9.3.2021

Gazzetta ufficiale dell’Unione europea

L 82/1

Solo i testi UNECE originali hanno efficacia giuridica ai sensi del diritto internazionale pubblico. Lo status e la data di entrata in vigore del presente regolamento devono essere controllati nell'ultima versione del documento UNECE TRANS/WP.29/343, reperibile al seguente indirizzo: http://www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29fdocstts.html

Regolamento UNECE n. 153 - Disposizioni uniformi relative all'omologazione dei veicoli per quanto riguarda l'integrità dell'impianto di alimentazione e la sicurezza del motopropulsore elettrico in caso di tamponamento [2021/386]

Data di entrata in vigore: 22 gennaio 2021

Il presente documento è inteso esclusivamente come strumento di documentazione. Il testo facente fede e giuridicamente vincolante è: ECE/TRANS/WP.29/2020/76.

INDICE

REGOLAMENTO

Ambito di applicazione

Definizioni

Domanda di omologazione

Omologazione

Prescrizioni

Prova

Modifiche ed estensioni dell'omologazione di un tipo di veicolo

Conformità della produzione

Sanzioni in caso di non conformità della produzione

10.

Cessazione definitiva della produzione

11.

Nomi e indirizzi dei servizi tecnici responsabili delle prove di omologazione e delle autorità di omologazione

ALLEGATI

Notifica

Esempi di marchi di omologazione

Procedura di prova d'urto posteriore

Condizioni e procedure di prova per la valutazione dell'impianto di alimentazione a idrogeno in seguito ad urto

Procedure di prova per i veicoli muniti di motopropulsore elettrico

1. AMBITO DI APPLICAZIONE

Il presente regolamento si applica ai veicoli della categoria M1 (1) la cui massa massima ammessa non supera le 3,5 tonnellate e ai veicoli della categoria N1 per quanto riguarda l'integrità dell'impianto di alimentazione e la sicurezza del motopropulsore elettrico ad alta tensione in caso di tamponamento.

2. DEFINIZIONI

Ai fini del presente regolamento si intende per:

2.1.

«tipo di veicolo», una categoria di veicoli a motore che non differiscono tra loro per quanto riguarda caratteristiche essenziali quali:

2.1.1.

la lunghezza e la larghezza del veicolo, nella misura in cui incidono sui risultati della prova d'urto prescritta dal presente regolamento;

2.1.2.

la struttura, le dimensioni, le forme e i materiali della parte del veicolo situata posteriormente al piano trasversale passante per il punto R del sedile più arretrato;

2.1.3.

le linee e le dimensioni interne dell'abitacolo, nella misura in cui incidono sui risultati della prova d'urto prescritta dal presente regolamento;

2.1.4.

la posizione (anteriore, posteriore o centrale) e l'orientamento (trasversale o longitudinale) del motore, nella misura in cui incidono negativamente sui risultati della prova d'urto prescritta dal presente regolamento;

2.1.5.

la massa a vuoto, nella misura in cui incide negativamente sui risultati della prova d'urto prescritta dal presente regolamento;

2.1.6.

l'ubicazione del sistema ricaricabile di accumulo dell'energia elettrica (REESS), nella misura in cui incide negativamente sui risultati della prova d'urto prescritta dal presente regolamento;

2.1.7.

la struttura, la forma, le dimensioni e i materiali (metallo/plastica) del serbatoio o dei serbatoi;

2.1.8.

l'ubicazione del serbatoio o dei serbatoi nel veicolo, nella misura in cui incide negativamente sulle prescrizioni di cui al punto 5.2.1;

2.1.9.

le caratteristiche e l'ubicazione dell'impianto di alimentazione (pompa, filtri, ecc.);

2.2.

«abitacolo», lo spazio destinato agli occupanti, delimitato da tetto, pavimento, pareti laterali, porte, vetri esterni, paratia anteriore e posteriore o sponda posteriore e dalle barriere e i carter di protezione elettrica che servono a proteggere gli occupanti dal contatto diretto con parti ad alta tensione;

2.3.

«massa a vuoto», la massa del veicolo in ordine di marcia, non occupato e a vuoto, ma completo di combustibile, refrigerante, lubrificante, attrezzi e ruota di scorta (se fornita in dotazione standard dal costruttore del veicolo);

2.4.

«serbatoio», il serbatoio o i serbatoi destinati a contenere il combustibile liquido, definito al punto 2.6, o idrogeno gassoso compresso, usato essenzialmente per la propulsione del veicolo, esclusi i suoi accessori (tubo di immissione, se elemento separato, bocchettone di immissione, tappo, indicatore di livello, tubi di collegamento al motore o destinati a compensare una sovrappressione interna, ecc.);

2.5.

«capacità del serbatoio di combustibile», la capacità del serbatoio di combustibile specificata dal costruttore;

2.6.

«combustibile liquido», un combustibile che è liquido in condizioni normali di temperatura e di pressione;

2.7.

«alta tensione», la classificazione di un componente o di un circuito elettrico quando il valore quadratico medio (rms) della tensione di esercizio è > 60 V e ≤ 1 500 V in corrente continua (CC) o > 30 V e ≤ 1 000 V in corrente alternata (CA);

2.8.

«sistema ricaricabile di accumulo dell'energia elettrica (REESS)», il sistema ricaricabile di accumulo dell'energia che fornisce l'energia elettrica per la propulsione.

Una batteria che ha la funzione principale di fornire energia elettrica per l'avviamento del motore e/o dell'illuminazione e/o di altri sistemi ausiliari del veicolo non è considerata un REESS. (In questo contesto «funzione principale» significa che oltre il 50 % dell'energia della batteria è utilizzata per l'avviamento del motore e/o per l'illuminazione e/o altri sistemi ausiliari del veicolo durante un ciclo di guida adeguato, p. es. WLTC per M1 e N1);

2.9.

«barriera di protezione elettrica», parte che protegge dal contatto diretto con le parti ad alta tensione;

2.10.

«motopropulsore elettrico», il circuito elettrico comprendente il motore o i motori di trazione ed eventualmente il REESS, il sistema di conversione dell'energia elettrica, i convertitori elettronici, i relativi cablaggi e connettori e il sistema di accoppiamento per caricare il REESS;

2.11.

«parti sotto tensione», le parti conduttrici destinate a caricarsi elettricamente in condizioni di esercizio normali;

2.12.

«parte conduttrice esposta», parte conduttrice che può essere toccata se ricorre il grado di protezione IPXXB, che normalmente non è sotto tensione ma che può caricarsi elettricamente in caso di isolamento difettoso. Sono comprese le parti poste sotto una protezione che può essere rimossa senza l'ausilio di attrezzi;

2.13.

«contatto diretto», il contatto di persone con parti ad alta tensione;

2.14.

«contatto indiretto», il contatto di persone con parti conduttrici esposte;

2.15.

«grado di protezione IPXXB», indica la protezione dal contatto con parti ad alta tensione data da una barriera di protezione elettrica o da un carter, sottoposta a prova usando un dito di prova articolato (grado di protezione IPXXB) come descritto nell'allegato 5, punto 4;

2.16.

«tensione di esercizio», il valore quadratico medio (rms) più elevato della tensione di un circuito elettrico, indicato dal costruttore, che può essere rilevato tra qualsiasi parte conduttrice in condizioni di circuito aperto o in condizioni di esercizio normali. Se il circuito elettrico è suddiviso in più circuiti per isolamento galvanico, la tensione di esercizio è definita per ciascun circuito separato;

2.17.

«sistema di accoppiamento per caricare il sistema ricaricabile di accumulo dell'energia elettrica (REESS)», il circuito elettrico impiegato per caricare il REESS da una fonte di energia elettrica esterna, inclusa la presa del veicolo;

2.18.

«telaio elettrico», una serie di parti conduttrici, collegate elettricamente, il cui potenziale elettrico è preso come valore di riferimento;

2.19.

«circuito elettrico», un insieme di parti ad alta tensione tra loro interconnesse, destinato a caricarsi elettricamente in condizioni di funzionamento normale;

2.20.

«sistema di conversione dell'energia elettrica», un sistema (ad esempio una pila a combustibile) che produce e fornisce energia elettrica per la trazione elettrica;

2.21.

«convertitore elettronico», un dispositivo in grado di comandare e/o di convertire l'energia elettrica per la trazione elettrica;

2.22.

«carter», la parte che racchiude le unità interne e le protegge dal contatto diretto;

2.23.

«bus ad alta tensione», il circuito elettrico, comprendente il sistema di accoppiamento per caricare il REESS, che funziona ad alta tensione. Nel caso dei circuiti elettrici collegati galvanicamente tra loro che soddisfano la condizione di tensione specifica, solo i relativi componenti o le relative parti funzionanti ad alta tensione sono classificati come bus ad alta tensione;

2.24.

«isolante solido», il rivestimento isolante del cablaggio che copre le parti ad alta tensione impedendo il contatto diretto con esse;

2.25.

«sezionatore automatico», un dispositivo che, se attivato, separa conduttivamente le fonti di energia elettrica dal resto del circuito ad alta tensione del motopropulsore elettrico;

2.26.

«batteria di trazione di tipo aperto», un tipo di batteria che ha bisogno di un liquido e che produce idrogeno rilasciato nell'atmosfera;

2.27.

«elettrolita acquoso», un elettrolita ottenuto impiegando acqua come solvente per i composti (acidi o basi, per esempio) che, in seguito a dissociazione, produce ioni conduttori;

2.28.

«fuoriuscita di elettrolita», la fuga di elettrolita dal REESS in forma liquida;

2.29.

«elettrolita non acquoso», un elettrolita ottenuto impiegando come solvente un liquido diverso dall'acqua;

2.30.

«condizioni di esercizio normali», le modalità e le condizioni di esercizio che possono ragionevolmente verificarsi durante il normale funzionamento del veicolo, come la marcia entro i limiti di velocità, il parcheggio o la marcia a regime minimo nel traffico, nonché il caricamento della batteria con caricabatteria compatibili con gli specifici connettori di ricarica installati sul veicolo. Non sono comprese le condizioni in cui il veicolo è danneggiato a causa di incidente, detriti stradali o vandalismo, incendio o immersione in acqua, oppure quando è necessaria o è in corso una riparazione o una manutenzione;

2.31.

«condizione di tensione specifica», la condizione in cui la tensione massima raggiunta da un circuito elettrico connesso galvanicamente tra una parte sotto tensione CC e qualsiasi altra parte sotto tensione (CC o CA) è ≤ 30 V CA (rms) e ≤ 60 V CC.

Nota:

quando una parte sotto tensione CC di tale circuito elettrico è collegata al telaio e si applica la condizione di tensione specifica, la tensione massima tra qualsiasi parte sotto tensione e il telaio elettrico è ≤ 30 V CA (rms) e ≤ 60 V CC.

3. DOMANDA DI OMOLOGAZIONE

3.1.

La domanda di omologazione di un tipo di veicolo per quanto riguarda l'integrità dell'impianto di alimentazione e la sicurezza del motopropulsore elettrico ad alta tensione in caso di tamponamento deve essere illustrata dal costruttore del veicolo o dal suo mandatario secondo la procedura di cui alla scheda 3 dell'accordo (E/ECE/TRANS/505/Rev.3).

3.2.

Il modello della scheda informativa è riportato nell'allegato 1, appendice 1.

4. OMOLOGAZIONE

4.1.

L'omologazione del tipo di veicolo deve essere concessa se il veicolo presentato per l'omologazione a norma del presente regolamento soddisfa le prescrizioni contemplate dallo stesso.

4.1.1.

Il servizio tecnico designato secondo quanto stabilito al punto 11 deve verificare il rispetto delle condizioni previste.

4.1.2.

In caso di dubbio, all'atto della verifica della conformità del veicolo alle prescrizioni del presente regolamento si deve tenere in debita considerazione qualsiasi dato o risultato delle prove fornito dal costruttore che possa essere utile per convalidare la prova di omologazione effettuata dal servizio tecnico.

4.2.

A ciascun tipo omologato in conformità alla scheda 4 dell'accordo (E/ECE/TRANS/505/Rev.3) deve essere assegnato un numero di omologazione.

4.3.

Del rilascio, l'estensione, il rifiuto o la revoca dell'omologazione, oppure della cessazione definitiva della produzione di un tipo di veicolo a norma del presente regolamento, deve essere data comunicazione alle parti contraenti dell'accordo che applicano il presente regolamento mediante una scheda conforme al modello che figura nell'allegato 1 del presente regolamento.

4.4.

Su ogni veicolo conforme a un tipo di veicolo omologato a norma del presente regolamento deve essere apposto, in un punto ben visibile e facilmente accessibile indicato nella scheda di omologazione, un marchio di omologazione internazionale conforme al modello di cui all'allegato 2, composto da:

4.4.1.

un cerchio all'interno del quale è iscritta la lettera «E» seguita dal numero distintivo del paese che ha rilasciato l'omologazione (2);

4.4.2.

il numero del presente regolamento, seguito dalla lettera «R», da un trattino e dal numero di omologazione, posti alla destra del cerchio di cui al punto 4.4.1.

4.5.

Se il veicolo è conforme a un tipo di veicolo omologato a norma di uno o più altri regolamenti UNECE allegati all'accordo, non è necessario che nel paese che ha rilasciato l'omologazione a norma del presente regolamento il simbolo di cui al punto 4.4.1 sia ripetuto; in tal caso, i simboli e i numeri aggiuntivi di tutti i regolamenti a norma dei quali è stata rilasciata l'omologazione nel paese che ha rilasciato l'omologazione conformemente al presente regolamento devono essere inseriti in colonne verticali a destra del simbolo di cui al punto 4.4.1.

4.6.

Il marchio di omologazione deve essere chiaramente leggibile e indelebile.

5. PRESCRIZIONI

5.1.

Se il veicolo è stato sottoposto alla prova di cui al punto 6, devono essere soddisfatte le prescrizioni di cui al punto 5.2.

I veicoli in cui tutte le parti dell'impianto di alimentazione sono installate davanti al punto mediano del passo sono considerati conformi alle disposizioni di cui al punto 5.2.1.

I veicoli in cui tutte le parti del motopropulsore elettrico ad alta tensione sono installate davanti al punto mediano del passo sono considerati conformi alle disposizioni di cui al punto 5.2.2.

5.2.

Una volta effettuato il test secondo la procedura di cui agli allegati 3, 4 e 5 del presente regolamento, devono essere soddisfatte le seguenti disposizioni relative all'integrità dell'impianto di alimentazione e alla sicurezza del motopropulsore elettrico:

5.2.1.

nel caso dei veicoli a combustibile liquido deve essere dimostrata la conformità ai punti 5.2.1.1 e 5.2.1.2.

Nel caso dei veicoli alimentato a idrogeno compresso deve essere dimostrata la conformità ai punti da 5.2.1.3 a 5.2.1.5.

5.2.1.1.

Al momento della collisione sarà tollerata solo una leggera perdita di liquido dall'impianto di alimentazione.

5.2.1.2.

Se in seguito a collisione si verifica una perdita continua di liquido dall'impianto di alimentazione, questa non deve superare i 30 g/min. Se il liquido che fuoriesce dal suddetto impianto si mescola con liquidi provenienti da altri circuiti e se i vari liquidi non possono essere facilmente separati e individuati, per la valutazione della perdita continua si deve tenere conto di tutti i liquidi raccolti.

5.2.1.3.

Il tasso di perdita di idrogeno (VH2), determinato conformemente all'allegato 4, punto 4, per l'idrogeno o all'allegato 4, punto 5, per l'elio, non deve superare una media di 118 NL al minuto per l'intervallo di tempo, Δt minuti, dopo l'urto.

5.2.1.4.

La concentrazione volumetrica di gas (idrogeno o elio, a seconda del caso) nei valori dell'aria rilevati per l'abitacolo e il vano bagagli a norma dell'allegato 4, punto 6, non deve superare il 4,0 % per l'idrogeno e il 3,0 % per l'elio, in qualsiasi momento durante il periodo di misurazione di 60 minuti successivo all'urto. Questa prescrizione si considera soddisfatta se viene confermato che la valvola di intercettazione di ciascun impianto di stoccaggio dell'idrogeno si è chiusa entro 5 secondi dal primo contatto del veicolo con il dispositivo d'urto e non vi sono state perdite dall'impianto o dagli impianti di stoccaggio dell'idrogeno.

5.2.1.5.

Il serbatoio o i serbatoi (per lo stoccaggio dell'idrogeno) devono rimanere attaccati al veicolo quanto meno su un punto di fissaggio.

5.2.2.

Nel caso dei veicoli muniti di motopropulsore elettrico ad alta tensione, il motopropulsore elettrico e i sistemi ad alta tensione collegati galvanicamente al bus ad alta tensione del motopropulsore elettrico devono soddisfare le prescrizioni di cui ai punti da 5.2.2.1 a 5.2.2.3.

5.2.2.1.

Protezione dallo shock elettrico

Dopo l'urto i bus ad alta tensione devono soddisfare almeno uno dei quattro criteri indicati ai punti da 5.2.2.1.1 a 5.2.2.1.4.2.

Se il veicolo è dotato della funzione di sezionamento automatico oppure di uno o più dispositivi che separano conduttivamente il circuito del motopropulsore elettrico durante la guida, almeno uno dei seguenti criteri deve applicarsi al circuito sezionato o a ciascun circuito separato singolarmente dopo l'attivazione della funzione di sezionamento.

Tuttavia i criteri definiti al punto 5.2.2.1.4 non si applicano nel caso in cui più potenziali elettrici di una parte del bus ad alta tensione non siano protetti alle condizioni del grado di protezione IPXXB.

Nel caso in cui la prova d'urto sia effettuata alla condizione che una o più parti del sistema ad alta tensione non siano alimentate, ad eccezione del sistema di accoppiamento per caricare il REESS che non è alimentato durante la guida, la protezione dallo shock elettrico deve essere dimostrata conformemente al punto 5.2.2.1.3 o al punto 5.2.2.1.4 per la parte o le parti interessate.

5.2.2.1.1.

Assenza di alta tensione

Le tensioni Ub, U1 e U2 dei bus ad alta tensione, misurate entro 60 s dopo l'urto secondo quanto precisato al punto 2 dell'allegato 5, devono essere pari o inferiori a 30 V CA o a 60 V CC.

5.2.2.1.2.

Basso livello di energia elettrica

L'energia totale (TE) dei bus ad alta tensione, misurata secondo il procedimento di prova di cui al punto 3 dell'allegato 5 con la formula a), deve essere inferiore a 0,2 J. In alternativa l'energia totale (TE) può essere calcolata sulla base della tensione misurata Ub del bus ad alta tensione e della capacità dei condensatori X (Cx), secondo quanto indicato dal costruttore in base alla formula b) di cui al punto 3 dell'allegato 5.

Anche l'energia immagazzinata nei condensatori Y (TEy1, TEy2) deve essere inferiore a 0,2 J. Questo valore deve essere calcolato misurando le tensioni U1 e U2 dei bus ad alta tensione e del telaio elettrico e la capacità dei condensatori Y indicata dal costruttore in base alla formula c) di cui al punto 3 dell'allegato 5.

5.2.2.1.3.

Protezione fisica

Per la protezione dal contatto diretto con parti ad alta tensione deve essere assicurato il grado di protezione IPXXB.

La valutazione deve essere effettuata in conformità all'allegato 5, punto 4.

Inoltre, ai fini della protezione dallo shock elettrico che potrebbe derivare da un contatto indiretto, la resistenza tra tutte le parti conduttrici esposte delle barriere di protezione elettrica/dei carter e il telaio elettrico deve essere inferiore a 0,1 Ω e la resistenza tra due parti conduttrici esposte raggiungibili simultaneamente di barriere di protezione elettrica/carter distanti tra loro meno di 2,5 m deve essere inferiore a 0,2 Ω quando il flusso di corrente è di almeno 0,2 A. Tale resistenza può essere calcolata usando le resistenze delle parti interessate del circuito elettrico misurate separatamente.

Questa prescrizione è soddisfatta se il collegamento galvanico è stato effettuato mediante saldatura. In caso di dubbio o di collegamento stabilito con mezzi diversi dalla saldatura, la misurazione deve essere effettuata utilizzando una delle procedure di prova descritte al punto 4 dell'allegato 5.

5.2.2.1.4.

Resistenza di isolamento

Devono essere rispettati i criteri di cui ai punti 5.2.2.1.4.1 e 5.2.2.1.4.2.

La misurazione deve essere effettuata in conformità al punto 5 dell'allegato 5.

5.2.2.1.4.1.

Motopropulsore elettrico composto da bus separati a CC o a CA

Se i bus ad alta tensione a CA e a CC sono galvanicamente isolati gli uni dagli altri, il valore della resistenza di isolamento tra il bus ad alta tensione e il telaio elettrico (Ri, quale definita all'allegato 5, punto 5) deve essere di almeno 100 Ω/V della tensione di esercizio per i bus a CC e di almeno 500 Ω/V della tensione di esercizio per i bus a CA.

5.2.2.1.4.2.

Motopropulsore elettrico composto da bus combinati a CC e a CA

Se sono conduttivamente collegati, i bus ad alta tensione a CA e a CC devono soddisfare una delle seguenti prescrizioni:

a)	il valore della resistenza di isolamento tra il bus ad alta tensione e il telaio elettrico deve essere di almeno 500 Ω/V della tensione di esercizio;

b)	il valore della resistenza di isolamento tra il bus ad alta tensione e il telaio elettrico deve essere di almeno 100 Ω/V della tensione di esercizio e il bus a CA deve disporre di una protezione fisica quale descritta al punto 5.2.2.1.3;

c)	il valore della resistenza di isolamento tra il bus ad alta tensione e il telaio elettrico deve essere di almeno 100 Ω/V della tensione di esercizio e il bus a CA deve mostrare un'assenza di alta tensione quale descritta al punto 5.2.2.1.1.

5.2.2.2.

Fuoriuscita di elettrolita

5.2.2.2.1.

Nel caso dei REESS con elettrolita acquoso

Per un periodo compreso tra il momento dell'urto fino a 60 minuti dallo stesso non deve verificarsi una fuoriuscita di elettroliti dal REESS nell'abitacolo, mentre la fuoriuscita di elettrolita dal REESS verso l'esterno dell'abitacolo non deve superare il 7 % in volume dell'elettrolita, con una fuoriuscita massima di 5,0 l. La quantità di elettrolita fuoriuscito può essere misurata con le consuete tecniche di determinazione dei volumi di liquido dopo la raccolta. Per i serbatoi contenenti Stoddard, refrigerante colorato ed elettrolita, si deve consentire ai liquidi di separarsi secondo il loro peso specifico e quindi misurarli separatamente.

5.2.2.2.2.

Nel caso dei REESS con elettrolita non acquoso

Per un periodo compreso tra il momento dell'urto fino a 60 minuti dallo stesso non devono verificarsi fuoriuscite di elettrolita liquido dal REESS nell'abitacolo o nel vano bagagli né verso l'esterno del veicolo. Questa prescrizione deve essere verificata con un esame visivo senza smontare alcuna parte del veicolo.

Il costruttore deve dimostrare la conformità alle prescrizioni dell'allegato 5, punto 6.

5.2.2.3.

Mantenimento in posizione del REESS

Il REESS deve rimanere fissato al veicolo da almeno un ancoraggio, un supporto o una struttura che trasferisca i carichi dal REESS alla struttura del veicolo; un REESS situato all'esterno dell'abitacolo non deve poter penetrare nell'abitacolo.

Il costruttore deve dimostrare la conformità alle prescrizioni dell'allegato 5, punto 7.

6. PROVA

6.1.

La conformità del veicolo alle prescrizioni del punto 5 deve essere verificata con il metodo descritto agli allegati 3, 4 e 5 del presente regolamento.

7. MODIFICHE ED ESTENSIONE DELL'OMOLOGAZIONE DEL TIPO DI VEICOLO

7.1.

Ogni modifica del tipo di veicolo con riferimento al presente regolamento deve essere notificata all'autorità di omologazione che ha rilasciato l'omologazione per quel tipo di veicolo. L'autorità di omologazione può quindi:

a)	decidere, dopo aver consultato il costruttore, che deve essere rilasciata una nuova omologazione, oppure

b)	applicare la procedura di cui al punto 7.1.1 (revisione) e, ove applicabile, la procedura di cui al punto 7.1.2 (estensione).

7.1.1.

Revisione

A seguito di una modifica di alcuni dati registrati nelle schede informative di cui all'allegato 1, appendice 1, e se l'autorità di omologazione ritiene improbabile che le modifiche apportate abbiano determinato effetti negativi di rilievo, per cui il veicolo sia da ritenersi ancora conforme alle prescrizioni, la modifica deve essere considerata una «revisione».

In tal caso l'autorità di omologazione deve pubblicare le pagine debitamente riviste della scheda informativa dell'allegato 1, appendice 1, indicando chiaramente per ciascuna di esse la natura della modifica e la data di ripubblicazione. Tale prescrizione deve considerarsi soddisfatta in presenza di una versione consolidata e aggiornata delle schede informative di cui all'allegato 1, appendice 1, accompagnate da una descrizione dettagliata della modifica.

7.1.2.

Estensione

La modifica va designata come «estensione» se, oltre alla modifica delle informazioni registrate nel fascicolo informativo:

a)	sono necessarie ulteriori ispezioni o prove; oppure

b)	sono state modificate informazioni figuranti nel documento di notifica (esclusi gli allegati); oppure

c)	è richiesta l'omologazione aggiornata a una serie di modifiche successiva alla sua entrata in vigore.

7.2.

Della conferma, l'estensione o il rifiuto dell'omologazione deve essere data comunicazione alle parti contraenti dell'accordo che applicano il presente regolamento secondo la procedura di cui al punto 4.3. L'indice delle schede informative e dei verbali di prova allegati al documento di notifica dell'allegato 1 deve inoltre essere modificato di conseguenza, in modo da recare la data dell'ultima revisione o estensione.

7.3.

L'autorità di omologazione che rilascia l'estensione dell'omologazione deve assegnare un numero di serie a ogni scheda di notifica compilata per tale estensione.

8. CONFORMITÀ DELLA PRODUZIONE

La conformità della produzione deve essere verificata in base alle procedure di cui alla scheda 1 dell'accordo (E/ECE/TRANS/505/Rev.3) attenendosi alle disposizioni riportate di seguito.

8.1.

Ogni veicolo che esponga un marchio di omologazione come prescritto ai sensi del presente regolamento deve essere conformato al tipo di veicolo omologato e rispettare quindi le prescrizioni di cui al punto 5.

9. SANZIONI IN CASO DI NON CONFORMITÀ DELLA PRODUZIONE

9.1.

L'omologazione di un tipo di veicolo rilasciata a norma del presente regolamento può essere revocata qualora non siano rispettate le prescrizioni di cui al punto 8.1.

9.2.

Se una parte dell'accordo che applica il presente regolamento revoca un'omologazione precedentemente concessa, deve informarne immediatamente le altre parti dell'accordo che applicano il presente regolamento trasmettendo copia della scheda di omologazione recante in calce, in caratteri di grandi dimensioni, l'annotazione datata e firmata «OMOLOGAZIONE REVOCATA».

10. CESSAZIONE DEFINITIVA DELLA PRODUZIONE

Se il titolare di un'omologazione cessa completamente la produzione del tipo di veicolo omologato ai sensi del presente regolamento, deve informarne l'autorità che ha rilasciato l'omologazione. Appena ricevuta la relativa notifica, tale autorità deve informare le altre parti dell'accordo che applicano il presente regolamento inviando una copia della scheda di omologazione recante in calce, a chiare lettere, l'annotazione firmata e datata «PRODUZIONE CESSATA».

11. NOMI E INDIRIZZI DEI SERVIZI TECNICI RESPONSABILI DELLE PROVE DI OMOLOGAZIONE E DELLE AUTORITÀ DI OMOLOGAZIONE

Le parti dell'accordo che applicano il presente regolamento devono comunicare al segretariato delle Nazioni Unite i nomi e gli indirizzi dei servizi tecnici responsabili delle prove di omologazione nonché delle autorità che rilasciano le omologazioni e alle quali devono essere inviate le schede attestanti il rilascio, il rifiuto, l'estensione o la revoca di omologazioni rilasciate in altri paesi.

(1) Secondo la definizione contenuta nella risoluzione consolidata sulla costruzione dei veicoli (R.E.3), documento ECE/TRANS/WP.29/78/Rev.6, paragrafo 2. –

www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29resolutions.html

(2) I numeri distintivi delle parti contraenti l'accordo del 1958 sono riportati nell'allegato 3 della risoluzione consolidata sulla costruzione dei veicoli (R.E.3), documento ECE/TRANS/WP.29/78/Rev. 6, allegato 3 - www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29resolutions.html

ALLEGATO 1

Notifica

[Formato massimo: A4 (210 × 297 mm)]

(1)

Emessa da:

Nome dell'amministrazione:

…

Relativa a: (2)

rilascio dell'omologazione

estensione dell'omologazione

rifiuto dell'omologazione

revoca dell'omologazione

cessazione definitiva della produzione

di un tipo di veicolo in relazione all'integrità dell'impianto di alimentazione e alla sicurezza del motopropulsore elettrico in caso di tamponamento, a norma del regolamento UNECE n. 153

Omologazione n.: …

Estensione n.: …

Denominazione commerciale o marchio del veicolo: …

Tipo di veicolo: …

Nome e indirizzo del costruttore: …

…

Nome e indirizzo dell'eventuale mandatario del costruttore: …

…

Breve descrizione del tipo di veicolo: …

…

5.1.

Descrizione dell'impianto di alimentazione installato sul veicolo: …

…

5.2.

Descrizione del motopropulsore elettrico: …

…

Posizione del motore: anteriore/posteriore/centrale (2)

Trazione: anteriore/posteriore (2)

Massa del veicolo sottoposto a prova:

Asse anteriore: …

Asse posteriore: …

Totale: …

Veicolo presentato per l'omologazione in data: …

10.

Servizio tecnico incaricato di eseguire le prove di omologazione: …

11.

Data del verbale rilasciato dal servizio: …

12.

Numero del verbale rilasciato da tale servizio: …

13.

Omologazione rilasciata/rifiutata/estesa/revocata (2):

14.

Posizione del marchio di omologazione sul veicolo: …

15.

Luogo: …

16.

Data: …

17.

Firma: …

18.

Alla presente notifica sono allegati i documenti che seguono, muniti del numero di omologazione di cui sopra: …

19.

Osservazioni (p. es. applicazione di un metodo di prova alternativo di cui all'allegato 3, punto 3). …

(Fotografie e/o schemi e disegni che consentono l'identificazione del tipo/dei tipi di veicolo e delle possibili varianti contemplate dall'omologazione)

(1) Numero distintivo del paese che ha rilasciato/esteso/rifiutato/revocato l'omologazione (cfr. disposizioni sull'omologazione contenute nel regolamento).

(2) Cancellare quanto non pertinente.

Appendice 1all'allegato 1

Scheda informativa

INFORMAZIONI GENERALI

0.1.

Marca (ragione sociale del costruttore):

0.2.

Tipo:

0.2.1.

Eventuali denominazioni commerciali:

0.3.

zaMezzi di identificazione del tipo, se indicati sul veicolo (1):

0.3.1.

Posizione dell'eventuale marcatura:

0.4

Categoria del veicolo (2):

0.5.

Denominazione e indirizzo del costruttore:

0.8.

Nomi e indirizzi degli stabilimenti di montaggio:

0.9.

Nome e indirizzo dell'eventuale mandatario del costruttore:

CARATTERISTICHE COSTRUTTIVE GENERALI DEL VEICOLO

1.1.

Fotografie e/o disegni di un veicolo rappresentativo:

1.3.

Numero di assi e di ruote:

1.3.3.

Assi motori (numero, posizione, interconnessione):

1.6.

Posizione e disposizione del motore:

MASSE E DIMENSIONI (in kg e mm) (eventualmente, fare riferimento ai disegni)

2.1.

Passo o passi (a pieno carico):

2.1.1.

Veicoli a due assi:

2.1.2.

Veicoli a tre o più assi:

2.1.2.2.

Distanza totale tra gli assi:

2.4.

Valori delle dimensioni (globali) del veicolo:

2.4.1.

Telaio non carrozzato:

2.4.1.1.

Lunghezza (mm):

2.4.1.2.

Larghezza (mm):

2.4.2.

Telaio carrozzato:

2.4.2.1.

Lunghezza (mm):

2.4.2.2.

Larghezza (mm):

2.6.

Massa in ordine di marcia (kg):

CONVERTITORE DELL'ENERGIA DI PROPULSIONE

3.2.2.

Combustibile

3.2.2.1.

Veicoli leggeri: Gasolio/benzina/GPL/GN o biometano/etanolo (E 85)/biodiesel/idrogeno

3.2.3.

Serbatoio o serbatoi del combustibile:

3.2.3.1.

Serbatoio o serbatoi di servizio:

3.2.3.1.1.

Numero e capacità di ciascun serbatoio:

3.2.3.1.1.1.

Materiale:

3.2.3.1.2.

Disegno e descrizione tecnica del serbatoio o dei serbatoi con tutti i raccordi e le tubazioni del sistema di sfiato e di ventilazione, le chiusure, le valvole e i dispositivi di fissaggio:

3.2.3.1.3.

Disegno che indichi chiaramente la posizione del serbatoio o dei serbatoi nel veicolo:

3.2.3.2.

Serbatoio o serbatoi ausiliari del combustibile:

3.2.3.2.1.

Numero e capacità di ciascun serbatoio:

3.2.3.2.1.1.

Materiale:

3.2.3.2.2.

Disegno e descrizione tecnica del serbatoio o dei serbatoi con tutti i raccordi e le tubazioni del sistema di sfiato e di ventilazione, le chiusure, le valvole e i dispositivi di fissaggio:

3.2.3.2.3.

Disegno che indichi chiaramente la posizione del serbatoio o dei serbatoi nel veicolo:

3.3.2.

REESS

3.3.2.4.

Posizione:

3.4.

Combinazioni di convertitori dell'energia di propulsione:

3.4.1.

Veicolo ibrido elettrico: sì/no

3.4.2.

Categoria di veicolo ibrido elettrico: a ricarica esterna/non a ricarica esterna:

(1) Se i mezzi di identificazione del tipo contengono caratteri che non interessano la descrizione dei tipi di entità tecnica di cui alla scheda di omologazione, tali caratteri devono essere rappresentati nella documentazione dal simbolo "?". (p. es. ABC??123??).

(2) Secondo la definizione contenuta nella risoluzione consolidata sulla costruzione dei veicoli (R.E.3), documento ECE/TRANS/WP.29/78/Rev.6, paragrafo 2. – www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29resolutions.html

ALLEGATO 2

Esempi di marchi di omologazione

MODELLO A

(cfr. punto 4.4 del presente regolamento)

a = 8 mm min.

L'apposizione su un veicolo di questo marchio indica che il tipo di veicolo in questione è stato omologato, per quanto riguarda la protezione degli occupanti in caso di tamponamento, nei Paesi Bassi (E 4) a norma del regolamento UNECE n. 153 con il numero di omologazione 001424. Il numero di omologazione indica che l'omologazione è stata rilasciata conformemente alle prescrizioni del regolamento UNECE n. 153 nella sua versione originale.

MODELLO B

(cfr. punto 4.5 del presente regolamento)

a = 8 mm min.

Le prime due cifre dei numeri di omologazione indicano che, alla data del rilascio delle rispettive omologazioni, il regolamento UNECE n. 153 era nella sua versione originale e il regolamento n. 11 comprendeva la serie di modifiche 03.

ALLEGATO 3

Procedura di prova d'urto posteriore

Finalità

1.1.

La finalità della prova è simulare le condizioni d'urto posteriore causato dal sopraggiungere di un altro veicolo.

Installazioni, procedure e strumenti di misurazione

2.1.

Area di prova

L'area in cui si svolge la prova deve poter contenere il sistema di propulsione del dispositivo d'urto (striker), permettere lo spostamento del veicolo dopo l'urto e accogliere l'attrezzatura di prova. La parte di tale area in cui avvengono l'urto del veicolo e il relativo spostamento deve essere orizzontale, piana e liscia, rappresentativa di una normale superficie stradale asciutta e pulita.

2.2.

Dispositivo d'urto (striker)

2.2.1.

Il dispositivo d'urto deve essere di acciaio e a struttura rigida.

2.2.2.

La superficie d'urto deve essere piatta, larga non meno di 2 500 mm e alta non meno di 800 mm, con bordi arrotondati aventi una curvatura compresa tra 40 e 50 mm di raggio e rivestita di compensato spesso 20 ± 2 mm.

2.2.3.

