9.3.2021

Europeiska unionens officiella tidning

L 82/1

Endast Uneces texter i original har bindande folkrättslig verkan. Denna föreskrifts status och ikraftträdandedag bör kontrolleras i den senaste versionen av Uneces statusdokument TRANS/WP.29/343, som finns på http://www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29fdocstts.html

FN-föreskrift nr 153 – Enhetliga bestämmelser om godkännande av fordon med avseende på bränslesystemets integritet och det elektriska framdrivningssystemets säkerhet vid påkörning bakifrån [2021/386]

Datum för ikraftträdande: 22 januari 2021

Detta dokument tillhandahålls endast i informationssyfte. Den giltiga och rättsligt bindande texten är ECE/TRANS/WP.29/2020/76.

INNEHÅLL

FÖRESKRIFT

Tillämpningsområde

Definitioner

Ansökan om godkännande

Godkännande

Krav

Provningar

Ändring och utökning av godkännande av en fordonstyp

Produktionsöverensstämmelse

Påföljder vid bristande produktionsöverensstämmelse

slutgiltigt upphörande av produktionen

Namn på och adress till typgodkännandemyndigheterna och de tekniska tjänster som ansvarar för att utföra godkännandeprovningar

BILAGOR

Meddelande

Exempel på godkännandemärkenas utformning

Förfarande för provning vid kollision bakifrån

Provningsförhållanden och förfaranden för bedömningen av vätgasbränslesystemet efter kollision

Provningsförfaranden för fordon utrustade med elektrisk framdrivning

1 TILLÄMPNINGSOMRÅDE

Denna föreskrift är tillämplig på fordon av kategori M1 (1) med en högsta totalvikt på 3 500 kg och på fordon av kategori N1 med avseende på bränslesystemets integritet och det elektriska framdrivningssystemets säkerhet under högspänning vid påkörning bakifrån.

2 DEFINITIONER

I denna föreskrift gäller följande definitioner:

2.1

fordonstyp: kategori av motordrivna fordon som inte skiljer sig åt i sådana väsentliga avseenden som

2.1.1

fordonets längd och bredd, om de har en inverkan på resultaten av den kollisionsprovning som föreskrivs i denna föreskrift,

2.1.2

konstruktion, mått, utformning och material i den del av fordonet bakom det tvärgående planet genom det bakersta sätets R-punkt,

2.1.3

passagerarutrymmets form och innermått, om de har en inverkan på resultaten av den kollisionsprovning som föreskrivs i denna föreskrift,

2.1.4

motorns placering (fram, bak eller i mitten) och riktning (tvärställd eller längsställd), om de har en negativ inverkan på resultaten av den kollisionsprovning som föreskrivs i denna föreskrift,

2.1.5

den olastade vikten, om den har en negativ inverkan på resultaten av den kollisionsprovning som föreskrivs i denna föreskrift,

2.1.6

det uppladdningsbara elenergilagringssystemets (REESS) placering, om den har en negativ inverkan på resultaten av den kollisionsprovning som föreskrivs i denna föreskrift.

2.1.7

tankens (tankarnas) konstruktion, form, mått och material (metall/plast),

2.1.8

tankens (tankarnas) placering i fordonet, om den har negativ inverkan på kraven i punkt 5.2.1, och

2.1.9

bränsletillförselsystemets egenskaper och placering (pump, filter osv.).

2.2

passagerarutrymme: utrymme avsett för förare och passagerare och som begränsas av tak, golv, sidoväggar, dörrar, yttre fönsterglas, främre mellanvägg och bakre mellanvägg eller baklucka, samt av de elskyddsbarriärer och inneslutningar som tillhandahålls för att skydda passagerarna från direkt kontakt med högspänningsförande delar.

2.3

olastad vikt: fordonets vikt i körklart skick utan passagerare och last men komplett med bränsle, kylvätska, smörjmedel, verktyg och ett reservhjul (om detta ingår i standardutrustningen vid fordonets leverans).

2.4

tank: tank eller tankar avsedda att innehålla det flytande bränsle, enligt definitionen i punkt 2.6, eller komprimerad vätgas, som främst används för att driva fordonet. Omfattar inte tillbehör (påfyllningsrör [om det är en separat enhet], fyllningshål, tanklock, mätinstrument, förbindelser till motorn eller för att kompensera inre övertryck osv.).

2.5

tankkapacitet: bränsletankens kapacitet enligt tillverkarens uppgifter.

2.6

flytande bränsle: bränsle som är flytande vid normal temperatur och normalt tryck.

2.7

högspänning: klassificering av en elektrisk komponent eller krets om dess driftsspänning är > 60 V och ≤ 1 500 V likström (DC) eller > 30 V och ≤ 1 000 V växelström (AC) räknat som kvadratiskt medelvärde.

2.8

uppladdningsbart elenergilagringssystem (REESS): uppladdningsbart system för lagring av energi som tillhandahåller elektrisk energi för framdrivningen,

Batteri som främst används för att leverera ström för start av motorn, belysningen eller andra kompletterande system i fordon anses inte vara ett uppladdningsbart energilagringssystem. [I detta sammanhang innebär något som främst används att mer än 50 % av energin från batteriet används för start av motorn, belysningen eller andra kompletterande system i fordon över en lämplig körcykel, t.ex. WLTC för M1 och N1]

2.9

elskyddsbarriär: del som skyddar mot direkt kontakt med högspänningsförande delar.

2.10

elektrisk framdrivning: elektrisk krets som inbegriper framdrivningsmotor, och eventuellt det uppladdningsbara elenergilagringssystemet, systemet för omvandling av elektrisk energi, elektroniska omvandlare, tillhörande kablage och anslutningsdon samt anslutningssystemet för laddning av det uppladdningsbara elenergilagringssystemet.

2.11

spänningsförande delar: ledande delar som är avsedda att under normala driftsförhållanden vara elektriskt laddade.

2.12

exponerad ledande del: ledande del som kan beröras enligt villkoren i skyddsklass IPXXB, som inte vanligtvis är spänningsförande, men som kan bli spänningsförande om isoleringen upphör att fungera. Detta innefattar delar under ett skydd som kan avlägsnas utan hjälp av verktyg.

2.13

direkt kontakt: människors kontakt med högspänningsförande delar.

2.14

indirekt kontakt: människors kontakt med exponerade ledande delar.

2.15

skyddsklass IPXXB: skydd från kontakt med högspänningsförande delar genom antingen en elskyddsbarriär eller en inneslutning, vilket provas med hjälp av ett ledat provningsfinger (skyddsklass IPXXB) enligt beskrivningen i punkt 4 i bilaga 5.

2.16

arbetsspänning: högsta kvadratiska medelvärde för en elkretsspänning som anges av tillverkaren, och som vid öppen krets eller under normala driftsförhållanden kan uppstå mellan vilka ledande delar som helst. Om den elektriska kretsen är delad genom elektrisk isolering definieras arbetsspänningen för varje sådan delad krets.

2.17

anslutningssystem för laddning av det uppladdningsbara elenergilagringssystemet: den elektriska krets som används för laddning av det uppladdningsbara elenergilagringssystemet från en extern elektrisk energikälla, inbegripet fordonets intag.

2.18

elektriskt chassi: en uppsättning elektriskt sammankopplade, ledande delar, vars elektriska potential används som referens.

2.19

elektrisk krets: en uppsättning sammankopplade, högspänningsförande delar som är konstruerad för att vara elektriskt laddade under normal drift.

2.20

system för omvandling av elektrisk energi: system (t.ex. en bränslecell) som alstrar och tillhandahåller elektrisk energi för elektrisk framdrivning.

2.21

elektronisk omvandlare: anordning som kan reglera och/eller omvandla elektrisk effekt för elektrisk framdrivning.

2.22

inneslutning: del som omsluter de inre delarna och skyddar mot varje direkt kontakt.

2.23

högspänningskrets: den elektriska krets, inbegripet anslutningssystemet för laddning av det uppladdningsbara elenergilagringssystemet, som arbetar med högspänning. Om elektriska kretsar är elektriskt anslutna till varandra och uppfyller det särskilda spänningsförhållandet är det endast komponenter eller delar i en strömkrets som arbetar med högspänning som klassificeras som högspänningskrets.

2.24

fast isolering: kablagets isolerande beläggning som är avsedd att täcka de högspänningsförande delarna och hindra direkt kontakt med dem.

2.25

automatisk frånkopplare: anordning som när den utlöses elektriskt skiljer elenergikällorna från resten av den elektriska framdrivningens högspänningskrets.

2.26

framdrivningsbatteri av öppen typ: en typ av batteri som behöver vätska och som avger vätgas som släpps ut i atmosfären.

2.27

vattenhaltiga elektrolyter: elektrolyter baserade på en vattenlösning för föreningarna (t.ex. syror, baser) som avger strömförande joner efter dissociation.

2.28

läckage av elektrolyter: elektrolytförlust från det uppladdningsbara elenergilagringssystemet i form av vätska.

2.29

icke-vattenhaltiga elektrolyter: elektrolyter som inte är baserade på en vattenlösning.

2.30

normala driftsförhållanden: inbegriper driftlägen och driftsförhållanden som rimligen kan påvisas under fordonets normala drift, däribland körning inom hastighetsbegränsningen, parkering eller tomgångskörning samt laddning med hjälp av laddare som är kompatibla med de särskilda laddningsuttag som finns på fordonet. Det inbegriper inte förhållanden där fordonet är skadat (t.ex. genom kollision, vägskräp eller vandalism), har utsatts för brand eller sänkts ner i vatten, eller är i ett skick där service eller underhåll behövs eller genomförs.

2.31

särskilt spänningsförhållande: förhållandet mellan den högsta spänningen för en elektriskt ansluten strömkrets mellan en likspänningsförande del och någon annan spänningsförande del (likström eller växelström) är ≤ 30 V växelström (kvadratiskt medelvärde) och ≤ 60 V likström.

Anmärkning:

När en likspänningsförande del hos en sådan elektrisk krets är ansluten till chassit och det särskilda spänningsförhållandet gäller är den högsta spänningen mellan spänningsförande delar och det elektriska chassit ≤ 30 V växelström (kvadratiskt medelvärde) och ≤ 60 V likström.

3 ANSÖKAN OM GODKÄNNANDE

3.1

Ansökan om godkännande av en fordonstyp med avseende på bränslesystemets integritet och med avseende på det elektriska framdrivningssystemets säkerhet under högspänning vid påkörning bakifrån ska lämnas in av fordonstillverkaren eller av dennes behöriga ombud i enlighet med det förfarande som fastställs i bilaga 3 till överenskommelsen (E/ECE/TRANS/505/Rev.3).

3.2

En mall för informationsdokumentet finns i tillägg 1 till bilaga 1.

4 GODKÄNNANDE

4.1

Om det fordon som lämnats in för godkännande enligt denna föreskrift uppfyller kraven i den ska godkännande av den fordonstypen beviljas.

4.1.1

Den tekniska tjänst som utsetts i enlighet med punkt 11 ska kontrollera om de nödvändiga villkoren uppfyllts.

4.1.2

Om tvivel råder ska vid kontroll av fordonets överensstämmelse med kraven i denna föreskrift hänsyn tas till alla de uppgifter eller provningsresultat som tillhandahålls av tillverkaren och som kan vara av betydelse för valideringen av de godkännandeprovningar som utförts av den tekniska tjänsten.

4.2

Varje godkänd typ ska ges ett godkännandenummer i enlighet med bilaga 4 till överenskommelsen (E/ECE/TRANS/505/Rev.3).

4.3

Ett meddelande om beviljat, utökat, ej beviljat eller återkallat godkännande eller om slutgiltigt upphörande av produktionen av en fordonstyp i enlighet med denna föreskrift ska lämnas till de parter i överenskommelsen som tillämpar denna föreskrift med hjälp av ett formulär som överensstämmer med mallen i bilaga 1 till denna föreskrift.

4.4

Varje fordon som överensstämmer med en fordonstyp som godkänts enligt denna föreskrift ska, på en väl synlig och lättillgänglig plats som anges i godkännandeformuläret, vara märkt med ett internationellt godkännandemärke som överensstämmer med mallen i bilaga 2 och som består av följande:

4.4.1

En cirkel som omger bokstaven E, följd av det särskiljande numret för det land som beviljat godkännandet (2).

4.4.2

Numret på denna föreskrift följt av bokstaven R, ett bindestreck och godkännandenumret till höger om den cirkel som beskrivs i punkt 4.4.1.

4.5

Om fordonet överensstämmer med en fordonstyp som godkänts enligt en eller flera andra FN-föreskrifter som är fogade till överenskommelsen, i det land som beviljat godkännande enligt den här föreskriften, behöver den symbol som föreskrivs i punkt 4.4.1 inte upprepas. I så fall ska tilläggsnummer och tilläggssymboler för alla de FN-föreskrifter enligt vilka godkännande har beviljats i det land som beviljat godkännandet enligt den här föreskriften anges i kolumner till höger om den symbol som föreskrivs i punkt 4.4.1.

4.6

Godkännandemärket ska vara lätt läsbart och outplånligt.

5 KRAV

5.1

När fordonet har genomgått den provning som avses i punkt 6 ska villkoren i punkt 5.2 vara uppfyllda.

Ett fordon där alla delar av bränslesystemet är monterade framför hjulbasens mittpunkt ska uppfylla villkoren i punkt 5.2.1.

Ett fordon där alla delar av den elektriska framdrivningen under högspänning är monterade framför hjulbasens mittpunkt ska uppfylla villkoren i punkt 5.2.2.

5.2

Efter provningen som utförts i enlighet med förfarandet i bilagorna 3, 4 och 5 till denna föreskrift, ska följande villkor med avseende på bränslesystemets integritet och det elektriska framdrivningssystemets säkerhet vara uppfyllda:

5.2.1

Om fordonet drivs med flytande bränsle ska överensstämmelse med punkterna 5.2.1.1–5.2.1.2 påvisas.

Om fordonet drivs med komprimerad vätgas ska överensstämmelse med punkterna 5.2.1.3–5.2.1.5 påvisas.

5.2.1.1

Det får endast förekomma små läckor av vätska från bränslesystemet under eller efter kollisionen.

5.2.1.2

Om det förekommer ett ihållande vätskeläckage efter kollisionen får läckageflödet inte överstiga 30 g/min, och om vätskan från bränslesystemet blandar sig med vätskor från andra system och det inte går att enkelt skilja och identifiera de olika vätskorna ska alla insamlade vätskor beaktas vid bedömningen av det ihållande läckaget.

5.2.1.3

Vätgasens läckagehastighet (VH2), som fastställs antingen i enlighet med punkt 4 i bilaga 4 för vätgas eller i enlighet med punkt 5 i bilaga 4 för helium, får inte överstiga ett medelvärde på 118 NL per minut för tidsintervallet, Δt minuter, efter kollisionen.

5.2.1.4

De värden för volymkoncentrationen av gas (väte eller helium, beroende på vad som är tillämpligt) i luft som fastställs för passagerar- och bagageutrymmena, i enlighet med punkt 6 i bilaga 4, får inte överstiga 4,0 % för väte eller 3,0 % för helium vid något tillfälle under den 60 minuter långa mätperioden efter kollisionen. Detta krav är uppfyllt om det bekräftas att avstängningsventilen i varje lagringssystem för vätgas har stängts inom 5 sekunder efter fordonets första kontakt med slagelementet och om det inte förekommer något läckage från lagringssystemet(-systemen) för vätgas.

5.2.1.5

Behållare (för lagring av vätgas) ska fortsätta att vara fästade vid fordonet vid minst en fästpunkt.

5.2.2

Om fordonet är utrustat med elektrisk framdrivning under högspänning ska den elektriska framdrivningen och de högspänningssystem som är elektriskt anslutna till den elektriska framdrivningens högspänningskrets uppfylla kraven i punkterna 5.2.2.1–5.2.2.3.

5.2.2.1

Skydd mot elstötar

Efter islaget ska högspänningskretsarna uppfylla minst ett av de fyra kriterier som anges i punkterna 5.2.2.1.1–5.2.2.1.4.2.

Om fordonet har en funktion för automatisk frånkoppling eller en eller flera anordningar som elektriskt separerar den elektriska framdrivningskretsen under körning, ska minst ett av följande kriterier tillämpas på den frånkopplade kretsen eller varje uppdelad krets enskilt efter det att frånkopplingsfunktionen aktiverats.

De kriterier som anges i punkt 5.2.2.1.4 ska dock inte tillämpas om fler än en potential hos en del av högspänningskretsen inte är skyddad enligt skyddsklass IPXXB.

Om kollisionsprovningen utförs under förutsättningen att en eller flera delar av högspänningssystemet inte är spänningsförande, och med undantag för anslutningssystem för laddning av det uppladdningsbara elenergilagringssystemet som inte är spänningsförande under körning, ska skyddet mot elstötar styrkas antingen genom punkt 5.2.2.1.3 eller punkt 5.2.2.1.4 för den eller de relevanta delarna.

5.2.2.1.1

Frånvaro av högspänning

Spänningarna Ub, U1 och U2 i högspänningskretsen ska vara lika med eller mindre än 30 V växelström eller 60 V likström inom 60 s efter kollisionen när de mäts i enlighet med punkt 2 i bilaga 5.

5.2.2.1.2

Låg elektrisk energi

Högspänningskretsarnas totala energi (TE) ska vara mindre än 0,2 joule uppmätt i enlighet med provningsförfarandet i punkt 3 i bilaga 5 med formel a. Som alternativ får den totala energin (TE) beräknas med formel b i punkt 3 i bilaga 5 med ledning av högspänningskretsens uppmätta spänning Ub och X-kondensatorernas kapacitans (Cx) enligt tillverkarens uppgifter.

Den energi som lagras i Y-kondensatorerna (TEy1, TEy2) ska också vara mindre än 0,2 joule. Detta ska beräknas med formel c i punkt 3 i bilaga 5 genom mätning av spänningarna U1 och U2 i högspänningskretsen och det elektriska chassit samt Y-kondensatorernas kapacitans enligt tillverkarens uppgifter.

5.2.2.1.3

Fysiskt skydd

För skydd mot direkt kontakt med högspänningsförande delar ska skyddsklass IPXXB tillhandahållas.

Bedömningen ska utföras i enlighet med punkt 4 i bilaga 5.

För skydd mot elstötar genom indirekt kontakt ska dessutom motståndet mellan alla exponerade ledande delar i elskyddsbarriärer och inneslutningar och det elektriska chassit vara lägre än 0,1 Ω och motståndet mellan två simultant nåbara exponerade ledande delar i elskyddsbarriärer och inneslutningar som sitter mindre än 2,5 m från varandra ska vara lägre än 0,2 Ω om strömstyrkan är minst 0,2 A. Detta motstånd får beräknas med hjälp av de separat uppmätta motstånden hos de relevanta delarna i strömkretsen.

Detta krav är uppfyllt om den elektriska anslutningen har skett genom svetsning. I tveksamma fall eller om anslutningen har upprättats på annat sätt än genom svetsning ska mätningen utföras med ett av de provningsförfarande som anges i punkt 4 i bilaga 5.

5.2.2.1.4

Isoleringsmotstånd

Kriterierna i punkterna 5.2.2.1.4.1 och 5.2.2.1.4.2 ska vara uppfyllda.

Mätningen ska utföras i enlighet med punkt 5 i bilaga 5.

5.2.2.1.4.1

Elektrisk framdrivning bestående av separata likströms- och växelströmskretsar

Om växelströms- och likströmskretsar med högspänning är elektriskt isolerade från varandra ska isoleringsmotståndet mellan högspänningskretsen och det elektriska chassit (Ri enligt definitionen i punkt 5 i bilaga 5) uppgå till minst 100 Ω/V av likströmskretsens arbetsspänning och minst 500 Ω/V av växelströmskretsens arbetsspänning.

5.2.2.1.4.2

Elektrisk framdrivning bestående av kombinerade likströms- och växelströmskretsar

Om växelströms- och likströmskretsar med högspänning är elektriskt anslutna ska de uppfylla ett av följande krav:

a)	Isoleringsmotståndet mellan högspänningskretsen och det elektriska chassit ska uppgå till minst 500 Ω/V arbetsspänning.

b)	Isoleringsmotståndet mellan högspänningskretsen och det elektriska chassit ska uppgå till minst 100 Ω/V arbetsspänning och växelströmskretsen ska uppfylla kraven på fysiskt skydd som beskrivs i punkt 5.2.2.1.3.

c)	Isoleringsmotståndet mellan högspänningskretsen och det elektriska chassit ska uppgå till minst 100 Ω/V arbetsspänning och växelströmskretsen ska uppfylla kraven på frånvaro av högspänning som beskrivs i punkt 5.2.2.1.1.

5.2.2.2

Läckage av elektrolyter

5.2.2.2.1

Uppladdningsbara elenergilagringssystem med vattenhaltiga elektrolyter

Under de 60 minuter som följer efter kollisionen får det inte uppstå något läckage av elektrolyter från det uppladdningsbara elenergilagringsystemet till passagerarutrymmet, och inte mer än 7 % av volymen och högst 5,0 liter elektrolyter från det uppladdningsbara elenergilagringssystemet får läcka ut utanför passagerarutrymmet. Den läckta elektrolytmängden kan efter insamling mätas med de tekniker som vanligtvis används för att fastställa vätskevolymer. För behållare som innehåller mineralterpentin, färgat kylmedel och elektrolyter ska vätskorna kunna separeras utifrån densitet för att därefter mätas.

5.2.2.2.2

Uppladdningsbart elenergilagringssystem med icke-vattenhaltiga elektrolyter

Under de 60 minuter som följer efter kollisionen får det inte uppstå något vätskeläckage av elektrolyter från det uppladdningsbara elenergilagringssystemet till passagerarutrymmet eller bagageutrymmet, och inget vätskeläckage av elektrolyter till utanför fordonet. Detta krav ska kunna bekräftas genom okulärbesiktning utan att någon del av fordonet demonteras.

Tillverkaren ska visa överensstämmelse med kraven i enlighet med punkt 6 i bilaga 5.

5.2.2.3

Fasthållning av uppladdningsbart elenergilagringssystem

Det uppladdningsbara elenergilagringssystemet ska fortsätta att vara fäst vid fordonet vid minst en förankring, ett fäste eller någon konstruktion som överför belastningar från det uppladdningsbara elenergilagringssystemet till fordonets konstruktion, och ett uppladdningsbart elenergilagringssystem som finns utanför passagerarutrymmet ska inte gå in i passagerarutrymmet.

Tillverkaren ska visa överensstämmelse med kraven i enlighet med punkt 7 i bilaga 5.

6 PROVNINGAR

6.1

Fordonets överensstämmelse med kraven i punkt 5 ska kontrolleras genom den metod som fastställs i bilagorna 3, 4 och 5 till den här föreskriften.

7 ÄNDRING OCH UTÖKNING AV GODKÄNNANDET AV EN FORDONSTYP

7.1

Varje ändring av en fordonstyp avseende denna föreskrift ska anmälas till den typgodkännandemyndighet som godkände fordonstypen. Typgodkännandemyndigheten får då antingen

a)	i samråd med tillverkaren besluta att ett nytt typgodkännande ska beviljas, eller

b)	tillämpa förfarandet i punkt 7.1.1 (Revidering) och, i tillämpliga fall, förfarandet i punkt 7.1.2 (Utökning).

7.1.1

Revidering

Om de uppgifter som angetts i informationsdokumenten i tillägg 1 till bilaga 1 har ändrats och typgodkännandemyndigheten anser att ändringarna sannolikt inte får någon nämnvärd ogynnsam effekt och att fordonet i alla händelser fortfarande uppfyller kraven, ska ändringen betecknas som en ”revidering”.

Typgodkännandemyndigheten ska i så fall utfärda de nödvändiga reviderade bladen i informationsdokumenten i tillägg 1 till bilaga 1, och på varje reviderat blad tydligt markera vilket slag av ändring det rör sig om och vilket datum det nya bladet utfärdades. En konsoliderad, uppdaterad version av informationsdokumenten i tillägg 1 till bilaga 1 åtföljda av en detaljerad beskrivning av ändringen ska anses uppfylla detta krav.

7.1.2

Utökning

Ändringen ska betecknas som en ”utökning” om något av följande förhållanden råder, utöver ändringen av uppgifterna i underlaget:

a)	Om det krävs ytterligare kontroller eller provningar, eller

b)	om några uppgifter i meddelandedokumentet (med undantag för bilagorna) har ändrats, eller

c)	om godkännande enligt en senare ändringsserie begärs efter att den ändringsserien har trätt i kraft.

7.2

De parter i överenskommelsen som tillämpar denna föreskrift ska på det sätt som anges i punkt 4.3 underrättas om godkännande beviljats, utökats eller ej beviljats. Dessutom ska indexet till informationsdokumenten och provningsrapporterna, som ska bifogas meddelandeformuläret i bilaga 1, ändras så att datumet för den senaste revideringen eller utökningen anges.

7.3

Den typgodkännandemyndighet som utfärdar utökningen av godkännandet ska ge varje meddelandeformulär som upprättas för en sådan utökning ett serienummer.

8 PRODUKTIONSÖVERENSSTÄMMELSE

Förfarandena för produktionsöverensstämmelse ska överensstämma med dem som fastställs i bilaga 1 till överenskommelsen (E/ECE/TRANS/505/Rev.3), med följande krav:

8.1

Varje fordon som är försett med ett godkännandemärke enligt denna föreskrift ska överensstämma med den fordonstyp som godkänts och uppfylla de krav som fastställs i punkt 5.

9 PÅFÖLJDER VID BRISTANDE PRODUKTIONSÖVERENSSTÄMMELSE

9.1

Ett godkännande av en fordonstyp som beviljats enligt denna föreskrift får återkallas om kraven i punkt 8.1 inte är uppfyllda.

9.2

Om en part i överenskommelsen som tillämpar denna föreskrift återkallar ett godkännande som den tidigare har beviljat ska den genast meddela detta till övriga parter i överenskommelsen som tillämpar denna föreskrift, med hjälp av en kopia av godkännandeformuläret, som i slutet ska vara försett med en undertecknad och daterad notering med lydelsen ”GODKÄNNANDE ÅTERKALLAT” skriven med versaler.

10 SLUTGILTIGT UPPHÖRANDE AV PRODUKTIONEN

En innehavare av ett godkännande som helt upphör med sin tillverkning av en fordonstyp som godkänts i enlighet med denna föreskrift ska meddela detta till den typgodkännandemyndighet som beviljade godkännandet. När typgodkännandemyndigheten har mottagit det aktuella meddelandet ska den underrätta övriga parter i överenskommelsen som tillämpar denna föreskrift, med hjälp av en kopia av godkännandeformuläret, som i slutet ska vara försett med en undertecknad och daterad notering med lydelsen ”SLUTGILTIGT UPPHÖRANDE AV TILLVERKNINGEN” skriven med versaler.

11 NAMN PÅ OCH ADRESS TILL TYPGODKÄNNANDEMYNDIGHETER OCH DE TEKNISKA TJÄNSTER SOM ANSVARAR FÖR ATT UTFÖRA GODKÄNNANDEPROVNINGAR:

De parter i överenskommelsen som tillämpar denna föreskrift ska meddela Förenta nationernas sekretariat namn på och adress till de tekniska tjänster som ansvarar för att utföra godkännandeprovningarna och om de typgodkännandemyndigheter som beviljar godkännande och till vilka formulär om beviljat, utökat, ej beviljat eller återkallat godkännande som utfärdats i andra länder ska sändas.

(1) Enligt definitionen i den konsoliderade resolutionen om fordonskonstruktion (R.E.3), dokument ECE/TRANS/WP.29/78/Rev.6, punkt 2. –

www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29resolutions.html.

(2) De särskiljande numren för parterna i 1958 års överenskommelse återges i bilaga 3 till den konsoliderade resolutionen om fordonskonstruktion (R.E.3), dokument ECE/TRANS/WP.29/78/Rev. 6, bilaga 3 – www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29resolutions.html.

BILAGA 1

Meddelande

(maximiformat: A4 [210 × 297 mm])

(1)

Utfärdat av:

myndighetens namn:

…

om: (2)

beviljat godkännande

utökat godkännande

ej beviljat godkännande

återkallat godkännande

slutgiltigt upphörande av produktionen

av en fordonstyp med avseende på bränslesystemets integritet och med avseende på det elektriska framdrivningssystemets säkerhet vid påkörning bakifrån, i enlighet med FN-föreskrift nr 153

Godkännande nr: …

Utökning nr: …

Det motordrivna fordonets handelsnamn eller varumärke: …

Fordonstyp: …

Tillverkarens namn och adress: …

…

Namn på och adress till tillverkarens eventuella ombud…

…

Kort beskrivning av fordonstypen: …

…

5.1

Beskrivning av det bränslesystem som monterats i fordonet: …

…

5.2.

Beskrivning av den elektriska framdrivningen: …

…

Motorns placering: fram/bak/mitten (2)

Drift: framhjulsdrift/bakhjulsdrift (2)

Vikten på det fordon som lämnats in för provning:

Framaxel: …

Bakaxel: …

Totalt: …

Datum då fordonet lämnades in för godkännande: …

Teknisk tjänst som ansvarar för att utföra godkännandeprovningar: …

Datum för rapporten som denna tjänst utfärdat: …

Nummer på rapporten som denna tjänst utfärdat: …

Godkännande beviljat/ej beviljat/utökat/återkallat (2)

Godkännandemärkets placering på fordonet: …

Ort: …

Datum: …

Underskrift: …

Följande handlingar, märkta med det godkännandenummer som visas ovan, bifogas detta meddelande: …

Anmärkningar (t.ex. att alternativa provningsmetoder enligt punkt 3 i bilaga 3 har tillämpats) …

(Fotografier och/eller diagram och ritningar som möjliggör en grundläggande identifiering av fordonstypen och de tänkbara varianter som omfattas av godkännandet.)

(1) Särskiljande nummer för det land som beviljat/utökat/ej beviljat/återkallat godkännandet (se bestämmelserna om godkännande i föreskriften).

(2) Stryk det som inte är tillämpligt.

Tillägg 1 till Bilaga 1

Informationsdokument

ALLMÄNT

0.1

Fabrikat (tillverkarens handelsnamn):

0.2

Typ:

0.2.1

Handelsbeteckning (om tillgängligt):

0.3

Metod för identifiering av typ, om sådan märkning finns på fordonet (1):

0.3.1

Märkningens placering:

0.4

Fordonskategori (2)

0.5

Tillverkarens företagsnamn och adress:

0.8

Namn på och adresser till monteringsanläggningar:

0.9

Namn på och adress till tillverkarens eventuella ombud:

ALLMÄNNA UPPGIFTER OM FORDONETS KONSTRUKTION

1.1

Foton och/eller ritningar av ett representativt fordon:

1.3

Antal axlar och hjul:

1.3.3

Drivaxlar (antal, placering, koppling till andra axlar):

1.6

Motorns placering och montering:

VIKTER OCH MÅTT (i kg och mm) (hänvisa till ritning i tillämpliga fall)

2.1

Hjulbas(er) (vid full last)

2.1.1

Fordon med två axlar:

2.1.2

Fordon med tre eller flera axlar:

2.1.2.2

Totalt axelavstånd:

2.4

Fordonets maximala mått (totalt):

2.4.1

För chassi utan karosseri

2.4.1.1

Längd (mm):

2.4.1.2

Bredd (mm):

2.4.2

För chassi med karosseri

2.4.2.1

Längd (mm):

2.4.2.2

Bredd (mm):

2.6

Vikt i körklart skick (kg):

FRAMDRIVNINGSENERGIOMVANDLARE

3.2.2

Bränsle

3.2.2.1

Lätta fordon: diesel/bensin/LPG/naturgas eller biometan/etanol (E85)/biodiesel/väte

3.2.3

Bränsletankar:

3.2.3.1

Huvudbränsletankar:

3.2.3.1.1

Antal och kapacitet för varje tank:

3.2.3.1.1.1

Material:

3.2.3.1.2

Ritning och teknisk beskrivning av tanken (tankarna) med alla anslutningar och utluftnings- och ventilationsrör, lås, ventiler och fästanordningar

3.2.3.1.3

Ritning som tydligt visar tankens (tankarnas) placering i fordonet:

3.2.3.2

Extra bränsletankar:

3.2.3.2.1

Antal och kapacitet för varje tank:

3.2.3.2.1.1

Material:

3.2.3.2.2

Ritning och teknisk beskrivning av tanken (tankarna) med alla anslutningar och utluftnings- och ventilationsrör, lås, ventiler och fästanordningar

3.2.3.2.3

Ritning som tydligt visar tankens (tankarnas) placering i fordonet:

3.3.2

Uppladdningsbart elenergilagringssystem

3.3.2.4

Läge:

3.4

Kombinationer av framdrivningsenergiomvandlare

3.4.1

Hybridelfordon: ja/nej

3.4.2

Kategori av hybridelfordon: externt laddbart/icke externt laddbart

(1) Om metoden för identifiering av typ innehåller tecken som inte är relevanta för att beskriva de fordonstyper som omfattas av typgodkännandeintyget ska dessa tecken i dokumentationen återges med symbolen”?” (t.ex. ABC??123??).

(2) Enligt definitionen i den konsoliderade resolutionen om fordonskonstruktion (R.E.3), dokument ECE/TRANS/WP.29/78/Rev.6, punkt 2. www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29resolutions.html.

BILAGA 2

Godkännandemärkenas utformning

MALL A

(se punkt 4.4 i denna föreskrift)

a = minst 8 mm

Ovanstående godkännandemärke fäst på ett fordon visar att den berörda fordonstypen med avseende på skydd av förare och passagerare vid påkörning bakifrån har godkänts i Nederländerna (E 4) enligt FN-föreskrift nr 153 med godkännandenummer 001424. Godkännandenumret visar att godkännandet har beviljats i enlighet med kraven i FN-föreskrift nr 153 i dess ursprungliga lydelse.

MALL B

(se punkt 4.5 i denna föreskrift)

a = minst 8 mm

De två första siffrorna i godkännandenumren anger att FN-föreskrift nr 153 var i sin ursprungliga lydelse och att ändringsserie 03 ingick i FN-föreskrift nr 11 när respektive godkännande beviljades.

BILAGA 3

Förfarande för provning vid kollision bakifrån

Syfte

1.1

Syftet med denna provning är att simulera omständigheterna när ett fordon blir påkört bakifrån av ett annat fordon i rörelse.

Installationer, förfaranden och mätinstrument

2.1

Provningsplats

Provningsområdet ska vara tillräckligt stort för att rymma provkroppens framdrivningssystem och för att tillåta förskjutning av fordonet efter kollisionen samt installering av provningsutrustningen. Det område där fordonet träffas och förskjutningen äger rum ska vara horisontellt, plant och jämnt samt representativt för en normal, torr och ren vägyta.

2.2

Provkropp

2.2.1

Provkroppen ska vara av stål och ha en stabil konstruktion.

2.2.2

Islagsytan ska vara plan, minst 2 500 mm bred och 800 mm hög, och dess kanter ska vara avrundade till en radie av 40–50 mm. Ytan ska vara täckt med 20 ± 2 mm tjocka plywoodskivor.

2.2.3

I islagsögonblicket ska följande krav vara uppfyllda:

2.2.3.1

Islagsytan ska vara lodrät och vinkelrät mot det träffade fordonets längsgående mittplan.

2.2.3.2

Provkroppens rörelseriktning ska i huvudsak vara vågrät och parallell med det träffade fordonets längsgående mittplan.

2.2.3.3

Den största sidoavvikelse som godtas mellan islagsytans lodräta mittplan och det träffade fordonets längsgående mittplan ska vara 300 mm. Dessutom ska islagsytan sträcka sig över det träffade fordonets hela bredd.

2.2.3.4

Avståndet mellan marken och islagsytans underkant ska vara 175 ± 25 mm.

2.3

Provkroppens framdrivning

Provkroppen ska vara fäst i en vagn (rörlig barriär).

2.4

Bestämmelser för provning med rörlig barriär

2.4.1

Om provkroppen är fastsatt på en vagn (rörlig barriär) med en fastspänningsanordning ska denna vara fast och inte deformeras vid islag. Vagnen ska i islagsögonblicket kunna röra sig fritt och inte längre vara utsatt för påverkan från framdrivningsanordningen.

2.4.2

Kollisionen ska ske i en hastighet av 50,0 ± 2,0 km/h.

