(EU) 2022/1426Prováděcí nařízení Komise (EU) 2022/1426 ze dne 5. srpna 2022, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) 2019/2144, pokud jde o jednotné postupy a technické specifikace pro schvalování typu automatizovaného systému řízení (ADS) plně automatizovaných vozidel (Text s významem pro EHP)
| Publikováno: | Úř. věst. L 221, 26.8.2022, s. 1-64 | Druh předpisu: | Prováděcí nařízení |
| Přijato: | 5. srpna 2022 | Autor předpisu: | Evropská komise |
| Platnost od: | 15. září 2022 | Nabývá účinnosti: | 15. září 2022 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.
|
26.8.2022 |
CS |
Úřední věstník Evropské unie |
L 221/1 |
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2022/1426
ze dne 5. srpna 2022,
kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) 2019/2144, pokud jde o jednotné postupy a technické specifikace pro schvalování typu automatizovaného systému řízení (ADS) plně automatizovaných vozidel
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2019/2144 ze dne 27. listopadu 2019 o požadavcích pro schvalování typu motorových vozidel a jejich přípojných vozidel a systémů, konstrukčních částí a samostatných technických celků určených pro tato vozidla z hlediska obecné bezpečnosti a ochrany cestujících ve vozidle a zranitelných účastníků silničního provozu, o změně nařízení Evropského parlamentu a Rady (EU) 2018/858 a o zrušení nařízení Evropského parlamentu a Rady (ES) č. 78/2009, (ES) č. 79/2009 a (ES) č. 661/2009 a nařízení Komise (ES) č. 631/2009, (EU) č. 406/2010, (EU) č. 672/2010, (EU) č. 1003/2010, (EU) č. 1005/2010, (EU) č. 1008/2010, (EU) č. 1009/2010, (EU) č. 19/2011, (EU) č. 109/2011, (EU) č. 458/2011, (EU) č. 65/2012, (EU) č. 130/2012, (EU) č. 347/2012, (EU) č. 351/2012, (EU) č. 1230/2012 a (EU) 2015/166 (1), a zejména na čl. 11 odst. 2 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Je nezbytné přijmout prováděcí právní předpisy pro schvalování typu systému automatizovaného řízení plně automatizovaných vozidel, zejména systémů uvedených v čl. 11 odst. 1 písm. a), b), d) a f) nařízení (EU) 2019/2144. Systémy monitorování dostupnosti řidiče by se neměly vztahovat na plně automatizovaná vozidla v souladu s čl. 11 odst. 1 nařízení (EU) 2019/2144. Harmonizovaný formát pro výměnu dat, například při jízdě vozidel různých značek v konvoji, navíc stále podléhá normalizačním činnostem a v této fázi nebude do tohoto nařízení zahrnut. Toto nařízení by se nemělo vztahovat na schvalování automatizovaných systémů řízení automatizovaných vozidel vzhledem k záměru pokrýt je odkazem na předpis OSN č. 157 o automatizovaném udržování vozidla v jízdním pruhu (2) v příloze I nařízení (EU) 2019/2144, v němž jsou uvedeny předpisy OSN, které se v EU povinně uplatňují. |
|
(2) |
V případě schvalování typu vozidla u plně automatizovaných vozidel by mělo být schválení typu jejich automatizovaného systému řízení podle tohoto nařízení doplněno požadavky stanovenými v příloze II části I dodatku 1 nařízení Evropského parlamentu a Rady (EU) 2018/858 (3). V další fázi bude Komise dále pracovat na vývoji nezbytných požadavků pro EU schválení typu vozidla jako celku u plně automatizovaných vozidel vyráběných v neomezených sériích a tyto požadavky hodlá přijmout do července 2024. |
|
(3) |
Posouzení automatizovaného systému řízení plně automatizovaných vozidel, které je navrženo v tomto předpise, se do značné míry opírá o dopravní scénáře vztahující se na různé případy použití plně automatizovaných vozidel. Je proto nezbytné tyto jednotlivé případy použití vymezit. Přezkum těchto případů použití a jejich případná změna s cílem zahrnout další případy použití by se měly provádět pravidelně. |
|
(4) |
Informační dokument uvedený v čl. 24 odst. 1 písm. a) nařízení (EU) 2018/858, který má poskytnout výrobce pro účely schválení typu automatizovaného systému řízení plně automatizovaných vozidel, by měl vycházet ze vzoru stanoveného pro schválení typu vozidla v příloze II prováděcího nařízení Komise (EU) 2020/683 (4). Aby však byl zajištěn jednotný přístup, je nezbytné extrahovat položky informačního dokumentu, které jsou podstatné pro schválení typu automatizovaného systému řízení plně automatizovaného vozidla. |
|
(5) |
Vzhledem ke složitosti automatizovaných systémů řízení je nezbytné doplnit požadavky na výkonnost a zkoušky uvedené v tomto nařízení o dokumentaci výrobce prokazující, že automatizovaný systém řízení během své životnosti a v rámci příslušných scénářů nepředstavuje nepřiměřená bezpečnostní rizika pro cestující ve vozidle a ostatní účastníky silničního provozu. V tomto ohledu je nezbytné stanovit systém řízení bezpečnosti, který mají výrobci zavést, stanovit pro výrobce a orgány parametry, které mají být použity pro dopravní scénáře vztahující se na automatizovaný systém řízení, stanovit kritéria pro posouzení, zda bezpečnostní koncepce výrobce řeší příslušné dopravní scénáře, nebezpečí a rizika, a stanovit kritéria pro posouzení výsledků validace od výrobce, zejména výsledků validace z řetězců simulačních nástrojů. A konečně je třeba specifikovat příslušné údaje o provozu, o nichž musí výrobce podat zprávu schvalovacím orgánům. |
|
(6) |
Certifikát EU schválení typu a doplněk k němu uvedený v čl. 28 odst. 1 nařízení (EU) 2018/858, který se vydá pro systém automatizovaného řízení plně automatizovaných vozidel, by měl vycházet z příslušných vzorů stanovených v příloze III prováděcího nařízení Komise (EU) 2020/683. Pro zajištění jednotného přístupu je však nezbytné extrahovat položky certifikátu EU schválení typu a jeho doplňku, které jsou podstatné pro schválení typu automatizovaného systému řízení plně automatizovaných vozidel. |
|
(7) |
S výhradou ustanovení nařízení 2018/858 a jakýchkoli příslušných právních předpisů EU není tímto nařízením dotčeno právo členských států regulovat nasazení a provozní bezpečnost plně automatizovaných vozidel v provozu a provozní bezpečnost těchto vozidel ve službách místní dopravy. Členské státy nejsou povinny předem vymezit oblasti, trasy nebo parkovací zařízení podle tohoto nařízení. Motorová vozidla, na něž se vztahuje toto nařízení, mohou být provozována pouze v oblasti působnosti článku 1. |
|
(8) |
Opatření stanovená tímto nařízením jsou v souladu se stanoviskem Technického výboru – motorová vozidla, |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
Oblast působnosti
Toto nařízení se vztahuje na schvalování typu plně automatizovaných vozidel kategorie M a N, pokud jde o jejich automatizovaný systém řízení pro následující případy použití:
|
a) |
plně automatizovaná vozidla, včetně vozidel s duálním režimem, navržená a konstruovaná pro přepravu cestujících nebo zboží v předem vymezené oblasti; |
|
b) |
režim „hub-to-hub“: plně automatizovaná vozidla včetně vozidel s duálním režimem navržená a konstruovaná pro přepravu cestujících nebo zboží po předem vymezené trase s pevným počátečním a koncovým bodem cesty/jízdy; |
|
c) |
„automatizované bezobslužné parkování“: vozidlo s duálním režimem s plně automatizovaným jízdním režimem pro parkovací aplikace v rámci předem definovaných parkovacích zařízení. Při provádění dynamické funkce řízení systém může, avšak nemusí využívat externí infrastrukturu (např. lokalizační značky, čidla vnímání atd.) parkovacího zařízení. |
Výrobce může podle tohoto nařízení požádat o schválení jednotlivého automatizovaného systému řízení vozidel nebo o schválení typu tohoto systému vymezené v čl. 2 odst. 3 nařízení (EU) 2018/858 za předpokladu, že tato vozidla splňují požadavky tohoto nařízení.
Článek 2
Definice
Kromě definic uvedených v nařízení (EU) 2018/858 a nařízení (EU) 2019/2144 se pro účely tohoto nařízení použijí tyto definice:
|
1. |
„automatizovaným systémem řízení“ (ADS) se rozumí hardware a software, které jsou společně schopny trvale provádět kompletní dynamickou funkci řízení v rámci konkrétní provozně-konstrukční domény; |
|
2. |
„vlastností systému ADS“ se rozumí aplikace hardwaru a softwaru systému ADS navržená ke konkrétnímu použití v rámci určité provozně-konstrukční domény; |
|
3. |
„funkcí systému ADS“ se rozumí aplikace hardwaru a softwaru systému ADS navržená k výkonu určité části dynamické funkce řízení; |
|
4. |
„dynamickou funkcí řízení“ se rozumí všechny provozní funkce v reálném čase a taktické funkce potřebné k provozu vozidla, s výjimkou strategických funkcí, jako je plánování jízd a výběr cílů a trasových bodů a zahrnující, bez omezení, následující dílčí úkoly:
|
|
5. |
„provozními funkcemi“ dynamické funkce řízení se rozumí funkce prováděné v průběhu časové konstanty v řádu milisekund, které zahrnují úkoly, jako jsou například vstupy do řízení pro udržení v jízdním pruhu nebo brzdění s cílem zabránit vznikajícímu nebezpečí; |
|
6. |
„taktickými funkcemi“ dynamické funkce řízení se rozumí funkce prováděné v průběhu časové konstanty v řádu sekund a zahrnující úkoly, jako je například volba jízdního pruhu, akceptace mezery a předjíždění; |
|
7. |
„vadou“ se rozumí neobvyklé podmínky, které mohou způsobit selhání. To se může týkat hardwaru nebo softwaru; |
|
8. |
„poruchou“ se rozumí situace, kdy se konstrukční část systému ADS nebo celý tento systém přestane chovat předpokládaným způsobem v důsledku projevení vady; |
|
9. |
„monitorováním v průběhu provozu“ se rozumí data shromážděná výrobcem a data z jiných zdrojů za účelem získání důkazů o výkonu systému ADS v oblasti bezpečnosti při provozu v terénu; |
|
10. |
„podáváním zpráv v průběhu provozu“ se rozumí data předaná výrobcem za účelem prokázání bezpečnosti fungování systému ADS při provozu v terénu; |
|
11. |
„dobou životnosti systému ADS“ se rozumí doba, po kterou je systém ADS k dispozici na vozidle; |
|
12. |
„životním cyklem systému ADS“ se rozumí doba sestávající z fází návrhu, vývoje, výroby, provozu v terénu, servisu a vyřazování z provozu; |
|
13. |
„chybným chováním“ se rozumí porucha nebo nezamýšlené chování systému ADS nebo jeho konstrukční části s ohledem na jeho konstrukční záměr; |
|
14. |
„manévrem s minimálním rizikem“ se rozumí manévr zaměřený na minimalizaci rizik v provozu zastavením vozidla v bezpečném stavu (tj. ve stavu minimálního rizika); |
|
15. |
„stavem minimálního rizika“ se rozumí stabilní stav zastaveného vozidla, který snižuje riziko nárazu; |
|
16. |
„provozně-konstrukční doménou“ se rozumí provozní podmínky, za nichž je daný systém ADS specificky navržen tak, aby fungoval, a které zahrnují mimo jiné omezení v oblasti okolního prostředí, geografické situace a denní doby, a/nebo požadovanou přítomnost či nepřítomnost určitých vlastností provozu nebo vozovky; |
|
17. |
„detekcí předmětů a událostí a odezvou“ (OEDR) se rozumí dílčí úkoly dynamické funkce řízení, které zahrnují monitorování prostředí, v němž se vozidlo pohybuje, a provedení vhodné odezvy. Součástí toho je detekce, rozpoznávání a klasifikace předmětů a událostí, příprava odezvy a její provedení podle potřeby. |
|
18. |
„scénářem“ se rozumí posloupnost nebo kombinace situací používaná k posouzení bezpečnostních požadavků na systém ADS. |
|
19. |
„nominálními dopravními scénáři“ se rozumí důvodně předvídatelné situace, s nimiž se systém ADS může při fungování v rámci své provozně-konstrukční domény setkat. Tyto scénáře představují nekritické interakce systému ADS s ostatními účastníky provozu a generují normální provoz systému ADS; |
|
20. |
„scénáři s kritickými komplikacemi“ se rozumí scénáře týkající se okrajových případů (např. neočekávané podmínky s výjimečně nízkou pravděpodobností výskytu) a provozních nedostatků, které nejsou omezeny pouze na dopravní podmínky, ale zahrnují rovněž podmínky vnějšího prostředí (např. silný déšť nebo nízké sluneční světlo oslňující kamery), lidský faktor, konektivitu a nesprávnou komunikaci vedoucí ke spuštění nouzového provozu systému ADS; |
|
21. |
„poruchovými scénáři“ se rozumí scénáře týkající se selhání systému ADS a/nebo konstrukčních částí vozidla, které mohou vést k běžnému nebo nouzovému provozu ADS v závislosti na tom, zda je zachována minimální úroveň bezpečnosti; |
|
22. |
„běžným provozem“ se rozumí provoz systému ADS v rámci stanovených provozních limitů a podmínek pro výkon navržené činnosti; |
|
23. |
„nouzovým provozem“ se rozumí provoz systému ADS způsobený výskytem událostí vyžadujících okamžitá opatření ke zmírnění nepříznivých důsledků pro lidské zdraví nebo škod na majetku; |
|
24. |
„palubní obsluhou“ se v případech, kdy to z hlediska koncepce bezpečnosti systému ADS připadá v úvahu, rozumí osoba nacházející se uvnitř plně automatizovaného vozidla, která může:
Ve výše uvedených situacích nesmí palubní obsluha plně automatizované vozidlo řídit a systém ADS musí i nadále vykonávat dynamickou funkci řízení; |
|
25. |
„obsluhou dálkového zásahu“ se v případech, kdy to z hlediska koncepce bezpečnosti systému ADS připadá v úvahu, rozumí osoba (osoby) nacházející se mimo plně automatizované vozidlo, která (které) může (mohou), pokud je to bezpečné, na dálku plnit úkoly palubní obsluhy. Obsluha dálkového zásahu nesmí plně automatizované vozidlo řídit a systém ADS musí i nadále vykonávat dynamickou funkci řízení; |
|
26. |
„možnostmi ovládání na dálku“ se rozumí možnosti navržené speciálně na podporu dálkového zásahu; |
|
27. |
„softwarovým identifikačním číslem pro účely předpisu R2022/1426 (R2022/1426SWIN)“ se rozumí specifický identifikátor definovaný výrobcem představující informace o softwaru systému ADS, který se řadí k vlastnostem vozidla pro účely schválení typu systému ADS; |
|
28. |
„nepřiměřeným rizikem“ se rozumí celková úroveň rizika pro cestující ve vozidle a ostatní účastníky silničního provozu, která je vyšší než u manuálně řízeného vozidla ve srovnatelných dopravních službách a situacích v rámci dané provozně-konstrukční domény; |
|
29. |
„funkční bezpečností“ se rozumí neexistence nepřiměřených rizik, hrozí-li nebezpečí v důsledku chybného chování; |
|
30. |
„provozní bezpečností“ se rozumí neexistence nepřiměřeného rizika, hrozí-li nebezpečí v důsledku funkčních nedostatků zamýšlené funkce (např. špatná/zmeškaná detekce), provozních komplikací (např. podmínek vytvářených prostředím, jako je mlha, déšť, stíny, sluneční světlo, nebo infrastrukturou) nebo důvodně předvídatelného nesprávného použití/chyby ze strany cestujících ve vozidle a ostatních účastníků silničního provozu (tj. bezpečnostní rizika – bez vad systému); |
|
31. |
„strategií řízení“ se rozumí strategie k zajištění spolehlivého a bezpečného provozu systému ADS v reakci na konkrétní soubor okolních a/nebo provozních podmínek (jako je stav povrchu vozovky, ostatní účastníci silničního provozu, nepříznivé povětrnostní podmínky, bezprostřední riziko srážky, selhání, dosažení mezí provozně-konstrukční domény atd.). To může zahrnovat dočasné omezení výkonu (např. snížení maximální provozní rychlosti atd.), manévry s minimálním rizikem, předcházení srážce nebo její zmírnění, dálkový zásah atd.; |
|
32. |
„dobou do srážky“ (TTC) se rozumí doba, která uplyne do srážky zúčastněných vozidel/objektů/subjektů, pokud by se nezměnila jejich rychlost a byla by vzata v úvahu jejich dráha. U čistě podélných situací s konstantními rychlostmi, není-li v textu uvedeno jinak, se TTC vypočte vydělením podélné vzdálenosti (ve směru jízdy zkoušeného vozidla) mezi zkoušeným vozidlem a ostatními vozidly/objekty/subjekty podélnou relativní rychlostí zkoušeného vozidla a ostatních vozidel/objektů/subjektů. U situací čistého přejíždění s konstantními rychlostmi, není-li v textu uvedeno jinak, se TTC vypočte vydělením podélné vzdálenosti mezi zkoušeným vozidlem a příčnou dráhou pohybu ostatních vozidel/objektů/subjektů podélnou rychlosti zkoušeného vozidla; |
|
33. |
„typem vozidla z hlediska systému ADS“ se rozumí plně automatizovaná vozidla, která se neliší v zásadních hlediscích, jako jsou:
|
|
34. |
„vozidly s duálním režimem“ se rozumí plně automatizovaná vozidla se sedadlem pro řidiče navržená a vyrobená tak, aby umožňovala:
U vozidel s duálním režimem se může předání řízení mezi manuálním jízdním režimem a plně automatizovaným režimem, jakož i předání řízení mezi plně automatizovaným režimem a manuálním režimem uskutečnit, pouze když vozidlo stojí, nikoli když se pohybuje. |
|
35. |
„provozovatelem služeb přepravy“ se rozumí subjekt, který poskytuje služby přepravy pomocí jednoho nebo více plně automatizovaných vozidel. |
Článek 3
Správní ustanovení a technické specifikace pro schvalování typu automatizovaného systému řízení plně automatizovaných vozidel
1. Příslušné položky informačního dokumentu předloženého v souladu s čl. 24 odst. 1 písm. a) nařízení (EU) 2018/858 s žádostí o schválení typu automatizovaného systému řízení plně automatizovaných vozidel musí obsahovat informace týkající se uvedeného systému, které obsahuje příloha I.
2. Schvalování typu automatizovaných systémů řízení plně automatizovaných vozidel podléhá technickým specifikacím stanoveným v příloze II. Tyto specifikace posuzují schvalovací orgány nebo jejich technické zkušebny v souladu s přílohou III.
3. Certifikát EU schválení typu pro automatizované systémy řízení plně automatizovaných vozidel uvedený v čl. 28 odst. 1 nařízení (EU) 2018/858 se vypracuje v souladu s přílohou IV.
Článek 4
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 5. srpna 2022.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 325, 16.12.2019, s. 1.
(2) Úř. věst. L 82, 9.3.2021, s. 75.
(3) Nařízení Evropského parlamentu a Rady (EU) 2018/858 ze dne 30. května 2018 o schvalování motorových vozidel a jejich přípojných vozidel, jakož i systémů, konstrukčních částí a samostatných technických celků určených pro tato vozidla a o dozoru nad trhem s nimi, o změně nařízení (ES) č. 715/2007 a č. 595/2009 a o zrušení směrnice 2007/46/ES (Úř. věst. L 151, 14.6.2018, s. 1).
