ANHANG III VO (EU) 2022/1426

Konformitätsbewertung

ANHANG I

Anlage 1

1.
Generierung und Klassifizierung von Szenarien

Aus qualitativer Sicht können die Szenarien in die Kategorien Standard/Kritisch/Störung eingeteilt werden und entsprechen dem Normal- oder Notbetrieb. Für jede dieser Kategorien können ein datenbasierter Ansatz und ein wissensbasierter Ansatz verwendet werden, um entsprechende Verkehrsszenarien zu generieren. Bei einem wissensbasierten Ansatz wird Expertenwissen genutzt, um gefährliche Ereignisse systematisch zu identifizieren und Szenarien zu erstellen. Ein datenbasierter Ansatz nutzt die verfügbaren Daten, um auftretende Szenarien zu identifizieren und zu klassifizieren. Die Szenarien werden von der ODD des vollautomatisierten Fahrzeugs abgeleitet.

2.
Standardszenarien

Eine Reihe von Analyserahmen kann dem Hersteller helfen, zusätzliche Standardszenarien abzuleiten, um die Abdeckung der spezifischen Anwendung zu gewährleisten. Diese Rahmen sind unterteilt in:

2.1.
ODD-Analyse

Eine ODD besteht aus Landschaftselementen (z. B. physische Infrastruktur), Umweltbedingungen, dynamischen Elementen (z. B. Verkehr, gefährdete Verkehrsteilnehmer) und operativen Einschränkungen für die spezifische ADS-Anwendung. Das Ziel dieser Analyse ist es, die Merkmale der ODD zu identifizieren, Eigenschaften zuzuordnen und die Interaktionen zwischen den Objekten zu definieren. Hier wird der Einfluss der ODD auf die Verhaltenskompetenzen des ADS untersucht. Ein Beispiel für eine solche Analyse ist in Tabelle 1 dargestellt.

Tabelle 1

Dynamische Elemente und ihre Eigenschaften

ObjekteEreignisse/Interaktionen
Fahrzeuge (z. B. Autos, Kleinlaster, Lkw, Busse, Motorräder)

Abbremsen des vorausfahrenden Fahrzeugs (frontal)

Anhalten des vorausfahrenden Fahrzeugs (frontal)

Beschleunigung des vorausfahrenden Fahrzeugs (frontal)

Spurwechsel (frontal/seitlich)

Einscheren (angrenzend)

Abbiegen (frontal)

Beeinträchtigen eines entgegenkommenden Fahrzeugs (frontal/seitlich)

Beeinträchtigen eines benachbarten Fahrzeugs (frontal/seitlich)

Einfahrt auf die Autobahn (frontal/seitlich)

Ausscheren (frontal)

Fußgänger

Überqueren der Straße — innerhalb des Fußgängerüberwegs (frontal)

Überqueren der Straße — außerhalb des Fußgängerüberwegs (frontal)

Gehen auf dem Seitenweg/Seitenstreifen

Radfahrer

Fahren auf der Spur (frontal)

Fahren auf einer benachbarten Spur (frontal/seitlich)

Fahren auf einer zugeordneten Spur (frontal/seitlich)

Fahren auf dem Seitenweg/Seitenstreifen

Überqueren der Straße — innerhalb des Fußgängerüberwegs (frontal/seitlich)

Überqueren der Straße — außerhalb des Fußgängerüberwegs (frontal/seitlich)

Tiere

Stehend auf der Spur (frontal)

Bewegung in die Spur/aus der Spur (frontal/seitlich)

Stehend/Bewegung auf der benachbarten Spur (frontal)

Stehend/Bewegung auf dem Seitenstreifen

UnratStatisch auf der Spur (frontal)
Andere dynamische Objekte (z. B. Einkaufswagen)

Statisch auf der Spur (frontal/seitlich)

Bewegung in die Spur/aus der Spur (frontal/seitlich)

VerkehrsschilderStopp, Vorfahrt, Geschwindigkeitsbegrenzung, Fußgängerüberweg, Bahnübergang, Schulzone
LichtzeichenanlagenKreuzung, Bahnübergang, Schulzone
FahrzeugsignaleWendesignale (Richtungsanzeiger)

2.2.
OEDR-Analyse: Identifizierung von Verhaltenskompetenzen

Sobald die Objekte und relevanten Eigenschaften identifiziert sind, kann die entsprechende Reaktion des ADS abgebildet werden. Die Reaktion des ADS wird auf der Grundlage der geltenden funktionalen Anforderungen und unter Anwendung der Leistungsanforderungen dieser Verordnung und der Verkehrsregeln des Landes, in dem der Betrieb erfolgt, modelliert. Das Ergebnis der OEDR-Analyse ist auch eine Reihe von Kompetenzen, die auf die für die ODD geltenden Verhaltenskompetenzen abgebildet werden können, um die Einhaltung der relevanten behördlichen und rechtlichen Anforderungen zu gewährleisten. Tabelle 2 enthält ein qualitatives Beispiel für eine Übereinstimmung von Ereignis und Reaktion. Die Kombination von Objekten, Ereignissen und ihrer potenziellen Interaktion als Funktion innerhalb der ODD bilden die Menge der für das zu analysierende ADS relevanten Standardszenarien. Die Identifizierung nominaler Szenarien kann von einer verbesserten Kombination von Szenariodeskriptoren profitieren, die innerhalb der ODD z. B. Infrastrukturmerkmale, Objekt- und Ereignismerkmale, Gefahren für Reaktionen (z. B. Wetter, Sichtbarkeit) abdecken. Die Identifizierung von Standardszenarien ist nicht auf die Verkehrsbedingungen beschränkt, sondern umfasst auch Umweltbedingungen, menschliche Faktoren, Konnektivität und Fehlkommunikation. Da die Parameter (Annahmen) für die Ereignisse noch zu definieren sind, sind die aus der Anwendung der Analyse abgeleiteten Standardszenarien in ihrer funktionalen und logischen Abstraktionsebene zu betrachten.

Tabelle 2

Verhaltenskompetenzen für vorgegebene Ereignisse

EreignisReaktion
Vorausfahrendes Fahrzeug bremst abDem Fahrzeug folgen, abbremsen, anhalten
Vorausfahrendes Fahrzeug hat angehaltenAbbremsen, anhalten
Vorausfahrendes Fahrzeug beschleunigtBeschleunigen, dem Fahrzeug folgen
Vorausfahrendes Fahrzeug biegt abAbbremsen, anhalten
Anderes Fahrzeug wechselt die SpurVorfahrt gewähren, abbremsen, dem Fahrzeug folgen
Anderes Fahrzeug schert einVorfahrt gewähren, abbremsen, anhalten, dem Fahrzeug folgen
Fahrzeug fährt auf die Autobahn aufDem Fahrzeug folgen, abbremsen, anhalten
Das entgegenkommende Fahrzeug wird beeinträchtigtAbbremsen, anhalten, innerhalb der Spur ausweichen, außerhalb der Spur ausweichen
Das benachbarte Fahrzeug wird beeinträchtigtVorfahrt gewähren, abbremsen, anhalten
Das führende Fahrzeug schert ausBeschleunigen, abbremsen, anhalten
Fußgänger überquert die Straße — innerhalb des FußgängerüberwegsVorfahrt gewähren, abbremsen, anhalten
Fußgänger überquert die Straße — außerhalb des FußgängerüberwegsVorfahrt gewähren, abbremsen, anhalten
Radfahrer fahren auf der SpurVorfahrt gewähren, folgen
Radfahrer fahren auf der zugeordneten SpurInnerhalb der Spur ausweichen
Radfahrer überqueren die Straße — innerhalb des FußgängerüberwegsVorfahrt gewähren, abbremsen, anhalten
Radfahrer überqueren die Straße — außerhalb des FußgängerüberwegsVorfahrt gewähren, abbremsen, anhalten

3.
Kritische Szenarien

Kritische Szenarien können abgeleitet werden, indem entweder Grenzfallannahmen für Standardverkehrsszenarien (datengestützt) berücksichtigt oder standardisierte Methoden (wissensgestützt) für die Bewertung operativer Unzulänglichkeiten verwendet werden (siehe Beispiel für Methoden in Teil 2, Punkt 3.5.5). Die Identifizierung kritischer Szenarien kann von einer verbesserten Kombination von Szenariodeskriptoren und Randwerten profitieren, die innerhalb der ODD z. B. Infrastrukturmerkmale, Objekt- und Ereignismerkmale, Gefahren für Reaktionen (z. B. Wetter, Sichtbarkeitsbehinderungen, Interaktionen mit anderen Verkehrsteilnehmern als dem ausgelösten Objekt oder Ereignis) abdecken. Die Identifizierung kritischer Szenarien ist nicht auf die Verkehrsbedingungen beschränkt, sondern umfasst auch Umweltbedingungen, menschliche Faktoren, Konnektivität und Fehlkommunikation. Kritische Szenarien entsprechen einem Notbetrieb des ADS.

4.
Fehlerszenarien

Anhand dieser Szenarien soll bewertet werden, wie das ADS auf einen Fehler reagiert. In der Literatur sind verschiedene Methoden beschrieben (siehe Methodenbeispiele in Teil 2, Punkt 3.5.5). Für jeden der ermittelten Verhaltensfehler und die sich daraus ergebenden Folgen muss der Hersteller bei der Entwicklung der ADS entsprechende Strategien anwenden (d. h. es muss ausfallsicher sein). Bei Anwendung der Fehlerszenarien geht es darum, die Fähigkeit des ADS zu bewerten, die Anforderungen für sicherheitskritische Situationen und die entsprechenden Unteranforderungen zu erfüllen, z. B. „Das ADS muss sicherheitskritische Fahrsituationen beherrschen” und „Das ADS muss Fehlermodi sicher beherrschen” .

5.
Annahmen: Logische bis konkrete Szenarien

Um sicherzustellen, dass die in den vorangegangenen Punkten identifizierten Szenarien für eine Bewertung durch Simulationen oder physische Tests geeignet sind, muss der Hersteller sie gegebenenfalls durch Anwendung von Annahmen durchgängig parametrisieren. Der Hersteller muss Nachweise für die getroffenen Annahmen vorlegen, z. B. Datenerfassungskampagnen während der Entwicklungsphase, reale Unfälle und realistische Bewertungen des Fahrverhaltens. Parameter, die zur Charakterisierung kritischer Szenarien verwendet werden, sollten vernünftigerweise vorhersehbare Werte in Szenariodeskriptoren abdecken, sollten sich jedoch nicht auf bereits in dokumentierten Datenbanken beobachtete Werte beschränken.

Anlage 1

Sicherheitsbewertungsbericht Nr.:

1.
Identifizierung
1.1.
Fahrzeugmarke
1.2.
Fahrzeugtyp
1.3.
Mittel zur Fahrzeugtypidentifizierung, sofern am Fahrzeug angebracht:
1.4.
Position dieser Kennzeichnung:
1.5.
Name und Anschrift des Herstellers:
1.6.
Gegebenenfalls Name und Anschrift des Bevollmächtigten des Herstellers:
1.7.
Formelles Dokumentationspaket des Herstellers:

Referenznummer der Dokumentation:

Datum der Originalausgabe:

Datum der letzten Aktualisierung:

2.
Bewertungsmethode
2.1.
Beschreibung der Bewertungsverfahren und -methoden
2.2.
Abnahmekriterien
3.
Ergebnisse der Überprüfung des Dokumentationspakets
3.1.
Überprüfung der ADS-Beschreibung
3.2.
Überprüfung des Sicherheitskonzepts des Herstellers und der Sicherheitsanalyse durch den Hersteller
3.3.
Überprüfung der Verifizierung und Validierung durch den Hersteller, insbesondere des Abdeckungsgrads der verschiedenen Tests und die Festlegung von Mindestabdeckungsschwellen für verschiedene Metriken
3.4.
Überprüfung der Methoden und Tools (Software, Labors, andere) und der Glaubwürdigkeitsbewertung
3.5.
Überprüfung der ADS-Datenanforderungen und der spezifischen Datenelemente für Ereignisdatenspeicher für vollautomatisierte Fahrzeuge
3.6.
Überprüfungen der Bescheinigungen für Cybersicherheit und Software-Updates decken das ADS ab.
3.7.
Überprüfung der im Betriebshandbuch bereitgestellten Informationen
3.8.
Überprüfung der Vorschriften für die regelmäßige technische Überwachung des ADS:
3.9.
Überprüfung zusätzlicher, nicht im Beschreibungsbogen enthaltener Informationen
4.
Verifizierung der ADS-Funktionen unter störungsfreien Bedingungen (Referenz in Punkt 4.1.1 von Anhang III Teil 2 der Durchführungsverordnung (EU) 2022/1426 der Kommission vom 5. August 2022 mit detaillierten Regelungen zur Durchführung der Verordnung (EU) 2019/2144 des Europäischen Parlaments und des Rates im Hinblick auf die einheitlichen Verfahren und technischen Spezifikationen für die Typgenehmigung des automatisierten Fahrsystems (ADS) vollautomatisierter Fahrzeuge(1).
4.1.
Begründung für die Auswahl der Testszenarien
4.2.
Ausgewählte Testszenarien
4.3.
Testberichte
4.3.1.
Testnr. (die der Anzahl durchgeführter Tests entsprechende Nummer hinzufügen)
4.3.1.1.
Ziele des Tests
4.3.1.2.
Testbedingungen
4.3.1.3.
Gemessene Quantitäten und Messgeräte
4.3.1.4.
Abnahmekriterien
4.3.1.5.
Testergebnisse
4.3.1.6.
Vergleich mit der vom Hersteller bereitgestellten Dokumentation
5.
Verifizierung der ADS-Funktionen bei einer Störung (Referenz in Punkt 4.1.2 von Anhang III Teil 2 der Durchführungsverordnung (EU) 2022/1426
5.1.
Begründung für die Auswahl der Testszenarien
5.2.
Ausgewählte Testszenarien
5.3.
Testberichte
5.3.1.
Testnr. (die der Anzahl durchgeführter Tests entsprechende Nummer hinzufügen)
5.3.1.1.
Ziele des Tests
5.3.1.2.
Testbedingungen
5.3.1.3.
Gemessene Quantitäten und Messgeräte
5.3.1.4.
Abnahmekriterien
5.3.1.5.
Testergebnisse
5.3.1.6.
Vergleich mit der vom Hersteller bereitgestellten Dokumentation
6.
Bescheinigung für das Sicherheitsmanagementsystem (im Anhang dieses Testberichts bereitzustellen)
7.
Datum der Bewertung
8.
Abschließende Beurteilung des Ergebnisses der Sicherheitsbewertung
9.
Diese Bewertung wurde gemäß der Durchführungsverordnung (EU) 2022/1426 durchgeführt und die Ergebnisse wurden mitgeteilt

Technischer Dienst, der die Bewertung durchführt

Unterzeichnet: ...
Datum: ...

