26.8.2022 |
PT |
Jornal Oficial da União Europeia |
L 221/1 |
REGULAMENTO DE EXECUÇÃO (UE) 2022/1426 DA COMISSÃO
de 5 de agosto de 2022
que estabelece regras de aplicação do Regulamento (UE) 2019/2144 do Parlamento Europeu e do Conselho no que se refere a procedimentos e especificações técnicas uniformes para a homologação do sistema de condução automatizada (ADS) de veículos totalmente automatizados
(Texto relevante para efeitos do EEE)
A COMISSÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) 2019/2144 do Parlamento Europeu e do Conselho, de 27 de novembro de 2019, relativo aos requisitos de homologação de veículos a motor e seus reboques e dos sistemas, componentes e unidades técnicas destinados a esses veículos, no que se refere à sua segurança geral e à proteção dos ocupantes dos veículos e dos utentes da estrada vulneráveis, que altera o Regulamento (UE) 2018/858 do Parlamento Europeu e do Conselho e revoga os Regulamentos (CE) n.o 78/2009, (CE) n.o 79/2009 e (CE) n.o 661/2009 do Parlamento Europeu e do Conselho e os Regulamentos (CE) n.o 631/2009, (UE) n.o 406/2010, (UE) n.o 672/2010, (UE) n.o 1003/2010, (UE) n.o 1005/2010, (UE) n.o 1008/2010, (UE) n.o 1009/2010, (UE) n.o 19/2011, (UE) n.o 109/2011, (UE) n.o 458/2011, (UE) n.o 65/2012, (UE) n.o 130/2012, (UE) n.o 347/2012, (UE) n.o 351/2012, (UE) n.o 1230/2012, e (UE) 2015/166 da Comissão (1), nomeadamente o artigo 11.o, n.o 2,
Considerando o seguinte:
(1) |
É necessário adotar a legislação de execução para a homologação do sistema de condução automatizada de veículos totalmente automatizados, nomeadamente os sistemas enumerados no artigo 11.o, n.o 1, alíneas a), b), d) e f), do Regulamento (UE) 2019/2144. Os sistemas de controlo da disponibilidade do condutor não devem aplicar-se a veículos totalmente automatizados, nos termos do disposto no artigo 11.o, n.o 1, do Regulamento (UE) 2019/2144. Além disso, ainda estão a decorrer atividades de normalização do formato harmonizado para o intercâmbio de dados destinados, por exemplo, a um comboio de veículos de diferentes marcas, pelo que não deve ser incluído no presente regulamento nesta fase. Por último, a homologação dos sistemas de condução automatizada de veículos automatizados não é abrangida pelo presente regulamento, uma vez que se destina a referir-se a eles através de uma referência ao Regulamento n.o 157 da ONU relativo aos sistemas automatizados de manutenção na faixa de rodagem (2) no anexo I do Regulamento (UE) 2019/2144, que enumera os regulamentos da ONU de aplicação obrigatória na UE. |
(2) |
Para a homologação de veículo completo de veículos totalmente automatizados, a homologação do seu sistema de condução automatizada ao abrigo do presente regulamento deve ser complementada pelos requisitos estabelecidos no anexo II, parte I, apêndice 1, do Regulamento (UE) 2018/858 do Parlamento Europeu e do Conselho (3). Na fase seguinte, a Comissão prosseguirá o seu trabalho para desenvolver e adotar até julho de 2024 os requisitos necessários para a homologação UE de veículo completo dos veículos totalmente automatizados produzidos em séries ilimitadas. |
(3) |
A avaliação do sistema de condução automatizada de veículos totalmente automatizados, tal como proposto pelo presente regulamento, depende em grande medida dos cenários de tráfego pertinentes para os diferentes casos de utilização de veículos totalmente automatizados. Por conseguinte, é necessário definir esses diferentes casos de utilização. Deve-se proceder regularmente à revisão destes casos de utilização, e à eventual introdução de alterações para abranger casos de utilização adicionais. |
(4) |
A ficha de informações referida no artigo 24.o, n.o 1, alínea a), do Regulamento (UE) 2018/858 que deve ser fornecida pelo fabricante para a homologação do sistema de condução automatizada de veículos totalmente automatizados deve basear-se no modelo para a homologação de veículos completos estabelecido no anexo II do Regulamento de Execução (UE) 2020/683 da Comissão (4). No entanto, a fim de assegurar uma abordagem coerente, é necessário extrair da ficha de informações os campos que são pertinentes para a homologação do sistema de condução automatizada do veículo totalmente automatizado. |
(5) |
Dada a complexidade dos sistemas de condução automatizada, é necessário completar os requisitos de desempenho e os ensaios do presente regulamento com documentação do fabricante que demonstre que o sistema de condução automatizada não apresenta riscos irrazoáveis para a segurança dos ocupantes dos veículos e dos outros utentes da estrada nos cenários pertinentes e durante a vida útil do ADS. Neste sentido, é necessário estabelecer o sistema de gestão de segurança que deve ser criado pelos fabricantes; definir, para os fabricantes e para as autoridades, os parâmetros a utilizar para os cenários de circulação pertinentes para o sistema de condução automatizada; estabelecer critérios para avaliar se o conceito de segurança do fabricante dá resposta aos cenários de tráfego, perigos e riscos pertinentes e estabelecer critérios para avaliar os resultados de validação do fabricante, em especial resultados de validação com origem em cadeias de ferramentas virtuais. Por último, é necessário especificar os dados de circulação pertinentes que devem ser comunicados pelo fabricante às entidades homologadoras. |
(6) |
O certificado de homologação UE e a respetiva adenda, referidos no artigo 28.o, n.o 1, do Regulamento (UE) 2018/858, que deve ser emitido para o sistema de condução automatizada de veículos totalmente automatizados, devem basear-se nos respetivos modelos estabelecidos no anexo III do Regulamento de Execução (UE) 2020/683 da Comissão. No entanto, a fim de assegurar uma abordagem coerente, é necessário extrair os campos pertinentes para a homologação do sistema de condução automatizada do veículo totalmente automatizado do certificado de homologação UE e respetiva adenda. |
(7) |
Sujeito aos termos do Regulamento n.o 2018/858 e de toda a legislação pertinente da UE, o presente regulamento não prejudica o direito de os Estados-Membros regularem a circulação e a segurança operacional dos veículos totalmente automatizados no tráfego e a segurança operacional destes veículos nos serviços de transporte local. Os Estados-Membros não são obrigados a estabelecer zonas, rotas ou parques de estacionamento predefinidos ao abrigo do presente regulamento. Os veículos a motor abrangidos pelo presente regulamento apenas podem operar de acordo com o âmbito de aplicação definido no artigo 1.o |
(8) |
As medidas previstas no presente regulamento estão em conformidade com o parecer do Comité Técnico — Veículos a Motor, |
ADOTOU O PRESENTE REGULAMENTO:
Artigo 1.o
Âmbito de aplicação
O presente regulamento aplica-se à homologação de veículos totalmente automatizados das categorias M e N, no que diz respeito ao seu sistema de condução automatizada, nos seguintes casos de utilização:
a) |
Veículos totalmente automatizados, incluindo veículos bimodais, concebidos e construídos para o transporte de passageiros ou de mercadorias numa área predefinida. |
b) |
«Hub-to-hub»: veículos totalmente automatizados, incluindo veículos bimodais, concebidos e construídos para o transporte de passageiros ou de mercadorias num trajeto predefinido com pontos fixos de início e fim de viagem/percurso. |
c) |
«Estacionamento automatizado»: veículos bimodais com modo de condução totalmente automatizada para aplicações de estacionamento em instalações de estacionamento predefinidas. O sistema pode ou não utilizar a infraestrutura externa (por exemplo, marcadores de localização, sensores de perceção, etc.) das instalações de estacionamento para desempenhar a tarefa de condução dinâmica. |
Nos termos do presente regulamento, o fabricante pode requerer a homologação de sistemas individuais ou a homologação do tipo de sistema de condução automatizada para os veículos definido no artigo 2.o, n.o 3, do Regulamento (UE) 2018/858, desde que esses veículos cumpram os requisitos do presente regulamento.
Artigo 2.o
Definições
Para além das definições contidas nos Regulamentos (UE) 2018/858 e (UE) 2019/2144, para efeitos do presente regulamento, entende-se por:
1) |
«sistema de condução automatizada» (ADS), o hardware e o software que, coletivamente, são capazes de executar de forma sustentada a totalidade da DDT (Dynamic Driving Task — «tarefa de condução dinâmica») num ODD (Operational Design Domain — «domínio de conceção operacional») específico. |
2) |
«funcionalidade do ADS», uma aplicação de hardware e software do ADS concebida para uma utilização específica dentro de um ODD (Operational Design Domain — «Domínio de conceção operacional»). |
3) |
«função do ADS», uma aplicação de hardware e software do ADS concebida para executar uma parte específica da DDT. |
4) |
«tarefa de condução dinâmica» (DDT), todas as funções operacionais executadas em tempo real e funções táticas necessárias para operar o veículo, excluindo funções estratégicas como a programação do percurso e a seleção de destinos e pontos intermédios, incluindo, de forma não exaustiva, as seguintes subtarefas:
|
5) |
«funções operacionais» da DDT, funções executadas num intervalo de tempo de milissegundos e que incluem tarefas como o comando da direção para manutenção na via de trânsito ou a travagem para prevenir um perigo emergente. |
6) |
«funções táticas» da DDT, funções executadas num intervalo de tempo de segundos e que inclui tarefas como a escolha da via de trânsito, a aceitação de intervalos de espaço/tempo para realizar manobras e a ultrapassagem. |
7) |
«anomalia», uma condição anormal que pode causar uma avaria. Esta condição pode estar relacionada com o hardware ou o software. |
8) |
«avaria», a suspensão do comportamento previsto de um componente ou sistema do ADS devido à ocorrência de uma anomalia. |
9) |
«monitorização em serviço», os dados recolhidos pelo fabricante e os dados de outras fontes que se destinam a obter provas do desempenho de segurança em serviço do ADS no terreno. |
10) |
«comunicação de informações em serviço», os dados comunicados pelo fabricante para demonstrar o desempenho de segurança em serviço do ADS no terreno. |
11) |
«vida útil do ADS», o período durante o qual o sistema ADS está disponível no veículo. |
12) |
«ciclo de vida do ADS», o período que consiste nas fases de conceção, desenvolvimento, produção, exploração, manutenção e abate do sistema. |
13) |
«comportamento anómalo», uma avaria ou um comportamento não previsto de um componente ou sistema do ADS no que diz respeito ao objetivo da sua conceção. |
14) |
«Manobra de risco mínimo» (MRM), uma manobra destinada a minimizar os riscos do tráfego através da paragem do veículo em condições de segurança (ou seja, condições de risco mínimo). |
15) |
«condição de risco mínimo» (MRC), estado em que o veículo se encontra estável e parado e que reduz o risco de acidente. |
16) |
«domínio de conceção operacional» (ODD), as condições de funcionamento nas quais um dado ADS é especificamente concebido para funcionar, incluindo, entre outras, restrições ambientais, geográficas e temporais e/ou a obrigatoriedade de presença ou ausência de determinadas características do tráfego ou da estrada. |
17) |
«deteção e resposta a objetos e eventos» (OEDR), subtarefas da tarefa de condução dinâmica, o que inclui a monitorização do ambiente de condução, bem como a execução de uma ação de resposta adequada. Isto inclui a deteção, o reconhecimento e a classificação de objetos e eventos e a preparação e execução de ações de resposta, conforme necessário. |
18) |
«cenário», uma sequência ou combinação de situações utilizadas para avaliar os requisitos de segurança para um ADS. |
19) |
«cenários de tráfego nominais», situações razoavelmente previsíveis com que o ADS se defronta quando funciona dentro do seu ODD. Estes cenários representam as interações não críticas do ADS com outros utentes da estrada e resultam em funcionamento normal do ADS. |
20) |
«cenários críticos», cenários relacionados com casos de emergência (por exemplo, condições inesperadas com uma probabilidade de ocorrência excecionalmente baixa) e insuficiências operacionais, não se limitando a condições de tráfego, mas incluindo igualmente condições ambientais (por exemplo, chuvas fortes ou câmaras para visibilidade em situações de pouca luz solar), fatores humanos, conectividade e falhas de comunicação que conduzam ao funcionamento de emergência do ADS. |
21) |
«cenários de avaria», os cenários relacionados com a avaria do ADS e/ou dos componentes do veículo, que pode conduzir ao funcionamento normal ou de emergência do ADS, consoante seja ou não mantido o nível mínimo de segurança. |
22) |
«funcionamento normal», o funcionamento do ADS dentro dos limites e condições operacionais especificados para desempenhar a atividade planeada. |
23) |
«funcionamento de emergência», o funcionamento do ADS em resposta à ocorrência de eventos que exijam uma ação rápida para evitar consequências adversas para a saúde humana ou danos materiais. |
24) |
«operador a bordo», quando aplicável ao conceito de segurança do ADS, uma pessoa que se encontra no interior do veículo totalmente automatizado e que pode:
Nas situações acima referidas, o operador a bordo não deve conduzir o veículo totalmente automatizado e o ADS deve continuar a executar a DDT. |
25) |
«operador de intervenção à distância», quando aplicável ao conceito de segurança do ADS, uma (ou várias) pessoa(s) que se encontra(m) no exterior do veículo totalmente automatizado e que pode(m) executar as tarefas do operador a bordo à distância, desde que seja seguro fazê-lo. O operador de intervenção à distância não deve conduzir o veículo totalmente automatizado e o ADS deve continuar a executar a DDT. |
26) |
«capacidades de controlo à distância», capacidades especificamente concebidas para permitirem a realização de intervenções à distância. |
27) |
«R2022/1426 Número de identificação do software (R2022/1426 SWIN)», um identificador específico, definido pelo fabricante, que representa informações sobre o software do ADS pertinente para a homologação que contribui para as características pertinentes para a homologação do ADS. |
28) |
«risco irrazoável», o nível de risco geral para os ocupantes do veículo e outros utentes da estrada aumentado em comparação com um veículo de condução manual em serviços e situações de transporte equiparáveis dentro do âmbito do seu domínio de conceção operacional. |
29) |
«segurança funcional», ausência de riscos irrazoáveis em caso de ocorrência de perigos causados por um comportamento anómalo. |
30) |
«segurança operacional», a ausência de riscos irrazoáveis em caso de ocorrência de perigos resultantes de insuficiências funcionais da funcionalidade pretendida (por exemplo, não deteção ou deteção errónea), perturbações operacionais (por exemplo, condições ambientais como nevoeiro, chuva, sombras, luz solar, infraestruturas) ou por utilização indevida/erros razoavelmente previsíveis dos ocupantes do veículo ou de outros utentes da estrada (ou seja, perigos de segurança, sem falhas do sistema). |
31) |
«estratégia de comando», uma estratégia para garantir o funcionamento robusto e seguro do ADS em resposta a um conjunto específico de condições ambientais e/ou de funcionamento (como condições do pavimento da estrada, outros utentes da estrada, condições meteorológicas adversas, risco iminente de colisão, avarias, atingimento de situações-limite do ODD, etc.). Esta estratégia pode incluir restrições temporárias do desempenho (por exemplo, redução da velocidade máxima de funcionamento, etc.), manobras de risco mínimo (MRM), prevenção ou mitigação da colisão, intervenção à distância, etc. |
32) |
«tempo até à colisão» (TTC), medida de tempo até à ocorrência de uma colisão entre veículos/objetos/indivíduos, se as suas velocidades não sofrerem alterações, tendo em consideração as suas trajetórias. Em situações estritamente longitudinais com velocidades constantes, a menos que expressamente especificado de outra forma no texto, o valor de TTC é obtido dividindo a distância longitudinal (no sentido da marcha do veículo em causa) entre o veículo em causa e os outros veículos/objetos/indivíduos pela velocidade longitudinal relativa do veículo em causa e o outro veículo/objeto/indivíduo. Em situações estritamente de cruzamento com velocidades constantes, a menos que expressamente especificado de outra forma no texto, este valor é obtido dividindo a distância longitudinal entre o veículo em causa e a trajetória lateral dos outros veículos/objetos/indivíduos pela velocidade longitudinal do veículo em causa. |
33) |
«modelo de veículo no que diz respeito ao ADS», os veículos totalmente automatizados que não apresentem entre si diferenças quanto aos elementos essenciais a seguir indicados:
|
34) |
«veículos bimodais», veículos totalmente automatizados com um banco de condutor, concebidos e construídos:
Para veículos bimodais, a transição do modo de condução manual para o modo de condução totalmente automatizada, bem como a transição do modo de condução totalmente automatizada para o modo de condução manual, só podem ocorrer quando o veículo estiver imobilizado e não quando o veículo estiver em movimento. |
35) |
«operador de serviços de transporte», a entidade que presta um serviço de transporte que recorrer a um ou mais veículos totalmente automatizados. |
Artigo 3.o
Disposições administrativas e especificações técnicas para a homologação do sistema de condução automatizada de veículos totalmente automatizados
1. Os campos da ficha de informações que são pertinentes, apresentados em conformidade com o artigo 24.o, n.o 1, alínea a), do Regulamento (UE) 2018/858 juntamente com o pedido de homologação de um sistema de condução automatizada de um veículo totalmente automatizado, devem consistir nas informações pertinentes para esse sistema, tal como constam do anexo I.
2. A homologação dos sistemas de condução automatizada de veículos totalmente automatizados está sujeita às especificações técnicas estabelecidas no anexo II. Essas especificações serão avaliadas pelas entidades homologadoras ou pelo respetivo serviço técnico em conformidade com o anexo III.