(4) Prováděcí nařízení Komise (EU) 2020/683 ze dne 15. dubna 2020, kterým se provádí nařízení Evropského parlamentu a Rady (EU) 2018/858, pokud jde o správní požadavky na schvalování motorových vozidel a jejich přípojných vozidel, jakož i systémů, konstrukčních částí a samostatných technických celků určených pro tato vozidla, a na dozor nad trhem s nimi (Úř. věst. L 163, 26.5.2020, s. 1).
PŘÍLOHA I
Informační dokument pro EU schválení typu plně automatizovaných vozidel, pokud jde o jejich automatizované systémy řízení
VZOR
Informační dokument č. … pro EU schválení typu plně automatizovaného vozidla, pokud jde o automatizovaný systém řízení (ADS).
Následující informace se spolu se soupisem obsahu předkládají v trojím vyhotovení. Předkládají-li se výkresy nebo obrázky, musí být dodány ve vhodném měřítku a s dostatečnými podrobnostmi na archu formátu A4, nebo musí být na tento formát složeny. Předkládají-li se fotografie, musí být dostatečně podrobné.
|
0. |
OBECNĚ |
|
0.1 |
Značka (obchodní název výrobce): |
|
0.2 |
Typ: |
|
0.2.1 |
Obchodní označení (je-li/jsou-li k dispozici): |
|
0.2.2 |
V případě vozidel s vícestupňovým schválením – informace o schválení typu vozidla základního/předchozího stupně, uveďte informace pro každý stupeň. (To lze provést pomocí tabulky)
Typ: Varianta (varianty): Verze: Číslo certifikátu schválení typu včetně čísla rozšíření… |
|
0.3 |
Způsob označení typu, je-li na vozidle/konstrukční části/samostatném technickém celku vyznačen: |
|
0.3.1 |
Umístění tohoto označení: |
|
0.4 |
Kategorie vozidla: |
|
0.5 |
Název společnosti a adresa výrobce: |
|
0.5.1 |
V případě vozidel s vícestupňovým schválením název společnosti a adresa výrobce vozidla základního/předchozího stupně (stupňů): … |
|
0.6 |
Umístění a způsob připevnění povinných štítků a umístění identifikačního čísla vozidla: … |
|
0.6.1 |
Na podvozku: … |
|
0.6.2 |
Na karoserii: … |
|
0.8 |
Název (názvy) a adresa (adresy) montážního závodu (závodů): |
|
0.9 |
Název a adresa případného zástupce výrobce: |
|
17. |
AUTOMATIZOVANÝ SYSTÉM ŘÍZENÍ (ADS) |
|
17.1 |
Obecný popis ADS |
|
17.1.1 |
Provozně-konstrukční doména/mezní podmínky |
|
17.1.2 |
Základní vlastnosti (např. detekce předmětů a událostí a odezva, plánování atd.) |
|
17.2 |
Popis funkcí ADS |
|
17.2.1 |
Hlavní funkce ADS (funkční architektura) |
|
17.2.1.1 |
Vnitřní funkce vozidla |
|
17.2.1.2 |
Vnější funkce vozidla (např. záložní zařízení, potřebná vnější infrastruktura, potřebná provozní opatření) |
|
17.3 |
Přehled hlavních konstrukčních částí ADS |
|
17.3.1 |
Řídicí jednotky |
|
17.3.2 |
Čidla a montáž čidel ve vozidle |
|
17.3.3 |
Akční členy |
|
17.3.4 |
Mapy a určování polohy |
|
17.3.5 |
Ostatní hardware |
|
17.4 |
Uspořádání a schéma ADS |
|
17.4.1 |
Schéma uspořádání systému (např. blokové schéma) |
|
17.4.2 |
Seznam a schematický přehled propojení |
|
17.5 |
Specifikace |
|
17.5.1 |
Specifikace při běžném provozu |
|
17.5.2 |
Specifikace při nouzovém provozu |
|
17.5.3 |
Kritéria přijatelnosti |
|
17.5.4 |
Prokázání souladu |
|
17.6 |
Koncepce bezpečnosti |
|
17.6.1 |
Prohlášení výrobce, že vozidlo nepředstavuje nepřiměřené riziko |
|
17.6.2 |
Základní architektura softwaru (např. blokové schéma) |
|
17.6.3 |
Prostředky, jimiž se určuje provedení logiky ADS |
|
17.6.4 |
Obecné vysvětlení hlavních konstrukčních opatření zabudovaných do ADS za účelem zajištění bezpečného provozu při poruchách, provozních výpadcích a při výskytu okolností překračujících meze provozně-konstrukční domény |
|
17.6.5 |
Obecný popis hlavních zásad řešení poruch, strategie fungování v nouzovém režimu včetně strategie zmírňování rizik (manévr s minimálním rizikem) |
|
17.6.6 |
Podmínky pro vyvolání požadavku na palubní obsluhu nebo obsluhu dálkového zásahu |
|
17.6.7 |
Koncepce interakce člověk-stroj s cestujícími ve vozidle, palubní obsluhou a obsluhou dálkového zásahu, včetně ochrany proti snadné neoprávněné aktivaci/použití a proti zásahům |
|
17.7 |
Ověření a validace, pomocí nichž výrobce potvrdí, že jsou splněny požadavky na výkonnost, včetně detekce předmětů a událostí a odezvy (OEDR), rozhraní člověk-stroj (HMI), dodržování pravidel silničního provozu a závěru, že systém je navržen tak, aby nepředstavoval nepřiměřené riziko pro cestující ve vozidle a ostatní účastníky silničního provozu |
|
17.7.1 |
Popis přijatého přístupu |
|
17.7.2 |
Volba nominálních, kritických a poruchových scénářů |
|
17.7.3 |
Popis použitých metod a nástrojů (software, laboratoř, jiné) a souhrn posouzení věrohodnosti |
|
17.7.4 |
Popis výsledků |
|
17.7.5 |
Nejistota výsledků |
|
17.7.6 |
Interpretace výsledků |
|
17.7.7 |
Prohlášení výrobce:
Výrobce (výrobci) … potvrzuje (potvrzují), že systém ADS nepředstavuje nepřiměřené bezpečnostní riziko pro cestující ve vozidle a ostatní účastníky silničního provozu. |
|
17.8 |
Datové prvky ADS |
|
17.8.1 |
Druh ukládaných údajů |
|
17.8.2 |
Umístění úložiště |
|
17.8.3 |
Zaznamenané události a datové prvky |
|
17.8.4 |
Prostředky k zajištění bezpečnosti a ochrany údajů |
|
17.8.5 |
Prostředky pro přístup k údajům |
|
17.9 |
Kybernetická bezpečnost a aktualizace softwaru |
|
17.9.1 |
Číslo schválení typu z hlediska kybernetické bezpečnosti: |
|
17.9.2 |
Číslo osvědčení o shodě pro systém řízení kybernetické bezpečnosti: |
|
17.9.3 |
Číslo schválení typu softwarové aktualizace: |
|
17.9.4 |
Číslo osvědčení o shodě pro systém řízení aktualizace softwaru |
|
17.9.5 |
Softwarová identifikace ADS: |
|
17.9.5.1 |
Vysvětlivky k číslu RxSWIN nebo verzi softwaru, není-li číslo RxSWIN na vozidle. |
|
17.9.5.2 |
V příslušných případech se uvede seznam parametrů, podle nichž je možné identifikovat vozidla, která lze aktualizovat softwarem uvedeným pod číslem RxSWIN uvedeným v bodě 17.9.4.1. |
|
17.10 |
Provozní příručka (přiloží se k informačnímu dokumentu) |
|
17.10.1 |
Funkční popis ADS a očekávaná úloha vlastníka, provozovatele služeb přepravy, palubní obsluhy, obsluhy dálkového zásahu atd. |
|
17.10.2 |
Technická opatření pro bezpečný provoz (např. popis nezbytné vnější infrastruktury, načasování, četnost a vzor operací údržby); |
|
17.10.3 |
Provozní a environmentální omezení |
|
17.10.4 |
Provozní opatření (např. pokud je zapotřebí palubní obsluhy nebo obsluhy dálkového zásahu) |
|
17.10.5 |
Pokyny v případě poruch a požadavku ADS (bezpečnostní opatření ze strany cestujících ve vozidle, provozovatele služeb přepravy, palubní obsluhy, obsluhy dálkového zásahu a orgánů veřejné správy, která mají být přijata v případě poruchy provozu) |
|
17.11 |
Prostředky umožňující pravidelné zkoušky technické způsobilosti
Seznam obrázků/tabulek Zkratky Příloha I – Simulační příručka Příloha II – Provozní příručka Vysvětlivka Tento informační dokument obsahuje informace týkající se automatizovaného systému řízení a musí být vyplněn v souladu se šablonou stanovenou v příloze I prováděcího nařízení Komise (EU) 2020/683. |
PŘÍLOHA II
Požadavky na výkonnost
1. Dynamická funkce řízení podle nominálních dopravních scénářů
|
1.1 |
Systém ADS je schopen vykonávat celou dynamickou funkci řízení. |
|
1.1.1 |
Schopnost systému ADS provádět celou dynamickou funkci řízení se určuje v kontextu provozně-konstrukční domény systému ADS. |
|
1.1.2 |
V rámci dynamické funkce řízení je systém ADS schopen:
|
|
1.1.3 |
Systém musí vykazovat předvídavé chování v interakci s ostatními účastníky silničního provozu, aby bylo zajištěno stabilní a nízkodynamické chování z hlediska podélného pohybu a chování minimalizující riziko v případě, že by mohl bezprostředně hrozit vznik kritických situací, např. u zranitelných účastníků silničního provozu (chodců, cyklistů atd.), na něž je či není volný výhled, nebo u jiných vozidel, která křižují před plně automatizovaným vozidlem nebo se před něj natěsno zařazují. |
|
1.1.4 |
Požadavky na dynamickou funkci řízení musí být splněny v opačném směru, je-li v rámci provozně-konstrukční domény vyžadováno nebo deklarováno zařazení zpátečky. |
|
1.2 |
Systém ADS musí detekovat předměty a události, které jsou podstatné pro dynamickou funkci řízení v rámci dané provozně-konstrukční domény.
Předměty a události mohou zahrnovat mimo jiné:
|
|
1.3 |
Systém ADS musí dodržovat pravidla silničního provozu platná v zemi, v níž je provozován. |
|
1.3.1 |
Systém ADS musí být schopen bezpečné interakce s ostatními účastníky silničního provozu v souladu s pravidly silničního provozu, například prostřednictvím:
|
|
1.3.2 |
Neexistují-li zvláštní pravidla silničního provozu, nesmějí vozidla se systémem ADS určená k přepravě stojících nebo nepřipoutaných cestujících ve vozidle překročit kombinované horizontální zrychlení 2,4 m/s2 (v absolutní hodnotě a vypočtené jako kombinace příčného a podélného zrychlení) a rychlost změny zrychlení 5 m/s3.
V závislosti na faktorech ovlivňujících riziko pro cestující a ostatní účastníky silničního provozu může být vhodné tyto limity překročit, například v případě nouzového provozu. |
2. Dynamická funkce řízení za scénáře s kritickými komplikacemi provozu (nouzový provoz).
|
2.1 |
Systém ADS musí být schopen provádět dynamickou funkci řízení pro všechny scénáře s kritickými komplikacemi provozu v dané provozně-konstrukční doméně, které lze rozumně předvídat. |
|
2.1.1 |
Systém ADS musí být schopen detekovat riziko srážky s jinými účastníky silničního provozu nebo s náhle se objevivší překážkou (trosky, spadlý náklad) a musí být schopen automaticky přejít do vhodného nouzového provozu (brzdění, úhybné manévry) s cílem bránit srážkám, jež lze rozumně předvídat, a minimalizovat rizika pro bezpečnost cestujících ve vozidle a ostatních účastníků silničního provozu. |
|
2.1.1.1 |
V případě nevyhnutelného alternativního rizika pro lidský život nesmí systém ADS provádět žádné vyhodnocování na základě osobních charakteristik lidí. |
|
2.1.1.2 |
Ochrana jiných lidských životů mimo plně automatizované vozidlo nesmí být podřízena ochraně lidského života uvnitř plně automatizovaného vozidla. |
|
2.1.2 |
Strategie pro prevenci/zmírnění srážky by měla zohledňovat zranitelnost zapojených účastníků silničního provozu. |
|
2.1.3 |
Po vyhýbacím manévru se vozidlo musí snažit o obnovení stabilního pohybu, jakmile je to technicky možné. |
|
2.1.4 |
Signál k aktivaci výstražných světel se vygeneruje automaticky v souladu s pravidly silničního provozu. Začne-li se plně automatizované vozidlo automaticky znovu pohybovat, musí se automaticky vygenerovat signál k deaktivaci výstražných světel. |
|
2.1.5 |
V případě dopravní nehody s účastí plně automatizovaného vozidla se systém ADS zaměří na zastavení plně automatizovaného vozidla a na provedení manévru s minimálním rizikem s cílem dosáhnout stavu minimálního rizika. Obnovení normálního provozu systému ADS nesmí být umožněno, dokud nebude bezpečný provozní stav plně automatizovaného vozidla potvrzen samočinnou kontrolou systému ADS nebo/a palubní obsluhou (je-li relevantní) nebo obsluhou dálkového zásahu (je-li relevantní). |
3. Dynamická funkce řízení na hranicích provozně-konstrukční domény
|
3.1 |
Systém ADS musí rozpoznat podmínky své provozně-konstrukční domény a hranice této provozně-konstrukční domény. |
|
3.1.1 |
Systém ADS musí být schopen určit, zda jsou splněny podmínky pro aktivaci ADS. |
|
3.1.2 |
Systém ADS musí detekovat situaci, kdy není splněna nebo přestane být splněna jedna nebo více podmínek provozně-konstrukční domény, a reagovat na ni. |
|
3.1.3 |
Systém ADS musí být schopen předvídat výstupy z provozně-konstrukční domény. |
|
3.1.4 |
Podmínky a hranice provozně-konstrukční domény stanoví výrobce. |
|
3.1.4.1 |
Podmínky provozně-konstrukční domény, které musí systém ADS rozpoznat, zahrnují:
|
|
3.1.5 |
Když systém ADS dosáhne hranic provozně-konstrukční domény, provede manévr s minimálním rizikem s cílem dosáhnout stavu minimálního rizika, a musí v tomto smyslu upozornit palubní obsluhu (je-li relevantní)/dálkovou obsluhu (je-li relevantní). |
4. Dynamická funkce řízení při poruchových scénářích
|
4.1 |
Systém ADS musí detekovat chybné chování ADS a/nebo vozidla a reagovat na ně. |
|
4.1.1 |
Systém ADS musí samočinně diagnostikovat poruchy a selhání. |
|
4.1.2 |
Systém ADS musí vyhodnotit svou schopnost provádět dynamickou funkci řízení v plném rozsahu. |
|
4.1.2.1 |
Systém ADS musí bezpečně reagovat na poruchu/selhání systému ADS, která významně neohrožuje výkon systému ADS. |
|
4.1.2.2 |
V případě poruchy systému ADS a/nebo jiného systému vozidla, který brání systému ADS v provádění dynamické funkce řízení, musí systém ADS provést manévr s minimálním rizikem s cílem dosáhnout stavu minimálního rizika. |
|
4.1.2.3 |
Bezprostředně po detekci závažných poruch a výsledného stavu fungování o nich musí systém ADS vyrozumět cestující ve vozidle, palubní obsluhu (je-li dostupná) nebo obsluhu dálkového zásahu (je-li relevantní), jakož i ostatní účastníky silničního provozu v souladu s pravidly silničního provozu (např. aktivace výstražných světel). |
|
4.1.2.4 |
Je-li chování vozidla při brzdění nebo řízení ovlivněno poruchami, provede se manévr s minimálním rizikem s ohledem na dostupný účinek. |
5. Manévr s minimálním rizikem a stav minimálního rizika
|
5.1 |
Během manévru s minimálním rizikem musí plně automatizované vozidlo vybavené systémem ADS zpomalit s cílem dosáhnout požadavku na zpomalení nepřesahujícího 4,0 m/s2 až do úplného zastavení na nejbezpečnějším možném místě s přihlédnutím k okolnímu provozu a silniční infrastruktuře. V případě vážné poruchy systému ADS nebo plně automatizovaného vozidla jsou povoleny vyšší hodnoty požadavku na zpomalení. |
|
5.2 |
Systém ADS musí signalizovat svůj záměr uvést plně automatizované vozidlo do stavu minimálního rizika pro cestující plně automatizovaného vozidla i pro ostatní účastníky silničního provozu v souladu s pravidly silničního provozu (např. aktivací výstražných světel). |
|
5.3 |
Plně automatizované vozidlo může opustit stav minimálního rizika pouze poté, co samočinné kontroly systému ADS a/nebo palubní obsluha (je-li relevantní) nebo obsluha dálkového zásahu (je-li relevantní) potvrdí, že příčina (příčiny) manévru s minimálním rizikem už pominula (pominuly). |
6. Interakce mezi člověkem a strojem
|
6.1 |
Cestujícím v plně automatizovaném vozidle musí být poskytnuty odpovídající informace, kdykoli je to nutné pro bezpečný provoz a s ohledem na bezpečnostní rizika. |
|
6.2 |
Je-li součástí koncepce bezpečnosti systému ADS obsluha dálkového zásahu, musí plně automatizované vozidlo poskytnout cestujícím ve vozidle prostředky k přivolání obsluhy dálkového zásahu prostřednictvím audiovizuálního rozhraní v plně automatizovaném vozidle. Pro toto audiovizuální rozhraní se použijí jednoznačné značky (např. ISO 7010 E004). |
|
6.3 |
Systém ADS musí cestujícím ve vozidle poskytnout prostředky k vyžádání manévru s minimálním rizikem s cílem zastavit plně automatizované vozidlo. V nouzových situacích platí, že:
|
|
6.4 |
Je-li součástí koncepce bezpečnosti systému ADS obsluha dálkového zásahu, musí mít plně automatizované vozidlo vizuální systémy (např. kamery v souladu s kapitolou 6 normy ISO16505:2019) v prostoru pro cestující uvnitř vozidla a v okolí vozidla, aby mohla obsluha dálkového zásahu vyhodnocovat situaci uvnitř i vně vozidla. |
|
6.5 |
Pokud je součástí koncepce bezpečnosti systému ADS obsluha dálkového zásahu, musí mít tato obsluha možnost dálkově otevřít elektricky ovládané provozní dveře. |
|
6.6 |
Systém ADS musí aktivovat příslušné systémy vozidla, je-li to nezbytné a možné (např. otevření dveří, aktivace stěračů v případě deště, systém vytápění atd.). |
7. Funkční a provozní bezpečnost
|
7.1 |
Výrobce musí prokázat, že při procesech navrhování a vývoje systému ADS byla věnována přijatelná míra pozornosti funkční a provozní bezpečnosti tohoto systému. Opatření zavedená výrobcem musí zajistit, že plně automatizované vozidlo nebude během své životnosti představovat nepřiměřená bezpečnostní rizika pro cestující ve vozidle a ostatní účastníky silničního provozu v porovnání se srovnatelnými dopravními službami a situacemi v rámci dané provozní domény. |
|
7.1.1 |
Výrobce stanoví kritéria přijatelnosti, z nichž se odvodí cíle validace systému ADS pro hodnocení zbytkového rizika u provozně-konstrukční domény, s přihlédnutím k existujícím údajům o nehodách (1), údajům o výkonnosti způsobile a opatrně řízených vozidel s manuálním ovládáním, jsou-li takové údaje k dispozici, a nejnovějšímu technologickému vývoji. |
|
7.2 |
Výrobce musí mít postupy k řízení bezpečnosti a zajištění trvalého souladu systému ADS po celou dobu životnosti (opotřebení součástí, zejména u čidel, nové dopravní scénáře atd.). |
8. Kybernetická bezpečnost a aktualizace softwaru
|
8.1 |
Systém ADS musí být chráněn před neoprávněným přístupem v souladu s předpisem OSN č. 155 (2). |
|
8.2 |
Systém ADS musí podporovat aktualizace softwaru. Účinnost postupů aktualizace softwaru a procesů týkajících se ADS musí být prokázána souladem s předpisem OSN č. 156 (3). |
|
8.2.1 |
Jak je uvedeno v předpise o aktualizacích softwaru a o systému řízení aktualizací softwaru, použije se pro účely zajištění identifikace softwaru systému číslo R2022/1426SWIN. Číslo R2022/1426SWIN může být uvedeno na vozidle, případně pokud číslo R2022/1426SWIN na vozidle není, musí výrobce oznámit schvalovacímu orgánu verzi (verze) softwaru vozidla nebo jednotlivé jednotky ECU, s níž příslušná schválení typu souvisejí. |
|
8.2.2 |
Výrobce musí v informačním dokumentu poskytnout tyto informace:
|
|
8.2.3 |
Výrobce může v informačním dokumentu uvést seznam příslušných parametrů, podle nichž je možné identifikovat vozidla, která lze aktualizovat softwarem uvedeným pod číslem R2022/1426SWIN. Poskytnuté informace uvádí výrobce a schvalovací orgán je neověřuje. |
|
8.2.4 |
Výrobce může získat nové schválení typu vozidla, aby mohl softwarové verze pro vozidla, která jsou již na trhu registrována, odlišit od softwarových verzí v nových vozidlech. Může se jednat o situaci, kdy se aktualizují předpisy o schvalování typu nebo se mění hardware u vozidel v sériové výrobě. Po dohodě se schvalovacím orgánem je třeba se pokud možno vyhnout opakování zkoušek. |
9. Požadavky systému ADS na data a konkrétní datové prvky pro zapisovač údajů o události pro plně automatizovaná vozidla
|
9.1 |
Při každé aktivaci systému ADS musí tento systém zaznamenávat následující výskyty: |
|
9.1.1 |
aktivace/opětovná inicializace systému ADS (je-li relevantní); |
|
9.1.2 |
deaktivace systému ADS (je-li relevantní); |
|
9.1.3 |
požadavek zaslaný systémem ADS obsluze dálkového zásahu (je-li relevantní); |
|
9.1.4 |
požadavek/vstup zaslaný obsluhou dálkového zásahu (je-li relevantní); |
|
9.1.5 |
zahájení nouzového provozu; |
|
9.1.6 |
ukončení nouzového provozu; |
|
9.1.7 |
zjištění nebezpečí srážky; |
|
9.1.8 |
spuštění zapisovače údajů o události (EDR); |
|
9.1.9 |
zahájení manévru s minimálním rizikem ze strany systému ADS; |
|
9.1.10 |
stav minimálního rizika dosažený plně automatizovaným vozidlem; |
|
9.1.11 |
porucha ADS (popis); |
|
9.1.12 |
porucha vozidla; |
|
9.1.13 |
zahájení postupu změny jízdního pruhu; |
|
9.1.14 |
ukončení postupu změny jízdního pruhu; |
|
9.1.15 |
přerušení postupu změny jízdního pruhu; |
|
9.1.16 |
zahájení úmyslného vybočení z jízdního pruhu |
|
9.1.17 |
ukončení úmyslného vybočení z jízdního pruhu. |
|
9.2 |
Druhy výskytu se v případě bodů 9.1.13, 9.1.14, 9.1.16 a 9.1.17 musí ukládat pouze tehdy, pokud k nim dojde do 30 sekund před výskyty uvedenými v bodech 9.1.5, 9.1.7, 9.1.15 nebo 9.1.8. |
|
9.3 |
Datové prvky ADS |
|
9.3.1 |
Pro každý výskyt uvedený v bodě 9.1 se musí jasně identifikovatelným způsobem zaznamenat tyto datové prvky: |
|
9.3.2 |
zaznamenaný druh výskytu; |
|
9.3.3 |
případně důvod, proč k výskytu došlo; |
|
9.3.4 |
datum (ve formátu: rrrr/mm/dd); |
|
9.3.5 |
poloha (souřadnice GPS); |
|
9.3.6 |
časové razítko:
|
|
9.4 |
U každého zaznamenaného výskytu musí být možné jasně identifikovat RXSWIN nebo softwarové verze, které označují software, který byl v činnosti, když k události došlo. |
|
9.5 |
Je-li v rámci časového rozlišení konkrétních datových prvků současně zaznamenáno více prvků, může být povoleno jednotné časové razítko. Je-li se stejným časovým razítkem zaznamenáno více prvků, musí být informace z jednotlivých prvků řazeny chronologicky. |
|
9.6 |
Dostupnost údajů |
|
9.6.1 |
Dostupnost údajů systému ADS se řídí požadavky unijních nebo vnitrostátních právních předpisů (4). |
|
9.6.2 |
Jakmile kapacita pro uchovávání údajů dosáhne svého limitu, přepíší se stávající údaje výhradně postupem podle pravidla „first in, first out“, a to při dodržení příslušných požadavků na dostupnost údajů.