10.
Kommentare:

Anlage 2

1.
Identifizierung
1.1.
Fahrzeugmarke
1.2.
Fahrzeugtyp
1.3.
Mittel zur Fahrzeugtypidentifizierung, sofern am Fahrzeug angebracht:
1.4.
Position dieser Kennzeichnung:
1.5.
Name und Anschrift des Herstellers:
1.6.
Gegebenenfalls Name und Anschrift des Bevollmächtigten des Herstellers:
1.7.
Formelles Dokumentationspaket des Herstellers:

Referenznummer der Dokumentation:

Datum der Originalausgabe:

Datum der letzten Aktualisierung:

2.
Bewertungsmethode
2.1.
Beschreibung der Bewertungsverfahren und -methoden
2.2.
Abnahmekriterien
3.
Verifizierung der ADS-Funktionen unter störungsfreien Bedingungen (Referenz in Punkt 4.1.1 von Anhang III Teil 2 der Durchführungsverordnung (EU) 2022/1426
3.1.
Begründung für die Auswahl der Testszenarien
3.2.
Ausgewählte Testszenarien
4.
Verifizierung des ADS-Sicherheitskonzepts bei einer einzelnen Störung (Referenz in Punkt 4.1.2 von Anhang III Teil 2 der Durchführungsverordnung (EU) 2022/1426
4.1.
Begründung für die Auswahl der Testszenarien
4.2.
Ausgewählte Testszenarien
5.
Bewertungsergebnisse
5.1.
Ergebnisse der Überprüfung des Beschreibungsbogens
5.2.
Ergebnisse der Verifizierung der ADS-Funktionen unter störungsfreien Bedingungen
5.3.
Ergebnisse der Verifizierung des ADS-Sicherheitskonzepts bei einer einzelnen Störung
5.4.
Ergebnisse der Bewertung des Sicherheitsmanagementsystems
5.5.
Ergebnisse der Verifizierung von Vorschriften für die regelmäßige technische Überwachung
6.
Abschließende Beurteilung des Ergebnisses der Sicherheitsbewertung

Anlage 3

Konformitätserklärung des Herstellers für die Anforderungen zum Sicherheitsmanagementsystem

Name des Herstellers: Anschrift des Herstellers: … (Name des Herstellers) bescheinigt, dass die zur Einhaltung der in der Durchführungsverordnung (EU) 2022/1426 festgelegten Anforderungen an das Sicherheitsmanagementsystem erforderlichen Verfahren vorhanden sind und regelmäßig überprüft werden. Ausgefertigt in: … (Ort) Datum: Name des Unterzeichnenden: Funktion des Unterzeichnenden: (Stempel und Unterschrift des Bevollmächtigten des Herstellers)

Anlage 4

Konformitätsbescheinigung für das Sicherheitsmanagementsystem

Mit Durchführungsverordnung (EU) 2022/1426 Bescheinigungsnummer [Referenznummer] [… Typgenehmigungsbehörde] Bescheinigt, dass Hersteller: …. Anschrift des Herstellers: die Vorschriften der Durchführungsverordnung (EU) 2022/1426 erfüllt Überprüfungen wurden durchgeführt am: durch (Name und Adresse der Typgenehmigungsbehörde oder des technischen Dienstes): Nummer des Berichts: . … Dieses Zertifikat ist gültig bis [….Datum] Ausgefertigt in […Ort] Am [….Datum] […Unterschrift] Anlagen: Beschreibung des Sicherheitsmanagementsystems durch den Hersteller.

Anlage 1

Die Vorkommnisse wurden in vier Kategorien unterteilt, basierend auf ihrer Relevanz für die DDT, für die Interaktion mit den Benutzern des vollautomatisierten Fahrzeugs sowie für die technischen Bedingungen des ADS. In der nachstehenden Tabelle ist für jedes Vorkommnis angegeben, ob es für die kurzfristige und/oder regelmäßige Meldung relevant ist.

Es wird erwartet, dass die regelmäßige Meldung von Vorkommnissen in Form von aggregierten Daten (pro Betriebsstunde oder gefahrenen Kilometern) für den ADS-Fahrzeugtyp und im Zusammenhang mit dem ADS-Betrieb (d. h., wenn das ADS aktiviert ist) erfolgt.

VORKOMMNIS

KURZFRISTIGE MELDUNG

(1 Monat)

REGELMÄSSIGE MELDUNG

(1 Jahr)
1.
Vorkommnisse im Zusammenhang mit der Leistung des ADS im Rahmen der DDT, wie beispielsweise
1.a.
Sicherheitskritische Vorkommnisse, die dem Hersteller bekannt sind
X X
1.b.
Vorkommnisse im Zusammenhang mit dem Betrieb des ADS außerhalb seiner ODD
X X
1.c.
Vorkommnisse im Zusammenhang mit einer Störung des ADS, um nötigenfalls einen minimalen Risikozustand zu erzielen
X X
1.d.
Vorkommnisse im Zusammenhang mit der Kommunikation (wo Konnektivität relevant für das ADS-Sicherheitskonzept ist)
X
1.e.
Vorkommnisse im Zusammenhang mit der Cybersicherheit
X
1.f.
Interaktion mit dem Bediener für den Ferneingriff (falls zutreffend) im Zusammenhang mit wesentlichen Störungen des ADS oder des Fahrzeugs
X
2.
Vorkommnisse in Zusammenhang mit der Interaktion des ADS mit Benutzern des vollautomatisierten Fahrzeugs, wie beispielsweise:
2.a.
Benutzerabhängige Vorkommnisse (z. B. Benutzerfehler, Fehlbedienung, Verhinderung einer Fehlbedienung)
X
3.
Vorkommnisse im Zusammenhang mit den technischen Bedingungen des ADS, einschließlich Wartung und Reparatur:
3.a.
Vorkommnisse im Zusammenhang mit Störungen des ADS, die zu einer Aufforderung zum Eingreifen an den Bediener oder den Bediener für den Ferneingriff führen
X
3.b.
Probleme bei Wartung und Reparatur
X
3.c.
Vorkommnisse im Zusammenhang mit nicht genehmigten Veränderungen (z. B. Sabotage)
X
4.
Vorkommnisse im Zusammenhang mit der Identifizierung neuer sicherheitsrelevanter Szenarien

X

(falls der Hersteller Änderungen vorgenommen hat, um ein neu identifiziertes und bedeutendes ADS-Sicherheitsproblem zu beheben, das ein unverhältnismäßiges Risiko darstellt, einschließlich einer Beschreibung aller zuvor nicht erwarteten Szenarien)

 X

Die allgemeine Konformitätsbewertung des ADS basiert auf:

Teil 1: Zu berücksichtigende Verkehrsszenarien

Teil 2: Bewertung des ADS-Sicherheitskonzepts und Audit für das Sicherheitsmanagementsystem des Herstellers.

Teil 3: Tests der relevantesten Verkehrsszenarien.

Teil 4: Grundsätze für die Glaubwürdigkeitsbewertung bei der Verwendung virtueller Toolchains für die ADS-Validierung

Teil 5: Vom Hersteller eingerichtetes System zur Gewährleistung der Meldung während des Betriebs.

Alle Anforderungen in Anhang II können durch Tests der Typgenehmigungsbehörde (oder ihres technischen Dienstes) überprüft werden.

TEIL 1

1.
Mindestmenge an Verkehrsszenarien
1.1.
Die in Punkt 1 aufgeführten Szenarien und Parameter sind zu verwenden, wenn diese Szenarien für die ODD der ADS relevant sind.

Weicht der Hersteller von den in Punkt 1 vorgeschlagenen Parametern ab, so sind die vom Hersteller verwendeten Metriken für die Sicherheitsleistung sowie inhärente Annahmen im Dokumentationspaket zu dokumentieren. Die gewählten Metriken für die Sicherheitsleistung und inhärenten Annahmen müssen demonstrieren, dass das vollautomatisierte Fahrzeug keine unverhältnismäßigen Sicherheitsrisiken aufweist. Die Gültigkeit solcher Metriken für die Sicherheitsleistung und die inhärenten Annahmen ist durch Daten aus der Überwachung während des Betriebs zu belegen.

1.2.
Parameter für die Spurwechselszenarien für das vollautomatisierte Fahrzeug
1.2.1.
Die Szenarien und Parameter in Bezug auf den Spurwechsel sind gemäß der UN-Regelung Nr. 157(1) anzuwenden.
1.3.
Parameter für die Abbiege- und Überquerungsszenarien für das vollautomatisierte Fahrzeug
1.3.1.
Beim Fehlen spezifischerer Verkehrsregeln sind beim Abbiegen und Überqueren (siehe Abbildung 1) bei trockener und ordnungsgemäßer Fahrbahn folgende Anforderungen im Hinblick auf die Interaktion mit anderen Verkehrsteilnehmern zu berücksichtigen.
1.3.2.
Beim Zusammenführen mit vorfahrtsberechtigtem Verkehr während des Abbiegens mit und ohne Kreuzung der Gegenrichtung ist zu vermeiden, dass der vorfahrtsberechtigte Verkehr auf der Zielspur abbremsen muss. Es muss jedoch sichergestellt werden, dass die TTC des sich nähernden vorfahrtsberechtigten Verkehrs auf der Zielstraße (Fall a in Abbildung 1) niemals unter den Schwellenwert fällt, TTCdyn definiert als:

TTC dyn v e v a 2•β ρ

Dabei gilt:

    v e gleich der Geschwindigkeit des vollautomatisierten Fahrzeugs

    v a gleich der Geschwindigkeit des sich nähernden vorfahrtsberechtigten Verkehrs

    β gleich 3 m/s2 als maximal zulässige Abbremsung für den sich nähernden vorfahrtsberechtigten Verkehr

    ρ gleich 1,5 s als Reaktionszeit für den sich nähernden vorfahrtsberechtigten Verkehr

1.3.3.
Bei einem Abbiegemanöver in die entgegengesetzte Verkehrsrichtung ist zu vermeiden, dass der vorfahrtsberechtigte Verkehr auf der Zielfahrspur unter Berücksichtigung des Gegenverkehrs abbremsen muss. Falls jedoch durch die Verkehrsdichte gerechtfertigt, muss — zusätzlich zum Abstand zum sich nähernden vorfahrtsberechtigten Verkehr auf der Zielstraße — sichergestellt werden, dass die TTC des vorfahrtsberechtigten kreuzenden Verkehrs zum fiktiven Kollisionspunkt (Schnittpunkt der Bewegungsbahnen, Fall b in Abbildung 1) niemals unter den Schwellenwert fällt,TTCint definiert als:

TTC int v c 2•β ρ

Dabei gilt:

    v c gleich der Geschwindigkeit des vorfahrtsberechtigten kollisionsgefährdeten Verkehrs

    β gleich 3 m/s2 als maximal zulässige Abbremsung für den vorfahrtsberechtigten kreuzenden Verkehr

    ρ gleich 1,5 s als Reaktionszeit für den vorfahrtsberechtigten kreuzenden Verkehr

Dasselbe gilt für Überquerungen mit vorfahrtsberechtigtem Verkehr (Fall c in Abbildung 1): Die TTC des vorfahrtsberechtigten Verkehrs zum imaginären Kollisionspunkt (Schnittpunkt der Bewegungsbahnen) darf niemals unter den Schwellenwert fallen, TTCint definiert in diesem Punkt.

Abbildung 1: Visualisierung der Abstände beim Abbiegen und Überqueren

Fall a: Abstand zum sich nähernden vorfahrtsberechtigten Verkehr auf der Zielspur, der beim Einbiegen und Einfädeln mit vorfahrtsberechtigtem Verkehr zu beachten ist.

Fall b: Abstand zum entgegenkommenden vorfahrtsberechtigten Verkehr, der beim Wenden und Überqueren der entgegengesetzten Verkehrsrichtung einzuhalten ist.

Fall c: Abstand zum vorfahrtsberechtigten kreuzenden Verkehr, der beim Überqueren einzuhalten ist.

1.4.
Parameter für die Notfallmanöver-Szenarien des vollautomatisierten Fahrzeugs (DDT bei kritischen Szenarien)
1.4.1.
Das ADS muss eine Kollision mit einem vorausfahrenden Fahrzeug, das bis zu seiner vollen Bremsleistung abbremst, vermeiden, vorausgesetzt, es ist kein anderes Fahrzeug eingeschert.
1.4.2.
Kollisionen mit einscherenden Fahrzeugen, Fußgängern und Radfahrern, die sich in die gleiche Richtung bewegen, sowie mit Fußgängern, die beginnen könnten, die Straße zu überqueren, müssen mindestens unter den durch die folgende Gleichung festgelegten Bedingungen vermieden werden.

TTC cut in v rel 2•β ρ 1 2 τ

Dabei gilt:

TTC cut in ist die Zeit bis zur Kollision zum Zeitpunkt des Einscherens des Fahrzeugs oder Radfahrers um mehr als 30 cm in die Fahrspur des vollautomatisierten Fahrzeugs.

v rel ist die relative Geschwindigkeit in Metern pro Sekunde [m/s] zwischen dem vollautomatisierten Fahrzeug und dem einscherenden Fahrzeug (positiv, wenn das ADS schneller ist als das einscherende Fahrzeug);

β ist die maximale Abbremsung des vollautomatisierten Fahrzeugs und entspricht folgenden Werten:

    2,4 m/s2, wenn es stehende oder nicht angeschnallte Fahrzeuginsassen befördert und ein Szenario mit einscherendem Fahrzeug vorliegt;

    6 m/s2, wenn es stehende oder nicht angeschnallte Fahrzeuginsassen befördert und andere Szenarien mit Fußgängern oder Radfahrern vorliegen;

    6 m/s2 für andere vollautomatisierte Fahrzeuge.

    ρ ist die Zeit, die das vollautomatisierte Fahrzeug benötigt, um eine Notbremsung einzuleiten, und entspricht dem Wert 0,1 s.

    τ ist die Zeit bis zum Erreichen der maximalen Abbremsung β und entspricht folgenden Werten:

    0,12 s für vollautomatisierte Fahrzeuge, die stehende oder nicht angeschnallte Fahrzeuginsassen befördern;

    0,3 s für andere vollautomatisierte Fahrzeuge.

Die Einhaltung dieser Gleichung ist nur für einscherende Verkehrsteilnehmer erforderlich, und auch nur dann, wenn die einscherenden Verkehrsteilnehmer mindestens 0,72 Sekunden vor dem Einscheren sichtbar waren:

Daraus ergibt sich eine geforderte Kollisionsvermeidung, wenn ein anderer Verkehrsteilnehmer oberhalb der folgenden TTC-Werte in die Ego-Spur einschert (für das gezeigte Beispiel für Geschwindigkeiten in 10 km/h-Schritten). Diese Anforderungen müssen unabhängig von den Umgebungsbedingungen erfüllt werden.

v rel [km/h] TTC cut in [s] für Fahrzeuge mit stehenden oder nicht angeschnallten Fahrzeuginsassen TTC cut in [s] für andere Fahrzeuge
10 0,74 0,48
20 1,32 0,71
30 1,9 0,94
40 2,47 1,18
50 3,05 1,41
60 3,63 1,64

Wird ein Spurwechsel mit einer niedrigeren TTC auf die Fahrspur des vollautomatisierten Fahrzeugs durchgeführt, kann nicht mehr davon ausgegangen werden, dass keine Kollisionsvermeidung stattfindet. Die Kontrollstrategie des ADS darf nur dann zwischen Kollisionsvermeidung und -minderung wechseln, wenn der Hersteller nachweisen kann, dass dies die Sicherheit der Fahrzeuginsassen und der anderen Verkehrsteilnehmer erhöht (z. B. durch Bevorzugung des Bremsens gegenüber einem alternativen Manöver).

