26.8.2022 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 221/1 |
REGOLAMENTO DI ESECUZIONE (UE) 2022/1426 DELLA COMMISSIONE
del 5 agosto 2022
recante modalità di applicazione del regolamento (UE) 2019/2144 del Parlamento europeo e del Consiglio per quanto riguarda procedure e specifiche tecniche uniformi per l’omologazione del sistema di guida automatizzata di veicoli completamente automatizzati
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea,
visto il regolamento (UE) 2019/2144 del Parlamento europeo e del Consiglio, del 27 novembre 2019, relativo ai requisiti di omologazione dei veicoli a motore e dei loro rimorchi, nonché di sistemi, componenti ed entità tecniche destinati a tali veicoli, per quanto riguarda la loro sicurezza generale e la protezione degli occupanti dei veicoli e degli altri utenti vulnerabili della strada, che modifica il regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio e abroga i regolamenti (CE) n. 78/2009, (CE) n. 79/2009 e (CE) n. 661/2009 del Parlamento europeo e del Consiglio e i regolamenti (CE) n. 631/2009, (UE) n. 406/2010, (UE) n. 672/2010, (UE) n. 1003/2010,(UE) n. 1005/2010, (UE) n. 1008/2010, (UE) n. 1009/2010, (UE) n. 19/2011,(UE) n. 109/2011, (UE) n. 458/2011, (UE) n. 65/2012, (UE) n. 130/2012,(UE) n. 347/2012, (UE) n. 351/2012, (UE) n. 1230/2012 e (UE) 2015/166 della Commissione (1), in particolare l’articolo 11, paragrafo 2,
considerando quanto segue:
(1) |
È necessario adottare la normativa di attuazione per l’omologazione del sistema di guida automatizzata dei veicoli completamente automatizzati, in particolare i sistemi di cui all’articolo 11, paragrafo 1, lettere a), b), d) e f), del regolamento (UE) 2019/2144. I sistemi di monitoraggio della disponibilità del conducente non dovrebbero applicarsi ai veicoli completamente automatizzati conformemente all’articolo 11, paragrafo 1, del regolamento (UE) 2019/2144. Inoltre i formati armonizzati per lo scambio di dati, ad esempio per la guida in convoglio (platooning) di veicoli di marche diverse, è ancora soggetto ad attività di normazione e non va incluso, in questa fase, nel presente regolamento. Infine, l’omologazione dei sistemi di guida automatizzata dei veicoli automatizzati non dovrebbe rientrare nell’ambito di applicazione del presente regolamento in quanto dovrebbe essere disciplinata con riferimento al regolamento UNECE n. 157 sul sistema automatizzato di mantenimento della corsia (2) di cui all’allegato I del regolamento (UE) 2019/2144 che elenca i regolamenti UNECE la cui applicazione è obbligatoria nell’UE. |
(2) |
Per l’omologazione globale di un tipo di veicolo di veicoli completamente automatizzati, l’omologazione del loro sistema di guida automatizzata a norma del presente regolamento dovrebbe essere integrata dalle prescrizioni di cui all’allegato II, parte I, appendice 1, del regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio (3). Nella fase successiva la Commissione continuerà a lavorare per sviluppare ulteriormente e adottare entro luglio 2024 le necessarie prescrizioni per omologazione globale UE di un tipo di veicolo di veicoli totalmente automatizzati prodotti in serie illimitata. |
(3) |
La valutazione del sistema di guida automatizzata di veicoli completamente automatizzati, come proposta dal presente regolamento, dipende fortemente dagli scenari di traffico rilevanti per i diversi casi d’uso dei veicoli completamente automatizzati. È di conseguenza necessario definire tali diversi casi d’uso. È opportuno effettuare periodicamente il riesame di tali casi d’uso, e, se necessario, modificarli, affinché siano contemplati altri casi d’uso. |
(4) |
La scheda informativa, di cui all’articolo 24, paragrafo 1, lettera a), del regolamento (UE) 2018/858, che il costruttore deve fornire per l’omologazione del sistema di guida automatizzata dei veicoli completamente automatizzati dovrebbe essere basata sul modello previsto per l’omologazione globale del veicolo, di cui all’allegato II del regolamento di esecuzione (UE) 2020/683 della Commissione (4). Al fine di garantire un approccio coerente, è tuttavia necessario estrarre le voci della scheda informativa pertinenti per l’omologazione del sistema di guida automatizzata del veicolo completamente automatizzato. |
(5) |
Data la complessità dei sistemi di guida automatizzata, è necessario integrare i requisiti di prestazione e le prove previsti dal presente regolamento con la documentazione del costruttore che dimostra che il sistema di guida automatizzata non presenta rischi irragionevoli per la sicurezza degli occupanti del veicolo e degli altri utenti della strada negli scenari pertinenti e nel corso della sua durata di vita. Al riguardo, è necessario definire il sistema di gestione della sicurezza che deve essere messo in atto dai costruttori, fissare per i costruttori e le autorità i parametri da utilizzare per gli scenari di traffico pertinenti per il sistema di guida automatizzata, stabilire i criteri per valutare se il concetto di sicurezza del costruttore affronta gli scenari di traffico, i pericoli e i rischi pertinenti, nonché definire i criteri per valutare i risultati di convalida del costruttore, in particolare i risultati di convalida delle catene degli strumenti virtuali. Infine è necessario specificare i dati pertinenti generati durante l’uso che devono essere comunicati dal costruttore alle autorità di omologazione. |
(6) |
Il certificato di omologazione UE e il suo addendum, di cui all’articolo 28, paragrafo 1, del regolamento (UE) 2018/858, da rilasciare per il sistema di guida automatizzata del veicolo completamente automatizzato dovrebbe basarsi sul modello corrispondente di cui all’allegato III del regolamento di esecuzione (UE) 2020/683. Al fine di garantire un approccio coerente, è tuttavia necessario estrarre le voci del certificato di omologazione UE e del suo addendum pertinenti per l’omologazione del sistema di guida automatizzata del veicolo completamente automatizzato. |
(7) |
Fatte salve le disposizioni del regolamento (UE) 2018/858 e di ogni pertinente normativa dell’UE, il presente regolamento non pregiudica il diritto degli Stati membri di disciplinare la circolazione e la sicurezza di funzionamento dei veicoli completamente automatizzati nel traffico e la sicurezza di funzionamento di tali veicoli nei servizi di trasporto locale. Gli Stati membri non sono obbligati a predefinire aree, itinerari o parcheggi a norma del presente regolamento. I veicoli a motore disciplinati dal presente regolamento possono essere utilizzati soltanto nell’ambito di applicazione dell’articolo 1. |
(8) |
Le misure di cui al presente regolamento sono conformi al parere del Comitato tecnico — Veicoli a motore, |
HA ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
Ambito di applicazione
Il presente regolamento si applica all’omologazione di veicoli completamente automatizzati appartenenti alle categorie M e N, per quanto riguarda il loro sistema di guida automatizzata, per i seguenti casi d’uso:
a) |
veicoli completamente automatizzati, compresi i veicoli dual mode, progettati e costruiti per il trasporto di passeggeri o di merci in un’area predefinita; |
b) |
«hub-to-hub»: veicoli completamente automatizzati, compresi i veicoli dual mode, progettati e costruiti per il trasporto di passeggeri o di merci su un percorso predefinito con punti di partenza e di arrivo fissi di un viaggio/percorso; |
c) |
«parcheggio con servizio automatizzato di ritiro e riconsegna dei veicoli»: veicoli dual mode con modalità di guida completamente automatizzata per applicazioni di parcheggio all’interno di parcheggi predefiniti. Il sistema può utilizzare o meno infrastrutture esterne (ad esempio marcatori di posizione, sensori di percezione ecc.) del parcheggio per svolgere l’attività di guida dinamica. |
Il costruttore può richiedere l’omologazione individuale o l’omologazione a norma del presente regolamento del sistema di guida automatizzata dei veicoli di cui all’articolo 2, paragrafo 3, del regolamento (UE) 2018/858, a condizione che tali veicoli soddisfino i requisiti del presente regolamento.
Articolo 2
Definizioni
Oltre alle definizioni di cui al regolamento (UE) 2018/858 e al regolamento (UE) 2019/2144, ai fini del presente regolamento si applicano le definizioni seguenti:
1) |
«sistema di guida automatizzata» (ADS, Automated Driving System): l’hardware e il software che sono collettivamente in grado di eseguire l’intera attività di guida dinamica del veicolo completamente automatizzato su base continuativa in un ambito di impiego previsto (ODD, Operational Design Domain); |
2) |
«caratteristica del sistema di guida automatizzata»: un’applicazione dell’hardware e del software del sistema di guida automatizzata progettata per un uso specifico all’interno di un ambito di impiego previsto; |
3) |
«funzione del sistema di guida automatizzata»: un’applicazione di hardware e software del sistema di guida automatizzata progettata per eseguire una parte specifica dell’attività di guida dinamica; |
4) |
«attività di guida dinamica»: tutte le funzioni operative in tempo reale e le funzioni tattiche necessarie per il funzionamento del veicolo, escluse le funzioni strategiche quali la programmazione del percorso e la selezione di destinazioni e punti di passaggio, e incluse quanto meno le sottoattività seguenti:
|
5) |
«funzioni operative» dell’attività di guida dinamica: funzioni erogate su una costante di tempo di millisecondi e comprendenti compiti quali comandi di sterzata per mantenersi all’interno di una corsia o frenate per evitare un pericolo incombente; |
6) |
«funzioni tattiche» dell’attività di guida dinamica: funzioni erogate in una costante di tempo di secondi e comprendenti compiti quali la scelta della corsia, l’accettazione della distanza e il sorpasso; |
7) |
«guasto»: una condizione anomala che può causare un’avaria e che può riguardare componenti hardware o software; |
8) |
«avaria»: la cessazione di un comportamento previsto di un componente o di un sistema del sistema di guida automatizzata a causa del verificarsi di un guasto; |
9) |
«monitoraggio in servizio»: dati raccolti dal costruttore e dati provenienti da altre fonti, per comprovare le prestazioni di sicurezza in servizio del sistema di guida automatizzata sul campo; |
10) |
«segnalazioni in servizio»: dati comunicati dal costruttore per dimostrare le prestazioni di sicurezza in servizio del sistema di guida automatizzata sul campo; |
11) |
«durata di vita del sistema di guida automatizzata»: il periodo di tempo durante il quale il sistema di guida automatizzata è disponibile sul veicolo; |
12) |
«ciclo di vita del sistema di guida automatizzata»: il periodo di tempo che comprende le fasi di progettazione, sviluppo, produzione, funzionamento sul campo, manutenzione e riparazione e smantellamento; |
13) |
«malfunzionamento»: un’avaria o un comportamento imprevisto di un componente o di un sistema del sistema di guida automatizzata rispetto al suo intento progettuale; |
14) |
«manovra di minimizzazione del rischio»: una manovra volta a ridurre al minimo i rischi nel traffico arrestando il veicolo in condizioni di sicurezza (ossia condizioni di rischio minimo); |
15) |
«condizione di rischio minimo»: uno stato stabile del veicolo fermo che riduce il rischio di un incidente; |
16) |
«ambito di impiego previsto»: condizioni operative nelle quali un determinato sistema di guida automatizzata è specificamente progettato per funzionare, incluse, a titolo esemplificativo ma non esaustivo, restrizioni ambientali, geografiche e legate all’ora del giorno e/o la presenza o assenza obbligatoria di determinate caratteristiche del traffico o della carreggiata; |
17) |
«rilevamento di oggetti ed eventi e relativa risposta»: le sottoattività dell’attività di guida dinamica che comprendono il monitoraggio dell’ambiente di guida e l’esecuzione di una risposta adeguata, tra cui il rilevamento, il riconoscimento e la classificazione di oggetti ed eventi, nonché la preparazione e l’esecuzione delle risposte necessarie. |
18) |
«scenario»: una sequenza o una combinazione di situazioni utilizzata per valutare i requisiti di sicurezza di un sistema di guida automatizzata; |
19) |
«scenari nominali di traffico»: situazioni ragionevolmente prevedibili incontrate dal sistema di guida automatizzata quando opera all’interno del suo ambito di impiego previsto. Tali scenari rappresentano le interazioni non critiche del sistema di guida automatizzata con altri partecipanti al traffico e generano il funzionamento normale di tale sistema; |
20) |
«scenari critici»: scenari relativi a casi limite (ad esempio condizioni impreviste il cui verificarsi è scarsamente probabile) e insufficienze operative, non limitati alle condizioni del traffico ma che includono anche le condizioni ambientali (ad esempio pioggia battente o luce solare bassa che crea riverbero sulle telecamere), fattori umani, connettività ed errori di comunicazione che portano al funzionamento di emergenza del sistema di guida automatizzata; |
21) |
«scenari di avaria»: scenari relativi a un’avaria del sistema di guida automatizzata e/o di componenti del veicolo che possono portare al funzionamento normale o di emergenza del sistema di guida automatizzata a seconda del fatto che il livello minimo di sicurezza sia preservato o meno; |
22) |
«funzionamento normale»: il funzionamento del sistema di guida automatizzata entro le condizioni e i limiti operativi specificati per l’esecuzione dell’attività progettata; |
23) |
«funzionamento di emergenza»: il funzionamento del sistema di guida automatizzata dovuto al verificarsi di eventi che richiedono un’azione tempestiva per attenuare conseguenze negative sulla salute umana o danni alla proprietà; |
24) |
«operatore di bordo»: ove applicabile al principio di sicurezza del sistema di guida automatizzata, una persona che si trova all’interno del veicolo completamente automatizzato che può:
Nelle situazioni di cui sopra, l’operatore di bordo non guida il veicolo completamente automatizzato e il sistema di guida automatizzata continua a svolgere l’attività di guida dinamica; |
25) |
«operatore per interventi da remoto»: ove applicabile al principio di sicurezza del sistema di guida automatizzata, la persona o le persone che si trovano all’esterno del veicolo completamente automatizzato e possono svolgere da remoto i compiti dell’operatore di bordo, a condizione che sia possibile farlo in sicurezza. L’operatore per interventi da remoto non guida il veicolo completamente automatizzato e il sistema di guida automatizzata continua a svolgere l’attività di guida dinamica; |
26) |
«capacità da remoto»: capacità progettate specificamente per sostenere l’intervento a distanza; |
27) |
«R2022/1426 numero di identificazione del software (R2022/1426SWIN)»: un identificatore specifico, definito dal costruttore, associato alle informazioni sul software indicato per l’omologazione del sistema di guida automatizzata, che è parte integrante delle caratteristiche rilevanti per l’omologazione del sistema di guida automatizzata; |
28) |
«rischio irragionevole»: il livello complessivo di rischio per gli occupanti del veicolo e gli altri utenti della strada, che è superiore rispetto a un veicolo a guida manuale in situazioni e servizi di trasporto comparabili nel contesto dell’ambito di impiego previsto; |
29) |
«sicurezza funzionale»: l’assenza di rischi irragionevoli al verificarsi di pericoli causati da un malfunzionamento; |
30) |
«sicurezza operativa»: l’assenza di rischi irragionevoli qualora si verifichino pericoli derivanti da insufficienze funzionali della funzionalità prevista (ad esempio errato/mancato rilevamento), perturbazioni operative (ad esempio fattori ambientali quali nebbia o pioggia, ombre, luce solare, infrastrutture ecc.) o causati da un uso improprio/errori ragionevolmente prevedibili da parte degli occupanti del veicolo e di altri utenti della strada (ossia pericoli per la sicurezza in assenza di guasti del sistema); |
31) |
«strategia di controllo»: una strategia volta a garantire un funzionamento corretto e sicuro del sistema di guida automatizzata in risposta a una serie specifica di condizioni ambientali e/o operative (quali condizioni del fondo stradale, altri utenti della strada, condizioni meteorologiche avverse, rischio di collisione imminente, avarie, raggiungimento dei limiti dell’ambito di impiego previsto ecc.). Possono rientrare in tale contesto limitazioni temporanee delle prestazioni (ad esempio una riduzione della velocità operativa massima ecc.), manovre di minimizzazione del rischio, prevenzione o attenuazione delle collisioni, intervento da remoto ecc. |
32) |
«tempo mancante alla collisione» (TTC, Time to Collision): il lasso di tempo che trascorre prima che si verifichi una collisione tra veicoli/oggetti/soggetti coinvolti se le loro velocità non cambiano e tenendo conto dei rispettivi percorsi. Per situazioni longitudinali pure a velocità costante, salvo diversamente specificato nel testo, tale valore è ottenuto dividendo la distanza longitudinale (rispetto alla direzione di marcia del veicolo di prova) tra il veicolo di prova e gli altri veicoli/oggetti/soggetti per la velocità longitudinale relativa del veicolo di prova e degli altri veicoli/oggetti/soggetti. Per situazioni che prevedono un incrocio di traiettorie a velocità costante, salvo diversamente specificato nel testo, tale valore è ottenuto dividendo la distanza longitudinale tra il veicolo di prova e la linea laterale di movimento degli altri veicoli/oggetti/soggetti per la velocità longitudinale del veicolo di prova; |
33) |
«tipo di veicolo per quanto riguarda il sistema di guida automatizzata»: veicoli completamente automatizzati che non differiscono fra loro relativamente ad aspetti essenziali quali:
|
34) |
«veicoli dual mode»: veicoli completamente automatizzati, dotati di sedile del conducente, progettati e costruiti:
Per i veicoli dual mode, sia il passaggio dalla modalità di guida manuale alla modalità completamente automatizzata sia il passaggio dalla modalità completamente automatizzata alla modalità manuale possono avvenire soltanto quando il veicolo è fermo e non quando il veicolo è in movimento; |
35) |
«operatore di servizi di trasporto»: il soggetto che fornisce un servizio di trasporto utilizzando uno o più veicoli completamente automatizzati. |
Articolo 3
Disposizioni amministrative e specifiche tecniche per l’omologazione del sistema di guida automatizzata dei veicoli completamente automatizzati
1. Le voci pertinenti della scheda informativa, presentata a norma dell’articolo 24, paragrafo 1, lettera a), del regolamento (UE) 2018/858 insieme alla domanda di omologazione del sistema di guida automatizzata di un veicolo completamente automatizzato, contengono le informazioni pertinenti per tale sistema quali indicate nell’allegato I.
2. L’omologazione dei sistemi di guida automatizzata dei veicoli completamente automatizzati è soggetta alle specifiche tecniche di cui all’allegato II. Tali specifiche sono valutate dalle autorità di omologazione o dai loro servizi tecnici conformemente all’allegato III.
3. Il certificato di omologazione UE per un tipo del sistema di guida automatizzata di un veicolo completamente automatizzato, di cui all’articolo 28, paragrafo 1, del regolamento (UE) 2018/858, è redatto in conformità all’allegato IV.
Articolo 4
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 5 agosto 2022
Per la Commissione
La presidente
Ursula VON DER LEYEN
(1) GU L 325 del 16.12.2019, pag. 1.
(2) GU L 82 del 9.3.2021, pag. 75.
(3) Regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio, del 30 maggio 2018, relativo all’omologazione e alla vigilanza del mercato dei veicoli a motore e dei loro rimorchi, nonché dei sistemi, dei componenti e delle entità tecniche indipendenti destinati a tali veicoli, che modifica i regolamenti (CE) n. 715/2007 e (CE) n. 595/2009 e abroga la direttiva 2007/46/CE (GU L 151 del 14.6.2018, pag. 1).
(4) Regolamento di esecuzione (UE) 2020/683 della Commissione, del 15 aprile 2020, che attua il regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio per quanto riguarda le prescrizioni amministrative per l’omologazione e la vigilanza del mercato dei veicoli a motore e dei loro rimorchi, nonché dei sistemi, dei componenti e delle entità tecniche indipendenti destinati a tali veicoli (GU L 163 del 26.5.2020, pag. 1).