2.4.3

Provkroppens och vagnens sammanlagda vikt ska vara 1 100 ± 20 kg.

2.5

Allmänna bestämmelser för provkroppens vikt och hastighet

Om provningen genomförs med en högre islagshastighet än vad som föreskrivs i punkt 2.4.2 och fordonet uppfyller de krav som föreskrivs ska provningen anses som tillfredsställande.

2.6

Det provade fordonets tillstånd

2.6.1

Det fordon som provas ska antingen vara utrustat med samtliga komponenter och all utrustning som ingår i dess olastade vikt eller vara i ett sådant skick att det uppfyller detta krav vad gäller komponenter och utrustning i passagerarutrymmet samt viktfördelning i fordonet som helhet i körklart skick.

2.6.2

Tanken för flytande bränsle ska vara fylld till minst 90 % av sin kapacitet antingen med bränsle eller med en brandsäker vätska som har en densitet och viskositet som ligger nära det bränsle som normalt används. Samtliga andra system (bromsvätskebehållare, kylare, reagenser för selektiv katalytisk reduktion osv.) får vara tomma.

Lagringssystem för komprimerad vätgas och de slutna utrymmen i fordon som drivs med komprimerad vätgas ska förberedas i enlighet med punkt 3 i bilaga 4.

2.6.3

Parkeringsbromsen ska inte vara åtdragen och växellådan/växelspaken ska vara i neutralt läge.

2.6.4

Om tillverkaren så begär ska följande avvikelser tillåtas:

2.6.4.1

Den tekniska tjänst som ansvarar för att utföra provningen får tillåta att samma fordon som används vid provning enligt andra FN-föreskrifter (däribland provningar som kan påverka konstruktionen) får användas vid de provningar som föreskrivs i denna föreskrift.

2.6.4.2

Fordonet får förses med ytterligare tyngder motsvarande högst 10 % av dess olastade vikt. Tyngderna ska vara säkert fästade vid fordonskonstruktionen på ett sådant sätt att bränslesystemets integritet och det elektriska framdrivningssystemets säkerhet inte påverkas under provningen.

2.6.5

Inställning av elektrisk framdrivning

2.6.5.1

Det uppladdningsbara elenergilagringssystemet får befinna sig i vilket laddningstillstånd som helst som enligt tillverkarens rekommendationer möjliggör normal drift av framdrivningen.

2.6.5.2

Den elektriska framdrivningen ska vara spänningsförande, oavsett om de ursprungliga elenergikällorna (t.ex. motor/generator, uppladdningsbart elenergilagringssystem eller system för omvandling av elektrisk energi) är inkopplade eller inte, men följande ska gälla:

2.6.5.2.1

Efter överenskommelse mellan den tekniska tjänsten och tillverkaren ska det vara tillåtet att utföra provningen då hela eller delar av den elektriska framdrivningen inte är spänningsförande, förutsatt att detta inte påverkar provningsresultaten negativt. För de delar av den elektriska framdrivningen som inte är spänningsförande ska skyddet mot elstöt påvisas antingen genom fysiskt skydd eller isoleringsmotstånd och lämplig kompletterande bevisning.

2.6.5.2.2

Om det finns en funktion för automatisk frånkoppling ska det på begäran av tillverkaren vara tillåtet att genomföra provningen på så sätt att den automatiska frånkopplingen utlöses. I så fall ska det påvisas att den automatiska frånkopplingen skulle ha aktiverats under kollisionsprovningen. Detta inbegriper signalen för automatisk aktivering samt elektrisk separation, med hänsyn tagen till de omständigheter som observeras under kollisionen.

2.7

Mätinstrument

Noggrannheten hos de instrument som används för att registrera hastigheten enligt punkt 2.4.2 ska ligga inom 1 %.

Alternativa provningsmetoder

På tillverkarens begäran får följande provningsmetod användas som ett alternativ till den provningsmetod som föreskrivs i punkt 2.

3.1

En förskjuten kollisionsprovning bakifrån med en rörlig deformerbar barriär godtas som alternativ till det förfarande som beskrivs i punkt 2 i denna bilaga under förutsättning att de villkor som fastställs i punkterna 3.1.1–3.1.3 är uppfyllda.

3.1.1

Islagshastighet

Islagshastigheten ska vara mellan 78,5 km/h och 80,1 km/h.

3.1.2

Fordonets förskjutning mot barriären

Överlappningen mellan bilen och barriären ska vara 70 %.

3.1.3

Rörlig deformerbar barriär

Den rörliga deformerbara barriären ska uppfylla följande specifikationer:

a)	Den rörliga deformerbara barriärens totala vikt med islagsytan ska vara 1 361 ± 4,5 kg.

b)	Den rörliga deformerbara barriärens totala längd med islagsytan ska vara 4 115 mm ± 25 mm.

c)	Den rörliga deformerbara barriärens totala längd bortsett från islagsytan ska vara 3 632 mm (inklusive ett 50,8 mm tjockt fästblock).

d)	Den totala bredden på vagnens ram ska vara 1 251 mm.

e)	Spårvidden (mittlinje till mittlinje hos fram- eller bakhjulen) ska vara 1 880 mm.

f)	Hjulbasen för vagnens ram ska vara 2 591 mm ± 25 mm.

Den rörliga deformerbara barriärens tröghet (med två kameror, kamerafästen, ljusriktare (light trap vane) och minskad barlast). Tyngdpunkten är enligt följande:

X = (1 123 ± 25 ) mm bakom framaxeln

Y = (7,6 ± 25) mm vänster om den längsgående mittlinjen

Z = (450 ± 25) mm från marken

Tröghetsmomenten (tolerans 5 % för provningsändamål) är enligt följande:

Längdlutning = 2 263 kg–m2

Utrullning = 508 kg–m2

Gir = 2 572 kg–m2

h)	Storlek på den vaxkakeformade islagsytan: Bredd = 1 676 mm ± 6 mm Höjd = 559 mm ± 6 mm Markfrigång = 229 mm ± 3 mm Djup i stötfångarhöjd = 483 mm ± 6 mm Djup vid övre islagsytan = 381 mm ± 6 mm

i)	Kraft- och deformationsegenskaperna (krosstyrkan) för den vaxkakeformade islagsytan ska vara 310 kPa ± 17 kPa och 1 690 kPa ± 103 kPa för stötfångaren.

Andra parametrar och inställningar får likna definitionerna i punkt 2 i denna föreskrift.

3.2

Om någon annan metod än den som beskrivs i punkt 2 eller punkt 3.1 används ska dess likvärdighet påvisas.

BILAGA 4

Provningsförhållanden och förfaranden för bedömningen av vätgasbränslesystemets integritet efter kollision

Syfte

Fastställande av överensstämmelse med kraven i punkt 5.2.1 i denna föreskrift.

Definitioner

I denna bilaga gäller följande definitioner:

2.1

slutna utrymmen: de särskilda utrymmen inuti fordonet (eller innanför fordonets kontur över dess öppningar) som är avskilda från vätgassystemet (lagringssystem, bränslecellssystem och styrsystem för bränsleflöde) och dess höljen (i förekommande fall) där vätgas kan ansamlas (och därmed utgöra en fara), t.ex. i passagerarutrymmet, bagageutrymmet och utrymmet under motorhuven.

2.2

bagageutrymme: det utrymme i fordonet som är avsett för förvaring av bagage eller last, och som begränsas av fordonets tak, motorhuv, golv och sidoväggar och som avskiljs från passagerarutrymmet genom en främre eller bakre skiljevägg.

2.3

nominellt arbetstryck (NWP): det övertryck som kännetecknar den typiska driften av ett system. För behållare för komprimerad vätgas är det nominella arbetstrycket den komprimerade gasens stabiliserade tryck i en full behållare eller ett fullt lagringssystem vid en enhetlig temperatur på 15 °C.

Förberedelse, instrument och provningsförhållanden

3.1

Lagringssystem för komprimerad vätgas och rörledningar nedströms

3.1.1

Innan kollisionsprovningen påbörjas ska instrument för de nödvändiga mätningarna av tryck och temperatur installeras i lagringssystemet för vätgas om standardfordonet inte redan har instrument med den noggrannhet som krävs.

3.1.2

Därefter ska lagringssystemet för vätgas, vid behov, vädras ut i enlighet med tillverkarens anvisningar för att avlägsna eventuella orenheter i behållaren innan lagringssystemet fylls med komprimerad vätgas eller heliumgas. Eftersom lagringssystemets tryck varierar beroende på temperaturen beror måltrycket vid tankning på temperaturen. Måltrycket ska beräknas med hjälp av följande ekvation:

Ptarget= NWP × (273 + To) / 288

där NWP är det nominella arbetstrycket (MPa), To är den omgivande temperatur vid vilken lagringssystemet förväntas att stabiliseras, och Ptarget är måltrycket vid tankningen efter att temperaturen har stabiliserats.

3.1.3

Behållaren ska fyllas till minst 95 % av måltrycket för tankningen och få tid att stabilisera sig innan kollisionsprovningen genomförs.

3.1.4

Huvudavstängningsventilen och avstängningsventilerna för vätgas, som sitter i rörledningarna nedströms, ska vara inställda i normalt körläge omedelbart före kollisionen.

3.2

Slutna utrymmen

3.2.1

Givare ska väljas ut för att mäta antingen ansamlingen av vätgas eller heliumgas eller minskningen av syre (på grund av undanträngning av luft genom läckage av vätgas/heliumgas).

3.2.2

Givarna ska kalibreras till spårbara referensvärden för att säkerställa en noggrannhet på ±5 % för målkriterierna på 4 volymprocent vätgas eller 3 volymprocent heliumgas i luft och en fullskalig mätkapacitet på minst 25 % över målkriterierna. Givarna ska klara av en respons på 90 % av en fullskalig ändring av koncentrationen inom 10 sekunder.

3.2.3

Före kollisionen ska givarna placeras i fordonets passagerar- och bagageutrymmen enligt följande:

a)	På ett avstånd inom 250 mm från innertaket ovanför förarsätet eller nära den övre centrala delen av passagerarutrymmet.

b)	På ett avstånd inom 250 mm från golvet framför det bakre (eller bakersta) sätet i passagerarutrymmet.

c)	På ett avstånd inom 100 mm från den övre kanten av de bagageutrymmen i fordonet som inte påverkas direkt av den kollision som ska genomföras.

3.2.4

Givarna ska monteras fast i fordonets stomme eller säten och skyddas mot skräp, gas från krockkuddarna och flygande föremål under den planerade kollisionsprovningen. Mätningarna efter kollisionen ska registreras av instrument som sitter inuti fordonet eller genom fjärröverföring.

3.2.5

Provningen får antingen utföras utomhus i ett område som är skyddat från sol och vind eller inomhus i ett utrymme som är tillräckligt stort eller ventilerat för att förhindra en ansamling av vätgas som överstiger 10 % av målkriterierna för passagerar- och bagageutrymmena.

Mätning i samband med läckageprovning efter kollision av ett lagringssystem för komprimerad vätgas fyllt med komprimerad vätgas

4.1

Vätgasens tryck, P0 (MPa), och temperatur, T0 (°C), ska mätas omedelbart före kollisionen och sedan vid ett tidsintervall, Δt (min), efter kollisionen.

4.1.1

Tidsintervallet, Δt, ska börja när fordonet har stannat helt efter kollisionen och pågå i minst 60 min.

4.1.2

Tidsintervallet, Δt, ska utökas om det behövs för att uppnå tillräcklig mätnoggrannhet för ett lagringssystem med en stor volym som kan användas upp till 70 MPa, och i sådana fall ska Δt beräknas med hjälp av följande formel:

Δt = VCHSS × NWP /1 000 × ((– 0,027 x NWP +4) × Rs – 0,21) – 1,7 × Rs

där Rs = Ps / NWP, Ps är tryckgivarens tryckområde (MPa), NWP är det nominella arbetstrycket (MPa), VCHSS är volymen i lagringssystemet för komprimerad gas (L), och Δt är tidsintervallet (min).

4.1.3

Om det beräknade värdet för Δt är mindre än 60 min ska Δt fastställas till 60 min.

4.2

Den initiala massan av vätgasen i lagringssystemet kan beräknas enligt följande:

Po' = Po × 288 / (273 + T0)

ρo' = –0,0027 × (P0')2 + 0,75 × P0' + 0,5789

Mo = ρo' × VCHSS

4.3

Den slutliga massan av vätgasen i lagringssystemet, Mf, i slutet av tidsintervallet, Δt, kan på motsvarande sätt beräknas enligt följande:

Pf' = Pf × 288 / (273 + Tf)

ρf' = –0,0027 × (Pf')2 + 0,75 × Pf' + 0,5789

Mf = ρf' × VCHSS

där Pf är det uppmätta slutliga trycket (MPa) i slutet av tidsintervallet, och Tf är den uppmätta slutliga temperaturen (°C).

4.4

Vätgasens genomsnittliga flödeshastighet under tidsintervallet är därför

VH2 = (Mf-Mo) / Δt × 22,41 / 2,016 × (Ptarget /Po)

där VH2 är den genomsnittliga volymetriska flödeshastigheten (NL/min) under tidsintervallet och termen (Ptarget/Po) används för att kompensera för skillnaderna mellan det uppmätta initiala trycket (Po) och måltrycket vid tankning (Ptarget).

Mätning i samband med läckageprovning efter kollision av ett lagringssystem för komprimerad vätgas fyllt med komprimerad heliumgas

5.1

Heliumgasens tryck, P0 (MPa), och temperatur, T0 (°C), ska mätas omedelbart före kollisionen och sedan vid ett förutbestämt tidsintervall efter kollisionen.

5.1.1

Tidsintervallet, Δt, ska börja när fordonet har stannat helt efter kollisionen och pågå i minst 60 min.

5.1.2

Δt = VCHSS × NWP /1 000 × ((–0,028 × NWP +5,5) × Rs – 0,3) – 2,6 × Rs

5.1.3

Om värdet för Δt är mindre än 60 min ska Δt fastställas till 60 min.

5.2

Den initiala massan av heliumgasen i lagringssystemet ska beräknas enligt följande:

Po' = Po × 288 / (273 + T0)

ρo' = -0,0043 × (P0')2 + 1,53 × P0' + 1,49

Mo = ρo' × VCHSS

5.3

Den slutliga massan av heliumgasen i lagringssystemet i slutet av tidsintervallet, Δt, ska beräknas enligt följande:

Pf' = Pf × 288 / (273 + Tf)

ρf' = –0,0043 × (Pf')2 + 1,53 × Pf' + 1,49

Mf = ρf' × VCHSS

där Pf är det uppmätta slutliga trycket (MPa) i slutet av tidsintervallet, och Tf är den uppmätta slutliga temperaturen (°C).

5.4

Heliumgasens genomsnittliga flödeshastighet under tidsintervallet är därför

VHe = (Mf-Mo) / Δt x 22,41 / 4,003 × (Ptarget/ Po)

där VHe är den genomsnittliga volymetriska flödeshastigheten (NL/min) under tidsintervallet och termen (Ptarget/Po) används för att kompensera för skillnaderna mellan det uppmätta initiala trycket (Po) och måltrycket vid tankning (Ptarget).

5.5

Det genomsnittliga volymetriska flödet för heliumgas omvandlas till det genomsnittliga flödet för vätgas med hjälp av följande formel:

VH2 = VHe / 0,75

där VH2 är det motsvarande genomsnittliga volymetriska flödet för vätgas.

Koncentrationsmätning av slutna utrymmen efter en kollision

6.1

Insamlingen av data i de slutna utrymmena efter kollisionen ska påbörjas när fordonet har stannat helt. Data från de givare som installerats i enlighet med punkt 3.2 i denna bilaga ska samlas in minst var femte sekund under en period på 60 min efter provningen. En tidsförskjutning av första ordningen (tidskonstant) upp till högst 5 s får tillämpas på mätningarna för att skapa en ”utjämning” och filtrera bort effekterna av falska datapunkter.

BILAGA 5

Provningsförfaranden för fordon utrustade med elektrisk framdrivning

I denna bilaga beskrivs provningsförfaranden för kontroll av att elsäkerhetskraven i punkt 5.2.2 i denna föreskrift är uppfyllda.

Provuppställning och utrustning

Om en funktion för frånkoppling av högspänningen används ska mätningar göras på båda sidor av den anordning som kopplar från spänningen. Om anordningen för frånkoppling av högspänning är inbyggd i det uppladdningsbara elenergilagringssystemet eller energiomvandlingssystemet, och högspänningskretsen i det uppladdningsbara elenergilagringssystemet eller energiomvandlingssystemet är skyddat enligt skyddsklass IPXXB efter kollisionsprovningen, får mätningar bara göras mellan den anordning som kopplar från spänningen och de elektriska belastningarna.

Den voltmeter som används i denna provning ska mäta likströmsvärden och ha ett inre motstånd på minst 10 MΩ.

Följande anvisningar får användas om spänningen mäts.

Efter kollisionsprovningen bestäms spänningarna i högspänningskretsen (Ub, U1, U2) (se figur 1).

Spänningen ska mätas tidigast 10 s och senast 60 s efter kollisionen.

Detta förfarande är inte tillämpligt om provningen utförs under villkoret att den elektriska framdrivningen inte är spänningsförande.

Bedömningsförfarande för låg elektrisk energi

Före kollisionen parallellkopplas en strömställare S1 och ett känt urladdningsmotstånd Re till den relevanta kapacitansen (se figur 2).

Tidigast 10 s och senast 60 s efter kollisionen ska strömställaren S1 stängas medan spänningen Ub och strömmen Ie mäts och registreras. Produkten av spänningen Ub och strömmen Ie ska integreras över den tid som börjar när strömställaren S1 stängs (tc) och slutar när spänningen Ub faller under högspänningströskeln 60 V likström (th). Integralen ger den totala energin (TE) i joule.

b)	Om Ub mäts vid en tidpunkt mellan 10 och 60 s efter kollisionen och X-kondensatorernas kapacitans (Cx) anges av tillverkaren ska den totala energin (TE) beräknas med följande formel: TE = 0,5 × Cx × Ub2

c)	Om U1 och U2 (se figur 1) mäts vid en tidpunkt mellan 10 och 60 s efter kollisionen och Y-kondensatorernas kapacitanser (Cy1, Cy2) anges av tillverkaren ska den totala energin (TEy1, TEy2) beräknas med följande formler: TEy1 = 0,5 × Cy1 × U12 TEy2 = 0,5 × Cy2 × U22

Detta förfarande är inte tillämpligt om provningen utförs under villkoret att den elektriska framdrivningen inte är spänningsförande.

Figur 2 Exempel på mätning av energin i högspänningskretsen som lagras i X-kondensatorerna

Fysiskt skydd

Efter kollisionsprovningen av fordonet ska alla delar som omger högspänningskomponenterna utan hjälp av verktyg öppnas, demonteras och avlägsnas. Alla kvarvarande omgivande delar ska betraktas som en del av det fysiska skyddet.

Det ledade provningsfinger som beskrivs i figur 3 ska föras in i alla hål och öppningar i det fysiska skyddet med en provningskraft på 10 N ± 10 % för bedömning av elsäkerheten. Om det ledade provningsfingret tränger in helt eller delvis i det fysiska skyddet, ska provningsfingret placeras i alla lägen som anges nedan.

Utgående från det raka läget ska provningsfingrets båda leder successivt böjas i en vinkel av upp till 90° med avseende på angränsande fingeravsnitts axel och placeras i varje möjligt läge.

Interna elskyddsbarriärer betraktas som en del av inneslutningen.

I förekommande fall ska en lågspänningskälla (om minst 40 V och högst 50 V) i serie med en lämplig lampa anslutas mellan det ledade provningsfingret och de högspänningsförande delarna inuti elskyddsbarriären eller inneslutningen.

Material: metall, utom där annat anges

Linjära mått i mm

Toleranser för mått utan angiven tolerans:

a)	För vinklar: + 0°0′0″/– 0°0′10″.

För linjära mått:

i)	≤ 25 mm: + 0/– 0,05 mm.

ii)	> 25 mm: ± 0,2 mm.

Bägge lederna ska tillåta rörelser i samma plan och samma riktning genom en vinkel på 90° med toleransen 0 till + 10°.

Kraven i punkt 5.2.2.1.3 i denna föreskrift ska anses vara uppfyllda om det ledade provningsfingret enligt figur 3 inte kan få kontakt med högspänningsförande delar.

Om så krävs får en spegel eller ett fiberskop användas för att kontrollera om det ledade provningsfingret berör högspänningskretsarna.

Om detta krav kontrolleras med en signalkrets mellan det ledade provningsfingret och de högspänningsförande delarna får lampan inte tändas.

4.1

Provningsmetod för mätning av elektriskt motstånd

Provningsmetod med ett motståndsinstrument

Motståndsinstrumentet är anslutet till mätpunkter (i normala fall det elektriska chassit och elskyddsbarriären/inneslutningen) och motståndet mäts med ett motståndsinstrument som uppfyller följande specifikationer:

i)	Motståndsinstrument: minst 0,2 A mätningsström.

ii)	Upplösning: 0,01 Ω eller mindre.

iii)	Motståndet R ska vara mindre än 0,1 Ω.

Provningsmetod med likströmskälla, voltmeter och amperemeter

Likströmskällan, voltmetern och amperemetern är anslutna till mätpunkter (i normala fall det elektriska chassit och elskyddsbarriären/inneslutningen).

Likströmskällans spänning ska justeras så att strömstyrkan är minst 0,2 A.

Ström ”I” och spänning ”U” mäts.

Motståndet ”R” beräknas enligt följande formel:

R = U / I

Motståndet R ska vara mindre än 0,1 Ω.

Anmärkning:

Om anslutningskablar används för mätning av spänning och ström ska varje anslutningskabel vara separat ansluten till elskyddsbarriären/inneslutningen/det elektriska chassit. För mätning av spänning och ström får samma anslutningspunkt användas.

Exempel på provningsmetoden med likströmskälla, voltmeter och amperemeter visas nedan.

Figur 4 Exempel på provningsmetod med likströmskälla

Isoleringsmotstånd

5.1

Allmänt

Isoleringsmotståndet för var och en av fordonets högspänningskretsar ska mätas eller bestämmas genom beräkning av mätvärdena för varje del eller komponent i en högspänningskrets.

Alla mätningar för att beräkna spänning och elektrisk isolering ska göras minst 10 s efter kollisionen.

5.2

Mätmetod

Isoleringsmotståndet ska mätas genom att en lämplig mätmetod väljs bland dem som anges i punkterna 5.2.1–5.2.2 i denna bilaga, beroende på de spänningsförande delarnas elektriska laddning eller isoleringsmotstånd.

Omfattningen på den elektriska krets som ska mätas ska anges i förväg med hjälp av elektriska kretsdiagram. Om högspänningskretsarna är elektriskt isolerade från varandra ska isoleringsmotståndet mätas för varje enskild elektrisk krets.

Dessutom får man göra de ändringar som krävs för att isoleringsmotståndet ska kunna mätas, t.ex. avlägsna höljen för att nå spänningsförande delar, rita upp mätlinjer eller ändra programvara.

Om de uppmätta värdena inte är stabila på grund av exempelvis driften av ombordsystemet för övervakning av isoleringsmotstånd får nödvändiga ändringar för mätningen göras genom att den aktuella anordningen stängs av eller avlägsnas. När anordningen har avlägsnats ska dessutom en uppsättning ritningar användas för att visa att isoleringsmotståndet mellan de spänningsförande delarna och det elektriska chassit förblir oförändrat.

Dessa ändringar får inte påverka provningsresultaten.

Särskild omsorg ska iakttas för att undvika kortslutningar och elstötar, eftersom denna kontroll kan kräva direkta ingrepp i högspänningskretsen.

5.2.1

Mätmetod med likströmsspänning från externa källor

5.2.1.1

Mätinstrument

Det instrument för mätning av isoleringsmotstånd som används ska kunna påföra en likströmsspänning som är högre än högspänningskretsens arbetsspänning.

5.2.1.2

Mätmetod

Ett instrument för mätning av isoleringsmotstånd ska anslutas mellan de spänningsförande delarna och det elektriska chassit. Därefter ska isoleringsmotståndet mätas genom att man påför en likströmsspänning som är minst hälften av högspänningskretsens arbetsspänning.

Om systemet har flera spänningsintervall (t.ex. på grund av en boostkonverter) i elektriskt anslutna kretsar, och några av komponenterna inte kan tåla hela kretsens arbetsspänning, får isoleringsmotståndet mellan de komponenterna och det elektriska chassit mätas separat genom att minst hälften av deras egen arbetsspänning påförs med de komponenterna frånkopplade.

5.2.2

Metod för mätning med hjälp av fordonets eget uppladdningsbara elenergilagringssystem som likströmsspänningskälla

5.2.2.1

Villkor för provningsfordon

Högspänningskretsen ska tillföras energi med hjälp av fordonets eget uppladdningsbara elenergilagringssystem eller energiomvandlingssystem, och elenergilagringssystemets eller energiomvandlingssystemets spänning under hela provningen ska vara minst den nominella driftspänning som fordonstillverkaren angett.

5.2.2.2

Mätmetod

5.2.2.2.1

Steg 1:

Mät spänningen enligt figur 1 och registrera högspänningskretsens spänning (Ub).

5.2.2.2.2

Steg 2:

Mät och anteckna spänningen (U1) mellan högspänningskretsens negativa sida och det elektriska chassit (se figur 1).

5.2.2.2.3

Steg 3:

Mät och anteckna spänningen (U2) mellan högspänningskretsens positiva sida och det elektriska chassit (se figur 1).

5.2.2.2.4

Steg 4:

Om U1 är större än eller lika med U2 ska ett känt standardmotstånd (R0) kopplas in mellan högspänningskretsens negativa sida och det elektriska chassit. Med R0 inkopplad, mät spänningen (U1') mellan högspänningskretsens negativa sida och det elektriska chassit (se figur 5).

Den elektriska isoleringen (Ri) beräknas enligt följande formel:

Ri = R0*Ub*(1/U1' – 1/U1)

Om U2 är större än U1 ska ett känt standardmotstånd (R0) kopplas in mellan högspänningskretsens positiva sida och det elektriska chassit. När R0 är inkopplad mäts spänningen (U2') mellan högspänningskretsens positiva sida och det elektriska chassit (se figur 6).

Den elektriska isoleringen (Ri) beräknas enligt följande formel:

Ri = R0*Ub*(1/U2' – 1/U2)

5.2.2.2.5

Steg 5:

Värdet på den elektriska isoleringen Ri (i Ω) dividerat med högspänningskretsens arbetsspänning (i V) ger isoleringsmotståndet (i Ω/V).

Anmärkning:

Det kända standardmotståndet R0 (i Ω) bör ha samma värde som det minsta erforderliga isoleringsmotståndet (i Ω/V) multiplicerat med fordonets arbetsspänning (i V) ±20 %. R0 måste inte ha exakt detta värde, eftersom ekvationerna är giltiga för varje värde på R0. Ett värde på R0 inom detta intervall torde dock ge en god upplösning för spänningsmätningarna.

Läckage av elektrolyter

En lämplig beläggning ska, om så krävs, anbringas på det fysiska skyddet för att kontrollera om det finns något läckage av elektrolyter från det uppladdningsbara elenergilagringssystemet efter kollisionsprovningen.

Fasthållning av uppladdningsbart elenergilagringssystem

Kravuppfyllelsen ska kontrolleras genom okulärbesiktning.

9.3.2021

Europeiska unionens officiella tidning

L 82/30

FN-föreskrift nr 155 – Enhetliga bestämmelser om godkännande av fordon med avseende på cybersäkerhet och ledningssystem för cybersäkerhet [2021/387]

Datum för ikraftträdande: 22 januari 2021

Detta dokument tillhandahålls endast i informationssyfte. De giltiga och rättsligt bindande texterna är följande:

—	ECE/TRANS/WP.29/2020/79.

—	ECE/TRANS/WP.29/2020/94.

—	ECE/TRANS/WP.29/2020/97.

INNEHÅLL

FÖRESKRIFTER

Tillämpningsområde

Definitioner

Ansökan om godkännande

Märkningar

Godkännande

Intyg om överensstämmelse för ledningssystem för cybersäkerhet

Specifikationer

Ändring av fordonstypen och utökning av typgodkännandet

Produktionsöverensstämmelse

10.

Påföljder vid bristande produktionsöverensstämmelse

11.

Slutgiltigt upphörande av produktionen

12.

Namn på och adress till typgodkännandemyndigheter och de tekniska tjänster som ansvarar för att utföra godkännandeprovningar

BILAGOR

Informationsdokument

Meddelande

Godkännandemärkets utformning

Mall för intyg om överensstämmelse för ledningssystem för cybersäkerhet

Förteckning över hot och motsvarande riskreducerande åtgärder

1. TILLÄMPNINGSOMRÅDE

1.1

Denna föreskrift gäller fordon av kategorierna M och N med avseende på cybersäkerhet.

Denna föreskrift gäller även fordon av kategori O om de är utrustade med minst en elektronisk styrenhet.

1.2

Denna föreskrift gäller också fordon av kategorierna L6 och L7 om de är utrustade med autonoma körfunktioner från nivå 3 och uppåt, i enlighet med definitionen i ”Referensdokument med definitioner av autonom körning enligt WP.29 och de allmänna principerna för utarbetande av en FN-föreskrift om automatiserade fordon” (ECE/TRANS/WP.29/1140).

1.3

Denna föreskrift påverkar inte andra FN-föreskrifter, regional eller nationell lagstiftning som styr behöriga parters tillgång till fordonet, dess data, funktioner och resurser samt villkoren för denna tillgång. Den påverkar inte heller tillämpningen av nationell och regional lagstiftning om integritet och skydd av fysiska personer när det gäller behandling av deras personuppgifter.

1.4

Denna föreskrift påverkar inte andra FN-föreskrifter, regional eller nationell lagstiftning som styr utvecklingen och installationen/integreringen av fysiska och digitala ersättningsdelar och komponenter med avseende på cybersäkerhet.

2. DEFINITIONER

I denna föreskrift gäller följande definitioner:

2.1

fordonstyp: fordon som åtminstone i följande väsentliga avseenden inte skiljer sig från varandra:

a)	tillverkarens beteckning för fordonstypen,

b)	grundläggande aspekter av den elektriska/elektroniska konstruktionen och de externa gränssnitten med avseende på cybersäkerhet.

2.2	cybersäkerhet: hur vägfordon och deras funktioner skyddas mot cyberhot mot elektriska eller elektroniska komponenter.

2.3	ledningssystem för cybersäkerhet: en systematisk, riskbaserad metod varigenom organisatoriska processer, ansvar och styrning fastställs för att hantera risker som är förenade med cyberhot mot fordon och skydda dem mot cyberattacker.

2.4	system: en uppsättning komponenter och/eller undersystem som genomför en eller flera funktioner.

2.5	utvecklingsfas: perioden innan en fordonstyp typgodkänns.

2.6	produktionsfas: längden av produktionen av en fordonstyp.

2.7

efterproduktionsfas: perioden då en fordonstyp inte längre produceras fram till slutet av livscykeln för alla fordon av fordonstypen. Fordon som överensstämmer med en viss fordonstyp kommer att vara i bruk under denna period, men inte längre produceras. Fasen tar slut när det inte längre finns några fordon i bruk av en viss fordonstyp.

2.8	riskreducerande åtgärd: en åtgärd som minskar en risk.

2.9	risk: sannolikheten för att ett visst hot kommer att utnyttja ett fordons sårbarheter och därmed skada organisationen eller en enskild person.

2.10

riskbedömning: den övergripande processen av att hitta, erkänna och beskriva risker (riskidentifiering), förstå riskens karaktär och bedöma risknivån (riskanalys) samt jämföra resultaten av riskanalysen med riskkriterier för att avgöra om risken och/eller dess omfattning är acceptabel (riskvärdering).

2.11	riskhantering: samordnade insatser för att leda och styra en organisation i riskhänseende.

2.12	hot: en potentiell orsak till en oönskad händelse som kan leda till skador på ett system, en organisation eller en person.

2.13	sårbarhet: en svaghet hos en tillgång eller en riskreducerande åtgärd som kan utnyttjas genom ett eller flera hot.

3. ANSÖKAN OM GODKÄNNANDE

3.1

Ansökan om godkännande av en fordonstyp med avseende på cybersäkerhet ska lämnas in av fordonstillverkaren eller dess behöriga ombud.

3.2

Ansökan ska åtföljas av nedanstående handlingar i tre exemplar och av följande uppgifter:

3.2.1

En beskrivning av fordonstypen med avseende på de uppgifter som anges i bilaga 1 till denna föreskrift.

3.2.2

Om det visar sig att information omfattas av immateriell äganderätt eller utgör tillverkarens eller tillverkarens leverantörers särskilda know-how ska tillverkaren eller leverantörerna tillhandahålla tillräcklig information för att de kontroller som avses i denna föreskrift ska kunna utföras korrekt. Sådan information ska behandlas konfidentiellt.

3.2.3

Intyget om överensstämmelse för ledningssystem för cybersäkerhet enligt punkt 6 i denna föreskrift.

3.3

Denna dokumentation ska bestå av följande två delar:

Det formella dokumentationspaketet för godkännandet, som innehåller det material som anges i bilaga 1 som ska lämnas till godkännandemyndigheten eller dess tekniska tjänst i samband med att ansökan om typgodkännande lämnas in. Godkännandemyndigheten eller dess tekniska tjänst kommer att använda detta dokumentationspaket som den grundläggande referensen för godkännandeförfarandet. Godkännandemyndigheten eller dess tekniska tjänst ska säkerställa att detta dokumentationspaket förblir tillgängligt i minst tio år räknat från den dag då produktionen av fordonstypen slutgiltigt upphörde.

Ytterligare material som är relevant för kraven i denna föreskrift får förvaras av tillverkaren och ska uppvisas i samband med typgodkännandet. Tillverkaren ska säkerställa att material som uppvisas i samband med typgodkännandet förblir tillgängligt under en period på minst tio år räknat från den dag då produktionen av fordonstypen slutgiltigt upphörde.

4. MÄRKNING

4.1

4.1.1

En cirkel som omger bokstaven E, följd av det särskiljande numret för det land som beviljat godkännandet.

4.1.2

Numret på denna föreskrift följt av bokstaven R, ett bindestreck och godkännandenumret till höger om den cirkel som beskrivs i punkt 4.1.1.

4.2

Om fordonet överensstämmer med en fordonstyp som godkänts enligt en eller flera andra föreskrifter som är bifogade överenskommelsen, i det land som beviljat godkännande enligt denna föreskrift, behöver den symbol som föreskrivs i punkt 4.1.1 inte upprepas. I så fall ska föreskriftens nummer, godkännandenummer och tilläggssymboler för alla de föreskrifter enligt vilka godkännande har beviljats i det land som beviljat godkännandet enligt denna föreskrift anges i kolumner till höger om den symbol som föreskrivs i punkt 4.1.1.

4.3

Godkännandemärket ska vara lätt läsbart och outplånligt.

4.4

Typgodkännandemärket ska placeras på eller nära den fordonsskylt som anbringats av tillverkaren.

4.5

I bilaga 3 till denna föreskrift finns exempel på typgodkännandemärkets utformning.

5. GODKÄNNANDE

5.1

Godkännandemyndigheter ska endast bevilja typgodkännande med avseende på cybersäkerhet för de fordonstyper som uppfyller kraven i denna föreskrift.

5.1.1

Godkännandemyndigheten eller den tekniska tjänsten ska genom dokumentkontroller kontrollera att fordonstillverkaren har vidtagit de nödvändiga åtgärderna för fordonstypen för att

a)	samla in och kontrollera de uppgifter som krävs enligt denna föreskrift genom leveranskedjan för att visa att leverantörsrelaterade risker upptäcks och hanteras,

b)	dokumentera riskbedömningen (som görs under utvecklingsfasen eller i efterhand), provningsresultat och riskreducerande åtgärder som tillämpats på fordonstypen, inbegripet konstruktionsinformation som stöder riskbedömningen,

c)	vidta lämpliga cybersäkerhetsåtgärder vid konstruktionen av fordonstypen,

d)	upptäcka och svara på eventuella cyberattacker,

e)	registrera data för att stödja upptäckten av cyberattacker och skapa kapacitet för it-forensik för att möjliggöra analys av misslyckade eller framgångsrika cyberattacker.

