Akt prawny
obowiązujący
Wersja aktualna od 2022-09-15
Wersja aktualna od 2022-09-15
obowiązujący
Alerty
ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2022/1426
z dnia 5 sierpnia 2022 r.
ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/2144 w odniesieniu do jednolitych procedur i specyfikacji technicznych w zakresie homologacji typu systemu zautomatyzowanej jazdy (ADS) pojazdów w pełni zautomatyzowanych
(Tekst mający znaczenie dla EOG)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/2144 z dnia 27 listopada 2019 r. w sprawie wymogów dotyczących homologacji typu pojazdów silnikowych i ich przyczep oraz układów, komponentów i oddzielnych zespołów technicznych przeznaczonych do tych pojazdów, w odniesieniu do ich ogólnego bezpieczeństwa oraz ochrony osób znajdujących się w pojeździe i niechronionych uczestników ruchu drogowego, zmieniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/858 oraz uchylające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 78/2009, (WE) nr 79/2009 i (WE) nr 661/2009 oraz rozporządzenia Komisji (WE) nr 631/2009, (UE) nr 406/2010, (UE) nr 672/2010, (UE) nr 1003/2010, (UE) nr 1005/2010, (UE) nr 1008/2010, (UE) nr 1009/2010, (UE) nr 19/2011, (UE) nr 109/2011, (UE) nr 458/2011, (UE) nr 65/2012, (UE) nr 130/2012, (UE) nr 347/2012, (UE) nr 351/2012, (UE) nr 1230/2012 i (UE) 2015/166 (1), w szczególności jego art. 11 ust. 2,
a także mając na uwadze, co następuje:
(1) | Konieczne jest przyjęcie przepisów wykonawczych w zakresie homologacji typu systemu zautomatyzowanej jazdy pojazdów w pełni zautomatyzowanych, w szczególności układów wymienionych w art. 11 ust. 1 lit. a), b), d) i f) rozporządzenia (UE) 2019/2144. Zgodnie z art. 11 ust. 1 rozporządzenia (UE) 2019/2144 systemy monitorowania dostępności kierowcy nie mają zastosowania do pojazdów w pełni zautomatyzowanych. Ponadto zharmonizowany format wymiany danych, na przykład w odniesieniu do jazdy w konwoju pojazdów różnych marek, jest nadal przedmiotem działań normalizacyjnych i na tym etapie nie może zostać włączony do niniejszego rozporządzenia. Poza tym niniejsze rozporządzenie nie powinno obejmować homologacji systemów zautomatyzowanej jazdy pojazdów zautomatyzowanych, ponieważ kwestię tę ma objąć odniesienie do regulaminu ONZ nr 157 dotyczącego automatycznych systemów utrzymania pasa ruchu (2) w załączniku I do rozporządzenia (UE) 2019/2144 zawierającym wykaz regulaminów ONZ, które muszą być obowiązkowo stosowane w UE. |
(2) | Do celów homologacji typu całego pojazdu, w odniesieniu do pojazdów w pełni zautomatyzowanych, homologacja typu systemu zautomatyzowanej jazdy tych pojazdów zgodnie z niniejszym rozporządzeniem powinna zostać uzupełniona o wymogi określone w części I dodatek 1 załącznika II do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/858 (3). W kolejnym etapie Komisja będzie kontynuować prace dotyczące dalszego opracowania i przyjęcia do lipca 2024 r. niezbędnych wymogów na potrzeby unijnej homologacji typu całego pojazdu w odniesieniu do w pełni zautomatyzowanych pojazdów produkowanych w nieograniczonych seriach. |
(3) | Ocena systemu zautomatyzowanej jazdy pojazdów w pełni zautomatyzowanych, zaproponowana w niniejszym rozporządzeniu, opiera się w dużym stopniu na scenariuszach ruchu drogowego, które są istotne dla poszczególnych przypadków użycia pojazdów w pełni zautomatyzowanych. Konieczne jest zatem zdefiniowanie tych różnych przypadków użycia. Należy regularnie dokonywać przeglądu takich przypadków użycia oraz, w razie potrzeby, wprowadzać do nich zmiany w celu uwzględnienia dodatkowych przypadków użycia. |
(4) | Dokument informacyjny, o którym mowa w art. 24 ust. 1 lit. a) rozporządzenia (UE) 2018/858 i który ma zostać przedstawiony przez producenta do celów homologacji typu systemu zautomatyzowanej jazdy pojazdów w pełni zautomatyzowanych, powinien opierać się na odpowiednim wzorze na potrzeby homologacji typu całego pojazdu określonym w załączniku II do rozporządzenia wykonawczego Komisji (UE) 2020/683 (4). Aby jednak zapewnić spójne podejście, należy wyodrębnić te pozycje dokumentu informacyjnego, które są istotne dla homologacji typu systemu zautomatyzowanej jazdy pojazdu w pełni zautomatyzowanego. |
(5) | Ze względu na złożoność systemów zautomatyzowanej jazdy konieczne jest uzupełnienie wymogów dotyczących skuteczności działania i badań określonych w niniejszym rozporządzeniu o dokumentację producenta wykazującą, że system zautomatyzowanej jazdy nie stwarza w okresie jego użytkowania nieuzasadnionego ryzyka dla bezpieczeństwa osób znajdujących się w pojeździe i innych użytkowników drogi w odpowiednich scenariuszach w okresie użytkowania ADS. W związku z tym konieczne jest ustanowienie systemu zarządzania bezpieczeństwem, który będą musieli wdrożyć producenci, określenie na potrzeby producentów i organów parametrów istotnych dla systemu zautomatyzowanej jazdy, które będą stosowane w scenariuszach ruchu drogowego, ustanowienie kryteriów oceny, czy koncepcja bezpieczeństwa producenta uwzględnia odpowiednie scenariusze ruchu drogowego, zagrożenia i ryzyko, a także ustanowienie kryteriów oceny wyników walidacji uzyskanych od producenta, w szczególności wyników walidacji uzyskanych za pomocą wirtualnych łańcuchów narzędzi. Na koniec należy określić odpowiednie dane operacyjne, które producent powinien przekazywać organom udzielającym homologacji typu. |
(6) | Świadectwo homologacji typu UE i addendum do niego, o którym mowa w art. 28 ust. 1 rozporządzenia (UE) 2018/858, wydawane dla systemu zautomatyzowanej jazdy pojazdów w pełni zautomatyzowanych, powinny opierać się na odpowiednich wzorach określonych w załączniku III do rozporządzenia wykonawczego (UE) 2020/683. Aby jednak zapewnić spójne podejście, należy w świadectwie homologacji typu UE i addendum do niego wyodrębnić te pozycje, które są istotne dla homologacji typu systemu zautomatyzowanej jazdy pojazdów w pełni zautomatyzowanych. |
(7) | Z zastrzeżeniem przepisów rozporządzenia (UE) 2018/858 i wszelkich właściwych przepisów UE, niniejsze rozporządzenie nie narusza prawa państw członkowskich do regulowania kwestii poruszania się i bezpieczeństwa eksploatacji pojazdów w pełni zautomatyzowanych w ruchu drogowym ani bezpieczeństwa eksploatacji tych pojazdów w usługach transportu lokalnego. Państwa członkowskie nie są zobowiązane do wyznaczenia z góry obszarów, tras ani parkingów na podstawie niniejszego rozporządzenia. Pojazdy silnikowe objęte niniejszym rozporządzeniem mogą być eksploatowane wyłącznie w zakresie określonym w art. 1. |
(8) | Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią Komitetu Technicznego ds. Pojazdów Silnikowych, |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
Zakres stosowania
Niniejsze rozporządzenie ma zastosowanie do homologacji typu pojazdów w pełni zautomatyzowanych kategorii M i N w odniesieniu do ich systemu zautomatyzowanej jazdy dla następujących przypadków użycia:
a) | pojazdy w pełni zautomatyzowane, w tym pojazdy dwutrybowe, zaprojektowane i skonstruowane do przewozu osób lub towarów na wyznaczonym obszarze; |
b) | "hub-to-hub": pojazdy w pełni zautomatyzowane, w tym pojazdy dwutrybowe, zaprojektowane i skonstruowane do przewozu osób lub towarów na wyznaczonej trasie z ustalonymi punktami początkowymi i końcowymi; |
c) | "zautomatyzowane parkowanie typu valet parking": pojazdy dwutrybowe z trybem jazdy w pełni zautomatyzowanej umożliwiającym parkowanie we wcześniej określonych obiektach parkingowych. Do wykonania zadania wynikającego z dynamiki jazdy system może ewentualnie wykorzystywać infrastrukturę zewnętrzną (np. markery lokalizacyjne, czujniki percepcji itp.) obiektu parkingowego. |
Na podstawie niniejszego rozporządzenia producent może wystąpić o indywidualne dopuszczenie lub o homologację typu systemu zautomatyzowanej jazdy pojazdów zdefiniowanych w art. 2 ust. 3 rozporządzenia (UE) 2018/858, pod warunkiem że pojazdy te spełniają wymogi niniejszego rozporządzenia.
Artykuł 2
Definicje
Oprócz definicji zawartych w rozporządzeniu (UE) 2018/858 i rozporządzeniu (UE) 2019/2144 do celów niniejszego rozporządzenia stosuje się następujące definicje:
1) | "system zautomatyzowanej jazdy" (ADS) oznacza sprzęt i oprogramowanie, które są razem zdolne do trwałego wykonywania całości DDT w określonym projektowanym zakresie operacyjnym (ODD); |
2) | "aspekt ADS" oznacza zastosowanie sprzętu i oprogramowania ADS zaprojektowane do określonego użytku w projektowanym zakresie operacyjnym; |
3) | "funkcja ADS" oznacza zastosowanie sprzętu i oprogramowania ADS zaprojektowane w celu wykonania określonej części zadania wynikającego z dynamiki jazdy; |
4) | "zadanie wynikające z dynamiki jazdy" (DDT) oznacza wszystkie funkcje operacyjne realizowane w czasie rzeczywistym oraz funkcje taktyczne wymagane do obsługi pojazdu, z wyłączeniem funkcji strategicznych, takich jak planowanie podróży oraz wybór miejsc docelowych i punktów drogi, i z uwzględnieniem między innymi następujących podzadań:
|
5) | "funkcje operacyjne" zadania wynikającego z dynamiki jazdy oznaczają funkcje wykonywane w stałej czasowej o długości milisekund, które obejmują takie zadania jak poruszanie kierownicą w celu utrzymania się na pasie ruchu lub hamowanie w celu uniknięcia pojawiającego się zagrożenia; |
6) | "funkcje taktyczne" zadania wynikającego z dynamiki jazdy oznaczają funkcje wykonywane w stałej czasowej o długości sekund, które obejmują takie zadania jak wybór pasa ruchu, akceptacja luki i wyprzedzanie; |
7) | "błąd" oznacza nieprawidłowy stan, który może spowodować awarię. Może on dotyczyć sprzętu lub oprogramowania; |
8) | "awaria" oznacza zakończenie zamierzonego zachowania komponentu lub układu ADS z powodu ujawnienia się błędu; |
9) | "monitorowanie w trakcie eksploatacji" oznacza dane zgromadzone przez producenta oraz dane z innych źródeł pozwalające uzyskać dowody na skuteczność działania ADS w zakresie bezpieczeństwa podczas eksploatacji tego systemu w terenie; |
10) | "sprawozdawczość eksploatacyjna" oznacza dane przekazywane przez producenta w celu przedstawienia dowodów dotyczących skuteczności działania ADS w zakresie bezpieczeństwa podczas eksploatacji tego systemu w terenie; |
11) | "okres użytkowania ADS" oznacza okres, w którym ADS jest dostępny w pojeździe; |
12) | "cykl życia ADS" oznacza okres obejmujący etapy projektu, opracowania, produkcji, praktycznej eksploatacji, serwisowania i wycofania z eksploatacji; |
13) | "wadliwe działanie" oznacza awarię lub niezamierzone zachowanie komponentu lub układu ADS w stosunku do założeń projektowych; |
14) | "manewr minimalizujący ryzyko" (MRM) oznacza manewr służący zminimalizowaniu ryzyka w ruchu drogowym poprzez zatrzymanie pojazdu w bezpiecznym stanie (tj. w stanie minimalnego ryzyka); |
15) | "stan minimalnego ryzyka" (MRC) oznacza stabilny stan, w którym pojazd jest zatrzymany, zmniejszający ryzyko zderzenia; |
16) | "projektowany zakres operacyjny" (ODD) oznacza warunki eksploatacji, do których konkretnie zaprojektowano dany ADS, obejmujące m.in. ograniczenia w zakresie warunków środowiskowych, geograficznych i pory dnia lub wymagane występowanie albo brak określonych cech ruchu drogowego lub jezdni; |
17) | "wykrywanie obiektów i zdarzeń oraz reakcja systemu" (OEDR) oznacza podzadania w ramach zadania wynikającego z dynamiki jazdy, które obejmują monitorowanie środowiska jazdy i odpowiednią reakcję. Obejmuje to wykrywanie, rozpoznawanie i klasyfikowanie obiektów i zdarzeń oraz przygotowywanie i realizację reakcji stosownie do potrzeb; |
18) | "scenariusz" oznacza sekwencję lub kombinację sytuacji stosowanych do oceny wymogów bezpieczeństwa dotyczących ADS; |
19) | "nominalne scenariusze ruchu drogowego" oznaczają racjonalnie możliwe do przewidzenia sytuacje, w jakich może znaleźć się ADS podczas eksploatacji w jego projektowanym zakresie operacyjnym. Scenariusze te przedstawiają niekrytyczne interakcje ADS z innymi uczestnikami ruchu i generują normalne działanie tego systemu; |
20) | "scenariusze krytyczne" oznaczają scenariusze związane z przypadkami skrajnymi (np. nieoczekiwanymi warunkami o wyjątkowo niskim prawdopodobieństwie zdarzenia) i niedociągnięciami w zakresie eksploatacji, nieograniczające się do warunków ruchu drogowego, ale obejmujące również warunki środowiskowe (np. ulewny deszcz lub słabe światło słoneczne oświetlające kamery), czynniki ludzkie, łączność i zakłócenia w komunikacji prowadzące do awaryjnego działania ADS; |
21) | "scenariusze awaryjne" oznaczają scenariusze związane z awarią ADS lub części pojazdu, które mogą prowadzić do normalnego lub awaryjnego działania ADS w zależności od tego, czy zachowany jest minimalny poziom bezpieczeństwa; |
22) | "działanie normalne" oznacza funkcjonowanie ADS w ramach określonych limitów i warunków eksploatacyjnych w celu wykonania zaprojektowanego działania; |
23) | "działanie awaryjne" oznacza działanie ADS spowodowane wystąpieniem zdarzeń wymagających natychmiastowego działania w celu złagodzenia niekorzystnych skutków dla zdrowia ludzkiego lub szkody materialnej; |
24) | "operator pokładowy" oznacza, w przypadku gdy ma to zastosowanie do koncepcji bezpieczeństwa ADS, osobę znajdującą się w pojeździe w pełni zautomatyzowanym, która może:
W powyższych sytuacjach operator pokładowy nie prowadzi pojazdu w pełni zautomatyzowanego, a ADS musi nadal wykonywać DDT; |
25) | "operator interwencji zdalnej" oznacza, w przypadku gdy ma to zastosowanie do koncepcji bezpieczeństwa ADS, osobę (osoby) znajdującą (znajdujące) się poza pojazdem w pełni zautomatyzowanym, która może (które mogą) zdalnie wykonywać zadania operatora pokładowego, pod warunkiem że jest to bezpieczne. Operator interwencji zdalnej nie prowadzi pojazdu w pełni zautomatyzowanego, a ADS musi nadal wykonywać DDT; |
26) | "możliwości obsługi zdalnej" oznaczają zdolności specjalnie zaprojektowane na potrzeby zdalnej interwencji; |
27) | "numer identyfikacyjny oprogramowania R2022/1426 (R2022/1426 SWIN)" oznacza określony przez producenta specjalny identyfikator zawierający informacje o oprogramowaniu ADS istotnym dla homologacji typu i stanowiącym jedną z istotnych cech ADS w kontekście homologacji typu; |
28) | "nieuzasadnione ryzyko" oznacza ogólny poziom ryzyka dla osób znajdujących się w pojeździe i innych użytkowników drogi, który przewyższa poziom ryzyka w pojeździe prowadzonym ręcznie w porównywalnych usługach transportowych i sytuacjach mieszczących się w projektowanym zakresie operacyjnym; |
29) | "bezpieczeństwo funkcjonalne": brak nieuzasadnionego ryzyka związanego z występowaniem zagrożeń powodowanych wadliwym działaniem; |
30) | "bezpieczeństwo operacyjne" oznacza brak nieuzasadnionego ryzyka związanego z występowaniem zagrożeń wynikających z niedociągnięć w działaniu zaplanowanej funkcji (np. fałszywe wykrycie/brak wykrycia), zakłóceń w działaniu (np. powodowanych warunkami środowiskowymi, takimi jak mgła, deszcz, cienie, światło słoneczne, infrastruktura) lub z możliwych do przewidzenia sposobów nieprawidłowego użycia/błędów ze strony osób znajdujących się w pojeździe i innych użytkowników drogi (tj. zagrożenia dla bezpieczeństwa niewynikające z błędów systemu); |
31) | "strategia sterowania" oznacza strategię mającą zapewnić sprawne i bezpieczne działanie ADS w reakcji na określony zbiór warunków otoczenia lub warunków operacyjnych (np. stan nawierzchni drogi, obecność innych użytkowników drogi, niesprzyjające warunki pogodowe, bezpośrednie zagrożenie kolizją, awarie, osiągnięcie granic projektowanego zakresu operacyjnego itp.). Może to obejmować stosowanie czasowych ograniczeń efektywności (np. ograniczenie maksymalnej prędkości operacyjnej itp.), manewry minimalizujące ryzyko, zapobieganie kolizjom lub ich łagodzenie, zdalne interwencje itp.; |
32) | "czas do zderzenia" (TTC) oznacza czas, jaki pozostał do wystąpienia zderzenia z udziałem pojazdów/obiektów/przedmiotów, jeżeli nie zmienią się ich prędkości i uwzględniając tory ich ruchu. O ile w tekście nie podano inaczej, dla sytuacji jazdy wzdłużnej przy stałych prędkościach wartość TTC otrzymuje się przez podzielenie odległości wzdłużnej (w kierunku poruszania się przedmiotowego pojazdu) między przedmiotowym pojazdem a pozostałymi pojazdami/obiektami/przedmiotami przez względną prędkość wzdłużną przedmiotowego pojazdu oraz pozostałych pojazdów/obiektów/przedmiotów. O ile w tekście nie podano inaczej, dla prostych sytuacji przecinania się kierunków jazdy pojazdów przy stałych prędkościach wartość tę otrzymuje się przez podzielenie odległości wzdłużnej między przedmiotowym pojazdem a poprzeczną linią ruchu pozostałych pojazdów/obiektów/przedmiotów przez prędkość wzdłużną przedmiotowego pojazdu; |
33) | "typ pojazdu w odniesieniu do ADS" oznacza pojazdy w pełni zautomatyzowane, które nie różnią się pod takimi istotnymi względami, jak:
|
34) | "pojazdy dwutrybowe" oznaczają pojazdy w pełni zautomatyzowane, w których siedzenie kierowcy zaprojektowano i skonstruowano w taki sposób:
W przypadku pojazdów dwutrybowych przejście z trybu kierowania ręcznego na tryb jazdy w pełni zautomatyzowanej, a także przejście z trybu jazdy w pełni zautomatyzowanej na tryb ręczny może mieć miejsce tylko po zatrzymaniu pojazdu, a nie w czasie ruchu pojazdu; |
35) | "operator usług transportowych" oznacza podmiot świadczący usługi transportowe przy użyciu co najmniej jednego pojazdu w pełni zautomatyzowanego. |
Artykuł 3
Przepisy administracyjne i specyfikacje techniczne w zakresie homologacji typu systemu zautomatyzowanej jazdy pojazdów w pełni zautomatyzowanych
1. Odpowiednie pozycje w dokumencie informacyjnym przedłożonym zgodnie z art. 24 ust. 1 lit. a) rozporządzenia (UE) 2018/858 wraz z wnioskiem o udzielenie homologacji typu systemu zautomatyzowanej jazdy pojazdu w pełni zautomatyzowanego muszą zawierać informacje istotne dla tego systemu, jak określono w załączniku I.
2. Homologacja typu systemów zautomatyzowanej jazdy pojazdów w pełni zautomatyzowanych podlega specyfikacjom technicznym określonym w załączniku II. Oceny tych specyfikacji dokonują organy udzielające homologacji lub ich upoważnione placówki techniczne zgodnie z załącznikiem III.
3. Świadectwo homologacji typu UE dla typu systemu zautomatyzowanej jazdy pojazdu w pełni zautomatyzowanego, o którym to świadectwie mowa w art. 28 ust. 1 rozporządzenia (UE) 2018/858, sporządza się zgodnie z załącznikiem IV.
Artykuł 4
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 5 sierpnia 2022 r.
W imieniu Komisji
Przewodnicząca
Ursula VON DER LEYEN
(1) Dz.U. L 325 z 16.12.2019, s. 1.
(2) Dz.U. L 82 z 9.3.2021, s. 75.
