion (R.E.3), (dokument ECE/TRANS/WP.29/78/Rev.6, punkt 2 — (https://unece.org/transport/standards/transport/vehicle-regulations-wp29/resolutions).
(3) Via onlineplatformen (»/343 Application«), som UNECE stiller til rådighed, og som er til udveksling af disse oplysninger https://apps.unece.org/WP29_application/.
BILAG 1
Meddelelsesformular (1)
(Største format: A4 (210 × 297 mm))
|
|
Udstedt af: |
Myndighedens navn … … … |
|
Vedrørende (3): |
Meddelelse af godkendelse Udvidelse af godkendelse Nægtelse af godkendelse Inddragelse af godkendelse Endeligt ophør af produktionen |
|
af en køretøjstype hvad angår DCAS i henhold til regulativ nr. 171 |
|
Godkendelse nr. …
Begrundelse for udvidelse eller revision: …
1.
Køretøjets firmanavn eller varemærke: …
2.
Køretøjstype: …
3.
Fabrikantens navn og adresse: …
4.
Navn og adresse på fabrikantens eventuelle repræsentant: …
5.
Køretøjets almindelige specifikationer:
5.1.
Fotografier og/eller tegninger af et repræsentativt køretøj: …
6.
Beskrivelse og/eller tegning af DCAS: jf. afsnit 9.
7.
Cybersikkerhed og softwareopdateringer
7.1.
Typegodkendelsesnummer for cybersikkerhed (hvis relevant): …
7.2.
Typegodkendelsesnummer for softwareopdatering (hvis relevant): …
8.
Særlige krav, der finder anvendelse på sikkerhedsaspekter ved elektroniske kontrolsystemer (bilag 3)
8.1.
Fabrikantens dokumentreference for bilag 3 (inkl. versionsnummer): …
8.2.
Formular for oplysningsskema (tillæg 1 til bilag 3): …
9.
Teknisk tjeneste, som forestår godkendelsesprøvningerne: …
9.1.
Dato på rapport udstedt af den pågældende tekniske tjeneste: …
9.2.
(Reference)nummer på rapport udstedt af denne tjeneste: …
10.
Godkendelse meddelt/udvidet/nægtet/inddraget (2)
11.
Godkendelsesmærkets placering på køretøjet: …
12.
Sted: …
13.
Dato: …
14.
Underskrift: …
15.
Denne meddelelse er vedlagt en liste over dokumenter i godkendelsessagen, som er indgivet til den myndighed, der har givet godkendelsen, og kan fås ved henvendelse.
Yderligere oplysninger
|
16. |
R171SWIN: … |
|
16.1. |
Oplysninger om aflæsning af R171SWIN eller softwareversion(er), hvis R171SWIN ikke opbevares i køretøjet: … |
|
16.2. |
Angiv i givet fald de relevante parametre, der gør det muligt at identificere de køretøjer, der kan opdateres med den software, som repræsenteres af R171SWIN i ovenstående underpunkt: … |
(1) Kendingsnummer for det land, hvor godkendelsen er meddelt/udvidet/nægtet/inddraget (se godkendelsesforskrifter i FN-regulativ nr. 171).
(2) Kendingsnummer for det land, hvor godkendelsen er meddelt/udvidet/nægtet/inddraget (se godkendelsesforskrifter i FN-regulativ nr. 171).
(3) Det ikke gældende overstreges.
BILAG 2
Udformning af godkendelsesmærker
MODEL A
(jf. punkt 4.4 i dette regulativ)
a = 8 mm min
Ovennævnte godkendelsesmærke påført et køretøj viser, at den pågældende køretøjstype for så vidt angår DCAS er godkendt i Nederlandene (E 4) i henhold til FN-regulativ nr. 171 med godkendelsesnummer 002439. Godkendelsesnummeret angiver, at godkendelsen er meddelt i henhold til kravene i FN-regulativ nr. 171 i dettes oprindelige form.
MODEL B
(jf. punkt 4.5 i dette regulativ)
a = 8 mm min
Ovennævnte godkendelsesmærke påført et køretøj viser, at den pågældende køretøjstype er godkendt i Nederlandene (E 4) i henhold til FN-regulativ nr. 171 og 31 (1). Godkendelsesnumrene angiver, at regulativ nr. 171 på godkendelsestidspunkterne forelå i den oprindelige version, og at FN-regulativ nr. 31 omfattede ændringsserie 02.
(1) Det andet nummer er kun givet som eksempel.
BILAG 3
Særlige krav, der finder anvendelse ved audit/vurdering
1. Generelt
I dette bilag opstilles særlige krav til dokumentation, indbygget sikkerhed og kontrol vedrørende sikkerhedsaspekter ved elektroniske systemer (punkt 2.3) og komplekse elektroniske kontrolsystemer (punkt 2.4 nedenfor) for så vidt angår dette FN-regulativ.
I bilaget specificeres ydelseskriterierne for »systemet« ikke, men det beskrives, hvordan det er konstrueret, og hvilke oplysninger der skal afgives til den typegodkendende myndighed eller den tekniske tjeneste, der handler på dennes vegne (i det følgende benævnt »den typegodkendende myndighed«) med henblik på typegodkendelse.
Disse oplysninger skal godtgøre, at »systemet« i normaltilstand og i fejltilstand overholder alle de relevante ydelseskrav, som er angivet andetsteds i dette FN-regulativ, og at det er designet til at fungere på en sådan måde, at føreren, passagererne og andre trafikanter ikke udsættes for urimelige sikkerhedsrisici.
Bestemmelserne i dette FN-regulativ, som begynder med formuleringen »systemet skal...«, skal altid overholdes. Hvis et krav ikke er overholdt ved en vurdering, udgør dette manglende overholdelse af de krav, som er fastsat ved dette FN-regulativ.
I forbindelse med de bestemmelser i dette FN-regulativ, som begynder med formuleringen »systemet skal sigte mod...«, anerkendes det, at det ikke altid er muligt at efterleve det pågældende krav (f.eks. på grund af eksterne forstyrrelser eller fordi det ikke er passende under de specifikke omstændigheder).
I forbindelse med de bestemmelser i dette FN-regulativ, som begynder med formuleringen »systemet skal være designet til...«, anerkendes det, at prøvning af systemets ydelse ikke er en tilstrækkelig metode til at verificere, om et krav er opfyldt eller ej, og at kontrol af kravet kræver en vurdering af systemets design (f.eks. dets kontrolstrategier).
Hvis et krav indeholder formuleringen »skal sigte mod...« eller »skal være designet til...«, men ikke er opfyldt, skal fabrikanten ved en vurdering til den typegodkendende myndigheds tilfredshed godtgøre, hvorfor dette var tilfældet, og hvordan systemet ikke desto mindre er frit for urimelige risici.
2. Definitioner
I dette bilag forstås ved:
|
2.1. |
»systemet«: hardware og software, der tilsammen er i stand til vedvarende at støtte førerens styring af køretøjet i langs- og tværgående retning. I forbindelse med dette bilag omfatter dette også ethvert andet system, der er omfattet af dette FN-regulativ, samt transmissionsforbindelser til eller fra andre systemer, der ikke er omfattet af dette FN-regulativ, og som har en virkning på en funktion, som dette FN-regulativ finder anvendelse på.
I dette FN-regulativ benævnes systemet også »system til førerstyringsstøtte (DCAS)« |
|
2.2. |
»sikkerhedskoncept«: en beskrivelse af de foranstaltninger, der er indbygget i systemet, herunder i de elektroniske enheder, med henblik på systemintegritet og opretholdelse af sikker drift under fejl- og ikke-fejlforhold (funktionel sikkerhed og driftssikkerhed), på en sådan måde, at køretøjspassagererne og andre trafikanter ikke udsættes for urimelige sikkerhedsrisici. Muligheden for »fallback« til delvis drift eller et backup-system, der sikrer køretøjets vigtigste funktioner, kan indgå i sikkerhedskonceptet |
|
2.3. |
»elektronisk kontrolsystem«: en kombination af enheder, der er konstrueret til at bidrage til frembringelse af den pågældende køretøjsstyringsfunktion ved hjælp af elektronisk databehandling. Sådanne systemer, som typisk styres af software, er fremstillet af funktionelle enkeltkomponenter som sensorer, elektroniske kontrolenheder og bremsecylindere og er forbundet via transmissionsforbindelser. De kan omfatte mekaniske, elektromekaniske, elektropneumatiske eller elektrohydrauliske elementer |
|
2.4. |
»komplekse elektroniske kontrolsystemer«: de elektroniske kontrolsystemer, hvor en funktion styret af et elektronisk system kan blive tilsidesat af et elektronisk kontrolsystem/-funktion på højere niveau. En funktion, der tilsidesættes, bliver en del af det komplekse elektroniske kontrolsystem, såvel som ethvert overordnet system/enhver overordnet funktion inden for rammerne af dette FN-regulativ. Transmissionsforbindelserne til og fra overordnede systemer/funktioner uden for rammerne af dette FN-regulativ skal også medtages |
|
2.5. |
»elektroniske kontrolsystemer/funktioner på højere niveau«: systemer/funktioner, der anvender yderligere behandling og/eller føleudstyr til at ændre køretøjets opførsel gennem udsendelse af kommandoer om variationer i køretøjstyringssystemets normale funktion(er). Dermed kan komplekse systemer automatisk ændre prioriteringen af deres mål, afhængigt af de detekterede forhold |
|
2.6. |
»enheder«: den mindste underinddeling af systemkomponenter, som er omfattet af dette bilag, eftersom disse kombinationer af komponenter behandles som separate enheder med henblik på identifikation, analyse eller udskiftning |
|
2.7. |
»transmissionsforbindelser«: midler, som anvendes til at forbinde forskellige enheder med hinanden, med henblik på udsendelse af signaler, driftsdata eller forsyning med energi. Dette udstyr er normalt elektrisk, men kan til dels være mekanisk, pneumatisk eller hydraulisk |
|
2.8. |
»kontrolområde«: en output-variabel, som definerer det område, inden for hvilket systemet kan forventes at udøve kontrol |
|
2.9. |
»grænser for funktionel drift«: et mål, der definerer de kontrollerbare eller målelige grænser, inden for hvilke systemet er designet til at bevare styringen, som fastsat i dette FN-regulativs punkt 2.5.
I dette FN-regulativ benævnes grænser for funktionel drift også »systemgrænser« |
|
2.10. |
»sikkerhedsrelateret funktion«: en funktion i »systemet«, som kan ændre køretøjets dynamiske egenskaber. Systemet kan være i stand til at udføre mere end én sikkerhedsrelateret funktion |
|
2.11. |
»kontrolstrategi«: en strategi, der skal sikre en robust og sikker drift af systemets funktion(er) som reaktion på et bestemt sæt af omgivelses- og/eller driftsforhold (f.eks. vejbelægningens tilstand, trafiktæthed og andre trafikanter, ugunstige vejrforhold osv.). Dette kan omfatte automatisk deaktivering af en funktion eller midlertidige funktionsbegrænsninger (f.eks. nedsættelse af den maksimale driftshastighed osv.) |
|
2.12. |
»fejl«: unormal tilstand, der kan medføre et svigt. Dette kan vedrøre hardware eller software |
|
2.13. |
»svigt«: ophør af en komponents eller et systems tilsigtede funktion som følge af en fejl |
|
2.14. |
»urimelig risiko«: det samlede risikoniveau for køretøjspassagererne og andre trafikanter, som øges sammenlignet med et manuelt styret køretøj, der udfører sammenlignelige transporttjenester, og situationer inden for systemgrænserne |
|
2.15. |
»motorvej«: en vej med forbud mod fodgængere og cyklister, som konstruktionsmæssigt er udstyret med en fysisk opdeling, der adskiller de to trafikretninger fra hinanden |
|
2.16. |
»ikke-motorvej«: en anden vej end en motorvej, jf. punkt 2.15 |
3. Dokumentation
|
3.1. |
Krav
Fabrikanten skal levere en dokumentationspakke, der giver adgang til systemets grundlæggende design og de midler, hvormed det forbindes til andre køretøjssystemer, eller som direkte kontrollerer output-variablerne. Systemets funktion(er) og det af fabrikanten fastsatte sikkerhedskoncept skal forklares. Dokumentationen skal være kortfattet, men skal godtgøre, at der er anvendt ekspertise fra alle relevante systemområder i design- og udviklingsprocessen. I forbindelse med periodiske tekniske syn skal dokumentationen indeholde en beskrivelse af, hvordan systemets aktuelle driftsstatus kan efterprøves. Den typegodkendende myndighed skal vurdere dokumentationspakken for at godtgøre, at »systemet«:
|
|
3.1.1. |
Dokumentationen skal foreligge i to dele:
|
|
3.2. |
Beskrivelse af systemets funktioner
Der skal leveres en beskrivelse, som let forståeligt forklarer alle systemets funktioner, herunder kontrolstrategier, og de metoder, der er anvendt for at nå målene, herunder en erklæring om den eller de mekanismer, hvormed der udøves kontrol. Alle beskrevne funktioner skal identificeres, og der skal leveres en yderligere beskrivelse af den ændrede begrundelse for funktionen. Alle aktiverede eller deaktiverede sikkerhedsrelaterede funktioner, der støtter føreren, som defineret i dette regulativs punkt 2.1., skal, når hardware og software er til stede i køretøjet på produktionstidspunktet, angives og er underlagt kravene i dette bilag, inden de tages i brug i køretøjet. |
|
3.2.1. |
Der skal fremlægges en liste over alle indlæste og målte variabler med definition af arbejdsområdet for disse samt en beskrivelse af, hvordan hver variabel påvirker systemets funktion. |
|
3.2.2. |
Der leveres en fortegnelse over alle output-variabler, som styres af systemet, og det forklares i hvert enkelt tilfælde, hvorvidt der er tale om direkte styring eller styring via et andet køretøjssystem. Det kontrolområde, der udøves på hver af disse variabler, skal defineres. |
|
3.2.3. |
Øvre og nedre grænseværdier for funktionel drift angives, hvis det er relevant for systemets ydelse. |
|
3.2.4. |
Der udfyldes en erklæring om systemets evne og dets karakteristika i henhold til modellen i dette bilags tillæg 4. |
|
3.3. |
Systemkonfiguration og -diagram |
|
3.3.1. |
Fortegnelse over komponenter
Der skal leveres en liste med alle enhederne i systemet og med angivelse af andre køretøjssystemer, som er nødvendige for at opnå den pågældende styrefunktion. Desuden skal der leveres et diagram, som viser kombinationen af disse enheder og indeholder en nærmere angivelse af komponenternes fordeling og forbindelser med hinanden. |
|
3.3.2. |
Enhedernes funktioner
Der skal gives en kort beskrivelse af de enkelte enheders funktion i systemet, og de signaler, som forbinder systemet med andre enheder eller med andre køretøjssystemer, skal angives. Disse oplysninger kan afgives som et blokdiagram eller andet diagram, eller som en beskrivelse suppleret af et sådant diagram. |
|
3.3.3. |
Indbyrdes forbindelser
De indbyrdes forbindelser i systemet illustreres med et kredsløbsdiagram for elektriske transmissionsforbindelser, med et rørdiagram for pneumatisk eller hydraulisk transmissionsudstyr og med et forenklet diagram for mekaniske forbindelser. Transmissionsforbindelserne både til og fra andre systemer skal også illustreres. |
|
3.3.4. |
Signalflow, driftsdata og prioriteringer
Der skal være en klar overensstemmelse mellem transmissionsforbindelserne og de signaler, der sendes mellem enhederne. Prioriteringer for signaler i multiplexdatastier skal angives, såfremt disse kan påvirke ydelse eller sikkerhed. |
|
3.3.5. |
Identifikation af enheder
Hver enhed skal klart og utvetydigt kunne identificeres (f.eks. kan hardware mærkes, og software kan mærkes eller forsynes med et softwaresignal) for at sikre sammenhængen mellem hardware og dokumentation. Hvis flere funktioner er kombineret i en enkelt enhed eller i en enkelt computer, men af overskuelighedshensyn er angivet som flere blokke i blokdiagrammet, skal der kun anvendes en enkelt identifikationsmærkning af den pågældende hardware. Ved anvendelse af denne identifikation skal fabrikanten bekræfte, at det leverede udstyr er i overensstemmelse med det tilsvarende dokument. |
|
3.3.5.1. |
Identifikationen angiver den pågældende hardware- og softwareversion, og såfremt der kommer en ny version, som ændrer den i henhold til nærværende regulativ angivne funktion, skal denne identifikation også ændres. |
|
3.4. |
Fabrikantens sikkerhedskoncept |
|
3.4.1. |
Fabrikanten skal udforme en erklæring, hvori det bekræftes, at den strategi, der er valgt for at nå systemets mål, ikke ved normaltilstand påvirker driften af systemer, som er underlagt kravene i dette regulativ.