Al momento dell'urto devono essere soddisfatte le seguenti prescrizioni:

2.2.3.1.

la superficie d'urto deve essere verticale e perpendicolare al piano mediano longitudinale del veicolo urtato;

2.2.3.2.

la direzione di movimento del dispositivo d'urto deve essere praticamente orizzontale e parallela al piano longitudinale mediano del veicolo urtato;

2.2.3.3.

lo scarto laterale massimo tollerato tra la linea mediana verticale della superficie del dispositivo d'urto e il piano longitudinale mediano del veicolo urtato deve essere di 300 mm. Inoltre, la superficie d'urto deve coprire l'intera larghezza del veicolo urtato;

2.2.3.4.

la distanza dal suolo del bordo inferiore della superficie d'urto deve essere di 175 ± 25 mm.

2.3.

Propulsione del dispositivo d'urto

Il dispositivo d'urto deve essere fissato su un carrello (barriera mobile).

2.4.

Disposizioni relative alla prova con barriera mobile

2.4.1.

Se il dispositivo d'urto è fissato a un carrello (barriera mobile) da un elemento di ritenuta, quest'ultimo deve essere rigido e non deve deformarsi in seguito all'urto; al momento dell'urto, il carrello deve potersi spostare liberamente senza essere più sottoposto all'azione del dispositivo di propulsione;

2.4.2.

l'urto deve avvenire a una velocità di 50,0 ± 2,0 km/h.

2.4.3.

La massa combinata del carrello e del dispositivo d'urto deve essere di 1 100 ± 20 kg.

2.5.

Disposizioni generali relative alla massa e alla velocità del dispositivo d'urto

Se la prova avviene a una velocità d'urto superiore a quella di cui al punto 2.4.2 e il veicolo risulta conforme alle condizioni prescritte, la prova è ritenuta soddisfacente.

2.6.

Stato del veicolo durante la prova

2.6.1.

Il veicolo da sottoporre a prova deve essere munito di tutti gli elementi e le attrezzature normalmente compresi nella sua massa a vuoto o trovarsi in condizione di soddisfare questa prescrizione per quanto riguarda gli elementi e le attrezzature dell'abitacolo e la distribuzione della massa dell'insieme del veicolo.

2.6.2.

Il serbatoio per il combustibile liquido deve essere riempito almeno al 90 % della sua capacità di combustibile o liquido non infiammabile avente densità e viscosità prossime a quelle del combustibile normalmente usato. Tutti gli altri impianti (serbatoi del liquido dei freni, radiatore, reagenti per la riduzione catalitica selettiva, ecc.) possono restare vuoti.

L'impianto o gli impianti di stoccaggio di idrogeno compresso e gli spazi chiusi dei veicoli alimentati a idrogeno compresso devono essere preparati conformemente al punto 3 dell'allegato 4.

2.6.3

Il freno di stazionamento deve essere disinserito e la leva del cambio deve essere posizionata in folle.

2.6.4.

Su richiesta del costruttore, sono permesse le deroghe che seguono:

2.6.4.1.

il servizio tecnico responsabile delle prove può permettere che lo stesso veicolo usato per prove previste da altri regolamenti UNECE (anche quelle che possono danneggiare il telaio) sia usato anche per le prove previste dal presente regolamento;

2.6.4.2.

il veicolo può essere appesantito in misura non superiore al 10 % della sua massa a vuoto con pesi supplementari solidamente fissati al telaio in modo da non influire sull'integrità dell'impianto di alimentazione e sulla sicurezza del motopropulsore elettrico durante la prova.

2.6.5.

Regolazione del motopropulsore elettrico

2.6.5.1.

Il REESS deve essere in uno stato di carica che consenta il normale funzionamento del motopropulsore, secondo quanto indicato dal costruttore.

2.6.5.2.

Il motopropulsore elettrico deve essere sotto tensione con o senza l'intervento delle fonti originali di energia elettrica (ad esempio gruppo elettrogeno, REESS o sistema di conversione dell'energia elettrica). Tuttavia:

2.6.5.2.1.

previo accordo tra il servizio tecnico e il costruttore, è ammessa l'esecuzione della prova senza che il motopropulsore elettrico o parti dello stesso siano caricati elettricamente, purché ciò non incida negativamente sul risultato della prova. Per le parti del motopropulsore elettrico che non sono sotto tensione, la protezione dallo shock elettrico deve essere dimostrata con una protezione fisica o una resistenza di isolamento e altri mezzi idonei;

2.6.5.2.2.

in presenza di un sezionatore automatico, laddove il costruttore lo richieda deve essere consentito eseguire la prova con il sezionatore automatico attivato. In tale caso occorre dimostrare che il sezionatore automatico avrebbe funzionato durante la prova d'urto, tra l'altro attraverso il segnale di attivazione automatica e la separazione galvanica tenuto conto delle condizioni reali dell'urto.

2.7.

Strumenti di misura

Lo strumento utilizzato per registrare la velocità di cui al punto 2.4.2 deve avere un margine di precisione dell'1 %.

Metodi di prova alternativi

Su richiesta del costruttore, in alternativa al metodo di prova di cui al punto 2 può essere utilizzato il metodo di prova descritto di seguito.

3.1.

Quale alternativa alla procedura di cui al punto 2 del presente allegato è ammessa una prova d'urto posteriore parziale con una barriera mobile deformabile se sono soddisfatte le condizioni di cui ai punti da 3.1.1 a 3.1.3.

3.1.1.

Velocità d'urto

L'urto deve avvenire a una velocità compresa tra 78,5 km/h e 80,1 km/h.

3.1.2.

Sovrapposizione parziale di veicolo e barriera

La sovrapposizione tra il veicolo e la barriera deve essere del 70 %.

3.1.3.

Barriera mobile deformabile

La barriera mobile deformabile (BMD) deve soddisfare le seguenti specifiche:

a)	il peso totale della BMD con la superficie d'urto deve essere di 1 361 ± 4,5 kg;

b)	la lunghezza totale della BMD con la superficie d'urto deve essere di 4 115 mm ± 25 mm;

c)	la lunghezza totale della BMD esclusa la superficie d'urto deve essere di 3 632 mm (questa misura comprende un blocco di fissaggio dello spessore di 50,8 mm);

d)	la larghezza totale del carrello deve essere di 1 251 mm;

e)	la larghezza di carreggiata (dalla linea centrale delle ruote anteriori alla linea centrale delle ruote posteriori) deve essere di 1 880 mm;

f)	il passo del carrello deve essere di 2 591 mm ± 25 mm;

proprietà inerziali della BMD (con due videocamere e relativi supporti, una trappola antiluce e zavorra ridotta) - il baricentro deve trovarsi al punto indicato di seguito:

X = (1 123 ± 25) mm dietro l'asse anteriore

Y = (7,6 ± 25) mm a sinistra della linea mediana longitudinale

Z = (450 ± 25) mm dal suolo

I momenti d'inerzia (tolleranza 5 % ai fini della prova) sono i seguenti:

beccheggio = 2 263 kg-m2

rollio = 508 kg-m2

imbardata = 2 572 kg-m2

h)	Forma della superficie d'urto con struttura a nido d'ape: larghezza = 1 676 mm ± 6 mm altezza = 559 mm ± 6 mm; distanza dal suolo = 229 mm ± 3 mm profondità all'altezza del paraurti = 483 mm ± 6 mm profondità della parte superiore della superficie d'urto = 381 mm ± 6 mm

i)	il rapporto forza applicata / deformazione prodotta (resistenza alla compressione) deve corrispondere a 310 kPa ± 17 kPa per la superficie d'urto con struttura a nido d'ape e a 1 690 kPa ± 103 kPa per il paraurti.

Altri parametri e altre impostazioni possono essere simili a quelli indicati nelle definizioni di cui al punto 2 del presente regolamento.

3.2.

Se si usa un metodo diverso da quello descritto al punto 2 o al punto 3.1 ne va dimostrata l'equivalenza.

ALLEGATO 4

Condizioni e procedure di prova per la valutazione dell'integrità dell'impianto di alimentazione a idrogeno in seguito a urto

Finalità

Determinazione della conformità alle prescrizioni di cui al punto 5.2.1 del presente regolamento.

Definizioni

Ai fini del presente allegato si intende per:

2.1.

«spazi chiusi», i volumi speciali all'interno del veicolo (o della sagoma del veicolo in considerazione delle aperture) esterni all'impianto a idrogeno (impianto di stoccaggio, impianto a pile a combustibile e sistema di gestione del flusso del combustibile) e gli alloggiamenti (se presenti) nei quali può accumularsi idrogeno (fenomeno che potrebbe costituire un rischio), come ad esempio l'abitacolo, il vano bagagli e lo spazio sotto il cofano;

2.2.

«vano bagagli», lo spazio all'interno del veicolo destinato ad ospitare bagagli e/o merci, delimitato da tetto, cofano/portellone, pavimento e pareti laterali, separato dall'abitacolo dalla paratia anteriore o dalla paratia posteriore;

2.3.

«pressione di esercizio nominale» (nominal working pressure, NWP), la pressione relativa che caratterizza il funzionamento tipico di un impianto. Per i serbatoi di idrogeno gassoso compresso, la NWP è la pressione stabilizzata del gas compresso nel serbatoio o nell'impianto di stoccaggio completamente pieno ad una temperatura uniforme di 15 °C.

Preparazione, strumentazione e condizioni di prova

3.1.

Impianti di stoccaggio dell'idrogeno compresso e tubazioni a valle

3.1.1.

Prima della prova d'urto, la strumentazione viene montata nell'impianto di stoccaggio dell'idrogeno al fine di poter eseguire le misurazioni di pressione e temperatura richieste qualora il veicolo standard non disponga già di strumentazione che presenti l'accuratezza richiesta.

3.1.2.

L'impianto di stoccaggio dell'idrogeno viene quindi spurgato, se necessario, seguendo le istruzioni fornite dal costruttore, in maniera da rimuovere le impurità dal serbatoio prima di riempirlo di idrogeno o elio compresso. Poiché la pressione dell'impianto di stoccaggio varia al variare della temperatura, la pressione di riempimento prevista è determinata in funzione della temperatura. La pressione prevista (Ptarget) deve essere stabilita utilizzando l'equazione riportata in appresso:

Ptarget = NWP × (273 + T0) / 288

in cui NWP è la pressione di esercizio nominale (MPa), T0 è la temperatura ambiente alla quale è previsto che l'impianto di stoccaggio si stabilizzi e Ptarget è la pressione di riempimento prevista in seguito alla stabilizzazione della temperatura.

3.1.3.

Il serbatoio viene riempito per almeno il 95 % della pressione di riempimento prevista e lasciato stabilizzare prima della prova d'urto.

3.1.4.

Immediatamente prima dell'urto, la valvola di arresto principale e le valvole di intercettazione per l'idrogeno gassoso, situate nella tubazione a valle dell'idrogeno gassoso, devono trovarsi nelle normali condizioni di marcia.

3.2.

Spazi chiusi

3.2.1.

Vengono selezionati dei sensori per misurare l'accumulo di idrogeno o di elio oppure la diminuzione di ossigeno (dovuta allo spostamento dell'aria determinato dalla fuoriuscita dell'idrogeno/elio).

3.2.2.

I sensori sono calibrati su riferimenti tracciabili in maniera da garantire una precisione del ± 5 % applicando i criteri previsti del 4 % di idrogeno o del 3 % di elio in frazione di volume nell'aria e una capacità di misurazione fino al fondo scala di almeno il 25 % superiore ai criteri previsti. Il sensore deve essere in grado di rispondere al 90 % a una variazione di fondo scala nella concentrazione entro 10 secondi.

3.2.3.

Prima dell'urto, i sensori sono posizionati nell'abitacolo e nel vano bagagli del veicolo come segue:

a)	a una distanza non superiore a 250 mm dal rivestimento del tetto sopra al sedile del conducente o vicino al centro superiore dell'abitacolo;

b)	a una distanza non superiore a 250 mm dal pavimento davanti al sedile posteriore (o più posteriore) dell'abitacolo; nonché

c)	a una distanza non superiore a 100 mm dalla parte superiore dei vani bagagli all'interno del veicolo che non sono direttamente interessati dall'urto specifico da realizzare.

3.2.4.

I sensori sono montati saldamente sulla struttura del veicolo o sui sedili e protetti, in considerazione della prova d'urto prevista, dai detriti, dal gas di scarico dell'airbag e da eventuali oggetti proiettati. Le misurazioni successive all'urto sono registrate da strumenti situati all'interno del veicolo o da una trasmissione remota.

3.2.5.

La prova può essere condotta all'aperto in un'area protetta dal vento e da eventuali effetti solari oppure al chiuso in uno spazio sufficientemente ampio o ventilato da impedire l'accumulo di idrogeno in una concentrazione superiore al 10 % dei criteri previsti nell'abitacolo e nei vani bagagli.

Prova di tenuta in seguito a urto, misurazione per gli impianti di stoccaggio dell'idrogeno compresso riempiti di idrogeno compresso

4.1.

La pressione dell'idrogeno, P0 (MPa), e la sua temperatura, T0 (°C), vengono misurate immediatamente prima dell'urto e, quindi, a un intervallo di tempo, Δt (min), successivo all'urto.

4.1.1.

L'intervallo di tempo, Δt, ha inizio nel momento in cui il veicolo si ferma in seguito all'urto e si protrae per almeno 60 minuti.

4.1.2.

Se necessario occorre estendere l'intervallo di tempo, Δt, per garantire l'accuratezza della misurazione negli impianti di stoccaggio con un volume elevato che funzionano fino a 70 MPa; in tale caso, il valore di Δt si calcola con la seguente formula:

Δt = VCHSS × NWP /1 000 × ((–0,027 × NWP +4) × Rs – 0,21) –1,7 × Rs

in cui Rs = Ps / NWP, Ps è l'intervallo di valori del sensore di pressione (MPa), NWP è la pressione di esercizio nominale (MPa), VCHSS è il volume dell'impianto di stoccaggio dell'idrogeno compresso (L) e Δt è l'intervallo di tempo (min).

4.1.3.

Se il valore calcolato di Δt è inferiore a 60 minuti, Δt deve essere fissato comunque a 60 minuti.

4.2.

La massa di idrogeno inizialmente presente nell'impianto di stoccaggio può essere calcolata come segue:

P0' = Po × 288 / (273 + T0)

ρ0' = –0,0027 × (P0')2 + 0,75 × P0' + 0,5789

Mo = ρ0' × VCHSS

4.3.

Analogamente, la massa finale di idrogeno presente nell'impianto di stoccaggio, Mf, al termine dell'intervallo di tempo Δt, può essere calcolata come segue:

Pf' = Pf × 288 / (273 + Tf)

ρf' = –0,0027 × (Pf')2 + 0,75 × Pf' + 0,5789

Mf = ρf' × VCHSS

in cui Pf è la pressione finale misurata (MPa) al termine dell'intervallo di tempo e Tf è la temperatura finale misurata (°C).

4.4.

La portata media dell'idrogeno nell'intervallo di tempo è pertanto:

VH2 = (Mf - M0) / Δt × 22,41 / 2,016 × (Ptarget /P0)

in cui VH2 è la portata volumetrica media (NL/min) nell'intervallo di tempo e il termine Ptarget/P0 è utilizzato per compensare le differenze tra la pressione iniziale misurata (P0) e la pressione di immissione prevista (Ptarget).

Misurazione della prova di tenuta in seguito ad urto per gli impianti di stoccaggio di idrogeno compresso riempiti di elio compresso

5.1.

La pressione dell'elio, P0 (MPa), e la sua temperatura, T0 (°C), devono essere misurate immediatamente prima dell'urto e, quindi, a un intervallo di tempo prestabilito successivo all'urto.

5.1.1.

L'intervallo di tempo, Δt, ha inizio nel momento in cui il veicolo si ferma in seguito all'urto e si protrae per almeno 60 minuti.

5.1.2.

Δt = VCHSS × NWP /1 000 × ((–0,028 × NWP +5,5) × Rs –0,3) – 2,6 × Rs

5.1.3.

Se il valore di Δt è inferiore a 60 minuti, Δt deve essere fissato comunque a 60 minuti.

5.2.

La massa di elio inizialmente presente nell'impianto di stoccaggio si calcola come segue:

P0' = P0 × 288 / (273 + T0)

ρ0' = –0,0043 × (P0')2 + 1,53 × P0' + 1,49

M0 = ρ0' × VCHSS

5.3.

La massa di elio presente nell'impianto di stoccaggio al termine dell'intervallo di tempo, Δt, si calcola come segue:

Pf' = Pf × 288 / (273 + Tf)

ρf' = –0,0043 × (Pf')2 + 1,53 × Pf' + 1,49

Mf = ρf' × VCHSS

in cui Pf è la pressione finale misurata (MPa) al termine dell'intervallo di tempo e Tf è la temperatura finale misurata (°C).

5.4.

La portata media di elio nell'intervallo di tempo è quindi:

VHe = (Mf- M0) / Δt × 22,41 / 4,003 × (Ptarget/ P0)

in cui VHe è la portata volumetrica media (NL/min) nell'intervallo di tempo e il termine Ptarget/P0 è utilizzato per compensare le differenze tra la pressione iniziale misurata (P0) e la pressione di immissione prevista (Ptarget).

5.5.

La conversione della portata volumetrica media di elio in portata media di idrogeno si calcola applicando la seguente formula:

VH2 = VHe / 0,75

in cui VH2 è la corrispondente portata volumetrica media dell'idrogeno.

Misurazione della concentrazione negli spazi chiusi in seguito a urto

6.1.

Negli spazi chiusi la raccolta dei dati in seguito a urto inizia quando il veicolo si ferma. I dati provenienti dai sensori, installati conformemente al punto 3.2 del presente allegato, vengono raccolti almeno ogni 5 secondi fino a 60 minuti dopo la prova. Alle misurazioni può essere applicato un ritardo di primo ordine (costante di tempo) fino a un massimo di 5 secondi per garantire omogeneità e filtrare gli effetti dei punti di dati spuri.

ALLEGATO 5

Procedure di prova per i veicoli muniti di motopropulsore elettrico

Il presente allegato descrive le procedure di prova per dimostrare la conformità alle prescrizioni in materia di sicurezza elettrica di cui al punto 5.2.2 del presente regolamento.

Apparecchiatura di prova e relativa configurazione

Se si usa una funzione di sezionamento dell'alta tensione, le misurazioni devono essere effettuate su entrambi i lati del dispositivo che svolge la funzione di sezionamento. Tuttavia, se la funzione di sezionamento dell'alta tensione è integrata nel REESS o nel sistema di conversione dell'energia e il bus ad alta tensione del REESS o del sistema di conversione dell'energia è protetto secondo un grado di protezione IPXXB dopo la prova d'urto, le misurazioni possono essere effettuate soltanto tra il dispositivo che svolge la funzione di sezionamento e i carichi elettrici.

Il voltmetro da usare in questa prova deve misurare i valori in CC e avere una resistenza interna di almeno 10 MΩ.

Quando si misura la tensione, attenersi possibilmente alle istruzioni descritte di seguito.

Dopo la prova d'urto, misurare le tensioni del bus ad alta tensione (Ub, U1, U2) (cfr. la figura 1).

La tensione deve essere misurata tra 10 e 60 secondi dall'urto.

Questa procedura non si applica se la prova è effettuata con il motopropulsore elettrico non caricato elettricamente.

Figura 1 Misurazione delle tensioni Ub, U1, U2

Procedura di valutazione per un livello basso di energia elettrica

Prima dell'urto, collegare in parallelo al condensatore in questione un interruttore S1 e una resistenza di scarica nota Re (cfr. figura 2).

Nel periodo compreso fra i 10 e i 60 secondi successivi all'urto, l'interruttore S1 deve essere chiuso mentre viene effettuata la misurazione e la registrazione dei valori della tensione Ub e dell'intensità di corrente Ie. Il prodotto della tensione Ub e dell'intensità di corrente Ie deve essere integrato nell'intervallo di tempo compreso tra la chiusura (tc) dell'interruttore S1 e il momento in cui la tensione Ub scende al di sotto della soglia di alta tensione di 60 V CC (th). Tramite questa integrazione si ottiene l'energia totale (TE), espressa in joule.

b)	Se Ub è misurata in un istante compreso fra i 10 e i 60 secondi successivi all'urto e la capacità dei condensatori X (Cx) è indicata dal costruttore, l'energia totale (TE) si calcola con la seguente formula: TE = 0,5 × Cx × Ub2

c)	Se U1 e U2 (cfr. figura 1) sono misurate in un istante compreso fra i 10 e i 60 secondi successivi all'urto e la capacità dei condensatori Y (Cy1, Cy2) è indicata dal costruttore, l'energia totale (TEy1, TEy2) si calcola con le seguenti formule: TEy1 = 0,5 × Cy1 × U12 TEy2 = 0,5 × Cy2 × U22

Questa procedura non si applica se la prova è effettuata con il motopropulsore elettrico non caricato elettricamente.

Figura 2 Esempio di misurazione dell'energia del bus ad alta tensione immagazzinata nei condensatori X

Protezione fisica

Dopo la prova d'urto del veicolo, aprire, smontare o rimuovere, senza l'ausilio di utensili, tutte le parti circostanti i componenti ad alta tensione. Tutte le rimanenti parti sono considerate parte della protezione fisica.

Il dito di prova articolato descritto nella figura 3 deve essere inserito negli spazi o nelle aperture eventuali della protezione fisica esercitando una forza di prova di 10 N ± 10 % per valutare la sicurezza elettrica. Se si verifica una penetrazione parziale o totale del dito di prova articolato nella protezione fisica, collocare tale dito di prova articolato in tutte le posizioni indicate di seguito.

Partendo dalla posizione diritta, ruotare progressivamente entrambe le articolazioni del dito di prova articolato fino a un angolo di 90° rispetto all'asse della sezione adiacente del dito di prova e collocarle in tutte le posizioni possibili.

Le barriere interne di protezione elettrica sono considerate parte del carter.

Effettuare eventualmente un collegamento in serie tra una fonte di alimentazione a bassa tensione (compresa tra 40 V e 50 V) e una lampadina adatta tra il dito di prova articolato e le parti ad alta tensione all'interno della barriera di protezione elettrica o del carter.

Materiale: metallo, salvo diversa indicazione

Dimensioni lineari in millimetri

Tolleranze per le dimensioni prive di indicazione di tolleranze specifiche:

a)	sugli angoli: +0°0′0″/-0°0′10″;

sulle dimensioni lineari:

i)	≤ 25 mm: +0/-0,05 mm;

ii)	> 25 mm: ± 0,2 mm

Entrambe le articolazioni devono consentire un movimento di 90° sullo stesso piano e nella stessa direzione, con una tolleranza compresa tra 0° e + 10°.

Le prescrizioni di cui al punto 5.2.2.1.3 del presente regolamento si considerano soddisfatte se il dito di prova articolato descritto nella figura 3 non può entrare in contatto con parti ad alta tensione.

Se necessario, utilizzare uno specchio o un endoscopio a fibre ottiche per verificare se il dito di prova articolato tocca i bus ad alta tensione.

Se per verificare il rispetto di questa prescrizione si utilizza un circuito di segnale tra il dito di prova articolato e le parti ad alta tensione, la lampadina non deve accendersi.

4.1.

Metodo di prova per la misurazione della resistenza elettrica

Metodo di prova con misuratore di resistenza elettrica

Collegare il misuratore di resistenza elettrica ai punti di misurazione (di norma il telaio elettrico e il carter elettroconduttivo o la barriera di protezione elettrica); la resistenza elettrica deve essere misurata con un misuratore che soddisfi le seguenti specifiche:

i)	misuratore di resistenza elettrica: corrente misurata: almeno 0,2 A;

ii)	risoluzione: 0,01 Ω o inferiore;

iii)	la resistenza R deve essere inferiore a 0,1 Ω.

Metodo di prova con alimentazione CC, voltmetro e amperometro

Collegare la sorgente di CC, il voltmetro e l'amperometro ai punti di misurazione (di norma il telaio elettrico e il carter elettroconduttivo o la barriera di protezione elettrica).

Regolare la tensione dell'alimentazione CC in modo che il flusso di corrente raggiunga almeno 0,2 A.

Misurare la corrente I e la tensione U.

Calcolare la resistenza R con la seguente formula:

R = U / I

la resistenza R deve essere inferiore a 0,1 Ω.

Nota:

se per la misurazione di tensione e corrente si utilizzano cavi di piombo, ciascuno di essi deve essere collegato in modo indipendente alla barriera di protezione elettrica, al carter o al telaio elettrico. Può essere utilizzato un solo terminale per la misurazione della tensione e della corrente.

Un esempio del metodo di prova con alimentazione CC, voltmetro e amperometro è illustrato qui di seguito.

Figura 4 Esempio del metodo di prova con alimentazione CC

Resistenza di isolamento

5.1.

Informazioni generali

La resistenza di isolamento di ogni bus ad alta tensione del veicolo deve essere misurata o calcolata utilizzando i risultati delle misurazioni su ciascuna parte o ciascun componente di un bus ad alta tensione.

Tutte le misurazioni che servono a calcolare la tensione o le tensioni e l'isolamento elettrico devono essere effettuate almeno 10 s dopo l'urto.

5.2.

Metodo di misurazione

La misurazione della resistenza di isolamento si effettua scegliendo un metodo di misurazione adeguato fra quelli indicati ai punti 5.2.1 e 5.2.2 del presente allegato, in funzione della carica elettrica delle parti sotto tensione o della resistenza di isolamento.

L'intervallo del circuito elettrico da misurare deve essere chiarito in precedenza, ricorrendo a schemi di circuiti elettrici. Se i bus ad alta tensione sono conduttivamente isolati l'uno dall'altro, la resistenza di isolamento deve essere misurata per ciascun circuito elettrico.

Si possono anche apportare modifiche, se necessarie, per misurare la resistenza di isolamento, ad esempio è possibile rimuovere una copertura per raggiungere le parti sotto tensione, disegnare linee di misurazione e modificare un software.

Se i valori misurati non sono stabili perché il sistema di bordo di controllo della resistenza di isolamento è in funzione, per effettuare la misurazione si possono apportare le modifiche necessarie, ad esempio si può arrestare il dispositivo interessato o rimuoverlo. Inoltre, se il dispositivo viene rimosso, si utilizzerà una serie di disegni per dimostrare che la resistenza di isolamento tra le parti sotto tensione e il telaio elettrico rimane invariata.

Tali modifiche non devono incidere sui risultati della prova.

Dato che per questo metodo di conferma potrebbe essere necessario operare direttamente sul circuito ad alta tensione, è necessario prestare la massima attenzione per evitare cortocircuiti e scosse elettriche.

5.2.1.

Metodo di misurazione con tensione CC proveniente da fonti esterne al veicolo

5.2.1.1.

Strumento di misurazione

Si deve usare uno strumento di prova della resistenza di isolamento in grado di applicare una tensione a CC più elevata rispetto alla tensione di esercizio del bus ad alta tensione.

5.2.1.2.

Metodo di misurazione

Inserire lo strumento di prova della resistenza di isolamento tra le parti sotto tensione e il telaio elettrico. Misurare la resistenza di isolamento applicando una CC a una tensione pari ad almeno la metà della tensione di esercizio del bus ad alta tensione.

Se nel circuito collegato conduttivamente il sistema ha diversi intervalli di tensione (ad esempio per la presenza di un convertitore ausiliario) e alcuni componenti non possono resistere alla tensione di esercizio dell'intero circuito, si può misurare separatamente la resistenza di isolamento tra tali componenti e il telaio elettrico applicando almeno la metà della loro tensione di esercizio e tenendoli scollegati.

5.2.2.

Metodo di misurazione con il REESS del veicolo come fonte di tensione in CC

5.2.2.1.

Condizioni del veicolo di prova

Il bus ad alta tensione deve essere alimentato dal REESS e/o dal sistema di conversione dell'energia del veicolo; durante l'intera prova, il livello di tensione del REESS e/o del sistema di conversione dell'energia deve essere almeno pari alla tensione di esercizio nominale indicata dal costruttore del veicolo.

5.2.2.2.

Metodo di misurazione

5.2.2.2.1.

Prima fase:

misurare la tensione come indicato nella figura 1 e registrare la tensione (Ub) del bus ad alta tensione.

5.2.2.2.2.

Seconda fase:

misurare la tensione (U1) tra il polo negativo del bus ad alta tensione e il telaio elettrico (cfr. la figura 1) e registrarla.

5.2.2.2.3.

Terza fase:

misurare la tensione (U2) tra il polo positivo del bus ad alta tensione e il telaio elettrico (cfr. la figura 1) e registrarla.

5.2.2.2.4.

Quarta fase:

se U1 non è inferiore a U2, inserire una resistenza normalizzata nota (R0) tra il polo negativo del bus ad alta tensione e il telaio elettrico. Con la resistenza R0 inserita, misurare la tensione (U1′) tra il polo negativo del bus ad alta tensione e il telaio elettrico (cfr. figura 5).

Calcolare l'isolamento elettrico (Ri) con la seguente formula:

Ri = R0*Ub*(1/U1' - 1/U1)

Se U2 è maggiore di U1, inserire una resistenza normalizzata nota (R0) tra il polo positivo del bus ad alta tensione e il telaio elettrico. Con la resistenza R0 inserita, misurare la tensione (U2') tra il polo positivo del bus ad alta tensione e il telaio elettrico (cfr. la figura 6).

Calcolare l'isolamento elettrico (Ri) con la seguente formula:

Ri = R0*Ub*(1/U1' – 1/U1)

5.2.2.2.5.

Quinta fase:

dividendo il valore dell'isolamento elettrico Ri (in Ω) per la tensione di esercizio del bus ad alta tensione (in V) si ottiene la resistenza di isolamento (in Ω/V).

Nota:

la resistenza normalizzata nota R0 (in Ω) dovrebbe essere uguale alla resistenza di isolamento minima richiesta (in Ω/V) moltiplicata per la tensione di esercizio (in V) del veicolo ± 20 %. R0 non deve necessariamente corrispondere a tale valore, poiché le equazioni sono valide per qualsiasi R0; un valore R0 di quest'ordine di grandezza, tuttavia, dovrebbe permettere di misurare la tensione con una buona approssimazione.

Fuoriuscita di elettrolita

Se necessario, applicare un opportuno rivestimento alla protezione fisica (involucro) per verificare, dopo la prova d'urto, l'eventuale fuoriuscita di elettrolita dal REESS.

Mantenimento in posizione del REESS

Il rispetto di questa prescrizione si verifica con un esame visivo.

9.3.2021

Gazzetta ufficiale dell’Unione europea

L 82/30

Solo i testi UNECE originali hanno efficacia giuridica ai sensi del diritto internazionale pubblico. Lo status e la data di entrata in vigore del presente regolamento devono essere controllati nell’ultima versione del documento UNECE TRANS/WP.29/343, reperibile al seguente indirizzo: http://www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29fdocstts.html.

Regolamento n. 155 della Commissione economica per l’Europa delle Nazioni Unite (UNECE) - Disposizioni uniformi relative all’omologazione dei veicoli per quanto riguarda la cibersicurezza e i sistemi di gestione della cibersicurezza [2021/387]

Data di entrata in vigore: 22 gennaio 2021

Il presente documento è un semplice strumento di documentazione. I testi facenti fede e giuridicamente vincolanti sono i seguenti:

—	ECE/TRANS/WP.29/2020/79

—	ECE/TRANS/WP.29/2020/94 e

—	ECE/TRANS/WP.29/2020/97

INDICE

REGOLAMENTO

Ambito di applicazione

Definizioni

Domanda di omologazione

Marcature

Omologazione

Certificato di conformità del sistema di gestione della cibersicurezza

Specifiche

Modifica del tipo di veicolo ed estensione dell’omologazione

Conformità della produzione

10.

Sanzioni in caso di non conformità della produzione

11.

Cessazione definitiva della produzione

12.

Nomi e indirizzi dei servizi tecnici responsabili delle prove di omologazione e delle autorità di omologazione

ALLEGATI

Scheda informativa

Notifica

Esempio di marchio di omologazione

Modello di certificato di conformità del CSMS

Elenco delle minacce e delle misure di attenuazione corrispondenti

1. AMBITO DI APPLICAZIONE

1.1.

Il presente regolamento si applica, per quanto riguarda la cibersicurezza, ai veicoli delle categorie M e N.

Il presente regolamento si applica anche ai veicoli della categoria O muniti di almeno una centralina elettronica.

1.2.

Il presente regolamento si applica anche ai veicoli delle categorie L6 e L7 se dotati di funzionalità di guida automatizzata a partire dal livello 3, quali definite nel documento di riferimento contenente le definizioni di guida automatizzata nel quadro del WP.29 e i principi generali per l’elaborazione di un regolamento ONU sui veicoli automatizzati (ECE/TRANS/WP.29/1140).

1.3.

Il presente regolamento lascia impregiudicati gli altri regolamenti ONU, le normative regionali o nazionali che disciplinano l’accesso di parti autorizzate al veicolo, ai suoi dati, alle sue funzioni e alle sue risorse, nonché le condizioni di tale accesso. Esso non pregiudica inoltre l’applicazione della normativa nazionale e regionale in materia di privacy e protezione delle persone fisiche con riguardo al trattamento dei loro dati personali.

1.4.

Il presente regolamento lascia impregiudicati altri regolamenti ONU o normative nazionali o regionali che disciplinano lo sviluppo e l’installazione/integrazione in sistemi di componenti e pezzi di ricambio, fisici e digitali, per quanto riguarda la cibersicurezza.

2. DEFINIZIONI

Ai fini del presente regolamento si applicano le definizioni seguenti:

2.1.

«tipo di veicolo»: veicoli che non presentano differenze per quanto riguarda almeno gli elementi essenziali seguenti:

a)	la designazione del tipo di veicolo indicata dal costruttore;

b)	aspetti essenziali dell’architettura elettrica/elettronica e delle interfacce esterne per quanto riguarda la cibersicurezza;

2.2.	«cibersicurezza»: la condizione in cui i veicoli stradali e le loro funzioni sono protetti da minacce informatiche nei confronti dei componenti elettrici o elettronici;

2.3.

«sistema di gestione della cibersicurezza (CSMS)»: approccio sistematico basato sul rischio che definisce i processi organizzativi, le responsabilità e la governance per il trattamento dei rischi associati alle minacce informatiche nei confronti dei veicoli e per la protezione degli stessi dagli attacchi informatici;

2.4.	«sistema»: un insieme di componenti e/o sottosistemi che svolge una o più funzioni;

2.5.	«fase di sviluppo»: il periodo che precede l’omologazione di un tipo di veicolo;

2.6.	«fase di produzione»: la durata della produzione di un tipo di veicolo;

2.7.

«fase di post-produzione»: il periodo in cui un tipo di veicolo non è più prodotto fino al termine del ciclo di vita di tutti i veicoli di tale tipo. Durante questa fase i veicoli conformi a uno specifico tipo di veicolo saranno operativi ma non saranno più prodotti. La fase si conclude quando non vi sono più veicoli operativi di tale specifico tipo di veicolo;

2.8.	«misura di attenuazione»: una misura che riduce il rischio;

2.9.	«rischio»: la possibilità che una data minaccia sfrutti le vulnerabilità di un veicolo arrecando in tal modo danno all’organizzazione o a un individuo;

2.10.

«valutazione del rischio»: l’intero processo di individuazione, riconoscimento e descrizione dei rischi (identificazione dei rischi), volto a comprendere la natura del rischio e a determinare il livello di rischio (analisi dei rischi), e di confronto dei risultati dell’analisi dei rischi con i criteri di rischio allo scopo di determinare se il rischio e/o la sua entità siano accettabili o tollerabili (valutazione dei rischi);

2.11.

«gestione del rischio»: attività coordinate al fine di dirigere e controllare un’organizzazione per quanto riguarda il rischio;

2.12.

«minaccia»: la causa potenziale di un incidente indesiderato che può danneggiare un sistema, un’organizzazione o una persona;

2.13.

«vulnerabilità»: una debolezza in un elemento o in una misura di attenuazione che può essere sfruttata da una o più minacce.

3. DOMANDA DI OMOLOGAZIONE

3.1.

La domanda di omologazione di un tipo di veicolo per quanto riguarda la cibersicurezza deve essere presentata dal costruttore del veicolo o da un suo mandatario debitamente accreditato.

3.2.

La domanda deve essere accompagnata dai documenti indicati nel seguito, in triplice copia, e dalle informazioni seguenti:

3.2.1.

descrizione del tipo di veicolo per quanto riguarda gli elementi specificati nell’allegato 1 del presente regolamento;

3.2.2.

nei casi in cui le informazioni sono coperte da diritti di proprietà intellettuale o costituiscono un know-how specifico del costruttore o dei suoi fornitori, il costruttore o i suoi fornitori devono mettere a disposizione informazioni sufficienti per effettuare correttamente i controlli di cui al presente regolamento. Tali informazioni devono essere trattate in via riservata;

3.2.3.

il certificato di conformità del CSMS ai sensi del punto 6 del presente regolamento.