(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/858 z dnia 30 maja 2018 r. w sprawie homologacji i nadzoru rynku pojazdów silnikowych i ich przyczep oraz układów, komponentów i oddzielnych zespołów technicznych przeznaczonych do tych pojazdów, zmieniające rozporządzenie (WE) nr 715/2007 i (WE) nr 595/2009 oraz uchylające dyrektywę 2007/46/WE (Dz.U. L 151 z 14.6.2018, s. 1).
(4) Rozporządzenie wykonawcze Komisji (UE) 2020/683 z dnia 15 kwietnia 2020 r. w sprawie wykonania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/858 w odniesieniu do wymogów administracyjnych dotyczących homologacji i nadzoru rynku pojazdów silnikowych i ich przyczep oraz układów, komponentów i oddzielnych zespołów technicznych przeznaczonych do tych pojazdów (Dz.U. L 163 z 26.5.2020, s. 1).
ZAŁĄCZNIK I
Dokument informacyjny dotyczący homologacji typu UE pojazdów w pełni zautomatyzowanych w odniesieniu do ich systemu zautomatyzowanej jazdy
WZÓR
Dokument informacyjny nr … dotyczący homologacji typu UE typu pojazdu w pełni zautomatyzowanego w odniesieniu do systemu zautomatyzowanej jazdy (ADS).
Poniższe informacje należy dostarczyć w trzech egzemplarzach wraz ze spisem treści. Wszystkie rysunki lub ilustracje muszą być w formacie A4 lub złożone do formatu A4, w odpowiedniej skali i o dostatecznym stopniu szczegółowości. Ewentualne fotografie muszą być dostatecznie szczegółowe.
0. | INFORMACJE OGÓLNE |
0.1. | Marka (nazwa handlowa producenta): |
0.2. | Typ: |
0.2.1. | Nazwa(-y) handlowa(-e) (o ile występuje(-ą)): |
0.2.2. | W przypadku pojazdów homologowanych wielostopniowo, informacje dotyczące homologacji typu pojazdu podstawowego/pojazdu na poprzednim etapie - należy podać informacje dla każdego etapu (można je podać w tabeli). Typ: Wariant(-y): Wersja(-e): Numer świadectwa homologacji typu wraz z numerem rozszerzenia … |
0.3. | Oznaczenia identyfikacji typu, jeżeli występują na pojeździe/komponencie/oddzielnym zespole technicznym: |
0.3.1. | Umiejscowienie tego oznakowania: |
0.4. | Kategoria pojazdu: |
0.5. | Nazwa przedsiębiorstwa i adres producenta: |
0.5.1. | W przypadku pojazdów homologowanych wielostopniowo, nazwa przedsiębiorstwa i adres producenta pojazdu podstawowego/pojazdu na poprzednim etapie (poprzednich etapach): … |
0.6 | Umiejscowienie i sposób umieszczenia tabliczek znamionowych oraz położenie numeru identyfikacyjnego pojazdu: … |
0.6.1. | Na podwoziu: … |
0.6.2. | Na nadwoziu: … |
0.8. | Nazwy i adresy zakładów montażowych: |
0.9. | Nazwa i adres przedstawiciela producenta (w stosownych przypadkach): |
17. | SYSTEM ZAUTOMATYZOWANEJ JAZDY (ADS) |
17.1. | Ogólny opis ADS |
17.1.1. | Projektowany zakres operacyjny/warunki brzegowe |
17.1.2. | Podstawowe działanie (np. wykrywanie obiektów i zdarzeń oraz reakcja systemu, planowanie itp.) |
17.2. | Opis funkcji ADS |
17.2.1. | Główne funkcje ADS (architektura funkcjonalna) |
17.2.1.1. | Funkcje wewnątrz pojazdu |
17.2.1.2. | Funkcje zewnętrzne pojazdu (np. system zaplecza, potrzebna infrastruktura zewnętrzna, potrzebne środki operacyjne) |
17.3. | Przegląd głównych komponentów ADS |
17.3.1. | Jednostki sterujące |
17.3.2. | Czujniki i montaż czujników w pojeździe |
17.3.3. | Siłowniki |
17.3.4. | Mapy i pozycjonowanie |
17.3.5. | Pozostały sprzęt |
17.4. | Rozplanowanie i schematy ADS |
17.4.1. | Schemat rozplanowania systemu (np. schemat blokowy) |
17.4.2. | Wykaz i zarys schematyczny wzajemnych połączeń |
17.5. | Specyfikacje |
17.5.1. | Specyfikacje dotyczące działania normalnego |
17.5.2. | Specyfikacje dotyczące działania awaryjnego |
17.5.3. | Kryteria akceptacji |
17.5.4. | Wykazywanie zgodności |
17.6. | Koncepcja bezpieczeństwa |
17.6.1. | Oświadczenie producenta, że pojazd nie stwarza nieuzasadnionego ryzyka |
17.6.2. | Zarys architektury oprogramowania (np. schemat blokowy) |
17.6.3. | Sposoby określania realizacji logiki ADS |
17.6.4. | Ogólne wyjaśnienie dotyczące głównych zabezpieczeń projektowych wbudowanych w ADS i mających na celu zapewnienie bezpiecznego działania w warunkach wystąpienia błędu, zakłóceń w działaniu i przy wystąpieniu warunków wykraczających poza projektowany zakres operacyjny |
17.6.5. | Ogólny opis głównych zasad postępowania w przypadku wystąpienia awarii, strategii zmiany poziomu, w tym strategii ograniczania ryzyka (manewru minimalizującego ryzyko) |
17.6.6. | Warunki skierowania żądania do operatora pokładowego lub operatora interwencji zdalnej |
17.6.7. | Koncepcja interakcji człowiek-maszyna z osobami znajdującymi się w pojeździe, operatorem pokładowym i operatorem interwencji zdalnej, w tym zabezpieczenie przed prostym nieuprawnionym uruchomieniem/działaniem i interwencjami |
17.7. | Weryfikacja i walidacja przez producenta wymogów dotyczących osiągów, w tym wykrywania obiektów i zdarzeń oraz reakcji systemu, HMI, przestrzegania zasad ruchu drogowego, oraz ustalenie, że system nie stwarza nieuzasadnionego ryzyka dla osób znajdujących się w pojeździe i innych użytkowników drogi |
17.7.1. | Opis przyjętego podejścia |
17.7.2. | Wybór scenariuszy nominalnych, krytycznych i awaryjnych |
17.7.3. | Opis zastosowanych metod i narzędzi (oprogramowanie, laboratorium, inne) oraz podsumowanie oceny wiarygodności |
17.7.4. | Opis wyników |
17.7.5. | Niepewność wyników |
17.7.6. | Interpretacja wyników |
17.7.7. | Oświadczenie producenta: Producent(-ci) … potwierdza(ją), że system zautomatyzowanej jazdy (ADS) nie stwarza nieuzasadnionego ryzyka dla osób znajdujących się w pojeździe i innych użytkowników drogi. |
17.8. | Elementy danych ADS |
17.8.1. | Rodzaj przechowywanych danych |
17.8.2. | Miejsce przechowywania |
17.8.3. | Zarejestrowane zdarzenia i elementy danych |
17.8.4. | Środki mające na celu zapewnienie bezpieczeństwa danych i ich ochronę |
17.8.5. | Środki dostępu do danych |
17.9. | Cyberbezpieczeństwo i aktualizacja oprogramowania |
17.9.1. | Numer homologacji typu w odniesieniu do cyberbezpieczeństwa: |
17.9.2. | Numer świadectwa zgodności dla systemu zarządzania cyberbezpieczeństwem: |
17.9.3. | Numer homologacji typu w odniesieniu do aktualizacji oprogramowania: |
17.9.4. | Numer świadectwa zgodności dla systemu zarządzania aktualizacjami oprogramowania: |
17.9.5. | Oznakowanie oprogramowania ADS |
17.9.5.1. | Informacje na temat sposobu odczytywania numeru RxSWIN lub wersji oprogramowania, jeżeli RxSWIN nie jest umieszczony na pojeździe. |
17.9.5.2. | W stosownych przypadkach wykaz istotnych parametrów umożliwiających identyfikację pojazdów, w których można dokonać aktualizacji oprogramowania z wykorzystaniem oprogramowania oznaczonego numerem RxSWIN, o którym mowa w pkt 17.9.4.1. |
17.10. | Instrukcja obsługi (dołączana do dokumentu informacyjnego) |
17.10.1. | Opis funkcjonalny ADS i oczekiwana rola właściciela, operatora usług transportowych, operatora pokładowego, operatora interwencji zdalnej itp. |
17.10.2. | Środki techniczne zapewniające bezpieczną eksploatację (np. opis niezbędnej infrastruktury zewnętrznej, harmonogram, częstotliwość i wzór czynności związanych z konserwacją) |
17.10.3. | Ograniczenia operacyjne i środowiskowe |
17.10.4. | Środki operacyjne (np. czy potrzebny jest operator pokładowy lub operator interwencji zdalnej) |
17.10.5. | Instrukcje na wypadek awarii i żądania z ADS (środki bezpieczeństwa, które mają być stosowane przez osoby znajdujące się w pojeździe, operatora usług transportowych, operatora pokładowego i operatora interwencji zdalnej oraz organy publiczne, w przypadku nieprawidłowego funkcjonowania operacji) |
17.11. | Środki umożliwiające okresowe badania zdatności do ruchu drogowego Spis rysunków/tabel Akronimy Załącznik I - Podręcznik symulacji Załącznik II - Instrukcja obsługi Objaśnienia Niniejszy dokument informacyjny zawiera informacje istotne dla systemu zautomatyzowanej jazdy i należy go wypełniać zgodnie ze wzorem określonym w załączniku I do rozporządzenia wykonawczego Komisji (UE) 2020/683. |
ZAŁĄCZNIK II
Wymogi dotyczące skuteczności działania
1. DDT w nominalnych scenariuszach ruchu drogowego
1.1. | System zautomatyzowanej jazdy (ADS) musi być w stanie wykonać całość DDT. |
1.1.1. | Zdolność ADS do wykonania całości DDT jest określana w kontekście projektowanego zakresu operacyjnego ADS. |
1.1.2. | W ramach zadania wynikającego z dynamiki jazdy ADS musi być w stanie:
|
1.1.3. | System musi wykazywać zdolność przewidywania w interakcji z innymi użytkownikami drogi, aby zapewnić stabilne, nisko-dynamiczne, wzdłużne prowadzenie i ograniczenie do minimum ryzyka w sytuacjach krytycznych, np. w przypadku dobrze widocznych i niedobrze widocznych niechronionych użytkowników drogi (pieszych, rowerzystów itp.) albo innych pojazdów przejeżdżających przed pojazdem w pełni zautomatyzowanym lub zajeżdżających mu drogę. |
1.1.4. | Wymogi dotyczące DDT muszą być spełnione w kierunku wstecznym, jeżeli bieg wsteczny jest wymagany lub zadeklarowany w projektowanym zakresie operacyjnym. |
1.2. | ADS musi wykrywać obiekty i zdarzenia istotne dla DDT w projektowanym zakresie operacyjnym oraz odpowiednio na nie reagować. Obiekty i zdarzenia mogą obejmować między innymi:
|
1.3. | ADS musi spełniać wymagania zasad ruchu drogowego obowiązujące w państwie eksploatacji. |
1.3.1. | ADS musi bezpiecznie współdziałać z innymi użytkownikami drogi, zgodnie z zasadami ruchu drogowego, np. poprzez:
|
1.3.2. | W przypadku braku szczegółowych zasad ruchu drogowego pojazdy z ADS przeznaczone do przewozu pasażerów stojących lub nieprzypiętych nie mogą przekraczać łącznego przyspieszenia poziomego wynoszącego 2,4 m/s2 (w wartości bezwzględnej i obliczonego jako kombinacja przyspieszenia poprzecznego i wzdłużnego) ani prędkości zmiany przyspieszenia wynoszącej 5 m/s3. W zależności od czynników wpływających na ryzyko dla osób znajdujących się w pojeździe i innych użytkowników drogi właściwe może być przekroczenie tych limitów, np. podczas działań awaryjnych. |
2. DDT w krytycznych scenariuszach ruchu drogowego (działanie awaryjne)
2.1. | ADS musi być w stanie wykonać zadanie wynikające z dynamiki jazdy we wszystkich możliwych do przewidzenia krytycznych scenariuszach ruchu drogowego w projektowanym zakresie operacyjnym. |
2.1.1. | ADS musi być w stanie wykryć ryzyko kolizji z innymi użytkownikami drogi lub nagle pojawiającą się przeszkodę (śmieci, zgubiony ładunek) i musi być w stanie automatycznie wykonać odpowiednie działanie awaryjne (hamowanie, skręt omijający), aby zapobiec dającym się racjonalnie przewidzieć kolizjom i zminimalizować ryzyko dla bezpieczeństwa osób znajdujących się w pojeździe i innych użytkowników drogi. |
2.1.1.1. | W przypadku nieuniknionego alternatywnego zagrożenia życia ludzkiego ADS nie może stosować żadnej oceny na podstawie cech osobistych ludzi. |
2.1.1.2. | Ochrona innego życia ludzkiego poza pojazdem w pełni zautomatyzowanym nie może być podporządkowana ochronie życia ludzkiego wewnątrz pojazdu w pełni zautomatyzowanego. |
2.1.2. | W strategii unikania/łagodzenia skutków należy wziąć pod uwagę podatność zaangażowanych użytkowników drogi na zagrożenia. |
2.1.3. | Po zakończeniu manewru wymijania pojazd musi dążyć do przywrócenia stabilnego ruchu tak szybko, jak jest to technicznie możliwe. |
2.1.4. | Sygnał włączenia świateł awaryjnych musi być automatycznie aktywowany, zgodnie z zasadami ruchu drogowego. Jeżeli pojazd w pełni zautomatyzowany automatycznie wznawia jazdę, musi zostać automatycznie aktywowany sygnał wyłączenia świateł awaryjnych. |
2.1.5. | W razie wypadku drogowego z udziałem pojazdu w pełni zautomatyzowanego ADS musi dążyć do zatrzymania pojazdu w pełni zautomatyzowanego i wykonania manewru minimalizującego ryzyko, aby przejść w stan minimalnego ryzyka. Wznowienie działania normalnego przez ADS nie będzie możliwe, dopóki bezpieczny stan operacyjny pojazdów w pełni zautomatyzowanych nie zostanie potwierdzony przez samokontrole ADS lub operatora pokładowego (w stosownych przypadkach) lub operatora interwencji zdalnej (w stosownych przypadkach). |
3. DDT na granicach projektowanego zakresu operacyjnego
3.1. | ADS musi rozpoznawać warunki i granice jego projektowanego zakresu operacyjnego. |
3.1.1. | ADS musi być w stanie określić, czy spełnione są warunki uruchomienia ADS. |
3.1.2. | ADS musi wykrywać i reagować w przypadku, gdy co najmniej jeden warunek projektowanego zakresu operacyjnego nie jest spełniony lub nie jest już spełniany. |
3.1.3. | ADS musi być w stanie przewidzieć wyjścia z projektowanego zakresu operacyjnego. |
3.1.4. | Warunki i granice projektowanego zakresu operacyjnego określa producent. |
3.1.4.1. | Warunki projektowanego zakresu operacyjnego, które mają być rozpoznawane przez ADS, obejmują:
|
3.1.5. | W chwili gdy ADS osiągnie granice projektowanego zakresu operacyjnego, wykonuje manewr minimalizujący ryzyko, aby osiągnąć MRC, i odpowiednio ostrzega operatora pokładowego (w stosownych przypadkach)/operatora interwencji zdalnej (w stosownych przypadkach). |
4. DDT w scenariuszach awaryjnych
4.1. | ADS musi wykrywać wadliwe działanie ADS lub pojazdu i reagować na nie. |
4.1.1. | ADS musi samodzielnie diagnozować błędy i awarie. |
4.1.2. | ADS musi ocenić swoją zdolność do wykonywania całości DDT. |
4.1.2.1. | ADS musi bezpiecznie reagować na błąd lub awarię w ADS, które nie wpływają znacząco na skuteczność jego działania. |
4.1.2.2. | W przypadku awarii ADS lub innego układu pojazdu, która uniemożliwia ADS wykonanie zadania wynikającego z dynamiki jazdy, ADS musi przeprowadzić manewr minimalizujący ryzyko w celu osiągnięcia MRC. |
4.1.2.3. | ADS musi niezwłocznie po wykryciu sygnalizować poważne awarie i wynikający z nich status operacyjny osobom znajdującym się w pojeździe, operatorowi pokładowemu (w stosownych przypadkach) lub operatorowi interwencji zdalnej (w stosownych przypadkach), a także innym użytkownikom drogi zgodnie z zasadami ruchu drogowego (np. włączenie świateł awaryjnych). |
4.1.2.4. | Jeżeli awarie wpływają na skuteczność hamowania lub kierowania pojazdem, manewr minimalizujący ryzyko należy przeprowadzić z uwzględnieniem pozostałej skuteczności działania. |
5. Manewr minimalizujący ryzyko (MRM) i stan minimalnego ryzyka (MRC)
5.1. | W trakcie manewru minimalizującego ryzyko pojazd w pełni zautomatyzowany wyposażony w ADS musi zwolnić w celu osiągnięcia wymaganego przyspieszenia ujemnego nieprzekraczającego 4,0 m/s2, aż do całkowitego zatrzymania się w możliwie najbezpieczniejszym miejscu, biorąc pod uwagę otaczający ruch i infrastrukturę drogową. Wyższe wartości wymaganego przyspieszenia ujemnego są dopuszczalne w przypadku poważnej awarii ADS lub poważnej awarii pojazdu w pełni zautomatyzowanego. |
5.2. | ADS sygnalizuje zamiar wprowadzenia pojazdu w pełni zautomatyzowanego w stan minimalnego ryzyka osobom znajdującym się w pojeździe całkowicie zautomatyzowanym oraz innym użytkownikom drogi zgodnie z zasadami ruchu drogowego (np. poprzez włączenie świateł awaryjnych). |
5.3. | Pojazd w pełni zautomatyzowany opuszcza stan minimalnego ryzyka dopiero po potwierdzeniu w drodze samokontroli ADS lub przez operatora pokładowego (w stosownych przypadkach) lub operatora interwencji zdalnej (w stosownych przypadkach), że przyczyna(-y) manewru minimalizującego ryzyko już nie występuje(-ą). |
6. Interakcje człowiek-maszyna
6.1. | Osoby przebywające w pojeździe w pełni zautomatyzowanym muszą otrzymywać odpowiednie informacje, gdy jest to konieczne w celu zapewnienia bezpiecznego użytkowania oraz w odniesieniu do zagrożeń dla bezpieczeństwa. |
6.2. | Jeżeli operator interwencji zdalnej stanowi część koncepcji bezpieczeństwa ADS, pojazd w pełni zautomatyzowany musi być wyposażony w środki umożliwiające osobom znajdującym się w pojeździe wezwanie operatora interwencji zdalnej za pośrednictwem interfejsu audiowizualnego w pojeździe całkowicie zautomatyzowanym. W interfejsie audiowizualnym należy stosować jednoznaczne znaki (np. zgodne z ISO 7010 E004). |
6.3. | ADS musi zapewniać osobom znajdującym się w pojeździe możliwość zażądania wykonania manewru minimalizującego ryzyko w celu zatrzymania pojazdu w pełni zautomatyzowanego. W nagłych wypadkach:
|
6.4. | Jeżeli operator interwencji zdalnej stanowi część koncepcji bezpieczeństwa ADS, pojazd w pełni zautomatyzowany musi być wyposażony w systemy wizyjne (np. kamery zgodnie z rozdziałem 6 normy ISO16505:2019) względem przestrzeni zajmowanej przez osoby wewnątrz pojazdu i jego otoczenia, aby umożliwić operatorowi interwencji zdalnej ocenę sytuacji wewnątrz i na zewnątrz pojazdu. |
6.5. | Jeżeli operator interwencji zdalnej stanowi część koncepcji bezpieczeństwa ADS, musi mieć możliwość zdalnego otwarcia uruchamianych mechanicznie drzwi głównych. |
6.6. | W razie potrzeby i stosownie do przypadku ADS aktywuje odpowiednie układy pojazdu (np. otwieranie drzwi, włączanie wycieraczek w czasie deszczu, włączanie systemu ogrzewania itp.). |
7. Bezpieczeństwo funkcjonalne i operacyjne
7.1. | Producent musi wykazać, że w procesie projektowania i opracowywania ADS uwzględniono odpowiedni poziom bezpieczeństwa funkcjonalnego i operacyjnego systemu. Środki wprowadzone przez producenta muszą gwarantować, że pojazd w pełni zautomatyzowany nie stwarza nieuzasadnionego ryzyka dla bezpieczeństwa osób znajdujących się w pojeździe i innych użytkowników drogi w okresie użytkowania pojazdu w stosunku do porównywalnych usług transportowych i sytuacji w danym zakresie operacyjnym. |
7.1.1. | Producent musi określić kryteria akceptacji, na podstawie których określa się cele walidacji ADS, aby ocenić ryzyko rezydualne dla projektowanego zakresu operacyjnego, uwzględniając - w miarę dostępności - istniejące dane dotyczące wypadków (1), dane dotyczące skuteczności działania pojazdów prowadzonych ręcznie w sposób kompetentny i ostrożny oraz najnowsze osiągnięcia techniczne. |
7.2. | Producent musi zapewnić procesy umożliwiające zarządzanie bezpieczeństwem i ciągłą zgodnością ADS przez cały okres jego użytkowania (zużycie komponentów, zwłaszcza czujników, nowe scenariusze ruchu drogowego itp.). |
8. Cyberbezpieczeństwo i aktualizacje oprogramowania
8.1. | ADS musi być chroniony przed dostępem osób nieupoważnionych zgodnie z regulaminem ONZ nr 155 (2). |
8.2. | ADS musi umożliwiać aktualizację oprogramowania. Skuteczność procedur i procesów aktualizacji oprogramowania dotyczących ADS musi zostać wykazana na podstawie zgodności z regulaminem ONZ nr 156 (3). |
8.2.1. | Jak określono w regulaminie w sprawie aktualizacji oprogramowania i systemu zarządzania aktualizacjami oprogramowania, do celów zapewnienia identyfikowalności oprogramowania systemu należy stosować numer R2022/1426 SWIN. Numer R2022/1426 SWIN może znajdować się na pojeździe lub - jeżeli R2022/1426 SWIN nie znajduje się na pojeździe - producent informuje organ udzielający homologacji typu o wersji bądź wersjach oprogramowania pojazdu lub pojedynczych elektronicznych modułów sterujących wraz z powiązaniem z odpowiednimi homologacjami typu. |