Kapacitu pro uchovávání údajů prokáže výrobce v dokumentaci. |
|
9.6.3 |
U vozidel kategorie M1 a N1 musí být možné získat datové prvky i po nárazu, jehož závažnost dosáhla úrovně stanovené předpisy OSN č. 94 (5), 95 (6) nebo 137 (7). |
|
9.6.4 |
U vozidel kategorií M2, M3, N2 a N3 musí být možné získat datové prvky uvedené v bodě 9.2 i po nárazu. K prokázání této schopnosti platí následující:
Buď:
|
|
9.6.5 |
I když není k dispozici hlavní palubní zdroj napájení vozidla, musí být možné získat všechny zaznamenané údaje. |
|
9.6.6 |
Uložené údaje musí být snadno čitelné standardizovaným způsobem prostřednictvím elektronického komunikačního rozhraní, přinejmenším prostřednictvím standardního rozhraní (port OBD). |
|
9.7 |
Konkrétní datové prvky pro zapisovač údajů o události pro plně automatizovaná vozidla |
|
9.7.1 |
U vozidel vybavených zapisovači údajů o události v souladu s článkem 6 nařízení (EU) 2019/2144 musí být možné prostřednictvím standardního rozhraní (port OBD) získat datové prvky systému ADS uvedené v bodech 9.3.1 a 9.3.2 zaznamenané nejméně posledních 30 sekund před posledním nastavením druhu výskytu „spuštění zapisovače údajů o události (EDR)“ společně s datovými prvky uvedenými v příloze 4 předpisu OSN č. 160 (9) (údaje ze zapisovače EDR). |
|
9.7.2 |
Pokud nedošlo k žádné události uvedené v bodě 9.1 během posledních 30 sekund před posledním nastavením druhu výskytu „spuštění zapisovače údajů o události (EDR)“ musí být možné společně s údaji ze zapisovače EDR získat i datový prvek odpovídající minimálně posledním výskytům v rámci stejného výkonového cyklu uvedeného v bodech 9.1.1 a 9.1.2. |
|
9.7.3 |
Datové prvky získané v souladu s bodem 9.7.1 nebo 9.7.2 nesmí obsahovat datum a časové razítko ani žádné jiné informace umožňující identifikaci vozidla, jeho uživatele nebo vlastníka. Časové razítko musí být místo toho nahrazeno informacemi představujícími časový rozdíl mezi druhem výskytu „spuštění zapisovače údajů o události (EDR)“ a druhem výskytu příslušného datového prvku ADS. |
|
9.8 |
Výrobce musí poskytnout pokyny pro přístup k údajům. |
|
9.9. |
Ochrana proti manipulaci |
|
9.9.1 |
Musí být zajištěna odpovídající ochrana proti manipulaci (např. vymazání údajů) s uloženými údaji, jako je např. konstrukční opatření proti neoprávněným úpravám. |
10. Manuální jízdní režim
|
10.1 |
Pokud systém ADS umožňuje manuální řízení za účelem údržby nebo převzetí řízení po provedení manévru s minimálním rizikem v plně automatizovaném vozidle, musí být rychlost vozidla omezena na 6 km/h a vozidlo musí být vybaveno prostředky, které osobě, jež ho řídí, umožní bezpečně provádět řízení v souladu s koncepcí bezpečnosti výrobce. S výjimkou případu poruchy musí systém ADS pokračovat v detekci překážek (např. vozidla, chodci) v manévrovacím prostoru a podporovat řidiče při okamžitém zastavení vozidla s cílem zabránit srážce. |
|
10.2 |
Je-li manuální řízení omezeno na 6 km/h, není nutné, aby v plně automatizovaném vozidle zůstal řidič. Toto ovládání lze provádět pomocí dálkového ovládání umístěného v blízkosti vozidla za předpokladu, že vozidlo zůstane v přímém zorném poli řidiče. Maximální vzdálenost, na kterou je možné ovládat vozidlo dálkovým ovládáním, nesmí překročit 10 metrů. |
|
10.3 |
Pokud má být vozidlo v manuálním režimu řízeno při rychlosti vyšší než 6 km/h, považuje se za vozidlo s duálním režimem. |
11. Provozní příručka
|
11.1 |
Výrobce musí vypracovat provozní příručku. Účelem provozní příručky je zajistit bezpečný provoz plně automatizovaného vozidla prostřednictvím podrobných pokynů pro vlastníka, cestující ve vozidle, provozovatele služeb přepravy, palubní obsluhu, obsluhu dálkového zásahu a všechny příslušné vnitrostátní orgány.
Provozní příručka se musí vztahovat na plně automatizované vozidlo i v případě, že toto vozidlo umožňuje manuální řízení za účelem údržby nebo převzetí řízení po provedení manévru s minimálním rizikem. |
|
11.2 |
Provozní příručka musí obsahovat funkční popis ADS. |
|
11.3 |
Provozní příručka musí obsahovat technická opatření (např. kontroly a práce na údržbě vozidla a infrastruktury mimo něj, požadavky na dopravu a fyzickou infrastrukturu, jako jsou lokalizační značky a čidla vnímání), provozní omezení (např. omezení rychlosti, vyhrazený jízdní pruh, fyzické oddělení od protijedoucích vozidel), podmínky prostředí (např. absence sněhu) a provozní opatření (např. zda je nutný zásah palubní obsluhy nebo obsluhy dálkového zásahu) nezbytná k zajištění bezpečnosti během provozu plně automatizovaného vozidla. |
|
11.4 |
Provozní příručka musí popisovat pokyny pro cestující ve vozidle, provozovatele služeb přepravy, palubní obsluhu (je-li relevantní) a obsluhu dálkového zásahu (je-li relevantní) a orgány veřejné správy pro případ poruch a požadavku ADS. |
|
11.5 |
Provozní příručka musí stanovit pravidla pro zajištění řádného provádění údržby, celkových zkoušek a dalších kontrol. |
|
11.6 |
Provozní příručka musí být předložena schvalovacímu orgánu společně se žádostí o schválení typu a přikládá se k certifikátu schválení typu. |
|
11.7 |
Provozní příručka musí být zpřístupněna vlastníkovi a případně provozovateli služeb přepravy, palubní obsluze (je-li relevantní), obsluze dálkového zásahu (je-li relevantní) a veškerým příslušným vnitrostátním orgánům. |
12. Ustanovení o pravidelných technických prohlídkách
|
12.1 |
Pro účely pravidelných technických prohlídek vozidel musí být možné ověřit tyto vlastnosti systému ADS: |
|
a) |
jeho správný provozní stav, vizuálním pozorováním stavu varovného signálu poruchy po aktivaci hlavního spínače ovládání vozidla a případnou kontrolou žárovky. Pokud se varovný signál poruchy zobrazuje na společné ploše (plocha, na které mohou být zobrazeny nejméně dvě informační funkce/symboly, nikoli však současně), je před kontrolou stavu varovného signálu poruchy nutné zkontrolovat, jestli společná plocha funguje; |
|
b) |
jeho správnou funkci a integritu softwaru prostřednictvím elektronického rozhraní vozidla, jako je rozhraní stanovené v části I bodě 14 přílohy III směrnice Evropského parlamentu a Rady 2014/45/EU (10), pokud to umožňují technické vlastnosti vozidla a jsou zpřístupněna nezbytná data. Výrobci zajistí, aby byly k dispozici technické informace pro použití elektronického rozhraní vozidla v souladu s článkem 6 prováděcího nařízení Komise (EU) 2019/621 (11). |
(1) Například na základě aktuálních údajů o nehodách autobusů, autokarů, nákladních automobilů a osobních automobilů v EU u srovnatelných dopravních služeb a situací by mohla být pro uvedení systémů ADS na trh zohledněna orientační souhrnná kritéria přijatelnosti 10-7 smrtelných nehod za hodinu provozu. Výrobce může použít jiné metriky a metody, prokáže-li, že v porovnání se srovnatelnými dopravními službami a situacemi v provozní oblasti vedou k neexistenci nepřiměřeného bezpečnostního rizika.
(2) Úř. věst. L 82, 9.3.2021, s. 30.
(3) Úř. věst. L 82, 9.3.2021, s. 60.
(4) Doporučuje se úložná kapacita 2 500 časových razítek odpovídající období používání v délce šesti měsíců.
(5) Úř. věst. L 392, 5.11.2021, s. 1.
(6) Úř. věst. L 392, 5.11.2021, s. 62.
(7) Úř. věst. L 392, 5.11.2021, s. 130.
(8) Úř. věst. L 449, 15.12.2021, s. 1.
(9) Úř. věst. L 265, 26.7.2021, s. 3.
(10) Směrnice Evropského parlamentu a Rady 2014/45/EU ze dne 3. dubna 2014 o pravidelných technických prohlídkách motorových vozidel a jejich přípojných vozidel a o zrušení směrnice 2009/40/ES (Úř. věst. L 127, 29.4.2014, s. 51).
(11) Prováděcí nařízení Komise (EU) 2019/621 ze dne 17. dubna 2019 o technických informacích nezbytných pro technické prohlídky kontrolovaných položek, o používání doporučených metod technických prohlídek a o stanovení podrobných pravidel týkajících se formátu údajů a postupů pro přístup k příslušným technickým informacím (Úř. věst. L 108, 23.4.2019, s. 5).
PŘÍLOHA III
POSOUZENÍ SOULADU
Celkové posouzení souladu systému ADS je stanoveno na základě:
|
— |
Část 1: Dopravní scénáře, které je třeba zohlednit |
|
— |
Část 2: Posouzení koncepce bezpečnosti systému ADS a audit systému řízení bezpečnosti výrobce |
|
— |
Část 3: Zkoušky nejdůležitějších dopravních scénářů |
|
— |
Část 4: Zásady, které se použijí pro účely posouzení věrohodnosti, jestliže je k validaci systému ADS použit soubor nástrojů pro simulaci |
|
— |
Část 5: Systém zavedený výrobcem k zajištění podávání zpráv v průběhu provozu |
Jakýkoli požadavek uvedený v příloze II může být zkontrolován na základě zkoušek provedených schvalovacím orgánem (nebo jeho technickou zkušebnou).
ČÁST 1
DOPRAVNÍ SCÉNÁŘE, KTERÉ JE TŘEBA ZOHLEDNIT
|
1. |
Minimální sada dopravních scénářů |
|
1.1 |
Použijí se scénáře a parametry uvedené v bodě 1, pokud se tyto scénáře vztahují na provozně-konstrukční doménu systému ADS.
Pokud se výrobce odchýlí od parametrů navržených v bodě 1, musí být měření výkonu v oblasti bezpečnosti a inherentní předpoklady použité výrobcem zdokumentovány v souboru dokumentace. Zvolené měření výkonu v oblasti bezpečnosti a inherentní předpoklady musí prokázat, že plně automatizované vozidlo nepodléhá nepřiměřeným bezpečnostním rizikům. Platnost těchto měření výkonu v oblasti bezpečnosti a inherentních předpokladů musí být podložena údaji z monitorování v průběhu provozu. |
|
1.2 |
Parametry, které mají být použity pro scénáře změny jízdního pruhu plně automatizovaným vozidlem. |
|
1.2.1 |
Scénáře a parametry týkající se změny jízdního pruhu se použijí podle specifikace v předpisu OSN č. 157 (1). |
|
1.3 |
Parametry, které mají být použity pro scénář odbočování a křižování plně automatizovaného vozidla. |
|
1.3.1 |
Pokud neexistují konkrétnější pravidla silničního provozu, zohlední se následující požadavky, pokud jde o interakci s ostatními účastníky silničního provozu zapojenými do pohybu při odbočování a křižování (viz obrázek 1) za suchého a řádného stavu vozovky. |
|
1.3.2 |
V případě zařazení do přednostního provozu při odbočování, při němž dochází ke křižování s opačným směrem provozu, i při takovém zařazení, při němž k tomuto křižování nedochází, by přednostní provoz v cílovém pruhu neměl být nucen zpomalit. Je však třeba zajistit, aby hodnota TTC blížícího se přednostního provozu na cílové silnici (případ a) na obrázku 1) nikdy neklesla pod prahovou hodnotuTTC
dyn
definovanou následovně:
kde:
|
|
1.3.3 |
V případě odbočovacího manévru, který křižuje opačný směr dopravy při zohlednění protijedoucího provozu, by přednostní provoz v cílovém pruhu neměl být nucen zpomalit. Je-li to však odůvodněno hustotou provozu, musí být kromě vzdálenosti od blížícího se přednostního provozu na cílové silnici zajištěno, že hodnota TTC přednostního křižujícího provozu k fiktivnímu bodu srážky (průsečík jízdních drah, případ b) na obrázku 1) nikdy neklesne pod prahovou hodnotu TTC
int
definovanou následovně:
kde:
Totéž platí pro křižování s přednostním provozem (případ c) na obrázku 1): Hodnota TTC přednostního provozu do imaginárního bodu srážky (průsečík jízdních drah) nesmí nikdy klesnout pod prahovou hodnotu TTC int definovanou v tomto bodě.
Obrázek 1: Vizualizace vzdáleností při odbočování a křižování. Případ a): vzdálenost od blížícího se přednostního provozu v cílovém jízdním pruhu, kterou je třeba dodržet při odbočování a zařazení do přednostního provozu. Případ b): vzdálenost od přednostního provozu v protisměru, kterou je třeba dodržet při odbočování křížením provozu v protisměru. Případ c): vzdálenost od přednostního křižujícího provozu, kterou je potřeba při křižování dodržet. |
|
1.4 |
Parametry, které mají být použity pro scénáře nouzového manévru plně automatizovaného vozidla (dynamická funkce řízení ve scénářích s kritickými komplikacemi). |
|
1.4.1 |
Systém ADS musí zabránit srážce s vozidlem jedoucím vpředu, které před ním zpomaluje maximálním brzdným účinkem, pokud se před něj natěsno nezařadilo jiné vozidlo. |
|
1.4.2 |
Srážkám s vozidly, chodci a cyklisty jedoucími ve stejném směru a zařazujícími se natěsno, jakož i s chodci, kteří mohou začít přecházet silnici, je třeba zabránit alespoň v rámci podmínek stanovených následující rovnicí.
kde:
v rel se rovná relativní rychlosti v metrech za sekundu [m/s] mezi plně automatizovaným vozidlem a vozidlem zařazujícím se natěsno (pokud je ADS rychlejší než vozidlo zařazující se natěsno, je tato hodnota kladná); β se rovná maximálnímu zpomalení plně automatizovaného vozidla a předpokládá se, že se rovná:
Dodržení této rovnice se vyžaduje jen pro účastníky silničního provozu zařazující se natěsno, a jen tehdy, pokud byli vjíždějící účastníci silničního provozu viditelní nejméně 0,72 sekundy před zařazením natěsno: To má za následek požadované zabránění srážce, když jiný účastník silničního provozu při vjíždění do jízdního pruhu zkoušeného vozidla překročí následující hodnoty TTC (zobrazenými například pro rychlosti v krocích po 10 km/h). Tyto požadavky musí být splněny nezávisle na podmínkách vnějšího prostředí.