3. O certificado de homologação UE de um tipo de sistema de condução automatizada de um veículo totalmente automatizado a que se refere o artigo 28.o, n.o 1, do Regulamento (UE) 2018/858, deve ser elaborado em conformidade com o anexo IV.
Artigo 4.o
Entrada em vigor
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em 5 de agosto de 2022.
Pela Comissão
A Presidente
Ursula VON DER LEYEN
(1) JO L 325 de 16.12.2019, p. 1.
(2) JO L 82 de 9.3.2021, p. 75.
(3) Regulamento (UE) 2018/858 do Parlamento Europeu e do Conselho, de 30 de maio de 2018, relativo à homologação e à fiscalização do mercado dos veículos a motor e seus reboques, e dos sistemas, componentes e unidades técnicas destinados a esses veículos, que altera os Regulamentos (CE) n.o 715/2007 e (CE) n.o 595/2009 e revoga a Diretiva 2007/46/CE (JO L 151 de 14.6.2018, p. 1).
(4) Regulamento de Execução (UE) 2020/683 da Comissão de 15 de abril de 2020 que executa o Regulamento (UE) 2018/858 do Parlamento Europeu e do Conselho no que diz respeito aos requisitos administrativos para a homologação e a fiscalização do mercado dos veículos a motor e seus reboques e dos sistemas, componentes e unidades técnicas destinados a esses veículos (JO L 163 de 26.5.2020, p. 1).
ANEXO I
Ficha de informações para a homologação UE de veículos totalmente automatizados no que diz respeito ao seu sistema de condução automatizada
MODELO
Ficha de informações n.o … relativa à homologação UE de um modelo de veículos totalmente automatizados no que diz respeito ao sistema de condução automatizada (ADS).
As informações abaixo devem ser fornecidas em triplicado e incluir um índice. Se houver desenhos ou imagens, devem ser fornecidos à escala adequada e com pormenor suficiente, em formato A4 ou dobrados nesse formato. Se houver fotografias, estas devem ser suficientemente pormenorizadas.
0. |
GENERALIDADES |
0.1. |
Marca (designação comercial do fabricante): |
0.2. |
Tipo: |
0.2.1. |
Designações comerciais (se existirem): |
0.2.2 |
Para veículos homologados em várias fases, informações sobre a homologação do veículo de base/da fase anterior (listar as informações para cada fase; pode usar-se uma matriz para o efeito).
Tipo: Variante(s): Versão(ões): Número do certificado de homologação, incluindo o número de extensão... |
0.3. |
Meios de identificação do modelo/tipo, se marcados no veículo/componente/unidade técnica: |
0.3.1. |
Localização dessa marcação: |
0.4. |
Categoria de veículo: |
0.5. |
Nome da empresa e endereço do fabricante: |
0.5.1 |
Para veículos homologados em várias fases, nome da empresa e endereço do fabricante do veículo de base/da(s) fase(s) anterior(es): … |
0.6 |
Localização e modo de fixação das chapas regulamentares e localização do número de identificação do veículo: … |
0.6.1. |
No quadro: … |
0.6.2. |
Na carroçaria: … |
0.8. |
Nome(s) e endereço(s) da(s) instalação(ões) de montagem: |
0.9. |
Nome e endereço do representante do fabricante (caso exista): |
17. |
SISTEMA DE CONDUÇÃO AUTOMATIZADA (ADS) |
17.1. |
Descrição geral do ADS |
17.1.1. |
Domínio de conceção operacional/Condições-limite: |
17.1.2. |
Desempenho básico (por exemplo, deteção e resposta a objetos e eventos, planeamento, etc.): |
17.2. |
Descrição das funções do ADS |
17.2.1. |
Principais funções do ADS (arquitetura funcional) |
17.2.1.1. |
Funções internas do veículo |
17.2.1.2. |
Funções externas do veículo (por exemplo, infraestruturas de apoio e exteriores necessárias, medidas operacionais necessárias) |
17.3. |
Visão geral dos principais componentes do ADS |
17.3.1. |
Unidades de comando |
17.3.2. |
Sensores e instalação dos sensores no veículo |
17.3.3. |
Atuadores |
17.3.4. |
Mapas e posicionamento |
17.3.5. |
Outro hardware |
17.4. |
Configuração e esquemas do ADS |
17.4.1. |
Configuração esquemática do sistema (por exemplo, diagrama de blocos) |
17.4.2. |
Lista e síntese esquemática das interligações |
17.5. |
Especificações |
17.5.1. |
Especificações em condições normais de funcionamento |
17.5.2. |
Especificações em funcionamento de emergência |
17.5.3. |
Critérios de aceitação |
17.5.4 |
Demonstração de conformidade |
17.6. |
Conceito de segurança |
17.6.1. |
Declaração do fabricante indicando que o veículo não representa riscos irrazoáveis |
17.6.2. |
Esquema da arquitetura do software (por exemplo, diagrama de blocos) |
17.6.3. |
Meios pelos quais se determina a realização da lógica do ADS |
17.6.4. |
Explicação geral das principais disposições de conceção incorporadas no ADS de modo a gerar um funcionamento seguro em condições de avaria, com perturbações operacionais e na ocorrência de condições que excedam o ODD |
17.6.5 |
Descrição geral dos princípios mais importantes de gestão de avarias e da estratégia de nível de recuperação de falhas, incluindo da estratégia de mitigação de riscos (manobra de risco mínimo) |
17.6.6. |
Condições para desencadear um pedido ao operador a bordo ou ao operador de intervenção à distância |
17.6.7. |
Conceito de interação homem-máquina com os ocupantes do veículo, o operador a bordo e o operador de intervenção à distância, incluindo a proteção contra ativação/funcionamento simples não autorizado e as intervenções |
17.7. |
Verificação e validação pelo fabricante dos requisitos de desempenho, incluindo a OEDR, a interface homem-máquina, o respeito das regras de trânsito e a conclusão de que o sistema foi concebido de forma a não representar riscos irrazoáveis para os ocupantes do veículo e outros utentes da estrada |
17.7.1. |
Descrição da abordagem adotada |
17.7.2. |
Seleção de cenários nominais, críticos e de avaria |
17.7.3. |
Descrição dos métodos e ferramentas utilizados (software, laboratório, etc.) e resumo da avaliação da credibilidade |
17.7.4. |
Descrição dos resultados |
17.7.5. |
Incerteza dos resultados |
17.7.6. |
Interpretação dos resultados |
17.7.7. |
Declaração do fabricante:
O(s) fabricante(s) … declara(m) que o ADS não apresenta riscos de segurança irrazoáveis para os ocupantes do veículo e outros utentes da estrada. |
17.8. |
Elementos de dados do ADS |
17.8.1. |
Tipo de dados armazenados |
17.8.2. |
Localização do armazenamento |
17.8.3. |
Ocorrências e elementos de dados registados |
17.8.4. |
Meios para garantir a segurança e a proteção dos dados |
17.8.5. |
Meios de acesso aos dados |
17.9. |
Cibersegurança e atualização do software |
17.9.1. |
Número de homologação de cibersegurança: |
17.9.2. |
Número do certificado de conformidade de cibersegurança: |
17.9.3. |
Número de homologação da atualização do software: |
17.9.4. |
Número do certificado de conformidade do sistema de gestão de atualizações do software |
17.9.5. |
Identificação do software do ADS |
17.9.5.1. |
Informações sobre como ler o RxSWIN ou a(s) versão(ões) do software caso o veículo não possua o RxSWIN. |
17.9.5.2. |
Se aplicável, lista dos parâmetros aplicáveis que permitirão identificar os veículos que podem ser atualizados com o software representado pelo RxSWIN nos termos do ponto 17.9.4.1. |
17.10. |
Manual de utilização (a anexar à ficha de informações) |
17.10.1. |
Descrição funcional do ADS e função prevista do proprietário, do operador de serviços de transporte, do operador a bordo, do operador de intervenção à distância, etc. |
17.10.2. |
Medidas técnicas para um funcionamento seguro (por exemplo, descrição da infraestrutura exterior necessária, momento, frequência e modelo das operações de manutenção); |
17.10.3. |
Restrições operacionais e ambientais |
17.10.4. |
Medidas operacionais (por exemplo, se o operador a bordo ou o operador de intervenção à distância forem necessários) |
17.10.5. |
Instruções em caso de avaria e pedido de ADS (medidas de segurança a adotar por ocupantes do veículo, operador do serviço de transporte, operador a bordo, operador de intervenção à distância e autoridades públicas em caso de falha de funcionamento) |
17.11. |
Meios para permitir uma inspeção técnica periódica
Lista de Figuras/Quadros Acrónimos Anexo I — Manual de simulação Anexo II — Manual de utilização Nota explicativa A presente ficha de informações inclui as informações pertinentes para o sistema de condução automatizada e deve ser preenchida em conformidade com o modelo estabelecido no anexo I do Regulamento de Execução (UE) 2020/683 da Comissão. |
ANEXO II
Requisitos de desempenho
1. DDT em cenários de tráfego nominais.
1.1. |
O ADS deve ser capaz de executar a totalidade da DDT. |
1.1.1. |
A capacidade do ADS para executar a totalidade da DDT deve ser determinada no contexto do ODD do ADS. |
1.1.2. |
Como parte da DDT, a ADS deve ser capaz de:
|
1.1.3. |
O sistema deve demonstrar um comportamento de antecipação em interação com outros utentes da estrada, a fim de assegurar um comportamento longitudinal estável e pouco dinâmico e um comportamento de minimização do risco quando há a possibilidade de situações críticas iminentes, por exemplo, com utentes da estrada vulneráveis (peões, ciclistas, etc.) dos quais a visão esteja obstruída ou desobstruída, ou com outros veículos que se atravessem ou entrem na estrada em frente ao veículo totalmente automatizado. |
1.1.4. |
Os requisitos relativos à DDT devem ser cumpridos em deslocações no sentido inverso, se a marcha-atrás fizer parte dos requisitos ou for declarada no ODD. |
1.2 |
O ADS deve detetar e reagir adequadamente a objetos e eventos pertinentes para a DDT do ODD.
Estes objetos e eventos podem incluir, entre outros:
|
1.3. |
O ADS deve cumprir as regras de trânsito do país em que o veículo circula. |
1.3.1. |
O ADS deve interagir com os outros utentes da estrada em segurança e conformidade com as regras de trânsito, nomeadamente através da:
|
1.3.2. |
Na ausência de regras de circulação específicas, a aceleração horizontal combinada dos veículos com ADS destinados a transportar passageiros de pé ou passageiros que não utilizem um sistema de retenção não deve ultrapassar os 2,4 m/s2 (valor absoluto e calculado como combinação das acelerações lateral e longitudinal) e a taxa de variação de aceleração não deve ultrapassar os 5 m/s3.
Em função dos fatores que influenciam o risco para os ocupantes e outros utentes da estrada, poderá ser adequado ultrapassar estes limites, como por exemplo em funcionamento de emergência. |
2. DDT em cenários de tráfego críticos (funcionamento de emergência).
2.1 |
O ADS deve ser capaz de executar a DDT em todos os cenários de tráfego críticos razoavelmente previsíveis no ODD. |
2.1.1. |
O ADS deve ser capaz de detetar o risco de colisão com outros utentes da estrada ou um obstáculo que surja subitamente (detritos, carga perdida) e realizar automaticamente uma ação de funcionamento de emergência adequada (travagem, acionamento da direção de forma evasiva) para prevenir colisões razoavelmente previsíveis e minimizar os riscos para a segurança dos ocupantes do veículo e dos outros utentes da estrada. |
2.1.1.1. |
Em caso de risco alternativo inevitável para a vida humana, o ADS não deve atribuir qualquer influência às características pessoais dos humanos. |
2.1.1.2. |
A proteção de outras vidas humanas que se encontrem no exterior do veículo totalmente automatizado não deve estar subordinada à proteção da vida humana no interior do veículo. |
2.1.2. |
A estratégia de prevenção/mitigação deve ter em conta a vulnerabilidade dos utentes da estrada envolvidos. |
2.1.3. |
Após a manobra evasiva, o veículo deve tentar restabelecer uma deslocação estável assim que tecnicamente possível. |
2.1.4. |
O sinal para ativar as luzes de aviso de perigo deve ser emitido automaticamente em conformidade com as regras de trânsito. Se o veículo totalmente automatizado voltar a arrancar automaticamente, o sinal para desativar as luzes de aviso de perigo deve ser emitido automaticamente. |
2.1.5. |
Em caso de acidente rodoviário que envolva o veículo totalmente automatizado, o ADS deve tentar parar o veículo totalmente automatizado e realizar uma manobra de risco mínimo para atingir a condição de risco mínimo. O ADS não deve poder restabelecer o funcionamento normal enquanto não tiver sido confirmada a segurança do estado operacional dos veículos totalmente automatizados através de controlos automáticos do ADS e/ou do operador a bordo (se aplicável) ou do operador de intervenção à distância (se aplicável). |
3. DDT em situações-limite do ODD
3.1. |
O ADS deve reconhecer as suas condições em termos de ODD e as situações-limite do ODD. |
3.1.1. |
O ADS deve ser capaz de determinar se estão reunidas as condições para a ativação do ADS. |
3.1.2. |
O ADS deve detetar e reagir quando não estiverem ou deixarem de estar preenchidas uma ou mais condições do ODD. |
3.1.3. |
O ADS deve ser capaz de antecipar saídas do ODD. |
3.1.4. |
As condições e as situações-limite do ODD devem ser estabelecidas pelo fabricante. |
3.1.4.1. |
As condições do ODD que devem ser reconhecidas pelo ADS incluem:
|
3.1.5. |
Quando o ADS atingir uma situação-limite do ODD, deve executar uma MRM para atingir uma MRC e avisar o operador a bordo ou operador à distância em conformidade (conforme aplicável). |
4. DDT em cenários de avaria
4.1. |
O ADS deve detetar e reagir a comportamentos anómalos por parte do veículo e/ou do ADS. |
4.1.1. |
O ADS deve realizar o autodiagnóstico de anomalias e avarias. |
4.1.2. |
O ADS deve avaliar a sua capacidade para executar a totalidade da DDT. |
4.1.2.1. |
O ADS deve reagir de forma segura a uma anomalia/avaria do ADS que não comprometa significativamente o seu desempenho. |
4.1.2.2. |
O ADS deve executar uma MRM para alcançar a MRC em caso de avaria do ADS e/ou de outro sistema do veículo que impeça o ADS de executar a DDT. |
4.1.2.3. |
O ADS deve sinalizar eventuais avarias graves e o estado operacional destas resultante imediatamente após a sua deteção aos ocupantes do veículo, ao operador a bordo (se disponível) ou ao operador de intervenção à distância (se pertinente), bem como aos outros utentes da estrada, em conformidade com as regras de trânsito (por exemplo, ativação das luzes de aviso de perigo). |
4.1.2.4. |
Se houver avarias que afetem o desempenho de travagem ou de direção do veículo, a MRM deve ser efetuada tendo em consideração o desempenho restante. |
5. Manobra de risco mínimo (MRM) e condição de risco mínimo (MRC)
5.1. |
Durante a MRM, o veículo totalmente automatizado com o ADS deve abrandar, com o objetivo de atingir um pedido de desaceleração inferior a 4,0 m/s2, para uma imobilização total no local mais seguro possível, tendo em conta a circulação e a infraestrutura rodoviária envolventes. São permitidos valores de pedido de desaceleração mais elevados em caso de avaria grave do veículo totalmente automatizado ou do ADS. |
5.2. |
O ADS deve sinalizar a sua intenção de colocar o veículo totalmente automatizado em MRC aos seus ocupantes, bem como aos outros utentes da estrada, em conformidade com as regras de trânsito (por exemplo, ativando as luzes de aviso de perigo). |
5.3. |
O veículo totalmente automatizado só deve sair da MRC após confirmação, por meio de autoverificação por parte do ADS ou/e pelo operador a bordo (se aplicável) ou pelo operador de intervenção à distância (se aplicável), de que as causas que estiveram na origem da MRM já não estão presentes. |
6. Interação homem-máquina
6.1. |
Devem ser fornecidas informações adequadas aos ocupantes do veículo totalmente automatizado, sempre que tal seja necessário para o seu funcionamento seguro e no que diz respeito aos perigos para a segurança. |
6.2. |
Se o conceito de segurança do ADS incluir um operador de intervenção à distância, o veículo totalmente automatizado deve proporcionar aos ocupantes do veículo um meio de comunicar com um operador de intervenção à distância através de uma interface audiovisual a partir do interior do veículo totalmente automatizado. Devem ser utilizados sinais inequívocos para a interface de comunicação audiovisual (por exemplo, ISO 7010 E004). |
6.3. |
O ADS deve fornecer aos ocupantes do veículo um meio para solicitar uma manobra de risco mínimo para parar o veículo totalmente automatizado. Em caso de emergência:
|
6.4. |
Se o conceito de segurança do ADS incluir um operador de intervenção à distância, o veículo totalmente automatizado deve proporcionar sistemas de visão (por exemplo, câmaras em conformidade com o capítulo 6 da norma ISO16505:2019) do espaço para ocupantes no interior e do espaço em redor do veículo, a fim de permitir ao operador de intervenção à distância avaliar a situação no interior e no exterior do veículo. |