8.2.2. | Producent musi przedstawić następujące informacje w dokumencie informacyjnym:
|
8.2.3. | W dokumencie informacyjnym producent może wymienić istotne parametry umożliwiające identyfikację pojazdów, w których można dokonać aktualizacji oprogramowania z wykorzystaniem oprogramowania oznaczonego numerem R2022/1426SWIN. Producent musi zadeklarować przedstawione informacje, których organ udzielający homologacji typu nie może zweryfikować. |
8.2.4. | Producent może uzyskać nową homologację typu pojazdu do celów odróżnienia wersji oprogramowania, które mają być stosowane w pojazdach już zarejestrowanych na rynku, od wersji oprogramowania stosowanych w nowych pojazdach. Może to obejmować sytuacje, w których regulaminy dotyczące homologacji typu są aktualizowane lub wprowadzane są zmiany w osprzęcie w pojazdach w produkcji seryjnej. W miarę możliwości należy unikać dublowania badań w porozumieniu z organem udzielającym homologacji typu. |
9. Wymogi dotyczące danych ADS oraz określonych danych na potrzeby rejestratora danych na temat zdarzeń w przypadku pojazdów w pełni zautomatyzowanych
9.1. | ADS rejestruje następujące zdarzenia w każdym przypadku uruchomienia tego systemu: |
9.1.1. | Aktywacja/ponowna aktywacja ADS (w stosownych przypadkach) |
9.1.2. | Dezaktywacja ADS (w stosownych przypadkach) |
9.1.3. | Żądanie wysłane przez ADS do operatora interwencji zdalnej (w stosownych przypadkach) |
9.1.4. | Żądanie/komunikat wysłane(-y) przez operatora interwencji zdalnej (w stosownych przypadkach) |
9.1.5. | Rozpoczęcie działania awaryjnego |
9.1.6. | Zakończenie działania awaryjnego |
9.1.7. | Udział w wykrytej kolizji |
9.1.8. | Działanie uruchamiające rejestrator danych na temat zdarzeń (EDR) |
9.1.9. | Zainicjowanie przez ADS manewru minimalizującego ryzyko |
9.1.10. | Stan minimalnego ryzyka osiągnięty przez pojazd w pełni zautomatyzowany |
9.1.11. | Awaria ADS (opis) |
9.1.12. | Awaria pojazdu |
9.1.13. | Rozpoczęcie procedury zmiany pasa ruchu |
9.1.14. | Zakończenie procedury zmiany pasa ruchu |
9.1.15. | Przerwanie procedury zmiany pasa ruchu |
9.1.16. | Rozpoczęcie zamierzonego przecięcia pasa ruchu |
9.1.17. | Zakończenie zamierzonego przecięcia pasa ruchu |
9.2. | Znaczniki zdarzeń, o których mowa w pkt 9.1.13, 9.1.14, 9.1.16 i 9.1.17, muszą być przechowywane wyłącznie wówczas, gdy mają miejsce w ciągu 30 sekund przed wystąpieniem zdarzeń, o których mowa w pkt 9.1.5, 9.1.7, 9.1.15 lub 9.1.8. |
9.3. | Elementy danych ADS |
9.3.1. | W przypadku każdego zdarzenia wymienionego w pkt 9.1 rejestrowane muszą być następujące elementy danych w sposób umożliwiający ich jednoznaczną identyfikację: |
9.3.2. | znacznik zarejestrowanego wystąpienia; |
9.3.3. | powód wystąpienia zdarzenia, stosownie do przypadku; |
9.3.4. | data (format: rrrr/mm/dd); |
9.3.5. | położenie (współrzędne GPS); |
9.3.6. | znacznik czasu:
|
9.4. | W odniesieniu do każdego zarejestrowanego zdarzenia musi być wyraźnie oznaczony numer identyfikacyjny oprogramowania RXSWIN lub wersji oprogramowania oznaczający oprogramowanie zainstalowane w czasie, gdy doszło do danego zdarzenia. |
9.5. | Dopuszczalne jest stosowanie jednego znacznika czasu dla kilku elementów zarejestrowanych jednocześnie w rozdzielczości czasowej określonych danych. Jeżeli więcej niż jeden element rejestruje się z tym samym znacznikiem czasu, informacje przekazywane w ramach poszczególnych elementów należy podawać w porządku chronologicznym. |
9.6. | Dostępność danych |
9.6.1. | Elementy danych ADS udostępnia się z zastrzeżeniem zgodności z wymogami określonymi w prawie Unii lub w przepisach krajowych (4). |
9.6.2. | Po osiągnięciu limitu pojemności przechowywania istniejące dane muszą być nadpisywane według procedury "pierwsze weszło, pierwsze wyszło" z poszanowaniem odpowiednich wymogów w zakresie dostępności danych. Producent musi przedstawić udokumentowane dowody dotyczące pojemności przechowywania. |
9.6.3. | W przypadku pojazdów kategorii M1 i N1 odzyskanie elementów danych musi być możliwe nawet po uderzeniu, którego siła została określona w regulaminach ONZ nr 94 (5), 95 (6) lub 137 (7). |
9.6.4. | W przypadku pojazdów kategorii M2, M3, N2 i N3 elementy danych wymienione w pkt 9.2 muszą być możliwe do odzyskania nawet po uderzeniu. W celu wykazania tej możliwości stosuje się następujące zasady: Możliwe są następujące warianty:
|
9.6.5. | Odzyskanie wszystkich zapisanych danych musi być nadal możliwe, jeżeli główne pokładowe źródło zasilania jest niedostępne. |
9.6.6. | Przechowywane dane muszą był łatwe do odczytania w standardowy sposób za pośrednictwem interfejsu łączności elektronicznej, którym jest co najmniej standardowy interfejs (port OBD). |
9.7. | Określone dane na potrzeby rejestratora danych na temat zdarzeń dla pojazdów w pełni zautomatyzowanych |
9.7.1. | W przypadku pojazdów wyposażonych w rejestratory danych na temat zdarzeń zgodnie z art. 6 rozporządzenia (UE) 2019/2144 musi istnieć możliwość pobrania za pośrednictwem standardowego interfejsu (port OBD) elementów danych ADS, o których mowa w pkt 9.3.1 i 9.3.2, zarejestrowanych co najmniej przez ostatnie 30 sekund przed ostatnim ustawieniem znacznika zdarzenia "działanie uruchamiające rejestrator danych na temat zdarzeń (EDR)", wraz z elementami danych określonymi w załączniku 4 do regulaminu ONZ nr 160 (9) (dane EDR). |
9.7.2. | W przypadku braku jakiegokolwiek zdarzenia, o którym mowa w pkt 9.1, w ciągu ostatnich 30 sekund przed ostatnim ustawieniem znacznika zdarzenia "działanie uruchamiające rejestrator danych na temat zdarzeń (EDR)" musi istnieć możliwość pobrania, wraz z danymi EDR, co najmniej elementu danych odpowiadającego ostatnim zdarzeniom w tym samym cyklu zasilania, o którym mowa w pkt 9.1.1 i 9.1.2. |
9.7.3. | Elementy danych pobrane zgodnie z pkt 9.7.1 lub 9.7.2 nie obejmują daty i znacznika czasu ani żadnych innych informacji pozwalających na identyfikację pojazdu, jego użytkownika lub właściciela. Zamiast tego znacznik czasu zastępuje się informacją przedstawiającą różnicę czasu między znacznikiem wystąpienia "działania uruchamiającego rejestrator danych na temat zdarzeń (EDR)" a znacznikiem wystąpienia odpowiedniego elementu danych ADS. |
9.8. | Producent musi dostarczyć instrukcje dotyczące sposobu uzyskania dostępu do tych danych. |
9.9. | Ochrona przed manipulowaniem |
9.9.1. | Należy zapewnić odpowiednią ochronę przed manipulowaniem (np. usuwaniem danych) przechowywanymi danymi, np. poprzez zastosowanie konstrukcji zabezpieczającej przed ingerencją |
10. Tryb kierowania ręcznego
10.1. | Jeżeli ADS umożliwia kierowanie ręczne w celu konserwacji lub przejęcia kontroli po wykonaniu manewru minimalizującego ryzyko w pojeździe w pełni zautomatyzowanym, prędkość pojazdu musi być ograniczona do 6 km/h, a pojazd musi być wyposażony w środki umożliwiające osobie prowadzącej pojazd bezpieczne wykonanie zadania kierowania pojazdem zgodnie z koncepcją bezpieczeństwa producenta. Z wyjątkiem przypadków awarii ADS kontynuuje wykrywanie przeszkód (np. pojazdów, pieszych) na polu manewrowym i wspiera kierowcę w natychmiastowym zatrzymaniu pojazdu w celu zapobieżenia kolizji. |
10.2. | Jeżeli kierowanie ręczne jest ograniczone do prędkości wynoszącej 6 km/h, nie jest konieczne, aby kierowca przebywał w pojeździe w pełni zautomatyzowanym. Sterowanie może odbywać się za pomocą pilota znajdującego się w pobliżu pojazdu, pod warunkiem że pojazd pozostaje w bezpośrednim polu widzenia kierowcy. Maksymalna odległość, na jaką możliwe jest sterowanie za pomocą pilota, nie może przekraczać 10 metrów. |
10.3. | Jeżeli pojazd jest przeznaczony do prowadzenia przy prędkościach większych niż 6 km/h podczas jazdy ręcznej, pojazd uznaje się za pojazd dwutrybowy. |
11. Instrukcja obsługi
11.1. | Producent sporządza instrukcję obsługi. Celem instrukcji obsługi jest zapewnienie bezpiecznej eksploatacji pojazdu w pełni zautomatyzowanego za pomocą szczegółowych poleceń dla właściciela, osób znajdujących się w pojeździe, operatora usług transportowych, operatora pokładowego, operatora interwencji zdalnej oraz właściwych organów krajowych. Jeżeli pojazd w pełni zautomatyzowany umożliwia kierowanie ręczne w celu konserwacji lub przejęcia kontroli nad pojazdem po wykonaniu manewru minimalizującego ryzyko, to takie rozwiązanie również musi być ujęte w instrukcji obsługi. |
11.2. | Instrukcja obsługi musi zawierać opis funkcjonalny ADS. |
11.3. | Instrukcja obsługi musi obejmować środki techniczne (np. kontrole i prace konserwacyjne pojazdu i infrastruktury zewnętrznej, wymogi dotyczące infrastruktury transportowej i fizycznej, np. markery lokalizacyjne i czujniki percepcji), ograniczenia eksploatacyjne (np. ograniczenie prędkości, wydzielony pas ruchu, fizyczne oddzielenie względem ruchu z naprzeciwka), warunki środowiskowe (np. brak śniegu) i środki operacyjne (np. operator pokładowy lub operator interwencji zdalnej) niezbędne do zapewnienia bezpieczeństwa podczas eksploatacji pojazdu w pełni zautomatyzowanego. |
11.4. | Instrukcja obsługi musi zawierać opis poleceń dla osób znajdujących się w pojeździe, operatora usług transportowych, operatora pokładowego (w stosownych przypadkach) i operatora interwencji zdalnej (w stosownych przypadkach) oraz organów publicznych w przypadku awarii oraz na żądanie ADS. |
11.5. | Instrukcja obsługi musi określać zasady zapewniające prawidłowe wykonanie konserwacji, badań ogólnych i dalszych testów. |
11.6. | Instrukcję obsługi należy przedłożyć organowi udzielającemu homologacji typu wraz z wnioskiem o homologację typu oraz należy ją dołączyć do świadectwa homologacji typu. |
11.7. | Instrukcję obsługi należy udostępnić właścicielowi oraz - w stosownych przypadkach - operatorowi usług transportowych, operatorowi pokładowemu (w stosownych przypadkach), operatorowi interwencji zdalnej (w stosownych przypadkach), jak również właściwym organom krajowym. |
12. Przepisy dotyczące okresowych badań zdatności do ruchu drogowego
12.1. | Do celów okresowych badań zdatności do ruchu drogowego musi być możliwe zweryfikowanie następujących aspektów ADS: |
a) | prawidłowego statusu operacyjnego systemu poprzez wzrokową obserwację statusu sygnału ostrzeżenia o awarii po aktywacji głównego wyłącznika pojazdu, a także działania żarówek. Jeżeli sygnał ostrzegający o awarii jest wyświetlany na powierzchni wspólnej (powierzchni, na której mogą być wyświetlane co najmniej dwie funkcje/dwa symbole informacyjne, ale nie jednocześnie), należy najpierw upewnić się, że wspólna przestrzeń funkcjonuje prawidłowo przed sprawdzeniem statusu sygnału ostrzegającego o awarii; |
b) | jego prawidłowego funkcjonowania i integralności oprogramowania poprzez wykorzystanie elektronicznego interfejsu pojazdu, takiego jak interfejs określony w pkt I ppkt 14 załącznika III do dyrektywy Parlamentu Europejskiego i Rady 2014/45/UE (10), w przypadku gdy umożliwia to charakterystyka techniczna pojazdu, a niezbędne dane są dostępne. Producenci zapewniają udostępnienie informacji technicznych na potrzeby korzystania z elektronicznego interfejsu pojazdu zgodnie z art. 6 rozporządzenia wykonawczego Komisji (UE) 2019/621 (11). |
(1) Na przykład na podstawie aktualnych danych dotyczących wypadków z udziałem autobusów, autokarów, samochodów ciężarowych i samochodów osobowych w UE można rozważyć orientacyjne zbiorcze kryteria akceptacji wynoszące 10-7 ofiar śmiertelnych na godzinę pracy przy wprowadzaniu na rynek systemów ADS w odniesieniu do porównywalnych usług i sytuacji transportowych. Producent może stosować inne wskaźniki i metodę, pod warunkiem że jest w stanie wykazać, że prowadzi to do braku nieuzasadnionego ryzyka dla bezpieczeństwa w porównaniu z porównywalnymi usługami transportowymi i sytuacjami w obszarze operacyjnym.
(2) Dz.U. L 82 z 9.3.2021, s. 30.
(3) Dz.U. L 82 z 9.3.2021, s. 60.
(4) Zalecana jest pojemność umożliwiająca przechowywanie 2 500 znaczników czasu, odpowiadająca okresowi 6 miesięcy użytkowania.
(5) Dz.U. L 392 z 5.11.2021, s. 1.
(6) Dz.U. L 392 z 5.11.2021, s. 62.
(7) Dz.U. L 392 z 5.11.2021, s. 130.
(8) Dz.U. L 449 z 15.12.2021, s. 1.
(9) Dz.U. L 265 z 26.7.2021, s. 3.
(10) Dyrektywa Parlamentu Europejskiego i Rady 2014/45/UE z dnia 3 kwietnia 2014 r. w sprawie okresowych badań zdatności do ruchu drogowego pojazdów silnikowych i ich przyczep oraz uchylająca dyrektywę 2009/40/WE (Dz.U. L 127 z 29.4.2014, s. 51).
(11) Rozporządzenie wykonawcze Komisji (UE) 2019/621 z dnia 17 kwietnia 2019 r. w sprawie informacji technicznych niezbędnych do badania zdatności do ruchu drogowego elementów podlegających badaniu, w sprawie stosowania zalecanych metod badań oraz ustanawiające szczegółowe przepisy dotyczące formatu danych i procedur dostępu do odpowiednich informacji technicznych (Dz.U. L 108 z 23.4.2019, s. 5).
ZAŁĄCZNIK III
Ocena zgodności z przepisami
Podstawę ogólnej oceny zgodności ADS z przepisami stanowią:
- | część 1: scenariusze ruchu drogowego do rozważenia, |
- | część 2: ocena koncepcji bezpieczeństwa ADS oraz audyt systemu zarządzania bezpieczeństwem stosowanego przez producenta, |
- | część 3: badania najwłaściwszych scenariuszy ruchu drogowego, |
- | część 4: zasady, które należy stosować przy ocenie wiarygodności na potrzeby korzystania z wirtualnego łańcucha narzędzi w walidacji ADS, |
- | część 5: system ustanowiony przez producenta w celu zapewnienia sprawozdawczości eksploatacyjnej. |
Spełnienie każdego z wymogów określonych w załączniku II można sprawdzić za pomocą badań przeprowadzanych przez organ udzielający homologacji typu (lub jego upoważnioną placówkę techniczną).
CZĘŚĆ 1
SCENARIUSZE RUCHU DROGOWEGO DO ROZWAŻENIA
1. | Minimalny zestaw scenariuszy ruchu drogowego |
1.1. | Ze scenariuszy i parametrów wymienionych w pkt 1 należy korzystać gdy scenariusze te odnoszą się do projektowanego zakresu operacyjnego ADS. Jeżeli producent odstąpi od parametrów zaproponowanych w pkt 1, w pakiecie dokumentacji należy udokumentować wskaźniki skuteczności działania w zakresie bezpieczeństwa oraz nieodłączne założenia przyjęte przez producenta. Wybrane wskaźniki skuteczności działania w zakresie bezpieczeństwa oraz nieodłączne założenia muszą wykazać, że pojazd w pełni zautomatyzowany nie stwarza nieuzasadnionego ryzyka. Ważność takich wskaźników skuteczności działania w zakresie bezpieczeństwa oraz nieodłącznych założeń należy potwierdzić danymi dotyczącymi monitorowania w trakcie eksploatacji. |
1.2. | Parametry, które należy zastosować w przypadku scenariuszy zmiany pasa ruchu przez pojazd w pełni zautomatyzowany |
1.2.1. | Scenariusze i parametry dotyczące zmiany pasa ruchu stosuje się zgodnie z regulaminem ONZ nr 157 (1). |
1.3. | Parametry, które należy zastosować w przypadku scenariuszy skręcania i przejazdu przez pojazd w pełni zautomatyzowany. |
1.3.1. | W przypadku braku bardziej szczegółowych zasad ruchu drogowego należy wziąć pod uwagę następujące wymogi dotyczące interakcji z innymi użytkownikami drogi uczestniczącymi w ruchu podczas skręcania i przejazdu (zob. rys. 1) w warunkach suchej i dobrej nawierzchni drogowej. |
1.3.2. | W przypadku włączania się do ruchu drogowego z pierwszeństwem podczas skręcania z przeciwnego kierunku ruchu oraz bez przecinania go pojazdy poruszające się po pasie docelowym w ruchu z pierwszeństwem nie powinny być zmuszone do zmniejszenia prędkości. Należy jednak zapewnić, aby czas do zderzenia (TTC) nadjeżdżających pojazdów poruszających się po drodze docelowej z pierwszeństwem (przypadek a) na rys. 1) nigdy nie spadł poniżej progu TTC dyn zdefiniowanego jako: gdzie:
|
1.3.3. | W przypadku wykonywania manewru skręcania z przecięciem przeciwnego kierunku ruchu, względem pojazdów nadjeżdżających z przeciwka, pojazdy poruszające się po docelowym pasie w ruchu z pierwszeństwem nie powinny musieć zmniejszać prędkości. Jeżeli jednak jest to uzasadnione natężeniem ruchu, należy zapewnić - oprócz odległości od nadjeżdżających pojazdów poruszających się po pasie docelowym w ruchu z pierwszeństwem - aby w przypadku pojazdów poruszających się po pasie przekraczanym w ruchu z pierwszeństwem, czas do zderzenia z fikcyjnym punktem zderzenia (punkt przecięcia trajektorii, przypadek b) na rys. 1) nigdy nie spadł poniżej progu TTC int zdefiniowanego jako: gdzie:
Tę samą zasadę stosuje się w przypadku przekraczania pasa ruchu z pierwszeństwem (przypadek c) na rys. 1): Czas do zderzenia (TTC) pojazdów poruszających się w ruchu z pierwszeństwem z umownym punktem zderzenia (punkt przecięcia trajektorii) nigdy nie może być poniżej progu TTC int zdefiniowanego w niniejszym punkcie. Rys. 1: Wizualizacja odległości podczas skręcania i przekraczania pasa ruchu. Przypadek a): odległość od zbliżających się pojazdów z pierwszeństwem na docelowym pasie ruchu, jaką należy zachować podczas skręcania i włączania się do ruchu drogowego z pierwszeństwem. Przypadek b): odległość od nadjeżdżających z naprzeciwka pojazdów z pierwszeństwem, jaką należy zachować przy skręcaniu w razie przecinania przeciwnego kierunku ruchu. Przypadek c): odległość od pojazdów poruszających się po przecinanym pasie ruchu z pierwszeństwem, jaką należy zachować przy przecinaniu ruchu. |
1.4. | Parametry, jakie należy wykorzystać w przypadku scenariuszy manewru awaryjnego wykonywanego przez pojazd w pełni zautomatyzowany (DDT w scenariuszach krytycznych) |
1.4.1. | ADS zapobiega kolizji z pojazdem poprzedzającym, który zmniejsza prędkość z pełną skutecznością hamowania, pod warunkiem że nie doszło do zajechania drogi przez inny pojazd. |
1.4.2. | Należy zapobiegać zderzeniom z pojazdami zajeżdżającymi drogę, pieszymi i rowerzystami poruszającymi się w tym samym kierunku, jak również z pieszymi, którzy mogą zacząć przechodzić przez jezdnię, przynajmniej w warunkach określonych przez poniższe równanie. gdzie: oznacza czas do zderzenia w momencie zajechania drogi przez pojazd lub rowerzystę o ponad 30 cm na pasie ruchu pojazdu w pełni zautomatyzowanego;v rel oznacza względną prędkość w metrach na sekundę [m/s] między pojazdem w pełni zautomatyzowanym a pojazdem zajeżdżającym drogę (dodatnia, jeśli ADS jest szybszy niż pojazd zajeżdżający drogę); β oznacza maksymalne zmniejszenie prędkości pojazdu w pełni zautomatyzowanego, co do której przyjmuje się, że wynosi:
Zgodność z tym równaniem jest wymagana wyłącznie w przypadku użytkowników drogi zajeżdżających drogę i wyłącznie wówczas, gdy wjeżdżający na drogę użytkownicy byli widocznie co najmniej 0,72 sekundy przed zajechaniem drogi: skutkuje to wymaganym zapobiegnięciem kolizji w sytuacji, gdy inny użytkownik drogi wjedzie na pas ego, przekraczając następujące wartości czasu do zderzenia (np. wykazanych dla prędkości w przedziałach co 10 km/h). Wymogi te muszą być spełnione niezależnie od warunków środowiskowych.
