Kommissionens genomförandeförordning (EU) 2022/1426 av den 5 augusti 2022 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2019/2144 vad gäller enhetliga förfaranden och tekniska specifikationer för typgodkännande av automatiska körsystem i helautomatiserade fordon (Text av betydelse för EES)
Hänvisat till av
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2019/2144 av den 27 november 2019 om krav för typgodkännande av motorfordon och deras släpvagnar samt de system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, med avseende på deras allmänna säkerhet och skydd för personer i fordonet och oskyddade trafikanter, om ändring av Europaparlamentets och rådets förordning (EU) 2018/858 och om upphävande av Europaparlamentets och rådets förordningar (EG) nr 78/2009, (EG) nr 79/2009 och (EG) nr 661/2009 samt kommissionens förordningar (EG) nr 631/2009, (EU) nr 406/2010, (EU) nr 672/2010, (EU) nr 1003/2010, (EU) nr 1005/2010, (EU) nr 1008/2010, (EU) nr 1009/2010, (EU) nr 19/2011, (EU) nr 109/2011, (EU) nr 458/2011, (EU) nr 65/2012, (EU) nr 130/2012, (EU) nr 347/2012, (EU) nr 351/2012, (EU) nr 1230/2012 och (EU) 2015/166, särskilt artikel 11.2, och
1 Genomförandelagstiftning behöver antas för typgodkännande av automatiska körsystem i helautomatiserade fordon, i synnerhet de system som förtecknas i artikel 11.1 a, b, d och f i förordning (EU) 2019/2144. System för övervakning av förartillgänglighet bör inte tillämpas på helautomatiserade fordon i enlighet med artikel 11.1 i förordning (EU) 2019/2144. Det harmoniserade formatet för utbyte av uppgifter för till exempel kolonnkörning med fordon av flera olika märken håller dessutom fortfarande på att standardiseras och ska därför inte tas med i denna förordning i det här skedet. Slutligen bör godkännandet av automatiska körsystem i automatiserade fordon inte omfattas av denna förordning eftersom det avses omfattas med en hänvisning till FN-föreskrift nr 157 om automatiska körfältssystem i bilaga I till förordning (EU) 2019/2144, som innehåller en förteckning över de FN-föreskrifter som tillämpas obligatoriskt i EU.
2 För helfordonstypgodkännande av helautomatiserade fordon bör typgodkännandet av fordonets automatiska körsystem enligt denna förordning kompletteras med de krav som anges i bilaga II del I tillägg 1 till Europaparlamentets och rådets förordning (EU) 2018/858. I nästa steg fortsätter kommissionen att vidareutveckla och senast i juli 2024 anta nödvändiga krav för EU-helfordonstypgodkännande av helautomatiserade fordon som tillverkas i obegränsade serier.
3 Den bedömning av automatiska körsystem i helautomatiserade fordon som föreslås i denna förordning bygger i hög grad på de trafikscenarier som är relevanta för de olika användningsfallen för helautomatiserade fordon. Därför är det nödvändigt att definiera dessa olika användningsfall. Användningsfallen bör regelbundet ses över och vid behov ändras för att täcka ytterligare användningsfall.
4 Det informationsdokument som avses i 24.1 a i förordning (EU) 2018/858 och som ska tillhandahållas av tillverkaren för typgodkännande av automatiska körsystem i helautomatiserade fordon bör baseras på mallen för typgodkännande av helt fordon i bilaga II till kommissionens genomförandeförordning (EU) 2020/683. För att säkerställa ett enhetligt tillvägagångssätt är det dock nödvändigt att ta fram de poster i informationsdokumentet som är relevanta för typgodkännande av automatiska körsystem i helautomatiserade fordon.
5 Med tanke på de automatiska körsystemens komplexitet är det nödvändigt att komplettera prestandakraven och provningarna i denna förordning med dokumentation från tillverkaren som visar att det automatiska körsystemet är fritt från orimliga säkerhetsrisker för personer i fordonet och andra trafikanter i relevanta scenarier och under systemets livstid. Därför är det nödvändigt att fastställa det säkerhetsstyrningssystem som ska införas av tillverkarna, fastställa de parametrar som tillverkare och myndigheter ska använda för de trafikscenarier som är relevanta för automatiska körsystem, fastställa kriterier för bedömning av huruvida tillverkarens säkerhetskoncept avser relevanta trafikscenarier, faror och risker samt fastställa kriterier för bedömning av valideringsresultaten från tillverkaren, särskilt valideringsresultat från virtuella verktygskedjor. Slutligen behöver det specificeras vilka relevanta uppgifter som tillverkaren ska rapportera till typgodkännandemyndigheterna.
6 EU-typgodkännandeintyget och tillhörande bilaga, som avses i artikel 28.1 i förordning (EU) 2018/858 och som ska utfärdas för automatiska körsystem i helautomatiserade fordon, bör baseras på respektive mall i bilaga III till genomförandeförordning (EU) 2020/683. För att säkerställa ett enhetligt tillvägagångssätt är det dock nödvändigt att ta fram de poster i EU-typgodkännandeintyget och tillhörande addendum som är relevanta för typgodkännande av automatiska körsystem i helautomatiserade fordon.
7 Om inte annat följer av bestämmelserna i förordning (EU) 2018/858 och tillämplig EU-lagstiftning påverkar den här förordningen inte medlemsstaternas rätt att reglera cirkulationen av och driftssäkerheten hos helautomatiserade fordon i trafik och i lokaltrafik. Medlemsstaterna är enligt denna förordning inte skyldiga att fördefiniera områden, färdvägar eller parkeringsplatser. De motorfordon som omfattas av denna förordning får endast användas inom tillämpningsområdet för artikel 1.
8 De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från tekniska kommittén för motorfordon.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1 – Tillämpningsområde
Denna förordning är tillämplig på typgodkännande av helautomatiserade fordon av kategorierna M och N med avseende på deras automatiska körsystem i följande användningsfall:
a Helautomatiserade fordon, inbegripet bimodala fordon, som utformats och konstruerats för att transportera passagerare eller varor i ett fördefinierat område.
b Mellan knutpunkter: Helautomatiserade fordon, inbegripet bimodala fordon, som utformats och konstruerats för att transportera passagerare eller varor på en fördefinierad färdväg med fasta start- och slutpunkter för en resa.
c Automatisk parkering: Bimodala fordon med ett helautomatiskt körläge för parkering inom fördefinierade parkeringsplatser. Extern infrastruktur (t.ex. lokaliseringsmarkörer, avkänningssensorer osv.) på parkeringsplatsen får men måste inte användas av systemet för att utföra den dynamiska köruppgiften.
Tillverkaren får ansöka om enskilt typgodkännande eller typgodkännande enligt denna förordning av automatiska körsystem i de fordon som definieras i artikel 2.3 i förordning (EU) 2018/858, förutsatt att fordonen uppfyller kraven i den här förordningen.
Artikel 2 – Definitioner
I denna förordning gäller, utöver definitionerna i förordning (EU) 2018/858 och förordning (EU) 2019/2144, följande definitioner:
1 automatiskt körsystem: hårdvara och programvara som tillsammans fortlöpande kan utföra hela den dynamiska köruppgiften i en viss planerad driftsmiljö.
2 egenskap hos automatiskt körsystem: tillämpning av ett automatiskt körsystems hårdvara och programvara som är utformad för en specifik användning inom en planerad driftsmiljö.
3 funktion i automatiskt körsystem: tillämpning av ett automatiskt körsystems hårdvara och programvara som är utformad för att utföra en specifik del av den dynamiska köruppgiften.
4 dynamisk köruppgift: alla driftsfunktioner och taktiska funktioner i realtid som krävs för att driva fordonet, med undantag för strategiska funktioner såsom reseplanering och val av destinationer och waypoints, inklusive men inte begränsat till följande deluppgifter:
5 driftsfunktioner: funktioner hos en dynamisk köruppgift, som sker under en tidskonstant på millisekunder och som omfattar uppgifter såsom styrutslag för att hålla fordonet inom ett körfält eller bromsning för att undvika en fara.
6 taktiska funktioner: funktioner hos en dynamisk köruppgift, som sker under en tidskonstant på sekunder och som omfattar uppgifter såsom val av körfält, acceptans av tidsluckor och omkörning.
7 fel: onormala förhållanden som kan orsaka ett funktionsavbrott i hårdvara eller programvara.
8 funktionsavbrott: det faktum att en avsedd funktion hos en komponent eller ett system i det automatiska körsystemet slutar fungera på grund av ett uppstått fel.
9 övervakning under drift: uppgifter som samlas in av tillverkaren och uppgifter från andra källor som samlas in för att påvisa det automatiska körsystemets säkerhet i drift.
10 rapportering under drift: uppgifter som tillverkaren rapporterar för att påvisa det automatiska körsystemets säkerhet i drift.
11 det automatiska körsystemets livslängd: tidsperiod under vilken det automatiska körsystemet är tillgängligt i fordonet.
12 det automatiska körsystemets livscykel: tidsperiod som består av faserna konstruktion, utveckling, produktion, drift, service och avveckling.
13 funktionsfel: funktionsavbrott eller oavsiktlig funktion hos en komponent eller ett system i det automatiska körsystemet med avseende på konstruktionssyftet.
14 riskminimeringsmanöver: manöver som syftar till att minimera riskerna i trafiken genom att stanna fordonet under säkra förhållanden (dvs. riskminimeringstillstånd).
15 riskminimeringstillstånd: tillstånd där fordonet står stabilt och stilla och som minskar risken för en kollision.
16 planerad driftsmiljö: driftsförhållanden under vilka ett visst automatiskt körsystem är särskilt utformat för att fungera, inbegripet men inte begränsat till miljömässiga, geografiska och tidsmässiga begränsningar och/eller förekomsten eller frånvaron av vissa trafik- eller vägbaneegenskaper.
17 detektion av och reaktion på föremål och händelser: deluppgifter av den dynamiska köruppgiften som inbegriper övervakning av körmiljön och utförande av lämpliga åtgärder, däribland detektion, igenkänning och klassificering av föremål och händelser samt vid behov förberedelse och utförande av åtgärder.
18 scenario: sekvens eller kombination av situationer som används för att bedöma säkerhetskraven för ett automatiskt körsystem.
19 förväntade trafikscenarier: rimligen förutsebara situationer som det automatiska körsystemet konfronteras med vid drift inom den planerade driftsmiljön. Dessa scenarier representerar det automatiska körsystemets icke-kritiska interaktion med andra trafikanter och resulterar i normal drift av det automatiska körsystemet.
20 kritiska scenarier: scenarier för undantagsfall (t.ex. oväntade förhållanden med exceptionellt låg sannolikhet) och driftsbrister som inte är begränsade till trafikförhållanden utan även omfattar miljöförhållanden (t.ex. kraftigt regn eller lågt solljus som bländar kameror), den mänskliga faktorn, konnektivitet och felkommunikation som leder till nöddrift av det automatiska körsystemet.
21 felscenarier: scenarier relaterade till funktionsavbrott i det automatiska körsystemet och/eller fordonskomponenter som kan innebära fortsatt normal drift eller leda till nöddrift av det automatiska körsystemet beroende på om den lägsta säkerhetsnivån bibehålls eller inte.
22 normal drift: drift av det automatiska körsystemet inom angivna driftsgränser och driftsförhållanden för att utföra den avsedda aktiviteten.
23 nöddrift: drift av det automatiska körsystemet vid händelser som kräver omedelbara åtgärder för att mildra negativa konsekvenser för människors hälsa eller materiella skador.
24 förare ombord: person som, om så är tillämpligt enligt det automatiska körsystemets säkerhetskoncept, befinner sig inuti det helautomatiserade fordonet och som kan
25 fjärrstyrande förare: person som, om så är tillämpligt enligt det automatiska körsystemets säkerhetskoncept, befinner sig utanför det helautomatiserade fordonet och som på avstånd kan utföra samma uppgifter som en förare ombord, under förutsättning att det kan göras på ett säkert sätt.
26 fjärrfunktionalitet: funktionalitet som är särskilt utformad för att stödja fjärrstyrning.
27 R 2022/1426 programvaruidentifikationsnummer (R 2022/1426 SWIN): särskild identitetsbeteckning som fastställts av tillverkaren och som representerar information om det automatiska körsystemets programvara som bidrar till de egenskaper hos det automatiska körsystemet som är relevanta för typgodkännandet.
28 orimlig risk: den övergripande risknivån för passagerare och andra trafikanter, som är förhöjd jämfört med ett manuellt kört fordon i jämförbara transporttjänster och situationer inom den planerade driftsmiljön.
29 funktionell säkerhet: avsaknad av orimliga risker vid förekomst av faror orsakade av funktionsfel.
30 driftssäkerhet: frånvaro av orimlig risk vid förekomst av faror till följd av funktionsbrister i den avsedda funktionen (t.ex. oriktig/missad detektion), driftsstörningar (t.ex. miljöförhållanden såsom dimma, regn, skuggor, solljus, infrastruktur) eller genom rimligen förutsebar felaktig användning eller rimligen förutsebara fel från passagerarnas och andra trafikanters sida (dvs. säkerhetsrisker utan systemfel).
31 kontrollstrategi: strategi för att säkerställa en stabil och säker drift av det automatiska körsystemet som svar på en specifik uppsättning omgivnings- och/eller driftsförhållanden (t.ex. vägförhållanden, andra trafikanter, ogynnsamma väderförhållanden, överhängande kollisionsrisk, funktionsavbrott, uppnående av den planerade driftsmiljöns gränser). Detta kan inbegripa tillfälliga funktionsbegränsningar (t.ex. en minskning av den maximala driftshastigheten), riskminimeringsmanövrer, undvikande eller mildring av kollisioner, fjärrstyrning, osv.
32 tid till kollision: tiden innan en kollision inträffar mellan berörda fordon/föremål/subjekt om de färdas med konstant hastighet och med beaktande av deras kurs.
33 fordonstyp med avseende på automatiskt körsystem: helautomatiserade fordon som inte skiljer sig åt i sådana väsentliga avseenden som
34 bimodala fordon: helautomatiserade fordon (med förarsäte) som är utformade och tillverkade
35 trafikföretag: företag som tillhandahåller en transporttjänst med ett eller flera helautomatiserade fordon.
Artikel 3 – Administrativa bestämmelser och tekniska specifikationer för typgodkännande av automatiska körsystem i helautomatiserade fordon
1 De relevanta posterna i det informationsdokument som lämnats in i enlighet med artikel 24.1 a i förordning (EU) 2018/858 med ansökan om typgodkännande av automatiska körsystem i helautomatiserade fordon, ska bestå av information avseende det systemet i enlighet med bilaga I.
2 Typgodkännandet av automatiska körsystem i helautomatiserade fordon ska omfattas av de tekniska specifikationer som anges i bilaga II. Dessa specifikationer ska bedömas av godkännandemyndigheterna eller deras tekniska tjänster i enlighet med bilaga III.
3 Det EU-typgodkännandeintyg för en typ av automatiskt körsystem i ett helautomatiserat fordon som avses i artikel 28.1 i förordning (EU) 2018/858 ska upprättas i enlighet med bilaga IV.
Artikel 4 – Ikraftträdande
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
1 EUT L 325, 16.12.2019, s. 1.
2 EUT L 82, 9.3.2021, s. 75.
3 Europaparlamentets och rådets förordning (EU) 2018/858 av den 30 maj 2018 om godkännande av och marknadstillsyn över motorfordon och släpfordon till dessa fordon samt av system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, om ändring av förordningarna (EG) nr 715/2007 och (EG) nr 595/2009 samt om upphävande av direktiv 2007/46/EG (EUT L 151, 14.6.2018, s. 1).
4 Kommissionens genomförandeförordning (EU) 2020/683 av den 15 april 2020 om genomförande av Europaparlamentets och rådets förordning (EU) 2018/858 vad gäller de administrativa kraven för godkännande och marknadskontroll av motorfordon och släpfordon till dessa fordon samt av system, komponenter och separata tekniska enheter som är avsedda för sådana fordon (EUT L 163, 26.5.2020, s. 1).
BILAGA I
MALL
Informationsdokument nr … för EU-typgodkännande av en helautomatiserad fordonstyp med avseende på det automatiska körsystemet.
Följande upplysningar ska lämnas i tre exemplar tillsammans med en innehållsförteckning. Alla ritningar eller bilder ska tillhandahållas i lämplig skala och vara tillräckligt detaljerade i A4-format eller vikta till A4-format. Eventuella fotografier ska vara tillräckligt detaljerade.
0. ALLMÄNT
0.1 Fabrikat (tillverkarens firmanamn):
0.2 Typ:
0.2.1 Eventuella handelsbeteckningar:
0.2.2 För etappvis godkända fordon, ange typgodkännandeuppgifter om grundfordonet/fordonet i föregående etapp för varje etapp. (Detta kan göras med en matris) Typ: Variant(er): Version(er): Typgodkännandeintygets nummer, inklusive utökningsnummer: …
0.3 Metod för identifiering av typ, om sådan märkning finns på fordonet/komponenten/den separata tekniska enheten:
0.3.1 Märkningens placering:
0.4 Fordonskategori:
0.5 Tillverkarens företagsnamn och adress:
0.5.1 För etappvis godkända fordon, företagsnamn på och adress till tillverkaren av grundfordonet/fordonet i föregående etapp(er): …
0.6 Placering av föreskrivna skyltar samt fastsättningsmetod och placering av fordonets identifieringsnummer: …
0.6.1 På chassit: …
0.6.2 På karosseriet: …
0.8 Namn på och adress(er) till monteringsanläggning(ar):
0.9 Namn på och adress till tillverkarens eventuella ombud:
17.1 Allmän beskrivning av det automatiska körsystemet
17.1.1 Planerad driftsmiljö/gränsvillkor
17.1.2 Grundläggande prestanda (t.ex. detektion av och reaktion på föremål och händelser osv.)
17.2 Beskrivning av det automatiska körsystemets funktioner
17.2.1 Huvudsakliga funktioner i det automatiska körsystemet (funktionell arkitektur)
17.2.1.1 Fordonsinterna funktioner
17.2.1.2 Fordonsexterna funktioner (t.ex. backend-system, nödvändig infrastruktur utanför fordonet, nödvändiga operativa åtgärder)
17.3 Översikt över det automatiska körsystemets huvudkomponenter
17.3.1 Styrenheter
17.3.2 Sensorer och installation av sensorer på fordonet
17.3.3 Manöverdon
17.3.4 Kartor och positionering
17.3.5 Annan maskinvara
17.4 Det automatiska körsystemets utformning och scheman
17.4.1 Schematisk översikt av systemets utformning (t.ex. blockschema)
17.4.2 Förteckning och schematisk översikt över sammanlänkningar
17.5 Specifikationer
17.5.1 Specifikationer vid normal drift
17.5.2 Specifikationer vid nöddrift
17.5.3 Acceptanskriterier
17.5.4 Styrkande av att kraven uppfylls
17.6 Säkerhetskoncept
17.6.1 Tillverkarens förklaring om att fordonet inte medför orimliga risker
17.6.2 Skiss över programvaruarkitekturen (t.ex. blockdiagram)
17.6.3 Metod för att fastställa hur det automatiska körsystemets logik ska förverkligas
17.6.4 Allmän förklaring av de viktigaste konstruktionsbestämmelserna som är inbyggda i det automatiska körsystemet för att generera säker drift vid feltillstånd, vid driftsstörningar och vid förekomst av förhållanden som skulle gå utöver den planerade driftsmiljön
17.6.5 Allmän beskrivning av huvudprinciperna för funktionsavbrottshantering, reservstrategi inklusive riskreduceringsstrategi (riskminimeringsmanöver)
17.6.6 Villkor för att utlösa en begäran till föraren ombord eller den fjärrstyrande föraren
17.6.7 Samspel mellan människa och maskin avseende passagerare i fordonet, förare ombord och fjärrstyrande förare, bl.a. skydd mot enkel otillåten aktivering/styrning och ingrepp
17.7 Tillverkarens verifiering och validering av prestandakraven, inklusive detektion av och reaktion på föremål och händelser (OEDR), användargränssnitt, respekten för trafikreglerna och slutsatsen att systemet är utformat på ett sådant sätt att det inte medför orimliga risker för passagerarna och andra trafikanter
17.7.1 Beskrivning av det valda tillvägagångssättet
17.7.2 Urval förväntade scenarier, kritiska scenarier och felscenarier
17.7.3 Beskrivning av de metoder och verktyg som använts (programvara, laboratorium, annat) och sammanfattning av trovärdighetsbedömningen
17.7.4 Beskrivning av resultaten
17.7.5 Resultatens osäkerhet
17.7.6 Tolkning av resultaten
17.7.7 Tillverkarens försäkran: Tillverkaren … intygar att det automatiska körsystemet inte medför orimliga säkerhetsrisker för passagerarna och andra trafikanter.