3.3.

La documentazione deve essere messa a disposizione in due parti:

il fascicolo di documentazione ufficiale per l’omologazione, contenente il materiale specificato nell’allegato 1, che deve essere fornito all’autorità di omologazione o al suo servizio tecnico al momento della presentazione della domanda di omologazione. Tale fascicolo di documentazione deve essere utilizzato dall’autorità di omologazione o dal suo servizio tecnico come riferimento di base per il processo di omologazione. L’autorità di omologazione o il suo servizio tecnico devono garantire che tale fascicolo di documentazione resti disponibile per almeno 10 anni a decorrere dalla cessazione definitiva della produzione del tipo di veicolo;

il costruttore può conservare materiale supplementare relativo alle prescrizioni del presente regolamento, ma questo deve essere messo a disposizione per l’ispezione al momento dell’omologazione. Il costruttore deve garantire che qualsiasi materiale messo a disposizione per l’ispezione al momento dell’omologazione resti disponibile per un periodo di almeno 10 anni a decorrere dalla cessazione definitiva della produzione del tipo di veicolo.

4. MARCATURA

4.1.

Su ciascun veicolo conforme a un tipo di veicolo omologato a norma del presente regolamento deve essere apposto, in evidenza e in un punto di facile accesso specificato nella scheda di omologazione, un marchio di omologazione internazionale composto da:

4.1.1.

un cerchio al cui interno è iscritta la lettera «E» seguita dal numero distintivo del paese che ha rilasciato l’omologazione;

4.1.2.

il numero del presente regolamento, seguito dalla lettera «R», da un trattino e dal numero di omologazione, posti a destra del cerchio di cui al precedente punto 4.1.1.

4.2.

Se nel paese che ha rilasciato l’omologazione a norma del presente regolamento il veicolo è conforme a un tipo di veicolo omologato a norma di altri regolamenti allegati all’accordo, non è necessario ripetere il simbolo di cui al punto 4.1.1; in tal caso, il regolamento, i numeri di omologazione e i simboli supplementari di tutti i regolamenti a norma dei quali è stata rilasciata l’omologazione, nel paese che l’ha rilasciata a norma del presente regolamento, devono essere incolonnati verticalmente a destra del simbolo di cui al punto 4.1.1.

4.3.

Il marchio di omologazione deve essere chiaramente leggibile e indelebile.

4.4.

Il marchio di omologazione deve essere posto sulla targhetta del costruttore, o in prossimità della stessa.

4.5.

L’allegato 3 del presente regolamento riporta alcuni esempi di marchi di omologazione.

5. OMOLOGAZIONE

5.1.

Le autorità di omologazione devono rilasciare, se del caso, l’omologazione per quanto riguarda la cibersicurezza solo ai tipi di veicolo che soddisfano le prescrizioni del presente regolamento.

5.1.1.

L’autorità di omologazione o il servizio tecnico devono verificare, mediante controlli documentali, che il costruttore del veicolo abbia adottato le misure pertinenti per il tipo di veicolo al fine di:

a)	raccogliere e verificare le informazioni richieste a norma del presente regolamento lungo la catena di approvvigionamento in modo da dimostrare che i rischi connessi ai fornitori sono individuati e gestiti;

b)	documentare la valutazione del rischio (effettuata durante la fase di sviluppo o in maniera retrospettiva), i risultati delle prove e le misure di attenuazione applicate al tipo di veicolo, comprese le informazioni di progettazione a sostegno della valutazione del rischio;

c)	attuare adeguate misure di cibersicurezza nella progettazione del tipo di veicolo;

d)	rilevare e rispondere a possibili attacchi alla cibersicurezza;

e)	registrare dati in un log per favorire l’individuazione di attacchi informatici e disporre di capacità di trattamento dei dati che consentano di analizzare gli attacchi informatici tentati o riusciti.

5.1.2.

L’autorità di omologazione o il servizio tecnico devono verificare, mediante prove su un veicolo del tipo in questione, che il costruttore del veicolo abbia attuato le misure di cibersicurezza da esso documentate. Le prove devono essere eseguite dall’autorità di omologazione o dal servizio tecnico stesso o in collaborazione con il costruttore del veicolo mediante campionamento. Il campionamento deve essere incentrato, a titolo non esaustivo, sui rischi che sono giudicati elevati in fase di valutazione del rischio.

5.1.3.

L’autorità di omologazione o il servizio tecnico devono rifiutarsi di rilasciare l’omologazione per quanto riguarda la cibersicurezza se il costruttore del veicolo non ha soddisfatto una o più prescrizioni di cui al punto 7.3, in particolare:

a)	il costruttore del veicolo non ha effettuato l’esauriente valutazione del rischio di cui al punto 7.3.3; ciò include la mancata considerazione da parte del costruttore di tutti i rischi connessi alle minacce di cui all’allegato 5, parte A;

b)	il costruttore del veicolo non ha protetto il tipo di veicolo dai rischi individuati nella valutazione del rischio da lui stesso effettuata o non sono state attuate misure di attenuazione proporzionate, come prescritto al punto 7;

c)	il costruttore del veicolo non ha messo in atto misure adeguate e proporzionate per garantire che (se previsti) sul tipo di veicolo siano presenti ambienti dedicati per conservare e far funzionare software, servizi, applicazioni o dati post-vendita;

d)	il costruttore del veicolo non ha effettuato, prima dell’omologazione, prove adeguate e sufficienti per verificare l’efficacia delle misure di sicurezza attuate.

5.1.4

L’autorità di omologazione competente per la valutazione deve altresì rifiutarsi di rilasciare l’omologazione per quanto riguarda la cibersicurezza se l’autorità di omologazione stessa o il servizio tecnico non hanno ricevuto dal costruttore del veicolo informazioni sufficienti per valutare la cibersicurezza del tipo di veicolo.

5.2.

L’omologazione, l’estensione o il rifiuto dell’omologazione di un tipo di veicolo a norma del presente regolamento devono essere comunicati alle parti dell’accordo del 1958 che applicano il presente regolamento mediante una scheda conforme al modello che figura nell’allegato 2 del presente regolamento.

5.3.

Le autorità di omologazione non devono rilasciare omologazioni senza verificare che il costruttore abbia posto in essere disposizioni e procedure soddisfacenti per gestire correttamente gli aspetti della cibersicurezza di cui al presente regolamento.

5.3.1.

Oltre ai criteri di cui all’allegato 2 dell’accordo del 1958, l’autorità di omologazione e i suoi servizi tecnici devono garantire di disporre di:

a)	personale in possesso di adeguate competenze in materia di cibersicurezza e di conoscenze specifiche in materia di valutazione del rischio nel settore automobilistico (1);

b)	procedure in atto per la valutazione uniforme in conformità al presente regolamento.

5.3.2.

Ciascuna parte contraente che applica il presente regolamento deve notificare e informare, attraverso la propria autorità di omologazione, le altre autorità di omologazione delle parti contraenti che applicano il presente regolamento ONU in merito al metodo e ai criteri utilizzati come base dall’autorità che effettua la notifica per valutare l’adeguatezza delle misure adottate in conformità al presente regolamento, in particolare i punti 5.1, 7.2 e 7.3.

Tali informazioni devono essere condivise a) solo prima che un’omologazione in conformità al presente regolamento sia rilasciata per la prima volta e b) ogni volta che il metodo o i criteri di valutazione sono aggiornati.

Tali informazioni sono condivise ai fini della raccolta e dell’analisi delle migliori pratiche, nonché allo scopo di garantire l’applicazione convergente del presente regolamento da parte di tutte le autorità di omologazione che lo applicano.

5.3.3.

Le informazioni di cui al punto 5.3.2 devono essere caricate in lingua inglese nella banca dati protetta «DETA» (2), istituita dalla Commissione economica per l’Europa delle Nazioni Unite e accessibile via Internet, in tempo utile e non oltre 14 giorni prima che sia rilasciata per la prima volta un’omologazione secondo i metodi e i criteri di valutazione in questione. Le informazioni devono essere sufficienti per comprendere i livelli minimi di prestazione adottati dall’autorità di omologazione per ciascuna prescrizione specifica di cui al punto 5.3.2, nonché i processi e le misure da essa applicati per verificare il rispetto di tali livelli minimi di prestazione (3).

5.3.4.

Le autorità di omologazione che ricevono le informazioni di cui al punto 5.3.2 possono presentare osservazioni all’autorità di omologazione che effettua la notifica caricandole in DETA entro 14 giorni dal giorno della notifica.

5.3.5.

Se l’autorità di omologazione competente per il rilascio non può tenere conto delle osservazioni ricevute in conformità al punto 5.3.4, le autorità di omologazione che hanno inviato osservazioni e l’autorità di omologazione competente per il rilascio devono richiedere ulteriori chiarimenti conformemente alla scheda 6 dell’accordo del 1958. Il pertinente gruppo di lavoro sussidiario (4) del Forum mondiale per l’armonizzazione dei regolamenti sui veicoli (WP.29) per il presente regolamento deve concordare un’interpretazione comune dei metodi e dei criteri di valutazione (5). Tale interpretazione comune deve essere applicata e tutte le autorità di omologazione devono rilasciare di conseguenza omologazioni a norma del presente regolamento.

5.3.6.

Ciascuna autorità di omologazione che rilascia un’omologazione a norma del presente regolamento deve notificare l’omologazione rilasciata alle altre autorità di omologazione. L’autorità di omologazione deve caricare l’omologazione in DETA insieme alla documentazione integrativa in lingua inglese entro 14 giorni dalla data di rilascio dell’omologazione (6).

5.3.7.

Le parti contraenti possono esaminare le omologazioni rilasciate sulla base delle informazioni caricate conformemente al punto 5.3.6. In caso di divergenza di opinioni tra le parti contraenti, la questione deve essere risolta conformemente all’articolo 10 e alla scheda 6 dell’accordo del 1958. Le parti contraenti devono informare inoltre il pertinente gruppo di lavoro sussidiario del Forum mondiale per l’armonizzazione dei regolamenti sui veicoli (WP.29) in merito alle interpretazioni divergenti ai sensi della scheda 6 dell’accordo del 1958. Il gruppo di lavoro competente deve sostenere la risoluzione delle divergenze di opinioni e, ove pertinente, può consultare il WP.29 al riguardo.

5.4.

Ai fini del punto 7.2 del presente regolamento, il costruttore deve garantire l’attuazione degli aspetti di cibersicurezza disciplinati dal presente regolamento.

6. CERTIFICATO DI CONFORMITÀ DEL SISTEMA DI GESTIONE DELLA CIBERSICUREZZA

6.1.

Le parti contraenti devono incaricare un’autorità di omologazione di effettuare la valutazione del costruttore e di rilasciare un certificato di conformità del CSMS.

6.2.

La domanda di certificato di conformità del sistema di gestione della cibersicurezza deve essere presentata dal costruttore del veicolo o da un suo mandatario accreditato.

6.3.

La domanda deve essere accompagnata dai documenti indicati nel seguito, in triplice copia, e dalle informazioni seguenti:

6.3.1.

documenti che descrivono il sistema di gestione della cibersicurezza;

6.3.2.

una dichiarazione firmata utilizzando il modello di cui all’allegato 1, appendice 1.

6.4.

Nel contesto della valutazione, il costruttore deve dichiarare, utilizzando il modello di cui all’allegato 1, appendice 1, e dimostrare all’autorità di omologazione o al suo servizio tecnico, di disporre dei processi necessari per soddisfare tutte le prescrizioni in materia di cibersicurezza in conformità al presente regolamento.

6.5.

Se gli esiti della valutazione sono soddisfacenti e previo ricevimento di una dichiarazione firmata del costruttore in conformità al modello di cui all’allegato 1, appendice 1, al costruttore deve essere rilasciato il certificato di conformità del CSMS descritto nell’allegato 4 del presente regolamento (in seguito denominato il «certificato di conformità del CSMS»).

6.6.

L’autorità di omologazione o il suo servizio tecnico devono utilizzare il modello di cui all’allegato 4 del presente regolamento per il certificato di conformità del CSMS.

6.7.

Il certificato di conformità del CSMS deve rimanere valido per un massimo di tre anni a decorrere dalla data di rilascio del certificato, a meno che non venga revocato.

6.8.

L’autorità di omologazione che ha rilasciato il certificato di conformità del CSMS può verificare in qualsiasi momento che le relative prescrizioni continuino a essere soddisfatte. L’autorità di omologazione deve revocare il certificato di conformità del CSMS se le prescrizioni di cui al presente regolamento non sono più soddisfatte.

6.9.

Il costruttore deve informare l’autorità di omologazione o il suo servizio tecnico di qualsiasi modifica che incida sulla pertinenza del certificato di conformità del CSMS. Dopo aver consultato il costruttore, l’autorità di omologazione o il suo servizio tecnico devono decidere se siano necessari nuovi controlli.

6.10.

Il costruttore deve chiedere un nuovo certificato di conformità del CSMS o l’estensione della validità del certificato esistente con un anticipo sufficiente a consentire all’autorità di omologazione di completare la propria valutazione prima della fine del periodo di validità del certificato esistente. Nel caso in cui la valutazione abbia esito positivo, l’autorità di omologazione deve rilasciare un nuovo certificato di conformità del CSMS o prorogare la validità del certificato esistente per un ulteriore periodo di tre anni. L’autorità di omologazione deve verificare che il CSMS continui a soddisfare le prescrizioni del presente regolamento. L’autorità di omologazione deve rilasciare un nuovo certificato nei casi in cui le modifiche portate all’attenzione dell’autorità di omologazione o del suo servizio tecnico abbiano a loro volta ottenuto una valutazione positiva.

6.11.

La scadenza o la revoca del certificato di conformità del CSMS del costruttore deve essere considerata, per quanto riguarda i tipi di veicolo per i quali il CSMS in questione era pertinente, come una modifica dell’omologazione, di cui al punto 8, che può comportare la revoca dell’omologazione se le condizioni per il rilascio dell’omologazione non sono più soddisfatte.

7. SPECIFICHE

7.1.

Specifiche generali

7.1.1.

Le prescrizioni del presente regolamento non devono limitare le disposizioni o le prescrizioni di altri regolamenti ONU.

7.2.

Prescrizioni per il sistema di gestione della cibersicurezza

7.2.1.

Per la valutazione, l’autorità di omologazione o il suo servizio tecnico devono verificare che il costruttore del veicolo disponga di un sistema di gestione della cibersicurezza e accertarne la conformità al presente regolamento.

7.2.2.

Il sistema di gestione della cibersicurezza deve contemplare gli aspetti seguenti:

7.2.2.1.

il costruttore del veicolo deve dimostrare a un’autorità di omologazione o a un servizio tecnico che il suo sistema di gestione della cibersicurezza si applica alle fasi seguenti:

a)	fase di sviluppo;

b)	fase di produzione;

c)	fase di post-produzione;

7.2.2.2.

il costruttore del veicolo deve dimostrare che i processi utilizzati nell’ambito del suo sistema di gestione della cibersicurezza garantiscono che la sicurezza sia stata adeguatamente presa in considerazione, anche in relazione ai rischi e alle misure di attenuazione elencati nell’allegato 5. Tali processi devono includere:

a)	i processi utilizzati all’interno dell’organizzazione del costruttore per gestire la cibersicurezza;

b)	i processi utilizzati per l’identificazione dei rischi per i tipi di veicolo. Nell’ambito di tali processi devono essere prese in considerazione le minacce di cui all’allegato 5, parte A, e altre minacce pertinenti;

c)	i processi utilizzati per la valutazione, la categorizzazione e il trattamento dei rischi individuati;

d)	i processi in atto per verificare che i rischi individuati siano gestiti in modo adeguato;

e)	i processi utilizzati per testare la cibersicurezza di un tipo di veicolo;

f)	i processi utilizzati per garantire che la valutazione del rischio sia mantenuta aggiornata;

i processi utilizzati per monitorare, individuare e rispondere agli attacchi informatici, alle minacce informatiche e alle vulnerabilità dei tipi di veicolo e i processi utilizzati per valutare se le misure di cibersicurezza attuate siano ancora efficaci alla luce delle nuove minacce informatiche e vulnerabilità individuate;

h)	i processi utilizzati per fornire dati pertinenti a sostegno dell’analisi di attacchi informatici tentati o riusciti;

7.2.2.3.

il costruttore del veicolo deve dimostrare che i processi utilizzati nel suo sistema di gestione della cibersicurezza garantiranno che, sulla base della categorizzazione di cui al punto 7.2.2.2, lettere c) e g), le minacce informatiche e le vulnerabilità che richiedono una risposta da parte del costruttore del veicolo siano attenuate entro un lasso di tempo ragionevole;

7.2.2.4.

il costruttore del veicolo deve dimostrare che i processi utilizzati nel suo sistema di gestione della cibersicurezza garantiscono che il monitoraggio di cui al punto 7.2.2.2, lettera g), sia continuo. Esso deve:

a)	includere i veicoli nel monitoraggio dopo la prima immatricolazione;

includere la capacità di analizzare e rilevare minacce informatiche, vulnerabilità e attacchi informatici attraverso i dati e i log dei veicoli. Tale capacità deve rispettare il punto 1.3 e i diritti alla privacy dei proprietari di automobili o dei conducenti, in particolare per quanto riguarda il consenso;

7.2.2.5.

il costruttore del veicolo deve essere tenuto a dimostrare in che modo il suo sistema di gestione della cibersicurezza gestirà le eventuali dipendenze con fornitori, fornitori di servizi o sub-organizzazioni del costruttore per quanto riguarda le prescrizioni di cui al punto 7.2.2.2.

7.3.

Prescrizioni per i tipi di veicolo

7.3.1.

Il costruttore deve essere in possesso di un certificato di conformità valido per il sistema di gestione della cibersicurezza relativo al tipo di veicolo da omologare.

Tuttavia, per le omologazioni anteriori al 1o luglio 2024, se il costruttore del veicolo è in grado di dimostrare che non è stato possibile sviluppare il tipo di veicolo in maniera conforme al CSMS, il costruttore del veicolo deve dimostrare che la cibersicurezza è stata adeguatamente presa in considerazione durante la fase di sviluppo del tipo di veicolo in questione.

7.3.2.

Il costruttore del veicolo deve individuare e gestire, per il tipo di veicolo da omologare, i rischi connessi ai fornitori.

7.3.3.

Il costruttore del veicolo deve individuare gli elementi critici del tipo di veicolo ed effettuare un’esauriente valutazione del rischio per il tipo di veicolo e deve trattare/gestire adeguatamente i rischi individuati. La valutazione del rischio deve prendere in considerazione i singoli elementi del tipo di veicolo e le loro interazioni. La valutazione del rischio deve inoltre prendere in considerazione le interazioni con eventuali sistemi esterni. Nel valutare i rischi, il costruttore del veicolo deve tenere conto dei rischi connessi a tutte le minacce di cui all’allegato 5, parte A, nonché di qualsiasi altro rischio pertinente.

7.3.4.

Il costruttore del veicolo deve proteggere il tipo di veicolo dai rischi individuati nella sua valutazione del rischio. Devono essere attuate misure di attenuazione proporzionate per proteggere il tipo di veicolo. Le misure attuate devono includere tutte le misure di attenuazione di cui all’allegato 5, parti B e C, che sono pertinenti per i rischi individuati. Tuttavia, se una delle misure di attenuazione di cui all’allegato 5, parte B o C, non è pertinente o non è sufficiente per il rischio individuato, il costruttore del veicolo deve garantire che venga attuata un’altra misura di attenuazione adeguata.

In particolare, per le omologazioni anteriori al 1o luglio 2024, il costruttore del veicolo deve garantire l’attuazione di un’altra misura di attenuazione adeguata se una delle misure di attenuazione di cui all’allegato 5, parte B o C, non è tecnicamente applicabile. La rispettiva valutazione dell’applicabilità tecnica deve essere fornita dal costruttore all’autorità di omologazione.

7.3.5.

Il costruttore del veicolo deve mettere in atto misure adeguate e proporzionate per garantire che (se previsti) sul tipo di veicolo siano presenti ambienti dedicati per conservare e far funzionare di software, servizi, applicazioni o dati post-vendita.

7.3.6.

Il costruttore del veicolo deve effettuare, prima dell’omologazione, prove adeguate e sufficienti per verificare l’efficacia delle misure di sicurezza attuate.

7.3.7.

Il costruttore del veicolo deve attuare misure per il tipo di veicolo al fine di:

a)	rilevare e prevenire gli attacchi informatici nei confronti dei veicoli appartenenti al tipo di veicolo in questione;

b)	potenziare la sua capacità di monitoraggio per quanto riguarda l’individuazione di minacce, vulnerabilità e attacchi informatici pertinenti al tipo di veicolo;

c)	disporre di capacità di trattamento dei dati che consentano di analizzare gli attacchi informatici tentati o riusciti.

7.3.8.

I moduli crittografici utilizzati ai fini del presente regolamento devono essere in linea con le norme concordate. Se i moduli crittografici utilizzati non sono in linea con le norme concordate, il costruttore del veicolo ne deve giustificare l’uso.

7.4.

Disposizioni in materia di comunicazione

7.4.1.

Il costruttore del veicolo deve riferire almeno una volta all’anno, o più frequentemente se del caso, all’autorità di omologazione o al servizio tecnico in merito ai risultati delle sue attività di monitoraggio, quali definite al punto 7.2.2.2, lettera g), comprese le informazioni pertinenti sui nuovi attacchi informatici. Il costruttore del veicolo deve inoltre comunicare e confermare all’autorità di omologazione o al servizio tecnico che le misure di attenuazione in materia di cibersicurezza attuate in relazione ai suoi tipi di veicolo sono ancora efficaci e le eventuali azioni supplementari intraprese.

7.4.2

L’autorità di omologazione o il servizio tecnico devono verificare le informazioni fornite e, se necessario, esigere che il costruttore del veicolo ponga rimedio alle eventuali inefficienze rilevate.

Se la comunicazione o la risposta non è sufficiente, l’autorità di omologazione può decidere di revocare il certificato di conformità del CSMS in conformità al punto 6.8.

8. MODIFICA DEL TIPO DI VEICOLO ED ESTENSIONE DELL’OMOLOGAZIONE

8.1.

Ogni modifica del tipo di veicolo che incida sulle prestazioni tecniche per quanto riguarda la cibersicurezza e/o sulla documentazione richiesta dal presente regolamento deve essere notificata all’autorità di omologazione che ha omologato il tipo di veicolo. Tale autorità può quindi:

8.1.1.

ritenere che le modifiche apportate siano ancora conformi alle prescrizioni e alla documentazione dell’omologazione esistente; oppure

8.1.2.

procedere alla necessaria valutazione complementare a norma del punto 5 e richiedere, se del caso, un ulteriore verbale di prova al servizio tecnico incaricato di eseguire le prove.

8.1.3.

La conferma, l’estensione o il rifiuto dell’omologazione, con indicazione delle modifiche apportate, devono essere comunicati mediante una scheda di notifica conforme al modello figurante nell’allegato 2 del presente regolamento. L’autorità di omologazione che rilascia l’estensione dell’omologazione deve assegnare un numero di serie all’estensione e informare le altre parti dell’accordo del 1958 che applicano il presente regolamento mediante una scheda di notifica conforme al modello figurante nell’allegato 2 del presente regolamento.

9. CONFORMITÀ DELLA PRODUZIONE

9.1.

Le procedure per il controllo della conformità della produzione devono essere conformi a quelle indicate nell’allegato 1 dell’accordo del 1958 (E/ECE/TRANS/505/Rev.3), nonché alle prescrizioni seguenti:

9.1.1.

il titolare dell’omologazione deve garantire che i risultati delle prove di conformità della produzione siano registrati e che i documenti allegati restino a disposizione per un periodo di tempo concordato con l’autorità di omologazione o con il suo servizio tecnico. Tale periodo non deve essere superiore a 10 anni a partire dalla cessazione definitiva della produzione;

9.1.2.

l’autorità che ha rilasciato l’omologazione ha facoltà di verificare in qualsiasi momento i metodi di controllo della conformità applicati in ogni stabilimento di produzione. Tali verifiche devono avere di norma cadenza triennale.

10. SANZIONI IN CASO DI NON CONFORMITÀ DELLA PRODUZIONE

10.1.

L’omologazione di un tipo di veicolo rilasciata a norma del presente regolamento può essere revocata se cessano di essere soddisfatte le prescrizioni di cui al presente regolamento o se i veicoli campione non sono conformi alle prescrizioni del presente regolamento.

10.2.

Se un’autorità di omologazione revoca un’omologazione da essa in precedenza rilasciata, deve informare immediatamente le parti contraenti che applicano il presente regolamento mediante una scheda di notifica conforme al modello figurante nell’allegato 2 del presente regolamento.

11. CESSAZIONE DEFINITIVA DELLA PRODUZIONE

11.1.

Se il titolare di un’omologazione cessa definitivamente la produzione di un tipo di veicolo omologato a norma del presente regolamento, deve informarne l’autorità che ha rilasciato l’omologazione. Appena ricevuta la relativa notifica, tale autorità deve informare le altre parti dell’accordo che applicano il presente regolamento inviando una copia della scheda di omologazione recante in calce, a chiare lettere, l’annotazione firmata e datata «PRODUZIONE CESSATA».

12. NOMI E INDIRIZZI DEI SERVIZI TECNICI RESPONSABILI DELLE PROVE DI OMOLOGAZIONE E DELLE AUTORITÀ DI OMOLOGAZIONE

12.1.

Le parti dell’accordo che applicano il presente regolamento devono comunicare al segretariato delle Nazioni Unite i nomi e gli indirizzi dei servizi tecnici incaricati di eseguire le prove di omologazione e delle autorità che rilasciano le omologazioni e alle quali devono essere inviate le schede attestanti il rilascio, l’estensione, il rifiuto o la revoca di omologazioni rilasciate in altri paesi.

(1) Ad esempio ISO 26262-2018, ISO/PAS 21448, ISO/SAE 21434.

(2) https://www.unece.org/trans/main/wp29/datasharing.html.

(3) Nel documento di interpretazione che la task force per la sicurezza informatica e le questioni relative alle trasmissioni senza fili sta elaborando per la settima sessione del GRVA devono essere forniti orientamenti sulle informazioni dettagliate da caricare (ad esempio metodo, criteri, livello di prestazione) e sul formato.

(4) Il gruppo di lavoro sui veicoli automatizzati/autonomi e connessi (GRVA).

(5) Tale interpretazione deve essere inclusa nel documento di interpretazione di cui alla nota a piè di pagina del punto 5.3.3.

(6) Nel corso della sua settima sessione il GRVA elaborerà ulteriori informazioni sulle prescrizioni minime per il fascicolo di documentazione.

ALLEGATO 1

Scheda informativa

Le seguenti informazioni devono essere fornite, ove pertinente, in triplice copia e devono contenere un indice. Gli eventuali disegni devono essere forniti in scala adeguata e con sufficienti dettagli, in formato A4 o in fogli piegati in tale formato. Le eventuali fotografie devono mostrare sufficienti dettagli.

Marchio (denominazione commerciale del costruttore): …

Tipo e descrizione/i commerciale/i generale/i: …

Mezzi di identificazione del tipo, se marcati sul veicolo: …

Posizione di tale indicazione: …

Categoria/e del veicolo: …

Nome e indirizzo del costruttore/mandatario del costruttore: …

Nome/i e indirizzo/i dello/degli stabilimento/i di montaggio: …

Fotografie e/o disegni di un veicolo rappresentativo: …

Cibersicurezza

9.1.

Caratteristiche costruttive generali del tipo di veicolo, ivi compresi:

a)	i sistemi del veicolo che sono pertinenti alla cibersicurezza del tipo di veicolo;

b)	i componenti di tali sistemi che sono pertinenti alla cibersicurezza;

c)	le interazioni di tali sistemi con altri sistemi all’interno del tipo di veicolo e con le interfacce esterne.

9.2.

Rappresentazione schematica del tipo di veicolo

9.3.

Numero del certificato di conformità del CSMS: …

9.4.

Documenti per il tipo di veicolo da omologare che descrivono l’esito della valutazione del rischio e i rischi individuati: …

9.5.

Documenti per il tipo di veicolo da omologare che descrivono le misure di attenuazione applicate ai sistemi elencati o al tipo di veicolo e il modo in cui affrontano i rischi dichiarati: …

9.6.

Documenti per il tipo di veicolo da omologare che descrivono la protezione degli ambienti dedicati per software, servizi, applicazioni o dati post-vendita: …

9.7.

Documenti per il tipo di veicolo da omologare che descrivono le prove utilizzate per verificare la cibersicurezza del tipo di veicolo e dei suoi sistemi e l’esito di tali prove: …

9.8.

Descrizione delle modalità con cui si è tenuto conto della catena di approvvigionamento per quanto riguarda la cibersicurezza: …

Appendice 1 All’allegato 1

Modello di dichiarazione di conformità del CSMS del costruttore

Dichiarazione del costruttore attestante la conformità alle prescrizioni per il sistema di gestione della cibersicurezza

Nome del costruttore: …

Indirizzo del costruttore: …

… (nome del costruttore) attesta che i processi necessari per conformare il sistema di gestione della cibersicurezza alle prescrizioni di cui al punto 7.2 del regolamento UNECE n. 155 sono stati predisposti e saranno mantenuti.………

Fatto a: … (luogo)

Data: …

Nome del firmatario: …

Funzione del firmatario: …

…

(Timbro e firma del mandatario del costruttore)

ALLEGATO 2

Notifica

[formato massimo: A4 (210 × 297 mm)]

(1)

Emessa da:

Nome dell’amministrazione:

…

Relativa a (2)

rilascio dell’omologazione

estensione dell’omologazione

revoca dell’omologazione con effetto dal gg/mm/aaaa

rifiuto dell’omologazione

cessazione definitiva della produzione

di un tipo di veicolo a norma del regolamento UNECE n. 155

Omologazione n.: …

Estensione n.: …

Motivo dell’estensione: …

Marchio (denominazione commerciale del costruttore): …

Tipo e descrizione commerciale generale: …

Mezzi di identificazione del tipo, se marcati sul veicolo: …

3.1.

Posizione di tale indicazione: …

Categoria del veicolo: …

Nome e indirizzo del costruttore/mandatario del costruttore: …

Nomi e indirizzi degli stabilimenti di produzione: …

Numero del certificato di conformità del sistema di gestione della cibersicurezza: …

Servizio tecnico incaricato di eseguire le prove: …

Data del verbale di prova: …

10.

Numero del verbale di prova: …

11.

Osservazioni: (se del caso). …

12.

Luogo: …

13.

Data: …

14.

Firma: …

15.

Si allega l’indice del fascicolo informativo depositato presso l’autorità di omologazione, del quale si può richiedere copia:

(1) Numero distintivo del paese che ha rilasciato/esteso/rifiutato/revocato l’omologazione (cfr. disposizioni sull’omologazione contenute nel regolamento).

(2) Cancellare quanto non pertinente.:

ALLEGATO 3

Esempio di marchio di omologazione

MODELLO A

(cfr. punto 4.2 del presente regolamento)

a = 8 mm min.

Il marchio di omologazione sopra raffigurato, apposto su un veicolo, indica che il tipo di veicolo stradale in questione è stato omologato nei Paesi Bassi (E4), a norma del regolamento n. 155 e con il numero di omologazione 001234. Le prime due cifre del numero di omologazione indicano che l’omologazione è stata rilasciata conformemente alle prescrizioni del regolamento nella sua versione originale (00).

ALLEGATO 4

Modello di certificato di conformità del CSMS

Certificato di conformità del sistema di gestione della cibersicurezza

al regolamento UNECE n. 155

Numero del certificato [numero di riferimento]

[……. autorità di omologazione]

certifica che

Costruttore: …

Indirizzo del costruttore: …

è conforme alle disposizioni del punto 7.2 del regolamento n. 155

Sono stati effettuati controlli su: …

da (nome e indirizzo dell’autorità di omologazione o del servizio tecnico): …

Numero del verbale: …

Il certificato è valido fino a […………………………………………………data]

Fatto a […………………………………………………luogo]

Il […………………………………………………data]

[…………………………………………………firma]

Allegati: descrizione del sistema di gestione della cibersicurezza da parte del costruttore.

ALLEGATO 5

Elenco delle minacce e delle misure di attenuazione corrispondenti

Il presente allegato si compone di tre parti. La parte A descrive la base di riferimento per le minacce, le vulnerabilità e i metodi di attacco. La parte B descrive le misure di attenuazione delle minacce destinate ai tipi di veicolo. La parte C descrive le misure di attenuazione delle minacce destinate ad ambiti esterni ai veicoli, ad esempio back-end informatici.

Le parti A, B e C devono essere prese in considerazione ai fini della valutazione del rischio e delle misure di attenuazione che devono essere attuate dai costruttori di veicoli.

Alle vulnerabilità di alto livello e agli esempi corrispondenti è stato assegnato un indice nella parte A. La stessa indicizzazione è stata riportata nelle tabelle delle parti B e C per collegare ciascun attacco/vulnerabilità a un elenco di misure di attenuazione corrispondenti.

L’analisi delle minacce deve tenere conto anche dei possibili impatti degli attacchi. Questi possono contribuire a determinare la gravità di un rischio e a individuare ulteriori rischi. I possibili impatti degli attacchi possono comprendere:

a)	compromissione del funzionamento sicuro del veicolo;

b)	cessazione dell’operatività di funzioni del veicolo;

c)	modifiche del software, alterazioni delle prestazioni;

d)	alterazioni del software, ma senza conseguenze sul funzionamento;

e)	violazione dell’integrità dei dati;

f)	violazione della riservatezza dei dati;

g)	perdita di disponibilità dei dati;

h)	altro, compresi atti criminosi.

Parte A. Vulnerabilità o metodi di attacco connessi alle minacce

Le descrizioni ad alto livello delle minacce e delle relative vulnerabilità o dei relativi metodi di attacco sono riportate nella tabella A1.

Tabella A1

Elenco delle vulnerabilità o dei metodi di attacco connessi alle minacce

Descrizioni delle vulnerabilità/minacce di livello superiore e di livello inferiore

Esempio di vulnerabilità o di metodo di attacco

4.3.1.

Minacce relative ai server di back-end connessi ai veicoli in circolazione

Server di back-end utilizzati come mezzo per attaccare un veicolo o estrarre dati

1.1

Abuso di privilegi da parte del personale (attacco dall’interno)

1.2

Accesso Internet non autorizzato al server (attivato ad esempio tramite backdoor, vulnerabilità del software di sistema non corrette tramite patch, attacchi SQL o altri mezzi)

1.3

Accesso fisico non autorizzato al server (effettuato ad esempio mediante chiavette USB o altri supporti che si collegano al server)

Perturbazione dei servizi del server di back-end che incide sul funzionamento di un veicolo

2.1

L’attacco al server di back-end ne blocca il funzionamento, ad esempio impedendogli di interagire con i veicoli e di fornire i servizi su cui questi ultimi fanno affidamento

Perdita o compromissione dei dati relativi ai veicoli conservati su server di back-end («violazione dei dati»)

3.1

Abuso di privilegi da parte del personale (attacco dall’interno)

3.2

Perdita di informazioni nel cloud. I dati sensibili conservati presso fornitori terzi di servizi cloud possono andare perduti a causa di attacchi o incidenti

3.3

Accesso Internet non autorizzato al server (attivato ad esempio tramite backdoor, vulnerabilità del software di sistema non corrette tramite patch, attacchi SQL o altri mezzi)

3.4

Accesso fisico non autorizzato al server (effettuato ad esempio mediante chiavette USB o altri supporti che si collegano al server)

3.5

Violazione delle informazioni dovuta alla condivisione non intenzionale di dati (ad esempio errori amministrativi)

4.3.2.