Fabrikanten skal lade denne erklæring supplere af en forklaring, som overordnet viser, hvordan den valgte strategi sikrer, at systemets mål ikke påvirker den sikre drift af de systemer, der er henvist til ovenfor, og af en beskrivelse af den del af valideringsplanen, der understøtter erklæringen. Den typegodkendende myndighed skal gennemføre en vurdering for at fastslå, at fabrikantens forklaring af den valgte strategi er forståelig, logisk, og at valideringsplanen er egnet og blevet gennemført. Den typegodkendende myndighed kan gennemføre eller anmode om at få gennemført prøvninger, som specificeret i punkt 4 nedenfor, med henblik på at kontrollere, at »systemet« drives i overensstemmelse med den valgte strategi. |
|
3.4.2. |
Med hensyn til software, der anvendes i »systemet«, skal designet forklares, og de anvendte metoder og redskaber i forbindelse med konceptet skal defineres. Fabrikanten skal dokumentere, hvordan systemets logik blev bestemt i design- og udviklingsprocessen. |
|
3.4.3. |
Fabrikanten skal tilsende den typegodkendende myndighed en forklaring af de designmæssige foranstaltninger, der er indbygget i systemet for at opretholde sikker drift i tilfælde af svigt. Mulige designmæssige foranstaltninger ved svigt i systemet kan f.eks. være:
|
|
3.4.3.1. |
Hvis den valgte foranstaltning aktiverer en delvis driftsfunktion ved visse fejltilstande, skal disse tilstande angives, og den deraf følgende begrænsede effektivitet specificeres. |
|
3.4.3.2. |
Hvis den valgte foranstaltning aktiverer en reserveanordning (back-up) til opfyldelse af køretøjstyringssystemets mål, skal principperne for omskiftningsmekanismen, logikken og redundansniveauet og eventuelle indbyggede back-up-styringsfunktioner forklares, og de deraf følgende begrænsninger for back-up-effektiviteten specificeres. |
|
3.4.3.3. |
Hvis den valgte foranstaltning resulterer i deaktivering af en funktion på højere niveau, skal alle output-kontrolsignaler vedrørende denne funktion blokeres på en sådan måde, at overgangsforstyrrelser begrænses. |
|
3.4.4. |
Dokumentationen skal understøttes af en analyse, som i grove træk beskriver systemets opførsel i tilfælde af en bestemt fare eller fejl, som påvirker styringen af køretøjet for så vidt angår ydeevne eller sikkerhed.
Den eller de valgte analysetilgange skal følges og forvaltes af fabrikanten og stilles til rådighed i forbindelse med den typegodkendende myndigheds inspektion på typegodkendelsestidspunktet. Den typegodkendende myndighed skal foretage en vurdering af anvendelsen af analysetilgangen(-ene): Vurderingen skal omfatte:
Vurderingen skal bestå af kontroller af de betingelser for risici, fejl og svigt, som den typegodkendende myndighed har valgt for at fastslå, at fabrikantens forklaring af sikkerhedskonceptet er forståelig, logisk, og at valideringsplanerne er egnede og er blevet gennemført. Den typegodkendende myndighed kan udføre eller kræve, at der udføres prøvninger som angivet i punkt 4 for at efterprøve sikkerhedskonceptet. |
|
3.4.4.1. |
I dokumentationen skal de overvågede parametre være opstillet i punktform, og for hvert af de i dette bilags punkt 3.4.4 specificerede svigttilstandstyper angives de advarselssignaler, der skal afgives til føreren og/eller til service- og inspektionspersonalet. |
|
3.4.4.2. |
Denne dokumentation skal beskrive de foranstaltninger, der er truffet for at sikre, at systemet ikke hindrer køretøjets sikre drift, når systemets ydelse er påvirket af de omgivende forhold, f.eks. klima, temperatur, støvindtrængning, vandindtrængning, isslag.
Hvor dette FN-regulativ indeholder særlige krav til systemets drift under forskellige omgivende forhold, skal denne dokumentation beskrive, hvilke foranstaltninger der er truffet for at sikre overholdelse af disse krav. |
|
3.5. |
Sikkerhedsforvaltningssystem (procesaudit) |
|
3.5.1. |
For så vidt angår software og hardware, der anvendes i systemet, skal fabrikanten over for den typegodkendende myndighed igennem et sikkerhedsforvaltningssystem påvise, at der forefindes effektive processer, metoder og værktøjer, at disse er ajourførte og følges i organisationen med henblik på at forvalte sikkerheden og den fortsatte overholdelse i hele produktets livscyklus (design, udvikling, produktion og drift). |
|
3.5.2. |
Sikkerhedsforvaltningssystemet skal omfatte følgende centrale elementer:
|
|
3.5.3. |
Der skal etableres en design- og udviklingsproces, som inkluderer indbygget sikkerhed, forvaltning af krav, gennemførelse af krav, prøvning, sporing af svigt, afhjælpning og frigivelse. |
|
3.5.4. |
Fabrikanten skal etablere og opretholde effektive kommunikationskanaler mellem fabrikantafdelinger med ansvar for funktionel/driftsmæssig sikkerhed, cybersikkerhed og andre relevante discipliner i forbindelse med opnåelse af køretøjssikkerhed. |
|
3.5.5. |
Fabrikanten skal påvise, at der gennemføres periodiske uafhængige interne procesauditter for at sikre, at de processer, der er etableret i overensstemmelse med punkt 3.5.4-3.5.1, gennemføres konsekvent. |
|
3.5.6. |
Fabrikanter skal indføre passende ordninger (f.eks. kontraktmæssige ordninger, klare grænseflader, kvalitetssikringssystemer) med leverandørerne for at sikre, at leverandørens sikkerhedsforvaltningssystem opfylder kravene i punkt 3.5.1 (bortset fra køretøjsrelaterede aspekter som »drift«), 3.5.2, 3.5.3 og 3.5.5. |
|
3.5.7. |
Dokumentationen skal skitsere en systeminformationsstrategi, der sigter mod at opfordre føreren til at gennemgå oplysningerne om systemets drift, når føreren bruger systemet (f.eks. regelmæssige meddelelser ved start af kørecyklussen, når systemet skiftes til »tændt« tilstand, som opfordrer føreren til at gennemgå relevant materiale). |
4. Verifikation og prøvning
|
4.1. |
Systemets funktionelle drift, jf. de i punkt 3 foreskrevne dokumenter, skal prøves som følger: |
|
4.1.1. |
Verifikation af systemets funktioner
Den typegodkendende myndighed skal verificere systemet under ikke-fejlforhold ved at prøve et antal udvalgte funktioner blandt dem, der er angivet af fabrikanten i punkt 3.2 over. Verifikationen af de valgte funktioners ydeevne skal gennemføres i henhold til fabrikantens prøvningsprocedurer, medmindre der er fastsat en prøvningsprocedure i dette FN-regulativ. I tilfælde, hvor systemet får et eller flere inputsignaler fra systemer, som ikke er omfattet af dette FN-regulativs anvendelsesområde, skal prøvningen gennemføres ved hjælp af prøvningsproceduren i det relevante FN-regulativ eller ved hjælp af et andet middel, der genererer det eller de relevante inputsignaler (f.eks. simulering). For komplekse elektroniske systemer skal disse prøvninger omfatte scenarier, hvorved en angivet funktion tilsidesættes. |
|
4.1.1.1. |
Verifikationsresultaterne skal svare til beskrivelsen, herunder kontrolstrategierne, som angivet af fabrikanten i punkt 3.2. |
|
4.1.2. |
Verifikation af sikkerhedskonceptet i punkt 3.4
Systemets reaktion skal kontrolleres ved fejltilstand i en vilkårlig enhed ved at anvende de respektive output-signaler til elektriske enheder eller mekaniske elementer for at simulere virkningen af indre svigt i enheden. Den typegodkendende myndighed skal foretage denne kontrol for mindst en enkelt enhed, men må ikke kontrollere systemets reaktion på flere samtidige svigt i de enkelte enheder. Den typegodkendende myndighed skal verificere, at disse prøvninger omfatter aspekter, som kan have indflydelse på køretøjets styrbarhed og brugerinformation/-interaktion (HMI-aspekter). |
|
4.1.2.1. |
Resultaterne af verifikationen skal have en sådan grad af overensstemmelse med den dokumenterede sammenfatning af fejlanalysen, at det overordnet kan bekræftes, at sikkerhedskonceptet og udførelsen er tilstrækkelig. |
|
4.2. |
Simuleringsværktøjer og matematiske modeller til verifikation af sikkerhedskonceptet kan navnlig anvendes ved scenarier, der er vanskeligt realiserbare på prøvebane eller under faktiske kørselsforhold. Når de bruges til dette formål, skal disse metoder være i overensstemmelse med dette FN-regulativs bilag 5. Fabrikanten skal påvise simuleringsværktøjets anvendelsesområde, dets gyldighed for det pågældende scenario samt den validering, der er foretaget for simuleringsværktøjskæden (sammenhæng mellem resultatet og fysiske prøvninger). |
|
4.2.1. |
Hvis fabrikanten udfører en virtuel prøvning, skal den typegodkendende myndighed evaluere de resultater, som fabrikanten har afgivet, navnlig for så vidt angår sikkerhedsparametre og systemgrænsernes dækning. |
|
4.3. |
Den typegodkendende myndighed skal kontrollere en række scenarier, som er kritiske for karakteriseringen af systemets HMI-funktioner, samt verificere, at systemet til overvågning af og advarsel om førerens uopmærksomhed fungerer effektivt. |
|
4.4. |
Den typegodkendende myndighed skal også kontrollere en række scenarier, som for føreren er afgørende for styrbarheden ved systemgrænserne (f.eks. en genstand, der er vanskelig at detektere, når systemet når sine systemgrænser, risiko for kollision med en anden trafikant) som defineret i dette regulativ. |
5. Indberetning fra den typegodkendende myndighed
Indberetningen af vurderingen fra den typegodkendende myndighed skal udføres på en sådan måde, at den muliggør sporbarhed, f.eks. at versioner af dokumenter, der inspiceres, er kodet og opført i vurderingsjournalen.
Et eksempel på et muligt layout for vurderingsblanketten er opført i tillæg 1 til dette bilag.
TILLÆG 1
Model for vurderingsblanket om elektroniske systemer og/eller komplekse elektroniske systemer
Prøvningsrapport nr.: …
1.
Identifikation
1.1.
Fabriksmærke:
1.2.
Køretøjstype:
1.3.
Middel til systemidentifikation på køretøjet:
1.4.
Mærkets anbringelsessted:
1.5.
Fabrikantens navn og adresse:
1.6.
Navn og adresse på fabrikantens eventuelle repræsentant:
1.7.
Fabrikantens formelle dokumentationspakke:Referencenummer på dokumentation: …
Dato for første udstedelse: …
Dato for seneste opdatering: …
2.
Prøvningskøretøj(er)/systembeskrivelse(r)
2.1.
Generel beskrivelse:
2.2.
Beskrivelse af alle kontrolfunktionerne i systemet, inklusive kontrolstrategier (punkt 3.2 i dette bilag):
2.2.1.
Liste over alle indlæste og målte variabler og deres arbejdsområde inklusive en beskrivelse af, hvordan hver variabel påvirker systemets funktion (punkt 3.2.1. i dette bilag):
2.2.2.
Liste over output-variabler og deres kontrolområde (punkt 3.2.2. i dette bilag):
2.2.2.1.
Direkte kontrolleret:
2.2.2.2.
Kontrolleret via et andet køretøjssystem:
2.3.