5.1.2

Godkännandemyndigheten eller den tekniska tjänsten ska genom att prova ett fordon av fordonstypen kontrollera att fordonstillverkaren har vidtagit de cybersäkerhetsåtgärder som han eller hon har dokumenterat. Godkännandemyndigheten eller den tekniska tjänsten ska, själv eller i samarbete med fordonstillverkaren, utföra provningar genom provtagning. Provtagning ska inriktas på, men inte begränsas till, risker som bedöms som höga under riskbedömningen.

5.1.3

Godkännandemyndigheten eller den tekniska tjänsten ska vägra att bevilja typgodkännandet med avseende på cybersäkerhet om fordonstillverkaren inte har uppfyllt ett eller flera av de krav som avses i punkt 7.3, särskilt följande:

a)	Fordonstillverkaren gjorde inte den omfattande riskbedömning som avses i punkt 7.3.3 eller beaktade alla risker med koppling till de hot som avses i bilaga 5, del A.

b)	Fordonstillverkaren skyddade inte fordonstypen mot de risker som identifierades i fordonstillverkarens riskbedömning eller vidtog proportionella riskreducerande åtgärder enligt punkt 7.

c)	Fordonstillverkaren vidtog inte lämpliga och proportionella åtgärder för att säkerställa särskilda utrymmen i fordonstypen (om detta föreskrivs) för förvaring och körning av programvara, tjänster, applikationer eller data på eftermarknaden.

d)	Fordonstillverkaren utförde inte, före godkännandet, lämplig och tillräcklig provning för att kontrollera effektiviteten i de säkerhetsåtgärder som vidtogs.

5.1.4

Den godkännandemyndighet som utför bedömningen ska även vägra att bevilja typgodkännande med avseende på cybersäkerhet när godkännandemyndigheten eller den tekniska tjänsten inte har erhållit tillräcklig information från fordonstillverkaren för att bedöma fordonstypens cybersäkerhet.

5.2

Ett meddelande om beviljat, utökat eller ej beviljat godkännande av en fordonstyp enligt denna föreskrift ska lämnas till de parter i 1958 års överenskommelse som tillämpar denna föreskrift med hjälp av ett formulär som överensstämmer med mallen i bilaga 2 till denna föreskrift.

5.3

Godkännandemyndigheter får inte bevilja typgodkännande utan att kontrollera att tillverkaren har infört tillfredsställande rutiner och förfaranden för att på ett korrekt sätt hantera de cybersäkerhetsaspekter som omfattas av denna föreskrift.

5.3.1

Godkännandemyndigheten och dess tekniska tjänster ska utöver de kriterier som fastställs i bilaga 2 till 1958 års överenskommelse säkerställa att tillverkaren har

a)	behörig personal med lämplig kompetens inom cybersäkerhet och särskilda kunskaper om riskbedömning av fordon (1),

b)	infört förfaranden för enhetlig utvärdering enligt denna föreskrift.

5.3.2

Varje part i överenskommelsen som tillämpar denna föreskrift ska genom sin godkännandemyndighet meddela och informera andra godkännandemyndigheter hos de parter i överenskommelsen som tillämpar denna FN-föreskrift om den metod och de kriterier som den anmälande myndigheten använder som underlag för att bedöma lämpligheten av de åtgärder som vidtas i enlighet med denna föreskrift, särskilt punkterna 5.1, 7.2 och 7.3

Dessa uppgifter ska delas a) endast innan ett godkännande beviljas för första gången enligt denna föreskrift och b) varje gång som metoden eller kriterierna för bedömningen uppdateras.

Dessa uppgifter är avsedda att delas för insamling och analys av bästa praxis och för att säkerställa att alla godkännandemyndigheter som tillämpar denna föreskrift gör det på ett enhetligt sätt.

5.3.3

De uppgifter som avses i punkt 5.3.2 ska laddas upp på engelska till den säkra onlinedatabasen DETA (2), som upprättats av FN:s ekonomiska kommission för Europa, i god dit och senast 14 dagar innan ett godkännande beviljas för första gången enligt metoderna och kriterierna för den aktuella bedömningen. Uppgifterna ska vara tillräckliga för att förstå vilka lägsta prestandanivåer som godkännandemyndigheten antagit för varje särskilt krav som avses i punkt 5.3.2 samt de processer och åtgärder som myndigheten tillämpar för att kontrollera att dessa lägsta prestandanivåer uppfylls (3).

5.3.4

Godkännandemyndigheter som erhåller de uppgifter som avses i punkt 5.3.2 kan lämna kommentarer till den anmälande godkännandemyndigheten genom att ladda upp dem till DETA senast 14 dagar efter dagen för anmälan.

5.3.5

Om den beviljande godkännandemyndigheten inte kan ta hänsyn till de kommentarer som den fått enligt punkt 5.3.4 ska de godkännandemyndigheter som skickat in kommentarer och den beviljande godkännandemyndigheten begära ytterligare förtydligande enligt bilaga 6 till 1958 års överenskommelse. Den relevanta arbetsgruppen (4) under världsforumet för harmonisering av fordonsföreskrifter (WP.29) för denna föreskrift ska komma överens om en gemensam tolkning av metoderna och kriterierna för bedömningen (5). Denna gemensamma tolkning ska tillämpas, och alla godkännandemyndigheter ska följaktligen utfärda typgodkännanden enligt denna föreskrift.

5.3.6

Varje godkännandemyndighet som beviljar ett typgodkännande enligt denna föreskrift ska meddela andra godkännandemyndigheter om det beviljade godkännandet. Godkännandemyndigheten ska ladda upp typgodkännandet och de kompletterande handlingarna på engelska till DETA inom 14 dagar från dagen för beviljandet av godkännandet (6).

5.3.7

Parterna i överenskommelsen får granska de godkännanden som beviljats utifrån den information som laddats upp enligt punkt 5.3.6. Om det råder delade meningar mellan parterna i överenskommelsen ska detta lösas enligt artikel 10 och bilaga 6 till 1958 års överenskommelse. Parterna i överenskommelsen ska även informera den relevanta arbetsgruppen under världsforumet för harmonisering av fordonsföreskrifter (WP.29) om de olika tolkningarna i den mening som avses i bilaga 6 till 1958 års överenskommelse. Den relevanta arbetsgruppen ska stödja lösningen av de delade meningarna och kan vid behov samråda om detta med WP.29.

5.4

Vid tillämpningen av punkt 7.2 i denna föreskrift ska tillverkaren säkerställa att de cybersäkerhetsaspekter som omfattas av denna föreskrift genomförs.

6. INTYG OM ÖVERENSSTÄMMELSE FÖR LEDNINGSSYSTEM FÖR CYBERSÄKERHET

6.1

Parterna i överenskommelsen ska utse en godkännandemyndighet som ska utföra bedömningen av tillverkaren och utfärda ett intyg om överensstämmelse för ledningssystem för cybersäkerhet.

6.2

En ansökan om ett intyg om överensstämmelse för ledningssystem för cybersäkerhet ska lämnas in av fordonstillverkaren eller dess behöriga ombud.

6.3

Ansökan ska åtföljas av nedanstående handlingar i tre exemplar och av följande uppgifter:

6.3.1

Handlingar som beskriver ledningssystemet för cybersäkerhet.

6.3.2

En undertecknad deklaration på grundval av mallen enligt tillägg 1 till bilaga 1.

6.4

I samband med bedömningen ska tillverkaren intyga att han eller hon använder mallen enligt tillägg 1 till bilaga 1 och övertyga godkännandemyndigheten eller dess tekniska tjänst om att de förfaranden som krävs för att uppfylla alla cybersäkerhetskrav enligt denna föreskrift har införts.

6.5

När denna bedömning har slutförts med ett tillfredsställande resultat och med mottagande av en undertecknad deklaration från tillverkaren enligt den mall som anges i tillägg 1 till bilaga 1 ska ett intyg som kallas intyg om överensstämmelse för ledningssystem för cybersäkerhet (nedan kallat intyg om överensstämmelse), som beskrivs i bilaga 4 till denna föreskrift, utfärdas till tillverkaren.

6.6

Godkännandemyndigheten eller dess tekniska tjänst ska använda den mall som anges i bilaga 4 till denna föreskrift för intyget om överensstämmelse.

6.7

Intyget om överensstämmelse ska vara giltigt högst tre år från det att det utfärdas, såvida det inte återkallas.

6.8

Den godkännandemyndighet som har utfärdat intyget om överensstämmelse får när som helst kontrollera att kraven för det fortfarande är uppfyllda. Godkännandemyndigheten ska återkalla intyget om överenstämmelse om kraven enligt denna föreskrift inte längre är uppfyllda.

6.9

Tillverkaren ska underrätta godkännandemyndigheten eller dess tekniska tjänst om förändringar som påverkar relevansen av intyget om överensstämmelse. Efter samråd med tillverkaren ska godkännandemyndigheten eller dess tekniska tjänst besluta om nya kontroller är nödvändiga.

6.10

Tillverkaren ska i god tid, så att godkännandemyndigheten har möjlighet att slutföra sin bedömning innan intyget om överensstämmelse löper ut, ansöka om ett nytt eller utökat intyg om överensstämmelse. Godkännandemyndigheten ska, om bedömningen är positiv, utfärda ett nytt intyg om överensstämmelse eller förlänga dess giltighet med ytterligare tre år. Godkännandemyndigheten ska kontrollera att ledningssystemet för cybersäkerhet fortfarande uppfyller kraven i denna föreskrift. Godkännandemyndigheten ska utfärda ett nytt intyg när myndigheten eller dess tekniska tjänst har fått kännedom om förändringar och förändringarna på nytt har bedömts som positiva.

6.11

När tillverkarens intyg om överensstämmelse löper ut eller återkallas ska detta, med hänsyn till de fordonstyper för vilka det berörda ledningssystemet för cybersäkerhet var relevant, betraktas som en ändring av godkännandet enligt punkt 8, vilket kan innebära att godkännandet återkallas om villkoren för beviljande av godkännande inte längre är uppfyllda.

7. SPECIFIKATIONER

7.1

Allmänna specifikationer

7.1.1

Kraven i denna föreskrift ska inte begränsa bestämmelser eller krav i andra FN-föreskrifter.

7.2

Krav på ledningssystemet för cybersäkerhet

7.2.1

Vid bedömningen ska godkännandemyndigheten eller dess tekniska tjänst kontrollera att fordonstillverkaren har inrättat ett ledningssystem för cybersäkerhet och säkerställa att det uppfyller kraven i denna föreskrift.

7.2.2

Ledningssystemet för cybersäkerhet ska omfatta följande aspekter:

7.2.2.1

Fordonstillverkaren ska för en godkännandemyndighet eller teknisk tjänst visa att ledningssystemet för cybersäkerhet tillämpas i följande faser:

a)	Utvecklingsfasen.

b)	Produktionsfasen.

c)	Efterproduktionsfasen.

7.2.2.2

Fordonstillverkaren ska visa att de förfaranden som används inom ledningssystemet för cybersäkerhet säkerställer att tillräcklig hänsyn tas till säkerhet, inbegripet de risker och riskreducerande åtgärder som anges i bilaga 5. Detta ska innefatta följande:

a)	De förfaranden som används inom tillverkarens organisation för att hantera cybersäkerhet.

b)	De förfaranden som används för att identifiera risker för fordonstyper. Inom dessa förfaranden ska hoten i bilaga 5, del A, och andra relevanta hot beaktas.

c)	De förfaranden som används för bedömningen, klassificeringen och hanteringen av de risker som identifieras.

d)	De förfaranden som införts för att kontrollera att de risker som identifieras hanteras på ett lämpligt sätt.

e)	De förfaranden som används för att prova en fordonstyps cybersäkerhet.

f)	De förfaranden som används för att säkerställa att riskbedömningen uppdateras.

De förfaranden som används för att övervaka, upptäcka och svara på cyberattacker, cyberhot och sårbarheter hos fordonstyper och de förfaranden som används för att bedöma huruvida de cybersäkerhetsåtgärder som vidtagits fortfarande är effektiva mot bakgrund av nya cyberhot och sårbarheter som identifierats.

h)	De förfaranden som används för att tillhandahålla relevanta data för att stödja analys av misslyckade eller framgångsrika cyberattacker.

7.2.2.3

Fordonstillverkaren ska visa att de förfaranden som används inom ledningssystemet för cybersäkerhet kommer att säkerställa att cyberhot och sårbarheter som kräver åtgärder från fordonstillverkaren minskas inom rimlig tid, utifrån den klassificering som avses i punkt 7.2.2.2 c och 7.2.2.2 g.

7.2.2.4

Fordonstillverkaren ska visa att de förfaranden som används inom ledningssystemet för cybersäkerhet kommer att säkerställa att den övervakning som avses i punkt 7.2.2.2 g sker löpande. Detta ska

a)	inbegripa fordon efter den första registreringen i övervakningen,

b)	omfatta kapacitet att analysera och upptäcka cyberhot, sårbarheter och cyberattacker från fordonsdata och fordonsloggar. Denna kapacitet ska respektera punkt 1.3 och bilägarnas eller förarnas rätt till integritet, särskilt samtycke.

7.2.2.5

Fordonstillverkaren är skyldig att visa hur ledningssystemet för cybersäkerhet kommer att hantera beroendeförhållanden som kan finnas med kontrakterade leverantörer, tjänsteleverantörer eller tillverkares underorganisationer när det gäller kraven i punkt 7.2.2.2.

7.3

Krav för fordonstyper

7.3.1

Tillverkaren ska ha ett giltigt intyg om överensstämmelse för det ledningssystem för cybersäkerhet som är relevant för den fordonstyp som ska godkännas.

För typgodkännanden före den 1 juli 2024 ska fordonstillverkaren dock, om det kan påvisas att fordonstypen inte kunde utvecklas i överensstämmelse med ledningssystemet för cybersäkerhet, visa att cybersäkerhet beaktades i tillräcklig utsträckning under utvecklingsfasen av fordonstypen i fråga.

7.3.2

Fordonstillverkaren ska, för den fordonstyp som ska godkännas, identifiera och hantera risker kopplade till leverantören.

7.3.3

Fordonstillverkaren ska identifiera de kritiska delarna av fordonstypen och göra en uttömmande riskbedömning av fordonstypen samt på ett lämpligt sätt hantera de risker som identifieras. Vid riskbedömningen ska hänsyn tas till de enskilda delarna av fordonstypen och deras samverkan. Vidare ska hänsyn tas till samverkan med eventuella externa system. När riskerna bedöms ska fordonstillverkaren beakta riskerna kopplade till alla hot som beskrivs i bilaga 5, del A, samt andra relevanta risker.

7.3.4

Fordonstillverkaren ska skydda fordonstypen mot de risker som identifieras vid fordonstillverkarens riskbedömning. Proportionella riskreducerande åtgärder ska vidtas för att skydda fordonstypen. De riskreducerande åtgärder som vidtas ska innefatta alla de riskreducerande åtgärder som beskrivs i bilaga 5, del B och C, som är relevanta för de risker som identifieras. Om en riskreducerande åtgärd som beskrivs i bilaga 5, del B eller C, emellertid inte är relevant eller tillräcklig för den risk som identifieras ska fordonstillverkaren säkerställa att en annan lämplig riskreducerande åtgärd vidtas.

För typgodkännanden före den 1 juli 2024 ska fordonstillverkaren i synnerhet säkerställa att en annan lämplig riskreducerande åtgärd vidtas, om en riskreducerande åtgärd som beskrivs i bilaga 5, del B eller C, inte är tekniskt genomförbar. Tillverkaren ska överlämna bedömningen av den tekniska genomförbarheten till godkännandemyndigheten.

7.3.5

Fordonstillverkaren ska vidta lämpliga och proportionella åtgärder för att säkerställa särskilda utrymmen i fordonstypen (om detta föreskrivs) för förvaring och körning av programvara, tjänster, applikationer eller data på eftermarknaden.

7.3.6

Fordonstillverkaren ska, före typgodkännandet, utföra lämplig och tillräcklig provning för att kontrollera effektiviteten i de säkerhetsåtgärder som vidtagits.

7.3.7

Fordonstillverkaren ska vidta åtgärder för fordonstypen för att

a)	upptäcka och förhindra cyberattacker mot fordon av fordonstypen,

b)	stödja fordonstillverkarens övervakningskapacitet när det gäller att upptäcka hot, sårbarheter och cyberattacker som är relevanta för fordonstypen,

c)	skapa kapacitet för it-forensik för att möjliggöra analys av misslyckade eller framgångsrika cyberattacker.

7.3.8

Kryptografiska moduler som används vid tillämpningen av denna föreskrift ska vara förenliga med samförståndsbaserade standarder. Om de kryptografiska moduler som används inte är förenliga med de samförståndsbaserade standarderna ska fordonstillverkaren motivera användningen av dem.

7.4

Rapporteringsbestämmelser

7.4.1

Fordonstillverkaren ska minst en gång om året, eller oftare om så är relevant, rapportera om resultatet av sin övervakningsverksamhet, enligt definitionen i punkt 7.2.2.2 g, till godkännandemyndigheten eller den tekniska tjänsten. Rapporteringen ska omfatta relevant information om nya cyberattacker. Fordonstillverkaren ska även rapportera och bekräfta för godkännandemyndigheten eller den tekniska tjänsten att de cybersäkerhetsåtgärder som har vidtagits för tillverkarens fordonstyper fortfarande är effektiva och om ytterligare åtgärder vidtas.

7.4.2

Godkännandemyndigheten eller den tekniska tjänsten ska kontrollera den information som lämnas och vid behov kräva att fordonstillverkaren åtgärdar eventuell ineffektivitet som upptäcks.

Om rapporteringen eller åtgärderna är otillräckliga kan godkännandemyndigheten besluta att återkalla intyget om överensstämmelse i enlighet med punkt 6.8.

8. ÄNDRING AV FORDONSTYPEN OCH UTÖKNING AV TYPGODKÄNNANDET

8.1

Alla ändringar av fordonstypen som påverkar dess tekniska prestanda med avseende på cybersäkerhet och/eller dokumentation som krävs enligt denna föreskrift ska meddelas den godkännandemyndighet som godkände fordonstypen. Godkännandemyndigheten kan då antingen

8.1.1

konstatera att de ändringar som gjorts fortfarande uppfyller kraven och överensstämmer med dokumentationen för det befintliga typgodkännandet, eller

8.1.2

inleda en nödvändig kompletterande bedömning enligt punkt 5 och i förekommande fall kräva ytterligare en provningsrapport från den tekniska tjänst som ansvarar för att utföra provningarna.

8.1.3

Beviljat, utökat eller ej beviljat godkännande, med en beskrivning av ändringarna, ska meddelas med hjälp av ett meddelandeformulär som överensstämmer med mallen i bilaga 2 till denna föreskrift. Den godkännandemyndighet som beviljar utökning av typgodkännande ska tilldela varje sådan utökning ett serienummer och underrätta övriga parter i 1958 års överenskommelse som tillämpar denna föreskrift om detta med hjälp av ett meddelandeformulär som överensstämmer med mallen i bilaga 2 till denna föreskrift.

9. PRODUKTIONSÖVERENSSTÄMMELSE

9.1

Förfarandena för produktionsöverensstämmelse ska motsvara de som anges i bilaga 1 till 1958 års överenskommelse (E/ECE/TRANS/505/Rev.3) med följande krav:

9.1.1

Innehavaren av godkännandet ska säkerställa att resultaten från provningarna avseende produktionsöverensstämmelse dokumenteras och att de bifogade dokumenten finns tillgängliga under en tid som fastställs genom överenskommelse med godkännandemyndigheten eller dess tekniska tjänst. Denna tid ska inte vara längre än tio år räknat från den tidpunkt då produktionen slutgiltigt upphörde.

9.1.2

Den godkännandemyndighet som beviljat typgodkännandet får när som helst granska de metoder för kontroll av överensstämmelse som tillämpas vid varje produktionsanläggning. Sådan granskning ska normalt ske en gång vart tredje år.

10. PÅFÖLJDER VID BRISTANDE PRODUKTIONSÖVERENSSTÄMMELSE

10.1

Godkännande som, enligt denna föreskrift, beviljats med avseende på en fordonstyp kan återkallas om kraven i denna föreskrift inte uppfylls eller om stickprov av fordon inte överensstämmer med kraven i denna föreskrift.

10.2

Om en godkännandemyndighet återkallar ett godkännande som den tidigare har beviljat ska den genast meddela övriga parter i överenskommelsen som tillämpar denna föreskrift detta med hjälp av ett meddelandeformulär som överensstämmer med mallen i bilaga 2 till denna föreskrift.

11. SLUTGILTIGT UPPHÖRANDE AV PRODUKTIONEN

11.1

En innehavare av ett godkännande som helt upphör med sin tillverkning av en fordonstyp som godkänts i enlighet med denna föreskrift ska meddela detta till den myndighet som beviljade godkännandet. När myndigheten har mottagit det aktuella meddelandet ska den underrätta övriga parter i överenskommelsen som tillämpar denna föreskrift, med hjälp av en kopia av godkännandeformuläret, som i slutet ska vara försett med en underskriven och daterad notering med lydelsen ”SLUTGILTIGT UPPHÖRANDE AV TILLVERKNINGEN” skriven med versaler.

12. NAMN PÅ OCH ADRESS TILL TYPGODKÄNNANDEMYNDIGHETER OCH DE TEKNISKA TJÄNSTER SOM ANSVARAR FÖR ATT UTFÖRA GODKÄNNANDEPROVNINGAR

12.1

De parter i överenskommelsen som tillämpar denna föreskrift ska meddela Förenta nationernas sekretariat namn på och adress till de tekniska tjänster som ansvarar för att utföra godkännandeprovningar och de typgodkännandemyndigheter som beviljar godkännande och till vilka formulär om beviljat, utökat, ej beviljat eller återkallat godkännande som utfärdats i andra länder ska skickas.

(1) T.ex. ISO 26262-2018, ISO/PAS 21448, ISO/SAE 21434.

(2) https://www.unece.org/trans/main/wp29/datasharing.html

(3) Riktlinjer för de detaljerade uppgifter (t.ex. metod, kriterier, prestandanivå) som ska laddas upp och formatet ska anges i tolkningsdokumentet, som håller på att utarbetas av arbetsgruppen för cybersäkerhet och trådlösa frågor för GRVA:s sjunde möte.

(4) The Working Party on Automated/Autonomous and Connected Vehicles (GRVA).

(5) Denna tolkning ska framgå i det tolkningsdokument som avses i fotnoten till punkt 5.3.3.

(6) Ytterligare information om minimikraven för dokumentationspaketet kommer att tas fram av GRVA vid dess sjunde möte.

BILAGA 1

Informationsdokument

Följande uppgifter ska, i tillämpliga fall, lämnas in i tre exemplar tillsammans med en innehållsförteckning. Alla ritningar ska lämnas i lämplig skala och med tillräcklig detaljgrad i formatet A4 eller vikt till formatet A4. Eventuella fotografier ska vara tillräckligt detaljerade.

Fabrikat (tillverkarens handelsnamn): …

Typ och handelsbeteckning: …

Metod för identifiering av typ, om sådan märkning finns på fordonet: …

Märkningens placering: …

Fordonskategorier: …

Namn på och adress till tillverkarnas ombud: …

Namn på och adress till monteringsanläggningar: …

Fotografier eller ritningar av ett representativt fordon: …

Cybersäkerhet

9.1

Allmänna uppgifter om fordonstypens konstruktion, inbegripet följande:

a)	De fordonssystem som är relevanta för fordonstypens cybersäkerhet.

b)	De delar av dessa system som är relevanta för cybersäkerhet.

c)	Dessa systems samverkan med andra system inom fordonstypen och externa gränssnitt.

9.2

Systembild på fordonstypen:

9.3

Numret på intyget om överensstämmelse för ledningssystem för cybersäkerhet: …

9.4

Handlingar för den fordonstyp som ska godkännas som beskriver resultatet av riskbedömningen och de risker som identifierats: …

9.5

Handlingar för den fordonstyp som ska godkännas som beskriver de riskreducerande åtgärder som vidtagits för de angivna systemen, eller för fordonstypen, och hur de minskar de fastställda riskerna: …

9.6

Handlingar för den fordonstyp som ska godkännas som beskriver skyddet av särskilda utrymmen för programvara, tjänster, appar eller data på eftermarknaden: …

9.7

Handlingar för den fordonstyp som ska godkännas som beskriver vilka provningar som har gjorts för att kontrollera fordonstypens och dess systems cybersäkerhet och resultatet av dessa provningar: …

9.8

Beskrivning av hur hänsyn tagits till leveranskedjan med avseende på cybersäkerhet: …

Tillägg 1

Mall för tillverkarens försäkran om överensstämmelse för ledningssystem för cybersäkerhet

Tillverkarens försäkran om överensstämmelse med kraven för ledningssystem för cybersäkerhet

Tillverkarens namn: …

Tillverkarens adress: …

… (tillverkarens namn) intygar att de förfaranden som krävs för att uppfylla kraven för ledningssystem för cybersäkerhet enligt punkt 7.2 i FN-föreskrift nr 155 har inrättats och kommer att upprätthållas.………

Ort: … (ort)

Datum: …

Undertecknarens namn: …

Undertecknarens befattning: …

…

(Stämpel och underskrift från tillverkarens ombud)

BILAGA 2

Meddelande

(maximiformat: A4 [210 × 297 mm])

(1)

Utfärdat av:

Myndighetens namn:

…

Om (2)

beviljat godkännande

utökat godkännande

återkallat godkännande med verkan från och med dd/mm/åååå

ej beviljat godkännande

slutgiltigt upphörande av produktionen

av en fordonstyp enligt FN-föreskrift nr 155

Godkännande nr: …

Utökning nr: …

Skäl till utökningen: …

Fabrikat (tillverkarens handelsnamn): …

Typ och handelsbeteckning: …

Metod för identifiering av typ, om sådan märkning finns på fordonet: …

3.1

Märkningens placering: …

Fordonskategorier: …

Namn på och adress till tillverkarnas ombud: …

Namn på och adress till monteringsanläggningar: …

Nummer på intyget om överensstämmelse för ledningssystem för cybersäkerhet: …

Teknisk tjänst som ansvarar för att utföra provningarna: …

Provningsrapportens datum: …

10.

Provningsrapportens nummer: …

11.

Eventuella anmärkningar: …

12.

Ort: …

13.

Datum: …

14.

Underskrift: …

15.

Indexet till det informationspaket som har lämnats in till godkännandemyndigheten bifogas och kan fås på begäran.

(1) Särskiljande nummer för det land som beviljat/utökat/ej beviljat/återkallat godkännandet (se bestämmelserna om godkännande i föreskriften).

(2) Stryk det som inte är tillämpligt.

BILAGA 3

Godkännandemärkets uppbyggnad

MALL A

(se punkt 4.2 i denna föreskrift)

a = minst 8 mm

Ovanstående godkännandemärke på ett fordon visar att fordonstypen har godkänts i Nederländerna (E4) enligt föreskrift nr 155 med godkännandenumret 001234. De två första siffrorna i godkännandenumret anger att godkännandet beviljats enligt kraven i denna föreskrift i dess ursprungliga lydelse (00).

BILAGA 4

Mall för intyg om överensstämmelse för ledningssystem för cybersäkerhet

Intyg om överensstämmelse för ledningssystem för cybersäkerhet

med FN-föreskrift nr 155

Intygsnummer [referensnummer]

[……. godkännandemyndigheten]

intygar att

Tillverkare: …

Tillverkarens adress: …

följer bestämmelserna i punkt 7.2 i föreskrift nr 155.

Kontroller har utförts på: …

av (namn på och adress till godkännandemyndigheten eller den tekniska tjänsten): …

Rapportens nummer: …

Detta intyg är giltigt till och med den […………………………………………………datum]

Utfärdat i [………………………………………………ort]

den [……………………………………………datum]

[…………………………………………………underskrift]

Tillägg: Tillverkarens beskrivning av ledningssystemet för cybersäkerhet.

BILAGA 5

Förteckning över hot och motsvarande riskreducerande åtgärder

Denna bilaga består av tre delar. I del A beskrivs grunden för hot, sårbarheter och attackmetoder. I del B beskrivs åtgärder för att minska hoten avsedda för fordonstyper. I del C beskrivs åtgärder för att minska hoten avsedda för områden utanför fordon, t.ex. backends.

Del A, del B och del C ska beaktas vid riskbedömningen och när fordonstillverkarna vidtar riskreducerande åtgärder.

Den höga sårbarhetsnivån och motsvarande exempel har indexerats i del A. Det hänvisas till samma indexering i tabellerna i delarna B och C för att koppla varje attack/sårbarhet till en förteckning över motsvarande riskreducerande åtgärder.

I hotanalysen ska hänsyn även tas till de potentiella effekterna av attacker. Dessa kan bidra till bedömningen av hur allvarlig en risk är och till identifieringen av ytterligare risker. Potentiella effekter av en attack kan till exempel vara

a)	att säker drift av fordonet påverkas,

b)	att fordonsfunktioner slutar fungera,

c)	att programvara ändras och prestandan förändras,

d)	att programvara ändras men det inte får några operativa effekter,

e)	brott mot dataintegriteten,

f)	brott mot datasekretessen,

g)	förlust av dataåtkomst,

h)	något annat, inbegripet brottslighet.

Del A. Sårbarhet eller attackmetod relaterad till hoten

Övergripande beskrivningar av hot och tillhörande sårbarhet eller attackmetod anges i tabell A1.

Tabell A1

Förteckning över sårbarhet eller attackmetod relaterad till hoten

Övergripande och detaljerade beskrivningar av sårbarhet/hot

Exempel på sårbarhet eller attackmetod

4.3.1

Hot med avseende på backendservrar kopplade till fordon i området

Backendservrar används som ett sätt att attackera ett fordon eller hämta data

1.1

Personals missbruk av privilegier (angrepp inifrån)

1.2

Obehörig internetåtkomst till servern (som möjliggörs genom exempelvis bakdörrar, sårbarheter i opatchad programvara, SQL-attacker eller på andra sätt)

1.3

Obehörig fysisk tillgång till servern (som genomförs med exempelvis usb-minnen eller andra medier som ansluts till servern)

Tjänster från backendservern störs och påverkar ett fordons drift

2.1

Attack mot backendservern som gör att den slutar fungera, t.ex. hindrar den att kommunicera med fordon och tillhandahålla tjänster som fordonen är beroende av

Fordonsrelaterade data som lagras på backendservrar försvinner eller skadas (”dataintrång”)

3.1

Personals missbruk av privilegier (angrepp inifrån)

3.2

Förlust av information i molnet. Känsliga data kan förloras till följd av attacker eller olyckor när data lagras av tredjepartsleverantör av molntjänster

3.3

Obehörig internetåtkomst till servern (som möjliggörs genom exempelvis bakdörrar, sårbarheter i opatchad programvara, SQL-attacker eller på andra sätt)

3.4

Obehörig fysisk tillgång till servern (som genomförs med exempelvis usb-minnen eller andra medier som ansluts till servern)

3.5

Dataintrång genom oavsiktlig datadelning (t.ex. administratörsfel)

4.3.2

Hot mot fordon med avseende på deras kommunikationskanaler

Manipulering av meddelanden eller data som mottas av fordonet

4.1

Manipulering av meddelanden genom att utge sig för att vara någon annan (t.ex. 802.11p V2X under kolonnkörning, GNSS-meddelanden etc.)

4.2

Sybil-attack (för att manipulera andra fordon att tro att det är många fordon på vägen)

Kommunikationskanaler används för att utföra obehörig manipulation, radering eller andra ändringar av kod/data i fordon

5.1

Kommunikationskanaler som tillåter kodinjektion, t.ex. injektion av en manipulerad binärfil i kommunikationsflödet

5.2

Kommunikationskanaler som tillåter manipulation av data/kod i fordon

5.3

Kommunikationskanaler som tillåter överskrivning av data/kod i fordon

5.4

Kommunikationskanaler som tillåter radering av data/kod i fordon

5.5

Kommunikationskanaler som tillåter införande av data/kod i fordonet (skriver datakod)

Kommunikationskanaler tillåter mottagning av osäkra/otillförlitliga meddelanden eller är sårbara för sessionskapning/omtagningsattacker

6.1

Information tas emot från en otillförlitlig eller osäker källa

6.2

Man-i-mitten-attack/sessionskapning

6.3

Omtagningsattack, t.ex. en attack mot en nätport som gör att angriparen kan nedgradera en motorstyrenhets programvara eller nätportens fasta programvara

Information kan enkelt lämnas ut, t.ex. genom att någon tjuvlyssnar på kommunikation eller genom att tillåta obehörig tillgång till känsliga filer eller mappar

7.1

Avlyssning av information/störande strålning/övervakning av kommunikation

7.2

Obehörig tillgång till filer eller data

Överbelastningsattacker via kommunikationskanaler för att störa fordonsfunktioner

8.1

En stor mängd skräpdata skickas till ett fordons informationssystem så att det inte kan tillhandahålla tjänster på normalt sätt

8.2

Attack i form av ett svart hål genom att angriparen blockerar meddelanden mellan fordon för att störa kommunikationen mellan dem

En obehörig användare får åtkomsträtt till fordonssystem

9.1

En obehörig användare får åtkomsträttigheter, t.ex. rootåtkomst

Virus som är inbyggda i kommunikationsmedier kan infektera fordonssystem

10.1

Virus som är inbyggda i kommunikationsmedier infekterar fordonssystem

Meddelanden som mottas av fordonet (t.ex. X2V-meddelanden eller diagnosmeddelanden), eller överförs i fordonet, innehåller skadligt innehåll

11.1

Skadliga interna meddelanden (t.ex. CAN-meddelanden)

11.2

Skadliga V2X-meddelanden, t.ex. mellan infrastruktur och fordon eller mellan två fordon (t.ex. CAM, DENM)

11.3

Skadliga diagnosmeddelanden

11.4

Skadliga proprietära meddelanden (t.ex. meddelanden som normalt skickas från OEM-företag eller leverantören av komponenten/systemet/funktionen)

4.3.3

Hot mot fordon med avseende på deras uppdateringsprocesser

Missbruk eller röjande av uppdateringsprocesser

12.1

Röjande av trådlösa processer för programvaruuppdatering. Detta inbegriper att fabricera systemets uppdateringsprogram eller fasta programvara

12.2

Röjande av lokala/fysiska processer för programvaruuppdatering. Detta inbegriper att fabricera systemets uppdateringsprogram eller fasta programvara

12.3

Programvara som manipuleras före uppdateringsprocessen (och därmed skadas), även om uppdateringsprocessen är intakt

12.4

Röjande av programvaruleverantörens krypteringsnycklar för att möjliggöra ogiltiga uppdateringar

Möjlighet att neka legitima uppdateringar

13.1

Överbelastningsattack mot uppdateringsserver eller -nätverk för att förhindra distribution av viktiga programvaruuppdateringar och/eller upplåsning av kundspecifika funktioner

4.3.4

Hot mot fordon med avseende på oavsiktliga mänskliga handlingar som underlättar en cyberattack

Legitima aktörer kan vidta åtgärder som oavsiktligt skulle underlätta en cyberattack

15.1

Ett oskyldigt offer (t.ex. ägare, operatör eller underhållsingenjör) luras att vidta en åtgärd för att oavsiktligt ladda upp sabotageprogram eller möjliggöra en attack

15.2

Fastställda säkerhetsförfaranden följs inte

4.3.5

Hot mot fordon med avseende på deras externa konnektivitet och anslutningar

Manipulation av fordonsfunktioners konnektivitet möjliggör en cyberattack, som kan inbegripa telematik, system som möjliggör fjärrbearbetning och system som använder trådlös korthållskommunikation

16.1

Manipulation av funktioner som är konstruerade för att fjärrstyra system, t.ex. fjärrnycklar, startspärrar och laddstolpar

16.2

Manipulation av fordonstelematik (t.ex. manipulation av temperaturmätning av känsliga varor, fjärrupplåsning av lastdörrar)

16.3

Interferens med trådlösa kortdistanssystem eller sensorer

Inbyggd programvara från tredje part, t.ex. underhållningssystem, används för att attackera fordonssystem

17.1

Förvanskade applikationer, eller applikationer med dålig programvarusäkerhet, som används för att attackera fordonssystem

Enheter som är anslutna till externa gränssnitt, t.ex. usb-portar och diagnosuttag, används för att attackera fordonssystem

18.1

Externa gränssnitt såsom usb-portar eller andra portar som används som angreppspunkt, t.ex. genom kodinjektion

18.2

Medier som är infekterade av ett virus och ansluts till ett fordonssystem

18.3

Diagnostisk åtkomst (t.ex. hårdvarunycklar i diagnosuttag) som används för att underlätta en attack, t.ex. manipulation av fordonsparametrar (direkt eller indirekt)

4.3.6

Hot mot fordonsdata/fordonskod

Hämtning av fordonsdata/fordonskod

19.1

Hämtning av upphovsrättsskyddad eller proprietär programvara från fordonssystem (piratkopiering)

19.2

Obehörig tillgång till ägarens personuppgifter, t.ex. identitet, betalkontoinformation, information om kontakter, platsinformation, fordonets elektroniska identitet etc.