ALLEGATO I
Scheda informativa per l’omologazione UE di veicoli completamente automatizzati per quanto riguarda il loro sistema di guida automatizzata
MODELLO
Scheda informativa n. … relativa all’omologazione UE di un tipo di veicolo completamente automatizzato per quanto riguarda il sistema di guida automatizzata (ADS).
Le seguenti informazioni vanno fornite in triplice copia e devono comprendere un indice. I disegni o le immagini devono essere forniti in scala adeguata ed essere sufficientemente dettagliati, in formato A4 o in un pieghevole di tale formato. Eventuali fotografie devono mostrare sufficienti dettagli.
0. |
DATI GENERALI |
0.1. |
Marca (denominazione commerciale del costruttore): |
0.2. |
Tipo: |
0.2.1. |
Eventuali denominazioni commerciali: |
0.2.2 |
Per i veicoli omologati in più fasi, documentazione di omologazione del veicolo nella fase iniziale/precedente, con elenco delle informazioni per ciascuna fase (si può usare una matrice).
Tipo: Variante o varianti: Versione o versioni: Numero del certificato di omologazione, comprensivo dell’estensione numero … |
0.3. |
Mezzi di identificazione del tipo, se marcati sul veicolo/sul componente/sull’entità tecnica indipendente: |
0.3.1. |
Posizione della marcatura: |
0.4. |
Categoria del veicolo: |
0.5. |
Denominazione e indirizzo del costruttore: |
0.5.1 |
Per i veicoli omologati in più fasi, denominazione e indirizzo del costruttore del veicolo nella fase o nelle fasi iniziali/precedenti: … |
0.6 |
Posizione e modalità di fissaggio delle targhette regolamentari e posizione del numero di identificazione del veicolo: … |
0.6.1. |
Sul telaio: … |
0.6.2. |
Sulla carrozzeria: … |
0.8. |
Denominazione/i e indirizzo/i dello/degli stabilimento/i di montaggio: |
0.9. |
Nome e indirizzo dell’eventuale rappresentante del costruttore: |
17. |
SISTEMA DI GUIDA AUTOMATIZZATA (ADS) |
17.1. |
Descrizione generale del sistema di guida automatizzata: |
17.1.1. |
Ambito di impiego previsto/condizioni limite: |
17.1.2. |
Prestazioni di base (ad esempio rilevamento di oggetti ed eventi e relativa risposta, pianificazione ecc.) |
17.2. |
Descrizione delle funzioni del sistema di guida automatizzata |
17.2.1. |
Funzioni principali del sistema di guida automatizzata (architettura funzionale) |
17.2.1.1. |
Funzioni interne al veicolo |
17.2.1.2. |
Funzioni esterne al veicolo (ad esempio back-end, infrastruttura esterna necessaria, misure operative necessarie) |
17.3. |
Panoramica dei componenti principali del sistema di guida automatizzata |
17.3.1. |
Centraline |
17.3.2. |
Sensori e relativo montaggio sul veicolo |
17.3.3. |
Attuatori |
17.3.4. |
Mappe e posizionamento |
17.3.5. |
Altro hardware |
17.4. |
Configurazione e schemi del sistema di guida automatizzata |
17.4.1. |
Configurazione schematica del sistema (ad esempio schema a blocchi) |
17.4.2. |
Elenco e schema generale delle interconnessioni |
17.5. |
Specifiche |
17.5.1. |
Specifiche in condizioni di funzionamento normali |
17.5.2. |
Specifiche in condizioni di funzionamento di emergenza |
17.5.3. |
Criteri di accettabilità |
17.5.4 |
Dimostrazione della conformità |
17.6. |
Principio di sicurezza |
17.6.1. |
Dichiarazione del costruttore attestante che il veicolo non comporta rischi irragionevoli |
17.6.2. |
Descrizione dell’architettura del software (ad esempio schema a blocchi) |
17.6.3. |
Mezzi per la determinazione dell’attuazione della logica del sistema di guida automatizzata |
17.6.4. |
Spiegazione generale delle disposizioni principali integrate progettualmente nel sistema di guida automatizzata per la sicurezza del funzionamento in condizioni di guasto, in presenza di perturbazioni del funzionamento e di condizioni che andrebbero oltre l’ambito di impiego previsto |
17.6.5 |
Descrizione generale dei principi fondamentali di gestione delle avarie e della strategia del livello di ripiego, compresa la strategia di attenuazione dei rischi (manovra di minimizzazione del rischio) |
17.6.6. |
Condizioni per l’invio di una richiesta all’operatore di bordo o all’operatore per interventi da remoto |
17.6.7. |
Concetto di interazione uomo-macchina con occupanti del veicolo, operatore di bordo e operatore per interventi da remoto, compresa la protezione dall’attivazione/il funzionamento semplice non autorizzata/o e da interventi sul sistema |
17.7. |
Verifica e convalida da parte del costruttore dei requisiti prestazionali per il rilevamento di oggetti ed eventi e la relativa risposta, l’interfaccia uomo-macchina, il rispetto del codice della strada e la conclusione secondo la quale il sistema è progettato in maniera da non comportare rischi irragionevoli per gli occupanti del veicolo e gli altri utenti della strada: |
17.7.1. |
Descrizione dell’approccio adottato |
17.7.2. |
Selezione degli scenari nominali, critici e di avaria |
17.7.3. |
Descrizione dei metodi e degli strumenti utilizzati (software, laboratorio, altro) e sintesi della valutazione della credibilità |
17.7.4. |
Descrizione dei risultati |
17.7.5. |
Incertezza dei risultati |
17.7.6. |
Interpretazione dei risultati |
17.7.7. |
Dichiarazione del costruttore:
Il costruttore/I costruttori … dichiara/dichiarano che il sistema di guida automatizzata non presenta rischi irragionevoli per la sicurezza degli occupanti del veicolo e gli altri utenti della strada. |
17.8. |
Elementi di dati del sistema di guida automatizzata |
17.8.1. |
Tipologia di dati archiviati |
17.8.2. |
Luogo di archiviazione |
17.8.3. |
Eventi registrati ed elementi di dati |
17.8.4. |
Mezzi per garantire la sicurezza e la protezione dei dati |
17.8.5. |
Mezzi di accesso ai dati |
17.9. |
Cibersicurezza e aggiornamenti del software |
17.9.1. |
Numero di omologazione per la cibersicurezza: |
17.9.2. |
Numero del certificato di conformità del sistema di gestione della cibersicurezza: |
17.9.3. |
Numero di omologazione per gli aggiornamenti del software: |
17.9.4. |
Numero del certificato di conformità del sistema di gestione degli aggiornamenti del software |
17.9.5. |
Identificazione del software del sistema di guida automatizzata |
17.9.5.1. |
Informazioni sulle modalità di lettura dell’RxSWIN o delle versioni del software nel caso in cui l’RxSWIN non sia salvato nel veicolo |
17.9.5.2. |
Se del caso, elenco dei parametri che consentono l’identificazione dei veicoli aggiornabili con il software rappresentato dall’RxSWIN di cui al punto 17.9.4.1 |
17.10. |
Manuale d’uso (da allegare alla scheda informativa) |
17.10.1. |
Descrizione funzionale del sistema di guida automatizzata e ruolo previsto del proprietario, dell’operatore di servizi di trasporto, dell’operatore di bordo, dell’operatore per interventi da remoto ecc. |
17.10.2. |
Misure tecniche per il funzionamento in sicurezza (ad esempio descrizione dell’infrastruttura esterna necessaria, tempistica, frequenza e schema degli interventi di manutenzione) |
17.10.3. |
Restrizioni operative e ambientali |
17.10.4. |
Misure operative (ad esempio se è necessario un operatore di bordo o un operatore per interventi da remoto) |
17.10.5. |
Istruzioni in caso di avarie e richiesta del sistema di guida automatizzata (misure di sicurezza da parte degli occupanti del veicolo, dell’operatore di servizi di trasporto, dell’operatore di bordo, dell’operatore per interventi da remoto e di autorità pubbliche, da adottarsi in caso di problemi di funzionamento) |
17.11. |
Mezzi per consentire i controlli tecnici periodici
Elenco di figure/tabelle Acronimi Allegato I — Manuale di simulazione Allegato II — Manuale d’uso Nota esplicativa La presente scheda informativa comprende le informazioni pertinenti per il sistema di guida automatizzata e deve essere compilata conformemente al modello di cui all’allegato I del regolamento di esecuzione (UE) 2020/683 della Commissione. |
ALLEGATO II
Requisiti di prestazione
1. Attività di guida dinamica in scenari nominali di traffico
1.1. |
Il sistema di guida automatizzata deve essere in grado di eseguire l’intera attività di guida dinamica. |
1.1.1. |
La capacità del sistema di guida automatizzata di eseguire l’intera attività di guida dinamica deve essere determinata nel contesto dell’ambito di impiego previsto del sistema di guida automatizzata. |
1.1.2. |
Nel contesto dell’attività di guida dinamica, il sistema di guida automatizzata deve essere in grado di:
|
1.1.3. |
Il sistema deve dimostrare un comportamento anticipatorio nell’interazione con altri utenti della strada, al fine di garantire un comportamento longitudinale stabile, a bassa dinamica e un comportamento che riduca al minimo i rischi quando situazioni critiche potrebbero diventare imminenti, ad esempio in presenza di utenti della strada vulnerabili (pedoni, ciclisti ecc.) con visuale libera od ostruita oppure in presenza di altri veicoli che attraversano la corsia di marcia o che si inseriscono davanti al veicolo completamente automatizzato. |
1.1.4. |
I requisiti relativi all’attività di guida dinamica devono essere soddisfatti in retromarcia qualora la retromarcia sia richiesta o dichiarata nell’ambito di impiego previsto. |
1.2 |
Il sistema di guida automatizzata rileva e risponde in modo adeguato a oggetti ed eventi rilevanti per l’attività di guida dinamica all’interno dell’ambito di impiego previsto.
Tra gli oggetti e gli eventi possono figurare, a titolo esemplificativo ma non esaustivo:
|
1.3. |
Il sistema di guida automatizzata deve rispettare il codice della strada del paese di utilizzo. |
1.3.1. |
Il sistema di guida automatizzata deve interagire in sicurezza con gli altri utenti della strada nel rispetto del codice della strada, ad esempio:
|
1.3.2. |
In assenza di un codice della strada specifico, i veicoli dotati di sistema di guida automatizzata destinati al trasporto di occupanti del veicolo in piedi o senza sistemi di trattenuta non devono superare un’accelerazione orizzontale combinata di 2,4 m/s2 (in valore assoluto e calcolato come combinazione di accelerazione laterale e longitudinale) e un tasso di variazione dell’accelerazione pari a 5 m/s3.
A seconda dei fattori che incidono sul rischio per gli occupanti e gli altri utenti della strada, potrebbe essere opportuno superare tali limiti, ad esempio in caso di funzionamento di emergenza. |
2. Attività di guida dinamica in scenari di traffico critici (funzionamento di emergenza).
2.1 |
Il sistema di guida automatizzata deve essere in grado di eseguire l’attività di guida dinamica per tutti gli scenari critici di traffico ragionevolmente prevedibili nell’ambito di impiego previsto. |
2.1.1. |
Il sistema di guida automatizzata deve essere in grado di rilevare il rischio di collisione con altri utenti della strada o un ostacolo che appare improvvisamente (detriti, carico perso) e deve essere in grado di attivare automaticamente il funzionamento di emergenza adeguato (frenata, sterzata di schivamento) per evitare collisioni ragionevolmente prevedibili e ridurre al minimo i rischi per la sicurezza degli occupanti del veicolo e degli altri utenti della strada. |
2.1.1.1. |
In caso di rischio alternativo inevitabile per la vita umana, il sistema di guida automatizzata non deve prevedere alcuna ponderazione sulla base delle caratteristiche personali degli esseri umani. |
2.1.1.2. |
La protezione di altre vite umane al di fuori del veicolo completamente automatizzato non deve essere subordinata alla protezione della vita umana all’interno di tale veicolo. |
2.1.2. |
La strategia di prevenzione/attenuazione dovrebbe tenere conto della vulnerabilità degli utenti della strada coinvolti. |
2.1.3. |
Dopo la manovra di schivamento il veicolo deve cercare di riprendere una posizione stabile, non appena ciò è tecnicamente possibile. |
2.1.4. |
Il segnale di attivazione delle luci di emergenza deve essere generato automaticamente in conformità con il codice della strada. Se il veicolo riparte in modo completamente automatizzato, il segnale di disattivazione delle luci di emergenza deve essere generato automaticamente. |
2.1.5. |
In caso di incidente stradale che coinvolge il veicolo completamente automatizzato, il sistema di guida automatizzata deve mirare ad arrestare il veicolo completamente automatizzato e a eseguire una manovra di minimizzazione del rischio per raggiungere la condizione di rischio minimo. La ripresa del funzionamento normale del sistema di guida automatizzata non deve essere possibile fino a quando la sicurezza dello stato operativo dei veicoli completamente automatizzati non sarà stata confermata da una serie di autoverifiche del sistema di guida automatizzata o/e dell’operatore di bordo (se del caso) o dell’operatore per interventi da remoto (se del caso). |
3. Attività di guida dinamica ai limiti dell’ambito di impiego previsto
3.1. |
Il sistema di guida automatizzata deve riconoscere le condizioni del proprio ambito di impiego previsto così come i limiti di tale ambito. |
3.1.1. |
Il sistema di guida automatizzata deve essere in grado di stabilire se le condizioni per la sua attivazione sono soddisfatte. |
3.1.2. |
Il sistema di guida automatizzata deve rilevare quando una o più condizioni dell’ambito di impiego previsto non sono soddisfatte o non sono più soddisfatte e rispondere di conseguenza. |
3.1.3. |
Il sistema di guida automatizzata deve essere in grado di prepararsi in anticipo per le uscite dall’ambito di impiego previsto. |
3.1.4. |
Le condizioni e i limiti dell’ambito di impiego previsto devono essere stabiliti dal costruttore. |
3.1.4.1. |
Le condizioni dell’ambito di impiego previsto che devono essere riconosciute dal sistema di guida automatizzata comprendono:
|
3.1.5. |
Quando raggiunge i limiti dell’ambito di impiego previsto, il sistema di guida automatizzata deve eseguire una manovra di minimizzazione del rischio per raggiungere una condizione di rischio minimo e deve avvertire di conseguenza l’operatore di bordo o l’operatore da remoto (a seconda dei casi). |
4. Attività di guida dinamica negli scenari di avaria
4.1. |
Il sistema di guida automatizzata deve rilevare i malfunzionamenti del sistema di guida automatizzata e/o del veicolo e rispondere di conseguenza. |
4.1.1. |
Il sistema di guida automatizzata deve eseguire un’autodiagnosi di guasti e avarie. |
4.1.2. |
Il sistema di guida automatizzata deve valutare la propria capacità di eseguire in ogni suo aspetto l’attività di guida dinamica. |
4.1.2.1. |
Il sistema di guida automatizzata deve rispondere in modo sicuro a un suo guasto/una sua avaria che non ne compromette significativamente le prestazioni. |
4.1.2.2. |
Il sistema di guida automatizzata deve eseguire una manovra di minimizzazione del rischio per raggiungere una condizione di rischio minimo in caso di avaria del sistema di guida automatizzata stesso e/o di un altro sistema del veicolo che impedisce al sistema di guida automatizzata di eseguire l’attività di guida dinamica. |
4.1.2.3. |
Immediatamente dopo il rilevamento, il sistema di guida automatizzata deve segnalare le avarie gravi e lo stato operativo risultante agli occupanti del veicolo, all’operatore di bordo (se disponibile) o all’operatore per interventi da remoto (se pertinente), nonché agli altri utenti della strada in conformità al codice della strada (ad esempio attivazione delle luci di emergenza). |
4.1.2.4. |
In presenza di avarie che incidono sull’efficienza di frenata o di sterzata del veicolo, la manovra di minimizzazione del rischio deve essere effettuata tenendo conto dell’efficienza residua. |
5. Manovra di minimizzazione del rischio e condizione di rischio minimo
5.1. |
Durante la manovra di minimizzazione del rischio, il veicolo completamente automatizzato dotato di sistema di guida automatizzata deve essere rallentato, con l’obiettivo di ottenere una richiesta di decelerazione non superiore a 4,0 m/s2, fino a fermarsi completamente nel luogo più sicuro possibile, tenendo conto del traffico circostante e delle infrastrutture stradali. Sono consentiti valori di richiesta di decelerazione più elevati in caso di avaria grave del sistema di guida automatizzata o del veicolo completamente automatizzato. |
5.2. |
Il sistema di guida automatizzata deve segnalare la propria intenzione di porre il veicolo completamente automatizzato in una condizione di rischio minimo agli occupanti di tale veicolo nonché agli altri utenti della strada, in conformità al codice della strada (ad esempio attivando le luci di emergenza). |
5.3. |
Il veicolo completamente automatizzato deve lasciare tale condizione di rischio minimo soltanto dopo aver ricevuto conferma, mediante una serie di autoverifiche del sistema di guida automatizzata o/e dell’operatore di bordo (se del caso) o dell’operatore per interventi da remoto (se del caso), che la causa o le cause della manovra di minimizzazione del rischio non sono più presenti. |
6. Interazione uomo-macchina
6.1. |
Occorre fornire informazioni adeguate agli occupanti del veicolo completamente automatizzato laddove necessario per un funzionamento sicuro e per quanto concerne i rischi per la sicurezza. |
6.2. |
Se un operatore per interventi da remoto fa parte del principio di sicurezza del sistema di guida automatizzata, il veicolo completamente automatizzato deve consentire agli occupanti del veicolo di chiamare un operatore per interventi da remoto tramite un’interfaccia audiovisiva presente nel veicolo completamente automatizzato. Per l’interfaccia audiovisiva devono essere utilizzati segnali inequivocabili (ad esempio ISO 7010 E004) |
6.3. |
Il sistema di guida automatizzata deve mettere a disposizione degli occupanti del veicolo i mezzi per richiedere una manovra di minimizzazione del rischio volta ad arrestare il veicolo completamente automatizzato. In casi d’emergenza:
|
6.4. |
Se un operatore per interventi da remoto fa parte del principio di sicurezza del sistema di guida automatizzata, il veicolo completamente automatizzato deve fornire sistemi di visione (ad esempio telecamere, conformemente al capitolo 6 della norma ISO 16505:2019) dello spazio dedicato agli occupanti all’interno del veicolo e dell’ambiente circostante al fine di consentire all’operatore per interventi da remoto di valutare la situazione all’interno e all’esterno del veicolo. |
6.5. |
Se un operatore per interventi da remoto fa parte del principio di sicurezza del sistema di guida automatizzata, tale operatore deve avere la possibilità di aprire a distanza la porta di accesso alimentata elettricamente. |
6.6. |
Il sistema di guida automatizzata deve attivare i pertinenti sistemi del veicolo laddove necessario e applicabile (ad esempio apertura porte, attivazione tergicristalli in caso di pioggia, impianto di riscaldamento ecc.). |
7. Sicurezza funzionale e operativa
7.1. |
Il costruttore deve dimostrare che durante i processi di progettazione e sviluppo del sistema di guida automatizzata è stata tenuta in considerazione la sicurezza funzionale e operativa del sistema stesso. Le misure messe in atto dal costruttore devono garantire che il veicolo completamente automatizzato non comporti rischi irragionevoli per la sicurezza degli occupanti del veicolo e degli altri utenti della strada nel corso della durata di vita del veicolo se paragonato a servizi di trasporto e situazioni comparabili nell’ambito del settore operativo. |
7.1.1. |
Il costruttore deve definire i criteri di accettazione da cui derivano gli obiettivi di convalida del sistema di guida automatizzata per valutare il rischio residuo per l’ambito di impiego previsto, tenendo conto dei dati esistenti in materia di incidenti (1), ove disponibili, dei dati sulle prestazioni di veicoli manuali guidati con attenzione e competenza nonché dello stato dell’arte della tecnologia. |
7.2. |
Il costruttore deve disporre di processi volti a gestire la sicurezza e la conformità continua del sistema di guida automatizzata per la durata di vita (usura dei componenti, in particolare dei sensori, nuovi scenari di traffico ecc.). |
8. Cibersicurezza e aggiornamenti del software
8.1. |
Il sistema di guida automatizzata deve essere protetto dall’accesso non autorizzato a norma del regolamento UNECE n. 155 (2). |
8.2. |
Il sistema di guida automatizzata deve consentire aggiornamenti software. L’efficacia delle procedure e dei processi di aggiornamento del software relativi al sistema di guida automatizzata deve essere dimostrata mediante il rispetto del regolamento UNECE n. 156 (3). |
8.2.1 |
Come specificato nel regolamento sugli aggiornamenti del software e sul relativo sistema di gestione, al fine di garantire l’identificazione del software del sistema, è necessario utilizzare un identificatore R2022/1426SWIN. L’R2022/1426SWIN può essere presente nel veicolo oppure, se l’R2022/1426SWIN non è presente sul veicolo, il costruttore deve dichiarare all’autorità di omologazione la versione o le versioni del software del veicolo o delle singole centraline del motore in connessione con le relative omologazioni. |
8.2.2 |
Il costruttore deve fornire le informazioni seguenti nella scheda informativa:
|
8.2.3. |
Nella scheda informativa il costruttore può fornire un elenco dei parametri pertinenti che consentono l’identificazione dei veicoli aggiornabili con il software rappresentato dall’R2022/1426SWIN. Le informazioni fornite, dichiarate dal costruttore, possono non essere verificate da un’autorità di omologazione. |
8.2.4. |
Il costruttore può ottenere una nuova omologazione per il veicolo al fine di differenziare le versioni del software destinate all’utilizzo nei veicoli già immatricolati sul mercato dalle versioni del software utilizzate nei veicoli nuovi. Ciò può riguardare anche l’aggiornamento delle normative sull’omologazione o le modifiche dell’hardware dei veicoli prodotti in serie. In accordo con l’autorità di omologazione deve essere evitata, ove possibile, la duplicazione di prove. |
9. Requisiti in materia di dati del sistema di guida automatizzata ed elementi di dati specifici per il registratore di dati di evento per veicoli completamente automatizzati
9.1. |
Quando è attivato, il sistema di guida automatizzata registra i seguenti eventi: |
9.1.1. |
attivazione/reinizializzazione del sistema di guida automatizzata (se del caso); |
9.1.2. |
disattivazione del sistema di guida automatizzata (se del caso); |
9.1.3. |
richiesta inviata dal sistema di guida automatizzata all’operatore per interventi da remoto (se del caso); |
9.1.4. |
richiesta/comando inviato dall’operatore per interventi da remoto (se del caso); |
9.1.5. |
inizio del funzionamento di emergenza; |
9.1.6. |
fine del funzionamento di emergenza; |
9.1.7. |
coinvolgimento in una collisione rilevata; |
9.1.8. |
comando che fa scattare il registratore di dati di evento; |
9.1.9. |
svolgimento della manovra di minimizzazione del rischio da parte del sistema di guida automatizzata; |
9.1.10. |
condizione di rischio minimo raggiunta dal veicolo completamente automatizzato; |
9.1.11. |
avaria del sistema di guida automatizzata (descrizione); |
9.1.12. |
avaria del veicolo; |
9.1.13. |
inizio della procedura di cambio corsia; |
9.1.14. |
fine della procedura di cambio corsia; |
9.1.15. |
interruzione della procedura di cambio corsia; |
9.1.16. |
inizio dell’attraversamento intenzionale della corsia; |
9.1.17. |
fine dell’attraversamento intenzionale della corsia. |
9.2 |
I flag degli eventi di cui ai punti 9.1.13., 9.1.14., 9.1.16. e 9.1.17. devono essere memorizzati solo se si verificano non più di 30 secondi prima degli eventi di cui ai punti 9.1.5., 9.1.7., 9.1.15. o 9.1.8. |
9.3. |
Elementi di dati del sistema di guida automatizzata |
9.3.1. |
Per ogni evento di cui al punto 9.1, occorre registrare in modo chiaramente identificabile i seguenti elementi di dati: |
9.3.2. |
il flag dell’evento registrato; |
9.3.3. |
il motivo dell’evento, a seconda dei casi; |
9.3.4. |
la data (nel formato: aaaa/mm/gg); |
9.3.5. |
la posizione (coordinate GPS); |
9.3.6. |
la marcatura temporale:
|
9.4. |
Per ogni evento registrato, devono essere chiaramente identificabili l’identificatore RXSWIN o le versioni software indicanti il software che era presente quando si è verificato l’evento. |
9.5. |
È possibile consentire una singola marcatura temporale per più elementi registrati contemporaneamente secondo il formato degli elementi di dati specifici. Se più di un elemento viene registrato con la medesima marcatura temporale, le informazioni dai singoli elementi devono indicarne l’ordine cronologico. |
9.6. |
Disponibilità dei dati |
9.6.1. |
Gli elementi di dati del sistema di guida automatizzata devono essere disponibili fatti salvi i requisiti specificati nel diritto dell’Unione o nazionale (4). |
9.6.2. |
Una volta raggiunti i limiti della capacità di archiviazione, i dati esistenti devono essere sovrascritti esclusivamente secondo una logica di cancellazione dei dati di volta in volta più datati seguendo il principio del rispetto delle prescrizioni pertinenti in merito alla disponibilità dei dati.