Beskrivelse af systemkonfiguration og -diagram (punkt 3.3. i dette bilag):
2.3.1.
Fortegnelse over komponenter (punkt 3.3.1. i dette bilag):
2.3.2.
Enhedernes funktioner (punkt 3.3.2. i dette bilag):
2.3.3.
Indbyrdes forbindelser (punkt 3.3.3. i dette bilag):
2.3.4.
Signalflow, driftsdata og prioriteringer (punkt 3.3.4. i dette bilag):
2.3.5.
Identifikation af enheder (hardware og software) (punkt 3.3.5. i dette bilag): …
3.
Fabrikantens sikkerhedskoncept
3.1.
Fabrikantens erklæring (punkt 3.4.1. i dette bilag):Fabrikanten(-erne) … bekræfter, at systemets mål ikke ved normaltilstand påvirker den sikre drift af køretøjet.
3.2.
Software (skitseringsarkitektur, anvender softwaredesignmetoder og -redskaber) (punkt 3.4.2. i dette bilag):
3.3.
Forklaring af designbestemmelser indbygget i systemet under fejltilstande (punkt 3.4.3. i dette bilag):
3.4.
Dokumenterede analyser af systemets opførsel under individuelle fejltilstande:
3.4.1.
Parametre, der overvåges:
3.4.2.
Genererede advarselssignaler:
3.5.
Beskrivelse af indførte foranstaltninger vedrørende de omgivende forhold (punkt 3.4.4.2 i dette bilag):
3.6.
Forskrifter vedrørende periodisk inspektion af systemet (punkt 3.1. i dette bilag):
3.7.
Beskrivelse af den metode, hvormed systemets driftsstatus kan kontrolleres:
4.
Verifikation og prøvning
4.1.
Verifikation af systemets funktioner (punkt 4.1.1. i dette bilag): …
4.1.1.
Liste over de udvalgte funktioner og en beskrivelse af de anvendte prøvningsprocedurer:
4.1.2.
Prøvningsresultater verificeret i henhold til dette bilag, punkt 4.1.1.1. Ja/Nej
4.2.
Verifikation af systemets sikkerhedskoncept (punkt 4.1.2. i dette bilag):
4.2.1.
Prøvede enheder og deres funktion:
4.2.2.
Simulerede fejl:
4.2.3.
Prøvningsresultater verificeret i henhold til dette bilag, punkt 4.1.2. Ja/Nej
4.3.
Dato for prøvning(er):
4.4.
Denne prøvning er udført, og resultaterne af den er rapporteret i henhold til … til FN-regulativ nr. 171 senest ændret ved ændringsserie ....Typegodkendende myndighed, der gennemfører prøvningen
|
Underskrift: … |
Dato:… |
4.5.
Bemærkninger:
Tillæg 2
Aspekter af systemets design, der skal vurderes ved audit/vurdering
1.
IndledningFabrikanten skal stille følgende oplysninger til rådighed i forbindelse med den typegodkendende myndigheds vurdering.
2.
Oplysninger i forbindelse med DCAS generelt
2.1.
Interaktion med føreren og HMI
2.1.1.
Hvordan systemets design sikrer, at føreren har sin opmærksomhed rettet mod kørselsopgaven, hvilket omfatter en skitse over førerovervågningssystemet og dets advarselsstrategi (punkt 5.5.4.2.)
2.1.1.1.
Yderligere strategier til detektion af førerens uopmærksomhed og passende modforanstaltninger (punkt 5.5.4.2.7.)
2.1.1.2.
Dokumentation for effektiviteten af overvågningen af og strategien for advarsel om førerens uopmærksomhed
2.1.1.3.
En skitse over områder, der er relevante for kørselsopgaven, og deres grænser, og gældende værdier ved fastsættelse af førerens visuelle uopmærksomhed i relation til systemet og dets funktioner (punkt 5.5.4.2.5.2.)
2.1.1.4.
Strategier til deaktivering af systemet ved gentagne tilfælde af førerens uopmærksomhed, der mere end én gang medfører systemets reaktion ved førerens utilgængelighed (punkt 5.5.4.2.8.1.)
2.1.2.
Foranstaltninger truffet for at beskytte mod fejlanvendelse fra førerens side, som med rimelighed kan forudses, og manipulation af systemet (punkt 5.1.3.)
2.1.3.
Foranstaltninger truffet for at fremme førerens forståelse af systemets begrænsninger og dennes fortsatte rolle i kørselsopgaven. (punkt 5.1.2)
2.1.5.
Model for de oplysninger, der gives til brugerne (punkt 5.6)
2.1.6.
Uddrag af relevante dele af brugermanualen
2.1.7.
En liste over systemmeddelelser og -signaler (punkt 5.5.4.1.4.)
2.1.8.
Timing og strategi for oplysning af føreren om en (række) manøvre(r) bekræftet af føreren (punkt 5.5.4.1.8.1.)
2.1.9.
Timing og strategi for oplysning af føreren om en (række) manøvre(r) igangsat af systemet (punkt 5.5.4.1.9.1.)
2.2.
Systemgrænser
2.2.1.
Systemets evne til at vurdere og efter behov reagere på sine omgivelser for at gennemføre den tilsigtede funktionalitet (punkt 5.3.2. og 5.3.5.)
2.2.1.1.
Systemets og dets funktioners grænsebetingelser samt strategien for underretning af føreren, når grænsebetingelserne er overskredet, ved at blive nået eller nærmer sig (punkt 5.3.2.)
2.2.1.2.
Systemets evne til at holde en passende afstand til andre trafikanter (punkt 5.3.2.3.)
2.2.1.3.
Systemets evne til at sørge for sikkerhed, sikre dets opførsel og tage højde for indvirkningen på systemets ydelse, når en funktion forbliver i »aktiv« tilstand ud over systemgrænserne (punkt 5.3.5.2.2.)
2.2.2.
Grænserne for systemets og hver enkelt funktions detektionsevne (punkt 5.3.1.)
2.2.3.
Dokumentation for systemets og dets funktioners fortsatte sikre drift, når systemet ikke er i stand til at detektere en erklæret systemgrænse (punkt 5.3.5.4.)
2.3.
Systemdrift
2.3.1.
Om/hvordan systemet tilpasser sin opførsel for at reagere på en identificeret sikkerhedsrisiko for en kollision (punkt 5.3.2.2.)
2.3.2.
Yderligere forhåndsbetingelser for aktivering af DCAS (punkt 5.5.3.2.2.)
2.3.3.
Systemets styrbarhedsdesign (punkt 5.3.4. og 5.3.6.)
2.3.3.1.
Strategier til sikring af styrbarhed, når systemet ikke længere yder tvær- og langsgående styringsstøtte som følge af førerens tilsidesættelse af systemet (punkt 5.5.3.4.1.5.)
2.3.4.
Beskrivelse af enhver overgang mellem DCAS og andre støtte- eller automatiseringssystemer, dennes prioritering af det ene frem for det andet og enhver tilsidesættelse eller deaktivering af andre støttesystemer, der har til formål at sikre sikker og nominel drift (punkt 5.2.2.)
2.3.5.
Systemets opførsel ved ændringer i systembestemte hastighedsgrænser i andre tilfælde end dem, der er omhandlet i punkt 5.3.7.4. (punkt 5.3.7.4.7.3.4.)
2.3.6.
Teknisk rimelige tolerancer for advarselstærskler og driftsgrænser (punkt 5.3.7.4.10.)
2.3.7.
En skitse over systemets evne til at yde fortsat støtte i tilfælde af et svigt, der deaktiverer en bestemt funktion (punkt 5.4.4.)
3.
Oplysninger i forbindelse med systemets dynamiske styring
3.1.
Den strategi, hvormed systemet bestemmer en passende hastighed og deraf følgende sideværts acceleration i forbindelse med køretøjets placering i vognbanen (punkt 5.3.7.1.3.)
4.
Oplysninger i forbindelse med DCAS-funktioner (hvor det er relevant)
4.1.
Strategier til at sikre styrbarhed, hvis systemet forårsager højere værdier for sideværts acceleration, og betingelserne ikke længere er opfyldt (punkt 6.1.1.2.)
4.2.
Andre kilder til oplysninger med henblik på at fastsætte placeringen på vognbanen uden vejbaneafmærkning (punkt 6.1.4.1.)
4.3.
Dokumentation for, at en vognbaneskiftmanøvre kun indledes, hvis et køretøj i målbanen ikke tvinges til at decelerere på ukontrollerbar vis på grund af vognbaneskiftet (punkt 6.2.5.)
4.4.
En skitsering af de strategier, som skal sikre, at proceduren for vognbaneskift kun foretages til eller via en vognbane, hvor målbanen ikke er forbeholdt modkørende trafik (punkt 6.2.9.3)
4.5.
Dokumentation for andre grunde til at foretage manøvren, hvis systemet kan navigere uden om en forhindring på vognbanen (punkt 6.3.9.1.)
Tillæg 3
Eksempel på klassificering af systemets detektionsevne og relevante systemgrænser
Fabrikanten skal gøre rede for DCAS' detektionsevne, herunder den enkelte funktions detektionsevne, hvor det er relevant, og systemgrænserne for den pågældende detektionsevne. Følgende liste skal anvendes som udgangspunkt for eventuelt relevante genstande og hændelser ved forskellige driftsscenarier:
|
— |
Vej: type (motorvej, landevej osv.), kørebanebelægning (type, vejgreb), geometri, kørebanens kendetegn, forekomsten af kørebaneafmærkning, vejside, vejkryds |
|
— |
Vejens udstyr (trafikreguleringsudstyr, særligt udstyr (vejarbejdsmarkeringer), andet udstyr) |
|
— |
Hændelser på vejen (f.eks. trafikulykker, trafikpropper, vejarbejder) |
|
— |
omgivende forhold, som f.eks.:
|
Tillæg 4
Erklæring om systemets ydeevne
Fabrikanten skal afgive meddelelse om systemets og dets funktioners ydeevne i henhold til klassificeringen i punkt 6 på grundlag af følgende kriterier. Denne erklæring gælder som reference for de basisprøver, der skal udføres i henhold til bilag 4.
Systemet skal antages at have de egenskaber, der er angivet nedenfor, hvis det kan vise den krævede opførsel i mindst 90 % af de relevante prøver. Der skal indgives bevis for denne egenskab til den typegodkendende myndighed via den relevante dokumentation.
Hvis forholdene afviger fra dem, der er angivet for de tilsvarende prøver, skal systemet ikke uberettiget ændre kontrolstrategi. Det skal fabrikanten demonstrere over for den typegodkendende myndighed i overensstemmelse med bilag 4.
1.
Systemets evne til at reagere på andre trafikanterEn detaljeret beskrivelse af scenarierne kan findes i bilag 4.
Fabrikanten skal meddele den maksimale driftshastighed, som systemet er i stand til at håndtere (dvs. uden at kollidere uden førerens indgriben) følgende scenarier, alt efter hvad der er relevant for systemets design:
|
Scenario |
Maksimal driftshastighed, hvorved systemet kan undgå en kollision med et decelerationskrav, der ikke overstiger 5 m/s2 |
Maksimal driftshastighed, hvorved systemet/køretøjet kan undgå en kollision, der kræver et decelerationskrav, der overstiger 5 m/s2 |
Krav til driftsdomæne |
|
Stationært køretøj forude på en lige vejstrækning (bilag 4, punkt 4.2.5.2.1.1.) |
|
|
Motorvej |
|
Stationært køretøj forude på en kurvet vejstrækning (bilag 4, punkt 4.2.5.2.2.1.) |
|
|
Motorvej |
|
Langsomtkørende køretøj forude på en lige vejstrækning (bilag 4, punkt 4.2.5.2.3.1.) |
|
|
Motorvej |
|
Udtrækning af det forankørende køretøj (bilag 4, punkt 4.2.5.2.5.1.) |
|
|
Motorvej |
|
Indtrækkende køretøj fra en tilstødende vognbane — type 1 (bilag 4, punkt 4.2.5.2.6.1.) (1) |
Ja/Nej |
Ja/Nej |
Motorvej |
|
Indtrækkende køretøj fra en tilstødende vognbane — type 2 (bilag 4, punkt 4.2.5.2.6.1.) (1) |
Ja/Nej |
Ja/Nej |
Motorvej |
|
Stationært fodgængermål forude på vognbanen (bilag 4, punkt 4.2.5.2.8.1.) |
|
|
Ikke-motorvej |
|
Stationær cykel forude på vognbanen (bilag 4, punkt 4.2.5.2.9.1.) |
|
|
Ikke-motorvej |
|
Fodgængermål krydser ind i VUT'ets bane (bilag 4, punkt 4.2.5.2.10.1.) |
|
|
Ikke-motorvej |
|
Cykelmål krydser ind i VUT'ets bane (bilag 4, punkt 4.2.5.2.11.1.) |
|
|
Ikke-motorvej |
|
(Udfyldes af fabrikanten) |
|
|
|
2.
Systemets evne til at følge vognbanens forløb|
Hastighedsinterval(ler) |
Minimal sideværts acceleration |
Maksimal sideværts acceleration |
Særlige betingelser (f.eks. punkt 6.1.1.) |
|
(Udfyldes af fabrikanten) |
|
|
|
2.1.
Hændelser på vejen, som systemet kan genkende som relevante for de pågældende erklærede systemgrænser og det pågældende erklærede systemdesign, som skal udfyldes og eventuelt udvides af fabrikanten, eller alternativt udfyldes med »Ikke relevant«:|
Hændelse på vejen |
Betragtes den som en systemgrænse for systemet/den specifikke funktion? (ja/nej) |
Systemet vil ikke kunne reagere på denne hændelse på vejen |
Systemet vil kunne reagere ved detektion |
Systemet vil kunne give en tidlig advarsel |
Driftsdomæne |
|
Betalingsstation |
|
|
|
|
Motorvej |
|
Motorvej ophører |
|
|
|
|
Motorvej |
|
Vognbane ophører permanent |
|
|
|
|
Motorvej |
|
Vognbane ophører midlertidigt (f.eks. pga. en sammenbrudt bil) |
|
|
|
|
Motorvej |
|
Langtidskonstruktionszone |
|
|
|
|
Motorvej |
|
Jernbaneoverskæringer |
|
|
|
|
Ikke-motorvej |
|
Vejkryds |
|
|
|
|
Ikke-motorvej |
|
Fodgængerovergange |
|
|
|
|
Ikke-motorvej |
|
Trafiklys |
|
|
|
|
Ikke-motorvej |
3.