Dojde-li ke změně jízdního pruhu s nižší hodnotou TTC do jízdního pruhu plně automatizovaného vozidla, nelze již předpokládat, že nedojde k zabránění srážce. Ke změně strategie ovládání systému ADS mezi zabráněním srážce a jejím zmírněním může dojít pouze tehdy, pokud je výrobce schopen prokázat, že to zvyšuje bezpečnost cestujících ve vozidle a ostatních účastníků silničního provozu (např. upřednostněním brzdění před alternativním manévrem). |
|
1.4.3 |
Systém ADS musí zabránit srážce s přecházejícím chodcem nebo s cyklistou před vozidlem. |
|
1.4.3.1 |
Jízdní podmínky ve městech a na venkově |
|
1.4.3.1.1 |
Systém ADS musí zabránit srážce až do rychlosti 60 km/h, pokud příčná složka rychlosti chodce přecházejícího před vozidlem, na něhož je volný výhled, činí nejvýše 5 km/h, nebo pokud příčná složka rychlosti cyklisty přejíždějícího před vozidlem, na něhož je volný výhled, činí nejvýše 15 km/h. To je nutno zajistit nezávisle na konkrétním manévru, který systém ADS provádí. |
|
1.4.3.1.2 |
V případě, že se chodec nebo cyklista pohybuje vyšší rychlostí, než jsou výše uvedené hodnoty, a systém ADS již nemůže zabránit srážce, může se strategie řízení systému ADS změnit od zabránění srážce k jejímu zmírnění pouze tehdy, může-li výrobce prokázat, že to zvyšuje bezpečnost cestujících ve vozidle a ostatních účastníků silničního provozu (např. upřednostněním brzdění před alternativním manévrem). |
|
1.4.3.1.3 |
Systém ADS musí zmírnit srážku s chodcem přecházejícím před vozidlem, na něhož není volný výhled, nebo cyklistou přejíždějícím před vozidlem, na něhož není volný výhled, snížením rychlosti při nárazu nejméně o 20 km/h. To je nutno zajistit nezávisle na konkrétním manévru, který systém ADS provádí. |
|
1.4.3.1.4 |
Pro účely prokázání splnění předchozích požadavků týkajících se přecházení chodců a přejíždění cyklistů před vozidlem lze jako vodítko použít scénáře zkoušek a posouzení vypracované v rámci organizace European New Car Assessment Programme (Euro NCAP). |
|
1.4.3.2 |
Jízdní podmínky na dálnici |
|
1.4.3.2.1 |
Na přecházení chodců se použijí příslušné scénáře stanovené v předpisu OSN č. 157. |
|
1.4.3.2.2 |
V případě, že hodnoty parametrů chodce při přecházení překročí meze stanovené v předpisu OSN č. 157 a systém ADS již nemůže zabránit srážce, může se strategie řízení systému ADS změnit mezi předcházením srážce a zmírněním srážky pouze tehdy, pokud výrobce může prokázat, že to zvyšuje bezpečnost cestujících ve vozidle a ostatních účastníků silničního provozu (např. upřednostněním brzdění před alternativním manévrem). |
|
1.5 |
Vjezd na dálnici
Plně automatizované vozidlo musí být schopno bezpečně vjet na dálnici tak, že přizpůsobí svou rychlost provozu a aktivuje příslušnou směrovou svítilnu v souladu s pravidly silničního provozu. Bezprostředně pro provedení manévru pro změnu jízdního pruhu se směrová svítilna deaktivuje. Je nutno uplatnit parametry použité ve scénáři změny jízdního pruhu. |
|
1.6 |
Sjezd z dálnice
Plně automatizované vozidlo musí být schopno předvídat cílený výjezd z dálnice přejetím do sousedního jízdního pruhu a do výjezdového pruhu a před zahájením manévru pro změnu jízdního pruhu do výjezdového pruhu nesmí zbytečně zpomalit. Plně automatizované vozidlo musí použít směrovou svítilnu v souladu s pravidly silničního provozu a bez zbytečného odkladu provést manévr pro změnu jízdního pruhu do výjezdového pruhu. Směrová svítilna se deaktivuje bezprostředně po dokončení manévru pro změnu jízdního pruhu v souladu s pravidly silničního provozu platnými v zemi, v níž je systém provozován. |
|
1.7 |
Průjezd mýtnou stanicí
Plně automatizované vozidlo musí být v závislosti na provozně-konstrukční doméně schopno zvolit správnou průjezdnou bránu a přizpůsobit svou rychlost povoleným limitům v rámci dané mýtné oblasti při zohlednění provozu. |
|
1.8 |
Provoz na jiných typech silnic než na dálnicích
V závislosti na provozně-konstrukční doméně se použije relevantní scénář uvedený v bodech 1.2 až 1.4 výše. |
|
1.9 |
Parametry užívané pro automatizovaný systém parkování |
|
1.9.1 |
V závislosti na provozně-konstrukční doméně se použijí relevantní scénáře uvedené v bodech 1.3 až 1.5 výše. Parametry, které mají být použity pro tyto scénáře, může být nutné upravit tak, aby zohledňovaly omezenou rychlost jízdy a celkově nedostatečnou viditelnost, která může nastat v parkovacím zařízení. Zvláštní pozornost je třeba věnovat zabránění srážce s chodci, zejména s dětmi a kočárky. |
|
2. |
Scénáře, na které se nevztahuje bod 1 |
|
2.1 |
Je nutno vytvořit scénáře, které nejsou uvedeny v bodě 1, s cílem pokrýt kritické situace, jež lze rozumně předvídat, včetně poruch a dopravních rizik v rámci dané provozně-konstrukční domény. |
|
2.2 |
Pokud možnosti systému ADS závisejí na možnostech řízení na dálku, musí scénáře zahrnovat poruchy a dopravní rizika vyplývající z příslušných možností řízení na dálku. |
|
2.3 |
Metoda vytváření scénářů, které nejsou uvedeny v oddíle 1, se řídí zásadami stanovenými v dodatku 1 k části 1 této přílohy. |
|
2.4 |
Metoda, kterou použije výrobce pro vytvoření scénářů, které nejsou uvedeny v bodě 1, musí být zdokumentována v souboru dokumentace, který musí být předložen pro účely posouzení systému ADS.
Dodatek 1 Zásady, které je třeba dodržovat při odvozování scénářů, které se vztahují na provozně-konstrukční doménu systému ADS
1. Vytváření a klasifikace scénářů Z kvalitativního hlediska lze scénáře klasifikovat jako nominální/kritické/selhání, a odpovídají normálnímu nebo nouzovému provozu. Pro každou z těchto kategorií lze při vytváření odpovídajících dopravních scénářů uplatnit přístup založený na datech a přístup založený na znalostech. Přístup založený na znalostech využívá odborných znalostí k systematické identifikaci nebezpečných událostí a vytváření scénářů. Přístup založený na datech využívá dostupná data k identifikaci a klasifikaci scénářů, které nastanou. Scénáře musí být odvozeny z provozně-konstrukční domény plně automatizovaného vozidla. 2. Nominální scénáře Soubor analytických rámců může výrobci pomoci odvodit další nominální scénáře s cílem zajistit pokrytí konkrétního použití. Tyto rámce jsou rozděleny následujícím způsobem: 2.1 Analýza ODD Provozně-konstrukční doména se skládá z prvků okolí (např. fyzická infrastruktura), z podmínek vnějšího prostředí, dynamických prvků (např. provoz, zranitelní účastníci silničního provozu) a provozních omezení konkrétního uplatnění systému ADS. Cílem této analýzy je identifikovat charakteristiky provozně-konstrukční domény, přidělit vlastnosti a definovat interakce mezi jednotlivými objekty. Je v ní zkoumán vliv provozně-konstrukční domény na schopnosti systému ADS v oblasti chování. Příklad této analýzy je uveden v tabulce 1. Tabulka 1 Dynamické prvky a jejich vlastnosti
2.2 Analýza detekce předmětů a událostí a odezvy: Identifikace schopností v oblasti chování Po provedení identifikace předmětů a příslušných vlastností je možné zmapovat vhodnou odezvu systému ADS. Odezva systému ADS je modelována na základě platných funkčních požadavků a uplatněním požadavků tohoto nařízení na výkon a pravidel silničního provozu platných v zemi, v níž je systém provozován. Výsledkem analýzy detekce předmětů a událostí a odezvy je rovněž soubor schopností, které lze zmapovat ve vztahu ke schopnostem v oblasti chování vztahujících se k dané provozně-konstrukční doméně s cílem zajistit dodržování příslušných regulačních a právních požadavků. Tabulka 2 uvádí kvalitativní příklad události a odpovídající reakce. Kombinace předmětů, událostí a jejich potenciální interakce jako funkce provozně-konstrukční domény tvoří soubor nominálních scénářů, které se vztahují na analyzovaný systém ADS. Pro určení nominálních scénářů může být přínosem rozšířená kombinace deskriptorů scénářů zahrnujících v rámci provozně-konstrukční domény např. náležitosti infrastruktury, vlastnosti objektů a událostí, nebezpečí s vlivem na schopnost reagovat (např. počasí, viditelnost). Identifikace nominálních scénářů není omezena pouze na dopravní podmínky, ale zahrnuje také podmínky vnějšího prostředí, lidský faktor, konektivitu a nesprávnou komunikaci. Vzhledem k tomu, že parametry (předpoklady) událostí nebyly dosud vymezeny, je třeba posuzovat nominální scénáře odvozené z aplikace uvedené analýzy v rovině funkční a logické abstrakce. Tabulka 2 Schopnosti v oblasti chování pro dané události
3. Scénáře s kritickými komplikacemi Scénáře s kritickými komplikacemi lze odvodit buď na základě posouzení předpokladů okrajových případů u nominálních scénářů provozu (založených na datech), nebo použitím standardizovaných metod (založených na znalostech) pro hodnocení provozních nedostatků (viz příklad metod v části 2 bodě 3.5.5). Při identifikaci scénářů s kritickými komplikacemi může pomoci i propracovanější kombinace deskriptorů scénáře s okrajovými hodnotami, které v rámci provozně-konstrukční domény zahrnují např. atributy infrastruktury, vlastnosti objektů a událostí, nebezpečí s vlivem na schopnost reagovat (např. počasí, snížená viditelnost, interakce s jinými účastníky silničního provozu, než je spouštěcí objekt nebo událost). Identifikace scénářů s kritickými komplikacemi není omezena jen na dopravní podmínky, ale zahrnuje také podmínky vnějšího prostředí, lidský faktor, konektivitu a nesprávnou komunikaci. Scénáře s kritickými komplikacemi odpovídají nouzovému provozu systému ADS. 4. Poruchové scénáře Cílem těchto scénářů je posoudit, jak systém ADS reaguje na poruchu. Literatura uvádí různé metody (viz příklad metod v bodě 3.5.5 části 2). Výrobce je povinen při vývoji systému ADS zavést příslušné strategie pro každou zjištěnou poruchu chování a z ní vyplývající účinky (tj. odolnost proti poruchám). Cílem uplatňování poruchových scénářů je posoudit schopnost systému ADS splňovat požadavky na situace zásadně důležité pro bezpečnost, například včetně toho, že „ADS řídí provozní situace zásadně důležité pro bezpečnost“ a „ADS bezpečně řídí poruchové režimy“ a příslušné dílčí požadavky. 5. Předpoklady: Logické až konkrétní scénáře Pro zajištění připravenosti scénářů uvedených v předchozích bodech k posouzení prostřednictvím simulace nebo fyzických zkoušek může být nezbytné, aby výrobce koherentně nastavil jejich parametry na základě předpokladů. Výrobce musí poskytnout důkazy na podporu těchto předpokladů, jako jsou například kampaně sběru údajů provedené během fáze vývoje, skutečná nehodovost a realistická hodnocení stylu jízdy. Parametry používané k charakterizaci scénářů s kritickými komplikacemi by měly v deskriptorech scénářů pracovat s rozumně předvídatelnými hodnotami, neměly by se však omezovat na hodnoty, které jsou již zachyceny v dokumentovaných databázích. |
ČÁST 2
POSOUZENÍ KONCEPCE BEZPEČNOSTI SYSTÉMU ADS A AUDIT SYSTÉMU ŘÍZENÍ BEZPEČNOSTI VÝROBCE
1. Obecně
|
1.1 |
Schvalovací orgán, který uděluje schválení typu, nebo technická zkušebna jednající jeho jménem ověří prostřednictvím cílených kontrol a zkoušek, zejména těch, které jsou uvedeny v bodě 4 této přílohy, že argumentace týkající se bezpečnosti uvedená v dokumentaci splňuje požadavky přílohy II a že výrobce skutečně uplatňuje koncepci a postupy popsané v dokumentaci. |
|
1.2 |
Ačkoli na základě předané dokumentace, důkazů předložených pro účely auditu systému řízení bezpečnosti a posouzení koncepce bezpečnosti systému ADS provedených ke spokojenosti schvalovacího orgánu v souladu s tímto předpisem je zbytková úroveň bezpečnostního rizika systému ADS s uděleným schválením typu považována za přijatelnou, aby typ vozidla mohl být uveden do provozu, za celkovou bezpečnost systému ADS během životnosti tohoto systému v souladu s požadavky tohoto předpisu stále odpovídá výrobce žádající o schválení typu. |
2. Definice
Pro účely této přílohy se použijí tyto definice:
|
2.1 |
„koncepcí bezpečnosti“ se rozumí popis opatření navržených do systému ADS tak, aby plně automatizované vozidlo v rámci scénářů a událostí, které se vztahují na danou provozně-konstrukční doménu, při provozu nepředstavovalo nepřiměřené bezpečnostní riziko pro cestující ve vozidle a ostatní účastníky silničního provozu jak při poruše (funkční bezpečnost), tak za normálního stavu (provozní bezpečnost). Součástí koncepce bezpečnosti musí být možnost přechodu k částečnému fungování nebo dokonce záložnímu systému zajišťujícímu nezbytné funkce systému ADS; |
|
2.2 |
„jednotkami“ se rozumí nejmenší části jednotlivých konstrukčních částí systému, jimiž se tato příloha zabývá, protože tyto kombinace konstrukčních částí budou pro účely identifikace, analýzy či výměny považovány za samostatné objekty; |
|
2.3 |
„přenosovými spoji“ se rozumí prostředky využívané k propojení různě rozmístěných jednotek za účelem přenosu signálů, provozních dat či přívodu energie. Obecně se jedná o elektrická zařízení, avšak některé jejich části mohou být mechanické, pneumatické či hydraulické; |
|
2.4 |
„rozsahem ovládání“ se rozumí výstupní veličina a definuje se rozsah, v rámci něhož systém pravděpodobně uplatní funkce ovládání; |
|
2.5 |
„hranicí funkčního provozu“ se rozumí hranice vnějších fyzických možností, v rámci nichž je systém ADS schopen provádět dynamickou funkci řízení. |
3. Dokumentace systému ADS
3.1 Požadavky
Výrobce musí předložit soubor dokumentace, který dává přehled o základní koncepci systému ADS a o prostředcích, pomocí kterých je tento systém propojen s ostatními systémy vozidla nebo kterými přímo ovládá výstupní proměnné, jakož i hardware/software mimo vozidlo a možnost řízení na dálku.
Musí být vysvětlena/vysvětleny funkce systému ADS včetně strategií řízení a koncepce bezpečnosti, jak jsou stanoveny výrobcem.
Dokumentace musí být stručná, avšak musí dokládat, že v rámci návrhu a vývoje bylo využito odborných znalostí ze všech oblastí systému ADS, jež jsou zahrnuty.
Pro účely pravidelných technických prohlídek musí dokumentace popisovat, jakým způsobem lze zkontrolovat aktuální stav fungování systému ADS a funkčnost a integritu softwaru.
Schvalovací orgán musí vyhodnotit tento soubor dokumentace, který musí prokázat, že systém ADS:
|
a) |
je navržen a vyvinut tak, aby v rámci deklarované provozně-konstrukční domény a mezí nepředstavoval nepřiměřené riziko pro cestující ve vozidle a ostatní účastníky silničního provozu; |
|
b) |
splňuje požadavky na výkonnost uvedené v příloze II tohoto předpisu; |
|
c) |
byl vyvinut v souladu s vývojovým procesem/metodou podle prohlášení výrobce. |
|
3.1.1 |
Dokumentace se musí skládat ze tří částí:
|
3.2 Obecný popis systému ADS
|
3.2.1 |
Musí být poskytnut popis s jednoduchým vysvětlením provozních charakteristik a vlastností systému ADS. |
|
3.2.2 |
Popis obsahuje: |
|
3.2.2.1 |
provozně-konstrukční doménu, jako je například maximální provozní rychlost, typ silnice (např. vyhrazený jízdní pruh), země/oblasti provozu, stav vozovky a požadované podmínky vnějšího prostředí (např. absence sněhu) atd.)/mezní podmínky; |
|
3.2.2.2 |
základní vlastnosti (např. detekce předmětů a událostí a odezva, infrastruktura mimo vozidlo potřebná během provozu); |
|
3.2.2.3 |
interakci s ostatními účastníky silničního provozu; |
|
3.2.2.4 |
hlavní podmínky pro manévry s minimálním rizikem; |
|
3.2.2.5 |
koncepci interakce s cestujícími ve vozidle, s palubní obsluhou (je-li relevantní) a s obsluhou dálkového zásahu (je-li relevantní); |
|
3.2.2.6 |
prostředky, jimiž je systém ADS aktivován nebo deaktivován palubní obsluhou (je-li relevantní) nebo obsluhou dálkového zásahu (je-li relevantní), cestujícími ve vozidle (je-li relevantní) nebo jinými účastníky silničního provozu (je-li relevantní); |
|
3.2.2.7 |
provozní opatření (např. pokud je zapotřebí palubní obsluhy nebo obsluhy dálkového zásahu), která je nutno splnit, aby byla zajištěna bezpečnost během provozu plně automatizovaného vozidla. |
|
3.2.2.8 |
záložní, vnější infrastrukturu potřebnou k zajištění bezpečnosti při provozu plně automatizovaného vozidla. |
3.3 Popis funkcí ADS:
Musí být poskytnut popis s vysvětlením všech funkcí včetně ovládacích strategií umožňujících spolehlivé a bezpečné fungování systému ADS a metod používaných k provádění dynamické funkce řízení v rámci provozně-konstrukční domény a mezí, v rámci nichž má systém automatizovaného řízení fungovat, včetně uvedení popisu způsobů, jimiž je to zajištěno.