17.8 Det automatiska körsystemets dataelement
17.8.1 Typ av lagrade data
17.8.2 Lagringsplats
17.8.3 Registrerade händelser och dataelement
17.8.4 Metod för att säkerställa datasäkerhet och uppgiftsskydd
17.8.5 Metod för att få tillgång till uppgifterna
17.9 Cybersäkerhet och programvaruuppdatering
17.9.1 Typgodkännandenummer för cybersäkerhet
17.9.2 Nummer på intyget om överensstämmelse för ledningssystem för cybersäkerhet:
17.9.3 Typgodkännandenummer för programvaruuppdatering:
17.9.4 Nummer på intyget om överensstämmelse för hanteringssystem för programvaruuppdatering
17.9.5 Programvaruidentifiering för det automatiska körsystemet
17.9.5.1 Information om hur RxSWIN avläses (eller programvaruversionen om RxSWIN inte anges i fordonet)
17.9.5.2 Ange i tillämpliga fall relevanta parametrar som gör det möjligt att identifiera de fordon som kan uppdateras med den programvara som representeras av RxSWIN i punkt 17.9.4.1
17.10 Drifthandbok (bifogas informationsdokumentet)
17.10.1 Funktionsbeskrivning av det automatiska körsystemet och förväntade roller för ägare, trafikföretag, förare ombord, fjärrstyrande förare osv.
17.10.2 Tekniska åtgärder för säker drift (t.ex. beskrivning av den infrastruktur som krävs utanför fordonet, tidpunkter, frekvens och mall för underhållsarbete)
17.10.3 Restriktioner avseende drift och miljö
17.10.4 Operativa åtgärder (t.ex. om det krävs en förare ombord eller en fjärrstyrande förare)
17.10.5 Instruktioner om funktionsavbrott uppstår och vid begäran från det automatiska körsystemet (säkerhetsåtgärder som passagerare, trafikföretag, föraren ombord samt fjärrstyrande förare och offentliga myndigheter ska vidta vid fel i driften)
17.11 Medel som möjliggör periodiska trafiksäkerhetsprovningar Förteckning över figurer/tabeller Förkortningar Bilaga I – Simuleringshandbok Bilaga II – Drifthandbok Förklarande anmärkning Detta informationsdokument innehåller den information som är relevant för det automatiska körsystemet och ska fyllas i enligt mallen i bilaga I till kommissionens genomförandeförordning (EU) 2020/683.
BILAGA II
1. Dynamisk köruppgift i förväntade trafikscenarier
1.1 Det automatiska körsystemet ska kunna utföra hela den dynamiska köruppgiften.
1.1.1 Det automatiska körsystemets förmåga att utföra hela den dynamiska köruppgiften ska fastställas inom ramen för det automatiska körsystemets planerade driftsmiljö.
1.1.2 Som en del av den dynamiska köruppgiften ska det automatiska körsystemet kunna a) verka vid säkra hastigheter och följa de hastighetsbegränsningar som gäller för fordonet, b) hålla lämpligt avstånd till andra trafikanter genom att kontrollera fordonets rörelse i sidled och i längsgående riktning, c) anpassa sitt beteende till trafikförhållandena omkring fordonet (t.ex. genom att undvika avbrott i trafikflödet) på ett lämpligt, säkerhetsinriktat sätt, d) anpassa sitt beteende efter säkerhetsrisker och ge högsta prioritet åt skydd av människoliv.
1.1.3 Systemet ska agera förebyggande gentemot andra trafikanter för att säkerställa ett stabilt, lågdynamiskt beteende i längsled och ett riskminimerande beteende när kritiska situationer kan komma att uppstå, t.ex. med oskymda eller skymda oskyddade trafikanter (fotgängare, cyklister osv.) eller andra fordon som korsar vägen eller gör ett snävt körfältsbyte framför det helautomatiserade fordonet.
1.1.4 Den dynamiska köruppgiftens krav ska uppfyllas i motsatt riktning om backning krävs eller uppges i den planerade driftsmiljön.
1.2 Det automatiska körsystemet ska detektera och reagera på lämpligt sätt när det gäller föremål och händelser som är relevanta för den dynamiska köruppgiften inom den planerade driftsmiljön. Sådana föremål och händelser kan omfatta men är inte begränsade till a) motorfordon och andra trafikanter, såsom motorcyklar, cyklar, skotrar, rullstolsburna, fotgängare och hinder (t.ex. skräp, tappad last), b) trafikolyckor, c) trafikstockningar, d) vägarbeten, e) tjänstemän inom trafiksäkerhet och brottsbekämpning, f) utryckningsfordon, g) vägmärken och vägmarkeringar, h) miljöförhållanden (t.ex. lägre hastighet på grund av regn eller snö).
1.3 Det automatiska körsystemet ska följa trafikreglerna i det land där det är i drift.
1.3.1 Det automatiska körsystemet ska ha ett säkert samspel med andra trafikanter och följa trafikreglerna, t.ex. genom att a) signalera planerade manövrer (t.ex. körriktningsvisare), b) använda en ljudvarning vid behov, c) ha ett säkert samspel med tjänstemän inom trafiksäkerhet och brottsbekämpning, vägarbetare, räddningstjänstpersonal, väginspektörer osv., d) det automatiska körsystemets status ska kunna avläsas av tjänstemän inom trafiksäkerhet och brottsbekämpning när det gäller bimodala fordon (manuell körning eller helautomatisk körning).
1.3.2 Om det inte finns några särskilda trafikregler på plats får fordon med automatiska körsystem som är avsedda för stående eller icke-fastspända passagerare inte överskrida en total horisontal acceleration på 2,4 m/s2 (ett absolutvärde som beräknas genom att kombinera tvärgående och längsgående acceleration) och accelerationens förändringshastighet får inte överskrida 5 m/s3. Med hänsyn till faktorer som påverkar risken för passagerare och andra trafikanter kan det vara lämpligt att överskrida dessa gränser, t.ex. vid nöddrift.
2. Dynamisk köruppgift i kritiska trafikscenarier (nöddrift)
2.1 Det automatiska körsystemet ska kunna utföra den dynamiska köruppgiften i alla rimligen förutsebara trafikscenarier i den planerade driftsmiljön.
2.1.1 Det automatiska körsystemet ska kunna detektera risken för kollision med andra trafikanter eller ett hinder som plötsligt dyker upp (skräp, tappad last) och ska automatiskt utföra lämpliga åtgärder (inbromsning, undanmanöver) för att undvika rimligen förutsebara kollisioner och minimera säkerhetsriskerna för fordonspassagerarna och andra trafikanter.
2.1.1.1 Om en situation uppstår med en oundviklig alternativ risk för människors liv ska det automatiska körsystemet inte tillämpa någon viktning baserat på individernas personliga särdrag.
2.1.1.2 Skydd av människors liv utanför det helautomatiserade fordonet ska inte vara underställt skydd av människors liv inuti det helautomatiserade fordonet.
2.1.2 De berörda trafikanternas sårbarhet bör beaktas i strategin för kollisionsundvikande/riskreducering.
2.1.3 Efter undanmanövern ska fordonet sträva efter att återfå en stabil position så snabbt som det är tekniskt möjligt.
2.1.4 Signalen för aktivering av varningsblinkrar ska genereras automatiskt i enlighet med trafikreglerna. Om det helautomatiserade fordonet automatiskt kör i väg igen ska signalen för att avaktivera varningsblinkrar genereras automatiskt.
2.1.5 Vid en trafikolycka med det helautomatiserade fordonet ska det automatiska körsystemet försöka stoppa det helautomatiserade fordonet och försöka utföra en riskminimeringsmanöver för att uppnå ett riskminimeringstillstånd. Det ska inte vara möjligt för det automatiska körsystemet att återuppta normal drift innan det helautomatiserade fordonets säkra och driftsdugliga skick har bekräftats med hjälp av systemets egna kontroller och/eller kontroller som utförs av föraren ombord (i tillämpliga fall) eller den fjärrstyrande föraren (i tillämpliga fall).
3. Dynamisk köruppgift vid den planerade driftsmiljöns gränser
3.1 Det automatiska körsystemet ska känna igen villkor och gränser för sin planerade driftsmiljö.
3.1.1 Det automatiska körsystemet ska kunna fastställa om villkoren för att aktivera det automatiska körsystemet är uppfyllda.
3.1.2 Det automatiska körsystemet ska detektera och reagera när en eller flera av villkoren för den planerade driftsmiljön inte är uppfyllda eller inte längre är uppfyllda.
3.1.3 Det automatiska körsystemet måste kunna förutse när den planerade driftsmiljön lämnas.
3.1.4 Tillverkaren ska fastställa villkor och gränser för den planerade driftsmiljön.
3.1.4.1 Villkor för den planerade driftsmiljön som det automatiska körsystemet ska kunna upptäcka är bl.a. a) nederbörd (regn, snö), b) tidpunkt på dagen, c) ljusstyrka, även när belysningsanordningar används, d) dis, dimma, e) väg- och körfältsmarkeringar, f) vägkategori (t.ex. antal körfält, separata körfält), g) geografiskt område (i tillämpliga fall).
3.1.5 När det automatiska körsystemet når gränserna för den planerade driftsmiljön ska det utföra en riskminimeringsmanöver för att nå ett riskminimeringstillstånd och ge varningsinformation om detta till föraren ombord (i förekommande fall) eller den fjärrstyrande föraren (i förekommande fall).
4. Dynamisk köruppgift i felscenarier
4.1 Det automatiska körsystemet ska detektera och reagera på funktionsfel relaterade till systemet eller fordonet.
4.1.1 Det automatiska körsystemet ska självdiagnosera fel och funktionsavbrott.
4.1.2 Det automatiska körsystemet ska utvärdera sin förmåga att utföra hela den dynamiska köruppgiften.
4.1.2.1 Det automatiska körsystemet ska agera på ett säkert sätt i händelse av ett fel eller ett funktionsavbrott i det automatiska körsystemet som inte har en betydande påverkan på systemets prestanda.
4.1.2.2 Det automatiska körsystemet ska utföra en riskminimeringsmanöver för att nå ett riskminimeringstillstånd om funktionsavbrott uppstår i det automatiska körsystemet och/eller något annat fordonssystem som förhindrar det automatiska körsystemet från att utföra den dynamiska köruppgiften.
4.1.2.3 Om ett allvarligt funktionsavbrott detekteras ska det automatiska körsystemet omedelbart signalera detta tillsammans med information om därav följande driftstatus till passagerarna, föraren ombord (i förekommande fall) eller fjärrstyrande förare (i förekommande fall) samt andra trafikanter i enlighet med trafikreglerna (t.ex. genom att aktivera varningsblinkrar).
4.1.2.4 Om funktionsavbrott påverkar fordonets broms- eller styrprestanda ska riskminimeringsmanövern utföras med beaktande av återstående prestanda.
5. Riskminimeringsmanöver och riskminimeringstillstånd
5.1 Under riskminimeringsmanövern ska det helautomatiserade fordonet med det automatiska körsystemet saktas ned med sikte på en retardation som är högst 4,0 m/s2 och stanna av helt på säkrast möjliga plats med hänsyn till omgivande trafikförhållanden och väginfrastruktur. Retardationsvärdet får överskridas i händelse av ett allvarligt funktionsavbrott på det automatiska körsystemet eller det helautomatiserade fordonet.
5.2 Det automatiska körsystemet ska signalera sin avsikt att placera det helautomatiserade fordonet i ett riskminimeringstillstånd. Denna information ska ges till passagerarna i det helautomatiserade fordonet samt andra trafikanter i enlighet med trafikreglerna (t.ex. genom att aktivera varningsblinkrar).
5.3 Det helautomatiserade fordonet ska endast lämna riskminimeringstillståndet efter bekräftelse från det automatiska körsystemets egna kontroller och/eller från föraren ombord (i tillämpliga fall) eller den fjärrstyrande föraren (i tillämpliga fall) att orsaken eller orsakerna till riskminimeringstillståndet inte längre föreligger.
6. Interaktion mellan människa och maskin
6.1 Passagerare i ett helautomatiserat fordon ska få lämplig information när detta krävs för säker drift och vad gäller säkerhetsrisker.
6.2 Om en fjärrstyrande förare är en del av det automatiska körsystemets säkerhetskoncept ska det finnas möjlighet för passagerare i det helautomatiserade fordonet att ringa upp en fjärrstyrande förare med hjälp av ett audiovisuellt gränssnitt i fordonet. Entydiga skyltar ska användas för det audiovisuella gränssnittet (t.ex. ISO 7010 E004).
6.3 Det automatiska körsystemet ska tillhandahålla en möjlighet för passagerare att begära en riskminimeringsmanöver som stoppar det helautomatiserade fordonet. I nödsituationer ska a) automatiskt manövrerade dörrar i fordon utrustade med sådana låsas upp automatiskt när det är riskfritt att göra så, b) passagerare ges möjlighet att ta sig ur fordonet när det är stillastående (genom att öppna dörrarna eller via en nödutgång).
6.4 Om en fjärrstyrande förare är en del av det automatiska körsystemets säkerhetskoncept ska det finnas ett sätt att visuellt övervaka det helautomatiserade fordonets passagerarutrymme (t.ex. kameror enligt kapitel 6 i ISO 16505:2019) samt området kring fordonet så att den fjärrstyrande föraren kan bedöma situationen inuti och utanför fordonet.
6.5 Om en fjärrstyrande förare är en del av det automatiska körsystemets säkerhetskoncept ska den fjärrstyrande föraren kunna öppna den maskinellt manövrerade på- och avstigningsdörren genom fjärrmanövrering.
6.6 Det automatiska körsystemet ska aktivera berörda fordonssystem vid behov och när så är tillämpligt (t.ex. öppna dörrar, aktivera vindrutetorkare vid regn, värmesystem, osv.)
7. Funktionssäkerhet och driftssäkerhet
7.1 Tillverkaren ska visa att godtagbar hänsyn har tagits till det automatiska körsystemets funktionssäkerhet och driftsmässiga säkerhet under konstruktions- och utvecklingsprocessen. De åtgärder som tillverkaren har infört ska säkerställa att det helautomatiserade fordonet inte utgör någon orimlig säkerhetsrisk för passagerare och andra trafikanter under fordonets livslängd jämfört med jämförbara transporttjänster och situationer i driftsmiljön.
7.1.1 Tillverkaren ska fastställa acceptanskriterier och det automatiska körsystemets validitetsmål ska härledas från dessa för att utvärdera den kvarstående risken för den planerade driftsmiljön med beaktande av, när så är möjligt, befintliga olycksdata, prestandauppgifter gällande kompetent och aktsamt framförda manuella fordon samt den senaste tekniken.
7.2 Tillverkaren ska ha processer för att hantera det automatiska körsystemets säkerhet och löpande efterlevnad under dess livstid (slitage på komponenter, särskilt sensorer, nya trafikscenarier osv.).
8. Cybersäkerhet och programvaruuppdateringar
8.1 Det automatiska körsystemet ska vara skyddat från obehörig åtkomst i enlighet med FN-föreskrift nr 155.
8.2 Det automatiska körsystemet ska stödja programvaruuppdateringar. Effektiviteten hos förfarandena för programvaruuppdatering och processer gällande det automatiska körsystemet ska påvisas genom överensstämmelse med FN-föreskrift nr 156.
8.2.1 I enlighet med vad som anges i föreskrifterna för programvaruuppdateringen och hanteringssystemet för programvaruuppdateringar ska ett R2022/1426SWIN programvaruidentifikationsnummer användas. Detta R2022/1426SWIN kan finnas på fordonet eller, om det inte finns något R2022/1426SWIN på fordonet ska tillverkaren ange programvaruversioner för fordonet eller för enskilda elektroniska styrenheter och deras samband till relevanta typgodkännanden till typgodkännandemyndigheten.
8.2.2 Tillverkaren ska tillhandahålla följande information i informationsdokumentet: a) R2022/1426SWIN. b) Hur man utläser R2022/1426SWIN eller programvaruversioner om R2022/1426SWIN inte finns på fordonet.
8.2.3 Tillverkaren får i informationsdokumentet tillhandahålla en förteckning över de relevanta parametrar som gör det möjligt att identifiera de fordon som kan uppdateras med den programvara som representeras av R2022/1426SWIN. Den information som tillhandahålls ska anges av tillverkaren och kontrolleras eventuellt inte av en typgodkännandemyndighet.
8.2.4 Tillverkaren kan erhålla ett nytt typgodkännande av fordon för att särskilja de programvaruversioner som är avsedda att användas i fordon som redan är registrerade på marknaden från de programvaruversioner som används i nya fordon. Detta kan omfatta situationer där bestämmelserna om typgodkännande uppdateras eller ändringar görs av maskinvaran i serietillverkade fordon. Enligt överenskommelse med typgodkännandemyndigheten ska dubbla provningar undvikas om så är möjligt.
9. Datakrav för det automatiska körsystemet och särskilda dataelement för registreringsapparater för händelsedata i helautomatiserade fordon
9.1 Det automatiska körsystemet ska registrera följande händelser när det automatiska körsystemet är aktiverat:
9.1.1 Aktivering/återinitiering av det automatiska körsystemet (om tillämpligt).
9.1.2 Avaktivering av det automatiska körsystemet (om tillämpligt).
9.1.3 Begäran som skickas av det automatiska körsystemet till den fjärrstyrande föraren (om tillämpligt).
9.1.4 Begäran/inmatning som skickas av den fjärrstyrande föraren (om tillämpligt).
9.1.5 Inledning av nöddrift.
9.1.6 Avslutning av nöddrift.
9.1.7 Inblandning i en detekterad kollision.
9.1.8 Registreringsapparaten för händelsedata (EDR) ger upphov till insignaler.
9.1.9 Det automatiska körsystemet aktiverar en riskminimeringsmanöver.
9.1.10 Det helautomatiserade fordonet når riskminimeringstillstånd.
9.1.11 Funktionsavbrott i det automatiska körsystemet (beskrivning).
9.1.12 Fordonsfel.
9.1.13 Inledning av körfältsbyte.
9.1.14 Avslutning av körfältsbyte.
9.1.15 Avbrytande av körfältsbyte.
9.1.16 Inledning av avsiktligt korsande av körfält.
9.1.17 Avslutning av avsiktligt korsande av körfält.
9.2 Händelseflaggor för punkterna 9.1.13, 9.1.14, 9.1.16 och 9.1.17 behöver lagras endast om de inträffar inom 30 sekunder före händelserna i punkt 9.1.5, 9.1.7, 9.1.15 eller 9.1.8.
9.3 Det automatiska körsystemets dataelement
9.3.1 För varje händelse som förtecknas i punkt 9.1 ska följande dataelement registreras på ett tydligt identifierbart sätt:
9.3.2 Den registrerade händelseflaggan.
9.3.3 Skäl till händelsen, när så är lämpligt.
9.3.4 Datum (tidsupplösning: åååå/mm/dd).
9.3.5 Position (GPS-koordinater).
9.3.6 Tidsstämpel: a) tidsupplösning: tt/mm/ss tidszon, t.ex. 12:59:59 UTC, b) noggrannhet: ± 1,0 s.
9.4 För varje registrerad händelse ska RXSWIN eller de programvaruversioner som anger vilken programvara som användes då händelsen inträffade vara tydligt identifierbara.
9.5 En enda tidsstämpel kan tillåtas för flera element som registrerats samtidigt inom de specifika dataelementens tidsupplösning. Om mer än ett element registreras med samma tidsstämpel ska informationen från de enskilda elementen ange den kronologiska ordningen.
9.6 Datatillgänglighet
9.6.1 Det automatiska körsystemets dataelement ska finnas tillgängliga enligt kraven i unionens lagstiftning eller nationell lagstiftning.
9.6.2 När lagringsgränserna har uppnåtts ska de befintliga uppgifterna endast skrivas över efter ett urvalsförfarande som bygger på att de äldsta uppgifterna skrivs över först, med principen att de relevanta kraven för tillgång till uppgifter ska iakttas. Dokumenterad bevisning rörande lagringskapaciteten ska tillhandahållas av tillverkaren.
9.6.3 För fordon i kategori M1 och N1 ska det vara möjligt att få tillgång till dataelementen även efter en kollision med en allvarlighetsgrad som fastställs i FN-föreskrifterna nr 94, 95 eller 137.
9.6.4 För fordon i kategorierna M2, M3, N2 och N3 ska dataelementen som förtecknas i 9.2 vara tillgängliga även efter en kollision. För att visa denna förmåga finns följande alternativ: Alternativ I a) En mekanisk stöt ska anbringas mot eventuella datalagringsenheter ombord med en allvarlighetsgrad som fastställs i komponentprovningen i bilaga 9C i ändringsserie 03 till FN-föreskrift nr 100, och b) en datalagringsenhet eller datalagringsenheter ombord ska monteras i fordonets passagerarutrymme eller på en plats med tillräcklig konstruktionsmässig integritet för att skydda mot materiella skador som skulle kunna förhindra inhämtning av uppgifter. Detta ska påvisas för det tekniska organet med lämpliga handlingar (t.ex. beräkningar eller simulationer). Alternativ II c) Tillverkaren påvisar att kraven i avsnitt 9.6.3 är uppfyllda (t.ex. för M2/N2-fordon grundat på M1/N1).
9.6.5 Om fordonets huvudsakliga strömförsörjning ombord inte är tillgänglig ska det fortfarande vara möjligt att ta fram alla uppgifter som registrerats.
9.6.6 Uppgifter som lagras ska vara lätta att avläsa på ett standardiserat sätt genom användning av ett elektroniskt kommunikationsgränssnitt, åtminstone via det standardiserade gränssnittet (OBD-port).