Minacce ai veicoli per quanto riguarda i loro canali di comunicazione

Spoofing di messaggi o dati ricevuti dal veicolo

4.1

Spoofing dei messaggi (ad esempio 802.11p V2X durante il platooning, messaggi GNSS ecc.) mediante impersonificazione

4.2

Attacco Sybil (al fine di simulare la presenza di altri veicoli per fingere che ve ne siano molti sulla strada)

Canali di comunicazione utilizzati per effettuare manipolazioni, cancellazioni o altre modifiche non autorizzate del codice/dei dati detenuti dal veicolo

5.1

I canali di comunicazione consentono l’iniezione di codice; ad esempio un codice binario manomesso potrebbe essere iniettato nel flusso di comunicazione

5.2

I canali di comunicazione consentono la manipolazione del codice/dei dati detenuti dal veicolo

5.3

I canali di comunicazione consentono la sovrascrittura del codice/dei dati detenuti dal veicolo

5.4

I canali di comunicazione consentono la cancellazione del codice/dei dati detenuti dal veicolo

5.5

I canali di comunicazione consentono l’introduzione di codice/dati nel veicolo (codice per la scrittura di dati)

I canali di comunicazione consentono di accettare messaggi non attendibili/inaffidabili o sono vulnerabili agli attacchi replay/di dirottamento di sessione

6.1

Accettazione di informazioni da una fonte inaffidabile o non attendibile

6.2

Attacco «man in the middle»/dirottamento di sessione

6.3

Attacco replay, ad esempio un attacco contro un gateway di comunicazione che consente all’aggressore di installare una versione precedente del software di una centralina elettronica o del firmware del gateway

Le informazioni possono essere facilmente divulgate, ad esempio intercettando le comunicazioni o consentendo l’accesso non autorizzato a file o cartelle sensibili

7.1

Intercettazione di informazioni/radiazioni interferenti/monitoraggio delle comunicazioni

7.2

Ottenimento di un accesso non autorizzato a file o dati

Attacchi «Denial of Service» attraverso canali di comunicazione per perturbare le funzioni del veicolo

8.1

Invio di una grande quantità di dati spazzatura al sistema informatico del veicolo in modo che questo non sia in grado di fornire servizi in modo normale

8.2

Attacco «black hole», in cui l’aggressore è in grado di bloccare i messaggi tra i veicoli al fine di perturbare la comunicazione tra gli stessi

Un utente senza privilegi è in grado di ottenere un accesso privilegiato ai sistemi dei veicoli

9.1

Un utente senza privilegi è in grado di ottenere un accesso privilegiato, ad esempio un accesso root

I virus incorporati nei mezzi di comunicazione sono in grado di infettare i sistemi dei veicoli

10.1

Il virus incorporato nei mezzi di comunicazione infetta i sistemi dei veicoli

I messaggi ricevuti dal veicolo (ad esempio X2V o messaggi diagnostici), o trasmessi al suo interno, contengono contenuti malevoli

11.1

Messaggi interni (ad esempio CAN) malevoli

11.2

Messaggi V2X malevoli, ad esempio messaggi da infrastruttura a veicolo o veicolo-veicolo (ad esempio CAM, DENM)

11.3

Messaggi diagnostici malevoli

11.4

Messaggi proprietari malevoli (ad esempio quelli normalmente inviati dall’OEM o dal fornitore di componenti/sistemi/funzioni)

4.3.3

Minacce ai veicoli per quanto riguarda le loro procedure di aggiornamento

Uso improprio o compromissione delle procedure di aggiornamento

12.1

Compromissione delle procedure di aggiornamento OTA dei software, compresa la creazione di un falso firmware o programma di aggiornamento del sistema

12.2

Compromissione delle procedure di aggiornamento locale/fisico del software, compresa la creazione di un falso firmware o programma di aggiornamento del sistema

12.3

Il software è manipolato prima del processo di aggiornamento (ed è quindi corrotto), sebbene il processo di aggiornamento sia intatto

12.4

Compromissione delle chiavi crittografiche del fornitore di software per consentire un aggiornamento non valido

Possibilità di negare gli aggiornamenti legittimi

13.1

Attacco «Denial of Service» contro un server o una rete di aggiornamento per impedire l’introduzione di aggiornamenti critici del software e/o lo sblocco di funzioni specifiche del cliente

4.3.4.

Minacce ai veicoli per quanto riguarda le azioni umane non intenzionali che facilitano un attacco informatico

I soggetti autorizzati sono in grado di compiere azioni che potrebbero facilitare inconsapevolmente un attacco informatico

15.1

Una vittima inconsapevole (ad esempio un proprietario, un operatore o un addetto alla manutenzione) è indotta a compiere un’azione che comporta il caricamento involontario di malware o che consente un attacco

15.2

Le procedure di sicurezza definite non sono rispettate

4.3.5.

Minacce ai veicoli per quanto riguarda la connettività e i collegamenti esterni

La manipolazione della connettività delle funzioni del veicolo consente un attacco informatico; sono inclusi la telematica, i sistemi che consentono le operazioni a distanza e sistemi che utilizzano comunicazioni senza fili a corto raggio

16.1

Manipolazione di funzioni progettate per comandare i sistemi a distanza, come la chiave telecomando, l’immobilizzatore e la colonnina di carica

16.2

Manipolazione della telematica dei veicoli (ad esempio manipolazione della misurazione della temperatura di merci sensibili, sblocco a distanza dei portelloni di carico)

16.3

Interferenza con sistemi o sensori senza fili a corto raggio

Software di terzi ospitati sul veicolo, ad esempio applicazioni di intrattenimento, utilizzati come mezzo per attaccare i sistemi dei veicoli

17.1

Applicazioni corrotte o con scarsa sicurezza del software, utilizzate come metodo per attaccare i sistemi dei veicoli

Dispositivi collegati a interfacce esterne, ad esempio porte USB, porte OBD, utilizzati come mezzo per attaccare i sistemi del veicolo

18.1

Interfacce esterne quali USB o altre porte utilizzate come punto di attacco, ad esempio mediante iniezione di codice

18.2

Supporti infettati da un virus collegato a un sistema di un veicolo

18.3

Accesso diagnostico (ad esempio dongle nella porta OBD) utilizzato per facilitare un attacco, ad esempio per manipolare i parametri del veicolo (direttamente o indirettamente)

4.3.6.

Minacce al codice/ai dati del veicolo

Estrazione di codice/di dati del veicolo

19.1

Estrazione di software proprietario o protetto da diritto d’autore dai sistemi dei veicoli (pirateria di prodotti)

19.2

Accesso non autorizzato a informazioni private del proprietario, quali l’identità personale, le informazioni sui conti di pagamento, le informazioni sulla rubrica degli indirizzi, le informazioni relative all’ubicazione, l’ID elettronico del veicolo ecc.

19.3

Estrazione di chiavi crittografiche

Manipolazione del codice/dei dati del veicolo

20.1

Modifiche illegali/non autorizzate all’ID elettronico del veicolo

20.2

Frode d’identità, ad esempio se un utente vuole mostrare un’altra identità quando comunica con sistemi di pedaggio o con il back-end del costruttore

20.3

Azioni volte a eludere i sistemi di monitoraggio (ad esempio hackeraggio/manomissione/blocco di messaggi quali i dati ODR Tracker o il numero di esecuzioni)

20.4

Manipolazione dei dati per falsificare i dati di guida del veicolo (ad esempio chilometraggio, velocità o direzione di guida ecc.)

20.5

Modifiche non autorizzate ai dati diagnostici del sistema

Cancellazione di codice/di dati

21.1

Cancellazione/manipolazione non autorizzata dei log degli eventi di sistema

Introduzione di malware

22.2

Introduzione di software maligni o attività di software maligni

Introduzione di un nuovo software o sovrascrittura di un software esistente

23.1

Creazione di un falso software del sistema di controllo o del sistema informatico del veicolo

Perturbazione di sistemi o operazioni

24.1

Attacco «Denial of Service» che può essere ad esempio innescato sulla rete interna inondando un bus CAN o provocando guasti a una centralina elettronica mediante l’invio di una grande quantità di messaggi

Manipolazione dei parametri del veicolo

25.1

Accesso non autorizzato al fine di falsificare i parametri di configurazione delle funzioni chiave del veicolo, quali i dati dei freni, la soglia di attivazione dell’airbag ecc.

25.2

Accesso non autorizzato al fine di falsificare i parametri di carica, quali tensione di carica, potenza di carica, temperatura della batteria ecc.

4.3.7.

Potenziali vulnerabilità che potrebbero essere sfruttate se non sufficientemente protette o rinforzate

Le tecnologie crittografiche possono essere compromesse o sono applicate in misura insufficiente

26.1

L’uso di chiavi crittografiche brevi con un lungo periodo di validità consente agli aggressori di violare la cifratura

26.2

Uso insufficiente di algoritmi crittografici per proteggere i sistemi sensibili

26.3

Utilizzo di algoritmi crittografici già obsoleti o che lo saranno presto

Parti o forniture potrebbero essere compromesse per consentire attacchi nei confronti dei veicoli

27.1

Hardware o software progettati per consentire un attacco o che non soddisfano i criteri di progettazione per fermare un attacco

Lo sviluppo di software o hardware lascia spazio a vulnerabilità

28.1

Bug del software. La presenza di bug del software può costituire una base per potenziali vulnerabilità sfruttabili. Ciò vale in particolare se il software non è stato testato per verificare l’assenza di codice errato/bug noti e ridurre il rischio di presenza di codice errato/bug sconosciuti

28.2

L’utilizzo di residui dello sviluppo (ad esempio porte di debug, porte JTAG, microprocessori, certificati di sviluppo, password programmatore ecc.) può consentire l’accesso alle centraline elettroniche o permettere agli aggressori di ottenere privilegi più elevati

La progettazione della rete introduce vulnerabilità

29.1

Porte Internet superflue lasciate aperte, che forniscono accesso ai sistemi di rete

29.2

Elusione della separazione di rete per ottenere il controllo. Un esempio specifico è l’uso di gateway non protetti o di punti di accesso (come i gateway camion-rimorchio) per aggirare le protezioni e ottenere accesso ad altri segmenti di rete al fine di compiere atti malevoli, come l’invio di messaggi arbitrari sul bus CAN

Può verificarsi un trasferimento non intenzionale di dati

31.1

Violazione delle informazioni. I dati personali possono essere sottratti quando l’automobile cambia utente (ad esempio quando viene venduta o utilizzata come veicolo a noleggio con nuovi noleggiatori)

La manipolazione fisica dei sistemi può consentire un attacco

32.1

Manipolazione dell’hardware elettronico, ad esempio se un hardware elettronico non autorizzato è aggiunto a un veicolo per consentire un attacco «man in the middle»

Sostituzione dell’hardware elettronico autorizzato (ad esempio sensori) con hardware elettronico non autorizzato

Manipolazione delle informazioni raccolte da un sensore (ad esempio mediante l’utilizzo di un magnete per manomettere il sensore ad effetto Hall collegato al cambio)

Parte B. Misure di attenuazione delle minacce previste per i veicoli

Misure di attenuazione per i «canali di comunicazione dei veicoli»

Le misure di attenuazione delle minacce per quanto riguarda i «canali di comunicazione dei veicoli» sono elencate nella tabella B1.

Tabella B1

Misure di attenuazione delle minacce per quanto riguarda i «canali di comunicazione dei veicoli»

Riferimento tabella A1	Minacce relative ai «canali di comunicazione dei veicoli»	Rif.	Misura di attenuazione
4.1	Spoofing dei messaggi (ad esempio 802.11p V2X durante il platooning, messaggi GNSS ecc.) mediante impersonificazione	M10	Il veicolo deve verificare l’autenticità e l’integrità dei messaggi ricevuti
4.2	Attacco Sybil (al fine di simulare la presenza di altri veicoli per fingere che ve ne siano molti sulla strada)	M11	Devono essere effettuati controlli di sicurezza per la conservazione delle chiavi crittografiche (ad esempio utilizzo di moduli di sicurezza hardware)
5.1	I canali di comunicazione consentono l’iniezione di codice all’interno del codice/dei dati detenuti dal veicolo; ad esempio un codice binario manomesso potrebbe essere iniettato nel flusso di comunicazione	M10 M6	Il veicolo deve verificare l’autenticità e l’integrità dei messaggi ricevuti I sistemi devono integrare la sicurezza fin dalla progettazione per ridurre al minimo i rischi
5.2	I canali di comunicazione consentono la manipolazione del codice/dei dati detenuti dal veicolo	M7	Per proteggere il codice/i dati del sistema devono essere applicate tecniche e soluzioni per il controllo dell’accesso
5.3	I canali di comunicazione consentono la sovrascrittura del codice/dei dati detenuti dal veicolo
5.4 21.1	I canali di comunicazione consentono la cancellazione del codice/dei dati detenuti dal veicolo
5.5	I canali di comunicazione consentono l’introduzione di codice/dati nel veicolo (codice per la scrittura di dati)
6.1	Accettazione di informazioni da una fonte inaffidabile o non attendibile	M10	Il veicolo deve verificare l’autenticità e l’integrità dei messaggi ricevuti
6.2	Attacco «man in the middle»/dirottamento di sessione	M10	Il veicolo deve verificare l’autenticità e l’integrità dei messaggi ricevuti
6.3	Attacco replay, ad esempio un attacco contro un gateway di comunicazione che consente all’aggressore di installare una versione precedente del software di una centralina elettronica o del firmware del gateway	M10
7.1	Intercettazione di informazioni/radiazioni interferenti/monitoraggio delle comunicazioni	M12	I dati riservati trasmessi al veicolo o dal veicolo devono essere protetti
7.2	Ottenimento di un accesso non autorizzato a file o dati	M8	Attraverso la progettazione del sistema e il controllo dell’accesso il personale non autorizzato non dovrebbe poter accedere ai dati personali o critici del sistema. Esempi di controlli di sicurezza sono reperibili in OWASP
8.1	Invio di una grande quantità di dati spazzatura al sistema informatico del veicolo in modo che questo non sia in grado di fornire servizi in modo normale	M13	Devono essere adottate misure per individuare e rimediare a un attacco «Denial of Service»
8.2	Attacco «black hole», perturbazione della comunicazione tra veicoli attraverso il blocco del trasferimento di messaggi ad altri veicoli	M13	Devono essere adottate misure per individuare e rimediare a un attacco «Denial of Service»
9.1	Un utente senza privilegi è in grado di ottenere un accesso privilegiato, ad esempio un accesso root	M9	Devono essere adottate misure per prevenire e individuare l’accesso non autorizzato
10.1	Il virus incorporato nei mezzi di comunicazione infetta i sistemi dei veicoli	M14	Dovrebbero essere prese in considerazione misure volte a proteggere i sistemi da virus/malware incorporati
11.1	Messaggi (ad esempio CAN) interni malevoli	M15	Dovrebbero essere prese in considerazione misure volte a individuare l’attività o i messaggi interni malevoli
11.2	Messaggi V2X malevoli, ad esempio messaggi da infrastruttura a veicolo o veicolo-veicolo (ad esempio CAM, DENM)	M10	Il veicolo deve verificare l’autenticità e l’integrità dei messaggi ricevuti
11.3	Messaggi diagnostici malevoli
11.4	Messaggi proprietari malevoli (ad esempio quelli normalmente inviati dall’OEM o dal fornitore di componenti/sistemi/funzioni)

Misure di attenuazione per il «processo di aggiornamento»

Le misure di attenuazione delle minacce per quanto riguarda il «processo di aggiornamento» sono elencate nella tabella B2.

Tabella B2

Misure di attenuazione delle minacce per quanto riguarda il «processo di aggiornamento»

Riferimento tabella A1	Minacce relative al «processo di aggiornamento»	Rif.	Misura di attenuazione
12.1	Compromissione delle procedure di aggiornamento OTA dei software, compresa la creazione di un falso firmware o programma di aggiornamento del sistema	M16	Devono essere adottate procedure di aggiornamento del software sicure
12.2	Compromissione delle procedure di aggiornamento locale/fisico del software, compresa la creazione di un falso firmware o programma di aggiornamento del sistema
12.3	Il software è manipolato prima del processo di aggiornamento (ed è quindi corrotto), sebbene il processo di aggiornamento sia intatto
12.4	Compromissione delle chiavi crittografiche del fornitore di software per consentire un aggiornamento non valido	M11	Devono essere effettuati controlli di sicurezza per la memorizzazione delle chiavi crittografiche
13.1	Attacco «Denial of Service» contro un server o una rete di aggiornamento per impedire l’introduzione di aggiornamenti critici del software e/o lo sblocco di funzioni specifiche del cliente	M3	Devono essere applicati controlli di sicurezza ai sistemi di back-end. Se i server di back-end sono essenziali per la fornitura dei servizi, sono previste misure di ripristino in caso di indisponibilità del sistema. Esempi di controlli di sicurezza sono reperibili in OWASP

Misure di attenuazione per le «azioni umane non intenzionali che facilitano un attacco informatico»

Le misure di attenuazione delle minacce per quanto riguarda le «azioni umane non intenzionali che facilitano un attacco informatico» sono elencate nella tabella B3.

Tabella B3

Misure di attenuazione delle minacce per quanto riguarda le «azioni umane non intenzionali che facilitano un attacco informatico»

Riferimento tabella A1	Minacce per quanto riguarda le «azioni umane non intenzionali»	Rif.	Misura di attenuazione
15.1	Una vittima inconsapevole (ad esempio un proprietario, un operatore o un addetto alla manutenzione) è indotta a compiere un’azione che comporta il caricamento involontario di malware o che consente un attacco	M18	Devono essere attuate misure per definire e controllare i ruoli degli utenti e i privilegi di accesso, sulla base del principio del privilegio minimo
15.2	Le procedure di sicurezza definite non sono rispettate	M19	Le organizzazioni devono garantire che le procedure di sicurezza siano definite e rispettate, ivi compresi la registrazione delle azioni in log e l’accesso relativo alla gestione delle funzioni di sicurezza

Misure di attenuazione per la «connettività e collegamenti esterni»

Le misure di attenuazione delle minacce per quanto riguarda la «connettività e collegamenti esterni» sono elencate nella tabella B4.

Tabella B4

Attenuazione delle minacce per quanto riguarda la «connettività e collegamenti esterni»

Riferimento tabella A1	Minacce relative alla «connettività e collegamenti esterni»	Rif.	Misura di attenuazione
16.1	Manipolazione di funzioni progettate per comandare a distanza i sistemi dei veicoli come la chiave telecomando, l’immobilizzatore e la colonnina di carica	M20	Devono essere applicati controlli di sicurezza ai sistemi con accesso remoto
16.2	Manipolazione della telematica dei veicoli (ad esempio manipolazione della misurazione della temperatura di merci sensibili, sblocco a distanza dei portelloni di carico)
16.3	Interferenza con sistemi o sensori senza fili a corto raggio
17.1	Applicazioni corrotte o con scarsa sicurezza del software, utilizzate come metodo per attaccare i sistemi dei veicoli	M21	Il software deve essere sottoposto a valutazione della sicurezza, autenticato e protetto nella sua integrità. Devono essere applicati controlli di sicurezza per ridurre al minimo il rischio derivante da software di terzi destinati a essere ospitati o che si prevede saranno ospitati sul veicolo
18.1	Interfacce esterne quali USB o altre porte utilizzate come punto di attacco, ad esempio mediante iniezione di codice	M22	Devono essere applicati controlli di sicurezza alle interfacce esterne
18.2	Supporti infettati da virus collegati al veicolo	M22
18.3	Accesso diagnostico (ad esempio dongle nella porta OBD) utilizzato per facilitare un attacco, ad esempio per manipolare i parametri del veicolo (direttamente o indirettamente)	M22	Devono essere applicati controlli di sicurezza alle interfacce esterne

Misure di attenuazione per «potenziali bersagli o motivazioni di un attacco»

Le misure di attenuazione delle minacce per quanto riguarda «potenziali bersagli o motivazioni di un attacco» sono elencate nella tabella B5.

Tabella B5

Misure di attenuazione delle minacce per quanto riguarda «potenziali bersagli o motivazioni di un attacco»

Riferimento tabella A1	Minacce relative a «potenziali bersagli o motivazioni di un attacco»	Rif.	Misura di attenuazione
19.1	Estrazione di software proprietario o protetto da diritto d’autore dai sistemi dei veicoli (pirateria di prodotti/furto di software)	M7	Per proteggere il codice/i dati del sistema devono essere applicate tecniche e soluzioni per il controllo dell’accesso. Esempi di controlli di sicurezza sono reperibili in OWASP
19.2	Accesso non autorizzato a informazioni private del proprietario, quali l’identità personale, le informazioni sui conti di pagamento, le informazioni sulla rubrica degli indirizzi, le informazioni relative all’ubicazione, l’ID elettronico del veicolo ecc.	M8	Attraverso la progettazione del sistema e il controllo dell’accesso il personale non autorizzato non dovrebbe poter accedere ai dati personali o critici del sistema. Esempi di controlli di sicurezza sono reperibili in OWASP
19.3	Estrazione di chiavi crittografiche	M11	Devono essere effettuati controlli di sicurezza per la memorizzazione di chiavi crittografiche, ad esempio moduli di sicurezza
20.1	Modifiche illegali/non autorizzate all’ID elettronico del veicolo	M7	Per proteggere il codice/i dati del sistema devono essere applicate tecniche e soluzioni per il controllo dell’accesso. Esempi di controlli di sicurezza sono reperibili in OWASP
20.2	Frode d’identità, ad esempio se un utente vuole mostrare un’altra identità quando comunica con sistemi di pedaggio, back-end del costruttore	M7
20.3	Azioni volte a eludere i sistemi di monitoraggio (ad esempio hackeraggio/manomissione/blocco di messaggi quali i dati ODR Tracker o il numero di esecuzioni)	M7	Per proteggere il codice/i dati del sistema devono essere applicate tecniche e soluzioni per il controllo dell’accesso. Esempi di controlli di sicurezza sono reperibili in OWASP Gli attacchi di manipolazione dei dati contro sensori o dati trasmessi potrebbero essere attenuati correlando i dati provenienti da diverse fonti di informazione
20.4	Manipolazione dei dati per falsificare i dati di guida del veicolo (ad esempio chilometraggio, velocità di guida, direzioni di marcia ecc.)
20.5	Modifiche non autorizzate ai dati diagnostici del sistema
21.1	Cancellazione/manipolazione non autorizzata dei log degli eventi di sistema	M7	Per proteggere il codice/i dati del sistema devono essere applicate tecniche e soluzioni per il controllo dell’accesso. Esempi di controlli di sicurezza sono reperibili in OWASP
22.2	Introduzione di software maligni o attività di software maligni	M7	Per proteggere il codice/i dati del sistema devono essere applicate tecniche e soluzioni per il controllo dell’accesso. Esempi di controlli di sicurezza sono reperibili in OWASP
23.1	Creazione di un falso software del sistema di controllo o del sistema informatico del veicolo	M7
24.1	Attacco «Denial of Service» che può essere ad esempio innescato sulla rete interna inondando un bus CAN o provocando guasti a una centralina elettronica mediante l’invio di una grande quantità di messaggi	M13	Devono essere adottate misure per individuare e rimediare a un attacco «Denial of Service»
25.1	Accesso non autorizzato al fine di falsificare i parametri di configurazione delle funzioni chiave del veicolo, quali i dati dei freni, la soglia di attivazione dell’airbag ecc.	M7	Per proteggere il codice/i dati del sistema devono essere applicate tecniche e soluzioni per il controllo dell’accesso. Esempi di controlli di sicurezza sono reperibili in OWASP
25.2	Accesso non autorizzato al fine di falsificare i parametri di carica, quali tensione di carica, potenza di carica, temperatura della batteria ecc.	M7

Misure di attenuazione per «potenziali vulnerabilità che potrebbero essere sfruttate se non sufficientemente protette o rinforzate»

Le misure di attenuazione delle minacce per quanto riguarda le «potenziali vulnerabilità che potrebbero essere sfruttate se non sufficientemente protette o rinforzate» sono elencate nella tabella B6.

Tabella B6

Misure di attenuazione delle minacce per quanto riguarda le «potenziali vulnerabilità che potrebbero essere sfruttate se non sufficientemente protette o rinforzate»

Riferimento tabella A1	Minacce relative alle «potenziali vulnerabilità che potrebbero essere sfruttate se non sufficientemente protette o rinforzate»	Rif.	Misura di attenuazione
26.1	L’uso di chiavi crittografiche brevi con un lungo periodo di validità consente agli aggressori di violare la cifratura	M23	Devono essere applicate le migliori pratiche in materia di cibersicurezza per lo sviluppo di software e hardware
26.2	Uso insufficiente di algoritmi crittografici per proteggere i sistemi sensibili
26.3	Utilizzo di algoritmi crittografici obsoleti
27.1	Hardware o software progettati per consentire un attacco o che non soddisfano i criteri di progettazione per fermare un attacco	M23	Devono essere applicate le migliori pratiche in materia di cibersicurezza per lo sviluppo di software e hardware
28.1	La presenza di bug del software può costituire una base per potenziali vulnerabilità sfruttabili. Ciò vale in particolare se il software non è stato testato per verificare l’assenza di codice errato/bug noti e ridurre il rischio di presenza di codice errato/bug sconosciuti	M23	Devono essere applicate le migliori pratiche in materia di cibersicurezza per lo sviluppo di software e hardware. Test di cibersicurezza con copertura adeguata
28.2	L’utilizzo di residui dello sviluppo (ad esempio porte di debug, porte JTAG, microprocessori, certificati di sviluppo, password programmatore ecc.) può permettere agli aggressori di accedere alle centraline elettroniche o di ottenere privilegi più elevati
29.1	Porte Internet superflue lasciate aperte, che forniscono accesso ai sistemi di rete
29.2	Elusione della separazione di rete per ottenere il controllo. Un esempio specifico è l’uso di gateway non protetti o di punti di accesso (come i gateway camion-rimorchio) per aggirare le protezioni e ottenere accesso ad altri segmenti di rete al fine di compiere atti malevoli, come l’invio di messaggi arbitrari sul bus CAN	M23	Devono essere applicate le migliori pratiche in materia di cibersicurezza per lo sviluppo di software e hardware. Devono essere applicate le migliori pratiche in materia di cibersicurezza per la progettazione e l’integrazione dei sistemi

Misure di attenuazione per la «perdita/violazione dei dati provenienti dal veicolo»

Le misure di attenuazione delle minacce per quanto riguarda la «perdita/violazione dei dati provenienti dal veicolo» sono elencate nella tabella B7.

Tabella B7

Misure di attenuazione delle minacce per quanto riguarda la «perdita/violazione dei dati provenienti dal veicolo»

Riferimento tabella A1	Minacce di «perdita/violazione dei dati provenienti dal veicolo»	Rif.	Misura di attenuazione
31.1	Violazione delle informazioni. I dati personali possono essere violati quando l’automobile cambia utente (ad esempio quando viene venduta o utilizzata come veicolo a noleggio con nuovi noleggiatori)	M24	Per la conservazione dei dati personali devono essere applicate le migliori pratiche in materia di protezione dell’integrità e della riservatezza dei dati.

Misure di attenuazione per la «manipolazione fisica dei sistemi per consentire un attacco»

Le misure di attenuazione delle minacce per quanto riguarda la «manipolazione fisica dei sistemi per consentire un attacco» sono elencate nella tabella B8.

Tabella B8

Misure di attenuazione delle minacce per quanto riguarda la «manipolazione fisica dei sistemi per consentire un attacco»

Riferimento tabella A1	Minacce relative alla «manipolazione fisica dei sistemi per consentire un attacco»	Rif.	Misura di attenuazione
32.1	Manipolazione dell’hardware OEM, ad esempio se un hardware non autorizzato è aggiunto a un veicolo per consentire un attacco «man in the middle»	M9	Devono essere adottate misure per prevenire e individuare l’accesso non autorizzato

Parte C. Misure di attenuazione delle minacce esterne ai veicoli

Misure di attenuazione per i «server di back-end»

Le misure di attenuazione delle minacce per quanto riguarda i «server di back-end» sono elencate nella tabella C1.

Tabella C1

Misure di attenuazione delle minacce per quanto riguarda i «server di back-end»

Riferimento tabella A1	Minacce ai «server di back-end»	Rif.	Misura di attenuazione
1.1 & 3.1	Abuso di privilegi da parte del personale (attacco dall’interno)	M1	Sono applicati controlli di sicurezza ai sistemi di back-end per ridurre al minimo il rischio di attacchi dall’interno
1.2 & 3.3	Accesso Internet non autorizzato al server (attivato ad esempio tramite backdoor, vulnerabilità del software di sistema non corrette tramite patch, attacchi SQL o altri mezzi)	M2	Sono applicati controlli di sicurezza ai sistemi di back-end per ridurre al minimo gli accessi non autorizzati. Esempi di controlli di sicurezza sono reperibili in OWASP
1.3 & 3.4	Accesso fisico non autorizzato al server (effettuato ad esempio mediante chiavette USB o altri supporti che si collegano al server)	M8	Attraverso la progettazione del sistema e il controllo dell’accesso il personale non autorizzato non dovrebbe poter accedere ai dati personali o critici del sistema
2.1	L’attacco al server di back-end ne blocca il funzionamento, ad esempio impedendogli di interagire con i veicoli e di fornire i servizi su cui questi ultimi fanno affidamento	M3	Sono applicati controlli di sicurezza ai sistemi di back-end. Se i server di back-end sono essenziali per la fornitura dei servizi, sono previste misure di ripristino in caso di indisponibilità del sistema. Esempi di controlli di sicurezza sono reperibili in OWASP
3.2	Perdita di informazioni nel cloud. I dati sensibili conservati presso fornitori terzi di servizi cloud possono andare perduti a causa di attacchi o incidenti	M4	Sono applicati controlli di sicurezza per ridurre al minimo i rischi associati al cloud computing. Esempi di controlli di sicurezza sono reperibili negli orientamenti in materia di cloud computing OWASP e NCSC
3.5	Violazione delle informazioni dovuta alla condivisione non intenzionale dei dati (ad esempio errori amministrativi, conservazione dei dati in server all’interno di garage)	M5	Sono applicati controlli di sicurezza ai sistemi di back-end per prevenire violazioni dei dati. Esempi di controlli di sicurezza sono reperibili in OWASP

Misure di attenuazione per le «azioni umane non intenzionali»

Le misure di attenuazione delle minacce per quanto riguarda le «azioni umane non intenzionali» sono elencate nella tabella C2.

Tabella C2

Misure di attenuazione delle minacce per quanto riguarda le «azioni umane non intenzionali»

Riferimento tabella A1	Minacce per quanto riguarda le «azioni umane non intenzionali»	Rif.	Misura di attenuazione
15.1	Una vittima inconsapevole (ad esempio un proprietario, un operatore o un addetto alla manutenzione) è indotta a compiere un’azione che comporta il caricamento involontario di malware o che consente un attacco	M18	Devono essere attuate misure per definire e controllare i ruoli degli utenti e i privilegi di accesso, sulla base del principio del privilegio minimo
15.2	Le procedure di sicurezza definite non sono rispettate	M19	Le organizzazioni devono garantire che le procedure di sicurezza siano definite e rispettate, ivi compresi la registrazione delle azioni in log e l’accesso relativo alla gestione delle funzioni di sicurezza

Misure di attenuazione per la «perdita fisica di dati»

Le misure di attenuazione delle minacce per quanto riguarda la «perdita fisica di dati» sono elencate nella tabella C3.

Tabella C3

Misure di attenuazione delle minacce per quanto riguarda la «perdita fisica di dati»

Riferimento tabella A1	Minacce di «perdita fisica di dati»	Rif.	Misura di attenuazione
30.1	Danni causati da terzi. I dati sensibili possono andare perduti o essere compromessi a causa di danni fisici in caso di incidente stradale o furto	M24	Per la conservazione dei dati personali devono essere applicate le migliori pratiche in materia di protezione dell’integrità e della riservatezza dei dati. Esempi di controlli di sicurezza sono reperibili in ISO/SC27/WG5
30.2	Perdite derivanti da conflitti di DRM (Digital Right Management, gestione dei diritti digitali). I dati dell’utente possono essere cancellati a causa di problemi di DRM
30.3	I dati sensibili (o la loro integrità) possono andare perduti a causa dell’usura dei componenti informatici, comportando potenziali problemi a cascata (ad esempio in caso di alterazione della chiave)

9.3.2021

Gazzetta ufficiale dell’Unione europea

L 82/60

Solo i testi UNECE originali hanno efficacia giuridica ai sensi del diritto internazionale pubblico. Lo status e la data di entrata in vigore del presente regolamento dovrebbero essere controllati nell’ultima versione del documento UNECE TRANS/WP.29/343, reperibile al seguente indirizzo: http://www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29fdocstts.html

Regolamento ONU n. 156 - Disposizioni uniformi relative all’omologazione dei veicoli per quanto riguarda gli aggiornamenti del software e il relativo sistema di gestione [2021/388]

Data di entrata in vigore: 22 gennaio 2021

Il presente documento è inteso esclusivamente come strumento di documentazione. Il testo facente fede e giuridicamente vincolante è il seguente: ECE/TRANS/WP.29/2020/80.

INDICE

REGOLAMENTO

Ambito di applicazione

Definizioni

Domanda di omologazione

Marcature

Omologazione

Certificato di conformità del sistema di gestione degli aggiornamenti del software

Specifiche generali

Modifiche del tipo di veicolo ed estensioni dell’omologazione

Conformità della produzione

10.

Sanzioni in caso di non conformità della produzione

11.

Cessazione definitiva della produzione

12.

Nomi e indirizzi dei servizi tecnici responsabili delle prove di omologazione e delle autorità di omologazione

ALLEGATI

Scheda informativa

Appendice 1 Modello di dichiarazione di conformità del sistema di gestione degli aggiornamenti del software

Notifica

Esempio di marchio di omologazione

Modello di certificato di conformità del sistema di gestione degli aggiornamenti del software

1. AMBITO DI APPLICAZIONE

1.1

Il presente regolamento si applica ai veicoli delle categorie (1) M, N, O, R, S e T che consentono aggiornamenti del software.

2. DEFINIZIONI

2.1

«Tipo di veicolo»: veicoli che non presentano differenze per quanto riguarda almeno gli elementi seguenti:

a)	la designazione del tipo di veicolo stabilita dal costruttore;

b)	alcuni aspetti essenziali della progettazione del tipo di veicolo per quanto riguarda i processi di aggiornamento del software.

2.2

«Numero di identificazione del software RX (RXSWIN)»: identificatore specifico, definito dal costruttore del veicolo, associato alle informazioni sul software indicato per l’omologazione del sistema elettronico di controllo, che è parte integrante delle caratteristiche rilevanti per l’omologazione del veicolo a norma del regolamento n. X.

2.3

«Aggiornamento del software»: pacchetto utilizzato per aggiornare il software con una nuova versione comprendente una modifica dei parametri di configurazione.

2.4

«Esecuzione»: il processo di installazione e attivazione di un aggiornamento che è stato scaricato.

2.5

«Sistema di gestione degli aggiornamenti del software (SUMS)»: approccio sistematico che definisce le procedure e i processi organizzativi per il rispetto delle prescrizioni relative alla fornitura degli aggiornamenti del software a norma del presente regolamento.

2.6

«Utente del veicolo»: la persona che gestisce o guida il veicolo, il proprietario di un veicolo, il rappresentante autorizzato o il dipendente di un gestore di un parco veicoli, un rappresentante autorizzato o un dipendente del costruttore del veicolo o un tecnico autorizzato.

2.7

«Messa in sicurezza»: modalità di funzionamento che, in caso di guasto di un elemento, non comporta un livello di rischio irragionevole.

2.8

«Software»: la parte di un sistema di controllo elettronico costituita da dati e istruzioni digitali.

2.9

«Aggiornamento over-the-air (OTA)»: qualsiasi metodo per effettuare trasferimenti di dati wireless invece di utilizzare un cavo o un’altra connessione locale.

2.10

«Sistema»: insieme di componenti e/o sottosistemi che svolge una o più funzioni.

2.11

«Dati di convalida dell’integrità»: rappresentazione di dati digitali con la quale possono essere effettuati confronti per rilevare errori o modifiche dei dati. Possono essere inclusi somme di controllo e valori di hash.

3. DOMANDA DI OMOLOGAZIONE

3.1

La domanda di omologazione di un tipo di veicolo per quanto riguarda i processi di aggiornamento del software deve essere presentata dal costruttore del veicolo o da un suo mandatario.

3.2

La domanda deve essere accompagnata dai documenti indicati qui di seguito, in triplice copia, e dalle informazioni seguenti:

3.3

Una descrizione del tipo di veicolo per quanto riguarda gli elementi indicati nell’allegato 1 del presente regolamento.

3.4

Se le informazioni sono coperte da diritti di proprietà intellettuale o costituiscono tecnologia specifica del costruttore o di suoi fornitori, il costruttore o i relativi fornitori devono mettere a disposizione informazioni sufficienti per effettuare correttamente i controlli di cui al presente regolamento. Tali informazioni devono essere trattate in via riservata.

3.5

Il certificato di conformità del sistema di gestione degli aggiornamenti del software a norma del punto 6 del presente regolamento.

3.6

Al servizio tecnico responsabile delle prove di omologazione deve essere presentato un veicolo rappresentativo del tipo da omologare.