Všechny aktivované nebo deaktivované funkce automatizovaného řízení, pro něž je ve vozidle v době výroby hardware a software, musí být uvedeny a před použitím ve vozidle splnit požadavky této přílohy a přílohy II tohoto nařízení. Jsou-li zavedeny algoritmy pro soustavné učení, zdokumentuje výrobce rovněž zpracování údajů.
|
3.3.1 |
Musí být předložen seznam všech vstupních a snímaných proměnných s definicemi jejich pracovního rozsahu a popisem toho, jak každá proměnná ovlivňuje chování systému ADS. |
|
3.3.2 |
Musí být předložen seznam všech výstupních proměnných, jež jsou ovládány systémem ADS, a pro každý případ musí být vysvětleno, zda jsou řízeny přímo, nebo prostřednictvím jiného systému vozidla. Musí být definován rozsah, v němž bude systém ADS pravděpodobně vykonávat kontrolu nad každou takovou proměnnou. |
|
3.3.3 |
Musí být uvedeny meze definující hranice funkčního provozu včetně mezí provozně-konstrukční domény, jestliže jsou pro účinky systému ADS relevantní. |
|
3.3.4 |
Musí být vysvětlena koncepce interakce člověk-stroj (HMI) s cestujícími ve vozidle/palubní obsluhou/obsluhou dálkového zásahu (existuje-li) při přiblížení mezím provozně-konstrukční domény a následném dosažení těchto mezí. Toto vysvětlení musí obsahovat seznam druhů situací, v nichž systém ADS vyšle požadavek na podporu palubní obsluhy/obsluhy dálkového zásahu (je-li relevantní), způsob, jakým je tento požadavek proveden, postup řešení neúspěšného požadavku a manévr s minimálním rizikem. Musí obsahovat rovněž popis signálů a informací poskytnutých palubní obsluze/obsluze dálkového zásahu, cestujícím ve vozidle a ostatním účastníkům silničního provozu ohledně každého z výše uvedených aspektů. |
3.4 Uspořádání a schéma ADS
|
3.4.1 |
Seznam konstrukčních částí
Musí být předložen seznam zahrnující všechny jednotky systému ADS, kde budou uvedeny i ostatní systémy vozidla, jakož i hardware/software mimo vozidlo a možnost řízení na dálku, jichž je zapotřebí k zajištění stanoveného výkonu systému ADS, který má být schválen podle jeho provozně-konstrukční domény. Musí být předložen základní přehled, jenž tyto jednotky schematicky znázorní v jejich vzájemném spojení, přičemž z něj musí jasně vyplývat rozmístění jednotlivých zařízení i jejich vzájemná propojení. Součástí tohoto základního přehledu je:
|
|
3.4.2 |
Funkce jednotek
Musí být uvedena funkce každé jednotky systému ADS a uvedeny signály, které je spojují s jinými jednotkami nebo s jinými systémy vozidla. To musí zahrnovat systémy mimo vozidlo podporující systém ADS a další systémy vozidla. Tento přehled lze předložit v podobě označeného blokového nebo jiného schématu či formou popisu doplněného takovým schématem. |
|
3.4.3 |
Jednotlivá propojení v rámci systému ADS se znázorní pomocí schématu obvodu v případě elektrických přenosových spojů, schématu potrubí v případě pneumatických či hydraulických přenosových zařízení a pomocí zjednodušeného schematického přehledu u mechanických spojů. Rovněž musí být znázorněny přenosové spoje do jiných systémů a z nich. |
|
3.4.4 |
Mezi přenosovými spoji a signály přenášenými mezi jednotlivými jednotkami musí existovat jasný soulad. Priority signálů na multiplexovaných datových cestách musí být uvedeny všude, kde může priorita představovat problém ovlivňující výkonnost či bezpečnost. |
|
3.4.5 |
Identifikace jednotek |
|
3.4.5.1 |
Každá jednotka musí být jasně a jednoznačně identifikovatelná (např. pomocí označení pro hardware a pomocí označení nebo softwarového výstupu pro softwarový obsah), aby jí bylo možné přiřadit odpovídající hardware a dokumentaci. Pokud lze verzi softwaru změnit, aniž by bylo nutné vyměnit označení nebo konstrukční část, musí být softwarová identifikace provedena pouze softwarovým výstupem. |
|
3.4.5.2 |
V případech, kdy jsou funkce kombinovány v rámci jediné jednotky nebo v rámci jediného počítače, avšak z důvodu srozumitelnosti a názornosti znázorněny ve více blocích v blokovém schématu, použije se pouze jediné identifikační označení hardwaru. Výrobce použitím tohoto označení potvrzuje, že dodané zařízení je v souladu s odpovídajícím dokumentem. |
|
3.4.5.3 |
Označení vymezuje verzi hardwaru a softwaru, přičemž v případě změny verze softwaru jako např. za účelem změny funkce jednotky, pokud jde o toto nařízení, se změní i toto označení. |
|
3.4.6 |
Montáž konstrukčních částí snímacího systému
Výrobce poskytne informace o variantách montáže jednotlivých konstrukčních částí tvořících snímací systém. Tyto varianty zahrnují mimo jiné umístění konstrukční části ve vozidle nebo na něm, materiál (materiály) obklopující konstrukční část, dimenzování a geometrii materiálu obklopujícího konstrukční část a povrchovou úpravu materiálů, které budou konstrukční část po namontování do vozidla obklopovat. Mezi informacemi nesmí chybět montážní specifikace, které mají zásadní význam pro účinnost systému ADS, např. tolerance montážního úhlu. Změny jednotlivých konstrukčních částí snímacího systému nebo montážní varianty se oznámí schvalovacímu orgánu a podléhají dalšímu posouzení. |
3.5 Koncepce bezpečnosti výrobce a validace koncepce bezpečnosti výrobce
|
3.5.1 |
Výrobce poskytne prohlášení, v němž potvrdí, že systém ADS nepředstavuje pro cestující ve vozidle a ostatní účastníky silničního provozu nepřiměřené riziko. |
|
3.5.2 |
Pokud jde o software použitý v rámci systému ADS, musí být vysvětlena jeho základní architektura a musí být uvedeny metody a nástroje použité při jeho návrhu (viz bod 3.5.1). Výrobce musí předložit doklady o prostředcích, jejichž pomocí při navrhování a vývoji stanovil provedení logiky systému ADS. |
|
3.5.3 |
Výrobce musí schvalovacímu orgánu poskytnout vysvětlení konstrukčních opatření integrovaných do systému ADS k zajištění funkční a provozní bezpečnosti. Příklady případných konstrukčních opatření v systému ADS:
|
|
3.5.3.1 |
Pokud se zvoleným opatřením nastaví provozní režim částečného výkonu za určitých poruchových podmínek (např. v případě závažných poruch), musí být tyto podmínky uvedeny (např. druh poruchy) a musí být definovány z nich vyplývající meze účinnosti (např. okamžité zahájení manévru s minimálním rizikem) a výstražná strategie pro obsluhu/dálkovou obsluhu, cestující a ostatní účastníky silničního provozu (tam, kde je to relevantní). |
|
3.5.3.2 |
Pokud se zvoleným konstrukčním opatřením nastaví druhotné (záložní) nebo rozdílné prostředky k zajištění požadované výkonnosti ovlivněné danou poruchou, musí být vysvětleny zásady mechanismu přepínání, logika a úroveň rezervy a veškeré integrované prvky kontroly, a musí být definována výsledná omezení účinnosti. |
|
3.5.3.3 |
Pokud zvolené konstrukční opatření znamená odstranění funkce (funkcí) automatizovaného řízení, musí být provedeno v souladu s příslušnými ustanoveními tohoto předpisu. Všechny odpovídající výstupní ovládací signály spojené s touto funkcí musí být zablokovány. |
|
3.5.4 |
Výrobce musí rovněž poskytnout schvalovacímu orgánu vysvětlení opatření v oblasti provozní bezpečnosti, která mají být zavedena pro bezpečný provoz systému ADS, jako je například palubní obsluha nebo obsluha dálkového zásahu, podpůrná infrastruktura mimo vozidlo, požadavky na dopravní a fyzickou infrastrukturu, opatření v oblasti údržby atd. |
|
3.5.5 |
Dokumentace musí být podložena analýzou, která ukazuje, jak se bude systém ADS chovat, aby zmírnil rizika, která mohou mít vliv na bezpečnost cestujících ve vozidle a ostatních účastníků silničního provozu, nebo se těmto rizikům vyhnul. |
|
3.5.5.1 |
Zvolený analytický přístup (přístupy) musí být zaveden a udržován výrobcem a při schvalování typu i následně musí být zpřístupněn schvalovacímu orgánu ke kontrole. |
|
3.5.5.2 |
Schvalovací orgán musí posoudit uplatnění analytického přístupu (přístupů):
|
|
3.5.5.3 |
Analytický přístup podle bodu 3.5.5.2 musí potvrdit, že je zahrnuta alespoň každá z těchto položek:
|
|
3.5.5.4 |
Posouzení schvalovacím orgánem sestává z namátkových kontrol, aby bylo možné konstatovat, že argumentace, na níž je založena koncepce bezpečnosti, je pochopitelná a logická a uplatňuje se v jednotlivých funkcích systému ADS. Posouzení rovněž ověří, zda jsou plány validace dostatečně spolehlivé k prokázání bezpečnosti (např. přiměřený rozsah otestování zvolených scénářů pomocí vybraného validačního nástroje) a zda byly řádně provedeny. |
|
3.5.5.4.1 |
Musí se prokázat, že provoz plně automatizovaného vozidla v rámci jeho provozně-konstrukční domény nepředstavuje pro cestující ve vozidle a ostatní účastníky silničního provozu nepřiměřené riziko, tj. prostřednictvím:
|
|
3.5.5.5 |
Schvalovací orgán provede k ověření koncepce bezpečnosti zkoušky podle bodu 4 této přílohy nebo si vyžádá, aby byly provedeny. |
|
3.5.5.6 |
Tato dokumentace musí obsahovat podrobný seznam sledovaných parametrů a pro každý poruchový stav druhu vymezeného v bodě 3.5.4 této přílohy musí stanovit výstražný signál určený obsluze/dálkové obsluze/cestujícím ve vozidle/ostatním účastníkům silničního provozu a/nebo servisním pracovníkům nebo pracovníkům provádějícím technickou prohlídku. |
|
3.5.5.7 |
Tato dokumentace musí rovněž popsat zavedená opatření, která zajišťují, že systém ADS nepředstavuje nepřiměřené riziko pro cestující ve vozidle a ostatní účastníky silničního provozu, jsou-li vlastnosti systému ADS ovlivněny podmínkami vnějšího prostředí, např. klimatem, teplotou, vniknutím prachu, vniknutím vody, nánosem ledu, nepříznivým počasím. |
4. Ověření a zkoušky
Schvalovací orgán s přihlédnutím k výsledkům analýzy souboru dokumentace výrobce požádá technickou zkušebnu, aby provedla zkoušky za účelem kontroly konkrétních bodů vyplývajících z daného posouzení, případně na jejich provedení dohlédla.
|
4.1 |
Funkční provoz systému ADS, jak je stanoven v dokumentech požadovaných v bodě 3, se zkouší takto: |
|
4.1.1 |
Ověření funkce systému ADS
Schvalovací orgán ověří systém ADS za bezporuchových podmínek tak, že na zkušební dráze otestuje dle vlastního uvážení některé z funkcí popsaných výrobcem, a zkontroluje celkové chování systému ADS za skutečných jízdních podmínek včetně dodržování pravidel silničního provozu. Při těchto zkouškách nesmí chybět scénář, při němž je funkce systému ADS potlačena obsluhou dálkového zásahu (je-li relevantní). Tyto zkoušky mohou být založeny na zkušebních scénářích uvedených v části 3 této přílohy a/nebo na dalších scénářích, na které se část 3 nevztahuje. |
|
4.1.1.1 |
Výsledky zkoušek musí odpovídat popisu, včetně ovládacích strategií, který výrobce uvedl v bodě 3.2, a musí splňovat požadavky tohoto předpisu na výkonnost. |
|
4.1.2 |
Ověření koncepce bezpečnosti systému ADS
Reakce systému ADS pod vlivem vady v jakékoli samostatné jednotce se musí zkontrolovat použitím odpovídajících výstupních signálů do elektrických jednotek nebo mechanických prvků za účelem simulace účinků vnitřních poruch v rámci dané jednotky. Schvalovací orgán musí ověřit, že tyto zkoušky zahrnují prvky, které mohou ovlivňovat řiditelnost vozidla a informace pro uživatele (prvky týkající se rozhraní člověk-stroj, např. interakce s obsluhou/vzdálenou obsluhou). |
|
4.1.2.1 |
Schvalovací orgány rovněž zkontrolují řadu scénářů, které jsou kritické pro detekci předmětů a událostí a odezvu na ně a pro charakterizaci rozhodovacích funkcí a funkcí HMI systému ADS (např. obtížně zjistitelný předmět, dosažení mezí provozně-konstrukční domény systému ADS, scénáře s komplikovaným provozem, problém v oblasti konektivity, problém s vnějšími systémy, problémy s možnostmi řízení na dálku, např. neexistence obsluhy dálkového zásahu), jak jsou definovány v tomto předpisu. |
|
4.1.2.2 |
Výsledky ověření se musí shodovat s doloženým shrnutím analýzy nebezpečí na úrovni celkového účinku tak, aby byly koncepce bezpečnosti a její realizace potvrzeny jako přiměřené a v souladu s požadavky tohoto předpisu. |
|
4.2 |
K ověření koncepce bezpečnosti lze použít simulační nástroj a matematické modely v souladu s přílohou VIII nařízení (EU) 2018/858, zejména u scénářů, které nelze snadno provést na zkušební dráze nebo v podmínkách skutečného provozu. Výrobce prokáže rozsah simulačního nástroje, jeho vhodnost pro dotčený scénář, jakož i validaci provedenou pro řetězec simulačních nástrojů (korelace výsledku s fyzickými zkouškami). K prokázání platnosti souboru simulačních nástrojů se použijí zásady části 4 této přílohy. Simulace nesmí nahrazovat fyzické zkoušky uvedené v části 3 této přílohy. |
|
4.3 |
Výrobce musí mít platné osvědčení o shodě pro systém řízení bezpečnosti (SMS) odpovídající typu vozidla, který se schvaluje. |
5. Systém řízení bezpečnosti (SMS)
|
5.1 |
Pokud jde o systém ADS, musí výrobce schvalovacímu orgánu prokázat, že pokud jde o systém řízení bezpečnosti (SMS), jsou zavedeny, aktualizovány a v rámci organizace dodržovány účinné postupy, metodiky, odborná příprava a nástroje k řízení bezpečnosti a zajištění souladu během celého životního cyklu systému ADS. |
|
5.2 |
Musí být zaveden a zdokumentován proces navrhování a vývoje včetně systému řízení bezpečnosti, řízení a provádění požadavků, zkoušení, sledování poruch, nápravy a uvedení do provozu. |
|
5.3 |
Výrobce zajistí účinné komunikační kanály mezi svými odděleními, jež odpovídají za funkční/provozní bezpečnost, kybernetickou bezpečnost a další příslušné oblasti přispívající k zajištění bezpečnosti vozidel. |
|
5.4 |
Výrobce musí mít postupy zaměřené na sběr údajů o vozidle a údajů z jiných zdrojů pro účely monitorování a analýzy bezpečnostních incidentů/nehod způsobených činností automatizovaného systému řízení. Výrobce musí hlásit schvalovacím orgánům, orgánům pro dozor nad trhem a Komisi příslušné výskyty v souladu s částí 5 této přílohy. |
|
5.4.1 |
Výrobce musí provozovateli přepravních služeb umožnit, aby schvalovacím orgánům, orgánům dozoru nad trhem nebo jiným orgánům určeným členskými státy mohl poskytnout údaje o vozidle v souladu s bodem 5.4, jakož i údaje systému ADS a specifické datové prvky pro zapisovač údajů o události shromážděné v souladu s oddílem 9 přílohy II. |
|
5.5 |
Výrobce musí mít postupy pro řešení případných bezpečnostních nedostatků po registraci a pro aktualizaci vozidel, je-li to nezbytné. |
|
5.6 |
Výrobce musí prokázat, že se provádějí pravidelné nezávislé interní audity procesů (např. každé 2 roky), aby bylo zajištěno důsledné uplatňování postupů zavedených v souladu s body 5.1 až 5.5. |
|
5.7 |
Výrobci přijmou vhodná opatření (např. smluvní ujednání, jasná rozhraní, systém řízení kvality) ve vztahu ke svým dodavatelům s cílem zajistit, aby systém řízení bezpečnosti u dodavatelů splňoval požadavky bodu 5.1 (kromě prvků týkajících se vozidel, jako jsou „provoz“ a „vyřazení z provozu“), 5.2, 5.3 a 5.6. |
|
5.8 |
Osvědčení o shodě pro systém řízení bezpečnosti |
|
5.8.1 |
Žádost o osvědčení o shodě pro systém řízení bezpečnosti předkládá výrobce nebo jeho řádně pověřený zástupce schvalovacímu orgánu. |
|
5.8.2 |
K žádosti musí být přiloženy následující dokumenty ve trojím vyhotovení a tyto náležitosti:
|
|
5.8.3 |
Po úspěšném dokončení auditu systému řízení bezpečnosti a po obdržení podepsaného prohlášení od výrobce podle vzoru definovaného v dodatku 3 se výrobci udělí osvědčení nazvané „Osvědčení o shodě pro systém řízení bezpečnosti“, jak je popsáno v dodatku 4 (dále jen „Osvědčení o shodě pro SMS“). |
|
5.8.4 |
Osvědčení o shodě pro SMS zůstává v platnosti po dobu nejvýše tří let ode dne vydání osvědčení, není-li odňato. |
|
5.8.5 |
Schvalovací orgán může kdykoli ověřit, zda jsou požadavky na osvědčení o shodě pro SMS i nadále plněny. Schvalovací orgán osvědčení o shodě pro SMS odejme v případě, že jsou zjištěny závažné neshody v oblasti souladu s požadavky stanovenými v tomto nařízení a nejsou okamžitě řešeny. |
|
5.8.6 |
Výrobce informuje schvalovací orgán nebo jeho technickou zkušebnu o každé změně, která ovlivní význam osvědčení o shodě pro SMS. Po konzultaci s výrobcem schvalovací orgán nebo jeho technická zkušebna rozhodne, zda jsou zapotřebí nové kontroly. |
|
5.8.7 |
Výrobce včas požádá o nové osvědčení o shodě pro SMS nebo o rozšíření stávajícího osvědčení. Schvalovací orgán vydá na základě kladného auditu nové osvědčení o shodě pro SMS nebo prodlouží jeho platnost o další tři roky. Schvalovací orgán ověří, že SMS nadále splňuje požadavky tohoto nařízení. V případě, že byly schvalovacímu orgánu nebo jeho technické zkušebně oznámeny změny a tyto změny byly kladně přehodnoceny, vydá schvalovací orgán nové osvědčení. |
|
5.8.8. |
Vypršení platnosti nebo odejmutí osvědčení výrobce o shodě pro SMS se považuje, vzhledem k typům vozidla, pro které byl dotyčný SMS relevantní, za změnu schválení, jejíž součástí může být odejmutí schválení, pokud již podmínky pro udělení schválení nejsou nadále splněny. |
6. Ustanovení o podávání zpráv
|
6.1 |
Podávání zpráv o posouzení bezpečnosti koncepce bezpečnosti systému ADS, jakož i audit systému řízení bezpečnosti výrobce musí být prováděny tak, aby umožňovaly zpětnou zjistitelnost, např. verze kontrolovaných dokumentů jsou kódovány a uvedeny v záznamech technické zkušebny. |
|
6.2 |
Příklad uspořádání způsobu posouzení koncepce bezpečnosti systému ADS technickou zkušebnou určeného pro schvalovací orgán je uveden v dodatku 1 k této části. Položky uvedené v tomto dodatku jsou uvedeny jako minimální soubor položek, které je třeba obsáhnout. |
|
6.3 |
Udělující schvalovací orgán vydá výsledky posouzení bezpečnosti, které mají být přiloženy k certifikátu schválení typu, na základě dokumentace poskytnuté výrobcem, zprávy o posouzení koncepce bezpečnosti systému ADS technickou zkušebnou a výsledků ověřovacích a zkušebních kampaní provedených v souladu s částí 3 této přílohy. Příklad možného uspořádání výsledků posouzení bezpečnosti je uveden v dodatku 4. |
7. Způsobilost auditorů/hodnotitelů
|
7.1 |
Posouzení koncepce bezpečnosti systému ADS a audit systému řízení bezpečnosti podle této části provádějí pouze hodnotitelé/auditoři s technickými a administrativními znalostmi nezbytnými pro tyto účely. Zejména musí být způsobilí jako auditoři/hodnotitelé pro účely normy ISO 26262-2018 (Funkční bezpečnost – silniční vozidla) a ISO/PAS 21448 (Bezpečnost zamýšlené funkce silničních vozidel); a musí být schopni provést nezbytné provázání s aspekty kybernetické bezpečnosti v souladu s předpisem OSN č. 155 a normou ISO/SAE 21434). Způsobilost se prokazuje vhodnou kvalifikací nebo jinými rovnocennými záznamy o odborné přípravě.