Systemets evne til at opretholde sikker drift, når det støtter vognbaneskift (gælder for vognbaneskift, der er igangsat af både føreren og systemet)Fabrikanten skal meddele, inden for hvilket interval systemet er i stand til at reagere på andre uhindrede mål, hvis de er udstyret med en vognbaneskiftfunktion. Fabrikanten skal meddele under hvilke forhold det maksimale interval reduceres:
|
|
Bagved (m) |
Foran (m) |
Fra siden (m) |
Betingelser |
|
Interval hvori systemet er i stand til at reagere på en motorcykel |
|
|
|
|
|
Interval hvori systemet er i stand til at reagere på en spærret målbane |
Ikke relevant |
|
Ikke relevant |
|
|
Typer forhindringer, som køretøjet er i stand til at reagere på (Udfyldes af fabrikanten) |
Ikke relevant |
|
Ikke relevant |
|
4.
Systemets evne til sikkert at foretage andre manøvrer, der er igangsat af føreren eller systemet, under forhold af typen ikke-motorvej uden førerens indgriben, angives alternativt som »Ikke relevant«:|
|
Vil systemet være i stand til at forhindre en kollision i dette scenario? |
Forhåndsbetingelser hvorunder systemet vil være i stand til at forhindre en kollision |
|
Fodgængermål krydser ind i VUT'ets bane i et vejkryds (bilag 4, punkt 4.2.5.2.12.1.) |
|
|
|
Fodgængermål krydser ind i VUT'ets bane i et vejkryds (bilag 4, punkt 4.2.5.2.13.1.) |
|
|
|
VUT'et drejer på tværs af et modkørende køretøjs bane (bilag 4, punkt 4.2.5.2.14.1.) |
|
|
|
VUT'et krydser et målkøretøjs lige bane i et vejkryds (bilag 4, punkt 4.2.5.2.15.1.) |
|
|
5.
Systemets evne til at overholde færdselsreglerne i forbindelse med en bestemt manøvre igangsat af førerenFabrikanten skal meddele overensstemmelse med færdselsreglerne i forbindelse med en bestemt manøvre, hvis det er relevant for det pågældende signal. Hvis systemets ydeevne er specifikt for driftslandet, kan dette ydermere angives af fabrikanten:
|
Potentielt relevant færdselsregel |
Er systemet designet til at overholde denne regel? |
|
Varighed af anvendelse af retningsindikatoren ved proceduren for vognbaneskift |
|
|
(Udfyldes af fabrikanten) |
|
6.
Systemets evne til at fungere i overensstemmelse med færdselsreglerne i forbindelse med en bestemt manøvre igangsat af systemetFabrikanten skal meddele overensstemmelse med færdselsreglerne i forbindelse med en bestemt manøvre, hvis det er relevant for det pågældende signal. Hvis systemets ydeevne er specifikt for driftslandet, kan dette ydermere angives af fabrikanten:
|
Potentielt relevant færdselsregel |
Er systemet designet til at overholde denne regel? |
|
Ikke utilsigtet krydser en solid vognbaneafmærkning under en manøvre igangsat af systemet |
|
|
Ikke skifter vognbane, når det er forbudt ved et dedikeret skilt |
|
|
Vige for andre trafikanter, når der drejes til højre/venstre ved et vejkryds som del af en manøvre igangsat af systemet |
|
|
Vige for andre trafikanter, når der køres ud af en rundkørsel som del af en manøvre igangsat af systemet |
|
|
(Udfyldes af fabrikanten) |
|
(1) Fabrikanten forventes at meddele, om der kan forventes en reaktion fra systemet.
BILAG 4
Specifikationer for fysisk prøvning ved validering af DCAS
1. Indledning
I dette bilag fastsættes de fysiske prøvninger med henblik på at verificere de tekniske krav, der gælder for systemet, og de af fabrikanten afgivne meddelelser i henhold til tillæg 4 til bilag 3. Alle prøvninger i dette bilag skal udføres eller overværes af den typegodkendende myndighed eller den tekniske tjeneste, der handler på dennes vegne (i det følgende benævnt »den typegodkendende myndighed«) under godkendelsesprocessen.
De specifikke prøvningsparametre for prøvebaner skal vælges af den typegodkendende myndighed på grundlag af de erklæringer, som fabrikanten har afgivet, og skal registreres i prøvningsrapporten på en sådan måde, at prøveopstillingen er sporbar og repeterbar.
Accept- og forkastelseskriterier for prøvningerne udledes udelukkende af de tekniske krav i dette FN-regulativs punkt 5 og 6 og korrespondance med erklæringer foretaget i overensstemmelse med tillæg 4 til bilag 3.
De prøvninger, der er specificeret i dette dokument, skal være et sæt minimumsprøvninger. Den typegodkendende myndighed kan gennemføre yderligere prøvninger og sammenligne de målte resultater med kravene i punkt 5 og 6 eller indholdet af auditten i henhold til bilag 3.
2. Definitioner
I dette bilag forstås ved:
|
2.1. |
»tid til kollision« (TTC — time to collision): den tid, der fremkommer ved at dele afstanden i længderetningen (i VUT'ets bevægelsesretning) mellem VUT'et og målet med VUT'ets og målets relative hastighed i længderetningen |
|
2.2. |
»forskydning«: afstanden mellem køretøjets og det respektive måls langsgående midterplan i kørselsretningen målt på jorden |
|
2.3. |
»fodgængermål«: et mål, der repræsenterer en fodgænger |
|
2.4. |
»personbilsmål«: et mål, som repræsenterer en personbil |
|
2.5. |
»mål for et motoriseret tohjulet køretøj«: et mål, som repræsenterer en kombination af en motorcykel og en motorcyklist |
|
2.6. |
»cykelmål«: et mål, som repræsenterer en kombination af en cykel og en cyklist |
|
2.7. |
»køretøj under prøvning« (VUT — vehicle under test): et køretøj udstyret med det system, der skal prøves |
|
2.8. |
»basisprøve«: et prøvescenario, hvor fabrikanten skal meddele en tærskel for de manglende grænsebetingelser (f.eks. VUT-hastighed) op til hvilken systemet er i stand til sikkert at styre køretøjet |
|
2.9. |
»udvidet prøvning«: et sæt prøvescenarier med en kombination af prøvedesignvariationer til at kontrollere, at systemet ikke uberettiget ændrer kontrolstrategi i forhold til den erklærede værdi og strategi, der er meddelt i basisprøven, inden for de erklærede systemgrænser |
3. Generelle principper
|
3.1. |
Prøvningsbetingelser |
|
3.1.1. |
Prøverne skal udføres under forhold (f.eks. omgivelser, vejgeometri) som muliggør aktivering af systemet eller specifikke funktioner heri. Under forhold, der ikke er prøvet, som kan forekomme inden for køretøjets definerede systemgrænser, skal fabrikanten som led i den audit, der er beskrevet i bilag 3, godtgøre over for den typegodkendende myndighed, at køretøjet er sikkert kontrolleret. |
|
3.1.2. |
Hvis det er nødvendigt at foretage systemændringer med henblik på prøvning (f.eks. kriterier for vurdering af vejtyper), skal det sikres, at disse ændringer ikke påvirker prøvningsresultaterne. Ændringerne skal dokumenteres og vedlægges prøvningsrapporten. Beskrivelsen af og (eventuelle) tegn på disse ændringers påvirkning skal dokumenteres og vedlægges prøvningsrapporten. |
|
3.1.3. |
For at teste kravene vedrørende funktionssvigt, selvtest og iværksættelse af systemet kan fejl fremkaldes kunstigt, og køretøjet kan kunstigt bringes i situationer, hvor det når grænserne for det definerede driftsområde (f.eks. omgivende forhold).
Det skal verificeres, at systemets tilstand er i overensstemmelse med det tilsigtede prøvningsformål (f.eks. i fejlfri tilstand eller med de specifikke fejl, der skal prøves). |
|
3.1.4. |
Vejoverfladen til prøvningen skal som minimum give den friktion, der kræves i scenariet for at opnå det forventede prøvningsresultat. |
|
3.1.5. |
Prøvemål |
|
3.1.5.1. |
Det mål, der anvendes ved prøvninger til detektering af køretøjer, skal være et køretøj i klasse M eller N fra et normalt i høj volumen seriefremstillet køretøj eller alternativt et »blødt mål«, der er repræsentativt for et sådant køretøj med hensyn til de detektionskarakteristika, der anvendes af det ALKS-sensorsystem, der skal prøves i overensstemmelse med ISO 19206-3. Referencepunktet for køretøjets placering skal være det bageste punkt på køretøjets midterlinje. |
|
3.1.5.2. |
Det mål, der anvendes ved prøvninger til detektering af motoriserede tohjulede køretøjer, skal være en prøveanordning i overensstemmelse med ISO 19206-5 eller en typegodkendt i høj volumen seriefremstillet motorcykel i klasse L3. Referencepunktet for motorcyklens placering skal være det bageste punkt på motorcyklens midterlinje. |
|
3.1.5.3. |
Det mål, der anvendes til prøvninger vedrørende detektion af fodgængere, skal være et »leddelt blødt mål« og være repræsentativt for de menneskelige specifikationer, der anvendes i systemets sensorudstyr ved prøvninger foretaget i overensstemmelse med ISO 19206-2. |
|
3.1.5.4. |
Det mål, der anvendes til prøvninger i forbindelse med detektion af cykler, skal være en anordning i overensstemmelse med ISO 19206-4. Referencepunktet for cyklens position er det forreste punkt på cyklens midterlinje. |
|
3.1.5.5. |
Som et alternativ til referencemål kan førerløse robotkøretøjer eller avancerede prøvningsværktøjer (f.eks. bløde mål, mobile platforme osv.) anvendes til at gennemføre prøvningerne og erstatte de rigtige køretøjer og andre trafikanter, som med rimelighed kan forefindes inden for systemgrænserne. Det skal sikres, at de prøvningsværktøjer, der erstatter referencemålene, har karakteristika, der er sammenlignelige med det køretøj eller den trafikant, som de skal repræsentere, og at der er enighed mellem den typegodkendende myndighed og fabrikanten. |
|
3.1.5.6. |
Oplysninger, der muliggør specifik identifikation og reproduktion af målet(målene), skal angives i køretøjets typegodkendelsesdokumentation. |
|
3.1.6. |
Variation i prøvningsparametre |
|
3.1.6.1. |
Fabrikanten skal meddele systemgrænserne til den typegodkendende myndighed. Den typegodkendende myndighed skal definere forskellige kombinationer af prøvningsparametre (f.eks. køretøjet under prøvnings aktuelle hastighed, type og målforskydning, vognbanens kurver osv.). |
|
3.1.6.2. |
Der skal mindst to gange gennemføres basisprøver for at bekræfte systemets konsekvens. Hvis en af de to prøvninger ikke opfylder kravene, skal prøvningen gentages én gang til. En prøve skal betragtes som bestået, hvis kravene opfyldes i to prøvninger, og fabrikanten har givet tilstrækkelig dokumentation i henhold til bilag 3, tillæg 4. Den typegodkendende myndighed kan vælge at kræve yderligere prøvninger for at bekræfte de erklæringstærskler, der er angivet i bilag 3, tillæg 4. |
|
3.1.6.3. |
Hvis forholdene afviger fra dem, der er angivet for basisprøven, skal systemet ikke uberettiget ændre sin kontrolstrategi. Dette skal kontrolleres gennem udvidet prøvning. Hvert parameter, som er angivet i de udvidede prøver, skal varieres, hvis variationerne kan grupperes i ét enkelt prøvedesign. Den typegodkendende myndighed kan ydermere anmode om yderligere dokumentation, der godtgør systemets ydeevne under uprøvede parametervariationer. |
|
3.1.7. |
Kontrol på offentlig vej |
|
3.1.7.1. |
Den typegodkendende myndighed skal, når det er relevant for systemets type funktion, gennemføre eller overvære en vurdering af systemet i fejlfri tilstand med anden trafik i mindst ét land, hvor køretøjet anvendes. Formålet med denne kontrol er at vurdere systemets opførsel i fejlfri tilstand i dets driftsomgivelser. |
4. Prøvningsprocedurer
|
4.1. |
Prøvningsscenarier til bekræftelse af den generelle overholdelse af kravene i dette FN-regulativ
Overholdelse af kravene i dette FN-regulativ skal dokumenteres ved fysiske prøver for følgende punkter. Variationer af den samme prøve (f.eks. prøvning af forskellige grænsebetingelser) kan demonstreres ved andre midler (f.eks. som en del af den audit, der er beskrevet i bilag 3, eller ved virtuel prøvning) efter aftale med den typegodkendende myndighed. |
|
4.1.1. |
Krav og systemaspekter, som skal prøves under de fysiske prøvninger, er beskrevet i tabel 1. De relevante krav eller systemaspekter skal udvælges på grundlag af systemgrænserne.
Der skal skabes scenarier med det mål at prøve det pågældende krav eller aspekt, og de skal beskrives efter aftale med den typegodkendende myndighed. Hvert krav eller aspekt skal som minimum vurderes ved baneprøvning eller kontrol på offentlig vej. Et bestemt scenario kan bruges til at vurdere systemets forskellige krav/aspekter. Der skal oprettes prøvningsscenarier afhængigt af systemets forhåndsbetingelser for aktivering og systemgrænser. Tabel A4/1 Krav og systemaspekter, som skal prøves
|
|
4.2. |
Prøvningsscenarier til vurdering af systemets opførsel |
|
4.2.1. |
Der skal udvælges prøvningsscenarier afhængigt af systemets forhåndsbetingelser for aktivering og systemgrænser. |
|
4.2.2. |
Prøvningerne kan enten udføres på en prøvebane eller, hvor det er muligt og uden nogen risiko for køretøjets passagerer og andre trafikanter, på offentlig vej.