3.7

La documentazione deve essere formata da due parti:

il fascicolo di documentazione ufficiale per l’omologazione, contenente il materiale indicato nell’allegato 1, che deve essere fornito all’autorità di omologazione o al suo servizio tecnico al momento della presentazione della domanda di omologazione. Tale fascicolo di documentazione deve essere utilizzato dall’autorità di omologazione o dal suo servizio tecnico come riferimento di base per la procedura di omologazione. L’autorità di omologazione o il suo servizio tecnico deve garantire che il fascicolo di documentazione resti disponibile per almeno 10 anni a decorrere dalla cessazione definitiva della produzione del tipo di veicolo;

4. MARCATURA

4.1

Su ciascun veicolo conforme a un tipo di veicolo omologato ai sensi del presente regolamento deve essere apposto, in evidenza e in un punto di facile accesso indicato nel modulo per l’omologazione, un marchio di omologazione internazionale composto da:

4.1.1

un cerchio al cui interno è iscritta la lettera «E» seguita dal numero distintivo del paese che ha rilasciato l’omologazione; (2)

4.1.2

il numero del presente regolamento, seguito dalla lettera «R», da un trattino e dal numero di omologazione, posti a destra del cerchio di cui al precedente punto 4.1.1.

4.2

Se nel paese che ha rilasciato l’omologazione ai sensi del presente regolamento il veicolo è conforme a un tipo di veicolo omologato ai sensi di altri regolamenti allegati all’accordo, non occorre ripetere il simbolo di cui al punto 4.1.1. In tale caso l’indicazione del regolamento, i numeri di omologazione e i simboli supplementari di tutti i regolamenti a norma dei quali è stata rilasciata l’omologazione nel paese che l’ha rilasciata ai sensi del presente regolamento devono essere disposti in colonne verticali a destra del simbolo di cui al punto 4.1.1.

4.3

Il marchio di omologazione deve essere chiaramente leggibile e indelebile.

4.4

Il marchio di omologazione deve essere posto sulla targhetta del costruttore o in prossimità della stessa.

4.5

Nell’allegato 3 del presente regolamento sono riportati alcuni esempi di marchi di omologazione.

5. OMOLOGAZIONE

5.1

Se del caso, le autorità di omologazione devono rilasciare l’omologazione per quanto riguarda le procedure e i processi di aggiornamento del software solo per i tipi di veicoli che soddisfano le prescrizioni del presente regolamento.

5.1.1

L’autorità di omologazione o il servizio tecnico deve verificare, mediante prove su un veicolo del tipo in questione, che il costruttore del veicolo ha effettivamente messo in atto le misure indicate nella documentazione. Le prove devono essere eseguite a campione dall’autorità di omologazione o dal servizio tecnico, oppure in collaborazione con il costruttore del veicolo.

5.2

Del rilascio, dell’estensione o del rifiuto dell’omologazione di un tipo di veicolo a norma del presente regolamento deve essere data comunicazione alle parti dell’accordo del 1958 che applicano il presente regolamento mediante una scheda conforme al modello che figura nell’allegato 2 del presente regolamento.

5.3

Le autorità di omologazione non devono rilasciare alcuna omologazione senza assicurarsi che il costruttore abbia posto in essere disposizioni e procedure soddisfacenti per gestire correttamente gli aspetti dei processi di aggiornamento del software di cui al presente regolamento.

6. CERTIFICATO DI CONFORMITÀ DEL SISTEMA DI GESTIONE DEGLI AGGIORNAMENTI DEL SOFTWARE

6.1

Le parti contraenti devono designare un’autorità di omologazione incaricata di effettuare la valutazione del costruttore e di rilasciare un certificato di conformità del sistema di gestione degli aggiornamenti del software.

6.2

La domanda per il certificato di conformità del sistema di gestione degli aggiornamenti del software deve essere presentata dal costruttore del veicolo o da un suo mandatario.

6.3

La domanda deve essere accompagnata dai documenti indicati qui di seguito, in triplice copia, e dalle informazioni seguenti:

6.3.1

documenti che descrivono il sistema di gestione degli aggiornamenti del software;

6.3.2

una dichiarazione firmata utilizzando il modello di cui all’allegato 1, appendice 1.

6.4

Nel contesto della valutazione, il costruttore deve dichiarare, utilizzando il modello di cui all’allegato 1, appendice 1, e dimostrare all’autorità di omologazione o al suo servizio tecnico di disporre dei processi necessari per soddisfare tutte le prescrizioni in merito agli aggiornamenti del software a norma del presente regolamento.

6.5

Se gli esiti della valutazione sono soddisfacenti e previo ricevimento di una dichiarazione firmata del costruttore conforme al modello di cui all’allegato 1, appendice 1, al costruttore deve essere rilasciato il certificato di conformità del SUMS descritto nell’allegato 4 del presente regolamento (in seguito denominato il «certificato di conformità del SUMS»).

6.6

Il certificato di conformità del SUMS deve rimanere valido per un periodo massimo di tre anni a decorrere dalla data di rilascio, a meno che non venga revocato.

6.7

L’autorità di omologazione che rilascia il certificato di conformità del sistema di gestione degli aggiornamenti del software può verificare in qualsiasi momento la sussistenza della conformità del certificato. Il certificato di conformità del sistema di gestione degli aggiornamenti del software può essere revocato se le prescrizioni di cui al presente regolamento non sono più soddisfatte.

6.8

Il costruttore deve informare l’autorità di omologazione o il suo servizio tecnico di qualsiasi modifica che incida sull’attinenza del certificato di conformità del sistema di gestione degli aggiornamenti del software. Dopo aver consultato il costruttore, l’autorità di omologazione o il suo servizio tecnico deve decidere se sono necessari nuovi controlli.

6.9

Al termine del periodo di validità del certificato di conformità del sistema di gestione degli aggiornamenti del software, l’autorità di omologazione deve rilasciare, previa valutazione positiva, un nuovo certificato di conformità del sistema di gestione degli aggiornamenti del software, o prorogarne la validità per un ulteriore periodo di tre anni. L’autorità di omologazione deve rilasciare un nuovo certificato nei casi in cui le modifiche portate all’attenzione dell’autorità di omologazione o del suo servizio tecnico abbiano a loro volta ottenuto una valutazione positiva.

6.10

Le omologazioni già esistenti di veicoli non devono perdere la loro validità a causa della scadenza del certificato di conformità del sistema di gestione degli aggiornamenti del software del costruttore.

7. SPECIFICHE GENERALI

7.1

Prescrizioni per il sistema di gestione degli aggiornamenti del software del costruttore del veicolo

7.1.1

Processi da verificare al momento della valutazione iniziale

7.1.1.1

Un processo mediante il quale le informazioni relative al presente regolamento sono documentate e conservate in modo sicuro presso il costruttore del veicolo e, su richiesta, possono essere messe a disposizione di un’autorità di omologazione o del suo servizio tecnico.

7.1.1.2

Un processo mediante il quale i dati riguardanti tutte le versioni iniziali e aggiornate del software, compresi i dati di convalida dell’integrità, e i componenti hardware di un sistema omologato possono essere identificati in modo univoco.

7.1.1.3

Un processo mediante il quale, per un tipo di veicolo dotato di RXSWIN, è possibile accedere alle informazioni relative all’RXSWIN del tipo di veicolo prima e dopo un aggiornamento e aggiornarle. Deve essere prevista la possibilità di aggiornare le informazioni relative alle versioni del software e i dati di convalida dell’integrità di tutti i software pertinenti per ciascun RXSWIN.

7.1.1.4

Un processo mediante il quale, per un tipo di veicolo dotato di RXSWIN, il costruttore del veicolo può verificare che la versione o le versioni del software presenti per un componente di un sistema omologato siano coerenti con quelle definite dal relativo RXSWIN.

7.1.1.5

Un processo che consente di individuare eventuali interdipendenze del sistema aggiornato con altri sistemi.

7.1.1.6

Un processo mediante il quale il costruttore del veicolo è in grado di identificare i veicoli destinatari di un aggiornamento del software.

7.1.1.7

Un processo per confermare la compatibilità di un aggiornamento del software con la configurazione del veicolo o dei veicoli destinatari prima del suo rilascio. Deve prevedere una valutazione della compatibilità dell’aggiornamento con l’ultima configurazione software/hardware nota del veicolo o dei veicoli destinatari prima del rilascio dell’aggiornamento.

7.1.1.8

Un processo per valutare, identificare e registrare se un aggiornamento del software inciderà su un qualsiasi sistema omologato. Si deve valutare se l’aggiornamento inciderà o modificherà uno qualsiasi dei parametri utilizzati per definire i sistemi sui quali l’aggiornamento può influire, o se può modificare uno qualsiasi dei parametri utilizzati per omologare tali sistemi (definiti nella legislazione pertinente).

7.1.1.9

Un processo per valutare, identificare e registrare se un aggiornamento del software aggiungerà, modificherà o consentirà funzioni che non erano presenti o abilitate quando il veicolo è stato omologato, o se modificherà o disabiliterà altri parametri o funzioni definiti dalla legislazione. Per la valutazione si devono considerare i seguenti aspetti:

a)	le voci nel fascicolo di omologazione dovranno essere modificate;

b)	i risultati delle prove non saranno più validi per il veicolo dopo la modifica;

c)	qualsiasi modifica apportata alle funzioni sul veicolo inciderà sull’omologazione di quest’ultimo.

7.1.1.10

Un processo per valutare, identificare e registrare se un aggiornamento del software inciderà su qualsiasi altro sistema necessario per il funzionamento sicuro e continuativo del veicolo o se migliorerà o modificherà la funzionalità del veicolo rispetto a quando è stato immatricolato.

7.1.1.11

Un processo mediante il quale l’utente del veicolo può essere informato sugli aggiornamenti.

7.1.1.12

Un processo mediante il quale il costruttore del veicolo deve essere in grado di mettere a disposizione delle autorità responsabili o dei servizi tecnici le informazioni di cui ai punti 7.1.2.3 e 7.1.2.4. Ciò può avvenire ai fini dell’omologazione, della conformità della produzione, della vigilanza del mercato, dei richiami e dell’ispezione tecnica periodica.

7.1.2

Il costruttore del veicolo deve registrare e memorizzare le informazioni seguenti per ciascun aggiornamento applicato a un determinato tipo di veicolo:

7.1.2.1

documentazione che descriva i processi impiegati dal costruttore del veicolo per gli aggiornamenti del software e tutte le norme di riferimento per la dimostrazione della conformità;

7.1.2.2

documentazione che descriva la configurazione di tutti i sistemi omologati in questione prima e dopo un aggiornamento, compresa l’identificazione univoca dell’hardware e del software del sistema omologato (incluse le versioni del software) e tutti i parametri pertinenti del veicolo o del sistema;

7.1.2.3

per ogni RXSWIN deve esistere un registro consultabile in cui sia descritto tutto il software relativo all’RXSWIN del tipo di veicolo prima e dopo un aggiornamento. Tale registro deve comprendere le informazioni delle versioni del software e i dati di convalida dell’integrità di tutti i software di ciascun RXSWIN;

7.1.2.4

documentazione in cui siano indicati i veicoli destinatari dell’aggiornamento e con cui sia confermata la compatibilità dell’aggiornamento con l’ultima configurazione nota di tali veicoli;

7.1.2.5

documentazione relativa a tutti gli aggiornamenti del software per il dato tipo di veicolo, in cui sia indicato quanto segue:

a)	lo scopo dell’aggiornamento;

b)	su quali sistemi o funzioni del veicolo può influire l’aggiornamento;

c)	quali di questi sono omologati (se del caso);

d)	se del caso, se l’aggiornamento del software incide sul rispetto di una qualsiasi delle prescrizioni valide per il dato sistema omologato;

e)	se l’aggiornamento del software incide su parametri di omologazione del sistema;

f)	se è stata richiesta l’approvazione dell’aggiornamento a un organismo di omologazione;

g)	come può essere eseguito l’aggiornamento e a quali condizioni;

h)	la conferma che l’aggiornamento del software sarà effettuato in modo sicuro;

i)	la conferma che l’aggiornamento del software è stato sottoposto con successo alle procedure di verifica e di convalida.

7.1.3

Sicurezza - il costruttore del veicolo deve dimostrare:

7.1.3.1

quale processo utilizzerà per garantire che gli aggiornamenti del software saranno protetti in modo da impedire in misura ragionevole eventuali manipolazioni prima dell’avvio del processo di aggiornamento;

7.1.3.2

che i processi di aggiornamento utilizzati, ivi compreso lo sviluppo del sistema di fornitura degli aggiornamenti, sono protetti per evitare in misura ragionevole che vengano compromessi;

7.1.3.3

che i processi utilizzati per verificare e convalidare la funzionalità e il codice del software utilizzato nel veicolo sono appropriati.

7.1.4

Ulteriori prescrizioni per gli aggiornamenti del software over-the-air

7.1.4.1

Il costruttore del veicolo deve dimostrare i processi e le procedure che utilizzerà per valutare che gli aggiornamenti over-the-air non incideranno sulla sicurezza, se effettuati durante la guida.

7.1.4.2

Il costruttore del veicolo deve dimostrare i processi e le procedure che utilizzerà per garantire che, qualora per completare un processo di aggiornamento over-the-air sia necessario uno specifico intervento qualificato o complesso, ad esempio la ricalibrazione di un sensore dopo la programmazione, l’aggiornamento possa essere effettuato solo in presenza o sotto la supervisione di una persona qualificata per l’esecuzione di tale intervento.

7.2

Prescrizioni per i tipi di veicoli

7.2.1

Prescrizioni per gli aggiornamenti del software

7.2.1.1

L’autenticità e l’integrità degli aggiornamenti del software devono essere protette in modo da impedirne in misura ragionevole la compromissione ed eventuali aggiornamenti non validi.

7.2.1.2

Se un tipo di veicolo utilizza l’RXSWIN:

7.2.1.2.1

Ogni RXSWIN deve essere identificabile in modo univoco. Quando il costruttore del veicolo modifica il software pertinente per l’omologazione, l’RXSWIN deve essere aggiornato se la modifica comporta un’estensione dell’omologazione o una nuova omologazione.

7.2.1.2.2

Ogni RXSWIN deve essere facilmente leggibile in modo standardizzato mediante l’uso di un’interfaccia di comunicazione elettronica, almeno mediante l’interfaccia standard (porta OBD).

Se nel veicolo non sono presenti RXSWIN, il costruttore deve dichiarare all’autorità di omologazione la versione o le versioni del software del veicolo o delle singole centraline del motore in connessione con le relative omologazioni. Tale dichiarazione deve essere aggiornata ogni volta che la versione o le versioni dichiarate del software sono aggiornate. In tale caso, la versione o le versioni del software devono essere facilmente leggibili in modo standardizzato mediante l’uso di un’interfaccia di comunicazione elettronica, almeno mediante l’interfaccia standard (porta OBD).

7.2.1.2.3

Il costruttore del veicolo deve proteggere gli RXSWIN e/o la versione o le versioni del software di un veicolo da modifiche non autorizzate. Al momento dell’omologazione devono essere comunicati, in via riservata, i mezzi utilizzati per proteggere da modifiche non autorizzate l’RXSWIN e/o la versione o le versioni del software scelti dal costruttore del veicolo.

7.2.2

Ulteriori prescrizioni per gli aggiornamenti over-the-air

7.2.2.1

Il veicolo deve disporre delle funzionalità seguenti per quanto riguarda gli aggiornamenti del software.

7.2.2.1.1

Il costruttore del veicolo deve garantire che il veicolo sia in grado di ripristinare i sistemi nella versione precedente in caso di mancata riuscita o di interruzione dell’aggiornamento, o che il veicolo possa essere messo in sicurezza dopo la mancata riuscita o l’interruzione di un aggiornamento.

7.2.2.1.2

Il costruttore del veicolo deve garantire che gli aggiornamenti del software possano essere effettuati esclusivamente quando il veicolo dispone di potenza sufficiente per completare il processo di aggiornamento (compreso quello necessario per un eventuale ripristino della versione precedente o per la messa in sicurezza del veicolo).

7.2.2.1.3

Se l’esecuzione di un aggiornamento può compromettere la sicurezza del veicolo, il costruttore del veicolo deve dimostrare in che modo l’aggiornamento sarà eseguito in condizioni di sicurezza. A tale fine deve utilizzare mezzi tecnici atti a garantire che il veicolo si trovi in uno stato in cui l’aggiornamento può essere eseguito in sicurezza.

7.2.2.2

Il costruttore del veicolo deve dimostrare che l’utente del veicolo può essere informato di un aggiornamento prima che l’aggiornamento sia eseguito. Le informazioni messe a disposizione devono includere:

a)	lo scopo dell’aggiornamento. Ciò potrebbe comprendere la criticità dell’aggiornamento e se l’aggiornamento è finalizzato al richiamo, alla sicurezza e/o all’incolumità;

b)	qualsiasi modifica apportata dall’aggiornamento alle funzioni del veicolo;

c)	il tempo previsto per completare l’esecuzione dell’aggiornamento;

d)	qualsiasi funzionalità del veicolo che potrebbe non essere disponibile durante l’esecuzione dell’aggiornamento;

e)	qualsiasi istruzione che possa aiutare l’utente del veicolo a eseguire l’aggiornamento in modo sicuro.

Nel caso di gruppi di aggiornamenti con contenuto analogo, un’informazione può riguardare un gruppo.

7.2.2.3

Qualora l’esecuzione di un aggiornamento durante la guida possa non essere sicura, il costruttore del veicolo deve dimostrare in che modo:

a)	fa in modo che il veicolo non possa essere guidato durante l’esecuzione dell’aggiornamento;

b)	assicura che il conducente non sia in grado di utilizzare alcuna funzionalità del veicolo che possa compromettere la sicurezza dello stesso o la corretta esecuzione dell’aggiornamento.

7.2.2.4

Dopo l’esecuzione di un aggiornamento, il costruttore del veicolo deve dimostrare in che modo:

a)	l’utente del veicolo può essere informato della riuscita (o della mancata riuscita) dell’aggiornamento;

b)	l’utente del veicolo può essere informato delle modifiche apportate e dei relativi aggiornamenti del manuale d’uso (se del caso).

7.2.2.5

Prima che sia eseguito l’aggiornamento del software devono essere soddisfatte le precondizioni riguardanti il veicolo.

8. MODIFICHE DEL TIPO DI VEICOLO ED ESTENSIONI DELL’OMOLOGAZIONE

8.1

Ogni modifica del tipo di veicolo che incida sulle prestazioni tecniche e/o sulla documentazione richiesta dal presente regolamento deve essere notificata all’autorità di omologazione che ha concesso l’autorizzazione. L’autorità di omologazione può quindi:

8.1.1

ritenere che le modifiche apportate siano conformi alle prescrizioni e alla documentazione dell’omologazione precedente; oppure

8.1.2

chiedere un altro verbale di prova al servizio tecnico che ha effettuato le prove.

8.1.3

Della conferma, estensione o rifiuto dell’omologazione, con indicazione delle modifiche apportate, deve essere data comunicazione mediante una scheda di notifica conforme al modello figurante nell’allegato 2 del presente regolamento. L’autorità di omologazione che rilascia l’estensione dell’omologazione deve assegnare un numero di serie all’estensione e informare le altre parti dell’accordo del 1958 che applicano il presente regolamento mediante una scheda di notifica conforme al modello figurante nell’allegato 2 del presente regolamento.

9. CONFORMITÀ DELLA PRODUZIONE

9.1

Le procedure per il controllo della conformità della produzione devono essere conformi a quelle indicate nell’accordo del 1958, scheda 1 (E/ECE/TRANS/505/Rev.3), nonché alle prescrizioni seguenti.

9.1.1

Il titolare dell’omologazione deve assicurarsi che i risultati delle prove di conformità della produzione siano registrati e che i documenti allegati restino a disposizione per il periodo di tempo concordato con l’autorità di omologazione o con il suo servizio tecnico. Tale periodo non deve essere superiore a 10 anni a partire dalla cessazione definitiva della produzione.

9.1.2

L’autorità che ha rilasciato l’omologazione ha facoltà di verificare in qualsiasi momento i metodi di controllo della conformità applicati in ogni stabilimento di produzione. Tali verifiche devono avere di norma cadenza triennale.

9.1.3

L’autorità di omologazione o il suo servizio tecnico deve convalidare periodicamente la conformità dei processi utilizzati dal costruttore del veicolo e delle decisioni da esso prese, in particolare nei casi in cui questi abbia deciso di non comunicare un aggiornamento all’autorità di omologazione o al suo servizio tecnico. Allo scopo possono essere eseguiti controlli a campione.

10. SANZIONI IN CASO DI NON CONFORMITÀ DELLA PRODUZIONE

10.1

10.2

Se un’autorità di omologazione revoca un’omologazione da essa in precedenza rilasciata, deve informarne immediatamente le parti contraenti che applicano il presente regolamento mediante una scheda di notifica conforme al modello figurante nell’allegato 2 del presente regolamento.

11. CESSAZIONE DEFINITIVA DELLA PRODUZIONE

11.1

Se il titolare di un’omologazione cessa definitivamente la produzione di un tipo di veicolo omologato a norma del presente regolamento, deve informarne l’autorità che ha rilasciato l’omologazione. Appena ricevuta la relativa notifica, tale autorità deve informare le altre parti dell’accordo che applicano il presente regolamento, inviando una copia della scheda di omologazione recante in calce, a chiare lettere, l’annotazione firmata e datata «PRODUZIONE CESSATA».

12. NOMI E INDIRIZZI DEI SERVIZI TECNICI RESPONSABILI DELLE PROVE DI OMOLOGAZIONE E DELLE AUTORITÀ DI OMOLOGAZIONE

12.1

(1) Secondo la definizione contenuta nella risoluzione consolidata sulla costruzione dei veicoli (R.E.3.), documento ECE/TRANS/WP.29/78/Rev.6, par. 2 - www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29resolutions.html

(2) I numeri distintivi delle parti contraenti dell’accordo del 1958 sono riportati nell’allegato 3 della risoluzione consolidata sulla costruzione dei veicoli (R.E.3), documento ECE/TRANS/WP.29/78/Rev.6.

ALLEGATO 1

Scheda informativa

Devono, se del caso, essere fornite le seguenti informazioni in triplice copia con relativo indice. Gli eventuali disegni devono essere forniti in scala adeguata e con sufficienti dettagli, in formato A4 o in fogli piegati in tale formato. Le eventuali fotografie devono mostrare sufficienti dettagli.

Marchio (denominazione commerciale del costruttore): …

Tipo e descrizione commerciale generale: …

(il tipo è il tipo da omologare, la descrizione commerciale si riferisce al prodotto in cui è utilizzato il tipo omologato)

Mezzi di identificazione del tipo, se marcati sul veicolo: …

Posizione di tale marcatura: …

Categoria o categorie del veicolo: …

Nome e indirizzo del costruttore/mandatario del costruttore: …

Nomi e indirizzi degli stabilimenti di montaggio: …

Fotografie e/o disegni di un veicolo tipo: …

Aggiornamenti del software

9.1

Caratteristiche costruttive generali del tipo di veicolo: …

9.2

Numero del certificato di conformità del sistema di gestione degli aggiornamenti del software: …

9.3

Misure di sicurezza

9.3.1

Documenti per il tipo di veicolo da omologare attestanti che il processo di aggiornamento sarà eseguito in modo sicuro …

9.3.2

Documenti per il tipo di veicolo da omologare attestanti che gli RXSWIN presenti su un veicolo sono protetti da manipolazioni non autorizzate …

9.4

Aggiornamenti del software over-the-air

9.4.1

Documenti per il tipo di veicolo da omologare attestanti che il processo di aggiornamento sarà eseguito in condizioni di sicurezza …

9.4.2

In che modo l’utente del veicolo può essere informato di un aggiornamento prima e dopo la sua esecuzione. …

Appendice 1 dell’Allegato 1

Modello di dichiarazione di conformità del sistema di gestione degli aggiornamenti del software

Dichiarazione del costruttore attestante la conformità alle prescrizioni del sistema di gestione degli aggiornamenti del software

Nome del costruttore: …

Indirizzo del costruttore: …

… … … … …(nome del costruttore) attesta che i processi necessari per conformare il sistema di gestione degli aggiornamenti del software alle prescrizioni di cui al punto 7.1 del regolamento ONU n. 156 sono stati predisposti e saranno mantenuti.

Fatto a: ………………………………………… (luogo)

Data: …

Nome del firmatario: …

Funzione del firmatario: …

…………………………………………

(Timbro e firma del mandatario del costruttore)

ALLEGATO 2

Notifica

[Formato massimo: A4 (210 × 297 mm)]

(1)

Emessa da:

Nome dell’amministrazione:

…

Relativa a (2):

rilascio dell’omologazione

estensione dell’omologazione

revoca dell’omologazione con effetto dal gg/mm/aaaa

rifiuto dell’omologazione

cessazione definitiva della produzione

di un tipo di veicolo a norma del regolamento ONU n. 156

Omologazione n.: …

Estensione n.: …

Motivo dell’estensione: …

Marchio (denominazione commerciale del costruttore): …

Tipo e descrizione commerciale generale: …

Mezzi di identificazione del tipo, se marcati sul veicolo: …

3.1

Posizione di tale marcatura: …

Categoria o categorie del veicolo: …

Nome e indirizzo del costruttore/mandatario del costruttore: …

Nomi e indirizzi degli stabilimenti di produzione: …

Numero del certificato di conformità del sistema di gestione degli aggiornamenti del software: …

Aggiornamenti del software over-the-air compresi (sì/no): …

Servizio tecnico incaricato di eseguire le prove: …

10.

Data del verbale di prova: …

11.

Numero del verbale di prova: …

12.

Osservazioni: (se del caso) …

13.

Luogo: …

14.

Data: …

15.

Firma: …

16.

Si allega l’indice del fascicolo informativo depositato presso l’autorità omologante, del quale si può richiedere copia.

(1) Numero distintivo del paese che ha rilasciato/esteso/rifiutato/revocato l’omologazione (cfr. le disposizioni in materia di marcatura - nota a piè di pagina - del presente regolamento).

(2) Cancellare quanto non pertinente.

ALLEGATO 3

Esempio di marchio di omologazione

MODELLO A

(cfr. punto 4.2 del presente regolamento)

a = 8 mm min.

Il marchio di omologazione sopra raffigurato, apposto su un veicolo, indica che il tipo di veicolo stradale in questione è stato omologato nei Paesi Bassi (E4) ai sensi del regolamento n. 156 con il numero di omologazione 001234. Le prime due cifre del numero di omologazione indicano che l’omologazione è stata rilasciata conformemente alle prescrizioni del presente regolamento nella sua versione originale (00).

ALLEGATO 4

Modello di certificato di conformità del sistema di gestione degli aggiornamenti del software

Certificato di Conformità del Sistema di Gestione Degli Aggiornamenti del Software

al regolamento ONU n. 156:

Numero del certificato [numero di riferimento]

[……. autorità di omologazione]

certifica che

Costruttore: …

Indirizzo del costruttore: …

è conforme alle disposizioni del regolamento n. 156

Sono state effettuate verifiche su: …

da (nome e indirizzo dell’autorità di omologazione): …

Numero del verbale: …

Il certificato è valido fino al: [………………………………………………data]

Fatto a: [………………………………………………luogo]

Il: [………………………………………………data]

[………………………………………………firma]

9.3.2021

Gazzetta ufficiale dell’Unione europea

L 82/75

Solo i testi UNECE originali hanno efficacia giuridica ai sensi del diritto internazionale pubblico. Lo status e la data di entrata in vigore del presente regolamento devono essere controllati nell’ultima versione del documento UNECE TRANS/WP.29/343, reperibile al seguente indirizzo: http://www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29fdocstts.html.

Regolamento UNECE n. 157 - Disposizioni uniformi relative all’omologazione dei veicoli per quanto riguarda il sistema automatizzato di mantenimento della corsia [2021/389]

Data di entrata in vigore: 22 gennaio 2021

Il presente documento è un semplice strumento di documentazione. Il testo facente fede e giuridicamente vincolante è: ECE/TRANS/WP.29/2020/81.

INDICE

REGOLAMENTO

INTRODUZIONE

Ambito di applicazione

Definizioni

Domanda di omologazione

Omologazione

Sistema di sicurezza e risposta a prova di guasto

Interfaccia uomo-macchina / informazioni sull’operatore

Rilevamento di oggetti ed eventi e relativa risposta

Sistema di archiviazione dei dati per la guida automatizzata

Cibersicurezza e aggiornamenti del software

10.

Modifiche ed estensioni dell’omologazione

11.

Conformità della produzione

12.

Sanzioni in caso di non conformità della produzione

13.

Cessazione definitiva della produzione

14.

Nomi e indirizzi dei servizi tecnici responsabili delle prove di omologazione e delle autorità di omologazione

ALLEGATI

Notifica

Esempi di marchi di omologazione

(Riservato)

Prescrizioni particolari riguardanti gli aspetti connessi alla sicurezza dei sistemi di controllo elettronico e alla verifica

Specifiche delle prove per il sistema automatizzato di mantenimento della corsia

INTRODUZIONE

Il presente regolamento intende stabilire disposizioni uniformi relative all’omologazione dei veicoli per quanto concerne i sistemi automatizzati di mantenimento della corsia.

Il sistema automatizzato di mantenimento della corsia controlla il movimento laterale e longitudinale del veicolo per lunghi periodi senza richiedere ulteriori comandi da parte del conducente. Si tratta di un sistema che, se attivato, assume il controllo primario del veicolo.

Il presente regolamento rappresenta il primo passo normativo per un sistema di guida automatizzata (come definito nel documento ECE/TRANS/WP.29/1140) impiegato nel traffico e prevede pertanto disposizioni innovative volte ad affrontare la complessità legata alla valutazione della sicurezza del sistema. Contiene disposizioni amministrative idonee per l’omologazione, prescrizioni tecniche, disposizioni in materia di verifica e verbalizzazione nonché disposizioni relative alle prove.

Il sistema automatizzato di mantenimento della corsia può essere attivato in determinate condizioni sulle strade nelle quali è vietato l’accesso a pedoni e ciclisti e che possiedono una separazione fisica che divide la carreggiata nelle due direzioni di marcia impedendo al traffico di incrociare la traiettoria del veicolo. In una prima fase il testo originale del presente regolamento limita la velocità operativa delle autovetture (veicoli M1) a massimo 60 km/h.

Il presente regolamento comprende prescrizioni generali relative alla sicurezza del sistema e della risposta in caso di guasti. Quando è attivato, il sistema automatizzato di mantenimento della corsia deve svolgere il compito di guida in sostituzione del conducente, ovvero gestire tutte le situazioni, comprese le avarie, e non deve mettere in pericolo la sicurezza degli occupanti del veicolo o di altri utenti della strada. Il conducente dispone comunque sempre della possibilità di escludere il sistema in qualsiasi momento.

Il regolamento stabilisce inoltre le prescrizioni in merito alle modalità di trasferimento in sicurezza del compito di guida dal sistema automatizzato di mantenimento della corsia al conducente, compresa la capacità del sistema di arrestare il veicolo nel caso in cui il conducente non risponda adeguatamente.

Infine il regolamento comprende prescrizioni relative all’interfaccia uomo-macchina (HMI, Human-Machine Interface) per evitare incomprensioni o usi impropri da parte del conducente. Il regolamento impone ad esempio che, quando il sistema automatizzato di mantenimento della corsia è attivo, i dispositivi di visualizzazione di bordo utilizzati dal conducente per attività diverse dalla guida vengano sospesi automaticamente non appena il sistema emette una richiesta di transizione. Tali misure non pregiudicano le norme di comportamento per il conducente relative alle modalità di utilizzo di tali sistemi nelle parti contraenti, come discusse nell’ambito del Forum globale per la sicurezza del traffico stradale (WP.1) al momento della stesura del presente documento (cfr. ad esempio il documento informale 4, revisione 1, della settantottesima sessione del WP.1).

1. AMBITO DI APPLICAZIONE

1.1.

Il presente regolamento si applica all’omologazione dei veicoli di categoria M1 (1) per quanto riguarda il sistema automatizzato di mantenimento della corsia.

2. DEFINIZIONI

Ai fini del presente regolamento si intende per:

2.1.

«sistema automatizzato di mantenimento della corsia (ALKS, Automated Lane Keeping System)»: per l’applicazione a bassa velocità si tratta di un sistema che viene attivato dal conducente e che mantiene il veicolo all’interno della sua corsia a una velocità di marcia non superiore a 60 km/h, controllandone i movimenti laterali e longitudinali per lunghi periodi senza la necessità di un ulteriore intervento da parte del conducente.

Nel contesto del presente regolamento, il sistema automatizzato di mantenimento della corsia è denominato anche «il sistema»;

2.1.1.

«tipo di veicolo relativamente al sistema automatizzato di mantenimento della corsia»: categoria di veicoli che non differiscono fra loro in aspetti essenziali quali:

a)	le caratteristiche del veicolo che influiscono significativamente sulle prestazioni del sistema automatizzato di mantenimento della corsia;

b)	le caratteristiche del sistema e la sua progettazione;

2.2.

«richiesta di transizione»: una procedura logica e intuitiva utilizzata per trasferire l’attività di guida dinamica (DDT, dynamic driving task) dal sistema (controllo automatizzato) al conducente umano (controllo manuale). Tale richiesta viene rivolta dal sistema al conducente umano;

2.3.

«fase di transizione»: la durata della richiesta di transizione;

2.4.

«evento pianificato»: situazione nota in anticipo, ad esempio al momento dell’attivazione, come un punto sul percorso (ad esempio l’uscita di un’autostrada) ecc., che impone una richiesta di transizione;

2.5.

«evento non pianificato»: situazione non nota in anticipo, ma il cui verificarsi è ritenuto molto probabile, ad esempio un cantiere, condizioni meteorologiche avverse, veicolo di emergenza in avvicinamento, assenza di segnaletica orizzontale di delimitazione delle corsie, caduta del carico da un autocarro (collisione), che impone una richiesta di transizione;

2.6.

«rischio di collisione imminente»: situazione o evento che determina una collisione del veicolo con un altro utente della strada o con un ostacolo che non può essere evitato da una richiesta di frenata inferiore a 5 m/s2;

2.7.

«manovra di minimizzazione del rischio» (MRM, minimum risk manoeuvre): procedura volta a ridurre al minimo i rischi nel traffico, effettuata automaticamente dal sistema dopo una richiesta di transizione in assenza di risposta da parte del conducente o in caso di grave avaria del sistema automatizzato di mantenimento della corsia o del veicolo;

2.8.

«manovra di emergenza»: manovra avente lo scopo di impedire o attenuare una collisione effettuata dal sistema nel caso di un evento nel contesto del quale il veicolo è a rischio di collisione imminente;

2.9.

Velocità

2.9.1.

«velocità massima indicata»: la velocità fino alla quale il sistema opera in condizioni ottimali secondo quanto dichiarato dal costruttore;

2.9.2.

«velocità operativa massima»: la velocità selezionata dal sistema fino alla quale quest’ultimo opera in relazione ai fattori ambientali presenti e alle condizioni date dei sensori. Si tratta della velocità massima del veicolo alla quale il sistema può essere attivo, che deve essere determinata in base alla capacità del sistema di rilevamento nonché ai fattori ambientali;

2.9.3.

«velocità attuale» o «velocità»: la velocità selezionata nel dato momento dal sistema in ragione del traffico;

2.10.

«raggio di rilevamento» del sistema di rilevamento: distanza alla quale il sistema è in grado di riconoscere in maniera affidabile un oggetto di interesse, tenendo conto del deterioramento dei componenti del sistema di rilevamento dovuto al tempo e all’utilizzo per tutta la vita del veicolo, e di generare un segnale di controllo;

2.11.

Avarie

2.11.1.

«avaria del sistema automatizzato di mantenimento della corsia»: singola avaria specifica del funzionamento di tale sistema (ad esempio l’avaria di un singolo sensore, la perdita dei dati di calcolo necessari per il percorso del veicolo);

2.11.2.

«modalità avaria»: lo stato di funzionamento del sistema nel quale esso opera in presenza di un’avaria del sistema automatizzato di mantenimento della corsia;

2.11.3.

«grave avaria del sistema automatizzato di mantenimento della corsia»: avaria specifica del funzionamento di tale sistema che si ripercuote sulla sua sicurezza di funzionamento quando è in modalità avaria con probabilità di accadimento molto bassa, come si utilizza in genere per componenti essenziali quali ad esempio le centraline elettroniche. Le avarie che interessano singoli sensori sono considerate rientrare nella presente definizione soltanto se accompagnate da un altro effetto avente ripercussioni sulla sicurezza di funzionamento del sistema;

2.11.4.