9.7 Särskilda dataelement för registreringsapparater för händelsedata i helautomatiserade fordon
9.7.1 För fordon som utrustats med en registreringsapparat för händelsedata enligt artikel 6 i förordning (EU) 2019/2144 gäller att det ska vara möjligt att genom det standardiserade gränssnittet (OBD-port) kunna inhämta de dataelement från det automatiska körsystemet som anges i avsnitt 9.3.1 och 9.3.2 och som registrerats under de 30 sekunder som föregick den senaste registreringen av händelseflaggan Registreringsapparaten för händelsedata ger upphov till insignaler, samt de dataelement som anges i FN-föreskrift nr 160, bilaga 4 (Dataelement och format).
9.7.2 Om ingen sådan händelse som anges i avsnitt 9.1 har ägt rum under de 30 sekunder som föregick den senaste registreringen av händelseflaggan Registreringsapparaten för händelsedata ger upphov till insignaler ska det vara möjligt att förutom dataelementen från registreringsapparaten minst kunna inhämta dataelementen relaterade till de senaste händelserna inom samma kraftcykel som anges i avsnitt 9.1.1 och 9.1.2.
9.7.3 De dataelement som inhämtats enligt avsnitt 9.7.1 eller 9.7.2 ska inte innehålla datum, tidsstämpel eller någon annan uppgift som kan användas för att identifiera fordonets, dess användare eller ägare. Tidsstämpeln ska i stället ersättas med uppgifter som representerar tidsskillnaden mellan händelseflaggan Registreringsapparaten för händelsedata ger upphov till insignaler och händelseflaggan för respektive dataelement från det automatiska körsystemet.
9.8 Tillverkaren ska tillhandahålla anvisningar om hur man får tillgång till uppgifterna.
9.9 Skydd mot manipulation
9.9.1 Tillräckligt skydd mot manipulation av lagrade data (t.ex. radering av data) ska säkerställas genom exempelvis en utformning som förhindrar manipulation.
10. Manuellt körläge
10.1 Om det automatiska körsystemet tillåter manuell körning i underhållssyfte eller om det helautomatiserade fordonet tillhandahåller en möjlighet att ta över efter en riskminimeringsmanöver ska fordonet vara begränsat till 6 km/tim och vara försett med hjälpmedel som gör det möjligt för den person som kör fordonet att göra detta på ett säkert sätt enligt tillverkarens säkerhetskoncept. Förutom vid funktionsavbrott ska det automatiska körsystemet fortsätta att detektera hinder (t.ex. fordon, fotgängare) i manöverområdet och hjälpa föraren att omedelbart stoppa fordonet för att undvika en kollision.
10.2 Om den manuella körningen är begränsad till 6 km/tim behöver föraren inte befinna sig i det helautomatiserade fordonet. Kontrollen kan utövas via fjärrstyrning i närheten av fordonet under förutsättning att fordonet befinner sig i förarens direkta synfält. Fjärrstyrning får endast ske på ett största avstånd av 10 meter.
10.3 Om fordonet är avsett att framföras i hastigheter över 6 km/tim vid manuell körning ska fordonet anses vara ett bimodalt fordon.
11. Drifthandbok
11.1 Tillverkaren ska utarbeta en drifthandbok. Syftet med drifthandboken är att säkerställa säker drift av det helautomatiserade fordonet med hjälp av utförliga instruktioner till ägaren, passagerare, trafikföretag, förare ombord, fjärrstyrande förare och alla relevanta nationella myndigheter. Om det helautomatiserade fordonet tillåter manuell körning i underhållssyfte eller för att ta över efter en riskminimeringsmanöver ska även detta ingå i drifthandboken.
11.2 Drifthandboken ska innehålla en funktionell beskrivning av det automatiska körsystemet.
11.3 Drifthandboken ska innehålla tekniska åtgärder (t.ex. kontroller och underhåll av fordonet och infrastrukturen utanför fordonet, transportkrav och krav på fysisk infrastruktur såsom lokaliseringsmarkörer och avkänningssensorer), operativa begränsningar (t.ex. hastighetsbegränsning, särskilt körfält, fysisk avskiljning från mötande trafik), miljöförhållanden (t.ex. ingen snö) och operativa åtgärder (t.ex. krav på förare ombord eller fjärrstyrande förare) som krävs för att garantera säker drift av det helautomatiserade fordonet.
11.4 Drifthandboken ska innehålla instruktioner för passagerare, trafikföretag, förare ombord (i förekommande fall) och fjärrstyrande förare (i förekommande fall) och offentliga myndigheter vid funktionsavbrott och vid begäran från det automatiska körsystemet.
11.5 I drifthandboken ska regler fastställas för att se till att underhåll, allmänna provningar och andra undersökningar utförs på ett tillfredsställande sätt.
11.6 Drifthandboken ska lämnas till typgodkännandemyndigheten tillsammans med ansökan om typgodkännande och ska bifogas typgodkännandeintyget.
11.7 Drifthandboken ska göras tillgänglig för ägaren och, i tillämpliga fall, trafikföretaget, föraren ombord (i förekommande fall), den fjärrstyrande föraren (i förekommande fall) och alla relevanta nationella myndigheter.
12. Bestämmelser för periodiska trafiksäkerhetsprovningar
12.1 Vid periodiska provningar av trafiksäkerheten ska det vara möjligt att kontrollera följande egenskaper hos det automatiska körsystemet:
a Korrekt driftstatus genom okulärbesiktning av felvarningssignalens status efter aktivering av fordonets huvudströmbrytare och eventuell kontroll av glödlampor. Om felvarningssignalen visas i ett gemensamt utrymme (det område där två eller flera informationsfunktioner eller symboler kan visas, men inte samtidigt), måste det först kontrolleras att det gemensamma utrymmet fungerar innan felvarningssignalen kontrolleras.
b Systemets funktionalitet och programvarans integritet med hjälp av ett elektroniskt fordonsgränssnitt, såsom det som fastställs i punkt I.14 i bilaga III till Europaparlamentets och rådets direktiv 2014/45/EU, om fordonets tekniska egenskaper tillåter det och de nödvändiga uppgifterna har gjorts tillgängliga. Tillverkarna ska säkerställa att teknisk information för användning av det elektroniska fordonsgränssnittet tillhandahålls i enlighet med artikel 6 i kommissionens genomförandeförordning (EU) 2019/621.
1 Baserat på aktuella uppgifter om bussar, långfärdsbussar, lastbilar och bilar i EU skulle t.ex. ett vägledande aggregerat acceptanskriterium på 10–7 dödsolyckor per driftstimme övervägas för marknadsinförande av automatiska körsystem för motsvarande transporttjänster och situationer. Tillverkaren får använda andra mätvärden och metoder under förutsättning att det kan påvisas att det inte innebär någon orimlig säkerhetsrisk jämfört med jämförbara transporttjänster och situationer inom den planerade driftsmiljön.
2 EUT L 82, 9.3.2021, s. 30.
3 EUT L 82, 9.3.2021, s. 60.
4 En lagringskapacitet på 2500 tidsstämplar som motsvarar en användningsperiod på sex månader rekommenderas.
5 EUT L 392, 5.11.2021, s. 1.
6 EUT L 392, 5.11.2021, s. 62.
7 EUT L 392, 5.11.2021, s. 130.
8 EUT L 449, 15.12.2021, s. 1.
9 EUT L 265, 26.7.2021, s. 3.
10 Europaparlamentets och rådets direktiv 2014/45/EU av den 3 april 2014 om periodisk provning av motorfordons och tillhörande släpvagnars trafiksäkerhet och om upphävande av direktiv 2009/40/EG (EUT L 127, 29.4.2014, s. 51).
11 Kommissionens genomförandeförordning (EU) 2019/621 av den 17 april 2019 om den tekniska information som krävs för trafiksäkerhetsprovning av de komponenter som ska provas, om användningen av de rekommenderade testmetoderna och om fastställande av detaljerade regler om dataformat och förfaranden för tillgång till den relevanta tekniska informationen (EUT L 108, 23.4.2019, s. 5).
BILAGA III
Den övergripande bedömningen av det automatiska körsystemets överensstämmelse baseras på följande:
Del 1: Trafikscenarier att beakta.
Del 2: Bedömning av det automatiska körsystemets säkerhetskoncept och granskning av tillverkarens säkerhetsstyrningssystem.
Del 3: Provningar av de mest relevanta trafikscenarierna.
Del 4: Principer för trovärdighetsbedömning för användning av en virtuell verktygskedja vid validering av det automatiska körsystemet.
Del 5: Det system som fastställts av tillverkaren för att säkerställa rapportering under drift.
Kraven i bilaga II får kontrolleras med hjälp av provningar som utförs av typgodkännandemyndigheten (eller den myndighetens tekniska tjänst).
DEL 1 TRAFIKSCENARIER ATT BEAKTA
1. Minsta uppsättning trafikscenarier
1.1 De scenarier och parametrar som förtecknas i avsnitt 1 ska användas om dessa scenarier är relevanta för det automatiska körsystemets planerade driftsmiljö. Om tillverkaren avviker från de parametrar som förslås i avsnitt 1 ska mätmetoderna för säkerhetsprestanda och de antaganden som tillverkaren har använt dokumenteras i dokumentationsmaterialet. Mätmetoderna för säkerhetsprestanda och de antaganden som har valts ska påvisa att det helautomatiserade fordonet inte utgör någon orimlig säkerhetsrisk. Giltigheten hos dessa mätmetoder för säkerhetsprestanda och antaganden ska understödjas av övervakningsdata från fordonet när det är i drift.
1.2 Parametrar som ska tillämpas i scenarier där det helautomatiserade fordonet byter fil
1.2.1 Scenarier och parametrar för filbyte ska tillämpas i enlighet med FN-föreskrift nr 157.
1.3 Parametrar som ska tillämpas i scenarier där det helautomatiserade fordonet svänger och korsar vägbanan
1.3.1 I avsaknad av mer specifika trafikregler ska hänsyn tas till följande krav vad gäller samspelet med andra inblandade trafikanter när fordonet svänger och korsar vägbanan (se figur 1) och vägytan är torr och i gott skick:
1.3.2 Vid sammangående körfält där en trafikström har företräde, vare sig trafiken i motsatt riktning korsas eller inte, ska trafiken som har företräde i målfältet inte behöva sakta ned. Det måste dock säkerställas att TTC (tid till kollision) för trafiken med företräde som närmar sig på målvägen (fall a i figur 1) aldrig hamnar under gränsvärdet TTCdyn som beräknas enligt följande: TTC dyn v e v a 2•β ρ där ve är det helautomatiserade fordonets hastighet, va är hastigheten för trafiken med företräde som närmar sig, β är 3 m/s2: den högsta tillåtna hastighetsminskningen för trafiken med företräde som närmar sig, ρ är 1,5 s: reaktionstiden för trafiken med företräde som närmar sig.
1.3.3 Vid svängning där trafiken i motsatt riktning korsas och med avseende på mötande trafik ska trafik som har företräde i målfilen inte behöva sakta ned. Om det är motiverat av trafiktätheten måste det dock säkerställas – förutom avståendet till trafiken som har företräde på målvägen och som närmar sig – att TTC för den korsande trafiken med företräde till den fiktiva kollisionspunkten (punkten där färdvägarna korsas, fall b) i figur 1) aldrig hamnar under gränsvärdet TTCint som beräknas enligt följande: TTC int v c 2•β ρ där vc är hastigheten för trafiken med företräde på konfliktkurs, β är 3 m/s2, den högsta tillåtna hastighetsminskningen för korsande trafik med företräde, ρ är 1,5 s: reaktionstiden för korsande trafik med företräde. Samma gäller när trafik med företräde korsas (fall c) i figur 1): TTC för trafiken med företräde till den fiktiva kollisionspunkten (punkten där färdvägarna korsas) får aldrig hamna under gränsvärdet TTCint som definieras i denna punkt. Figur 1: Visualisering av avstånd vid svängning och korsande. Fall a): Avstånd till trafik med företräde som närmar sig i målfältet och som ska iakttas vid sväng och körfältsbyte till trafik med företräde. Fall b): Avstånd till mötande trafik med företräde som ska iakttas vid sväng där körfält för mötande trafik korsas. Fall c): Avstånd till korsande trafik med företräde som ska iakttas vid korsande.
1.4 Parametrar som ska tillämpas i scenarier där det helautomatiserade fordonet utför en nödmanöver (dynamisk köruppgift i kritiska scenarier)
1.4.1 Det automatiska körsystemet ska undvika en kollision med ett framförvarande fordon som bromsar in med sin fulla bromsverkan, under förutsättning att inget snävt körfältsbyte gjorts av ett annat fordon.
1.4.2 Kollisioner med fordon som gör snäva körfältsbyten, fotgängare och cyklister som färdas i samma riktning samt med fotgängare som kan börja korsa vägbanan ska undvikas minst inom de förhållanden som fastställs med hjälp av följande ekvation: TTC cut in v rel 2•β ρ 1 2τ där TTC cut in är tid till kollision vid den tidpunkt då fordonet eller cyklisten gör en snäv sidorörelse som inkräktar på det helautomatiserade fordonets körfält med mer än 30 cm, vrel är relativ hastighet i meter per sekund [m/s] mellan det helautomatiserade fordonet och fordonet som gör ett snävt körfältsbyte (positivt om det automatiska körsystemet är snabbare än fordonet som byter körfält), β är det helautomatiserade fordonets maximala retardation som antas vara lika med 2,4 m/s2 om det transporterar stående eller icke-fastspända passagerare i ett scenario där ett fordon gör ett snävt körfältsbyte, 6 m/s2 om det transporterar stående eller icke-fastspända passagerare i andra scenarier med fotgängare eller cyklister, 6 m/s2 för andra helautomatiserade fordon, ρ är den tid det helautomatiserade fordonet behöver för att påbörja en nödbromsning, som antas vara 0,1 s, τ är den tid det tar att uppnå maximal retardation β och antas vara lika med 0,12 s för helautomatiserade fordon som transporterar stående eller icke-fastspända passagerare, 0,3 s för andra helautomatiserade fordon. Efterlevnad av denna ekvation krävs endast när trafikanter gör snäva körfältsbyten och endast om dessa trafikanter var synliga under minst 0,72 s innan de gjorde bytet. Detta innebär att kollisionsundvikande krävs när en annan trafikant kommer in på egokörfältet över följande värden för TTC (visas i form av exempel för hastigheter i intervall om 10 km/tim). Dessa krav måste uppfyllas oavsett miljöförhållanden. vrel[km/tim] TTC cut in [s] för fordon med stående eller icke-fastspända passagerare TTC cut in [s] för övriga fordon 10 0,74 0,48 20 1,32 0,71 30 1,9 0,94 40 2,47 1,18 50 3,05 1,41 60 3,63 1,64 Om ett körfältsbyte med en lägre TTC görs in i det helautomatiserade fordonets körfält kan man inte längre förutsätta att det inte kommer att förekomma något kollisionsundvikande. Det automatiska körsystemets kontrollstrategi får endast välja mellan att undvika eller mildra en kollision om tillverkaren kan påvisa att detta ökar säkerheten för fordonets passagerare och andra trafikanter (t.ex. genom att prioritera inbromsning över en alternativ manöver).
1.4.3 Det automatiska körsystemet ska undvika kollision med fotgängare eller cyklister som korsar vägen framför fordonet.
1.4.3.1 Körförhållanden i stad och på landsbygd
1.4.3.1.1 Vid en hastighet på upp till 60 km/tim ska det automatiska körsystemet undvika kollision med oskymda fotgängare som korsar vägen med en hastighetskomponent i sidled på högst 5 km/tim eller oskymda cyklister som korsar vägen med en hastighetskomponent i sidled på högst 15 km/tim framför fordonet. Detta ska säkerställas oberoende av den specifika manöver som det automatiska körsystemet utför.
1.4.3.1.2 Om fotgängaren eller cyklisten har en högre hastighet än enligt ovan och det automatiska körsystemet inte längre kan undvika en kollision får det automatiska körsystemets kontrollstrategi endast välja mellan att undvika eller mildra en kollision om tillverkaren kan påvisa att detta ökar säkerheten för fordonets passagerare och andra trafikanter (t.ex. genom att prioritera inbromsning över en alternativ manöver).
1.4.3.1.3 Det automatiska körsystemet ska mildra en kollision med en skymd fotgängare eller cyklist som korsar vägen framför fordonet genom att minska hastigheten i sammanstötningsögonblicket med minst 20 km/tim. Detta ska säkerställas oberoende av den specifika manöver som det automatiska körsystemet utför.
1.4.3.1.4 För att visa att ovanstående krav uppfylls avseende fotgängare och cyklister som korsar vägen framför fordonet kan scenarier för provning och utvärdering som utvecklats inom ramen för det europeiska utvärderingsprogrammet för nya bilar (Euro NCAP) användas som riktlinjer.
1.4.3.2 Körförhållanden på motorväg
1.4.3.2.1 Berörda scenarier avseende korsande fotgängare ska tillämpas i enlighet med FN-föreskrift nr 157.
1.4.3.2.2 Om fotgängaren korsar med parametervärden som ligger utanför de gränser som fastställs i FN-föreskrift nr 157 och det automatiska körsystemet inte kan undvika en kollision får det automatiska körsystemets kontrollstrategi endast välja mellan att undvika eller mildra en kollision om tillverkaren kan påvisa att detta ökar säkerheten för fordonets passagerare och andra trafikanter (t.ex. genom att prioritera inbromsning över en alternativ manöver).
1.5 Motorvägspåfart Det helautomatiserade fordonet ska kunna köra in på motorvägen på ett säkert sätt genom att anpassa hastigheten till trafikflödet, samt aktivera relevant körriktningsvisare i enlighet med trafikreglerna. Körriktningsvisaren ska avaktiveras när fordonet har utfört manövern för körfältsbyte. De parametrar som användes i scenariot för körfältsbyte ska tillämpas.
1.6 Motorvägsavfart Det helautomatiserade fordonet ska kunna förutse den motorvägsavfart som är målet genom att köra i det körfält som ansluter till avfarten och ska inte minska hastigheten i onödan innan körfältsbytet till avfartsvägen påbörjas. Det helautomatiserade fordonet ska aktivera körriktningsvisaren i enlighet med trafikreglerna och utföra körfältsbytet till avfartsvägen utan onödigt dröjsmål. Körriktningsvisaren ska avaktiveras när körfältsbytet har avslutats i enlighet med trafikreglerna i det land där fordonet är i drift.
1.7 Passage vid betalstation Beroende på den planerade driftsmiljön ska det helautomatiserade fordonet kunna välja korrekt körfält för passage och anpassa hastigheten efter vad som tillåts inom stationen och med hänsyn till trafikflödet.
1.8 Drift på andra typer av vägar än motorvägar Beroende på den planerade driftsmiljön ska det berörda scenario som fastställs i punkt 1.2–1.4 tillämpas.
1.9 Parametrar som ska tillämpas vid automatisk parkeringsservice
1.9.1 Beroende på den planerade driftsmiljön ska de berörda scenarier som fastställs i punkt 1.3–1.5 ovan tillämpas. De parametrar som ska tillämpas i dessa scenarier kan behöva anpassas för att ta hänsyn till den begränsade körhastighet och allmänt bristande sikt som kan förekomma i en parkeringsanläggning. Speciell uppmärksamhet ska ägnas åt att undvika kollision med fotgängare och barn och barnvagnar i synnerhet.
2. Scenarier som inte omfattas av punkt 1
2.1 Scenarier som inte förtecknas i punkt 1 ska genereras för att omfatta rimligen förutsebara kritiska situationer, t.ex. funktionsavbrott och trafikfaror i den planerade driftsmiljön.
2.2 Om det automatiska körsystemet förlitar sig på fjärrstyrning ska scenarierna inbegripa funktionsavbrott och trafikfaror som grundar sig i denna fjärrfunktionalitet.
2.3 Metoden för att generera scenarier som inte förtecknas i punkt 1 ska följa de principer som anges i tillägg 1 till del 1 i denna bilaga.
2.4 Den metod som tillverkaren använder för att generera scenarier som inte förtecknas i punkt 1 ska dokumenteras i dokumentationsmaterialet som ska tillhandahållas för bedömningen av det automatiska körsystemet.
DEL 2 BEDÖMNING AV DET AUTOMATISKA KÖRSYSTEMETS SÄKERHETSKONCEPT OCH GRANSKNING AV TILLVERKARENS SÄKERHETSSTYRNINGSSYSTEM
1. Allmänt
1.1 Den typgodkännandemyndighet, eller tekniska service som handlar för denna myndighets räkning, som beviljar typgodkännandet ska genom riktade stickprovskontroller och provningar – särskilt enligt vad som anges i punkt 4 i denna bilaga – kontrollera att de säkerhetsargument som förs fram i dokumentationen uppfyller kraven i bilaga II och att den konstruktion och de processer som beskrivs i dokumentationen faktiskt genomförs av tillverkaren.
1.2 Med utgångspunkt i den dokumentation som tillhandahållits, bevis som tillhandahållits för granskningen av säkerhetsstyrningssystemet och bedömningen av det automatiska körsystemets säkerhetskoncept som utförts på ett för typgodkännandemyndigheten tillfredsställande sätt enligt denna förordning, anses den kvarstående nivån för säkerhetsrisker hos det typgodkända automatiska körsystemet vara godtagbar för fordonstypens ibruktagande, men den totala säkerheten för det automatiska körsystemet under det automatiska körsystemets livslängd i enlighet med kraven i denna förordning faller fortsatt inom ansvarsområdet för den tillverkare som har begärt typgodkännandet.