6.5. |
Se o conceito de segurança do ADS incluir um operador de intervenção à distância, deve ser possível para o operador de intervenção à distância abrir a porta de serviço de funcionamento assistido. |
6.6. |
O ADS deve ativar os sistemas pertinentes do veículo quando necessário e aplicável (por exemplo, abrir portas, ativar os limpa-para-brisas em caso de chuva, ativar o sistema de aquecimento, etc.) |
7. Segurança funcional e operacional
7.1. |
O fabricante deve demonstrar que foi tido um grau aceitável de consideração no que respeita à segurança funcional e operacional do ADS durante os seus processos de conceção e desenvolvimento. As medidas adotadas pelo fabricante devem assegurar que o veículo totalmente automatizado não apresenta riscos irrazoáveis para a segurança dos ocupantes do veículo e dos outros utentes da estrada durante a vida útil do veículo, em comparação com serviços e situações de transporte equiparáveis dentro do âmbito do seu domínio operacional. |
7.1.1. |
O fabricante deve definir os critérios de aceitação a partir dos quais se determinam os objetivos de validação do ADS para avaliar o risco residual para o ODD, tendo em conta, consoante disponíveis, os dados sobre acidentes existentes (1), os dados sobre o desempenho de veículos manuais conduzidos de forma competente e cuidadosa e as tecnologias mais avançadas. |
7.2. |
O fabricante deve dispor de processos para gerir a segurança e a conformidade permanente do ADS ao longo da sua vida útil (desgaste dos componentes, especialmente para sensores, novos cenários de tráfego, etc.). |
8. Cibersegurança e atualizações de software
8.1. |
O ADS deve estar protegido contra o acesso não autorizado, em conformidade com o Regulamento n.o 155 da ONU (2). |
8.2. |
O ADS deve dispor da capacidade de receber atualizações de software. A eficácia dos procedimentos e processos de atualização do software relativos ao ADS deve ser demonstrada pela conformidade com o Regulamento n.o 156 da ONU (3). |
8.2.1 |
Tal como especificado no Regulamento relativo a atualizações de software e a sistemas de gestão de atualizações do software, para assegurar que o software do sistema pode ser identificado, deverá ser utilizado um R2022/1426SWIN. O R2022/1426 SWIN poderá ser mantido no veículo ou, se este não for mantido no veículo, o fabricante deve declarar à entidade homologadora as versões de software do veículo ou de unidades de controlo eletrónico (UCE) únicas com ligação às homologações pertinentes. |
8.2.2 |
O fabricante deve fornecer as seguintes informações na ficha de informações:
|
8.2.3. |
O fabricante pode fornecer na ficha de informações uma lista dos parâmetros pertinentes que permitirão a identificação dos veículos que podem ser atualizados com o software representado pelo R2022/1426SWIN. O fabricante deve declarar a informação fornecida, que poderá não ser verificada por uma entidade homologadora. |
8.2.4. |
O fabricante pode obter uma nova homologação de veículo com a finalidade de diferenciar as versões do software destinadas a serem utilizadas em veículos que já se encontram matriculados das versões do software utilizadas em veículos novos. Tal pode abranger situações em que os regulamentos em matéria de homologação são atualizados ou quando são feitas alterações ao hardware em veículos de produção em série. Com a anuência da entidade homologadora, a duplicação de ensaios deve ser evitada sempre que possível. |
9. Requisitos em matéria de dados do ADS e elementos de dados específicos para o aparelho de registo de eventos em veículos totalmente automatizados
9.1. |
O ADS deve registar as seguintes ocorrências sempre que for ativado: |
9.1.1. |
Ativação/reinicialização do ADS (se aplicável); |
9.1.2. |
Desativação do ADS (se aplicável); |
9.1.3. |
Pedido enviado pelo ADS ao operador de intervenção à distância (se aplicável); |
9.1.4. |
Pedido/instruções enviadas pelo operador de intervenção à distância (se aplicável); |
9.1.5. |
Início do funcionamento de emergência; |
9.1.6. |
Fim do funcionamento de emergência; |
9.1.7. |
Envolvimento numa colisão detetada; |
9.1.8. |
Intervenção que ativa o gravador de dados de eventos (EDR – Event Data Recorder); |
9.1.9. |
Ativação da manobra de risco mínimo pelo ADS; |
9.1.10. |
Condição de risco mínima atingida pelo veículo totalmente automatizado; |
9.1.11. |
Avaria do ADS (descrição). |
9.1.12. |
Avaria do veículo |
9.1.13. |
Início do procedimento de mudança da via de trânsito |
9.1.14. |
Fim do procedimento de mudança da via de trânsito |
9.1.15. |
Cancelamento do procedimento de mudança da via de trânsito |
9.1.16. |
Início da travessia intencional da via de trânsito |
9.1.17. |
Fim da travessia intencional da via de trânsito |
9.2 |
Só é obrigatório armazenar os registos das ocorrências referidas nos pontos 9.1.13, 9.1.14, 9.1.16 e 9.1.17 se estas ocorrerem 30 segundos antes das ocorrências referidas nos pontos 9.1.5, 9.1.7, 9.1.15 ou 9.1.8: |
9.3. |
Elementos de dados do ADS |
9.3.1. |
Para cada ocorrência enumerada no ponto 9.1, devem ser registados os seguintes elementos de dados de forma claramente identificável: |
9.3.2. |
O sinal de ocorrência registado; |
9.3.3. |
O motivo da ocorrência, se aplicável; |
9.3.4. |
Data (resolução: aaaa/mm/dd); |
9.3.5. |
Localização (coordenadas GPS); |
9.3.6. |
Carimbo temporal:
|
9.4. |
Para cada ocorrência registada devem ser claramente identificáveis o RXSWIN ou as versões do software, com indicação do software que estava presente no momento da ocorrência do evento. |
9.5. |
Pode ser autorizado um único carimbo temporal para vários elementos registados em simultâneo na resolução temporal dos vários elementos dos dados. Se houver mais de um elemento registado com o mesmo carimbo temporal, a informação proveniente de cada um dos elementos deve indicar a sua ordem cronológica. |
9.6. |
Disponibilidade dos dados |
9.6.1. |
Os elementos de dados do ADS devem estar disponíveis em conformidade com os requisitos especificados no direito da União ou nacional (4). |
9.6.2. |
Uma vez atingidos os limites da capacidade de armazenamento, os dados existentes só podem ser substituídos por meio de um processo «primeiro a entrar, primeiro a sair», respeitando os requisitos aplicáveis em matéria de disponibilidade dos dados.
O fabricante deve fornecer documentos comprovativos da capacidade de armazenamento. |
9.6.3. |
Para os veículos das categorias M1 e N1 , deve ser possível recuperar os elementos de dados mesmo após um choque com um nível de gravidade definido nos Regulamentos n.os 94 (5), 95 (6) ou 137 (7) da ONU. |
9.6.4. |
Para os veículos das categorias M2, M3, N2 e N3, deve ser possível recuperar os elementos de dados enumerados no ponto 9.2 mesmo após uma colisão. Para demonstrar essa capacidade, aplica-se o seguinte:
Quer:
|
9.6.5. |
Se a principal fonte de alimentação de energia elétrica a bordo do veículo não estiver disponível, deve continuar a ser possível recuperar todos os dados registados. |
9.6.6. |
Os dados armazenados devem ser facilmente legíveis de forma normalizada, por meio de uma interface de comunicação eletrónica, pelo menos através da interface normalizada (porta OBD). |
9.7 |
Elementos de dados específicos para o aparelho de registo de eventos em veículos totalmente automatizados |
9.7.1. |
No caso dos veículos equipados com um aparelho de registo de eventos em conformidade com o artigo 6.o do Regulamento (UE) 2019/2144, deve ser possível aceder, através da interface normalizada (porta OBD), aos elementos de dados do ADS referidos nos pontos 9.3.1 e 9.3.2, registados durante, pelo menos, os últimos 30 segundos antes da última ativação do sinal de ocorrência «Intervenção que ativa o gravador de dados de eventos (EDR – Event Data Recorder)», juntamente com os elementos de dados especificados no Regulamento n.o 160 da ONU (9), anexo 4 (Dados do RDE). |
9.7.2. |
Na ausência de qualquer ocorrência referida no ponto 9.1 nos últimos 30 segundos antes da última ativação do sinal de ocorrência «Intervenção que ativa o gravador de dados de eventos (EDR)», deve ser possível aceder, para além dos dados do RDE, pelo menos ao elemento de dados correspondente às últimas ocorrências no mesmo ciclo energético referido nos pontos 9.1.1 e 9.1.2. |
9.7.3. |
Os elementos de dados obtidos em conformidade com os pontos 9.7.1 ou 9.7.2 não devem incluir a data, o carimbo temporal ou quaisquer outras informações que permitam a identificação do veículo, do seu utilizador ou do seu proprietário. Em vez disso, o carimbo temporal deve ser substituído por informações que representem a diferença de tempo entre o sinal de ocorrência «Intervenção que ativa o gravador de dados de eventos (EDR)» e o sinal de ocorrência do respetivo elemento de dados do ADS. |
9.8. |
O fabricante deve fornecer instruções sobre como aceder aos dados. |
9.9. |
Proteção contra a manipulação |
9.9.1. |
Dever-se-á assegurar que existe proteção adequada contra a manipulação (por exemplo, apagamento de dados) dos dados armazenados, como por exemplo, através da conceção contra manipulação não autorizada. |
10. Modo de condução manual.
10.1. |
Se o ADS permitir a condução manual para efeitos de manutenção ou para assumir o comando após a realização de uma manobra de risco mínimo no veículo totalmente automatizado, a velocidade do veículo deve ser limitada a 6 km/h e o veículo deve dispor de meios que permitam à pessoa que conduz o veículo desempenhar a tarefa de condução com segurança, em conformidade com o conceito de segurança do fabricante. Exceto em caso de avaria, o ADS deve continuar a detetar obstáculos (por exemplo, veículos ou peões) na área de manobra e deve prestar auxílio ao condutor na imobilização imediata do veículo para prevenir uma colisão. |
10.2. |
Se a condução manual estiver limitada a 6 km/h, não é necessário que o condutor permaneça dentro do veículo totalmente automatizado. O controlo pode ser realizado através de um comando à distância localizado nas imediações do veículo, desde que este permaneça na linha de visão direta do condutor. A distância máxima à qual será possível controlar o veículo por meio de um comando à distância não deve ultrapassar os 10 metros. |
10.3. |
Se, em condução manual, o veículo se destinar a ser conduzido a velocidades superiores a 6 km/h, o veículo deve ser considerado como um veículo bimodal. |
11. Manual de utilização
11.1. |
O fabricante deve elaborar um manual de utilização. O objetivo do manual de utilização é garantir o funcionamento seguro do veículo totalmente automatizado através de instruções pormenorizadas destinadas ao proprietário, aos ocupantes do veículo, ao operador de serviços de transporte, ao operador a bordo, ao operador de intervenção à distância e a quaisquer autoridades nacionais competentes.
Se o veículo totalmente automatizado incluir a possibilidade de condução manual para efeitos de manutenção ou para assumir o comando após uma manobra de risco mínimo, o manual de utilização também deve cobrir este tema. |
11.2. |
O manual de utilização deve incluir a descrição funcional do ADS. |
11.3. |
O manual de utilização deve incluir as medidas técnicas (por exemplo, verificações e trabalhos de manutenção do veículos e infraestruturas exteriores, requisitos em matéria de infraestruturas físicas e de transporte, tais como marcadores de localização e sensores de perceção), as restrições operacionais (por exemplo, limitação da velocidade, via de trânsito específica, separação física de trânsito no sentido oposto), as condições ambientais (por exemplo, ausência de neve) e as medidas operacionais (por exemplo, necessidade de operador a bordo ou de operador de intervenção à distância) necessárias para garantir a segurança durante o funcionamento do veículo totalmente automatizado. |
11.4. |
O manual de utilização deve descrever as instruções para os ocupantes do veículo, para o operador de serviços de transporte, para o operador a bordo (se aplicável), para o operador de intervenção à distância (se aplicável) e para as autoridades públicas em caso de avarias e pedido do ADS. |
11.5. |
O manual de utilização deve estabelecer regras para assegurar uma realização adequada da manutenção, de ensaios globais e de inspeções adicionais. |
11.6. |
O manual de utilização deve ser apresentado à entidade homologadora juntamente com o pedido de homologação e deve ser anexado ao certificado de homologação. |
11.7. |
O manual de utilização deve ser disponibilizado ao proprietário e, se aplicável, ao operador de serviços de transporte, ao operador a bordo (se aplicável), ao operador de intervenção à distância (se aplicável) e a todas as autoridades nacionais competentes. |
12. Disposições relativas às inspeções técnicas periódicas
12.1. |
Para efeitos da inspeção técnica periódica, deve ser possível verificar as seguintes características do ADS: |
a) |
O seu bom estado de funcionamento, através de uma observação visual do estado do sinal de aviso de avaria na sequência da ativação do comutador principal de controlo do veículo e de uma verificação do funcionamento das lâmpadas. Se o sinal de aviso de avaria for apresentado num espaço comum (área onde se podem apresentar duas ou mais funções ou símbolos de informação, mas não em simultâneo), é necessário verificar primeiro se o espaço comum é funcional antes da verificação do estado do sinal de alerta de avaria; |
b) |
O seu bom funcionamento e a integridade do software, através da utilização de uma interface eletrónica do veículo, como a estabelecida no anexo III, secção I, ponto 14, da Diretiva 2014/45/UE do Parlamento Europeu e do Conselho (10), sempre que as características técnicas do veículo o permitam e os dados necessários estejam disponíveis. Os fabricantes devem assegurar a disponibilização das informações técnicas para a utilização da interface eletrónica do veículo, em conformidade com o artigo 6.o do Regulamento de Execução (UE) 2019/621 (11). |
(1) Por exemplo, com base nos dados atuais relativos a acidentes de autocarros, camionetas, camiões e automóveis ligeiros na UE, poderia ser considerado um critério de aceitação agregado de referência de 10-7 vítimas mortais por hora de funcionamento para a introdução no mercado de ADS para serviços e situações de transporte equiparáveis. O fabricante poderá utilizar outras métricas e métodos, desde que consiga demonstrar que não apresentam riscos irrazoáveis para a segurança por comparação com outras situações e serviços de transporte comparáveis dentro do âmbito operacional.
(2) JO L 82 de 9.3.2021, p. 30.
(3) JO L 82 de 9.3.2021, p. 60.
(4) Recomenda-se uma capacidade de armazenamento de 2 500 carimbos temporais para corresponder a um período de 6 meses de utilização.
(5) JO L 392 de 5.11.2021, p. 1.
(6) JO L 392 de 5.11.2021, p. 62.
(7) JO L 392 de 5.11.2021, p. 130.
(8) JO L 449 de 15.12.2021, p. 1.
(9) JO L 265 de 26.7.2021, p. 3.
(10) Diretiva 2014/45/UE do Parlamento Europeu e do Conselho, de 3 de abril de 2014, relativa à inspeção técnica periódica dos veículos a motor e dos seus reboques e que revoga a Diretiva 2009/40/CE (JO L 127 de 29.4.2014, p. 51).
(11) Regulamento de Execução (UE) 2019/621 da Comissão, de 17 de abril de 2019, relativo às informações técnicas necessárias para a inspeção técnica dos itens a inspecionar, à aplicação dos métodos de inspeção recomendados, e que estabelece normas pormenorizadas relativas ao formato dos dados e aos procedimentos de acesso às informações técnicas relevantes (JO L 108 de 23.4.2019, p. 5).
ANEXO III
Avaliação da Conformidade
A avaliação global da conformidade do ADS baseia-se nos seguintes elementos:
— |
Parte 1: Cenários de tráfego a considerar |
— |
Parte 2: A avaliação do conceito de segurança do ADS e a auditoria do sistema de gestão de segurança do fabricante. |
— |
Parte 3: Os ensaios dos cenários de tráfego mais pertinentes. |
— |
Parte 4: Os princípios a aplicar para a avaliação da credibilidade da utilização de cadeias de ferramentas virtuais para validação dos ADS |
— |
Parte 5: O sistema definido pelo fabricante para assegurar a comunicação de informações em serviço. |
Todos os requisitos do anexo II podem ser verificados por meio de ensaios realizados pela entidade homologadora (ou pelo seu serviço técnico).
PARTE 1
CENÁRIOS DE TRÁFEGO A CONSIDERAR
1. |
Conjunto mínimo de cenários de tráfego |
1.1. |
Os cenários e parâmetros enumerados no ponto 1 devem ser utilizados sempre que esses cenários sejam relevantes para o ODD do ADS.