«grave avaria del veicolo»: qualsiasi avaria del veicolo (ad esempio elettrica o meccanica) che incide sulla capacità del sistema automatizzato di mantenimento della corsia di svolgere l’attività di guida dinamica e che avrebbe altresì ripercussioni sul funzionamento manuale del veicolo (ad esempio mancanza dell’alimentazione elettrica, avaria del sistema frenante, perdita improvvisa di pressione degli pneumatici);

2.12.

«autoverifica»: funzione integrata che controlla continuamente l’eventuale presenza di avarie del sistema e il raggio di rilevamento del sistema di rilevamento;

2.13.

«esclusione del sistema» da parte del conducente: situazione nella quale il conducente fornisce un impulso di comando che ha la precedenza su quello longitudinale o laterale del sistema, mentre il sistema è ancora attivo;

2.14.

«attività di guida dinamica (DDT, dynamic driving task)»: il controllo e l’esecuzione di tutti i movimenti longitudinali e laterali del veicolo;

2.15.

«sistema di archiviazione dei dati per la guida automatizzata (DSSAD, data storage system for automated driving)»: consente la determinazione delle interazioni tra il sistema automatizzato di mantenimento della corsia e il conducente umano;

2.16.

«durata di vita del sistema»: periodo di tempo durante il quale il sistema automatizzato di mantenimento della corsia è disponibile, come funzione, sul veicolo;

2.17.

«eventi»: nel contesto delle disposizioni relative al sistema di archiviazione dei dati per la guida automatizzata di cui al punto 8, azione o istanza di un evento o incidente che si verifica, che richiede l’archiviazione all’interno del sistema di archiviazione dei dati;

2.18.

«numero di identificazione del software R157 (R157 SWIN)»: identificatore apposito, definito dal costruttore del veicolo, che riporta le informazioni sul software aventi rilievo per l’omologazione del sistema di controllo elettronico e fa parte delle caratteristiche del veicolo rilevanti per l’omologazione ai sensi del regolamento UNECE n. 157;

2.19.

«sistema di controllo elettronico»: combinazione di unità progettate per cooperare al fine di assicurare la funzione dichiarata di mantenimento automatizzato della corsia mediante elaborazione elettronica dei dati. Tali sistemi, in genere comandati tramite software, sono costruiti con componenti funzionali discreti quali sensori, centraline elettroniche e attuatori e sono connessi tramite collegamenti di trasmissione. Possono comprendere elementi meccanici, elettropneumatici o elettroidraulici;

2.20.

«software»: la parte di un sistema di controllo elettronico che consta di dati e istruzioni digitali.

3. DOMANDA DI OMOLOGAZIONE

3.1.

La domanda di omologazione di un tipo di veicolo per quanto riguarda il sistema automatizzato di mantenimento della corsia deve essere presentata dal costruttore del veicolo o dal suo mandatario.

3.2.

La domanda deve essere corredata dei documenti seguenti in triplice copia:

3.2.1.

una descrizione del tipo di veicolo in relazione alle caratteristiche di cui al punto 2.1.1, corredata di un fascicolo di documentazione, come richiesto nell’allegato 4, che illustri le caratteristiche progettuali di base del sistema automatizzato di mantenimento della corsia e il modo in cui esso è collegato agli altri sistemi del veicolo o in cui controlla direttamente le variabili di uscita. Devono essere riportati i numeri e/o i simboli che identificano il tipo di veicolo.

3.3.

Al servizio tecnico che effettua le prove di omologazione deve essere presentato un veicolo rappresentativo del tipo di veicolo da omologare.

4. OMOLOGAZIONE

4.1.

Se il tipo di veicolo presentato per l’omologazione a norma del presente regolamento soddisfa le prescrizioni di cui ai punti da 5 a 9, l’omologazione del tipo di veicolo in questione deve essere rilasciata.

4.2.

Ad ogni tipo omologato deve essere assegnato un numero di omologazione; le prime due cifre di tale numero (attualmente 00, corrispondenti alla serie di modifiche 00, vale a dire la versione originale) devono indicare la serie di modifiche comprendente le più recenti modifiche tecniche di rilievo apportate al regolamento alla data di rilascio dell’omologazione. La stessa parte contraente non può assegnare lo stesso numero a un altro tipo di veicolo.

4.3.

La notifica del rilascio, del rifiuto o della revoca dell’omologazione a norma del presente regolamento deve essere comunicata alle parti dell’accordo che applicano il presente regolamento mediante una scheda conforme al modello di cui all’allegato 1, corredata della documentazione fornita dal richiedente in un formato non superiore ad A4 (210 x 297 mm), o piegata in quel formato e in scala adeguata, oppure in formato elettronico.

4.4.

4.4.1.

un cerchio all’interno del quale è iscritta la lettera «E» seguita dal numero distintivo del paese che ha rilasciato l’omologazione (2);

4.4.2.

il numero del presente regolamento seguito dalla lettera «R», da un trattino e dal numero di omologazione, che vanno posti a destra del cerchio di cui al punto 4.4.1.

4.5.

Se il veicolo è conforme a un tipo di veicolo omologato a norma di uno o più altri regolamenti allegati all’accordo, nel paese che ha rilasciato l’omologazione a norma del presente regolamento, non è necessario ripetere il simbolo di cui al punto 4.4.1; in tale caso, i numeri del regolamento e di omologazione e gli altri simboli supplementari vanno posti in colonne verticali a destra del simbolo prescritto al punto 4.4.1.

4.6.

Il marchio di omologazione deve essere chiaramente leggibile e indelebile.

4.7.

Il marchio di omologazione deve essere apposto sulla targhetta dei dati del veicolo o in prossimità della stessa.

5. SISTEMA DI SICUREZZA E RISPOSTA A PROVA DI GUASTO

5.1.

Prescrizioni generali

Il rispetto delle disposizioni del presente punto deve essere dimostrato dal costruttore al servizio tecnico nell’ambito dell’ispezione dell’approccio alla sicurezza nel contesto della valutazione di cui all’allegato 4 (in particolare per le condizioni non sottoposte a prova ai sensi dell’allegato 5) e in base alle prove del caso, di cui all’allegato 5.

5.1.1.

Quando è attivo, il sistema deve svolgere l’attività di guida dinamica e gestire tutte le situazioni, comprese le avarie, senza presentare irragionevoli rischi per gli occupanti del veicolo o gli altri utenti della strada.

Quando è attivo, il sistema non deve causare collisioni ragionevolmente prevedibili ed evitabili. Le collisioni che possono essere evitate in sicurezza senza che ne vengano provocate altre devono essere evitate. Quando viene coinvolto in una collisione rilevabile, il veicolo deve essere arrestato.

5.1.2.

Quando è attivo, il sistema deve rispettare il codice della strada in vigore nel paese di utilizzo per quanto riguarda l’attività di guida dinamica.

5.1.3.

Quando è attivo, il sistema deve comandare i sistemi necessari per aiutare il conducente a riprendere il controllo manuale del veicolo in qualsiasi momento (ad esempio sbrinatori, tergicristalli e luci).

5.1.4.

Una richiesta di transizione non deve mettere in pericolo la sicurezza degli occupanti del veicolo o degli altri utenti della strada.

5.1.5.

Se il conducente non riprende il controllo dell’attività di guida dinamica durante la fase di transizione, il sistema deve effettuare una manovra di minimizzazione del rischio. Nell’ambito delle manovre di minimizzazione del rischio, il sistema deve ridurre al minimo i rischi per la sicurezza degli occupanti del veicolo e degli altri utenti della strada.

5.1.6.

Il sistema deve eseguire una serie di autocontrolli per rilevare l’eventuale presenza di avarie e per confermare le prestazioni del sistema in ogni momento (ad esempio, dopo l’avvio del veicolo il sistema deve aver rilevato almeno una volta un oggetto posto alla stessa distanza o a una distanza superiore rispetto a quella dichiarata come raggio di rilevamento ai sensi del punto 7.1).

5.1.7.

L’efficienza del sistema non deve essere compromessa da campi magnetici o elettrici. Questa condizione si considera soddisfatta se è accertata la conformità al regolamento n. 10, serie di modifiche 05 o successiva.

5.1.8.

Il costruttore deve adottare misure per evitare un uso improprio ragionevolmente prevedibile da parte del conducente e la manomissione del sistema.

5.1.9.

Quando il sistema non è più in grado di soddisfare le prescrizioni del presente regolamento, non deve essere possibile attivarlo.

Il costruttore deve dichiarare e implementare un processo per gestire la sicurezza e la conformità continua del sistema automatizzato di mantenimento della corsia per tutta la sua durata di vita.

5.2.

Attività di guida dinamica

5.2.1.

Quando è attivo, il sistema deve mantenere il veicolo all’interno della sua corsia di marcia e fare in modo che non attraversi la segnaletica orizzontale di delimitazione della corsia (il bordo esterno dello pneumatico anteriore non deve superare il bordo esterno della segnaletica). Il sistema deve mirare a mantenere il veicolo in una posizione laterale stabile all’interno della corsia di marcia, per evitare di confondere gli altri utenti della strada.

5.2.2.

Quando è attivo, il sistema deve rilevare i veicoli che gli transitano accanto, come definito al punto 7.1.2, e, se necessario, adeguare nel modo opportuno la velocità e/o la posizione laterale del veicolo all’interno della corsia.

5.2.3.

Quando è attivo, il sistema deve controllare la velocità del veicolo.

5.2.3.1.

La velocità massima alla quale il sistema è autorizzato a funzionare è 60 km/h.

5.2.3.2.

Quando è attivo, il sistema deve adattare la velocità del veicolo a fattori infrastrutturali e ambientali (ad esempio curve strette o condizioni meteorologiche avverse).

5.2.3.3.

Quando è attivo, il sistema deve rilevare la distanza rispetto al veicolo mediatamente precedente, come definito al punto 7.1.1, e deve adattare la velocità del veicolo per evitare collisioni.

Finché il veicolo dotato di sistema automatizzato di mantenimento della corsia è in movimento, il sistema deve adattare la velocità al fine di adeguare la distanza rispetto al veicolo che lo precede nella stessa corsia in modo che non sia inferiore alla distanza di sicurezza minima.

Nel caso in cui non sia possibile rispettare da un punto di vista temporale l’intervallo di tempo minimo a causa di altri utenti della strada (ad esempio inserimento di un veicolo nella corsia, veicolo che precede che decelera ecc.), il veicolo deve riadeguare la distanza di sicurezza minima alla prima occasione disponibile senza frenate brusche, a meno che non si renda necessaria una manovra di emergenza.

La distanza di sicurezza minima deve essere calcolata utilizzando la formula:

dmin = vALKS* tfront

dove:

dmin	=	distanza di sicurezza minima
vALKS	=	velocità del veicolo dotato di sistema automatizzato di mantenimento della corsia espressa in m/s;
tfront	=	intervallo di tempo minimo in secondi tra il veicolo dotato di sistema automatizzato di mantenimento della corsia e il veicolo che lo precede, come da tabella che segue:

Velocità del veicolo dotato di sistema automatizzato di mantenimento della corsia		Intervallo temporale minimo	Distanza di sicurezza minima
(km/h)	(m/s)	(s)	(m)
7,2	2,0	1,0	2,0
10	2,78	1,1	3,1
20	5,56	1,2	6,7
30	8,33	1,3	10,8
40	11,11	1,4	15,6
50	13,89	1,5	20,8
60	16,67	1,6	26,7

Per i valori di velocità non menzionati nella tabella, si applica l’interpolazione lineare.

Indipendentemente dal risultato della formula di cui sopra, per le velocità inferiori a 2 m/s la distanza di sicurezza minima non deve mai essere inferiore a 2 m.

5.2.4.

Quando è attivo, il sistema deve essere in grado di arrestare completamente il veicolo dietro un veicolo fermo, un utente della strada fermo o una corsia di marcia bloccata, al fine di evitare una collisione. Ciò deve essere garantito fino alla velocità operativa massima del sistema.

5.2.5.

Quando è attivo, il sistema deve rilevare il rischio di collisione, in particolare con altri utenti della strada che precedono il veicolo o gli transitano accanto, a causa della decelerazione del veicolo che precede, dell’inserimento di un veicolo nella corsia o di un ostacolo che appare improvvisamente, e deve effettuare automaticamente le manovre adeguate per ridurre al minimo i rischi per la sicurezza degli occupanti del veicolo e degli altri utenti della strada.

Per le condizioni non indicate ai punti 5.2.4 e 5.2.5 e ai rispettivi commi, ciò deve essere garantito almeno al livello al quale un conducente umano competente e attento potrebbe ridurre al minimo i rischi. Ciò deve essere dimostrato nella valutazione effettuata conformemente all’allegato 4 e seguendo gli orientamenti di cui all’appendice 3 dell’allegato 4.

5.2.5.1.

Quando è attivo, il sistema deve impedire la collisione con il veicolo che precede quando quest’ultimo rallenta fino alla frenata massima, se non è stata ridotta la distanza di sicurezza minima alla quale il veicolo dotato di sistema automatizzato di mantenimento della corsia adeguerebbe la velocità a quella di un veicolo che va a precederlo a seguito di una manovra di inserimento in corsia.

5.2.5.2.

Quando è attivo, il sistema deve impedire le collisioni con i veicoli che si inseriscono nella corsia,

a)	a condizione che il veicolo che si inserisce mantenga la sua velocità longitudinale inferiore a quella del veicolo dotato di sistema automatizzato di mantenimento della corsia e

b)	a condizione che il movimento laterale del veicolo che si inserisce sia visibile per almeno 0,72 secondi prima del raggiungimento del punto di riferimento per TTCLaneIntrusion (tempo mancante alla collisione per intrusione nella corsia),

quando la distanza tra la parte anteriore del veicolo e la parte posteriore del veicolo che si inserisce corrisponde a un tempo mancante alla collisione calcolato mediante la seguente equazione:

dove:

Vrel	=	velocità relativa tra i due veicoli, positiva per il veicolo più veloce rispetto a quello che si inserisce nella corsia;
TTCLaneIntrusion	=	valore del tempo mancante alla collisione quando il lato esterno dello pneumatico della ruota anteriore del veicolo che si inserisce nella corsia più vicino alla segnaletica orizzontale di delimitazione della corsia attraversa una linea situata 0,3 m oltre il bordo esterno della segnalazione visibile verso la quale si dirige il veicolo che si inserisce.

5.2.5.3.

Quando è attivo, il sistema deve impedire le collisioni con i pedoni che attraversano la strada davanti al veicolo quando la visuale è libera.

In uno scenario in cui, quando la visuale è libera, un pedone individuabile attraversa la strada con una componente di velocità laterale non superiore a 5 km/h e il punto di impatto previsto spostato di non più di 0,2 m rispetto al piano mediano longitudinale del veicolo, il sistema automatizzato di mantenimento della corsia, se attivo, deve impedire la collisione fino alla velocità operativa massima del sistema.

5.2.5.4.

Si riconosce il fatto che la prescrizione di cui al punto 5.2.5 può non essere pienamente rispettata in condizioni diverse da quelle descritte sopra. Tuttavia il sistema non deve disattivare o modificare irragionevolmente la strategia di controllo in tali diverse condizioni. Ciò deve essere dimostrato conformemente all’allegato 4 del presente regolamento.

5.3.

Manovra di emergenza

Il rispetto delle disposizioni del presente punto deve essere dimostrato dal costruttore al servizio tecnico nell’ambito dell’ispezione dell’approccio alla sicurezza nel contesto della valutazione di cui all’allegato 4 e in base alle prove del caso, di cui all’allegato 5.

5.3.1.

In caso di rischio di collisione imminente deve essere effettuata una manovra di emergenza.

5.3.1.1.

Qualsiasi richiesta del sistema di decelerazione longitudinale superiore a 5,0 m/s2 deve essere considerata una manovra di emergenza.

5.3.2.

Tale manovra deve far decelerare il veicolo fino alla frenata massima, se necessaria, e/o può consistere in una manovra automatica di schivamento, quando opportuna.

In presenza di avarie che incidono sull’efficienza di frenata o di sterzata del sistema, la manovra deve essere effettuata tenendo conto dell’efficienza residua.

Durante la manovra di schivamento, il veicolo dotato di sistema automatizzato di mantenimento della corsia non deve attraversare la segnaletica orizzontale di delimitazione della corsia (il bordo esterno dello pneumatico anteriore non deve superare il bordo esterno della segnaletica).

Dopo la manovra di schivamento il veicolo deve cercare di riprendere una posizione stabile.

5.3.3.

Una manovra di emergenza non deve essere annullata, fatto salvo il caso in cui il rischio di collisione imminente sia scomparso o il conducente abbia disattivato il sistema.

5.3.3.1.

Una volta conclusa la manovra di emergenza, il sistema deve continuare a funzionare.

5.3.3.2.

Se la manovra di emergenza porta il veicolo ad arrestarsi, deve essere generato il segnale di attivazione delle luci di emergenza. Se il veicolo riparte automaticamente, il segnale di disattivazione delle luci di emergenza deve essere generato automaticamente.

5.3.4.

Il veicolo deve implementare un segnale logico che indichi la frenata di emergenza, come descritto nel regolamento UNECE n. 13-H.

5.4.

Richiesta di transizione e funzionamento del sistema durante la fase di transizione

5.4.1.

Quando è attivo, il sistema deve riconoscere tutte le situazioni nelle quali deve effettuare la transizione, ridando il controllo al conducente.

I tipi di situazioni in cui il veicolo genererà una richiesta di transizione al conducente devono essere dichiarati dal costruttore del veicolo e inseriti nel fascicolo di documentazione prescritto dall’allegato 4.

5.4.2.

La richiesta di transizione deve essere effettuata con sufficiente anticipo da consentire una transizione sicura alla guida manuale.

5.4.2.1.

Nel caso di un evento pianificato che impedirebbe al sistema automatizzato di mantenimento della corsia di continuare a funzionare, deve essere generata una richiesta di transizione con un anticipo sufficiente a garantire che la manovra di minimizzazione del rischio, effettuata nel caso in cui il conducente non riprenda il controllo, porti il veicolo ad arrestarsi prima che si verifichi l’evento pianificato.

5.4.2.2.

Nel caso di un evento non pianificato, la richiesta di transizione deve essere generata al momento del rilevamento.

5.4.2.3.

In presenza di un’avaria che abbia ripercussioni sul funzionamento del sistema, quest’ultimo deve avviare una richiesta di transizione immediatamente al momento del rilevamento.

5.4.3.

Durante la fase di transizione il sistema deve continuare a funzionare. Il sistema può ridurre la velocità del veicolo per garantirne il funzionamento sicuro, ma non deve arrestarlo fatto salvo il caso in cui ciò sia richiesto dalla situazione (ad esempio in ragione di veicoli o ostacoli che ostruiscono il percorso del veicolo) oppure quando ciò è dovuto a un segnale di avvertimento tattile ai sensi del punto 6.4.1 emesso a velocità inferiore a 20 km/h.

5.4.3.1.

Una volta fermo, il veicolo può rimanere in tale condizione generando il segnale di attivazione delle luci di emergenza entro 5 secondi.

5.4.3.2.

Durante la fase di transizione, la richiesta di transizione deve essere intensificata entro 4 secondi dall’inizio della richiesta di transizione.

5.4.4.

Una richiesta di transizione deve essere annullata soltanto dopo che il sistema è stato disattivato o che è iniziata una manovra di minimizzazione del rischio.

5.4.4.1.

Nel caso in cui il conducente non risponda a una richiesta di transizione disattivando il sistema (come descritto al punto 6.2.4 o 6.2.5), deve essere avviata una manovra di minimizzazione del rischio entro 10 secondi dall’inizio della richiesta di transizione.

5.4.4.1.1.

Fatto salvo il punto 5.4.4.1 può essere avviata immediatamente una manovra di minimizzazione del rischio in caso di grave avaria del sistema automatizzato di mantenimento della corsia o del veicolo.

In caso di grave avaria del sistema automatizzato di mantenimento della corsia o del veicolo, tale sistema può non essere più in grado di soddisfare le prescrizioni del presente regolamento, tuttavia deve mirare a consentire una transizione sicura che ridia il controllo al conducente.

5.4.4.1.2.

Il costruttore deve dichiarare i tipi di avarie gravi del veicolo e avarie gravi del sistema automatizzato di mantenimento della corsia che porteranno quest’ultimo ad avviare immediatamente una manovra di minimizzazione del rischio.

5.5.

Manovra di minimizzazione del rischio

5.5.1.

Durante la manovra di minimizzazione del rischio il veicolo deve essere rallentato all’interno della corsia o, nel caso in cui la segnaletica orizzontale di delimitazione delle corsie non sia visibile, rimanere su una traiettoria adeguata tenendo conto del traffico circostante e delle infrastrutture stradali, con l’obiettivo di attuare una richiesta di decelerazione non superiore a 4,0 m/s2.

Valori più elevati per la richiesta di decelerazione sono consentiti per periodi molto brevi, ad esempio come avvertimento tattile per stimolare l’attenzione del guidatore o in caso di grave avaria del sistema automatizzato di mantenimento della corsia o del veicolo.

Inoltre, il segnale per l’attivazione delle luci di emergenza deve essere generato contemporaneamente all’avvio della manovra di minimizzazione del rischio.

5.5.2.

La manovra di minimizzazione del rischio deve comportare l’arresto del veicolo, fatto salvo il caso in cui il sistema venga disattivato dal conducente durante la manovra.

5.5.3.

Una manovra di minimizzazione del rischio deve essere annullata soltanto dopo che il sistema è disattivato o ha fatto arrestare il veicolo.

5.5.4.

Il sistema deve essere disattivato al termine di ogni manovra di minimizzazione del rischio.

Le luci di emergenza devono rimanere in funzione, a meno che non vengano disattivate manualmente e il veicolo non debba allontanarsi dopo l’arresto senza intervento manuale.

5.5.5.

La riattivazione del sistema dopo la conclusione di qualsiasi manovra di minimizzazione del rischio deve essere possibile soltanto dopo ogni nuovo ciclo di avviamento/funzionamento del motore.

6. INTERFACCIA UOMO-MACCHINA / INFORMAZIONI SULL’OPERATORE

6.1.

Sistema di riconoscimento della disponibilità del conducente

Il rispetto delle disposizioni del presente punto deve essere dimostrato dal costruttore al servizio tecnico nell’ambito dell’ispezione dell’approccio alla sicurezza nel contesto della valutazione di cui all’allegato 4 e in base alle prove del caso, di cui all’allegato 5.

6.1.1.

Il sistema deve prevedere un sistema di riconoscimento della disponibilità del conducente.

Quest’ultimo sistema deve rilevare se il conducente è presente al posto di guida, se la cintura di sicurezza del conducente è allacciata e se il conducente è disponibile ad assumere il controllo della guida.

6.1.2.

Presenza del conducente

Una richiesta di transizione deve essere avviata conformemente al punto 5.4 qualora sia soddisfatta una delle seguenti condizioni:

a)	quando si rileva che il conducente non si trova sul sedile per un periodo superiore a un secondo; oppure

b)	quando la cintura di sicurezza del conducente è slacciata.

Invece che all’avvertimento acustico della richiesta di transizione, si può ricorrere all’avvertimento di secondo livello del cicalino delle cinture di sicurezza a norma del regolamento UNECE n. 16.

6.1.3.

Disponibilità del conducente

Monitorando il conducente, il sistema deve rilevare se il conducente è disponibile e se si trova in una posizione di guida adeguata per rispondere a una richiesta di transizione.

Il costruttore deve dimostrare, in maniera soddisfacente per il servizio tecnico, che il veicolo è in grado di rilevare la disponibilità del conducente ad assumere il controllo della guida.

6.1.3.1.

Criteri per valutare la disponibilità del conducente

Il conducente è considerato non disponibile se negli ultimi 30 secondi non è stato dimostrato, sulla base di almeno due criteri di disponibilità presi singolarmente (ad esempio intervento del conducente per il controllo esclusivo del veicolo, battito di ciglia, chiusura degli occhi, movimento deliberato della testa o del corpo), che il conducente è disponibile.

Il sistema può in qualsiasi momento considerare indisponibile il conducente.

Non appena il conducente viene ritenuto indisponibile, oppure nel caso che sia possibile monitorare meno di due criteri di disponibilità, il sistema deve immediatamente far scattare un avvertimento distinto, che deve restare in funzione fino a quando non vengono rilevate azioni adeguate da parte del conducente o finché non inizia una richiesta di transizione. Al più tardi se tale avvertimento continua per 15 secondi, deve essere avviata una richiesta di transizione conformemente al punto 5.4.

La giustificazione del numero e della combinazione di criteri di disponibilità, in particolare per quanto riguarda l’intervallo di tempo corrispondente, è fornita dal costruttore mediante prove documentate. Tuttavia l’intervallo di tempo richiesto per qualsiasi criterio di disponibilità non deve superare i 30 secondi. Ciò deve essere dimostrato dal costruttore e valutato dal servizio tecnico conformemente all’allegato 4.

6.1.4.

«Attività diverse dalla guida» attraverso i dispositivi di visualizzazione di bordo disponibili all’attivazione del sistema automatizzato di mantenimento della corsia devono essere automaticamente sospese: i) non appena il sistema emette una richiesta di transizione; o ii) non appena il sistema viene disattivato, a seconda di quale evento si verifica per primo.

6.2.

Attivazione, disattivazione e intervento del conducente

Il rispetto delle disposizioni del presente punto deve essere dimostrato dal costruttore al servizio tecnico nell’ambito dell’ispezione dell’approccio alla sicurezza nel contesto della valutazione di cui all’allegato 4 e in base alle prove del caso, di cui all’allegato 5.

6.2.1.

Il veicolo deve disporre di un mezzo che consenta al conducente di attivare (modalità attiva) e disattivare (modalità «off», ossia spento) il sistema. Quando il sistema automatizzato di mantenimento della corsia è attivato, i mezzi per disattivarlo devono essere permanentemente visibili al conducente.

6.2.2.

Lo stato standard del sistema deve essere la modalità «off» (spento) all’inizio di ogni nuovo ciclo di accensione/funzionamento del motore.

Questa prescrizione non si applica se il nuovo ciclo di accensione/funzionamento del motore si avvia automaticamente, ad esempio tramite il funzionamento del sistema start-stop.

6.2.3.

Il sistema deve attivarsi soltanto in caso di azione deliberata da parte del conducente e se sono soddisfatte tutte le seguenti condizioni:

a)	il conducente si trova al posto di guida con la cintura di sicurezza allacciata conformemente ai punti 6.1.1 e 6.1.2;

b)	il conducente è disponibile ad assumere il controllo dell’attività di guida dinamica conformemente al punto 6.1.3;

c)	non sono presenti avarie che incidono sulla sicurezza di esercizio o sulla funzionalità del sistema automatizzato di mantenimento della corsia;

d)	il sistema di archiviazione dei dati per la guida automatizzata è in funzione;

e)	i fattori ambientali e infrastrutturali consentono il funzionamento del sistema;

f)	è stata ricevuta una conferma positiva dall’autocontrollo del sistema; e

g)	il veicolo si trova su strade vietate ai pedoni e ai ciclisti e che, per loro progettazione, sono dotate di una separazione fisica che divide la carreggiata nelle due direzioni di marcia.

Se una delle condizioni di cui sopra non è più soddisfatta, il sistema deve generare immediatamente una richiesta di transizione, salvo diversamente indicato nel presente regolamento.

6.2.4.

Deve essere possibile disattivare manualmente (modalità «off») il sistema mediante un’azione intenzionale da parte del conducente utilizzando gli stessi mezzi utilizzati per attivare il sistema, come indicato al punto 6.2.1.

I mezzi di disattivazione devono tutelare dalla disattivazione manuale involontaria, ad esempio richiedendo un singolo intervento di durata superiore a una certa soglia di tempo oppure una doppia pressione, oppure due interventi separati ma simultanei.

Occorre inoltre fare in modo che il conducente abbia il controllo laterale del veicolo al momento della disattivazione, ad esempio posizionando i mezzi di disattivazione sul comando dello sterzo oppure mediante conferma che il conducente sta controllando il comando dello sterzo.

6.2.5.

Oltre al punto 6.2.4, il sistema non deve essere disattivato da nessun intervento del conducente diverso da quelli descritti ai punti da 6.2.5.1 a 6.2.5.4.

6.2.5.1.

Disattivazione mediante intervento sui comandi di guida

Il sistema deve essere disattivato quando in presenza di almeno una delle seguenti condizioni:

a)	il conducente esclude il sistema sterzando con il comando dello sterzo e tale esclusione non viene soppressa, come indicato al punto 6.3; oppure

b)	il conducente controlla il comando dello sterzo ed esclude il sistema frenando o accelerando, come indicato al punto 6.3.1.

6.2.5.2.

Disattivazione durante una richiesta di transizione o una manovra di minimizzazione del rischio in corso

Nel caso in cui sia in corso una richiesta di transizione o una manovra di minimizzazione del rischio, il sistema deve essere disattivato soltanto:

a)	come spiegato al punto 6.2.5.1; oppure

b)	qualora il sistema rilevi che il conducente ha assunto il controllo del comando dello sterzo in risposta alla richiesta di transizione o alla manovra di minimizzazione del rischio, a patto che il sistema confermi che il conducente è attento come indicato al punto 6.3.1.1.

6.2.5.3.

Disattivazione durante una manovra di emergenza

Durante una manovra di emergenza, la disattivazione del sistema può essere ritardata fino a che il rischio di collisione imminente non è più presente.

6.2.5.4.

Disattivazione in caso di grave avaria del veicolo o del sistema automatizzato di mantenimento della corsia

In caso di grave avaria del veicolo o del sistema automatizzato di mantenimento della corsia, quest’ultimo può utilizzare strategie diverse per quanto riguarda la disattivazione.

Tali diverse strategie devono essere dichiarate dal costruttore e la loro efficacia deve essere valutata dal servizio tecnico al fine di garantire una transizione sicura del controllo dal sistema al conducente umano conformemente all’allegato 4.

6.2.6.

Al momento della disattivazione del sistema non deve essere in corso una transizione automatica a favore di una funzione che determini un movimento continuo longitudinale e/o verticale del veicolo (ad esempio funzione sterzante a comando automatico di categoria B1).

In seguito alla disattivazione, la funzione sterzante correttiva può essere attiva con l’obiettivo di abituare il conducente a svolgere il compito di controllo laterale riducendo gradualmente l’assistenza laterale.

Fatti salvi entrambi i punti che precedono, qualsiasi altro sistema di sicurezza che fornisca assistenza longitudinale o laterale in situazioni di collisione imminente (ad esempio il dispositivo avanzato di frenata d’emergenza (AEBS), il controllo elettronico della stabilità (ESC), il sistema di assistenza alla frenata (BAS) o la funzione sterzante di emergenza (ESF)) non deve essere disattivato in caso di disattivazione del sistema automatizzato di mantenimento della corsia.

6.2.7.

Un’eventuale disattivazione deve essere segnalata al conducente come stabilito al punto 6.4.2.3.

6.3.

Esclusione del sistema

6.3.1.

Un intervento da parte del conducente sul comando dello sterzo deve escludere la funzione di comando laterale del sistema quando tale intervento supera una soglia ragionevole progettata per impedire un’esclusione involontaria.

Tale soglia deve prevedere una determinata forza e durata e deve variare a seconda di parametri che tengano conto dei criteri utilizzati per verificare l’attenzione del conducente durante l’intervento da parte di quest’ultimo, come stabilito al punto 6.3.1.1.

Tali soglie e la logica di ogni variazione devono essere dimostrate al servizio tecnico nell’ambito della valutazione conformemente all’allegato 4.

6.3.1.1.

Attenzione del conducente

Il sistema deve rilevare se il conducente è attento. Si ritiene che il conducente sia attento quando viene soddisfatto almeno uno dei seguenti criteri:

a)	si ottiene conferma del fatto che lo sguardo del conducente è rivolto principalmente alla strada di fronte a lui;

b)	si ottiene conferma del fatto che la lo sguardo del conducente è rivolto verso gli specchietti retrovisori; o

c)	si ottiene conferma del fatto che il movimento della testa del conducente è diretto principalmente all’attività di guida.

La specifica per confermare tali criteri, o criteri ugualmente sicuri, deve essere dichiarata dal costruttore e corroborata da prove documentate. La valutazione deve essere eseguita dal servizio tecnico conformemente all’allegato 4.

6.3.2.

Un intervento del conducente sul comando dei freni che determini una decelerazione superiore a quella indotta dal sistema o il mantenimento del veicolo fermo mediante l’uso di un sistema di frenatura deve avere come effetto l’esclusione della funzione di comando longitudinale del sistema.

6.3.3.

Un intervento del conducente sul comando dell’acceleratore può avere come effetto l’esclusione della funzione di comando longitudinale del sistema. Tuttavia tale intervento non deve fare sì che il sistema non soddisfi più le prescrizioni del presente regolamento.

6.3.4.

Un intervento del conducente sul comando dell’acceleratore o su quello dei freni deve far scattare immediatamente una richiesta di transizione, come indicato al punto 5.4, quando l’intervento supera una soglia ragionevole progettata per evitare comandi involontari.

6.3.5.

In deroga alle disposizioni di cui ai punti da 6.3.1 a 6.3.3, l’effetto dell’intervento del conducente su un comando può essere ridotto o soppresso dal sistema nel caso in cui quest’ultimo rilevi un rischio di collisione imminente a causa di tale intervento del conducente.

6.3.6.

In caso di grave avaria del veicolo o del sistema automatizzato di mantenimento della corsia, quest’ultimo può utilizzare strategie diverse per quanto riguarda l’esclusione del sistema. Tali strategie diverse devono essere dichiarate dal costruttore e la loro efficacia deve essere valutata dal servizio tecnico al fine di garantire una transizione sicura del controllo dal sistema al conducente umano.

6.3.7.

Il rispetto delle disposizioni del punto 6.3 e dei relativi commi deve essere dimostrato dal costruttore al servizio tecnico nell’ambito dell’ispezione dell’approccio alla sicurezza nel contesto della valutazione di cui all’allegato 4.

6.4.

Informazioni fornite al conducente

6.4.1.

Al conducente devono essere fornite le informazioni che seguono:

a)	stato del sistema, come definito al punto 6.4.2;

b)	qualsiasi avaria che incida sul funzionamento del sistema mediante quanto meno un segnale ottico, fatto salvo il caso in cui il sistema sia disattivato (modalità «off»);

richiesta di transizione, mediante quanto meno un segnale di avvertimento ottico e in aggiunta un segnale di avvertimento acustico e/o tattile.

Al più tardi 4 secondi dopo l’inizio della richiesta di transizione, quest’ultima deve:

i)	prevedere un avvertimento tattile costante o intermittente fatto salvo il caso in cui il veicolo sia fermo; e

ii)	intensificare l’avvertimento e farlo restare intenso fino al termine della richiesta di transizione;

d)	manovra di minimizzazione del rischio, mediante quanto meno un segnale di avvertimento ottico e in aggiunta un segnale di avvertimento acustico e/o tattile; e

e)	manovra di emergenza, mediante un segnale ottico.

I segnali ottici di cui sopra devono essere adeguati in termini di dimensioni e contrasto. I segnali acustici di cui sopra devono essere forti e chiari.

6.4.2.

Stato del sistema

6.4.2.1.

Indicazione di indisponibilità del sistema

Un’eventuale mancata attivazione del sistema a seguito di un’azione deliberata da parte del conducente, negata dal sistema in quanto non disponibile, deve essere segnalata quanto meno visivamente al conducente.

6.4.2.2.

Visualizzazione dello stato del sistema quando attivo

All’attivazione, lo stato del sistema (modalità «attivo») deve essere indicato con un segnale ottico apposito per il conducente.

Il segnale ottico deve contenere un’indicazione inequivocabile comprendente:

a)	un comando dello sterzo o un veicolo, accompagnato da una «A» o da «AUTO», oppure simboli standardizzati conformemente al regolamento UNECE n. 121; e in aggiunta

un’indicazione facilmente percettibile nel campo visivo periferico e situata vicino alla linea diretta di visuale del conducente verso l’esterno nella parte anteriore del veicolo, ad esempio un’indicazione ben visibile sul cruscotto o sul comando dello sterzo che ricopra parte del perimetro del cerchio esterno rivolto verso il conducente.

Il segnale ottico deve indicare lo stato attivo del sistema fino a quando quest’ultimo non viene disattivato (modalità «off»).

Il segnale ottico deve essere costante quando il sistema è in funzionamento normale e con l’inizio di una richiesta di transizione quanto meno l’indicazione di cui alla lettera b) deve cambiare le proprie caratteristiche, ad esempio passando a un segnale intermittente o assumendo un colore diverso.

Quando si utilizza un segnale intermittente, deve essere utilizzata una frequenza bassa, in maniera da non allertare in modo irragionevole il conducente.