1.4.3.
Das ADS muss eine Kollision mit einem kreuzenden Fußgänger oder einem Radfahrer vor dem Fahrzeug vermeiden.
1.4.3.1.
Fahrbedingungen in der Stadt und auf dem Land
1.4.3.1.1.
Das ADS muss bis zu einer Geschwindigkeit von 60 km/h eine Kollision mit einem nicht verdeckten kreuzenden Fußgänger mit einer Quergeschwindigkeitskomponente von höchstens 5 km/h oder einem nicht verdeckten kreuzenden Radfahrer mit einer Quergeschwindigkeitskomponente von nicht mehr als 15 km/h vor dem Fahrzeug vermeiden. Dies muss unabhängig von dem spezifischen vom ADS durchgeführten Manöver sichergestellt werden.
1.4.3.1.2.
Für den Fall, dass der Fußgänger bzw. der Radfahrer mit einer höheren Geschwindigkeit als den oben genannten Werten weitergeht bzw. -fährt und das ADS eine Kollision nicht mehr vermeiden kann, darf die Kontrollstrategie des ADS nur dann zwischen Kollisionsvermeidung und -minderung wechseln, wenn der Hersteller nachweisen kann, dass dies die Sicherheit der Fahrzeuginsassen und der anderen Verkehrsteilnehmer erhöht (z. B. durch bevorzugtes Bremsen gegenüber einem alternativen Manöver).
1.4.3.1.3.
Das ADS muss eine Kollision mit einem verdeckten Fußgänger oder Radfahrer, der vor dem Fahrzeug kreuzt, abmildern, indem es seine Kollisionsgeschwindigkeit um mindestens 20 km/h verringert. Dies muss unabhängig von dem spezifischen vom ADS durchgeführten Manöver sichergestellt werden.
1.4.3.1.4.
Für den Nachweis der Erfüllung der vorstehenden Anforderungen im Zusammenhang mit dem Kreuzen von Fußgängern und Radfahrern vor dem Fahrzeug können die im Rahmen des Europäischen Programms zur Bewertung von Neufahrzeugen (Euro NCAP) entwickelten Test- und Bewertungsszenarien als Orientierung dienen.
1.4.3.2.
Fahrbedingungen auf der Autobahn
1.4.3.2.1.
Die relevanten Szenarien und Parameter in Bezug auf das Kreuzen von Fußgängern sind gemäß der UN-Regelung Nr. 157 anzuwenden.
1.4.3.2.2.
Für den Fall, dass der Fußgänger mit Parameterwerten außerhalb der in der UN-Regelung Nr. 157 kreuzt und das ADS eine Kollision nicht mehr vermeiden kann, darf die Kontrollstrategie des ADS nur dann zwischen Kollisionsvermeidung und -minderung wechseln, wenn der Hersteller nachweisen kann, dass dies die Sicherheit der Fahrzeuginsassen und der anderen Verkehrsteilnehmer erhöht (z. B. durch bevorzugtes Bremsen gegenüber einem alternativen Manöver).
1.5.
Auffahrt auf die Autobahn

Das vollautomatisierte Fahrzeug muss in der Lage sein, sicher auf die Autobahn aufzufahren, indem es die Geschwindigkeit an den Verkehrsfluss anpasst und den entsprechenden Fahrtrichtungsanzeiger gemäß den Verkehrsregeln aktiviert.

Der Fahrtrichtungsanzeiger muss deaktiviert werden, sobald das Fahrzeug das Spurwechselmanöver (LCM) abgeschlossen hat. Die für das Spurwechselszenario verwendeten Parameter müssen angewendet werden.

1.6.
Abfahrt von der Autobahn

Das vollautomatisierte Fahrzeug muss in der Lage sein, die vorgesehene Autobahnausfahrt zu antizipieren, indem es auf dem Fahrstreifen neben der Ausfahrtspur fährt; es darf nicht unnötig abbremsen, bevor das LCM in die Ausfahrtspur beginnt.

Das vollautomatisierte Fahrzeug muss den Fahrtrichtungsanzeiger in Übereinstimmung mit den Verkehrsregeln betätigen und ohne unnötige Verzögerung in die Ausfahrtspur einfahren.

Der Fahrtrichtungsanzeiger muss deaktiviert werden, sobald das LCM gemäß den Verkehrsvorschriften des Landes, in dem es durchgeführt wird, abgeschlossen ist.

1.7.
Durchfahren einer Mautstelle

Je nach ODD muss das vollautomatisierte Fahrzeug in der Lage sein, die richtige Durchfahrtsschranke zu wählen und seine Geschwindigkeit unter Berücksichtigung des Verkehrsflusses an die zulässige Höchstgeschwindigkeit innerhalb der Mautstelle anzupassen.

1.8.
Betrieb auf anderen Straßentypen als Autobahnen

Je nach ODD muss das jeweilige in den Punkten 1.2 bis 1.4 oben definierte relevante Szenario angewendet werden.

1.9.
Parameter für das automatisierte Parken
1.9.1.
Je nach ODD müssen die in den Punkten 1.3 bis 1.5 oben definierten relevanten Szenarien angewendet werden. Die für diese Szenarien zu verwendenden Parameter müssen unter Umständen angepasst werden, um die begrenzte Fahrgeschwindigkeit und die allgemein schlechte Sicht in einer Parkeinrichtung zu berücksichtigen. Es ist besonders darauf zu achten, dass Kollisionen mit Fußgängern und insbesondere mit Kindern und Kinderwagen vermieden werden.
2.
Nicht von Punkt 1 abgedeckte Szenarien.
2.1.
Szenarien, die nicht in Punkt 1 aufgeführt sind, sind zu generieren, um vernünftigerweise vorhersehbare kritische Situationen abzudecken, einschließlich Störungen und Verkehrsgefährdungen innerhalb der ODD.
2.2.
Wenn ADS-Funktionen von Fernfunktionen abhängig sind, müssen die Szenarien Störungen und Verkehrsgefährdungen umfassen, die von den entsprechenden Fernfunktionen ausgehen.
2.3.
Die Methode zur Generierung von Szenarien, die nicht in Abschnitt 1 aufgeführt sind, muss den in Anlage 1 zu Teil 1 dieses Anhangs festgelegten Grundsätzen entsprechen.
2.4.
Die vom Hersteller angewandte Methode zur Generierung von Szenarien, die nicht in Punkt 1 aufgeführt sind, ist in dem für die ADS-Bewertung vorzulegenden Dokumentationspaket darzulegen.

TEIL 2

1.
Allgemeines

1.1.
Die Typgenehmigungsbehörde, die die Typgenehmigung erteilt, oder der in ihrem Auftrag tätige technische Dienst überprüft durch gezielte Stichproben und Tests, insbesondere gemäß Punkt 4 dieses Anhangs, ob die in der Dokumentation enthaltenen Sicherheitsargumente mit den Anforderungen von Anhang II übereinstimmen und ob der in der Dokumentation beschriebene Entwurf und die darin beschriebenen Verfahren vom Hersteller tatsächlich umgesetzt werden.
1.2.
Auch wenn das verbleibende Sicherheitsrisiko des typgenehmigten ADS für die Inbetriebnahme des Fahrzeugtyps auf der Grundlage der vorgelegten Dokumentation, der für das Audit des Sicherheitsmanagementsystems vorgelegten Nachweise und der zur Zufriedenheit der Typgenehmigungsbehörde gemäß dieser Verordnung durchgeführten Bewertung des ADS-Sicherheitskonzepts als akzeptabel angesehen wird, bleibt der Hersteller, der die Typgenehmigung beantragt, verantwortlich für die Gesamtsicherheit des ADS während der Betriebslebensdauer des ADS gemäß den Anforderungen dieser Verordnung.

2.
Begriffsbestimmungen

Für die Zwecke dieses Anhangs gelten folgende Begriffsbestimmungen:
2.1.
„Sicherheitskonzept” bezeichnet eine Beschreibung der Maßnahmen, die beim Entwurf des ADS berücksichtigt wurden, sodass das vollautomatisierte Fahrzeug für die Szenarien und Ereignisse funktioniert, die relevant für die ODD sind, und dies frei von unverhältnismäßigen Sicherheitsrisiken für die Fahrzeuginsassen und andere Verkehrsteilnehmer unter Fehlerbedingungen (funktionale Sicherheit) und fehlerfreien Bedingungen (operative Sicherheit). Die Möglichkeit des Rückfalls auf einen Teilbetrieb oder sogar auf ein Reservesystem für wichtige ADS-Funktionen muss Teil des Sicherheitskonzepts sein.
2.2.
„Einheiten” bezeichnet die kleinsten Unterteilungen von Systemkomponenten, die in diesem Anhang berücksichtigt werden, da diese Kombinationen von Komponenten für die Zwecke der Identifizierung, der Analyse oder des Austauschs als einzelne Einheiten behandelt werden.
2.3.
„Übertragungsverbindungen” bezeichnet die Mittel, die zur Verbindung verteilter Einheiten zum Zwecke der Übertragung von Signalen, Betriebsdaten oder einer Energieversorgung verwendet werden. Diese Ausrüstung ist im Allgemeinen elektrisch, kann aber teilweise auch mechanisch, pneumatisch oder hydraulisch sein.
2.4.
„Kontrollbereich” bezeichnet eine Ausgangsvariable und definiert den Bereich, in dem das System wahrscheinlich die Kontrolle ausüben wird.
2.5.
„Grenze des funktionalen Betriebs” bezeichnet die externen physikalischen Grenzen, innerhalb derer das ADS die dynamischen Fahraufgaben erfüllen kann.

3.
Dokumentation des ADS

3.1.
Anforderungen

Der Hersteller muss ein Dokumentationspaket zur Verfügung stellen, das Zugang zum grundlegenden Entwurf des ADS und zu den Mitteln gibt, mit denen es mit anderen Fahrzeugsystemen verbunden ist oder mit denen es Ausgangsvariablen direkt steuert, sowie zur Hardware/Software außerhalb des Fahrzeugs und zu den Fernfunktionen. Die Funktion(en) des ADS, einschließlich der Kontrollstrategien, und das vom Hersteller festgelegte Sicherheitskonzept sind zu erläutern. Die Dokumentation ist kurz zu halten, muss jedoch den Nachweis erbringen, dass in den Entwurf und die Entwicklung Fachwissen aus allen relevanten ADS-Bereichen eingeflossen ist. Für die regelmäßige technische Überwachung muss die Dokumentation beschreiben, wie der aktuelle Betriebszustand des ADS sowie die Funktionsweise und Integrität der Software überprüft werden können. Die Typgenehmigungsbehörde bewertet das Dokumentationspaket, aus dem hervorgeht, dass das ADS:
a)
so entworfen und entwickelt wurde, dass es ohne unverhältnismäßige Risiken für Fahrzeuginsassen und andere Verkehrsteilnehmer innerhalb der angegebenen ODD und Grenzen funktioniert;
b)
die Leistungsanforderungen von Anhang II dieser Verordnung erfüllt;
c)
gemäß dem vom Hersteller angegebenen Entwicklungsprozess/der angegebenen Methode entwickelt wurde.
3.1.1.
Die Dokumentation wird in drei Teilen zur Verfügung gestellt:

a)
Antrag auf Typgenehmigung: Der Beschreibungsbogen, der der Typgenehmigungsbehörde bei der Beantragung der Typgenehmigung vorgelegt wird, enthält kurze Angaben zu den in Anhang I aufgeführten Punkten. Er wird Bestandteil der Typgenehmigung.
b)
Die förmliche Dokumentation für die Typgenehmigung, die die unter diesem Abschnitt 3 aufgeführten Unterlagen enthält (mit Ausnahme der Angaben nach Nummer 3.5.5) und das der Typgenehmigungsbehörde für die Zwecke der ADS-Typgenehmigung vorzulegen ist. Dieses Dokumentationspaket wird von der Typgenehmigungsbehörde als grundlegende Referenz für das in Punkt 4 dieses Anhangs beschriebene Prüfverfahren verwendet. Die Typgenehmigungsbehörde stellt sicher, dass dieses Dokumentationspaket für einen Zeitraum von mindestens zehn Jahren verfügbar bleibt, gerechnet ab dem Zeitpunkt der endgültigen Einstellung der Produktion des Fahrzeugtyps.
c)
Zusätzliches vertrauliches Material und Analysedaten (geistiges Eigentum) gemäß Punkt 3.5.5, die vom Hersteller aufbewahrt werden müssen, aber zum Zeitpunkt der ADS-Typgenehmigung zur Einsichtnahme zugänglich gemacht werden (z. B. in den Entwicklungseinrichtungen des Herstellers). Der Hersteller muss sicherstellen, dass diese Material- und Analysedaten für einen Zeitraum von 10 Jahren ab dem Zeitpunkt der endgültigen Einstellung der Produktion des Fahrzeugtyps verfügbar bleiben.

3.2.
Allgemeine Beschreibung des ADS

3.2.1.
Es ist eine Beschreibung vorzulegen, die eine einfache Erläuterung der Betriebsmerkmale des ADS und der ADS-Funktionen enthält.
3.2.2.
Die Beschreibung muss umfassen:
3.2.2.1.
die ODD wie Höchstgeschwindigkeit, Straßentyp (z. B. zugeordnete Fahrspur), Land bzw. Länder/Gebiet(e) des Einsatzes, Straßenbedingungen und erforderliche Umweltbedingungen (z. B. Schneefreiheit) usw.)/Randbedingungen
3.2.2.2.
grundlegende Leistung (z. B. Erkennung von Objekten und Ereignissen und Reaktion darauf, für den Betrieb erforderliche externe Infrastruktur)
3.2.2.3.
Interaktion mit anderen Verkehrsteilnehmern
3.2.2.4.
Hauptbedingungen für risikominimierende Manöver
3.2.2.5.
Interaktionskonzept mit den Fahrzeuginsassen, dem Bediener im Fahrzeug (falls zutreffend) und dem Bediener für den Ferneingriff (falls zutreffend)
3.2.2.6.
die Mittel zur Aktivierung oder Deaktivierung des ADS durch den Bediener im Fahrzeug (falls zutreffend) oder den Bediener für den Ferneingriff (falls zutreffend), die Fahrzeuginsassen (falls zutreffend) oder andere Verkehrsteilnehmer (falls zutreffend)
3.2.2.7.
operative Maßnahmen (z. B. Bediener im Fahrzeug oder Bediener für den Ferneingriff erforderlich), die zur Gewährleistung der Sicherheit während des Betriebs des vollautomatisierten Fahrzeugs getroffen werden müssen
3.2.2.8.
Backend, externe Infrastruktur, die erforderlich ist, um die Sicherheit während des Betriebs des vollautomatisierten Fahrzeugs zu gewährleisten.