W przypadku przeprowadzania manewru zmiany pasa przy krótszym czasie do zderzenia na pas ruchu, którym porusza się pojazd w pełni zautomatyzowany, nie należy dłużej zakładać, że nie nastąpi zapobiegnięcie kolizji. Strategia sterowania ADS może zostać zmieniona z zapobiegania kolizji na zastosowanie środka ograniczającego tylko wówczas, gdy producent jest w stanie wykazać, że zwiększy to bezpieczeństwo osób znajdujących się w pojeździe i innych użytkowników drogi (np. poprzez uznanie hamowania za priorytetowy manewr w stosunku do manewru alternatywnego). |
1.4.3. | ADS zapobiega kolizji z pieszym przechodzącym przez jezdnię lub rowerzystą przejeżdżającym przed pojazdem. |
1.4.3.1. | Warunki jazdy w terenie miejskim i wiejskim |
1.4.3.1.1. | ADS zapobiega kolizji, przy prędkości do 60 km/h, z dobrze widocznym pieszym przechodzącym przez jezdnię z prędkością o składowej poprzecznej nie większej niż 5 km/h lub dobrze widocznym rowerzystą przejeżdżającym przed pojazdem z prędkością o składowej poprzecznej nie większej niż 15 km/h. Wymóg ten musi być spełniony niezależnie od konkretnego manewru wykonywanego przez ADS. |
1.4.3.1.2. | Jeżeli pieszy lub rowerzysta porusza się z prędkością większą od podanych wyżej wartości, a ADS nie jest już w stanie zapobiec kolizji, strategia sterowania ADS może zostać zmieniona z zapobiegania kolizji na zastosowanie środka ograniczającego tylko wówczas, gdy producent jest w stanie wykazać, że zwiększy to bezpieczeństwo osób znajdujących się w pojeździe i innych użytkowników drogi (np. poprzez uznanie hamowania za priorytetowy manewr w stosunku do manewru alternatywnego). |
1.4.3.1.3. | ADS musi ograniczyć kolizję z dobrze widocznym pieszym lub rowerzystą przekraczającym jezdnię przed pojazdem poprzez zmniejszenie prędkości podczas uderzenia o co najmniej 20 km/h. Wymóg ten musi być spełniony niezależnie od konkretnego manewru wykonywanego przez ADS. |
1.4.3.1.4. | Do celów wykazania spełnienia powyższych wymogów dotyczących przekraczania jezdni przez pieszych i rowerzystów przed pojazdem jako wytyczne można zastosować scenariusze badań i ocen opracowane w ramach europejskiego programu oceny nowych samochodów (Euro NCAP). |
1.4.3.2. | Warunki jazdy na autostradach |
1.4.3.2.1. | W odniesieniu do pieszych przechodzących przez jezdnię stosuje się właściwe scenariusze określone w regulaminie ONZ nr 157. |
1.4.3.2.2. | Jeżeli pieszy przekracza jezdnię przy wartościach parametrów wychodzących poza granice określone w regulaminie ONZ nr 157, a ADS nie jest w stanie zapobiec kolizji, strategia sterowania ADS może zostać zmieniona z zapobiegania kolizji na zastosowanie środka ograniczającego tylko wówczas, gdy producent jest w stanie wykazać, że zwiększy to bezpieczeństwo osób znajdujących się w pojeździe i innych użytkowników drogi (np. poprzez uznanie hamowania za priorytetowy manewr w stosunku do manewru alternatywnego). |
1.5. | Wjazd na autostradę Pojazd w pełni zautomatyzowany musi być w stanie bezpiecznie wjechać na autostradę, dostosowując prędkość do natężenia ruchu, oraz włączyć odpowiedni kierunkowskaz zgodnie z zasadami ruchu drogowego. Kierunkowskaz musi być wyłączany po wykonaniu przez pojazdu manewru zmiany pasa ruchu (LCM). Stosuje się parametry wykorzystywane w scenariuszu zmiany pasa ruchu. |
1.6. | Zjazd z autostrady Pojazd w pełni zautomatyzowany musi być w stanie rozpoznać docelowy zjazd z autostrady, jadąc pasem ruchu sąsiadującym z pasem zjazdowym, i nie może zmniejszać niepotrzebnie prędkości przed rozpoczęciem manewru zmiany pasa ruchu na pas zjazdowy. Pojazd w pełni zautomatyzowany musi użyć kierunkowskazu zgodnie z zasadami ruchu drogowego i bez zbędnej zwłoki wykonać manewr zmiany pasa ruchu na pas zjazdowy. Kierunkowskaz musi zostać wyłączony po zakończeniu manewru zmiany pasa ruchu zgodnie z zasadami ruchu drogowego obowiązującymi w państwie eksploatacji. |
1.7. | Przejazd przez punkt poboru opłat W zależności od projektowanego zakresu operacyjnego pojazd w pełni zautomatyzowany musi wybrać odpowiednią bramkę przejazdową i dostosować prędkość do ograniczeń dozwolonych w strefie poboru opłat, uwzględniając jednocześnie natężenie ruchu. |
1.8. | Eksploatacja na drogach innych niż autostrady W zależności od projektowanego zakresu operacyjnego stosuje się właściwy scenariusz określony powyżej w pkt 1.2-1.4. |
1.9. | Parametry, które należy zastosować w przypadku funkcji zautomatyzowanego parkowania typu valet parking |
1.9.1. | W zależności od projektowanego zakresu operacyjnego stosuje się właściwe scenariusze określone powyżej w pkt 1.3-1.5. Parametry stosowane w przypadku tych scenariuszy mogą wymagać dostosowania w celu uwzględnienia ograniczonej prędkości jazdy i ogólnego braku widoczności na parkingu. Szczególną uwagę należy zwrócić na zapobieganie kolizjom z pieszymi, zwłaszcza z dziećmi i wózkami dziecięcymi. |
2. | Scenariusze nieuwzględnione w pkt 1 |
2.1. | Scenariusze, których nie wymieniono w pkt 1, należy stworzyć w celu uwzględnienia możliwych do przewidzenia krytycznych sytuacji, w tym awarii i zagrożeń w ruchu w projektowanym zakresie operacyjnym. |
2.2. | Jeżeli możliwości ADS zależą od możliwości obsługi zdalnej, scenariusze muszą uwzględnić awarie i zagrożenia w ruchu związane z odpowiednimi możliwościami obsługi zdalnej. |
2.3. | Metoda tworzenia scenariuszy niewymienionych w sekcji 1 musi być zgodna z zasadami określonymi w dodatku 1 do części 1 niniejszego załącznika. |
2.4. | Metoda stosowana przez producenta do tworzenia scenariuszy niewymienionych w pkt 1 musi być udokumentowana w pakiecie dokumentacji dostarczanej na potrzeby oceny ADS. Dodatek 1 Zasady, którymi należy się kierować przy opracowywaniu scenariuszy istotnych dla projektowanego zakresu operacyjnego ADS 1. Tworzenie i klasyfikacja scenariuszy Z perspektywy jakościowej scenariusze można sklasyfikować jako nominalne/krytyczne/awaryjne i odpowiadają one działaniu normalnemu lub awaryjnemu. Aby stworzyć odpowiednie scenariusze ruchu drogowego, w odniesieniu do każdej z tych kategorii można przyjąć podejście oparte na danych oraz podejście oparte na wiedzy. W podejściu opartym na wiedzy wykorzystuje się wiedzę ekspercką do systematycznego identyfikowania niebezpiecznych zdarzeń i tworzenia scenariuszy. W podejściu opartym na danych wykorzystuje się dostępne dane do identyfikowania i klasyfikowania realizowanych scenariuszy. Scenariusze opracowuje się na podstawie projektowanego zakresu operacyjnego pojazdu w pełni zautomatyzowanego. 2. Scenariusze nominalne Zastosowanie kilku ram analitycznych może pomóc producentowi w opracowaniu dodatkowych scenariuszy nominalnych w celu zapewnienia, aby uwzględniono je w konkretnym zastosowaniu. Analizy te można podzielić w następujący sposób: 2.1. Analiza projektowanego zakresu operacyjnego Projektowany zakres operacyjny obejmuje elementy krajobrazu (np. infrastruktura fizyczna), warunki środowiskowe, elementy dynamiczne (np. ruch drogowy, niechronieni użytkownicy drogi) oraz ograniczenia eksploatacyjne w zastosowaniu konkretnego ADS. Celem tej analizy jest identyfikacja cech charakterystycznych projektowanego zakresu operacyjnego, przypisanie właściwości oraz zdefiniowanie interakcji między obiektami. W tej części przedstawiono wpływ projektowanego zakresu operacyjnego na kompetencje behawioralne ADS. Przykład analizy przedstawiono w tabeli 1. Tabela 1 Elementy dynamiczne i ich właściwości
2.2. Analiza OEDR: identyfikacja kompetencji behawioralnych Po zidentyfikowaniu obiektów i istotnych właściwości można odwzorować właściwą reakcję ADS. Reakcja ADS jest wzorowana na właściwych wymogach funkcjonalnych oraz poprzez zastosowanie wymogów dotyczących skuteczności działania określonych w niniejszym rozporządzeniu oraz zasad ruchu drogowego obowiązujących w kraju eksploatacji. Wynik analizy OEDR stanowi także zestaw kompetencji, które można powiązać z kompetencjami behawioralnymi stosowanymi w odniesieniu do projektowanego zakresu operacyjnego w celu zapewnienia zgodności z właściwymi wymogami prawnymi i regulacyjnymi. W tabeli 2 przedstawiono przykład jakościowy reakcji dopasowanej do zdarzenia. Połączenie obiektów, zdarzeń i ich potencjalnych interakcji, będące funkcją w ramach projektowanego zakresu operacyjnego, stanowi zestaw nominalnych scenariuszy przypisanych do ADS na podstawie analizy. Do identyfikacji scenariuszy nominalnych może być wykorzystywana rozbudowana kombinacja deskryptorów scenariuszy, co obejmuje - w ramach ODD - np. atrybuty infrastruktury, cechy obiektów i zdarzeń, zagrożenia wpływające na reakcje (np. warunki pogodowe, widoczność). Identyfikacja scenariuszy nominalnych nie ogranicza się do warunków ruchu drogowego, ale obejmuje także warunki środowiskowe, czynniki ludzkie, kwestie związane z łącznością i zakłócenia w komunikacji. Ponieważ parametry (założenia) dotyczące zdarzeń nie zostały jeszcze określone, scenariusze nominalne opracowane na podstawie analizy należy rozważać na funkcjonalnej i logicznej płaszczyźnie abstrakcji. Tabela 2 Kompetencje behawioralne w przypadku określonych zdarzeń
3. Scenariusze krytyczne Scenariusze krytyczne można opracować poprzez uwzględnienie skrajnych założeń w nominalnych scenariuszach ruchu drogowego (opartych na danych) albo zastosowanie znormalizowanych metod (opartych na wiedzy) na potrzeby oceny niedociągnięć w zakresie eksploatacji (zob. przykład metod w części 2 pkt 3.5.5). Do identyfikacji scenariuszy krytycznych może być wykorzystywana rozbudowana kombinacja deskryptorów scenariuszy i wartości brzegowych, co obejmuje - w ramach ODD - np. atrybuty infrastruktury, cechy obiektów i zdarzeń, zagrożenia wpływające na reakcje (np. warunki pogodowe, zmniejszona widoczność, interakcje z użytkownikami drogi innymi niż uruchamiające obiekty lub zdarzenia). Identyfikacja scenariuszy krytycznych nie ogranicza się do warunków ruchu drogowego, ale obejmuje także warunki środowiskowe, czynniki ludzkie, kwestie związane z łącznością i zakłócenia w komunikacji. Scenariusze krytyczne odpowiadają działaniu awaryjnemu ADS. 4. Scenariusze awaryjne Celem tych scenariuszy jest ocena reakcji ADS na awarię. W literaturze dostępne są różne metody (zob. przykład metod w części 2 pkt 3.5.5). W odniesieniu do poszczególnych zidentyfikowanych awarii w zachowaniu oraz ich skutków producent musi wprowadzić odpowiednie strategie podczas opracowywania ADS (np. zdolność do pracy w warunkach awaryjnych). Celem stosowania scenariuszy awaryjnych jest ocena zdolności ADS do spełnienia wymogów dotyczących sytuacji o zasadniczym znaczeniu pod względem bezpieczeństwa, np. "ADS musi kontrolować sytuacje spotykane podczas kierowania pojazdem o zasadniczym znaczeniu pod względem bezpieczeństwa" oraz "ADS musi bezpiecznie zarządzać trybami awaryjnymi", a także odpowiednich podwymogów. 5. Założenia: od logicznych do konkretnych scenariuszy W celu zagwarantowania, że scenariusze określone w poprzednich punktach są gotowe do oceny poprzez symulację lub badania fizyczne może zajść potrzeba, aby producent je w sposób spójny sparametryzował poprzez zastosowanie założeń. Producent musi przedstawić dowody na poparcie poczynionych założeń, takie jak opis procesów gromadzenia danych przeprowadzonych na etapie rozwoju, dane dotyczące rzeczywistych wypadków oraz realistyczne oceny zachowania podczas jazdy. Parametry wykorzystywane do charakteryzowania scenariuszy krytycznych powinny obejmować racjonalnie przewidywalne wartości w deskryptorach scenariusza, ale nie powinny ograniczać się do wartości już zaobserwowanych w dokumentowanych bazach danych. |
CZĘŚĆ 2
OCENA KONCEPCJI BEZPIECZEŃSTWA ADS ORAZ AUDYT SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM STOSOWANEGO PRZEZ PRODUCENTA
1. Zasady ogólne
1.1. | Organ udzielający homologacji typu lub upoważniona placówka techniczna działająca w jego imieniu muszą sprawdzić, w drodze ukierunkowanych wyrywkowych kontroli i badań, w szczególności wymienionych w pkt 4 niniejszego załącznika, czy argumenty dotyczące bezpieczeństwa przedstawione w dokumentacji są zgodne z wymogami określonymi w załączniku II oraz czy producent faktycznie wdrożył projekt i procesy opisane w dokumentacji. |
1.2. | Chociaż na podstawie przedstawionych dokumentów, dowodów dostarczonych na potrzeby audytu ADS i oceny koncepcji bezpieczeństwa ADS przeprowadzonych w sposób zadowalający dla organu udzielającego homologacji typu zgodnie z niniejszym rozporządzeniem uznaje się, że poziom ryzyka rezydualnego związanego z ADS, który uzyskał homologację typu, jest dopuszczalny na potrzeby oddania do użytku danego typu pojazdu, to jednak zgodnie z wymogami niniejszego rozporządzenia producent ubiegający się o udzielenie homologacji typu nadal odpowiada za ogólne bezpieczeństwo ADS w całym okresie użytkowania tego systemu. |
2. Definicje
Do celów niniejszego załącznika:
2.1. | "koncepcja bezpieczeństwa" oznacza opis wbudowanych w ADS środków, które służą do tego, aby pojazd w pełni zautomatyzowany działał w scenariuszach i zdarzeniach istotnych dla projektowanego zakresu operacyjnego w sposób niepowodujący nieuzasadnionego ryzyka dla osób znajdujących się w pojeździe i innych użytkowników drogi w warunkach bezawaryjnych (bezpieczeństwo funkcjonalne) i w przypadku wystąpienia błędu (bezpieczeństwo operacyjne). Koncepcja bezpieczeństwa może obejmować możliwość przełączenia na tryb pracy częściowej lub nawet przełączenia na system rezerwowy obsługujący zasadnicze funkcje ADS; |
2.2. | "jednostki" oznaczają najmniejsze elementy komponentów systemu, które są przedmiotem niniejszego załącznika, ponieważ takie kombinacje komponentów traktowane są jako samodzielne całości do celów identyfikacji, analizy lub wymiany; |
2.3. | "łącza transmisji" oznaczają środki służące do wzajemnego połączenia rozłożonych przestrzennie jednostek w celu transmisji sygnałów, danych operacyjnych lub zasilania w energię. Urządzenia te są z reguły elektryczne, ale mogą być częściowo mechaniczne, pneumatyczne lub hydrauliczne; |
2.4. | "zakres sterowania" oznacza zmienną wyjściową i określa zakres, w jakim system może sterować zmienną; |
2.5. | "granica funkcjonalnego działania" oznacza granice zewnętrznych granicznych wartości fizycznych, przed przekroczeniem których ADS jest w stanie wykonywać zadania wynikające z dynamiki jazdy. |
3. Dokumentacja dotycząca ADS
3.1. Wymogi
Producent musi przedłożyć pakiet dokumentacji zawierający informacje o podstawowej budowie ADS oraz sposobie jego połączenia z innymi układami pojazdu lub sposobie, w jaki system ten steruje bezpośrednio zmiennymi wyjściowymi, jak również informacje o zewnętrznym sprzęcie/oprogramowaniu komputerowym oraz możliwościach obsługi zdalnej.
Należy objaśnić funkcje ADS, w tym strategie sterowania, oraz koncepcję bezpieczeństwa określoną przez producenta.
Dokumentacja ma być zwięzła, ale musi jednocześnie przedstawiać dowody na to, że przy projektowaniu i opracowywaniu ADS wykorzystano wiedzę dotyczącą wszystkich obszarów, które wchodzą w skład tego systemu.
Do celów okresowych badań zdatności do ruchu drogowego w dokumentacji należy opisać, w jaki sposób można sprawdzić aktualny status operacyjny ADS oraz funkcjonalność i integralność oprogramowania.
Organ udzielający homologacji typu musi ocenić pakiet dokumentacji, aby wykazać, że ADS:
a) | zaprojektowano i opracowano w taki sposób, aby nie stwarzał on nieuzasadnionego ryzyka dla osób znajdujących się w pojeździe i innych użytkowników drogi zgodnie z zadeklarowanym projektowanym zakresem operacyjnym i w granicach działania; |
b) | spełnia wymogi dotyczące skuteczności działania określone w załączniku II do niniejszego rozporządzenia; |
c) | został opracowany zgodnie z procesem opracowywania/metodą opracowywania deklarowanymi przez producenta. |
3.1.1. | Dokumentację należy udostępnić w trzech częściach:
|
3.2. Ogólny opis ADS
3.2.1. | Należy dostarczyć opis zawierający proste objaśnienie właściwości operacyjnych ADS i aspektów ADS. |
3.2.2. | Opis ten obejmuje: |
3.2.2.1. | projektowany zakres operacyjny uwzględniający maksymalną prędkość operacyjną, rodzaj drogi (np. wyznaczony pas ruchu), państwa/obszary eksploatacji, wymagane warunki drogowe i warunki środowiskowe (np. brak śniegu) itp./warunki brzegowe; |
3.2.2.2. | podstawowe działanie (np. wykrywanie obiektów i zdarzeń oraz reakcja systemu, infrastruktura zewnętrzna potrzebna podczas eksploatacji); |
3.2.2.3. | interakcje z innymi użytkownikami drogi; |
3.2.2.4. | główne warunki prowadzenia manewrów minimalizujących ryzyko; |
3.2.2.5. | pojęcie interakcji z osobami znajdującymi się w pojeździe, operatorem pokładowym (w stosownych przypadkach) i operatorem interwencji zdalnej (w stosownych przypadkach); |
3.2.2.6. | środki służące do aktywacji lub dezaktywacji ADS przez operatora pokładowego (w stosownych przypadkach) lub operatora interwencji zdalnej (w stosownych przypadkach), osoby znajdujące się w pojeździe (w stosownych przypadkach) lub innych użytkowników drogi (w stosownych przypadkach); |
3.2.2.7. | środki operacyjne (np. potrzeba uwzględnienia operatora pokładowego lub operatora interwencji zdalnej), które należy wprowadzić w celu zapewnienia bezpieczeństwa podczas eksploatacji pojazdu w pełni zautomatyzowanego. |
3.2.2.8. | system zaplecza, infrastruktura zewnętrzna potrzebna do zapewnienia bezpieczeństwa w trakcie eksploatacji pojazdu w pełni zautomatyzowanego. |
3.3. Opis funkcji ADS
Należy dostarczyć opis zawierający objaśnienie wszystkich funkcji, w tym strategii sterowania, w celu zapewnienia sprawnej i bezpiecznej eksploatacji ADS oraz metod wykorzystywanych do wykonywania zadań wynikających z dynamiki jazdy w ramach projektowanego zakresu operacyjnego, a także granic zadań, zgodnie z którymi miał działać system zautomatyzowanej jazdy, w tym opis sposobu, w jaki zapewniono powyższe.