19.3

Hämtning av krypteringsnycklar

Manipulation av fordonsdata/fordonskod

20.1

Olagliga/obehöriga ändringar av fordonets elektroniska identitet

20.2

Identitetsbedrägeri, t.ex. om en användare vill visa upp en annan identitet vid kommunikation med vägtullsystem eller tillverkares backend

20.3

Åtgärder för att kringgå övervakningssystem (t.ex. hacka/manipulera/blockera meddelanden såsom data från ODR-spårare eller antal körningar)

20.4

Manipulation av data för att förfalska ett fordons kördata (t.ex. körsträcka, hastighet, vägvisningar etc.)

20.5

Obehöriga ändringar av systemets diagnosdata

Radering av data/kod

21.1

Obehörig radering/manipulation av systemets händelseloggar

Införande av sabotageprogram

22.2

Införande av skadlig programvara eller skadlig programvaruaktivitet

Införande av ny programvara eller överskrivning av befintlig programvara

23.1

Fabricering av programvara i fordonets styrsystem eller informationssystem

Störning av system eller drift

24.1

Funktionsförlust, som t.ex. kan utlösas på det interna nätverket genom att översvämma en CAN-buss eller genom att framkalla fel på en motorstyrenhet via en stor mängd meddelanden

Manipulation av fordonsparametrar

25.1

Obehörig tillgång för att förfalska konfigurationsparametrarna för ett fordons centrala funktioner, t.ex. bromsdata, gräns för utlösning av krockkudde etc.)

25.2

Obehörig tillgång för att förfalska laddningsparametrarna, t.ex. laddspänning, laddningskraft, batteritemperatur etc.

4.3.7

Potentiella sårbarheter som kan utnyttjas om de inte skyddas eller förstärks tillräckligt

Krypteringsteknik kan skadas eller tillämpas inte i tillräcklig utsträckning

26.1

Kombination av korta krypteringsnycklar och lång giltighetstid som gör det möjligt för angripare att bryta krypteringen

26.2

Otillräcklig användning av krypteringsalgoritmer för att skydda känsliga system

26.3

Användning av krypteringsalgoritmer som redan är eller snart kommer att bli föråldrade

Delar eller leveranser kan skadas för att göra det möjligt för fordon att attackeras

27.1

Maskinvara eller programvara som är konstruerad för att möjliggöra en attack eller inte uppfyller konstruktionskriterierna för att förhindra en attack

Utveckling av programvara eller maskinvara möjliggör sårbarheter

28.1

Buggar i programvaran. Förekomsten av buggar i programvara kan utgöra en grund för potentiella sårbarheter som kan utnyttjas. Detta gäller särskilt om programvaran inte har provats för att kontrollera att känd dålig kod/buggar inte förekommer och för att minska risken för att okänd dålig kod/buggar ska förekomma

28.2

Användning av rester från utveckling (t.ex. felsökningsportar, JTAG-portar, mikroprocessorer, utvecklingscertifikat, utvecklarlösenord etc.) som kan ge åtkomst till motorstyrenheter eller göra det möjligt för angripare att få större privilegier

Nätverkets utformning leder till sårbarheter

29.1

Överflödiga internetportar som lämnas öppna och ger tillträde till nätverk

29.2

Nätverksseparation kringgås för att få kontroll. Specifika exempel är användningen av oskyddade nätslussar eller accesspunkter (t.ex. nätslussar mellan lastbil och släpvagn) för att kringgå skydd och få tillträde till andra nätverkssegment för att utföra sabotage, t.ex. skicka godtyckliga CAN-bussmeddelanden

Data kan överföras oavsiktligt

31.1

Dataintrång. Personuppgifter kan läcka när bilen byter användare (t.ex. säljs eller används som hyrbil med nya personer som hyr den)

Fysisk manipulation av system kan möjliggöra en attack

32.1

Manipulation av elektronisk maskinvara, t.ex. otillåten elektronisk maskinvara som tillförs bilen för att möjliggöra en man-i-mitten-attack

Utbyte av tillåten elektronisk maskinvara (t.ex. sensorer) mot otillåten elektronisk maskinvara

Manipulation av den information som en sensor samlar in (t.ex. genom natt använda en magnet för att manipulera den halleffektgivare som är ansluten till växellådan)

Del B. Riskreducerande åtgärder för hoten riktade mot fordon

Riskreducerande åtgärder för ”fordons kommunikationskanaler”

Riskreducerande åtgärder för hoten kopplade till ”fordons kommunikationskanaler” anges i tabell B1.

Tabell B1

Riskreducerande åtgärder för hoten kopplade till ”fordons kommunikationskanaler”

Referens i tabell A1	Hot mot ”fordons kommunikationskanaler”	Ref.	Riskreducerande åtgärd
4.1	Manipulering av meddelanden (t.ex. 802.11p V2X under kolonnkörning, GNSS-meddelanden etc.) genom att utge sig för att vara någon annan	M10	Fordonet ska kontrollera de meddelanden som det mottar med avseende på äkthet och integritet
4.2	Sybil-attack (för att manipulera andra fordon att tro att det är många fordon på vägen)	M11	Säkerhetskontroller ska genomföras för lagring av krypteringsnycklar (t.ex. användning av säkerhetsmoduler i maskinvara)
5.1	Kommunikationskanaler tillåter kodinjektion i data/kod i fordon, t.ex. injektion av en manipulerad binärfil i kommunikationsflödet	M10 M6	Fordonet ska kontrollera de meddelanden som det mottar med avseende på äkthet och integritet System ska tillämpa utformning för säkerhet för att minimera risker
5.2	Kommunikationskanaler tillåter manipulation av data/kod i fordon	M7	Teknik och utformning för åtkomstkontroll ska tillämpas för att skydda systemdata/systemkod
5.3	Kommunikationskanaler tillåter överskrivning av data/kod i fordon
5.4 21.1	Kommunikationskanaler tillåter radering av data/kod i fordon
5.5	Kommunikationskanaler tillåter införande av data/kod i fordonssystem (skriver datakod)
6.1	Information tas emot från en otillförlitlig eller osäker källa	M10	Fordonet ska kontrollera de meddelanden som det mottar med avseende på äkthet och integritet
6.2	Man-i-mitten-attack/sessionskapning	M10	Fordonet ska kontrollera de meddelanden som det mottar med avseende på äkthet och integritet
6.3	Omtagningsattack, t.ex. en attack mot en nätport som gör att angriparen kan nedgradera en motorstyrenhets programvara eller nätportens fasta programvara	M10
7.1	Avlyssning av information/störande strålning/övervakning av kommunikation	M12	Konfidentiella data som överförs till eller från fordonet ska skyddas
7.2	Obehörig tillgång till filer eller data	M8	Genom systemets utformning och åtkomstkontroll ska det inte vara möjligt för obehörig personal att få tillgång till personuppgifter eller kritiska systemdata. Exempel på säkerhetskontroller finns i Owasp
8.1	En stor mängd skräpdata skickas till ett fordons informationssystem så att det inte kan tillhandahålla tjänster på normalt sätt	M13	Åtgärder för att upptäcka och återhämta sig från en överbelastningsattack ska vidtas
8.2	Attack i form av ett svart hål, störning av kommunikation mellan fordon genom att blockera överföringen av meddelanden till andra fordon	M13	Åtgärder för att upptäcka och återhämta sig från en överbelastningsattack ska vidtas
9.1	En obehörig användare får åtkomsträttigheter, t.ex. rootåtkomst	M9	Åtgärder för att förhindra och upptäcka obehörig åtkomst ska vidtas
10.1	Virus som är inbyggda i kommunikationsmedier infekterar fordonssystem	M14	Åtgärder för att skydda system mot inbyggda virus/sabotageprogram ska övervägas
11.1	Skadliga interna meddelanden (t.ex. CAN-meddelanden)	M15	Åtgärder för att upptäcka skadliga interna meddelanden eller skadlig intern aktivitet ska övervägas
11.2	Skadliga V2X-meddelanden, t.ex. mellan infrastruktur och fordon eller mellan två fordon (t.ex. CAM, DENM)	M10	Fordonet ska kontrollera de meddelanden som det mottar med avseende på äkthet och integritet
11.3	Skadliga diagnosmeddelanden
11.4	Skadliga proprietära meddelanden (t.ex. meddelanden som normalt skickas från OEM-företag eller leverantören av komponenten/systemet/funktionen)

Riskreducerande åtgärder för ”processuppdatering”

Riskreducerande åtgärder för hoten kopplade till ”processuppdatering” anges i tabell B2.

Tabell B2

Riskreducerande åtgärder för hoten kopplade till ”processuppdatering”

Referens i tabell A1	Hot mot ”processuppdatering”	Ref.	Riskreducerande åtgärd
12.1	Röjande av trådlösa processer för programvaruuppdatering. Detta inbegriper att fabricera systemets uppdateringsprogram eller fasta programvara	M16	Säkra förfaranden för programvaruuppdatering ska tillämpas
12.2	Röjande av lokala/fysiska processer för programvaruuppdatering. Detta inbegriper att fabricera systemets uppdateringsprogram eller fasta programvara
12.3	Programvara som manipuleras före uppdateringsprocessen (och därmed skadas), även om uppdateringsprocessen är intakt
12.4	Röjande av programvaruleverantörens krypteringsnycklar för att möjliggöra ogiltiga uppdateringar	M11	Säkerhetskontroller ska genomföras för lagring av krypteringsnycklar
13.1	Överbelastningsattack mot uppdateringsserver eller -nätverk för att förhindra distribution av viktiga programvaruuppdateringar och/eller upplåsning av kundspecifika funktioner	M3	Säkerhetskontroller ska tillämpas på backendsystem. När backendservrar är nödvändiga för tillhandahållandet av tjänster ska det finnas åtgärder för återhämtning i händelse av systemavbrott. Exempel på säkerhetskontroller finns i Owasp

Riskreducerande åtgärderför ”oavsiktliga mänskliga handlingar som underlättar en cyberattack”

Riskreducerande åtgärder för hoten kopplade till ”oavsiktliga mänskliga handlingar som underlättar en cyberattack” anges i tabell B3.

Tabell B3

Riskreducerande åtgärder för hoten kopplade till ”oavsiktliga mänskliga handlingar som underlättar en cyberattack”

Referens i tabell A1	Hot kopplade till ”oavsiktliga mänskliga handlingar”	Ref.	Riskreducerande åtgärd
15.1	Ett oskyldigt offer (t.ex. ägare, operatör eller underhållsingenjör) luras att vidta en åtgärd för att oavsiktligt ladda upp sabotageprogram eller möjliggöra en attack	M18	Åtgärder ska vidtas för att fastställa och kontrollera användarroller och åtkomsträttigheter på grundval av principen för begränsad behörighet
15.2	Fastställda säkerhetsförfaranden följs inte	M19	Organisationer ska säkerställa att säkerhetsförfaranden har fastställts och följs, däribland loggning av åtgärder och åtkomst kopplad till förvaltningen av säkerhetsfunktioner

Riskreducerande åtgärder för ”extern konnektivitet och anslutningar”

Riskreducerande åtgärder för hoten kopplade till ”extern konnektivitet och anslutningar” anges i tabell B4.

Tabell B4

Riskreducerande åtgärder för hoten kopplade till ”extern konnektivitet och anslutningar”

Referens i tabell A1	Hot mot ”extern konnektivitet och anslutningar”	Ref.	Riskreducerande åtgärd
16.1	Manipulation av funktioner som är konstruerade för att fjärrstyra fordonssystem, t.ex. fjärrnycklar, startspärrar och laddstolpar	M20	Säkerhetskontroller ska tillämpas på system som har fjärråtkomst
16.2	Manipulation av fordonstelematik (t.ex. manipulation av temperaturmätning av känsliga varor, fjärrupplåsning av lastdörrar)
16.3	Interferens med trådlösa kortdistanssystem eller sensorer
17.1	Förvanskade applikationer, eller applikationer med dålig programvarusäkerhet, som används för att attackera fordonssystem	M21	Programvara ska bedömas utifrån säkerhet, autentiseras och skyddas med avseende på integritet. Säkerhetskontroller ska tillämpas för att minimera risken från programvara från tredje part som ska eller kan tänkas användas i fordonet
18.1	Externa gränssnitt såsom usb-portar eller andra portar som används som angreppspunkt, t.ex. genom kodinjektion	M22	Säkerhetskontroller ska tillämpas på externa gränssnitt
18.2	Medier som är infekterade av virus och ansluts till fordonet	M22	Säkerhetskontroller ska tillämpas på externa gränssnitt
18.3	Diagnostisk åtkomst (t.ex. hårdvarunycklar i diagnosuttag) som används för att underlätta en attack, t.ex. manipulation av fordonsparametrar (direkt eller indirekt)	M22	Säkerhetskontroller ska tillämpas på externa gränssnitt

Riskreducerande åtgärder för ”potentiella mål eller motiv för en attack”

Riskreducerande åtgärder för hoten kopplade till ”potentiella mål eller motiv för en attack” anges i tabell B5.

Tabell B5

Riskreducerande åtgärder för hoten kopplade till ”potentiella mål eller motiv för en attack”

Referens i tabell A1	Hot mot ”potentiella mål eller motiv för en attack”	Ref.	Riskreducerande åtgärd
19.1	Hämtning av upphovsrättsskyddad eller proprietär programvara från fordonssystem (piratkopiering/stulen programvara)	M7	Teknik och utformning för åtkomstkontroll ska tillämpas för att skydda systemdata/systemkod. Exempel på säkerhetskontroller finns i Owasp
19.2	Obehörig tillgång till ägarens personuppgifter, t.ex. identitet, betalkontoinformation, information om kontakter, platsinformation, fordonets elektroniska identitet etc.	M8	Genom systemets utformning och åtkomstkontroll ska det inte vara möjligt för obehörig personal att få tillgång till personuppgifter eller kritiska systemdata. Exempel på säkerhetskontroller finns i Owasp
19.3	Hämtning av krypteringsnycklar	M11	Säkerhetskontroller ska genomföras för lagring av krypteringsnycklar, t.ex. säkerhetsmoduler
20.1	Olagliga/obehöriga ändringar av fordonets elektroniska identitet	M7	Teknik och utformning för åtkomstkontroll ska tillämpas för att skydda systemdata/systemkod. Exempel på säkerhetskontroller finns i Owasp
20.2	Identitetsbedrägeri, t.ex. om en användare vill visa upp en annan identitet vid kommunikation med vägtullsystem eller tillverkares backend	M7
20.3	Åtgärder för att kringgå övervakningssystem (t.ex. hacka/manipulera/blockera meddelanden såsom data från ODR-spårare eller antal körningar)	M7	Teknik och utformning för åtkomstkontroll ska tillämpas för att skydda systemdata/systemkod. Exempel på säkerhetskontroller finns i Owasp. Attacker mot sensorer eller överförda data för att manipulera data kan minskas genom att jämföra data från olika informationskällor
20.4	Manipulation av data för att förfalska ett fordons kördata (t.ex. körsträcka, hastighet, vägvisningar etc.)
20.5	Obehörig ändring av systemets diagnosdata
21.1	Obehörig radering/manipulation av systemets händelseloggar	M7	Teknik och utformning för åtkomstkontroll ska tillämpas för att skydda systemdata/systemkod. Exempel på säkerhetskontroller finns i Owasp.
22.2	Införande av skadlig programvara eller skadlig programvaruaktivitet	M7	Teknik och utformning för åtkomstkontroll ska tillämpas för att skydda systemdata/systemkod. Exempel på säkerhetskontroller finns i Owasp.
23.1	Fabricering av programvara i fordonets styrsystem eller informationssystem	M7
24.1	Funktionsförlust, som t.ex. kan utlösas på det interna nätverket genom att översvämma en CAN-buss eller genom att framkalla fel på en motorstyrenhet via en stor mängd meddelanden	M13	Åtgärder för att upptäcka och återhämta sig från en överbelastningsattack ska vidtas
25.1	Obehörig tillgång för att förfalska konfigurationsparametrarna för ett fordons centrala funktioner, t.ex. bromsdata, gräns för utlösning av krockkudde etc.	M7	Teknik och utformning för åtkomstkontroll ska tillämpas för att skydda systemdata/systemkod. Exempel på säkerhetskontroller finns i Owasp
25.2	Obehörig tillgång för att förfalska laddningsparametrarna, t.ex. laddspänning, laddningskraft, batteritemperatur etc.	M7

Riskreducerande åtgärder för ”potentiella sårbarheter som kan utnyttjas om de inte skyddas eller förstärks tillräckligt”

Riskreducerande åtgärder för hoten kopplade till ”potentiella sårbarheter som kan utnyttjas om de inte skyddas eller förstärks tillräckligt” anges i tabell B6.

Tabell B6

Riskreducerande åtgärder för hoten kopplade till ”potentiella sårbarheter som kan utnyttjas om de inte skyddas eller förstärks tillräckligt”

Referens i tabell A1	Hot mot ”potentiella sårbarheter som kan utnyttjas om de inte skyddas eller förstärks tillräckligt”	Ref.	Riskreducerande åtgärd
26.1	Kombination av korta krypteringsnycklar och lång giltighetstid som gör det möjligt för angripare att bryta krypteringen	M23	Bästa praxis inom cybersäkerhet för utveckling av programvara och maskinvara ska följas
26.2	Otillräcklig användning av krypteringsalgoritmer för att skydda känsliga system
26.3	Användning av föråldrade krypteringsalgoritmer
27.1	Maskinvara eller programvara som är konstruerad för att möjliggöra en attack eller inte uppfyller konstruktionskriterierna för att förhindra en attack	M23	Bästa praxis inom cybersäkerhet för utveckling av programvara och maskinvara ska följas
28.1	Förekomsten av buggar i programvara kan utgöra en grund för potentiella sårbarheter som kan utnyttjas. Detta gäller särskilt om programvaran inte har provats för att kontrollera att känd dålig kod/buggar inte förekommer och för att minska risken för att okänd dålig kod/buggar ska förekomma	M23	Bästa praxis inom cybersäkerhet för utveckling av programvara och maskinvara ska följas. Provning av cybersäkerheten med lämplig täckning
28.2	Användning av rester från utveckling (t.ex. felsökningsportar, JTAG-portar, mikroprocessorer, utvecklingscertifikat, utvecklarlösenord etc.) kan göra det möjligt för angripare att få åtkomst till motorstyrenheter eller få större privilegier
29.1	Överflödiga internetportar som lämnas öppna och ger tillträde till nätverk
29.2	Nätverksseparation kringgås för att få kontroll. Specifika exempel är användningen av oskyddade nätslussar eller accesspunkter (t.ex. nätslussar mellan lastbil och släpvagn) för att kringgå skydd och få tillträde till andra nätverkssegment för att utföra sabotage, t.ex. skicka godtyckliga CAN-bussmeddelanden	M23	Bästa praxis inom cybersäkerhet för utveckling av programvara och maskinvara ska följas. Bästa praxis inom cybersäkerhet för systemutformning och systemintegration ska följas

Riskreducerande åtgärder för ”dataförlust/dataintrång i fordon”

Riskreducerande åtgärder för hoten kopplade till ”dataförlust/dataintrång i fordon” anges i tabell B7.

Tabell B7

Riskreducerande åtgärder för hoten kopplade till ”dataförlust/dataintrång i fordon”

Referens i tabell A1	Hot mot ”dataförlust/dataintrång i fordon”	Ref.	Riskreducerande åtgärd
31.1	Dataintrång. Intrång i personuppgifter kan ske när bilen byter användare (t.ex. säljs eller används som hyrbil med nya personer som hyr den)	M24	Bästa praxis för skydd av dataintegritet och datasekretess ska följas vid lagring av personuppgifter

Riskreducerande åtgärder för ”fysisk manipulation av system kan möjliggöra en attack”

Riskreducerande åtgärder för hoten kopplade till ”fysisk manipulation av system kan möjliggöra en attack” anges i tabell B8.

Tabell B8

Riskreducerande åtgärder för hoten kopplade till ”fysisk manipulation av system kan möjliggöra en attack”

Referens i tabell A1	Hot mot ”fysisk manipulation av system kan möjliggöra en attack”	Ref.	Riskreducerande åtgärd
32.1	Manipulation av maskinvara från OEM-företag, t.ex. otillåten maskinvara som tillförs bilen för att möjliggöra en man-i-mitten-attack	M9	Åtgärder för att förhindra och upptäcka obehörig åtkomst ska vidtas

Del C. Riskreducerande åtgärder för hot utanför fordon

Riskreducerande åtgärder för ”backendservrar”

Riskreducerande åtgärder för hoten kopplade till ”backendservrar” anges i tabell C1.

Tabell C1

Riskreducerande åtgärder för hoten kopplade till ”backendservrar”

Referens i tabell A1	Hot mot ”backendservrar”	Ref.	Riskreducerande åtgärd
1.1 & 3.1	Personals missbruk av privilegier (angrepp inifrån)	M1	Säkerhetskontroller ska tillämpas på backendsystem för att minimera risken för angrepp inifrån
1.2 & 3.3	Obehörig internetåtkomst till servern (som möjliggörs genom exempelvis bakdörrar, sårbarheter i opatchad programvara, SQL-attacker eller på andra sätt)	M2	Säkerhetskontroller ska tillämpas på backendsystem för att minimera risken för obehörig åtkomst. Exempel på säkerhetskontroller finns i Owasp
1.3 & 3.4	Obehörig fysisk tillgång till servern (som genomförs med exempelvis usb-minnen eller andra medier som ansluts till servern)	M8	Genom systemets utformning och åtkomstkontroll ska det inte vara möjligt för obehörig personal att få tillgång till personuppgifter eller kritiska systemdata.
2.1	Attack mot backendservern som gör att den slutar fungera, t.ex. hindrar den att kommunicera med fordon och tillhandahålla tjänster som fordonen är beroende av	M3	Säkerhetskontroller ska tillämpas på backendsystem. När backendservrar är nödvändiga för tillhandahållandet av tjänster ska det finnas åtgärder för återhämtning i händelse av systemavbrott. Exempel på säkerhetskontroller finns i Owasp
3.2	Förlust av information i molnet. Känsliga data kan förloras till följd av attacker eller olyckor när data lagras av tredjepartsleverantör av molntjänster	M4	Säkerhetskontroller ska tillämpas för att minimera risker kopplade till molntjänster. Exempel på säkerhetskontroller finns i Owasp i riktlinjerna för molntjänster från NCSC
3.5	Dataintrång genom oavsiktlig datadelning (t.ex. administratörsfel, lagring av data på servrar i garage)	M5	Säkerhetskontroller ska tillämpas på backendsystem för att förhindra dataintrång. Exempel på säkerhetskontroller finns i Owasp

Riskreducerande åtgärder för ”oavsiktliga mänskliga handlingar”

Riskreducerande åtgärder för hoten kopplade till ”oavsiktliga mänskliga handlingar” anges i tabell C2.

Tabell C2

Riskreducerande åtgärder för hoten kopplade till ”oavsiktliga mänskliga handlingar”

Referens i tabell A1	Hot kopplade till ”oavsiktliga mänskliga handlingar”	Ref.	Riskreducerande åtgärd
15.1	Ett oskyldigt offer (t.ex. ägare, operatör eller underhållsingenjör) luras att vidta en åtgärd för att oavsiktligt ladda upp sabotageprogram eller möjliggöra en attack	M18	Åtgärder ska vidtas för att fastställa och kontrollera användarroller och åtkomsträttigheter på grundval av principen för begränsad behörighet
15.2	Fastställda säkerhetsförfaranden följs inte	M19	Organisationer ska säkerställa att säkerhetsförfaranden har fastställts och följs, däribland loggning av åtgärder och åtkomst kopplad till förvaltningen av säkerhetsfunktioner

Riskreducerande åtgärder för ”fysisk dataförlust”

Riskreducerande åtgärder för hoten kopplade till ”fysisk dataförlust” anges i tabell C3.

Tabell C3

Riskreducerande åtgärder för hoten kopplade till ”fysisk dataförlust”

Referens i tabell A1	Hot mot ”fysisk dataförlust”	Ref.	Riskreducerande åtgärd
30.1	Skador som orsakas av en tredje part. Känsliga data kan förloras eller skadas på grund av fysiska skador i samband med en trafikolycka eller stöld	M24	Bästa praxis för skydd av dataintegritet och datasekretess ska följas vid lagring av personuppgifter Exempel på säkerhetskontroller finns i ISO/SC27/WG5
30.2	Förlust till följd av DRM-konflikter (förvaltning av digitala rättigheter). Användardata kan raderas på grund av DRM-problem
30.3	Känsliga data (och dess integritet) kan förloras på grund av slitage på it-komponenter, vilket kan orsaka dominoeffekter (t.ex. vid stora ändringar)

9.3.2021

Europeiska unionens officiella tidning

L 82/60

FN-föreskrift nr 156 – Enhetliga bestämmelser om godkännande av fordon med avseende på programvaruuppdateringar och ledningssystem för programvaruuppdateringar [2021/388]

Dag för ikraftträdande: 22 januari 2021

Detta dokument är endast avsett som dokumentationshjälpmedel. Den giltiga och rättsligt bindande texten är ECE/TRANS/WP.29/2020/80.

INNEHÅLL

FÖRESKRIFT

Tillämpningsområde

Definitioner

Ansökan om godkännande

Märkningar

Godkännande

Intyg om överensstämmelse för ledningssystem för programvaruuppdateringar

Allmänna specifikationer

Ändring av fordonstypen och utökning av typgodkännandet

Produktionsöverensstämmelse

10.

Påföljder vid bristande produktionsöverensstämmelse

11.

Slutgiltigt upphörande av produktionen

12.

Namn på och adress till typgodkännandemyndigheter och de tekniska tjänster som ansvarar för att utföra godkännandeprovningar

BILAGOR

Informationsdokument

Tillägg 1 – Utformning av intyg om överensstämmelse för ledningssystem för programvaruuppdateringar

Meddelande

Typgodkännandemärkets uppbyggnad

Utformning av intyg om överensstämmelse för ledningssystem för programvaruuppdateringar

1. TILLÄMPNINGSOMRÅDE

1.1

Denna föreskrift gäller fordon av kategorierna (1) M, N, O, R, S och T som tillåter programvaruuppdateringar.

2. DEFINITIONER

2.1

fordonstyp: fordon som åtminstone i följande avseenden inte skiljer sig från varandra:

a)	Tillverkarens beteckning för fordonstypen.

b)	Väsentliga aspekter av fordonstypens konstruktion med avseende på processer för programvaruuppdateringar.

2.2

RX programvaruidentifikationsnummer (RXSWIN): en särskild identitetsbeteckning som fastställts av fordonstillverkaren och som representerar information om det elektroniska styrsystemets typgodkännanderelevanta programvara som bidrar till egenskaper som är relevanta för typgodkännandet av fordonet enligt föreskrift nr xx.

2.3

programvaruuppdatering: paket som används för att uppgradera programvara till en ny version, inbegripet en ändring av konfigurationsparametrarna.

2.4

exekvering: förfarandet för att installera och aktivera en uppdatering som har laddats ned.

2.5

ledningssystem för programvaruuppdateringar: ett systematiskt tillvägagångssätt för fastställande av organisatoriska processer och förfaranden för att uppfylla kraven för tillhandahållande av programvaruuppdateringar enligt denna föreskrift.

2.6

fordonsanvändare: en person som kör fordonet, en fordonsägare, en auktoriserad representant för eller anställd av en vagnparksförvaltare, en auktoriserad representant för eller anställd av fordonstillverkaren eller en auktoriserad tekniker.

2.7

säker drift: ett driftsläge som används vid fel på en komponent utan orimlig risknivå.

2.8

programvara: den del av ett elektroniskt styrsystem som består av digitala data och instruktioner.

2.9

trådlös uppdatering: en metod för trådlös överföring av data i stället för att använda sladd eller annan lokal anslutning.

2.10

system: en uppsättning komponenter och/eller undersystem som genomför en eller flera funktioner.

2.11

data för validering av integritet: en representation av digitala data med vilken jämförelser kan göras för att upptäcka fel i eller ändringar av data. Detta kan inbegripa kontrollsummor och hashvärden.

3. ANSÖKAN OM GODKÄNNANDE

3.1

Ansökan om godkännande av en fordonstyp med avseende på processer för programvaruuppdateringar ska lämnas in av fordonstillverkaren eller dess behöriga ombud.

3.2

Ansökan ska åtföljas av nedanstående handlingar i tre exemplar och av följande uppgifter:

3.3

En beskrivning av fordonstypen med avseende på de uppgifter som anges i bilaga 1 till denna föreskrift.

3.4

3.5

Intyget om överensstämmelse för ledningssystem för programvaruuppdateringar enligt punkt 6 i denna föreskrift.

3.6

Ett fordon som är representativt för den fordonstyp som ska godkännas ska inlämnas till den tekniska tjänst som ansvarar för utförandet av provningarna för godkännande.

3.7

Denna dokumentation ska bestå av följande två delar:

4. MÄRKNING

4.1

4.1.1

En cirkel som omger bokstaven E, följd av det särskiljande numret för det land som beviljat godkännandet (2).

4.1.2

Numret på denna föreskrift följt av bokstaven R, ett bindestreck och godkännandenumret till höger om den cirkel som beskrivs i punkt 4.1.1 ovan.

4.2

Om fordonet överensstämmer med en fordonstyp som godkänts enligt en eller flera andra föreskrifter som är fogade till överenskommelsen, i det land som beviljat godkännande enligt den här föreskriften, behöver den symbol som föreskrivs i punkt 4.1.1 ovan inte upprepas. I sådana fall ska såväl föreskrifternas nummer som typgodkännandenummer och tilläggssymbolerna för alla de föreskrifter enligt vilka typgodkännande har beviljats i det land som beviljat typgodkännande enligt dessa föreskrifter placeras i lodräta kolumner till höger om symbolen som föreskrivs i punkt 4.1.1 ovan.

4.3

Typgodkännandemärket ska vara lätt läsbart och outplånligt.

4.4

Typgodkännandemärket ska placeras på eller nära den fordonsskylt som anbringats av tillverkaren.

4.5

I bilaga 3 till denna föreskrift finns exempel på typgodkännandemärkets utformning.

5. GODKÄNNANDE

5.1

Godkännandemyndigheter ska endast bevilja typgodkännande med avseende på förfaranden och processer för programvaruuppdateringar för de fordonstyper som uppfyller kraven i denna föreskrift.

5.1.1

Godkännandemyndigheten eller den tekniska tjänsten ska genom att prova ett fordon av fordonstypen kontrollera att fordonstillverkaren har vidtagit de åtgärder som han eller hon har dokumenterat. Godkännandemyndigheten eller den tekniska tjänsten ska, själv eller i samarbete med fordonstillverkaren, utföra provningar genom provtagning.

5.2

5.3

Godkännandemyndigheter får inte bevilja typgodkännande utan att kontrollera att tillverkaren har infört tillfredsställande rutiner och förfaranden för att på ett korrekt sätt hantera de aspekter av programvaruuppdateringsprocesserna som omfattas av denna föreskrift.

6. INTYG OM ÖVERENSSTÄMMELSE FÖR LEDNINGSSYSTEM FÖR PROGRAMVARUUPPDATERINGAR

6.1

Parterna i överenskommelsen ska utse en godkännandemyndighet som ska utföra bedömningen av tillverkaren och utfärda ett intyg om överensstämmelse för ledningssystem för programvaruuppdateringar.

6.2

En ansökan om ett intyg om överensstämmelse för ledningssystem för programvaruuppdateringar ska lämnas in av fordonstillverkaren eller dess behöriga ombud.

6.3

Ansökan ska åtföljas av nedanstående handlingar i tre exemplar och av följande uppgifter:

6.3.1

Handlingar som beskriver ledningssystemet för programvaruuppdateringar.

6.3.2

En undertecknad deklaration på grundval av mallen enligt tillägg 1 till bilaga 1.

6.4

I samband med bedömningen ska tillverkaren intyga att han eller hon använder mallen enligt tillägg 1 till bilaga 1 och övertyga godkännandemyndigheten eller dess tekniska tjänst om att de förfaranden som krävs för att uppfylla alla krav på programvaruuppdateringar enligt denna föreskrift har införts.

6.5

När denna bedömning har slutförts med ett tillfredsställande resultat och med mottagande av en undertecknad deklaration från tillverkaren enligt den mall som anges i tillägg 1 till bilaga 1 ska ett intyg som kallas intyg om överensstämmelse för ledningssystem för programvaruuppdateringar (nedan kallat intyg om överensstämmelse), som beskrivs i bilaga 4 till denna föreskrift, utfärdas till tillverkaren.

6.6

Intyget om överensstämmelse ska vara giltigt högst tre år från det att det utfärdas, såvida det inte återkallas.

6.7

Den godkännandemyndighet som utfärdat intyget om överensstämmelse för ledningssystem för programvaruuppdateringar får när som helst kontrollera dess fortsatta överensstämmelse. Intyget om överensstämmelse för ledningssystem för programvaruuppdateringar kan återkallas om kraven i denna föreskrift inte längre uppfylls.

6.8

Tillverkaren ska underrätta godkännandemyndigheten eller dess tekniska tjänst om förändringar som påverkar relevansen av intyget om överensstämmelse för ledningssystem för programvaruuppdateringar. Efter samråd med tillverkaren ska godkännandemyndigheten eller dess tekniska tjänst besluta om nya kontroller är nödvändiga.

6.9

Vid slutet av giltighetstiden för intyget om överensstämmelse för ledningssystem för programvaruuppdateringar ska godkännandemyndigheten, efter en positiv bedömning, utfärda ett nytt intyg om överensstämmelse för ledningssystem för programvaruuppdateringar eller förlänga dess giltighet med ytterligare tre år. Godkännandemyndigheten ska utfärda ett nytt intyg när myndigheten eller dess tekniska tjänst har fått kännedom om förändringar och förändringarna på nytt har bedömts som positiva.

6.10

Befintliga typgodkännanden av fordon blir inte ogiltiga vid utgången av tillverkarens intyg om överensstämmelse för ledningssystem för programvaruuppdateringar.

7. ALLMÄNNA SPECIFIKATIONER

7.1

Krav på fordonstillverkarens ledningssystem för programvaruuppdateringar

7.1.1

Processer som ska granskas vid den inledande bedömningen

7.1.1.1

En process genom vilken information som är relevant för denna föreskrift dokumenteras och lagras säkert av fordonstillverkaren och kan göras tillgänglig för en godkännandemyndighet eller dess tekniska tjänst på begäran.

7.1.1.2

En process genom vilken information avseende samtliga ursprungliga och uppdaterade programvaruversioner, inbegripet data för validering av integritet, och relevanta maskinvarukomponenter för ett typgodkänt system kan unikt identifieras.

7.1.1.3

En process genom vilken, för fordonstyper med RXSWIN, uppgifter om en fordonstyps RXSWIN före och efter en uppdatering kan erhållas och uppdateras. Detta ska innefatta möjligheten att uppdatera uppgifter om programvaruversioner och deras data för validering av integritet för all relevant programvara för varje RXSWIN.

7.1.1.4

En process genom vilken, för fordonstyper med RXSWIN, fordonstillverkaren kan verifiera att den eller de programvaruversioner som är installerade på en komponent i ett typgodkänt system stämmer överens med de som fastställs genom relevant RXSWIN.

7.1.1.5

En process genom vilken eventuella ömsesidiga beroendeförhållanden mellan det uppdaterade systemet och andra system kan identifieras.

7.1.1.6

En process genom vilken fordonstillverkaren kan identifiera fordon i behov av en programvaruuppdatering.