3.3.
Beschreibung der Funktionen des ADS

Es ist eine Beschreibung vorzulegen, in der alle Funktionen erläutert werden, einschließlich der Kontrollstrategien, die einen robusten und sicheren Betrieb des ADS gewährleisten, sowie die Methoden zur Ausführung der dynamischen Fahraufgaben innerhalb der ODD und die Grenzen, auf die das automatisierte Fahrsystem ausgelegt ist, zusammen mit einer Beschreibung, wie dies sichergestellt wird. Alle aktivierten oder deaktivierten automatisierten Fahrfunktionen, deren Hardware und Software zum Zeitpunkt der Herstellung im Fahrzeug vorhanden sind, müssen vor ihrer Verwendung im Fahrzeug angegeben werden und unterliegen den Anforderungen dieses Anhangs sowie von Anhang II dieser Verordnung. Wenn kontinuierliche Lernalgorithmen eingesetzt werden, muss der Hersteller auch die Datenverarbeitung dokumentieren.
3.3.1.
Es ist eine Liste aller Eingangs- und Messvariablen mit Angabe ihres jeweils definierten Gültigkeitsbereichs vorzulegen, zusammen mit einer Beschreibung, wie die einzelnen Variablen das Verhalten des ADS beeinflussen.
3.3.2.
Es ist eine Liste aller Ausgangsvariablen vorzulegen, die durch das ADS gesteuert werden, und es ist in jedem Fall zu erläutern, ob die Steuerung direkt oder über ein anderes Fahrzeugsystem erfolgt. Der Bereich, in dem das ADS voraussichtlich die Kontrolle über jede dieser Variablen ausübt, ist festzulegen.
3.3.3.
Die Grenzen des funktionalen Betriebs, einschließlich der ODD-Grenzwerte, sind anzugeben, wenn dies für die Leistung des ADS relevant ist.
3.3.4.
Das Konzept der Mensch-Maschine-Interaktion (HMI) mit den Fahrzeuginsassen/dem Bediener im Fahrzeug/dem Bediener für den Ferneingriff (falls vorhanden) bei Annäherung an ODD-Grenzwerte und deren Erreichen ist zu erläutern. Die Erläuterung muss eine Liste der verschiedenen Situationen enthalten, in denen das ADS eine Unterstützungsanforderung an den Bediener im Fahrzeug/den Bediener für den Ferneingriff (falls zutreffend) stellt, die Art und Weise, wie die Anforderung vorgenommen wird, das Verfahren, mit dem eine fehlgeschlagene Anforderung behandelt wird, und das risikominimierende Manöver. Die Signale und Informationen, die dem Bediener im Fahrzeug/dem Bediener für den Ferneingriff, den Fahrzeuginsassen und anderen Verkehrsteilnehmern bei jedem der oben genannten Aspekte übermittelt werden, sind ebenfalls zu beschreiben.

3.4.
Layout und Schaltpläne des ADS

3.4.1.
Bestandsverzeichnis der Komponenten

Es ist eine Liste vorzulegen, in der alle Einheiten des ADS zusammengefasst sind und in der die anderen Fahrzeugsysteme sowie die externe Hardware/Software und die Fernfunktionen aufgeführt sind, die erforderlich sind, um die spezifizierte Leistung des ADS zu erreichen, das gemäß seiner ODD genehmigt werden soll.

Es ist ein Übersichtsplan vorzulegen, der diese Einheiten in Kombination zeigt und aus dem sowohl die Geräteverteilung als auch die Verbindungen deutlich hervorgehen.

Diese Übersicht muss enthalten:

a)
Wahrnehmung und Erkennung von Objekten/Ereignissen einschließlich Kartierung und Ortung
b)
Charakterisierung der Entscheidungsfindung
c)
die ADS-Datenelemente
d)
Verbindungen und Schnittstellen zu anderen Fahrzeugsystemen, externer Hardware/Software und Fernfunktionen

3.4.2.
Funktionen der Einheiten

Die Funktion jeder Einheit des ADS ist zu beschreiben, und die Signale, die sie mit anderen Einheiten oder anderen Fahrzeugsystemen verbinden, sind darzustellen. Dazu gehören auch externe Systeme, die das ADS und andere Fahrzeugsysteme unterstützen. Dies kann durch ein beschriftetes Blockdiagramm oder einen anderen Übersichtsplan oder durch eine Beschreibung mit Unterstützung eines solchen Diagramms erfolgen.

3.4.3.
Die Verbindungen innerhalb des ADS sind durch einen Schaltplan für die elektrischen Übertragungsverbindungen, durch einen Leitungsplan für pneumatische oder hydraulische Übertragungsausrüstung und durch eine vereinfachte schematische Darstellung für mechanische Verbindungen darzustellen. Die Übertragungsverbindungen zu und von anderen Systemen müssen ebenfalls dargestellt werden.
3.4.4.
Es muss eine klare Zuordnung zwischen den Übertragungsverbindungen und den zwischen den Einheiten übertragenen Signalen bestehen. Die Prioritäten von Signalen auf gemultiplexten Datenpfaden müssen angegeben werden, wenn die Priorität einen Einfluss auf die Leistung oder die Sicherheit haben kann.
3.4.5.
Identifizierung der Einheiten
3.4.5.1.
Jede Einheit muss klar und eindeutig identifizierbar sein (z. B. durch Kennzeichnung der Hardware und durch Kennzeichnung oder Softwareausgabe für den Softwareinhalt), um eine entsprechende Zuordnung von Hardware und Dokumentation zu ermöglichen. Wenn eine Softwareversion geändert werden kann, ohne dass die Kennzeichnung oder das Bauteil ausgetauscht werden muss, darf die Softwareidentifikation nur durch die Softwareausgabe erfolgen.
3.4.5.2.
Sind Funktionen in einem einzigen Gerät oder sogar in einem einzigen Computer kombiniert, aber aus Gründen der Übersichtlichkeit und der leichteren Erklärung im Blockschaltbild in mehreren Blöcken dargestellt, so ist nur eine einzige Hardware-Kennzeichnung zu verwenden. Der Hersteller muss durch die Verwendung dieser Kennzeichnung bestätigen, dass das gelieferte Gerät mit dem entsprechenden Dokument übereinstimmt.
3.4.5.3.
Die Kennzeichnung gibt die Hardware- und Softwareversion an; wenn sich die letztere so ändert, dass sich die Funktion der Einheit im Sinne dieser Verordnung ändert, muss auch diese Kennzeichnung geändert werden.
3.4.6.
Einbau der Komponenten des Sensorsystems

Der Hersteller muss Informationen über die Einbaumöglichkeiten für die einzelnen Komponenten des Sensorsystems zur Verfügung stellen. Zu diesen Optionen gehören unter anderem die Lage der Komponente im/am Fahrzeug, der/die die Komponente umgebende(n) Werkstoff(e), die Abmessungen und die Geometrie des die Komponente umgebenden Werkstoffs sowie die Oberflächenbeschaffenheit der die Komponente umgebenden Werkstoffe nach dem Einbau in das Fahrzeug. Die Informationen müssen auch Einbauspezifikationen enthalten, die für die Leistung des ADS entscheidend sind, z. B. Toleranzen beim Einbauwinkel.

Änderungen an den einzelnen Komponenten des Sensorsystems oder an den Einbaumöglichkeiten sind der Typgenehmigungsbehörde mitzuteilen und werden einer weiteren Bewertung unterzogen.

3.5.
Sicherheitskonzept des Herstellers und Validierung des Sicherheitskonzepts durch den Hersteller

3.5.1.
Der Hersteller muss eine Erklärung vorlegen, in der er bestätigt, dass das ADS keine unverhältnismäßigen Risiken für die Fahrzeuginsassen und andere Verkehrsteilnehmer darstellt.
3.5.2.
In Bezug auf die im ADS verwendete Software sind die Grundzüge der Architektur zu erläutern und die verwendeten Entwurfsmethoden und Werkzeuge anzugeben (siehe 3.5.1.). Der Hersteller muss nachweisen, mit welchen Mitteln er die Realisierung der ADS-Logik im Entwurfs- und Entwicklungsprozess bestimmt hat.
3.5.3.
Der Hersteller muss der Typgenehmigungsbehörde eine Erläuterung der in das ADS eingebauten Entwurfsvorschriften zur Gewährleistung der funktionalen und operativen Sicherheit vorlegen. Mögliche Entwurfsvorschriften im ADS sind zum Beispiel:

a)
Rückfall auf den Betrieb mit einem Teilsystem
b)
Redundanz mit einem separaten System
c)
Verschiedene Systeme, die dieselbe Funktion erfüllen
d)
Wegfall oder Einschränkung der automatisierten Fahrfunktion(en)

3.5.3.1.
Wenn die gewählte Vorschrift unter bestimmten Fehlerbedingungen (z. B. bei schwerwiegenden Störungen) eine Betriebsart mit Teilleistung vorgibt, sind diese Bedingungen anzugeben (z. B. Art der Störung), ebenso wie die sich daraus ergebenden definierten Grenzen der Wirksamkeit (z. B. sofortige Einleitung eines risikominimierenden Manövers) und die Warnstrategie für den Bediener/den Bediener für den Ferneingriff, die Insassen und andere Verkehrsteilnehmer (falls zutreffend).
3.5.3.2.
Wenn die gewählte Entwurfsvorschrift ein zweites (Reserve-) Mittel oder verschiedene Mittel zur Realisierung der von dem Fehler betroffenen Leistung vorsieht, sind die Grundsätze des Umschaltmechanismus, die Logik und der Grad der Redundanz sowie etwaige eingebaute Kontrollfunktionen zu erläutern, ebenso wie die sich daraus ergebenden definierten Grenzen der Wirksamkeit.
3.5.3.3.
Wenn die gewählte Entwurfsvorschrift die Aufhebung der automatisierten Fahrfunktion(en) vorsieht, muss dies in Übereinstimmung mit den einschlägigen Bestimmungen dieser Verordnung erfolgen. Alle entsprechenden Ausgangssteuersignale, die mit dieser Funktion verbunden sind, sind zu sperren.
3.5.4.
Der Hersteller muss der Typgenehmigungsbehörde auch eine Erläuterung der Betriebssicherheitsmaßnahmen vorlegen, die für den sicheren Betrieb des ADS zu ergreifen sind, wie z. B. ein Bediener im Fahrzeug oder ein Bediener für den Ferneingriff, unterstützende externe Infrastruktur, Anforderungen an die Transport- und die physische Infrastruktur, Wartungsmaßnahmen usw.
3.5.5.
Die Dokumentation muss durch eine Analyse gestützt werden, aus der hervorgeht, wie sich das ADS verhält, um Gefahren, die sich auf die Sicherheit der Fahrzeuginsassen und anderer Verkehrsteilnehmer auswirken können, zu mindern oder zu vermeiden.
3.5.5.1.
Das (die) gewählte(n) analytische(n) Konzept(e) ist (sind) vom Hersteller zu erstellen und zu pflegen und der Typgenehmigungsbehörde zum Zeitpunkt der Typgenehmigung und danach zur Einsichtnahme vorzulegen.
3.5.5.2.
Die Typgenehmigungsbehörde bewertet die Anwendung des analytischen Ansatzes/der analytischen Ansätze:

a)
Überprüfung des Sicherheitsansatzes auf Konzeptebene.

Dieses Konzept muss auf einer für die Systemsicherheit geeigneten Gefahrenanalyse/Risikobewertung beruhen.

b)
Überprüfung des Sicherheitsansatzes auf ADS-Ebene, einschließlich eines Top-Down-Ansatzes (von der möglichen Gefährdung zum Entwurf) und eines Bottom-Up-Ansatzes (vom Entwurf zu den möglichen Gefährdungen). Das Sicherheitskonzept kann auf einer Fehlermöglichkeits- und -einflussanalyse (FMEA), einer Fehlerbaumanalyse (FTA) und einer systemtheoretischen Prozessanalyse (STPA) oder einem ähnlichen, für die funktionale und operative Sicherheit des Systems geeigneten Verfahren beruhen.
c)
Überprüfung der Validierungs-/Verifizierungspläne und -ergebnisse einschließlich geeigneter Abnahmekriterien. Dazu gehören Tests, die für die Validierung geeignet sind, z. B. Hardware-in-the-Loop-Tests (HIL), operative Fahrzeugtests auf der Straße, Tests mit realen Endnutzern oder andere für die Validierung/Verifizierung geeignete Tests. Die Ergebnisse der Validierung und Verifizierung können durch die Analyse des Abdeckungsgrads der verschiedenen Tests und die Festlegung von Mindestabdeckungsschwellen für verschiedene Metriken bewertet werden.

3.5.5.3.
Der Analyseansatz nach Abschnitt 3.5.5.2 muss bestätigen, dass zumindest jeder der folgenden Punkte abgedeckt ist:

i)
Probleme im Zusammenhang mit Interaktionen mit anderen Fahrzeugsystemen (z. B. Bremsen, Lenkung);
ii)
Störungen des automatisierten Fahrsystems und Reaktionen zur Risikominderung;
iii)
Situationen innerhalb der ODD, in denen das ADS aufgrund von Betriebsstörungen (z. B. mangelndes oder falsches Verständnis der Fahrzeugumgebung, mangelndes Verständnis der Reaktion des Bedieners/des Bedieners für den Ferneingriff, der Fahrzeuginsassen oder anderer Verkehrsteilnehmer, unzureichende Kontrolle, schwierige Szenarien) unverhältnismäßige Sicherheitsrisiken für die Fahrzeuginsassen und andere Verkehrsteilnehmer verursachen kann;
iv)
Identifizierung der relevanten Szenarien innerhalb der Randbedingungen und der zur Auswahl der Szenarien verwendeten Managementmethode sowie des gewählten Validierungsinstruments;
v)
Entscheidungsfindungsprozess, der zur Durchführung der dynamischen Fahraufgaben (z. B. Notfallmanöver) führt, für die Interaktion mit anderen Verkehrsteilnehmern und unter Einhaltung der nationalen Verkehrsvorschriften;
vi)
vernünftigerweise vorhersehbare Fehlbedienung durch die Fahrzeuginsassen/andere Verkehrsteilnehmer, Fehler oder Missverständnisse des Bedieners/des Bedieners für den Ferneingriff/Besitzers/anderer Verkehrsteilnehmer (z. B. unbeabsichtigtes Übersteuern) und vorsätzliche Manipulation des ADS;
vii)
Cybersicherheitsbedrohungen für die Sicherheit des ADS (durch die Analyse gemäß der UN-Regelung Nr. 155 hinsichtlich der Cybersicherheit und des Cybersicherheitsmanagementsystems abzudecken);
viii)
operative Sicherheitsprobleme: Probleme mit der unterstützenden externen Infrastruktur, Probleme mit dem Bediener für den Ferneingriff, Verlust der Konnektivität, mangelnde Wartung usw.