Prøvning på prøvebane skal tilsigtes for prøvningsscenarier, der kan være til fare for andre trafikanter og prøvningspersonale (f.eks. tilsvarende AEB-ydelse, systemets reaktion ved førerens utilgængelighed, højere sideværts acceleration osv.). |
|
4.2.2.1. |
Prøvningerne skal gennemføres på en sådan måde, at resultatet af prøvningen ikke påvirkes af førerindstillinger eller -input eller nogen anden påvirkning, der ikke vedrører den manøvre, der prøves. Derfor skal følgende betingelser finde anvendelse:
Fabrikanten skal meddele alle andre relevante betingelser, som skal opfyldes med henblik på korrekt gennemførelse af hver prøvning. |
|
4.2.3. |
Prøvningerne må ikke udføres på en sådan måde, at de bringer det involverede personale i fare, og betydelig beskadigelse af køretøjet under prøvning skal undgås, hvis der findes andre midler til validering. |
|
4.2.4. |
Vognbaneafmærkning og kørebanegeometri |
|
4.2.4.1. |
Hvis basisprøver skal gennemføres på en kurvet vejstrækning, skal geometrien opfylde følgende kriterier (S-kurve betyder begge sving i den nævnte rækkefølge, den kurvede vejstrækning betyder det andet sving):
På fabrikantens opfordring og efter aftale med den typegodkendende myndighed kan prøvninger gennemføres på en vej med forskellige kurver, forudsat at dette ikke ændrer hensigten eller virkningen af prøvningen. |
|
4.2.5. |
På tidspunktet for typegodkendelsen skal den typegodkendende myndighed gennemføre eller overvære mindst følgende prøvninger for at vurdere systemets opførsel på grundlag af de erklærede driftsdomæner: |
|
4.2.5.1. |
Prøvningsscenarier for forskellige DCAS-funktioner |
|
4.2.5.1.1. |
Placering i vognbanen |
|
4.2.5.1.1.1. |
Basisprøve: Prøven skal bekræfte den af fabrikanten erklærede evne til at placere sig i vognbanen. |
|
4.2.5.1.1.1.1. |
Funktionsdel I: VUT-hastigheden skal forblive inden for det område, der er meddelt af fabrikanten i punkt 9.1.1 og 9.1.2 i dette FN-regulativ.
Prøvningen skal udføres for hvert hastighedsområde, der er meddelt af fabrikanten i punkt 9.1.1 og 9.1.2 i dette FN-regulativ, separat eller inden for sammenhængende hastighedsområder, hvor den maksimale erklærede sideværts acceleration er identisk. VUT'et skal køres uden kraft påført af føreren på styretøjet (f.eks. ved at fjerne hænderne fra styretøjet) med en konstant hastighed på en kurvet bane med kørebaneafmærkning på hver side. Den nødvendige sideværts acceleration for at følge kurven skal være mellem 80 og 90 procent af den maksimale sideværts acceleration, der er meddelt af fabrikanten i bilag 3, tillæg 4 til dette FN-regulativ. |
|
4.2.5.1.1.1.2. |
VUT-hastigheden skal forblive inden for det område, der er meddelt af fabrikanten i punkt 9.1.1 og 9.1.2 i dette FN-regulativ.
Prøvningen skal udføres for hvert hastighedsområde, der er meddelt af fabrikanten i punkt 9.1.1 og 9.1.2 i dette FN-regulativ, separat eller inden for sammenhængende hastighedsområder, hvor den maksimale erklærede sideværts acceleration er identisk. VUT'et skal køres uden kraft påført styretøjet af føreren (f.eks. ved at fjerne hænderne fra styretøjet) med en konstant hastighed på en kurvet bane med kørebaneafmærkning på hver side. Den typegodkendende myndighed skal definere en prøvningshastighed og en radius, der vil fremkalde en højere acceleration end den maksimale erklærede sideværts acceleration + 0,3 m/s2 (f.eks. ved at køre med højere hastighed gennem en kurve med en given radius). |
|
4.2.5.1.1.2. |
Udvidet prøvning:
Prøvningen skal vise, at systemet ikke forlader sin vognbane og fastholder en stabil bevægelse i sin egen prøvevognbane over hele hastighedsområdet og forskellige kurver inden for systemets grænser op til den maksimale sideværts acceleration, som er meddelt af fabrikanten. |
|
4.2.5.1.1.2.1. |
Prøvningen skal som minimum udføres:
|
|
4.2.5.1.2. |
Vognbaneskift igangsat af føreren |
|
4.2.5.1.2.1. |
Basisprøve: Prøven skal bekræfte systemets evne til at foretage vognbaneskift igangsat af føreren, som fabrikanten har meddelt. |
|
4.2.5.1.2.1.1. |
VUT'et skal foretage et fuldt vognbaneskift (3,5 m sideværts forskydning) til en tilstødende vognbane efter en vognbaneskiftprocedure igangsat af føreren. |
|
4.2.5.1.2.1.2. |
VUT'et og det forankørende køretøj skal bevæge sig i samme retning i en lige linje i mindst to sekunder forud for den funktionelle del af prøvningen med en forskydning mellem VUT'et og det forankørende køretøjs midterlinje på højst 1 m. |
|
4.2.5.1.2.1.3. |
Prøvninger skal gennemføres med et forankørende køretøj, der bevæger sig med mindst 20 km/h langsommere end den for VUT'et fastsatte hastighedsgrænse.
|
|
4.2.5.1.2.2. |
Udvidet prøvning:
Prøvningen skal vurdere systemets evne til at hjælpe føreren inden for sine grænsebetingelser/de af fabrikanten erklærede systemfunktioner med at foretage sikre vognbaneskift:
|
|
4.2.5.1.2.2.1. |
Prøvningen skal som minimum udføres:
|
|
4.2.5.1.4. |
Vognbaneskift igangsat af systemet |
|
4.2.5.1.4.1. |
Basisprøve: Prøvningen skal bekræfte evnen til at foretage vognbaneskift igangsat af systemet, som fabrikanten har meddelt. |
|
4.2.5.1.4.1.1. |
VUT'et skal foretage en et fuldt vognbaneskift (3,5 m sideværts forskydning) til en tilstødende vognbane efter en vognbaneskiftprocedure igangsat af systemet. |
|
4.2.5.1.4.1.2. |
VUT'et og det forankørende køretøj skal bevæge sig i samme retning i en lige linje i mindst to sekunder forud for den funktionelle del af prøvningen med en forskydning mellem VUT'et og det forankørende køretøjs midterlinje på højst 1 m.
|
|
4.2.5.1.4.2. |
Udvidet prøvning: Prøvningen skal demonstrere, at systemet er i stand til at hjælpe føreren med at foretage sikre vognbaneskift:
|
|
4.2.5.1.4.2.1. |
Prøvningen skal som minimum udføres:
|
|
4.2.5.2. |
Evne til at reagere på andre trafikanter, som svarer til de erklærede driftsdomæner |
|
4.2.5.2.1. |
Stationært køretøj forude på en lige vejstrækning |
|
4.2.5.2.1.1. |
Basisprøve: Prøvningen skal bekræfte systemets erklærede evne til at reagere på et stationært køretøj forude på en lige vejstrækning. |
|
4.2.5.2.1.1.1. |
VUT'et skal bevæge sig mod det stationære mål i en lige linje i mindst to sekunder forud for den funktionelle del af prøvningen med en forskydning mellem VUT'et og målets midterlinje på højst 0,5 m. |
|
4.2.5.2.1.1.2. |
Den funktionelle del af prøvningen skal begynde med:
|
|
4.2.5.2.1.2. |
Tolerancerne skal overholdes fra begyndelsen af den funktionelle del af prøvningen til systemets indgriben.
|
|
4.2.5.2.1.3. |
Udvidet prøvning: Prøvningen skal demonstrere, at systemet ikke uberettiget ændrer kontrolstrategi over for et stationært køretøj forude på en lige vejstrækning. |
|
4.2.5.2.1.3.1. |
Prøvningen skal som minimum udføres med:
|
|
4.2.5.2.2. |
Stationært køretøj forude på en kurvet vejstrækning |
|
4.2.5.2.2.1. |
Basisprøve: Prøvningen skal bekræfte systemets erklærede evne til at reagere på et stationært køretøj forude på en kurvet vejstrækning. |
|
4.2.5.2.2.1.1. |
Målet skal være placeret med en forskydning på højst 0,5 m mellem målkøretøjets midterlinje og kørebanen efter svingets midterlinje (første sving som defineret i 4.2.4.1 i dette bilag), så det bageste hjørne rører den ekstrapolerede kørebanelinje, hvis kørebanen var fortsat ligeud. |
|
4.2.5.2.2.1.2. |
VUT'et skal køre ad den lige vejstrækning i den fuldt afmærkede kørebane ved en konstant hastighed med systemet tændt længe nok til, at den tværgående styring kan indtage en konstant placering i vognbanen, inden starten på den kurvede del af vejen.
|
|
4.2.5.2.2.2. |
Udvidet prøvning: Prøvningen skal demonstrere, at systemet ikke uberettiget ændrer kontrolstrategi over for et stationært køretøj forude på en kurvet vejstrækning. |
|
4.2.5.2.2.2.1. |
Prøvningen skal som minimum udføres med:
|
|
4.2.5.2.3. |
Langsomtkørende køretøj forude på en lige vejstrækning. |
|
4.2.5.2.3.1. |
Basisprøve: Prøvningen skal bekræfte systemets erklærede evne til at reagere på et langsomtkørende køretøj forude på en lige vejstrækning. |
|
4.2.5.2.3.1.1. |
VUT'et og målet skal bevæge sig i samme retning i en lige linje i mindst to sekunder forud for den funktionelle del af prøvningen med en forskydning mellem VUT'et og målets midterlinje på højst 0,5 m. |
|
4.2.5.2.3.1.2. |
Prøvningerne skal gennemføres med et langsomtkørende målkøretøj, der kører 50 km/h langsommere end VUT'et.
|
|
4.2.5.2.3.2. |
Udvidet prøvning: Prøvningen skal demonstrere, at systemet ikke uberettiget ændrer kontrolstrategi over for et langsomtkørende køretøj forude på en lige vejstrækning. |
|
4.2.5.2.3.2.1. |
Prøvningen skal som minimum udføres med:
|
|
4.2.5.2.4. |
(Reserveret) |
|
4.2.5.2.5. |
Udtrækning af det forankørende køretøj |
|
4.2.5.2.5.1. |
Basisprøve: Prøvningen skal bekræfte systemets erklærede evne til at reagere på en udtrækning af det forankørende køretøj i klasse M1. |
|
4.2.5.2.5.1.1. |
Det køretøj, der trækker ud, skal foretage et fuldt vognbaneskift (3,5 m sideværts forskydning) til den tilstødende vognbane for at undgå det stationære målkøretøj, hvor målingen bag det stationære målkøretøj angiver begyndelsen på vognbaneskiftet, og målingen foran det stationære målkøretøj angiver afslutningen på vognbaneskiftet. |
|
4.2.5.2.5.1.2. |
Den angivne TTC er defineret som det forankørende køretøjs TTC til målet, når det forankørende køretøj starter vognbaneskiftet. Det forankørende køretøj må ikke anvende blinklys under manøvren. |
|
4.2.5.2.5.1.3. |
Det udtrækkende køretøj må ikke afvige mere end ± 0,2 m fra sin definerede bane.
|
||||||||||||||||
|
4.2.5.2.5.2. |
Udvidet prøvning: Prøvningen skal demonstrere, at systemet ikke uberettiget ændrer kontrolstrategi, når det forankørende køretøj trækker ud. |
|
4.2.5.2.5.2.1. |
Prøvningen skal som minimum udføres med:
|
|
4.2.5.2.6. |
Køretøjs udtrækning fra en tilstødende vognbane |
|
4.2.5.2.6.1. |
Basisprøve: Prøvningen skal bekræfte systemets erklærede evne til at reagere på en udtrækning af køretøjet fra en tilstødende vognbane. |
|
4.2.5.2.6.1.1. |
Målkøretøjet i den tilstødende vognbane skal foretage et fuldt vognbaneskift (3,5 m sideværts forskydning) til VUT'ets vognbane. |
|
4.2.5.2.6.1.2. |
Den angivne TTC er defineret som TTC på det tidspunkt, hvor målet har afsluttet vognbaneskiftmanøvren, og hvor målkøretøjets midtpunkt bagtil befinder sig i midten af VUT'ets vognbane. |
|
4.2.5.2.6.1.3. |
Det indtrækkende køretøj må ikke afvige mere end ± 0,2 m fra sin definerede bane.
|
||||||||||||||||||||||
|
4.2.5.2.6.2. |
Udvidet prøvning: Prøvningen skal demonstrere, at systemet ikke uberettiget ændrer kontrolstrategi, når et køretøj trækker ind fra en tilstødende vognbane. |
|
4.2.5.2.6.2.1. |
Prøvningen skal som minimum udføres med:
|
|
4.2.5.2.8. |
Stationær fodgænger forude i vognbanen |
|
4.2.5.2.8.1. |
Basisprøve: Prøvningen skal bekræfte systemets erklærede evne til at reagere på en stationær fodgænger. |
|
4.2.5.2.8.1.1. |
Fodgængermålet skal være placeret i VUT'ets bane med front væk fra VUT'et. |
|
4.2.5.2.8.1.2. |
VUT'et skal nærme sig anslagspunktet med fodgængermålet i en lige linje i mindst to sekunder forud for den funktionelle del af prøvningen.
|
|
4.2.5.2.8.2. |
Udvidet prøvning: Prøvningen skal demonstrere, at systemet ikke uberettiget ændrer kontrolstrategi over for en stationær fodgænger. |
|
4.2.5.2.8.2.1. |
Prøvningen skal som minimum udføres med:
|
|
4.2.5.2.9. |
Stationært cykelmål forude i vognbanen |
|
4.2.5.2.9.1. |
Basisprøve: Prøvningen skal bekræfte systemets erklærede evne til at reagere på et stationært mål og eventuelle sideværts bevægelser og navigere uden om målet, hvis dette er relevant. |
|
4.2.5.2.9.1.1. |
Cykelmålet skal være placeret i VUT'ets bane med front væk fra prøvekøretøjet. |
|
4.2.5.2.9.1.2. |
VUT'et skal nærme sig anslagspunktet med cykelmålet i en lige linje i mindst to sekunder forud for den funktionelle del af prøvningen.