Durante la fase di transizione e la manovra di minimizzazione del rischio, l’indicazione di cui alla lettera a) può essere sostituita dall’invito ad assumere il controllo del veicolo di cui al punto 6.4.3.

6.4.2.3.

Visualizzazione dello stato del sistema quando disattivato

Al momento della disattivazione, il passaggio del sistema dalla modalità attiva a quella disattivata deve essere segnalato al conducente almeno mediante un segnale di avvertimento ottico. Tale segnale ottico deve essere attuato disattivando il segnale ottico utilizzato per indicare la modalità attiva o l’invito ad assumere il controllo del veicolo.

Deve scattare inoltre un segnale di avvertimento acustico, a meno che il sistema non venga disattivato a seguito di una richiesta di transizione contenente un segnale acustico.

6.4.3.

Fase di transizione e manovra di minimizzazione del rischio

Durante la fase di transizione e la manovra di minimizzazione del rischio, il sistema deve istruire il conducente in maniera intuitiva e inequivocabile affinché assuma il comando manuale del veicolo. Tale istruzione deve comprendere una segnalazione grafica in cui si vedano le mani e il comando dello sterzo, eventualmente corredata di un testo esplicativo o di simboli di avvertimento aggiuntivi, come illustrato nell’esempio che segue.

6.4.3.2.

Con l’inizio della manovra di minimizzazione del rischio, il segnale fornito deve cambiare le sue caratteristiche per sottolineare l’urgenza di un’azione da parte del conducente, ad esempio facendo lampeggiare in rosso il disegno del comando dello sterzo e facendo muovere le mani della segnalazione grafica.

6.4.4.

Invece di quanto indicato in questi esempi, è comunque possibile utilizzare un tipo di interfaccia adeguato e parimenti percepibile per i segnali ottici. Tali soluzioni devono essere illustrate dal costruttore e corroborate da prove documentate. Al servizio tecnico spetta la valutazione conformemente all’allegato 4.

6.4.5.

Precedenza degli avvertimenti del sistema automatizzato di mantenimento della corsia

Gli avvertimenti del sistema automatizzato di mantenimento della corsia durante una fase di transizione, una manovra di minimizzazione del rischio o una manovra di emergenza possono avere la precedenza rispetto ad altri avvertimenti del veicolo.

La scala di priorità dei diversi avvertimenti acustici e ottici durante il funzionamento del sistema automatizzato di mantenimento della corsia deve essere dichiarata dal costruttore al servizio tecnico nell’ambito dell’omologazione.

7. RILEVAMENTO DI OGGETTI ED EVENTI E RELATIVA RISPOSTA

7.1.

Prescrizioni per il rilevamento

Il rispetto delle disposizioni del presente punto deve essere dimostrato dal costruttore al servizio tecnico nell’ambito dell’ispezione dell’approccio alla sicurezza nel contesto della valutazione di cui all’allegato 4 e in base alle prove del caso, di cui all’allegato 5.

Il veicolo dotato di sistema automatizzato di mantenimento della corsia deve essere provvisto di un sistema di rilevamento in grado quanto meno di definire l’ambiente di marcia (ad esempio la geometria della strada che si ha davanti e la segnaletica orizzontale di delimitazione delle corsie) e le dinamiche del traffico:

a)	lungo l’intera larghezza della sua corsia di traffico, l’intera larghezza delle corsie di traffico immediatamente alla sua sinistra e alla sua destra, fino al limite del raggio di rilevamento anteriore;

b)	lungo l’intera lunghezza del veicolo e fino al limite del raggio di rilevamento laterale.

Le prescrizioni di cui al presente punto non pregiudicano altre prescrizioni di cui al presente regolamento, in particolare quelle del punto 5.1.1.

7.1.1.

Raggio di rilevamento anteriore

Il costruttore deve dichiarare il raggio di rilevamento anteriore misurato dal punto più avanzato del veicolo. Tale valore dichiarato deve essere almeno pari a 46 metri.

Il servizio tecnico deve verificare che la distanza alla quale il sistema di rilevamento del veicolo rileva un utente della strada durante la prova pertinente di cui all’allegato 5 sia almeno pari al valore dichiarato.

7.1.2.

Raggio di rilevamento laterale

Il costruttore deve dichiarare il raggio di rilevamento laterale. Il raggio dichiarato deve essere sufficiente a coprire l’intera larghezza della corsia immediatamente a sinistra e della corsia immediatamente a destra del veicolo.

Il servizio tecnico deve verificare che il sistema di rilevamento del veicolo rilevi i veicoli durante la prova pertinente di cui all’allegato 5. Tale raggio deve essere uguale o superiore a quello dichiarato.

7.1.3.

Il sistema automatizzato di mantenimento della corsia deve attuare strategie per rilevare e compensare fattori ambientali che riducono il raggio di rilevamento, ad esempio impedire l’abilitazione del sistema, disabilitare il sistema e ritrasferire il comando al conducente, riducendo la velocità quando la visibilità è troppo bassa. Tali strategie devono essere descritte dal costruttore e valutate conformemente all’allegato 4.

7.1.4.

Il costruttore del veicolo deve dimostrare che gli effetti dell’usura e dell’invecchiamento non riducono le prestazioni del sistema di rilevamento al di sotto del valore minimo richiesto di cui al punto 7.1. per l’intera durata di vita del sistema/veicolo.

7.1.5.

Il rispetto delle disposizioni di cui al punto 7.1 e relativi commi deve essere dimostrato al servizio tecnico e verificato con le prove del caso, di cui all’allegato 5.

7.1.6.

Un singolo malfunzionamento della percezione in assenza di avaria non deve indurre eventi pericolosi. Le strategie di progettazione messe in atto devono essere descritte dal costruttore del veicolo e la loro sicurezza deve essere dimostrata in maniera soddisfacente per il servizio tecnico conformemente all’allegato 4.

8. SISTEMA DI ARCHIVIAZIONE DEI DATI PER LA GUIDA AUTOMATIZZATA

8.1.

Ogni veicolo dotato di sistema automatizzato di mantenimento della corsia (il «sistema») deve essere provvisto di un sistema di archiviazione dei dati per la guida automatizzata conforme alle prescrizioni che seguono. Il rispetto delle disposizioni del punto 8 deve essere dimostrato dal costruttore al servizio tecnico nell’ambito dell’ispezione dell’approccio alla sicurezza nel contesto della valutazione di cui all’allegato 4.

Il presente regolamento non pregiudica le normative nazionali e regionali che disciplinano l’accesso ai dati, la tutela della privacy e la protezione dei dati.

8.2.

Eventi registrati

8.2.1.

Dopo l’attivazione del sistema, ogni veicolo dotato di sistema di archiviazione dei dati per la guida automatizzata deve registrare almeno una voce per ciascuno dei seguenti eventi:

a)	attivazione del sistema;

disattivazione del sistema, dovuta a:

i)	utilizzo di mezzi appositi a disposizione del conducente per disattivare il sistema;

ii)	esclusione tramite comando dello sterzo;

iii)	esclusione per l’azionamento del comando dell’acceleratore mentre si controlla il comando dello sterzo;

iv)	esclusione per l’azionamento del freno mentre si controlla il comando dello sterzo;

richiesta di transizione da parte del sistema, dovuta a:

i)	evento pianificato;

ii)	evento non pianificato;

iii)	indisponibilità del conducente (conformemente al punto 6.1.3);

iv)	conducente non presente o con cintura di sicurezza non allacciata (conformemente al punto 6.1.2);

v)	avaria del sistema;

vi)	esclusione del sistema per l’azionamento del freno;

vii)	esclusione del sistema per l’azionamento del comando dell’acceleratore;

d)	riduzione o soppressione del comando impartito dal conducente;

e)	inizio di una manovra di emergenza;

f)	fine della manovra di emergenza;

g)	comando che fa scattare il registratore dei dati relativi agli eventi;

h)	coinvolgimento in una collisione rilevata;

i)	svolgimento della manovra di minimizzazione del rischio da parte del sistema;

j)	grave avaria del sistema automatizzato di mantenimento della corsia;

k)	grave avaria del veicolo.

8.3.

Elementi di dati

8.3.1.

Per ogni evento di cui al punto 8.2, il sistema di archiviazione dei dati per la guida automatizzata deve registrare in maniera chiaramente identificabile almeno i seguenti elementi di dati:

a)	il flag dell’evento, come indicato al punto 8.2;

b)	il motivo dell’evento, come appropriato, di cui al punto 8.2;

c)	la data (nel formato: aaaa/mm/gg);

la marcatura temporale:

i)	nel formato: hh/mm/ss fuso orario, ad es. 12:59:59 UTC;

ii)	con accuratezza di: +/- 1,0 s.

8.3.2.

Per ogni evento di cui al punto 8.2 deve essere chiaramente identificabile l’identificatore R157SWIN per il sistema automatizzato di mantenimento della corsia o le versioni software di tale sistema, indicante il software che era presente quando si è verificato l’evento.

8.3.3.

È possibile consentire una singola marcatura temporale per più elementi registrati contemporaneamente secondo il formato degli elementi di dati specifici. Se più di un elemento viene registrato con la medesima marcatura temporale, le informazioni dai singoli elementi devono indicarne l’ordine cronologico.

8.4.

Disponibilità dei dati

8.4.1.

I dati del sistema di archiviazione dei dati per la guida automatizzata devono essere disponibili secondo quanto prescritto dalla normativa nazionale e regionale. (3)

8.4.2.

Una volta raggiunti i limiti del sistema di archiviazione dei dati per la guida automatizzata, i dati esistenti devono essere sovrascritti esclusivamente secondo una logica di cancellazione dei dati di volta in volta più datati seguendo il principio del rispetto delle prescrizioni in merito alla disponibilità dei dati.

Il costruttore del veicolo deve fornire prove documentate riguardanti la capacità di archiviazione.

8.4.3.

I dati devono essere recuperabili anche in seguito a un impatto avente un livello di gravità stabilito dal regolamento UNECE n. 94, 95 o 137. Nel caso in cui non sia disponibile l’alimentazione principale del veicolo, deve essere comunque possibile recuperare tutti i dati registrati nel sistema di archiviazione dei dati per la guida automatizzata, come stabilito dalla normativa nazionale e regionale.

8.4.4.

I dati archiviati nel sistema di archiviazione dei dati per la guida automatizzata devono essere facilmente leggibili in maniera standardizzata ricorrendo all’uso di un’interfaccia di comunicazione elettronica, quanto meno attraverso l’interfaccia standard (porta OBD per la diagnostica di bordo).

8.4.5.

Il costruttore deve fornire istruzioni su come accedere ai dati.

8.5.

Protezione dalla manipolazione.

8.5.1.

Deve essere garantita un’adeguata protezione dalla manipolazione (cancellazione di dati ecc.) dei dati archiviati, prevedendo ad esempio un sistema antimanomissione.

8.6.

Disponibilità del sistema di archiviazione dei dati per la guida automatizzata

8.6.1.

Il sistema di archiviazione dei dati per la guida automatizzata deve essere in grado di comunicare con il sistema per informarlo che è operativo.

9. CIBERSICUREZZA E AGGIORNAMENTI DEL SOFTWARE

9.1.

L’efficienza del sistema non deve essere compromessa da attacchi informatici, minacce informatiche e vulnerabilità. L’efficacia delle misure di sicurezza deve essere dimostrata con la conformità al regolamento UNECE n. 155.

9.2.

Se il sistema consente aggiornamenti del software, l’efficacia delle procedure e dei processi di aggiornamento del software deve essere dimostrata con la conformità al regolamento UNECE n. 156.

9.3.

Prescrizioni per l’identificazione del software

9.3.1.

Per l’identificazione del software, il costruttore del veicolo può utilizzare un identificatore R157SWIN. Qualora non si ricorra all’R157SWIN è necessario un altro sistema di identificazione del software (versione del software).

9.3.2.

Se il costruttore utilizza l’R157SWIN vale quanto segue:

9.3.2.1.

il costruttore del veicolo deve disporre di un’omologazione valida ai sensi del regolamento UNECE n. 156 (regolamento sugli aggiornamenti dei software);

9.3.2.2.

il costruttore del veicolo deve fornire le seguenti informazioni nella scheda di notifica del presente regolamento:

a)	l’R157SWIN;

b)	modalità di lettura dell’R157SWIN o della/e versione/i del software qualora l’R157SWIN non sia salvato nel veicolo;

9.3.2.3.

nella scheda di notifica del presente regolamento il costruttore del veicolo può fornire un elenco dei parametri che consentono l’identificazione dei veicoli aggiornabili con il software rappresentato dall’R157SWIN. Le informazioni fornite, dichiarate dal costruttore del veicolo, possono non essere verificate da un’autorità di omologazione.

9.3.3.

Il costruttore del veicolo può ottenere una nuova omologazione per il veicolo al fine di differenziare le versioni del software utilizzate nei veicoli già immatricolati sul mercato dalle versioni del software utilizzate nei veicoli nuovi. Ciò può riguardare anche l’aggiornamento delle normative sull’omologazione o le modifiche dell’hardware dei veicoli prodotti in serie. In accordo con l’agenzia che effettua le prove, ove possibile, deve essere evitata la duplicazione di prove.

10. MODIFICHE DEL TIPO DI VEICOLO ED ESTENSIONI DELL’OMOLOGAZIONE

10.1.

Ogni modifica di un tipo di veicolo deve essere notificata all’autorità di omologazione che lo ha omologato.

Detta autorità deve quindi:

a)	decidere, dopo aver consultato il costruttore, che è necessario il rilascio di una nuova omologazione, oppure

b)	applicare la procedura di cui al punto 10.1.1 (revisione) e, ove applicabile, la procedura di cui al punto 10.1.2 (estensione).

10.1.1.

Revisione

A seguito della modifica di alcuni dati registrati nelle schede informative, se l’autorità di omologazione ritiene improbabile che le modifiche apportate abbiano determinato effetti negativi di rilievo, e considera pertanto i comandi a pedale ancora in possesso dei requisiti prescritti, la modifica è considerata una «revisione».

In tale caso, l’autorità di omologazione deve pubblicare le pagine debitamente riviste delle schede informative, indicando chiaramente per ciascuna di esse la natura della modifica e la data di ripubblicazione.

È considerata conforme a questa prescrizione una versione unificata e aggiornata delle schede informative, accompagnata da una descrizione dettagliata delle modifiche.

10.1.2.

Estensione

La modifica viene definita «estensione» se, oltre alla modifica dei dati registrati nelle schede informative,

a)	sono necessarie ulteriori ispezioni o prove; oppure

b)	sono state modificate informazioni figuranti nel documento di notifica (esclusi gli allegati); oppure

c)	viene chiesta l’omologazione aggiornata a una serie successiva di modifiche dopo la sua entrata in vigore.

10.2.

Della conferma o del rifiuto dell’omologazione, con indicazione della modifica avvenuta, deve essere data comunicazione alle parti contraenti dell’accordo che applicano il presente regolamento con la procedura di cui al punto 4.3. L’indice delle schede informative e dei verbali di prova allegati al documento di notifica dell’allegato 1 deve inoltre essere modificato di conseguenza per recare la data dell’ultima revisione o estensione.

10.3.

L’autorità competente che ha rilasciato l’estensione dell’omologazione deve assegnare un numero di serie a ogni scheda di notifica redatta per tale estensione.

11. CONFORMITÀ DELLA PRODUZIONE

11.1.

Le procedure relative alla conformità della produzione devono essere conformi a quelle definite nell’accordo del 1958, scheda 1 (E/ECE/TRANS/505/Rev.3) e rispettare le seguenti prescrizioni:

11.2.

i veicoli omologati ai sensi del presente regolamento devono essere fabbricati in modo da risultare conformi al tipo omologato, nel rispetto delle prescrizioni del presente regolamento;

11.3.

l’autorità di omologazione che ha rilasciato l’omologazione può in ogni momento verificare la conformità dei metodi di controllo applicabili a ciascuna unità produttiva. La frequenza normale di tali ispezioni è di una volta ogni due anni.

12. SANZIONI IN CASO DI NON CONFORMITÀ DELLA PRODUZIONE

12.1.

L’omologazione concessa per un tipo di veicolo a norma del presente regolamento può essere revocata qualora non vengano rispettate le prescrizioni di cui al punto 8.

12.2.

Se una parte contraente revoca un’omologazione da essa in precedenza rilasciata, deve informarne immediatamente le altre parti contraenti che applicano il presente regolamento mediante una scheda di notifica conforme al modello di cui all’allegato 1 del presente regolamento.

13. CESSAZIONE DEFINITIVA DELLA PRODUZIONE

13.1.

Se il titolare di un’omologazione cessa definitivamente la produzione di un tipo di veicolo omologato a norma del presente regolamento, ne informa l’autorità che ha rilasciato l’omologazione, che a sua volta informa le altre parti contraenti dell’accordo che applicano il presente regolamento mediante una scheda di notifica conforme al modello di cui all’allegato 1 del presente regolamento.

13.2.

La produzione non si considera cessata definitivamente qualora il costruttore del veicolo intenda ottenere ulteriori omologazioni per aggiornamenti software per veicoli già immatricolati presenti sul mercato.

14. NOMI E INDIRIZZI DEI SERVIZI TECNICI RESPONSABILI DELLE PROVE DI OMOLOGAZIONE E DELLE AUTORITÀ DI OMOLOGAZIONE

Le parti dell’accordo che applicano il presente regolamento devono comunicare al segretariato delle Nazioni Unite (4) i nomi e gli indirizzi dei servizi tecnici responsabili delle prove di omologazione nonché delle autorità che rilasciano le omologazioni e alle quali devono essere inviate le schede attestanti il rilascio, l’estensione, il rifiuto o la revoca dell’omologazione.

(3) Nota: sulla base di un recente studio quantitativo condotto da una parte contraente, il gruppo di lavoro sui veicoli automatizzati/autonomi e connessi (GRVA) sta considerando la possibilità che nel testo siano indicate varie specifiche di delle 2 500 marcature temporali corrispondenti a un periodo di utilizzo di 6 mesi.

(4) Attraverso la piattaforma online ("/343 Application") messa a disposizione dall’UNECE e dedicata allo scambio di tali informazioni: https://www.unece.org/trans/main/wp29/datasharing.html.

ALLEGATO 1

Notifica

[Formato massimo: A4 (210 × 297 mm)]

(1)

Emessa da:

Nome dell’amministrazione:

…

Relativa a (2):

rilascio dell’omologazione

estensione dell’omologazione

rifiuto dell’omologazione

revoca dell’omologazione

cessazione definitiva della produzione

di un tipo di veicolo in relazione al sistema automatizzato di mantenimento della corsia a norma del regolamento UNECE n. 157

Omologazione n. …

Motivo dell’estensione o della revisione: …

Denominazione commerciale o marchio del veicolo: …

Tipo di veicolo: …

Nome e indirizzo del costruttore: …

Nome e indirizzo dell’eventuale mandatario del costruttore: …

Caratteristiche costruttive generali del veicolo:

5.1.

Fotografie e/o disegni di un veicolo rappresentativo: …

Descrizione e/o disegno del sistema automatizzato di mantenimento della corsia comprendente:

6.1.

Velocità massima indicata del sistema automatizzato di mantenimento della corsia secondo quanto dichiarato dal costruttore: …

6.2

Sistema di rilevamento (inclusi i componenti): …

6.3.

Installazione del sistema di rilevamento del sistema automatizzato di mantenimento della corsia: …

6.4.

Identificazione del software del sistema automatizzato di mantenimento della corsia (se del caso): …

Descrizione scritta e/o disegno dell’interfaccia uomo-macchina del sistema automatizzato di mantenimento della corsia comprendente:

7.1.

Metodi per rilevare la disponibilità del conducente …

7.2.

Mezzi per attivare, disattivare ed escludere il sistema …

7.3.

Metodi per stabilire l’attenzione del conducente …

7.4.

Eventuali limitazioni del sistema dovute a fattori ambientali o stradali…

Descrizione scritta e/o disegno delle informazioni fornite al conducente, tra cui:

8.1.

Stato del sistema: …

8.2.

Richiesta di transizione: …

8.3.

Manovra di minimizzazione del rischio: …

8.4.

Manovra di emergenza: …

Sistema di archiviazione dei dati per la guida automatizzata:

9.1.

Prestazioni del sistema di archiviazione dei dati per la guida automatizzata verificate dopo le prove eseguite conformemente all’allegato 5: …sì/no

9.2.

Verifica della documentazione del sistema di archiviazione dei dati per la guida automatizzata relativa alla recuperabilità dei dati, all’autocontrollo dell’integrità dei dati e alla protezione dalla manipolazione dei dati archiviati: sì/no

10.

Cibersicurezza e aggiornamenti del software

10.1.

Numero di omologazione per la cibersicurezza (se del caso): …

10.2.

Numero di omologazione dell’aggiornamento del software (se del caso): …

11.

Prescrizioni speciali riguardanti gli aspetti connessi alla sicurezza dei sistemi di controllo elettronico (allegato 4)

11.1.

Riferimento ai documenti del costruttore per l’allegato 4 (compreso il numero di versione): …

11.2.

Modulo della scheda informativa (appendice 2 dell’allegato 4) …

12.

Servizio tecnico incaricato di eseguire le prove di omologazione: …

12.1.

Data del verbale rilasciato da tale servizio: …

12.2.

(Riferimento) Numero del verbale rilasciato da tale servizio: …

13.

Omologazione rilasciata/estesa/riveduta/rifiutata/revocata2:

14.

Posizione del marchio di omologazione: …

15.

Luogo: …

16.

Data: …

17.

Firma: …

18.

Si allega alla presente notifica un elenco dei documenti del fascicolo di omologazione depositato presso i servizi amministrativi che hanno rilasciato l’omologazione. Tali documenti sono disponibili su richiesta.

Informazioni aggiuntive

19.

R157SWIN: …

19.1.

Informazioni sulle modalità di lettura dell’R157SWIN o delle versioni del software nel caso in cui l’R157SWIN non sia salvato nel veicolo: …

19.2.

Se del caso, elenco dei parametri che consentono l’identificazione dei veicoli aggiornabili con il software rappresentato dall’R157SWIN di cui al punto 19.1: …

(1) Numero distintivo del paese che ha rilasciato/esteso/rifiutato/revocato l’omologazione (cfr. disposizioni sull’omologazione contenute nel regolamento UNECE n. 157).

(2) Cancellare quanto non pertinente.

Appendice

Addendum alla comunicazione di omologazione n. ... concernente l’omologazione di un tipo di veicolo per quanto riguarda il sistema automatizzato di mantenimento della corsia a norma del regolamento UNECE n. 157

Informazioni aggiuntive

Stati contraenti in cui il sistema automatizzato di mantenimento della corsia è risultato conforme al codice della strada vigente in base a quanto dichiarato dal costruttore del veicolo

Paese	Valutato	Osservazioni in merito ad eventuali restrizioni
E 1 Germania	Sì/No
E 2 Francia
E 3 Italia
E 4 Paesi Bassi
E 5 Svezia
E 6 Belgio
E 7 Ungheria
E 8 Cechia
E 9 Spagna
E 10 Serbia
E 11 Regno Unito
E 12 Austria
E 13 Lussemburgo
E 14 Svizzera
E 16 Norvegia
E 17 Finlandia
E 18 Danimarca
E 19 Romania
E 20 Polonia
E 21 Portogallo
E 22 Federazione russa
E 23 Grecia
E 24 Irlanda
E 25 Croazia
E 26 Slovenia
E 27 Slovacchia
E 28 Bielorussia
E 29 Estonia
E 30 Repubblica di Moldova
E 31 Bosnia-Erzegovina
E 32 Lettonia
E 34 Bulgaria
E 35 Kazakhstan
E 36 Lituania
E 37 Turchia
E 39 Azerbaigian
E 40 Macedonia del Nord
E 43 Giappone
E 45 Australia
E 46 Ucraina
E 47 Sud Africa
E 48 Nuova Zelanda
E 49 Cipro
E 50 Malta
E 51 Repubblica di Corea
E 52 Malaysia
E 53 Thailandia
E 54 Albania E 55 Armenia
E 56 Montenegro
E 57 San Marino
E 58 Tunisia
E 60 Georgia
E 62 Egitto
E 63 Nigeria
[E 64 Pakistan]
(*)

(*) L’elenco delle parti contraenti che applicano il regolamento UNECE n. 157 è disponibile online: https://treaties.un.org/Pages/ViewDetails.aspx?src=TREATY&mtdsg_no=XI-B-16-15[X]&chapter=11&clang=_en.

ALLEGATO 2

Esempi di marchi di omologazione

MODELLO A

(cfr. punto 4.4 del presente regolamento)

a = 8 mm min.

Il marchio di omologazione sopra riportato, apposto su un veicolo, indica che il tipo di veicolo in questione, con riferimento al sistema automatizzato di mantenimento della corsia, è stato omologato nei Paesi Bassi (E 4) a norma del regolamento UNECE n. 157 con il numero di omologazione 002439. Il numero di omologazione indica che l’omologazione è stata rilasciata conformemente alle prescrizioni del regolamento UNECE n. 157 nella sua versione originale.

MODELLO B

(cfr. punto 4.5 del presente regolamento)

a = 8 mm min.

Il marchio di omologazione sopra riportato, apposto su un veicolo, indica che il tipo di veicolo in questione è stato omologato nei Paesi Bassi (E 4) a norma dei regolamenti UNECE n. 157 e 31 (1). Le cifre del numero di omologazione indicano che, alle date di rilascio delle rispettive omologazioni, il regolamento UNECE n. 157 era nella sua versione originale e il regolamento UNECE n. 31 comprendeva la serie di modifiche 02.

(1) Il secondo numero è riportato a mero titolo di esempio.

ALLEGATO 3

(Riservato)

ALLEGATO 4

Prescrizioni speciali riguardanti gli aspetti connessi alla sicurezza funzionale e operativa dei sistemi automatizzati di mantenimento della corsia

1. ASPETTI GENERALI

Il presente allegato mira a fare in modo che durante i processi di progettazione e sviluppo il costruttore tenga in considerazione, in maniera accettabilmente approfondita, la sicurezza funzionale e operativa del sistema automatizzato di mantenimento della corsia che offre le funzioni regolamentate del regolamento dedicato a tale sistema e che ciò continuerà ad applicarsi durante il ciclo di vita del tipo di veicolo (progettazione, sviluppo, produzione, utilizzo, smantellamento).

Riguarda la documentazione che, ai fini dell’omologazione, deve essere trasmessa dal costruttore all’autorità di omologazione o al servizio tecnico che agisce per suo conto (di seguito denominata autorità di omologazione).

Tale documentazione deve dimostrare che il sistema automatizzato di mantenimento della corsia soddisfa le prescrizioni sulle prestazioni di cui al presente regolamento UNECE e che è progettato e sviluppato per funzionare in maniera da non comportare rischi irragionevoli per la sicurezza del conducente, dei passeggeri e di altri utenti della strada.

L’autorità di omologazione che concede l’omologazione deve verificare mediante controlli e prove mirate a campione che l’argomentazione fornita dalla documentazione sia sufficientemente solida e che il progetto e i processi descritti nella documentazione siano effettivamente attuati dal costruttore.

Anche se, sulla base della documentazione fornita, delle prove e di verifiche di processo/valutazioni del prodotto svolte in maniera soddisfacente per l’autorità di omologazione in relazione al presente regolamento, il livello di rischio residuo del sistema automatizzato di mantenimento della corsia valutato viene ritenuto accettabile per l’entrata in servizio del tipo di veicolo, della sicurezza complessiva del veicolo durante il ciclo di vita del sistema automatizzato di mantenimento della corsia conformemente alle prescrizioni del presente regolamento resta responsabile il costruttore che richiede l’omologazione.

2. DEFINIZIONI

Ai fini del presente allegato, si applicano le definizioni seguenti:

2.1.

«sistema»: un sistema di «controllo elettronico di livello superiore» che, con i relativi sistemi di controllo elettronico, espleta la funzione di guida automatizzata. Ciò comprende anche eventuali collegamenti di trasmissione verso o da altri sistemi che esulano dall’ambito di applicazione del presente regolamento, che riguarda la funzione di mantenimento automatizzato della corsia;

2.2.

«principio di sicurezza»: descrizione delle misure incorporate nel sistema, ad esempio nelle centraline elettroniche, affinché il veicolo funzioni in maniera da non comportare rischi irragionevoli per la sicurezza del conducente, dei passeggeri e di altri utenti della strada tanto in presenza di guasti quanto in condizioni normali. La possibilità di ripiegare su un funzionamento parziale o su un sistema di riserva per le funzioni vitali del veicolo può far parte del principio di sicurezza;

2.3.

2.4.

sistemi di «controllo elettronico di livello superiore»: sistemi che utilizzano soluzioni di elaborazione e/o rilevamento per svolgere l’attività di guida dinamica;

2.5.

«unità»: le suddivisioni più piccole dei componenti del sistema che saranno prese in considerazione nel presente allegato, visto che tali combinazioni di componenti saranno considerate entità singole ai fini della loro identificazione, analisi o sostituzione;

2.6.

«collegamenti di trasmissione»: mezzi utilizzati per collegare tra loro unità distribuite ai fini della trasmissione di segnali e dati operativi o della fornitura di energia. Questi dispositivi di norma sono elettrici, ma possono essere in alcune parti meccanici, pneumatici o idraulici;

2.7.

«campo di controllo»: variabile di uscita che definisce il campo in cui è probabile che il sistema eserciti il proprio controllo;

2.8.

«limiti di funzionamento»: limiti fisici esterni all’interno dei quali il sistema è in grado di esercitare le attività di guida dinamica (incluse le richieste di transizione e le manovre di minimizzazione del rischio);

2.9.

«ambito di impiego previsto (ODD, operational design domain)» del sistema automatizzato di mantenimento della corsia: definizione delle condizioni operative specifiche (ad esempio fattori ambientali, geografici, orario, traffico, infrastrutture, intervallo di velocità, condizioni meteorologiche e di altro tipo), entro i limiti fissati dal presente regolamento, in base alle quali il sistema automatizzato di mantenimento della corsia è progettato per funzionare senza alcun intervento da parte del conducente;

2.10.

«funzione di guida automatizzata»: funzione del «sistema» in grado di esercitare le attività di guida dinamica del veicolo;

2.11.

«strategia di controllo»: strategia volta a garantire un funzionamento corretto e sicuro delle funzioni del «sistema» in risposta a una serie specifica di fattori ambientali e/o operativi (quali le condizioni del fondo stradale, l’intensità del traffico e la presenza di altri utenti della strada, condizioni meteorologiche avverse ecc.). Possono rientrare in tale strategia la disattivazione automatica di una funzione o limitazioni temporanee delle prestazioni (riduzione della velocità massima di funzionamento ecc.);

2.12.

«sicurezza funzionale»: assenza di rischi irragionevoli qualora si verifichino pericoli causati da un malfunzionamento di sistemi elettrici/elettronici (rischi per la sicurezza derivanti da guasti del sistema);

2.13.

«guasto»: condizione anomala che può causare il guasto di un elemento (sistema, componente, software) o di un insieme (sistema o combinazione di sistemi che attuano una funzione di un veicolo);

2.14.

«avaria»: la cessazione di un comportamento previsto di un elemento o un insieme;

2.15.

«sicurezza operativa»: l’assenza di rischi irragionevoli qualora si verifichino pericoli derivanti da insufficienze funzionali della funzionalità prevista (ad esempio errato/mancato rilevamento), perturbazioni operative (fattori ambientali quali nebbia o pioggia, ombre, luce solare, infrastrutture ecc.) o causati da un uso improprio/errori ragionevolmente prevedibili da parte del conducente, dei passeggeri e di altri utenti della strada (pericoli per la sicurezza in assenza di guasti del sistema);

2.16.

«rischio irragionevole»: livello complessivo di rischio per il conducente, gli occupanti del veicolo e gli altri utenti della strada superiore rispetto a quello di un veicolo guidato manualmente con competenza e attenzione.

3. DOCUMENTAZIONE

3.1.

Prescrizioni

Il costruttore deve consegnare un fascicolo di documentazione che illustri le caratteristiche progettuali principali del «sistema» e il modo in cui esso è collegato agli altri sistemi del veicolo o con cui controlla direttamente le variabili di uscita.

La documentazione deve spiegare la funzione o le funzioni del «sistema», comprese le strategie di controllo, e il principio di sicurezza definiti dal costruttore.

La documentazione deve essere sintetica ma deve contenere dati oggettivi che dimostrino che nella progettazione e nello sviluppo sono state applicate conoscenze tecniche specialistiche in tutti gli ambiti interessati.

Per i controlli tecnici periodici, la documentazione deve descrivere le modalità di controllo dello stato operativo del «sistema».

Devono essere fornite informazioni sulle modalità di lettura della versione o delle versioni del software e dello stato del segnale di avaria in maniera standardizzata mediante un’interfaccia di comunicazione elettronica, perlomeno mediante l’interfaccia standard (porta OBD).

L’autorità di omologazione deve valutare il fascicolo di documentazione per accertarsi che il «sistema»:

a)	sia stato progettato e sviluppato per funzionare in maniera da non comportare rischi irragionevoli per il conducente, i passeggeri e gli altri utenti della strada nei limiti e nell’ambito di impiego previsto, quali dichiarati;

b)	rispetti le prescrizioni sulle prestazioni riportate in altri passi del presente regolamento UNECE;

c)	sia stato sviluppato secondo il processo/metodo di sviluppo dichiarato dal costruttore, comprendente quanto meno i passaggi indicati al punto 3.4.4.

3.1.1.

La documentazione deve essere formata da tre parti:

a)	domanda di omologazione: la scheda informativa presentata all’autorità di omologazione al momento della domanda di omologazione deve contenere brevi informazioni sulle voci di cui all’appendice 2. Diventerà parte dell’omologazione;

fascicolo di documentazione ufficiale per l’omologazione, contenente il materiale indicato al presente punto 3 (ad eccezione di quello di cui al punto 3.4.4), che deve essere fornito all’autorità di omologazione al fine di consentire la valutazione del prodotto e/o la verifica dei processi. Tale fascicolo deve costituire, per l’autorità di omologazione, il riferimento per le verifiche di cui al punto 4 del presente allegato. L’autorità di omologazione deve fare in modo che tale fascicolo di documentazione resti disponibile per un determinato periodo di almeno 10 anni a partire dalla data di cessazione definitiva della produzione del tipo di veicolo;

materiali riservati ulteriori e dati di analisi (proprietà intellettuale) di cui al punto 3.4.4, che devono essere conservati dal costruttore ma resi consultabili per l’ispezione (ad esempio in loco presso le strutture di ingegnerizzazione del costruttore) al momento della valutazione del prodotto/della verifica dei processi. Il costruttore deve garantire che il materiale e i dati analitici in questione restino disponibili per un periodo di 10 anni a partire dalla data di cessazione definitiva della produzione del tipo di veicolo.

3.2.

Descrizione delle funzioni del «sistema» e delle relative strategie di controllo

Deve essere fornita una descrizione che illustri in modo semplice tutte le funzioni, fra cui le strategie di controllo del «sistema» e i metodi impiegati per esercitare le attività di guida dinamica nell’ambito di impiego previsto e all’interno delle limitazioni entro le quali il sistema automatizzato di mantenimento della corsia è progettato per funzionare, compresa una dichiarazione dei meccanismi mediante i quali viene esercitato il controllo. Il costruttore deve descrivere le interazioni previste tra il sistema e il conducente, gli occupanti del veicolo e gli altri utenti della strada, nonché l’interfaccia uomo-macchina (HMI).

Prima del loro utilizzo a bordo del veicolo, devono essere dichiarate tutte le funzioni di guida automatizzata abilitate o disabilitate per le quali al momento della produzione sono presenti a bordo del veicolo hardware e software, che sono soggette alle prescrizioni del presente allegato. Il costruttore deve inoltre documentare l’elaborazione dei dati qualora utilizzi algoritmi di apprendimento continuo.

3.2.1.

Deve essere fornito un elenco di tutte le variabili di ingresso e delle variabili rilevate e deve essere definito l’intervallo di lavoro delle stesse, unitamente a una descrizione delle modalità con cui ciascuna variabile influenza il comportamento del sistema.

3.2.2.

Deve essere fornito l’elenco di tutte le variabili di uscita controllate dal «sistema» e deve essere spiegato per ogni variabile se il controllo è attuato direttamente o attraverso un altro sistema del veicolo. Per ognuna di queste variabili deve essere stabilito il campo di controllo (punto 2.7).

3.2.3.

Devono essere indicati i limiti di funzionamento, compresi quelli dell’ambito di impiego previsto, che hanno rilevanza ai fini delle prestazioni del sistema automatizzato di mantenimento della corsia.