3.5.5.4.
Die Bewertung durch die Typgenehmigungsbehörde erfolgt durch Stichproben, um festzustellen, ob die Argumentation für das Sicherheitskonzept verständlich und logisch ist und in den verschiedenen Funktionen des ADS umgesetzt wurde. Bei der Bewertung ist auch zu prüfen, ob die Validierungspläne robust genug sind, um die Sicherheit nachzuweisen (z. B. angemessene Abdeckung der gewählten Szenarien, die durch das gewählte Validierungswerkzeug getestet werden), und ob sie ordnungsgemäß ausgeführt wurden.
3.5.5.4.1.
Es muss nachgewiesen werden, dass der Betrieb des vollautomatisierten Fahrzeugs keine unverhältnismäßigen Risiken für die Fahrzeuginsassen und andere Verkehrsteilnehmer in der ODD verursacht, d. h. durch:

a)
ein Gesamtvalidierungsziel (d. h. Gesamtvalidierungsabnahmekriterien), das durch Validierungsergebnisse gestützt wird, die belegen, dass die Inbetriebnahme des ADS das Risiko für die Fahrzeuginsassen und andere Verkehrsteilnehmer im Vergleich zu manuell gesteuerten Fahrzeugen insgesamt nicht erhöht, und
b)
einen szenariospezifischen Ansatz (d. h. szenariobasierte Validierungsabnahmekriterien), der darlegt, dass das ADS im Vergleich zu manuell gesteuerten Fahrzeugen für jedes der sicherheitsrelevanten Szenarien das Risiko für die Fahrzeuginsassen und andere Verkehrsteilnehmer insgesamt nicht erhöht.

3.5.5.5.
Die Typgenehmigungsbehörde führt zur Überprüfung des Sicherheitskonzepts die in Nummert 4 dieses Anhangs genannten Tests durch oder verlangt deren Durchführung.
3.5.5.6.
In dieser Dokumentation sind die zu überwachenden Parameter aufzuführen, und für jeden Störungszustand der in Punkt 3.5.4 dieses Anhangs definierten Art ist das Warnsignal anzugeben, das dem Bediener/dem Bediener für den Ferneingriff/den Fahrzeuginsassen/anderen Verkehrsteilnehmern und/oder dem Personal des technischen Dienstes/der technischen Überprüfung gegeben werden muss.
3.5.5.7.
In dieser Dokumentation sind auch die Maßnahmen zu beschreiben, mit denen sichergestellt wird, dass das ADS keine unverhältnismäßigen Risiken für die Fahrzeuginsassen und andere Verkehrsteilnehmer verursacht, wenn die Leistung des ADS durch Umweltbedingungen wie Klima, Temperatur, Staub- und Wassereintritt, Eisbildung oder schlechtes Wetter beeinträchtigt wird.

4.
Verifizierung und Tests

Unter Berücksichtigung der Analyseergebnisse für die Dokumentation des Herstellers fordert die Typgenehmigungsbehörde den technischen Dienst auf, Tests durchzuführen oder ihnen beizuwohnen, um bestimmte Punkte, die sich aus der Bewertung ergeben, zu überprüfen.
4.1.
Der funktionale Betrieb des ADS, wie er in den unter Punkt 3 geforderten Dokumenten dargelegt ist, muss wie folgt getestet werden:
4.1.1.
Verifizierung der Funktion des ADS

Die Typgenehmigungsbehörde prüft das ADS unter störungsfreien Bedingungen, indem sie auf einer Teststrecke eine Reihe ausgewählter Funktionen testet, die sie für erforderlich hält und die vom Hersteller beschrieben werden, und indem sie das Gesamtverhalten des ADS unter realen Fahrbedingungen einschließlich der Einhaltung der Verkehrsregeln prüft.

Diese Tests umfassen auch Szenarien, in denen das ADS durch den Bediener für den Ferneingriff (falls zutreffend) außer Kraft gesetzt wird.

Diese Tests können auf den in Teil 3 dieses Anhangs aufgeführten Prüfszenarien und/oder auf zusätzlichen, nicht in Teil 3 behandelten Szenarien beruhen.

4.1.1.1.
Die Testergebnisse müssen mit der vom Hersteller in Punkt 3.2 angegebenen Beschreibung, einschließlich der Kontrollstrategien, übereinstimmen und den Leistungsanforderungen dieser Verordnung genügen.
4.1.2.
Überprüfung des ADS-Sicherheitskonzepts

Die Reaktion des ADS muss unter dem Einfluss eines Fehlers in jeder einzelnen Einheit überprüft werden, indem entsprechende Ausgangssignale auf elektrische Einheiten oder mechanische Elemente angewendet werden, um die Auswirkungen einer internen Störung innerhalb der Einheit zu simulieren.

Die Typgenehmigungsbehörde muss überprüfen, ob diese Tests Aspekte umfassen, die sich auf die Steuerbarkeit des Fahrzeugs und die Benutzerinformation auswirken können (HMI-Aspekte, z. B. Interaktion mit dem Bediener/dem Bediener für den Ferneingriff).

4.1.2.1.
Die Typgenehmigungsbehörden prüfen auch eine Reihe von Szenarien, die für die Objekt- und Ereigniserkennung und -reaktion (OEDR) und die Charakterisierung der Entscheidungsfindung und Mensch-Maschine-Funktionen des ADS kritisch sind (z. B. schwer zu erkennende Objekte, wenn das ADS die ODD-Grenzen erreicht, Verkehrsstörungsszenarien, Konnektivitätsprobleme, Probleme mit Systemen außerhalb des Fahrzeugs, Probleme mit Fernfunktionen, wie z. B. die Abwesenheit des Bedieners für den Ferneingriff), wie in dieser Verordnung festgelegt.
4.1.2.2.
Die Überprüfungsergebnisse müssen mit der dokumentierten Zusammenfassung der Gefahrenanalyse so weit übereinstimmen, dass das Sicherheitskonzept und die Ausführung als angemessen und in Übereinstimmung mit den Anforderungen dieser Verordnung bestätigt werden.
4.2.
Simulationswerkzeuge und mathematische Modelle zur Überprüfung des Sicherheitskonzepts können gemäß Anhang VIII der Verordnung (EU) 2018/858 verwendet werden, insbesondere für Szenarien, die auf einer Teststrecke oder unter realen Fahrbedingungen schwierig sind. Hersteller müssen den Anwendungsbereich des Simulationswerkzeugs, seine Gültigkeit für das betreffende Szenario sowie die für die Simulations-Toolchain durchgeführte Validierung (Korrelation der Ergebnisse mit physischen Tests) nachweisen. Für den Nachweis der Gültigkeit der Simulations-Toolchain gelten die Grundsätze von Teil 4 dieses Anhangs. Die Simulation ist kein Ersatz für die physischen Tests in Teil 3 dieses Anhangs.
4.3.
Der Hersteller muss über eine gültige Konformitätsbescheinigung für das Sicherheitsmanagementsystem (SMS) verfügen, das für den zu genehmigenden Fahrzeugtyp relevant ist.

5.
Sicherheitsmanagementsystem (SMS)

5.1.
Der Hersteller muss für das ADS gegenüber der Typgenehmigungsbehörde in Form eines Sicherheitsmanagementsystems (SMS) nachweisen, dass wirksame Verfahren, Methoden, Schulungen und Werkzeuge vorhanden sind, auf dem neuesten Stand sind und innerhalb des Unternehmens angewendet werden, um die Sicherheit und die durchgängige Einhaltung der Vorschriften während des gesamten ADS-Betriebslebenszyklus zu gewährleisten.
5.2.
Der Entwurfs- und Entwicklungsprozess ist festzulegen und zu dokumentieren, einschließlich des Sicherheitsmanagementsystems, des Anforderungsmanagements, der Umsetzung der Anforderungen, der Tests, der Störungsverfolgung, der Abhilfe und der Freigabe.
5.3.
Der Hersteller muss funktionierende Kommunikationskanäle zwischen den Abteilungen des Herstellers sicherstellen, die für die funktionale/operative Sicherheit, die Cybersicherheit und andere relevante Disziplinen im Zusammenhang mit der Fahrzeugsicherheit zuständig sind.
5.4.
Der Hersteller muss über Verfahren zur Erfassung von Fahrzeugdaten und Daten aus anderen Quellen verfügen, um sicherheitsrelevante Vorfälle/Unfälle, die durch das eingeschaltete automatisierte Fahrsystem verursacht wurden, zu überwachen und zu analysieren. Der Hersteller meldet den Typgenehmigungsbehörden, den Marktüberwachungsbehörden und der Kommission die einschlägigen Vorkommnisse gemäß Teil 5 dieses Anhangs.
5.4.1.
Der Hersteller muss es dem Verkehrsdienstbetreiber ermöglichen, den Typgenehmigungsbehörden, Marktüberwachungsbehörden oder anderen von den Mitgliedstaaten benannten Behörden die Fahrzeugdaten gemäß Absatz 5.4 sowie die gemäß Anhang II Abschnitt 9 erfassten ADS-Daten und spezifischen Datenelemente des Ereignisdatenspeichers (EDR) zur Verfügung zu stellen.
5.5.
Der Hersteller muss über Verfahren verfügen, um mögliche sicherheitsrelevante Lücken nach der Zulassung zu verwalten und die Fahrzeuge erforderlichenfalls zu aktualisieren.
5.6.
Der Hersteller muss nachweisen, dass regelmäßige unabhängige interne Prozessaudits (z. B. alle zwei Jahre) durchgeführt werden, um sicherzustellen, dass die gemäß den Punkten 5.1. bis 5.5 festgelegten Prozesse konsequent umgesetzt werden.
5.7.
Der Hersteller hat geeignete Regelungen (z. B. vertragliche Regelungen, eindeutige Schnittstellen, Qualitätsmanagementsysteme) mit seinen Lieferanten zu treffen, um sicherzustellen, dass das Sicherheitsmanagementsystem der Lieferanten den Anforderungen unter den Nummern 5.1 (ausgenommen die fahrzeugbezogenen Aspekte wie „Betrieb” und „Stilllegung” ), 5.2, 5.3 und 5.6 entspricht.
5.8.
Konformitätsbescheinigung für das Sicherheitsmanagementsystem
5.8.1.
Ein Antrag auf Erteilung einer Konformitätsbescheinigung für das Sicherheitsmanagementsystem ist vom Hersteller oder seinem ordnungsgemäß bevollmächtigten Vertreter bei der Typgenehmigungsbehörde einzureichen.
5.8.2.
Dem Antrag sind die nachstehend genannten Dokumente in dreifacher Ausfertigung beizufügen, insbesondere:

a)
Dokumente, die das Sicherheitsmanagementsystem beschreiben;
b)
eine unterzeichnete Erklärung über die Übereinstimmung des SMS mit allen Anforderungen an das Sicherheitsmanagement gemäß dieser Verordnung unter Verwendung des in Anlage 3 zu diesem Anhang festgelegten Musters.

5.8.3.
Wenn dieses Audit des SMS zufriedenstellend abgeschlossen wurde und eine unterzeichnete Erklärung des Herstellers nach dem Muster in Anlage 3 vorliegt, wird dem Hersteller eine Bescheinigung mit der Bezeichnung „Konformitätsbescheinigung für das SMS” ausgestellt, wie in Anlage 4 beschrieben (nachstehend „Konformitätsbescheinigung für das SMS” ).
5.8.4.
Die Konformitätsbescheinigung für das SMS ist höchstens drei Jahre ab dem Datum der Ausstellung der Bescheinigung gültig, sofern sie nicht zurückgezogen wird.
5.8.5.
Die Typgenehmigungsbehörde kann jederzeit überprüfen, ob die Anforderungen für die Konformitätsbescheinigung für das SMS weiterhin erfüllt sind. Die Typgenehmigungsbehörde entzieht die Konformitätsbescheinigung für das SMS, wenn schwerwiegende Mängel bei der Einhaltung der in dieser Verordnung festgelegten Anforderungen festgestellt und nicht unverzüglich behoben werden.
5.8.6.
Der Hersteller unterrichtet die Typgenehmigungsbehörde oder ihren technischen Dienst über alle Änderungen, die die Gültigkeit der Konformitätsbescheinigung für das SMS beeinträchtigen. Nach Rücksprache mit dem Hersteller entscheidet die Typgenehmigungsbehörde oder ihr technischer Dienst, ob neue Prüfungen erforderlich sind.
5.8.7.
Der Hersteller beantragt rechtzeitig eine neue Konformitätsbescheinigung für das SMS oder eine Verlängerung der bestehenden Konformitätsbescheinigung für das SMS. Die Typgenehmigungsbehörde stellt vorbehaltlich einer positiven Prüfung eine neue Konformitätsbescheinigung für das SMS aus oder verlängert deren Gültigkeit um weitere drei Jahre. Die Typgenehmigungsbehörde prüft, ob das SMS weiterhin den Anforderungen dieser Verordnung entspricht. Die Typgenehmigungsbehörde stellt eine neue Bescheinigung aus, wenn der Typgenehmigungsbehörde oder ihrem technischen Dienst Änderungen zur Kenntnis gebracht wurden und diese Änderungen positiv bewertet wurden.
5.8.8.
Das Erlöschen oder die Rücknahme der Konformitätsbescheinigung des Herstellers für das SMS gilt in Bezug auf die Fahrzeugtypen, für die das betreffende SMS relevant war, als Änderung der Genehmigung, die die Rücknahme der Genehmigung einschließen kann, wenn die Bedingungen für die Erteilung der Genehmigung nicht mehr erfüllt sind.

6.
Berichtspflicht

6.1.
Die Berichterstattung über die Sicherheitsbewertung des ADS-Sicherheitskonzepts sowie das Audit des Sicherheitsmanagementsystems des Herstellers sind so durchzuführen, dass eine Rückverfolgbarkeit möglich ist. Beispielsweise können die Versionen der geprüften Dokumente codiert und in den Aufzeichnungen des technischen Dienstes aufgeführt werden.
6.2.
Ein Beispiel für das Layout des Berichts über die Bewertung des ADS-Sicherheitskonzepts durch den technischen Dienst an die Typgenehmigungsbehörde ist in Anlage 1 zu diesem Teil enthalten. Die in dieser Anlage aufgeführten Punkte sind als Mindestanforderungen zu verstehen, die abgedeckt werden müssen.
6.3.
Die erteilende Typgenehmigungsbehörde stellt die Ergebnisse der Sicherheitsbewertung aus, die dem Typgenehmigungsbogen beizufügen sind, und stützt sich dabei auf die vom Hersteller vorgelegte Dokumentation, den Bericht über die Bewertung des ADS-Sicherheitskonzepts durch den technischen Dienst und die Ergebnisse der gemäß Teil 3 dieses Anhangs durchgeführten Überprüfungs- und Testkampagnen. Ein Beispiel für ein mögliches Layout für die Ergebnisse der Sicherheitsbewertung ist in Anlage 4 enthalten.