Il costruttore deve fornire prove documentate riguardanti la capacità di archiviazione. |
9.6.3. |
Per i veicoli delle categorie M1 e N1 , gli elementi di dati devono essere recuperabili anche in seguito a un impatto avente un livello di gravità stabilito dal regolamento UNECE n. 94 (5), 95 (6) o 137 (7). |
9.6.4. |
Per i veicoli delle categorie M2, M3, N2 e N3, i dati di cui al punto 9.2 devono essere recuperabili anche dopo un impatto. Per dimostrare tale capacità, si applica quanto segue.
O:
|
9.6.5. |
Nel caso in cui non sia disponibile l’alimentazione principale del veicolo, deve essere comunque possibile recuperare tutti i dati registrati. |
9.6.6. |
I dati archiviati devono essere facilmente leggibili in maniera standardizzata ricorrendo all’uso di un’interfaccia di comunicazione elettronica, quanto meno attraverso l’interfaccia standard (porta OBD per la diagnostica di bordo). |
9.7 |
Elementi di dati specifici per il registratore di dati di evento per veicoli completamente automatizzati |
9.7.1. |
Per i veicoli dotati di registratori di dati di evento conformemente all’articolo 6 del regolamento (UE) 2019/2144, deve essere possibile recuperare tramite l’interfaccia standard (porta OBD) gli elementi di dati del sistema di guida automatizzata di cui ai punti 9.3.1 e 9.3.2 registrati per almeno gli ultimi 30 secondi prima dell’ultima impostazione del flag dell’evento «Comando che fa scattare il registratore di dati di evento», unitamente agli elementi di dati specificati nel regolamento UN n. 160 (9), allegato 4 (dati del registratore di dati di evento). |
9.7.2. |
In assenza di qualsiasi evento di cui al punto 9.1 negli ultimi 30 secondi prima dell’ultima impostazione del flag dell’evento «Comando che fa scattare il registratore di dati di evento», deve essere possibile recuperare, oltre ai dati del registratore di dati di evento, quanto meno l’elemento di dati corrispondente agli ultimi eventi all’interno dello stesso ciclo di alimentazione di cui ai punti 9.1.1 e 9.1.2. |
9.7.3. |
Gli elementi di dati recuperati conformemente al punto 9.7.1 o 9.7.2 non devono includere la data e la marca temporale o qualsiasi altra informazione che consenta l’identificazione del veicolo, del suo utente o del suo proprietario. La marca temporale deve piuttosto essere sostituita con informazioni che rappresentano la differenza di tempo tra il flag dell’evento «Comando che fa scattare il registratore di dati di evento» e il flag dell’evento del rispettivo elemento di dati del sistema di guida automatizzata. |
9.8. |
Il costruttore deve fornire istruzioni su come accedere ai dati. |
9.9. |
Protezione dalla manipolazione |
9.9.1. |
Occorre assicurare un’adeguata protezione dalla manipolazione (ad esempio la cancellazione di dati) dei dati archiviati, ad esempio mediante un sistema antimanomissione. |
10. Modalità di guida manuale
10.1. |
Se il sistema di guida automatizzata consente la guida manuale a fini di manutenzione o permette al conducente di assumere il controllo dopo una manovra di minimizzazione del rischio del veicolo completamente automatizzato, la velocità del veicolo deve essere limitata a 6 km/h e il veicolo deve essere dotato di mezzi che consentano alla persona che lo guida di svolgere l’attività di guida in sicurezza, conformemente al principio di sicurezza del costruttore. Eccetto in caso di avaria, il sistema di guida automatizzata deve continuare rilevare gli ostacoli (ad esempio veicoli, pedoni) nell’area di manovra e deve assistere il conducente nell’arrestare immediatamente il veicolo per evitare una collisione. |
10.2. |
Se la guida manuale è limitata a una velocità di 6 km/h, non è necessario che il conducente rimanga all’interno del veicolo completamente automatizzato. Il controllo può essere effettuato tramite un telecomando posizionato in prossimità del veicolo, a condizione che i veicoli rimangano nella linea diretta di visuale del conducente. La distanza massima dalla quale è possibile il controllo tramite telecomando non deve superare i 10 metri. |
10.3. |
Se, durante la guida manuale, il veicolo è destinato a essere guidato a velocità superiori a 6 km/h, il veicolo è considerato un veicolo dual mode. |
11. Manuale d’uso
11.1. |
Il costruttore deve redigere un manuale d’uso. Lo scopo di tale manuale d’uso è garantire il funzionamento sicuro del veicolo completamente automatizzato mediante istruzioni dettagliate al proprietario, agli occupanti del veicolo, all’operatore di servizi di trasporto, all’operatore di bordo, all’operatore per interventi da remoto e alle autorità nazionali competenti.
Se il veicolo completamente automatizzato prevede la possibilità di guida manuale a fini di manutenzione o per assumere il controllo dopo una manovra di minimizzazione del rischio, anche tale aspetto deve essere affrontato nel manuale d’uso. |
11.2. |
Il manuale d’uso deve comprendere la descrizione funzionale del sistema di guida automatizzata. |
11.3. |
Il manuale d’uso deve comprendere le misure tecniche (ad esempio controlli e interventi di manutenzione da effettuare sul veicolo e sull’infrastruttura esterna al veicolo, requisiti dell’infrastruttura fisica e di trasporto, quali marcatore di posizione e sensori di percezione), le limitazioni operative (ad esempio limite di velocità, corsia dedicata, separazione fisica rispetto al traffico che si svolge in senso inverso), le condizioni ambientali (ad esempio assenza di neve) e le misure operative (ad esempio necessità di un operatore di bordo o di un operatore per interventi da remoto) necessarie per garantire la sicurezza durante il funzionamento del veicolo completamente automatizzato. |
11.4. |
Il manuale d’uso deve descrivere le istruzioni per gli occupanti del veicolo, l’operatore di servizi di trasporto, l’operatore di bordo (ove applicabile), l’operatore per interventi da remoto (ove applicabile) e le autorità pubbliche in caso di avarie e di richiesta del sistema di guida automatizzata. |
11.5. |
Il manuale d’uso deve stabilire le norme per garantire la corretta esecuzione della manutenzione, delle prove generali e di ulteriori esami. |
11.6. |
Il manuale d’uso deve essere presentato all’autorità di omologazione unitamente alla domanda di omologazione e deve essere allegato al certificato di omologazione. |
11.7. |
Il manuale d’uso deve essere messo a disposizione del proprietario e, ove applicabile, dell’operatore di servizi di trasporto, dell’operatore di bordo (ove applicabile) e dell’operatore per interventi da remoto (ove applicabile) del veicolo, nonché di tutte le autorità nazionali pertinenti. |
12. Disposizioni relative ai controlli tecnici periodici
12.1. |
Ai fini dei controlli tecnici periodici, deve essere possibile verificare le seguenti caratteristiche del sistema di guida automatizzata: |
a) |
il suo corretto stato operativo, tramite osservazione visiva dello stato del segnale di avviso di avaria in seguito all’attivazione dell’interruttore generale del veicolo e al controllo delle lampadine. Se il segnale di avviso di avaria è visualizzato in uno spazio comune (l’area in cui possono essere visualizzati due o più funzioni/simboli di informazione, ma non contemporaneamente), prima di controllare lo stato del segnale di avviso di avaria è necessario verificare che lo spazio comune funzioni correttamente; |
b) |
la sua corretta funzionalità e l’integrità del software, tramite l’uso di un’interfaccia elettronica del veicolo come previsto all’allegato III, punto I.14, della direttiva 2014/45/UE del Parlamento europeo e del Consiglio (10), se le caratteristiche tecniche del veicolo lo consentono e se sono disponibili i dati necessari. I costruttori devono accertarsi di rendere disponibili le informazioni tecniche per l’uso dell’interfaccia elettronica del veicolo in conformità all’articolo 6 del regolamento di esecuzione (UE) 2019/621 della Commissione (11). |
(1) Ad esempio, sulla base dei dati attualmente disponibili sugli incidenti relativi ad autobus, pullman, autocarri ed automobili nell’UE, si potrebbe considerare un criterio di accettazione aggregato indicativo pari a 10-7 decessi per ora di funzionamento per l’introduzione sul mercato di sistemi di guida automatizzata per servizi e situazioni di trasporto comparabili. Il costruttore può utilizzare altre metriche e altri metodi purché sia in grado di dimostrare che ciò comporti l’assenza di rischi irragionevoli per la sicurezza nel confronto con servizi di trasporto e situazioni comparabili nell’ambito del settore operativo.
(2) GU L 82 del 9.3.2021, pag. 30.
(3) GU L 82 del 9.3.2021, pag. 60.
(4) Si raccomanda una capacità di archiviazione di 2 500 marcature temporali che corrispondano a un periodo di utilizzo di 6 mesi.
(5) GU L 392 del 5.11.2021, pag. 1.
(6) GU L 392 del 5.11.2021, pag. 62.
(7) GU L 392 del 5.11.2021, pag. 130.
(8) GU L 449 del 15.12.2021, pag. 1.
(9) GU L 265 del 26.7.2021, pag. 3.
(10) Direttiva 2014/45/UE del Parlamento europeo e del Consiglio, del 3 aprile 2014, relativa ai controlli tecnici periodici dei veicoli a motore e dei loro rimorchi e recante abrogazione della direttiva 2009/40/CE (GU L 127 del 29.4.2014, pag. 51).
(11) Regolamento di esecuzione (UE) 2019/621 della Commissione, del 17 aprile 2019, relativo alle informazioni tecniche necessarie per il controllo tecnico degli elementi da controllare, riguardanti l’uso dei metodi di controllo raccomandati, e che stabilisce norme dettagliate concernenti il formato dei dati e le procedure di accesso alle informazioni tecniche pertinenti (GU L 108 del 23.4.2019, pag. 5).
ALLEGATO III
Valutazione della conformità
La valutazione complessiva della conformità del sistema di guida automatizzata si basa sugli elementi indicati di seguito.
— |
Parte 1 — Scenari di traffico da tenere in considerazione. |
— |
Parte 2 — Valutazione del principio di sicurezza del sistema di guida automatizzata e ispezione del sistema di gestione della sicurezza del costruttore. |
— |
Parte 3 — Prove per gli scenari di traffico più pertinenti. |
— |
Parte 4 — Principi da utilizzare per la valutazione della credibilità per l’utilizzo di una catena degli strumenti virtuali ai fini della convalida del sistema di guida automatizzata. |
— |
Parte 5 — Sistema istituito dal costruttore per garantire le segnalazioni in servizio. |
Qualsiasi requisito di cui all’allegato II può essere verificato mediante prove eseguite dall’autorità di omologazione (o dal suo servizio tecnico).
PARTE 1
SCENARI DI TRAFFICO DA TENERE IN CONSIDERAZIONE
1. |
Serie minima di scenari di traffico |
1.1. |
Devono essere utilizzati gli scenari e i parametri elencati al punto 1, quando tali scenari sono pertinenti per l’ambito di impiego previsto del sistema di guida automatizzata.
Se il costruttore si discosta dai parametri proposti al punto 1, le metriche relative alle prestazioni di sicurezza e le ipotesi intrinseche utilizzate dal costruttore devono essere documentate nel fascicolo di documentazione. Le metriche delle prestazioni di sicurezza e le ipotesi inerenti scelte devono dimostrare che il veicolo completamente automatizzato è esente da rischi irragionevoli per la sicurezza. La validità di tali metriche delle prestazioni di sicurezza e ipotesi intrinseche deve essere supportata da dati di monitoraggio in servizio. |
1.2. |
Parametri da utilizzare per gli scenari di cambio corsia da parte del veicolo completamente automatizzato |
1.2.1. |
Gli scenari e i parametri per quanto riguarda il cambio di corsia devono essere applicati come specificato nel regolamento UNECE n. 157 (1). |
1.3. |
Parametri da utilizzare per gli scenari di svolta e attraversamento da parte del veicolo completamente automatizzato. |
1.3.1. |
In assenza di norme più specifiche in materia di circolazione stradale, occorre prendere in considerazione i seguenti requisiti per quanto riguarda l’interazione con altri utenti della strada coinvolti nel movimento durante le svolte e gli attraversamenti (cfr. figura 1) in condizioni di pavimentazione stradale asciutta e adeguata. |
1.3.2. |
In caso di confluenza con traffico avente la precedenza durante le svolte con e senza attraversamento del senso di marcia opposto, il traffico avente la precedenza nella corsia di destinazione non dovrebbe dover decelerare. Occorre tuttavia garantire che il tempo mancante alla collisione del traffico in avvicinamento avente la precedenza nella strada di destinazione [caso a) nella figura 1] non scenda mai al di sotto della soglia TTC
dyn
definita come:
dove:
|
1.3.3. |
Nel caso di una manovra di svolta con attraversamento del senso di marcia opposto, considerando il traffico che si svolge in senso inverso, il traffico avente la precedenza nella corsia di destinazione non dovrebbe dover decelerare. Tuttavia, se giustificato dalla densità del traffico, occorre garantire, oltre alla distanza dal traffico avente la precedenza in avvicinamento nella strada di destinazione, che il tempo mancante alla collisione del traffico avente la precedenza in attraversamento fino al punto di collisione fittizio [punto di intersezione delle traiettorie, caso b) nella figura 1], non scenda mai al di sotto della soglia TTC
int
definita come:
dove:
Lo stesso si applica all’attraversamento con traffico avente la precedenza [caso c) nella figura 1]: Il tempo mancante alla collisione del traffico avente la precedenza fino al punto di collisione immaginario (punto di intersezione delle traiettorie) non deve mai scendere al di sotto della soglia TTC int definita al presente punto.