Dodatek 1 Vzor zprávy o posouzení koncepce bezpečnosti systému ADS Zpráva o posouzení bezpečnosti č.: 1. Identifikace 1.1 Značka vozidla 1.2 Typ vozidla 1.3 Způsob označení typu vozidla, je-li na vozidle vyznačen 1.4 Umístění tohoto označení 1.5 Název a adresa výrobce 1.6 Případně název a adresa zástupce výrobce 1.7 Formální soubor dokumentace výrobceReferenční číslo dokumentace Datum původního vydání Datum poslední aktualizace 2. Metoda hodnocení 2.1 Popis postupů a metodik posouzení 2.2 Kritéria přijatelnosti 3. Výsledky přezkumu souboru dokumentace 3.1 Přezkum popisu systému ADS 3.2 Přezkum koncepce bezpečnosti výrobce a bezpečnostní analýzy výrobce 3.3 Přezkum ověření a validace provedených výrobcem, zejména co se týče jednotlivých zkoušek, a stanovení minimálních prahových hodnot pro různá měření 3.4 Přezkum použitých metod a nástrojů (software, laboratoř, jiné) a posouzení věrohodnosti 3.5 Přezkum požadavků na údaje systému ADS a konkrétních datových prvků pro zapisovač údajů o události pro plně automatizovaná vozidla 3.6 Kontroly osvědčení o kybernetické bezpečnosti a aktualizaci softwaru se vztahují na systém ADS 3.7 Přezkum informací uvedených v provozní příručce 3.8 Přezkum ustanovení o pravidelných technických prohlídkách systému ADS 3.9 Přezkum dodatečných informací, které nejsou obsaženy v informačním dokumentu 4. Ověření funkcí systému ADS za bezporuchových podmínek (uvedených v bodě 4.1.1 přílohy III části 2 prováděcího nařízení Komise (EU) 2022/1426 ze dne 5. srpna 2022, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) 2019/2144, pokud jde o jednotné postupy a technické specifikace pro schvalování typu automatizovaného systému řízení (ADS) plně automatizovaných vozidel (2) 4.1 Zdůvodnění výběru zkušebních scénářů 4.2 Vybrané zkušební scénáře 4.3 Zkušební protokoly 4.3.1 Zkouška č. (doplňte podle počtu provedených zkoušek) 4.3.1.1 Cíle zkoušky 4.3.1.2 Zkušební podmínky 4.3.1.3 Měřené veličiny a měřicí přístroje 4.3.1.4 Kritéria přijatelnosti 4.3.1.5 Výsledky zkoušek 4.3.1.6 Porovnání s dokumentací dodanou výrobcem 5. Ověření koncepce bezpečnosti systému ADS v rámci poruchy (uvedené v bodě 4.1.2 přílohy III části 2 prováděcího nařízení (EU) 2022/1426 5.1 Zdůvodnění výběru zkušebních scénářů 5.2 Vybrané zkušební scénáře 5.3 Zkušební protokoly 5.3.1 Zkouška č. (doplňte podle počtu provedených zkoušek) 5.3.1.1 Cíle zkoušky 5.3.1.2 Zkušební podmínky 5.3.1.3 Měřené veličiny a měřicí přístroje 5.3.1.4 Kritéria přijatelnosti 5.3.1.5 Výsledky zkoušek 5.3.1.6 Porovnání s dokumentací dodanou výrobcem 6. Osvědčení o systému řízení bezpečnosti (musí být připojeno k tomuto zkušebnímu protokolu) 7. Datum posouzení 8. Konečné rozhodnutí o výsledku posouzení bezpečnosti 9. Toto posouzení bylo provedeno a výsledky oznámeny v souladu s prováděcím nařízením (EU) 2022/1426Technická zkušebna provádějící posouzení
10. Poznámky: Dodatek 2 Vzor výsledků posouzení systému ADS, které se přikládají k certifikátu schválení typu 1. Identifikace: 1.1 Značka vozidla: 1.2 Typ vozidla: 1.3 Způsob označení typu vozidla, je-li na vozidle vyznačen: 1.4 Umístění tohoto označení: 1.5 Název a adresa výrobce: 1.6 Případně název a adresa zástupce výrobce: 1.7 Formální soubor dokumentace výrobce:Referenční číslo dokumentace: Datum původního vydání: Datum poslední aktualizace: 2. Metoda hodnocení 2.1 Popis postupů a metodik posouzení 2.2 Kritéria přijatelnosti 3. Ověření funkcí systému ADS za bezporuchových podmínek (uvedených v bodě 4.1.1 přílohy III části 2 nařízení (EU) 2022/1426) 3.1 Zdůvodnění výběru zkušebních scénářů 3.2 Vybrané zkušební scénáře 4. Ověření koncepce bezpečnosti systému ADS v rámci jednotlivé poruchy (uvedené v bodě 4.1.2 přílohy III části 2 nařízení (EU) 2022/1426) 4.1 Zdůvodnění výběru zkušebních scénářů 4.2 Vybrané zkušební scénáře 5. Výsledky posouzení 5.1 Výsledky přezkumu informačního dokumentu 5.2 Výsledky ověření funkcí ADS za bezporuchových podmínek 5.3 Výsledky ověření koncepce bezpečnosti ADS v rámci jednotlivé poruchy 5.4 Výsledky posouzení systému řízení bezpečnosti 5.5 Výsledky ověření ustanovení o pravidelných technických prohlídkách 6. Konečné rozhodnutí o výsledku posouzení bezpečnosti Dodatek 3 Vzor prohlášení výrobce o shodě pro SMS Prohlášení výrobce o splnění požadavků na systém řízení bezpečnosti Název výrobce: Adresa výrobce: … (název výrobce) potvrzuje, že jsou zavedeny postupy nezbytné ke splnění požadavků na systém řízení bezpečnosti stanovených v prováděcím nařízení (EU) 2022/1426 a že tyto postupy budou nadále dodržovány. Vystaveno v: … (místo) Datum: Jméno podepisující osoby: Funkce podepisující osoby: (razítko a podpis zástupce výrobce) Dodatek 4 Vzor osvědčení o shodě pro SMS Osvědčení o shodě pro systém řízení bezpečnosti v souladu s nařízením (EU) 2022/1426 Číslo osvědčení [referenční číslo] [… schvalovací orgán] potvrzuje, že Výrobce: … Adresa výrobce: vyhovuje ustanovením prováděcího nařízení (EU) 2022/1426 Ověření proběhlo dne: (název a adresa schvalovacího orgánu nebo technické zkušebny): Číslo protokolu: … Osvědčení je platné do [….datum] V […místo] Dne […datum] […podpis] Přílohy: popis systému řízení bezpečnosti výrobce. |
ČÁST 3
ZKOUŠKY
1. Obecná ustanovení
Kritéria vyhovění a nevyhovění pro účely posouzení bezpečnosti systému ADS vycházejí z požadavků stanovených v příloze II a ze scénáře popsaného v části 1 této přílohy. Požadavky jsou definovány tak, aby bylo možné kritéria vyhovění/nevyhovění odvodit nejen pro daný soubor zkušebních parametrů, ale i pro veškeré kombinace parametrů souvisejících s bezpečností, které mohou nastat za provozních podmínek, na něž se vztahuje schválení typu a daný provozní rozsah (např. rozsah rychlostí, rozsah podélného a bočního zrychlení, poloměry zakřivení, jas a počet jízdních pruhů). U podmínek, které nejsou zkoušeny, ale mohou se vyskytnout v rámci definované provozně-konstrukční domény daného systému, musí výrobce v rámci posouzení popsaného v části 2 ke spokojenosti schvalovacího orgánu prokázat, že vozidlo je bezpečně ovládáno.
Tyto zkoušky musí potvrdit minimální požadavky na výkonnost popsané v příloze II a funkčnost systému ADS a koncepci bezpečnosti výrobce popsanou v části 2 této přílohy. Výsledky zkoušek musí být zdokumentovány a zaznamenány v souladu s bodem 6 části 2 této přílohy.
Tyto zkoušky musí rovněž potvrdit, že systém ADS je v souladu s pravidly silničního provozu, přizpůsobuje svůj provoz podmínkám vnějšího prostředí, nebrání plynulosti provozu (např. blokování jízdního pruhu kvůli příliš velkému počtu manévrů s minimálním rizikem), nevykazuje nepředvídatelné chování a v příslušných situacích vykazuje přiměřené chování, pokud jde o spolupráci a předjímání (tj. pohyb v hustém provozu nebo v blízkosti zranitelných účastníků silničního provozu).
2. Zkušební místo
Zkušební místo se musí vyznačovat vlastnostmi (například: hodnota tření), které odpovídají uvedené provozně-konstrukční doméně systému ADS. Je-li to nezbytné k uplatnění zvláštních podmínek provozně-konstrukční domény systému ADS, provedou se fyzické zkoušky v rámci skutečné (silniční) provozně-konstrukční domény nebo ve zkušebním zařízení, jež podmínky této domény reprodukuje a které stanoví výrobce a schvalovací orgán. Systém ADS se zkouší na silnici v souladu s platnými právními předpisy členských států a za předpokladu, že zkoušky lze provádět bezpečně a bez rizika pro ostatní účastníky silničního provozu.
3. Podmínky vnějšího prostředí
Zkoušky se provádějí za různých podmínek vnějšího prostředí v mezích hodnoty stanovené provozně-konstrukční domény pro systém ADS. Pro podmínky vnějšího prostředí, které nebyly zkoušeny a které mohou v rámci stanovené provozně-konstrukční domény nastat, musí výrobce v rámci posouzení prokázat ke spokojenosti schvalovacího orgánu, že vozidlo je bezpečně ovladatelné.
Pro účely zkoušení požadavků na selhání funkcí, samočinného zkoušení systému ADS a zahájení a provedení manévru s minimálním rizikem může být provedeno umělé vyvolání chyb a vozidlo může být uměle uvedeno do situací, kdy dosáhne limitů definovaného provozního rozsahu (např. podmínky vnějšího prostředí).
4. Úpravy systému pro účely zkoušky
Je-li k provedení zkoušek nutné systém ADS upravit, např. kritéria posouzení typu silnice nebo informace o typu silnice (mapové údaje), musí být zajištěno, aby tyto úpravy neovlivnily výsledky zkoušek. V zásadě je třeba tyto úpravy zdokumentovat a připojit ke zkušebnímu protokolu. Popis těchto úprav a důkazy o jejich vlivu (existuje-li) musí být zdokumentovány a připojeny ke zkušebnímu protokolu.
5. Stav vozidla
|
5.1 |
Zkušební hmotnost
Zkoušené vozidlo se zkouší s veškerým přípustným zatížením vozidla. Po zahájení zkoušky se nesmí provádět žádná změna zatížení. Výrobce musí prostřednictvím použité dokumentace prokázat, že systém ADS funguje při každém zatížení. |
|
5.2 |
Zkoušené vozidlo se zkouší s takovým tlakem v pneumatikách, jaký doporučuje výrobce. |
|
5.3 |
Musí být ověřeno, že je stav systému v souladu se zamýšleným zkušebním účelem (např. v bezchybném stavu nebo se specifickými závadami, které mají být zkoušeny). |
6. Zkušební nástroje
Kromě skutečných vozidel lze k provádění zkoušek použít nejmodernější zkušební nástroje, které nahradí skutečná vozidla a ostatní účastníky silničního provozu (např. měkké cíle, mobilní platformy atd.). Náhradní zkušební nástroje musí splňovat vlastnosti podstatné pro posuzování senzorické účinnosti, skutečná vozidla a ostatní účastníky silničního provozu. Zkoušky se nesmějí provádět způsobem, který by ohrozil zúčastněné pracovníky, a musí předcházet významnému poškození zkoušeného vozidla, jsou-li k dispozici jiné prostředky validace.
7. Variace zkušebních parametrů
Výrobce schvalovacímu orgánu oznámí, jaké jsou meze systému. Schvalovací orgán musí definovat různé kombinace zkušebních parametrů pro účely zkoušky systému ADS (např. rychlost vozidla, typ a posun cíle, zakřivení jízdního pruhu atd.). Vybrané zkušební případy musí poskytovat dostatečné pokrytí zkoušek pro všechny scénáře, zkušební parametry a vlivy vnějšího prostředí. Musí být prokázána přiměřená odolnost systémů vnímání ADS vůči chybě vstupních údajů/údajů snímaných čidly a nepříznivým podmínkám vnějšího prostředí.
Schvalovací orgán zvolí zkušební parametry pro každou zkoušku a zaznamená je do zkušebního protokolu tak, aby bylo možné zkušební sestavu zpětně vysledovat a opakovat.
8. Scénáře zkoušek k posouzení výkonnosti systému ADS na zkušební dráze (body 8.1, 8.2, 8.5, 8.6, 8.7, 8.8, 8.9) a na silnici (8.3, 8.4, 8.10).
Za minimální soubor zkoušek je třeba považovat scénáře obsažené v následujících bodech. Na žádost schvalovacího orgánu lze provést další scénáře, které jsou součástí dané provozně-konstrukční domény. Pokud scénář popsaný v bodě 8 této přílohy nespadá do provozně-konstrukční domény daného vozidla, nebere se v úvahu.
V závislosti na provozně-konstrukční doméně se vybírají zkušební scénáře v rámci zkoušky pro schválení typu. Zkušební scénáře se vybírají v souladu s částí 1 této přílohy. Zkoušky pro schválení typu se mohou provádět na základě simulací, manévrů na zkušební dráze a jízdních zkoušek v reálném silničním provozu. Nesmí však být založeny pouze na počítačových simulacích a při schvalování typu musí schvalovací orgán provést minimálně následující zkoušky za účelem posouzení chování systému ADS, nebo na jejich provedení dohlížet.
8.1 Udržování vozidla v jízdním pruhu
Zkouška musí prokázat, že plně automatizované vozidlo neopouští jízdní pruh a udržuje stabilní pohyb uvnitř svého jízdního pruhu v rámci celé škály rychlostí a různých poloměrů zakřivení, které nepřekračují meze systému.
|
8.1.1 |
Zkouška musí být založena na provozně-konstrukční doméně systému ADS a musí splňovat následující minimální požadavky:
|
8.2 Manévr pro změnu jízdního pruhu
Zkoušky musí prokázat, že plně automatizované vozidlo nepředstavuje nepřiměřené riziko pro bezpečnost cestujících ve vozidle a ostatních účastníků silničního provozu v průběhu změny jízdního pruhu, a že systém ADS je schopen posoudit kritičnost situace před zahájením manévru pro změnu jízdního pruhu v celém rozsahu provozní rychlosti. Tyto zkoušky se vyžadují pouze tehdy, je-li plně automatizované vozidlo schopno provést změnu jízdního pruhu buď během manévru s minimálním rizikem, nebo během běžného provozu.
|
8.2.1 |
Provedou se tyto zkoušky:
|
|
8.2.2 |
Minimální požadavky na provedení zkoušek:
|
8.3 Reakce na různé geometrie vozovky
Tyto zkoušky zajistí, aby plně automatizované vozidlo detekovalo změny celé škály geometrie vozovky, ke kterým může dojít v rámci zamýšlené provozně-konstrukční domény v celém jejím rozsahu rychlostí, a přizpůsobilo se jim.
|
8.3.1 |
Požadavky na provedení zkoušky minimálně pro níže uvedené scénáře na základě provozně-konstrukční domény systému ADS:
|
|
8.3.2 |
Minimální požadavky na provedení zkoušky:
|
8.4 Reakce na vnitrostátní pravidla silničního provozu a silniční infrastrukturu
Tyto zkoušky zajistí, aby plně automatizované vozidlo splňovalo vnitrostátní pravidla silničního provozu a aby se přizpůsobilo různým trvalým a dočasným změnám silniční infrastruktury (např. pracím na silnici) v celém rozsahu rychlostí.
|
8.4.1 |
Minimální požadavky na provedení této zkoušky obsahují seznam níže uvedených scénářů, které se vztahují na danou provozně-konstrukční doménu systému ADS:
|
|
8.4.2 |
Minimální požadavky na provedení zkoušky:
|
8.5 Zabránění srážkám: Zabránění srážce s účastníky silničního provozu nebo předměty blokujícími jízdní pruh
Zkouška musí prokázat, že plně automatizované vozidlo dokáže i při maximální specifikované rychlosti systému ADS zabránit srážce se stojícím vozidlem, s účastníkem silničního provozu nebo s předmětem zcela nebo částečně blokujícím jízdní pruh.
|
8.5.1 |
Minimální požadavky na provedení této zkoušky obsahují níže uvedené scénáře v případě, že se vztahují na danou provozně-konstrukční doménu:
|
8.6 Vyhnout se nouzovému brzdění před překonatelným předmětem v jízdním pruhu. „Překonatelným předmětem“ se rozumí předmět, na který lze najet, aniž by to znamenalo nepřiměřené riziko pro cestující ve vozidle nebo ostatní účastníky silničního provozu.