7.
Kompetenz der Auditoren/Prüfer

7.1.
Die Bewertung des ADS-Sicherheitskonzepts und das Audit des Sicherheitsmanagementsystems gemäß diesem Teil dürfen nur von Prüfern/Auditoren durchgeführt werden, die über die für diese Zwecke erforderlichen technischen und administrativen Kenntnisse verfügen. Sie müssen insbesondere als Auditor/Prüfer für ISO 26262-2018 (Funktionale Sicherheit — Straßenfahrzeuge) und ISO/PAS 21448 (Sicherheit der bestimmungsgemäßen Funktionalität von Straßenfahrzeugen) kompetent sein und müssen in der Lage sein, die erforderliche Verknüpfung mit Aspekten der Cybersicherheit gemäß der UN-Regelung Nr. 155 und ISO/SAE 21434 herzustellen. Diese Kompetenz ist durch entsprechende Qualifikationen oder andere gleichwertige Ausbildungsnachweise nachzuweisen.

TEIL 3

1.
Allgemeine Vorschriften

Die Pass/Fail-Kriterien für die Bewertung der ADS-Sicherheit beruhen auf den in Anhang II festgelegten Anforderungen und dem in Teil 1 dieses Anhangs beschriebenen Szenario. Die Anforderungen sind so definiert, dass die Pass/Fail-Kriterien nicht nur für einen bestimmten Satz von Testparametern abgeleitet werden können, sondern auch für alle sicherheitsrelevanten Kombinationen von Parametern, die unter den von der Typgenehmigung abgedeckten Betriebsbedingungen und im angegebenen Betriebsbereich (z. B. Geschwindigkeitsbereich, Bereich der Längs- und Querbeschleunigung, Kurvenradien, Helligkeit, Anzahl der Fahrspuren) auftreten können. Für Bedingungen, die nicht getestet wurden, die aber innerhalb der festgelegten ODD des Systems auftreten können, muss der Hersteller als Teil der in Teil 2 beschriebenen Bewertung zur Zufriedenheit der Typgenehmigungsbehörde nachweisen, dass das Fahrzeug sicher beherrscht wird. Diese Tests müssen die in Anhang II beschriebenen Mindestanforderungen an die Leistung sowie die Funktionsfähigkeit des ADS und das Sicherheitskonzept des Herstellers gemäß Teil 2 dieses Anhangs bestätigen. Die Testergebnisse sind gemäß Teil 2 Punkt 6 dieses Anhangs zu dokumentieren und zu melden. Diese Prüfungen müssen auch bestätigen, dass das ADS den Verkehrsregeln entspricht, seinen Betrieb an die Umweltbedingungen anpasst, Störungen des Verkehrsflusses (z. B. Blockierung der Fahrspur aufgrund zu vieler MRM) verhindert, kein unvorhersehbares Verhalten aufweist und in relevanten Situationen (z. B. in sich verdichtendem Verkehr oder in der Nähe gefährdeter Verkehrsteilnehmer) ein vernünftiges kooperatives und antizipatives Verhalten aufweist.

2.
Teststandort

Der Teststandort muss Eigenschaften aufweisen (Beispiel: Reibungswert), die der angegebenen ODD des ADS entsprechen. Soweit dies für die Anwendung der besonderen Bedingungen der ODD des ADS erforderlich ist, werden physische Prüfungen innerhalb des tatsächlichen ODD (auf der Straße) oder in einer Prüfeinrichtung durchgeführt, in der die ODD-Bedingungen nachgebildet sind; diese Prüfungen werden vom Hersteller und von der Typgenehmigungsbehörde festgelegt. Das ADS ist auf der Straße zu testen, und zwar in Übereinstimmung mit den geltenden Rechtsvorschriften der Mitgliedstaaten und unter der Voraussetzung, dass die Tests sicher und ohne Gefahr für andere Verkehrsteilnehmer durchgeführt werden können.

3.
Umweltbedingungen

Die Tests sind unter verschiedenen Umweltbedingungen innerhalb der Grenzen der für das ADS festgelegten ODD durchzuführen. Für Umweltbedingungen, die nicht getestet wurden, die aber innerhalb der festgelegten ODD auftreten können, muss der Hersteller als Teil der beschriebenen Bewertung zur Zufriedenheit der Typgenehmigungsbehörde nachweisen, dass das Fahrzeug sicher beherrscht wird. Um die Anforderungen im Hinblick auf Störungen von Funktionen, die Selbsttests des ADS und die Einleitung und Durchführung eines risikominimierenden Manövers zu testen, können Störungen künstlich herbeigeführt und das Fahrzeug künstlich in Situationen gebracht werden, in denen es die Grenzen des festgelegten Betriebsbereichs erreicht (z. B. Umweltbedingungen).

4.
Systemänderungen zu Testzwecken

Wenn Änderungen am ADS erforderlich sind, um den Test zu ermöglichen, z. B. Kriterien zur Bewertung des Straßentyps oder Informationen über den Straßentyp (Kartendaten), muss sichergestellt werden, dass diese Änderungen die Testergebnisse nicht beeinflussen. Diese Änderungen sind grundsätzlich zu dokumentieren und dem Testbericht beizufügen. Die Beschreibung und der Nachweis des Einflusses (falls vorhanden) dieser Änderungen sind zu dokumentieren und dem Testbericht beizufügen.

5.
Fahrzeugbedingungen

5.1.
Testgewicht

Das zu testende Fahrzeug ist mit jeder zulässigen Fahrzeuglast zu testen. Nach Beginn des Testverfahrens darf keine Laständerung vorgenommen werden. Der Hersteller muss anhand der Dokumentation nachweisen, dass das ADS bei allen Lastzuständen funktioniert.

5.2.
Das betreffende Fahrzeug ist mit dem vom Hersteller empfohlenen Reifendruck zu testen.
5.3.
Es ist zu überprüfen, ob der Zustand des Systems dem vorgesehenen Testzweck entspricht (z. B. in fehlerfreiem Zustand oder mit den zu prüfenden spezifischen Fehlern).

6.
Testwerkzeuge

Zusätzlich zu realen Fahrzeugen können für die Durchführung der Tests Testwerkzeuge verwendet werden, die dem Stand der Technik entsprechen und reale Fahrzeuge und andere Verkehrsteilnehmer ersetzen (z. B. Soft-Targets, mobile Plattformen usw.). Die Ersatztestwerkzeuge müssen den für die sensorische Leistungsbewertung relevanten Merkmalen, realen Fahrzeugen und anderen Verkehrsteilnehmern entsprechen. Die Tests dürfen nicht so durchgeführt werden, dass das beteiligte Personal gefährdet wird, und eine erhebliche Beschädigung des getesteten Fahrzeugs muss vermieden werden, wenn andere Mittel zur Validierung zur Verfügung stehen.

7.
Variation der Testparameter

Der Hersteller muss der Typgenehmigungsbehörde die Systemgrenzen mitteilen. Die Typgenehmigungsbehörde legt verschiedene Kombinationen von Testparametern (z. B. aktuelle Geschwindigkeit des Fahrzeugs, Art und Versatz des Ziels, Krümmung der Fahrbahn usw.) für den Test des ADS fest. Die ausgewählten Testfälle müssen eine ausreichende Testabdeckung für alle Szenarien, Testparameter und Umwelteinflüsse bieten. Es ist nachzuweisen, dass die Wahrnehmungssysteme für das ADS gegenüber Störungen der Eingabe-/Sensordaten und ungünstigen Umweltbedingungen ausreichend robust sind. Die von der Typgenehmigungsbehörde ausgewählten Testparameter sind in einem Testbericht so festzuhalten, dass die Rückverfolgbarkeit und Wiederholbarkeit des Testaufbaus gewährleistet ist.

8.
Testszenarien für die Bewertung der Leistung des ADS auf einer Teststrecke (Punkte 8.1, 8.2, 8.5, 8.6, 8.7, 8.8, 8.9) und auf der Straße (8.3, 8.4, 8.10)

Die in den folgenden Abschnitten aufgeführten Szenarien sind als Mindestanzahl von Tests zu betrachten. Auf Verlangen der Typgenehmigungsbehörde können zusätzliche Szenarien, die Teil der ODD sind, durchgeführt werden. Gehört ein in Punkt 8 dieses Anhangs beschriebenes Szenario nicht zur ODD des Fahrzeugs, wird es nicht berücksichtigt. Je nach ODD sind die Testszenarien im Rahmen der Typgenehmigungsprüfung auszuwählen. Die Testszenarien sind gemäß Teil 1 dieses Anhangs auszuwählen. Typgenehmigungstests können auf der Grundlage von Simulationen, Manövern auf der Teststrecke und Fahrtests im realen Straßenverkehr durchgeführt werden. Sie dürfen jedoch nicht ausschließlich auf Computersimulationen beruhen, und zum Zeitpunkt der Typgenehmigung muss die Typgenehmigungsbehörde zumindest die folgenden Tests durchführen oder beobachten, um das Verhalten des ADS zu bewerten.

8.1.
Beibehalt der Fahrspur

Der Test muss demonstrieren, dass das vollautomatisierte Fahrzeug seine Fahrspur nicht verlässt und über den gesamten Geschwindigkeitsbereich und bei unterschiedlichen Kurvenverläufen innerhalb seiner Systemgrenzen eine stabile Bewegung innerhalb seiner Fahrspur beibehält.
8.1.1.
Der Test muss basierend auf der ODD des ADS mindestens ausgeführt werden:

a)
mit einer Mindesttestdauer von 5 Minuten;
b)
mit einem Pkw-Objekt sowie einem motorisierten Zweirad (PTW)-Objekt als das andere Fahrzeug;
c)
mit einem vorausfahrenden Fahrzeug, das innerhalb der Fahrspur plötzlich abweicht; und
d)
mit einem anderen Fahrzeug, das dicht daneben in der benachbarten Spur fährt.

8.2.
Spurwechselmanöver (LCM)

Die Tests sollen demonstrieren, dass das vollautomatisierte Fahrzeug während eines Spurwechsels kein unverhältnismäßiges Risiko für die Sicherheit der Fahrzeuginsassen und anderer Verkehrsteilnehmer verursacht und dass das ADS in der Lage ist, die Kritikalität der Situation vor Beginn des Spurwechselmanövers über den gesamten Betriebsgeschwindigkeitsbereich zu beurteilen. Diese Tests sind nur erforderlich, wenn das vollautomatisierte Fahrzeug in der Lage ist, entweder bei einem risikominimierenden Manöver oder im regulären Betrieb die Fahrspur zu wechseln.
8.2.1.
Die folgenden Tests sind auszuführen:

a)
mit dem vollautomatisierten Fahrzeug, das einen Spurwechsel auf die benachbarte (Ziel-) Spur durchführt;
b)
Einfädeln am Fahrspurende;
c)
Einfädeln in eine belegte Fahrspur.

8.2.2.
Die Tests müssen mindestens durchgeführt werden:

a)
mit verschiedenen Fahrzeugen, einschließlich eines sich von hinten nähernden motorisierten Zweirads (PTW);
b)
in einem Szenario, in dem es möglich ist, ein Spurwechselmanöver im regulären Betrieb durchzuführen;
c)
in einem Szenario, in dem ein Spurwechsel im regulären Betrieb aufgrund eines sich von hinten nähernden Fahrzeugs nicht möglich ist;
d)
mit einem gleich schnellen Fahrzeug, das auf der benachbarten Spur folgt und einen Spurwechsel verhindert;
e)
mit einem Fahrzeug, das auf der benachbarten Spur fährt und einen Spurwechsel verhindert;
f)
in einem Szenario, in dem ein LCM während eines risikominimierenden Manövers möglich ist und durchgeführt wird;
g)
in einem Szenario, in dem das vollautomatisierte Fahrzeug auf ein anderes Fahrzeug reagiert, das beginnt, in den gleichen Bereich innerhalb der Zielspur zu wechseln, um eine mögliche Kollisionsgefahr zu vermeiden.

8.3.
Reaktion auf unterschiedliche Straßengeometrien

Diese Tests müssen sicherstellen, dass das vollautomatisierte Fahrzeug unterschiedliche Straßengeometrien, die innerhalb der vorgesehenen ODD auftreten können, über seinen gesamten Geschwindigkeitsbereich erkennt und sich darauf einstellt.
8.3.1.
Der Test muss mindestens mit den unten aufgeführten Szenarien basierend auf der ODD des ADS durchgeführt werden:

a)
T-Kreuzungen (3-Wege-Kreuzungen) mit und ohne Ampeln, mit unterschiedlichen Vorfahrtsrechten;
b)
Kreuzungen (mit 4 oder mehr Richtungen) mit und ohne Ampeln und mit unterschiedlichen Vorfahrtsrechten;
c)
Kreisverkehre.

8.3.2.
Jeder Test muss mindestens durchgeführt werden:

a)
ohne ein vorausfahrendes Fahrzeug;
b)
mit einem Pkw-Aufprallziel sowie einem motorisierten Zweiradaufprallziel als vorausfahrendem Fahrzeug/anderem Fahrzeug;
c)
mit und ohne sich nähernde oder vorbeifahrende Fahrzeuge.

8.4.
Reaktion auf nationale Verkehrsregeln und Straßeninfrastruktur

Diese Tests müssen sicherstellen, dass das vollautomatisierte Fahrzeug die nationalen Verkehrsregeln einhält und sich an verschiedene permanente und temporäre Veränderungen der Straßeninfrastruktur (z. B. Baustellen) im gesamten Geschwindigkeitsbereich anpasst.
8.4.1.
Die Tests müssen mindestens mit den unten aufgeführten Szenarien durchgeführt werden, die für die ODD des ADS relevant sind:

a)
unterschiedliche Geschwindigkeitsbegrenzungsschilder, sodass das ADS seine Geschwindigkeit entsprechend den angegebenen Werten ändern muss;
b)
Ampeln und/oder Stopps, die von einem Beamten der Straßenverkehrssicherheit/einem Polizeibeamten angewiesen werden, mit Situationen, in denen geradeaus gefahren, links und rechts abgebogen wird;
c)
Fußgänger- und Radfahrerübergänge mit und ohne Fußgänger/Radfahrer, die sich der Straße nähern/darauf fahren;
d)
vorübergehende Änderungen: z. B. Straßenarbeiten, die durch Verkehrszeichen, Pylonen und andere Beschilderung gekennzeichnet sind, Zufahrtsbeschränkungen;
e)
Autobahnauffahrt, -abfahrt und Mautstationen.

8.4.2.
Jeder Test muss mindestens durchgeführt werden:

a)
ohne ein vorausfahrendes Fahrzeug;
b)
mit einem Pkw-Objekt sowie einem PTW-Objekt als vorausfahrendem Fahrzeug/anderem Fahrzeug.