3.2.4.

Deve essere spiegato il concetto di interazione con il conducente quando vengono raggiunti i limiti dell’ambito di impiego previsto, incluso l’elenco dei tipi di situazioni nelle quali il sistema genererà una richiesta di transizione per il conducente.

3.2.5.

Devono essere fornite informazioni sui mezzi per attivare, escludere o disattivare il sistema, nonché sulla strategia per proteggere il sistema da disattivazioni involontarie. Fra queste, anche informazioni sulle modalità con cui il sistema rileva che il conducente è disponibile per assumere il controllo della guida, unitamente a specifiche e prove documentate del parametro utilizzato per individuare l’attenzione del conducente e l’influsso sulle soglie di sterzata.

3.3.

Configurazione e schemi del sistema

3.3.1.

Inventario dei componenti

Deve essere fornito un elenco di tutte le unità del «sistema», con l’indicazione degli altri sistemi del veicolo necessari per l’attuazione della funzione di comando in questione.

Deve essere consegnato uno schema che mostri la combinazione delle varie unità e spieghi chiaramente la distribuzione dei componenti e le relative interconnessioni.

Tale schema deve comprendere:

a)	la percezione e il rilevamento di oggetti, mappatura e posizionamento compresi;

b)	la caratterizzazione del processo decisionale;

c)	la supervisione remota e il monitoraggio remoto da parte di un centro di supervisione remoto (se del caso);

d)	il sistema di archiviazione dei dati (sistema di archiviazione dei dati per la guida automatizzata).

3.3.2.

Funzioni delle unità

Deve essere indicata la funzione di ciascuna unità del «sistema» e devono essere illustrati i segnali che la collegano ad altre unità o a ad altri sistemi del veicolo. È possibile usare una presentazione sotto forma di schema a blocchi con spiegazioni o altro tipo di schema, oppure una descrizione accompagnata da uno schema di tale tipo.

3.3.3.

Le interconnessioni all’interno del «sistema» devono essere indicate mediante uno schema elettrico per i collegamenti di trasmissione elettrici, uno schema idraulico per i collegamenti di trasmissione pneumatici o idraulici e una rappresentazione schematica semplificata per i collegamenti meccanici. Devono essere visibili anche i collegamenti di trasmissione da e verso altri sistemi.

3.3.4.

Deve esserci una corrispondenza chiara tra i collegamenti di trasmissione e i segnali veicolati tra le unità. Devono essere indicate le priorità dei segnali su percorsi molteplici di dati qualora possano influire sulle prestazioni o sulla sicurezza.

3.3.5.

Identificazione delle unità

Ciascuna unità deve poter essere identificata in modo chiaro e univoco (ad esempio con una marcatura per l’hardware e una marcatura o un segnale software di uscita per il contenuto software), in modo che l’hardware sia associato alla relativa documentazione. Laddove sia possibile modificare la versione del software senza che ciò richieda la sostituzione della marcatura o del componente, l’identificazione del software deve avvenire soltanto tramite un segnale di uscita del software.

Se le funzioni sono combinate all’interno di un’unica unità o all’interno di un unico computer, ma mostrate in blocchi multipli nello schema a blocchi, per chiarezza e semplicità esplicativa deve essere usata un’unica marcatura di identificazione dell’hardware. Il costruttore deve certificare con questa identificazione che l’apparecchio è conforme alle prescrizioni del documento corrispondente.

3.3.5.1.

La marcatura di identificazione definisce la versione dell’hardware e del software. Se la versione cambia e di conseguenza si modifica la funzione dell’unità ai fini dell’applicazione del presente regolamento, anche la marcatura di identificazione deve essere modificata.

3.3.6.

Installazione dei componenti del sistema di rilevamento

Il costruttore deve fornire informazioni in merito alle modalità di installazione che verranno impiegate per i singoli componenti che formano il sistema di rilevamento. Tali modalità devono comprendere, a titolo esemplificativo ma non esaustivo, la posizione del componente nel/sul veicolo, i materiali che circondano il componente, il dimensionamento e la geometria del materiale che circonda il componente e la finitura superficiale dei materiali circostanti il componente, una volta installato nel veicolo. Le informazioni devono comprendere anche le specifiche di installazione fondamentali per le prestazioni del sistema, ad esempio le tolleranze relative all’angolo di installazione.

Eventuali modifiche ai singoli componenti del sistema di rilevamento o alle modalità di installazione devono essere notificate all’autorità di omologazione e fatte oggetto di un’ulteriore valutazione.

3.4.

Principio di sicurezza del costruttore

3.4.1.

Il costruttore deve fornire una dichiarazione nella quale afferma che il «sistema» non comporta rischi irragionevoli per il conducente, i passeggeri e gli altri utenti della strada.

3.4.2.

Per il software utilizzato nel «sistema», il costruttore deve spiegare l’architettura di massima e definire i metodi e gli strumenti di progettazione utilizzati (cfr. 3.5.1). Il costruttore deve indicare, fornendo dati oggettivi, in che modo è stata realizzata la logica del sistema in fase di progettazione e sviluppo.

3.4.3.

Il costruttore deve fornire all’autorità di omologazione una spiegazione dei criteri progettuali applicati nel «sistema» per garantirne la sicurezza funzionale e operativa. Tali criteri possono essere ad esempio:

a)	ripiego su un funzionamento basato sull’utilizzo parziale del sistema;

b)	ridondanza con un sistema separato;

c)	neutralizzazione della funzione o delle funzioni di guida automatizzata.

3.4.3.1.

Se il criterio scelto prevede una modalità di funzionamento a prestazioni parziali in determinate condizioni di guasto (ad esempio in caso di gravi avarie), tali condizioni (ad esempio di grave avaria) devono essere dichiarate, e devono essere definiti i limiti risultanti in termini di efficacia (ad esempio l’avvio immediato di una manovra di minimizzazione del rischio), così come la strategia di avvertimento nei confronti del conducente.

3.4.3.2.

Se il criterio scelto prevede il passaggio a un secondo sistema (di riserva) per l’esercizio dell’attività di guida dinamica, devono essere spiegati i principi del meccanismo di passaggio al sistema di riserva, la logica e il livello di ridondanza e tutti gli eventuali elementi di controllo di riserva e devono essere definiti i limiti di efficienza che ne risultano.

3.4.3.3.

Se il criterio scelto prevede la neutralizzazione della funzione di guida automatizzata, tale operazione deve essere attuata nel rispetto delle disposizioni del presente regolamento. Tutti i segnali di controllo in uscita associati a questa funzione devono essere inibiti.

3.4.4.

La documentazione deve essere corroborata da un’analisi che dimostri, in termini generali, in che modo si comporterà il sistema per attenuare o evitare pericoli che possono avere ripercussioni sulla sicurezza del conducente, dei passeggeri e degli altri utenti della strada.

Il metodo o i metodi scelti per l’analisi devono essere stabiliti e aggiornati dal costruttore e messi a disposizione dell’autorità di omologazione per i controlli del caso al momento dell’omologazione.

L’autorità di omologazione deve effettuare una valutazione dell’applicazione degli approcci analitici mediante:

a)	un esame dell’approccio alla sicurezza a livello di principio (veicolo). Tale approccio deve basarsi su un’analisi adeguata dei rischi/pericoli per la sicurezza del sistema;

un esame dell’approccio alla sicurezza a livello di sistema, compreso un approccio dall’alto verso il basso (dal possibile rischio al progetto) e dal basso verso l’alto (dal progetto ai pericoli possibili). Tale approccio alla sicurezza deve basarsi su un’analisi FMEA (Failure Mode and Effect Analysis), un’analisi FTA (Fault Tree Analysis) e un’analisi STPA (System-Theoretic Process Analysis), oppure su un procedimento analogo adeguato per quanto concerne gli aspetti connessi alla sicurezza funzionale e operativa del sistema;

un esame dei piani e dei risultati di convalida/verifica con criteri di accettazione appropriati. Rientrano in tale contesto prove di convalida adeguate ai fini della convalida, ad esempio prove secondo il metodo HIL (Hardware in the Loop), prove di funzionamento su strada del veicolo, prove con utenti finali reali o qualsiasi altra prova adeguata ai fini della convalida/verifica. I risultati della convalida e della verifica possono essere valutati analizzando lo spettro delle diverse prove e definendo soglie minime di copertura per varie metriche.

Tale esame deve confermare che almeno ciascuna delle seguenti voci è contemplata, ove applicabile, ai sensi delle lettere da a) a c):

i)	questioni legate alle interazioni con altri sistemi del veicolo (impianto freni, sistema dello sterzo ecc.);

ii)	avarie del sistema automatizzato di mantenimento della corsia e reazioni di attenuazione dei rischi di sistema;

iii)

situazioni nell’ambito di impiego previsto nelle quali un sistema può comportare rischi irragionevoli per la sicurezza del conducente, dei passeggeri e degli altri utenti della strada a causa di perturbazioni operative (mancata o errata comprensione dell’ambiente del veicolo, mancata comprensione della reazione da parte del conducente, del passeggero o di altri utenti della strada, controllo inadeguato, scenari difficili e così via);

iv)	individuazione degli scenari del caso nell’ambito delle condizioni limite, metodo di gestione utilizzato per selezionare gli scenari e strumento di convalida scelto;

v)	processo decisionale a monte dell’attività di guida dinamica (ad esempio per le manovre di emergenza), tenendo conto dell’interazione con gli altri utenti della strada, nel rispetto del codice della strada;

vi)

uso improprio da parte del conducente ragionevolmente prevedibile (ad esempio sistema di riconoscimento della disponibilità del conducente e spiegazione sulle modalità di definizione dei criteri di disponibilità), errori o incomprensioni da parte del conducente (ad esempio esclusione involontaria) e manomissione intenzionale del sistema;

vii)	attacchi informatici aventi ripercussioni sulla sicurezza del veicolo (eventualmente mediante analisi, effettuata ai sensi del regolamento UNECE n. 155, della cibersicurezza e del relativo sistema di gestione).

La valutazione da parte dell’autorità di omologazione deve consistere in controlli a campione di pericoli selezionati (o minacce informatiche selezionate) al fine di stabilire che l’argomentazione a sostegno del principio di sicurezza sia comprensibile e logica ed attuata nelle diverse funzioni dei sistemi. Con la valutazione si deve inoltre controllare che i piani di convalida siano sufficienti a dimostrare la sicurezza del sistema (ad esempio gamma ragionevole di prove di scenari selezionati dallo strumento di convalida scelto) e che siano stati applicati integralmente.

Si deve dimostrare che il veicolo non presenta rischi irragionevoli per il conducente, gli occupanti e gli altri utenti della strada nell’ambito di impiego previsto mediante:

un obiettivo di convalida generale (criteri di accettazione della convalida) corroborato dai risultati di convalida, a dimostrazione del fatto che l’entrata in servizio del sistema automatizzato di mantenimento della corsia nel complesso non aumenterà il livello di rischio per il conducente, gli occupanti del veicolo e gli altri utenti della strada rispetto ai veicoli guidati manualmente; e

b)	un approccio specifico per scenari che mostri che il sistema nel complesso non aumenterà il livello di rischio per il conducente, i passeggeri e gli altri utenti della strada rispetto ai veicoli guidati manualmente per ciascuno degli scenari aventi rilievo per la sicurezza; e

l’autorità di omologazione deve eseguire o richiedere l’esecuzione delle prove di cui al punto 4, tese a verificare il principio di sicurezza adottato.

3.4.4.1.

Nella documentazione devono essere indicati in dettaglio i parametri monitorati e deve essere definito, per ciascuna condizione di avaria di cui al punto 3.4.4 del presente allegato, il segnale di avvertimento per il conducente, gli occupanti del veicolo, gli altri utenti della strada e/o il personale incaricato della manutenzione o dei controlli tecnici periodici.

3.4.4.2.

Nella documentazione devono essere altresì descritte le misure attuate per fare in modo che il «sistema» non comporti rischi irragionevoli per il conducente, gli occupanti del veicolo e gli altri utenti della strada quando sulla sua efficienza influiscono fattori ambientali come il clima, la temperatura, l’ingresso di polvere, l’infiltrazione d’acqua, la presenza di ghiaccio ecc.

3.5.

Sistema di gestione della sicurezza (verifica dei processi)

3.5.1.

Per quanto riguarda il software e l’hardware utilizzati nel «sistema», il costruttore deve dimostrare all’autorità di omologazione, con un sistema di gestione della sicurezza, che sono attuati processi, metodologie e strumenti efficaci, aggiornati e seguiti all’interno dell’organizzazione per gestire la sicurezza e la conformità continua per tutto il ciclo di vita del prodotto (progettazione, sviluppo, produzione, funzionamento, rispetto del codice della strada, smantellamento).

3.5.2.

Il processo di progettazione e sviluppo deve essere stabilito includendo il sistema di gestione della sicurezza, la gestione e implementazione di quanto prescritto, le prove, il tracciamento delle avarie, i rimedi e il rilascio.

3.5.3.

Il costruttore deve istituire e mantenere canali di comunicazione efficaci tra i suoi reparti competenti per la sicurezza funzionale/operativa, la cibersicurezza e qualsiasi altra disciplina relativa alla sicurezza del veicolo.

3.5.4.

Il costruttore deve disporre di processi per monitorare incidenti/urti/collisioni rilevanti ai fini della sicurezza causati dal sistema automatizzato di mantenimento della corsia attivo e di un processo per gestire potenziali lacune concernenti la sicurezza rilevate successivamente all’immatricolazione (circuito chiuso di monitoraggio sul campo) e per aggiornare i veicoli. Nel caso che si verifichino, deve segnalare gli incidenti critici (ad esempio collisioni con altri utenti della strada e potenziali lacune concernenti la sicurezza) alle autorità di omologazione.

3.5.5.

Il costruttore deve dimostrare che vengono effettuate verifiche periodiche indipendenti dei processi interni per garantire che i processi stabiliti conformemente ai punti da 3.5.1 a 3.5.4. siano implementati in maniera coerente.

3.5.6.

I costruttori devono concludere accordi adeguati (ad esempio accordi contrattuali, interfacce chiare, sistema di gestione della qualità) con i fornitori per fare sì che il sistema di gestione della sicurezza del fornitore sia conforme alle prescrizioni di cui ai punti 3.5.1 (ad eccezione di aspetti relativi al veicolo quali «funzionamento» e «disattivazione»), 3.5.2, 3.5.3 e 3.5.5.

4. VERIFICHE E PROVE

4.1.

Il funzionamento del «sistema», definito nei documenti prescritti ai sensi del punto 3, deve essere sottoposto alle prove seguenti.

4.1.1.

Verifica della funzionalità del «sistema»

L’autorità di omologazione deve verificare «il sistema» in assenza di avarie sottoponendo a prova su un tracciato una serie di funzioni selezionate tra quelle descritte dal costruttore al punto 3.2 e controllando il comportamento complessivo del sistema in condizioni di guida reali, compreso il rispetto del codice della strada.

Tali prove devono prevedere scenari tramite i quali il sistema viene escluso dal conducente.

Per le prove conformemente al presente allegato occorre tenere conto delle prove già effettuate di cui all’allegato 5 del presente regolamento.

4.1.1.1.

I risultati della verifica devono corrispondere alla descrizione, anche per quanto riguarda le strategie di controllo, fornita dal costruttore al punto 3.2 e devono soddisfare le prescrizioni del presente regolamento.

4.1.2.

Verifica del principio di sicurezza di cui al punto 3.4

La reazione del «sistema» deve essere controllata in condizioni di guasto di una qualsiasi unità singola inviando alle unità elettriche o agli elementi meccanici i segnali di uscita corrispondenti, in modo da simulare gli effetti di avarie all’interno dell’unità. L’autorità di omologazione deve effettuare tale controllo per almeno un’unità singola, ma non deve controllare la reazione del «sistema» ad avarie multiple simultanee di unità singole.

L’autorità di omologazione deve verificare che tali prove riguardino anche aspetti che possono avere un influsso sulla manovrabilità del veicolo e sulle informazioni per l’utente (aspetti relativi all’interfaccia uomo-macchina, ad esempio scenari di transizione).

4.1.2.1.

Le autorità di omologazione devono altresì controllare una serie di scenari critici per il rilevamento di oggetti ed eventi e la relativa risposta, nonché la caratterizzazione delle funzioni decisionali e di interfaccia uomo-macchina del sistema (oggetti difficili da rilevare quando il sistema raggiunge le limitazioni dell’ambito di impiego, scenari di perturbazione del traffico ecc.), di cui al regolamento.

4.1.2.2.

I risultati della verifica devono corrispondere al riassunto documentato dell’analisi del rischio, a un livello di effetto generale che permetta di confermare l’adeguatezza del principio di sicurezza e della relativa attuazione e il rispetto delle prescrizioni del presente regolamento.

4.2.

Per la verifica del principio di sicurezza possono essere utilizzati uno strumento di simulazione e modelli matematici, conformemente all’accordo del 1958, revisione 3, scheda 8, in particolare per gli scenari difficili da testare su un tracciato di prova o in condizioni di guida reali. I costruttori devono dimostrare il funzionamento dello strumento di simulazione, la sua validità per lo scenario in questione, nonché la convalida effettuata per la catena degli strumenti di simulazione (correlazione del risultato con le prove fisiche).

5. VERBALIZZAZIONE

La verbalizzazione della valutazione deve consentire la tracciabilità dei dati (ad esempio nelle relazioni del servizio tecnico devono essere riportate, in forma codificata, le versioni dei documenti controllati).

Per un esempio di come potrebbe configurarsi il modulo per la valutazione del servizio tecnico a beneficio dell’autorità di omologazione si veda l’appendice 1 del presente allegato. Quanto indicato nella presente appendice costituisce un insieme minimo di aspetti che devono essere trattati.

6. VERBALIZZAZIONE PER ALTRE AUTORITÀ DI OMOLOGAZIONE (APPENDICE 2) CONTENENTE:

a)	una descrizione dell’ambito di impiego previsto e dell’architettura funzionale di alto livello incentrata sulle funzioni disponibili per il conducente, gli occupanti del veicolo e gli altri utenti della strada;

b)	i risultati delle prove effettuate durante il processo di verifica da parte delle autorità di omologazione.

7. COMPETENZA DEI VERIFICATORI/VALUTATORI

Le valutazioni ai sensi del presente allegato devono essere eseguite esclusivamente da verificatori/valutatori che dispongono delle conoscenze tecniche e amministrative necessarie. In particolare devono possedere le necessarie competenze come verificatori/valutatori per le norme ISO 26262:2018 (Sicurezza funzionale - Veicoli stradali) e ISO/PAS 21448 (Sicurezza della funzionalità prevista dei veicoli stradali), e devono essere in grado di stabilire il collegamento necessario con gli aspetti di cibersicurezza conformemente al regolamento UNECE n. 155 e alla norma ISO/SAE 21434. Tale competenza dovrebbe essere dimostrata da qualifiche appropriate o altri documenti di formazione equivalenti.

Appendice 1

Modello di modulo di valutazione per il sistema automatizzato di mantenimento della corsia

Verbale di prova n.: …

Identificazione

1.1.

Marca: …

1.2.

Tipo di veicolo: …

1.3.

Mezzi di identificazione del sistema sul veicolo: …

1.4.

Posizione di tale marcatura: …

1.5.

Nome e indirizzo del costruttore: …

1.6.

Nome e indirizzo dell’eventuale mandatario del costruttore: …

1.7.

Fascicolo di documentazione ufficiale del costruttore:

N. di riferimento della documentazione: …

Data del primo rilascio: …

Data dell’ultimo aggiornamento: …

Descrizione del sistema o dei sistemi/del veicolo o dei veicoli di prova

2.1.

Descrizione generale: …

2.2.

Descrizione di tutte le funzioni di comando del «sistema» e dei metodi di funzionamento: …

2.3.

Descrizione dei componenti e dei diagrammi delle interconnessioni interne del «sistema»:

Principio di sicurezza del costruttore

3.1.

Descrizione del flusso dei segnali, dei dati operativi e delle relative priorità: …

3.2.

Dichiarazione del costruttore:

Il costruttore/I costruttori … dichiara/dichiarano che il «sistema» non presenta rischi irragionevoli per il conducente, gli occupanti del veicolo e gli altri utenti della strada.

3.3.

Schema dell’architettura del software e metodi e strumenti di progettazione utilizzati: …

3.4.

Spiegazione del principio di sicurezza del «sistema»: …

3.5.

Analisi documentate del comportamento del «sistema» in caso di singoli pericoli o condizioni di guasto: …

3.6.

Descrizione delle misure attuate per i fattori ambientali: …

3.7.

Disposizioni relative al controllo tecnico periodico del «sistema»: …

3.8.

Risultati della prova di verifica del «sistema» conformemente all’allegato 4, punto 4.1.1, del regolamento UNECE n. 157: …

3.9.

Risultati della prova di verifica del principio di sicurezza conformemente all’allegato 4, punto 4.1.2, del regolamento UNECE n. 157: …

3.10.

Data di esecuzione della prova o delle prove …

3.11.

L’esecuzione della prova e la verbalizzazione dei risultati hanno avuto luogo conformemente al … del regolamento UNECE n. 157 quale modificato con la serie di modifiche …

Servizio tecnico che ha effettuato la prova.

Firma: …Data: …

3.12.

Osservazioni: …

Appendice 2

Modulo di scheda informativa per sistemi automatizzati di mantenimento della corsia che deve essere presentata dal costruttore per l’omologazione

1. DESCRIZIONE DEL SISTEMA AUTOMATIZZATO DI MANTENIMENTO DELLA CORSIA

1.1.

Ambito di impiego previsto (velocità, tipo di strada, paese, fattori ambientali, condizioni della strada ecc.)/ condizioni limite / condizioni principali per le manovre di minimizzazione del rischio e le richieste di transizione …

1.2.

Prestazioni di base (ad esempio rilevamento di oggetti ed eventi e relativa risposta...) …

1.3.

Mezzi per attivare, escludere o disattivare il sistema …

2. DESCRIZIONE DELLE FUNZIONI DEL «SISTEMA» E DELLE RELATIVE STRATEGIE DI CONTROLLO

2.1.

Principali funzioni di guida automatizzata (architettura funzionale, percezione dell’ambiente) …

2.1.1.

Interno del veicolo …

2.1.2.

Esterno del veicolo (ad esempio estremità posteriore) …

3. PANORAMICA DEI COMPONENTI PRINCIPALI (UNITÀ) DEL «SISTEMA»

3.1.

Centraline …

3.2.

Sensori …

3.3.

Mappe/posizionamento …

4. CONFIGURAZIONE E SCHEMI DEL SISTEMA

4.1.

Schema di configurazione del sistema comprensivo dei sensori per la percezione dell’ambiente (ad esempio schema a blocchi) …

4.2.

Elenco e panoramica schematica delle interconnessioni (ad esempio schema a blocchi) …

5. SPECIFICHE

5.1.

Mezzi per controllare il corretto stato di funzionamento del sistema …

5.2.

Mezzi implementati per fornire protezione da un’attivazione/un funzionamento semplice non autorizzata/o e da interventi sul sistema …

6. PRINCIPIO DI SICUREZZA

6.1.

Sicurezza di funzionamento – Dichiarazione del costruttore del veicolo …

6.2.

Descrizione dell’architettura del software (ad esempio schema a blocchi) …

6.3.

Mezzi per la determinazione dell’attuazione della logica del sistema …

6.4.

Spiegazione generale delle disposizioni principali integrate progettualmente nel «sistema» per la sicurezza del funzionamento e dell’interazione con gli altri utenti della strada in condizioni di guasto, in presenza di perturbazioni del funzionamento e di condizioni pianificate/non pianificate che andrebbero oltre l’ambito di impiego previsto. …

6.5.

Descrizione generale dei principi fondamentali di gestione dei guasti e della strategia del livello di ripiego, compresa la strategia di attenuazione dei rischi (manovra di minimizzazione del rischio) …

6.6.

Interazione tra conducente, occupanti del veicolo e altri utenti della strada, compresi i segnali di avvertimento e le richieste di transizione da fornire al conducente …

6.7.

Convalida da parte del costruttore delle prescrizioni sulle prestazioni contenute in altri passi nel regolamento, per il rilevamento di oggetti ed eventi e la relativa risposta, l’interfaccia uomo-macchina, il rispetto del codice della strada e la conclusione secondo la quale il sistema è progettato in maniera da non comportare rischi irragionevoli per il conducente, gli occupanti del veicolo e gli altri utenti della strada. …

7. VERIFICA E PROVA DA PARTE DELLE AUTORITÀ

7.1.

Verifica del funzionamento di base del «sistema» …

7.2.

Esempi per il controllo della reazione del sistema in presenza di un guasto o di una perturbazione del funzionamento, di condizioni di emergenza e di condizioni limite …

8. SISTEMA DI ARCHIVIAZIONE DEI DATI

8.1.

Tipologia di dati archiviati …

8.2.

Luogo di archiviazione …

8.3.

Trattamento degli eventi registrati e degli elementi di dati ai fini della sicurezza e della protezione dei dati …

8.4.

Mezzi di accesso ai dati …

9. CIBERSICUREZZA (È POSSIBILE UN RIFERIMENTO INCROCIATO ALLA NORMATIVA IN MATERIA DI CIBERSICUREZZA)

9.1.

Descrizione generale dello schema di gestione della cibersicurezza e degli aggiornamenti del software …

9.2.

Descrizione generale dei vari rischi e delle misure messe in atto per attenuarli …

9.3.

Descrizione generale della procedura di aggiornamento …

10. FORNITURA DI INFORMAZIONI AGLI UTENTI

10.1.

Modello di informazioni fornite agli utenti (anche in merito ai compiti del conducente nel contesto dell’ambito di impiego previsto e al di fuori di tale ambito) …

10.2.

Estratto della parte pertinente del manuale del proprietario …

Appendice 3

Orientamenti sugli scenari critici di perturbazione del traffico per il sistema automatizzato di mantenimento della corsia

1. ASPETTI GENERALI

1.1

Il presente documento chiarisce il processo di derivazione per definire le condizioni in base alle quali i sistemi automatizzati di mantenimento della corsia devono impedire le collisioni. Le condizioni in base alle quali tali sistemi devono impedire le collisioni sono stabilite mediante un programma di simulazione generale con il seguente modello prestazionale di conducente umano attento e i relativi parametri per gli scenari di perturbazione critica del traffico.

2. SCENARI CRITICI IN RELAZIONE AL TRAFFICO

2.1.

Gli scenari critici di perturbazione del traffico sono quelli che presentano le condizioni alle quali i sistemi automatizzati di mantenimento della corsia possono non essere in grado di impedire una collisione.

2.2.

I seguenti tre sono scenari critici di perturbazione del traffico:

a)	inserimento in corsia: l’«altro veicolo» si inserisce improvvisamente davanti al veicolo ego o ego vehicle (veicolo di riferimento per le applicazioni);

b)	abbandono della corsia: l’«altro veicolo» abbandona improvvisamente la corsia dell’ego vehicle;

c)	decelerazione: l’«altro veicolo» decelera improvvisamente davanti all’ego vehicle.

2.3.

Ciascuno di questi scenari critici in relazione al traffico può essere creato utilizzando i seguenti parametri/elementi:

a)	geometria della strada;

b)	comportamento/manovre di altri veicoli.

3. MODELLO DELLE PRESTAZIONI DEL SISTEMA AUTOMATIZZATO DI MANTENIMENTO DELLA CORSIA

3.1.

Gli scenari critici in relazione al traffico del sistema automatizzato di mantenimento della corsia sono suddivisi in scenari evitabili e non evitabili. La soglia per la distinzione tra evitabile/non evitabile si basa sulle prestazioni simulate di un conducente umano esperto e attento. Si prevede che alcuni degli scenari «non evitabili» per i livelli abituali umani possano in effetti essere evitati dal sistema automatizzato di mantenimento della corsia.

3.2.

In uno scenario di utilizzo a bassa velocità del sistema automatizzato di mantenimento della corsia, si presume che la capacità anticollisione del modello del conducente sia legata esclusivamente alla frenata. Il modello del conducente è suddiviso nei seguenti tre segmenti: «percezione»; «decisione»; «reazione». Il diagramma che segue costituisce una rappresentazione visiva di tali segmenti:

3.3.

Per stabilire le condizioni alle quali i sistemi automatizzati di mantenimento della corsia devono impedire le collisioni, si dovrebbero utilizzare fattori del modello delle prestazioni per questi tre segmenti riportati nella tabella che segue come modello delle prestazioni del sistema automatizzato di mantenimento della corsia considerando il comportamento di conducenti umani attenti che dispongono di sistemi avanzati di assistenza alla guida (ADAS, advanced driver assistance systems).

Tabella 1

Fattori del modello delle prestazioni per i veicoli

		Fattori
Punto di percezione del rischio	Cambio di corsia (inserimento, abbandono)	Scostamento del centro del veicolo di oltre 0,375 m rispetto al centro della corsia di marcia (derivato da una ricerca condotta dal Giappone)
	Decelerazione	Rapporto di decelerazione del veicolo che precede e distanza di sicurezza dell’ego vehicle
Tempo di valutazione del rischio		0,4 secondi (dalla ricerca condotta dal Giappone)
Tempo che trascorre dal termine della percezione fino all’inizio della decelerazione		0,75 secondi (dati comuni in Giappone)
Tempo di soglia fino alla decelerazione completa (attrito sulla superficie stradale: 1,0)		0,6 secondi a 0,774 G (da esperimenti condotti da NHTSA e Giappone)
Tempo di soglia fino alla decelerazione completa (dopo il rilascio completo dell’acceleratore dell’ego vehicle e del veicolo che si inserisce in corsia, attrito sulla superficie stradale: 1,0)		0,6 secondi a 0,85 G (derivato dal regolamento UNECE n. 152 relativo ai dispositivi avanzati di frenata d’emergenza - AEBS)

3.4.

Modello del conducente per i tre scenari del sistema automatizzato di mantenimento della corsia

3.4.1.

Per lo scenario di inserimento in corsia:

la distanza di spostamento laterale percorsa normalmente dal veicolo all’interno della corsia è pari a 0,375 m.

La percezione del limite per l’inserimento in corsia si ha quando il veicolo supera la distanza normale di spostamento laterale (eventualmente prima dell’effettivo cambio di corsia).

La distanza a. corrisponde alla distanza di percezione basata sul tempo di percezione [a]. Definisce la distanza laterale necessaria per percepire che un veicolo sta effettuando una manovra di inserimento in corsia. Il valore di a. e si ottiene applicando la formula che segue:

a. = velocità di movimento laterale x tempo di percezione del rischio [a] (0,4 s).

Il tempo di percezione del rischio inizia quando il veicolo che precede supera la soglia limite per l’inserimento in corsia.

La velocità massima di movimento laterale corrisponde ai dati in condizioni reali di utilizzo in Giappone.

Il tempo di percezione del rischio [a] corrisponde a dati del simulatore di guida in Giappone.

2 secondi* sono indicati come il tempo massimo mancante alla collisione (TTC, Time To Collision) al di sotto del quale si è concluso che esiste un pericolo di collisione in direzione longitudinale.

Nota:

la corrispondenza TTC = 2,0 secondi è stata scelta sulla base degli orientamenti del regolamento UNECE sui segnali di avvertimento.

3.4.2.

Per lo scenario di abbandono della corsia:

la distanza di spostamento laterale percorsa normalmente dal veicolo all’interno della corsia è pari a 0,375 m.

Il limite percepito per l’abbandono della corsia si verifica quando il veicolo supera la distanza normale di spostamento laterale (eventualmente prima dell’effettivo cambio di corsia).

Il tempo di percezione del rischio [a], pari a 0,4 secondi, inizia quando il veicolo che precede supera la soglia limite per l’abbandono della corsia.

Il tempo di 2 secondi è indicato come il distacco (THW, time head way) massimo rispetto al veicolo che precede per il quale si è concluso che esiste un pericolo in direzione longitudinale.

Nota:

la corrispondenza THW = 2,0 secondi è scelta sulla base di normative ed orientamenti di altri paesi.

3.4.3.

Per lo scenario di decelerazione:

il tempo di percezione del rischio [a] è di 0,4 secondi. Il tempo di percezione del rischio [a] inizia quando il veicolo che precede supera la soglia di decelerazione di 5 m/s2.

4. PARAMETRI

4.1.

I parametri che seguono sono essenziali per descrivere il modello degli scenari critici di perturbazione del traffico di cui al punto 2.1.

4.2.

È possibile aggiungere altri parametri in base all’ambiente di funzionamento (livello di attrito della strada, curvatura della strada, condizioni di illuminazione ecc.).

Tabella 2

Altri parametri

Condizioni operative	Carreggiata	Numero di corsie = numero di corsie parallele e adiacenti nella stessa direzione di marcia Larghezza corsia = larghezza di ciascuna corsia Pendenza della carreggiata = pendenza della carreggiata nella zona di prova Condizioni della carreggiata = condizioni della carreggiata (asciutta, bagnata, ghiacciata, con presenza di neve, nuova, usurata), coefficiente di attrito Segnaletica orizzontale di delimitazione delle corsie = tipologia, colore, larghezza e visibilità della segnaletica orizzontale
Condizioni operative	Fattori ambientali	Condizioni di luce = quantità di luce e direzione (ad esempio: giorno, notte, soleggiato, nuvoloso) Condizioni meteorologiche = quantità, tipo e intensità di vento, pioggia, neve ecc.
Condizione iniziale	Velocità iniziale	Ve0 = ego vehicle
		Vo0 = veicolo che precede nella stessa corsia o nella corsia adiacente
		Vf0 = veicolo davanti al veicolo che precede nella stessa corsia
	Distanza iniziale	dx0 = distanza in direzione longitudinale tra l’estremità anteriore dell’ego vehicle e l’estremità posteriore del veicolo che precede nella corsia dell’ego vehicle o in una corsia adiacente
		dy0 = distanza laterale interna tra la linea del bordo esterno dell’ego vehicle parallela al piano mediano longitudinale del veicolo all’interno delle corsie e la linea del bordo esterno del veicolo che precede parallela al piano mediano longitudinale del veicolo nelle linee adiacenti
		dy0_f = distanza laterale interna tra la linea del bordo esterno del veicolo che precede parallela al piano mediano longitudinale del veicolo all’interno delle corsie e la linea del bordo esterno del veicolo davanti al veicolo che precede parallela al piano mediano longitudinale del veicolo nelle linee adiacenti
		dx0_f = distanza in direzione longitudinale tra l’estremità anteriore del veicolo che precede e l’estremità posteriore del veicolo davanti al veicolo che precede
		dfy = larghezza del veicolo davanti al veicolo che precede
		doy = larghezza del veicolo che precede
		dox = lunghezza del veicolo che precede
Movimento del veicolo	Movimento laterale	Vy = velocità laterale del veicolo che precede
	Decelerazione	Gx_max = decelerazione massima del veicolo che precede in G
	Decelerazione	dG/dt = tasso di decelerazione (soglia) del veicolo che precede

4.3.

Si riportano qui di seguito rappresentazioni visive dei parametri per i tre tipi di scenari.

5. RIFERIMENTO

Le schede di dati che seguono costituiscono esempi illustrativi di simulazioni che determinano le condizioni alle quali il sistema automatizzato di mantenimento della corsia deve impedire una collisione, tenendo conto della combinazione di ogni parametro, al massimo alla velocità massima consentita del veicolo dotato di tale sistema.

5.1.

Inserimento in corsia

(Immagine schede di dati)

		ISSN 1977-0707
Gazzetta ufficiale dell’Unione europea		L 82

Edizione in lingua italiana	Legislazione	64° anno 9 marzo 2021

Sommario		II Atti non legislativi	pagina
		ATTI ADOTTATI DA ORGANISMI CREATI DA ACCORDI INTERNAZIONALI
	*	Regolamento UNECE n. 153 - Disposizioni uniformi relative all'omologazione dei veicoli per quanto riguarda l'integrità dell'impianto di alimentazione e la sicurezza del motopropulsore elettrico in caso di tamponamento [2021/386]	1
	*	Regolamento n. 155 della Commissione economica per l’Europa delle Nazioni Unite (UNECE) - Disposizioni uniformi relative all’omologazione dei veicoli per quanto riguarda la cibersicurezza e i sistemi di gestione della cibersicurezza [2021/387]	30
	*	Regolamento ONU n. 156 - Disposizioni uniformi relative all’omologazione dei veicoli per quanto riguarda gli aggiornamenti del software e il relativo sistema di gestione [2021/388]	60
	*	Regolamento UNECE n. 157 - Disposizioni uniformi relative all’omologazione dei veicoli per quanto riguarda il sistema automatizzato di mantenimento della corsia [2021/389]	75