7.1.1.7

En process genom vilken en programvaruuppdaterings kompatibilitet med konfigurationen hos det eller de fordon som ska uppdateras bekräftas innan uppdateringen utförs. Detta ska innefatta en bedömning av fordonets senaste kända maskin- och programvarukonfiguration avseende dess kompatibilitet med uppdateringen innan den utförs.

7.1.1.8

En process för bedömning, identifiering och dokumentering av huruvida en programvaruuppdatering kan komma att påverka typgodkända system. Detta ska omfatta en bedömning av huruvida uppdateringen kommer att påverka eller ändra någon eller några av de parametrar som används för att definiera de system som uppdateringen kan komma att påverka eller huruvida den kan komma att ändra någon eller några av de parametrar som används för typgodkännande av dessa system (enligt definitionerna i relevant lagstiftning).

7.1.1.9

En process för bedömning, identifiering och dokumentering av huruvida en programvaruuppdatering kan komma att lägga till, ändra eller aktivera någon eller några funktioner som inte fanns eller var aktiverade när fordonet typgodkändes, eller ändra eller inaktivera någon eller några andra parametrar eller funktioner som definieras i lag. Denna bedömning ska innefatta en undersökning av huruvida

a)	uppgifter i informationsmaterialet behöver ändras,

b)	provningsresultaten inte längre omfattar fordonet efter ändring och huruvida

c)	eventuella ändringar av funktioner hos fordonet påverkar fordonets typgodkännande.

7.1.1.10

En process för bedömning, identifiering och dokumentering av huruvida en programvaruuppdatering kan komma att påverka något annat system som krävs för säker och kontinuerlig drift av fordonet eller huruvida uppdateringen kan komma att lägga till eller ändra någon eller några funktioner hos fordonet jämfört med när det registrerades.

7.1.1.11

En process genom vilken fordonsanvändaren kan hålla sig informerad om uppdateringar.

7.1.1.12

En process genom vilken fordonstillverkaren ska kunna göra den information som avses i punkt 7.1.2.3 och 7.1.2.4 tillgänglig för ansvariga myndigheter eller dess tekniska tjänster. Detta kan vara för typgodkännande, produktionsöverensstämmelse, marknadskontroll, återkallelser och periodiska tekniska inspektioner.

7.1.2

Fordonstillverkaren ska dokumentera och lagra följande uppgifter för varje uppdatering som görs av en viss fordonstyp:

7.1.2.1

Dokumentation som beskriver de processer som fordonstillverkaren använder för programvaruuppdateringar och eventuella relevanta standarder som används för att styrka deras överensstämmelse.

7.1.2.2

Dokumentation som beskriver relevanta typgodkända systems konfiguration före och efter en uppdatering, som ska innefatta en unik identifiering av det typgodkända systemets maskin- och programvara (inbegripet programvaruversioner) och eventuella relevanta fordons- eller systemparametrar.

7.1.2.3

För varje RXSWIN ska det finnas ett reviderbart register över all programvara som är relevant för fordonstypens RXSWIN före och efter en uppdatering. Detta ska innefatta uppgifter om programvaruversioner och deras data för validering av integritet för all relevant programvara för varje RXSWIN.

7.1.2.4

Dokumentation som innehåller en förteckning över fordon som ska uppdateras och ett intygande av dessa fordons senaste kända konfigurations kompatibilitet med uppdateringen.

7.1.2.5

Dokumentation för alla programvaruuppdateringar för den fordonstypen med uppgifter om följande:

a)	Syftet med uppdateringen.

b)	Vilka av fordonets system eller funktioner som uppdateringen kan komma att påverka.

c)	Vilka av dessa som är typgodkända (i förekommande fall).

d)	I tillämpliga fall, huruvida programvaruuppdateringen påverkar uppfyllandet av några relevanta krav på dessa typgodkända system.

e)	Huruvida programvaruuppdateringen påverkar någon eller några parametrar i systemets typgodkännande.

f)	Huruvida godkännande av uppdateringen ansöktes om från en godkännandemyndighet.

g)	Hur uppdateringen kan utföras och under vilka förhållanden.

h)	Ett intygande om att programvaruuppdateringen kommer att genomföras på ett tryggt och säkert sätt.

i)	Ett intygande om att programvaruuppdateringen med positivt resultat har genomgått verifierings- och valideringsförfaranden.

7.1.3

Säkerhet – fordonstillverkaren ska visa följande:

7.1.3.1

Den process som används för att säkerställa att programvaruuppdateringar skyddas för att i skälig utsträckning förhindra manipulering innan uppdateringsprocessen inleds.

7.1.3.2

Att de uppdateringsprocesser som används skyddas för att i skälig utsträckning förhindra att de äventyras, inbegripet utvecklingen av systemet för leverans av uppdateringar.

7.1.3.3

Att de processer som används för att verifiera och validera programvarans funktion och koden för den programvara som används i fordonet är lämpliga.

7.1.4

Ytterligare krav på trådlösa programvaruuppdateringar

7.1.4.1

Fordonstillverkaren ska visa de processer och förfaranden som används för att bedöma att trådlösa uppdateringar inte påverkar säkerheten om de utförs under körning.

7.1.4.2

Fordonstillverkaren ska visa de processer och förfaranden som används för att säkerställa att en trådlös uppdatering som kräver en särskild kunskap eller en komplicerad åtgärd, till exempel omkalibrering av en sensor efter programmering, för att slutföra uppdateringsprocessen endast kan utföras när en person som är kvalificerad att utföra den åtgärden är närvarande eller leder processen.

7.2

Krav för fordonstypen

7.2.1

Krav för programvaruuppdateringar

7.2.1.1

Programvaruuppdateringars äkthet och integritet ska skyddas för att i skälig utsträckning förhindra att de äventyras och i skälig utsträckning förhindra ogiltiga uppdateringar.

7.2.1.2

Om en fordonstyp använder RXSWIN:

7.2.1.2.1

Varje RXSWIN ska vara unikt identifierbart. När programvara som är relevant för typgodkännandet ändras av fordonstillverkaren ska dess RXSWIN uppdateras om det leder till utökning av typgodkännandet eller ett nytt typgodkännande.

7.2.1.2.2

Varje RXSWIN ska vara lätt att avläsa på ett standardiserat sätt genom användning av ett elektroniskt kommunikationsgränssnitt, åtminstone via det standardiserade gränssnittet (OBD-port).

Om det inte finns något RXSWIN på fordonet ska tillverkaren ange programvaruversioner för fordonet eller för enskilda elektroniska styrenheter och deras samband till relevanta typgodkännanden till godkännandemyndigheten. Dessa uppgifter ska uppdateras varje gång en angiven programvaruversion uppdateras. I detta fall ska programvaruversionerna vara lätta att avläsa på ett standardiserat sätt genom användning av ett elektroniskt kommunikationsgränssnitt, åtminstone via det standardiserade gränssnittet (OBD-port).

7.2.1.2.3

Fordonstillverkaren ska skydda RXSWIN och/eller programvaruversioner för ett fordon mot obehöriga ändringar. Vid tiden för typgodkännandet ska de åtgärder som vidtagits för att skydda mot obehöriga ändringar av det RXSWIN och/eller de programvaruversionerna som valts av fordonstillverkaren anges konfidentiellt.

7.2.2

Ytterligare krav på trådlösa uppdateringar

7.2.2.1

Fordonet ska ha följande funktioner när det gäller programvaruuppdateringar:

7.2.2.1.1

Fordonstillverkaren ska säkerställa att fordonets system kan återställas till en tidigare version om uppdateringen misslyckas eller avbryts eller att fordonet kan försättas i säker drift om en uppdatering misslyckats eller avbrutits.

7.2.2.1.2

Fordonstillverkaren ska säkerställa att programvaruuppdateringar endast kan utföras när fordonet har tillräckligt mycket el för att kunna slutföra uppdateringsprocessen (inbegripet den el som krävs för en eventuell återställning till en tidigare version eller för att fordonet ska försättas i säker drift).

7.2.2.1.3

Om utförandet av en uppdatering kan påverka fordonets säkerhet ska fordonstillverkaren visa hur uppdateringen kan genomföras på ett säkert sätt. Detta ska göras med tekniska medel som säkerställer att fordonet är i ett läge där uppdateringen kan utföras på ett säkert sätt.

7.2.2.2

Fordonstillverkaren ska visa att fordonsanvändaren kan få information om en uppdatering innan uppdateringen utförs. Den information som tillhandahålls ska innehålla följande:

a)	Syftet med uppdateringen. Detta kan omfatta uppdateringens allvarlighet samt huruvida uppdateringen görs för återställning eller av säkerhetsskäl.

b)	De ändringar av fordonets funktioner som uppdateringen medför.

c)	Den tid som utförandet av uppdateringen förväntas ta.

d)	Eventuella fordonsfunktioner som kan vara otillgängliga under tiden som uppdateringen utförs.

e)	Anvisningar som kan hjälpa fordonsanvändaren att utföra uppdateringen på ett säkert sätt.

För grupper av uppdateringar med liknande innehåll kan samma information ges för en grupp.

7.2.2.3

I de fall utförandet av en uppdatering kan innebära en säkerhetsrisk vid körning ska fordonstillverkaren visa hur denne ska

a)	säkerställa att fordonet inte kan köras under utförandet av uppdateringen samt

b)	säkerställa att föraren inte kan använda några fordonsfunktioner som kan påverka fordonets säkerhet eller slutförandet av uppdateringen.

7.2.2.4

Efter att en uppdatering har utförts ska fordonstillverkaren visa hur följande ska säkerställas:

a)	Att fordonsanvändaren kan informeras om att uppdateringen har slutförts (eller misslyckats).

b)	Att fordonsanvändaren kan informeras om de ändringar som tillämpats och eventuella uppdateringar av användarmanualen i samband med detta (i tillämpliga fall).

7.2.2.5

Fordonstillverkaren ska säkerställa att vissa villkor måste uppfyllas innan programvaruuppdateringen utförs.

8. ÄNDRING AV FORDONSTYPEN OCH UTÖKNING AV TYPGODKÄNNANDET

8.1

Alla ändringar av fordonstypen som påverkar dess tekniska prestanda och/eller dokumentation som krävs enligt denna föreskrift ska meddelas den godkännandemyndighet som beviljade godkännandet. Typgodkännandemyndigheten kan då antingen

8.1.1

konstatera att de ändringar som gjorts fortfarande uppfyller kraven och överensstämmer med dokumentationen för det befintliga typgodkännandet, eller

8.1.2

begära ytterligare en provningsrapport från den tekniska tjänst som ansvarar för att utföra provningarna.

8.1.3

Beviljat, utökat eller ej beviljat godkännande, med en beskrivning av ändringarna, ska meddelas med hjälp av ett meddelandeformulär som överensstämmer med mallen i bilaga 2 till denna föreskrift. Den godkännandemyndighet som beviljar utökning av typgodkännande ska tilldela varje sådan utökning ett serienummer och underrätta övriga parter i 1958 års överenskommelse som tillämpar dessa föreskrifter om detta med hjälp av ett meddelandeformulär som överensstämmer med förlagan i bilaga 2 till dessa föreskrifter.

9. PRODUKTIONSÖVERENSSTÄMMELSE

9.1

Förfarandena för produktionsöverensstämmelse ska motsvara de som anges i bilaga 1 till 1958 års överenskommelse (E/ECE/TRANS/505/Rev.3) med följande krav:

9.1.1

9.1.2

9.1.3

Godkännandemyndigheten eller dess tekniska tjänst ska regelbundet kontrollera att de processer som använts och de beslut som fattats av fordonstillverkaren överensstämmer med godkännandet, särskilt i de fall fordonstillverkaren har valt att inte meddela godkännandemyndigheten eller dess tekniska tjänst om en uppdatering. Detta kan genomföras genom stickprov.

10. PÅFÖLJDER VID BRISTANDE PRODUKTIONSÖVERENSSTÄMMELSE

10.1

10.2

11. SLUTGILTIGT UPPHÖRANDE AV PRODUKTIONEN

11.1

En innehavare av ett godkännande som helt upphör med sin tillverkning av en fordonstyp som godkänts i enlighet med denna föreskrift ska meddela detta till den myndighet som beviljade godkännandet. När myndigheten har mottagit det aktuella meddelandet ska den underrätta övriga parter i överenskommelsen som tillämpar dessa föreskrifter, med hjälp av en kopia av godkännandeformuläret, som i slutet ska vara försett med en underskriven och daterad notering med lydelsen ”SLUTGILTIGT UPPHÖRANDE AV TILLVERKNINGEN” skriven med versaler.

12. NAMN PÅ OCH ADRESS TILL TYPGODKÄNNANDEMYNDIGHETER OCH DE TEKNISKA TJÄNSTER SOM ANSVARAR FÖR ATT UTFÖRA GODKÄNNANDEPROVNINGAR

12.1

De parter i överenskommelsen som tillämpar dessa föreskrifter ska meddela Förenta nationernas sekretariat namn på och adress till de tekniska tjänster som ansvarar för att utföra godkännandeprovningar och de typgodkännandemyndigheter som beviljar godkännande och till vilka formulär om beviljat, utökat, ej beviljat eller återkallat godkännande som utfärdats i andra länder ska skickas.

(1) Enligt definitionen i den konsoliderade resolutionen om fordonskonstruktion (R.E.3), dokument ECE/TRANS/WP.29/78/Rev.6, punkt 2 – www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29resolutions.html

(2) De särskiljande numren för parterna i 1958 års överenskommelse återges i bilaga 3 till den konsoliderade resolutionen om fordonskonstruktion (R.E.3), dokument ECE/TRANS/WP.29/78/Rev.6.

BILAGA 1

Informationsdokument

Fabrikat (tillverkarens handelsnamn): …

Typ och handelsbeteckning: …

(Typ avser den typ som ska godkännas, handelsbeteckning avser den produkt i vilken den godkända typen används)

Metod för identifiering av typ, om sådan märkning finns på fordonet: …

Märkningens placering: …

Fordonskategorier: …

Namn på och adress till tillverkarnas ombud: …

Namn på och adresser till monteringsanläggningar: …

Fotografier eller ritningar av ett representativt fordon: …

Programvaruuppdateringar

9.1

Allmänna uppgifter om fordonstypens konstruktion: …

9.2

Nummer på intyget om överensstämmelse för ledningssystem för programvaruuppdateringar: …

9.3

Säkerhetsåtgärder

9.3.1

Dokument för den fordonstyp som ska godkännas med uppgift om att uppdateringsprocessen kommer att utföras på ett säkert sätt: …

9.3.2

Dokument för den fordonstyp som ska godkännas med uppgift om att ett fordons RXSWIN skyddas mot obehöriga ändringar: …

9.4

Trådlösa programvaruuppdateringar

9.4.1

Dokument för den fordonstyp som ska godkännas med uppgift om att uppdateringsprocessen kommer att utföras på ett säkert sätt: …

9.4.2

Hur en fordonsanvändare kan informeras om en uppdatering före och efter dess utförande: …

Tillägg 1 till bilaga I

Utformning av intyg om överensstämmelse för ledningssystem för programvaruuppdateringar

Tillverkarens försäkran om överensstämmelse med kraven för ledningssystem för programvaruuppdateringar

Tillverkarens namn: …

Tillverkarens adress: …

… … … … …(tillverkarens namn) intygar att de förfaranden som krävs för att uppfylla kraven för ledningssystem för programvaruuppdateringar enligt punkt 7.1 i FN-föreskrift nr 156 har inrättats och kommer att upprätthållas.

Ort: ………………………………………… (ort)

Datum: …

Undertecknarens namn: …

Undertecknarens befattning: …

…………………………………………

(Stämpel och underskrift från tillverkarens ombud)

BILAGA 2

Meddelande

(maximiformat: A4 [210 × 297 mm])

(1)

Utfärdat av:

Myndighetens namn:

…

Avseende (2):

Beviljat godkännande

Utökat godkännande

Återkallat godkännande med verkan från och med dd/mm/åååå

Ej beviljat godkännande

Slutgiltigt upphörande av produktionen

av en fordonstyp enligt FN-föreskrift nr 156

Godkännande nr: …

Utökning nr: …

Skäl till utökningen: …

Fabrikat (tillverkarens handelsnamn): …

Typ och handelsbeteckning: …

Metod för identifiering av typ, om sådan märkning finns på fordonet: …

3.1

Märkningens placering: …

Fordonskategorier: …

Namn på och adress till tillverkarnas ombud: …

Namn på och adress till monteringsanläggningar: …

Nummer på intyget om överensstämmelse för ledningssystem för programvaruuppdateringar: …

Trådlösa programvaruuppdateringar omfattas (ja/nej): …

Teknisk tjänst som ansvarar för att utföra provningarna: …

10.

Provningsrapportens datum: …

11.

Provningsrapportens nummer: …

12.

Anmärkningar: (i förekommande fall) …

13.

Ort: …

14.

Datum: …

15.

Underskrift: …

16.

Indexet till det informationspaket som har lämnats in till godkännandemyndigheten bifogas och kan fås på begäran.

(1) Det särskilda landsnumret för det land som beviljat/utökat/avslagit ansökan om/återkallat godkännande (se bestämmelser om märkning [fotnot] i dessa föreskrifter).

(2) Stryk det som inte är tillämpligt.

BILAGA 3

Typgodkännandemärkets uppbyggnad

MALL A

(se punkt 4.2 i denna föreskrift)

a = 8 mm min.

Ovanstående typgodkännandemärke på ett fordon visar att fordonstypen har godkänts i Nederländerna (E4) enligt föreskrift nr 156 med godkännandenumret 001234. De två första siffrorna i godkännandenumret anger att godkännandet beviljats enligt kraven i denna föreskrift i dess ursprungliga lydelse (00).

BILAGA 4

Utformning av intyg om överensstämmelse för ledningssystem för programvaruuppdateringar

Intyg om överensstämmelse för ledningssystem för programvaruuppdateringar

med FN-föreskrift nr 156

Intygsnummer [referensnummer]

[……. godkännandemyndighet]

intygar att

Tillverkare: …

Tillverkarens adress: …

följer bestämmelserna i föreskrift nr 156.

Kontroller har utförts på …

av (namn på och adress till godkännandemyndigheten): …

Rapportens nummer: …

Detta intyg är giltigt till och med den [………………………………………………datum]

Ort: [………………………………………………ort]

Datum: [………………………………………………datum]

[………………………………………………underskrift]

9.3.2021

Europeiska unionens officiella tidning

L 82/75

Endast Uneces texter i original har bindande folkrättslig verkan. Denna föreskrifts status och dagen för dess ikraftträdande bör kontrolleras i den senaste versionen av Uneces statusdokument TRANS/WP.29/343, som finns på http://www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29fdocstts.html

FN-föreskrift nr 157 – Enhetliga bestämmelser om godkännande av fordon med avseende på automatiska körfältssystem [2021/389]

Datum för ikraftträdande: 22 januari 2021

Detta dokument är endast avsett som dokumentationshjälpmedel. Den giltiga och rättsligt bindande texten är ECE/TRANS/WP.29/2020/81.

INNEHÅLL

FÖRESKRIFTER

Inledning

Tillämpningsområde och syfte

Definitioner

Ansökan om godkännande

Godkännande

Systemsäkerhet och felsäkerhetsåtgärder

Användargränssnitt/användarinformation

Detektion av och reaktion på föremål och händelser (Object and Event Detection and Response)

Datalagringssystem för automatiserad körning

It-säkerhet och programvaruuppdateringar

10.

Ändring av fordonstyp och utökning av godkännande

11.

Produktionsöverensstämmelse

12.

Påföljder vid bristande produktionsöverensstämmelse

13.

Slutgiltigt upphörande av produktionen

14.

Namn på och adress till typgodkännandemyndigheter och de tekniska tjänster som ansvarar för att utföra godkännandeprovningar:

BILAGOR

Meddelande

Godkännandemärkenas utformning

(Reserverad)

Särskilda krav på säkerhetsaspekter hos elektroniska kontrollsystem och revision

Provningsspecifikationer för automatiska körfältssystem

INLEDNING

Syftet med föreskriften är att fastställa enhetliga bestämmelser för godkännande av fordon med avseende på automatiska körfältssystem (ALKS).

Ett automatiskt körfältssystem styr bilens rörelse i sidled och i längsgående riktning under längre perioder utan ytterligare förarstyrning. Ett automatiskt körfältssystem är ett system där det aktiverade systemet har den primära kontrollen över fordonet.

Denna föreskrift är det första regleringssteget för ett automatiskt körsystem (enligt definitionen i ECE/TRANS/WP.29/1140) i trafiken och innehåller därför innovativa bestämmelser som syftar till att ta itu med komplexiteten i samband med utvärderingen av systemsäkerheten. Den innehåller administrativa bestämmelser som lämpar sig för typgodkännande, tekniska krav, revisions- och rapporteringsbestämmelser samt provningsbestämmelser.

Det automatiska körfältssystemet kan aktiveras vid vissa omständigheter på vägar där fotgängare och cyklister är förbjudna och som är utformade så att trafik som rör sig i motsatt riktning separeras fysiskt och all trafik hindras från att korsa fordonets väg. I ett första steg begränsas driftshastigheten i den ursprungliga texten till denna föreskrift till högst 60 km/h och till personbilar (M1-fordon).

Denna föreskrift innehåller allmänna krav avseende systemsäkerhet och felsäkerhetsåtgärder. När det automatiska körfältssystemet är aktiverat ska det utföra körningen i stället för föraren, dvs. hantera alla situationer inklusive fel, och får inte äventyra säkerheten för fordonets passagerare eller andra trafikanter. Föraren kan dock alltid när som helst åsidosätta systemet.

I föreskriften fastställs också krav på hur körningen på ett säkert sätt ska överlämnas från det automatiska körfältssystemet till föraren, inklusive möjligheten för systemet att stanna om föraren inte reagerar på lämpligt sätt.

Slutligen innehåller föreskriften krav på användargränssnittet för att förhindra missförstånd eller felaktig användning från förarens sida. Föreskriften kräver till exempel att fordonsbaserade bildskärmar som används av föraren för annan verksamhet än körning medan det automatiska körfältssystemet är aktivt automatiskt ska stängas av så snart systemet ger föraren en begäran om överlämnande. Dessa åtgärder påverkar inte förarens beteenderegler om hur dessa system ska användas i parterna i överenskommelsen såsom för närvarande diskuteras av det globala forumet för trafiksäkerhet på väg (WP.1) vid tidpunkten för utarbetandet av detta dokument (se t.ex. informellt dokument 4, revision 1 från det sjuttioåttonde mötet i WP.1).

1. TILLÄMPNINGSOMRÅDE OCH SYFTE

1.1

Denna föreskrift gäller typgodkännande av fordon i kategori M1 (1) med avseende på deras automatiska körfältssystem.

2. DEFINITIONER

I denna föreskrift gäller följande definitioner:

2.1

automatiskt körfältssystem (ALKS) för användning i låga hastigheter: ett system som aktiveras av föraren och som håller fordonet inom körfältet vid en hastighet på 60 km/h eller mindre genom att styra fordonets rörelser i sidled och längsgående riktning under längre perioder utan att det krävs ytterligare insignaler från föraren.

I denna föreskrift kallas det automatiska körfältssystemet även systemet.

2.1.1

fordonstyp med avseende på automatiskt körfältssystem: en kategori av fordon som inte skiljer sig åt i sådana väsentliga avseenden som

a)	fordonsegenskaper som i hög grad inverkar på det automatiska körfältssystemets prestanda,

b)	det automatiska körfältssystemets egenskaper och utformning.

2.2

begäran om överlämnande: ett logiskt och intuitivt förfarande för att överlämna kontrollen över den dynamiska köruppgiften (DDT) från systemet (automatisk styrning) till den fysiska föraren (manuell styrning). Denna begäran lämnas av systemet till den fysiska föraren.

2.3

överlämnandefas: varaktigheten hos begäran om överlämnande.

2.4

planerad händelse: en situation som är känd i förväg, t.ex. vid aktiveringstidpunkten såsom en tidpunkt under färden (t.ex. vid avfart från en motorväg) och som kräver en begäran om överlämnande.

2.5

oplanerad händelse: en situation som är okänd i förväg men som antas vara mycket sannolik, t.ex. vägbygge, dåligt väder, utryckningsfordon som närmar sig, försvunnen körfältsmarkering, last som faller från lastbil (kollision) och som kräver en begäran om överlämnande.

2.6

överhängande kollisionsrisk: en situation eller en händelse som leder till fordonets kollision med en annan trafikant eller ett hinder som inte kan undvikas genom en begäran om inbromsning med mindre än 5 m/s2.

2.7

riskminimeringsmanöver (MRM): ett förfarande som syftar till att minimera riskerna i trafiken och som automatiskt utförs av systemet efter en begäran om överlämnande utan förarsvar eller vid allvarliga fel i det automatiska körfältsystemet eller allvarliga fordonsfel.

2.8

nödmanöver (EM): en manöver som utförs av systemet i händelse av att fordonet löper en överhängande kollisionsrisk och i syfte att undvika eller mildra en kollision.

2.9

Hastighet

2.9.1

specificerad högsta hastighet: den hastighet som anges av tillverkaren upp till vilken systemet arbetar under optimala förhållanden.

2.9.2

högsta driftshastighet: den hastighet som väljs av systemet upp till vilken systemet arbetar under föreliggande miljömässiga förhållanden och sensorförhållanden. Det är den högsta fordonshastighet vid vilken systemet kan vara aktivt och ska fastställas av avkänningssystemets kapacitet samt miljöförhållandena.

2.9.3

aktuell hastighet eller hastighet är den aktuella hastighet som väljs av systemet på grund av trafik.

2.10

detekteringsräckvidd för avkänningssystemet: det avstånd på vilket systemet på ett tillförlitligt sätt kan känna igen ett mål, med beaktande av försämringen av avkänningssystemets komponenter på grund av tid och användning under fordonets hela livslängd, och generera en kontrollsignal.

2.11

Fel

2.11.1

fel på det automatiska körfältssystemet: ett enskilt fel som är specifikt för det automatiska körfältssystemets drift (t.ex. ett fel på en enskild sensor, förlust av nödvändiga beräkningsdata för fordonets körväg).

2.11.2

felläge: driftsstatus för systemet när systemet är i drift med ett fel på det automatiska körfältssystemet.

2.11.3

allvarligt fel i det automatiska körfältssystemet: ett fel som är specifikt för driften av det automatiska körfältssystemet och som påverkar systemets säkra drift när det är i felläge med en mycket låg sannolikhet för förekomst såsom vanligen används för väsentliga komponenter, t.ex. en elektronisk styrenhet. Fel på enstaka sensorer betraktas endast som allvarliga fel när de åtföljs av en annan inverkan som påverkar systemets säkra drift.

2.11.4

allvarligt fordonsfel: ett fel i fordonet (t.ex. elektriskt eller mekaniskt) som påverkar det automatiska körfältssystemets förmåga att utföra den dynamiska köruppgiften och som även skulle påverka fordonets manuella körning (t.ex. förlust av strömförsörjning, fel på bromssystemet, plötslig förlust av däcktryck).

2.12

egenkontroll: en integrerad funktion som kontinuerligt kontrollerar avkänningssystemets detekteringsräckvidd och om det finns några systemfel.

2.13

Ett systemåsidosättande av föraren innebär att föraren tillhandahåller en insignal till en styranordning som har företräde framför systemets styrning i längsgående riktning eller i sidled medan systemet fortfarande är aktivt.

2.14

dynamisk köruppgift (Dynamic Driving Task – DDT): styrning och utförande av fordonets alla rörelser i längsgående riktning och i sidled.

2.15

datalagringssystem för automatiserad körning (Data Storage System for Automated Driving, DSSAD): möjliggör bestämningen av interaktioner mellan det automatiska körfältssystemet och föraren.

2.16

systemets livslängd: den tidsperiod under vilken det automatiska körfältssystemet är tillgängligt som funktion i fordonet.

2.17

händelser: mot bakgrund av bestämmelserna om datalagringssystem för automatiserad körning i punkt 8, en åtgärd eller en förekomst av en händelse eller ett tillbud under uppsegling som kräver lagring inom datalagringssystemet.

2.18

R157 programvaruidentifikationsnummer (R157 SWIN): en särskild identitetsbeteckning som fastställts av fordonstillverkaren och som representerar information om det elektroniska styrsystemets typgodkännanderelevanta programvara som bidrar till typgodkännandet av fordonet enligt FN-föreskrift nr 157.

2.19

elektroniskt kontrollsystem: en kombination av enheter avsedda att samarbeta vid produktionen av den angivna automatiska körfältsfunktionen genom elektronisk databehandling. Sådana system är vanligen programvarustyrda och uppbyggda av enskilda funktionskomponenter såsom sensorer, elektroniska kontrolldon och manöverorgan sammankopplade av transmissionslänkar. De kan inbegripa mekaniska, elektropneumatiska eller elektrohydrauliska delar.

2.20

programvara: den del av ett elektroniskt styrsystem som består av digitala data och instruktioner.

3. ANSÖKAN OM GODKÄNNANDE

3.1

Ansökan om godkännande av en fordonstyp med avseende på det automatiska körfältssystemet ska lämnas in av fordonstillverkaren eller dennes behöriga ombud.

3.2

Ansökan ska åtföljas av nedanstående dokument i tre exemplar:

3.2.1

En beskrivning av fordonstypen med avseende på de punkter som avses i punkt 2.1.1, tillsammans med ett dokumentationspaket enligt kraven i bilaga 4 som beskriver det automatiska körfältssystemets grundläggande konstruktion och hur systemet är kopplat till övriga fordonssystem eller hur det direkt kontrollerar utsignalvariablerna. De siffror och/eller symboler som identifierar fordonstypen ska anges.

3.3

Ett fordon som är representativt för den fordonstyp som ska godkännas ska lämnas in till den tekniska tjänst som utför godkännandeprovningarna.

4. GODKÄNNANDE

4.1

Om den fordonstyp som inlämnats för godkännande enligt denna föreskrift uppfyller kraven i punkterna 5–9 ska fordonet godkännas.

4.2

Varje godkänd typ ska ges ett godkännandenummer. De två första siffrorna i numret (för närvarande 00 för den ursprungliga versionen av ändringsserie 00) ska ange den ändringsserie (innehållande de senaste större tekniska ändringarna av föreskriften) som gäller vid tidpunkten för utfärdandet av godkännandet. En och samma part i överenskommelsen ska inte tilldela en annan fordonstyp samma typgodkännandenummer.

4.3

Ett meddelande om beviljat, ej beviljat eller återkallat typgodkännande enligt denna föreskrift ska lämnas till de parter i överenskommelsen som tillämpar denna föreskrift med hjälp av en meddelandeblankett enligt mallen i bilaga 1 till föreskriften och dokumentation som tillhandahålls av sökanden i ett format som inte överstiger A4 (210 x 297 mm), eller vikt till detta format, i lämplig skala eller i elektroniskt format.

4.4

4.4.1

En cirkel som omger bokstaven E, följd av det särskiljande numret för det land som beviljat godkännandet (2).

4.4.2

Numret på denna föreskrift följt av bokstaven R, ett bindestreck och godkännandenumret till höger om den cirkel som föreskrivs i punkt 4.4.1.

4.5

Om fordonet överensstämmer med en fordonstyp som godkänts enligt en eller flera andra föreskrifter som är fogade till överenskommelsen, i det land som beviljat godkännande enligt den här föreskriften, behöver den symbol som föreskrivs i punkt 4.4.1 inte upprepas. I så fall ska föreskriftens nummer, godkännandenummer och tilläggssymboler anges i kolumner till höger om den symbol som föreskrivs i punkt 4.4.1.

4.6

Godkännandemärket ska vara lätt läsbart och outplånligt.

4.7

Godkännandemärket ska placeras nära eller på skylten med fordonsdata.

5. SYSTEMSÄKERHET OCH FELSÄKERHETSÅTGÄRDER

5.1

Allmänna krav

Att bestämmelserna i denna punkt uppfylls ska påvisas av tillverkaren för den tekniska tjänsten under inspektionen av säkerhetsstrategin som en del av bedömningen enligt bilaga 4 (i synnerhet för förhållanden som inte provats enligt bilaga 5) och enligt de relevanta provningarna i bilaga 5.

5.1.1

Det aktiverade system som utför den dynamiska köruppgiften ska kunna hantera alla situationer inklusive fel, och ska inte medföra orimliga risker för fordonets passagerare eller andra trafikanter.

Det aktiverade systemet ska inte orsaka kollisioner som rimligen kan förutses och förebyggas. Om en kollision kan undvikas på ett säkert sätt utan att orsaka en annan, ska den undvikas. När fordonet är inblandat i en detekterbar kollision ska fordonet stanna.

5.1.2

Det aktiverade systemet ska följa trafikreglerna för den dynamiska köruppgiften i det land där det är i drift.

5.1.3

Det aktiverade systemet ska när som helst utöva kontroll över de system som krävs för att hjälpa föraren att återta manuell kontroll (t.ex. avimningsanordning, vindrutetorkare och belysning).

5.1.4

En begäran om överlämnande får inte äventyra säkerheten för fordonets passagerare eller andra trafikanter.

5.1.5

Om föraren inte återtar kontrollen över den dynamiska köruppgiften under överlämnandefasen ska systemet utföra en riskminimeringsmanöver. Under en riskminimeringsmanöver ska systemet minimera säkerhetsriskerna för passagerare och andra trafikanter.

5.1.6

Systemet ska utföra egenkontroller för att upptäcka förekomsten av fel och för att bekräfta systemets prestanda vid alla tidpunkter (t.ex. efter fordonsstart har systemet minst en gång detekterat ett föremål på samma eller ett större avstånd än det som angetts som detekteringsräckvidd enligt punkt 7.1).

5.1.7

Effektiviteten hos systemet får inte påverkas negativt av magnetiska eller elektriska fält. Detta ska påvisas genom överensstämmelse med ändringsserie 05 (eller senare) till FN-föreskrift nr 10.

5.1.8

Tillverkaren ska vidta åtgärder för att skydda mot rimligt förutsebar felaktig användning från förarens sida och mot manipulation av systemet.

5.1.9

När systemet inte längre kan uppfylla kraven i denna föreskrift ska det inte vara möjligt att aktivera systemet.

Tillverkaren ska tillkännage och införa ett förfarande för att hantera det automatiska körfältssystemets säkerhet och fortsatt överensstämmelse under hela livscykeln.

5.2

Dynamisk köruppgift

5.2.1

Det aktiverade systemet ska hålla fordonet inom dess körfält och säkerställa att fordonet inte korsar någon körfältsmarkering (framdäckets ytterkant i förhållande till körfältsmarkeringens yttre kant). Syftet med systemet är att hålla fordonet i ett stabilt läge i sidled inom körfältet för att undvika att förvirra andra trafikanter.

5.2.2

Det aktiverade systemet ska detektera ett fordon som färdas bredvid (enligt definitionen i punkt 7.1.2) och vid behov justera fordonets hastighet och/eller dess position i sidled inom dess körfält, beroende på vad som är tillämpligt.

5.2.3

Det aktiverade systemet ska reglera fordonets hastighet.

5.2.3.1

Den högsta hastighet som systemet får köras med är 60 km/h.

5.2.3.2

Det aktiverade systemet ska anpassa fordonets hastighet till infrastruktur- och miljöförhållanden (t.ex. smala kurvradier, dåligt väder).

5.2.3.3

Det aktiverade systemet ska detektera avståndet till framförvarande fordon enligt definitionen i punkt 7.1.1 och anpassa fordonshastigheten för att undvika kollision.

När fordonet med det automatiska körfältssystemet inte står stilla ska systemet anpassa hastigheten för att justera avståndet till ett framförvarande fordon i samma körfält så att det är lika med eller större än minimiavståndet till framförvarande fordon.

Om det minsta tidsavståndet inte kan iakttas tillfälligt på grund av andra trafikanter (t.ex. vid snäva körfältsbyten, inbromsande framförvarande fordon osv.) ska fordonet justera minimiavståndet till framförvarande fordon vid nästa möjliga tillfälle utan någon hård inbromsning, såvida inte en nödmanöver skulle bli nödvändig.