2. Definitioner
I denna bilaga gäller följande definitioner:
2.1 säkerhetskoncept: beskrivning av de åtgärder som införts i det automatiska körsystemet så att det helautomatiserade fordonet fungerar i de scenarier och händelser som är relevanta för den planerade driftsmiljön på ett sådant sätt att det är fritt från orimliga säkerhetsrisker för passagerare och andra trafikanter i händelse av fel (funktionell säkerhet) och under felfria förhållanden (driftsmässig säkerhet). Möjligheten att övergå till partiell drift eller ett reservsystem för vitala funktioner i det automatiska körsystemet ska ingå i säkerhetskonceptet.
2.2 enheter: de minsta uppdelningar av systemkomponenter som är av intresse i denna bilaga, eftersom kombinationer av komponenter kommer att betraktas som individuella enheter för identifiering, analys eller byte.
2.3 transmissionslänkar: anordningar som används för att koppla samman utspridda enheter i syfte att överföra signaler, driftsdata eller energi. Denna utrustning är normalt elektrisk men kan delvis vara mekanisk, pneumatisk eller hydraulisk.
2.4 kontrollintervall: det intervall för en utsignalvariabel över vilket systemet sannolikt kan utöva kontroll.
2.5 gräns för funktionell drift: de yttre fysiska gränser inom vilka det automatiska körsystemet kan utföra de dynamiska köruppgifterna.
3. Dokumentation om det automatiska körsystemet
3.1 Krav
Tillverkaren ska tillhandahålla ett dokumentationspaket där det redogörs för det automatiska körsystemets grundläggande konstruktion och för hur det är kopplat till de andra fordonssystemen eller hur det direkt kontrollerar utsignalvariablerna samt extern maskinvara/programvara och fjärrfunktionalitet.
Det automatiska körsystemets funktion eller funktioner, inklusive kontrollstrategierna och säkerhetskonceptet, enligt tillverkarens konstruktion ska förklaras.
Dokumentationen ska vara kortfattad men innehålla belägg för att konstruktionen och utvecklingen har utnyttjat sakkunskap från alla områden som det automatiska körsystemet berör.
För regelbundet återkommande trafiksäkerhetsprovningar ska det i dokumentationen beskrivas hur det automatiska körsystemets aktuella driftsstatus samt funktionaliteten och programvarans integritet kan kontrolleras.
Typgodkännandemyndigheten ska bedöma om dokumentationspaketet visar att det automatiska körsystemet
a är konstruerat och har utvecklats för att fungera på ett sådant sätt att det inte medför orimliga risker för passagerare och andra trafikanter inom den planerade driftsmiljön och de planerade gränserna,
b uppfyller prestandakraven i bilaga II till denna förordning,
c har utvecklats enligt den utvecklingsprocess eller utvecklingsmetod som anges av tillverkaren.
3.1.1 Dokumentationen ska bestå av följande tre delar: a) Ansökan om typgodkännande: Det informationsdokument som lämnas in till typgodkännandemyndigheten vid tidpunkten för ansökan om typgodkännande ska innehålla kortfattad information om de punkter som förtecknas i bilaga I. Det kommer att utgöra en del av typgodkännandet. b) Det formella dokumentationspaketet för typgodkännandet, med det material som anges i denna punkt 3 (med undantag för vad som anges i punkt 3.5.5), vilket ska lämnas in till typgodkännandemyndigheten i syfte att genomföra det automatiska körsystemets typgodkännande. Typgodkännandemyndigheten kommer att använda dokumentationspaketet som den grundläggande referensen för det kontrollförfarande som beskrivs i punkt 4 i denna bilaga. Typgodkännandemyndigheten ska säkerställa att detta dokumentationspaket förblir tillgängligt under en period på minst tio år räknat från den tidpunkt då produktionen av fordonstypen definitivt upphör. c) Ytterligare konfidentiellt material och konfidentiella analysuppgifter (immateriella rättigheter) i punkt 3.5.5 som ska bevaras av tillverkaren, men som ska göras tillgängliga för inspektion (t.ex. på plats i tillverkarens konstruktionsanläggningar) vid tidpunkten för det automatiska körsystemets typgodkännande. Tillverkaren ska säkerställa att materialet och analyserna förblir tillgängliga under en period på minst tio år räknat från den tidpunkt då produktionen av fordonstypen definitivt upphör.
3.2 Allmän beskrivning av det automatiska körsystemet
3.2.1 En beskrivning ska tillhandahållas som ger en enkel förklaring av det automatiska körsystemets operativa egenskaper och dess funktioner.
3.2.2 Beskrivningen ska omfatta följande:
3.2.2.1 Den planerade driftsmiljön, exempelvis högsta drifthastighet, vägtyp (t.ex. särskilt körfält), verksamhetsländer eller verksamhetsområden, krav på vägförhållanden och miljöförhållanden (t.ex. ingen snö) osv. samt gränsvillkor.
3.2.2.2 Grundläggande prestanda (t.ex. detektion av och reaktion på föremål och händelser, extern infrastruktur som krävs vid drift).
3.2.2.3 Samspel med andra trafikanter.
3.2.2.4 Huvudsakliga villkor för riskminimeringsmanövrer.
3.2.2.5 Konceptet för samspel med passagerare, föraren ombord (i förekommande fall) och den fjärrstyrande föraren (i förekommande fall).
3.2.2.6 De metoder för att aktivera eller avaktivera det automatiska körsystemet som finns tillgängliga för föraren ombord (i tillämpliga fall) eller den fjärrstyrande föraren (i tillämpliga fall), passagerare (i tillämpliga fall) eller andra trafikanter (i tillämpliga fall).
3.2.2.7 Operativa åtgärder (t.ex. krav på förare ombord eller fjärrstyrande förare) som måste uppfyllas för att garantera säkerheten vid drift av det helautomatiserade fordonet.
3.2.2.8 Backend-infrastruktur utanför fordonet som krävs för att garantera säker drift av det helautomatiserade fordonet.
3.3 Beskrivning av det automatiska körsystemets funktioner
En beskrivning ska tillhandahållas som ger en förklaring av alla funktioner, inklusive kontrollstrategier som säkerställer stabil och säker drift av det automatiska körsystemet, och de metoder som används för att utföra de dynamiska köruppgifterna inom den planerade driftsmiljön och de gränser inom vilka det automatiska körsystemet är konstruerat att vara i drift, inklusive en beskrivning av hur detta säkerställs.
Alla aktiverade eller inaktiverade automatiska körfunktioner för vilka hårdvaran och programvaran finns i fordonet vid tidpunkten för tillverkningen ska anges och omfattas av kraven i denna bilaga och bilaga II till denna förordning innan de används i fordonet. Tillverkaren ska också dokumentera databehandlingen om algoritmer för kontinuerligt lärande tillämpas.
3.3.1 En förteckning över alla insignalvariabler och avkända variabler ska tillhandahållas och deras driftsintervall ska anges, jämte en beskrivning av hur varje variabel påverkar det automatiska körsystemets funktioner.
3.3.2 En förteckning över alla utsignalvariabler som kontrolleras av det automatiska körsystemet ska tillhandahållas och en förklaring ges, i samtliga fall, om huruvida kontrollen utövas direkt eller via ett annat fordonssystem. Det intervall för varje sådan variabel över vilket det automatiska körsystemet sannolikt kan utöva kontroll ska definieras.
3.3.3 Gränserna för funktionell drift, inklusive den planerade driftsmiljöns gränser, ska anges där de påverkar det automatiska körsystemets prestanda.
3.3.4 Konceptet för samspel mellan människa och maskin med passagerare/förare ombord/fjärrstyrande förare (i förekommande fall) när den planerade driftsmiljöns gränser närmar sig och sedan uppnås ska förklaras. Förklaringen ska omfatta en förteckning av de typer av situationer där det automatiska körsystemet kommer att generera en begäran om stöd från föraren ombord/den fjärrstyrande föraren (i tillämpliga fall), hur begäran framställs, förfarandet vid en misslyckad begäran och riskminimeringsmanövern. Signaler och information som ges till föraren ombord/den fjärrstyrande föraren, passagerare och andra trafikanter avseende var och en av ovanstående aspekter ska också beskrivas.
3.4 Det automatiska körsystemets utformning och scheman
3.4.1 Komponentförteckning En förteckning ska lämnas in över alla det automatiska körsystemets enheter, med uppgift om de andra fordonssystemen samt extern maskinvara/programvara och fjärrfunktionalitet som krävs för att uppnå angiven prestanda för det automatiska körsystemet som ska godkännas, enligt dess planerade driftsmiljö. Ett översiktligt schema som visar dessa enheter i kombination med varandra ska lämnas, där enheternas fördelning och kopplingarna mellan dem framgår klart. Denna översikt ska innehålla följande uppgifter: a) Uppfattning och detektion av föremål och händelser, inklusive kartläggning och positionering. b) Beskrivning av beslutsfattande. c) Det automatiska körsystemets dataelement. d) Länkar till och gränssnitt mot andra fordonssystem, extern maskinvara/programvara och fjärrfunktionalitet.
3.4.2 Enheternas funktioner Funktionen för varje enhet i det automatiska körsystemet ska anges, och de signaler som sammanbinder den med andra enheter eller fordonssystem ska visas. Här ingår även externa system som stöder det automatiska körsystemet och andra fordonssystem. Detta kan göras med ett uppmärkt blockschema eller med en beskrivning med ett sådant schema som stöd.
3.4.3 Sammankopplingarna i det automatiska körsystemet ska visas med ett kretsschema för elektriska kopplingar, rörschema för pneumatiska eller hydrauliska kopplingar och ett förenklat diagram för mekaniska kopplingar. Transmissionskopplingar både till och från andra system ska också visas.
3.4.4 Kopplingarna ska tydligt överensstämma med de signaler som förmedlas mellan enheterna. Signalprioritet på multiplexdataförbindelser ska anges i de fall då prioriteten kan påverka funktion eller säkerhet.
3.4.5 Identifiering av enheter
3.4.5.1 Varje enhet ska vara klart och otvetydigt identifierbar (t.ex. genom märkning för hårdvara och märkning eller utsignal för programvara) så att rätt utrustning kan knytas till motsvarande dokumentation. Om en programvaruversion kan ändras utan att märkningen eller komponenten behöver bytas ut, får programvaruidentifieringen endast ske genom utsignal för programvara.
3.4.5.2 I de fall flera funktioner kombineras i en enda enhet eller inom en enda dator, men visas i flera block i blockschemat för klarhetens och tydlighetens skull, ska en enda maskinvaruidentifiering användas. Tillverkaren ska med hjälp av denna identifiering bekräfta att den levererade utrustningen överensstämmer med motsvarande dokument.
3.4.5.3 Identifieringen ska ange hårdvaru- och mjukvaruversion, och när mjukvaran ändras så att enhetens funktion ändras på ett sätt som berör denna förordning ska denna identifiering också ändras.
3.4.6 Installation av avkänningssystemets komponenter Tillverkaren ska tillhandahålla information om installationsalternativ för de enskilda komponenter som avkänningssystemet består av. Dessa alternativ ska omfatta, men är inte begränsade till, komponentens placering i/på fordonet, det eller de material som omger komponenten, dimensioneringen och geometrin hos det material som omger komponenten och ytbehandlingen av de material som omger komponenten, när den har installerats i fordonet. Informationen ska även omfatta installationsspecifikationer som är avgörande för det automatiska körsystemets prestanda, t.ex. toleranser för installationsvinkeln. Ändringar av avkänningssystemets enskilda komponenter eller installationsalternativ ska anmälas till typgodkännandemyndigheten och bli föremål för ytterligare bedömning.
3.5 Tillverkarens säkerhetskoncept och tillverkarens validering av säkerhetskonceptet
3.5.1 Tillverkaren ska intyga att det automatiska körsystemet inte medför orimliga risker för passagerarna och andra trafikanter.
3.5.2 Beträffande det automatiska körsystemets mjukvara ska arkitekturen förklaras och de metoder och verktyg som använts vid konstruktionen ska anges (se 3.5.1). Tillverkaren ska visa hur systemlogikens implementation valdes under konstruktions- och utvecklingsprocessen för det automatiska körsystemet.
3.5.3 Tillverkaren ska förse typgodkännandemyndigheten med en förklaring av de av det automatiska körsystemets konstruktionsegenskaper som är avsedda att säkerställa den funktionella och driftsmässiga säkerheten. Tänkbara konstruktionsegenskaper hos det automatiska körsystemet är exempelvis a) återgång till drift med ett partiellt system, b) redundans med ett separat system, c) ett antal system som utför samma funktion, d) avlägsnande eller begränsande av den eller de automatiska körfunktionerna.
3.5.3.1 Om den valda konstruktionen väljer ett partiellt driftläge under vissa felförhållanden (t.ex. vid allvarliga funktionsavbrott) ska dessa förhållanden anges (t.ex. typ av funktionsavbrott) jämte de resulterande effektivitetsgränser som fastställts (t.ex. omedelbar initiering av en riskminimeringsmanöver) samt strategin för att varna föraren/den fjärrstyrande föraren, passagerare och andra trafikanter (i tillämpliga fall).
3.5.3.2 Om den valda konstruktionen innebär att en andra metod (reserv) eller andra medel används för att utföra den uppgift som påverkas av felet, ska principerna för övergången, logiken, redundansnivån och den eventuella inbyggda kontrollen förklaras, och de resulterande effektivitetsgränserna ska anges.
3.5.3.3 Om den valda konstruktionen väljer att ta bort den automatiska körfunktionen eller körfunktionerna ska detta göras i enlighet med de tillämpliga bestämmelserna i denna förordning. Alla motsvarande kontrollutsignaler som hör samman med denna funktion ska undertryckas.
3.5.4 Tillverkaren ska även förse typgodkännandemyndigheten med en förklaring av de åtgärder för driftsmässig säkerhet som ska vidtas för säker drift av det automatiska körsystemet, t.ex. en förare ombord eller en fjärrstyrande förare, stödinfrastruktur utanför fordonet, transportkrav och krav på fysisk infrastruktur, underhållsåtgärder osv.
3.5.5 Dokumentationen ska styrkas genom en analys som visar hur det automatiska körsystemet kommer att fungera för att minska eller undvika risker som kan påverka passagerarnas och andra trafikanters säkerhet.
3.5.5.1 Den eller de valda analysmetoderna ska anges och följas av tillverkaren och ska kunna inspekteras av typgodkännandemyndigheten vid tidpunkten för typgodkännande och därefter.
3.5.5.2 Typgodkännandemyndigheten ska göra en bedömning av tillämpningen av analysmetoden eller analysmetoderna: a) Inspektion av säkerhetsstrategin på konceptnivå. Strategin ska baseras på en riskanalys/riskbedömning som lämpar sig för systemsäkerhet. b) Inspektion av säkerhetsstrategin på systemnivå för det automatiska körsystemet, inklusive en uppifrån-och-ned-strategi (från möjlig fara till konstruktion) och en nedifrån-och-upp-strategi (från konstruktion till möjliga faror). Säkerhetsstrategin ska bygga på en FMEA-analys (Failure Mode and Effect Analysis), en felträdsanalys (Fault Tree Analysis, FTA) och en systemteoretisk processanalys (System-Theoretic Process Analysis, STPA) eller någon liknande metod som är lämplig med avseende på systemets funktionella och driftsmässiga säkerhet. c) Inspektion av validerings-/verifieringsplaner och resultat, inklusive lämpliga acceptanskriterier. Detta ska inbegripa provningar som är lämpliga för validering, t.ex. provning genom hardware-in-the-loop (HIL), driftsprovning av fordon på väg, provning med verkliga slutanvändare eller någon annan provning som är lämplig för validering/verifiering. Resultaten av valideringen och verifieringen kan bedömas genom analys av de olika provningarnas omfattning och fastställande av minimitröskelvärden för täckningen för olika mått.
3.5.5.3 Genom analysmetoden i punkt 3.5.5.2 ska det bekräftas att minst var och en av följande punkter omfattas: i) Problem rörande samverkan med andra fordonssystem (t.ex. bromsning, styrning). ii) Funktionsavbrott i det automatiska körsystemet och systemets riskreducerande åtgärder. iii) Situationer inom den planerade driftsmiljön när det automatiska körsystemet kan skapa orimliga säkerhetsrisker för passagerarna och andra trafikanter på grund av driftsstörningar (t.ex. brist på eller felaktig förståelse av fordonsmiljön, bristande förståelse av reaktionen från föraren/den fjärrstyrande föraren, passagerarna eller andra trafikanter, otillräcklig kontroll, utmanande scenarier). iv) Identifiering av relevanta scenarier inom de gränsvillkor och den hanteringsmetod som används för att välja scenarier och valideringsverktyg. v) Beslutsprocess som leder till utförandet av de dynamiska köruppgifterna (t.ex. nödmanövrer), för samverkan med andra trafikanter och i enlighet med nationella trafikregler. vi) Rimligen förutsebar felaktig användning från passagerares/andra trafikanters sida, misstag eller missförstånd från förarens/den fjärrstyrande förarens/passagerarnas/andra trafikanters sida (t.ex. oavsiktligt åsidosättande) och avsiktlig manipulering av det automatiska körsystemet. vii) Cyberhot som påverkar det automatiska körsystemets säkerhet (ska omfattas av den analys som utförs enligt FN-föreskrift nr 155 om cybersäkerhet och ledningssystem för cybersäkerhet). viii) Frågor som rör driftsmässig säkerhet: problem med stödinfrastrukturen utanför fordonet, problem med den fjärrstyrande föraren, förlust av konnektivitet, bristande underhåll osv.
3.5.5.4 Typgodkännandemyndighetens bedömning ska bestå av stickprov för att fastställa att argumentationen till stöd för säkerhetskonceptet är begriplig och logisk och genomförs i det automatiska körsystemets olika funktioner. Bedömningen ska också kontrollera att valideringsplanerna är tillräckligt robusta för att påvisa säkerheten (t.ex. att det valda valideringsverktyget har en rimlig täckning av provningen av valda scenarier) och har slutförts på vederbörligt sätt.
3.5.5.4.1 Den ska påvisa att driften av det helautomatiserade fordonet inte medför orimliga risker för passagerarna och andra trafikanter inom den planerade driftsmiljön, dvs. genom a) ett övergripande valideringsmål (dvs. övergripande acceptanskriterier för validering) som stöds av valideringsresultaten och visar att ibruktagandet av det automatiska körsystemet på det hela taget inte kommer att öka risknivån för passagerare och andra trafikanter jämfört med manuellt körda fordon, och b) en scenariospecifik metod (dvs. scenariobaserade acceptanskriterier för validering) som visar att det automatiska körsystemet på det hela taget inte kommer att öka risknivån för passagerare och andra trafikanter jämfört med manuellt körda fordon för vart och ett av de säkerhetsrelevanta scenarierna,
3.5.5.5 Typgodkännandemyndigheten ska utföra provningar enligt punkt 4 i denna bilaga för att kontrollera säkerhetskonceptet eller kräva att sådana provningar utförs.
3.5.5.6 I dokumentationen ska de parametrar som övervakas förtecknas, och för varje funktionsavbrott av den typ som anges i punkt 3.5.4 i denna bilaga ska den varningssignal anges som ska ges till föraren/den fjärrstyrande föraren/passagerarna/andra trafikanter och/eller till den personal som utför service eller tekniska inspektioner.
3.5.5.7 Dokumentationen ska beskriva de åtgärder som vidtagits för att se till att det automatiska körsystemet inte medför orimliga risker för passagerarna och andra trafikanter när det automatiska körsystemet påverkas av omgivningsförhållanden, t.ex. väderförhållanden, temperatur, damm, vatten, is, otjänlig väderlek.
4. Kontroll och provning
Med beaktande av resultaten från den analys som utförts av tillverkarens dokumentationspaket ska typgodkännandemyndigheten begära att provningar utförs eller bevittnas av den tekniska tjänsten för att kontrollera vissa punkter som följer av bedömningen.
4.1 Det automatiska körsystemets funktion, såsom redovisad i den dokumentation som krävs enligt punkt 3, ska provas på följande sätt:
4.1.1 Kontroll av det automatiska körsystemets funktion Typgodkännandemyndigheten ska kontrollera det automatiska körsystemet under funktionsavbrottsfria förhållanden genom att på en bana prova ett antal utvalda funktioner, som typgodkännandemyndigheten anser vara nödvändiga, från dem som beskrivs av tillverkaren och genom att kontrollera det automatiska körsystemets allmänna funktioner under verkliga körförhållanden, inklusive efterlevnad av trafikreglerna. Dessa provningar ska omfatta scenarier där det automatiska körsystemet åsidosätts av den fjärrstyrande föraren (i tillämpliga fall). Dessa provningar kan baseras på de provningsscenarier som förtecknas i del 3 av denna bilaga och/eller ytterligare scenarier som inte omfattas av del 3.
4.1.1.1 Provningsresultaten ska stämma överens med den beskrivning, inklusive de kontrollstrategier, som tillhandahålls av tillverkaren i punkt 3.2 och ska uppfylla prestandakraven i denna förordning.
4.1.2 Kontroll av det automatiska körsystemets säkerhetskoncept Det automatiska körsystemets reaktion ska kontrolleras när det påverkas av ett funktionsavbrott i någon individuell enhet genom att motsvarande utsignaler påförs elektriska enheter eller mekaniska element för att simulera effekterna av interna funktionsfel i enheten. Typgodkännandemyndigheten ska kontrollera att dessa provningar omfattar aspekter som kan påverka fordonets manövrerbarhet och användarinformation (användargränssnittsaspekter, dvs. samspel med föraren/den fjärrstyrande föraren).