Wszelkie włączone lub wyłączone funkcje jazdy zautomatyzowanej, na potrzeby których w momencie produkcji w pojeździe zainstalowano sprzęt i oprogramowanie, muszą zostać zgłoszone, a zanim zostaną one wykorzystane w pojeździe, podlegają wymogom określonym w niniejszym załączniku, a także w załączniku II do niniejszego rozporządzenia. W przypadku gdy producent stosuje algorytmy stałego uczenia się, dokumentuje on także przetwarzanie danych.
3.3.1. | Należy dostarczyć wykaz wszystkich zmiennych wejściowych i zmiennych z czujników oraz określić zakres roboczy tych zmiennych wraz z opisem tego, w jaki sposób każda zmienna wpływa na zachowanie ADS. |
3.3.2. | Należy dostarczyć wykaz wszystkich zmiennych wyjściowych sterowanych przez ADS i wyjaśnić w każdym przypadku, czy sterowanie odbywa się bezpośrednio, czy też za pomocą innego układu pojazdu. Należy zdefiniować zakres, w jakim ADS może sterować każdą taką zmienną. |
3.3.3. | Należy określić limity wyznaczające granice funkcjonalnego działania, w tym wartości graniczne projektowanego zakresu operacyjnego, jeżeli ma to znaczenie dla skuteczności działania ADS. |
3.3.4. | Należy objaśnić pojęcie interakcji człowiek-maszyna (HMI) z uwzględnieniem osób znajdujących się w pojeździe/operatora pokładowego/operatora interwencji zdalnej (w stosownych przypadkach) w przypadku zbliżania się do wartości granicznych projektowanego zakresu operacyjnego. Objaśnienie to musi obejmować wykaz rodzajów sytuacji, w których ADS będzie generował żądanie wsparcia ze strony operatora pokładowego/operatora interwencji zdalnej (w stosownych przypadkach), sposób realizacji tego żądania, procedurę postępowania w przypadku braku realizacji żądania oraz manewr minimalizujący ryzyko. Należy również opisać sygnały i informacje przekazywane operatorowi pokładowemu/operatorowi interwencji zdalnej, osobom znajdującym się w pojeździe i innym użytkownikom drogi w każdym z powyższych aspektów. |
3.4. Rozplanowanie i schematy ADS
3.4.1. | Wykaz komponentów. Należy dostarczyć zestawienie wszystkich jednostek ADS wraz z określeniem pozostałych układów pojazdu, jak również zewnętrznego sprzętu/oprogramowania oraz możliwości obsługi zdalnej, które są niezbędne do osiągnięcia określonej skuteczności działania ADS podlegającemu homologacji zgodnie z jego projektowanym zakresem operacyjnym. Należy dostarczyć ogólny schemat kombinacji wspomnianych jednostek, pokazujący w sposób czytelny rozplanowanie urządzeń oraz ich wzajemne połączenia. Schemat ten obejmuje:
|
3.4.2. | Funkcje jednostek Należy określić funkcję każdej jednostki ADS oraz sygnały łączące daną jednostkę z innymi jednostkami lub innymi układami pojazdu. Należy uwzględnić zewnętrzne systemy wspierające ADS oraz inne układy pojazdu. Można do tego celu wykorzystać opisany schemat blokowy, inny rodzaj schematu lub opis z takim schematem pomocniczym. |
3.4.3. | Wzajemne połączenia w ADS należy przedstawić za pomocą schematu zasadniczego elektrycznych łączy transmisji, schematu instalacji rurowej w przypadku pneumatycznych lub hydraulicznych urządzeń transmisyjnych oraz uproszczonego rozplanowania schematycznego połączeń mechanicznych. Należy również przedstawić łącza transmisji prowadzące z i do innych układów. |
3.4.4. | Łącza transmisji muszą ściśle odpowiadać sygnałom przekazywanym pomiędzy jednostkami. Należy określić pierwszeństwo sygnałów na wielowarstwowych ścieżkach danych, jeżeli takie pierwszeństwo może mieć znaczenie dla skuteczności działania lub bezpieczeństwa. |
3.4.5. | Identyfikacja jednostek |
3.4.5.1. | Musi być możliwa wyraźna i jednoznaczna identyfikacja każdej jednostki (np. za pomocą oznaczeń na sprzęcie oraz oznaczeń lub danych wyjściowych w przypadku zawartości oprogramowania), w celu przyporządkowania odpowiadającego jej sprzętu i dokumentacji. Jeżeli wersję oprogramowania można zmienić bez wymaganej wymiany oznaczenia lub komponentu, identyfikacji oprogramowania należy dokonać wyłącznie za pomocą danych wyjściowych oprogramowania. |
3.4.5.2. | Jeżeli w ramach jednej jednostki lub w jednym komputerze połączono kilka funkcji, które na schemacie blokowym przedstawione są w oddzielnych blokach, aby schemat był przejrzysty i łatwo zrozumiały, stosuje się pojedyncze oznaczenie identyfikacyjne sprzętu. Poprzez zastosowanie wspomnianego oznaczenia identyfikacyjnego producent potwierdza, że dostarczony sprzęt jest zgodny z odpowiednim dokumentem. |
3.4.5.3. | Oznaczenie identyfikacyjne określa wersję sprzętową i wersję oprogramowania; jeżeli wersja oprogramowania ulegnie zmianie w sposób zmieniający funkcję jednostki w zakresie objętym niniejszym rozporządzeniem, to należy również zmienić oznaczenie. |
3.4.6. | Montaż komponentów układu czujników Producent zapewnia informacje na temat wariantów montażu poszczególnych komponentów wchodzących w skład układu czujników. Warianty te obejmują m.in. lokalizację komponentu w/na pojeździe, materiał lub materiały otaczające komponent, wymiarowanie i geometrię materiału otaczającego komponent, a także wykończenie powierzchni materiałów otaczających komponent po ich instalacji w pojeździe. Informacje dotyczą również specyfikacji montażu, które mają kluczowe znaczenie dla skuteczności działania ADS, np. tolerancji kąta montażu. Zmiany w poszczególnych komponentach układu czujników lub wariantach montażu należy zgłosić organowi udzielającemu homologacji typu; podlegają one dalszej ocenie. |
3.5. Koncepcja bezpieczeństwa producenta i walidacja koncepcji bezpieczeństwa producenta
3.5.1. | Producent składa oświadczenie potwierdzające, że ADS nie stwarza nieuzasadnionego ryzyka dla osób znajdujących się w pojeździe i innych użytkowników drogi. |
3.5.2. | W odniesieniu do oprogramowania zastosowanego w ADS należy objaśnić ogólną architekturę oprogramowania i określić zastosowane metody i narzędzia projektowe (zob. pkt 3.5.1). Producent musi być w stanie udowodnić sposoby użyte do określenia realizacji logiki ADS podczas procesu projektowania i opracowywania. |
3.5.3. | Producent przedstawia organowi udzielającemu homologacji typu objaśnienia dotyczące zabezpieczeń projektowych wbudowanych w ADS i mających na celu zapewnienie bezpieczeństwa funkcjonalnego i operacyjnego. Przykładowe rozwiązania projektowe w ADS obejmują na przykład:
|
3.5.3.1. | Jeżeli wybrana forma zabezpieczenia powoduje przełączenie na tryb pracy częściowej w pewnych warunkach wystąpienia błędu (np. w przypadku poważnych awarii), to należy określić te warunki (np. rodzaj poważnej awarii) oraz wynikające z nich limity skuteczności (np. natychmiastowe rozpoczęcie manewru minimalizującego ryzyko), a także strategię ostrzegania operatora/operatora interwencji zdalnej, osoby znajdujące się w pojeździe i innych użytkowników drogi (w stosownych przypadkach). |
3.5.3.2. | Jeżeli wybrana forma zabezpieczenia powoduje przełączenie na drugi (rezerwowy) lub inny system realizacji zadań, na które wpływ ma błąd, to należy objaśnić reguły mechanizmu przełączania, logikę i poziom nadmiarowości oraz ewentualne wbudowane rezerwowe funkcje sprawdzające, a także określić wynikające z powyższego limity skuteczności systemu rezerwowego. |
3.5.3.3. | Jeżeli wybrana forma zabezpieczenia powoduje wyłączenie funkcji jazdy zautomatyzowanej, należy to zrobić zgodnie z odpowiednimi przepisami niniejszego rozporządzenia. Wszystkie odpowiednie wyjściowe sygnały sterowania związane z tą funkcją zostają wstrzymane. |
3.5.4. | Producent musi również dostarczyć organowi udzielającemu homologacji typu objaśnienie środków bezpieczeństwa operacyjnego, które należy wprowadzić w celu zapewnienia bezpiecznej eksploatacji ADS, takich jak operator pokładowy lub operator interwencji zdalnej, pomocnicza infrastruktura zewnętrzna, wymogi dotyczące infrastruktury transportowej i fizycznej, środki konserwacji itp. |
3.5.5. | Dokumentację należy poprzeć analizą przedstawiającą zachowanie ADS mające na celu łagodzenie lub unikanie zagrożeń, które mogą mieć wpływ na bezpieczeństwo osób znajdujących się w pojeździe i innych użytkowników drogi. |
3.5.5.1. | Producent ustala i utrzymuje wybraną przez siebie metodę analityczną lub metody analityczne i udostępnia je do wglądu organom udzielającym homologacji typu podczas udzielania homologacji typu i po jej udzieleniu. |
3.5.5.2. | Organ udzielający homologacji typu musi ocenić stosowanie podejścia analitycznego lub podejść analitycznych:
|
3.5.5.3. | Podejście analityczne wynikające z pkt 3.5.5.2 musi potwierdzać, że uwzględniono co najmniej każdą z następujących pozycji:
|
3.5.5.4. | Ocena dokonana przez organ udzielający homologacji typu obejmuje wyrywkowe kontrole mające na celu ustalenie, czy argumenty na poparcie koncepcji bezpieczeństwa są zrozumiałe i logiczne oraz są wdrażane w poszczególnych funkcjach ADS. Ocena służy także sprawdzeniu, czy plany dotyczące walidacji są wystarczająco solidne, aby potwierdzić bezpieczeństwo (np. rozsądny zakres badań wybranych scenariuszy poprzez walidację wybranego narzędzia), oraz czy zostały należycie ukończone. |
3.5.5.4.1. | Jej celem jest wykazanie, że eksploatacja pojazdu w pełni zautomatyzowanego nie stwarza nieuzasadnionego ryzyka dla osób znajdujących się w pojeździe i innych użytkowników drogi w projektowanym zakresie operacyjnym, np. poprzez:
|
3.5.5.5. | Organ udzielający homologacji typu przeprowadza badania lub wymaga ich przeprowadzenia zgodnie z pkt 4 niniejszego załącznika w celu weryfikacji koncepcji bezpieczeństwa. |
3.5.5.6. | We wspomnianej dokumentacji musi zostać uwzględniony wykaz monitorowanych parametrów oraz określony, dla każdej awarii należącej do typu określonego w pkt 3.5.4 niniejszego załącznika, odpowiedni sygnał ostrzegawczy wysyłany do operatora/operatora interwencji zdalnej/osób znajdujących się w pojeździe/innych użytkowników drogi lub personelu serwisowego/przeprowadzającego badanie techniczne. |
3.5.5.7. | We wspomnianej dokumentacji muszą również zostać opisane wprowadzone środki zapewniające, aby ADS nie stanowił nieuzasadnionego ryzyka dla osób znajdujących się w pojeździe i innych użytkowników drogi, gdy na skuteczność działania ADS mają wpływ warunki środowiskowe, np. czynniki klimatyczne, temperatura, wnikanie pyłu, wnikanie wody, oblodzenie, niesprzyjające warunki pogodowe). |
4. Weryfikacja i badania
Uwzględniając wyniki analizy pakietu dokumentacji producenta, organ udzielający homologacji typu zwraca się do upoważnionej placówki technicznej o wykonanie badań lub zapewnienie nadzoru nad ich wykonaniem w celu sprawdzenia konkretnych kwestii wynikających z oceny.
4.1. | Funkcjonalne działanie ADS, określone w dokumentach wymaganych na mocy pkt 3, sprawdza się w następujący sposób: |
4.1.1. | Weryfikacja funkcji ADS Organ udzielający homologacji typu musi sprawdzić ADS w warunkach bezawaryjnych, badając podczas jazdy na torze szereg funkcji, jakie uzna za konieczne, wybranych spośród tych opisanych przez producenta oraz sprawdzając ogólne zachowanie ADS w rzeczywistych warunkach kierowania pojazdem, również w kontekście przestrzegania zasad ruchu drogowego. Badania te muszą obejmować scenariusze, w których operator interwencji zdalnej neutralizuje ADS (w stosownych przypadkach). Badania te mogą być oparte na scenariuszach badań wymienionych w części 3 niniejszego załącznika lub na dodatkowych scenariuszach nieuwzględnionych w części 3. |
4.1.1.1. | Wyniki badań muszą odpowiadać opisowi, w tym strategii sterowania, przekazanemu przez producenta zgodnie z pkt 3.2 i muszą być zgodne z wymogami dotyczącymi skuteczności działania zawartymi w niniejszym rozporządzeniu. |
4.1.2. | Weryfikacja koncepcji bezpieczeństwa ADS Należy sprawdzić reakcję ADS pod wpływem wystąpienia błędu w dowolnej indywidualnej jednostce, poprzez przyłożenie odpowiednich sygnałów wyjściowych do jednostek elektrycznych lub elementów mechanicznych w celu symulacji skutków awarii wewnętrznych w obrębie jednostki. Organ udzielający homologacji typu musi sprawdzić, czy badania te obejmują aspekty, które mogą mieć wpływ na możliwość sterowania pojazdem i informacje dla użytkownika (aspekty HMI, np. interakcja z operatorem/operatorem interwencji zdalnej). |
4.1.2.1. | Organy udzielające homologacji typu muszą również sprawdzić szereg scenariuszy kluczowych dla wykrywania obiektów i zdarzeń oraz reakcji systemu (OEDR) oraz charakterystyki procesu decyzyjnego i funkcji HMI systemu ADS (np. trudny do wykrycia obiekt, osiągnięcie przez ADS granic projektowanego zakresu operacyjnego, scenariusze zakłócenia ruchu drogowego, problem z łącznością, problem z systemami zewnętrznymi, problemy z możliwościami obsługi zdalnej, np. brak operatora interwencji zdalnej) w rozumieniu niniejszego rozporządzenia. |
4.1.2.2. | Wyniki weryfikacji muszą być zgodne z dokumentacją podsumowującą analizę zagrożenia w stopniu wystarczającym do stwierdzenia, że koncepcja bezpieczeństwa i jej realizacja są odpowiednie oraz zgodne z wymaganiami określonymi w niniejszym rozporządzeniu. |
4.2. | Narzędzie symulacyjne i modele matematyczne służące do weryfikacji koncepcji bezpieczeństwa mogą być stosowane zgodnie z załącznikiem VIII do rozporządzenia (UE) 2018/858, w szczególności w przypadku scenariuszy trudnych do przeprowadzenia na torze badawczym lub w rzeczywistych warunkach kierowania pojazdem. Producenci muszą wykazać zakres możliwości narzędzia symulacyjnego, jego znaczenie dla danego scenariusza, jak również walidację łańcucha narzędzi symulacyjnych (korelacja wyniku z badaniami fizycznymi). W celu wykazania ważności łańcucha narzędzi symulacyjnych należy stosować zasady określone w części 4 niniejszego załącznika. Symulacja nie może zastępować badań fizycznych określonych w części 3 niniejszego załącznika. |
4.3 | Producent musi mieć ważne świadectwo zgodności dla systemu zarządzania bezpieczeństwem właściwe dla typu pojazdu, którego dotyczy homologacja. |
5. System zarządzania bezpieczeństwem (SMS)
5.1. | Jeżeli chodzi o ADS, producent musi wykazać organowi udzielającemu homologacji typu, że odnośnie do systemu zarządzania bezpieczeństwem w organizacji stosuje skuteczne, aktualne procesy, metody, szkolenia i narzędzia w celu zarządzania bezpieczeństwem i zapewniania ciągłej zgodności przez cały cykl życia ADS. |
5.2. | Należy określić i udokumentować proces projektowania i opracowywania, w tym system zarządzania bezpieczeństwem, zarządzanie wymogami, wdrażanie wymagań, badanie, śledzenie awarii, ich naprawę oraz wprowadzenie. |
5.3. | Producent musi zapewnić skuteczne kanały komunikacyjne między swoimi działami odpowiadającymi za bezpieczeństwo funkcjonalne/operacyjne, cyberbezpieczeństwo i inne istotne obszary związane z osiąganiem bezpieczeństwa pojazdu. |
5.4. | Producent musi dysponować procesami umożliwiającymi gromadzenie danych dotyczących pojazdu oraz danych pochodzących z innych źródeł w celu monitorowania i analizy incydentów związanych z bezpieczeństwem/wypadków spowodowanych przez działający system zautomatyzowanej jazdy. Zgodnie z częścią 5 niniejszego załącznika producent musi zgłaszać istotne zdarzenia organom udzielającym homologacji typu, organom nadzoru rynku oraz Komisji. |
5.4.1. | Producent musi umożliwić operatorowi usług transportowych dostarczenie organom udzielającym homologacji typu, organom nadzoru rynku lub innym organom wyznaczonym przez państwa członkowskie danych dotyczących pojazdu zgodnie z pkt 5.4 powyżej, jak również danych ADS i określonych elementów danych dla rejestratora danych na temat zdarzeń zgromadzonych zgodnie z załącznikiem II sekcja 9. |
5.5. | Producent musi dysponować procesami służącymi zarządzaniu potencjalnymi brakami dotyczącymi bezpieczeństwa, które zidentyfikowano po dokonaniu rejestracji, a w stosownych przypadkach także procesami aktualizacji pojazdów. |
5.6. | Producent musi wykazać, że okresowe niezależne audyty procesów wewnętrznych (np. co 2 lata) są przeprowadzane w celu zapewnienia, aby procesy określone zgodnie z pkt 5.1-5.5 były wdrażane w spójny sposób. |
5.7. | Producenci muszą wprowadzić w życie odpowiednie ustalenia (np. ustalenia umowne, klarowne interfejsy, system zarządzania jakością) z dostawcami w celu zapewnienia zgodności systemu zarządzania bezpieczeństwem dostawcy z wymogami pkt 5.1 (z wyjątkiem kwestii dotyczących pojazdów, takich jak "eksploatacja" i "wycofanie z eksploatacji"), 5.2, 5.3 oraz 5.6. |
5.8. | Świadectwo zgodności dla systemu zarządzania bezpieczeństwem |
5.8.1. | O wydanie świadectwa zgodności dla systemu zarządzania bezpieczeństwem do organu udzielającego homologacji typu występuje producent lub jego należycie upoważniony przedstawiciel. |
5.8.2. | Do wniosku należy dołączyć trzy egzemplarze każdego z niżej wymienionych dokumentów oraz następujące dane:
|
5.8.3. | Po pomyślnym zakończeniu audytu systemu zarządzania bezpieczeństwem i otrzymaniu od producenta podpisanej deklaracji zgodnie ze wzorem określonym w dodatku 3 producentowi przyznaje się świadectwo zwane świadectwem zgodności dla systemu zarządzania bezpieczeństwem, opisane w dodatku 4 (zwane dalej "świadectwem zgodności dla systemu zarządzania bezpieczeństwem"). |
5.8.4. | Świadectwo zgodności dla systemu zarządzania bezpieczeństwem pozostaje ważne przez maksymalnie trzy lata od dnia wydania, chyba że zostanie cofnięte. |
5.8.5. | Organ udzielający homologacji typu może w dowolnym momencie sprawdzić, czy wymogi dotyczące wydania świadectwa zgodności dla systemu zarządzania bezpieczeństwem są w dalszym ciągu spełnione. Organ udzielający homologacji typu cofa świadectwo zgodności dla systemu zarządzania bezpieczeństwem, jeśli zostaną wykryte duże niezgodności z wymogami określonymi w niniejszym rozporządzeniu i nie zostaną one niezwłocznie usunięte. |
5.8.6. | Producent informuje organ udzielający homologacji typu lub jego upoważnioną placówkę techniczną o wszelkich zmianach, które będą miały wpływ na adekwatność świadectwa zgodności dla systemu zarządzania bezpieczeństwem. Po konsultacji z producentem organ udzielający homologacji typu lub jego upoważniona placówka techniczna decydują, czy konieczne są nowe kontrole. |