Figura 1 — Visualizzazione delle distanze durante le svolte e gli attraversamenti. Caso a) — Distanza da osservare dal traffico in avvicinamento avente la precedenza nella corsia di destinazione durante l’inserimento in tale traffico e la confluenza con esso. Caso b) — Distanza da osservare dal traffico che sopraggiunge con precedenza in senso inverso durante una svolta con attraversamento del senso di marcia opposto. Caso c) — Distanza dal traffico in attraversamento avente la precedenza da rispettare durante l’attraversamento. |
1.4. |
Parametri da utilizzare per gli scenari di manovra di emergenza da parte del veicolo completamente automatizzato (attività di guida dinamica in scenari critici) |
1.4.1. |
Il sistema di guida automatizzata deve evitare una collisione con un veicolo che precede e che rallenta fino alla frenata massima, ammesso che nessun altro veicolo si sia inserito nella corsia davanti al veicolo dotato del sistema di guida automatizzata. |
1.4.2. |
Le collisioni con veicoli, pedoni e ciclisti che si inseriscono nella corsia e procedono nella stessa direzione, nonché con pedoni che possono iniziare ad attraversare la strada devono essere evitate almeno nelle condizioni determinate dalla seguente equazione.
dove: è il tempo mancante alla collisione nel momento in cui il veicolo o il ciclista si inserisce nella stessa corsia del veicolo completamente automatizzato a più di 30 cm di distanza; v rel è la velocità relativa in metri al secondo [m/s] tra il veicolo completamente automatizzato e il veicolo che si inserisce nella corsia (positiva se il sistema di guida automatizzata è più veloce rispetto al veicolo che si inserisce nella corsia); β è la decelerazione massima del veicolo completamente automatizzato che si presume essere pari a:
Il rispetto di questa equazione è richiesto soltanto in caso di inserimento in corsia di utenti della strada e soltanto se gli utenti della strada che si inseriscono erano visibili almeno 0,72 secondi prima dell’inserimento: ciò determina una prevenzione obbligatoria delle collisioni quando un altro utente della strada si inserisce nella corsia dell’ego vehicle (veicolo ego, ossia veicolo di riferimento per le applicazioni) con valori per il tempo mancante alla collisione superiori ai seguenti (ad esempio riportati per velocità in scaglioni di 10 km/h). Tali requisiti devono essere soddisfatti indipendentemente dalle condizioni ambientali.
Se viene effettuato un cambio di corsia con un tempo mancante alla collisione inferiore verso la corsia del veicolo completamente automatizzato, non è più possibile presumere che non ci sarà alcuna prevenzione delle collisioni. La strategia di controllo del sistema di guida automatizzata può cambiare tra prevenzione e attenuazione della collisione soltanto se il costruttore può dimostrare che ciò aumenta la sicurezza degli occupanti del veicolo e degli altri utenti della strada (ad esempio, privilegiando la frenata rispetto a una manovra alternativa). |
1.4.3. |
Il sistema di guida automatizzata deve evitare una collisione con un pedone o un ciclista che attraversa davanti al veicolo. |
1.4.3.1. |
Condizioni di guida urbane e rurali |
1.4.3.1.1. |
Il sistema di guida automatizzata deve evitare una collisione, fino a una velocità di 60 km/h e con visuale libera, in caso di attraversamento di pedoni con una componente di velocità laterale non superiore a 5 km/h o di attraversamento di ciclisti con una componente di velocità laterale non superiore a 15 km/h davanti al veicolo. Ciò deve essere assicurato indipendentemente dalla manovra specifica che il sistema di guida automatizzata sta intraprendendo. |
1.4.3.1.2. |
Nel caso in cui il pedone o il ciclista proceda con una velocità superiore ai valori di cui sopra e il sistema di guida automatizzata non possa più evitare la collisione, la strategia di controllo del sistema di guida automatizzata può cambiare tra prevenzione e attenuazione della collisione soltanto se il costruttore può dimostrare che ciò aumenta la sicurezza degli occupanti del veicolo e degli altri utenti della strada (ad esempio, privilegiando la frenata rispetto a una manovra alternativa). |
1.4.3.1.3. |
Quando la visuale è ostruita, il sistema di guida automatizzata deve attenuare una collisione con un pedone o un ciclista che attraversa davanti al veicolo riducendone la velocità all’impatto di almeno 20 km/h. Ciò deve essere assicurato indipendentemente dalla manovra specifica che il sistema di guida automatizzata sta intraprendendo. |
1.4.3.1.4. |
Al fine di dimostrare il rispetto dei precedenti requisiti relativi all’attraversamento di pedoni e ciclisti davanti al veicolo, possono essere utilizzati in qualità di orientamento gli scenari di prova e di valutazione sviluppati nel quadro del programma europeo di valutazione dei nuovi modelli di automobili (Euro NCAP). |
1.4.3.2. |
Condizioni di guida in autostrada |
1.4.3.2.1. |
Gli scenari pertinenti per quanto concerne l’attraversamento pedonale devono essere applicati come specificato nel regolamento UNECE n. 157. |
1.4.3.2.2. |
Nel caso in cui il pedone attraversi con valori dei parametri al di fuori dei limiti di cui al regolamento UNECE n. 157 e il sistema di guida automatizzata non possa più evitare la collisione, la strategia di controllo del sistema di guida automatizzata può cambiare tra prevenzione e attenuazione della collisione soltanto se il costruttore può dimostrare che ciò aumenta la sicurezza degli occupanti del veicolo e degli altri utenti della strada (ad esempio, privilegiando la frenata rispetto a una manovra alternativa). |
1.5. |
Ingresso in autostrada
Il veicolo completamente automatizzato deve essere in grado di entrare in sicurezza in autostrada adeguando la velocità al flusso del traffico e attivando il relativo indicatore di direzione conformemente al codice della strada. L’indicatore di direzione deve essere disattivato una volta che il veicolo ha eseguito la manovra di cambio corsia. Devono essere applicati i parametri utilizzati nello scenario di cambio corsia. |
1.6. |
Uscita dall’autostrada
Il veicolo completamente automatizzato deve essere in grado di prepararsi in anticipo per l’uscita autostradale prevista procedendo sulla corsia adiacente a quella di uscita e non deve decelerare inutilmente prima dell’inizio della manovra di cambio corsia verso la corsia di uscita. Il veicolo completamente automatizzato deve utilizzare l’indicatore di direzione in conformità al codice della strada ed eseguire senza indebito ritardo la manovra di cambio corsia verso la corsia di uscita. L’indicatore di direzione deve essere disattivato una volta completata la manovra di cambio corsia nel rispetto del codice della strada del paese di utilizzo. |
1.7. |
Superamento di un casello autostradale
A seconda dell’ambito di impiego previsto, il veicolo completamente automatizzato deve essere in grado di selezionare il varco di passaggio appropriato e adeguare la propria velocità ai limiti consentiti all’interno dell’area del casello, tenendo conto del flusso del traffico. |
1.8. |
Funzionamento su strade diverse dalle autostrade
A seconda dell’ambito di impiego previsto, si deve applicare lo scenario pertinente definito ai precedenti punti da 1.2. a 1.4. |
1.9. |
Parametri da utilizzare per il parcheggio con servizio automatizzato di ritiro e riconsegna dei veicoli |
1.9.1. |
A seconda dell’ambito di impiego previsto, si devono applicare gli scenari pertinenti definiti ai precedenti punti da 1.3. a 1.5. Può rivelarsi necessario adattare i parametri da utilizzare per tali scenari al fine di tenere conto della velocità di guida limitata e della generale mancanza di visibilità che si possono riscontrare all’interno di un parcheggio. Particolare attenzione deve essere prestata alla prevenzione di collisioni con pedoni, e in particolare con minori e carrozzine. |
2. |
Scenari non contemplati dal punto 1. |
2.1. |
Gli scenari non elencati al punto 1 devono essere generati al fine di contemplare situazioni critiche ragionevolmente prevedibili, incluse avarie e rischi per il traffico all’interno dell’ambito di impiego previsto. |
2.2. |
Quando le capacità del sistema di guida automatizzata dipendono da capacità da remoto, gli scenari devono comprendere avarie e pericoli per il traffico derivanti dalle corrispondenti capacità da remoto. |
2.3. |
Il metodo per generare scenari non elencati nella sezione 1 deve seguire i principi stabiliti nella parte 1, appendice 1, del presente allegato. |
2.4. |
Il metodo utilizzato dal costruttore per generare scenari non elencati al punto 1 deve essere documentato nel fascicolo di documentazione da fornire per la valutazione del sistema di guida automatizzata.
Appendice 1 Principi da seguire per derivare scenari pertinenti per l’ambito di impiego previsto del sistema di guida automatizzata
1. Generazione e classificazione di scenari Da un punto di vista qualitativo, gli scenari possono essere suddivisi in Nominale/Critico/Avaria e corrispondono a un funzionamento normale o di emergenza. Per ciascuna di queste categorie, è possibile utilizzare un approccio basato sui dati e un approccio basato sulle conoscenze per generare scenari di traffico corrispondenti. Un approccio basato sulle conoscenze utilizza le conoscenze di esperti per individuare sistematicamente eventi pericolosi e creare scenari. Un approccio basato sui dati utilizza i dati disponibili per individuare e classificare gli scenari che si verificano. Gli scenari devono essere derivati dall’ambito di impiego previsto del veicolo completamente automatizzato. 2. Scenari nominali Una serie di quadri analitici può aiutare il costruttore a derivare scenari nominali aggiuntivi per garantire la copertura per l’applicazione specifica. Tali quadri sono suddivisi nelle categorie che seguono. 2.1. Analisi dell’ambito di impiego previsto Un ambito di impiego previsto è costituito da elementi scenici (ad esempio infrastruttura fisica), condizioni ambientali, elementi dinamici (ad esempio traffico, utenti vulnerabili della strada) e vincoli operativi per l’applicazione specifica del sistema di guida automatizzata. Questa analisi mira a individuare le caratteristiche dell’ambito di impiego previsto, attribuire le proprietà e definire le interazioni tra gli oggetti. In questa sede viene analizzato l’effetto dell’ambito di impiego previsto sulle competenze comportamentali del sistema di guida automatizzata. Un esempio di analisi è riportato nella tabella 1. Tabella 1 Elementi dinamici e loro proprietà
2.2. Analisi del rilevamento di oggetti ed eventi e relativa risposta (analisi OEDR): individuazione delle competenze comportamentali Una volta individuati gli oggetti e le proprietà pertinenti, è possibile mappare la risposta adeguata del sistema di guida automatizzata. La risposta del sistema di guida automatizzata è modellata sulla base dei requisiti funzionali applicabili e applicando i requisiti di prestazione del presente regolamento e il codice della strada del paese di utilizzo. Anche il risultato dell’analisi OEDR costituisce un insieme di competenze che possono essere mappate tra le competenze comportamentali applicabili all’ambito di impiego previsto, per garantire la conformità ai requisiti normativi e giuridici pertinenti. La tabella 2 fornisce un esempio qualitativo di corrispondenza evento-risposta. La combinazione di oggetti, eventi e la loro potenziale interazione, quale funzione all’interno dell’ambito di impiego previsto, costituiscono l’insieme degli scenari nominali pertinenti per il sistema di guida automatizzata soggetto ad analisi. L’individuazione degli scenari nominali può beneficiare di una combinazione rafforzata di descrittori dello scenario che contemplino ad esempio, all’interno dell’ambito di impiego previsto, attributi dell’infrastruttura, caratteristiche degli oggetti e degli eventi, pericoli che incidono sulle risposte (ad esempio condizioni meteorologiche, visibilità). L’individuazione degli scenari nominali non si limita alle condizioni del traffico, ma riguarda anche le condizioni ambientali, i fattori umani, la connettività e gli errori di comunicazione. Poiché i parametri (ipotesi) per gli eventi devono ancora essere definiti, gli scenari nominali derivati dall’applicazione dell’analisi sono da considerare nel loro livello di astrazione funzionale e logico. Tabella 2 Competenze comportamentali per determinati eventi
3. Scenari critici Gli scenari critici possono essere derivati considerando ipotesi di casi limite in relazione a scenari nominali di traffico (basati sui dati) o applicando metodi standardizzati (basati sulle conoscenze) per la valutazione delle insufficienze operative (cfr. esempio di metodi al punto 3.5.5. della parte 2). L’individuazione degli scenari critici può beneficiare di una combinazione rafforzata tra descrittori dello scenario e valori limite che contemplino ad esempio, all’interno dell’ambito di impiego previsto, attributi dell’infrastruttura, caratteristiche degli oggetti e degli eventi, pericoli che incidono sulle risposte (ad esempio condizioni meteorologiche, ostruzioni alla visibilità, interazioni con altri utenti della strada diversi dall’oggetto o evento provocato). L’individuazione degli scenari critici non si limita alle condizioni del traffico, ma riguarda anche le condizioni ambientali, i fattori umani, la connettività e gli errori di comunicazione. Gli scenari critici corrispondono al funzionamento di emergenza del sistema di guida automatizzata. 4. Scenari di avaria Questi scenari mirano a valutare come il sistema di guida automatizzata risponde a un’avaria. In letteratura sono disponibili diversi metodi (cfr. esempio di metodi al punto 3.5.5. della parte 2). Per ciascuna delle avarie di comportamento e degli effetti consequenziali individuati, il costruttore deve mettere in atto strategie pertinenti durante lo sviluppo del sistema di guida automatizzata [ad esempio, a prova di guasto (fail-safe)]. Quando si applicano gli scenari di avaria, l’obiettivo è valutare la capacità del sistema di guida automatizzata di soddisfare i requisiti per le situazioni critiche per la sicurezza, tra cui ad esempio «Il sistema di guida automatizzata deve gestire situazioni di guida critiche per la sicurezza» e «Il sistema di guida automatizzata deve gestire in sicurezza le modalità avaria» e i rispettivi sottorequisiti. 5. Ipotesi: scenari da logici a concreti Per garantire che gli scenari individuati nei punti precedenti siano pronti per essere valutati mediante simulazioni o prove fisiche, il costruttore potrebbe aver bisogno di parametrizzarli in modo coerente applicando ipotesi. Il costruttore deve fornire prove a sostegno delle ipotesi formulate, quali campagne di raccolta dati eseguite durante la fase di sviluppo, incidentologia del mondo reale e valutazioni realistiche del comportamento di guida. I parametri utilizzati per caratterizzare gli scenari critici dovrebbero contemplare valori ragionevolmente prevedibili nei descrittori dello scenario, ma non dovrebbero limitarsi ai valori già osservati nelle basi di dati documentate. |
PARTE 2
VALUTAZIONE DEL PRINCIPIO DI SICUREZZA DEL SISTEMA DI GUIDA AUTOMATIZZATA E ISPEZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA DEL COSTRUTTORE
1. Generalità
1.1. |
L’autorità di omologazione che rilascia l’omologazione o il servizio tecnico che agisce per suo conto deve verificare, mediante controlli e prove a campione mirati, in particolare come specificato al punto 4 del presente allegato, che l’argomentazione di sicurezza fornita dalla documentazione sia conforme ai requisiti dell’allegato II e che la progettazione e i processi descritti nella documentazione siano effettivamente attuati dal costruttore. |
1.2. |
Anche se, sulla base della documentazione fornita, delle prove fornite per l’ispezione del sistema di gestione della sicurezza e della valutazione del principio di sicurezza del sistema di guida automatizzata eseguite in maniera soddisfacente per l’autorità di omologazione in conformità al presente regolamento, il livello di rischio residuo del sistema di guida automatizzata omologato è ritenuto accettabile per l’entrata in circolazione del tipo di veicolo, il costruttore che richiede l’omologazione resta responsabile della sicurezza complessiva del sistema di guida automatizzata durante il ciclo di vita di quest’ultimo conformemente ai requisiti di cui al presente regolamento. |
2. Definizioni
Ai fini del presente allegato, si applicano le definizioni seguenti:
2.1. |
«principio di sicurezza»: una descrizione delle misure previste nel sistema di guida automatizzata per far sì che il veicolo completamente automatizzato funzioni per gli scenari e gli eventi pertinenti per l’ambito di impiego previsto in modo tale da non comportare rischi irragionevoli per la sicurezza degli occupanti del veicolo e di altri utenti della strada in presenza di guasti (sicurezza funzionale) e in assenza di guasti (sicurezza operativa). La possibilità di ripiegare su un funzionamento parziale o su un sistema di riserva per le funzioni vitali del sistema di guida automatizzata deve far parte del principio di sicurezza; |
2.2. |
«unità»: le suddivisioni più piccole dei componenti del sistema che saranno prese in considerazione nel presente allegato, visto che tali combinazioni di componenti saranno considerate entità singole ai fini dell’identificazione, dell’analisi o della sostituzione; |
2.3. |
«collegamenti di trasmissione»: dispositivi utilizzati per collegare tra loro unità distribuite ai fini della trasmissione di segnali e dati operativi o dell’alimentazione di energia. Questi accessori di norma sono elettrici, ma possono essere in alcune parti meccanici, pneumatici o idraulici; |
2.4. |
«campo di controllo»: una variabile di uscita che definisce il campo in cui è probabile che il sistema eserciti il proprio controllo; |
2.5. |
«limiti di funzionamento»: limiti fisici esterni all’interno dei quali il sistema di guida automatizzata è in grado di esercitare le attività di guida dinamica. |
3. Documentazione relativa al sistema di guida automatizzata
3.1. Requisiti
Il costruttore deve consegnare un fascicolo di documentazione che illustri le caratteristiche progettuali principali del sistema di guida automatizzata e il modo in cui esso è collegato agli altri sistemi del veicolo o con cui controlla direttamente le variabili di uscita, nonché l’hardware/il software esterno e le capacità da remoto.
La documentazione deve spiegare la funzione o le funzioni del sistema di guida automatizzata, tra cui le strategie di controllo, e il principio di sicurezza definiti dal costruttore.
La documentazione deve essere sintetica, ma deve contenere dati oggettivi che dimostrino che nella progettazione e nello sviluppo si sono applicate le conoscenze tecniche specializzate esistenti in tutti gli ambiti del sistema di guida automatizzata interessati.
Per i controlli tecnici periodici, la documentazione deve descrivere le modalità di controllo dello stato operativo corrente del sistema di guida automatizzata, nonché della funzionalità e dell’integrità del software.
L’autorità di omologazione deve valutare il fascicolo di documenti per accertarsi che il sistema di guida automatizzata:
a) |
sia stato progettato e sviluppato per funzionare in maniera da non comportare rischi irragionevoli per gli occupanti del veicolo e gli altri utenti della strada nei limiti e nell’ambito di impiego previsto, quali dichiarati; |
b) |
soddisfi i requisiti di prestazione di cui all’allegato II del presente regolamento; |
c) |
sia stato realizzato conformemente al processo o al metodo dichiarato dal costruttore. |
3.1.1. |
La documentazione deve essere formata da tre parti:
|
3.2. Descrizione generale del sistema di guida automatizzata
3.2.1. |
Deve essere fornita una descrizione che fornisce una spiegazione semplice delle qualità operative del sistema di guida automatizzata e delle sue caratteristiche. |
3.2.2. |
Tale descrizione deve comprendere: |
3.2.2.1 |
ambito di impiego previsto in termini di velocità massima di funzionamento, tipo di strada (ad esempio corsia dedicata), paesi/aree di utilizzo, condizioni stradali e condizioni ambientali necessarie (ad esempio assenza di neve ecc.)/condizioni limite; |
3.2.2.2 |
prestazioni di base (ad esempio rilevamento di oggetti ed eventi e relativa risposta, infrastruttura esterna necessaria durante il funzionamento); |
3.2.2.3. |
interazione con altri utenti della strada; |
3.2.2.4. |
condizioni principali per le manovre di minimizzazione del rischio; |
3.2.2.5. |
concetto di interazione con occupanti del veicolo, operatore di bordo (se del caso) e operatore per interventi da remoto (se del caso); |
3.2.2.6. |
mezzi per consentire l’attivazione o la disattivazione del sistema di guida automatizzata da parte dell’operatore di bordo (se pertinente) o dell’operatore per interventi da remoto (se pertinente), degli occupanti del veicolo (se pertinente) o di altri utenti della strada (se pertinente); |
3.2.2.7. |
misure operative (ad esempio, necessità di un operatore di bordo o di un operatore per interventi da remoto) da rispettare per garantire la sicurezza durante il funzionamento del veicolo completamente automatizzato. |
3.2.2.8. |
back-end, infrastruttura esterna necessaria per garantire la sicurezza durante il funzionamento del veicolo completamente automatizzato. |
3.3. Descrizione delle funzioni del sistema di guida automatizzata
Deve essere fornita una descrizione che spieghi tutte le funzioni, fra cui le strategie di controllo per consentire un funzionamento affidabile e sicuro del sistema di guida automatizzata e i metodi impiegati per esercitare le attività di guida dinamica nell’ambito di impiego previsto e all’interno dei limiti entro i quali il sistema di guida automatizzata è progettato per funzionare, compresa una descrizione del modo in cui ciò viene garantito.