4.1.2.1 Typgodkännandemyndigheterna ska också kontrollera ett antal scenarier som är av avgörande betydelse för detektion av och reaktion på föremål och händelser (Object and Event Detection and Response, OEDR) samt karakterisering av det automatiska körsystemets funktioner rörande beslutsfattande och användargränssnitt (t.ex. objekt som är svåra att upptäcka, när det automatiska körsystemet når den planerade driftsmiljöns gränser, konnektivitetsproblem, problem med externa system, problem med fjärrfunktionalitet, t.ex. avsaknad av fjärrstyrande förare) enligt definitionen i denna förordning.
4.1.2.2 Resultaten av kontrollen ska stämma överens med sammanfattningen av riskanalysen i dokumentationen, med en sådan nivå på den totala inverkan att det kan anses bekräftat att säkerhetskonceptet och dess tillämpning är tillräckliga och förenliga med kraven i denna förordning.
4.2 Simuleringsverktyg och matematiska modeller för att kontrollera säkerhetskonceptet får användas i enlighet med bilaga VIII till förordning (EU) 2018/858, särskilt för scenarier som är svåra att genomföra på en provbana eller under verkliga körförhållanden. Tillverkarna ska påvisa simuleringsverktygets omfattning, dess giltighet för det berörda scenariot samt den validering som utförts för simuleringsverktygskedjan (korrelation mellan resultatet och fysiska provningar). Principerna som anges i del 4 av denna bilaga ska tillämpas för att validera simuleringsverktyget. Simulering får inte ersätta fysisk provning enligt del 3 i denna bilaga.
4.3 Tillverkaren ska ha ett giltigt intyg om överensstämmelse för det säkerhetsstyrningssystem som är relevant för den fordonstyp som ska godkännas.
5. Säkerhetsstyrningssystem
5.1 När det gäller det automatiska körsystemet ska tillverkaren påvisa för typgodkännandemyndigheten med avseende på ett säkerhetsstyrningssystem att det finns effektiva processer, metoder, utbildning och verktyg som är aktuella och som följs inom organisationen för att hantera säkerheten och den fortsatta överensstämmelsen under det automatiska körsystemets hela livscykel.
5.2 Konstruktions- och utvecklingsprocessen ska fastställas och dokumenteras, inklusive säkerhetsstyrningssystem, kravhantering, kravgenomförande, provning, spårning av funktionsavbrott, korrigerande åtgärder och utsläppande på marknaden.
5.3 Tillverkaren ska säkerställa effektiva kommunikationskanaler mellan de tillverkaravdelningar som ansvarar för funktionell/driftsmässig säkerhet, cybersäkerhet och alla andra relevanta ämnesområden med anknytning till uppnåendet av fordonssäkerhet.
5.4 Tillverkaren ska ha processer för insamling av fordonsdata och data från andra källor för att övervaka och analysera säkerhetsrelevanta tillbud/olyckor som orsakas av det aktiverade automatiska körsystemet. Tillverkaren ska rapportera relevanta händelser till typgodkännande myndigheter, marknadskontrollmyndigheter och kommissionen enligt del 5 i denna bilaga.
5.4.1 Tillverkaren ska se till att trafikföretaget kan förse typgodkännandemyndigheterna, marknadskontrollmyndigheterna eller andra myndigheter utsedda av medlemsstaterna med de fordonsdata som avses i punkt 5.4, samt det automatiska körsystemets data och de särskilda dataelement för registreringsapparater för händelsedata som samlats in i enlighet med avsnitt 9 i bilaga II.
5.5 Tillverkaren ska ha processer för att hantera eventuella säkerhetsrelevanta brister efter registrering och för att uppdatera fordonen vid behov.
5.6 Tillverkaren ska påvisa att regelbundna oberoende interna processkontroller utförs (t.ex. vartannat år) för att säkerställa att de processer som införts i enlighet med punkterna 5.1–5.5 genomförs konsekvent.
5.7 Tillverkarna ska inrätta lämpliga arrangemang (t.ex. avtalsarrangemang, tydliga gränssnitt, kvalitetsstyrningssystem) med leverantörerna för att säkerställa att leverantörernas säkerhetsstyrningssystem uppfyller kraven i punkt 5.1 (med undantag för fordonsrelaterade aspekter såsom drift och avveckling), 5.2, 5.3 och 5.6.
5.8 Intyg om överensstämmelse för säkerhetsstyrningssystem
5.8.1 En ansökan om ett intyg om överensstämmelse för säkerhetsstyrningssystem ska lämnas in av tillverkaren eller dess behöriga ombud till typgodkännandemyndigheten.
5.8.2 Ansökan ska åtföljas av nedanstående handlingar i tre exemplar och av följande uppgifter: a) Dokument som beskriver säkerhetsstyrningssystemet. b) En undertecknad deklaration om överensstämmelse för säkerhetsstyrningssystemet avseende alla krav för säkerhetsstyrning enligt denna förordning. Deklarationen ska utarbetas enligt förlagan i tillägg 3 till denna bilaga.
5.8.3 När denna granskning av säkerhetsstyrningssystemet har slutförts med ett tillfredsställande resultat och med mottagande av en undertecknad deklaration från tillverkaren enligt förlagan i tillägg 3 ska ett intyg som kallas intyg om överensstämmelse för säkerhetsstyrningssystem (nedan kallat intyg om överensstämmelse), som beskrivs i tillägg 4, utfärdas till tillverkaren.
5.8.4 Intyget om överensstämmelse ska vara giltigt högst tre år från det att det utfärdas, såvida det inte återkallas.
5.8.5 Typgodkännandemyndigheten får när som helst kontrollera att kraven för intyget om överensstämmelse fortfarande är uppfyllda. Typgodkännandemyndigheten ska återkalla intyget om överensstämmelse om allvarliga avvikelser i efterlevnaden av kraven som anges i denna förordning upptäcks och inte hanteras omgående.
5.8.6 Tillverkaren ska underrätta typgodkännandemyndigheten eller dess tekniska tjänst om förändringar som påverkar relevansen av intyget om överensstämmelse. Efter samråd med tillverkaren ska typgodkännandemyndigheten eller dess tekniska tjänst besluta om nya kontroller är nödvändiga.
5.8.7 Tillverkaren ska i god tid ansöka om ett nytt eller utökat intyg om överensstämmelse. Typgodkännandemyndigheten ska, om granskningen är positiv, utfärda ett nytt intyg om överensstämmelse eller förlänga dess giltighet med ytterligare tre år. Typgodkännandemyndigheten ska kontrollera att säkerhetsstyrningssystemet fortfarande uppfyller kraven i denna förordning. Typgodkännandemyndigheten ska utfärda ett nytt intyg när myndigheten eller dess tekniska tjänst har fått kännedom om förändringar och förändringarna på nytt har bedömts som positiva.
5.8.8 När tillverkarens intyg om överensstämmelse löper ut eller återkallas ska detta, med hänsyn till de fordonstyper för vilka det berörda säkerhetsstyrningssystemet var relevant, betraktas som en ändring av godkännandet, vilket kan innebära att godkännandet återkallas om villkoren för beviljande av godkännande inte längre är uppfyllda.
6. Bestämmelse om rapportering
6.1 Säkerhetsbedömningen av det automatiska körsystemets säkerhetskoncept och granskningen av tillverkarens säkerhetsstyrningssystem ska rapporteras på ett sätt som möjliggör spårbarhet, t.ex. genom att i den tekniska tjänstens register ange och registrera versionsnummer för de dokument som inspekteras.
6.2 I tillägg 1 till denna del finns ett exempel på utformning av bedömningsformuläret för det automatiska körsystemets säkerhetskoncept från den tekniska tjänsten till typgodkännandemyndigheten. De förtecknade posterna i detta tillägg beskrivs som den minimiuppsättning poster som måste ingå.
6.3 Den tillståndsgivande typgodkännandemyndigheten ska utfärda resultatet av säkerhetsbedömningen som ska bifogas typgodkännandeintyget baserat på den dokumentation som tillverkaren har tillhandahållit, bedömningsformuläret för det automatiska körsystemets säkerhetskoncept från den tekniska tjänsten samt resultaten av den verifiering och de provningar som utförts enligt del 3 i denna bilaga. I tillägg 4 finns ett exempel på utformning av resultatet av säkerhetsbedömningen.
7. Granskarnas/bedömarnas kompetens
7.1 Bedömningen av det automatiska körsystemets säkerhetskoncept och granskningen av säkerhetsstyrningssystemet enligt denna del ska endast utföras av bedömare/granskare med den tekniska och administrativa kunskap som krävs för uppdraget. De ska i synnerhet vara behöriga som granskare/bedömare för ISO 26262–2018 (Vägfordon – Funktionssäkerhet i el- och elektroniksystem) och ISO/PAS 21448 (Vägfordon – Säkerhet i den avsedda funktionaliteten), och ska kunna göra den nödvändiga kopplingen till cybersäkerhetsaspekter i enlighet med FN-föreskrift nr 155 och ISO/SAE 21434. Denna behörighet ska påvisas genom lämpliga kvalifikationer eller annan likvärdig utbildningsdokumentation.
DEL 3 PROVNINGAR
1. Allmänna bestämmelser
Kriterier för godkännande och underkännande vid bedömningen av det automatiska körsystemet ska vara grundade på kraven som anges i bilaga II och det scenario som beskrivs i del 1 i denna bilaga. Kraven har definierats så att kriterierna för godkännande/underkännande kan härledas inte bara för en viss uppsättning provningsparametrar utan för alla säkerhetsrelevanta kombinationer av parametrar som kan uppstå under de driftsförhållanden som omfattas av typgodkännandet och det angivna driftsintervallet (t.ex. hastighetsintervall, längsgående och tvärgående accelerationsintervall, krökningsradier, ljusintensitet, antal körfält). Som en del av den bedömning som beskrivs i del 2 ska tillverkaren på ett tillfredsställande sätt visa för typgodkännandemyndigheten att fordonet kontrolleras på ett säkert sätt vid förhållanden som inte har provats, men som kan uppstå inom systemets definierade planerade driftsmiljö.
Dessa provningar ska bekräfta minimikraven på prestanda som beskrivs i bilaga II samt det automatiska körsystemets funktion och tillverkarens säkerhetskoncept enligt del 2 i denna bilaga. Provningsresultaten ska dokumenteras och rapporteras enligt punkt 6 i del 2 i denna bilaga.
Dessa provningar ska också bekräfta att det automatiska körsystemet följer trafikreglerna, anpassar driften efter miljöförhållanden, undviker avbrott i trafikflödet (t.ex. blockerar körfältet på grund av för många riskminimeringsmanövrer), inte uppvisar oförutsebart beteende samt uppvisar rimligt samarbetsinriktat och förebyggande beteende i relevanta situationer (körfältsbyte i tät trafik eller i närheten av oskyddade trafikanter).
2. Provningsplats
Provningsplatsen ska omfatta egenskaper (t.ex. friktionsvärde) som motsvarar det automatiska körsystemets specifika planerade driftsmiljö. Om det är nödvändigt för att tillämpa de särskilda förhållandena för det automatiska körsystemets planerade driftsmiljö ska fysiska provningar utföras inom den faktiska planerade driftsmiljön (på väg) eller vid en provningsanläggning som efterliknar den planerade driftsmiljöns förhållanden. Detta ska fastställas av tillverkaren och typgodkännandemyndigheten. Provning av det automatiska körsystemet ska utföras på väg i enlighet med tillämplig lag i medlemsstaterna och under förutsättning att provningarna kan utföras på ett säkert sätt och utan risk för andra trafikanter.
3. Miljöförhållanden
Provningarna ska utföras med olika miljöförhållanden, inom gränserna för det automatiska körsystemets definierade planerade driftsmiljö. Som en del av bedömningen ska tillverkaren på ett tillfredsställande sätt visa för typgodkännandemyndigheten att fordonet kontrolleras på ett säkert sätt vid miljöförhållanden som inte har provats, men som kan uppstå inom den definierade planerade driftsmiljön.
Vid provning av kraven avseende funktionsavbrott, självtestning av det automatiska körsystemet samt start och genomförande av en riskminimeringsmanöver får artificiella fel införas och fordonet får ställas inför artificiellt framkallade situationer där gränserna för det fastställda driftområdet uppnås (t.ex. miljöförhållanden).
4. Systemändringar för provningsändamål
Om systemändringar i det automatiska körsystemet krävs för att möjliggöra provning, t.ex. kriterier för bedömning av vägtyp eller vägtypsinformation (kartdata), ska det säkerställas att dessa ändringar inte påverkar provningsresultaten. Dessa ändringar ska i princip dokumenteras och bifogas provningsrapporten. Beskrivning av och eventuella belägg för påverkan av dessa ändringar ska dokumenteras och bifogas provningsrapporten.
5. Fordonsförhållanden
5.1. Provningsvikt Provfordonet ska provas med vilken tillåten fordonslast som helst. Lastningen får inte ändras när provningen har påbörjats. Tillverkaren ska genom dokumentation påvisa att det automatiska körsystemet fungerar vid alla lastförhållanden.
5.2. Provfordonet ska provas med det däcktryck som rekommenderas av tillverkaren.
5.3. Det ska kontrolleras att systemets skick är enligt provningens avsedda ändamål (t.ex. felfritt skick eller med de specifika funktionsfel som ska provas).
6. Provningsverktyg
Förutom verkliga fordon får provningsverktyg med den senaste tekniken användas för att utföra provningen och ersätta verkliga fordon och andra trafikanter (t.ex. mjuka mål, flyttbara plattformar osv.). Sådana ersättningsverktyg ska uppfylla relevanta krav för bedömning av resultat från sensorer samt egenskaper hos verkliga fordon och andra trafikanter. Provningar ska utföras utan fara för inblandad personal och betydande skada på provfordonet ska undvikas om andra valideringsförfaranden finns att tillgå.
7. Variationer i provningsparametrar
Tillverkaren ska ange systemgränserna för typgodkännandemyndigheten. Typgodkännandemyndigheten ska definiera olika kombinationer av provningsparametrar (t.ex. fordonets aktuella hastighet, typ och förskjutning av målet, körfältskrökning osv.) för att prova det automatiska körsystemet. De utvalda provningsfallen ska omfatta tillräcklig provning för alla scenarier, provningsparametrar och omgivningsfaktorer. Det ska påvisas att det automatiska körsystemets perceptionssystem är tillräckligt stabila mot fel i indata/sensordata och ogynnsamma miljöförhållanden.
Provningsparametrarna som valts av typgodkännandemyndigheten ska registreras i en provningsrapport på ett sådant sätt att provningsuppställningens spårbarhet och repeterbarhet kan säkerställas.
8. Provningsscenarier för att utvärdera det automatiska körsystemets prestanda på en provningsbana (punkterna 8.1, 8.2, 8.5, 8.6, 8.7, 8.8, 8.9) och på väg (8.3, 8.4, 8.10)
De scenarier som ingår i följande punkter ska betraktas som en minsta uppsättning provningar. På begäran av typgodkännandemyndigheten kan ytterligare scenarier som är en del av den planerade driftsmiljön utföras. Om ett scenario som beskrivs i punkt 8 i denna bilaga inte tillhör fordonets planerade driftsmiljö ska det inte beaktas.
Beroende på den planerade driftsmiljön ska provningsscenarier väljas ut som en del av typgodkännandeprovningen. Provningsscenarierna ska väljas ut enligt del 1 i denna bilaga. Typgodkännandeprovning får utföras på grundval av simuleringar, manövrer på provningsbanan och körprovningar i verklig vägtrafik. Den får dock inte grundas enbart på datorsimulering och vid typgodkännandet ska typgodkännandemyndigheten utföra eller bevittna minst följande provningar för att bedöma det automatiska körsystemets egenskaper:
8.1. Körfältshållning
Provningen ska visa att det helautomatiserade fordonet inte lämnar sitt körfält och håller en stabil rörelse inuti sitt körfält över hela hastighetsintervallet och olika vägkrökningar inom sina systemgränser.
8.1.1. Provningen ska grundas på det automatiska körsystemets planerade driftsmiljö och ska utföras åtminstone a) med en minsta provvaraktighet på 5 minuter, b) med ett personbilsmål samt ett motordrivet tvåhjulsmål som annat fordon, c) med ett framförvarande fordon som girar av i körfältet, och d) med ett annat fordon som kör nära intill i det angränsande körfältet.
8.2. Manöver för körfältsbyte
Provningarna ska visa att det helautomatiserade fordonet inte orsakar någon orimlig risk för passagerarna och andra trafikanter vid körfältsbyte och att det automatiska körsystemet kan utvärdera situationens kritiska karaktär innan en manöver för körfältsbyte påbörjas, detta inom hela sitt drifthastighetsintervall. Dessa provningar krävs endast om det helautomatiserade fordonet kan utföra körfältsbyten antingen vid en riskminimeringsmanöver eller vid normal drift.
8.2.1. Följande provningar ska utföras: a) Det helautomatiska fordonet byter körfält till angränsande (mål)körfält. b) Körfältsbyte när körfältet tar slut. c) Körfältsbyte till ett trafikerat körfält.
8.2.2. Provningen ska utföras åtminstone a) med olika fordon, inbegripet ett motordrivet tvåhjulsmål som närmar sig bakifrån, b) i ett scenario där det är möjligt att göra ett körfältsbyte under normal drift, c) i ett scenario där ett körfältsbyte inte kan göras under normal drift eftersom ett fordon närmar sig bakifrån, d) med ett bakomvarande fordon som rör sig i samma hastighet i angränsande körfält och förhindrar körfältsbyte, e) med ett fordon som färdas bredvid i angränsande körfält och förhindrar körfältsbyte, f) i ett scenario där ett körfältsbyte vid en riskminimeringsmanöver är möjligt och genomförs, g) i ett scenario där det helautomatiserade fordonet reagerar på ett annat fordon som påbörjar en manöver mot samma utrymme i målkörfältet, där syftet är att undvika en möjlig kollisionsrisk.
8.3. Reaktion på olika väggeometrier
Dessa provningar ska säkerställa att det helautomatiserade fordonet detekterar och anpassar sig till olika väggeometrier som kan uppstå över hela hastighetsintervallet inom den planerade driftsmiljön.
8.3.1. Provningen ska utföras med åtminstone nedanstående förteckning scenarier, baserat på det automatiska körsystemets planerade driftsmiljö: a) T-korsningar (trevägskorsningar) med och utan trafikljus, med olika väjningsregler. b) Korsningar (fyra eller fler vägar) med och utan trafikljus, med olika väjningsregler. c) Rondeller.
8.3.2. Varje provning ska utföras åtminstone a) utan ett framförvarande fordon, b) med ett personbilsmål samt ett motordrivet tvåhjulsmål som framförvarande fordon/annat fordon, c) med och utan fordon som närmar sig eller passerar.
8.4. Reaktion på nationella trafikregler och väginfrastruktur
Dessa provningar ska säkerställa att det helautomatiserade fordonet uppfyller nationella trafikregler och att det anpassar sig till olika permanenta eller tillfälliga förändringar i väginfrastrukturen (t.ex. vägarbetsområden) i hela hastighetsintervallet.
8.4.1. Provningarna ska utföras med åtminstone nedanstående förteckning scenarier som är relevanta för det automatiska körsystemets planerade driftsmiljö: a) Olika vägmärken med hastighetsbegränsning, så att det automatiska körsystemet måste anpassa hastigheten enligt angivna värden. b) Anvisningar som ges av en tjänsteman inom trafiksäkerhet eller brottsbekämpning i form av signalljus och/eller uppmaning att stanna vid färd rakt fram, vid vänstersväng och vid högersväng. c) Övergångsställen för fotgängare och cyklister med och utan fotgängare/cyklister som närmar sig/befinner sig på vägen. d) Tillfälliga förändringar: t.ex. vägunderhållsarbete markerat med vägmärken, vägkoner och annan signalering, tillträdesbegränsningar. e) Påfart, avfart och betalstationer på motorväg.
8.4.2. Varje provning ska utföras åtminstone a) utan ett framförvarande fordon, b) med ett personbilsmål samt ett motordrivet tvåhjulsmål som framförvarande fordon/annat fordon.
8.5. Undvikande av kollision: undvika en kollision med trafikanter eller objekt som blockerar körfältet
Provningen ska visa att det helautomatiserade fordonet undviker en kollision med ett stillastående fordon, en trafikant eller ett helt eller delvis blockerat körfält upp till det automatiska körsystemets högsta specificerade hastighet.