|
|
4.2.5.2.9.2. |
Udvidet prøvning: Prøvningen skal demonstrere, at systemet ikke uberettiget ændrer kontrolstrategi over for en stationær cykel. |
|
4.2.5.2.9.2.1. |
Prøvningen skal som minimum udføres med:
|
|
4.2.5.2.10. |
Fodgængermål krydser ind i VUT'ets bane |
|
4.2.5.2.10.1. |
Basisprøve: Prøvningen skal bekræfte systemets erklærede evne til at reagere på et krydsende fodgængermål. |
|
4.2.5.2.10.1.1. |
Den funktionelle del af prøvningen skal begynde med:
|
|
4.2.5.2.10.1.2. |
Tolerancerne skal overholdes fra begyndelsen af den funktionelle del af prøvningen til systemets indgriben. |
|
4.2.5.2.10.1.3. |
Fodgængermålet skal bevæge sig i en lige linje, der er vinkelret på VUT'ets kørselsretning, med en konstant hastighed på 5 km/h + 0/-0,4 km/h, og målet må ikke bevæge sig, før den funktionelle del af prøvningen er påbegyndt. Fodgængermålets position skal koordineres med VUT'et på en sådan måde, at anslagspunktet for fodgængermålet på forenden af VUT'et ligger i VUT'ets midterlinje i længderetningen med en tolerance på højst 0,2 m, såfremt VUT'et fremføres med den fastsatte prøvningshastighed under hele den funktionelle del af prøvningen og ikke bremser.
|
|
4.2.5.2.10.2. |
Udvidet prøvning: Prøvningen skal demonstrere, at systemet ikke uberettiget ændrer kontrolstrategi over for et krydsende fodgængermål. |
|
4.2.5.2.10.2.1. |
Prøvningen skal som minimum udføres med:
|
|
4.2.5.2.11. |
Cykel krydser ind i VUT'ets bane |
|
4.2.5.2.11.1. |
Basisprøve: Prøvningen skal bekræfte systemets erklærede evne til at reagere på et krydsende cykelmål. |
|
4.2.5.2.11.1.1. |
Cykelmålet skal bevæge sig i en lige linje, der er vinkelret på VUT'ets kørselsretning, med en konstant hastighed på 15 km/h + 0/-1 km/h, og målet må ikke bevæge sig, før den funktionelle del af prøvningen er påbegyndt. I cykelmålets accelerationsfase forud for den funktionelle del af prøvningen skal cykelmålet være skjult. Cykelmålets placering skal koordineres med VUT'et på en sådan måde, at anslagspunktet for cykelmålet på forenden af VUT'et ligger i VUT'ets midterlinje i længderetningen med en tolerance på højst 0,2 m, såfremt VUT'et fremføres med den fastsatte prøvningshastighed under hele den funktionelle del af prøvningen og ikke bremser.
|
|
4.2.5.2.11.2. |
Udvidet prøvning: Prøvningen skal demonstrere, at systemet ikke uberettiget ændrer kontrolstrategi over for et krydsende cykelmål. |
|
4.2.5.2.11.2.1. |
Prøvningen skal som minimum udføres med:
|
|
4.2.5.2.12. |
Fodgængermål krydser ind i VUT'ets bane i et vejkryds |
|
4.2.5.2.12.1. |
Basisprøve: Prøvningen skal bekræfte systemets erklærede evne til at reagere på et krydsende fodgængermål i et vejkryds. |
|
4.2.5.2.12.1.1. |
Den funktionelle del af prøvningen skal begynde med:
|
|
4.2.5.2.12.1.3. |
Tolerancerne skal overholdes fra begyndelsen af den funktionelle del af prøvningen til systemets indgriben. |
|
4.2.5.2.12.1.4. |
Fodgængermålet skal bevæge sig i en lige linje med en konstant hastighed på 5 km/h + 0/-0,4 km/h, og målet må ikke bevæge sig, før den funktionelle del af prøvningen er påbegyndt. Fodgængermålets position skal koordineres med VUT'et på en sådan måde, at anslagspunktet for fodgængermålet på forenden af VUT'et ligger i VUT'ets midterlinje i længderetningen med en tolerance på højst 0,2 m, såfremt VUT'et fremføres med den fastsatte prøvningshastighed under hele den funktionelle del af prøvningen og ikke bremser. |
|
4.2.5.2.12.1.5. |
Prøvningen skal gennemføres, hvor fodgængermålet bevæger sig parallelt med VUT'et i henhold til diagrammet nedenfor.
|
|
4.2.5.2.12.2. |
Udvidet prøvning: Prøvningen skal demonstrere, at systemet ikke uberettiget ændrer kontrolstrategi over for et krydsende fodgængermål i et vejkryds. Op til fire forskellige scenarier skal gennemføres, idet fodgængermålet bevæger sig på begge sider af køretøjet og vejen. |
|
4.2.5.2.12.2.1. |
Prøvningen skal som minimum udføres med:
|
|
4.2.5.2.13. |
Cykelmål krydser ind i VUT'ets bane i et vejkryds |
|
4.2.5.2.13.1. |
Basisprøve: Prøvningen skal bekræfte systemets erklærede evne til at reagere på et krydsende cykelmål i et vejkryds. |
|
4.2.5.2.13.1.1. |
Cykelmålet skal bevæge sig i en lige linje, der er vinkelret på VUT'ets kørselsretning, med en konstant hastighed på 15 km/h + 0/-1 km/h, og målet må ikke bevæge sig, før den funktionelle del af prøvningen er påbegyndt. I cykelmålets accelerationsfase forud for den funktionelle del af prøvningen skal cykelmålet være skjult. Cykelmålets placering skal koordineres med VUT'et på en sådan måde, at anslagspunktet for cykelmålet på forenden af VUT'et ligger i midterlinjen i længderetning med en forskydning på højst 0,2 m, såfremt VUT'et fremføres med den fastsatte prøvningshastighed under hele den funktionelle del af prøvningen og ikke bremser.
|
|
4.2.5.2.13.2. |
Udvidet prøvning: Prøvningen skal demonstrere, at systemet ikke uberettiget ændrer kontrolstrategi over for et krydsende cykelmål i et vejkryds. |
|
4.2.5.2.13.2.1. |
Prøvningen skal som minimum udføres med:
|
|
4.2.5.2.14. |
VUT'et drejer på tværs af et modkørende køretøjs bane |
|
4.2.5.2.14.1. |
Basisprøve: Prøvningen skal bekræfte systemets erklærede evne til at reagere på et modkørende køretøjsmål, mens VUT'et drejer i et vejkryds. |
|
4.2.5.2.14.1.1. |
VUT'et skal indledningsvis bevæge sig mod anslagspunktet med et andet køretøjsmål (personbil eller motorcykel) i en lige linje efterfulgt af en kurve i et vejkryds med henblik på at krydse den forreste kant af et målkøretøj med en sideværts position, der giver et 50 % overlap af VUT'ets bredde. |
|
4.2.5.2.14.1.2. |
Målet skal bevæge sig fremad med en hastighed på op til 60 km/h afhængigt af de erklærede systemgrænser.
|
|
4.2.5.2.14.2. |
Udvidet prøvning: Prøvningen skal demonstrere, at systemet ikke uberettiget ændrer kontrolstrategi over for et modkørende køretøjsmål, mens VUT'et drejer i et vejkryds. |
|
4.2.5.2.14.2.1. |
Prøvningen skal som minimum udføres med:
|
|
4.2.5.2.15. |
VUT'et krydser et målkøretøjs lige bane i et vejkryds |
|
4.2.5.2.15.1. |
Basisprøve: Prøvningen skal bekræfte systemets erklærede evne til at genkende og vige for et krydsende køretøjsmål, som kører ligeud i et vejkryds. |
|
4.2.5.2.15.1.1. |
VUT'et skal indledningsvis bevæge sig i en lige linje i et vejkryds mod anslagspunktet med et andet køretøjsmål (personbil eller motorcykel), der nærmer sig fra enten fører- eller passagersiden, således at midten af fronten på VUT'et kolliderer med siden på målkøretøjet 25 % inde på målkøretøjets længde. |
|
4.2.5.2.15.1.2. |
Målet skal bevæge sig fremad med en hastighed på op til 60 km/h afhængigt af de erklærede systemgrænser. VUT forventes at vige.
|
|
4.2.5.2.15.2. |
Udvidet prøvning: Prøvningen skal demonstrere, at systemet ikke uberettiget ændrer kontrolstrategi over for et krydsende målkøretøj, der kører ligeud i et vejkryds. |
|
4.2.5.2.15.2.1. |
Prøvningen skal som minimum udføres med:
|
|
4.3. |
Kontrol på offentlig vej |
|
4.3.1. |
Den typegodkendende myndighed skal fastlægge af prøvningsruten, dennes placering, tidspunkt på dagen og omgivende forhold. Kontrol på offentlig vej skal omfatte forskellige tidspunkter på dagen og lysintensitet i overensstemmelse med systemgrænserne. Den skal omfatte scenarier, hvor systemet forventes at blive udsat for udfordrende scenarier (f.eks. snævre kurver, hastighedsændringer forårsaget af forskellige infrastruktur- og trafikforhold, varierende opførsel hos det forankørende køretøj, forskellige hastighedsgrænser) og at nærme sig dets erklærede systemgrænsers begrænsninger (f.eks. ændringer i sigtbarheds- eller vejforhold, planlagt eller pludselig afslutning på systemgrænserne). |
|
4.3.2. |
Varigheden af prøvninger på offentlig vej skal give mulighed for at registrere og vurdere systemdriften i henhold til alle relevante dele af de specifikationer, der er beskrevet i punkt 5 og 6, bortset fra sikkerhedskritiske og svigtrelaterede scenarier. |
|
4.3.3. |
Prøvningsscenarier til vurdering af systemets opførsel under andre manøvrer igangsat af systemet eller føreren |
|
4.3.3.1. |
Kontrol på offentlig vej skal omfatte prøvningsscenarierne i tabellen nedenfor med henblik på at vurdere systemets opførsel under normale faktiske driftsforhold.
Ruterne skal planlægges, så de omfatter de prøvningsscenarier, som er relevante i henhold til fabrikantens erklæring i bilag 3 i dette FN-regulativ. Den prøvningsplan, som den typegodkendende myndighed har udarbejdet, skal omfatte scenarierne med henblik på at vurdere specifikke evner under forskellige omstændigheder. |
|
4.3.3.2. |
Fabrikanten skal ydermere stille dokumentation for systemets opførsel i enhver type scenario, som er relevant i henhold til fabrikantens erklæring i bilag 3 i dette FN-regulativ (f.eks. på grundlag af en virtuel prøvning).
|
|
4.3.4. |
For alle andre relevante typer scenarier i overensstemmelse med systemets ydeevne og de systemgrænser, som er meddelt af fabrikanten i henhold til bilag 3, der ikke kan finde sted under prøvningerne på offentlig vej, skal fabrikanten fremlægge passende dokumentation fra fabrikantens interne systemvalidering til den typegodkendende myndigheds tilfredshed. |
|
4.3.5. |
Verifikationskøreturen skal optages, og hvis det er nødvendigt, skal prøvningskøretøjet udstyres med yderligere ikke forstyrrende udstyr. Den typegodkendende myndighed kan logge eller anmode om logfiler over alle de datakanaler, der anvendes eller genereres af systemet, hvis det skønnes nødvendigt for evalueringen efter prøvningen. |
|
4.3.6. |
Det anbefales at verifikationen på offentlig vej gennemføres, når systemet har bestået alle de prøvninger på bane, der er fastsat i dette bilag og efter fuldførelse af bilag 3. |
(*1) Scenarier og prøvningsprocedurer for disse punkter skal aftales af fabrikanten og den typegodkendende myndighed.
BILAG 5
Principper for troværdighedsvurdering ved brug af virtuelle værktøjskæder til validering af DCAS
1.
Generelt
1.1.
Det anbefales, at værktøjskæden modellering og simulering (M&S) anvendes til virtuel prøvning, hvis dens troværdighed er fastslået ved at evaluere dens egnethed til det tilsigtede formål. Det anbefales, at der opnås troværdighed ved at undersøge og vurdere fem M&S-egenskaber:|
a) |
Ydeevne — hvad M&S kan, og hvilke risici der er forbundet hermed |
|
b) |
Nøjagtighed — i hvor høj grad M&S reproducerer måldataene |
|
c) |
Korrekthed — hvor pålidelige og robuste er M&S-dataene og algoritmerne i værktøjerne |
|
d) |
Anvendelighed — hvilken træning og erfaring er der behov for, og hvad er kvaliteten af den proces, der styrer brugen heraf |
|
e) |
Egnet til formålet — hvor velegnet M&S-værktøjskæden er til at vurdere DCAS inden for systemgrænserne. |
Figur A5/1
Grafisk fremstilling af forholdet mellem komponenterne i rammen for vurdering af troværdighed
1.2.
Derfor kræver troværdigheden en ensartet metode til at undersøge disse egenskaber og få tillid til M&S-resultaterne. Med rammen for vurdering af troværdighed indføres der en metode til at vurdere og rapportere om troværdigheden af M&S baseret på kvalitetssikringskriterier med mulighed for angivelse af graden af tillid til resultaterne.Troværdigheden fastslås med andre ord ved at evaluere væsentlige faktorer, der har indflydelse herpå, som primært bidrager til model- og simuleringsværktøjernes opførsel, og som derfor påvirker den overordnede M&S-værktøjskædes troværdighed. Følgende har alle indflydelse på den overordnede M&S-troværdighed: organisatorisk forvaltning af M&S-aktiviteten, teamets erfaring og ekspertise, analyse og beskrivelse af det valgte M&S-værktøjssæt, kilder til data og input, verifikation, validering og karakterisering af usikkerhed.