Se o fabricante se desviar dos parâmetros propostos no ponto 1, as métricas de desempenho de segurança e os pressupostos inerentes utilizados pelo fabricante devem ser documentados no dossiê. As métricas de desempenho de segurança e os pressupostos inerentes escolhidos devem demonstrar que o veículo totalmente automatizado não apresenta riscos de segurança irrazoáveis. A validade dessas métricas de desempenho de segurança e dos pressupostos inerentes deve ser corroborada por dados de monitorização em serviço. |
1.2. |
Parâmetros a utilizar pelo veículo totalmente automatizado nos cenários de mudança de via de trânsito |
1.2.1. |
No que diz respeito à mudança de via de trânsito, devem ser aplicados os cenários e parâmetros em conformidade com o Regulamento n.o 157 da ONU (1). |
1.3. |
Parâmetros a utilizar pelo veículo totalmente automatizado nos cenários de viragem ou cruzamento. |
1.3.1. |
Na ausência de regras de trânsito mais específicas, devem ser tidos em conta os seguintes requisitos no que diz respeito à interação com outros utentes da estrada envolvidos na manobra de viragem e cruzamento (ver figura 1) em condições de pavimento seco e adequado. |
1.3.2. |
No caso de convergência para uma via de trânsito com prioridade durante a viragem, quer seja ou não necessário atravessar o sentido de trânsito oposto, o trânsito com prioridade na via de trânsito que se pretende seguir não deve ter de desacelerar. No entanto, é necessário garantir que o TTC do tráfego com prioridade que se aproxima na estrada que se pretende seguir (caso «a)» na figura 1) nunca desça abaixo do valor-limiteTTC
dyn
definido por:
Em que:
|
1.3.3. |
No caso de uma manobra de viragem que atravessa o sentido de trânsito oposto, o trânsito com prioridade na via de trânsito que se pretende seguir não deve ter de desacelerar em relação ao trânsito em aproximação. No entanto, se a densidade de trânsito o justificar, para além da distância em relação ao trânsito com prioridade em aproximação na estrada que se pretende seguir, deve garantir-se que o TTC do trânsito com prioridade no cruzamento em relação ao hipotético ponto de colisão (o ponto de intersecção das trajetórias: caso «b)» na figura 1) nunca fique abaixo do valor-limite TTC
int
definido por:
Em que:
O mesmo se aplica aos cruzamentos com trânsito com prioridade (caso «c)» na figura 1): o TTC do trânsito com prioridade em relação ao ponto de colisão hipotético (ponto de intersecção das trajetórias) nunca deve ser inferior ao
Figura 1: Visualização das distâncias durante a viragem e o cruzamento. Caso a): Distância a guardar em relação ao trânsito com prioridade que se aproxima na via de trânsito que se pretende seguir, ao virar e convergir numa via de trânsito com prioridade. Caso b): Distância a guardar em relação ao trânsito com prioridade no sentido oposto, ao virar e atravessar a via de trânsito no sentido oposto. Caso c): distância em relação ao trânsito com prioridade no cruzamento, que deve ser respeitada no momento da travessia. |
1.4. |
Parâmetros a utilizar pelo veículo totalmente automatizado nos cenários de manobra de emergência (DDT em cenários críticos) |
1.4.1. |
O ADS deve prevenir a colisão com o veículo da frente quando este desacelera até à travagem completa, desde que nenhum outro veículo tenha entrado subitamente na via. |
1.4.2. |
As colisões com veículos que entrem subitamente na via, peões e ciclistas que circulem no mesmo sentido, bem como com peões que comecem a atravessar a faixa de rodagem a pé devem ser prevenidas pelo menos nas condições determinadas pela seguinte equação.
Em que: representa o tempo até à colisão no momento da entrada súbita do veículo ou do ciclista em mais de 30 cm na via de trânsito do veículo totalmente automatizado. v rel representa a velocidade relativa em metros por segundo (m/s) entre o veículo totalmente automatizado e o veículo que entra subitamente na via (valor positivo se o ADS for mais rápido do que o veículo a entrar na via). β representa a desaceleração máxima do veículo totalmente automatizado, que se assume como sendo igual a:
O cumprimento desta equação só é exigido na situação de utentes da estrada que entram subitamente na via, e apenas se estes utentes da estrada tiverem sido visíveis pelo menos 0,72 segundos antes da entrada: Isto leva à necessidade de prevenir a colisão quando outro utente da estrada entra na via de trânsito com valores TTC superiores aos abaixo enunciados (o exemplo representa velocidades em intervalos de 10 km/h). Estes requisitos devem ser cumpridos independentemente das condições ambientais.
Se for efetuada uma mudança de via de trânsito com um TTC inferior para a via em que o veículo totalmente automatizado circula, já não se pode presumir que haverá prevenção de colisões. A estratégia de comando do ADS só pode mudar entre prevenção e mitigação de colisões se o fabricante puder demonstrar que esta mudança aumenta a segurança dos ocupantes do veículo e dos outros utentes da estrada (por exemplo, dando prioridade à travagem em detrimento de uma manobra alternativa). |
1.4.3. |
O ADS deve prevenir a colisão com um peão ou um ciclista que atravessa à frente do veículo. |
1.4.3.1. |
Condições de condução urbana e rural |
1.4.3.1.1. |
O ADS deve prevenir a colisão, até uma velocidade de 60 km/h, com um peão que atravesse a via à frente do veículo, do qual a visão esteja desobstruída, com um componente de deslocação lateral não superior a 5 km/h ou com um ciclista que atravesse a via à frente do veículo, do qual a visão esteja desobstruída com uma componente de deslocação lateral não superior a 15 km/h. Este comportamento deve ser assegurado independentemente da manobra específica que o ADS esteja a executar. |
1.4.3.1.2. |
Se o peão ou o ciclista se deslocarem a velocidades superiores aos valores acima referidos e já não for possível para o ADS prevenir a colisão, a estratégia de comando do ADS só pode mudar entre prevenção e mitigação de colisões se o fabricante puder demonstrar que esta mudança aumenta a segurança dos ocupantes do veículo e dos outros utentes da estrada (por exemplo, dando prioridade à travagem em detrimento de uma manobra alternativa). |
1.4.3.1.3. |
O ADS deve mitigar a colisão com um peão ou um ciclista que atravessa à frente do veículo, do qual a visão esteja obstruída, reduzindo a sua velocidade em pelo menos 20 km/h no momento do impacto. Este comportamento deve ser assegurado independentemente da manobra específica que o ADS esteja a executar. |
1.4.3.1.4. |
Os cenários de ensaio e avaliação desenvolvidos no âmbito do Programa Europeu de Avaliação de Novos Veículos (Euro NCAP) podem servir de orientação para demonstrar o cumprimento dos requisitos anteriores relacionados com a travessia de peões e ciclistas à frente do veículo. |
1.4.3.2. |
Condições de condução em autoestrada |
1.4.3.2.1. |
No que diz respeito à travessia de peões, devem ser aplicados os cenários pertinentes conforme especificado no Regulamento n.o 157 da ONU. |
1.4.3.2.2. |
Se o peão atravessar a via com valores de parâmetros fora dos limiares estabelecidos no Regulamento n.o 157 da ONU e já não for possível para o ADS prevenir a colisão, a estratégia de comando do ADS só pode mudar entre prevenção e mitigação de colisões se o fabricante puder demonstrar que esta mudança aumenta a segurança dos ocupantes do veículo e dos outros utentes da estrada (por exemplo, dando prioridade à travagem em detrimento de uma manobra alternativa). |
1.5. |
Entrada na autoestrada
O veículo totalmente automatizado deve ser capaz de entrar na autoestrada de forma segura, adaptando a velocidade ao fluxo de tráfego, e ativar o indicador de mudança de direção em conformidade com as regras de trânsito. O indicador de mudança de direção deve ser desativado quando o veículo terminar de executar a manobra de mudança de via de trânsito (LCM). Devem ser aplicados os parâmetros utilizados no cenário de mudança de via de trânsito. |
1.6. |
Saída da autoestrada
O veículo totalmente automatizado deve ser capaz de antecipar a saída da autoestrada pretendida, circulando na via adjacente à via da saída e não deve desacelerar desnecessariamente antes do início da LCM para a via da saída. O veículo totalmente automatizado deve ativar o indicador de mudança de direção em conformidade com as regras de trânsito e executar a LCM para a via de saída sem demoras injustificadas. O indicador de mudança de direção deve ser desativado quando a LCM terminar em conformidade com as regras de trânsito do país em que o veículo circula. |
1.7. |
Passagem por portagem
Dependendo do ODD, o veículo totalmente automatizado deve ser capaz de selecionar o portão de passagem adequado e adaptar a sua velocidade aos limites permitidos na zona de portagem, tendo em conta o fluxo de tráfego. |
1.8. |
Circulação noutros tipos de estrada que não autoestradas
Consoante o ODD, deve ser aplicado o cenário pertinente definido nos pontos 1.2 a 1.4 acima. |
1.9. |
Parâmetros a utilizar para o estacionamento automatizado |
1.9.1. |
Consoante o ODD, devem ser aplicados os cenários pertinentes definidos nos pontos 1.3 a 1.5 acima. Os parâmetros a utilizar para estes cenários podem ter de ser adaptados para ter em conta a velocidade de condução limitada e a falta geral de visibilidade que pode ocorrer nas instalações de estacionamento. Deve ser dada especial atenção à prevenção de colisões com peões e, em especial, com crianças e carrinhos de bebé. |
2. |
Cenários não abrangidos pelo ponto 1. |
2.1. |
Devem ser criados cenários não enumerados no ponto 1 para abranger situações críticas razoavelmente previsíveis, incluindo avarias e perigos de trânsito dentro do âmbito do domínio de conceção operacional. |
2.2. |
Nas situações em que as capacidades do ADS dependam de capacidades de controlo à distância, os cenários devem incluir avarias e perigos de trânsito decorrentes das capacidades de controlo à distância correspondentes. |
2.3. |
O método seguido para criar cenários não enumerados no ponto 1 deve seguir os princípios estabelecidos no apêndice 1 da parte 1 do presente anexo. |
2.4. |
O método utilizado pelo fabricante para criar cenários não enumerados no ponto 1 deve ser documentado no dossiê a fornecer para a avaliação do ADS.
Apêndice 1 Princípios a seguir para determinar cenários relevantes para o ODD do ADS
1. Criação e classificação de cenários Do ponto de vista qualitativo, os cenários podem ser classificados como Nominal/Crítico/Avaria e corresponder a funcionamento normal ou de emergência. Para cada uma destas categorias, podem ser utilizadas uma abordagem baseada em dados e uma abordagem baseada no conhecimento para criar cenários de tráfego correspondentes. Uma abordagem baseada no conhecimento utiliza conhecimentos especializados para identificar sistematicamente eventos perigosos e criar cenários. Uma abordagem baseada em dados utiliza os dados disponíveis para identificar e classificar os cenários que ocorrem. Os cenários devem ser determinados a partir do ODD do veículo totalmente automatizado. 2. Cenários nominais Uma série de quadros analíticos pode ajudar o fabricante a determinar cenários nominais adicionais para garantir a cobertura de uma aplicação específica. Estes quadros dividem-se em: 2.1. Análise do ODD Um ODD consiste em elementos paisagísticos (por exemplo, infraestruturas físicas), condições ambientais, elementos dinâmicos (por exemplo, trânsito, utentes da estrada vulneráveis) e restrições operacionais à aplicação específica do ADS. O objetivo desta análise é identificar as características do ODD, atribuir propriedades e definir interações entre os objetos. Neste contexto, é estudado o efeito do ODD nas competências do ADS comportamentais. O quadro 1 apresenta um exemplo da análise. Quadro 1 Elementos dinâmicos e suas propriedades
2.2. Análise de OEDR: Identificação de competências comportamentais Uma vez identificados os objetos e as propriedades pertinentes, é possível determinar a resposta adequada do ADS. A resposta do ADS baseia-se nos requisitos funcionais aplicáveis e na aplicação dos requisitos de desempenho do presente regulamento e das regras de trânsito do país em que o veículo circula. O resultado da análise de OEDR é ele próprio um conjunto de competências que podem ser associadas às competências comportamentais aplicáveis ao ODD, a fim de assegurar o cumprimento dos requisitos regulamentares e legais aplicáveis. O quadro 2 apresenta um exemplo qualitativo de uma correspondência evento — resposta. A combinação entre objetos, eventos e suas potenciais interações, como função dentro do ODD, constituem o conjunto de cenários nominais pertinentes para o ADS em análise. A identificação de cenários nominais pode beneficiar de uma combinação melhorada de descritores de cenários que abranjam, dentro do ODD, por exemplo, os atributos das infraestruturas, as características dos objetos e eventos, perigos que afetem as respostas (por exemplo, condições meteorológicas, visibilidade). A identificação de cenários nominais não está limitada às condições de tráfego, abrangendo também as condições ambientais, os fatores humanos, a conectividade e as falhas de comunicação. Uma vez que os parâmetros (pressupostos) para os eventos ainda não foram definidos, os cenários nominais determinados a partir da aplicação da análise devem ser tidos em conta no seu nível de abstração funcional e lógico. Quadro 2 Competências comportamentais para eventos específicos
3. Cenários críticos Os cenários críticos podem ser determinados tendo em consideração pressupostos de casos de emergência sobre cenários de tráfego nominais (baseados em dados) ou aplicando métodos normalizados (baseados no conhecimento) para avaliar as insuficiências operacionais (ver exemplo de métodos no ponto 3.5.5 da parte 2). A identificação de cenários críticos pode beneficiar de uma combinação melhorada de descritores de cenários e valores-limite que abranjam, dentro do ODD, por exemplo, os atributos das infraestruturas, as características dos objetos e eventos, perigos que afetem as respostas (por exemplo, condições meteorológicas, visibilidade, máscaras, interações com outros utentes da estrada que não o objeto ou evento visado). A identificação de cenários críticos não está limitada às condições de tráfego, abrangendo também as condições ambientais, os fatores humanos, a conectividade e as falhas de comunicação. Os cenários críticos correspondem ao funcionamento de emergência do ADS. 4. Cenários de avaria Estes cenários visam avaliar a forma como o ADS responde a uma avaria. A literatura prevê vários métodos diferentes (ver exemplo de métodos no ponto 3.5.5 da parte 2). Ao desenvolver o ADS, o fabricante deve implementar estratégias pertinentes para dar resposta a todas as avarias de comportamento e efeitos consequentes identificados (ou seja, um mecanismo de segurança intrínseca). Ao aplicar os cenários de avaria, o objetivo é avaliar a capacidade do ADS para cumprir os requisitos aplicáveis a situações críticas para a segurança, incluindo, por exemplo, «O ADS deve gerir situações de condução críticas para a segurança» e «O ADS deve gerir com segurança os modos de anomalia» e respetivos sub-requisitos. 5. Pressupostos lógicos para cenários concretos Para garantir que os cenários identificados nos pontos anteriores estão prontos para ser avaliados através de simulações ou de ensaios físicos, o fabricante pode ter de os parametrizar de forma coerente, aplicando pressupostos. O fabricante deve fornecer provas que corroborem os pressupostos formulados, tais como campanhas de recolha de dados realizadas durante a fase de desenvolvimento, acidentologia em situações reais e avaliações do comportamento de condução realistas. Os parâmetros utilizados para caracterizar os cenários críticos devem cobrir os valores razoavelmente previsíveis dos descritores de cenários, mas não devem estar limitados a valores já registados em bases de dados documentadas. |
PARTE 2
AVALIAÇÃO DO CONCEITO DE SEGURANÇA DO ADS E AUDITORIA DO SISTEMA DE GESTÃO DE SEGURANÇA DO FABRICANTE.
1. Aspetos gerais
1.1. |
A entidade homologadora que concede a homologação, ou o serviço técnico que atua em seu nome, deve verificar, através de controlos por amostragem e ensaios específicos, em especial, e tal como especificado no ponto 4 do presente anexo, que os argumentos de segurança fornecidos na documentação estão em conformidade com os requisitos do anexo II e que a conceção e os processos descritos na documentação foram efetivamente aplicados pelo fabricante. |
1.2. |
Embora, com base na documentação fornecida, nas provas apresentadas para a auditoria do sistema de gestão de segurança e nas avaliações do conceito de segurança do ADS realizadas a contento da entidade homologadora, em conformidade com o presente regulamento, o nível de risco de segurança residual do ADS homologado seja considerado aceitável para a entrada em circulação do modelo de veículo, a segurança geral do ADS durante o seu ciclo de vida em conformidade com os requisitos do presente regulamento continua a ser da responsabilidade do fabricante que solicita a homologação. |
2. Definições
Para efeitos do presente anexo, entende-se por:
2.1. |
«Conceito de segurança», uma descrição das medidas incorporadas no ADS de forma a que o veículo totalmente automatizado funcione, nos cenários e eventos pertinentes do ODD sem apresentar riscos irrazoáveis para a segurança dos seus ocupantes e dos outros utentes da estrada em condições de avaria (segurança funcional) e não-avaria (segurança operacional). A possibilidade de recorrer em modo de recuperação de falhas a um funcionamento parcial ou mesmo a um sistema de reserva para manter as funções vitais do ADS deve fazer parte do conceito de segurança. |
2.2. |
«Unidades», as mais pequenas divisões de componentes do sistema em consideração no presente anexo, uma vez que estas combinações de componentes serão tratadas como entidades únicas para efeitos de identificação, análise ou substituição. |
2.3. |
«Ligações de transmissão», os meios utilizados para interconectar as diferentes unidades para efeitos de transmissão de sinais e de dados operacionais ou de alimentação de energia. Este equipamento é geralmente elétrico, mas pode, em certa medida, ser mecânico, pneumático ou hidráulico. |
2.4. |
«Alcance do controlo», uma variável de saída que define a extensão potencial do controlo exercido pelo sistema. |
2.5. |
«Limites de funcionamento», os limites físicos exteriores dentro dos quais o ADS tem capacidade para realizar as tarefas de condução dinâmica. |
3. Documentação sobre o ADS
3.1. Requisitos
O fabricante deve fornecer um dossiê que documente a conceção de base do ADS e os meios de ligação a outros sistemas do veículo ou que lhe permitem controlar diretamente as variáveis de saída, bem como o hardware ou software exteriores e capacidades de controlo à distância.
A(s) função(ões) do ADS, incluindo as estratégias de comando e o conceito de segurança, conforme definidas pelo fabricante, devem ser explicadas.
A documentação deve ser concisa, sem deixar de demonstrar que a conceção e o desenvolvimento beneficiaram de conhecimento especializado proveniente de todos os domínios do ADS envolvidos.
Para efeitos de inspeção técnica periódica, a documentação deve indicar o modo como se pode verificar o estado de funcionamento atual do ADS, a funcionalidade e a integridade do software.