5.8.7. | Producent składa wniosek o wydanie nowego lub przedłużenie ważności istniejącego świadectwa zgodności dla systemu zarządzania bezpieczeństwem z należytym wyprzedzeniem. Organ udzielający homologacji typu, pod warunkiem pozytywnego wyniku audytu, wydaje nowe świadectwo zgodności dla systemu zarządzania bezpieczeństwem lub przedłuża jego ważność na kolejny okres trzech lat. Organ udzielający homologacji typu sprawdza, czy system zarządzania bezpieczeństwem w dalszym ciągu spełnia wymagania określone w niniejszym rozporządzeniu. Organ udzielający homologacji typu wydaje nowe świadectwo w przypadkach, w których poinformowano organ udzielający homologacji typu lub jego upoważnioną placówkę techniczną o zmianach i zmiany te zostały poddane ponownej ocenie z wynikiem pozytywnym. |
5.8.8. | Wygaśnięcie lub cofnięcie świadectwa zgodności dla systemu zarządzania bezpieczeństwem producenta uznaje się - w odniesieniu do typów pojazdów, których dotyczył dany system zarządzania bezpieczeństwem - za modyfikację homologacji, która może obejmować cofnięcie homologacji, jeżeli warunki udzielenia homologacji nie są już spełniane. |
6. Przepisy dotyczące sprawozdawczości
6.1. | Sprawozdania z oceny bezpieczeństwa koncepcji bezpieczeństwa ADS, jak również z audytu systemu zarządzania bezpieczeństwem stosowanego przez producenta należy sporządzić w taki sposób, aby umożliwić identyfikowalność, np. nadając kody wersjom kontrolowanych dokumentów i wymieniając je w rejestrach upoważnionej placówki technicznej. |
6.2. | Przykład układu sprawozdania z oceny koncepcji bezpieczeństwa ADS przekazanego przez upoważnioną placówkę techniczną organowi udzielającemu homologacji typu podano w dodatku 1 do niniejszej części. Pozycje wymienione w tym dodatku określono jako minimalny zestaw pozycji, które należy uwzględnić. |
6.3. | Organ udzielający homologacji typu sporządza wyniki oceny bezpieczeństwa, które należy załączyć do świadectwa homologacji typu, na podstawie dokumentacji przedstawionej przez producenta, sprawozdania z oceny koncepcji bezpieczeństwa ADS przeprowadzonej przez upoważnioną placówkę techniczną oraz wyników weryfikacji i badań przeprowadzonych zgodnie z częścią 3 niniejszego załącznika. Przykład możliwego układu wyników oceny bezpieczeństwa podano w dodatku 4. |
7. Kompetencje audytorów/oceniających
7.1. | Ocena koncepcji bezpieczeństwa ADS oraz audyt systemu zarządzania bezpieczeństwem przeprowadzone na podstawie niniejszej części muszą być przeprowadzane wyłącznie przez oceniających/audytorów posiadających wiedzę techniczną i administracyjną niezbędną do tych celów. Muszą oni w szczególności posiadać kompetencje audytora/oceniającego w ramach norm ISO 26262-2018 (Bezpieczeństwo funkcjonalne - Pojazdy drogowe) oraz ISO/PAS 21448 (Bezpieczeństwo zamierzonej funkcjonalności pojazdów drogowych); muszą także potrafić odpowiednio powiązać aspekty cyberbezpieczeństwa zgodnie z regulaminem ONZ nr 155 i normą ISO/SAE 21434. Kompetencje te należy wykazać, przedstawiając odpowiednie kwalifikacje lub inne równoważne dokumenty poświadczające szkolenie. Dodatek 1 Wzór sprawozdania z oceny koncepcji bezpieczeństwa ADS Sprawozdanie z oceny bezpieczeństwa nr: 1. Identyfikacja 1.1. Marka pojazdu 1.2. Typ pojazdu 1.3. Sposób identyfikacji typu pojazdu, jeżeli oznaczono na pojeździe 1.4. Umiejscowienie tego oznakowania 1.5. Nazwa i adres producenta 1.6. Nazwa i adres przedstawiciela producenta (w stosownych przypadkach) 1.7. Formalny pakiet dokumentacji producentaNumer referencyjny dokumentacji: Data pierwotnego wydania: Data ostatniej aktualizacji: 2. Metoda oceny 2.1. Opis procesów i metod oceny 2.2. Kryteria dopuszczalności 3. Wyniki przeglądu pakietu dokumentacji 3.1. Przegląd opisu ADS 3.2. Przegląd koncepcji bezpieczeństwa producenta oraz analizy bezpieczeństwa producenta 3.3. Przegląd weryfikacji i walidacji dokonanych przez producenta, w szczególności zakres poszczególnych badań oraz określenie minimalnych progów zakresu dla różnych wskaźników. 3.4. Przegląd metod i narzędzi (oprogramowanie, laboratorium, inne) oraz ocena wiarygodności 3.5. Przegląd wymogów dotyczących danych ADS oraz określonych danych na potrzeby rejestratora danych na temat zdarzeń w przypadku pojazdów w pełni zautomatyzowanych 3.6. Kontrole świadectw cyberbezpieczeństwa i aktualizacji oprogramowania obejmujących ADS 3.7. Przegląd informacji przedstawionych w instrukcji obsługi 3.8. Przegląd przepisów dotyczących okresowych badań ADS pod kątem zdatności do ruchu drogowego 3.9. Przegląd dodatkowych informacji, których nie uwzględniono w dokumencie informacyjnym 4. Weryfikacja funkcji ADS w warunkach bezawaryjnych (o której mowa w części 2 pkt 4.1.1 załącznika III do rozporządzenia wykonawczego Komisji (UE) 2022/1426 z dnia 5 sierpnia 2022 r. ustanawiającego zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/2144 w odniesieniu do jednolitych procedur i specyfikacji technicznych w zakresie homologacji typu systemu zautomatyzowanej jazdy (ADS) pojazdów w pełni zautomatyzowanych (2). 4.1. Uzasadnienie wyboru scenariuszy badań 4.2. Wybrane scenariusze badań 4.3. Sprawozdania z badań 4.3.1. Badanie nr (należy podać liczbę przeprowadzonych badań) 4.3.1.1. Cele badania 4.3.1.2. Warunki badania 4.3.1.3. Zmierzone wielkości i urządzenia pomiarowe 4.3.1.4. Kryteria dopuszczalności 4.3.1.5. Wyniki badań 4.3.1.6. Porównanie z dokumentacją dostarczoną przez producenta 5. Weryfikacja koncepcji bezpieczeństwa ADS w warunkach awarii (o której mowa w części 2 pkt 4.1.2 załącznika III do rozporządzenia wykonawczego (UE) 2022/1426 5.1. Uzasadnienie wyboru scenariuszy badań 5.2. Wybrane scenariusze badań 5.3. Sprawozdania z badań 5.3.1. Badanie nr (należy podać liczbę przeprowadzonych badań) 5.3.1.1. Cele badania 5.3.1.2. Warunki badania 5.3.1.3. Zmierzone wielkości i urządzenia pomiarowe 5.3.1.4. Kryteria dopuszczalności 5.3.1.5. Wyniki badań 5.3.1.6. Porównanie z dokumentacją dostarczoną przez producenta 6. Świadectwo systemu zarządzania bezpieczeństwem (należy je dołączyć do niniejszego sprawozdania z badania) 7. Data dokonania oceny 8. Ostateczne ustalenie wyniku oceny bezpieczeństwa 9. Niniejszą ocenę wykonano i wyniki zapisano zgodnie z rozporządzeniem wykonawczym (UE) 2022/1426Upoważniona placówka techniczna przeprowadzająca ocenę
10. Uwagi: Dodatek 2 Wzór wyników oceny ADS, które należy dołączyć do świadectwa homologacji typu 1. Identyfikacja 1.1. Marka pojazdu 1.2. Typ pojazdu 1.3. Sposób identyfikacji typu pojazdu, jeżeli oznaczono na pojeździe 1.4. Umiejscowienie tego oznakowania 1.5. Nazwa i adres producenta 1.6. Nazwa i adres przedstawiciela producenta (w stosownych przypadkach) 1.7. Formalny pakiet dokumentacji producentaNumer referencyjny dokumentacji: Data pierwotnego wydania: Data ostatniej aktualizacji: 2. Metoda oceny 2.1. Opis procesów i metod oceny 2.2. Kryteria dopuszczalności 3. Weryfikacja funkcji ADS w warunkach bezawaryjnych (o której mowa w części 2 pkt 4.1.1 załącznika III do rozporządzenia wykonawczego (UE) 2022/1426 3.1. Uzasadnienie wyboru scenariuszy badań 3.2. Wybrane scenariusze badań 4. Weryfikacja koncepcji bezpieczeństwa ADS w warunkach pojedynczej awarii (o której mowa w części 2 pkt 4.1.2 załącznika III do rozporządzenia wykonawczego (UE) 2022/1426 4.1. Uzasadnienie wyboru scenariuszy badań 4.2. Wybrane scenariusze badań 5. Wyniki oceny 5.1. Wyniki przeglądu dokumentu informacyjnego 5.2. Wyniki weryfikacji funkcji ADS w warunkach bezawaryjnych 5.3. Wyniki weryfikacji koncepcji bezpieczeństwa ADS w warunkach pojedynczej awarii 5.4. Wyniki oceny systemu zarządzania bezpieczeństwem 5.5. Wyniki weryfikacji przepisów dotyczących okresowych badań zdatności do ruchu drogowego 6. Ostateczne ustalenie wyniku oceny bezpieczeństwa Dodatek 3 Wzór deklaracji producenta w sprawie zgodności systemu zarządzania bezpieczeństwem Deklaracja producenta w sprawie zgodności z wymogami dotyczącymi systemu zarządzania bezpieczeństwem Nazwa producenta: Adres producenta: …(nazwa producenta) poświadcza, że zainstalowano procesy niezbędne do zapewnienia zgodności z wymogami dotyczącymi systemu zarządzania bezpieczeństwem określonymi w rozporządzeniu wykonawczym (UE) 2022/1426 oraz że będą one utrzymywane. Sporządzono w: … (miejscowość) Data: Imię i nazwisko osoby podpisującej: Stanowisko osoby podpisującej: (Pieczęć i podpis przedstawiciela producenta) Dodatek 4 Wzór świadectwa zgodności dla systemu zarządzania bezpieczeństwem Świadectwo zgodności systemu zarządzania bezpieczeństwem z rozporządzeniem wykonawczym (UE) 2022/1426 Numer świadectwa [numer referencyjny] [… Organ udzielający homologacji typu] Zaświadcza, że producent: … Adres producenta: spełnia przepisy określone w rozporządzeniu wykonawczym (UE) 2022/1426 (R2022/1426). Kontrole następujących elementów: przez (nazwa i adres organu udzielającego homologacji typu lub upoważnionej placówki technicznej): Numer sprawozdania: … Świadectwo jest ważne do dnia […data] r. Sporządzono w […miejscowość] dnia […data] r. […podpis] Załączniki: przygotowany przez producenta opis systemu zarządzania bezpieczeństwem |
CZĘŚĆ 3
BADANIA
1. Przepisy ogólne
Kryteria spełnienia i niespełnienia wymogów stosowane w celu oceny bezpieczeństwa ADS muszą opierać się na wymogach określonych w załączniku II oraz w scenariuszu opisanym w części 1 niniejszego załącznika. Wymogi te są zdefiniowane w taki sposób, aby umożliwiały określenie kryteriów dotyczących zaliczenia lub niezaliczenia badania nie tylko w przypadku danego zestawu badanych parametrów, ale w przypadku każdej kombinacji parametrów istotnych dla bezpieczeństwa, które mogą wystąpić w warunkach eksploatacji objętych daną homologacją typu i w określonym zakresie eksploatacji (np. zakres prędkości, zakres przyspieszenia wzdłużnego i poprzecznego, promienie krzywizny, jasność, liczba pasów ruchu). W przypadku warunków niepoddawanych badaniom, które mogą jednak wystąpić w określonym projektowanym zakresie operacyjnym danego układu, producent musi wykazać - w ramach oceny opisanej w części 2 - w sposób zadowalający dla organu udzielającego homologacji typu, że pojazd jest bezpiecznie sterowany.
Badania te muszą potwierdzić minimalne wymogi dotyczące skuteczności działania opisane w załączniku II oraz funkcjonalność ADS i koncepcję bezpieczeństwa producenta zgodnie z opisem w części 2 niniejszego załącznika. Wyniki badań należy udokumentować i zgłosić zgodnie z częścią 2 pkt 6 niniejszego załącznika.
Badania te muszą również potwierdzać, że ADS jest zgodny z przepisami ruchu drogowego, dostosowuje swoje operacje do warunków środowiskowych, unika zakłóceń przepływu ruchu (np. blokowania pasa ruchu z powodu zbyt dużej liczby MRM), nie wykazuje nieprzewidywalnego zachowania oraz wykazuje racjonalne, oparte na współpracy i antycypacyjne zachowanie w odpowiednich sytuacjach (tj. przy włączaniu się do gęstego ruchu lub w pobliżu niechronionych użytkowników drogi).
2 Teren badań
Teren badań musi obejmować cechy (przykład: współczynnik tarcia), które odpowiadają określonemu projektowanemu zakresowi operacyjnemu ADS. Jeżeli jest to konieczne do zastosowania szczegółowych warunków projektowanego zakresu operacyjnego ADS, badania fizyczne będą przeprowadzane dla faktycznego projektowanego zakresu operacyjnego (w ruchu drogowym) lub w dowolnej placówce badawczej, która odtwarza warunki projektowanego zakresu operacyjnego i muszą zostać określone przez producenta i organ udzielający homologacji typu. ADS poddaje się badaniu w warunkach drogowych zgodnie ze stosownymi przepisami państw członkowskich oraz pod warunkiem że badania można przeprowadzić w sposób bezpieczny i bez ryzyka dla innych użytkowników drogi.
3. Warunki środowiskowe
Badania należy przeprowadzać w różnych warunkach środowiskowych w przedziale wartości granicznych określonego projektowanego zakresu operacyjnego ADS. W przypadku warunków środowiskowych niepoddawanych badaniom, które mogą jednak wystąpić w określonym projektowanym zakresie operacyjnym, producent musi wykazać - w ramach oceny - w sposób zadowalający dla organu udzielającego homologacji typu, że pojazd jest bezpiecznie sterowany.
W celu zbadania, czy spełnione są wymogi w zakresie awarii funkcji, samotestowania ADS oraz rozpoczęcia i wykonania manewru minimalizującego ryzyko, można wywołać błędy w sposób sztuczny, a pojazd można w sposób sztuczny wprowadzić w sytuacje, w których osiągnie on granice określonego zakresu operacyjnego (np. warunki środowiskowe).
4. Modyfikacje układu do celów badań
Jeżeli w celu umożliwienia przeprowadzenia badań wymagane są modyfikacje ADS, np. kryteria oceny typu drogi lub informacje o typie drogi (dane z map), należy zapewnić, aby modyfikacje te nie wpłynęły na wyniki badań. Modyfikacje te muszą być zasadniczo udokumentowane i załączone do sprawozdania z badania. Opis i dowody na (ewentualny) wpływ takich modyfikacji muszą być zasadniczo udokumentowane i załączone do sprawozdania z badania.
5. Warunki dotyczące pojazdu
5.1. | Masa próbna Przedmiotowy pojazd należy poddać badaniu przy maksymalnym dopuszczalnym obciążeniu pojazdu. Po rozpoczęciu procedury badawczej nie można dokonywać zmian obciążenia. Producent musi wykazać przy pomocy dokumentacji, że ADS działa prawidłowo przy dowolnym obciążeniu. |
5.2. | Przedmiotowy pojazd należy badać przy zalecanym przez producenta ciśnieniu opon. |
5.3. | Należy zweryfikować, czy stan systemu jest zgodny z zamierzonym celem badań (np. czy system jest w stanie wolnym od błędów lub czy występują w nim określone błędy, które mają być poddane badaniu). |
6. Narzędzia badawcze
Oprócz prawdziwych pojazdów do przeprowadzenia badań można wykorzystywać najnowocześniejsze narzędzia badawcze zastępujące prawdziwe pojazdy i innych użytkowników drogi (np. cele miękkie, mobilne platformy itd.). Zamienne narzędzia badawcze muszą posiadać właściwości istotne dla sensorycznej oceny skuteczności działania, prawdziwych pojazdów i innych uczestników ruchu drogowego. Badania należy przeprowadzać w sposób niezagrażający personelowi zaangażowanemu w ich wykonanie, a jeśli dostępne są inne sposoby walidacji, należy unikać istotnego uszkodzenia pojazdu poddanego badaniom.
7. Zmiany parametrów badania
Producent musi zadeklarować granice systemu organowi udzielającemu homologacji typu. Organ udzielający homologacji typu musi określić różne kombinacje parametrów badania (np. prędkość bieżącą pojazdu, typ i przesunięcie celu, krzywiznę pasa ruchu itp.) w celu zbadania ADS. Wybrane przypadki poddane badaniu muszą zapewnić wystarczający zakres badania dla wszystkich scenariuszy, parametrów badania i oddziaływań otoczenia. Należy wykazać odpowiednią solidność systemów postrzegania dla ADS w sytuacji niewłaściwego działania danych wejściowych/danych czujnika i niekorzystnych warunków środowiskowych.
Parametry badania wybrane przez organ udzielający homologacji typu należy zapisać w sprawozdaniu z badania w sposób umożliwiający identyfikowalność i powtarzalność konfiguracji testu.
8. Scenariusze badawcze mające na celu ocenę skuteczności działania ADS na torze badawczym (pkt 8.1, 8.2, 8.5, 8.6, 8.7, 8.8, 8.9) i na drodze (8.3, 8.4, 8.10)
Scenariusze zawarte w poniższych punktach należy uważać za minimalny zestaw badań. Na żądanie organu udzielającego homologacji typu można zrealizować dodatkowe scenariusze stanowiące część projektowanego zakresu operacyjnego. Jeżeli scenariusz opisany w pkt 8 niniejszego załącznika nie przynależy do projektowanego zakresu operacyjnego danego pojazdu, nie należy brać go pod uwagę.
W zależności od projektowanego zakresu operacyjnego scenariusze badań należy wybrać jako część badań do celów homologacji typu. Scenariusze badań należy wybrać zgodnie z częścią 1 niniejszego załącznika. Badania do celów homologacji typu można przeprowadzić na podstawie symulacji, manewrów na torze badawczym oraz badań wykonanych podczas jazdy w rzeczywistym ruchu drogowym. Nie można ich jednak opierać wyłącznie na symulacjach komputerowych, a podczas udzielania homologacji typu organ udzielający homologacji typu przeprowadza lub nadzoruje co najmniej poniższe badania, których celem jest ocena zachowania ADS.
8.1. Utrzymanie pasa ruchu
Badanie musi wykazać, że pojazd w pełni zautomatyzowany nie opuszcza swojego pasa ruchu i utrzymuje stabilną pozycję wewnątrz pasa ruchu w całym zakresie prędkości oraz przy różnych krzywiznach dopuszczalnych w granicach systemu.
8.1.1. | Badanie musi opierać się na projektowanym zakresie operacyjnym ADS i zostać wykonane co najmniej:
|
8.2. Manewr zmiany pasa ruchu (LCM)
Badania muszą wykazać, że pojazd w pełni zautomatyzowany nie powoduje nieuzasadnionego ryzyka dla bezpieczeństwa osób znajdujących się w pojeździe i innych użytkowników drogi w trakcie zmiany pasa ruchu oraz że ADS jest w stanie ocenić krytyczność sytuacji przed rozpoczęciem manewru zmiany pasa ruchu w całym zakresie prędkości operacyjnej. Badania te są wymagane jedynie wówczas, gdy pojazd w pełni zautomatyzowany jest w stanie zmieniać pasy ruchu w trakcie manewru minimalizującego ryzyko albo w trakcie regularnej pracy.
8.2.1. | Należy wykonać następujące badania:
|
8.2.2. | Badania muszą zostać wykonane co najmniej:
|
8.3. Reakcja na różne geometrie drogi
Badania te mają zapewnić, aby pojazd w pełni zautomatyzowany wykrywał zmiany różnych geometrii drogi, które mogą wystąpić w ramach projektowanego zakresu operacyjnego w całym zakresie prędkości, oraz dostosowywał się do tych zmian.
8.3.1. | Badanie należy wykonać co najmniej według poniższej listy scenariuszy opartych na projektowanym zakresie operacyjnym ADS:
|
8.3.2. | Każde badanie musi zostać wykonane co najmniej:
|
8.4. Reakcja na krajowe zasady ruchu drogowego i infrastrukturę drogową
Badania te mają zapewnić, aby pojazd w pełni zautomatyzowany przestrzegał krajowych zasad ruchu drogowego oraz aby dostosowywał się do różnych stałych i tymczasowych zmian infrastruktury drogowej (np. place budowy dróg) w całym zakresie prędkości.