Hvor godt hver af disse faktorer håndteres, angiver det kvalitetsniveau, der er opnået ved M&S-værktøjskæden, og sammenligningen mellem de opnåede niveauer og de krævede niveauer giver et kvalitativt mål for M&S-troværdigheden og for, hvorvidt det er egnet til brug ved virtuel prøvning. I figur 1 vises en grafisk fremstilling af forholdet mellem komponenterne i rammen for vurdering af troværdigheden.
2.
DefinitionerI dette bilag forstås ved:
2.1.
(Reserveret)
2.2.
(Reserveret)
2.3.
»abstraktion«: processen med at udvælge de væsentlige aspekter af et kildesystem eller et referencesystem, der skal repræsenteres i en model eller simulering, samtidig med at irrelevante aspekter ignoreres. Enhver modelleringsabstraktion indebærer en antagelse om, at den ikke i væsentlig grad må påvirke simuleringsværktøjets tilsigtede anvendelser
2.4.
»lukket loop-prøvning«: et virtuelt miljø, hvor der tages hensyn til, hvordan loopelementet agerer. Simulerede genstande reagerer på systemets handlinger (f.eks. et system, der interagerer med en trafikmodel)
2.5.
»deterministisk«: et udtryk, der beskriver et system, hvis tidsmæssige udvikling kan forudsiges nøjagtigt, og hvor et givet sæt inputstimuli altid vil give samme output
2.6.
»driver-in-the-loop« (DIL): udføres typisk i en kørselssimulator, der anvendes til prøvning af interaktionsdesignet (interaktion mellem menneske og maskine). DIL har komponenter, der gør det muligt for føreren at betjene og kommunikere med det virtuelle miljø
2.7.
»hardware-in-the-loop« (HIL): involverer den endelige hardware i et specifikt delsystem i køretøjet, der kører den endelige software med input og output koblet til et simuleringsmiljø med henblik på virtuel prøvning. HIL-prøvning giver mulighed for at replikere sensorer, bremsecylindere og mekaniske komponenter på en måde, der forbinder alle I/O i de elektroniske styreenheder (ECU), som prøves, længe før det endelige system integreres
2.8.
»model«: en beskrivelse eller fremstilling af et system, en enhed, et fænomen eller en proces
2.9.
»modelkalibrering«: processen med at justere numeriske parametre eller modelleringsparametre i modellen for at forbedre overensstemmelse med en reference
2.10.
»modelparameter«: numeriske værdier, der anvendes til at karakterisere en systemfunktionalitet. En modelparameter har en værdi, der ikke kan observeres direkte under faktiske forhold, men som skal udledes af data indsamlet i den virkelige verden (i modelkalibreringsfasen)
2.11.
»model-in-the-loop« (MIL): en tilgang, der muliggør hurtig algoritmisk udvikling uden brug af dedikeret hardware. Normalt omfatter dette udviklingsniveau rammer for software til abstraktion på højt niveau i databehandlingssystemer til generelle formål
2.12.
»åben loop-prøvning«: virtuel prøvningstilgang, hvor en dataleverandørenhed leverer inputstimuli til DCAS. Der er ingen feedback mellem DCAS og de omgivelser, der stilles til rådighed via inputstimuli, og loopet er således »åbent«. Dataleverandørenheden kan afspille en optaget trafiksituation, f.eks. fra en faktisk køretur. Data om omgivelserne kan også genereres (simulatortilgang) eller måles (skyggetilstand) under prøvningen.
2.13.
»sandsynlighedsbaseret«: udtryk, der vedrører ikke-deterministiske hændelser, hvis udfald beskrives ved en målestok for sandsynligheden
2.14.
»prøvebane«: en fysisk prøvningsfacilitet, der er lukket for trafik, og hvor DCAS' ydeevne kan undersøges på det rigtige køretøj. Trafikagenter kan indføres via sensorstimulering eller via attrapper placeret på prøvebanen
2.15.
»sensorstimulering«: en teknik, hvor kunstigt genererede signaler sendes til det element, der afprøves, således at det kan frembringe det resultat, der kræves med henblik på verifikation af de faktiske forhold, uddannelse, vedligeholdelse eller forskning og udvikling.
2.16.
»simulering«: en imitation af en proces eller et system under faktiske forhold over tid
2.17.
»simuleringsværktøjskæde«: en kombination af simuleringsværktøjer, der anvendes til at understøtte valideringen af DCAS
2.18.
»software-in-the-loop« (SIL): en tilgang, hvor gennemførelsen af den udviklede model evalueres i databehandlingssystemer til generelle formål. På dette trin kan der foretages en komplet softwareimplementering, der ligger meget tæt på den endelige. SIL-prøvning anvendes til at beskrive en prøvningsmetode, hvor eksekverbare koder såsom algoritmer (eller endog en hel kontrolstrategi) prøves i et modelleringsmiljø, der kan hjælpe med at bevise eller teste softwaren
2.19.
»stokastisk«: en proces, der inddrager eller indeholder en eller flere tilfældige variabler. Er relateret til tilfældighed eller sandsynlighed
2.20.
»validering af simuleringsmodellen«: proces til bestemmelse af, i hvilket omfang en simuleringsmodel er en nøjagtig gengivelse af de faktiske forhold set i forhold til de påtænkte anvendelser af værktøjet
2.21.
»vehicle-in-the-loop« (VIL): et fusionsmiljø for et rigtigt prøvekøretøj under faktiske forhold i et virtuelt miljø. Det kan afspejle køretøjsdynamikken på samme niveau som under faktiske forhold, og det kan monteres på en hertil egnet prøvebænk eller køres på en prøvebane
2.22.
»verifikation af simuleringsmodellen«: proces til bestemmelse af, i hvilket omfang en simuleringsmodel eller et virtuelt prøvningsværktøj opfylder de krav og specifikationer, der er beskrevet i de konceptuelle eller matematiske modeller eller i andre konstruktioner
2.23.
»virtuel prøvning«: prøvning af et system ved brug af en eller flere simuleringsmodeller.
3.
Forvaltning af modeller og simuleringer
3.1.
Livscyklussen for modeller og simuleringer (M&S) er en dynamisk proces med hyppige nye versioner, der skal overvåges og dokumenteres. Som et resultat heraf anbefales det, at der oprettes forvaltningsaktiviteter til støtte for M&S gennem typiske produktforvaltningsprocesser. Relevante oplysninger om følgende aspekter bør medtages i dette afsnit.
3.2.
Det anbefales, at denne del:|
a) |
beskriver ændringerne i M&S-værktøjskædeversionerne |
|
b) |
indeholder en angivelse af den tilsvarende opsætning af software (f.eks. specifikt softwareprodukt og version) og hardware, f.eks. X-in-the-loop (XiL-konfiguration) |
|
c) |
registrerer de interne revisionsprocesser, der muliggjorde godkendelsen af de nye versioner |
|
d) |
understøttes i hele den periode, hvor den virtuelle prøvning pågår. |
3.3.
Forvaltning af versioner
3.3.1.
Det anbefales, at alle versioner af M&S-værktøjskæden, der anvendes til at frigive data til certificeringsformål, lagres. De virtuelle modeller, der udgør prøvningsværktøjet bør dokumenteres for så vidt angår de tilsvarende valideringsmetoder og godkendelsestærskler for at understøtte værktøjskædens overordnede troværdighed. Udvikleren bør indføre og håndhæve en metode til at knytte genererede data til den tilsvarende version af en M&S-værktøjskæde.
3.3.2.
Kvalitetskontrol af virtuelle data. Det sikres, at dataene i de enkelte versioner er fuldstændige, nøjagtige og ensartede i løbet af et værktøjs eller en værktøjskædes levetid til støtte for verifikations- og valideringsprocedurerne.
3.4.
Teamets erfaring og ekspertise
3.4.1.
Selv om der allerede er erfaring og ekspertise (E&E) generelt i en organisation, er det vigtigt at skabe et grundlag for tillid til den specifikke erfaring og ekspertise for M&S-aktiviteter.
3.4.2.
Faktisk afhænger troværdigheden af M&S ikke kun af kvaliteten af simuleringsmodellerne, men også af den E&E, der besiddes af det personale, som er involveret i valideringen og anvendelsen af M&S. En korrekt forståelse af begrænsningerne og valideringsområdet vil f.eks. hindre et eventuelt misbrug af M&S eller fejlfortolkning af resultaterne.
3.4.3.
Det er vigtigt at fastlægge grundlaget for fabrikantens tillid til den erfaring og ekspertise, der besiddes af:|
a) |
de team, der internt skal vurdere og validere M&S-værktøjskæden, og |
|
b) |
de team, der skal anvende den validerede simulering ved udførelsen af den virtuelle prøvning med henblik på validering af DCAS. |
3.4.4.
Hvis et teams E&E er god, øges graden af tillid og følgelig M&S-troværdigheden og resultaterne heraf ved at sikre, at der tages hensyn til de menneskelige elementer, der understøtter M&S-aktiviteterne, og at de risici, som hidrører fra de menneskelige aspekter af aktiviteterne, kan kontrolleres via dets forvaltningssystem.
3.4.5.
Hvis fabrikantens værktøjskæde omfatter eller anvender input fra organisationer eller produkter uden for fabrikantens eget team, anbefales det, at fabrikanten inkluderer en redegørelse for de foranstaltninger, denne har truffet for at forvalte og udvikle kvaliteten og integriteten af disse input.
3.4.6.
Teamets erfaring og ekspertise omfatter to aspekter:
3.4.6.1.
Organisatorisk niveau:Troværdigheden sikres ved, at der etableres processer og procedurer til at identificere og bevare færdigheder, viden og erfaring inden for udførelse af M&S-aktiviteter. Følgende processer skal etableres, bevares og dokumenteres:
|
a) |
proces for identifikation og evaluering af den enkeltes kompetencer og færdigheder |
|
b) |
proces for uddannelse af personale med henblik på udførelse af M&S-relaterede opgaver. |
3.4.6.2.
Teamniveau:Når en værktøjskæde er afsluttet, afhænger troværdigheden heraf hovedsagelig af de færdigheder og den viden, der besiddes af de team, som først skal validere M&S og dernæst bruge dem til validering af DCAS. Troværdigheden fastslås ved at dokumentere, at disse team har modtaget tilstrækkelig uddannelse til at udføre deres opgaver.
Fabrikanten bør:
|
a) |
skabe grundlag for fabrikantens tillid til den erfaring og ekspertise, der besiddes af den person/det team, som validerer M&S-værktøjskæden |
|
b) |
skabe grundlag for fabrikantens tillid til den erfaring og ekspertise, der besiddes af den person/det team, som anvender simuleringen til at udføre virtuel prøvning med henblik på at validere DCAS. |
3.4.6.3.
Fabrikanten bør påvise, hvordan denne anvender principperne i sine forvaltningssystemer, f.eks. ISO 9001 eller en lignende bedste praksis eller standard, med henblik på at sikre, at fabrikantens M&S-organisation og enkeltpersonerne i organisationen har kompetence på området, og grundlaget for fastlæggelsen heraf. Det anbefales, at assessoren ikke skifter sin egen vurdering ud med fabrikantens for så vidt angår organisationens og dens ansattes erfaring og ekspertise.
3.4.7.
Data-/inputkilde
3.4.7.1.
Det er vigtigt, hvilken kilde til og sporbarhed af data og input, der anvendes til validering af M&S. Fabrikanten bør have et register over disse, som giver assessoren mulighed for at kontrollere deres kvalitet og egnethed.
3.4.7.2.
Beskrivelse af data anvendt til M&S-validering|
a) |
fabrikanten bør dokumentere de data, der er anvendt til at validere de modeller, der er inkluderet i værktøjet eller værktøjskæden, og anføre vigtige kvalitetsegenskaber |
|
b) |
fabrikanten bør fremlægge dokumentation for, at de data, der er anvendt til at validere modellerne, dækker de tilsigtede funktionaliteter, som værktøjskæden sigter mod at virtualisere |
|
c) |
fabrikanten bør dokumentere de kalibreringsprocedurer, der er anvendt til at tilpasse de virtuelle modellers parametre til de indsamlede inputdata. |
3.4.7.3.
Virkning af datakvaliteten (f.eks. datadækning, signal/støjforhold og sensorernes usikkerhedsgrad/bias/prøvetagningsfrekvens) på modelparameterusikkerheden.Kvaliteten af de data, der er anvendt til at udvikle modellen, vil påvirke modelparametrenes estimation og kalibrering. Usikkerhed i modelparametre vil være et andet vigtigt aspekt i den endelige usikkerhedsanalyse.
3.4.8.
Data-/outputkilde
3.4.8.1.
Outputdatakilden er vigtig. Fabrikanten bør føre et register over M&S-værktøjskædens output og sikre, at det kan knyttes til de input og den M&S-værktøjskæde, der gav anledning til det. Det skal udgøre en del af dokumentationssporet for DCAS-valideringen.
3.4.8.2.
Beskrivelse af data genereret af M&S|
a) |
fabrikanten bør fremlægge oplysninger om alle data og scenarier anvendt i valideringen af den virtuelle prøvning af værktøjskæder |
|
b) |
Fabrikanten bør dokumentere de eksporterede data og notere sig vigtige kvalitetsegenskaber, f.eks. ved hjælp af korrelationsmetodologierne. |
|
c) |
fabrikanten bør knytte et M&S-output til den tilsvarende M&S-opsætning. |
3.4.8.2.1.
Virkning af datakvaliteten på M&S-troværdigheden|
a) |
M&S-outputdataene skal være tilstrækkelige til at sikre, at valideringsberegningen udføres korrekt. Dataene bør i tilstrækkelig grad afspejle de systemgrænser, der er relevante for den virtuelle vurdering af DCAS. |
|
b) |
Outputdataene bør gøre det muligt at kontrollere de virtuelle modellers overensstemmelse og kohærens, eventuelt ved at udnytte redundante oplysninger. |
3.4.8.2.2.
Forvaltning af stokastiske modeller|
a) |
Stokastiske modeller bør karakteriseres med hensyn til varians. |
|
b) |
Brugen af stokastiske modeller bør ikke forhindre muligheden for deterministisk genudførelse. |
3.5.
M&S-analyse og -beskrivelse
3.5.1.
M&S-analysen og -beskrivelsen har til formål at definere hele værktøjskæden og identificere det parameterrum, der kan vurderes ved virtuel prøvning. Den definerer omfanget af og begrænsningerne i modellerne og simuleringsværktøjerne og de usikkerhedskilder, der kan påvirke dens resultater.