A entidade homologadora deve avaliar o dossiê que deve demonstrar que o ADS:
a) |
foi concebido e desenvolvido para funcionar de forma a não representar riscos irrazoáveis para os ocupantes do veículo e outros utentes da estrada dentro do seu ODD e dos limites declarados; |
b) |
cumpre os requisitos de desempenho do anexo II do presente regulamento; |
c) |
foi desenvolvido de acordo com o processo/método de desenvolvimento declarado pelo fabricante. |
3.1.1. |
A documentação deve ser disponibilizada em três partes:
|
3.2. Descrição geral do ADS
3.2.1. |
Deve ser fornecida uma descrição com uma explicação simples das características operacionais do ADS e das funcionalidades do ADS. |
3.2.2. |
A descrição deve incluir: |
3.2.2.1 |
o domínio de conceção operacional, como a velocidade máxima de funcionamento, o tipo de estrada (por exemplo, via específica), o(s) país(es)/zonas de funcionamento, as condições da estrada e as condições ambientais necessárias (por exemplo, ausência de neve, etc.)/Condições-limite |
3.2.2.2 |
o desempenho básico (por exemplo, deteção e resposta a objetos e eventos, infraestrutura exterior necessária durante o funcionamento) |
3.2.2.3. |
a interação com outros utentes da estrada |
3.2.2.4. |
as principais condições para as manobras de risco mínimo. |
3.2.2.5. |
o conceito de interação com os ocupantes do veículo, o operador a bordo (se aplicável) e o operador de intervenção à distância (se aplicável). |
3.2.2.6. |
os meios para ativar ou desativar o ADS por parte do operador a bordo (se aplicável) ou do operador de intervenção à distância (se aplicável), dos ocupantes do veículo (se aplicável) ou de outros utentes da estrada (se aplicável). |
3.2.2.7. |
medidas operacionais (por exemplo, necessidade de um operador a bordo ou de um operador de intervenção à distância) a satisfazer para garantir a segurança durante o funcionamento do veículo totalmente automatizado. |
3.2.2.8. |
infraestruturas de apoio e exteriores necessárias para garantir a segurança durante o funcionamento do veículo totalmente automatizado. |
3.3. Descrição das funções do ADS
Deve ser apresentada uma descrição que explique todas as funções, incluindo as estratégias de comando para garantir um funcionamento robusto e seguro do ADS, os métodos utilizados para realizar as tarefas de condução dinâmica dentro do ODD e os limites com os quais o sistema de condução automatizado foi concebido para funcionar, acompanhada de uma descrição sobre como tal é assegurado.
As funções de condução automatizada ativadas ou desativadas para as quais o hardware e o software estão presentes no veículo, no momento de produção, devem ser declaradas e sujeitas aos requisitos do presente anexo, bem como do anexo II do presente regulamento, antes da respetiva utilização no veículo. O fabricante também deve documentar o tratamento de dados se forem utilizados algoritmos de aprendizagem contínua.
3.3.1. |
Deve ser fornecida uma lista de todas as variáveis, quer as de entrada quer as detetadas pelos sensores, com definição do respetivo alcance de funcionamento, acompanhada de uma descrição da forma como cada variável afeta o comportamento do ADS. |
3.3.2. |
Deve ser fornecida uma lista de todas as variáveis de saída controladas pelo ADS, explicando, em cada caso, se o comando é direto ou se é exercido através de outro sistema do veículo. Deve ser definido o alcance de variáveis sobre o qual o ADS é suscetível de exercer controlo. |
3.3.3. |
Os limites que demarcam as fronteiras para o funcionamento, incluindo os limites do ODD, devem ser indicados, se tal for pertinente para a eficiência do ADS. |
3.3.4. |
O conceito de interação homem-máquina (HMI) com os ocupantes do veículo/operador a bordo/operador de intervenção à distância (se aplicável), quando se aproximam e são atingidos os limites do ODD deve ser explicado. A explicação deve incluir a lista de tipos de situação em que o ADS irá gerar um pedido de apoio ao operador a bordo/operador de intervenção à distância (se aplicável), a forma como o pedido é efetuado, o procedimento para gerir um pedido falhado e a manobra de risco mínimo. Devem também ser descritos os sinais e informações dados ao operador a bordo/operador de intervenção à distância ou aos ocupantes do veículo e a outros utentes da estrada em cada um dos aspetos acima referidos. |
3.4. Configuração e esquemas do ADS
3.4.1. |
Inventário de componentes.
Deve ser fornecida uma lista que confira todas as unidades do ADS e mencione os demais sistemas do veículo, bem como o hardware ou software exteriores e capacidades de controlo à distância necessários para atingir o desempenho definido do ADS a aprovar em conformidade com o seu ODD. Deve ser fornecido um esquema que mostre essas unidades em combinação, que dê precisões sobre a distribuição dos elementos do equipamento e mostre com clareza as interconexões entre esses mesmos elementos. Este esquema deve incluir:
|
3.4.2. |
Funções das unidades
Deve ser definida a função de cada unidade do ADS e indicados os sinais que ligam cada unidade às outras unidades e aos demais sistemas do veículo. Deve incluir sistemas exteriores de apoio ao ADS e outros sistemas do veículo. Esta informação pode ser fornecida por meio de um diagrama de blocos com legendas, ou por uma descrição sustentada num diagrama desse tipo. |
3.4.3. |
As interconexões com ADS devem ser mostradas por meio de um diagrama de circuito para as ligações de transmissão elétricas, por um diagrama de distribuição para o equipamento de transmissão pneumático ou hidráulico e por um diagrama simplificado para as ligações mecânicas. As ligações de transmissão para e de outros sistemas devem também ser indicadas. |
3.4.4. |
Tem de haver uma correspondência clara entre as ligações de transmissão e os sinais veiculados entre as unidades. As prioridades dos sinais serão indicadas em canais de dados multiplexados sempre que a prioridade possa ter uma incidência no comportamento ou na segurança. |
3.4.5. |
Identificação das unidades |
3.4.5.1. |
Cada unidade deve ser identificável com clareza e sem ambiguidade (por exemplo, por meio de uma marcação para o hardware e uma marcação ou um sinal informático para o conteúdo de software), de modo a estabelecer correspondência entre o hardware e a documentação. Caso seja possível alterar a versão do software sem necessidade de substituir a marcação ou o componente, a identificação do software só pode ser feita por meio de um sinal informático. |
3.4.5.2. |
Quando houver funções combinadas dentro de uma mesma unidade ou mesmo dentro de um mesmo computador, mas que sejam mostradas em blocos múltiplos no diagrama de blocos para maior clareza e facilidade de explicação, utiliza-se uma única marcação de identificação do hardware. Com a utilização desta identificação, o fabricante declara que o equipamento fornecido é conforme ao documento correspondente. |
3.4.5.3. |
A marca de identificação define a versão do hardware e do software, e, sempre que a versão deste último mudar, alterando a função da unidade em relação ao presente regulamento, essa marca de identificação deve também ser mudada. |
3.4.6. |
Instalação dos componentes do sistema de deteção
O fabricante deve fornecer informações sobre as opções de instalação para os componentes individuais que constituem o sistema de deteção. Estas opções devem incluir, sem que isto constitua uma limitação, a localização do componente no interior/exterior do veículo, o(s) material(ais) que envolve(m) o componente, a dimensão e a geometria do material que envolve o componente e o tratamento de superfície dos materiais que envolvem o componente, uma vez instalado no veículo. As informações também devem incluir as especificações de instalação essenciais para o desempenho do ADS, por exemplo, tolerâncias no ângulo de instalação. As alterações aos componentes individuais do sistema de deteção, ou às opções de instalação, devem ser comunicadas à entidade homologadora e sujeitas a nova avaliação. |
3.5. Conceito de segurança do fabricante e validação do conceito de segurança pelo fabricante
3.5.1. |
O fabricante deve fornecer uma declaração na qual afirme que o ADS não representa riscos irrazoáveis para os ocupantes do veículo e outros utentes da estrada. |
3.5.2. |
No que diz respeito ao software utilizado no ADS, deve ser dada uma explicação da respetiva arquitetura e identificados os métodos e ferramentas de conceção (ver ponto 3.5.1). O fabricante deve demonstrar, com base em comprovativos, os meios pelos quais esses elementos determinaram a realização da lógica do ADS durante a conceção e o processo de desenvolvimento. |
3.5.3. |
O fabricante deve fornecer à entidade homologadora uma explicação das disposições de conceção incorporadas no ADS, por forma a assegurar a segurança funcional e operacional. Exemplos de disposições de conceção do ADS:
|
3.5.3.1. |
Se a opção escolhida selecionar um modo de funcionamento de eficiência parcial em determinadas condições de falha (por exemplo, em caso de avarias graves), estas condições devem ser especificadas (por exemplo, tipo de avaria) e devem ser definidos os limites de eficácia que delas resultam (por exemplo, início imediato de uma manobra de risco mínimo), bem como a estratégia de aviso ao operador/operador à distância, aos ocupantes do veículo ou aos outros utentes da estrada (se aplicável). |
3.5.3.2. |
Se a opção de conceção escolhida selecionar um segundo meio de reserva ou um meio alternativo para atingir o desempenho afetado pela avaria, devem ser explicados os princípios do mecanismo de comutação, a lógica e o nível de redundância, assim como qualquer dispositivo integrado de verificação, e definidos os limites de eficácia que daí resultam. |
3.5.3.3. |
Se a opção de conceção escolhida selecionar a supressão da(s) função(ões) de condução automatizada(s), tal deve ser feito em conformidade com as disposições aplicáveis do presente regulamento. Todos os sinais de comando de saída relacionados com esta função serão inibidos. |
3.5.4. |
O fabricante deve igualmente fornecer à entidade homologadora uma explicação das medidas de segurança operacional a adotar para o funcionamento seguro do ADS, tais como um operador a bordo ou um operador de intervenção à distância, infraestrutura de apoio exterior, requisitos de infraestrutura física e de transporte, medidas de manutenção, etc. |
3.5.5. |
A documentação será acompanhada de uma análise que demonstre como o ADS se comportará para mitigar ou evitar perigos que tenham incidência na segurança dos ocupantes do veículo e nos outros utentes da estrada. |
3.5.5.1. |
As abordagens analíticas escolhidas devem ser definidas e mantidas pelo fabricante e disponibilizadas para inspeção pela entidade homologadora no momento da homologação e depois. |
3.5.5.2. |
A entidade homologadora deve avaliar a aplicação da(s) abordagem(ns) analítica(s).
|
3.5.5.3. |
A abordagem analítica definida no ponto 3.5.5.2 deve confirmar a abrangência de, pelo menos, cada um dos seguintes aspetos:
|
3.5.5.4. |
A avaliação da entidade homologadora deve consistir em controlos por amostragem, a fim de determinar que os argumentos que fundamentam o conceito de segurança são compreensíveis e lógicos e foram aplicados nas diferentes funções do ADS. A avaliação também deve verificar se os planos de validação são suficientemente robustos para demonstrar segurança (por exemplo, abrangência razoável dos ensaios de cenários escolhidos através da ferramenta de validação escolhida) e se foram adequadamente concluídos. |
3.5.5.4.1. |
Deve demonstrar que o funcionamento do veículo totalmente automatizado não representa riscos irrazoáveis para os ocupantes do veículo e outros utentes da estrada no domínio de conceção operacional, isto é, através de:
|
3.5.5.5. |
A entidade homologadora deve executar ou exigir a realização dos ensaios especificados no ponto 4 do presente anexo a fim de verificar o conceito de segurança. |
3.5.5.6. |
A documentação deve enumerar os parâmetros que são monitorizados e definir, em relação a cada condição de avaria do tipo definido no ponto 3.5.4 do presente anexo, o sinal de aviso a dar ao operador/operador à distância/ocupantes do veículo/outros utentes da estrada e/ou ao pessoal da manutenção/inspeção técnica. |
3.5.5.7. |
Esta documentação também deve descrever as medidas disponíveis para garantir que o ADS não representa riscos irrazoáveis para os ocupantes do veículo e outros utentes da estrada quando o seu desempenho é afetado por condições ambientais, por exemplo, o clima, a temperatura, a penetração de poeiras, a penetração de água, a formação de gelo e as intempéries. |
4. Verificações e ensaios
Tendo em conta os resultados da análise do dossiê do fabricante, a entidade homologadora deve solicitar ao serviço técnico que realize ou testemunhe os ensaios para verificar pontos específicos decorrentes da avaliação.
4.1. |
A utilização funcional do ADS, tal como descrita nos documentos requeridos no n.o 3, deve ser ensaiada como segue: |
4.1.1. |
Verificação da função do ADS
A entidade homologadora deve verificar o ADS em condições de ausência de avarias ao realizar o ensaio numa faixa do número de funções selecionadas que a entidade achar necessário, entre as descritas pelo fabricante e ao verificar o comportamento geral do ADS em condições de condução reais, incluindo o cumprimento das regras de trânsito. Estes ensaios devem incluir cenários em que o ADS é neutralizado pelo operador de intervenção à distância (se aplicável). Estes ensaios podem basear-se em cenários de ensaio enumerados na parte 3 do presente anexo e/ou em cenários adicionais não abrangidos pela parte 3. |
4.1.1.1. |
Os resultados dos ensaios devem corresponder à descrição, incluindo as estratégias de comando, fornecida pelo fabricante no ponto 3.2 e cumprir os requisitos de desempenho do presente regulamento. |
4.1.2. |
Verificação do conceito de segurança do ADS
A reação do ADS deve ser verificada em condições de falha em qualquer uma das unidades, aplicando os sinais de saída correspondentes às unidades elétricas ou aos elementos mecânicos no intuito de simular os efeitos da avaria interna no interior da unidade. A entidade homologadora deve verificar se estes ensaios incluem aspetos que possam ter impacto na capacidade de comando do veículo e na informação ao utilizador (aspetos relativos à interface homem-máquina, por exemplo, interação com o operador/operador à distância). |
4.1.2.1. |
As entidades homologadoras também devem verificar alguns cenários que são fundamentais para a deteção e resposta a objetos e eventos (OEDR) e para a caracterização das funções da interface homem-máquina e da tomada de decisão do ADS (por exemplo, objeto difícil de detetar quando o ADS atinge os limites ODD, cenários de perturbação da circulação, questões de conectividade, problemas com sistemas exteriores, questões de capacidades de controlo à distância, como a ausência do operador de intervenção à distância) conforme definido no presente regulamento. |
4.1.2.2. |
Os resultados da verificação devem corresponder ao resumo documentado da análise de perigos, a um nível de efeito geral que permita confirmar que o conceito de segurança e a sua execução são os adequados e cumprem os requisitos do presente regulamento. |
4.2. |
É possível utilizar uma ferramenta de simulação e modelos matemáticos para verificar o conceito de segurança em conformidade com o anexo VIII do Regulamento (UE) 2018/858, em particular para cenários difíceis numa pista de ensaio ou em condições de condução reais. Os fabricantes devem demonstrar o âmbito de aplicação da ferramenta de simulação, a sua validade para o cenário em questão, bem como a validação realizada para a cadeia de ferramentas de simulação (correlação do resultado com os ensaios físicos). Para demonstrar a validade da cadeia de ferramentas de simulação, aplicam-se os princípios da parte 4 do presente anexo. A simulação não deve substituir os ensaios físicos na parte 3 do presente anexo. |
4.3 |
O fabricante deve dispor de um certificado de conformidade válido para o sistema de gestão de segurança (SGS) correspondente ao modelo de veículo a homologar. |
5. Sistema de gestão de segurança (SGS)
5.1. |
No que respeita ADS, o fabricante deve demonstrar à entidade homologadora que, em termos do sistema de gestão de segurança (SGS), existem processos, metodologias, formação e ferramentas eficazes implementados, atualizados e acompanhados na organização para gerir a segurança e a conformidade permanente durante o ciclo de vida do ADS. |
5.2. |
A conceção e o processo de desenvolvimento devem ser estabelecidos e documentados, incluindo o sistema de gestão de segurança, a gestão de requisitos, a aplicação dos requisitos, os ensaios, a monitorização de avarias, as medidas corretivas e a entrada em serviço. |
5.3. |
O fabricante deve assegurar a existência de canais de comunicação eficazes entre os departamentos do fabricante responsáveis pela segurança funcional/operacional, pela cibersegurança e por quaisquer outras áreas pertinentes, relacionadas com a realização da segurança do veículo. |
5.4. |
O fabricante deve dispor de processos destinados a recolher dados do veículo e de outras fontes no sentido de monitorizar e analisar incidentes/acidentes relevantes para a segurança provocados pelo sistema de condução automatizada envolvido. O fabricante deve comunicar às entidades homologadoras, às autoridades de fiscalização do mercado e à Comissão as ocorrências pertinentes, em conformidade com a parte 5 do presente anexo. |
5.4.1. |
O fabricante deve permitir ao operador de serviços de transporte fornecer às entidades homologadoras, autoridades de fiscalização de mercado ou outras autoridades nomeadas pelos Estados-Membros os dados do veículo em conformidade com o ponto 5.4 acima, bem como os dados do ADS e os elementos de dados específicos do gravador de dados de eventos recolhidos em conformidade com a secção 9 do anexo II. |
5.5. |
O fabricante deve dispor de processos para gerir eventuais lacunas relevantes para a segurança após a matrícula e para atualizar os veículos, se necessário. |
5.6. |
O fabricante deve demonstrar que são realizadas auditorias internas dos processos de forma periódica e independente (por exemplo, a cada dois anos), a fim de assegurar que os processos estabelecidos em conformidade com os pontos 5.1 a 5.5 foram aplicados de forma coerente. |
5.7. |
Os fabricantes devem aplicar medidas adequadas (por exemplo, acordos contratuais, interfaces claras, sistema de gestão da qualidade) com os fornecedores, a fim de assegurar que o sistema de gestão de segurança do fornecedor cumpre os requisitos referidos nos pontos 5.1 (exceto para aspetos relacionados com o veículo, como o «funcionamento» e o «abate»), 5.2, 5.3 e 5.6. |
5.8. |
Certificado de conformidade do sistema de gestão de segurança |
5.8.1. |
O pedido de certificado de conformidade para o sistema de gestão de segurança deve ser apresentado à entidade homologadora pelo fabricante ou pelo seu representante devidamente acreditado. |
5.8.2. |
O pedido deve ser acompanhado pelos documentos a seguir mencionados, em triplicado, e pelo seguinte:
|
5.8.3. |
Quando esta auditoria do SGS tiver sido concluída satisfatoriamente e depois de receber uma declaração assinada do fabricante de acordo com o modelo definido no apêndice 3, será concedido ao fabricante um certificado de conformidade do SGS tal como descrito no apêndice 4 (a seguir designado por «Certificado de conformidade do SGS»). |
5.8.4. |
O certificado de conformidade do SGS terá uma validade máxima de três anos a contar da data de entrega do certificado, exceto se for retirado. |
5.8.5. |
A entidade homologadora pode, a qualquer momento, verificar se os requisitos do certificado de conformidade do SGS continuam a ser cumpridos. A entidade homologadora deve retirar o certificado de conformidade do SGS se forem detetadas e não forem imediatamente resolvidas situações de não conformidade grave em conformidade com os requisitos estabelecidos no presente regulamento. |
5.8.6. |
O fabricante deve informar a entidade homologadora ou o seu serviço técnico sobre qualquer alteração que afete a relevância do certificado de conformidade do SGS. Após ter consultado o fabricante, a entidade homologadora ou o seu serviço técnico devem decidir se são necessárias novas verificações. |
5.8.7. |
O fabricante deve solicitar, em tempo útil, a emissão de um novo certificado de conformidade do SGS ou a prorrogação do certificado de conformidade existente. Na sequência de um resultado de auditoria favorável, a entidade homologadora deve emitir um novo certificado de conformidade do SGS ou prorrogar a validade do existente por um novo período de três anos. A entidade homologadora deve verificar se o SGS continua a cumprir os requisitos do presente regulamento. A entidade homologadora deve emitir um novo certificado nos casos em que tenham sido comunicadas alterações à entidade homologadora ou ao seu serviço técnico e em que as alterações tenham sido reavaliadas favoravelmente. |
5.8.8. |
A caducidade ou a retirada do certificado de conformidade do SGS do fabricante deve ser considerada, no que diz respeito aos modelos de veículos para os quais o SGS em causa era pertinente, como modificação da homologação, o que pode implicar a revogação da homologação, se já não estiverem preenchidas as condições para a concessão da homologação. |
6. Disposições em matéria de comunicação de informações
6.1. |
A comunicação de informações relativas à avaliação de segurança do conceito de segurança do ADS, bem como à auditoria dos sistemas de gestão de segurança, deve ser realizada de modo a permitir a rastreabilidade, por exemplo, as versões dos documentos inspecionados são codificadas e inscritas nos registos do serviço técnico. |
6.2. |
O apêndice 1 da presente parte contém um exemplo do formato da comunicação de informações de avaliação do conceito de segurança do ADS por parte do serviço técnico para a entidade homologadora. Os aspetos enumerados neste apêndice são descritos como o conjunto mínimo de aspetos que devem ser abrangidos. |
6.3. |
A entidade homologadora que concede a homologação deve emitir os resultados da avaliação da segurança a anexar ao certificado de homologação com base na documentação fornecida pelo fabricante, no relatório da avaliação do conceito de segurança do ADS pelo serviço técnico e nos resultados das campanhas de verificação e ensaio realizadas em conformidade com a parte 3 do presente anexo. O apêndice 4 apresenta um exemplo do formato possível dos resultados da avaliação de segurança. |
7. Competência dos inspetores/avaliadores
7.1. |
A avaliação do conceito de segurança do ADS e a auditoria do sistema de gestão de segurança ao abrigo da presente parte só devem ser realizadas por avaliadores/inspetores com os conhecimentos técnicos e administrativos necessários para o efeito. Em particular, devem ter competências de inspetor/avaliador para as normas ISO 26262-2018 (Veículos rodoviários – Segurança funcional) e ISO/PAS 21448 (Segurança da funcionalidade prevista dos veículos rodoviários) e ser capazes de fazer a ligação necessária com os aspetos de cibersegurança em conformidade com o Regulamento n.o 155 da ONU e a norma ISO/SAE 21434). Estas competências devem ser demonstradas por qualificações adequadas ou outros atestados de formação equivalentes.