Minsta avstånd till framförvarande fordon ska beräknas med hjälp av formeln

dmin = vALKS* tfront

där

dmin	=	minsta avstånd till framförvarande fordon
vALKS	=	den aktuella hastigheten på fordonet med det automatiska körfältssystemet i m/s
tfrontv	=	minsta tidsavstånd i sekunder mellan fordonet med det automatiska körfältssystemet och ett framförvarande fordon enligt tabellen nedan:

Den aktuella hastigheten på fordonet med det automatiska körfältssystemet		Minsta tidsavstånd	Minsta avstånd till framförvarande fordon
(km/h)	(m/s)	(s)	(m)
7,2	2,0	1,0	2,0
10	2,78	1,1	3,1
20	5,56	1,2	6,7
30	8,33	1,3	10,8
40	11,11	1,4	15,6
50	13,89	1,5	20,8
60	16,67	1,6	26,7

För hastighetsvärden som inte nämns i tabellen ska linjär interpolering tillämpas.

Oberoende av resultatet av ovanstående formel för aktuella hastigheter på under 2 m/s ska minsta avstånd till framförvarande fordon aldrig vara mindre än 2 m.

5.2.4

Det aktiverade systemet ska kunna bromsa in fordonet tills det stannar helt bakom ett stillastående fordon, en stillastående trafikant eller ett blockerat körfält för att undvika en kollision. Detta ska säkerställas upp till systemets högsta driftshastighet.

5.2.5

Det aktiverade systemet ska detektera risken för kollision, i synnerhet med en annan trafikant framför eller bredvid fordonet, på grund av ett inbromsande framförvarande fordon, ett fordon som gör ett snävt körfältsbyte eller ett hinder som plötsligt dyker upp, och ska automatiskt utföra lämpliga manövrer för att minimera riskerna för fordonspassagerarnas och andra trafikanters säkerhet.

För förhållanden som inte anges i punkterna 5.2.4, 5.2.5 eller de därtill hörande styckena ska detta säkerställas åtminstone till samma riskminimeringsnivå som med en kompetent och försiktig fysisk förare. Detta ska påvisas i den bedömning som utförs enligt bilaga 4 och med vägledning av tillägg 3 till bilaga 4.

5.2.5.1

Det aktiverade systemet ska undvika en kollision med ett framförvarande fordon som bromsar in med sin fulla bromsverkan, under förutsättning att det minimiavstånd till framförvarande fordon till vilket fordonet med det automatiska körfältssystemet skulle justera sin position inte har underskridits vid den aktuella hastigheten på grund av ett snävt körfältsbyte utfört av detta framförvarande fordon.

5.2.5.2

Det aktiverade systemet ska undvika en kollision med ett fordon som gör ett snävt körfältsbyte till det körfält där fordonet med det automatiska körfältssystemet färdas,

a)	under förutsättning att det körfältsbytande fordonet bibehåller sin hastighet i längsgående riktning som är lägre än hastigheten i längsgående riktning hos fordonet med det automatiska körfältssystemet, och

b)	under förutsättning att det körfältsbytande fordonets rörelse i sidled har varit synlig i minst 0,72 sekunder innan referenspunkten för TTCLaneIntrusion uppnås,

när avståndet mellan fordonets framdel och det körfältsbytande fordonets bakdel motsvarar en TTC (tid till kollision) som beräknas med följande ekvation:

där

Vrel	=	den relativa hastigheten mellan båda fordonen; denna är positiv om fordonet färdas snabbare än det körfältsbytande fordonet
TTCLaneIntrusion	=	TTC-värdet när utsidan av däcket på det körfältsbytande fordonets framhjul närmast körfältsmarkeringarna korsar en linje 0,3 m utanför ytterkanten på den synliga körfältsmarkering mot vilken det körfältsbytande fordonet rör sig.

5.2.5.3

Det aktiverade systemet ska undvika en kollision med en oskymd fotgängare som korsar vägen framför fordonet.

I ett scenario med en oskymd fotgängare som korsar vägen med en hastighetskomponent i sidled på högst 5 km/h där den förväntade kontaktpunkten förskjuts med högst 0,2 m jämfört med fordonets längsgående mittplan ska det aktiverade automatiska körfältssystemet undvika en kollision upp till systemets maximala driftshastighet.

5.2.5.4

Det bekräftas att kravet i punkt 5.2.5 kanske inte uppfylls fullständigt under andra förhållanden än de som anges ovan. Systemet ska dock inte avaktiveras eller på orimligt sätt byta kontrollstrategi under sådana andra förhållanden. Detta ska påvisas enligt bilaga 4 till denna föreskrift.

5.3

Nödmanöver (EM)

Att bestämmelserna i denna punkt uppfylls ska påvisas av tillverkaren för den tekniska tjänsten under inspektionen av säkerhetsstrategin som en del av bedömningen enligt bilaga 4 och i enlighet med de relevanta provningarna i bilaga 5.

5.3.1

En nödmanöver ska utföras vid en överhängande kollisionsrisk.

5.3.1.1

Varje begäran i systemet om en retardation i längsgående riktning med mer än 5,0 m/s2 ska anses vara en nödmanöver.

5.3.2

Denna manöver ska bromsa in fordonet upp till dess fulla bromsprestanda om så krävs och/eller kan vid behov utföra en automatisk undanmanöver.

Om fel påverkar systemets broms- eller styrprestanda ska manövern utföras med beaktande av återstående prestanda.

Under undanmanövern får fordonet med det automatiska körfältssystemet inte korsa körfältsmarkeringen (det främre däckets ytterkant i förhållande till körfältsmarkeringens ytterkant).

Efter undanmanövern ska fordonet sträva efter att återfå en stabil position.

5.3.3

En nödmanöver får inte avbrytas, såvida inte den överhängande kollisionsrisken försvinner eller föraren avaktiverar systemet.

5.3.3.1

När nödmanövern är avslutad ska systemet fortsatt vara i drift.

5.3.3.2

Om nödmanövern leder till att fordonet stannar ska signalen för att aktivera varningsblinkrar genereras. Om fordonet automatiskt kör iväg igen ska signalen för att avaktivera varningsblinkrar genereras automatiskt.

5.3.4

Fordonet ska genomföra en logisk signal som indikerar nödbromsning enligt FN-föreskrift nr 13-H.

5.4

Begäran om överlämnande och systemdrift under överlämnandefasen

5.4.1

Det aktiverade systemet ska känna igen alla situationer där det behöver överlämna kontrollen till föraren.

De typer av situationer där fordonet kommer att generera en begäran om överlämnande till föraren ska anges av fordonstillverkaren och ingå i det dokumentationspaket som krävs enligt bilaga 4.

5.4.2

Initieringen av begäran om överlämnande ska vara sådan att tillräcklig tid ges för en säker övergång till manuell körning.

5.4.2.1

I händelse av en planerad händelse som skulle hindra det automatiska körfältssystemet från att fortsätta vara i drift ska en begäran om överlämnande ges tillräckligt tidigt för att säkerställa att riskminimeringsmanövern, om föraren inte skulle återuppta kontrollen, stannar fordonet innan den planerade händelsen inträffar.

5.4.2.2

Vid en oplanerad händelse ska en begäran om överlämnande göras vid upptäckt.

5.4.2.3

I händelse av fel som påverkar systemets funktion ska systemet omedelbart vid upptäckt initiera en begäran om överlämnande.

5.4.3

Under överlämnandefasen ska systemet fortsätta att vara i drift. Systemet får minska fordonets hastighet för att säkerställa en säker körning, men får inte stanna fordonet såvida detta inte krävs på grund av situationen (t.ex. på grund av fordon eller hinder som blockerar fordonets väg) eller om detta föranleds av en haptisk varning enligt punkt 6.4.1 som initieras vid hastigheter på under 20 km/h.

5.4.3.1

När fordonet väl står stilla får det förbli i detta tillstånd och ska generera signalen för att aktivera varningsblinkrar inom 5 s.

5.4.3.2

Under överlämnandefasen ska begäran om överlämnande trappas upp senast 4 s efter det att begäran om överlämnande har initierats.

5.4.4

En begäran om överlämnande ska endast avbrytas när systemet har avaktiverats eller en riskminimeringsmanöver har inletts.

5.4.4.1

Om föraren inte svarar på en begäran om överlämnande genom att avaktivera systemet (enligt beskrivningen i antingen punkt 6.2.4 eller 6.2.5) ska en riskminimeringsmanöver inledas tidigast 10 s efter det att begäran om överlämnande har inletts.

5.4.4.1.1

Oberoende av vad som sägs i punkt 5.4.4.1 får en riskminimeringsmanöver omedelbart inledas vid ett allvarligt fel på det automatiska körfältssystemet eller ett allvarligt fordonsfel.

Vid allvarliga fel på det automatiska körfältssystemet eller på fordonet är det möjligt att det automatiska körfältssystemet inte längre kan uppfylla kraven i denna föreskrift, men det ska ha som mål att på ett säkert sätt överlämna kontrollen till föraren.

5.4.4.1.2

Tillverkaren ska ange vilka typer av allvarliga fordonsfel och fel i det automatiska körfältssystemet som kommer att leda till att det automatiska körfältssystemet omedelbart inleder en riskminimeringsmanöver.

5.5

Riskminimeringsmanöver (MRM)

5.5.1

Under riskminimeringsmanövern ska fordonet saktas ner inne i körfältet eller, om körfältsmarkeringarna inte är synliga, bli kvar på en lämplig bana med hänsyn tagen till omgivande trafik och väginfrastruktur, i syfte att uppnå en begäran om retardation som inte överstiger 4,0 m/s2.

Högre värden på begäran om retardation är tillåtna under mycket korta perioder, t.ex. som haptisk varning för att väcka förarens uppmärksamhet, eller vid allvarliga fel på det automatiska körfältssystemet eller allvarliga fordonsfel.

Dessutom ska signalen för aktivering av varningsblinkrar genereras när riskminimeringsmanövern inleds.

5.5.2

Riskminimeringsmanövern ska stanna fordonet såvida inte systemet avaktiveras av föraren under manövern.

5.5.3

En riskminimeringsmanöver ska inte avslutas förrän systemet har avaktiverats eller fordonet har stannat.

5.5.4

Systemet ska avaktiveras i slutet av varje riskminimeringsmanöver.

Varningsblinkrarna ska fortsatt vara aktiverade såvida de inte avaktiveras manuellt, och fordonet ska inte köra iväg efter att det stannats utan manuella insignaler.

5.5.5

Omaktivering av systemet efter en avslutad riskminimeringsmanöver ska endast vara möjlig efter varje ny start/körning av motorn.

6. ANVÄNDARGRÄNSSNITT/ANVÄNDARINFORMATION

6.1

System för identifiering av förartillgänglighet

Att bestämmelserna i denna punkt uppfylls ska påvisas av tillverkaren för den tekniska tjänsten under inspektionen av säkerhetsstrategin som en del av bedömningen enligt bilaga 4 och i enlighet med de relevanta provningarna i bilaga 5.

6.1.1

I systemet ska ingå ett system för identifiering av förartillgänglighet.

Systemet för identifiering av förartillgänglighet ska upptäcka om föraren är närvarande och i körposition, om förarens säkerhetsbälte är fastspänt och om föraren är tillgänglig för att ta över köruppgiften.

6.1.2

Förarens närvaro

En begäran om överlämnande ska initieras enligt punkt 5.4 om något av följande villkor är uppfyllt:

a)	När det upptäcks att föraren inte sitter i sätet under en period på mer än en sekund, eller

b)	när förarens säkerhetsbälte inte är fastspänt.

Bältespåminnarens nivå 2-varning enligt UN-R16 får användas i stället för den akustiska varningen för begäran om överlämnande.

6.1.3

Förartillgänglighet

Systemet ska detektera om föraren är tillgänglig och i en lämplig körposition för att svara på en begäran om överlämnande genom att övervaka föraren.

Tillverkaren ska på ett för den tekniska tjänsten tillfredsställande sätt påvisa fordonets förmåga att upptäcka att föraren kan ta över köruppgiften.

6.1.3.1

Kriterier för bedömning av förarens tillgänglighet

Föraren ska anses vara otillgänglig såvida inte minst två tillgänglighetskriterier (t.ex. insignaler till den förardedikerade fordonskontrollen, ögonblinkning, ögonstängning, medveten huvud- eller kroppsrörelse) var för sig har fastställt att föraren var tillgänglig under de senaste 30 sekunderna.

Systemet kan när som helst bedöma att föraren inte är tillgänglig.

Så snart som föraren bedöms vara otillgänglig, eller så snart färre än två tillgänglighetskriterier kan övervakas, ska systemet omedelbart tillhandahålla en särskild varning till dess att förarens lämpliga åtgärder detekteras eller till dess att en begäran om överlämnande har initierats. En begäran om överlämnande enligt punkt 5.4 ska initieras senast när denna varning har pågått under 15 s.

En motivering av tillgänglighetskriteriernas antal och kombinationen av dem, särskilt med avseende på motsvarande tidsintervall, ska tillhandahållas av tillverkaren genom dokumenterad bevisning. Det tidsintervall som krävs för ett tillgänglighetskriterium ska dock inte överstiga 30 s. Detta ska påvisas av tillverkaren och bedömas av den tekniska tjänsten enligt bilaga 4.

6.1.4

Andra aktiviteter än körning via bildskärmar ombord som blir tillgängliga när det automatiska körfältssystemet aktiveras ska automatiskt avbrytas i) så snart systemet utfärdar en begäran om överlämnande eller ii) så snart som systemet avaktiveras, beroende på vilket som inträffar först.

6.2

Aktivering, avaktivering och insignaler från föraren

Att bestämmelserna i denna punkt uppfylls ska påvisas av tillverkaren för den tekniska tjänsten under inspektionen av säkerhetsstrategin som en del av bedömningen enligt bilaga 4 och i enlighet med de relevanta provningarna i bilaga 5.

6.2.1

Fordonet ska vara försett med en särskild metod för föraren att aktivera (aktivt läge) och avaktivera (frånläge) systemet. När det automatiska körfältssystemet aktiveras ska metoden för avaktivering av det automatiska körfältssystemet varaktigt vara synlig för föraren.

6.2.2

Förvald status för systemet ska vara frånläge vid varje ny start/körning av motorn.

Detta krav gäller inte om en ny start/körning av motorn utförs automatiskt, t.ex. i start/stopp-system.

6.2.3

Systemet ska endast aktiveras på grund av en avsiktlig åtgärd av föraren och om samtliga av följande villkor är uppfyllda:

a)	Föraren sitter i förarsätet och förarens säkerhetsbälte är fastspänt enligt punkterna 6.1.1 och 6.1.2.

b)	Föraren kan ta över kontrollen av den dynamiska köruppgiften enligt punkt 6.1.3.

c)	Det finns inget fel som påverkar den säkra driften eller funktionen hos det automatiska körfältssystemet.

d)	Datalagringssystemet för automatiserad körning är i drift.

e)	Miljö- och infrastrukturförhållandena möjliggör driften.

f)	Positiv bekräftelse av systemets egenkontroll, och

g)	fordonet befinner sig på vägar där fotgängare och cyklister är förbjudna och som är utformade så att trafik som rör sig i motsatt riktning separeras fysiskt.

Om något av ovanstående villkor inte längre uppfylls ska systemet omedelbart initiera en begäran om överlämnande om inte annat anges i denna föreskrift.

6.2.4

Det ska vara möjligt att manuellt avaktivera (frånläge) systemet genom en avsiktlig åtgärd av föraren på samma sätt som vid aktivering av systemet, såsom nämns i punkt 6.2.1.

Metoden för avaktivering ska skydda mot oavsiktlig manuell avaktivering, t.ex. genom att kräva en enda insignal som överskrider en viss tidströskel eller en dubbel tryckning eller två separata men samtidiga insignaler.

Dessutom ska det säkerställas att föraren har kontroll över fordonet i sidled när systemet avaktiveras, t.ex. genom att placera metoden för avaktivering på styranordningen eller genom att bekräfta att föraren håller i styranordningen.

6.2.5

Utöver punkt 6.2.4 får systemet inte avaktiveras av någon annan insignal från föraren än de som beskrivs i punkterna 6.2.5.1–6.2.5.4.

6.2.5.1

Avaktivering genom insignal till körreglage

Systemet ska avaktiveras om minst ett av följande villkor är uppfyllt:

a)	Föraren åsidosätter systemet genom att styra medan han eller hon håller i styranordningen och detta åsidosättande inte undertrycks, i enlighet med vad som anges i punkt 6.3, eller

b)	föraren håller i styranordningen och åsidosätter systemet genom inbromsning eller acceleration enligt punkt 6.3.1 nedan.

6.2.5.2

Avaktivering under en pågående begäran om överlämnande eller en pågående riskminimeringsmanöver

Om en begäran om överlämnande eller en riskminimeringsmanöver pågår ska systemet endast avaktiveras

a)	på det sätt som anges i punkt 6.2.5.1, eller

b)	vid upptäckt av att föraren har tagit tag i styranordningen som svar på begäran om överlämnande eller riskminimeringsmanövern, under förutsättning att systemet bekräftar att föraren är uppmärksam i den mening som avses i punkt 6.3.1.1.

6.2.5.3

Avaktivering under en pågående nödmanöver

Vid pågående nödmanöver kan avaktiveringen av systemet fördröjas tills den överhängande kollisionsrisken försvinner.

6.2.5.4

Avaktivering vid allvarligt fordonsfel eller ett allvarligt fel i det automatiska körfältssystemet

I händelse av ett allvarligt fordonsfel eller ett allvarligt fel i det automatiska körfältssystemet kan det automatiska körfältssystemet använda olika strategier för avaktivering.

Dessa olika strategier ska anges av tillverkaren och deras effektivitet ska bedömas av den tekniska tjänsten med avseende på säkerställande av ett säkert överlämnande av kontrollen från systemet till den fysiska föraren enligt bilaga 4.

6.2.6

När systemet avaktiveras får det inte finnas någon automatisk övergång till någon funktion som ger en kontinuerlig rörelse av fordonet i längsgående riktning och/eller i sidled (t.ex. en automatisk styrfunktion av kategori B1).

Efter avaktivering kan den korrigerande styrfunktionen (CSF) vara aktiv i syfte att vänja föraren vid att utföra kontrolluppgiften i sidled genom att gradvis minska stödet i sidled.

Oberoende av båda punkterna ovan får inga andra säkerhetssystem som ger stöd i längsgående riktning eller i sidled i överhängande kollisionssituationer (t.ex. avancerade nödbromssystem (AEBS), elektronisk stabilitetskontroll (ESC), bromsassistanssystem (BAS) eller nödstyrningsfunktion (ESF)) avaktiveras vid avaktivering av det automatiska körfältssystemet.

6.2.7

Varje avaktivering ska indikeras för föraren enligt definitionen i punkt 6.4.2.3.

6.3

Åsidosättande av systemet

6.3.1

Förarens insignaler till styranordningen ska åsidosätta systemets styrfunktion i sidled när insignalerna överskrider ett rimligt tröskelvärde som är avsett att förhindra oavsiktligt åsidosättande.

Detta tröskelvärde ska omfatta en specificerad kraft och varaktighet och ska variera beroende på parametrar som innefattar kriterier som används för att kontrollera förarens uppmärksamhet under förarens insignaler enligt definitionen i punkt 6.3.1.1.

Dessa gränsvärden och den logiska grunden för eventuella variationer ska påvisas för den tekniska tjänsten under bedömningen enligt bilaga 4.

6.3.1.1

Förarens uppmärksamhet

Systemet ska detektera om föraren är uppmärksam. Föraren anses vara uppmärksam om minst ett av följande kriterier är uppfyllt:

a)	Förarens blick bekräftas huvudsakligen vara riktad på vägen framåt.

b)	Förarens blick bekräftas vara riktad på backspeglarna, eller

c)	förarens huvudrörelser bekräftas primärt vara riktade mot köruppgiften.

Specifikationen för att bekräfta dessa kriterier eller andra kriterier som är lika säkra ska anges av tillverkaren och styrkas med dokumenterad bevisning. Detta ska bedömas av den tekniska tjänsten enligt bilaga 4.

6.3.2

En förares insignal till bromspedalen som leder till en kraftigare retardation än den som åstadkoms av systemet eller som håller fordonet stillastående med hjälp av något bromssystem ska åsidosätta systemets styrfunktion i längsgående riktning.

6.3.3

Förarens insignal till gaspedalen kan åsidosätta systemets styrfunktion i längsgående riktning. Denna insignal ska dock inte leda till att systemet inte längre uppfyller kraven i denna föreskrift.

6.3.4

Alla insignaler från föraren till gas- eller bromspedalen ska omedelbart initiera en begäran om överlämnande enligt punkt 5.4 när insignalen överskrider ett rimligt tröskelvärde som är avsett att förhindra en oavsiktlig insignal.

6.3.5

Oberoende av bestämmelserna i punkterna 6.3.1–6.3.3 får effekten av förarens insignaler med avseende på någon styranordning minskas eller undertryckas av systemet om systemet har upptäckt en överhängande kollisionsrisk på grund av denna insignal från föraren.

6.3.6

I händelse av ett allvarligt fordonsfel eller ett allvarligt fel i det automatiska körfältssystemet kan det automatiska körfältssystemet använda olika strategier med avseende på åsidosättande av systemet. Dessa olika strategier ska anges av tillverkaren och deras effektivitet ska bedömas av den tekniska tjänsten med avseende på säkerställande av ett säkert överlämnande av kontrollen från systemet till den fysiska föraren.

6.3.7

Att bestämmelserna i punkt 6.3 och de därtill hörande styckena uppfylls ska påvisas av tillverkaren för den tekniska tjänsten under inspektionen av säkerhetsstrategin som en del av bedömningen enligt bilaga 4.

6.4

Information till föraren

6.4.1

Följande information ska visas för föraren:

a)	Systemets status enligt definitionen i punkt 6.4.2.

b)	Varje fel som påverkar systemets funktion med åtminstone en optisk signal såvida inte systemet har avaktiverats (frånläge).

Begäran om överlämnande genom åtminstone en optisk och dessutom en akustisk och/eller haptisk varningssignal.

Senast fyra sekunder efter initieringen av begäran om överlämnande ska denna begäran

i)	åtföljas av en konstant eller periodisk haptisk varning om fordonet inte står stilla, och

ii)	upptrappas och förbli upptrappad tills begäran om överlämnande upphör.

d)	Riskminimeringsmanöver genom minst en optisk signal och dessutom en akustisk och/eller haptisk varningssignal.

e)	Nödmanöver med en optisk signal.

De optiska signalerna ovan ska vara lämpliga med avseende på storlek och kontrast. De akustiska signalerna ovan ska vara kraftiga och tydliga.

6.4.2

Systemstatus

6.4.2.1

Indikering att systemet inte är tillgängligt

Om förarens avsiktliga aktivering av systemet nekas av systemet på grund av att det inte är tillgängligt, ska detta indikeras åtminstone visuellt för föraren.

6.4.2.2

Visning av systemstatus när systemet är aktiverat

Vid aktivering ska systemets status (aktivt läge) visas genom en särskild optisk signal till föraren.

Den optiska signalen ska innehålla en otvetydig indikation som omfattar

a)	en styranordning eller ett fordon jämte ett ”A” eller ”AUTO”, eller de standardiserade symbolerna i enlighet med FN-föreskrift nr 121, och dessutom

b)	en lätt märkbar indikation i det perifera synfältet som är placerad nära förarens direkta synlinje utåt framför fordonet, t.ex. en framträdande indikation i instrumentklustret eller på styranordningen som täcker en del av den yttre randens omkrets som är vänd mot föraren.

Den optiska signalen ska indikera att systemet är aktivt till dess att systemet avaktiveras (frånläge).

Den optiska signalen ska vara konstant medan systemet är i normal drift och när en begäran om överlämnande initieras ska åtminstone indikationen enligt b) ändra sina egenskaper, t.ex. till en periodiskt återkommande signal eller en annan färg.

När en periodiskt återkommande signal används ska en låg frekvens användas för att inte i orimligt hög grad dra till sig förarens uppmärksamhet.

Under överlämnandefasen och riskminimeringsmanövern kan indikationen enligt a) ersättas av en instruktion att manuellt ta över kontrollen enligt punkt 6.4.3.

6.4.2.3

Visning av systemstatus när systemet är avaktiverat

Vid avaktivering när systemets status ändras från aktivt läge till frånläge ska detta indikeras för föraren genom åtminstone en optisk varningssignal. Denna optiska signal ska realiseras genom att inte visa den optiska signal som används för att indikera det aktiva läget eller att inte visa instruktionen att manuellt ta över kontrollen.

Dessutom ska en akustisk varningssignal ges om inte systemet avaktiveras efter en begäran om överlämnande som innehöll en akustisk signal.

6.4.3

Överlämnandefas och riskminimeringsmanöver

Under överlämnandefasen och riskminimeringsmanövern ska systemet instruera föraren på ett intuitivt och otvetydigt sätt att manuellt ta över kontrollen av fordonet. Denna instruktion ska bestå av bildinformation som visar händer och styranordningen, och kan åtföljas av kompletterande förklarande text eller varningssymboler som visas i exemplet nedan.

6.4.3.2

I och med inledningen av riskminimeringsmanövern ska den signal som ges ändra sina egenskaper för att betona hur akut det är att föraren vidtar en åtgärd, t.ex. genom att styranordningen blinkar i rött och genom att flytta händerna i bildinformationen.

6.4.4

När det gäller de exempel som ges ovan får i stället ett lämpligt och lika märkbart gränssnitt användas för de optiska signalerna. Detta ska påvisas av tillverkaren och styrkas med dokumenterad bevisning. Detta ska bedömas av den tekniska tjänsten enligt bilaga 4.

6.4.5

Prioritering av varningar avseende det automatiska körfältssystemet

Varningarna från ett automatiskt körfältssystem under en överlämnandefas, en riskminimeringsmanöver eller en nödmanöver kan prioriteras framför andra varningar i fordonet.

Prioriteringen av olika akustiska och optiska varningar när det automatiska körfältssystemet är i drift ska anges av tillverkaren för den tekniska tjänsten under typgodkännandet.

7. DETEKTION AV OCH REAKTION PÅ FÖREMÅL OCH HÄNDELSER (OBJECT AND EVENT DETECTION AND RESPONSE, OEDR)

7.1

Avkänningskrav

Att bestämmelserna i denna punkt uppfylls ska påvisas av tillverkaren för den tekniska tjänsten under inspektionen av säkerhetsstrategin som en del av bedömningen enligt bilaga 4 och i enlighet med de relevanta provningarna i bilaga 5.

Fordonet med det automatiska körfältssystemet ska vara utrustat med ett avkänningssystem som åtminstone kan fastställa körmiljön (t.ex. den framförvarande vägens geometri, körfältsmarkeringar) och trafikdynamiken

a)	över det egna körfältets hela bredd samt hela bredden hos körfälten omedelbart till vänster och till höger, upp till gränsen för detekteringsräckvidden framåt,

b)	utmed fordonets hela längd och upp till gränsen för detekteringsräckvidden i sidled.

Kraven i denna punkt påverkar inte andra krav i denna föreskrift, i synnerhet punkt 5.1.1.

7.1.1

Detekteringsräckvidden framåt

Tillverkaren ska ange den detekteringsräckvidd framåt som uppmätts från fordonets främsta punkt. Detta angivna värde ska vara minst 46 meter.

Den tekniska tjänsten ska kontrollera att det avstånd på vilket fordonets avkänningssystem detekterar en trafikant under den relevanta provningen i bilaga 5 är lika med eller större än det angivna värdet.

7.1.2

Detekteringsräckvidden i sidled

Tillverkaren ska ange detekteringsräckvidden i sidled. Den angivna räckvidden ska vara tillräckligt stor för att täcka hela bredden av körfältet omedelbart till vänster och körfältet omedelbart till höger om fordonet.

Den tekniska tjänsten ska kontrollera att fordonets avkänningssystem detekterar fordon under den relevanta provningen i bilaga 5. Denna räckvidd ska vara lika med eller större än den angivna räckvidden.

7.1.3

Det automatiska körfältssystemet ska genomföra strategier för att detektera och kompensera för miljöförhållanden som minskar detekteringsräckvidden, t.ex. förhindra att systemet aktiveras, stänga av systemet och överlämna kontrollen över fordonet till föraren, samt minska hastigheten när sikten är för dålig. Dessa strategier ska beskrivas av tillverkaren och bedömas enligt bilaga 4.

7.1.4

Fordonstillverkaren ska styrka att effekterna av slitage och åldrande inte minskar avkänningssystemets prestanda till under det obligatoriska minimivärde som anges i punkt 7.1 under systemets/fordonets livslängd.

7.1.5

Uppfyllandet av kraven i punkt 7.1 och dess stycken ska påvisas för den tekniska tjänsten och provas enligt de relevanta provningarna i bilaga 5.

7.1.6

En enskild felaktig uppfattning utan fel ska inte orsaka en farlig händelse. De konstruktionsstrategier som införts ska beskrivas av fordonstillverkaren och deras säkerhet ska påvisas på ett sätt som tillfredsställer den tekniska tjänsten i enlighet med bilaga 4.

8. DATALAGRINGSSYSTEM FÖR AUTOMATISERAD KÖRNING

8.1

Varje fordon som är utrustat med det automatiska körfältssystemet (systemet) ska vara försett med ett datalagringssystem för automatiserad körning som uppfyller de krav som anges nedan. Att bestämmelserna i punkt 8 uppfylls ska påvisas av tillverkaren för den tekniska tjänsten under inspektionen av säkerhetsstrategin som en del av bedömningen enligt bilaga 4.

Denna föreskrift påverkar inte tillämpningen av nationell och regional lagstiftning om tillgång till uppgifter, integritet och uppgiftsskydd.

8.2

Registrerade händelser

8.2.1

Varje fordon som är utrustat med ett datalagringssystem för automatiserad körning ska åtminstone registrera en post för var och en av följande händelser när systemet aktiveras:

a)	Systemets aktivering.

Avaktivering av systemet på grund av

i)	användning av en särskild metod för föraren att avaktivera systemet,

ii)	åsidosättande av styranordningen,

iii)	åsidosättande av gaspedalen samtidigt som kontroll över styrningen behålls,

iv)	åsidosättande av bromspedalen samtidigt som kontroll över styrningen behålls.

Begäran om överlämnande från systemet på grund av

i)	planerad händelse,

ii)	oplanerad händelse,

iii)	att föraren inte är tillgänglig (enligt punkt 6.1.3),

iv)	att föraren inte är närvarande eller inte fastspänd (enligt punkt 6.1.2),

v)	systemfel,

vi)	systemåsidosättande genom inbromsning,

vii)	systemåsidosättande genom acceleration.

d)	Minskning eller undertryckande av förarens insignaler.

e)	Inledning av nödmanöver.

f)	Avslutning av nödmanöver.

g)	Den svarta lådan (EDR) ger upphov till insignaler.

h)	Inblandning i en detekterad kollision.

i)	Systemet aktiverar en riskminimeringsmanöver.

j)	Allvarligt fel i det automatiska körfältssystemet.

k)	Allvarligt fordonsfel.

8.3

Dataelement

8.3.1

För varje händelse som förtecknas i punkt 8.2 ska datalagringssystemet för automatiserad körning åtminstone registrera följande dataelement på ett tydligt identifierbart sätt:

a)	Den händelseflagga som anges i punkt 8.2.

b)	Skäl till händelsen, i lämpliga fall, enligt vad som anges i punkt 8.2.

c)	Datum (Tidsupplösning: åååå/mm/dd).

Tidsstämpel:

i)	Tidsupplösning: tt/mm/ss tidszon, t.ex. 12:59:59 UTC.

ii)	Noggrannhet: ±1,0 s.

8.3.2

För varje händelse som förtecknas i punkt 8.2 ska R157SWIN för det automatiska körfältssystemet, eller de programvaruversioner som är relevanta för det automatiska körfältssystemet, och som anger vilken programvara som användes vid den tidpunkt då händelsen inträffade, vara tydligt identifierbara.

8.3.3

En enda tidsstämpel kan tillåtas för flera element som registrerats samtidigt inom de specifika dataelementens tidsupplösning. Om mer än ett element registreras med samma tidsstämpel ska informationen från de enskilda elementen ange den kronologiska ordningen.

8.4

Datatillgänglighet

8.4.1

Uppgifterna i datalagringssystemet för automatiserad körning ska vara tillgängliga med förbehåll för kraven i nationell och regional lagstiftning (3).

8.4.2

När lagringsgränserna för datalagringssystemet för automatiserad körning har uppnåtts ska de befintliga uppgifterna endast skrivas över efter ett urvalsförfarande som bygger på att de äldsta uppgifterna skrivs över först, med principen att de relevanta kraven för tillgång till uppgifter ska iakttas.

Dokumenterad bevisning rörande lagringskapaciteten ska tillhandahållas av fordonstillverkaren.

8.4.3

Det ska vara möjligt att få tillgång till uppgifterna även efter en kollision med en allvarlighetsgrad som fastställs i FN-föreskrifterna nr 94, 95 eller 137. Om fordonets huvudsakliga strömförsörjning ombord inte är tillgänglig ska det fortfarande vara möjligt att ta fram alla uppgifter som registrerats i datalagringssystemet för automatiserad körning, i enlighet med kraven i nationell och regional lagstiftning.

8.4.4

Uppgifter som lagras i datalagringssystemet för automatiserad körning ska vara lätta att avläsa på ett standardiserat sätt genom användning av ett elektroniskt kommunikationsgränssnitt, åtminstone via det standardiserade gränssnittet (OBD-port).

8.4.5

Tillverkaren ska tillhandahålla anvisningar om hur man får tillgång till uppgifterna.

8.5

Skydd mot manipulation

8.5.1

Det ska säkerställas att det finns tillräckligt skydd mot manipulation (t.ex. radering av data) av lagrade data, såsom en utformning som förhindrar manipulation.

8.6

Tillgängligheten av datalagringssystemet för automatiserad körning

8.6.1

Datalagringssystemet för automatiserad körning ska kunna kommunicera med systemet för att informera om att datalagringssystemet för automatiserad körning är i drift.

9. IT-SÄKERHET OCH PROGRAMVARUUPPDATERINGAR

9.1

Effektiviteten hos systemet får inte påverkas negativt av it-angrepp, it-hot och sårbarheter. Säkerhetsåtgärdernas effektivitet ska påvisas genom överensstämmelse med FN-föreskrift nr 155.

9.2

Om systemet tillåter programvaruuppdateringar ska programuppdateringsförfarandenas och programuppdateringsprocessernas effektivitet påvisas genom överensstämmelse med FN-föreskrift nr 156.

9.3

Krav för programvaruidentifiering

9.3.1

För att säkerställa att systemets programvara kan identifieras får fordonstillverkaren genomföra ett R157SWIN. Om ett R157SWIN inte genomförs ska ett alternativt system för programvaruidentifiering (dvs. programvaruversion) genomföras.

9.3.2

Om tillverkaren genomför ett R157WIN ska följande gälla:

9.3.2.1

Fordonstillverkaren ska ha ett giltigt godkännande i enlighet med FN-föreskrift nr 156 (programvaruuppdateringsföreskriften).

9.3.2.2

Fordonstillverkaren ska tillhandahålla följande information i meddelandeblanketten i denna föreskrift:

R157SWIN

b)	Hur R157SWIN avläses (eller programvaruversionen om R157SWIN inte anges i fordonet)

9.3.2.3

Fordonstillverkaren får i meddelandeblanketten i denna föreskrift tillhandahålla en förteckning över de relevanta parametrar som gör det möjligt att identifiera de fordon som kan uppdateras med den programvara som representeras av det relevanta R157SWIN. Den information som tillhandahålls ska anges av fordonstillverkaren och kontrolleras eventuellt inte av en godkännandemyndighet.

9.3.3

Fordonstillverkaren kan erhålla ett nytt fordonsgodkännande för att särskilja de programvaruversioner som är avsedda att användas i fordon som redan är registrerade på marknaden från de programvaruversioner som används i nya fordon. Detta kan omfatta situationer där bestämmelserna om typgodkännande uppdateras eller ändringar görs av maskinvaran i serietillverkade fordon. Enligt överenskommelse med provningsorganet ska dubbla provningar undvikas om så är möjligt.

10. ÄNDRING AV FORDONSTYP OCH UTÖKNING AV TYPGODKÄNNANDE

10.1

Varje ändring av en befintlig fordonstyp ska anmälas till den typgodkännandemyndighet som godkände fordonstypen.

Myndigheten ska sedan antingen

a)	i samråd med tillverkaren besluta att ett nytt typgodkännande ska beviljas, eller

b)	tillämpa förfarandet i punkt 10.1.1 (Revidering) och, i tillämpliga fall, förfarandet i punkt 10.1.2 (Utökning).