8.5.1. Denna provning ska utföras åtminstone med följande scenarier, när detta är relevant för den planerade driftsmiljön: a) Med ett stillastående personbilsmål. b) Med ett stillastående motordrivet tvåhjulsmål. c) Med ett stillastående fotgängarmål. d) Med ett fotgängarmål som korsar körfältet med en hastighet av 5 km/tim samt andra föremål som är relevanta för den planerade driftsmiljön (t.ex. en boll, en shoppingkasse osv.). e) Med ett fotgängarmål som rör sig med en hastighet av upp till 5 km/tim och rör sig inom och delvis upptar det automatiska körsystemets körfält, i samma eller motsatt riktning som det helautomatiserade fordonet. f) Med ett fotgängarmål som girar i samma körfält som det helautomatiserade fordonet. g) Med en cyklist som korsar körfältet med en hastighet av 15 km/tim. h) Med en cyklist som färdas i samma riktning med en hastighet av 15 km/tim. i) Med det helautomatiserade fordonet som svänger höger och korsar färdvägen tillhörande en cyklist som färdas i samma riktning med en hastighet av 15 km/tim. j) Med ett mål som representerar ett blockerat körfält. k) Med ett mål som är delvis inom körfältet. l) Med ett eller flera typer av föremål som inte kan passeras och som är relevanta för den planerade driftsmiljön (t.ex. en soptunna, en liggande cykel eller moped, ett liggande vägmärke, en boll som ligger stilla eller är i rörelse osv.). m) Med flera på varandra följande hinder som blockerar det körfält som är relevant i den planerade driftsmiljön (t.ex. i följande ordning: egofordon–motorcykel–bil). n) På en vägsträcka som är en kurva.
8.6. Undvik nödbromsning framför ett föremål i körfältet som kan passeras. Ett föremål som kan passeras är ett föremål som fordonet kan rulla över utan att förorsaka någon orimlig risk för passagerare eller andra trafikanter.
Provningen ska visa att det helautomatiserade fordonet inte påbörjar en nödbromsning med ett retardationskrav på över 5 m/s2 på grund av ett föremål som kan passeras i körfältet och som är relevant för den planerade driftsmiljön (t.ex. ett gatubrunnslock eller en kvist) upp till det automatiska körsystemets angivna högsta hastighet.
8.6.1. Denna provning ska utföras åtminstone med följande scenarier, när detta är relevant för den planerade driftsmiljön: a) Utan ett framförvarande fordon. b) Med ett personbilsmål samt ett motordrivet tvåhjulsmål som framförvarande fordon/annat fordon.
8.7. Följa ett framförvarande fordon
Provningen ska visa att det helautomatiserade fordonet kan bibehålla och återställa en stabil rörelse och säkerhetsavståndet till ett framförvarande fordon och kan undvika en kollision med ett framförvarande fordon som bromsar in med sin maximala retardation.
8.7.1. Denna provning ska utföras åtminstone med följande scenarier, när detta är relevant för den planerade driftsmiljön: a) Över hela hastighetsintervallet för det helautomatiserade fordonet. b) Med ett personbilsmål, ett motordrivet tvåhjulsmål och ett cykelmål som framförvarande fordon, under förutsättning att standardiserade motordrivna tvåhjulsmål som lämpar sig för att utföra provningen på ett säkert sätt finns tillgängliga. c) Med konstanta och varierande hastigheter hos framförvarande fordon (realistisk hastighetsprofil). d) Med raka vägsträckor och vägsträckor som utgörs av kurvor. e) Med olika lägen i sidled för det framförvarande fordonet i körfältet. f) Med en retardation hos det framförvarande fordonet på minst 6 m/s2 genomsnittlig fullt utvecklad retardation till dess att fordonet står stilla.
8.8. Ett annat fordons körfältsbyte till egofordonets körfält (snävt körfältsbyte)
Provningen ska visa att det automatiserade fordonet kan undvika en kollision med ett fordon eller en annan trafikant som gör ett körfältsbyte till det körfält där det helautomatiserade fordonet befinner sig upp till en viss nivå på körfältsbytesmanöverns kritiskhet.
8.8.1. Hur kritisk körfältsbytesmanövern är ska fastställas enligt bestämmelserna i del 1 i denna bilaga och beroende på avståndet mellan den bakersta punkten på fordonet som byter körfält och den främsta punkten på det helautomatiserade fordonet.
8.8.2. Provningen ska utföras åtminstone med följande scenarier, när detta är relevant för den planerade driftsmiljön: a) Med olika tider till kollision, körfältsbytesmanöverns avståndsvärden och relativa hastighetsvärden, och omfattande typer av körfältsbytesscenarier där en kollision kan undvikas och där en kollision inte kan undvikas. b) Med körfältsbytande fordon som färdas med konstant hastighet i längsgående riktning, som accelererar och som minskar hastigheten. c) Med olika hastigheter i sidled och accelerationer i sidled för det körfältsbytande fordonet. d) Med ett personbilsmål, ett motordrivet tvåhjulsmål och cykelmål som körfältsbytande fordon, under förutsättning att standardiserade motordrivna tvåhjulsmål som lämpar sig för att utföra provningen på ett säkert sätt finns tillgängliga.
8.9. Stillastående hinder efter framförvarande fordons körfältsbyte (snävt körfältsbyte från egokörfältet)
Provningen ska visa att det helautomatiserade fordonet kan undvika en kollision med ett stillastående fordon, en trafikant eller ett blockerat körfält som blir synligt efter det att ett framförvarande fordon har undvikit en kollision genom en undanmanöver. Provningen ska vara grundad på kraven som anges i bilaga II och de parametrar för scenariot som beskrivs i del 1 i denna bilaga. Som en del av den bedömning som beskrivs i bilaga III, del 2 ska tillverkaren på ett tillfredsställande sätt visa för relevanta myndigheter att fordonet kontrolleras på ett säkert sätt vid förhållanden som inte har provats, men som kan uppstå inom fordonets definierade driftområde.
8.9.1. Provningen ska utföras åtminstone med följande scenarier, när detta är relevant för den planerade driftsmiljön: a) Med ett stillastående personbilsmål i mitten av körfältet. b) Med ett stillastående motordrivet tvåhjulsmål i mitten av körfältet. c) Med ett stillastående fotgängarmål i mitten av körfältet. d) Med ett mål som representerar ett blockerat körfält i mitten av körfältet. e) Med flera på varandra följande hinder som blockerar körfältet (t.ex. i följande ordning: egofordon–körfältsbytande fordon–motorcykel–bil).
8.10. Parkering
Provningen ska visa att det automatiska körsystemet kan parkera på parkeringsplatser och parkeringar med olika utformning under olika förhållanden, och att det under parkeringsmanövern inte orsakar skada på omgivande föremål, trafikanter och fordonet självt.
8.10.1 Provningen ska utföras åtminstone med följande scenarier, när detta är relevant för den planerade driftsmiljön: a) Med parkeringsplatser parallellt med och vinkelrätt mot vägen. b) På jämna och på lutande ytor. c) Med andra fordon på de omgivande parkeringsplatserna, inbegripet motordrivna tvåhjulingar och cyklar. d) Parkering på parkeringsplatser med olika geometriska mått. e) På vägar med olika lutningsgrad. f) Med ett annat fordon som kör in på parkeringsplatsen under parkeringsmanövern.
8.11. Navigering i en parkeringsanläggning
Provningen ska visa att det automatiska körsystemet kan hantera den låga körhastighet och den allmänna brist på synlighet som kan förekomma i en parkeringsanläggning.
8.11.1. Provningen ska utföras åtminstone med följande scenarier, när detta är relevant för den planerade driftsmiljön: a) Med ett fotgängarmål som först är undanskymt och som korsar det helautomatiserade fordonets färdväg med en hastighet av 5 km/tim. b) Med ett fordon som kör ut från en parkeringsplats framför det helautomatiserade fordonet. c) Med ett stillastående hinder i det helautomatiserade fordonets färdväg. d) Med olika färdvägar där infrastrukturen skymmer synfältet. e) Med ett mindre hinder på marken efter en ramp som skyms av andra föremål i det helautomatiserade fordonets färdväg.
8.12 Specifika scenarier för motorvägar
8.12.1. Motorvägspåfart Provningen ska visa att det automatiska körsystemet kan köra ut på motorvägen på ett säkert sätt.
8.12.1.1. Provningen ska utföras åtminstone med följande scenarier, när detta är relevant för den planerade driftsmiljön: a) Med olika fordon, inbegripet ett motordrivet tvåhjulsmål som närmar sig bakifrån. b) Med fordon som närmar sig bakifrån i olika hastigheter. c) Med en fordonskolonn som kör bredvid i det angränsande körfältet.
8.12.2. Motorvägsavfart Provningen ska visa att det automatiska körsystemet kan lämna motorvägen på ett säkert sätt.
8.12.2.1. Provningen ska utföras åtminstone med följande scenarier, när detta är relevant för den planerade driftsmiljön: a) Utan ett framförvarande fordon. b) Med ett personbilsmål samt ett motordrivet tvåhjulsmål som framförvarande fordon/annat fordon. c) Med fordon eller föremål som blockerar motorvägsavfarten.
8.12.3. Betalstation Provningen ska visa att det automatiska körsystemet kan välja rätt körfält för passage och anpassa hastigheten efter vad som tillåts inom stationen.
8.12.3.1. Provningen ska utföras åtminstone med följande scenarier, när detta är relevant för den planerade driftsmiljön: a) Med och utan ett framförvarande fordon. b) Med andra fordon som blockerar bommen eller bommarna. c) Med stängda och med öppna bommar. d) Med olika tillåtna hastigheter inom stationsområdet.
8.13. För bimodala fordon, övergång mellan manuell körning och helautomatisk körning.
Denna provning ska visa att det automatiska körsystemet tar över den dynamiska köruppgiften på ett säkert sätt och endast om fordonet står stilla.
8.13.1 Provningen ska utföras åtminstone med följande scenarier, när detta är relevant för den planerade driftsmiljön: a) Med och utan en mänsklig förare inuti fordonet. b) Med öppna och med stängda fordonsdörrar. c) Med och utan hinder runt omkring fordonet. d) Innanför och utanför det fastställda parkeringsområdet, i tillämpliga fall.
8.13.2. Provningen ska utföras åtminstone med följande scenarier, när detta är relevant för den planerade driftsmiljön: a) I en situation där övergång är möjlig och genomförs. b) I en situation där det inte är möjligt att genomföra en övergång.
DEL 4 PRINCIPER FÖR TROVÄRDIGHETSBEDÖMNING FÖR ANVÄNDNING AV EN VIRTUELL VERKTYGSKEDJA VID VALIDERING AV DET AUTOMATISKA KÖRSYSTEMET
1. Allmänt
1.1. Trovärdighet kan uppnås genom att undersöka och bedöma följande fem egenskaper vid modellering och simulering: a) Kapabilitet – vad modelleringen och simuleringen kan göra och vilka risker som kan förknippas med dessa förfaranden. b) Noggrannhet – hur väl modelleringen och simuleringen återger måldata. c) Korrekthet – hur hållbara och robusta modelleringens och simuleringens data och algoritmer är. d) Användbarhet – den utbildning och erfarenhet som krävs. e) Ändamålsenlighet – hur lämplig modelleringen och simuleringen är för bedömning av den planerade driftsmiljön och det automatiska körsystemet.
1.2. Ramen för trovärdighetsbedömningen ska dessutom vara tillräckligt allmän för att användas för olika typer och tillämpningar av modellering och simulering. Denna målsättning försvåras dock av de stora skillnaderna mellan olika funktioner i automatiska körsystem och de många olika typer och tillämpningar som finns inom modellering och simulering. Dessa överväganden kräver en (riskbaserad/välgrundad) ram för trovärdighetsbedömningen som är relevant och lämplig för alla tillämpningar inom modellering och simulering.
1.3. Ramen för trovärdighetsbedömningen ger en allmän beskrivning av de viktigaste aspekter som beaktas vid bedömningen av hur trovärdig en lösning för modellering och simulering är, tillsammans med principer om den roll tredjepartsbedömare spelar i valideringsprocessen när det gäller trovärdighet. Vad gäller den sistnämnda punkten ska typgodkännandemyndigheten undersöka de handlingar som ingetts för att stödja trovärdigheten vid bedömningen. Själva valideringsprovningarna utförs när tillverkaren har utvecklat de integrerade simuleringssystemen.
1.4. I slutänden ska resultatet av trovärdighetsbedömningen användas för att definiera i vilken utsträckning det virtuella verktyget kan användas för att stödja bedömningen av det automatiska körsystemet.
1.5. Syftet med kraven som anges i denna del är således att påvisa trovärdigheten hos en simuleringsmodell eller virtuell verktygskedja för användning vid bedömning av ett automatiskt körsystem.
2. Definitioner
I denna bilaga gäller följande definitioner:
2.1. abstraktion: process där ett källsystems eller ett referenssystems väsentliga aspekter väljs ut för att ingå i en representativ modell eller simulering; icke-relevanta aspekter beaktas inte. För all abstraktion vid modellering gäller antagandet att det inte ska påverka de avsedda användningsområdena för simuleringsverktyget i någon högre grad.
2.2. closed loop testing: provning i en virtuell omgivning där beteendet hos den komponent som provas beaktas. Simulerade föremål svarar på systemets åtgärder (t.ex. systemets samspel med en trafikmodell).
2.3. deterministisk: begrepp som beskriver ett system vars utveckling över tid kan förutses exakt och där en given uppsättning stimuli alltid ger upphov till samma respons.
2.4. driver-in-the-loop: provning som vanligen genomförs i en körsimulator där utformningen av samspelet människa–automation testas. Under denna provning kan föraren använda och kommunicera med den virtuella omgivningen.
2.5. hardware-in-the-loop: provning som inbegriper den slutliga maskinvaran för ett specifikt delsystem i fordonet. Delsystemet kör den slutliga programvaran och in- och utdata är kopplade till en simulerad miljö för virtuell provning. Denna metod gör det möjligt att replikera sensorer, manöverdon och mekaniska komponenter där in- och utdata för alla elektroniska styrenheter provas långt innan det slutgiltiga systemet integreras.
2.6. modell: beskrivning eller representation av ett system, en enhet, ett fenomen eller en process.
2.7. modellkalibrering: process där modellens numeriska parametrar eller modelleringsparametrar justeras i syfte att förbättra överensstämmelse med det som ska representeras.
2.8. modelleringsparameter: numeriska värden som används för att underbygga karakterisering av systemfunktioner. En modelleringsparameter har ett värde som inte kan observeras direkt i verkligheten utan måste härledas från verkliga uppgifter som samlas in (vid modellkalibrering).
2.9. model-in-the-loop: metod som möjliggör snabb algoritmisk utveckling utan särskild maskinvara. Denna nivå av utveckling omfattar vanligen programvaruramar med hög abstraktionsnivå som körs på generella datorsystem.
2.10. open loop testing: provning i en virtuell omgivning där beteendet hos den komponent som provas inte beaktas (t.ex. systemets samspel med en inspelad trafiksituation).
2.11. probabilistisk: begrepp som gäller icke-deterministiska händelser där resultaten anges i form av sannolikhet.
2.12. provningsområde eller provningsbana: fysisk provningsanläggning som är stängd för trafik och där ett automatiskt körsystems prestanda kan undersökas med hjälp av det verkliga fordonet. Trafikaktörer kan införas i form av sensorstimulering eller med hjälp av provningsanordningar som placeras på banan.
2.13. sensorstimulering: teknik där artificiellt genererade signaler ges till den komponent som provas för att utlösa det resultat som krävs för verifiering av verkligt beteende, utbildning eller underhåll, eller för forskning och utveckling.
2.14. simulering: imitation av hur en verklig process eller ett verkligt system fungerar över tid.
2.15. simuleringsmodell: modell vars ingångsvariabler förändras över tid.
2.16. verktygskedja: uppsättning simuleringsverktyg som används för att stödja valideringen av ett automatiskt körsystem.
2.17. software-in-the-loop: tillämpning av den utvecklade modellen utvärderas på generella datorsystem. Vid detta moment kan en fullständig programvarutillämpning som är mycket nära den slutgiltiga versionen användas. Denna metod för provning används för att beskriva en provmetodik där exekverbara koder, t.ex. algoritmer (eller till och med en hel kontrollstrategi) provas i en modellmiljö som kan bidra vid provning av programvaran.
2.18. stokastisk: process som inbegriper eller innehåller en slumpvariabel eller flera slumpvariabler; hänför sig till slump eller sannolikhet.
2.19. validering av simulationsmodellen: process för att fastställa i vilken grad en simulationsmodell är en korrekt återgivning av verkligheten, ur ett perspektiv som beaktar verktygets avsedda användning.
2.20. vehicle-in-the-loop: sammanslagen miljö med ett verkligt provningsfordon som provas både i verkligheten och i en virtuell miljö. Här kan fordonsdynamiken återspeglas på samma nivå som i verkligheten och fordonet framföras på en provbänk eller på en provningsbana.
2.21. verifiering av simuleringsmodellen: process för att fastställa i vilken utsträckning en simuleringsmodell eller ett virtuellt provningsverktyg uppfyller krav och specifikationer som har angetts i begreppsmässiga modeller, matematiska modeller eller andra strukturer.
2.22. virtuell provning: process där ett system provas med hjälp av en eller flera simuleringsmodeller.
3. Delarna i ramen för trovärdighetsbedömning och tillhörande dokumentationskrav
3.1. Med hjälp av ramen för trovärdighetsbedömning införs ett sätt att bedöma och rapportera trovärdigheten hos modellering och simulering på grundval av kvalitetssäkringskriterier där resultatens tillförlitlighetsnivåer kan anges. Trovärdigheten fastställs med andra ord genom att utvärdera följande faktorer som påverkar modellering och simulering och som anses bidra mest till modelleringens och simuleringens egenskaper, och därmed till den övergripande trovärdigheten hos modelleringen och simuleringen: a) ledning av modellering och simulering, b) gruppens erfarenhet och sakkunskap, c) analys och beskrivning av modellering och simulering, d) indatans ursprung och kvalitet samt e) verifiering; validering, karakterisering av osäkerhet. Var och en av dessa faktorer visar modelleringens och simuleringens kvalitetsnivå. En jämförelse mellan uppnådda nivåer och erforderliga nivåer fastställer om modelleringen och simuleringen är trovärdig och lämplig att använda för virtuell provning. En grafisk framställning av förhållandet mellan de olika delarna i ramen för trovärdighetsbedömning visas nedan.
3.2 Ledning av modellering och simulering
3.2.1.. Livscykeln för modellering och simulering är en dynamisk process där nya versioner hela tiden släpps och kräver övervakning och dokumentation. Ledningsverksamheten ska inrättas för att ge samma stöd till modellering och simulering som vid arbetsledning för produkter. Relevanta upplysningar om följande aspekter ska lämnas:
3.2.2. Ledningsprocessen för modellering och simulering ska a) beskriva ändringar i de olika versionerna, b) ange tillhörande programvara (t.ex. särskilda programvaruprodukter och versioner) och maskinvarurelaterad information (t.ex. XiL-konfigurering), c) registrera interna granskningsförfaranden som ledde till att nya versioner godtogs, d) stödjas under hela den tid som den virtuella modellen används.
3.2.3. Releasehantering
3.2.3.1. Alla versioner av en verktygskedja för modellering och simulering som används för att tillhandahålla data för utfärdande av intyg ska lagras. De virtuella modeller som utgör verktygskedjan för provning ska dokumenteras i form av motsvarande valideringsmetoder och gränsvärden för godtagande för att stödja verktygskedjans allmänna trovärdighet. Utvecklaren ska införa en metod för att spåra genererade data till motsvarande version för modellering och simulering.
3.2.3.2. Kvalitetskontroll av virtuella data: Uppgifternas fullständighet, noggrannhet och enhetlighet ska säkerställas för alla versioner och under hela verktygskedjans livslängd till stöd för verifierings- och valideringsförfaranden.
3.2.4 Gruppens erfarenhet och sakkunskap
3.2.4.1.. Även om erfarenhet och sakkunskap redan täcks i allmän bemärkelse inom organisationen är det viktigt att fastställa förtroendegrunden för den specifika erfarenhet och sakkunskap som modellering och simulering omfattar.
3.2.4.2. Trovärdigheten hos modellering och simulering beror inte bara på simuleringsmodellernas kvalitet utan även på erfarenhet och sakkunskap hos personal som arbetar med validering och användning av modellering och simulering. En korrekt förståelse av begränsningarna och valideringsområdet kan exempelvis förhindra att modellering och simulering används på fel sätt, eller att resultaten feltolkas.
3.2.4.3. Det är därför viktigt att fastställa en förtroendegrund för tillverkaren baserat på erfarenhet och sakkunskap hos a) grupperna som ska validera verktygskedjan för simulering, och b) grupperna som ska använda den validerade simuleringen för att utföra virtuell provning i syfte att validera det automatiska körsystemet.
3.2.4.4. God förvaltning av gruppens erfarenhet och sakkunskap ökar tillförlitlighetsnivån för modelleringens och simuleringens trovärdighet och resultat genom att man beaktar den mänskliga faktorn inom modellering och simulering och kontrollerar varje möjlig risk i form av en mänsklig komponent. Detta är något som förväntas av ett lämpligt ledningssystem.
3.2.4.5. Om tillverkarens verktygskedja omfattar eller förlitar sig på synpunkter från organisationer eller produkter som inte ingår i tillverkarens egen grupp ska tillverkaren visa vilka åtgärder som har vidtagits för att styrka tillverkarens förtroende för dessa synpunkters kvalitet och integritet.
3.2.4.6. Gruppens erfarenhet och sakkunskap består av följande två nivåer:
3.2.4.6.1. Organisationsnivå Trovärdighet skapas genom att införa processer och förfaranden för att identifiera och upprätthålla färdigheter, kunskap och erfarenhet som krävs för verksamhet inom modellering och simulering. Följande processer ska införas, upprätthållas och dokumenteras: i) En process för att identifiera och utvärdera individers kompetens och färdigheter. ii) En process för att utbilda kompetent personal att utföra uppgifter kopplade till modellering och simulering.