Apêndice 1 Modelo do relatório de avaliação do conceito de segurança do ADS Relatório de avaliação de segurança n.o: 1. Identificação. 1.1. Marca do veículo: 1.2 Modelo de veículo 1.3 Meios de identificação do modelo de veículo, se marcado no veículo: 1.4. Localização dessa marcação: 1.5. Nome e endereço do fabricante: 1.6. Se aplicável, nome e endereço do representante do fabricante: 1.7. Dossiê oficial do fabricante:N.o de referência da documentação: Data da primeira emissão: Data da última atualização: 2. Método de avaliação 2.1. Descrição dos processos e metodologias de avaliação 2.2. Critérios de aceitabilidade 3. Resultados da revisão do dossiê 3.1 Revisão da descrição do ADS. 3.2. Revisão do conceito de segurança do fabricante e da análise de segurança do fabricante. 3.3. Revisão da verificação e da validação efetuadas pelo fabricante, em particular, da abrangência dos diferentes ensaios e da definição de valores-limite de abrangência mínima para várias métricas. 3.4 Revisão dos métodos e ferramentas (software, laboratório, etc.) e avaliação da credibilidade 3.5. Revisão dos requisitos em matéria de dados do ADS e elementos de dados específicos para o aparelho de registo de eventos em veículos totalmente automatizados 3.6. Verificações dos certificados de cibersegurança e atualização de software que abrangem o ADS. 3.7. Revisão das informações fornecidas no manual de utilização 3.8. Revisão das disposições relativas às inspeções técnicas periódicas do ADS: 3.9. Revisão das informações adicionais não incluídas na ficha de informações 4. Verificação das funções do ADS em condições de ausência de avarias (a que se refere o anexo III, ponto 4.1.1, parte 2, do Regulamento de Execução (UE) 2022/1426 da Comissão, de 5 de agosto de 2022, que estabelece regras de aplicação do Regulamento (UE) 2019/2144 do Parlamento Europeu e do Conselho no que se refere a procedimentos e especificações técnicas uniformes para a homologação do sistema de condução automatizada (ADS) de veículos totalmente automatizados (2) 4.1. Lógica subjacente à seleção dos cenários de ensaio 4.2. Cenários de ensaio selecionados 4.3. Relatórios de ensaio 4.3.1. Ensaio n.o (acrescentar tantos quantos os ensaios realizados) 4.3.1.1. Objetivos do ensaio 4.3.1.2. Condições de ensaio 4.3.1.3. Quantidades medidas e instrumentos de medição 4.3.1.4 Critérios de aceitabilidade 4.3.1.5. Resultados dos ensaios 4.3.1.6. Comparação com a documentação fornecida pelo fabricante 5. Verificação do conceito de segurança do ADS em condições de avaria (a que se refere o anexo III, ponto 4.1.2, parte 2, do Regulamento de Execução (UE) 2022/1426. 5.1. Lógica subjacente à seleção dos cenários de ensaio 5.2. Cenários de ensaio selecionados 5.3. Relatórios de ensaio 5.3.1. Ensaio n.o (acrescentar tantos quantos os ensaios realizados) 5.3.1.1. Objetivos do ensaio 5.3.1.2. Condições de ensaio 5.3.1.3. Quantidades medidas e instrumentos de medição 5.3.1.4 Critérios de aceitabilidade 5.3.1.5. Resultados dos ensaios 5.3.1.6. Comparação com a documentação fornecida pelo fabricante 6. Certificado do sistema de gestão de segurança (deve ser anexado ao presente relatório de ensaio) 7. Data da avaliação 8. Decisão final sobre o resultado da avaliação de segurança 9. Esta avaliação foi realizada e os resultados foram comunicados em conformidade com o Regulamento de Execução (UE) 2022/1426.Serviço técnico que realizou a avaliação
10. Observações: Apêndice 2 Modelo dos resultados da avaliação do ADS a anexar ao certificado de homologação 1. Identificação. 1.1. Marca do veículo 1.2 Tipo de veículo 1.3 Meios de identificação do modelo de veículo, se marcado no veículo: 1.4. Localização dessa marcação: 1.5. Nome e endereço do fabricante: 1.6. Se aplicável, nome e endereço do representante do fabricante: 1.7. Dossiê oficial do fabricante:N.o de referência da documentação: Data da primeira emissão: Data da última atualização: 2. Método de avaliação 2.1. Descrição dos processos e metodologias de avaliação 2.2. Critérios de aceitabilidade 3. Verificação das funções do ADS em condições de ausência de avarias (a que se refere o anexo III, ponto 4.1.1, parte 2, do Regulamento de Execução (UE) 2022/1426. 3.1. Lógica subjacente à seleção dos cenários de ensaio 3.2. Cenários de ensaio selecionados 4. Verificação do conceito de segurança do ADS em condições de avaria única (a que se refere o anexo III, ponto 4.1.2, parte 2, do Regulamento de Execução (UE) 2022/1426. 4.1. Lógica subjacente à seleção dos cenários de ensaio 4.2. Cenários de ensaio selecionados 5. Resultados da avaliação 5.1. Resultados da revisão da ficha de informações 5.2. Resultados da verificação das funções do ADS em condições de ausência de avarias 5.3. Resultados da verificação do conceito de segurança do ADS em condições de avaria única 5.4. Resultados da avaliação do sistema de gestão de segurança 5.5. Resultados da verificação das disposições relativas às inspeções técnicas periódicas 6. Decisão final sobre o resultado da avaliação de segurança Apêndice 3 Modelo de declaração de conformidade do SGS a preencher pelo fabricante Declaração do fabricante de conformidade com os requisitos do sistema de gestão de segurança Nome do fabricante: Endereço do fabricante: … (nome do fabricante) atesta que os processos necessários para cumprir os requisitos do sistema de gestão de segurança estabelecidos no Regulamento de Execução (UE) 2022/1426 estão instalados e serão mantidos. Feito em: … (local) Data: Nome do signatário: Função do signatário: (Carimbo e assinatura do representante do fabricante) Apêndice 4 Modelo de certificado de conformidade do SGS Certificado de conformidade do Sistema de gestão de segurança Com o Regulamento de Execução (UE) 2022/1426 Número do certificado [número de referência] [… Entidade homologadora] Certifica que Fabricante: … Endereço do fabricante: cumpre as disposições do Regulamento de Execução (UE) 2022/1426. Foram realizadas verificações em: pelo/a (nome e endereço da entidade homologadora ou do serviço técnico): Número do relatório: ... O presente certificado é válido até [... Data] Feito em [... Local] Em [... Data] [... Assinatura] Anexos: descrição do sistema de gestão de segurança elaborada pelo fabricante. |
PARTE 3
ENSAIOS
1. Disposições gerais
Os critérios de aprovação e reprovação para avaliar a segurança do ADS devem basear-se nos requisitos estabelecidos no anexo II e no cenário descrito na parte 1 do presente regulamento. Os requisitos são definidos de forma a permitirem que os critérios de aprovação/reprovação possam ser determinados não só para um conjunto específico de parâmetros de ensaio, mas para qualquer combinação de parâmetros relevante para a segurança que possam ocorrer nas condições de funcionamento abrangidas pela homologação e pela gama de funcionamento especificada (por exemplo, gama de velocidades, gama de aceleração lateral longitudinal e transversal, raio de curvatura, luminosidade, número de vias de trânsito). Para condições que não sejam objeto de ensaio, mas que possam ocorrer no âmbito do ODD definido do sistema, o fabricante deve demonstrar, no âmbito da avaliação descrita na parte 2, a contento da entidade homologadora, que o veículo é controlado com segurança.
Estes ensaios devem confirmar os requisitos mínimos de desempenho descritos no anexo II e a funcionalidade do ADS e o conceito de segurança do fabricante, tal como descrito na parte 2 do presente anexo. Os resultados do ensaio devem ser documentados e comunicados em conformidade com o ponto 6, parte 2, do presente anexo.
Estes ensaios devem igualmente confirmar que o ADS cumpre as regras de trânsito, adapta o seu funcionamento em função das condições ambientais, evita perturbações do fluxo de tráfego (por exemplo, bloquear a via de trânsito devido a demasiadas MRM), não apresenta um comportamento imprevisível e demonstra um comportamento de cooperação e antecipação razoável em situações pertinentes (ou seja, convergência para uma via de trânsito em situação de tráfego intenso ou na proximidade de utentes da estrada vulneráveis).
2 Local de ensaio
As características presentes no local de ensaio (por exemplo: coeficiente de atrito) devem corresponder ao ODD especificado do ADS. Conforme necessário para aplicar as condições específicas do ODD do ADS, os ensaios físicos serão realizados no ODD real (em estrada) ou em qualquer instalação de ensaio que reproduza as condições do ODD e serão determinados pelo fabricante e pela entidade homologadora. O ADS deve ser ensaiado em estrada em conformidade com a legislação aplicável dos Estados-Membros e sob a condição de que os ensaios possam ser realizados com segurança e sem qualquer risco para os outros utentes da estrada.
3. Condições ambientais
Os ensaios devem ser realizados em diferentes condições ambientais, dentro dos limites do ODD definido para o ADS. Para condições ambientais que não sejam objeto de ensaio, mas que possam ocorrer no âmbito do ODD, o fabricante deve demonstrar, no âmbito da avaliação, a contento da entidade homologadora, que o veículo é controlado com segurança.
Para ensaiar os requisitos de avaria de funções, de autodiagnóstico do ADS e de início e implementação de uma manobra de risco mínimo, podem ser produzidos artificialmente erros e o veículo pode ser artificialmente introduzido em situações em que atinja os limites da gama de funcionamento definida (por exemplo, condições ambientais).
4. Modificações do sistema para efeitos de ensaio
Se forem necessárias modificações ao ADS a fim de permitir o ensaio, por exemplo, critérios de avaliação do tipo de estrada ou informações do tipo de estrada (dados cartográficos), deve-se assegurar que estas modificações não afetam os resultados do ensaio. Em princípio, estas modificações devem ser documentadas e anexadas ao relatório de ensaio. A descrição e a prova de influência (caso existente) destas modificações devem ser documentadas e anexadas ao relatório de ensaio.
5. Condições do veículo
5.1. |
Massa de ensaio
O veículo em causa deve ser ensaiado com qualquer carga admissível. A carga não pode sofrer qualquer alteração após o início do procedimento de ensaio. O fabricante deve demonstrar, através da utilização de documentação, que o ADS funciona em todas as condições de carga. |
5.2. |
O veículo em causa deve ser ensaiado à pressão dos pneus recomendada pelo fabricante. |
5.3. |
Deve verificar-se se o estado do sistema está de acordo com a finalidade de ensaio prevista (por exemplo, num estado de ausência de anomalias ou de presença das anomalias específicas a ensaiar). |
6. Ferramentas de ensaio
Para além de veículos reais, podem ser utilizadas as ferramentas de ensaio mais avançadas para realizar os ensaios, substituindo veículos reais e outros utentes da estrada (por exemplo, alvos não rígidos, plataformas móveis, etc.). As ferramentas de ensaio de substituição devem ser compatíveis com as características relevantes da avaliação do desempenho sensorial, dos veículos reais e dos outros utentes da estrada. Os ensaios não devem ser efetuados de forma a pôr em perigo o pessoal envolvido, devendo evitar-se provocar danos significativos ao veículo a ensaiar, sempre que existam outros meios de validação.
7. Variação dos parâmetros de ensaio
O fabricante deve declarar os limites do sistema à entidade homologadora. A entidade homologadora deve definir diferentes combinações de parâmetros de ensaio (por exemplo, velocidade atual do veículo, tipo e desfasamento do alvo, curvatura da via de trânsito), a fim de ensaiar o ADS. Os casos de ensaio selecionados devem proporcionar uma cobertura suficiente para abranger todos os cenários, parâmetros de ensaio e influências ambientais. Deve ser demonstrada uma solidez adequada dos sistemas de perceção do ADS contra anomalias nos dados dos sensores/informações de entrada e contra condições ambientais adversas.
Os parâmetros de ensaio selecionados pela entidade homologadora devem ser registados num relatório de ensaio, por forma a permitir a rastreabilidade e a repetibilidade da configuração do ensaio.
8. Cenários de ensaio para avaliar o desempenho do ADS numa pista de ensaio (pontos 8.1., 8.2., 8.5, 8.6, 8.7, 8.8 e 8.9.) e em estrada (8.3, 8.4 e 8.10).
Os cenários incluídos nos pontos seguintes devem ser considerados um conjunto mínimo de ensaios. A pedido da entidade homologadora, podem ser executados cenários adicionais que façam parte do ODD. Os cenários descritos no ponto 8 do presente anexo que não pertençam ao ODD do veículo não devem ser tidos em conta.
Dependendo do ODD, os cenários de ensaio devem ser selecionados como parte do ensaio de homologação. Os cenários de ensaio devem ser selecionados em conformidade com a parte 1 do presente anexo. Os ensaios de homologação podem ser efetuados com base em simulações, manobras na pista de ensaio e ensaios de condução em tráfego real. No entanto, não podem basear-se apenas em simulações por computador e, no momento da homologação, a entidade homologadora deve realizar ou testemunhar, pelo menos, os seguintes ensaios para avaliar o comportamento do ADS.
8.1. Manutenção na via de trânsito
O ensaio deve demonstrar que o veículo totalmente automatizado não sai da via de trânsito e que mantém uma deslocação estável dentro da via de trânsito do veículo sujeito a ensaio na gama de velocidades e nas diferentes curvaturas abrangidas pelos limites do sistema.