Zkouška musí prokázat, že plně automatizované vozidlo nezahajuje tísňové brzdění při požadavku na zpomalení větším než 5 m/s2 z důvodu překonatelného předmětu v jízdním pruhu relevantním pro danou provozně-konstrukční doménu (např. poklop šachty nebo malá větev) až do maximální specifikované rychlosti systému ADS.
|
8.6.1 |
Minimální požadavky na provedení této zkoušky obsahují níže uvedené scénáře v případě, že se vztahují na danou provozně-konstrukční doménu:
|
8.7 Jízda za vozidlem jedoucím vpředu
Zkouška musí prokázat, že plně automatizované vozidlo dokáže udržovat a obnovit stabilní pohyb a bezpečnou vzdálenost od vozidla jedoucího vpředu a zabránit střetu, pokud před ním toto vozidlo brzdí až do maximálního zpomalení.
|
8.7.1 |
Minimální požadavky na provedení této zkoušky obsahují níže uvedené scénáře v případě, že se vztahují na danou provozně-konstrukční doménu:
|
8.8 Vjetí jiného vozidla do jízdního pruhu (zařazení natěsno)
Zkouška musí prokázat, že plně automatizované vozidlo dokáže zabránit srážce s vozidlem nebo s jiným účastníkem silničního provozu, který se do jízdního pruhu plně automatizovaného vozidla zařazuje tak natěsno, že se do určité míry jedná o kritický manévr.
|
8.8.1 |
Kritičnost zařazení natěsno se určí podle ustanovení uvádějících část 1 této přílohy a v závislosti na vzdálenosti mezi nejzadnějším bodem vozidla zařazujícího se natěsno a nejpřednějším bodem plně automatizovaného vozidla. |
|
8.8.2 |
Minimální požadavky na provedení této zkoušky obsahují níže uvedené scénáře v případě, že se vztahují na danou provozně-konstrukční doménu:
|
8.9 Statická překážka poté, co vozidlo jedoucí vpředu změnilo jízdní pruh (vyjetí z jízdního pruhu)
Zkouška musí prokázat, že plně automatizované vozidlo dokáže zabránit srážce se stojícím vozidlem, účastníkem silničního provozu nebo překážkou blokující jízdní pruh, které se objevily poté, co vozidlo jedoucí vpředu zabránilo srážce úhybným manévrem. Zkouška musí být založena na požadavcích stanovených v příloze II a na parametrech scénáře v části 1 této přílohy. U podmínek, které nebyly zkoušeny a které se mohou vyskytnout ve stanoveném provozním rozsahu vozidla, musí výrobce v rámci posouzení popsaného v části 2 přílohy III ke spokojenosti příslušných orgánů prokázat, že vozidlo je bezpečně ovládáno.
|
8.9.1 |
Minimální požadavky na provedení této zkoušky obsahují níže uvedené scénáře v případě, že se vztahují na danou provozně-konstrukční doménu:
|
8.10 Parkování
Zkouška musí prokázat, že systém ADS dokáže zaparkovat na různých parkovacích místech a na různě řešených parkovištích za rozličných podmínek a že během parkovacího manévru nepoškozuje okolní předměty, účastníky silničního provozu ani sebe.
|
8.10.1 |
Minimální požadavky na provedení této zkoušky obsahují níže uvedené scénáře v případě, že se vztahují na danou provozně-konstrukční doménu:
|
8.11 Navigace v parkovacím zařízení
Zkouška musí prokázat, že systém ADS je schopen zvládnout nízkou rychlost jízdy a celkovou nedostatečnou viditelnost, která může na parkovišti panovat.
|
8.11.1 |
Minimální požadavky na provedení této zkoušky obsahují níže uvedené scénáře v případě, že se vztahují na danou provozně-konstrukční doménu:
|
8.12 Specifické scénáře pro dálnice
|
8.12.1 |
Vjezd na dálnici
Zkouška musí prokázat, že systém ADS je schopen bezpečně vjet na dálnici. |
|
8.12.1.1 |
Minimální požadavky na provedení této zkoušky obsahují níže uvedené scénáře v případě, že se vztahují na danou provozně-konstrukční doménu:
|
|
8.12.2 |
Sjezd z dálnice
Zkouška musí prokázat, že systém ADS je schopen bezpečně sjet z dálnice. |
|
8.12.2.1 |
Minimální požadavky na provedení této zkoušky obsahují níže uvedené scénáře v případě, že se vztahují na danou provozně-konstrukční doménu:
|
|
8.12.3 |
Mýtná stanice
Zkouška musí prokázat, že systém ADS je schopen vybrat správnou průjezdnou bránu a přizpůsobit svou rychlost rychlosti povolené v dané mýtné oblasti. |
|
8.12.3.1 |
Minimální požadavky na provedení této zkoušky obsahují níže uvedené scénáře v případě, že se vztahují na danou provozně-konstrukční doménu:
|
8.13 Přechod mezi manuálním jízdním režimem a plně automatizovaným režimem u vozidel s duálním režimem.
Zkouška musí prokázat, že systém ADS převezme dynamickou funkci řízení bezpečně a jen tehdy, pokud vozidlo stojí.
|
8.13.1 |
Minimální požadavky na provedení této zkoušky obsahují níže uvedené scénáře v případě, že se vztahují na danou provozně-konstrukční doménu:
|
|
8.13.2 |
Minimální požadavky na provedení této zkoušky obsahují níže uvedené scénáře v případě, že se vztahují na danou provozně-konstrukční doménu:
|
ČAST 4
ZÁSADY POSOUZENÍ VĚROHODNOSTI PRO ÚČELY VYUŽITÍ SOUBORU NÁSTROJŮ PRO SIMULACI PŘI VALIDACI SYSTÉMU ADS
1. Obecně
|
1.1 |
Věrohodnosti lze dosáhnout zkoumáním a posouzením pěti vlastností v oblasti modelování a simulace:
|
|
1.2. |
Rámec pro posouzení věrohodnosti musí být zároveň dostatečně obecný, aby mohl být použit pro různé typy a uplatnění modelování a simulace. Tento cíl však komplikují velké rozdíly mezi vlastnostmi systému ADS a rozmanitostí typů a uplatnění modelování a simulace. Tyto úvahy vyžadují rámec pro posouzení věrohodnosti (založený na rizicích/informovaný), který je relevantní a vhodný pro veškerá uplatnění v oblasti modelování a simulací. |
|
1.3 |
Rámec pro posouzení věrohodnosti poskytuje obecný popis hlavních aspektů zvažovaných při posuzování věrohodnosti řešení v oblasti modelování a simulace společně se zásadami týkajícími se úlohy třetích stran jako posuzovatelů v procesu validace s ohledem na věrohodnost. Pokud jde o posledně zmiňovaný bod, schvalovací orgán prošetří předloženou dokumentaci podporující věrohodnost ve fázi posuzování, přičemž skutečné validační zkoušky se uskuteční, jakmile výrobce vyvine dané integrované simulační systémy. |
|
1.4. |
Výsledek aktuálního posouzení věrohodnosti nakonec určí, v jakém rozsahu lze daný nástroj pro simulaci použít na podporu posouzení systému ADS. |
|
1.5. |
Požadavky této části jsou proto určeny k prokázání věrohodnosti jakéhokoli simulačního modelu nebo souboru nástrojů pro simulaci k využití při validaci systému ADS. |
2. Definice
Pro účely této přílohy se použijí tyto definice:
|
2.1 |
„abstrakcí“ se rozumí proces výběru podstatných aspektů zdrojového systému nebo referenčního systému, které mají být reprezentovány v modelu nebo simulaci, přičemž se neberou v úvahu nerelevantní aspekty. Při každé abstrakci při modelování se vychází z předpokladu, že významně neovlivní zamýšlené použití simulačního nástroje; |
|
2.2 |
„zkoušením v uzavřené smyčce“ se rozumí virtuální prostředí, které zohledňuje jednání daného prvku v rámci okruhu. Simulované předměty reagují na jednání daného systému (např. interakce systému s dopravním modelem); |
|
2.3 |
„deterministickým“ se rozumí termín popisující systém, jehož vývoj v průběhu času lze přesně předpovědět a daný soubor vstupních podnětů bude mít vždy za výsledek stejný výstup; |
|
2.4 |
simulace „řidič ve smyčce“ (DIL) se obvykle provádí v simulátoru řízení vozidel, který se používá k testování návrhu interakce člověk-automatizace. Simulace DIL obsahuje komponenty umožňující řidiči ovládat virtuální prostředí a komunikovat s ním; |
|
2.5 |
„hardware ve smyčce (HIL)“ obsahuje konečnou verzi hardwaru subsystému konkrétního vozidla, na kterém je spuštěna konečná verze softwaru se vstupem a výstupem připojeným k simulačnímu prostředí za účelem provedení zkoušení se simulací. Zkouška HIL umožňuje replikaci čidel, akčních členů a mechanických konstrukčních částí způsobem, který propojuje všechny zkoušené vstupní/výstupní elektronické řídicí jednotky (ECU) dlouho před integrací konečného systému; |
|
2.6 |
„modelem“ se rozumí popis nebo znázornění systému, entity, jevu nebo procesu; |
|
2.7 |
„kalibrací modelu“ se rozumí proces úpravy číselných nebo modelových parametrů v modelu za účelem zlepšení shody s referenčními veličinami; |
|
2.8 |
„modelovým parametrem“ se rozumí číselné hodnoty používané k podpoře charakterizace určité funkce systému. Modelový parametr má hodnotu, kterou nelze vypozorovat přímo ve skutečném světě, ale je nutno ji odvodit z údajů shromážděných ve skutečném světě (ve fázi kalibrace modelu); |
|
2.9 |
„modelem ve smyčce (MIL)“ se rozumí přístup, který umožňuje rychlý vývoj algoritmů bez zapojení specializovaného hardwaru. Tato úroveň vývoje obvykle zahrnuje softwarové rámce na vysoké úrovni abstrakce spuštěné na univerzálních výpočetních systémech; |
|
2.10 |
„zkoušením v otevřené smyčce“ se rozumí virtuální prostředí, které nezohledňuje jednání prvku ve smyčce (např. systém v interakci se zaznamenanou dopravní situací); |
|
2.11 |
„pravděpodobnostní“ je termín týkající se nedeterministických událostí, jejichž výsledky jsou popsány na základě míry pravděpodobnosti; |
|
2.12 |
„zkušebním místem nebo zkušební dráhou“ se rozumí fyzické zkušební zařízení uzavřené pro provoz, kde lze zkoumat výkon systému ADS na skutečném vozidle. Lze zavádět dopravní faktory prostřednictvím stimulace čidel nebo prostřednictvím maket zařízení umístěných na trati; |
|
2.13 |
„stimulací čidel“ se rozumí technika, při níž jsou zkoušenému prvku poskytovány uměle generované signály s cílem aktivovat ho a dosáhnout výsledku nezbytného pro ověření v reálném světě, odbornou přípravu, údržbu nebo pro výzkum a vývoj; |
|
2.14 |
„simulací“ se rozumí nápodoba fungování reálného procesu nebo systému v průběhu času; |
|
2.15 |
„simulačním modelem“ se rozumí model, jehož vstupní proměnné se v průběhu času mění; |
|
2.16 |
„souborem simulačních nástrojů“ se rozumí kombinace simulačních nástrojů, které se používají k podpoře validace systému ADS; |
|
2.17 |
„softwarem ve smyčce (SIL)“ se rozumí místo hodnocení implementace vytvořeného modelu na univerzálních výpočetních systémech. Tento krok může použít kompletní implementaci softwaru, která se velmi blíží implementaci konečné. Zkoušky SIL se používají k popisu testovací metodiky, při níž je testován spustitelný kód, jako jsou například algoritmy (nebo dokonce celá strategie ovládání), v modelovacím prostředí, které může pomoci při prověřování nebo zkouškách daného softwaru; |
|
2.18 |
„stochastickým“ se rozumí proces zahrnující nebo obsahující náhodnou veličinu nebo veličiny. Vztahuje se k náhodě nebo pravděpodobnosti; |
|
2.19 |
„validací simulačního modelu“ se rozumí proces určování toho, do jaké míry je simulační model přesným znázorněním reálného světa z hlediska zamýšleného použití daného nástroje; |
|
2.20 |
„vozidlem ve smyčce (VIL)“ se rozumí fúzní prostředí skutečného testovacího vozidla v reálném světě a ve virtuálním prostředí. Může odrážet dynamiku vozidla na stejné úrovni jako reálná situace, a lze jej provést na zkušebním stavu vozidla nebo na zkušební dráze; |
|
2.21 |
„ověřením simulačního modelu“ se rozumí proces určení toho, do jaké míry je simulační model nebo nástroj pro zkoušení se simulací v souladu s vlastními požadavky a specifikacemi podrobně popsanými v jeho koncepčních modelech, matematických modelech nebo jiných konstruktech; |
|
2.22 |
„zkoušením se simulací“ se rozumí proces zkoušení systému pomocí jednoho nebo více simulačních modelů. |
3. Součásti rámce posuzování věrohodnosti a související požadavky na dokumentaci
|
3.1 |
Rámec posuzování věrohodnosti zavádí způsob hodnocení a vykazování věrohodnosti modelování a simulace na základě kritérií zajištění kvality, přičemž lze uvést úroveň důvěry ve výsledky. Jinými slovy to znamená, že se věrohodnost určuje na základě vyhodnocení následujících faktorů ovlivňujících modelování a simulaci, které jsou považovány za hlavní faktory podílející se na vlastnostech v oblasti modelování a simulace, a tedy i na celkové věrohodnosti modelování a simulace: a) řízení modelování a simulace; b) zkušenosti a odborné znalosti týmu; c) analýza a popis modelování a simulace; d) rodokmen dat/vstupů a e) ověření, validace, charakterizace nejistoty. Každý z těchto faktorů indikuje úroveň kvality dosaženou na základě modelování a simulace a porovnání dosažených úrovní s úrovněmi požadovanými určuje, zda jsou modelování a simulace věrohodné a vhodné k použití pro účely zkoušení se simulací. Níže je uvedeno grafické znázornění vztahu mezi jednotlivými složkami rámce posuzování věrohodnosti.
|
|
3.2 |
Řízení modelů a simulace. |
|
3.2.1 |
Životní cyklus modelování a simulace je dynamický proces produkující mnoho verzí, který je nutno monitorovat a dokumentovat. Musí být zavedeny činnosti v oblasti řízení na podporu modelování a simulace z hlediska řízení výsledků práce. Je nutno poskytnout relevantní informace o následujících aspektech. |
|
3.2.2 |
Proces řízení modelování a simulace musí:
|
|
3.2.3 |
Řízení verzí |
|
3.2.3.1 |
Všechny verze souboru nástrojů modelování a simulace použité k uvolnění údajů pro účely certifikace musí být ukládány. Virtuální modely představující soubor zkušebních nástrojů musí být zdokumentovány z hlediska odpovídajících validačních metod a prahových hodnot přijatelnosti s cílem podpořit celkovou věrohodnost daného souboru nástrojů. Vývojář musí zavést závaznou metodu vysledování vytvořených údajů k příslušné verzi modelování a simulace. |
|
3.2.3.2 |
Kontrola kvality virtuálních údajů. Je nutno zajistit úplnost, přesnost a konzistentnost údajů u všech verzí a po celou dobu životnosti souboru nástrojů modelování a simulace na podporu postupů ověřování a validace. |
|
3.2.4 |
Zkušenosti a odborné znalosti týmu. |
|
3.2.4.1 |
Ačkoli zkušenosti a odborné znalosti jsou již v obecném smyslu pokryty v rámci organizace, je důležité vytvořit základ pro důvěru v konkrétní zkušenosti a odborné znalosti pro účely aktivit v oblasti modelování a simulace. |
|
3.2.4.2 |
Věrohodnost modelování a simulace závisí nejen na kvalitě simulačních modelů, ale také na zkušenostech a odborných znalostech pracovníků podílejících se na validaci a využívání modelování a simulace. Správné pochopení omezení a validační domény například zabrání možnému zneužití modelování a simulace nebo nesprávné interpretaci jejich výsledků. |
|
3.2.4.3 |
Proto je důležité vytvořit základ pro důvěru výrobce ve zkušenosti a odborné znalosti:
|
|
3.2.4.4 |
Řádné řízení zkušeností a odborných znalostí týmu zvyšuje úroveň důvěry ve věrohodnost modelování a simulace a jejich výsledků tím, že zajišťuje, že budou zohledněny lidské faktory ovlivňující modelování a simulaci a že bude řízeno jakékoli potenciální riziko lidského faktoru, jak se to předpokládá v každém vhodném systému řízení. |
|
3.2.4.5 |
Pokud řetězec nástrojů výrobce zahrnuje vstupy organizací nebo výrobků mimo vlastní tým výrobce nebo se na ně spoléhá, poskytne výrobce vysvětlení opatření, která přijal na podporu své důvěry v kvalitu a integritu těchto vstupů. |
|
3.2.4.6 |
Zkušenosti a odborné znalosti týmu se skládají ze dvou úrovní. |
|
3.2.4.6.1 |
Organizační úroveň
Věrohodnost se stanoví na základě nastavení procesů a postupů pro identifikaci a udržení dovedností, znalostí a zkušeností pro provádění činností v oblasti modelování a simulace. Je nutno zavést, udržovat a dokumentovat tyto postupy:
|
|
3.2.4.6.2 |
Úroveň týmu
Po dokončení modelování a simulace je jejich věrohodnost určována především dovednostmi a znalostmi jednotlivce/týmu, který bude validovat soubor nástrojů pro modelování a simulaci a používat modelování a simulaci k validaci systému ADS. Věrohodnost se stanoví doložením toho, že dané týmy absolvovaly odpovídající odbornou přípravu umožňující plnění jejich povinností. Výrobce je následně povinen:
Základem pro toto určení bude to, že výrobce prokáže, jak uplatňuje zásady normy ISO 9001 nebo podobného osvědčeného postupu nebo normy při zajišťování způsobilosti své organizace modelování a simulace a jednotlivců v rámci této organizace. Schvalovací orgán nesmí nahradit svůj úsudek o zkušenostech a odborných znalostech organizace nebo jejích členů úsudkem výrobce. |
|
3.2.5 |
Rodokmen dat/vstupů |
|
3.2.5.1 |
Rodokmen dat/vstupů obsahuje záznam o zpětné zjistitelnosti z údajů výrobce použitých při validaci modelování a simulace. |
|
3.2.5.2 |
Popis údajů použitých k modelování a simulaci:
|
|
3.2.5.3 |
Vliv kvality dat (např. pokrytí dat, odstup signálu od šumu a nejistota/zkreslení/vzorkovací frekvence čidel) na nejistotu modelových parametrů.