10.1.1

Revidering

Om uppgifter i informationsdokumenten har ändrats och typgodkännandemyndigheten anser att ändringarna sannolikt inte kommer att få några märkbara negativa effekter och att pedalerna i vilket fall som helst fortfarande uppfyller kraven, ska ändringen betecknas som en revidering.

Typgodkännandemyndigheten ska då i nödvändig utsträckning utfärda de reviderade bladen i informationsdokumenten, och på varje reviderat blad tydligt markera vilket slag av ändring det rör sig om och vilket datum det nya bladet utfärdats.

En konsoliderad, uppdaterad version av informationsdokumenten tillsammans med en detaljerad beskrivning av ändringen ska anses uppfylla detta krav.

10.1.2

Utökning

Ändringen ska betecknas som en utökning om något av följande förhållanden råder, utöver ändringen av uppgifterna i informationsdokumenten:

a)	Om det krävs ytterligare kontroller eller provningar, eller

b)	om några uppgifter i meddelandedokumentet (med undantag för bilagorna) har ändrats, eller

c)	om godkännande enligt en senare ändringsserie begärs efter att den ändringsserien har trätt i kraft.

10.2

De parter i överenskommelsen som tillämpar denna föreskrift ska med hjälp av det förfarande som anges i punkt 4.3 underrättas om huruvida godkännande har beviljats eller ej, och ska då också få information om vilken ändring som gjorts. Dessutom ska indexet till informationsdokumenten och provningsrapporterna, som ska bifogas meddelandeformuläret i bilaga 1, ändras så att datumet för den senaste revideringen eller utökningen anges.

10.3

Den behöriga myndighet som utfärdar utökningen av godkännandet ska ge varje meddelandeformulär som upprättas för en sådan utökning ett serienummer.

11. PRODUKTIONSÖVERENSSTÄMMELSE

11.1

Förfarandena för produktionsöverensstämmelse ska motsvara de som anges i tillägg 1 till 1958 års överenskommelse (E/ECE/TRANS/505/Rev.3) och ska uppfylla följande krav:

11.2

Ett fordon som godkänts enligt denna föreskrift ska vara tillverkat så att det överensstämmer med den godkända typen genom att kraven i denna föreskrift uppfylls.

11.3

Den typgodkännandemyndighet som beviljat godkännandet får när som helst granska de metoder för kontroll av överensstämmelse som tillämpas på varje produktionsenhet. Sådan granskning ska normalt ske en gång vartannat år.

12. PÅFÖLJDER VID BRISTANDE PRODUKTIONSÖVERENSSTÄMMELSE

12.1

Ett godkännande av en fordonstyp som beviljats enligt denna föreskrift får återkallas om kraven i punkt 8 inte är uppfyllda.

12.2

Om en part i överenskommelsen återkallar ett godkännande som den tidigare har beviljat, ska den genast meddela övriga parter i överenskommelsen som tillämpar denna föreskrift detta med hjälp av ett meddelandeformulär som överensstämmer med mallen i bilaga 1 till denna föreskrift.

13. SLUTGILTIGT UPPHÖRANDE AV PRODUKTIONEN

13.1

En innehavare av ett godkännande som helt upphör med sin tillverkning av en fordonstyp som godkänts i enlighet med denna föreskrift ska meddela detta till den typgodkännandemyndighet som beviljade godkännandet, vilken i sin tur genast ska meddela övriga parter i överenskommelsen som tillämpar denna föreskrift detta med hjälp av ett meddelandeformulär som överensstämmer med mallen i bilaga 1 till denna föreskrift.

13.2

Tillverkningen anses inte definitivt ha upphört om fordonstillverkaren avser att erhålla ytterligare godkännanden för programvaruuppdateringar för fordon som redan är registrerade på marknaden.

14. NAMN PÅ OCH ADRESS TILL TYPGODKÄNNANDEMYNDIGHETER OCH DE TEKNISKA TJÄNSTER SOM ANSVARAR FÖR ATT UTFÖRA GODKÄNNANDEPROVNINGAR

De parter i överenskommelsen som tillämpar denna föreskrift ska meddela Förenta nationernas sekretariat (4) namn på och adress till de tekniska tjänster som ansvarar för att utföra godkännandeprovningar och de typgodkännandemyndigheter som beviljar godkännande och till vilka formulär om beviljat, utökat, ej beviljat eller återkallat godkännande ska sändas.

(2) De särskiljande numren för parterna i 1958 års överenskommelse återges i bilaga 3 till den konsoliderade resolutionen om fordonskonstruktion (R.E.3), dokument ECE/TRANS/WP.29/78/Rev. 6 – www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29resolutions.html

(3) Anm.: På grundval av en nyligen genomförd kvantitativ studie utförd av en part i överenskommelsen anser GRVA att texten anger att flera specifikationer för tidsstämplar på 2 500 tidsstämplar motsvarar en användningsperiod på sex månader.

(4) Genom den onlineplattform (”/343 Application”) som Unece tillhandahåller och som är avsedd för utbyte av sådan information: https://www.unece.org/trans/main/wp29/datasharing.html

BILAGA 1

Meddelande

(maximiformat: A4 [210 × 297 mm])

(1)

Utfärdat av:

Myndighetens namn:

…

Avseende (2):

Beviljat godkännande

Utökat godkännande

Ej beviljat godkännande

Återkallat godkännande

Slutgiltigt upphörande av produktionen

för en fordonstyp med avseende på automatiskt körfältssystem enligt FN-föreskrift nr 157.

Godkännande nr …

Skäl till utökningen eller revideringen: …

Fordonets handelsnamn eller varumärke: …

Fordonstyp: …

Tillverkarens namn och adress: …

Namn på och adress till tillverkarens eventuella ombud: …

Allmänna uppgifter om fordonets konstruktion:

5.1

Foton och/eller ritningar av ett representativt fordon: …

Beskrivning och/eller ritning av det automatiska körfältssystemet inklusive följande:

6.1

Specificerad högsta hastighet för det automatiska körfältssystemet enligt tillverkarens uppgifter: …

6.2

Avkänningssystem (inkl. komponenter): …

6.3

Installation av det automatiska körfältssystemets avkänningssystem: …

6.4

Programvaruidentifiering för det automatiska körfältssystemet (om tillämpligt): …

Skriftlig beskrivning och/eller ritning av användargränssnittet för det automatiska körfältssystemet, inklusive följande:

7.1

Metoder för att upptäcka förarens tillgänglighet …

7.2

Metod att aktivera, avaktivera och åsidosätta systemet …

7.3

Metoder för att fastställa förarens uppmärksamhet …

7.4

Eventuella systembegränsningar på grund av miljö- eller vägförhållanden…

Skriftlig beskrivning och/eller ritning av den information som ges till föraren, inklusive följande:

8.1

Systemstatus: …

8.2

Begäran om överlämnande: …

8.3

Riskminimeringsmanöver: …

8.4

Nödmanöver: …

Datalagringssystem för automatiserad körning (DSSAD):

9.1

Prestandan hos datalagringssystemet för automatiserad körning har verifierats efter de provningar som utförts enligt bilaga 5: … ja/nej

9.2

Dokumentationen om datalagringssystemet för automatiserad körning med avseende på dataåtkomst, egenkontroll av dataintegriteten och skydd mot manipulation av lagrade uppgifter har verifierats: ja/nej

10.

It-säkerhet och programvaruuppdateringar

10.1

Typgodkännandenummer för it-säkerhet (i förekommande fall): …

10.2

Typgodkännandenummer för programvaruuppdatering (om tillämpligt): …

11.

Särskilda krav på säkerhetsaspekter hos elektroniska kontrollsystem (Bilaga 4)

11.1

Tillverkarens dokumentreferens för bilaga 4 (inklusive versionsnummer): …

11.2

Formulär för informationsdokument (tillägg 2 till bilaga 4) …

12.

Teknisk tjänst som ansvarar för att utföra godkännandeprovningar: …

12.1

Datum för rapporten som denna tjänst utfärdat: …

12.2

(Referens)nummer på rapporten som denna tjänst utfärdat: …

13.

Godkännande beviljat/utökat/ej beviljat/återkallat2

14.

Godkännandemärkets placering på fordonet: …

15.

Ort: …

16.

Datum: …

17.

Underskrift: …

18.

Som bilaga till detta meddelande bifogas en förteckning över handlingar i registret för godkännanden som deponerats vid de myndighetsavdelningar som har utfärdat godkännandet. Denna förteckning kan erhållas på begäran.

Ytterligare information

19.

R157SWIN: …

19.1

Information om hur R157SWIN avläses (eller programvaruversionen om R157SWIN inte anges i fordonet): …

19.2

Ange i tillämpliga fall relevanta parametrar som gör det möjligt att identifiera de fordon som kan uppdateras med den programvara som representeras av R157SWIN i punkt 19.1: …

(1) Särskiljande nummer för det land som beviljat/utökat/ej beviljat/återkallat godkännandet (se bestämmelserna om godkännande i FN-föreskrift nr 157).

(2) Stryk det som inte är tillämpligt.

Tillägg

Tillägg till typgodkännandemeddelande nr … om typgodkännande av en fordonstyp med avseende på automatiska körfältssystem enligt föreskrift nr 157

Ytterligare information

Regioner för parterna i överenskommelsen där fordonstillverkaren har angett att det automatiska körfältssystemet har bedömts uppfylla lokala trafikregler:

Land	Bedömt	Kommentarer till eventuella begränsningar
E 1 Tyskland	Ja/Nej
E 2 Frankrike
E 3 Italien
E 4 Nederländerna
E 5 Sverige
E 6 Belgien
E 7 Ungern
E 8 Tjeckien
E 9 Spanien
E 10 Serbien
E 11 Förenade kungariket
E 12 Österrike
E 13 Luxemburg
E 14 Schweiz
E 16 Norge
E 17 Finland
E 18 Danmark
E 19 Rumänien
E 20 Polen
E 21 Portugal
E 22 Ryssland
E 23 Grekland
E 24 Irland
E 25 Kroatien
E 26 Slovenien
E 27 Slovakien
E 28 Belarus
E 29 Estland
E 30 Moldavien
E 31 Bosnien och Hercegovina
E 32 Lettland
E 34 Bulgarien
E 35 Kazakstan
E 36 Litauen
E 37 Turkiet
E 39 Azerbajdzjan
E 40 Nordmakedonien
E 43 Japan
E 45 Australien
E 46 Ukraina
E 47 Sydafrika
E 48 Nya Zeeland
E 49 Cypern
E 50 Malta
E 51 Republiken Korea
E 52 Malaysia
E 53 Thailand
E 54 Albanien E 55 Armenien
E 56 Montenegro
E 57 San Marino
E 58 Tunisien
E 60 Georgien
E 62 Egypten
E 63 Nigeria
[E 64 Pakistan]
(*)

(*) Förteckningen över de parter i överenskommelsen som tillämpar FN-föreskrift nr 157 finns att tillgå på: https://treaties.un.org/Pages/ViewDetails.aspx?src=TREATY&mtdsg_no=XI-B-16-15[X]&chapter=11&clang=_en

BILAGA 2

Godkännandemärkenas utformning

MODELL A

(Se punkt 4.4 i denna föreskrift)

a = minst 8 mm

Ovanstående godkännandemärke anbringat på ett fordon visar att fordonstypen i fråga, med avseende på det automatiska körfältssystemet, har blivit godkänd i Nederländerna (E 4) enligt FN-föreskrift nr 157 med godkännandenummer 002439. Godkännandenumret anger att godkännande beviljats i enlighet med kraven i FN-föreskrift nr 157 i dess ursprungliga lydelse.

MODELL B

(Se punkt 4.5 i denna föreskrift)

a = minst 8 mm

Ovanstående godkännandemärke anbringat på ett fordon visar att fordonstypen i fråga godkänts i Nederländerna (E 4) enligt föreskrifterna nr 157 och nr 31 (1). Godkännandenumren anger att på de datum när respektive godkännanden beviljades hade FN-föreskrift nr 157 sin ursprungliga lydelse, medan FN-föreskrift nr 31 var ändrad enligt ändringsserie 02.

(1) Det andra numret ges endast som exempel.

BILAGA 3

(Reserverad)

BILAGA 4

Särskilda krav som ska tillämpas på funktions- och driftssäkerhetsaspekterna hos automatiska körfältssystem (ALKS)

1. ALLMÄNT

Syftet med denna bilaga är att säkerställa att tillverkaren under konstruktions- och utvecklingsprocesserna har gjort en godtagbar grundlig bedömning av funktions- och driftssäkerheten hos det automatiska system som tillhandahåller de funktioner som regleras i föreskriften om automatiska körfältssystem och att denna bedömning kommer att fortsätta att utföras under fordonstypens hela livscykel (konstruktion, utveckling, produktion, drift, avveckling).

Den omfattar den dokumentation som tillverkaren måste lämna in till typgodkännandemyndigheten eller den tekniska tjänst som agerar på dess vägnar (nedan kallad typgodkännandemyndigheten) i typgodkännandesyfte.

Denna dokumentation ska påvisa att det automatiska körfältssystemet uppfyller de prestandakrav som anges i denna FN-föreskrift, och att det har konstruerats och utvecklats för att fungera på ett sådant sätt att det är fritt från orimliga säkerhetsrisker för föraren, passagerarna och andra trafikanter.

Den typgodkännandemyndighet som beviljar godkännandet ska genom riktade stickprovskontroller och provningar kontrollera att de argument som förs fram i dokumentationen är tillräckligt starka och att den konstruktion och de processer som beskrivs i dokumentationen faktiskt genomförs av tillverkaren.

Med utgångspunkt i den dokumentation, de bevis och de processkontroller/produktutvärderingar som utförts på ett för typgodkännandemyndigheten tillfredsställande sätt med avseende på denna föreskrift, anses den kvarstående risknivån hos det bedömda automatiska körfältssystemet vara godtagbar för fordonstypens ibruktagande, men den totala fordonssäkerheten under det automatiska körfältssystemets livslängd i enlighet med kraven i denna föreskrift faller fortsatt inom ansvarsområdet för den tillverkare som har begärt typgodkännandet.

2. DEFINITIONER

I denna bilaga gäller följande definitioner:

2.1

systemet: ett system för elektronisk styrning på hög nivå och dess elektroniska kontrollsystem som tillhandahåller den automatiska körfunktionen. Detta omfattar även alla överföringslänkar till eller från andra system som inte omfattas av denna föreskrift och som har en inverkan på den automatiska körfältsfunktionen.

2.2

säkerhetskoncept: en beskrivning av de åtgärder som har byggts in i systemet, till exempel inom de elektroniska enheterna, så att fordonet fungerar på ett sådant sätt att det är fritt från orimliga säkerhetsrisker för föraren, passagerarna och andra trafikanter i händelse av fel och under felfria förhållanden. Möjligheten att övergå till partiell drift eller ett reservsystem för vitala fordonsfunktioner ska ingå i säkerhetskonceptet.

2.3

2.4

elektroniska styrsystem på högre nivå: system som använder process- och/eller avkänningslösningar för att utföra den dynamiska köruppgiften.

2.5

enheter: de minsta uppdelningar av systemkomponenter som är av intresse i denna bilaga, eftersom kombinationer av komponenter kommer att betraktas som individuella enheter för identifiering, analys eller byte.

2.6

transmissionslänkar: anordningar som används för att koppla samman utspridda enheter i syfte att överföra signaler, driftsdata eller energi. Denna utrustning är normalt elektrisk men kan delvis vara mekanisk, pneumatisk eller hydraulisk.

2.7

kontrollintervall: det intervall för en utsignalvariabel över vilket systemet sannolikt kan utöva kontroll.

2.8

gräns för funktionell drift: de yttre fysiska gränser inom vilka systemet kan utföra de dynamiska köruppgifterna (dvs. inklusive begäranden om överlämnande och riskminimeringsmanövrer).

2.9

det automatiska körfältssystemets planerade driftsmiljö, ODD): denna fastställer de specifika driftsförhållandena (t.ex. miljömässiga, geografiska, tidsmässiga, trafikmässiga och infrastrukturrelaterade förhållanden samt hastighetsintervall, väderförhållanden och andra förhållanden) inom de ramar som fastställs i denna föreskrift, under vilka det automatiska körfältssystemet är utformat att fungera utan något ingripande från föraren.

2.10

automatiserad körfunktion: en funktion i systemet som kan utföra fordonets dynamiska köruppgift.

2.11

kontrollstrategi: en strategi för att säkerställa en stabil och säker drift av systemets funktion eller funktioner som svar på en specifik uppsättning omgivnings- och/eller driftsförhållanden (t.ex. vägbeläggningens skick, trafikintensitet och andra trafikanter, ogynnsamma väderförhållanden, osv.). Detta kan inbegripa automatisk avaktivering av en funktion eller tillfälliga funktionsbegränsningar (t.ex. en minskning av den maximala driftshastigheten, osv.).

2.12

funktionell säkerhet: avsaknad av orimliga risker vid förekomst av faror orsakade av ett funktionsfel i elektriska/elektroniska system (säkerhetsrisker till följd av systemfel).

2.13

fel: onormala förhållanden som kan orsaka att ett element (system, komponent, programvara) eller ett föremål (system eller en kombination av system som genomför en fordonsfunktion) misslyckas.

2.14

funktionsfel: upphörande av en avsedd funktion hos ett element eller en produkt.

2.15

driftssäkerhet: frånvaro av orimlig risk vid förekomst av faror till följd av funktionsbrister i den avsedda funktionen (t.ex. oriktig/missad detektion), driftsstörningar (t.ex. miljöförhållanden såsom dimma, regn, skuggor, solljus, infrastruktur) eller genom rimligen förutsebar felaktig användning eller rimligen förutsebara fel från förarens, passagerarnas och andra trafikanters sida (säkerhetsrisker – utan systemfel).

2.16

orimlig risk: den övergripande risknivån för förare, passagerare och andra trafikanter, som är förhöjd jämfört med ett kompetent och försiktigt kört manuellt fordon.

3. DOKUMENTATION

3.1

Krav

Tillverkaren ska tillhandahålla ett dokumentationspaket där det redogörs för systemets grundläggande konstruktion och för hur det är kopplat till de andra fordonssystemen eller hur det direkt kontrollerar utsignalvariablerna.

Systemets funktion eller funktioner, inklusive kontrollstrategierna och säkerhetskonceptet, enligt tillverkarens konstruktion ska förklaras.

Dokumentationen ska vara kortfattad men innehålla belägg för att konstruktionen och utvecklingen har utnyttjat sakkunskap från alla områden som systemet berör.

För regelbundet återkommande tekniska inspektioner ska det i dokumentationen beskrivas hur systemets aktuella driftsstatus kan kontrolleras.

nformation om hur programvaruversion och funktionsfelvarningssignalens status kan läsas på ett standardiserat sätt genom användning av ett elektroniskt kommunikationsgränssnitt, åtminstone standardgränssnittet (OBD-port).

Typgodkännandemyndigheten ska bedöma om dokumentationspaketet visar att systemet

a)	är konstruerat och har utvecklats för att fungera på ett sådant sätt att det inte medför orimliga risker för förare, passagerare och andra trafikanter inom den planerade driftsmiljön och de planerade gränserna,

b)	uppfyller de prestandakrav som anges på annat håll i denna FN-föreskrift,

c)	har utvecklats enligt den utvecklingsprocess eller utvecklingsmetod som anges av tillverkaren, och att detta omfattar åtminstone de steg som anges i punkt 3.4.4.

3.1.1

Dokumentationen ska bestå av följande tre delar:

a)	Ansökan om typgodkännande: Det informationsdokument som lämnas in till typgodkännandemyndigheten vid tidpunkten för ansökan om typgodkännande ska innehålla kortfattad information om de punkter som förtecknas i tillägg 2. Det kommer att bli en del av godkännandet.

Det formella dokumentationspaketet för godkännandet, med det material som anges i denna punkt 3 (med undantag för vad som anges i punkt 3.4.4), vilket ska lämnas in till typgodkännandemyndigheten i syfte att genomföra produktutvärderingen/processkontrollen. Typgodkännandemyndigheten kommer att använda dokumentationspaketet som den grundläggande referensen för det kontrollförfarande som beskrivs i punkt 4 i denna bilaga. Typgodkännandemyndigheten ska säkerställa att detta dokumentationspaket förblir tillgängligt under en period på minst tio år räknat från den tidpunkt då produktionen av fordonstypen definitivt upphör.

Ytterligare konfidentiellt material och konfidentiella analysuppgifter (immateriella rättigheter) i punkt 3.4.4 som ska bevaras av tillverkaren, men som ska göras tillgängliga för inspektion (t.ex. på plats i tillverkarens konstruktionsanläggningar) vid tidpunkten för produktutvärderingen/processkontrollen. Tillverkaren ska säkerställa att materialet och analyserna förblir tillgängliga under en period på minst tio år räknat från den tidpunkt då produktionen av fordonstypen definitivt upphör.

3.2

Beskrivning av systemets funktioner inklusive kontrollstrategier

En beskrivning ska tillhandahållas som ger en enkel förklaring av alla funktioner, inklusive systemets kontrollstrategier och de metoder som används för att utföra de dynamiska köruppgifterna inom den planerade driftsmiljön och de gränser inom vilka det automatiska körfältssystemet är konstruerat att vara i drift, inklusive en redogörelse för den eller de mekanismer genom vilka kontrollen utövas. Tillverkaren ska beskriva de förväntade interaktionerna mellan systemet och föraren, passagerarna och andra trafikanter samt användargränssnittet (HMI).

Alla aktiverade eller inaktiverade automatiska körfunktioner för vilka hårdvaran och programvaran finns i fordonet vid tidpunkten för tillverkningen ska anges och omfattas av kraven i denna bilaga innan de används i fordonet. Tillverkaren ska också dokumentera databehandlingen i det fall algoritmer för kontinuerligt lärande tillämpas.

3.2.1

En förteckning över alla insignalvariabler och avkända variabler ska tillhandahållas och deras driftsintervall ska anges, jämte en beskrivning av hur varje variabel påverkar systemets funktioner.

3.2.2

En förteckning över alla utsignalvariabler som kontrolleras av systemet ska tillhandahållas och en förklaring ges, i samtliga fall, om huruvida kontrollen utövas direkt eller via ett annat fordonssystem. Det kontrollintervall (punkt 2.7) som utövas på varje sådan variabel ska anges.

3.2.3

Gränserna för funktionell drift, inklusive den planerade driftsmiljöns gränser, ska anges där de påverkar det automatiska körfältssystemets prestanda.

3.2.4

Interaktionskonceptet med föraren när den planerade driftsmiljöns gränser nås ska förklaras, inklusive en förteckning över de typer av situationer där systemet kommer att generera en begäran om överlämnande till föraren.

3.2.5

Information ska tillhandahållas om hur systemet kan aktiveras, åsidosättas eller avaktiveras, inklusive strategin för hur systemet skyddas mot oavsiktlig avaktivering. Detta ska även omfatta information om hur systemet detekterar att föraren är tillgänglig för att ta över körningen jämte specifikationer av och dokumenterade bevis på den använda parametern för att fastställa förarens uppmärksamhet samt inverkan på styrtrösklarna.

3.3

Systemets utformning och scheman

3.3.1

Komponentförteckning

En förteckning ska lämnas över alla systemets enheter, med uppgift om de andra fordonssystem som behövs för att uppnå den aktuella kontrollfunktionen.

Ett översiktligt schema som visar dessa enheter i kombination med varandra ska lämnas, där enheternas fördelning och kopplingarna mellan dem framgår klart.

Denna översikt ska innehålla följande uppgifter:

a)	Uppfattning och objektdetektering, inklusive kartläggning och positionering.

b)	Beskrivning av beslutsfattande.

c)	Fjärrkontroll och fjärrövervakning som utförs av ett fjärrövervakningscentrum (i tillämpliga fall).

d)	Datalagringssystemet för automatiserad körning (DSSAD).

3.3.2

Enheternas funktioner

Funktionen för varje enhet i systemet ska anges, och de signaler som sammanbinder den med andra enheter eller fordonssystem ska visas. Detta kan göras med ett uppmärkt blockschema eller med en beskrivning med ett sådant schema som stöd.

3.3.3

Sammankopplingarna i systemet ska visas med ett kretsschema för elektriska kopplingar, rörschema för pneumatiska eller hydrauliska kopplingar och ett förenklat diagram för mekaniska kopplingar. Transmissionskopplingar både till och från andra system ska också visas.

3.3.4

Kopplingarna ska tydligt överensstämma med de signaler som förmedlas mellan enheterna. Signalprioritet på multiplexdataförbindelser ska anges i de fall då prioriteten kan påverka funktion eller säkerhet.

3.3.5

Identifiering av enheter

Varje enhet ska vara klart och otvetydigt identifierbar (t.ex. genom märkning för hårdvara och märkning eller utsignal för programvara) så att rätt utrustning kan knytas till motsvarande dokumentation. Om programvaruversionen kan ändras utan att märkningen eller komponenten behöver bytas ut, får programvaruidentifieringen endast ske genom utsignal för programvara.

I de fall flera funktioner kombineras i en enda enhet eller inom en enda dator, men visas i flera block i blockschemat för klarhetens och tydlighetens skull, ska en enda maskinvaruidentifiering användas. Tillverkaren ska med hjälp av denna identifiering bekräfta att den levererade utrustningen överensstämmer med motsvarande dokument.

3.3.5.1

Identifieringen ska ange hårdvaru- och mjukvaruversion, och när mjukvaran ändras så att enhetens funktion ändras på ett sätt som berör denna föreskrift ska denna identifiering också ändras.

3.3.6

Installation av avkänningssystemets komponenter

Tillverkaren ska tillhandahålla information om de installationsalternativ som kommer att användas för de enskilda komponenter som avkänningssystemet består av. Dessa alternativ ska omfatta, men är inte begränsade till, komponentens placering i/på fordonet, det eller de material som omger komponenten, dimensioneringen och geometrin hos det material som omger komponenten och ytbehandlingen av de material som omger komponenten, när den har installerats i fordonet. Informationen ska även omfatta installationsspecifikationer som är avgörande för systemets prestanda, t.ex. toleranser för installationsvinkeln.

Ändringar av avkänningssystemets enskilda komponenter eller installationsalternativ ska anmälas till typgodkännandemyndigheten och bli föremål för ytterligare bedömning.

3.4

Tillverkarens säkerhetskoncept

3.4.1

Tillverkaren ska intyga att systemet inte medför orimliga risker för föraren, passagerarna och andra trafikanter.

3.4.2

Beträffande systemets mjukvara ska arkitekturen förklaras och de metoder och verktyg som använts vid konstruktionen ska anges (se 3.5.1). Tillverkaren ska styrka hur systemlogikens implementation valdes under konstruktions- och utvecklingsprocessen.

3.4.3

Tillverkaren ska förse typgodkännandemyndigheten med en förklaring av de av systemets konstruktionsegenskaper som är avsedda att säkerställa den funktionella och driftsmässiga säkerheten. Tänkbara konstruktionsegenskaper hos systemet är exempelvis

a)	återgång till drift med ett partiellt system,

b)	redundans med ett separat system,

c)	avlägsnande av den eller de automatiska körfunktionerna.

3.4.3.1

Om den valda konstruktionen väljer ett partiellt driftläge under vissa felförhållanden (t.ex. vid allvarliga funktionsfel) ska dessa förhållanden anges (t.ex. typ av allvarligt funktionsfel) jämte de resulterande effektivitetsgränser som fastställts (t.ex. omedelbar initiering av en riskminimeringsmanöver) samt strategin för att varna föraren.

3.4.3.2

Om den valda konstruktionen innebär att en andra metod (reserv) används för att uppnå den dynamiska köruppgiftens prestanda, ska principerna för övergången, redundansnivån och eventuella inbyggda kontroller av reserven förklaras, och de resulterande effektivitetsgränserna vid reservdrift ska anges.

3.4.3.3

Om den valda konstruktionen väljer att ta bort den automatiska körfunktionen ska detta göras i enlighet med de tillämpliga bestämmelserna i denna föreskrift. Alla motsvarande kontrollutsignaler som hör samman med denna funktion ska undertryckas.

3.4.4

Dokumentationen ska styrkas genom en övergripande analys som visar hur systemet kommer att fungera för att minska eller undvika risker som kan påverka förarens, passagerarnas och andra trafikanters säkerhet.

Den eller de valda analysmetoderna ska anges och följas av tillverkaren och ska kunna inspekteras av typgodkännandemyndigheten vid tidpunkten för typgodkännande.

Typgodkännandemyndigheten ska göra en bedömning av tillämpningen av analysmetoden (analysmetoderna):

a)	Inspektion av säkerhetsstrategin på koncept- (fordons-)nivå. Strategin ska baseras på en riskanalys som lämpar sig för systemsäkerhet.

Inspektion av säkerhetsstrategin på systemnivå, inklusive en uppifrån-och-ned-strategi (från möjlig fara till konstruktion) och en nedifrån-och-upp-strategi (från konstruktion till möjliga faror). Säkerhetsstrategin ska bygga på en FMEA-analys (Failure Mode and Effect Analysis), en felträdsanalys (Fault Tree Analysis, FTA) och en systemteoretisk processanalys (System-Theoretic Process Analysis, STPA) eller någon liknande metod som är lämplig med avseende på systemets funktionella och driftsmässiga säkerhet.

Inspektion av validerings-/verifieringsplaner och resultat, inklusive lämpliga acceptanskriterier. Detta ska inbegripa provningar som är lämpliga för validering, t.ex. provning genom hardware-in-the-loop (HIL), driftsprovning av fordon på väg, provning med verkliga slutanvändare eller någon annan provning som är lämplig för validering/verifiering. Resultaten av valideringen och verifieringen kan bedömas genom analys av de olika provningarnas omfattning och fastställande av minimitröskelvärden för täckningen för olika mått.

Inspektionen ska bekräfta att minst var och en av följande punkter i tillämpliga fall omfattas enligt a–c:

i)	Problem rörande samverkan med andra fordonssystem (t.ex. bromsning, styrning).

ii)	Funktionsfel i det automatiska körfältssystemet och systemets riskreducerande åtgärder.

iii)

Situationer inom den planerade driftsmiljön när ett system kan skapa orimliga säkerhetsrisker för föraren, passagerarna och andra trafikanter på grund av driftsstörningar (t.ex. brist på eller felaktig förståelse av fordonsmiljön, bristande förståelse av reaktionen från föraren, passagerarna eller andra trafikanter, otillräcklig kontroll, utmanande scenarier).

iv)	Identifiering av relevanta scenarier inom de gränsvillkor och den hanteringsmetod som används för att välja scenarier och valideringsverktyg.

v)	Beslutsprocess som leder till utförandet av de dynamiska köruppgifterna (t.ex. nödmanövrer), för samverkan med andra trafikanter och i enlighet med trafikreglerna.

vi)

Rimligen förutsebar felaktig användning från förarens sida (t.ex. system för fastställande av förarens tillgänglighet och en förklaring av hur tillgänglighetskriterierna fastställdes), misstag eller missförstånd från förarens sida (t.ex. oavsiktligt åsidosättande) och avsiktlig manipulering av systemet.

vii)	It-angrepp som påverkar fordonets säkerhet (kan göras genom den analys som utförs enligt FN-föreskrift nr 155 om it-säkerhet och it-säkerhetsstyrningssystem).

Godkännandemyndighetens bedömning ska bestå av stickprov av utvalda faror (eller it-hot) för att fastställa att argumentationen till stöd för säkerhetskonceptet är begriplig och logisk och genomförs i systemens olika funktioner. Bedömningen ska också kontrollera att valideringsplanerna är tillräckligt robusta för att påvisa säkerheten (t.ex. att det valda valideringsverktyget har en rimlig täckning av provningen av valda scenarier) och har slutförts.

Den ska påvisa att fordonet inte medför orimliga risker för föraren, passagerarna och andra trafikanter inom den planerade driftsmiljön, dvs. genom

ett övergripande valideringsmål (dvs. godkännandekriterier för validering) som stöds av valideringsresultaten och visar att ibruktagandet av det automatiska körfältssystemet på det hela taget inte kommer att öka risknivån för förare, passagerare och andra trafikanter jämfört med manuellt körda fordon, och

b)	en scenariospecifik metod som visar att systemet på det hela taget inte kommer att öka risknivån för förare, passagerare och andra trafikanter jämfört med manuellt körda fordon för vart och ett av de säkerhetsrelevanta scenarierna, och

typgodkännandemyndigheten ska utföra provningar enligt punkt 4 för att kontrollera säkerhetskonceptet eller kräva att sådana provningar utförs.

3.4.4.1

I dokumentationen ska de parametrar som övervakas förtecknas, och för varje funktionsfel av den typ som anges i punkt 3.4.4 i denna bilaga ska den varningssignal anges som ska ges till föraren/passagerarna/andra trafikanter och/eller till den personal som utför service eller tekniska inspektioner.

3.4.4.2

Dokumentationen ska beskriva de åtgärder som vidtagits för att se till att systemet inte medför orimliga risker för föraren, passagerarna och andra trafikanter när systemet påverkas av omgivningsförhållanden, t.ex. väderförhållanden, temperatur, damm, vatten, is osv.

3.5

Säkerhetsstyrningssystem (processkontroll)

3.5.1

När det gäller den programvara och hårdvara som används i systemet ska tillverkaren påvisa för typgodkännandemyndigheten med avseende på ett säkerhetsstyrningssystem att det finns effektiva processer, metoder och verktyg som är aktuella och som följs inom organisationen för att hantera säkerheten och den fortsatta överensstämmelsen under produktens hela livscykel (konstruktion, utveckling, produktion, drift inklusive efterlevnad av trafikregler, och avveckling).

3.5.2

Konstruktions- och utvecklingsprocessen ska fastställas, inklusive säkerhetsstyrningssystem, kravhantering, kravgenomförande, provning, funktionsfelspårning, korrigerande åtgärder och utsläppande på marknaden.

3.5.3

Tillverkaren ska upprätta och upprätthålla effektiva kommunikationskanaler mellan de tillverkaravdelningar som ansvarar för funktions-/driftssäkerhet, it-säkerhet och alla andra relevanta ämnesområden med anknytning till uppnåendet av fordonssäkerhet.

3.5.4

Tillverkaren ska ha rutiner för att övervaka säkerhetsrelevanta tillbud/krascher/kollisioner som orsakas av det aktiverade automatiska körfältssystemet, och en process för att hantera potentiella säkerhetsrelevanta luckor efter registreringen (slutet system för övervakning på fältet) och för att uppdatera fordonen. Tillverkaren ska rapportera kritiska tillbud (t.ex. kollision med andra trafikanter och potentiella säkerhetsbrister) till typgodkännandemyndigheterna när dessa inträffar.

3.5.5

Tillverkaren ska påvisa att regelbundna oberoende interna processkontroller utförs för att säkerställa att de processer som införts i enlighet med punkterna 3.5.1–3.5.4 genomförs konsekvent.

3.5.6

Tillverkarna ska inrätta lämpliga arrangemang (t.ex. avtalsarrangemang, tydliga gränssnitt, kvalitetsstyrningssystem) med leverantörerna för att säkerställa att leverantörernas säkerhetsstyrningssystem uppfyller kraven i punkterna 3.5.1 (med undantag för fordonsrelaterade aspekter såsom ”drift” och ”avveckling”), 3.5.2, 3.5.3 och 3.5.5.

4. KONTROLL OCH PROVNING

4.1

Systemets funktion, såsom anges i den dokumentation som krävs enligt punkt 3, ska provas på följande sätt:

4.1.1

Kontroll av systemets funktion

Typgodkännandemyndigheten ska kontrollera systemet under funktionsfelfria förhållanden genom att på en bana prova ett antal utvalda funktioner från dem som beskrivs av tillverkaren i punkt 3.2 ovan och genom att kontrollera systemets allmänna funktioner under verkliga körförhållanden, inklusive efterlevnad av trafikreglerna.

Dessa provningar ska omfatta scenarier där systemet åsidosätts av föraren.

Provningar enligt denna bilaga ska beakta provningar som redan utförts i bilaga 5 till denna föreskrift.

4.1.1.1

Kontrollresultaten ska stämma överens med den beskrivning, inklusive de kontrollstrategier, som tillhandahålls av tillverkaren i punkt 3.2 och ska uppfylla kraven i denna föreskrift.