Prima del loro utilizzo a bordo del veicolo, devono essere dichiarate tutte le funzioni di guida automatizzata abilitate o disabilitate per le quali al momento della produzione sono presenti a bordo del veicolo hardware e software, che sono soggette alle prescrizioni del presente allegato, nonché dell’allegato II del presente regolamento. Il costruttore deve inoltre documentare l’elaborazione dei dati qualora utilizzi algoritmi di apprendimento continuo.
3.3.1. |
Deve essere fornito un elenco di tutte le variabili di ingresso e delle variabili rilevate e deve essere definito l’intervallo di lavoro delle stesse, unitamente a una descrizione delle modalità con cui ciascuna variabile influenza il comportamento del sistema di guida automatizzata. |
3.3.2. |
Deve essere fornito l’elenco di tutte le variabili di uscita controllate dal sistema di guida automatizzata e deve essere spiegato per ogni variabile se il controllo è attuato direttamente o attraverso un altro sistema del veicolo. Deve essere definito il campo in cui è probabile che il sistema di guida automatizzata eserciti il proprio controllo su ciascuna di tali variabili. |
3.3.3. |
Devono essere indicati i limiti di funzionamento, compresi quelli dell’ambito di impiego previsto, che hanno rilevanza ai fini delle prestazioni del sistema di guida automatizzata. |
3.3.4. |
Occorre spiegare il concetto di interazione uomo-macchina con gli occupanti del veicolo/l’operatore di bordo/l’operatore per interventi da remoto (se presenti) quando ci si avvicini ai limiti dell’ambito di impiego previsto per poi raggiungerli. La spiegazione deve comprendere l’elenco dei tipi di situazioni nelle quali il sistema di guida automatizzata genererà una richiesta di supporto all’operatore di bordo/operatore per interventi da remoto (se del caso), il modo in cui viene effettuata la richiesta, la procedura che gestisce una richiesta non riuscita e la manovra di minimizzazione del rischio. Devono inoltre essere descritti i segnali e le informazioni forniti all’operatore di bordo/all’operatore per interventi da remoto, agli occupanti del veicolo e agli altri utenti della strada in relazione a ciascuno degli aspetti di cui sopra. |
3.4. Configurazione e schemi del sistema di guida automatizzata
3.4.1. |
Inventario dei componenti
Deve essere fornito un elenco, che raccolga tutte le unità del sistema di guida automatizzata e menzioni gli altri sistemi del veicolo, nonché l’hardware/il software esterno e le capacità da remoto necessarie per conseguire determinate prestazioni del sistema di guida automatizzata da approvare secondo il suo ambito di impiego previsto. Deve essere presentato uno schema che mostri la combinazione delle varie unità e spieghi chiaramente la distribuzione degli accessori e le interconnessioni tra di essi. Tale schema deve comprendere:
|
3.4.2. |
Funzioni delle unità
Deve essere indicata la funzione di ciascuna unità del sistema di guida automatizzata e devono essere illustrati i segnali che la collegano ad altre unità o ad altri sistemi del veicolo. In tale contesto devono figurare i sistemi esterni che assistono il sistema di guida automatizzata e altri sistemi del veicolo. Tali informazioni possono essere presentate per mezzo di un diagramma a blocchi o di uno schema di altro tipo con l’indicazione dei vari elementi, oppure per mezzo di una descrizione accompagnata da un diagramma. |
3.4.3. |
Le interconnessioni all’interno del sistema di guida automatizzata devono essere indicate per mezzo di uno schema elettrico per i collegamenti di trasmissione elettrici, uno schema idraulico per i collegamenti di trasmissione pneumatici o idraulici e una rappresentazione schematica semplificata per i collegamenti meccanici. Devono essere visibili anche i collegamenti di trasmissione da e verso altri sistemi. |
3.4.4. |
Deve esserci una corrispondenza chiara tra i collegamenti di trasmissione e i segnali veicolati tra le unità. Devono essere indicate le priorità dei segnali su percorsi molteplici di dati qualora possano influire sulle prestazioni o sulla sicurezza. |
3.4.5. |
Identificazione delle unità |
3.4.5.1. |
Ciascuna unità deve poter essere identificata in modo chiaro e univoco (ad esempio con una marcatura per l’hardware e una marcatura o un segnale software di uscita per il contenuto software), in modo che l’hardware sia associato alla relativa documentazione. Laddove sia possibile modificare una versione del software senza che ciò richieda la sostituzione della marcatura o del componente, l’identificazione del software deve avvenire soltanto tramite un segnale di uscita del software. |
3.4.5.2. |
Se le funzioni sono combinate all’interno di un’unica unità o all’interno di un unico computer, ma mostrate in blocchi multipli nel diagramma a blocchi, per chiarezza e semplicità esplicativa deve essere usata un’unica marcatura di identificazione dell’hardware. Il costruttore, utilizzando queste marcature di identificazione, deve indicare che gli accessori forniti sono conformi al documento corrispondente. |
3.4.5.3. |
La marcatura di identificazione definisce la versione dell’hardware e del software; se la versione cambia e di conseguenza si modifica la funzione dell’unità ai fini dell’applicazione del presente regolamento, anche la marcatura di identificazione deve essere modificata. |
3.4.6. |
Installazione dei componenti del sistema di rilevamento
Il costruttore deve fornire informazioni in merito alle modalità di installazione per i singoli componenti che formano il sistema di rilevamento. Tali modalità devono comprendere, a titolo esemplificativo ma non esaustivo, la posizione del componente nel/sul veicolo, i materiali che circondano il componente, il dimensionamento e la geometria del materiale che circonda il componente e la finitura superficiale dei materiali circostanti il componente, una volta installato nel veicolo. Le informazioni devono comprendere anche le specifiche di installazione fondamentali per le prestazioni del sistema di guida automatizzata, ad esempio le tolleranze relative all’angolo di installazione. Eventuali modifiche dei singoli componenti del sistema di rilevamento o delle modalità di installazione devono essere notificate all’autorità di omologazione e fatte oggetto di un’ulteriore valutazione. |
3.5. Principio di sicurezza del costruttore e convalida dello stesso da parte del costruttore
3.5.1. |
Il costruttore deve fornire una dichiarazione nella quale afferma che il sistema di guida automatizzata non comporta rischi irragionevoli per gli occupanti del veicolo e gli altri utenti della strada. |
3.5.2. |
Per il software utilizzato nel sistema di guida automatizzata, il costruttore deve spiegare l’architettura di massima e definire i metodi e gli strumenti di progettazione utilizzati (cfr. 3.5.1). Il costruttore deve indicare, fornendo dati oggettivi, in che modo è stata realizzata la logica del sistema di guida automatizzata in fase di progettazione e sviluppo. |
3.5.3. |
Il costruttore deve fornire all’autorità di omologazione una spiegazione dei criteri progettuali applicati nel sistema di guida automatizzata per garantirne la sicurezza funzionale e operativa. Tali criteri possono essere ad esempio:
|
3.5.3.1. |
Se il criterio scelto prevede una modalità di funzionamento a prestazioni parziali in determinate condizioni di guasto (ad esempio in caso di gravi avarie), tali condizioni (ad esempio tipo di avaria) devono essere dichiarate, e devono essere definiti i limiti risultanti in termini di efficacia (ad esempio l’avvio immediato di una manovra di minimizzazione del rischio), così come la strategia di avvertimento nei confronti dell’operatore/dell’operatore da remoto, degli occupanti e degli altri utenti della strada (ove applicabile). |
3.5.3.2. |
Se la disposizione prevista dal progetto seleziona un secondo (back-up) o diverso modo per realizzare la prestazione interessata dal guasto, devono essere indicati i principi del meccanismo di passaggio, la logica e il livello di ridondanza nonché eventuali elementi integrati di verifica e devono essere definiti i risultanti limiti di efficacia. |
3.5.3.3. |
Se il criterio scelto prevede la neutralizzazione della funzione o delle funzioni di guida automatizzata, tale operazione deve essere attuata nel rispetto delle disposizioni del presente regolamento. Tutti i segnali di controllo in uscita associati a questa funzione devono essere inibiti. |
3.5.4. |
Il costruttore deve altresì fornire all’autorità di omologazione una spiegazione delle misure di sicurezza operativa da mettere in atto per il funzionamento sicuro del sistema di guida automatizzata, ad esempio un operatore di bordo o un operatore per interventi da remoto, un’infrastruttura esterna di supporto, i requisiti dell’infrastruttura di trasporto e fisica, le misure di manutenzione ecc. |
3.5.5. |
La documentazione deve essere corroborata da un’analisi che dimostri in che modo si comporterà il sistema di guida automatizzata per attenuare o evitare pericoli che possono avere ripercussioni sulla sicurezza degli occupanti del veicolo e degli altri utenti della strada. |
3.5.5.1. |
Il metodo o i metodi scelti per l’analisi devono essere stabiliti e aggiornati dal costruttore e messi a disposizione dell’autorità di omologazione per i controlli del caso al momento dell’omologazione e successivamente. |
3.5.5.2. |
L’autorità di omologazione deve valutare l’applicazione degli approcci analitici mediante:
|
3.5.5.3. |
L’approccio analitico di cui al punto 3.5.5.2 deve confermare che è contemplata almeno ciascuna delle seguenti voci:
|
3.5.5.4. |
La valutazione da parte dell’autorità di omologazione deve consistere in controlli a campione al fine di stabilire che l’argomentazione a sostegno del principio di sicurezza sia comprensibile e logica, e attuata nelle diverse funzioni del sistema di guida automatizzata. Con la valutazione si deve inoltre controllare che i piani di convalida siano sufficienti a dimostrare la sicurezza del sistema (ad esempio gamma ragionevole di prove di scenari selezionati dallo strumento di convalida scelto) e che siano stati applicati adeguatamente. |
3.5.5.4.1. |
Si deve dimostrare che il funzionamento del veicolo completamente automatizzato non comporta rischi irragionevoli per gli occupanti del veicolo e gli altri utenti della strada nell’ambito di impiego previsto mediante:
|
3.5.5.5. |
L’autorità di omologazione deve eseguire o richiedere l’esecuzione delle prove di cui al punto 4 del presente allegato, tese a verificare il principio di sicurezza adottato. |
3.5.5.6. |
Nella documentazione devono essere indicati in dettaglio i parametri monitorati e deve essere definito, per ciascuna condizione di avaria di cui al punto 3.5.4 del presente allegato, il segnale di avvertimento per l’operatore/l’operatore da remoto/gli occupanti del veicolo/gli altri utenti della strada e/o il personale incaricato della manutenzione o dei controlli tecnici periodici. |
3.5.5.7. |
Nella documentazione devono essere altresì descritte le misure attuate per fare in modo che il sistema di guida automatizzata non comporti rischi irragionevoli per gli occupanti del veicolo e gli altri utenti della strada quando sulla sua efficienza influiscono fattori ambientali come il clima, la temperatura, l’ingresso di polvere, l’infiltrazione d’acqua, la presenza di ghiaccio, condizioni meteorologiche inclementi. |
4. Verifiche e prove
Tenuto conto dei risultati dell’analisi del fascicolo di documentazione del costruttore, l’autorità di omologazione deve richiedere che le prove siano effettuate dal servizio tecnico oppure in sua presenza al fine di verificare punti specifici derivanti dalla valutazione.
4.1. |
Il funzionamento del sistema di guida automatizzata, definito nei documenti prescritti ai sensi del punto 3, deve essere verificato con le prove seguenti. |
4.1.1. |
Verifica del funzionamento del sistema di guida automatizzata
L’autorità di omologazione deve verificare il sistema di guida automatizzata in assenza di avarie sottoponendo a prova su un tracciato una serie di funzioni selezionate, secondo quanto ritenuto necessario dall’autorità di omologazione, tra quelle descritte dal costruttore e controllando il comportamento complessivo del sistema di guida automatizzata in condizioni di guida reali, compreso il rispetto del codice della strada. Tali prove devono prevedere scenari tramite i quali il sistema di guida automatizzata viene escluso dall’operatore per interventi da remoto (se del caso). Tali prove possono essere basate sugli scenari di prova elencati nella parte 3 del presente allegato e/o su scenari aggiuntivi non trattati dalla parte 3. |
4.1.1.1. |
I risultati delle prove devono corrispondere alla descrizione, anche per quanto riguarda le strategie di controllo, fornita dal costruttore al punto 3.2 e devono soddisfare i requisiti in termini di prestazioni di cui al presente regolamento. |
4.1.2. |
Verifica del concetto di sicurezza del sistema di guida automatizzata
La reazione del sistema di guida automatizzata deve essere controllata in condizioni di guasto di una qualsiasi unità singola inviando alle unità elettriche o agli elementi meccanici i segnali di uscita corrispondenti, in modo da simulare gli effetti di avarie all’interno dell’unità. L’autorità di omologazione deve verificare che tali prove riguardino anche aspetti che possono avere un influsso sulla manovrabilità del veicolo e sulle informazioni per l’utente (aspetti relativi all’interfaccia uomo-macchina, ad esempio interazione con l’operatore/l’operatore da remoto). |
4.1.2.1. |
Le autorità di omologazione devono altresì controllare una serie di scenari critici per il rilevamento di oggetti ed eventi e la relativa risposta, nonché la caratterizzazione delle funzioni decisionali e di interfaccia uomo-macchina del sistema di guida automatizzata (oggetti difficili da rilevare quando detto sistema raggiunge i limiti dell’ambito di impiego, scenari di perturbazione del traffico, problemi di connettività, problemi con i sistemi esterni, problemi con le capacità da remoto, ad esempio assenza dell’operatore per interventi da remoto), di cui al presente regolamento. |
4.1.2.2. |
I risultati della verifica devono corrispondere al riassunto documentato dell’analisi del rischio, a un livello di effetto generale che permetta di confermare l’adeguatezza del principio di sicurezza e della relativa attuazione e la loro conformità alle prescrizioni del presente regolamento. |
4.2. |
Per la verifica del principio di sicurezza possono essere utilizzati uno strumento di simulazione e modelli matematici, conformemente all’allegato VIII del regolamento (UE) 2018/858, in particolare per gli scenari difficili da sottoporre a prova su un tracciato di prova o in condizioni di guida reali. I costruttori devono dimostrare il funzionamento dello strumento di simulazione, la sua validità per lo scenario in questione, nonché la convalida effettuata per la catena degli strumenti di simulazione (correlazione del risultato con le prove fisiche). Per dimostrare la validità della catena degli strumenti di simulazione, si devono applicare i principi di cui alla parte 4 del presente allegato. La simulazione non deve sostituire le prove fisiche di cui alla parte 3 del presente allegato. |
4.3 |
Il costruttore deve essere in possesso di un certificato di conformità valido per il sistema di gestione della sicurezza relativo al tipo di veicolo da omologare. |
5. Sistema di gestione della sicurezza
5.1. |
Per quanto riguarda il sistema di guida automatizzata, il costruttore deve dimostrare all’autorità di omologazione, con un sistema di gestione della sicurezza, che sono attuati processi, metodologie, attività di formazione e strumenti efficaci, aggiornati e seguiti all’interno dell’organizzazione per gestire la sicurezza e la conformità continua per tutto il ciclo di vita del sistema di guida automatizzata. |
5.2. |
Il processo di progettazione e sviluppo deve essere stabilito e documentato includendo il sistema di gestione della sicurezza, la gestione e implementazione di quanto prescritto, le prove, il tracciamento delle avarie, i rimedi e il rilascio. |
5.3. |
Il costruttore deve assicurare canali di comunicazione efficaci tra i suoi reparti competenti per la sicurezza funzionale/operativa, la cibersicurezza e qualsiasi altra disciplina relativa alla sicurezza del veicolo. |
5.4. |
Il costruttore deve disporre di processi destinati a raccogliere dati sul veicolo e dati da altre fonti per monitorare e analizzare inconvenienti/incidenti rilevanti per la sicurezza causati dal sistema di guida automatizzata attivo. Il costruttore deve segnalare alle autorità di omologazione, alle autorità di vigilanza del mercato e alla Commissione gli eventi pertinenti in conformità alla parte 5 del presente allegato. |
5.4.1. |
Il costruttore deve consentire all’operatore di servizi di trasporto di fornire alle autorità di omologazione, alle autorità di vigilanza del mercato o ad altre autorità designate dagli Stati membri i dati del veicolo in conformità al punto 5.4, nonché i dati del sistema di guida automatizzata e gli elementi di dati specifici per il registratore dei dati di evento raccolti in conformità all’allegato II, sezione 9. |
5.5. |
Il costruttore deve disporre di processi per gestire potenziali lacune rilevanti per la sicurezza dopo l’immatricolazione e per aggiornare i veicoli, se necessario. |
5.6. |
Il costruttore deve dimostrare che vengono effettuate periodicamente (ad esempio ogni due anni) ispezioni indipendenti dei processi interni per garantire che i processi stabiliti conformemente ai punti da 5.1 a 5.5 siano attuati in maniera coerente. |
5.7. |
I costruttori devono concludere accordi adeguati (ad esempio accordi contrattuali, interfacce chiare, sistema di gestione della qualità) con i fornitori per fare sì che il sistema di gestione della sicurezza del fornitore sia conforme alle prescrizioni di cui ai punti 5.1 (a eccezione di aspetti relativi al veicolo quali «funzionamento» e «smantellamento»), 5.2, 5.3 e 5.6. |
5.8. |
Certificato di conformità per il sistema di gestione della sicurezza |
5.8.1. |
La domanda di certificato di conformità del sistema di gestione della sicurezza deve essere presentata dal costruttore o da un suo rappresentante accreditato presso l’autorità di omologazione. |
5.8.2. |
La domanda deve essere accompagnata dai documenti indicati qui di seguito, in triplice copia, e dalle informazioni seguenti:
|
5.8.3. |
Se gli esiti dell’ispezione del sistema di gestione della sicurezza sono soddisfacenti e previo ricevimento di una dichiarazione firmata del costruttore conforme al modello di cui all’appendice 3, al costruttore deve essere rilasciato il certificato di conformità del sistema di gestione della sicurezza descritto nell’appendice 4 (in seguito denominato il «certificato di conformità del sistema di gestione della sicurezza»). |
5.8.4. |
Il certificato di conformità del sistema di gestione della sicurezza deve rimanere valido per un massimo di tre anni a decorrere dalla data di rilascio del certificato, a meno che non venga revocato. |
5.8.5. |
L’autorità di omologazione può in qualsiasi momento verificare che i requisiti per il rilascio del certificato di conformità del sistema di gestione della sicurezza continuino a essere soddisfatti. L’autorità di omologazione deve revocare tale certificato se vengono rilevate e non immediatamente risolte non conformità gravi per quanto riguarda il rispetto dei requisiti di cui al presente regolamento. |
5.8.6. |
Il costruttore deve informare l’autorità di omologazione o il suo servizio tecnico di qualsiasi modifica che incida sulla pertinenza del certificato di conformità del sistema di gestione della sicurezza. Dopo aver consultato il costruttore, l’autorità di omologazione o il suo servizio tecnico deve decidere se sono necessari nuovi controlli. |
5.8.7. |
Il costruttore deve richiedere a tempo debito un nuovo certificato di conformità del sistema di gestione della sicurezza o la sua estensione. Nel caso in cui l’ispezione abbia esito positivo, l’autorità di omologazione deve rilasciare un nuovo certificato di conformità del sistema di gestione della sicurezza o prorogare la validità del certificato esistente per un ulteriore periodo di tre anni. L’autorità di omologazione deve verificare che il sistema di gestione della sicurezza continui a soddisfare i requisiti del presente regolamento. L’autorità di omologazione deve rilasciare un nuovo certificato nei casi in cui le modifiche portate all’attenzione dell’autorità di omologazione o del suo servizio tecnico abbiano a loro volta ottenuto una valutazione positiva. |
5.8.8. |
La scadenza o la revoca del certificato di conformità del sistema di gestione della sicurezza del costruttore deve essere considerata, per quanto riguarda i tipi di veicolo per i quali il sistema di gestione della sicurezza in questione era pertinente, come una modifica dell’omologazione che può comportare la revoca dell’omologazione se le condizioni per il rilascio dell’omologazione non sono più soddisfatte. |
6. Disposizione in materia di relazioni
6.1. |
Le relazioni sulla valutazione della sicurezza del principio di sicurezza del sistema di guida automatizzata, nonché l’ispezione del sistema di gestione della sicurezza del costruttore devono consentire la tracciabilità dei dati (ad esempio nei registri del servizio tecnico devono essere riportate, in forma codificata, le versioni dei documenti controllati). |
6.2. |
Un esempio di formato per la relazione sulla valutazione del principio di sicurezza del sistema di guida automatizzata presentata dal servizio tecnico all’autorità di omologazione è fornito nell’appendice 1 della presente parte. Quanto indicato nell’appendice costituisce un insieme minimo di aspetti che devono essere trattati. |
6.3. |
L’autorità che rilascia l’omologazione deve pubblicare i risultati della valutazione di sicurezza da allegare al certificato di omologazione sulla base della documentazione fornita dal costruttore, della relazione sulla valutazione del principio di sicurezza del sistema di guida automatizzata da parte del servizio tecnico e degli esiti delle campagne di verifiche e prove eseguite conformemente alla parte 3 del presente allegato. Un esempio di un possibile formato per i risultati della valutazione della sicurezza è fornito nell’appendice 4. |
7. Competenza degli ispettori/dei valutatori
7.1. |
La valutazione del concetto di sicurezza del sistema di guida automatizzata e l’ispezione del sistema di gestione della sicurezza a norma della presente parte devono essere condotte esclusivamente da valutatori/ispettori che dispongono delle conoscenze tecniche e amministrative necessarie per tali finalità. In particolare devono possedere le necessarie competenze come ispettori/valutatori per le norme ISO 26262:2018 (Sicurezza funzionale — Veicoli stradali) e ISO/PAS 21448 (Sicurezza della funzionalità prevista dei veicoli stradali), e devono essere in grado di stabilire il collegamento necessario con gli aspetti di cibersicurezza conformemente al regolamento UNECE n. 155 e alla norma ISO/SAE 21434. Tale competenza deve essere dimostrata da qualifiche appropriate o altri documenti di formazione equivalenti.