8.5.
Kollisionsvermeidung: Vermeidung von Kollisionen mit Verkehrsteilnehmern oder Objekten, die die Fahrspur blockieren

Der Test soll demonstrieren, dass das vollautomatisierte Fahrzeug eine Kollision mit einem stationären Fahrzeug, einem Verkehrsteilnehmer oder einer ganz oder teilweise blockierten Fahrspur bis zur angegebenen Höchstgeschwindigkeit des ADS vermeidet.
8.5.1.
Dieser Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls in der ODD relevant:

a)
mit einem stationären Pkw-Objekt;
b)
mit einem stationären PTW-Objekt;
c)
mit einem stationären Fußgänger-Objekt;
d)
mit einem Fußgänger-Objekt, das die Fahrbahn mit einer Geschwindigkeit von 5 km/h überquert, auch in Anwesenheit anderer Objekte, die im ODD relevant sind (z. B. ein Ball, eine Einkaufstasche);
e)
mit einem Fußgänger-Objekt, das sich mit einer Geschwindigkeit von bis zu 5 km/h innerhalb der Fahrspur des ADS bewegt und diese teilweise einnimmt und sich in der gleichen oder der entgegengesetzten Richtung des vollautomatisierten Fahrzeugs bewegt;
f)
mit einem Fußgänger-Objekt, das auf derselben Fahrspur des vollautomatisierten Fahrzeugs plötzlich abweicht;
g)
mit einem Radfahrer-Objekt, das die Fahrbahn mit einer Geschwindigkeit von 15 km/h überquert;
h)
mit einem Radfahrer-Objekt, das mit einer Geschwindigkeit von 15 km/h in dieselbe Richtung fährt;
i)
mit dem vollautomatisierten Fahrzeug, das nach rechts abbiegt und den Weg des Radfahrers, der mit einer Geschwindigkeit von 15 km/h in dieselbe Richtung fährt, überquert;
j)
mit einem Objekt, das eine blockierte Fahrspur darstellt;
k)
mit einem Objekt, das sich teilweise innerhalb der Fahrspur befindet;
l)
mit einem oder mehreren verschiedenen Arten von nicht passierbaren Objekten, die in der ODD relevant sind (z. B. ein Mülleimer, ein umgefallenes Fahrrad oder Roller, ein umgefallenes Verkehrsschild, ein liegender oder sich bewegender Ball usw.);
m)
mit mehreren aufeinanderfolgenden Hindernissen, die die Fahrspur blockieren und in der ODD relevant sind (z. B. in folgender Reihenfolge: Ego-Fahrzeug — Motorrad — Personenkraftwagen),
n)
auf einem Kurvenabschnitt der Straße.

8.6.
Vermeidung einer Vollbremsung vor einem passierbaren Objekt auf der Fahrbahn. Ein „passierbares Objekt” ist ein Objekt, das überrollt werden kann, ohne eine unverhältnismäßige Gefahr für die Fahrzeuginsassen oder andere Verkehrsteilnehmer zu verursachen.

Der Test soll demonstrieren, dass das vollautomatisierte Fahrzeug keine Notbremsung mit einem Verzögerungsbedarf von mehr als 5 m/s2 aufgrund eines passierbaren Objekts auf der für die ODD relevanten Fahrspur (z. B. einen Gullydeckel oder einen kleinen Ast) bis zur angegebenen Höchstgeschwindigkeit des ADS einleitet.
8.6.1.
Dieser Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls in der ODD relevant:

a)
ohne ein vorausfahrendes Fahrzeug;
b)
mit einem Pkw-Aufprallziel sowie einem motorisierten Zweiradaufprallziel als vorausfahrendem Fahrzeug/anderem Fahrzeug.

8.7.
Einem vorausfahrenden Fahrzeug folgen

Mit diesem Test soll nachgewiesen werden, dass das vollautomatisierte Fahrzeug in der Lage ist, eine stabile Bewegung und einen Sicherheitsabstand zu einem vorausfahrenden Fahrzeug einzuhalten und wiederherzustellen und eine Kollision mit einem vorausfahrenden Fahrzeug, das bis zu seiner maximalen Verzögerung abbremst, zu vermeiden.
8.7.1.
Dieser Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls in der ODD relevant:

a)
über den gesamten Geschwindigkeitsbereich des vollautomatisierten Fahrzeugs;
b)
mit einem Pkw-Objekt, einem PTW-Objekt und einem Fahrrad-Objekt als vorausfahrendem Fahrzeug, sofern genormte und für die sichere Durchführung des Tests geeignete PTW-Objekte verfügbar sind;
c)
für konstante und variierende Geschwindigkeiten des vorausfahrenden Fahrzeugs (realistisches Geschwindigkeitsprofil);
d)
für gerade und kurvige Straßenabschnitte;
e)
für unterschiedliche seitliche Positionen des vorausfahrenden Fahrzeugs auf der Fahrbahn;
f)
mit einer Abbremsung des vorausfahrenden Fahrzeugs von mindestens 6 m/s2 (mittlere vollständig entwickelte Abbremsung bis zum Stillstand).

8.8.
Spurwechsel eines anderen Fahrzeugs in die Spur (Einscheren)

Der Test soll demonstrieren, dass das vollautomatisierte Fahrzeug in der Lage ist, eine Kollision mit einem Fahrzeug oder anderen Verkehrsteilnehmer, die in die Spur des vollautomatisierten Fahrzeugs einscheren, bis zu einer gewissen Kritikalität des Einschermanövers zu vermeiden.
8.8.1.
Die Kritikalität des Einschermanövers wird gemäß den Bestimmungen in Teil 1 dieses Anhangs und in Abhängigkeit vom Abstand zwischen dem hintersten Punkt des einscherenden Fahrzeugs und dem vordersten Punkt des vollautomatisierten Fahrzeugs bestimmt.
8.8.2.
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:

a)
mit unterschiedlichen TTC-, Abstands- und Relativgeschwindigkeitswerten des Einschermanövers, wobei sowohl Einscherszenarien abgedeckt werden, bei denen eine Kollision vermieden werden kann, als auch solche, bei denen eine Kollision nicht vermieden werden kann;
b)
mit einscherenden Fahrzeugen, die mit konstanter Längsgeschwindigkeit fahren, beschleunigen und abbremsen;
c)
mit unterschiedlichen Quergeschwindigkeiten und Querbeschleunigungen des einscherenden Fahrzeugs;
d)
mit einem Pkw-Objekt, einem PTW-Objekt und einem Fahrrad-Objekt als einscherendem Fahrzeug, sofern genormte und für die sichere Durchführung des Tests geeignete PTW-Objekte verfügbar sind.

8.9.
Stationäres Hindernis nach Spurwechsel des vorausfahrenden Fahrzeugs (Ausweichen)

Der Test soll demonstrieren, dass das vollautomatisierte Fahrzeug in der Lage ist, eine Kollision mit einem stationären Fahrzeug, einem Verkehrsteilnehmer oder einer blockierten Fahrbahn zu vermeiden, die sichtbar werden, nachdem ein vorausfahrendes Fahrzeug eine Kollision durch ein Ausweichmanöver vermieden hat. Der Test soll auf den in Anhang II festgelegten Anforderungen und den in Teil 1 dieses Anhangs beschriebenen Szenarioparametern beruhen. Für Bedingungen, die nicht getestet wurden, die innerhalb des festgelegten Betriebsbereichs des Fahrzeugs auftreten können, muss der Hersteller als Teil der in Anhang III, Teil 2 beschriebenen Bewertung zur Zufriedenheit der zuständigen Behörden nachweisen, dass das Fahrzeug sicher beherrscht wird.
8.9.1.
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:

a)
mit einem stationären Pkw-Objekt in der Mitte der Spur;
b)
mit einem PTW-Objekt in der Mitte der Spur;
c)
mit einem stationären Fußgänger-Objekt in der Mitte der Spur;
d)
mit einem Objekt, das eine mittig blockierte Fahrspur darstellt;
e)
mit mehreren aufeinanderfolgenden Hindernissen, die die Fahrspur blockieren (z. B. in folgender Reihenfolge: Ego-Fahrzeug — die Spur wechselndes Fahrzeug — Motorrad — Personenkraftwagen).

8.10.
Parken

Der Test soll demonstrieren, dass das ADS in der Lage ist, in verschiedenen Parklücken und Parkanlagen unter verschiedenen Bedingungen einzuparken und dass es während des Einparkmanövers keine Schäden an umliegenden Objekten, Verkehrsteilnehmern und sich selbst verursacht.
8.10.1.
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:

a)
mit Parkplätzen parallel und senkrecht zur Straße;
b)
auf ebenen und schrägen Flächen;
c)
mit anderen Fahrzeugen auf den umliegenden Parkplätzen, einschließlich motorisierter Zweiräder und Fahrräder;
d)
Parken auf Parkplätzen mit unterschiedlichen geometrischen Abmessungen;
e)
bei unterschiedlichen Neigungswinkeln der Straße;
f)
mit einem anderen Fahrzeug, das während des Einparkmanövers in die Parklücke einfährt.

8.11.
Navigieren auf einem Parkplatz

Der Test soll demonstrieren, dass das ADS in der Lage ist, die niedrige Fahrgeschwindigkeit und die allgemein schlechte Sicht, die auf einem Parkplatz möglich ist, zu bewältigen.
8.11.1.
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:

a)
mit einem anfänglich verdeckten Fußgänger, der den Weg des vollautomatisierten Fahrzeugs mit einer Geschwindigkeit von 5 km/h kreuzt;
b)
mit einem Fahrzeug, das vor dem vollautomatisierten Fahrzeug aus einer Parklücke herausfährt;
c)
mit einem stationären Hindernis auf dem Weg des vollautomatisierten Fahrzeugs;
d)
für unterschiedliche Wege, bei denen die Infrastruktur das Sichtfeld behindert;
e)
mit einem kleinen Hindernis auf dem Boden hinter einer Rampe, die durch andere Objekte auf dem Weg des vollautomatisierten Fahrzeugs verdeckt wird.

8.12.
Spezifische Szenarien für die Autobahn

8.12.1.
Auffahrt auf die Autobahn

Mit diesem Test soll nachgewiesen werden, dass das ADS in der Lage ist, sicher auf die Autobahn aufzufahren.

8.12.1.1.
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:

a)
mit verschiedenen Fahrzeugen, einschließlich eines sich von hinten nähernden PTW;
b)
mit Fahrzeugen, die sich mit unterschiedlichen Geschwindigkeiten von hinten annähern;
c)
mit einer Kolonne von Fahrzeugen, die daneben in der benachbarten Spur fährt.

8.12.2.
Abfahrt von der Autobahn

Der Test muss demonstrieren, dass das ADS in der Lage ist, sicher von der Autobahn abzufahren.

8.12.2.1.
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:

a)
ohne ein vorausfahrendes Fahrzeug;
b)
mit einem Pkw-Objekt sowie einem PTW-Objekt als vorausfahrendem Fahrzeug/anderem Fahrzeug;
c)
mit einem oder mehreren Fahrzeug(en) oder Hindernis(sen), die die Autobahnabfahrt blockieren.

8.12.3.
Mautstation

Der Test soll demonstrieren, dass das ADS in der Lage ist, das richtige Gate auszuwählen und seine Geschwindigkeit an die im Mautbereich zulässige Geschwindigkeit anzupassen.

8.12.3.1.
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:

a)
mit und ohne ein vorausfahrendes Fahrzeug;
b)
mit anderen Fahrzeugen, die das/die Gate(s) blockieren;
c)
mit geschlossenen und offenen Gates;
d)
mit unterschiedlichen zulässigen Geschwindigkeiten innerhalb des Mautbereichs.

8.13.
Bei Fahrzeugen mit zwei Betriebsarten ist zwischen dem manuellen Fahrmodus und dem vollautomatisierten Modus zu wechseln.

Der Test soll demonstrieren, dass das ADS die DDT auf sichere Weise und nur im Stillstand des Fahrzeugs übernimmt.
8.13.1.
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:

a)
mit und ohne menschlichen Fahrer im Fahrzeug;
b)
mit offenen und geschlossenen Fahrzeugtüren;
c)
mit und ohne Hindernisse um das Fahrzeug herum;
d)
innerhalb und außerhalb des speziellen Parkbereichs, falls zutreffend.

8.13.2.
Der Test muss mindestens mit den folgenden Szenarien durchgeführt werden, falls für die ODD relevant:

a)
in einer Situation, wo ein Übergang möglich ist und durchgeführt wird;
b)
in einer Situation, wo ein Übergang nicht durchgeführt werden kann.

TEIL 4

1.
Allgemeines

1.1.
Die Glaubwürdigkeit kann durch die Untersuchung und Bewertung von fünf Eigenschaften der Modellierung und Simulation (M&S) erreicht werden:

a)
Fähigkeit — was kann die M&S leisten und welche Risiken sind damit verbunden;
b)
Genauigkeit — wie gut reproduziert die M&S die Zieldaten;
c)
Korrektheit — wie korrekt und robust sind die M&S-Daten und -Algorithmen;
d)
Bedienbarkeit — welche Ausbildung und Erfahrung ist erforderlich;
e)
Zweckmäßigkeit — wie geeignet ist die M&S für die ODD- und ADS-Bewertung.

1.2.
Gleichzeitig muss der Rahmen für die Glaubwürdigkeitsbewertung allgemein genug sein, um für verschiedene M&S-Typen und -Anwendungen verwendet werden zu können. Dieses Ziel wird jedoch durch die zahlreichen Unterschiede zwischen den ADS-Merkmalen und die Vielfalt der M&S-Typen und -Anwendungen erschwert. Diese Überlegungen erfordern einen (risikobasierten/informierten) Rahmen für die Glaubwürdigkeitsbewertung, der für alle M&S-Anwendungen relevant und angemessen ist.
1.3.
Der Rahmen für die Glaubwürdigkeitsbewertung enthält eine allgemeine Beschreibung der Hauptaspekte, die bei der Glaubwürdigkeitsbewertung einer M&S-Lösung berücksichtigt werden, sowie Grundsätze für die Rolle von Drittgutachtern im Validierungsprozess im Hinblick auf die Glaubwürdigkeit. Für den letztgenannten Punkt prüft die Typgenehmigungsbehörde in der Bewertungsphase die erstellte Dokumentation, die die Glaubwürdigkeit belegt, während die eigentlichen Validierungstests stattfinden, nachdem der Hersteller die integrierten Simulationssysteme entwickelt hat.
1.4.
Letztlich soll das Ergebnis der aktuellen Glaubwürdigkeitsbewertung den Rahmen festlegen, in dem das virtuelle Werkzeug zur Unterstützung der ADS-Bewertung eingesetzt werden kann.
1.5.
Die Anforderungen dieses Teils sollen daher die Glaubwürdigkeit eines Simulationsmodells oder einer virtuellen Toolchain für eine ADS-Validierung nachweisen.