Kvalita dat použitých při vývoji modelu ovlivní odhad a kalibraci modelových parametrů. Dalším důležitým aspektem konečné analýzy nejistoty bude nejistota parametrů modelu. |
|
3.2.6 |
Rodokmen dat/výstupů |
|
3.2.6.1 |
Rodokmen dat/výstupů obsahuje záznam výstupů modelování a simulace použitých pro validaci systému ADS. |
|
3.2.6.2 |
Popis dat generovaných na základě modelování a simulace:
|
|
3.2.6.3 |
Vliv kvality dat na věrohodnost modelování a simulace
|
|
3.2.6.4 |
Správa stochastických modelů
|
|
3.3 |
Analýza a popis modelování a simulace |
|
3.3.1 |
Cílem analýzy a popisu modelování a simulace je definovat celé modelování a simulaci a identifikovat parametrický prostor, který lze posoudit pomocí zkoušení se simulací. Definuje rozsah a omezení modelů a souboru nástrojů a zdroje nejistoty, které mohou ovlivnit jeho výsledky. |
|
3.3.2 |
Obecný popis |
|
3.3.2.1 |
Výrobce musí poskytnout popis kompletního souboru nástrojů společně s informací, jak budou data ze simulace využita na podporu validační strategie systému ADS |
|
3.3.2.2 |
Výrobce musí poskytnout jasný popis cíle zkoušky. |
|
3.3.3 |
Předpoklady, známá omezení a zdroje nejistoty |
|
3.3.3.1 |
Výrobce musí zdůvodnit předpoklady modelování, které vedly k návrhu souboru nástrojů pro modelování a simulaci |
|
3.3.3.2 |
Výrobce musí poskytnout důkazy týkající se:
|
|
3.3.3.3 |
Výrobce musí zdůvodnit, že tolerance korelace mezi simulovanou a reálnou situací je z hlediska cíle zkoušky přijatelná. |
|
3.3.3.4 |
A konečně tento oddíl obsahuje informace o zdrojích nejistoty v daném modelu. To bude představovat důležitý vstup pro konečnou analýzu nejistoty, která bude definovat, jak mohou být výstupy modelu ovlivněny různými zdroji nejistoty použitého modelu. |
|
3.3.4 |
Rozsah (způsoby využívání modelování a simulace při validaci systému ADS) |
|
3.3.4.1 |
Věrohodnost virtuálního nástroje musí být posílena jasně definovaným rozsahem využití vyvinutých modelů. |
|
3.3.4.2 |
Vyspělé modelování a simulace musí umožňovat virtualizaci fyzikálních jevů s takovou přesností, která odpovídá úrovni věrnosti požadované pro certifikaci. Modelování a simulace tak bude fungovat jako „virtuální zkušební místo“ pro zkoušky systému ADS. |
|
3.3.4.3 |
Pro validaci simulačních modelů jsou nezbytné specifické scénáře a měření. Výběr scénářů používaných pro validaci musí být dostatečný k tomu, aby daný soubor nástrojů fungoval stejným způsobem i ve scénářích mimo rozsah působnosti validace. |
|
3.3.4.4 |
Výrobce musí poskytnout seznam scénářů validace společně s omezeními příslušných parametrů. |
|
3.3.4.5 |
Klíčový vstup pro odvození požadavků, rozsahu a účinků, které je při modelování a simulaci nutno zohlednit, aby podpořily validaci ADS, představuje provozně-konstrukční doména. |
|
3.3.4.6 |
Parametry generované pro uvedené scénáře určí vnější a vnitřní data pro soubor nástrojů a simulační modely. |
|
3.3.5 |
Posouzení kritičnosti |
|
3.3.5.1 |
Simulační modely a simulační nástroje používané v celkovém souboru nástrojů se zkoumají z hlediska toho, do jaké míry odpovídají za bezpečnostní chybu konečného výrobku. Navrhovaný přístup k analýze kritičnosti je odvozen od normy ISO 26262, která ukládá požadavky, které musí splňovat některé nástroje používané v procesu vývoje. |
|
3.3.5.2 |
Aby bylo možné odvodit míru kritičnosti simulovaných dat, musí posouzení kritičnosti zohlednit následující parametry:
|
|
3.3.5.3 |
Z hlediska posouzení kritičnosti existují tři možné způsoby posouzení:
|
|
3.4 |
Ověření |
|
3.4.1 |
Ověření modelování a simulace zahrnuje analýzu konceptuálních/matematických modelů tvořících soubor nástrojů pro modelování a simulaci. Ověření přispívá k důvěryhodnosti modelování a simulace tím, že poskytuje ujištění, že modelování a simulace nebude vykazovat nerealistické chování pro soubor vstupů, které nelze podrobit zkoušce. Tento postup je založen na přístupu skládajícím se z více kroků, který zahrnuje ověření kódu, ověření výpočtu a analýzu citlivosti. |
|
3.4.2 |
Ověření kódu |
|
3.4.2.1 |
Ověření kódu zahrnuje zkoušky prokazující, že virtuální modely neovlivňují žádné numerické/logické chyby. |
|
3.4.2.2 |
Výrobce musí zdokumentovat provedení správných technik ověřování kódu, např. statického/dynamického ověření kódu, konvergenční analýzy a případného porovnání s přesnými řešeními. |
|
3.4.2.3 |
Výrobce musí poskytnout dokumentaci prokazující, že průzkum v oblasti vstupních parametrů byl dostatečně rozsáhlý, aby bylo možné identifikovat kombinaci parametrů, u níž modelování a simulace vykazuje nestabilní nebo nerealistické chování. K prokázání požadovaného zkoumání chování modelů lze využít měření pokrytí kombinací parametrů. |
|
3.4.2.4 |
Kdykoli to data umožňují, musí výrobce přijmout postupy kontroly způsobilosti/konzistentnosti. |
|
3.4.3 |
Ověření výpočtu |
|
3.4.3.1 |
Ověření výpočtu se zabývá odhadem numerických chyb ovlivňujících modelování a simulace. |
|
3.4.3.2 |
Výrobce musí zdokumentovat odhady numerických chyb (např. chyba diskretizace, chyba zaokrouhlení, konvergence opakujících se postupů). |
|
3.4.3.3 |
Numerické chyby musí být dostatečně ohraničeny, aby neovlivnily validaci. |
|
3.4.4 |
Analýza citlivosti |
|
3.4.4.1 |
Cílem analýzy citlivosti je kvantifikovat, jak jsou výstupní hodnoty modelu ovlivněny změnami vstupních hodnot modelu, a tím identifikovat parametry, které mají největší dopad na výsledky simulačního modelu. Studie citlivosti také pomáhá určit, do jaké míry simulační model splňuje validační prahové hodnoty, je-li vystaven malým odchylkám parametrů. Má tedy zásadní význam pro podporu věrohodnosti výsledků simulace. |
|
3.4.4.2 |
Výrobce musí poskytnout podpůrnou dokumentaci prokazující, že byly identifikovány nejkritičtější parametry ovlivňující výstup simulace pomocí technik analýzy citlivosti, například uplatněním perturbace parametrů modelu. |
|
3.4.4.3 |
Výrobce musí prokázat, že při identifikaci a kalibraci nejkritičtějších parametrů byly přijaty spolehlivé kalibrační postupy s cílem zvýšit věrohodnost vyvinutého souboru nástrojů. |
|
3.4.4.4 |
A konečně výsledky analýzy citlivosti pomohou rovněž definovat vstupy a parametry, u nichž charakterizace nejistoty vyžaduje zvláštní pozornost, aby bylo možné správně definovat nejistotu výsledků simulace. |
|
3.4.5 |
Validace |
|
3.4.5.1 |
Kvantitativní postup určování toho, nakolik je model nebo simulace přesnou reprezentací reálného světa z pohledu zamýšleného použití modelování a simulace, vyžaduje výběr a definování několika prvků. |
|
3.4.5.2 |
Měřené hodnoty výkonnosti (měření) |
|
3.4.5.2.1 |
Měřené hodnoty výkonnosti představují měření používané pro porovnání simulačního modelu s reálnou situací. Měřené hodnoty výkonnosti jsou definovány v průběhu analýzy modelování a simulace. |
|
3.4.5.2.2 |
Měření pro účely validace může zahrnovat:
|
|
3.4.5.3 |
Měření vhodnosti modelu |
|
3.4.5.3.1 |
Používají se analytické rámce pro porovnání měření v reálném světě a v rámci simulace. Zpravidla se jedná o klíčové ukazatele výkonnosti (KPI), které znázorňují statistickou srovnatelnost mezi dvěma soubory údajů. |
|
3.4.5.3.2 |
Validace musí prokázat, že jsou tyto klíčové ukazatele výkonnosti splněny. |
|
3.4.5.4 |
Metodika validace |
|
3.4.5.4.1 |
Výrobce musí definovat logické scénáře používané k validaci souboru nástrojů pro zkoušení se simulací. Ty musí být schopny v maximálně možné míře pokrýt provozně-konstrukční doménu zkoušení se simulací pro účely validace systému ADS. |
|
3.4.5.4.2 |
Přesná metodika závisí na struktuře a účelu daného souboru nástrojů. Validace se může skládat z jednoho nebo více z těchto prvků:
|
|
3.4.5.5 |
Požadavky na přesnost |
|
3.4.5.5.1 |
V průběhu analýzy modelování a simulace je definován požadavek na korelační práh. Validace musí prokázat, že jsou splněny klíčové ukazatele výkonnosti uvedené v bodě 3.4.5.3.1 této části. |
|
3.4.5.6 |
Rozsah validace (část souboru nástrojů, která má být validována) |
|
3.4.5.6.1 |
Soubor nástrojů se skládá z více nástrojů a každý nástroj bude používat řadu modelů. Rozsah validace zahrnuje všechny nástroje a příslušné modely, které podléhají validaci. |
|
3.4.5.7 |
Výsledky interní validace |
|
3.4.5.7.1 |
Dokumentace musí poskytovat nejen důkazy o validaci simulačního modelu, ale musí být použita rovněž pro získání dostatečných informací o procesech a produktech, které zajišťují celkovou věrohodnost použitého souboru nástrojů. |
|
3.4.5.7.2 |
Lze použít dokumentaci/výsledky z předchozích posouzení věrohodnosti. |
|
3.4.5.8 |
Výsledky nezávislé validace |
|
3.4.5.8.1 |
Schvalovací orgán posoudí dokumentaci poskytnutou výrobcem a může provést fyzické zkoušky úplného integrovaného nástroje. |
|
3.4.5.9 |
Charakterizace nejistoty |
|
3.4.5.9.1 |
Tento oddíl se zabývá charakterizací očekávané variability výsledků souboru nástrojů pro zkoušení se simulací. Posouzení se skládá ze dvou fází. V první fázi se informace shromážděné v průběhu analýzy a popisu modelování a simulace a v oddílech o rodokmenu dat/vstupů použijí k charakterizaci nejistoty vstupních dat, modelových parametrů a struktury modelování. Poté se na základě rozšíření všech nejistot prostřednictvím souboru nástrojů pro zkoušení se simulací kvantifikuje nejistota výsledků modelu. V závislosti na nejistotě výsledků modelu bude nezbytné, aby výrobce při používání zkoušení se simulací pro účely validace systému ADS stanovil odpovídající míru bezpečnosti. |
|
3.4.5.9.2 |
Charakterizace nejistoty vstupních údajů
Výrobce musí prokázat, že provedl náležitý odhad vstupů kritického modelu pomocí spolehlivých technik, jako je vícenásobné opakování pro účely posouzení množství. |
|
3.4.5.9.3 |
Charakterizace nejistoty parametrů modelu (po kalibraci)
Výrobce musí prokázat, že parametry kritického modelu, které nelze odhadnout identicky, jsou charakterizovány pomocí distribučních intervalů a/nebo intervalů spolehlivosti. |
|
3.4.5.9.4 |
Charakterizace nejistoty v oblasti struktury modelování a simulace
Výrobce musí prokázat, že u předpokladů modelování byla poskytnuta kvantitativní charakterizace vzniklé nejistoty (např. porovnání výstupů různých přístupů k modelování, kdykoli je to možné). |
|
3.4.5.9.5 |
Charakterizace aleatorické vs. epistemické nejistoty:
Výrobce se musí zaměřit na rozlišení mezi aleatorickou složkou nejistoty (kterou lze pouze odhadnout, ale nelze ji snížit) a epistemickou nejistotou vyplývající z nedostatku znalostí v průběhu virtualizace procesu (kterou naproti tomu snížit lze). |
4. Struktura dokumentace
|
4.1 |
Tento oddíl stanoví, jak budou výše uvedené informace shromažďovány a uspořádány v dokumentaci, kterou výrobce poskytne příslušnému orgánu. |
|
4.2 |
Výrobce vytvoří dokument („simulační příručku“) strukturovaný v souladu s uvedenou osnovou, s cílem poskytnout důkazy týkající se prezentovaných témat. |
|
4.3 |
Dokumentace musí být dodána společně s příslušnou verzí modelování a simulace a souvisejícími vytvořenými daty. |
|
4.4 |
Výrobce musí poskytnout jednoznačné odkazy, které umožní vysledovat dokumentaci zpět k příslušnému modelování a simulaci/datům. |
|
4.5 |
Dokumentace musí být uchovávána po celou dobu životního cyklu využívání daného modelování a simulace. Schvalovací orgán může provést audit výrobce posouzením jeho dokumentace a/nebo provedením fyzických zkoušek. |
ČÁST 5
PODÁVÁNÍ ZPRÁV V PRŮBĚHU PROVOZU
1. Definice
Pro účely této přílohy se použijí tyto definice:
|
1.1 |
„výskytem“ se rozumí situace související s bezpečností, která se týká vozidla vybaveného automatizovaným systémem řízení; |
|
1.2 |
„nekritickým výskytem“ se rozumí výskyt zahrnující přerušení provozu, poruchu, vadu nebo jinou okolnost, která ovlivnila nebo mohla ovlivnit bezpečnost systému ADS a která nevedla k nehodě nebo k závažnému incidentu. Tato kategorie zahrnuje například menší incidenty, zhoršení bezpečnosti, které nebrání normálnímu provozu, nouzové/složité manévry pro zabránění srážce a obecněji všechny výskyty týkající se výkonu systému ADS v oblasti bezpečnosti na silnici (jako je například interakce s dálkovou obsluhou atd.); |
|
1.3 |
„kritickým výskytem“ se rozumí každý výskyt, při němž je systém ADS v činnosti v době srážky a v jehož důsledku:
|
2. Oznámení a podávání zpráv výrobce
|
2.1 |
O kritických bezpečnostních výskytech vyrozumí výrobce bezodkladně schvalovací orgány, orgány dozoru nad trhem a Komisi. |
|
2.2 |
Výrobce musí do jednoho měsíce podat schvalovacím orgánům, orgánům pro dozor nad trhem a Komisi zprávu o veškerých krátkodobých výskytech popsaných v dodatku 1, u nichž je nezbytné, aby výrobce zjednal nápravu. |
|
2.3 |
Výrobce musí každoročně podat schvalovacímu orgánu, který udělil schválení, zprávu o výskytech uvedených v dodatku 1. Tato zpráva musí obsahovat důkazy o výkonu systému ADS při výskytech v terénu, které jsou důležité z hlediska bezpečnosti. Musí zejména prokázat, že:
Schvalovací orgán, který schválení uděluje, musí tyto informace sdílet se schvalovacími orgány, s orgány pro dozor nad trhem a s Komisí. |
|
2.4 |
Schvalovací orgány, orgány pro dozor nad trhem a Komise si mohou od výrobce vyžádat podpůrné údaje, které slouží k rozpracování poskytnutých informací do podávání zpráv a oznámení za provozu. Tyto údaje se vyměňují prostřednictvím dohodnutého souboru pro výměnu údajů. Schvalovací orgány, orgány pro dozor nad trhem a Komise přijmou veškerá nezbytná opatření k zabezpečení těchto údajů. |
|
2.5 |
Veškeré předběžné zpracování údajů by mělo být oznámeno schvalovacímu orgánu, který uděluje schválení typu, ve zprávě o údajích za provozu.
Dodatek 1 Seznam výskytů pro účely podávání zpráv za provozu Výskyty jsou rozděleny do čtyř kategorií podle svého významu pro dynamickou funkci řízení, pro interakci s uživateli plně automatizovaných vozidel a pro technické podmínky systému ADS. U každého výskytu je v následující tabulce označen jeho význam pro krátkodobé a/nebo pravidelné podávání zpráv. Předpokládá se, že pravidelné podávání zpráv o výskytech bude mít formu souhrnných údajů (za hodinu provozu nebo ujetý km) pro typ vozidla se systémem ADS a v souvislosti s fungováním systému ADS (tj. je-li systém ADS aktivován).
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(1) ECE/TRANS/WP.29/2022/59/Rev.1.
(2) Viz strana 1 v tomto čísle Úředního věstníku.
PŘÍLOHA IV
CERTIFIKÁT EU SCHVÁLENÍ TYPU (SYSTÉM VOZIDLA)
Sdělení o udělení/rozšíření/odmítnutí/odejmutí (1) schválení typu pro typ plně automatizovaného vozidla z hlediska jeho automatizovaného systému řízení (ADS) v souladu s požadavky stanovenými v prováděcím nařízení (EU) 2022/1426, naposledy pozměněném prováděcím nařízením (EU) …/…
Číslo certifikátu EU schválení typu:
Důvod rozšíření/odmítnutí/odejmutí (1):
ODDÍL I
|
0.1 |
Značka (obchodní název výrobce): |
|
0.2 |
Typ: |
|
0.2.1 |
Obchodní označení (je-li/jsou-li k dispozici): |
|
0.3 |
Způsob označení typu, je-li na vozidle vyznačen: |
|
0.3.1 |
Umístění tohoto označení: |
|
0.4 |
Kategorie vozidla: |
|
0.5 |
Název a adresa výrobce: |
|
0.8 |
Název (názvy) a adresa (adresy) montážního závodu (závodů): |
|
0.9 |
Název a adresa případného zástupce výrobce: |
ODDÍL II
|
1. |
Další informace (v příslušných případech): viz doplněk. |
|
2. |
Zkušebna odpovědná za provádění zkoušek: |
|
3. |
Datum zkušebního protokolu: |
|
4. |
Číslo zkušebního protokolu: |
|
5. |
Poznámky (jsou-li nějaké): viz doplněk. |
|
6. |
Místo: |
|
7. |
Datum: |
|
8. |
Podpis: |
Doplněk
k certifikátu EU schválení typu č.
1.
Popis a/nebo výkres ADS včetně těchto údajů:
1.1.
provozně konstrukční doména, meze systému a stanovená maximální rychlost ADS udávaná výrobcem:
1.2.
popis hlavních funkcí systému ADS:
1.2.1
vnitřní funkce vozidla:
1.2.2
vnější funkce vozidla (např. záložní zařízení, potřebná vnější infrastruktura, potřebná provozní opatření):
1.3
snímací systém (včetně konstrukčních částí):
1.4.
montáž snímacího systému ADS:
1.5.
softwarová identifikace ADS:
2.
Písemný popis a/nebo výkres rozhraní člověk-stroj systému ADS včetně těchto údajů:
2.1
dálková obsluha a dálkový zásah na systému ADS:
2.2
způsoby aktivace a deaktivace systému ADS:
2.3.
monitorování uvnitř vozidla:
2.4.
veškerá omezení systému v důsledku podmínek prostředí nebo na silnici:
3.
Písemný popis a/nebo schéma informací poskytovaných cestujícím ve vozidle a ostatním účastníkům silničního provozu:
3.1.
stav systému:
3.2.
požadavek na palubní obsluhu/obsluhu dálkového zásahu:
3.3.
manévr s minimálním rizikem:
3.4.
nouzový manévr:
4.
Datové prvky ADS
4.1.
datové prvky systému ADS ověřeny v návaznosti na zkoušky provedené podle části 3 přílohy III:
4.2.
dokumentace týkající se vyhledávání údajů, samočinné kontroly integrity údajů a ochrany před manipulací s uloženými údaji ověřena: ano/ne
5.
Kybernetická bezpečnost a aktualizace softwaru
5.1.
číslo schválení typu z hlediska kybernetické bezpečnosti:
5.2.
číslo schválení typu softwarové aktualizace:
6.
Posouzení hledisek funkční a provozní bezpečnosti automatizovaného systému řízení
6.1
odkaz na dokument výrobce pro účely posouzení (včetně čísla verze):
6.2
Informační dokument
7.
Technická zkušebna odpovědná za provádění schvalovacích zkoušek
7.1
datum zkušebního protokolu vydaného touto zkušebnou:
7.2
číslo protokolu vydaného uvedenou zkušebnou (odkaz):
8.
Přílohy|
Dodatek 1: |
informační dokument pro automatizované systémy řízení (viz příloha I prováděcího nařízení (EU) 2022/1426). |
|
Dodatek 2: |
Členské státy a konkrétní oblasti, v nichž byl podle prohlášení výrobce systém ADS posouzen jako vyhovující tamějším pravidlům provozu. Seznam dokumentů obsažených ve spisu ke schválení typu a předaných správnímu orgánu, který vydal schválení. Dokumenty lze obdržet na vyžádání. |
|
Dodatek 3: |
Zpráva o posouzení bezpečnosti systému ADS/výsledky zkoušky od schvalovacího orgánu, který uděluje schválení. |
|
Dodatek č. 4: |
Osvědčení o shodě pro systém řízení kybernetické bezpečnosti |
(1) Nehodící se škrtněte.