8.4.1. | Badania muszą zostać wykonane co najmniej według poniższej listy scenariuszy, mających znaczenie w odniesieniu do projektowanego zakresu operacyjnego ADS:
|
8.4.2. | Każde badanie musi zostać wykonane co najmniej:
|
8.5. Zapobieganie kolizjom: uniknięcie kolizji z użytkownikami drogi lub obiektami blokującymi pas ruchu
Badanie musi wykazać, że pojazd w pełni zautomatyzowany zapobiega kolizji z nieruchomym pojazdem, użytkownikiem drogi lub na całkowicie lub częściowo zablokowanym pasie ruchu do maksymalnej prędkości określonej dla ADS.
8.5.1. | Badanie musi zostać wykonane co najmniej według następujących scenariuszy, w stosownych przypadkach w projektowanym zakresie operacyjnym:
|
8.6. Unikanie hamowania awaryjnego przed obiektem przejezdnym na pasie ruchu. "Obiekt przejezdny" to taki obiekt, który można przewrócić, nie powodując nieuzasadnionego ryzyka dla osób znajdujących się w pojeździe ani innych użytkowników drogi.
Badanie musi wykazać, że pojazd w pełni zautomatyzowany nie inicjuje hamowania awaryjnego z wymaganym przyspieszeniem ujemnym większym niż 5 m/s2 spowodowanym przez obiekt przejezdny na pasie ruchu istotny dla projektowanego zakresu operacyjnego (np. pokrywę studzienki kanalizacyjnej lub małą gałąź) do maksymalnej prędkości określonej dla ADS.
8.6.1. | Badanie musi zostać wykonane co najmniej według następujących scenariuszy, w stosownych przypadkach w projektowanym zakresie operacyjnym:
|
8.7. Za pojazdem poprzedzającym
Badanie musi wykazać, że pojazd w pełni zautomatyzowany jest w stanie utrzymać i odzyskać stabilną prędkość oraz utrzymać i przywrócić bezpieczną odległość do pojazdu znajdującego się z przodu oraz że jest w stanie uniknąć kolizji z pojazdem poprzedzającym, który zmniejsza prędkość do maksymalnej dopuszczalnej wartości.
8.7.1. | Badanie musi zostać wykonane co najmniej według następujących scenariuszy, w stosownych przypadkach w projektowanym zakresie operacyjnym:
|
8.8. Zmiana pasa ruchu przez inny pojazd na dany pas ruchu (zajechanie drogi)
Badanie musi wykazać, że pojazd w pełni zautomatyzowany jest w stanie uniknąć kolizji z pojazdem lub innym użytkownikiem drogi przecinającym pas ruchu pojazdu w pełni zautomatyzowanego do pewnego stopnia krytyczności manewru zajechania drogi.
8.8.1. | Krytyczność manewru zajechania drogi określa się zgodnie z przepisami zawartymi w części 1 niniejszego załącznika, w zależności od odległości między najdalej wysuniętym do tyłu punktem pojazdu zajeżdżającego drogę a najdalej wysuniętym do przodu punktem pojazdu w pełni zautomatyzowanego. |
8.8.2. | Badanie musi zostać wykonane co najmniej według następujących scenariuszy, w stosownych przypadkach w projektowanym zakresie operacyjnym:
|
8.9. Przeszkoda nieruchoma po zmianie pasa ruchu przez pojazd poprzedzający (opuszczanie pasa)
Badanie musi wykazać, że pojazd w pełni zautomatyzowany jest w stanie zapobiec kolizji z nieruchomym pojazdem, użytkownikiem drogi lub na zablokowanym pasie ruchu, który stanie się widoczny po uniknięciu kolizji przez pojazd poprzedzający za pomocą manewru wymijania. Badanie musi opierać się na wymogach określonych w załączniku II i parametrach scenariusza z części 1 niniejszego załącznika. W przypadku warunków niepoddanych badaniom, które mogą wystąpić w określonym zakresie działania pojazdu, producent wykazuje - w ramach oceny opisanej w załączniku III część 2 - w sposób przekonujący dla odpowiednich organów, że pojazd jest bezpiecznie sterowany.
8.9.1. | Badanie musi zostać wykonane co najmniej według następujących scenariuszy, w stosownych przypadkach w projektowanym zakresie operacyjnym:
|
8.10. Postój
Badanie musi wykazać, że ADS jest w stanie zaparkować na różnych miejscach parkingowych i w różnych układach parkingowych w różnych warunkach; oraz że podczas wykonywania manewru parkowania nie powoduje on uszkodzeń otaczających go obiektów, użytkowników dróg i samego siebie.
8.10.1. | Badanie musi zostać wykonane co najmniej według następujących scenariuszy, w stosownych przypadkach w projektowanym zakresie operacyjnym:
|
8.11. Poruszanie się po parkingu
Badanie musi wykazać, że ADS jest w stanie poradzić sobie z niską prędkością jazdy i ogólnym brakiem widoczności, jakie mogą wystąpić na parkingu.
8.11.1. | Badanie musi zostać wykonane co najmniej według następujących scenariuszy, w stosownych przypadkach w projektowanym zakresie operacyjnym:
|
8.12. Szczególne scenariusze dla autostrad
8.12.1. | Wjazd na autostradę Badanie musi wykazać, że ADS jest w stanie bezpiecznie wjechać na autostradę. |
8.12.1.1. | Badanie musi zostać wykonane co najmniej według następujących scenariuszy, w stosownych przypadkach w projektowanym zakresie operacyjnym:
|
8.12.2. | Zjazd z autostrady Badanie musi wykazać, że ADS jest w stanie bezpiecznie opuścić autostradę. |
8.12.2.1. | Badanie musi zostać wykonane co najmniej według następujących scenariuszy, w stosownych przypadkach w projektowanym zakresie operacyjnym:
|
8.12.3. | Punkt poboru opłat Badanie musi wykazać, że ADS jest w stanie wybrać właściwą bramkę przejazdu i dostosować swoją prędkość do prędkości dozwolonej na terenie poboru opłat. |
8.12.3.1. | Badanie musi zostać wykonane co najmniej według następujących scenariuszy, w stosownych przypadkach w projektowanym zakresie operacyjnym:
|
8.13. W przypadku pojazdów dwutrybowych przejście między trybem kierowania ręcznego a trybem w pełni zautomatyzowanym.
Badanie musi wykazać, że ADS przejmuje w sposób bezpieczny kontrolę nad realizacją DDT i tylko podczas postoju pojazdu.
8.13.1. | Badanie musi zostać wykonane co najmniej według następujących scenariuszy, w stosownych przypadkach w projektowanym zakresie operacyjnym:
|
8.13.2. | Badanie musi zostać wykonane co najmniej według następujących scenariuszy, w stosownych przypadkach w projektowanym zakresie operacyjnym:
|
CZĘŚĆ 4
ZASADY OCENY WIARYGODNOŚCI DO CELÓW KORZYSTANIA Z WIRTUALNEGO ŁAŃCUCHA NARZĘDZI W WALIDACJI ADS
1. Zasady ogólne
1.1. | Wiarygodność można osiągnąć, badając i oceniając pięć właściwości modelowania i symulacji:
|
1.2. | Jednocześnie ramy oceny wiarygodności muszą być na tyle ogólne, aby można je było stosować do różnych rodzajów i zastosowań modelowania i symulacji. Cel ten jest jednak skomplikowany ze względu na duże różnice między aspektami ADS oraz różnorodność typów i zastosowań modelowania i symulacji. W związku z tym konieczne jest opracowanie ram oceny wiarygodności (opartych na analizie ryzyka/wiedzy), odpowiednich i właściwych dla wszystkich zastosowań modelowania i symulacji. |
1.3. | Ramy oceny wiarygodności zawierają ogólny opis głównych aspektów branych pod uwagę przy ocenie wiarygodności rozwiązania opartego na modelowaniu i symulacji wraz z zasadami dotyczącymi roli osób trzecich dokonujących oceny w procesie walidacji w odniesieniu do wiarygodności. Jeśli chodzi o ten ostatni punkt, organ udzielający homologacji typu bada opracowaną dokumentację potwierdzającą wiarygodność na etapie oceny, natomiast rzeczywiste badania walidacyjne przeprowadza się po opracowaniu przez producenta zintegrowanych systemów symulacji. |
1.4. | Ostatecznie wynik bieżącej oceny wiarygodności określa zakres, w jakim narzędzie wirtualne może być wykorzystywane do wspierania oceny ADS. |
1.5. | Wymogi niniejszej części mają zatem na celu wykazanie wiarygodności każdego modelu symulacyjnego lub wirtualnego łańcucha narzędzi do wykorzystania w walidacji ADS. |
2. Definicje
Do celów niniejszego załącznika:
2.1. | "abstrakcja" oznacza proces wyboru istotnych aspektów systemu źródłowego lub układu odniesienia, które mają być przedstawione w modelu lub symulacji, przy jednoczesnym pominięciu aspektów nieistotnych. Każda abstrakcja związana z modelowaniem niesie ze sobą założenie, które nie może mieć znaczącego wpływu na zamierzone zastosowania narzędzia symulacyjnego; |
2.2. | "badanie w obiegu zamkniętym" oznacza środowisko wirtualne, w którym uwzględnia się działania elementu w pętli. Symulowane obiekty reagują na działania układu (np. układ wchodzący w interakcję z modelem ruchu drogowego); |
2.3. | "deterministyczny" to termin opisujący układ, którego ewolucję w czasie można dokładnie przewidzieć, a dany zestaw bodźców wejściowych będzie zawsze dawał taki sam wynik; |
2.4. | jazda typu "driver-in-the-loop (DIL)" przeprowadzana jest zwykle na symulatorze jazdy wykorzystywanym do badania modelu interakcji człowiek-automatyka. DIL zawiera elementy umożliwiające kierowcy obsługę i komunikację ze środowiskiem wirtualnym; |
2.5. | "hardware-in-the-loop (HIL)" polega na tym, że na końcowym sprzęcie określonego podsystemu pojazdu działa końcowe oprogramowanie z wejściem i wyjściem podłączonym do środowiska symulacyjnego w celu przeprowadzenia badań wirtualnych. Badanie typu HIL umożliwia odtworzenie czujników, siłowników i elementów mechanicznych w taki sposób, aby połączyć wszystkie wejścia/wyjścia testowanych elektronicznych modułów sterujących na długo przed zintegrowaniem ostatecznego układu; |
2.6. | "model" to opis lub reprezentacja układu, podmiotu, zjawiska lub procesu; |
2.7. | "kalibracja modelu" to proces dostosowywania parametrów numerycznych lub modelowych w modelu w celu poprawy zgodności z punktem odniesienia; |
2.8. | "parametr modelu" to wartości liczbowe wykorzystywane do scharakteryzowania funkcjonalności układu. Parametr modelu ma wartość, której nie można zaobserwować bezpośrednio w świecie rzeczywistym, ale którą należy wywnioskować na podstawie danych zebranych w świecie rzeczywistym (w fazie kalibracji modelu); |
2.9. | "model-in-the-loop (MIL)" to podejście, które umożliwia szybkie opracowanie algorytmów bez użycia dedykowanego sprzętu. Ten poziom opracowania obejmuje zwykle ramy programowe wysokiego poziomu abstrakcji działające na systemach komputerowych ogólnego przeznaczenia; |
2.10. | "badanie w obiegu otwartym" oznacza wirtualne środowisko, które nie uwzględnia działań elementu w pętli (np. układu wchodzącego w interakcję z zarejestrowaną sytuacją w ruchu drogowym); |
2.11. | "probabilistyczny" to termin odnoszący się do zdarzeń niedeterministycznych, których wyniki są opisywane za pomocą miary prawdopodobieństwa; |
2.12. | "podłoże badawcze lub tor badawczy" to fizyczny obiekt badawczy zamknięty dla ruchu drogowego, na którym można zbadać skuteczność działania ADS w rzeczywistym pojeździe. Czynniki ruchu można wprowadzać poprzez stymulację sensoryczną lub za pomocą atrap urządzeń umieszczonych na torze; |
2.13. | "stymulacja sensoryczna" to technika polegająca na dostarczaniu sztucznie wytworzonych sygnałów do testowanego elementu w celu wywołania u niego efektu wymaganego do weryfikacji świata rzeczywistego, szkolenia, konserwacji lub badań i rozwoju; |
2.14. | "symulacja" to imitacja działania procesu lub układu w świecie rzeczywistym na przestrzeni czasu; |
2.15. | "model symulacyjny" to model, którego zmienne wejściowe zmieniają się w czasie; |
2.16. | "łańcuch narzędzi symulacyjnych" to kombinacja narzędzi symulacyjnych, które są wykorzystywane do wspomagania walidacji ADS; |
2.17. | "software-in-the-loop (SIL)" obejmuje przypadki, w których implementacja opracowanego modelu zostanie oceniona na układach obliczeniowych ogólnego przeznaczenia. W tym kroku można wykorzystać kompletną implementację oprogramowania bardzo zbliżoną do ostatecznej. Badanie SIL jest stosowane do opisu metody badawczej, w której kod wykonywalny, taki jak algorytmy (lub nawet cała strategia sterownika), jest badany w środowisku modelowania, które może pomóc w sprawdzeniu lub przetestowaniu oprogramowania; |
2.18. | "stochastyczny" to termin na oznaczenie procesu obejmującego lub zawierającego zmienną lub zmienne losowe. Odnosi się do szans lub prawdopodobieństwa; |
2.19. | "walidacja modelu symulacyjnego" to proces określania stopnia, w jakim model symulacyjny jest dokładnym odwzorowaniem świata rzeczywistego z punktu widzenia zamierzonych zastosowań narzędzia; |
2.20. | "vehicle-in-the-loop (VIL)" to środowisko łączące rzeczywisty pojazd badany w świecie rzeczywistym i środowisko wirtualne. Może on odzwierciedlać dynamikę pojazdu na tym samym poziomie co w warunkach rzeczywistych i może być eksploatowany na stanowisku badawczym pojazdu lub na torze testowym; |
2.21. | "weryfikacja modelu symulacyjnego" to proces określania zakresu, w jakim model symulacyjny lub narzędzie badania wirtualnego są zgodne z wymogami i specyfikacjami określonymi w modelach koncepcyjnych, modelach matematycznych lub innych konstruktach; |
2.22. | "badanie wirtualne" to proces badania układu przy użyciu jednego lub kilku modeli symulacyjnych. |
3. Elementy ram oceny wiarygodności i związane z nimi wymogi dotyczące dokumentacji
3.1. | Ramy oceny wiarygodności wprowadzają sposób oceny i raportowania wiarygodności modelowania i symulacji w oparciu o kryteria zapewniania jakości, w których można określić poziom zaufania do wyników. Innymi słowy, wiarygodność jest ustalana poprzez ocenę następujących istotnych czynników modelowania i symulacji, uważanych za czynniki mające największy wpływ na ich właściwości, a tym samym na ogólną wiarygodność modelowania i symulacji: a) zarządzanie modelowaniem i symulacją; b) doświadczenie i wiedza fachowa zespołu; c) analiza i opis modelowania i symulacji; d) historia danych/informacji wejściowych oraz e) weryfikacja; walidacja, charakterystyka niepewności. Każdy z tych czynników wskazuje poziom jakości uzyskany przez modelowanie i symulację, a porównanie uzyskanych poziomów z poziomami wymaganymi określa, czy modelowanie i symulacja są wiarygodne i nadają się do wykorzystania w badaniu wirtualnym. Poniżej przedstawiono graficzną ilustrację zależności między elementami ram oceny wiarygodności. |
3.2. | Zarządzanie modelami i symulacjami. |
3.2.1. | Cykl życia modelowania i symulacji to dynamiczny proces z częstymi zmianami, które należy monitorować i dokumentować. Należy ustanowić działania związane z zarządzaniem w celu wsparcia modelowania i symulacji na zasadzie zarządzania produktami pracy. Należy przedstawić odpowiednie informacje dotyczące następujących aspektów. |
3.2.2. | W procesie zarządzania modelowaniem i symulacją należy:
|
3.2.3. | Zarządzanie wersjami |
3.2.3.1. | Przechowywana jest każda wersja łańcucha narzędzi modelowania i symulacji używana do udostępniania danych do celów certyfikacji. Modele wirtualne tworzące łańcuch narzędzi do badań muszą być udokumentowane pod względem odpowiadających im metod walidacji i progów akceptacji, aby wspierać ogólną wiarygodność łańcucha narzędzi. Twórca oprogramowania musi zapewnić metodę śledzenia wygenerowanych danych do odpowiedniej wersji modelowania i symulacji. |
3.2.3.2. | Kontrola jakości danych wirtualnych. Kompletność, dokładność i spójność danych jest zapewniana przez wszystkie wersje i okres użytkowania łańcucha narzędzi modelowania i symulacji w celu wsparcia procedur weryfikacji i walidacji. |
3.2.4. | Doświadczenie i wiedza fachowa zespołu |
3.2.4.1. | Nawet jeśli doświadczenie i wiedza fachowa są już uwzględnione w organizacji w sensie ogólnym, ważne jest, aby stworzyć podstawy zaufania do konkretnego doświadczenia i wiedzy fachowej dla działań związanych z modelowaniem i symulacją. |
3.2.4.2. | Wiarygodność modelowania i symulacji zależy nie tylko od jakości modeli symulacyjnych, ale także od doświadczenia i wiedzy fachowej personelu zaangażowanego w walidację i wykorzystanie modelowania i symulacji. Na przykład właściwe zrozumienie ograniczeń i obszarów walidacji pozwoli zapobiec ewentualnemu niewłaściwemu wykorzystaniu modelowania i symulacji lub błędnej interpretacji ich wyników. |
3.2.4.3. | Dlatego ważne jest, aby ustanowić podstawę zaufania producenta do doświadczenia i wiedzy fachowej:
|
3.2.4.4. | Właściwe zarządzanie doświadczeniem i wiedzą fachową zespołu zwiększa poziom zaufania do wiarygodności modelowania i symulacji oraz ich wyników, ponieważ zapewnia uwzględnienie czynników ludzkich stojących za modelowaniem i symulacją oraz kontrolę ewentualnego ryzyka związanego z czynnikami ludzkimi, zgodnie z założeniami każdego odpowiedniego systemu zarządzania. |
3.2.4.5. | Jeśli łańcuch narzędzi producenta zawiera wkłady pochodzące od organizacji lub produktów spoza zespołu producenta lub opiera się na nich, producent przedstawi wyjaśnienie środków, jakie podjął w celu potwierdzenia zaufania do jakości i integralności tych wkładów. |
3.2.4.6. | Doświadczenie i wiedza fachowa zespołu obejmuje dwa poziomy. |
3.2.4.6.1. | Poziom organizacyjny Wiarygodność uzyskuje się poprzez ustanowienie procesów i procedur służących określaniu i utrzymywaniu umiejętności, wiedzy i doświadczenia w zakresie prowadzenia działań związanych z modelowaniem i symulacją. Należy ustanowić, utrzymywać i dokumentować następujące procesy:
|
3.2.4.6.2. | Poziom zespołu Po zakończeniu prac nad modelowaniem i symulacją ich wiarygodność zależy głównie od umiejętności i wiedzy pracownika/zespołu, który będzie walidował łańcuch narzędzi modelowania i symulacji oraz wykorzystywał modelowanie i symulację do walidacji ADS. Wiarygodność uzyskuje się poprzez udokumentowanie, że zespoły te przeszły odpowiednie szkolenie, aby mogły wypełniać swoje obowiązki. Producent musi następnie:
Podstawą tego ustalenia będzie wykazanie przez producenta, w jaki sposób stosuje on zasady normy ISO 9001 lub podobnej najlepszej praktyki lub normy w celu zapewnienia - swojej organizacji oraz pracownikom w tej organizacji - kompetencji związanej z modelowaniem i symulacją. Organ udzielający homologacji typu nie może zastępować swojej opinii na temat doświadczenia i wiedzy fachowej organizacji lub jej członków opinią producenta. |
3.2.5. | Historia danych/informacji wejściowych |
3.2.5.1. | Historia danych/informacji wejściowych zawiera zapis identyfikowalności danych producenta użytych do walidacji modelowania i symulacji. |
3.2.5.2. | Opis danych wykorzystanych do modelowania i symulacji
|
3.2.5.3. | Wpływ jakości danych (np. zakres danych, relacja sygnału do zakłóceń oraz niepewność/błędy/częstotliwość próbkowania czujników) na niepewność parametrów modelu. Jakość danych wykorzystanych do opracowania modelu będzie miała wpływ na oszacowanie i kalibrację parametrów modelu. Niepewność parametrów modelu będzie kolejnym ważnym aspektem w końcowej analizie niepewności. |
3.2.6. | Historia danych/informacji wyjściowych |
3.2.6.1. | Historia danych/informacji wyjściowych zawiera zapis wyników modelowania i symulacji wykorzystanych do walidacji ADS. |
3.2.6.2. | Opis danych wygenerowanych przez modelowanie i symulację
|
3.2.6.3. | Wpływ jakości danych na wiarygodność modelowania i symulacji
|
3.2.6.4. | Zarządzanie modelami stochastycznymi