3.5.2.
Generel beskrivelse:|
a) |
Fabrikanten bør fremlægge en beskrivelse af hele værktøjskæden og af, hvordan M&S-dataene vil blive anvendt til at understøtte DCAS-valideringsstrategien. |
|
b) |
Fabrikanten bør give en klar beskrivelse af prøvningsmålet. |
3.5.3.
Antagelser, kendte begrænsninger og usikkerhedskilder:|
a) |
Fabrikanten bør begrunde de modelantagelser, der lå til grund for konstruktionen af M&S-værktøjskæden. |
|
b) |
Fabrikanten bør fremlægge dokumentation for:
|
|
c) |
Fabrikanten bør begrunde, at tolerancen for korrelation mellem M&S og de faktiske forhold er acceptabel for prøvningsmålet. |
|
d) |
Endelig bør dette afsnit indeholde oplysninger om kilder til usikkerhed i modellen. Dette vil udgøre et vigtigt input til den endelige usikkerhedsanalyse, som vil definere, hvordan M&S-værktøjskædens output kan påvirkes af de forskellige kilder til usikkerhed i den anvendte M&S-værktøjskæde. |
3.5.4.
Anvendelsesområde (hvad skal modellen bruges til?). Det definerer, hvordan M&S anvendes i DCAS-valideringen.|
a) |
Det virtuelle værktøjs troværdighed bør styrkes gennem et klart defineret anvendelsesområde for de udviklede M&S-værktøjskæder. |
|
b) |
Den udviklede M&S bør gøre det muligt at virtualisere de fysiske fænomener med en grad af nøjagtighed, der svarer til den nøjagtighedsgrad, der kræves for certificering. M&S-miljøet vil således være en »virtuel prøvebane« for DCAS-prøvning. |
|
c) |
M&S-værktøjskæderne kræver særlige valideringsscenarier og -parametre. Udvælgelsen af scenarier, der anvendes til validering, bør være tilstrækkelig til, at der er tillid til, at værktøjskæden vil fungere på samme måde i scenarier, der ikke er medtaget i valideringen. |
|
d) |
Fabrikanten bør fremlægge en liste over valideringsscenarier sammen med de dertil svarende begrænsninger for parameterbeskrivelserne. |
|
e) |
Systemgrænseanalysen er et afgørende input til at udlede krav, omfang og de virkninger, som skal tages i betragtning i forbindelse med M&S-værktøjskæden for at understøtte DCAS-valideringen. |
|
f) |
De parametre, der genereres for scenarierne, skal definere eksterne og iboende data for værktøjskæden og simuleringsmodellerne. |
3.5.5.
Kritikalitetsvurdering
3.5.5.1.
De simuleringsmodeller og simuleringsværktøjer, der anvendes i den overordnede værktøjskæde, bør undersøges med hensyn til deres virkning i tilfælde af en sikkerhedsfejl i slutproduktet. Den foreslåede tilgang til kritikalitetsanalyse er afledt af ISO 26262, som kræver, at nogle af de værktøjer, der anvendes i udviklingsprocessen, kvalificeres. For at udlede, hvor kritiske de simulerede data er, tages der i kritikalitetsvurderingen hensyn til følgende parametre:|
a) |
konsekvenserne for menneskers sikkerhed, f.eks. alvorlighedsklasser i ISO 26262 |
|
b) |
i hvor høj grad M&S-værktøjskædens resultater påvirker DCAS |
3.5.5.2.
Tabellen nedenfor indeholder et eksempel på et kritikalitetsvurderingsskema til at demonstrere en sådan analyse. Fabrikanten må justere skemaet efter sine specifikke behov.Tabel A5/1
Kritikalitetsvurderingsskema
|
Indflydelse på DCAS |
Betydelig |
Ikke relevant |
|
|
|
|
Moderat |
|
|
|
||
|
Mindre |
|
|
|
|
|
|
Ubetydelig |
|
|
Ikke relevant |
||
|
|
Ubetydelig |
Mindre |
Moderat |
Betydelig |
|
|
Konsekvens af beslutningen |
|||||
3.5.5.3.
Med hensyn til kritikalitetsvurderingen er der tre mulige vurderingsscenarier:|
a) |
modeller eller værktøjer, der er klare kandidater til at følge en fuld troværdighedsvurderingen |
|
b) |
modeller eller værktøjer, der eventuelt er kandidater til at følge en fuld troværdighedsvurdering efter assessors skøn |
|
c) |
modeller eller værktøjer, der ikke er forpligtet til at følge troværdighedsvurderingen. |
3.6.
Verifikation
3.6.1.
Verifikation af M&S omhandler analyse af den korrekte gennemførelse af de konceptuelle og matematiske modeller til at skabe og opbygge den overordnede værktøjskæde. Verifikation bidrager til at øge M&S-troværdigheden ved at give sikkerhed for, at de individuelle værktøjer ikke vil udvise urealistisk opførsel ved en række input, der ikke kan prøves. Proceduren er baseret på en flertrinstilgang, som er beskrevet nedenfor, og som omfatter kodeverifikation, verifikation af beregning og følsomhedsanalyse.
3.6.2.
Kodeverifikation
3.6.2.1.
Kodeverifikationen omhandler gennemførelse af prøvninger, der viser, at de virtuelle modeller ikke er påvirket af numeriske eller logiske fejl.|
a) |
Fabrikanten bør dokumentere gennemførelsen af korrekte kodeverifikationsteknikker, f.eks. statisk/dynamisk kodeverifikation, konvergensanalyse og sammenligning med nøjagtige løsninger, hvis relevant (1). |
|
b) |
Fabrikanten bør fremlægge dokumentation for, at udforskningen af inputparametrene var tilstrækkelig bred til at identificere de parameterkombinationer, hvor M&S-værktøjerne udviser ustabil eller urealistisk opførsel. Dækningsparametre for parameterkombinationer kan anvendes til at påvise den krævede udforskning af modellernes opførsel. |
|
c) |
Fabrikanten bør indføre procedurer for kontrol af kohærens/overensstemmelse, når dataene giver grundlag herfor. |
3.6.3.
Verifikation af beregning
3.6.3.1.
Verifikation af beregning involverer estimationen af numeriske fejl, der påvirker M&S.|
a) |
Fabrikanten bør dokumentere numeriske fejlskøn (f.eks. diskretioneringsfejl, afrundingsfejl, konvergens mellem iterative procedurer). |
|
b) |
De numeriske fejl bør holdes tilstrækkelig begrænsede til, at valideringen ikke påvirkes. |
3.6.4.
Følsomhedsanalyse
3.6.4.1.
Følsomhedsanalysen har til formål at kvantificere, hvordan modellens outputværdier påvirkes af ændringer i modellens inputværdier, og dermed at identificere de parametre, der har den største indvirkning på simuleringsmodellens resultater. Følsomhedsanalysen giver også mulighed for at fastslå, i hvilket omfang simuleringsmodellen opfylder valideringstærsklerne, når der er små variationer i parametrene, og den spiller således en afgørende rolle i at bidrage til simuleringsresultaternes troværdighed.|
a) |
Fabrikanten bør fremlægge dokumentation for, at de mest kritiske parametre, der påvirker simuleringsoutputtet, er blevet identificeret ved hjælp af følsomhedsanalyseteknikker, f.eks. ved at forstyrre modellens parametre |
|
b) |
Fabrikanten bør påvise, at der er anvendt robuste kalibreringsprocedurer, og at disse har identificeret og kalibreret de mest kritiske parametre, som fører til en forøgelse af den udviklede værktøjskædes troværdighed. |
|
c) |
I sidste ende vil følsomhedsanalyseresultaterne også bidrage til at definere de input og parametre, hvor der skal være særlig fokus på karakteriseringen af usikkerhed for at karakterisere usikkerheden i simuleringsresultaterne korrekt. |
3.6.5.
Validering
3.6.5.1.
Den kvantitative proces til bestemmelse af, i hvilket omfang en model eller en simulering er en nøjagtig gengivelse af de faktiske forhold set i forhold til de påtænkte anvendelser af M&S. Det anbefales, at der tages hensyn til følgende elementer ved vurdering af en models eller simulerings gyldighed:
3.6.5.2.
Mål for ydeevne (parametre)|
a) |
Mål for ydeevnen er parametre, som anvendes til at sammenligne DCAS' ydeevne i en virtuel test med dets ydeevne under faktiske forhold. Målene for ydeevnen defineres i forbindelse med M&S-analysen. |
|
b) |
Valideringsparametre kan omfatte:
|
3.6.5.3.
Hensigtsmæssighed af passende foranstaltninger|
a) |
Den analytiske ramme, der anvendes til at sammenligne parametrene for faktiske forhold og simuleringer, er generelt udarbejdet som nøgleresultatindikatorer (KPI'er), der angiver den statistiske sammenlignelighed mellem de to datasæt. |
|
b) |
Valideringen bør vise, at disse KPI'er er opfyldt. |
3.6.5.4.
Valideringsmetode|
a) |
Fabrikanten bør definere de logiske scenarier anvendt i valideringen af den virtuelle prøvning af værktøjskæder. De bør i videst muligt omfang kunne dække systemgrænserne for virtuel prøvning med henblik på DCAS-validering. |
|
b) |
Den nøjagtige metode afhænger af værktøjskædens struktur og formål. Valideringen kan bestå af en eller flere af følgende valideringer:
|
3.6.5.5.
Nøjagtighedskrav
3.6.5.5.1.
Kravene til korrelationstærsklen defineres i forbindelse med M&S-analysen. Valideringen bør vise, at disse KPI'er er opfyldt, idet korrelationsmetodologierne anvendes.
3.6.5.6.
Valideringsomfang (hvilken del af værktøjskæden, der skal valideres)
3.6.5.6.1.
En værktøjskæde består af flere værktøjer, og hvert værktøj anvender adskillige modeller. Valideringsomfanget omfatter alle værktøjer og de relevante modeller.
3.6.5.7.
Interne valideringsresultater|
a) |
Dokumentationen bør ikke kun dokumentere M&S-valideringen, men bør også give tilstrækkelige oplysninger om de processer og produkter, der dokumenterer den anvendte værktøjskædes overordnede troværdighed. |
|
b) |
Dokumentation/resultater kan overføres fra tidligere troværdighedsvurderinger. |
3.6.5.8.
Uafhængig validering af resultater
3.6.5.8.1.
Assessoren bør foretage en audit af den dokumentation, som fabrikanten har fremlagt, og kan udføre prøvninger af det komplette integrerede værktøj. Hvis outputtet af de virtuelle prøvninger ikke i tilstrækkelig grad gengiver outputtet af fysiske prøvninger, kan assessor anmode om, at de virtuelle og/eller fysiske prøvninger gentages. Resultatet af prøvningerne skal gennemses og eventuelle afvigelser i resultaterne bør gennemses med fabrikanten. Der skal i tilstrækkelig grad gøres rede for, hvorfor prøvningsmetoderne gav anledning til afvigelser i resultaterne.
3.6.5.9.
Karakterisering af usikkerhed
3.6.5.9.1.
I dette afsnit beskrives den forventede variation i resultaterne af den virtuelle værktøjskæde. Vurderingen bør bestå af to faser. I den første fase anvendes de oplysninger, der er indsamlet i afsnittet »M&S-analyse og -beskrivelse« og »Data-/inputkilde«, til at karakterisere usikkerheden i inputdataene, i modelparametrene og i modelleringsstrukturen. Ved at udbrede alle usikkerhederne gennem den virtuelle værktøjskæde kvantificeres usikkerheden i modelresultaterne. Afhængigt af usikkerheden i modelresultaterne skal DCAS-fabrikanten indføre passende sikkerhedsmargener ved brug af virtuel prøvning som en del af DCAS-valideringen.
3.6.5.9.2.
Karakterisering af usikkerheden i inputdataeneDCAS-fabrikanten bør påvise, at denne har estimeret modellens kritiske input korrekt ved brug af robuste teknikker, som f.eks. ved at foretage flere gentagelser ved sin vurdering.
3.6.5.9.3.
Karakterisering af usikkerheden i modelparametrene (efter kalibrering)Fabrikanten bør påvise, at når en models kritiske parametre ikke fuldt ud kan fastslås, karakteriseres de ved en fordeling og/eller konfidensintervaller.
3.6.5.9.4.
Karakterisering af usikkerheden i M&S-strukturenFabrikanten bør dokumentere, at modelleringsantagelserne omfatter en kvantitativ karakterisering ved at vurdere den genererede usikkerhed (f.eks. ved at sammenligne resultaterne af forskellige modelleringstilgange, når det er muligt).
3.6.5.9.5.
Karakterisering af aleatorisk vs. epistemisk usikkerhedFabrikanten bør sigte mod at skelne mellem den aleatoriske komponent i usikkerheden (som kun kan estimeres, men ikke reduceres) og den epistemiske usikkerhed som følger af den manglende viden om virtualisering af processen.
4.
Dokumentationsstruktur
4.1.
I dette afsnit defineres det, hvordan ovennævnte oplysninger skal indsamles og organiseres i den dokumentation, som fabrikanten skal forelægge den relevante myndighed.|
a) |
Fabrikanten bør udarbejde et dokument (en »simuleringshåndbog«), der er struktureret ved hjælp af denne oversigt, for at dokumentere de fremlagte emner. |
|
b) |
Dokumentationen bør fremlægges sammen med den tilsvarende version af værktøjskæden og hensigtsmæssige understøttende data. |
|
c) |
Fabrikanten bør angive en klar reference, der giver mulighed for at spore dokumentationen til de tilsvarende dele af værktøjskæden og dataene. |
|
d) |
Dokumentationen bør vedligeholdes i hele værktøjskædens livscyklus. Assessoren kan foretage en audit af fabrikanten ved vurdering af dennes dokumentation og/eller ved udførelse af fysiske prøvninger. |
(1) Roy, C. J. (2005). »Review of code and solution verification procedures for computational simulation«. Journal of Computational Physics, 205(1), 131-156.
ELI: http://data.europa.eu/eli/reg/2024/2689/oj
ISSN 1977-0634 (electronic edition)