4.1.2

Kontroll av säkerhetskonceptet enligt punkt 3.4

Systemets reaktion ska kontrolleras när det påverkas av ett fel i någon individuell enhet genom att motsvarande utsignaler påförs elektriska enheter eller mekaniska element för att simulera effekterna av interna funktionsfel i enheten. Typgodkännandemyndigheten ska utföra denna kontroll i minst en individuell enhet, men ska inte kontrollera systemets reaktion vid samtidiga funktionsfel i flera individuella enheter.

Typgodkännandemyndigheten ska kontrollera att dessa provningar omfattar aspekter som kan påverka fordonets manövrerbarhet och användarinformation (användargränssnittsaspekter, t.ex. överlämnandescenarier).

4.1.2.1

Typgodkännandemyndigheterna ska också kontrollera ett antal scenarier som är av avgörande betydelse för detektion av och reaktion på föremål och händelser (Object and Event Detection and Response, OEDR) samt karakterisering av systemets funktioner rörande beslutsfattande och användargränssnitt (t.ex. objekt som är svåra att upptäcka, när systemet når den planerade driftsmiljöns gränser, trafikstörningsscenarier) enligt definitionen i föreskriften.

4.1.2.2

Resultaten av kontrollen ska stämma överens med sammanfattningen av riskanalysen i dokumentationen, med en sådan nivå på den totala inverkan att det kan anses bekräftat att säkerhetskonceptet och dess tillämpning är tillräckliga och förenliga med kraven i denna föreskrift.

4.2

Simuleringsverktyg och matematiska modeller för kontroll av säkerhetskonceptet får användas i enlighet med bilaga 8 till Revidering 3 av 1958 års överenskommelse, särskilt för scenarier som är svåra att genomföra på en provbana eller under verkliga körförhållanden. Tillverkarna ska påvisa simuleringsverktygets omfattning, dess giltighet för det berörda scenariot samt den validering som utförts för simuleringsverktygskedjan (korrelation mellan resultatet och fysiska provningar).

5. RAPPORTERING

Rapporteringen av bedömningen ska ske på ett sätt som möjliggör spårbarhet, t.ex. genom att versionsnumren för de dokumentversioner som inspekteras anges och registreras i den tekniska tjänstens register.

I tillägg 1 till denna bilaga finns ett exempel på en möjlig utformning av bedömningsformuläret från den tekniska tjänsten till typgodkännandemyndigheten. De förtecknade posterna i detta tillägg beskrivs som den minimiuppsättning poster som måste ingå.

6. MEDDELANDE TILL ANDRA TYPGODKÄNNANDEMYNDIGHETER (tillägg 2) innehåller

a)	en beskrivning av den planerade driftsmiljön och den högnivåfunktionella arkitektur som är inriktad på de funktioner som är tillgängliga för föraren, passagerarna och andra trafikanter,

b)	provningsresultat under typgodkännandemyndigheternas verifieringsprocess.

7. REVISORERNAS/BEDÖMARNAS KOMPETENS

Bedömningarna i denna bilaga ska endast utföras av revisorer/bedömare som har den tekniska och administrativa kunskap som krävs för uppdraget. De ska i synnerhet vara behöriga som revisor/bedömare för ISO 26262-2018 (Vägfordon – Funktionssäkerhet i el- och elektroniksystem) och ISO/PAS 21448 (Vägfordon – Säkerhet i den avsedda funktionaliteten), och ska kunna göra den nödvändiga kopplingen till it-säkerhetsaspekter i enlighet med FN-föreskrift nr 155 och ISO/SAE 21434. Denna behörighet bör påvisas genom lämpliga kvalifikationer eller annan likvärdig utbildningsdokumentation.

Tillägg 1

Mall för bedömningsformulär för automatiskt körfältssystem

Provningsrapport nr: …

Identifiering:

1.1

Fabrikat: …

1.2

Fordonstyp: …

1.3

Metod för systemidentifiering på fordonet: …

1.4

Märkningens placering: …

1.5

Tillverkarens namn och adress: …

1.6

Namn- och adressuppgifter för tillverkarens eventuella ombud: …

1.7

Tillverkarens formella dokumentationspaket:

Dokumentationens referensnummer: …

Datum för ursprungligt utfärdande: …

Datum för senaste uppdatering: …

Beskrivning av provningsfordon/provningssystem

2.1

Allmän beskrivning: …

2.2

Beskrivning av alla kontrollfunktioner och funktionssätt hos systemet: …

2.3

Beskrivning av komponenterna och diagram över sammankopplingarna i systemet:

Tillverkarens säkerhetskoncept

3.1

Beskrivning av signalflöde och driftsdata och deras prioritet: …

3.2

Tillverkarens försäkran:

Tillverkaren…intygar att systemet inte medför orimliga risker för föraren, passagerarna och andra trafikanter.

3.3

Programvaruarkitektur och de konstruktionsmetoder och konstruktionsverktyg som använts: …

3.4

Förklaring av systemets säkerhetskoncept …

3.5

Dokumenterad analys av systemets funktioner vid individuella risk- eller feltillstånd: …

3.6

Beskrivning av anordningar för omgivningsförhållanden: …

3.7

Bestämmelser om regelbunden teknisk inspektion av systemet: …

3.8

Resultat av kontrollprovning av systemet enligt punkt 4.1.1 i bilaga 4 till FN-föreskrift nr 157: …

3.9

Resultat av kontrollprovning av säkerhetskonceptet enligt punkt 4.1.2 i bilaga 4 till FN-föreskrift nr 157: …

3.10

Provningsdatum: …

3.11

Denna provning har utförts och resultaten har rapporterats i enlighet med ….. till FN-föreskrift nr 157, senast ändrad genom ändringsserie …

Teknisk tjänst som utför provningen

Underskrift: … Datum: …

3.12

Anmärkningar: …

Tillägg 2

Formulär för informationsdokument för automatiska körfältssystem som ska tillhandahållas av tillverkaren för godkännandet

1. SYSTEMBESKRIVNING, AUTOMATISKT KÖRFÄLTSSYSTEM

1.1

Planerad driftsmiljö (hastighet, vägtyp, land, miljö, vägförhållanden osv.)/Gränsvillkor/Huvudvillkor för riskminimeringsmanövrer och begäranden om överlämnande …

1.2

Grundläggande prestanda (t.ex. detektion av och reaktion på föremål och händelser (Object and Event Detection and Response, OEDR) …) …

1.3

Metoden för aktivering, åsidosättande eller avaktivering av systemet …

2. BESKRIVNING AV SYSTEMETS FUNKTIONER INKLUSIVE KONTROLLSTRATEGIER

2.1

Huvudsakliga automatiska körfunktioner (funktionell arkitektur, miljöuppfattning) …

2.1.1

Fordonsinterna …

2.1.2

Fordonsexterna (t.ex. backend) …

3. ÖVERSIKT ÖVER SYSTEMETS HUVUDKOMPONENTER (ENHETER)

3.1

Styrenheter …

3.2

Sensorer …

3.3

Kartor/positionering …

4. SYSTEMETS UTFORMNING OCH SCHEMAN

4.1

Schematisk systemutformning inklusive sensorer för miljöuppfattning (t.ex. blockschema) …

4.2

Förteckning och schematisk översikt över sammanlänkningar (t.ex. blockschema) …

5. SPECIFIKATIONER

5.1

Metod för att kontrollera att systemet fungerar korrekt …

5.2

Genomförda åtgärder för att skydda mot enkel obehörig aktivering/användning och ingripanden i systemet …

6. SÄKERHETSKONCEPT

6.1

Säker drift – intyg från fordonstillverkaren …

6.2

Skiss över programvaruarkitekturen (t.ex. blockschema) …

6.3

Metod för att fastställa hur systemlogiken ska förverkligas …

6.4

Allmän förklaring av de viktigaste konstruktionsbestämmelserna som är inbyggda i systemet för att generera säker drift och interaktion med andra trafikanter vid feltillstånd, vid driftsstörningar och vid förekomst av planerade/oplanerade förhållanden som skulle gå utöver den planerade driftsmiljön …

6.5

Allmän beskrivning av huvudprinciperna för funktionsfelhantering, reservstrategi inklusive riskreduceringsstrategi (riskminimeringsmanöver) …

6.6

Förare, passagerare och andra trafikanters interaktioner, inklusive varningssignaler och begäranden om överlämnande som ska ges till föraren …

6.7

Tillverkarens validering av de prestandakrav som anges på annat ställe i föreskriften, inklusive detektion av och reaktion på föremål och händelser (OEDR), användargränssnitt, respekten för trafikreglerna och slutsatsen att systemet är utformat på ett sådant sätt att det inte medför orimliga risker för föraren, passagerarna och andra trafikanter …

7. KONTROLL OCH PROVNING UTFÖRD AV MYNDIGHETERNA

7.1

Kontroll av systemets grundläggande funktion …

7.2

Exempel på kontroll av systemreaktionen under påverkan av ett funktionsfel eller en driftsstörning, nödförhållanden och gränsförhållanden …

8. DATALAGRINGSSYSTEM

8.1

Typ av lagrade data …

8.2

Lagringsplats …

8.3

Metod för att med hjälp av registrerade händelser och dataelement säkerställa datasäkerhet och uppgiftsskydd …

8.4

Metod för att få tillgång till uppgifterna …

9. IT-SÄKERHET (KORSHÄNVISNING TILL CYBERFÖRESKRIFTEN ÄR MÖJLIG)

9.1

Allmän beskrivning av systemet för hantering av it-säkerhet och programuppdateringar …

9.2

Allmän beskrivning av de olika riskerna och de åtgärder som vidtagits för att minska dessa risker …

9.3

Allmän beskrivning av uppdateringsförfarandet …

10. INFORMATIONSBESTÄMMELSER FÖR ANVÄNDARE

10.1

Modell för den information som tillhandahålls till användarna (inklusive förväntade föraruppgifter inom den planerade driftsmiljön och vid utträde ur den planerade driftsmiljön) …

10.2

Utdrag ur den relevanta delen av användarhandboken …

Tillägg 3

Vägledning om trafikstörningskritiska scenarier för automatiska körfältssystem

1. ALLMÄNT

1.1

Detta dokument klargör härledningsprocessen för att definiera de förhållanden under vilka automatiska körfältssystem (ALKS) ska undvika en kollision. De förhållanden under vilka det automatiska körfältssystemet ska undvika en kollision bestäms av ett allmänt simuleringsprogram i enlighet med följande modell för prestandan hos en uppmärksam fysisk förare och relaterade parametrar i de trafikstörningskritiska scenarierna.

2. TRAFIKKRITISKA SCENARIER

2.1

Trafikstörningskritiska scenarier är scenarier med förhållanden under vilka det automatiska körfältssystemet kanske inte kan undvika en kollision.

2.2

Följande tre är trafikkritiska scenarier:

a)	Körfältsbyte till egofordonets körfält: Det ”andra fordonet” kör plötsligt in framför ”egofordonet”.

b)	Körfältsbyte från egofordonets körfält: Det ”andra fordonet” lämnar plötsligt ”egofordonets” körfält.

c)	Retardation: Det ”andra fordonet” bromsar plötsligt in framför ”egofordonet”.

2.3

Vart och ett av dessa trafikkritiska scenarier kan skapas med hjälp av följande parametrar/element:

a)	Väggeometri.

b)	Andra fordons beteende/manövrar.

3. DET AUTOMATISKA KÖRFÄLTSSYSTEMETS PRESTANDAMODELL

3.1

De trafikkritiska scenarierna för det automatiska körfältssystemet är uppdelade i scenarier som är möjliga och omöjliga att förebygga. Tröskelvärdet för möjlig/omöjlig att förebygga är baserat på den simulerade prestandan hos en kompetent och uppmärksam fysisk förare. Man kan förvänta sig att vissa av de scenarier som är ”omöjliga att förebygga” enligt mänskliga standarder faktiskt kan förebyggas med det automatiska körfältssystemet.

3.2

I ett låghastighetsscenario med det automatiska körfältssystemet förutsätts förarmodellen kunna undvika scenariot endast genom inbromsning. Förarmodellen är uppdelad i följande tre segment: ”Uppfattning”, ”Beslut” och ”Reaktion”. Följande diagram är en visuell representation av dessa segment:

3.3

För att fastställa under vilka förhållanden det automatiska körfältssystemet (ALKS) ska undvika en kollision bör prestandamodellfaktorerna för dessa tre segment i följande tabell användas som prestandamodell för det automatiska körfältssystemet med beaktande av beteendet hos en uppmärksam fysisk förare med ett avancerat förarstödsystem (ADAS).

Tabell 1

Prestandamodellfaktorer för fordon

		Faktorer
Riskuppfattningspunkt	Körfältsbyte (körfältsbyte till egofordonets körfält, körfältsbyte från egofordonets körfält)	Fordonets mittpunkt avviker med över 0,375 m från körfältets mittlinje (härrör från forskning utförd av Japan)
	Retardation	Framförvarande fordons retardationsgrad och egofordonets avstånd till framförvarande fordon
Riskutvärderingstid		0,4 s (från forskning utförd av Japan)
Tid från avslutad uppfattning till inledningen av retardationen		0,75 s (allmänna data från Japan)
Rycktid till full retardation (vägfriktion 1,0)		0,6 s till 0,774 G (från experiment utförda av NHTSA och Japan)
Rycktid till full retardation (efter det att egofordonet och det körfältsbytande fordonet har släppt upp gaspedalen helt, vägfriktion 1,0)		0,6 s till 0,85 G (härledd från FN-föreskrift nr 152 om avancerade nödbromssystem)

3.4

Förarmodell för de tre scenarierna med det automatiska körfältssystemet:

3.4.1

För scenario med körfältsbyte till egofordonets körfält:

Den sträcka som fordonet normalt kommer att röra sig i sidled inom körfältet är 0,375 m.

Den uppfattade gränsen för körfältsbyte till egofordonets körfält inträffar när bilen överskrider den normala sidorörelsesträckan (möjligen före ett faktiskt körfältsbyte).

Avståndet a. är uppfattningsavståndet baserat på uppfattningstiden [a]. Det definierar det avstånd i sidled som krävs för att uppfatta att ett fordon utför ett körfältsbyte till egofordonets körfält. a. erhålls med hjälp av följande formel:

a. = rörelsehastighet i sidled x riskuppfattningstid [a] (0,4 s)

Riskuppfattningstiden inleds när det framförvarande fordonet överskrider tröskeln för gränsen för körfältsbyte till egofordonets körfält.

Den maximala rörelsehastigheten i sidled är data från verkliga förhållanden i Japan.

Riskuppfattningstiden [a] är data från en körsimulator i Japan.

2s* anges som den maximala tid till kollision (TTC) under vilken det konstaterades att det fanns risk för kollision i längsgående riktning.

Anm.:

TTC = 2,0 s väljs på grundval av FN-föreskriftens riktlinjer om varningssignaler.

3.4.2

För scenariot med körfältsbyte från egofordonets körfält:

Den sträcka som fordonet normalt kommer att röra sig i sidled inom körfältet är 0,375 m.

Den uppfattade gränsen för körfältsbyte från egofordonets körfält inträffar när bilen överskrider den normala sidorörelsesträckan (möjligen före ett faktiskt körfältsbyte).

Riskuppfattningstiden [a] är 0,4 s och inleds när det framförvarande fordonet överskrider tröskeln för gränsen för körfältsbyte från egofordonets körfält.

Tiden 2 s anges som det maximala tidsavstånd (THW) för vilket det konstaterades att det fanns risk för kollision i längsgående riktning.

Anm.:

THW = 2,0 s väljs enligt andra länders föreskrifter och riktlinjer.

3.4.3

För scenario med retardation:

Riskuppfattningstiden [a] är 0,4 s. Riskuppfattningstiden [a] inleds när det framförvarande fordonet överskrider retardationströskeln 5 m/s2.

4. PARAMETRAR

4.1

Parametrarna nedan är väsentliga när man beskriver mönstret för de trafikkritiska scenarierna i avsnitt 2.1.

4.2

Ytterligare parametrar kan läggas till beroende på driftsmiljön (t.ex. vägfriktion, vägkrökning, belysningsförhållanden).

Tabell 2

Tilläggsparametrar

Driftsförhållanden	Vägbana	Antal körfält = Antalet parallella och angränsande körfält i samma färdriktning. Körfältsbredd = Bredden på varje körfält. Väglutningsgrad = Vägbanans lutning inom provningsområdet. Vägförhållanden = Vägens skick (torr, våt, isig, snöig, ny, sliten) inklusive friktionskoefficient. Körfältsmarkeringar = Körfältsmarkeringarnas typ, färg, bredd, synlighet.
Driftsförhållanden	Miljöförhållanden	Ljusförhållanden = Ljusmängd och riktning (dvs. dag, natt, solljus, moln). Väderförhållanden = Mängd, typ och intensitet för vind, regn, snö osv.
Utgångsförhållande	Utgångshastighet	Ve0 = Egofordon.
		Vo0 = Framförvarande fordon i körfältet eller i angränsande körfält.
		Vf0 = Fordon framför det framförvarande fordonet i körfältet.
	Utgångsavstånd	dx0 = Avstånd i längsgående riktning mellan egofordonets främre ände och den bakre änden på framförvarande fordon i egofordonets körfält eller i angränsande körfält.
		dy0 = Avståndet i sidled på insidan mellan egofordonets yttre kantlinje parallellt med fordonets längsgående mittplan inom körfältet och den utvändiga kantlinjen på framförvarande fordon parallellt med fordonets längsgående mittplan i angränsande körfält.
		dy0_f = Avståndet i sidled på insidan mellan det framförvarande fordonets yttre kantlinje parallellt med fordonets längsgående mittplan inom körfältet och den utvändiga kantlinjen på fordonet framför framförvarande fordon parallellt med fordonets längsgående mittplan i angränsande körfält.
		dx0_f = Avstånd i längsgående riktning mellan framförvarande fordons framände och bakänden på fordonet framför framförvarande fordon.
		dfy = Bredden på fordonet framför framförvarande fordon.
		doy = Framförvarande fordons bredd.
		dox = Framförvarande fordons längd.
Fordonets rörelse	Rörelse i sidled	Vy = Framförvarande fordons hastighet i sidled.
	Retardation	GxX_max = framförvarande fordons maximala retardation i G.
	Retardation	dG/dt = Framförvarande fordons retardationshastighet (ryck).

4.3

Nedan följer visuella återgivningar av parametrar för de tre typerna av scenarier

5. REFERENS

Följande datablad är exempel i bildform på simuleringar som fastställer under vilka förhållanden det automatiska körfältssystemet ska undvika en kollision, med beaktande av kombinationen av varje parameter, vid och under den högsta tillåtna fordonshastigheten för det automatiska körfältssystemet.

5.1

Körfältsbyte till egofordonets körfält

(Databladsbild)

5.2

Körfältsbyte från egofordonets körfält

Det är möjligt att undvika alla inbromsande (stopp) fordon före framförvarande fordons körfältsbyte från egofordonets körfält under följande körförhållanden vid THW 2,0 s.

(Databladsbild)

5.3

Retardation

Det är möjligt att undvika en plötslig retardation med –1,0 G eller mindre i en körsituation med ett framförvarande fordon vid THW 2,0 s.

(Databladsbild)

(Databladsbild)

BILAGA 5

Provningsspecifikationer för automatiska körfältssystem

1. INLEDNING

I denna bilaga definieras provningar i syfte att kontrollera de tekniska kraven för automatiska körfältssystem.

Till dess att särskilda provningsbestämmelser har avtalats ska den tekniska tjänsten se till att det automatiska körfältssystemet genomgår åtminstone de provningar som beskrivs i bilaga 5. De specifika provningsparametrarna för varje provning ska väljas av den tekniska tjänsten och registreras i provningsrapporten på ett sådant sätt att provningsuppställningens spårbarhet och repeterbarhet kan säkerställas.

Kriterierna för godkännande och underkännande för provningar härrör uteslutande från de tekniska kraven i punkterna 5–7 i föreskriften. Dessa krav är formulerade på ett sådant sätt att det är möjligt att härleda kriterier för godkännande/underkännande inte bara för en viss uppsättning provningsparametrar, utan för alla kombinationer av parametrar i vilka systemet är avsett att fungera (t.ex. driftshastighetsintervall, driftssidoaccelerationsintervall, krökningsintervall som ingår i systemgränserna).

Provningsspecifikationerna i detta dokument är avsedda att vara en minsta uppsättning provningar. Den tekniska tjänsten får utföra vilken annan provning som helst inom systemgränserna och kan sedan jämföra de uppmätta resultaten med kraven (konkret: förväntat provningsresultat).

2. DEFINITIONER

I denna bilaga gäller följande definitioner:

2.1

tid till kollision (TTC): det tidsvärde som erhålls när man dividerar avståndet i längsgående riktning mellan provfordonet (i den riktning som provfordonet färdas) och målet med den relativa hastigheten i längsgående riktning för provfordonet jämfört med målet vid någon tidpunkt.

2.2

förskjutning: avståndet mellan fordonets och respektive måls längsgående mittplan i körriktningen, uppmätt på marken, normaliserat med halva fordonsbredden exklusive anordningar för indirekt sikt och korrigerat genom tillägg av 50 %.

2.3

fotgängarmål: ett mjukt mål som representerar en fotgängare.

2.4

personbilsmål: ett mål som representerar en personbil.

2.5

motordrivet tvåhjulsmål (PTW): en kombination med motorcykel och motorcyklist.

3. ALLMÄNNA PRINCIPER

3.1

Provningsförhållanden

3.1.1

Provningarna ska utföras under förhållanden (t.ex. miljöförhållanden, väggeometri) som gör det möjligt att aktivera det automatiska körfältssystemet.

3.1.2

Om systemändringar krävs för att möjliggöra provning, t.ex. kriterier för bedömning av vägtyp eller vägtypsinformation (kartdata), ska det säkerställas att dessa ändringar inte påverkar provningsresultaten. Dessa ändringar ska i princip dokumenteras och bifogas provningsrapporten. Beskrivning av och eventuella belägg för påverkan av dessa ändringar ska dokumenteras och bifogas provningsrapporten.

3.1.3

Provningsytan ska ge minst den vidhäftning som scenariot kräver för att det förväntade provningsresultatet ska uppnås.

3.1.4

Provningsmål

3.1.4.1

Det mål som används vid provningar för detektering av fordon ska vara ett normalt fordon av kategori M eller N som serieproduceras i stora volymer, alternativt ett ”mjukt mål” som representerar ett fordon med avseende på de egenskaper som detekteras av sensorsystemet hos det automatiska körfältssystem som provas enligt ISO 19206-3:2018. Referenspunkten för fordonets placering ska vara den bakersta punkten på fordonets mittlinje.

3.1.4.2

Det mål som används för provning av ett motordrivet tvåhjulsmål ska vara en provningsanordning enligt ISO CD 19206-5 eller en typgodkänd motorcykel av kategori L3 som serieproduceras i stora volymer med en motorkapacitet som inte överstiger 600 cm3. Referenspunkten för motorcykelns placering ska vara den bakersta punkten på motorcykelns mittlinje.

3.1.4.3

Det mål som används i provningarna av detektering av fotgängare ska vara ett ledat mjukt mål som motsvarar de mänskliga attribut som nödbromssystemets sensorer är utformade för att detektera under provningar enligt ISO 19206-2:2018.

3.1.4.4

Detaljerade uppgifter som gör det möjligt att identifiera och reproducera målet eller målen ska anges i fordonets typgodkännandedokumentation.

3.2

Variationer i provningsparametrar

Tillverkaren ska ange systemgränserna för den tekniska tjänsten. Den tekniska tjänsten ska definiera olika kombinationer av provningsparametrar (t.ex. aktuell hastighet för fordonet med det automatiska körfältssystemet, typ och förskjutning av målet, körfältskrökning) för att omfatta scenarier där en kollision ska undvikas av systemet samt de scenarier där en kollision inte förväntas kunna undvikas, i tillämpliga fall.

Om detta anses motiverat får den tekniska tjänsten dessutom prova vilken som helst annan kombination av parametrar.

Om en kollision inte kan undvikas för vissa provningsparametrar ska tillverkaren påvisa, antingen genom dokumentation eller, om möjligt, genom verifiering/provning, att systemet inte orimligen ändrar sin kontrollstrategi.

4. PROVNINGSSCENARIER FÖR ATT BEDÖMA SYSTEMETS PRESTANDA MED AVSEENDE PÅ DEN DYNAMISKA KÖRUPPGIFTEN

4.1

Körfältshållning

4.1.1

Provningen ska visa att det automatiska körfältssystemet inte lämnar sitt körfält och håller en stabil position inuti sitt egokörfält över hela hastighetsintervallet och olika vägkrökningar inom sina systemgränser.

4.1.2

Provningen ska utföras åtminstone

a)	med en minsta provvaraktighet på 5 minuter,

b)	med ett personbilsmål samt ett motordrivet tvåhjulsmål som framförvarande fordon/annat fordon,

c)	med ett framförvarande fordon som girar av i körfältet, och

d)	med ett annat fordon som kör nära intill i det angränsande körfältet.

4.2

Undvika en kollision med en trafikant eller ett objekt som blockerar körfältet

4.2.1

Provningen ska visa att det automatiska körfältssystemet undviker en kollision med ett stillastående fordon, en trafikant eller ett helt eller delvis blockerat körfält upp till systemets högsta specificerade hastighet.

4.2.2

Provningen ska utföras åtminstone

a)	med ett stillastående personbilsmål,

b)	med ett stillastående motordrivet tvåhjuligt mål,

c)	med ett stillastående fotgängarmål,

d)	med ett fotgängarmål som korsar körfältet med en hastighet av 5 km/h,

e)	med ett mål som representerar ett blockerat körfält,

f)	med ett mål som är delvis inom körfältet,

g)	med flera på varandra följande hinder som blockerar körfältet (t.ex. i följande ordning: egofordon – motorcykel – bil),

h)	på en vägsträcka som är en kurva.

4.3

Följa ett framförvarande fordon

4.3.1

Provningen ska visa att det automatiska körfältssystemet kan bibehålla och återställa det erforderliga säkerhetsavståndet till ett framförvarande fordon och kan undvika en kollision med ett framförvarande fordon som bromsar in med sin maximala retardation.

4.3.2

Provningen ska utföras åtminstone

a)	över hela hastighetsintervallet för det automatiska körfältssystemet,

b)	för ett personbilsmål och ett motordrivet tvåhjulsmål som framförvarande fordon, under förutsättning att standardiserade motordrivna tvåhjulsmål som lämpar sig för att utföra provningen på ett säkert sätt finns tillgängliga,

c)	för konstanta och varierande hastigheter hos framförvarande fordon (t.ex. genom att följa en realistisk hastighetsprofil från en befintlig kördatabas),

d)	för raka vägsträckor och vägsträckor som utgörs av kurvor,

e)	för olika lägen i sidled för det framförvarande fordonet i körfältet,

f)	med en retardation hos det framförvarande fordonet på minst 6 m/s2 genomsnittlig fullt utvecklad retardation till dess att fordonet står stilla.

4.4

Ett annat fordons körfältsbyte till egofordonets körfält

4.4.1

Provningen ska visa att det automatiska körfältssystemet kan undvika en kollision med ett fordon som gör ett körfältsbyte till det körfält där fordonet med det automatiska körfältssystemet befinner sig upp till en viss nivå på körfältsbytesmanöverns kritiskhet.

4.4.2

Hur kritisk körfältsbytesmanövern är ska bestämmas enligt TTC (tid till kollision), avståndet i längsgående riktning mellan den bakersta delen av det körfältsbytande fordonet och den främsta delen av fordonet med det automatiska körfältssystemet, det körfältsbytande fordonets hastighet i sidled och det körfältsbytande fordonets rörelse i längsgående riktning enligt definitionen i punkt 5.2.5 i denna föreskrift.

4.4.3

Denna provning ska utföras med beaktande av minst följande omständigheter:

a)	För olika tider till kollision, körfältsbytesmanöverns avståndsvärden och relativa hastighetsvärden, och omfattande typer av körfältsbytesscenarier där en kollision kan undvikas och där en kollision inte kan undvikas.

b)	För körfältsbytande fordon som färdas med konstant hastighet i längsgående riktning, som accelererar och som minskar hastigheten.

c)	För olika hastigheter i sidled och accelerationer i sidled för det körfältsbytande fordonet.

d)	För ett personbilsmål och ett motordrivet tvåhjulsmål som körfältsbytande fordon, under förutsättning att standardiserade motordrivna tvåhjulsmål som lämpar sig för att utföra provningen på ett säkert sätt finns tillgängliga.

4.5

Stillastående hinder efter framförvarande fordons körfältsbyte

4.5.1

Provningen ska visa att det automatiska körfältssystemet kan undvika en kollision med ett stillastående fordon, en trafikant eller ett blockerat körfält som blir synligt efter det att ett framförvarande fordon har undvikit en kollision genom en undanmanöver.

4.5.2

Provningen ska utföras åtminstone

a)	med ett stillastående personbilsmål i mitten av körfältet,

b)	med ett motordrivet tvåhjuligt mål i mitten av körfältet,

c)	med ett stillastående fotgängarmål i mitten av körfältet,

d)	med ett mål som representerar ett blockerat körfält i mitten av körfältet,

e)	med flera på varandra följande hinder som blockerar körfältet (t.ex. i följande ordning: egofordon – körfältsbytande fordon – motorcykel – bil),

4.6

Synfältsprovning

4.6.1

Provningen ska visa att det automatiska körfältssystemet kan detektera en annan trafikant inom detekteringsområdet framåt upp till den angivna detekteringsräckvidden framåt och ett fordon bredvid inom detekteringsområdet i sidled upp till åtminstone det angränsande körfältets fulla bredd.

4.6.2

Provningen för detekteringsräckvidden framåt ska utföras minst

a)	när man närmar sig ett motorcykelmål som befinner sig vid yttre kanten av varje angränsande körfält,

b)	när man närmar sig ett fotgängarmål som befinner sig vid yttre kanten av varje angränsande körfält,

c)	när man närmar sig ett stillastående motorcykelmål som befinner sig inom egokörfältet,

d)	när man närmar sig ett stillastående fotgängarmål som befinner sig inom egokörfältet.

4.6.3

Provningen för detekteringsräckvidden i sidled ska utföras minst

a)	med ett motorcykelmål som närmar sig fordonet med det automatiska körfältssystemet från vänster angränsande körfält,

b)	med ett motorcykelmål som närmar sig fordonet med det automatiska körfältssystemet från höger angränsande körfält.

5. YTTERLIGARE VERIFIERING

5.1

(Reserverad)

5.2

Överensstämmelse med följande bestämmelser ska påvisas av tillverkaren och bedömas av den tekniska tjänsten vid tiden för typgodkännandet:

Provning/kontroll

6.2.2

Frånläge efter en ny start/körning av motorn

6.2.3

Systemet kan endast aktiveras om

a)	föraren sitter i förarsätet och säkerhetsbältet är fastspänt,

b)	föraren är tillgänglig,

inga fel,

d)	datalagringssystemet för automatiserad körning är i drift,

e)	förhållandena ligger inom systemgränserna.

6.2.1

6.2.4

6.2.5

6.2.6

Avaktiveringsmetod

Särskild metod för aktivering och avaktivering

Skyddade mot oavsiktliga handlingar

Styrning

a)	Händerna på ratten och inbromsning/acceleration

b)	Föraren har händerna på ratten som svar på överlämnanden och riskminimeringsmanövrar

c)	Efter avaktivering

6.3

Metod för att åsidosätta systemet

a)	Styranordning

b)	Bromsinsignalen är högre än systemet

c)	Acceleration till hastighet inom systemgränserna

6.1.3.1

Kriterier för att bedöma att föraren är tillgänglig

5.1.3

Stödsystem för föraren är aktiva

6.3.1.1

Förarens uppmärksamhet

5.5

Systemets funktioner under en riskminimeringsmanöver

a)	Föraren tar över

b)	Stillastående (varningsblinkrar)

c)	Återaktivering urkopplad om fordonet står helt stilla

5.1.4

5.1.5

5.4

Begäran om överlämnande och beteende/upptrappning

Föraren återtar kontrollen

Utan förarsvar (riskminimeringsmanöver)

a)	Planerat överlämnande

b)	Oplanerat överlämnande

6.1.2

6.1.3

5.4

Begäran om överlämnande under drift

Överskrider systemparametrar

Fel

a)	Detekterbar kollision

b)	Föraren är inte närvarande

5.3

Systemfunktioner för nödmanöver

a)	Leder till stillastående

b)	Leder inte till stillastående

7.1

7.1.1

7.1.2

Systemdetekteringsområden

Framåt

I sidled

7.1.3

Sikt

5.3

Ytterligare andra provningsfall kan bedömas om det anses motiverat av den tekniska tjänsten. Dessa fall kan inbegripa följande:

a)	Motorvägskörfält delas upp (Y-delning).

b)	Fordon kör på eller kör av motorvägen.

c)	Delvis blockerat egokörfält, tunnel.

d)	Trafikljus.

e)	Utryckningsfordon.

f)	Byggzoner.

g)	Otydliga/utplånade/dolda körfältsmarkeringar.

h)	Nöd-/servicepersonal dirigerar trafiken.

i)	Ändring av vägegenskaper (ej längre uppdelad, fotgängare tillåtna, rondell, vägkorsning).

j)	Normalt trafikflöde återupptas (dvs. alla fordon i rörelse > 60 km/h).

5.4

Provning under verkliga förhållanden

Den tekniska tjänsten ska utföra eller bevittna en bedömning av systemet i felfritt skick i trafiken (provning under verkliga förhållanden). Syftet med denna provning är att hjälpa den tekniska tjänsten att förstå hur systemet fungerar i sin driftsmiljö och att komplettera bedömningen av den dokumentation som tillhandahålls enligt bilaga 4.

Tillsammans ska bedömningen av bilaga 4 och provningen under verkliga förhållanden göra det möjligt för den tekniska tjänsten att identifiera de områden av systemprestandan som kan kräva ytterligare bedömning, antingen genom provning eller ytterligare granskning av bilaga 4.

Vid bedömningen under verkliga förhållanden ska den tekniska tjänsten åtminstone bedöma

a)	förhindrande av aktivering när systemet befinner sig utanför sina tekniska gränser/krav för automatiska körfältssystem,

b)	ingen överträdelse av trafikreglerna,

c)	svar på en planerad händelse,

d)	svar på en oplanerad händelse,

e)	detektering av närvaron av andra trafikanter inom detekteringsräckvidden framåt och i sidled,

f)	fordonets beteende som reaktion på andra trafikanter (avstånd till framförvarande fordon, scenario vid körfältsbyte till egofordonets körfält, scenario vid körfältsbyte från egofordonets körfält, osv.),

g)	Åsidosättande av systemet

Platsen för och valet av provningsväg, tidpunkt och omgivningsförhållanden ska bestämmas av den tekniska tjänsten.

Provningskörningen ska registreras och provningsfordonet ska vara utrustat med icke-störande instrument. Den tekniska tjänsten får föra in i loggen för, eller begära loggar från, alla datakanaler som används eller genereras av systemet i den mån som bedöms vara nödvändigt för utvärderingen efter provningen.

Det rekommenderas att provningen under verkliga förhållanden utförs när systemet har godkänts i alla övriga provningar som beskrivs i denna bilaga och efter att den tekniska tjänsten har utfört en riskbedömning.

		ISSN 1977-0820
Europeiska unionens officiella tidning		L 82

Svensk utgåva	Lagstiftning	64 årgången 9 mars 2021

Innehållsförteckning		II Icke-lagstiftningsakter	Sida
		AKTER SOM ANTAS AV ORGAN SOM INRÄTTATS GENOM INTERNATIONELLA AVTAL
	*	FN-föreskrift nr 153 – Enhetliga bestämmelser om godkännande av fordon med avseende på bränslesystemets integritet och det elektriska framdrivningssystemets säkerhet vid påkörning bakifrån [2021/386]	1
	*	FN-föreskrift nr 155 – Enhetliga bestämmelser om godkännande av fordon med avseende på cybersäkerhet och ledningssystem för cybersäkerhet [2021/387]	30
	*	FN-föreskrift nr 156 – Enhetliga bestämmelser om godkännande av fordon med avseende på programvaruuppdateringar och ledningssystem för programvaruuppdateringar [2021/388]	60
	*	FN-föreskrift nr 157 – Enhetliga bestämmelser om godkännande av fordon med avseende på automatiska körfältssystem [2021/389]	75