Appendice 1 Modello per la relazione di valutazione del principio di sicurezza del sistema di guida automatizzata Relazione di valutazione della sicurezza n.: 1. Identificazione 1.1. Marca del veicolo 1.2. Tipo di veicolo 1.3. Mezzi di identificazione del tipo di veicolo, se marcati sul veicolo 1.4. Posizione della marcatura 1.5. Nome e indirizzo del costruttore 1.6. Nome e indirizzo dell’eventuale rappresentante del costruttore 1.7. Fascicolo di documentazione ufficiale del costruttoreN. di riferimento della documentazione: Data del primo rilascio: Data dell’ultimo aggiornamento: 2. Metodo di valutazione 2.1. Descrizione dei processi e delle metodologie di valutazione 2.2. Criteri di accettabilità 3. Risultati del riesame del pacchetto di documenti 3.1. Riesame della descrizione del sistema di guida automatizzata 3.2. Riesame del principio di sicurezza del costruttore e analisi della sicurezza del costruttore 3.3. Riesame della verifica e della convalida eseguite dal costruttore, in particolare copertura delle diverse prove e definizione di soglie minime di copertura per varie metriche 3.4. Riesame dei metodi e degli strumenti (software, laboratorio, altro) e della valutazione della credibilità 3.5. Riesame dei requisiti in materia di dati e degli elementi di dati specifici per il registratore di dati di evento del sistema di guida automatizzata per veicoli completamente automatizzati 3.6. Controlli relativi alla copertura del sistema di guida automatizzata da parte dei certificati di cibersicurezza e degli aggiornamenti del software. 3.7. Riesame delle informazioni fornite nel manuale d’uso 3.8. Riesame delle disposizioni relative ai controlli tecnici periodici del sistema di guida automatizzata 3.9. Riesame di ulteriori informazioni non contenute nella scheda informativa 4. Verifica delle funzioni del sistema di guida automatizzata in condizioni di assenza di avarie [di cui all’allegato III, parte 2, punto 4.1.1, del regolamento di esecuzione (UE) 2022/1426 della Commissione, del 5 agosto 2022, recante modalità di applicazione del regolamento (UE) 2019/2144 del Parlamento europeo e del Consiglio per quanto riguarda procedure e specifiche tecniche uniformi per l’omologazione del sistema di guida automatizzata di veicoli completamente automatizzati (2)] 4.1. Logica per la selezione degli scenari di prova 4.2. Scenari di prova selezionati 4.3. Verbali di prova 4.3.1. Prova n. (aggiungere tanti campi quanti sono le prove eseguite) 4.3.1.1. Obiettivi della prova 4.3.1.2. Condizioni di prova 4.3.1.3. Grandezze misurate e dispositivi di misura 4.3.1.4 Criteri di accettabilità 4.3.1.5. Risultati della prova 4.3.1.6. Confronto con la documentazione fornita dal costruttore 5. Verifica del principio di sicurezza del sistema di guida automatizzata in presenza di avaria [di cui all’allegato III, parte 2, punto 4.1.2, del regolamento di esecuzione (UE) 2022/1426] 5.1. Logica per la selezione degli scenari di prova 5.2. Scenari di prova selezionati 5.3. Verbali di prova 5.3.1. Prova n. (aggiungere tanti campi quanti sono le prove eseguite) 5.3.1.1. Obiettivi della prova 5.3.1.2. Condizioni di prova 5.3.1.3. Grandezze misurate e dispositivi di misura 5.3.1.4 Criteri di accettabilità 5.3.1.5. Risultati della prova 5.3.1.6. Confronto con la documentazione fornita dal costruttore 6. Certificato del sistema di gestione della sicurezza (da allegare al presente verbale di prova) 7. Data della valutazione 8. Giudizio finale sull’esito della valutazione di sicurezza 9. Tale valutazione è stata effettuata e i risultati sono stati comunicati in conformità al regolamento di esecuzione (UE) 2022/1426Servizio tecnico che ha effettuato la valutazione
10. Osservazioni: Appendice 2 Modello dei risultati della valutazione del sistema di guida automatizzata da allegare al certificato di omologazione 1. Identificazione 1.1. Marca del veicolo 1.2 Tipo di veicolo 1.3 Mezzi di identificazione del tipo di veicolo, se marcati sul veicolo: 1.4. Posizione della marcatura: 1.5. Nome e indirizzo del costruttore: 1.6. Nome e indirizzo dell’eventuale rappresentante del costruttore: 1.7. Fascicolo di documentazione ufficiale del costruttore:N. di riferimento della documentazione: Data del primo rilascio: Data dell’ultimo aggiornamento: 2. Metodo di valutazione 2.1. Descrizione dei processi e delle metodologie di valutazione 2.2. Criteri di accettabilità 3. Verifica delle funzioni del sistema di guida automatizzata in condizioni di assenza di avarie [di cui all’allegato III, parte 2, punto 4.1.1, del regolamento di esecuzione (UE) 2022/1426] 3.1. Logica per la selezione degli scenari di prova 3.2. Scenari di prova selezionati 4. Verifica del principio di sicurezza del sistema di guida automatizzata in presenza di avaria singola [di cui all’allegato III, parte 2, punto 4.1.2, del regolamento di esecuzione (UE) 2022/1426] 4.1. Logica per la selezione degli scenari di prova 4.2. Scenari di prova selezionati 5. Risultati della valutazione 5.1. Risultati del riesame della scheda informativa 5.2. Risultati della verifica delle funzioni del sistema di guida automatizzata in condizioni di assenza di avarie 5.3. Risultati della verifica del principio di sicurezza del sistema di guida automatizzata in caso di avaria singola 5.4. Risultati della valutazione del sistema di gestione della sicurezza 5.5. Risultati della verifica delle disposizioni per i controlli tecnici periodici 6. Giudizio finale sull’esito della valutazione di sicurezza Appendice 3 Modello di dichiarazione di conformità del sistema di gestione della sicurezza del costruttore Dichiarazione del costruttore attestante la conformità ai requisiti per il sistema di gestione della sicurezza Nome del costruttore: Indirizzo del costruttore: … (nome del costruttore) attesta che i processi necessari per conformare il sistema di gestione della sicurezza ai requisiti di cui al regolamento di esecuzione (UE) 2022/1426 sono stati predisposti e saranno mantenuti. Fatto a: … (luogo) Data: Nome del firmatario: Funzione del firmatario: (Timbro e firma del rappresentante del costruttore) Appendice 4 Modello di certificato di conformità del sistema di gestione della sicurezza Certificato di conformità del sistema di gestione della sicurezza al regolamento di esecuzione (UE) 2022/1426 Numero del certificato [numero di riferimento] [... autorità di omologazione] certifica che il costruttore: ... Indirizzo del costruttore: è conforme alle disposizioni del regolamento di esecuzione (UE) 2022/1426 Sono stati effettuati controlli su: da (nome e indirizzo dell’autorità di omologazione o del servizio tecnico): Numero della relazione: ... Il certificato è valido fino al [...data] Fatto a ... [luogo] In data ... [data] [...firma] Allegati: descrizione del sistema di gestione della sicurezza da parte del costruttore. |
PARTE 3
PROVE
1. Disposizioni generali
I criteri per il superamento e il mancato superamento ai fini della valutazione della sicurezza del sistema di guida automatizzata devono basarsi sui requisiti di cui all’allegato II e sullo scenario descritto nella parte 1 del presente allegato. I requisiti sono definiti in modo tale che i criteri di superamento/mancato superamento possono essere derivati non soltanto per un insieme specifico di parametri di prova, ma anche per tutte le combinazioni di parametri rilevanti per la sicurezza che possono verificarsi nelle condizioni operative oggetto dall’omologazione e nell’intervallo operativo specificato (ad esempio intervallo di velocità, intervallo di accelerazione longitudinale e trasversale, raggi di curvatura, luminosità, numero di corsie). Per le condizioni non sottoposte a prova ma che possono verificarsi all’interno dell’ambito di impiego previsto definito del sistema, il costruttore deve dimostrare in modo soddisfacente per l’autorità di omologazione, nell’ambito della valutazione di cui alla parte 2, che il veicolo è controllato in modo sicuro.
Tali prove devono confermare i requisiti minimi di prestazione di cui all’allegato II così come la funzionalità del sistema di guida automatizzata e il principio di sicurezza del costruttore di cui alla parte 2 del presente allegato. I risultati delle prove devono essere documentati e comunicati conformemente al punto 6 della parte 2 del presente allegato.
Tali prove devono inoltre confermare che il sistema di guida automatizzata è conforme al codice della strada, adegua le sue operazioni alle condizioni ambientali, non condiziona il flusso di traffico (ad esempio bloccando la corsia a causa di un numero eccessivo di manovre di minimizzazione del rischio), non mostra un comportamento imprevedibile e mantiene un comportamento ragionevolmente cooperativo e anticipatorio in situazioni pertinenti (vale a dire in caso di confluenza con traffico intenso o in prossimità di utenti della strada vulnerabili).
2 Sito in cui viene effettuata la prova
Il sito in cui viene effettuata la prova deve comprendere caratteristiche (esempio: valore di attrito) che corrispondono all’ambito di impiego previsto specificato per il sistema di guida automatizzata. Le prove fisiche saranno effettuate all’interno dell’ambito di impego previsto reale (su strada) o in qualsiasi struttura di prova che riproduca le condizioni dell’ambito di impego previsto e devono essere determinate dal costruttore e dall’autorità di omologazione, secondo quanto necessario per applicare le condizioni specifiche dell’ambito di impego previsto del sistema di guida automatizzata. Il sistema di guida automatizzata deve essere sottoposto a prova su strada in conformità al diritto applicabile degli Stati membri e a condizione che le prove possano essere condotte in sicurezza e senza alcun rischio per gli altri utenti della strada.
3. Condizioni ambientali
Le prove devono essere condotte in diverse condizioni ambientali, entro i limiti dell’ambito di impiego previsto definito per il sistema di guida automatizzata. Per le condizioni ambientali non sottoposte a prova ma che possono verificarsi all’interno dell’ambito di impiego previsto definito, nell’ambito della valutazione il costruttore deve dimostrare, in modo soddisfacente per l’autorità di omologazione, che il veicolo è controllato in modo sicuro.
Per sottoporre a prova i requisiti in materia di avaria delle funzioni, autoverifica del sistema di guida automatizzata e avvio e attuazione di una manovra di minimizzazione del rischio, è possibile indurre artificialmente gli errori e il veicolo può essere portato artificiosamente in situazioni nelle quali raggiunge i limiti dell’intervallo operativo definito (ad esempio condizioni ambientali).
4. Modifiche del sistema per finalità di prova
Se sono necessarie modifiche del sistema di guida automatizzata per consentire le prove, ad esempio criteri di valutazione del tipo di strada o informazioni sul tipo di strada (dati cartografici), occorre assicurarsi che tali modifiche non incidano sui risultati delle prove. In linea di principio, tali modifiche devono essere documentate e allegate al verbale di prova. La descrizione e la prova dell’incidenza (eventuale) di tali modifiche devono essere documentate e allegate al verbale di prova.
5. Condizioni del veicolo
5.1. |
Massa di prova
Il veicolo di prova deve essere sottoposto a prova con qualsiasi carico consentito per il veicolo. Una volta iniziata la prova, il carico non deve essere modificato. Il costruttore deve dimostrare, su base documentale, che il sistema di guida automatizzata funziona in tutte le condizioni di carico. |
5.2. |
Il veicolo di prova deve essere sottoposto a prova con gli pneumatici gonfiati alla pressione raccomandata dal costruttore. |
5.3. |
Occorre verificare che la condizione del sistema sia conforme alla finalità prevista della prova (ad esempio una condizione in assenza di guasti o in presenza di guasti specifici da sottoporre a prova). |
6. Strumenti di prova
Oltre ai veicoli reali, per effettuare le prove possono essere utilizzati strumenti di prova allo stato dell’arte per sostituire veicoli reali e altri utenti della strada (ad esempio bersagli morbidi, piattaforme mobili ecc.). Gli strumenti di prova sostitutivi devono essere conformi alle caratteristiche pertinenti per la valutazione delle prestazioni dei sensori, i veicoli reali e gli altri partecipanti al traffico. Le prove non devono essere eseguite in modo tale da mettere in pericolo il personale coinvolto e devono essere evitati danni significativi al veicolo sottoposto a prova qualora siano disponibili altri mezzi di convalida.
7. Variazione dei parametri di prova
Il costruttore deve dichiarare i limiti del sistema all’autorità di omologazione. Quest’ultima deve definire diverse combinazioni di parametri di prova (ad esempio velocità corrente del veicolo, tipo e scostamento del bersaglio, curvatura della corsia ecc.) al fine di sottoporre a prova il sistema di guida automatizzata. I casi di prova selezionati devono fornire una copertura di prova sufficiente per tutti gli scenari, i parametri di prova e le influenze ambientali. Deve essere dimostrata un’adeguata robustezza dei sistemi di percezione per il sistema di guida automatizzata contro il malfunzionamento dei dati di ingresso/sensori e le condizioni ambientali avverse.
I parametri di prova selezionati dall’autorità di omologazione devono essere registrati nel verbale di prova in modo da consentire la tracciabilità e la ripetibilità della configurazione di prova.
8. Scenari di prova per valutare le prestazioni del sistema di guida automatizzata su un tracciato di prova (punti 8.1, 8.2, 8.5, 8.6, 8.7, 8.8, 8.9) e su strada (8.3, 8.4, 8.10)
Gli scenari inclusi nei punti seguenti sono da considerarsi un insieme minimo di prove. Su richiesta dell’autorità di omologazione, possono essere eseguiti scenari aggiuntivi che rientrano nell’ambito di impiego previsto. Se uno scenario di cui al punto 8 del presente allegato non rientra nell’ambito di impiego previsto del veicolo, tale scenario non deve essere preso in considerazione.
A seconda dell’ambito di impiego previsto, gli scenari di prova devono essere selezionati nel contesto della prova di omologazione. Gli scenari di prova devono essere selezionati conformemente alla parte 1 del presente allegato. Le prove di omologazione possono essere effettuate sulla base di simulazioni, manovre su un tracciato di prova e prove di guida nel traffico stradale reale. Per valutare il comportamento del sistema di guida automatizzata, non è tuttavia possibile basarsi esclusivamente su simulazioni al computer e, al momento dell’omologazione, l’autorità di omologazione deve condurre le prove elencate di seguito, o quanto meno assistervi.
8.1. Mantenimento della corsia
Questa prova deve dimostrare che il veicolo completamente automatizzato non lascia la propria corsia e mantiene una posizione stabile all’interno di detta corsia in tutto l’intervallo di velocità e per le diverse curvature nell’ambito dei limiti del sistema.
8.1.1. |
La prova deve essere basata sull’ambito di impiego previsto del sistema di guida automatizzata e deve essere condotta quanto meno:
|
8.2. Manovra di cambio corsia
Le prove devono dimostrare che il veicolo completamente automatizzato non causa un rischio irragionevole per la sicurezza degli occupanti del veicolo e degli altri utenti della strada durante una procedura di cambio corsia e che il sistema di guida automatizzata è in grado di valutare la criticità della situazione prima di iniziare la manovra di cambio corsia per l’intero intervallo di velocità operativa. Tali prove sono necessarie soltanto se il veicolo completamente automatizzato è in grado di eseguire cambi di corsia durante una manovra di minimizzazione del rischio o durante il normale funzionamento.
8.2.1. |
Devono essere condotte le prove seguenti:
|
8.2.2. |
Le prove devono essere effettuate quanto meno:
|
8.3. Risposta a diverse geometrie stradali
Queste prove devono garantire che il veicolo completamente automatizzato rilevi una variazione di diverse geometrie stradali che può verificarsi all’interno dell’ambito di impiego previsto nel contesto del suo intero intervallo di velocità e vi si adatti.
8.3.1. |
La prova deve essere eseguita almeno con gli scenari elencati di seguito in base all’ambito di impiego previsto del sistema di guida automatizzata:
|
8.3.2. |
Ciascuna prova deve essere effettuata almeno:
|
8.4. Risposta al codice della strada nazionale e alle infrastrutture stradali
Queste prove devono garantire che il veicolo completamente automatizzato sia conforme al codice della strada nazionale e si adatti a varie modifiche permanenti e temporanee dell’infrastruttura stradale (ad esempio cantieri stradali) per l’intero intervallo di velocità.
8.4.1. |
Le prove devono essere eseguite almeno con gli scenari elencati di seguito che risultano pertinenti per l’ambito di impiego previsto del sistema di guida automatizzata:
|
8.4.2. |
Ciascuna prova deve essere effettuata almeno:
|
8.5. Prevenzione delle collisioni: capacità di evitare la collisione con utenti della strada od oggetti che ostruiscono la corsia.
Questa prova serve a dimostrare che il sistema di guida automatizzata evita una collisione con un veicolo o un utente della strada fermo o con la corsia interamente o parzialmente bloccata fino alla velocità massima indicata del sistema di guida automatizzata.
8.5.1. |
Questa prova deve essere eseguita almeno con gli scenari seguenti, laddove pertinenti nell’ambito di impiego previsto:
|
8.6. Evitare la frenata di emergenza prima di un oggetto che non impedisce il transito nella corsia. Un «oggetto che non impedisce il transito» è un oggetto sul quale il veicolo può transitare senza causare un rischio irragionevole per gli occupanti del veicolo o altri utenti della strada.