|
3.3. | Analiza i opis modelowania i symulacji |
3.3.1. | Analiza i opis modelowania i symulacji mają na celu zdefiniowanie całego systemu modelowania i symulacji oraz określenie przestrzeni parametrów, które można ocenić za pomocą badania wirtualnego. Określają zakres i ograniczenia modeli i łańcucha narzędzi oraz źródła niepewności, które mogą mieć wpływ na wyniki. |
3.3.2. | Opis ogólny |
3.3.2.1. | Producent zapewnia opis kompletnego łańcucha narzędzi wraz z opisem sposobów wykorzystania danych symulacyjnych do wsparcia strategii walidacji ADS. |
3.3.2.2. | Producent zapewnia jasny opis celu badania. |
3.3.3. | Założenia, znane ograniczenia i źródła niepewności |
3.3.3.1. | Producent musi uzasadnić założenia modelowania, na których został oparty projekt łańcucha narzędzi modelowania i symulacji. |
3.3.3.2. | Producent musi przedstawić dowody dotyczące:
|
3.3.3.3. | Producent musi przedstawić uzasadnienie potwierdzające, że tolerancja dla korelacji między symulacją a rzeczywistością jest dopuszczalna dla celu badania. |
3.3.3.4. | Ponadto niniejsza sekcja zawiera informacje na temat źródeł niepewności w modelu. Będzie to stanowić ważny wkład w końcową analizę niepewności, która określi, w jaki sposób poszczególne źródła niepewności zastosowanego modelu mogą wpływać na dane wyjściowe modelu. |
3.3.4. | Zakres (w jaki sposób modelowanie i symulacja są wykorzystywane w walidacji ADS). |
3.3.4.1. | Wiarygodność narzędzia wirtualnego należy zapewnić dzięki jasno określonemu zakresowi wykorzystania opracowanych modeli. |
3.3.4.2. | Dojrzałe modelowanie i symulacja muszą umożliwiać wirtualizację zjawisk fizycznych z dokładnością odpowiadającą poziomowi wierności wymaganemu do certyfikacji. W ten sposób modelowanie i symulacja będą funkcjonować jako "wirtualny poligon doświadczalny" do badania ADS. |
3.3.4.3. | Modele symulacyjne wymagają specjalnych scenariuszy i wskaźników do celów walidacji. Wybór scenariuszy używanych do walidacji musi być wystarczający, tak aby łańcuch narzędzi działał w ten sam sposób w scenariuszach spoza zakresu walidacji. |
3.3.4.4. | Producent musi dostarczyć listę scenariuszy walidacji wraz z ograniczeniami odpowiednich parametrów. |
3.3.4.5. | Z analizy projektowanego zakresu operacyjnego pochodzą kluczowe dane wyjściowe dla określenia wymagań, zakresu i skutków, które należy uwzględnić w modelowaniu i symulacji w celu wsparcia walidacji ADS. |
3.3.4.6. | Parametry generowane dla scenariuszy będą określać dane zewnętrzne i wewnętrzne dla łańcucha narzędzi i modeli symulacyjnych. |
3.3.5. | Ocena krytyczności |
3.3.5.1. | Należy przebadać modele symulacyjne i narzędzia symulacyjne stosowane w całym łańcuchu narzędzi pod kątem ich odpowiedzialności w przypadku wystąpienia błędu bezpieczeństwa w produkcie końcowym. Proponowane podejście do analizy krytyczności wynika z normy ISO 26262, która wymaga kwalifikacji niektórych narzędzi wykorzystywanych w procesie opracowywania. |
3.3.5.2. | W celu określenia poziomu krytyczności symulowanych danych w ocenie krytyczności należy uwzględnić następujące parametry:
|
3.3.5.3. | Z punktu widzenia oceny krytyczności trzy przypadki, które można poddać ocenie, to:
|
3.4. | Weryfikacja |
3.4.1. | Weryfikacja modelowania i symulacji polega na analizie poprawności wdrożenia modeli konceptualnych/matematycznych tworzących łańcuch narzędzi modelowania i symulacji. Weryfikacja przyczynia się do wiarygodności modelowania i symulacji, dając pewność, że nie będą one wykazywały nierealistycznych zachowań w przypadku zestawu danych wejściowych, których nie można zbadać. Procedura opiera się na podejściu wieloetapowym, obejmującym weryfikację kodu, weryfikację obliczeń i analizę wrażliwości. |
3.4.2. | Weryfikacja kodu |
3.4.2.1. | Weryfikacja kodu obejmuje badania wykazujące, że żadne błędy numeryczne/logiczne nie mają wpływu na modele wirtualne. |
3.4.2.2. | Producent musi udokumentować zastosowanie odpowiednich technik weryfikacji kodu, np. statycznej/dynamicznej weryfikacji kodu, analizy zbieżności, a w stosownych przypadkach porównania z dokładnymi rozwiązaniami. |
3.4.2.3. | Producent musi przedstawić dokumentację wykazującą, że eksploracja domeny parametrów wejściowych była wystarczająco szeroka, aby zidentyfikować kombinacje parametrów, dla których modelowanie i symulacja wykazują niestabilne lub nierealistyczne zachowania. Można wykorzystać wskaźniki zakresu kombinacji parametrów do zademonstrowania wymaganej eksploracji zachowań modeli. |
3.4.2.4. | Producent musi stosować procedury kontroli poprawności/spójności, jeżeli dane na to pozwalają. |
3.4.3. | Weryfikacja obliczeń |
3.4.3.1. | W ramach weryfikacji obliczeń szacowane są błędy numeryczne mające wpływ na modelowanie i symulację. |
3.4.3.2. | Producent musi udokumentować szacunki dotyczące błędów numerycznych (np. błąd dyskretyzacji, błąd zaokrąglenia, zbieżność procedur iteracyjnych). |
3.4.3.3. | Błędy numeryczne muszą być na tyle ograniczone, aby nie wpływały na walidację. |
3.4.4. | Analiza wrażliwości |
3.4.4.1. | Analiza wrażliwości ma na celu ilościowe określenie, w jaki sposób zmiany wartości wejściowych modelu wpływają na wartości wyjściowe modelu, a tym samym zidentyfikowanie parametrów mających największy wpływ na wyniki modelu symulacyjnego. Badanie wrażliwości pomaga także określić, w jakim stopniu model symulacyjny osiąga progi walidacji, gdy poddawany jest niewielkim zmianom parametrów. Ma to zatem zasadnicze znaczenie dla potwierdzenia wiarygodności wyników symulacji. |
3.4.4.2. | Producent musi dostarczyć dokumentację pomocniczą, która dowodzi, że najbardziej krytyczne parametry wpływające na wynik symulacji zostały zidentyfikowane za pomocą technik analizy wrażliwości, takich jak zastosowanie perturbacji parametrów modelu. |
3.4.4.3. | Producent wykazuje, że podczas identyfikacji i kalibracji najbardziej krytycznych parametrów przyjęto rzetelne procedury kalibracji w celu zwiększenia wiarygodności opracowanego łańcucha narzędzi. |
3.4.4.4. | Ostatecznie wyniki analizy wrażliwości pomogą również w określeniu danych wejściowych i parametrów, których charakterystyka niepewności wymaga szczególnej uwagi w celu właściwego określenia niepewności wyników symulacji. |
3.4.5. | Walidacja |
3.4.5.1. | Ilościowy proces określania stopnia, w jakim model lub symulacja jest dokładnym odwzorowaniem świata rzeczywistego z punktu widzenia zamierzonych zastosowań modelowania i symulacji, wymaga selekcji i zdefiniowania szeregu elementów. |
3.4.5.2. | Miary efektywności (wskaźniki) |
3.4.5.2.1. | Miary efektywności to wskaźniki używane do porównania modelu symulacyjnego ze światem rzeczywistym. Miary efektywności są określane podczas analizy modelowania i symulacji. |
3.4.5.2.2. | Wskaźniki do walidacji mogą obejmować:
|
3.4.5.3. | Miary dobroci dopasowania |
3.4.5.3.1. | Ramy analityczne są wykorzystywane do porównywania wskaźników rzeczywistych i symulacyjnych. Są to na ogół kluczowe wskaźniki skuteczności działania wskazujące statystyczną porównywalność dwóch zestawów danych. |
3.4.5.3.2. | Walidacja wykazuje, że te kluczowe wskaźniki skuteczności działania są osiągnięte. |
3.4.5.4. | Metoda walidacji |
3.4.5.4.1. | Producent określa logiczne scenariusze wykorzystane do walidacji łańcucha narzędzi do badania wirtualnego. Muszą one być w stanie w jak największym stopniu pokryć projektowany zakres operacyjny badania wirtualnego do celów walidacji ADS. |
3.4.5.4.2. | Dokładna metoda zależy od struktury i przeznaczenia łańcucha narzędzi. Walidacja może obejmować co najmniej jeden z następujących elementów:
|
3.4.5.5. | Wymóg w zakresie dokładności |
3.4.5.5.1. | Wymóg dotyczący progu korelacji określany jest podczas analizy modelowania i symulacji. Walidacja musi wykazać, że osiągnięte są kluczowe wskaźniki efektywności określone w pkt 3.4.5.3.1 niniejszej części. |
3.4.5.6. | Zakres walidacji (część łańcucha narzędzi, która ma zostać poddana walidacji) |
3.4.5.6.1. | Łańcuch narzędzi składa się z wielu narzędzi, a każde narzędzie wykorzystuje pewną liczbę modeli. Zakres walidacji obejmuje wszystkie narzędzia i odpowiednie modele podlegające walidacji. |
3.4.5.7. | Wyniki walidacji wewnętrznej |
3.4.5.7.1. | Dokumentacja musi nie tylko przedstawiać dowody walidacji modelu symulacyjnego, ale także być wykorzystywana do uzyskania wystarczających informacji o procesach i produktach, które zapewnią ogólną wiarygodność zastosowanego łańcucha narzędzi. |
3.4.5.7.2. | Można przenieść dokumentację/wyniki z poprzednich ocen wiarygodności. |
3.4.5.8. | Niezależna walidacja wyników |
3.4.5.8.1. | Organ udzielający homologacji typu ocenia dokumentację dostarczoną przez producenta i może przeprowadzać badania fizyczne całego zintegrowanego narzędzia. |
3.4.5.9. | Charakterystyka niepewności |
3.4.5.9.1. | Niniejsza sekcja zawiera charakterystykę oczekiwanej zmienności wyników wirtualnego łańcucha narzędzi. Ocena składa się z dwóch etapów. W pierwszej fazie informacje zebrane w sekcji dotyczącej analizy i opisu modelowania i symulacji oraz w sekcji dotyczącej pochodzenia danych/wartości wejściowych są wykorzystywane do określenia niepewności danych wejściowych, parametrów modelu i struktury modelowania. Następnie poprzez propagację wszystkich niepewności w wirtualnym łańcuchu narzędzi mierzona jest niepewność wyników modelu. W zależności od niepewności wyników modelu producent będzie musiał wprowadzić odpowiednie marginesy bezpieczeństwa podczas wykorzystywania badań wirtualnych do celów walidacji ADS. |
3.4.5.9.2. | Charakterystyka niepewności danych wejściowych Producent musi wykazać, że odpowiednio oszacował dane wejściowe modelu krytycznego za pomocą rzetelnych technik, takich jak wielokrotne powtórzenia służące ocenie ilości. |
3.4.5.9.3. | Charakterystyka niepewności parametrów modelu (po kalibracji) Producent musi wykazać, że parametry modelu krytycznego, których nie można oszacować w sposób identyczny, są określane za pomocą rozkładu lub przedziałów ufności. |
3.4.5.9.4. | Charakterystyka niepewności struktury modelowania i symulacji Producent musi przedstawić dowody na to, że założenia modelowania zostały scharakteryzowane ilościowo pod względem generowanej niepewności (np. porównując dane wyjściowe z różnych podejść modelowych, gdy tylko jest to możliwe). |
3.4.5.9.5. | Charakterystyka niepewności aleatorycznej i epistemicznej Producent musi dążyć do rozróżnienia między aleatorycznym składnikiem niepewności (który można jedynie oszacować, ale nie można go zredukować) a niepewnością epistemiczną wynikającą z braku wiedzy w wirtualizacji procesu (którą z kolei można zredukować). |
4. Struktura dokumentacji
4.1. | W niniejszej sekcji określono sposób gromadzenia i organizacji powyższych informacji w dokumentacji przekazywanej przez producenta odpowiednim organom. |
4.2. | Producent musi przygotować dokument ("podręcznik symulacji") o strukturze zgodnej z niniejszym schematem, aby przedstawić dowody dotyczące przedstawionych tematów. |
4.3. | Dokumentacja musi być dostarczona wraz z odpowiednią informacją o modelowaniu i symulacji oraz powiązanymi danymi, które zostały pozyskane. |
4.4. | Producent musi przedstawić wyraźne odniesienia umożliwiające prześledzenie ścieżki dokumentacji do odpowiedniego modelowania i symulacji/danych. |
4.5. | Dokumentacja musi być przechowywana przez cały cykl wykorzystywania modelowania i symulacji. Organ udzielający homologacji typu może przeprowadzić audyt u producenta, oceniając jego dokumentację lub wykonując badania fizyczne. |
CZĘŚĆ 5
SPRAWOZDAWCZOŚĆ EKSPLOATACYJNA
1. Definicje
Do celów niniejszego załącznika:
1.1. | "zdarzenie" oznacza sytuację związaną z bezpieczeństwem, w której uczestniczy pojazd wyposażony w system zautomatyzowanej jazdy; |
1.2. | "zdarzenie niekrytyczne" oznacza zdarzenie związane z przerwą w działaniu, wadą, błędem lub innymi okolicznościami, które ma lub mogło mieć wpływ na bezpieczeństwo ADS i które nie doprowadziło do wypadku ani poważnego incydentu. Kategoria ta obejmuje np. drobne incydenty, obniżenie poziomu bezpieczeństwa, które nie uniemożliwia działania normalnego, manewry awaryjne lub skomplikowane manewry mające na celu zapobieżenie zderzeniu oraz, bardziej ogólnie, wszystkie zdarzenia związane ze skutecznością działania ADS w ruchu drogowym w zakresie bezpieczeństwa (interakcja z operatorem interwencji zdalnej itp.); |
1.3. | "zdarzenie krytyczne" oznacza każde zdarzenie, w którym ADS jest zaangażowany w momencie zderzenia i z powodu którego:
|
2. Powiadomienia i sprawozdawczość producenta
2.1. | Producent niezwłocznie powiadamia organy udzielające homologacji typu, organy nadzoru rynku i Komisję o zdarzeniach krytycznych związanych z bezpieczeństwem. |
2.2. | Producent musi w ciągu miesiąca zgłosić organom udzielającym homologacji typu, organom nadzoru rynku i Komisji wszelkie krótkotrwałe zdarzenia opisane w dodatku 1, którym ma zaradzić. |
2.3. | Producent co roku składa organowi udzielającemu homologacji typu, który udzielił homologacji, sprawozdanie dotyczące zdarzeń wymienionych w dodatku 1. Sprawozdanie musi zawierać dowody skuteczności działania ADS w odniesieniu do zdarzeń istotnych dla bezpieczeństwa w terenie. W szczególności musi wykazać, że:
Organ udzielający homologacji typu przekazuje te informacje organom udzielającym homologacji typu, organom nadzoru rynku i Komisji. |
2.4. | Organy udzielające homologacji typu, organy nadzoru rynku i Komisja mogą zażądać od producenta danych pomocniczych wykorzystywanych do opracowania informacji przedstawianych w ramach sprawozdawczości eksploatacyjnej i powiadomieniach dotyczących eksploatacji. Dane te należy wymieniać za pośrednictwem uzgodnionego pliku wymiany danych. Organy udzielające homologacji typu, organy nadzoru rynku i Komisja podejmują wszelkie niezbędne kroki w celu zabezpieczenia takich danych. |
2.5. | O każdym wstępnym przetwarzaniu danych należy powiadomić organ udzielający homologacji typu w sprawozdaniu na temat danych eksploatacyjnych. Dodatek 1 Wykaz zdarzeń na potrzeby sprawozdawczości eksploatacyjnej Zdarzenia te zostały podzielone na cztery kategorie w oparciu o ich znaczenie dla DDT, interakcji z użytkownikami pojazdów w pełni zautomatyzowanych oraz warunków technicznych ADS. W poniższej tabeli zaznaczono znaczenie każdego zdarzenia dla sprawozdawczości krótkoterminowej lub okresowej. Oczekuje się, że sprawozdania okresowe o zdarzeniach będą przekazywane w formie danych zagregowanych (w przeliczeniu na godziny działania lub przejechane kilometry) dla typu pojazdu wyposażonego w ADS i w odniesieniu do działania ADS (tj. kiedy system zautomatyzowanej jazdy jest uruchomiony).
|
(1) ECE/TRANS/WP.29/2022/59/Rev.1.
(2) Zob. s. 1 niniejszego Dziennika Urzędowego.
ZAŁĄCZNIK IV
Świadectwo homologacji typu UE (układ pojazdu)
Zawiadomienie dotyczące udzielenia/rozszerzenia/odmowy/cofnięcia (1) homologacji typu pojazdu w pełni zautomatyzowanego w odniesieniu do jego systemu zautomatyzowanej jazdy (ADS) zgodnie z wymogami określonymi w rozporządzeniu wykonawczym (UE) 2022/1426, ostatnio zmienionym rozporządzeniem (UE) …/….
Numer świadectwa homologacji typu UE:
Powód rozszerzenia/odmowy/cofnięcia (1):
SEKCJA I
0.1. | Marka (nazwa handlowa producenta): |
0.2. | Typ: |
0.2.1. | Nazwa(-y) handlowa(-e) (o ile występuje(-ą)): |
0.3. | Sposób identyfikacji typu, jeżeli oznaczono na pojeździe: |
0.3.1. | Umiejscowienie tego oznakowania: |
0.4. | Kategoria pojazdu: |
0.5. | Nazwa i adres producenta: |
0.8. | Nazwy i adresy zakładów montażowych: |
0.9. | Nazwa i adres przedstawiciela producenta (jeżeli istnieje): |
SEKCJA II
1. | Informacje dodatkowe (jeżeli dotyczy): zob. addendum. |
2. | Upoważniona placówka techniczna odpowiedzialna za przeprowadzenie badań: |
3. | Data sprawozdania z badania: |
4. | Numer sprawozdania z badania: |
5. | Ewentualne uwagi: zob. addendum. |
6. | Miejscowość: |
7. | Data: |
8. | Podpis: |
Addendum
do świadectwa homologacji typu UE nr
1.
Opis lub rysunek ADS uwzględniające:
1.1.
Projektowany zakres operacyjny, granice systemu i określoną prędkość maksymalną dla ADS zadeklarowane przez producenta:
1.2.
Opis głównych funkcji ADS
1.2.1.
Funkcje wewnątrz pojazdu
1.2.2.
Funkcje zewnętrzne pojazdu (np. system zaplecza, potrzebna infrastruktura zewnętrzna, potrzebne środki operacyjne)
1.3.
Układ czujników (w tym komponenty):
1.4.
Montaż układu czujników ADS:
1.5.
Oznakowanie oprogramowania ADS:
2.
Pisemny opis lub rysunek przedstawiający nadzór nad ADS ze strony człowieka
2.1.
Operator interwencji zdalnej i zdalne interwencje dotyczące ADS
2.2.
Środki służące do aktywacji i dezaktywacji ADS
2.3.
Monitorowanie we wnętrzu pojazdu
2.4.
Wszelkie ograniczenia systemu wynikające z warunków środowiskowych lub drogowych
3.
Pisemny opis lub rysunek przedstawiający informacje udzielane osobom znajdującym się w pojeździe i innym użytkownikom drogi
3.1.
Status systemu:
3.2.
Żądanie skierowane do operatora pokładowego/operatora interwencji zdalnej:
3.3.
Manewr minimalizujący ryzyko:
3.4.
Manewr awaryjny:
4.
Elementy danych ADS
4.1.
Elementy danych ADS zweryfikowane po badaniach przeprowadzonych zgodnie z załącznikiem III część 3:
4.2.
Dokumentacja dotycząca wyszukiwalności danych, samokontroli integralności danych i ochrony przed manipulacją przechowywanych danych: tak/nie
5.
Cyberbezpieczeństwo i aktualizacje oprogramowania
5.1.
Numer homologacji typu w odniesieniu do cyberbezpieczeństwa:
5.2.
Numer homologacji typu w odniesieniu do aktualizacji oprogramowania:
6.
Ocena aspektów bezpieczeństwa funkcjonalnego i operacyjnego systemu zautomatyzowanej jazdy
6.1.
Numer referencyjny dokumentacji producenta do oceny (w tym nr wersji):
6.2.
Dokument informacyjny
7.
Upoważniona placówka techniczna odpowiedzialna za przeprowadzanie badań homologacyjnych
7.1.
Data sprawozdania z badania wydanego przez tę placówkę:
7.2.
Numer (referencyjny) sprawozdania sporządzonego przez tę placówkę:
8.
Załączniki Addendum 1: | Dokument informacyjny dotyczący systemu zautomatyzowanej jazdy (zob. załącznik I do rozporządzenia wykonawczego (UE) 2022/1426). |
Addendum 2: | Państwa członkowskie i określone obszary, w których producent zadeklarował przeprowadzenie oceny ADS pod kątem zgodności z lokalnymi przepisami ruchu drogowego. Wykaz dokumentów składających się na dokumentację homologacyjną, które złożono służbom administracyjnym udzielającym homologacji i które można uzyskać na żądanie. |
Addendum 3: | Sprawozdanie oceniające ADS/wyniki badań przeprowadzonych przez organ udzielający homologacji typu. |
Addendum 4: | Świadectwo zgodności dla systemu zarządzania bezpieczeństwem. |
(1) Niepotrzebne skreślić.