8.1.1 |
O ensaio deve basear-se no ODD do ADS e deve ser executado com pelo menos:
|
8.2. Manobras de mudança de via de trânsito (LCM)
Os ensaios devem demonstrar que o veículo totalmente automatizado não representa um risco irrazoável para a segurança dos ocupantes do veículo e outros utentes da estrada durante o procedimento de mudança da via de trânsito, e que o ADS é capaz de avaliar o caráter crítico da situação antes de iniciar a manobra de mudança de via de trânsito ao longo de toda a gama de velocidades de funcionamento. Estes ensaios só são exigidos se o veículo totalmente automatizado for capaz de efetuar mudanças de via de trânsito durante uma manobra de risco mínimo ou durante o funcionamento normal.
8.2.1. |
Devem ser realizados os seguintes ensaios:
|
8.2.2. |
Os ensaios devem preencher pelo menos as seguintes condições:
|
8.3. Resposta a diferentes geometrias da estrada
Estes ensaios devem assegurar que o veículo totalmente automatizado deteta e se adapta a uma variação das diferentes geometrias da estrada que podem ocorrer dentro do ODD pretendido, em toda a sua gama de velocidades.
8.3.1. |
O ensaio deve ser realizado contemplando, pelo menos, a lista de cenários a seguir apresentada, com base no ODD do ADS:
|
8.3.2. |
Cada ensaio deve preencher pelo menos as seguintes condições:
|
8.4. Resposta às regras de trânsito e infraestruturas rodoviárias nacionais
Estes ensaios devem assegurar que o veículo totalmente automatizado cumpre as regras de trânsito nacionais e se adapta a várias alterações permanentes e temporárias da infraestrutura rodoviária (por exemplo, estaleiros de construção rodoviários) em toda a gama de velocidades.
8.4.1. |
Os ensaios devem ser realizados contemplando, pelo menos, a lista de cenários pertinentes para o ODD do ADS a seguir apresentada:
|
8.4.2. |
Cada ensaio deve preencher pelo menos as seguintes condições:
|
8.5. Prevenção da colisão: Evitamento de uma colisão com utentes da estrada ou objetos a bloquear a via de trânsito.
O ensaio deve demonstrar que o veículo totalmente automatizado evita uma colisão com um veículo imobilizado, um utente da estrada ou numa via de trânsito totalmente ou parcialmente bloqueada à velocidade máxima especificada do ADS.
8.5.1. |
Este ensaio deve ser realizado contemplando, pelo menos, os seguintes cenários, conforme pertinente no ODD:
|
8.6. Evitar a travagem de emergência antes de um objeto que pode ser transposto na via de trânsito. Por «objeto que pode ser transposto» entende-se um objeto por cima do qual o veículo pode passar sem causar um risco irrazoável para os ocupantes do veículo ou outros utentes da estrada.
O ensaio deve demonstrar que o veículo totalmente automatizado não está a iniciar uma travagem de emergência com um pedido de desaceleração superior a 5 m/s2 devido a um objeto que pode ser transposto na faixa de rodagem pertinente para o ODD (por exemplo, uma tampa de saneamento ou um ramo de pequenas dimensões) até à velocidade máxima especificada do ADS.
8.6.1. |
Este ensaio deve ser realizado contemplando, pelo menos, os seguintes cenários, conforme pertinente no ODD:
|
8.7. Seguir atrás do veículo da frente
O ensaio deve demonstrar que o veículo totalmente automatizado é capaz de manter e repor uma deslocação estável e uma distância de segurança em relação ao veículo da frente e de prevenir uma colisão com um veículo da frente que desacelere até à desaceleração máxima.
8.7.1. |
Este ensaio deve ser realizado contemplando, pelo menos, os seguintes cenários, conforme pertinente no ODD:
|
8.8. Mudança de via de trânsito de outro veículo para a via de trânsito (entrada súbita na via)
O ensaio deve demonstrar que o veículo totalmente automatizado é capaz de prevenir uma colisão com um veículo ou outro utente da estrada que entre na via de trânsito do veículo totalmente automatizado até um determinado nível crítico da manobra de entrada na via de trânsito.
8.8.1. |
O nível crítico da manobra de entrada na via de trânsito deve ser determinado de acordo as disposições introduzidas na parte 1 do presente anexo e dependendo da distância entre o ponto mais à retaguarda do veículo que entra na via e o ponto mais à frente do veículo totalmente automatizado. |
8.8.2. |
Este ensaio deve ser realizado contemplando, pelo menos, os seguintes cenários, conforme pertinente no ODD:
|
8.9. Obstáculo imóvel após mudança de via de trânsito do veículo da frente (saída da via)
O ensaio deve demonstrar que o veículo totalmente automatizado é capaz de prevenir uma colisão com um veículo ou utente da estrada imobilizado, ou numa via de trânsito bloqueada que se torne visível após um veículo precedente ter prevenido uma colisão através de uma manobra de evasiva. O ensaio deve basear-se nos requisitos estabelecidos no anexo II e nos parâmetros de cenário descrito na parte 1 do presente anexo. Para condições que não sejam objeto de ensaio que possam ocorrer no âmbito da gama de funcionamento do veículo, o fabricante deve demonstrar, no âmbito da avaliação descrita no anexo III, parte 2, a contento das autoridades competentes, que o veículo é controlado com segurança.
8.9.1. |
Este ensaio deve ser realizado contemplando, pelo menos, os seguintes cenários, conforme pertinente no ODD:
|
8.10. Estacionamento
O ensaio deve demonstrar que o ADS é capaz de estacionar em diferentes lugares e configurações de estacionamento, em diferentes condições, e que, durante a manobra de estacionamento, não provoca danos aos objetos circundantes, aos utentes da estrada ou ao próprio veículo.
8.10.1. |
Este ensaio deve ser realizado contemplando, pelo menos, os seguintes cenários, conforme pertinente no ODD:
|
8.11. Navegação em instalações de estacionamento
O ensaio deve demonstrar que o ADS é capaz de responder às situações de baixa velocidade de condução e falta geral de visibilidade que podem ocorrer num estacionamento.
8.11.1. |
Este ensaio deve ser realizado contemplando, pelo menos, os seguintes cenários, conforme pertinente no ODD:
|
8.12. Cenários específicos para autoestrada
8.12.1. |
Entrada na autoestrada
O ensaio deve demonstrar que o ADS é capaz de entrar na autoestrada em segurança. |
8.12.1.1. |
Este ensaio deve ser realizado contemplando, pelo menos, os seguintes cenários, conforme pertinente no ODD:
|
8.12.2. |
Saída da autoestrada
O ensaio deve demonstrar que o ADS é capaz de sair da autoestrada em segurança. |
8.12.2.1. |
Este ensaio deve ser realizado contemplando, pelo menos, os seguintes cenários, conforme pertinente no ODD:
|
8.12.3. |
Portagem
O ensaio deve demonstrar que o ADS é capaz de selecionar o portão de passagem adequado e adaptar a sua velocidade aos limites permitidos na zona de portagem. |
8.12.3.1. |
Este ensaio deve ser realizado contemplando, pelo menos, os seguintes cenários, conforme pertinente no ODD:
|
8.13. Para os veículos bimodais, transição entre o modo de condução manual e o modo de condução totalmente automatizada.
O ensaio deve demonstrar que o ADS assume o comando da DDT de forma segura e apenas quando o veículo está imobilizado.
8.13.1. |
Este ensaio deve ser realizado contemplando, pelo menos, os seguintes cenários, conforme pertinente no ODD:
|
8.13.2. |
Este ensaio deve ser realizado contemplando, pelo menos, os seguintes cenários, conforme pertinente no ODD:
|
PARTE 4
PRINCÍPIOS PARA A AVALIAÇÃO DA CREDIBILIDADE DA UTILIZAÇÃO DE CADEIAS DE FERRAMENTAS VIRTUAIS PARA VALIDAR OS ADS
1. Aspetos gerais
1.1. |
A credibilidade pode ser apurada através da investigação e avaliação de cinco propriedades da modelização e simulação (M&S):
|
1.2. |
Ao mesmo tempo, o quadro de avaliação da credibilidade deve ser suficientemente geral para ser utilizado para diferentes tipos e aplicações de M&S. No entanto, o objetivo torna-se complicado devido às grandes diferenças entre as características dos ADS e à variedade de tipos e aplicações de M&S. Estas considerações exigem um quadro de avaliação da credibilidade (baseado nas informações de risco) pertinente e adequado para todas as aplicações de M&S. |
1.3. |
O quadro de avaliação da credibilidade fornece uma descrição geral dos principais aspetos a tomar em consideração para avaliar a credibilidade de uma solução de M&S, juntamente com princípios relativos ao papel de avaliadores terceiros no processo de validação, no que diz respeito à credibilidade. No que se refere a este último ponto, a entidade homologadora deve investigar a documentação apresentada para comprovar a credibilidade na fase de avaliação, ao passo que os ensaios de validação reais ocorrem quando o fabricante tiver desenvolvido os sistemas de simulação integrados. |
1.4. |
Em última análise, o resultado da avaliação da credibilidade atual deve definir o enquadramento no qual a ferramenta virtual pode ser utilizada para fundamentar a avaliação do ADS. |
1.5. |
Os requisitos desta parte destinam-se, por conseguinte, a demonstrar a credibilidade de qualquer modelo de simulação ou cadeia de ferramentas virtual em termos de validação do ADS. |
2. Definições
Para efeitos do presente anexo, entende-se por:
2.1. |
«abstração», o processo de seleção dos aspetos essenciais de um sistema fonte ou sistema de referência a representar num modelo ou simulação, ignorando aspetos não relevantes. Qualquer abstração de modelização implica o pressuposto de que não deve afetar significativamente as utilizações previstas da ferramenta de simulação. |
2.2. |
«ensaio em circuito fechado», um ambiente virtual que toma em consideração as ações do elemento no circuito. Os objetos simulados respondem às ações do sistema (por exemplo, a interação do sistema com um modelo de trânsito). |
2.3. |
«determinístico», um termo que descreve um sistema cuja evolução ao longo do tempo pode ser prevista com exatidão e no qual um determinado conjunto de estímulos produz sempre o mesmo resultado. |
2.4. |
«driver-in-the-loop (DIL)», ensaio geralmente realizado num simulador de condução utilizado para testar a conceção da interação entre o homem e o sistema automatizado. O DIL inclui componentes que se destinam a ser operados pelo condutor e que lhe permitem comunicar com o ambiente virtual. |
2.5. |
«Hardware-in-the-loop (HIL)», ensaio em que o hardware final de um subsistema específico de um veículo utiliza o software final com valores de entrada e saída ligados a um ambiente de simulação para realizar ensaios virtuais. Os ensaios HIL fornecem uma forma de reproduzir o funcionamento de sensores, acionadores e componentes mecânicos de modo a ligar todos os valores de entrada e saída das unidades de controlo eletrónico (UCE) submetidas a ensaio, muito antes da integração do sistema final. |
2.6. |
«modelo», uma descrição ou representação de um sistema, entidade, fenómeno ou processo. |
2.7. |
«calibração do modelo», o processo de ajustamento dos parâmetros numéricos ou de modelização do modelo para melhorar a sua correspondência com valores de referência. |
2.8. |
«parâmetro do modelo», valores numéricos utilizados para fundamentar a caracterização de uma funcionalidade do sistema. Um parâmetro do modelo tem um valor que não pode ser observado diretamente no mundo real, mas que deve ser inferido a partir dos dados recolhidos no mundo real (na fase de calibração do modelo). |
2.9. |
«model-in-the-loop (MIL)», uma abordagem que permite um desenvolvimento rápido de algoritmos sem o envolvimento de hardware específico. Este nível de desenvolvimento envolve geralmente estruturas de software de abstração de alto nível que funcionam em sistemas informáticos de uso geral. |
2.10. |
«ensaio em circuito aberto», um ambiente virtual que não toma em consideração as ações do elemento no circuito (por exemplo, a interação do sistema com uma situação de trânsito gravada). |
2.11. |
«probabilístico», um termo relativo a eventos não determinísticos, cujos resultados se descrevem utilizando uma medida de probabilidade. |
2.12. |
«terreno de ensaio ou pista de ensaio», uma instalação física de ensaio fechada ao trânsito onde se pode investigar o desempenho de um ADS no veículo real. Podem ser introduzidos agentes de trânsito através da estimulação de sensores ou através de dispositivos fictícios colocados na via. |
2.13. |
«estimulação de sensores», uma técnica através da qual são enviados sinais gerados artificialmente ao elemento submetido a ensaio, com o objetivo de o fazer desencadear os resultados necessários para verificação do mundo real, de formação, de manutenção ou de investigação e desenvolvimento. |
2.14. |
«simulação», a imitação do funcionamento de um processo ou sistema em situações reais ao longo do tempo. |
2.15. |
«modelo de simulação», um modelo cujas variáveis de entrada variam ao longo do tempo. |
2.16. |
«cadeia de ferramentas de simulação», uma combinação de ferramentas de simulação utilizadas para fundamentar a validação de um ADS. |
2.17. |
«software-in-the-loop (SIL)», ensaio em que a implementação do modelo desenvolvido se destina a ser avaliada em sistemas informáticos de uso geral. Esta etapa pode utilizar uma implementação completa de software muito próximo do final. Os ensaios SIL são utilizados para descrever uma metodologia de ensaio na qual o código executável, como por exemplo algoritmos (ou mesmo uma estratégia de controlador completa), é testado num ambiente de modelização que pode ajudar a comprovar ou testar o software. |
2.18. |
«estocástico», um processo que envolve ou contém uma ou várias variáveis aleatórias. Está relacionado com o acaso ou a probabilidade. |
2.19. |
«validação do modelo de simulação», o processo de determinação de até que ponto um modelo de simulação é uma representação exata do mundo real na perspetiva das utilizações previstas da ferramenta. |
2.20. |
«vehicle-in-the-loop (VIL)», um ambiente híbrido que funde a utilização de um veículo de ensaio real no mundo real e um ambiente virtual. Este método pode refletir a dinâmica do veículo tal como o mundo real e pode ser executado recorrendo a um banco de ensaio de veículos ou a uma pista de ensaio. |
2.21. |
«verificação do modelo de simulação», o processo que permite determinar até que ponto um modelo de simulação ou uma ferramenta de ensaio virtual cumpre os requisitos e especificações especificados nos seus modelos conceptuais, matemáticos ou outros. |
2.22. |
«ensaio virtual», o processo de ensaio de um sistema que utiliza um ou mais modelos de simulação. |
3. Componentes do quadro de avaliação da credibilidade e requisitos de documentação conexos
3.1. |
O quadro de avaliação da credibilidade introduz uma forma de avaliar e comunicar a credibilidade da M&S com base em critérios de garantia da qualidade, nos quais podem ser indicados os níveis de confiança nos resultados. Por outras palavras, a credibilidade é demonstrada através da avaliação dos seguintes fatores influenciadores da M&S, e que são considerados os principais contribuintes para as propriedades de M&S e, por conseguinte, para a sua credibilidade global: a) gestão da M&S; b) experiência e conhecimentos especializados da equipa; c) análise e descrição da M&S; d) origem dos dados/informações de entrada e e) verificação, validação e caracterização da incerteza. Cada um destes fatores indica o nível de qualidade alcançado pela M&S, e a comparação entre os níveis obtidos e os níveis exigidos deve determinar se a M&S é credível e adequada para ser utilizada para ensaios virtuais. Abaixo apresenta-se uma representação gráfica da relação entre as componentes do quadro de avaliação da credibilidade.
|
3.2. |
Modelos e gestão da simulação |
3.2.1. |
O ciclo de vida da M&S é um processo dinâmico, com lançamento frequente de novas versões e que deve ser monitorizado e documentado. Devem ser definidas atividades de gestão para apoiar a M&S seguindo um estilo de gestão de produtos profissional. Devem ser fornecidas informações pertinentes sobre os seguintes aspetos: |
3.2.2. |
O processo de gestão da M&S deve:
|
3.2.3. |
Gestão das versões |
3.2.3.1. |
Todas as versões da cadeia de ferramentas de M&S utilizadas para produzir dados para efeitos de certificação devem ser armazenadas. Os modelos virtuais que constituem a cadeia de ferramentas de ensaio devem ser documentados em termos dos respetivos métodos de validação e valores-limite de aceitação, a fim de promover a credibilidade global da cadeia de ferramentas. O autor do programa deve implementar um método para, através dos dados gerados, identificar a versão correspondente de M&S. |
3.2.3.2. |
Controlo da qualidade dos dados virtuais A exaustividade, exatidão e consistência dos dados devem ser asseguradas em todas as versões e durante todo o período de vida de uma cadeia de ferramentas de M&S para prestar apoio aos procedimentos de verificação e validação. |
3.2.4. |
Experiência e conhecimentos especializados da equipa |
3.2.4.1. |
Embora a experiência e os conhecimentos especializados já estejam abrangidos de forma sentido geral no seio da organização, é importante estabelecer a base para a confiança na experiência e nos conhecimentos especializados específicos para atividades de M&S. |
3.2.4.2. |
A credibilidade da M&S depende não só da qualidade dos modelos de simulação, mas também da experiência e dos conhecimentos especializados do pessoal envolvido na validação e na utilização da M&S. Por exemplo, uma compreensão adequada das limitações e do domínio de validação evitará a eventual utilização abusiva da M&S ou a interpretação incorreta dos seus resultados. |
3.2.4.3. |
Por conseguinte, é importante estabelecer a base para a confiança do fabricante na experiência e nos conhecimentos especializados das:
|
3.2.4.4. |
Uma gestão adequada da experiência e dos conhecimentos especializados da equipa aumenta o nível de confiança na credibilidade da M&S e nos seus resultados, assegurando que os fatores humanos subjacentes ao M&S são tidos em conta e que qualquer possível risco da componente humana é controlado, como se espera que seja em qualquer sistema de gestão adequado. |
3.2.4.5. |
Se a cadeia de ferramentas do fabricante incorporar ou depender de contributos de organizações ou produtos externos à sua equipa, o fabricante fornecerá uma explicação das medidas que tomou para fundamentar a sua confiança na qualidade e integridade desses produtos ou serviços. |
3.2.4.6. |
A experiência e os conhecimentos especializados da equipa consistem em dois níveis: |
3.2.4.6.1. |
Nível organizacional
A credibilidade é demonstrada através da criação de processos e procedimentos para identificar e reter competências, conhecimentos e experiência para a realização de atividades de M&S. Os seguintes processos devem ser estabelecidos, mantidos e documentados:
|
3.2.4.6.2. |
Nível da equipa
Uma vez concluída uma M&S, a sua credibilidade é ditada principalmente pelas competências e conhecimentos do indivíduo/equipa que irá validar a cadeia de ferramentas de M&S e utilizar a M&S para a validação do ADS. A credibilidade é demonstrada através da documentação que comprova que estas equipas receberam formação adequada para o desempenho das suas funções. Por conseguinte, o fabricante deve:
A demonstração, por parte do fabricante, da forma como este aplica os princípios da norma ISO 9001 ou uma boa prática ou norma equivalente para assegurar a competência da sua organização de M&S e dos indivíduos dessa organização constituirá a base para esta determinação. A entidade homologadora não pode substituir a sua apreciação sobre a experiência e os conhecimentos especializados da organização ou dos seus membros pela do fabricante. |
3.2.5. |
Origem dos dados/informações de entrada |
3.2.5.1. |
A origem dos dados/informações de entrada contém um registo de rastreabilidade dos dados do fabricante utilizados para validar o M&S. |
3.2.5.2. |
Descrição dos dados utilizados para a M&S:
|
3.2.5.3. |
Efeito da qualidade dos dados (por exemplo, cobertura dos dados, relação sinal/ruído e taxa de incerteza/enviesamento/amostragem dos sensores) sobre a incerteza dos parâmetros do modelo.