La prova deve dimostrare che il veicolo completamente automatizzato non sta avviando una frenata di emergenza con una richiesta di decelerazione superiore a 5 m/s2 in ragione della presenza di un oggetto che non impedisce il transito nella corsia ed è pertinente per l’ambito di impiego previsto (ad esempio, un tombino o un piccolo ramo) fino alla velocità massima specificata del sistema di guida automatizzata.
8.6.1. |
Questa prova deve essere eseguita almeno con gli scenari seguenti, laddove pertinenti nell’ambito di impiego previsto:
|
8.7. Marcia al seguito di un altro veicolo
Questa prova deve dimostrare che il veicolo completamente automatizzato è in grado di mantenere e ripristinare una posizione stabile e una distanza di sicurezza rispetto a un veicolo che lo precede ed è in grado di impedire la collisione con un veicolo che lo precede e decelera fino alla sua decelerazione massima.
8.7.1. |
Questa prova deve essere eseguita almeno con gli scenari seguenti, laddove pertinenti nell’ambito di impiego previsto:
|
8.8. Immissione nella corsia da parte di un altro veicolo (inserimento in corsia)
Questa prova deve dimostrare che il veicolo completamente automatizzato è in grado di impedire la collisione con un veicolo o un altro utente della strada che si inserisce nella corsia del veicolo completamente automatizzato fino a una certa criticità della manovra di inserimento.
8.8.1. |
La criticità della manovra di inserimento deve essere determinata secondo le disposizioni introdotte nella parte 1 del presente allegato e in funzione della distanza tra il punto più arretrato del veicolo di inserimento e il punto più anteriore del veicolo completamente automatizzato. |
8.8.2. |
Questa prova deve essere eseguita almeno con gli scenari seguenti, ove pertinente per l’ambito di impiego previsto:
|
8.9. Ostacolo fermo dopo il cambio di corsia del veicolo che precede (abbandono della corsia)
Questa prova deve dimostrare che il veicolo completamente automatizzato è in grado di impedire la collisione con un veicolo o un utente della strada fermo o in caso di corsia bloccata che diventa visibile dopo che un veicolo che precede ha evitato una collisione attuando una manovra di schivamento. La prova deve basarsi sui requisiti di cui all’allegato II e sui parametri di scenario di cui alla parte 1 del presente allegato. Per le condizioni non sottoposte a prova ma che possono verificarsi all’interno dell’intervallo operativo definito del veicolo, il costruttore deve dimostrare in modo soddisfacente per le autorità pertinenti, nell’ambito della valutazione di cui all’allegato III, parte 2, che il veicolo è controllato in modo sicuro.
8.9.1. |
Questa prova deve essere eseguita almeno con gli scenari seguenti, ove pertinente per l’ambito di impiego previsto:
|
8.10. Parcheggio
La prova deve dimostrare che il sistema di guida automatizzata è in grado di parcheggiare in parcheggi diversi e con configurazioni di parcheggio diverse in condizioni diverse, e che durante la manovra di parcheggio tale veicolo non provochi danni a beni circostanti, agli utenti della strada e a sé stesso.
8.10.1. |
Questa prova deve essere eseguita almeno con gli scenari seguenti, ove pertinente per l’ambito di impiego previsto:
|
8.11. Spostamenti all’interno di un parcheggio
La prova deve dimostrare che il sistema di guida automatizzata è in grado di gestire la bassa velocità di guida e la generale mancanza di visibilità che si possono riscontrare in un parcheggio.
8.11.1. |
Questa prova deve essere eseguita almeno con gli scenari seguenti, ove pertinente per l’ambito di impiego previsto:
|
8.12. Scenari specifici per autostrada
8.12.1. |
Ingresso in autostrada
La prova deve dimostrare che il sistema di guida automatizzata è in grado di entrare in sicurezza in autostrada. |
8.12.1.1. |
Questa prova deve essere eseguita almeno con gli scenari seguenti, ove pertinente per l’ambito di impiego previsto:
|
8.12.2. |
Uscita dall’autostrada
La prova deve dimostrare che il sistema di guida automatizzata è in grado di uscire in sicurezza dall’autostrada. |
8.12.2.1. |
Questa prova deve essere eseguita almeno con gli scenari seguenti, ove pertinente per l’ambito di impiego previsto:
|
8.12.3. |
Casello autostradale
La prova deve dimostrare che il sistema di guida automatizzata è in grado di selezionare il varco di passaggio corretto e di adattare la propria velocità a quella consentita all’interno dell’area del casello autostradale. |
8.12.3.1. |
Questa prova deve essere eseguita almeno con gli scenari seguenti, ove pertinente per l’ambito di impiego previsto:
|
8.13. Per i veicoli dual mode, passaggio dalla modalità di guida manuale a quella completamente automatizzata.
La prova deve dimostrare che il sistema di guida automatizzata assume il controllo dell’attività di guida dinamica in modo sicuro e soltanto a veicolo fermo.
8.13.1. |
Questa prova deve essere eseguita almeno con gli scenari seguenti, ove pertinente per l’ambito di impiego previsto:
|
8.13.2. |
Questa prova deve essere eseguita almeno con gli scenari seguenti, ove pertinente per l’ambito di impiego previsto:
|
PARTE 4
PRINCIPI PER LA VALUTAZIONE DELLA CREDIBILITÀ PER L’UTILIZZO DI UNA CATENA DEGLI STRUMENTI VIRTUALI NELLA CONVALIDA DEL SISTEMA DI GUIDA AUTOMATIZZATA
1. Generalità
1.1. |
La credibilità può essere conseguita analizzando e valutando cinque proprietà della modellizzazione e simulazione (M&S):
|
1.2. |
Allo stesso tempo il quadro di valutazione della credibilità deve essere sufficientemente generico da poter essere utilizzato per tipi e applicazioni diversi di M&S. Il conseguimento dell’obiettivo è tuttavia complicato dalle ampie differenze tra le caratteristiche del sistema di guida automatizzata e la varietà di tipi e applicazioni di M&S. Queste considerazioni richiedono un quadro di valutazione della credibilità (basato sul rischio/informato) pertinente e adeguato per tutte le applicazioni di M&S. |
1.3. |
Il quadro di valutazione della credibilità fornisce una descrizione generale dei principali aspetti considerati ai fini della valutazione della credibilità di una soluzione di M&S unitamente ai principi sul ruolo dei valutatori di terze parti nel processo di convalida riguardo alla credibilità. Per quanto concerne quest’ultimo punto, l’autorità di omologazione deve esaminare la documentazione prodotta a supporto della credibilità nella fase di valutazione, mentre le prove di convalida effettive avvengono una volta che il costruttore ha sviluppato i sistemi integrati di simulazione. |
1.4. |
In definitiva l’esito della valutazione corrente della credibilità deve definire la dotazione nel cui ambito può essere utilizzato lo strumento virtuale a sostegno della valutazione del sistema di guida automatizzata. |
1.5. |
I requisiti di questa parte hanno quindi lo scopo di dimostrare la credibilità di qualsiasi modello di simulazione o catena degli strumenti virtuali per il suo utilizzo nella convalida del sistema di guida automatizzata. |
2. Definizioni
Ai fini del presente allegato si applicano le definizioni seguenti:
2.1. |
«astrazione»: il processo di selezione degli aspetti essenziali di un sistema sorgente o di un sistema di riferimento da rappresentare in un modello o in una simulazione, ignorando gli aspetti non pertinenti. Qualsiasi astrazione di modellizzazione comporta l’assunzione che non influirà in modo significativo sugli usi previsti dello strumento di simulazione; |
2.2. |
«prove in ambiente chiuso»: un ambiente virtuale che tiene conto delle azioni dell’elemento nell’ambiente chiuso. Gli oggetti simulati rispondono alle azioni del sistema (ad esempio sistema che interagisce con un modello di traffico); |
2.3. |
«deterministico»: un termine che descrive un sistema la cui evoluzione nel tempo può essere prevista esattamente e in cui un dato insieme di stimoli in ingresso produrrà sempre il medesimo risultato; |
2.4. |
«metodo DIL (driver-in-the-loop)»: in genere attuato in un simulatore di guida utilizzato per sottoporre a prova la progettazione dell’interazione uomo-automazione; il DIL dispone di componenti che consentono al conducente di operare e comunicare con l’ambiente virtuale; |
2.5. |
«metodo HIL (hardware-in-the-loop)»: interessa l’hardware finale di un sottosistema specifico del veicolo che esegue il software finale con ingressi e uscite collegati a un ambiente di simulazione per eseguire prove virtuali. Una prova HIL fornisce un modo per replicare sensori, attuatori e componenti meccanici in modo da collegare tutti gli ingressi/le uscite delle centraline elettroniche (ECU) sottoposte a prova, molto prima che il sistema finale sia integrato; |
2.6. |
«modello»: una descrizione o rappresentazione di un sistema, di un’entità, di un fenomeno o di un processo. |
2.7. |
«calibrazione del modello»: il processo di regolazione dei parametri numerici o di modellizzazione nel modello, volto a migliorare l’accordo con un referente; |
2.8. |
«parametri del modello»: valori numerici utilizzati per sostenere la caratterizzazione di una funzionalità del sistema. Un parametro di modello ha un valore che non può essere osservato direttamente nel mondo reale ma che deve essere dedotto dai dati raccolti nel mondo reale (in fase di calibrazione del modello); |
2.9. |
«metodo MIL (model-in-the-loop)»: un approccio che consente un rapido sviluppo algoritmico senza coinvolgere hardware dedicato. Questo livello di sviluppo comporta di solito quadri software di astrazione di alto livello eseguiti su sistemi informatici generici; |
2.10. |
«prova in ambiente aperto»: un ambiente virtuale che non tiene conto delle azioni dell’elemento in un ambiente chiuso (ad esempio un sistema che interagisce con una situazione di traffico registrata); |
2.11. |
«probabilistico»: termine relativo a eventi non deterministici, i cui esiti sono descritti da un livello di probabilità; |
2.12. |
«campo di prova o tracciato di prova»: una struttura di prova fisica chiusa al traffico nella quale è possibile studiare le prestazioni di un sistema di guida automatizzata sul veicolo reale. Gli agenti del traffico possono essere introdotti tramite la stimolazione di sensori o tramite dispositivi fittizi posizionati sul tracciato; |
2.13. |
«stimolazione dei sensori»: una tecnica mediante la quale i segnali generati artificialmente vengono forniti all’elemento oggetto della prova al fine di attivarlo per produrre il risultato necessario a fini di verifica del mondo reale, formazione, manutenzione o ricerca e sviluppo; |
2.14. |
«simulazione»: l’imitazione del funzionamento di un processo o di un sistema del mondo reale nel tempo; |
2.15. |
«modello di simulazione»: un modello le cui variabili di ingresso cambiano nel tempo; |
2.16. |
«catena degli strumenti di simulazione»: una combinazione di strumenti di simulazione utilizzati per sostenere la convalida di un sistema di guida automatizzata; |
2.17. |
«metodo SIL (software-in-the-loop)»: il contesto nel quale sarà valutata l’attuazione del modello sviluppato su sistemi informatici generici. Questo passaggio può utilizzare un’implementazione software completa molto simile a quella finale. Una prova SIL è utilizzata per descrivere una metodologia di prova nella quale il codice eseguibile, ad esempio algoritmi (o anche un’intera strategia del dispositivo di controllo), è sottoposto a prova all’interno di un ambiente di modellizzazione che può contribuire a dimostrare o sottoporre a prova il software; |
2.18. |
«stocastico»: un processo che coinvolge o contiene una o più variabili casuali. Afferente alla causalità o alla probabilità; |
2.19. |
«convalida del modello di simulazione»: un processo destinato a stabilire il grado in cui un modello di simulazione è una rappresentazione accurata del mondo reale dal punto di vista degli usi previsti dello strumento; |
2.20. |
«metodo VIL (vehicle-in-the-loop)»: un ambiente di fusione di un veicolo di prova reale nel mondo reale e in un ambiente virtuale. Può riflettere la dinamica del veicolo allo stesso livello del mondo reale e può essere utilizzato su un banco di prova del veicolo o su un tracciato di prova; |
2.21. |
«verifica del modello di simulazione»: un processo destinato a stabilire la misura in cui un modello di simulazione o uno strumento di prova virtuale è conforme ai suoi requisiti e alle sue specifiche, come indicati in dettaglio nei suoi modelli concettuali, nei modelli matematici o in altri costrutti; |
2.22. |
«prova virtuale»: il processo di prova di un sistema mediante utilizzo di uno o più modelli di simulazione. |
3. Componenti del quadro di valutazione della credibilità e relativi requisiti in materia di documentazione
3.1. |
Il quadro di valutazione della credibilità introduce un modo per valutare e comunicare la credibilità dell’M&S sulla base di criteri di garanzia della qualità, nel contesto del quale è possibile indicare i livelli di fiducia nei risultati. In altre parole, la credibilità è stabilita mediante la valutazione dei seguenti fattori d’influenza sull’M&S, che sono considerati i principali contributori per quanto riguarda le proprietà dell’M&S e, di conseguenza, la relativa credibilità complessiva: a) gestione dell’M&S; b) esperienza e competenza del gruppo; c) analisi e descrizione dell’M&S; d) genealogia dei dati/degli input; ed e) verifica; convalida, caratterizzazione dell’incertezza. Ciascuno di questi fattori indica il livello di qualità raggiunto dall’M&S e il confronto tra i livelli ottenuti e quelli necessari deve stabilire se l’M&S è credibile e idonea all’uso per le prove virtuali. Di seguito è riportata una rappresentazione grafica della relazione tra le componenti del quadro di valutazione della credibilità.
|
3.2. |
Modelli e gestione della simulazione. |
3.2.1. |
Il ciclo di vita dell’M&S è un processo dinamico con rilasci frequenti che devono essere monitorati e documentati. Le attività di gestione devono essere stabilite per sostenere l’M&S in una modalità di gestione del prodotto di lavoro. Devono essere fornite informazioni pertinenti sugli aspetti indicati di seguito. |
3.2.2. |
Il processo di gestione dell’M&S deve:
|
3.2.3. |
Gestione del rilascio delle versioni. |
3.2.3.1. |
Occorre archiviare qualsiasi versione della catena degli strumenti di M&S utilizzata per rilasciare dati a fini di certificazione. I modelli virtuali che costituiscono la catena degli strumenti per le prove devono essere documentati in termini di metodi di convalida e soglie di accettazione corrispondenti per sostenere la credibilità complessiva della catena degli strumenti. Lo sviluppatore deve applicare un metodo per tracciare i dati generati risalendo fino alla versione di M&S corrispondente. |
3.2.3.2. |
Controllo della qualità dei dati virtuali. La completezza, l’accuratezza e la coerenza dei dati devono essere garantite per tutto il processo di rilascio delle versioni e per tutta la durata di vita di una catena degli strumenti di M&S per supportare le procedure di verifica e convalida. |
3.2.4. |
Esperienza e competenza del gruppo. |
3.2.4.1. |
Anche se l’esperienza e la competenza sono già trattate in senso generale all’interno dell’organizzazione, è importante stabilire le basi per la fiducia nelle esperienze e competenze specifiche per l’M&S. |
3.2.4.2. |
La credibilità dell’M&S non dipende soltanto dalla qualità dei modelli di simulazione, ma anche dall’esperienza e dalla competenza del personale coinvolto nella convalida e nell’utilizzo dell’M&S. Ad esempio una corretta comprensione delle limitazioni e del dominio di convalida impedirà il possibile uso improprio dell’M&S o l’errata interpretazione dei suoi risultati. |
3.2.4.3. |
Di conseguenza è importante stabilire le basi per la fiducia del costruttore nell’esperienza e nella competenza dei soggetti seguenti:
|
3.2.4.4. |
Una gestione corretta dell’esperienza e della competenza del gruppo aumenta il livello di fiducia nella credibilità dell’M&S e dei relativi risultati, assicurando che i fattori umani alla base dell’M&S siano presi in considerazione e che ogni possibile rischio della componente umana sia controllato, come previsto in qualsiasi sistema di gestione adeguato. |
3.2.4.5. |
Se la catena degli strumenti del costruttore integra contributi di organizzazioni o prodotti esterni al gruppo del costruttore, o vi fa affidamento, il costruttore fornirà una spiegazione delle misure che ha adottato a sostegno della fiducia che ha riposto nella qualità e nell’integrità di tali contributi. |
3.2.4.6. |
L’esperienza e la competenza del gruppo sono costituite da due livelli. |
3.2.4.6.1. |
Livello organizzativo
La credibilità è stabilita definendo processi e procedure per individuare e mantenere le competenze, le conoscenze e l’esperienza per svolgere attività di M&S. Occorre istituire, mantenere e documentare i processi seguenti:
|
3.2.4.6.2. |
Livello di gruppo
Una volta finalizzata l’M&S, la sua credibilità è dettata principalmente dalle competenze e dalle conoscenze della singola persona/del gruppo che convaliderà la catena degli strumenti di M&S e utilizzerà quest’ultima per la convalida del sistema di guida automatizzata. La credibilità è stabilita dimostrando col supporto di documenti che tali gruppi hanno ricevuto una formazione adeguata per svolgere i loro compiti. Il costruttore deve quindi:
La dimostrazione da parte del costruttore delle modalità con cui applica i principi della norma ISO 9001 o di una migliore pratica o norma analoga per garantire la competenza della sua organizzazione di M&S e delle singole persone incluse in tale organizzazione costituirà la base per tale determinazione. L’autorità di omologazione non può sostituire il proprio giudizio sull’esperienza e sulla competenza dell’organizzazione o dei suoi membri con quello del costruttore. |
3.2.5. |
Genealogia dei dati/degli input |
3.2.5.1. |
La genealogia dei dati/degli input contiene una registrazione della tracciabilità dai dati del costruttore utilizzati nella convalida dell’M&S. |
3.2.5.2. |
Descrizione dei dati utilizzati per l’M&S
|
3.2.5.3. |
Effetto della qualità dei dati (ad esempio copertura dei dati, rapporto segnale/rumore e incertezza/distorsioni/frequenza di campionamento dei sensori) sull’incertezza dei parametri del modello.