3.2.4.6.2. Gruppnivå När en modellering och simulering har genomförts beror dess trovärdighet främst på färdigheterna och kunskapen hos den individ eller grupp som ska validera dess verktygskedja och använda modelleringen och simuleringen för att validera det automatiska körsystemet. Trovärdighet skapas genom att dokumentera att grupperna har erhållit lämplig utbildning för att utföra sina uppgifter. Tillverkaren ska därför i) visa vad som ligger till grund för tillverkarens förtroende för erfarenheten och sakkunskapen hos den individ eller grupp som validerar modelleringens och simuleringens verktygskedja, ii) visa vad som ligger till grund för tillverkarens förtroende för erfarenheten och sakkunskapen hos den individ eller grupp som använder simuleringen för att utföra virtuell provning i syfte att validera det automatiska körsystemet. Tillverkarens beskrivning av hur principerna i ISO 9001 eller liknande bästa praxis och standarder används för att säkerställa kompetensen inom organisationen för modellering och simulering och hos individerna inom organisationen kommer att utgöra underlaget för denna bestämning. Typgodkännandemyndigheten får inte ersätta sin bedömning av organisationens eller dess medlemmars erfarenhet och sakkunskap med tillverkarens bedömning.
3.2.5. Indatans ursprung och kvalitet
3.2.5.1. Indatans ursprung och kvalitet omfattar ett register över spårbarheten hos tillverkarens uppgifter som använts i valideringen av modelleringen och simuleringen.
3.2.5.2. Beskrivning av data som använts vid modellering och simulering a) Tillverkaren ska dokumentera data som använts för att validera modellen och notera viktiga kvalitetsegenskaper. b) Tillverkaren ska tillhandahålla dokumentation som visar att data som använts för att validera modellerna täcker de avsedda funktioner som verktygskedjan ska virtualisera. c) Tillverkaren ska dokumentera kalibreringsförfaranden som använts för att anpassa den virtuella modellens parametrar till det insamlade dataunderlaget.
3.2.5.3. Datakvalitetens påverkan (t.ex. uppgifternas täckning, signal-brusförhållande och sensorernas osäkerhet/bias/samplingsfrekvens) på modelleringsparametrarnas osäkerhet Kvaliteten hos den data som används för att utveckla modellen påverkar bestämningen och kalibreringen av modelleringsparametrarna. Osäkerhet i modelleringsparametrarna är en annan viktig aspekt i den slutgiltiga osäkerhetsanalysen.
3.2.6. Utdatans ursprung och kvalitet
3.2.6.1. Utdatans ursprung och kvalitet omfattar ett register över den utdata från modellering och simulering som använts vid validering av det automatiska körsystemet.
3.2.6.2. Beskrivning av data som genererats genom modellering och simulering a) Tillverkaren ska tillhandahålla information om data och scenarier som använts för validering av verktygskedjan för virtuell provning. b) Tillverkaren ska dokumentera exporterade data och notera viktiga kvalitetsegenskaper. c) Tillverkaren ska spåra utdata från en modellering och simulering till motsvarande simuleringsuppställning.
3.2.6.3. Datakvalitetens påverkan på trovärdigheten hos modellering och simulering a) Utdata från modellering och simulering ska ha tillräcklig bredd för att säkerställa en korrekt utförd valideringsberäkning. Uppgifterna ska i tillräcklig utsträckning återspegla den planerade driftsmiljö som är relevant för den virtuella bedömningen av det automatiska körsystemet. b) Utdatan ska möjliggöra kontroll av de virtuella modellernas enhetlighet och sundhet genom att eventuellt utnyttja redundant information.
3.2.6.4. Hantering av stokastiska modeller a) Stokastiska modeller ska karakteriseras efter varians. b) Stokastiska modeller ska garanteras en möjlighet till deterministiskt återgenomförande.
3.3. Analys och beskrivning av modellering och simulering
3.3.1. Målet med analysen och beskrivningen av modelleringen och simuleringen är att definiera modelleringen och simuleringen i sin helhet och identifiera det parameterområde som kan bedömas med hjälp av virtuell provning. Modellerna och verktygskedjans tillämpningsområde och begränsningar definieras tillsammans med osäkerhetskällor som kan påverka deras resultat.
3.3.2. Allmän beskrivning
3.3.2.1. Tillverkaren ska tillhandahålla en beskrivning av den fullständiga verktygskedjan tillsammans med en beskrivning av hur data från simuleringen kommer att användas för att stödja valideringsstrategin för det automatiska körsystemet.
3.3.2.2. Tillverkaren ska tillhandahålla en tydlig beskrivning av syftet med provningen.
3.3.3. Antaganden, kända begränsningar och osäkerhetskällor
3.3.3.1. Tillverkaren ska motivera de modellantaganden som låg till grund för hur modelleringens och simuleringens verktygskedja utformades.
3.3.3.2. Tillverkaren ska lämna belägg för i) hur antaganden som definierats av tillverkaren bidrar till definitionen av verktygskedjans begränsningar, ii) den tillförlitlighetsnivå som krävs för simuleringsmodellerna.
3.3.3.3. Tillverkaren ska bestyrka att toleransnivån för korrelation mellan simulering och verklighet är godtagbar för provningens syfte.
3.3.3.4. Slutligen ska detta avsnitt innehålla uppgifter om osäkerhetskällor i modellen. Det kommer att utgöra ett viktigt bidrag till den slutliga osäkerhetsanalysen, som anger hur modellresultaten kan påverkas av olika osäkerhetskällor i den modell som använts.
3.3.4. Tillämpningsområde (hur modelleringen och simuleringen används vid validering av det automatiska körsystemet)
3.3.4.1. Det virtuella verktygets trovärdighet ska upprätthållas med ett tydligt definierat tillämpningsområde för de utvecklade modellerna.
3.3.4.2. Den utvecklade modelleringen och simuleringen ska tillåta en virtualisering av det fysiska fenomenet med en noggrannhet som motsvarar den tillförlitlighetsnivå som krävs för certifiering. Modellering och simulering utgör därmed ett virtuellt provningsområde för provning av automatiska körsystem.
3.3.4.3. Simuleringsmodellerna behöver särskilda scenarier och mätvärden för validering. De scenarier som väljs ut för validering ska vara tillräckliga för att säkerställa att verktygskedjan kommer att fungera på samma sätt i scenarier som ligger utanför valideringens omfattning.
3.3.4.4. Tillverkaren ska tillhandahålla en förteckning över valideringsscenarier samt begränsningar för motsvarande parametrar.
3.3.4.5. Analysen av den planerade driftsmiljön utgör ett viktigt underlag för att få fram krav, omfattning och effekter som modelleringen och simuleringen måste ta hänsyn till för att stödja valideringen av det automatiska körsystemet.
3.3.4.6. Parametrar som genererats för scenarierna definierar yttre och inre data för verktygskedjan och simuleringsmodellerna.
3.3.5. Kriticitetsbedömning
3.3.5.1. Simuleringsmodellerna och simuleringsverktygen som används i den övergripande verktygskedjan ska undersökas vad beträffar deras ansvar i händelse av säkerhetsfel i slutprodukten. Det föreslagna tillvägagångssättet för kriticitetsbedömning är hämtat från ISO 26262 enligt vilken kvalificering krävs för vissa verktyg som används i utvecklingsprocessen.
3.3.5.2 För att härleda kriticiteten för simulerade data ska kriticitetsbedömningen beakta följande parametrar: a) Konsekvenser för människors säkerhet, t.ex. allvarlighetsgrader i ISO 26262. b) I vilken utsträckning de simulerade resultaten påverkar det automatiska körsystemet.
3.3.5.3. När det gäller kriticitetsbedömningen är de tre möjliga alternativen för bedömning följande: a) Modeller eller verktyg som är uppenbara kandidater för en fullständig trovärdighetsbedömning. b) Modeller eller verktyg som kan vara kandidater för en fullständig trovärdighetsbedömning men inte behöver vara det. Detta avgör bedömaren efter eget gottfinnande. c) Modeller eller verktyg som inte behöver genomgå en trovärdighetsbedömning.
3.4. Verifiering
3.4.1. Verifiering av modellering och simulering innebär en analys av att de begreppsmässiga/matematiska modeller som verktygskedjan består av har tillämpats korrekt. Verifieringen bidrar till modelleringen och simuleringens trovärdighet genom att garantera att modelleringen och simuleringen inte kommer att uppvisa ett orealistiskt beteende för en uppsättning indata som inte kan provas. Metoden grundas på ett flerstegsförfarande som omfattar kodverifiering, beräkningsverifiering och känslighetsanalys.
3.4.2. Kodverifiering
3.4.2.1. Kodverifiering består av provningar som visar att inga numeriska/logiska brister påverkar de virtuella modellerna.
3.4.2.2. Tillverkaren ska dokumentera att korrekta metoder för kodverifiering har använts, t.ex. statisk/dynamisk kodverifiering, konvergensanalys och jämförelse med exakta lösningar i tillämpliga fall.
3.4.2.3. Tillverkaren ska tillhandahålla dokumentation som visar att undersökningen av inparametrarna var tillräckligt bred för att identifiera kombinationer av parametrar där modelleringen och simuleringen uppvisar instabilt eller orealistiskt beteende. Täckningsvärden för kombinationer av parametrar kan användas för att visa att modellernas beteende har undersökts i den mån som krävs.
3.4.2.4. Tillverkaren ska anta förfaranden för kontroll av sundhet/enhetlighet närhelst data möjliggör detta.
3.4.3. Beräkningsverifiering
3.4.3.1. Beräkningsverifiering avser en uppskattning av numeriska fel som påverkar modelleringen och simuleringen.
3.4.3.2. Tillverkaren ska dokumentera uppskattningar av numeriska fel (t.ex. diskretiseringsfel, avrundningsfel, konvergens av iterativa procedurer).
3.4.3.3. Numeriska fel ska vara tillräckligt begränsade för att inte påverka valideringen.
3.4.4. Känslighetsanalys
3.4.4.1. Syftet med en känslighetsanalys är att kvantifiera hur modellens utvärden påverkas när modellens invärden förändras och därigenom identifiera vilka parametrar som har störst inverkan på simuleringsmodellens resultat. Känslighetsanalysen hjälper även till att fastställa i vilken utsträckning simuleringsmodellen når upp till valideringens tröskelvärden vid mindre variationer i parametrarna. Den är därför avgörande för att stödja simulationsresultatens trovärdighet.
3.4.4.2. Tillverkaren ska tillhandahålla styrkande handlingar som visar att de mest kritiska parametrarna som påverkar simuleringens utvärden har identifierats med hjälp av metoder för känslighetsanalys, t.ex. genom att införa störningar i modellens parametrar.
3.4.4.3. Tillverkaren ska visa att stabila kalibreringsprocesser har använts när de mest kritiska parametrarna har identifierats och kalibrerats. Detta för att öka den utvecklade verktygskedjans trovärdighet.
3.4.4.4. I slutänden kommer känslighetsanalysen även att bistå vid fastställandet av indata och parametrar vars osäkerhetskarakterisering kräver särskild uppmärksamhet för att simuleringsresultatens osäkerhetsfaktor ska kunna definieras på ett korrekt sätt.
3.4.5. Validering
3.4.5.1. Den kvantitativa process för att fastställa i vilken grad en modell eller simulering är en korrekt återgivning av verkligheten, med beaktande av modelleringens och simuleringens avsedda användning, kräver ett flertal utvalda och definierade element.
3.4.5.2. Prestandamått (mätvärden)
3.4.5.2.1. Prestandamått används för att jämföra simuleringsmodellen med verkligheten. Prestandamåtten fastställs vid analysen av modelleringen och simuleringen.
3.4.5.2.2. Mätvärden vid validering kan omfatta i) analys av diskreta värden, t.ex. detekteringsfrekvens, tändfrekvens, ii) utveckling över tid, t.ex. lägen, hastigheter, acceleration, iii) analys baserad på ett aktivitetsflöde, t.ex. beräkningar av avstånd/hastighet, beräkning av tid till kollision, inledning av inbromsning.
3.4.5.3. Anpassningsgrad
3.4.5.3.1. De analytiska ramarna används för att jämföra verkliga mätvärden med simuleringens mätvärden. Generellt sett är de nyckelutförandeindikatorer som indikerar den statistiska jämförbarheten mellan två uppsättningar data.
3.4.5.3.2. Valideringen ska visa att dessa nyckelutförandeindikatorer är uppfyllda.
3.4.5.4. Valideringsmetod
3.4.5.4.1. Tillverkaren ska definiera de logiska scenarier som använts för validering av verktygskedjan för virtuell provning. De ska i så stor utsträckning som möjligt kunna täcka den planerade driftsmiljön som provas virtuellt för validering av det automatiska körsystemet.
3.4.5.4.2. Den exakta metodiken beror på verktygskedjans struktur och syfte. Valideringen kan bestå av en eller flera av följande åtgärder: i) Validering av modeller för delsystem, t.ex. omgivningsmodell (vägnätverk, väderförhållanden, samspel med trafikanter), sensormodeller (radar, ljusdetektion och avståndsmätning [lidar], kamera), fordonsmodell (styrning, inbromsning, drivsystem). ii) Validering av fordonssystem (modell för fordonsdynamik tillsammans med omgivningsmodell). iii) Validering av sensorsystem (sensormodell tillsammans med omgivningsmodell). iv) Validering av det integrerade systemet (sensormodell och omgivningsmodell med påverkan från fordonsmodellen).
3.4.5.5. Noggrannhetskrav
3.4.5.5.1. Kravet på tröskelvärdet för korrelationen fastställs vid analysen av modelleringen och simuleringen. Valideringen ska visa att de nyckelutförandeindikatorer som anges i punkt 3.4.5.3.1. i denna del är uppfyllda.
3.4.5.6. Valideringens omfattning (den del av verktygskedjan som ska valideras)
3.4.5.6.1. En verktygskedja består av ett flertal verktyg och varje verktyg använder sig av ett antal modeller. Valideringen omfattar alla verktyg och de relevanta modeller som är föremål för validering.
3.4.5.7. Interna valideringsresultat
3.4.5.7.1. Dokumentationen ska inte bara styrka valideringen av simuleringsmodellen utan även användas för att inhämta tillräcklig information om de processer och produkter som ger allmän trovärdighet till verktygskedjan som används.
3.4.5.7.2. Dokumentation/resultat får överföras från tidigare trovärdighetsbedömningar.
3.4.5.8. Oberoende valideringsresultat
3.4.5.8.1. Typgodkännandemyndigheten ska bedöma den dokumentation som tillverkaren har tillhandahållit och får utföra fysiska provningar av det fullständiga integrerade verktyget.
3.4.5.9. Karakterisering av osäkerhet
3.4.5.9.1. I detta avsnitt behandlas karakteriseringen av förväntad variation i resultaten från den virtuella verktygskedjan. Bedömningen ska bestå av två etapper. Under en första etapp används den information som samlats in vid analysen av modelleringen och simuleringen och avsnitten om indatans ursprung och kvalitet för att karakterisera osäkerhet med avseende på indata, modelleringsparametrar och modelleringsstruktur. Genom att sprida all osäkerhet genom den virtuella verktygskedjan kan modellresultatens osäkerhet sedan kvantifieras. Beroende på osäkerheten i modellresultaten kommer tillverkaren att behöva införa tillräckliga säkerhetsmarginaler vid användning av virtuell provning för validering av det automatiska körsystemet.
3.4.5.9.2. Karakterisering av osäkerhet hos indata Tillverkaren ska visa att indata för den kritiska modellen har uppskattats korrekt med hjälp av stabila metoder, t.ex. upprepning vid bedömning av kvantitet.
3.4.5.9.3. Karakterisering av osäkerhet hos modelleringsparametrarna (efter kalibrering) Tillverkaren ska visa att den kritiska modellens parametrar som inte kan uppskattas identiskt karakteriseras med hjälp av distribution och/eller konfidensintervall.
3.4.5.9.4. Karakterisering av osäkerhet i modelleringens och simuleringens struktur Tillverkaren ska styrka att modellantagandena har genomgått en kvantitativ karakterisering av den osäkerhet som genereras (t.ex. genom att jämföra utdata från olika modelleringsmetoder när så är möjligt).
3.4.5.9.5. Karakterisering av slumpmässig osäkerhet och kunskapsbaserad osäkerhet Tillverkaren ska sträva efter att göra en åtskillnad mellan osäkerhetens slumpmässiga del (som kan uppskattas men inte reduceras) och kunskapsbaserad osäkerhet till följd av bristande kunskap vid processvirtualiseringen (som däremot kan reduceras).
4. Dokumentationsstruktur
4.1. I detta avsnitt anges hur ovanstående uppgifter ska samlas in och sammanställas i den dokumentation som tillverkaren tillhandahåller den behöriga myndigheten.
4.2. Tillverkaren ska inkomma med en handling (en simuleringshandbok) som utformats i enlighet med denna översikt i syfte att styrka framlagda ämnen.
4.3. Dokumentationen ska inges tillsammans med motsvarande version av modelleringen och simuleringen samt därtill hörande framställda data.
4.4. Tillverkaren ska ange tydliga referenser som gör det möjligt att spåra tillbaka dokumentationen till motsvarande data från modelleringen och simuleringen.
4.5. Dokumentationen ska bevaras under hela livscykeln för användningen av modelleringen och simuleringen. Typgodkännandemyndigheten får granska tillverkaren genom att bedöma tillverkarens dokumentation och/eller genom att utföra fysiska provningar.
DEL 5 RAPPORTERING UNDER DRIFT
1. Definitioner
I denna bilaga gäller följande definitioner:
1.1. händelse: säkerhetsrelaterad situation där ett fordon utrustat med ett automatiskt körsystem är inblandat.
1.2. icke-kritisk händelse: driftsavbrott, defekt, fel eller annan omständighet som har eller kan ha inverkat på det automatiska körsystemets säkerhet men inte lett till olyckor eller allvarliga tillbud. Denna kategori omfattar t.ex. mindre tillbud, försämrad säkerhet som inte förhindrar normal drift, nödmanövrer eller komplexa manövrer för att förhindra en kollision och i allmänhet alla händelser av betydelse för det automatiska körsystemets säkerhetsprestanda på väg (t.ex. samspel med fjärrstyrande förare osv.).
1.3. kritisk händelse: varje händelse där det automatiska körsystemet är aktiverat vid en kollision och där a) minst en person ådrar sig en skada som kräver sjukvård och detta beror på att personen befunnit sig inuti fordonet eller varit inblandad i händelsen, b) det helautomatiserade fordonet, andra fordon eller stillastående föremål åsamkas en fysisk skada som överskrider ett visst tröskelvärde, eller en krockkudde aktiveras i ett fordon som är inblandat i händelsen.
2. Tillverkarens anmälan och rapportering
2.1. Tillverkaren ska utan dröjsmål anmäla säkerhetskritiska händelser till typgodkännandemyndigheter, marknadskontrollmyndigheter och kommissionen.
2.2. Tillverkaren ska inom en månad rapportera kortfristiga händelser enligt beskrivning i tillägg 1 och som tillverkaren måste åtgärda till typgodkännandemyndigheter, marknadskontrollmyndigheter och kommissionen.
2.3. Tillverkaren ska varje år rapportera de händelser som förtecknas i tillägg 1 till den typgodkännandemyndighet som beviljat godkännandet. Rapporten ska innehålla uppgifter som styrker det automatiska körsystemets prestanda avseende säkerhetsrelevanta händelser vid drift. Uppgifterna i rapporten ska i synnerhet visa att a) inga skillnader kan konstateras jämfört med bedömningen av det automatiska körsystemets säkerhetsprestanda före marknadsintroduktionen, b) det automatiska körsystemet uppfyller prestandakraven i denna förordning, c) nyupptäckta betydande frågor gällande det automatiska körsystemets säkerhetsprestanda har hanterats på lämpligt sätt och hur detta har gjorts. Den beviljande typgodkännandemyndigheten ska dela denna information med typgodkännandemyndigheter, marknadskontrollmyndigheter och kommissionen.
2.4. Typgodkännandemyndigheter, marknadskontrollmyndigheter och kommissionen får begära att tillverkaren inkommer med stödjande data som använts för att utarbeta den information som angetts i rapporten om fordonet i drift och i anmälningar. Denna data ska utbytas i form av en överenskommen datautbytesfil. Typgodkännandemyndigheter, marknadskontrollmyndigheter och kommissionen ska vidta alla nödvändiga åtgärder för att skydda sådana data.
2.5. Eventuell förbehandling av data ska anmälas till den beviljande typgodkännandemyndigheten i datarapporten avseende fordonet i drift.
1 ECE/TRANS/WP.29/2022/59/Rev.1
Tillägg 1
1. Generering och klassificering av scenarier
I ett kvalitativt hänseende kan scenarier klassificeras som förväntade scenarier, kritiska scenarier eller felscenarier och motsvarar normal drift eller nöddrift. För var och en av dessa kategorier kan en databaserad och en kunskapsbaserad strategi användas för att generera motsvarande trafikscenarier. Med en kunskapsbaserad strategi används expertkunskaper för att systematiskt kartlägga farliga händelser och skapa scenarier. Med en databaserad strategi används tillgängliga data för att kartlägga och klassificera scenarier som har inträffat. Scenarier ska härledas från det helautomatiserade fordonets planerade driftsmiljö.