A qualidade dos dados utilizados para desenvolver o modelo irá afetar a estimativa e a calibração dos parâmetros do modelo. A incerteza nos parâmetros do modelo será outro aspeto importante na análise final da incerteza. |
3.2.6. |
Origem dos dados/informações de saída |
3.2.6.1. |
A origem dos dados/informações de saída contém um registo das informações de saída utilizadas pela M&S para validar o ADS. |
3.2.6.2. |
Descrição dos dados gerados pela M&S:
|
3.2.6.3. |
Efeito da qualidade dos dados na credibilidade da M&S
|
3.2.6.4. |
Gestão de modelos estocásticos
|
3.3. |
Análise e descrição da M&S |
3.3.1. |
A análise e a descrição da M&S visam definir todo o M&S e identificar o espaço de parâmetros que pode ser avaliado através de ensaios virtuais. Define o âmbito e as limitações dos modelos e da cadeia de ferramentas, bem como as fontes de incerteza que podem afetar os seus resultados. |
3.3.2. |
Descrição geral |
3.3.2.1. |
O fabricante deve fornecer uma descrição de toda a cadeia de ferramentas, juntamente com a forma como os dados de simulação serão utilizados para fundamentar a estratégia de validação do ADS. |
3.3.2.2. |
O fabricante deve fornecer uma descrição clara do objetivo do ensaio. |
3.3.3. |
Pressupostos, limitações conhecidas e fontes de incerteza |
3.3.3.1. |
O fabricante deve apresentar os motivos para os pressupostos de modelização que orientaram a conceção da cadeia de ferramentas de M&S. |
3.3.3.2. |
O fabricante deve fornecer prova:
|
3.3.3.3. |
O fabricante deve apresentar uma justificação de que a tolerância para a correlação entre a simulação e a realidade é aceitável para o objetivo de ensaio. |
3.3.3.4. |
Por último, esta secção deve incluir informações sobre as fontes de incerteza do modelo. Estes dados irão representar um contributo importante para a análise final da incerteza, que definirá a forma como as informações de saída do modelo podem ser afetados pelas diferentes fontes de incerteza do modelo utilizado. |
3.3.4. |
Âmbito (como a M&S é utilizada para validar o ADS) |
3.3.4.1. |
A credibilidade da ferramenta virtual deve ser garantida por um âmbito de utilização dos modelos desenvolvidos claramente definido. |
3.3.4.2. |
A M&S robusta deve permitir uma virtualização dos fenómenos físicos com um nível de exatidão que corresponda ao nível de fidelidade exigido para a certificação. Assim, a M&S irá funcionar como um «terreno de ensaio virtual» para os testes do ADS. |
3.3.4.3. |
Os modelos de simulação necessitam de cenários e métricas específicos para a validação. A seleção de cenários utilizada para validação deve ser suficiente para que a cadeia de ferramentas apresente o mesmo desempenho em cenários fora do âmbito da validação. |
3.3.4.4. |
O fabricante deve fornecer uma lista de cenários de validação, juntamente com as limitações dos parâmetros correspondentes. |
3.3.4.5. |
A análise do ODD é um elemento de dados de entrada crucial para determinar os requisitos, o âmbito e os efeitos que a M&S deve ter em conta para fundamentar a validação do ADS. |
3.3.4.6. |
Os parâmetros gerados para os cenários irão definir dados extrínsecos e intrínsecos para a cadeia de ferramentas e para os modelos de simulação. |
3.3.5. |
Avaliação do caráter crítico |
3.3.5.1. |
Os modelos e as ferramentas de simulação utilizados em toda a cadeia de ferramentas devem ser inspecionados em termos de responsabilidade em caso de erro de segurança no produto final. A abordagem proposta para a análise do caráter crítico decorre da norma ISO 26262, que exige a qualificação de alguns dos instrumentos utilizados no processo de desenvolvimento. |
3.3.5.2. |
A fim de determinar o grau de importância crítica dos dados simulados, a avaliação do caráter crítico deve ter em conta os seguintes parâmetros:
|
3.3.5.3. |
Do ponto de vista da avaliação do caráter crítico, os três casos possíveis de avaliação são os seguintes:
|
3.4. |
Verificação |
3.4.1. |
A verificação de uma M&S implica a análise da correta aplicação dos modelos conceptuais/matemáticos que constituem a cadeia de ferramentas M&S. A verificação contribui para a credibilidade da M&S ao dar garantias de que a M&S não apresentará um comportamento irrealista face a um conjunto de dados de entrada que não possam ser testados. O procedimento baseia-se numa abordagem em várias etapas, incluindo a verificação do código, a verificação do cálculo e a análise de sensibilidade. |
3.4.2. |
Verificação do código |
3.4.2.1. |
A verificação do código envolve ensaios que demonstrem que não existem erros numéricos/lógicos que afetem os modelos virtuais |
3.4.2.2. |
O fabricante deve documentar a execução de técnicas adequadas de verificação do código, por exemplo, verificação do código estática/dinâmica, análise da convergência e comparação com soluções exatas, se aplicável. |
3.4.2.3. |
O fabricante deve fornecer documentação que demonstre que a exploração no domínio dos parâmetros de entrada foi suficientemente abrangente para identificar a combinação de parâmetros relativamente à qual a M&S apresenta um comportamento instável ou irrealista. Podem ser utilizadas métricas de cobertura de combinações de parâmetros para demonstrar a exploração necessária dos comportamentos dos modelos. |
3.4.2.4. |
O fabricante deve adotar procedimentos de prova real/verificação de consistência sempre que os dados o permitam. |
3.4.3. |
Verificação do cálculo |
3.4.3.1. |
A verificação do cálculo diz respeito à estimativa dos erros numéricos que afetam a M&S. |
3.4.3.2. |
O fabricante deve documentar as estimativas de erros numéricos (por exemplo, erro de discretização, erro de arredondamento, convergência de procedimentos iterativos). |
3.4.3.3. |
Os erros numéricos devem ser mantidos abaixo de um limite suficiente para não afetar a validação. |
3.4.4. |
Análise de sensibilidade |
3.4.4.1. |
A análise de sensibilidade visa quantificar a forma como os valores de saída do modelo são afetados por alterações nos valores de entrada do modelo e, assim, identificar os parâmetros com maior impacto nos resultados do modelo de simulação. O estudo de sensibilidade também ajuda a determinar até que ponto o modelo de simulação se mantém dentro dos valores-limite de validação quando são introduzidas pequenas variações nos parâmetros. Por conseguinte, é essencial para fundamentar a credibilidade dos resultados da simulação. |
3.4.4.2. |
O fabricante deve fornecer documentação de apoio que demonstre que os parâmetros mais críticos que influenciam os resultados da simulação foram identificados através de técnicas de análise de sensibilidade, tais como a introdução de uma perturbação nos parâmetros do modelo. |
3.4.4.3. |
O fabricante deve demonstrar que foram adotados procedimentos de calibração sólidos no momento de identificação e calibração dos parâmetros mais críticos, a fim de aumentar a credibilidade da cadeia de ferramentas desenvolvida. |
3.4.4.4. |
Em última análise, os resultados da análise de sensibilidade ajudarão igualmente a definir os dados de entrada e os parâmetros cuja caracterização de incerteza requer especial atenção, a fim de definir adequadamente a incerteza dos resultados da simulação. |
3.4.5. |
Validação |
3.4.5.1. |
O processo quantitativo de determinação de até que ponto um modelo ou uma simulação é uma boa representação do mundo real na perspetiva das utilizações previstas da M&S exige a seleção e a definição de vários elementos. |
3.4.5.2. |
Medidas de desempenho (métricas) |
3.4.5.2.1. |
As medidas de desempenho são as métricas utilizadas para comparar o modelo de simulação com o mundo real. As medidas de desempenho são definidas durante a análise de M&S. |
3.4.5.2.2. |
As métricas de validação podem incluir:
|
3.4.5.3. |
Adequação do ajustamento das medidas |
3.4.5.3.1. |
Os quadros analíticos são utilizados para comparar métricas do mundo real e de simulações. Trata-se geralmente de indicadores-chave de desempenho (ICD) que indicam a comparabilidade estatística entre dois conjuntos de dados. |
3.4.5.3.2. |
A validação deve demonstrar que estes ICD são cumpridos. |
3.4.5.4. |
Metodologia de validação |
3.4.5.4.1. |
O fabricante deve definir os cenários lógicos utilizados para a validação da cadeia de ferramentas de ensaio virtual. Estes cenários devem ser capazes de abranger, tanto quanto possível, o ODD dos ensaios virtuais para validação do ADS. |
3.4.5.4.2. |
A metodologia exata depende da estrutura e da finalidade da cadeia de ferramentas. A validação pode ser composta por um ou mais dos seguintes elementos:
|
3.4.5.5. |
Requisitos de exatidão |
3.4.5.5.1. |
O requisito para o valor-limite de correlação é definido durante a análise da M&S. A validação deve demonstrar que os ICD identificados no ponto 3.4.5.3.1 da presente parte são cumpridos. |
3.4.5.6. |
Âmbito de validação (parte da cadeia de ferramentas a validar) |
3.4.5.6.1. |
Uma cadeia de ferramentas é composta por várias ferramentas e cada ferramenta utilizará vários modelos. O âmbito de validação inclui todas as ferramentas e os modelos pertinentes sujeitos a validação. |
3.4.5.7. |
Resultados da validação interna |
3.4.5.7.1. |
A documentação deve não só fornecer provas da validação do modelo de simulação, mas também ser utilizada para obter informações suficientes sobre os processos e produtos que conferem credibilidade de forma global à cadeia de ferramentas utilizada. |
3.4.5.7.2. |
Podem ser reutilizados a documentação ou os resultados de avaliações de credibilidade anteriores. |
3.4.5.8. |
Resultados da validação independente |
3.4.5.8.1. |
A entidade homologadora deve avaliar a documentação fornecida pelo fabricante e pode realizar ensaios físicos de toda a ferramenta integrada. |
3.4.5.9. |
Caracterização da incerteza |
3.4.5.9.1. |
A presente secção diz respeito à caracterização da variabilidade esperada dos resultados da cadeia de ferramentas virtuais. A avaliação é composta por duas fases. Numa primeira fase, as informações recolhidas na análise e descrição da M&S e as secções de origem dos dados/informações de entrada são utilizadas para caracterizar a incerteza nos dados de entrada, nos parâmetros do modelo e na estrutura de modelização. De seguida, todas as incertezas são aplicadas ao longo da cadeia virtual de ferramentas para quantificar a incerteza nos resultados do modelo. Em função da incerteza dos resultados do modelo, o fabricante terá de introduzir margens de segurança adequadas na utilização de ensaios virtuais para validação do ADS. |
3.4.5.9.2. |
Caracterização da incerteza nos dados de entrada
O fabricante deve demonstrar que estimou adequadamente os dados de entrada do modelo crítico através de técnicas sólidas, tais como múltiplas repetições para a avaliação da quantidade; |
3.4.5.9.3. |
Caracterização da incerteza nos parâmetros do modelo (após calibração)
O fabricante deve demonstrar que os parâmetros do modelo crítico que não podem ser estimados de forma idêntica se caracterizam por uma distribuição e/ou intervalos de confiança; |
3.4.5.9.4. |
Caracterização da incerteza na estrutura da M&S
O fabricante deve apresentar provas de que os pressupostos de modelização recebem uma caracterização quantitativa da incerteza gerada (por exemplo, comparando os resultados de diferentes abordagens de modelização, sempre que possível). |
3.4.5.9.5. |
Caracterização da incerteza aleatória em relação à epistémica:
O fabricante deve procurar estabelecer a distinção entre a componente aleatória da incerteza (que se pode estimar, mas não reduzir) e a incerteza epistémica decorrente da falta de conhecimentos sobre a virtualização do processo (que se pode reduzir). |
4. Estrutura da documentação
4.1. |
A presente secção descreve a forma como as informações acima referidas serão recolhidas e organizadas na documentação fornecida pelo fabricante à autoridade competente. |
4.2. |
O fabricante deve elaborar um documento (um «manual de simulação») estruturado de acordo com o presente esquema, com o intuito de apresentar provas sobre os tópicos apresentados. |
4.3. |
A documentação deve ser fornecida juntamente com a versão correspondente da M&S e os dados conexos produzidos. |
4.4. |
O fabricante deve fornecer referências claras que permitam identificar a M&S/dados correspondentes através da documentação. |
4.5. |
A documentação deve ser mantida durante todo o ciclo de vida de utilização da M&S. A entidade homologadora pode auditar o fabricante avaliando a sua documentação e/ou realizando ensaios físicos. |
PARTE 5
COMUNICAÇÃO DE INFORMAÇÕES EM SERVIÇO
1. Definições
Para efeitos do presente anexo, entende-se por:
1.1. |
«Ocorrência», uma situação relacionada com a segurança que envolve um veículo equipado com um sistema de condução automatizada. |
1.2. |
«Ocorrência não crítica», uma ocorrência que envolve uma interrupção no funcionamento, um defeito, uma anomalia ou outra circunstância que tenha ou possa ter influenciado a segurança do ADS e que não tenha resultado num acidente ou incidente grave. Esta categoria inclui, por exemplo, incidentes menores, uma degradação da segurança que não impeça o funcionamento normal, manobras complexas/de emergência para evitar uma colisão e, de um modo mais geral, todas as ocorrências relevantes para o desempenho de segurança do ADS em estrada (como a interação com o operador à distância, etc.). |
1.3. |
«Ocorrência crítica», uma ocorrência em que o ADS está ativado no momento de um incidente de colisão e devido à qual:
|
2. Notificações e relatórios do fabricante
2.1. |
O fabricante deve comunicar sem demora todas as ocorrências críticas de segurança às entidades homologadoras, às autoridades de fiscalização do mercado e à Comissão. |
2.2. |
O fabricante deve comunicar, no prazo de um mês, todas as ocorrências a curto prazo descritas no apêndice 1 que tenham de ser corrigidas pelo fabricante às entidades homologadoras, às autoridades de fiscalização do mercado e à Comissão. |
2.3. |
O fabricante deve comunicar anualmente as ocorrências enumeradas no apêndice 1 à entidade homologadora que concedeu a homologação. O relatório deve apresentar provas do desempenho do ADS em ocorrências relevantes para a segurança no terreno. Em especial, deve demonstrar que:
A entidade homologadora que concede a homologação deve partilhar essas informações com as entidades homologadoras, as autoridades de fiscalização do mercado e a Comissão. |
2.4. |
As entidades homologadoras, as autoridades de fiscalização do mercado e a Comissão podem solicitar ao fabricante os dados que fundamentaram a elaboração das informações fornecidas nas notificações e comunicações de informações em serviço. Estes dados devem ser trocados com recurso a um ficheiro de intercâmbio de dados acordado. As entidades homologadoras, as autoridades de fiscalização do mercado e a Comissão devem tomar todas as medidas necessárias para garantir a segurança de tais dados. |
2.5. |
Qualquer pré-tratamento de dados deve ser notificado à entidade homologadora que concede a homologação na comunicação de informações em serviço.
Apêndice 1 Lista de ocorrências para comunicação de informações em serviço As ocorrências foram subdivididas em quatro categorias, com base na sua pertinência para a DDT, para a interação com utilizadores de veículos totalmente automatizados e para as condições técnicas do ADS. A pertinência de cada ocorrência para a comunicação a curto prazo e/ou periódica está assinalada no quadro seguinte. Prevê-se que a comunicação periódica de ocorrências seja apresentada sob a forma de dados agregados (por hora de funcionamento ou quilómetros percorridos) por tipo de veículo com ADS e em função do funcionamento do ADS (ou seja, quando o ADS é ativado).
|