La qualità dei dati utilizzati per sviluppare il modello influenzerà la stima e la calibrazione dei parametri del modello. L’incertezza nei parametri del modello sarà un altro aspetto importante nell’analisi finale dell’incertezza. |
3.2.6. |
Genealogia dei dati/degli output |
3.2.6.1. |
La genealogia dei dati/degli output contiene una registrazione degli output di M&S utilizzati per la convalida del sistema di guida automatizzata. |
3.2.6.2. |
Descrizione dei dati generati dall’M&S
|
3.2.6.3. |
Effetto della qualità dei dati sulla credibilità dell’M&S
|
3.2.6.4. |
Gestione dei modelli stocastici
|
3.3. |
Analisi e descrizione dell’M&S |
3.3.1. |
L’analisi e la descrizione dell’M&S mirano a definire l’intera M&S nonché a individuare lo spazio dei parametri che può essere valutato tramite prove virtuali. Esse definiscono l’ambito e le limitazioni dei modelli e della catena degli strumenti e le fonti di incertezza che possono incidere sui suoi risultati. |
3.3.2. |
Descrizione generale |
3.3.2.1. |
Il costruttore deve fornire una descrizione dell’intera catena degli strumenti e spiegare le modalità con cui i dati di simulazione saranno utilizzati per sostenere la strategia di convalida del sistema di guida automatizzata. |
3.3.2.2. |
Il costruttore deve fornire una chiara descrizione dell’obiettivo della prova. |
3.3.3. |
Ipotesi, limitazioni note e fonti di incertezza |
3.3.3.1. |
Il costruttore deve motivare le ipotesi di modellizzazione che hanno guidato la progettazione della catena degli strumenti di M&S. |
3.3.3.2. |
Spetta al costruttore comprovare quanto segue:
|
3.3.3.3. |
Il costruttore deve fornire una giustificazione del fatto che la tolleranza per la correlazione simulazione-realtà sia accettabile per l’obiettivo della prova. |
3.3.3.4. |
Questa sezione deve, infine, comprendere informazioni sulle fonti di incertezza presenti nel modello. Ciò rappresenterà un contributo importante per l’analisi finale dell’incertezza, che definirà le modalità tramite cui gli output del modello possono essere influenzati dalle diverse fonti di incertezza del modello utilizzato. |
3.3.4. |
Ambito di applicazione (modalità di utilizzo dell’M&S nella convalida del sistema di guida automatizzata) |
3.3.4.1. |
La credibilità dello strumento virtuale deve essere rafforzata da un ambito di utilizzo chiaramente definito dei modelli sviluppati. |
3.3.4.2. |
L’M&S maturata deve consentire una virtualizzazione dei fenomeni fisici con un grado di accuratezza che corrisponda al livello di fedeltà richiesto per la certificazione. Di conseguenza l’M&S costituirà un «campo di prova virtuale» per le prove relative al sistema di guida automatizzata. |
3.3.4.3. |
I modelli di simulazione richiedono scenari e metriche dedicati per la convalida. La selezione degli scenari utilizzati per la convalida deve essere sufficiente affinché la catena degli strumenti funzioni allo stesso modo in scenari esterni all’ambito di convalida. |
3.3.4.4. |
Il costruttore deve fornire un elenco di scenari di convalida unitamente alle limitazioni dei parametri corrispondenti. |
3.3.4.5. |
L’analisi dell’ambito di impiego previsto costituisce un contributo cruciale per derivare requisiti, ambito di applicazione ed effetti che l’M&S deve considerare al fine di sostenere la convalida del sistema di guida automatizzata. |
3.3.4.6. |
I parametri generati per gli scenari definiranno dati estrinseci e intrinseci per la catena degli strumenti e i modelli di simulazione. |
3.3.5. |
Valutazione della criticità |
3.3.5.1. |
I modelli di simulazione e gli strumenti di simulazione utilizzati nell’intera catena degli strumenti devono essere esaminati in termini di responsabilità in caso di errore di sicurezza nel prodotto finale. L’approccio proposto per l’analisi della criticità è derivato dalla norma ISO 26262, che richiede la qualificazione di alcuni degli strumenti utilizzati nel processo di sviluppo. |
3.3.5.2. |
Al fine di determinare il livello della criticità dei dati simulati, la valutazione della criticità deve considerare i parametri seguenti:
|
3.3.5.3. |
Dal punto di vista della valutazione della criticità, i tre possibili casi di valutazione sono:
|
3.4. |
Verifica |
3.4.1. |
La verifica di un’attività di M&S comporta l’analisi della corretta attuazione dei modelli concettuali/matematici che costituiscono la catena degli strumenti di M&S. La verifica contribuisce alla credibilità dell’M&S fornendo la garanzia che l’M&S non adotterà un comportamento irrealistico per una serie di input che non possono essere sottoposti a prova. La procedura si basa su un approccio multifase che comprende la verifica del codice, la verifica del calcolo e l’analisi della sensibilità. |
3.4.2. |
Verifica del codice |
3.4.2.1. |
La verifica del codice prevede prove che dimostrino che nessun difetto numerico/logico incide sui modelli virtuali |
3.4.2.2. |
Il costruttore deve documentare l’esecuzione di tecniche di verifica del codice idonee, ad esempio verifica statica/dinamica del codice, analisi di convergenza e confronto con soluzioni esatte, se del caso. |
3.4.2.3. |
Il costruttore deve fornire la documentazione che dimostri che l’esplorazione nel dominio dei parametri di input è stata sufficientemente ampia da individuare la combinazione di parametri per i quali l’M&S mostra un comportamento instabile o non realistico. Le metriche di copertura delle combinazioni di parametri possono essere utilizzate per dimostrare la necessaria esplorazione dei comportamenti dei modelli. |
3.4.2.4. |
Il costruttore deve adottare procedure di controllo dell’integrità/della coerenza ogniqualvolta i dati lo consentano. |
3.4.3. |
Verifica del calcolo |
3.4.3.1. |
La verifica del calcolo si occupa della stima degli errori numerici che incidono sull’M&S. |
3.4.3.2. |
Il costruttore deve documentare le stime degli errori numerici (ad esempio errore di discretizzazione, errore di arrotondamento, convergenza delle procedure iterative). |
3.4.3.3. |
Gli errori numerici devono essere mantenuti sufficientemente limitati in modo da non incidere sulla convalida. |
3.4.4. |
Analisi della sensibilità |
3.4.4.1. |
L’analisi della sensibilità mira a quantificare le modalità con cui i valori di output del modello sono influenzati dalle variazioni dei valori di input del modello e a individuare così i parametri che hanno il maggiore impatto sui risultati del modello di simulazione. Lo studio della sensibilità contribuisce altresì a determinare la misura in cui il modello di simulazione soddisfa le soglie di convalida quando è soggetto a piccole variazioni dei parametri. È quindi fondamentale sostenere la credibilità dei risultati della simulazione. |
3.4.4.2. |
Il costruttore deve fornire documentazione giustificativa per dimostrare che i parametri più critici che incidono sull’output della simulazione sono stati individuati mediante tecniche di analisi della sensibilità, ad esempio applicando una perturbazione dei parametri del modello. |
3.4.4.3. |
Il costruttore deve dimostrare che sono state adottate procedure di taratura affidabili per individuare e tarare i parametri più critici al fine di aumentare la credibilità della catena degli strumenti sviluppata. |
3.4.4.4. |
In definitiva i risultati dell’analisi della sensibilità contribuiranno altresì a definire gli input e i parametri la cui caratterizzazione dell’incertezza richiede un’attenzione particolare al fine di definire correttamente l’incertezza dei risultati della simulazione. |
3.4.5. |
Convalida |
3.4.5.1. |
Il processo quantitativo per determinare la misura in cui un modello o una simulazione è una rappresentazione accurata del mondo reale dal punto di vista degli usi previsti dell’M&S richiede la selezione e la definizione di vari elementi. |
3.4.5.2. |
Misure di prestazione (metriche) |
3.4.5.2.1. |
Le misure di prestazione sono le metriche utilizzate per confrontare il modello di simulazione con il mondo reale. Le misure di prestazione sono definite durante l’analisi dell’M&S. |
3.4.5.2.2. |
Tra le metriche per la convalida possono figurare:
|
3.4.5.3. |
Bontà delle misure di adattamento |
3.4.5.3.1. |
I quadri analitici vengono utilizzati per confrontare il mondo reale e le metriche di simulazione. Si tratta in genere di indicatori chiave di prestazione che indicano la comparabilità statistica tra due serie di dati. |
3.4.5.3.2. |
La convalida deve dimostrare che tali indicatori sono soddisfatti. |
3.4.5.4. |
Metodologia di convalida |
3.4.5.4.1. |
Il costruttore deve definire gli scenari logici utilizzati per la convalida della catena degli strumenti virtuali di prova. Tali scenari devono essere in grado di coprire nella massima misura possibile l’ambito di impiego previsto delle prove virtuali per la convalida del sistema di guida automatizzata |
3.4.5.4.2. |
La metodologia esatta dipende dalla struttura e dalla finalità della catena degli strumenti. La convalida può consistere in uno o più dei seguenti elementi:
|
3.4.5.5. |
Requisito in materia di accuratezza |
3.4.5.5.1. |
Il requisito per la soglia di correlazione è definito durante l’analisi dell’M&S. La convalida deve mostrare che gli indicatori chiave di prestazione individuati al punto 3.4.5.3.1 della presente parte sono soddisfatti. |
3.4.5.6. |
Ambito di applicazione della convalida (la parte della catena degli strumenti da convalidare) |
3.4.5.6.1. |
Una catena degli strumenti è composta da più strumenti e ogni strumento utilizzerà una serie di modelli. L’ambito di applicazione della convalida comprende tutti gli strumenti e i modelli pertinenti soggetti a convalida. |
3.4.5.7. |
Risultati della convalida interna |
3.4.5.7.1. |
La documentazione non deve soltanto comprovare la convalida del modello di simulazione, ma deve anche essere utilizzata per ottenere informazioni sufficienti sui processi e sui prodotti che garantiscono la credibilità complessiva della catena degli strumenti utilizzata. |
3.4.5.7.2. |
La documentazione/i risultati possono essere riportati da precedenti valutazioni di credibilità. |
3.4.5.8. |
Risultati della convalida indipendente |
3.4.5.8.1. |
L’autorità di omologazione deve valutare la documentazione fornita dal costruttore e può effettuare prove fisiche dello strumento integrato completo. |
3.4.5.9. |
Caratterizzazione dell’incertezza |
3.4.5.9.1. |
La presente sezione riguarda la caratterizzazione della variabilità attesa dei risultati della catena degli strumenti virtuali. La valutazione deve essere costituita da due fasi. In una prima fase le informazioni raccolte nell’analisi e nella descrizione dell’M&S e le sezioni di genealogia dei dati/degli input sono utilizzate per caratterizzare l’incertezza nei dati di input, nei parametri del modello e nella struttura di modellizzazione. In seguito, propagando tutte le incertezze attraverso la catena degli strumenti virtuali, si quantifica l’incertezza nei risultati del modello. A seconda dell’incertezza nei risultati del modello, il costruttore dovrà introdurre margini di sicurezza adeguati nell’uso delle prove virtuali per la convalida del sistema di guida automatizzata. |
3.4.5.9.2. |
Caratterizzazione dell’incertezza nei dati di input
Il costruttore deve dimostrare di aver adeguatamente stimato gli input del modello critico mediante tecniche affidabili quali ripetizioni multiple per la valutazione della quantità. |
3.4.5.9.3. |
Caratterizzazione dell’incertezza nei parametri del modello (a seguito di taratura)
Il costruttore deve dimostrare che i parametri del modello critico che non possono essere stimati in modo identico sono caratterizzati mediante una distribuzione e/o intervalli di fiducia. |
3.4.5.9.4. |
Caratterizzazione dell’incertezza nella struttura dell’M&S
Il costruttore deve dimostrare che alle ipotesi di modellizzazione è attribuita una caratterizzazione quantitativa dell’incertezza generata (ad esempio confrontando gli output di diversi approcci di modellizzazione, ove possibile). |
3.4.5.9.5. |
Caratterizzazione dell’incertezza aleatoria rispetto a quella epistemica:
il costruttore deve mirare a distinguere tra la componente aleatoria dell’incertezza (che può essere solo stimata ma non ridotta) e l’incertezza epistemica derivante dalla mancanza di conoscenza nella virtualizzazione del processo (che può invece essere ridotta). |
4. Struttura della documentazione
4.1. |
La presente sezione stabilisce le modalità atte a raccogliere e organizzare le informazioni di cui sopra nella documentazione fornita dal costruttore all’autorità competente. |
4.2. |
Il costruttore deve produrre un documento (un «manuale di simulazione») strutturato in linea con il presente prospetto per fornire dati oggettivi sugli argomenti presentati. |
4.3. |
La documentazione deve essere consegnata unitamente al corrispondente rilascio dell’M&S e dei relativi dati prodotti. |
4.4. |
Il costruttore deve fornire riferimenti chiari che consentano di risalire dalla documentazione all’M&S/ai dati corrispondenti. |
4.5. |
La documentazione deve essere conservata durante l’intero ciclo di vita dell’utilizzo dell’M&S. L’autorità di omologazione può sottoporre ad ispezione il costruttore valutandone la documentazione e/o effettuando prove fisiche. |
PARTE 5
SEGNALAZIONI IN SERVIZIO
1. Definizioni
Ai fini del presente allegato, si applicano le definizioni seguenti:
1.1. |
«evento»: una situazione relativa alla sicurezza che coinvolge un veicolo dotato di un sistema di guida automatizzata; |
1.2. |
«evento non critico»: un evento caratterizzato da un’interruzione del funzionamento, un difetto, un guasto o altra circostanza che ha o potrebbe avere influenzato la sicurezza del sistema di guida automatizzata e che non ha provocato un incidente o un inconveniente grave. In questa categoria rientrano ad esempio gli incidenti minori, una diminuzione della sicurezza che non impedisce il funzionamento normale, manovre di emergenza/complesse per evitare una collisione e, più in generale, tutti gli eventi pertinenti per le prestazioni di sicurezza del sistema di guida automatizzata su strada (come l’interazione con l’operatore remoto ecc.); |
1.3. |
«evento critico»: ogni evento in cui il sistema di guida automatizzata è impegnato al momento di una collisione e a causa del quale:
|
2. Notifiche e segnalazioni da parte del costruttore
2.1. |
Il costruttore notifica senza indugio gli eventi critici dal punto di vista della sicurezza alle autorità di omologazione, alle autorità di vigilanza del mercato e alla Commissione. |
2.2. |
Il costruttore deve segnalare entro un mese alle autorità di omologazione, alle autorità di vigilanza del mercato e alla Commissione qualsiasi evento a breve termine, come descritto nell’appendice 1, cui il costruttore stesso deve porre rimedio. |
2.3. |
Il costruttore deve riferire ogni anno in merito agli eventi elencati nell’appendice 1 all’autorità di omologazione che ha rilasciato l’omologazione. Tale relazione deve fornire dati oggettivi sulle prestazioni del sistema di guida automatizzata in relazione agli eventi rilevanti per la sicurezza sul campo. In particolare, deve dimostrare che:
L’autorità di rilascio dell’omologazione deve condividere queste informazioni con le autorità di omologazione, le autorità di vigilanza del mercato e la Commissione. |
2.4. |
Le autorità di omologazione, le autorità di vigilanza del mercato e la Commissione possono richiedere al costruttore i dati giustificativi utilizzati per trattare le informazioni fornite nelle segnalazioni e nelle notifiche in servizio. Tali dati devono essere scambiati per mezzo di un file di scambio dei dati concordato. Le autorità di omologazione, le autorità di vigilanza del mercato e la Commissione devono adottare tutte le misure necessarie per garantire la sicurezza di tali dati. |
2.5. |
Qualsiasi pretrattamento dei dati dovrebbe essere notificato all’autorità di rilascio dell’omologazione nella segnalazione dei dati in servizio.
Appendice 1 Elenco degli eventi per le segnalazioni in servizio Gli eventi sono stati suddivisi in quattro categorie, in base alla loro rilevanza per l’attività di guida dinamica, per l’interazione con gli utenti dei veicoli completamente automatizzati e per le condizioni tecniche del sistema di guida automatizzata. Per ogni evento è stata evidenziata nella tabella sottostante la rilevanza per la segnalazione a breve termine e/o periodica. La segnalazione periodica degli eventi dovrebbe essere presentata sotto forma di dati aggregati (per ciascuna ora di funzionamento o per ciascun km percorso) per tipo di veicolo del sistema di guida automatizzata e in relazione al funzionamento del sistema di guida automatizzata (ossia quando il sistema di guida automatizzata è attivato).
|
(1) ECE/TRANS/WP.29/2022/59/Rev.1.
(2) Cfr. pag. 1 della presente Gazzetta ufficiale.
ALLEGATO IV
CERTIFICATO DI OMOLOGAZIONE UE (SISTEMA DEL VEICOLO)
Notifica riguardante il rilascio/l’estensione/il rifiuto/la revoca (1) dell’omologazione di un tipo di veicolo per quanto riguarda il suo sistema di guida automatizzata (ADS) a norma delle prescrizioni del regolamento di esecuzione (UE) 2022/1426, modificato da ultimo dal regolamento di esecuzione (UE) …/….
Numero del certificato di omologazione UE:
Motivo dell’estensione/del rifiuto/della revoca (1):
SEZIONE I
0.1. |
Marca (denominazione commerciale del costruttore): |
0.2. |
Tipo: |
0.2.1. |
Eventuali denominazioni commerciali: |
0.3. |
Mezzi di identificazione del tipo, se marcati sul veicolo: |
0.3.1. |
Posizione della marcatura: |
0.4. |
Categoria del veicolo: |
0.5. |
Nome e indirizzo del costruttore: |
0.8. |
Denominazione/i e indirizzo/i dello/degli stabilimento/i di montaggio: |
0.9. |
Nome e indirizzo dell’eventuale rappresentante del costruttore: |
SEZIONE II
1. |
Eventuali informazioni aggiuntive: cfr. addendum. |
2. |
Servizio tecnico responsabile dell’esecuzione delle prove: |
3. |
Data del verbale di prova: |
4. |
Numero del verbale di prova: |
5. |
Eventuali osservazioni: cfr. addendum. |
6. |
Luogo: |
7. |
Data: |
8. |
Firma: |
Addendum
al certificato di omologazione UE n. …
1.
Descrizione scritta e/o disegno del sistema di guida automatizzata comprensivo di quanto segue.
1.1.
Ambito di impiego previsto, limiti del sistema e velocità massima indicata del sistema di guida automatizzata secondo quanto dichiarato dal costruttore:
1.2.
Descrizione delle funzioni principali del sistema di guida automatizzata
1.2.1.
Funzioni interne al veicolo
1.2.2.
Funzioni esterne al veicolo (ad esempio back-end, infrastruttura esterna necessaria, misure operative necessarie)
1.3.
Sistema di rilevamento (inclusi i componenti):
1.4.
Installazione del sistema di rilevamento del sistema di guida automatizzata:
1.5.
Identificazione del software del sistema di guida automatizzata:
2.
Descrizione scritta e/o disegno della supervisione umana del sistema di guida automatizzata
2.1.
Operatore da remoto e intervento da remoto sul sistema di guida automatizzata
2.2.
Dispositivi di attivazione/disattivazione del sistema di guida automatizzata
2.3.
Monitoraggio all’interno del veicolo
2.4.
Eventuali limitazioni del sistema dovute a fattori ambientali o stradali
3.
Descrizione scritta e/o disegno delle informazioni fornite agli occupanti del veicolo o ad altri utenti della strada
3.1.
Stato del sistema:
3.2.
Richiesta all’operatore di bordo/operatore per interventi da remoto:
3.3.
Manovra di minimizzazione del rischio:
3.4.
Manovra di emergenza:
4.
Elementi di dati del sistema di guida automatizzata
4.1.
Elementi dei dati del sistema di guida automatizzata verificati dopo le prove eseguite in conformità all’allegato III, parte 3:
4.2.
Documentazione relativa alla recuperabilità dei dati, all’autoverifica dell’integrità dei dati e alla protezione dalla manipolazione dei dati archiviati: sì/no
5.
Cibersicurezza e aggiornamenti del software
5.1.
Numero di omologazione per la cibersicurezza:
5.2.
Numero di omologazione per gli aggiornamenti del software:
6.
Valutazione degli aspetti di sicurezza funzionale e operativa del sistema di guida automatizzata
6.1.
Riferimento ai documenti del costruttore per la valutazione (compreso il numero di versione):
6.2.
Scheda informativa
7.
Servizio tecnico incaricato di eseguire le prove di omologazione
7.1.
Data del verbale di prova rilasciato da tale servizio:
7.2.
(Riferimento) Numero del verbale rilasciato da tale servizio
8.
Allegati
Addendum 1 — |
Scheda informativa per i sistemi di guida automatizzata (fare riferimento all’allegato I del regolamento di esecuzione (UE) 2022/1426) |
Addendum 2 — |
Stati membri e zone specifiche in cui il sistema di guida automatizzata è risultato conforme al codice della strada locale in base a quanto dichiarato dal costruttore Elenco dei documenti presentati nel fascicolo di omologazione depositato presso i servizi amministrativi che hanno rilasciato l’omologazione; tali documenti sono disponibili su richiesta |
Addendum 3 — |
Relazione di valutazione/risultati delle prove del sistema di guida automatizzata elaborati dall’autorità di rilascio dell’omologazione |
Addendum 4 — |
Certificato di conformità del sistema di gestione della sicurezza |
(1) Cancellare quanto non pertinente.