2. Förväntade scenarier
En uppsättning analysramar kan hjälpa tillverkaren att härleda ytterligare förväntade scenarier för att säkerställa att den särskilda tillämpningen omfattas. Dessa ramar är indelade enligt följande:
2.1 Analys av den planerade driftsmiljön
En planerad driftsmiljö består av själva omgivningen (t.ex. fysisk infrastruktur), miljöförhållanden, dynamiska element (t.ex. trafik, utsatta trafikanter) och operativa begränsningar i det automatiska körsystemets specifika tillämpning. Syftet med denna analys är att kartlägga den planerade driftsmiljöns särdrag, tilldela egenskaper och definiera samspelet mellan föremålen. Här utvecklas även den planerade driftsmiljöns påverkan på det automatiska körsystemets beteendemässiga kompetens. Ett exempel på en sådan analys finns i tabell 1.
Föremål | Händelser/samspel
Fordon (t.ex. bilar, lätta lastbilar, tunga lastbilar, bussar, motorcyklar) | Framförvarande fordon saktar in (frontal) Framförvarande fordon har stannat (frontal) Framförvarande fordon accelererar (frontal) Körfältsbyte (frontal/lateral) Snävt körfältsbyte till egofordonets körfält (angränsande) Svängning (frontal) Inträngande fordon i motsatt riktning (frontal/lateral) Inträngande angränsande fordon (frontal/lateral) Anslutning till vägbana (frontal/lateral) Snävt körfältsbyte från egofordonets körfält (frontal)
Fotgängare | Korsar vägen – på övergångsställe (frontal) Korsar vägen – utanför övergångsställe (frontal) Går på trottoar/vägren
Cyklister | Cyklar i körfältet (frontal) Cyklar i angränsande körfält (frontal/lateral) Cyklar på cykelbana (frontal/lateral) Cyklar på trottoar/vägren Korsar vägen – på övergångsställe (frontal/lateral) Korsar vägen – utanför övergångsställe (frontal/lateral)
Djur | Stillastående i körfältet (frontal) Rör sig mot/från körfältet (frontal/lateral) Stillastående/rör sig i angränsande körfält (frontal) Stillastående/rör sig på vägrenen
Skräp | Orörligt i körfältet (frontal)
Andra dynamiska föremål (t.ex. kundvagnar) | Orörligt i körfältet (frontal/lateral) Rör sig mot/från körfältet (frontal/lateral)
Vägmärken | Stopp, ge företräde, hastighetsbegränsning, övergångsställe, järnvägsövergång, korsning, skola
Trafiksignaler | Korsning, järnvägsövergång, skola
Fordonssignaler | Körriktningsvisare
2.2 Analys av detektion av och reaktion på föremål och händelser: Identifiering av beteendemässig kompetens
När föremål och relevanta egenskaper har identifierats kan lämpliga svar från det automatiska körsystemet kartläggas. Det automatiska körsystemets svar utformas enligt tillämpliga funktionskrav och genom att tillämpa prestandakraven i denna förordning samt trafikreglerna i det land där systemet är i drift.
Resultatet av denna analys är även en uppsättning färdigheter som kan kartläggas enligt den beteendemässiga kompetens som gäller för den planerade driftsmiljön i syfte att säkerställa efterlevnad av relevanta krav i lagar och bestämmelser. I tabell 2 finns ett kvalitativt exempel på matchning av händelse – svar.
Kombinationen av föremål, händelser och deras möjliga samspel i förhållande till den planerade driftsmiljön utgör uppsättningen förväntade scenarier som är relevanta för det analyserade automatiska körsystemet. Kartläggningen av förväntade scenarier kan dra fördel av en utökad kombination av scenarioparametrar som inom den planerade driftsmiljön till exempel omfattar infrastrukturegenskaper, egenskaper hos föremål och händelser, trafikfaror som påverkar åtgärder (t.ex. väder, synlighet). Kartläggningen av förväntade scenarier begränsas inte till trafikförhållanden utan omfattar även miljöförhållanden, mänskliga faktorer, konnektivitet och bristande kommunikation. Eftersom parametrar (antaganden) för händelserna inte har definierats ska de förväntade scenarierna som tagits fram med hjälp av analysen beaktas i sitt funktionella och logiska abstraktionsskikt.
Händelse | Svar
Framförvarande fordon saktar in | Följ fordonet, sakta in, stanna
Framförvarande fordon har stannat | Sakta in, stanna
Framförvarande fordon accelererar | Accelerera, följ fordonet
Framförvarande fordon svänger | Sakta in, stanna
Annat fordon byter körfält | Lämna företräde, följ fordonet
Annat fordon gör ett snävt körfältsbyte till körfältet | Lämna företräde, stanna, följ fordonet
Ett fordon ansluter sig till vägbanan | Följ fordonet, sakta in, stanna
Ett fordon i motsatt riktning gör intrång | Sakta in, stanna, förflyttning inom körfältet, förflyttning utanför körfältet
Ett angränsande fordon gör intrång | Lämna företräde, sakta in, stanna
Framförvarande fordon gör ett snävt körfältsbyte från körfältet | Accelerera, sakta in, stanna
En fotgängare korsar vägen – på övergångsställe | Lämna företräde, sakta in, stanna
En fotgängare korsar vägen – utanför övergångsställe | Lämna företräde, sakta in, stanna
Cyklister cyklar i körfältet | Ge företräde, följ
Cyklister cyklar på cykelbana | Förflyttning inom körfältet
Cyklister korsar vägen – på övergångsställe | Lämna företräde, sakta in, stanna
Cyklister korsar vägen – utanför övergångsställe | Lämna företräde, sakta in, stanna
3. Kritiska scenarier
Kritiska scenarier kan härledas genom att antingen beakta ytterlighetsantaganden för förväntade trafikscenarier (databaserade) eller genom att tillämpa standardiserade metoder (kunskapsbaserade) för utvärdering av operationella brister (se exempel på metoder i punkt 3.5.5 i del 2). Kartläggningen av kritiska scenarier kan dra fördel av en utökad kombination av scenarioparametrar och gränsvärden som inom den planerade driftsmiljön till exempel omfattar infrastrukturegenskaper, egenskaper hos föremål och händelser, trafikfaror som påverkar åtgärder (t.ex. väder, synlighet, samverkan med andra trafikanter som inte har koppling till föremålet eller händelsen). Kartläggningen av kritiska scenarier begränsas inte till trafikförhållanden utan omfattar även miljöförhållanden, mänskliga faktorer, konnektivitet och bristande kommunikation. Kritiska scenarier motsvarar nöddrift av det automatiska körsystemet.
4. Felscenarier
Syftet med dessa scenarier är att utvärdera hur det automatiska körsystemet svarar på ett funktionsavbrott som uppstår. Olika metoder finns tillgängliga i litteraturen (se exempel på metoder i punkt 3.5.5 i del 2).
För varje beteendefel och följdeffekter av detta som identifieras ska tillverkaren införa relevanta strategier när det automatiska körsystemet utvecklas (dvs. felsäkring).
När felscenarierna tillämpas är syftet att utvärdera det automatiska körsystemets förmåga att uppfylla kraven för säkerhetskritiska situationer, t.ex. det automatiska körsystemet ska hantera säkerhetskritiska situationer vid körning och det automatiska körsystemet ska hantera feltillstånd på ett säkert sätt, och deras respektive delkrav.
5. Antaganden: Logiska till konkreta scenarier
För att säkerställa att de scenarier som anges i föregående punkter är färdiga för utvärdering med hjälp av simulationer eller fysiska provningar kan tillverkaren behöva parametrisera dem på ett enhetligt sätt genom att tillämpa antaganden.
Tillverkaren ska tillhandahålla bevis som stöder antaganden som gjorts, t.ex. datainsamlingar som utförts under utvecklingsfasen, undersökningar av verkliga olyckor samt realistiska utvärderingar av körbeteende.
De parametrar som används för att karakterisera kritiska scenarier bör omfatta rimligen förutsebara värden i scenarioparametrar, men bör inte begränsas till värden som redan observerats i dokumenterade databaser.
Tillägg 1
Säkerhetsbedömningsrapport nr:
1. Identifiering
1.1 Fordonsfabrikat:
1.2 Fordonstyp:
1.3 Metod för identifiering av fordonstyp, om sådan märkning finns på fordonet:
1.4 Märkningens placering:
1.5 Tillverkarens namn och adress:
1.6 Namn på och adress till tillverkarens eventuella ombud:
1.7 Tillverkarens formella dokumentationspaket: Dokumentationens referensnummer: Datum för ursprungligt utfärdande: Datum för senaste uppdatering:
2. Bedömningsmetod
2.1 Beskrivning av bedömningsförfaranden och metoder
2.2 Acceptanskriterier
3. Resultaten av översynen av dokumentationspaketet
3.1 Översyn av beskrivningen av det automatiska körsystemet
3.2 Översyn av tillverkarens säkerhetskoncept och tillverkarens säkerhetsanalys
3.3 Översyn av tillverkarens verifiering och validering, särskilt de olika provningarnas omfattning och fastställande av minimitröskelvärden för täckningen för olika mätvärden
3.4 Översyn av metoder och verktyg (programvara, laboratorium, annat) och trovärdighetsbedömningen
3.5 Översyn av datakrav för det automatiska körsystemet och särskilda dataelement för registreringsapparater för händelsedata i helautomatiserade fordon
3.6 Kontroller av att intygen för cybersäkerhet och programvaruuppdateringar täcker det automatiska körsystemet.
3.7 Översyn av information som tillhandahålls i drifthandboken
3.8 Översyn av bestämmelserna om periodisk trafiksäkerhetsprovning av det automatiska körsystemet
3.9 Översyn av ytterligare information som inte ingår i informationsdokumentet
4. Kontroll av det automatiska körsystemets funktioner under funktionsavbrottsfria förhållanden (som avses i punkt 4.1.1 i bilaga III del 2 till genomförandeförordning (EU) 2022/1426 av den 5 augusti 2022 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2019/2144 vad gäller enhetliga förfaranden och tekniska specifikationer för typgodkännande av automatiska körsystem i helautomatiserade fordon).
4.1 Grund för urval av provningsscenarier
4.2 Utvalda provningsscenarier
4.3 Provningsrapporter
4.3.1 Provning nr (lägg till ytterligare poster enligt antalet provningar som utförts)
4.3.1.1 Syftet med provningen
4.3.1.2 Provningsförhållanden
4.3.1.3 Uppmätta mängder och mätutrustning
4.3.1.4 Acceptanskriterier
4.3.1.5 Provningsresultat
4.3.1.6 Jämförelse med dokumentation från tillverkaren
5. Kontroll av det automatiska körsystemets säkerhetskoncept vid funktionsavbrott (som avses i punkt 4.1.2 i bilaga III del 2 till genomförandeförordning (EU) 2022/1426
5.1 Grund för urval av provningsscenarier
5.2 Utvalda provningsscenarier
5.3 Provningsrapporter
5.3.1 Provning nr (lägg till ytterligare poster enligt antalet provningar som utförts)
5.3.1.1 Syftet med provningen
5.3.1.2 Provningsförhållanden
5.3.1.3 Uppmätta mängder och mätutrustning
5.3.1.4 Acceptanskriterier
5.3.1.5 Provningsresultat
5.3.1.6 Jämförelse med dokumentation från tillverkaren
6. Intyg för säkerhetsstyrningssystemet (ska bifogas denna provningsrapport)
7. Bedömningsdatum
8. Slutgiltigt avgörande avseende resultatet av säkerhetsbedömningen
9. Denna provning har utförts och resultaten rapporterats i enlighet med genomförandeförordning (EU) 2022/1426 Teknisk tjänst som utför bedömningen Undertecknat: . ... Datum: ...
10. Anmärkningar:
1 Se sidan 1 i detta nummer av EUT.
Tillägg 2
1. Identifiering
1.1 Fordonsfabrikat:
1.2 Fordonstyp:
1.3 Metod för identifiering av fordonstyp, om sådan märkning finns på fordonet:
1.4 Märkningens placering:
1.5 Tillverkarens namn och adress:
1.6 Namn på och adress till tillverkarens eventuella ombud:
1.7 Tillverkarens formella dokumentationspaket: Dokumentationens referensnummer: Datum för ursprungligt utfärdande: Datum för senaste uppdatering:
2. Bedömningsmetod
2.1 Beskrivning av bedömningsförfaranden och metoder
2.2 Acceptanskriterier
3. Kontroll av det automatiska körsystemets funktioner under funktionsavbrottsfria förhållanden (som avses i punkt 4.1.1 i bilaga III del 2 till genomförandeförordning (EU) 2022/1426)
3.1 Grund för urval av provningsscenarier
3.2 Utvalda provningsscenarier
4. Kontroll av det automatiska körsystemets säkerhetskoncept vid enskilt funktionsavbrott (som avses i punkt 4.1.2 i bilaga III del 2 till genomförandeförordning (EU) 2022/1426)
4.1 Grund för urval av provningsscenarier
4.2 Utvalda provningsscenarier
5. Resultat från bedömningen
5.1 Resultat av översynen av informationsdokumentet
5.2 Resultat av kontrollen av det automatiska körsystemets funktioner under funktionsavbrottsfria förhållanden
5.3 Resultat av kontrollen av det automatiska körsystemets funktioner vid enskilt funktionsavbrott
5.4 Resultat av bedömningen av säkerhetsstyrningssystemet
5.5 Resultat av kontrollen av bestämmelserna om periodisk provning av trafiksäkerhet
6. Slutgiltigt avgörande avseende resultatet av säkerhetsbedömningen
Tillägg 3
Tillverkarens försäkran om överensstämmelse med kraven för säkerhetsstyrningssystemet
Tillverkarens namn:
Tillverkarens adress:
… (tillverkarens namn) intygar att de förfaranden som krävs för att uppfylla kraven för säkerhetsstyrningssystemet enligt genomförandeförordning (EU) 2022/1426 har inrättats och kommer att upprätthållas.
Utfärdat i: … (ort)
Datum:
Undertecknarens namn:
Undertecknarens befattning:
(Stämpel och underskrift från tillverkarens ombud)
Tillägg 4
Intyg om överensstämmelse för säkerhetsstyrningssystem
med genomförandeförordning (EU) 2022/1426
Intygsnummer [referensnummer]
[… typgodkännandemyndighet]
intygar att
Tillverkare: …
Tillverkarens adress:
uppfyller bestämmelserna i genomförandeförordning (EU) 2022/1426
Kontroller har utförts på:
av (namn på och adress till typgodkännandemyndigheten eller den tekniska tjänsten):
Rapportens nummer: …
Detta intyg är giltigt till och med den […datum]
Utfärdat i […ort]
den […datum]
[…underskrift]
Bilagor: tillverkarens beskrivning av ledningssystemet för cybersäkerhet.
Tillägg 1
Händelserna har delats in i fyra kategorier utifrån hur relevanta de är för den dynamiska köruppgiften, för samspelet med användare av helautomatiserade fordon och för det automatiska körsystemets tekniska villkor. För varje händelse anges dess relevans för kortfristiga och/eller regelbundna rapporter i tabellen nedan.
Regelbunden rapportering av händelser förväntas inlämnas i form av sammanställda uppgifter (per driftstimme eller körsträcka i km) för det automatiska körsystemets fordonstyp och i relation till driften av det automatiska körsystemet (dvs. när det automatiska körsystemet är aktiverat).
HÄNDELSE | KORTFRISTIG RAPPORTERING (1 månad) | REGELBUNDEN RAPPORTERING (1 år)
1. Händelser relaterade till det automatiska körsystemets prestanda under den dynamiska köruppgiften, t.ex. följande:
1 a Säkerhetskritiska händelser som tillverkaren är medveten om. | X | X
1 b Händelser relaterade till drift av det automatiska körsystemet utanför systemets planerade driftsmiljö. | X | X
1 c Händelser där det automatiska körsystemet har misslyckats med att uppnå ett riskminimeringstillstånd där detta har krävts. | X | X
1 d Kommunikationsrelaterade händelser (när konnektivitet är relevant för det automatiska körsystemets säkerhetskoncept). | X
1 e Cybersäkerhetsrelaterade händelser. | X
1 f Samspel med den fjärrstyrande föraren (i tillämpliga fall) i samband med större funktionsavbrott hos det automatiska körsystemet eller fordonet. | X
2. Händelser relaterade till det automatiska körsystemets samspel med användare av helautomatiserade fordon, t.ex.:
2 a Användarrelaterade händelser (t.ex. användarfel, felaktig användning, förebyggande av felaktig användning). | X
3. Händelser relaterade till det automatiska körsystemets tekniska villkor, inbegripet underhåll och reparationer:
3 a Händelser relaterade till funktionsavbrott hos det automatiska körsystemet som leder till en begäran om ingripande till föraren eller den fjärrstyrande föraren. | X
3 b Problem beträffande underhåll och reparation. | X
3 c Händelser relaterade till obehöriga ändringar (dvs. manipulation). | X
4. Händelser relaterade till identifiering av nya säkerhetsrelevanta scenarier. | X (Om tillverkaren infört ändringar för att åtgärda ett nyligen identifierat och betydande säkerhetsproblem hos det automatiska körsystemet som innebär en orimlig risk, inbegripet en beskrivning av tidigare oväntade scenarier.) | X
BILAGA IV
Meddelande om beviljat/utökat/ej beviljat/återkallat(1) typgodkännande av en typ av helautomatiserat fordon med avseende på fordonets automatiska körsystem i enlighet med kraven i genomförandeförordning (EU) 2022/1426, senast ändrad genom genomförandeförordning (EU) …/…
Nummer på EU-typgodkännandeintyget:
Skäl för att utöka/ej bevilja/återkalla :
AVSNITT I
0.1 Fabrikat (tillverkarens firmanamn):
0.2 Typ:
0.2.1 Eventuella handelsbeteckningar:
0.3 Typidentifikationsmärkning, om sådan finns på fordonet:
0.3.1 Märkningens placering:
0.4 Fordonskategori:
0.5 Tillverkarens namn och adress:
0.8 Namn på och adress(er) till monteringsanläggning(ar):
0.9 Namn på och adress till tillverkarens eventuella ombud:
AVSNITT II
1. Kompletterande upplysningar (i tillämpliga fall): se addendum.
2. Teknisk tjänst som ansvarar för att utföra provningarna:
3. Datum för provningsrapporten:
4. Provningsrapportens nummer:
5. Anmärkningar (i förekommande fall): se addendum.
6. Plats:
7. Datum:
8. Underskrift:
1 Stryk det som inte är tillämpligt.
Addendum
1. Beskrivning och/eller ritning av det automatiska körsystemet inklusive följande:
1.1 Planerad driftsmiljö, systemgränser och specificerad högsta hastighet för det automatiska körsystemet enligt tillverkarens uppgifter:
1.2 Beskrivning av det automatiska körsystemets huvudsakliga funktioner
1.2.1 Fordonsinterna funktioner
1.2.2 Fordonsexterna funktioner (t.ex. backend-system, nödvändig infrastruktur utanför fordonet, nödvändiga operativa åtgärder)
1.3 Avkänningssystem (inkl. komponenter):
1.4 Installation av det automatiska körsystemets avkänningssystem:
1.5 Programvaruidentifiering för det automatiska körsystemet:
2. Skriftlig beskrivning och/eller ritning av det automatiska körsystemets mänskliga övervakning
2.1 Fjärrstyrande förare och fjärrkontroll över det automatiska körsystemet
2.2 Sätt att aktivera och avaktivera det automatiska körsystemet
2.3 Övervakning inuti fordonet
2.4 Eventuella systembegränsningar på grund av miljö- eller vägförhållanden
3. Skriftlig beskrivning och/eller ritning av den information som ges till passagerare och andra trafikanter
3.1 Systemstatus:
3.2 Begäran till föraren ombord eller den fjärrstyrande föraren:
3.4 Nödmanöver:
4. Det automatiska körsystemets dataelement
4.1 Det automatiska körsystemets dataelement som verifierats efter provningar som utförts enligt bilaga III del 3:
4.2 Dokumentation med avseende på dataåtkomst, egenkontroll av dataintegriteten och skydd mot manipulation av lagrade uppgifter har verifierats: ja/nej
5. Cybersäkerhet och programvaruuppdateringar
5.1 Typgodkännandenummer för cybersäkerhet:
5.2 Typgodkännandenummer för programvaruuppdatering:
6. Bedömning av det automatiska körsystemets funktionella och driftsmässiga säkerhet
6.1 Tillverkarens dokumentreferens för bedömningen (inklusive versionsnummer):
6.2 Informationsdokument
7. Teknisk tjänst som ansvarar för att utföra godkännandeprovningar
7.1 Datum för provningsrapport från denna tjänst
7.2 (Referens)nummer på rapporten som denna tjänst utfärdat
8. Bilagor Tillägg 1: Informationsdokument för automatiska körsystem (hänvisa till bilaga I till genomförandeförordning (EU) 2022/1426). Tillägg 2: Medlemsstater och särskilda områden där tillverkaren har angett att det automatiska körsystemet har bedömts uppfylla lokala trafikregler. Förteckning över handlingar i registret för godkännanden som deponerats vid de myndigheter som har utfärdat godkännandet. Denna förteckning kan erhållas på begäran. Tillägg 3: Bedömningsrapport/provningsresultat för det automatiska körsystemet från den beviljande typgodkännandemyndigheten. Tillägg 4: Intyg om överensstämmelse för säkerhetsstyrningssystem.