2.
Begriffsbestimmungen

Für die Zwecke dieses Anhangs gelten die folgenden Begriffsbestimmungen:
2.1.
„Abstraktion” bezeichnet den Prozess der Auswahl der wesentlichen Aspekte eines Ausgangssystems oder eines Referenzsystems, die in einem Modell oder einer Simulation dargestellt werden sollen, während nicht relevante Aspekte ignoriert werden. Für jede Modellierungsabstraktion wird vorausgesetzt, dass sie die beabsichtigten Verwendungszwecke des Simulationswerkzeugs nicht wesentlich beeinträchtigt.
2.2.
„Closed-Loop-Testing” bezeichnet eine virtuelle Umgebung, die die Aktionen des Elements in einem geschlossenen Kreislauf berücksichtigt. Simulierte Objekte reagieren auf die Aktionen des Systems (z. B. ein System, das mit einem Verkehrsmodell interagiert).
2.3.
„Deterministisch” bezeichnet ein System, dessen Entwicklung im Verlauf der Zeit genau vorhergesagt werden kann und das bei festen Eingangsparametern immer die gleiche Leistung erbringt.
2.4.
„Driver-in-the-Loop (DIL)” bezeichnet ein Verfahren, das in der Regel in einem Fahrsimulator durchgeführt wird, der für den Test des Entwurfs der Mensch-Automation-Interaktion verwendet wird. DIL verfügt über Komponenten, mit denen der Fahrer die virtuelle Umgebung bedienen und mit ihr kommunizieren kann.
2.5.
„Hardware-in-the-Loop (HIL)” bezeichnet ein Verfahren, bei dem die endgültige Hardware eines bestimmten Fahrzeugteilsystems mit der endgültigen Software betrieben wird, wobei die Ein- und Ausgänge mit einer Simulationsumgebung verbunden sind, um virtuelle Tests durchzuführen. HIL-Tests ermöglichen die Nachbildung von Sensoren, Stellgliedern und mechanischen Komponenten in einer Weise, die alle E/A der zu testenden elektronischen Steuergeräte (ECU) miteinander verbindet, lange bevor das endgültige System integriert wird.
2.6.
„Modell” bezeichnet eine Beschreibung oder Darstellung eines Systems, einer Einheit, eines Phänomens oder eines Prozesses.
2.7.
„Modellkalibrierung” bezeichnet den Prozess der Anpassung von numerischen oder Modellierungsparametern im Modell, um eine bessere Übereinstimmung mit einem Referenzwert zu erreichen.
2.8.
„Modellparameter” bezeichnet numerische Werte, die zur Charakterisierung der Funktionalität eines Systems verwendet werden. Ein Modellparameter hat einen Wert, der in der realen Welt nicht direkt beobachtet werden kann, sondern aus in der realen Welt gesammelten Daten abgeleitet werden muss (in der Phase der Modellkalibrierung).
2.9.
„Model-in-the-Loop (MIL)” bezeichnet ein Verfahren, das eine schnelle algorithmische Entwicklung ohne spezielle Hardware ermöglicht. Auf dieser Entwicklungsebene werden in der Regel Softwareumgebungen auf hoher Abstraktionsebene genutzt, die auf allgemeinen Computersystemen laufen.
2.10.
„Open-Loop-Test” bezeichnet eine virtuelle Umgebung, in der die Aktionen des Elements im Kreislauf nicht berücksichtigt werden (z. B. ein System, das mit einer aufgezeichneten Verkehrssituation interagiert).
2.11.
„Probabilistisch” bezeichnet einen Begriff, der sich auf nicht-deterministische Ereignisse bezieht, deren Ergebnisse durch ein Wahrscheinlichkeitsmaß beschrieben werden.
2.12.
„Prüfgelände oder Teststrecke” bezeichnet eine physische, für den Verkehr gesperrte Testeinrichtung, wo die Leistung eines ADS am realen Fahrzeug untersucht werden kann. Verkehrsteilnehmer können über Sensorstimulation oder über auf der Strecke positionierte Attrappen eingeführt werden.
2.13.
„Sensorstimulation” bezeichnet eine Technik, bei der dem zu testenden Element künstlich erzeugte Signale zugeführt werden, um es zu veranlassen, das für die Überprüfung der realen Welt, das Training, die Wartung oder für Forschung und Entwicklung erforderliche Ergebnis zu liefern.
2.14.
„Simulation” bezeichnet die Nachahmung der Funktionsweise eines realen Prozesses oder Systems im Verlauf der Zeit.
2.15.
„Simulationsmodell” bezeichnet ein Modell, dessen Eingangsvariablen im Laufe der Zeit variieren.
2.16.
„Simulations-Toolchain” bezeichnet eine Kombination von Simulationswerkzeugen, die zur Unterstützung der Validierung eines ADS verwendet werden.
2.17.
„Software-in-the-Loop (SIL)” bezeichnet das Verfahren, bei dem die Implementierung des entwickelten Modells auf allgemeinen Computersystemen evaluiert wird. In diesem Schritt kann eine vollständige Softwareimplementierung verwendet werden, die der endgültigen sehr nahekommt. SIL-Tests werden zur Beschreibung einer Testmethodik verwendet, bei der ausführbarer Code wie Algorithmen (oder sogar eine gesamte Steuerungsstrategie) innerhalb einer Modellierungsumgebung getestet wird, was dazu beitragen kann, die Funktion der Software nachzuweisen oder zu testen.
2.18.
„Stochastisch” bezeichnet einen Prozess, der eine oder mehrere Zufallsvariable(n) einschließt oder enthält. Bezieht sich auf Zufall oder Wahrscheinlichkeit.
2.19.
„Validierung des Simulationsmodells” bezeichnet den Prozess, bei dem festgestellt wird, inwieweit ein Simulationsmodell ein genaues Abbild der realen Welt aus der Perspektive der beabsichtigten Verwendung des Werkzeugs ist.
2.20.
„Vehicle-in-the-Loop (VIL)” bezeichnet eine Fusionsumgebung aus einem realen Testfahrzeug in der realen Welt und einer virtuellen Umgebung. Sie kann die Fahrzeugdynamik auf dem gleichen Niveau wie in der realen Welt wiedergeben und kann auf einem Fahrzeugprüfstand oder auf einer Teststrecke eingesetzt werden.
2.21.
„Verifikation des Simulationsmodells” bezeichnet den Prozess, bei dem festgestellt wird, inwieweit ein Simulationsmodell oder ein virtuelles Testwerkzeug mit den Anforderungen und Spezifikationen übereinstimmt, die in den konzeptionellen Modellen, mathematischen Modellen oder anderen Konstruktionen festgelegt wurden.
2.22.
„Virtuelles Testen” bezeichnet den Prozess, ein System anhand eines oder mehrerer Simulationsmodelle zu testen.

3.
Komponenten des Rahmens für die Glaubwürdigkeitsbewertung und damit verbundene Anforderungen an die Dokumentation

3.1.
Der Rahmen für die Glaubwürdigkeitsbewertung bietet eine Möglichkeit, die Glaubwürdigkeit von M&S basierend auf Qualitätssicherungskriterien zu bewerten und in Berichtsform zu melden, wobei der Grad des Vertrauens in die Ergebnisse angegeben werden kann. Mit anderen Worten, die Glaubwürdigkeit wird durch die Bewertung der folgenden M&S-Einflussfaktoren ermittelt, die als Hauptfaktoren für die M&S-Eigenschaften und somit für die allgemeine M&S-Glaubwürdigkeit betrachtet werden: a) M&S-Management; b) Erfahrung und Fachwissen des Teams; c) M&S-Analyse und -Beschreibung; d) Herkunft der Daten/Eingaben und e) Verifizierung; Validierung, Unsicherheitscharakterisierung. Jeder dieser Faktoren gibt das von M&S erreichte Qualitätsniveau an; der Vergleich zwischen den erreichten und den geforderten Niveaus soll bestimmen, ob M&S glaubwürdig und für die Verwendung bei virtuellen Tests geeignet ist. Eine grafische Darstellung der Beziehung zwischen den Komponenten des Rahmens für die Glaubwürdigkeitsbewertung ist nachfolgend gezeigt.

3.2.
Modelle und Simulationsmanagement
3.2.1.
Der M&S-Lebenszyklus ist ein dynamischer Prozess mit häufigen Releases, der überwacht und dokumentiert werden muss. Es müssen Managementaktivitäten eingerichtet werden, um M&S im Sinne eines Arbeitsprodukt-Managements zu unterstützen. Relevante Informationen zu den folgenden Aspekten sind bereitzustellen.
3.2.2.
Der M&S-Managementprozess muss:

a)
die Änderungen zwischen den Releases beschreiben;
b)
die entsprechende Software (z. B. spezifisches Softwareprodukt und Version) und Hardwareanordnung (z. B. XiL-Konfiguration) benennen;
c)
die internen Überprüfungsprozesse aufzeichnen, die die neuen Releases abgenommen haben;
d)
während der gesamten Nutzungsdauer des virtuellen Modells unterstützt werden.

3.2.3.
Release-Management
3.2.3.1.
Jede Version der M&S-Toolchain, die zur Freigabe von Daten für Zertifizierungszwecke verwendet wird, muss gespeichert werden. Die virtuellen Modelle, die die Test-Toolchain bilden, müssen in Bezug auf die entsprechenden Validierungsmethoden und Abnahmeschwellen dokumentiert werden, um die allgemeine Glaubwürdigkeit der Toolchain zu unterstützen. Der Entwickler muss eine Methode zur Rückverfolgung der erzeugten Daten auf die entsprechende M&S-Version vorsehen.
3.2.3.2.
Qualitätsprüfung der virtuellen Daten Die Vollständigkeit, Genauigkeit und Konsistenz der Daten muss während der Releases und der gesamten Lebensdauer einer M&S-Toolchain sichergestellt werden, um die Verifikations- und Validierungsverfahren zu unterstützen.
3.2.4.
Erfahrung und Fachwissen des Teams
3.2.4.1.
Auch wenn Erfahrung und Fachwissen (E&E) bereits in einem allgemeinen Sinne innerhalb der Organisation abgedeckt sind, ist es wichtig, die Grundlage für das Vertrauen in die spezifische E&E für M&S-Aktivitäten zu schaffen.
3.2.4.2.
Die Glaubwürdigkeit von M&S hängt nicht nur von der Qualität der Simulationsmodelle ab, sondern auch von der E&E der an der Validierung und Nutzung von M&S beteiligten Mitarbeiter. So wird beispielsweise durch ein angemessenes Verständnis der Grenzen und des Validierungsbereichs ein möglicher Missbrauch von M&S oder eine Fehlinterpretation ihrer Ergebnisse verhindert.
3.2.4.3.
Daher ist es wichtig, die Grundlage für das Vertrauen des Herstellers in E&E zu schaffen:

a)
die Teams, die die Simulations-Toolchain validieren;
b)
die Teams, die die validierte Simulation für die Durchführung virtueller Tests zur Validierung des ADS verwenden.

3.2.4.4.
Ein angemessenes Management der E&E des Teams erhöht das Vertrauen in die Glaubwürdigkeit von M&S und ihrer Ergebnisse, indem es sicherstellt, dass die menschlichen Faktoren hinter M&S berücksichtigt werden und jedes mögliche Risiko der menschlichen Komponente kontrolliert wird, wie es in jedem geeigneten Managementsystem erwartet wird
3.2.4.5.
Wenn die Toolchain des Herstellers Beiträge von Unternehmen oder Produkte außerhalb des eigenen Teams enthält oder sich auf diese stützt, muss der Hersteller eine Erklärung über die Maßnahmen abgeben, die er ergriffen hat, um sein Vertrauen in die Qualität und Integrität dieser Beiträge zu unterstützen.
3.2.4.6.
Die E&E des Teams besteht aus zwei Ebenen.
3.2.4.6.1.
Organisatorische Ebene

Die Glaubwürdigkeit wird durch die Einrichtung von Prozessen und Verfahren zur Identifizierung und Pflege von Fähigkeiten, Kenntnissen und Erfahrungen zur Durchführung von M&S-Aktivitäten hergestellt. Die folgenden Prozesse müssen eingerichtet, gepflegt und dokumentiert werden:

i)
Verfahren zur Identifizierung und Auswertung der Kompetenzen und Fähigkeiten einzelner Mitarbeiter;
ii)
Verfahren zur Ausbildung von kompetenten Mitarbeitern für die Durchführung von M&S-bezogenen Aufgaben

3.2.4.6.2.
Team-Ebene

Sobald eine M&S fertiggestellt ist, wird ihre Glaubwürdigkeit hauptsächlich von den Fähigkeiten und Kenntnissen der Person/des Teams bestimmt, die/das die M&S-Toolchain validiert und die M&S für die Validierung des ADS verwendet. Glaubwürdigkeit wird hergestellt, indem dokumentiert wird, dass diese Teams eine angemessene Schulung erhalten haben, um ihre Aufgaben zu erfüllen.

Der Hersteller muss dann:

i)
die Grundlage für das Vertrauen des Herstellers in die E&E der Person/des Teams bereitstellen, die/das die M&S Toolchain validiert,
ii)
die Grundlage für das Vertrauen des Herstellers in die E&E der Person/des Teams bereitstellen, die/das die Simulation für die Durchführung virtueller Tests zur Validierung des ADS verwendet.

Der Nachweis des Herstellers, wie er die Grundsätze von ISO 9001 oder eines ähnlichen bewährten Verfahrens oder einer Norm anwendet, um die Kompetenz seiner M&S-Organisation und der Mitarbeiter in dieser Organisation sicherzustellen, ist die Grundlage für diese Feststellung. Die Typgenehmigungsbehörde darf ihre Beurteilung der E&E der Organisation oder ihrer Mitglieder nicht durch die Beurteilung des Herstellers ersetzen.

3.2.5.
Herkunft der Daten/Eingaben
3.2.5.1.
Die Herkunft der Daten/Eingaben enthält eine Aufzeichnung der Rückverfolgbarkeit von den Daten des Herstellers, die bei der Validierung der M&S verwendet wurden.
3.2.5.2.
Beschreibung der für M&S verwendeten Daten

a)
Der Hersteller muss die zur Validierung des Modells verwendeten Daten dokumentieren und wichtige Qualitätsmerkmale festhalten;
b)
der Hersteller muss eine Dokumentation vorlegen, aus der hervorgeht, dass die zur Validierung der Modelle verwendeten Daten die beabsichtigten Funktionalitäten abdecken, die die Toolchain virtualisieren soll;
c)
der Hersteller muss die Kalibrierverfahren dokumentieren, die zur Anpassung der Parameter der virtuellen Modelle an die gesammelten Eingabedaten verwendet werden.

3.2.5.3.
Auswirkung der Datenqualität (z. B. Datenabdeckung, Signal-Rausch-Verhältnis und Unsicherheit/Bias/Abtastrate der Sensoren) auf die Unsicherheit der Modellparameter.

Die Qualität der Daten, die zur Entwicklung des Modells verwendet werden, wirkt sich auf die Schätzung und Kalibrierung der Modellparameter aus. Die Unsicherheit der Modellparameter wird ein weiterer wichtiger Aspekt in der abschließenden Unsicherheitsanalyse sein.

3.2.6.
Herkunft der Daten/Ausgaben
3.2.6.1.
Die Herkunft der Daten/Ausgaben enthält eine Aufzeichnung der für die ADS-Validierung verwendeten M&S-Ausgaben.
3.2.6.2.
Beschreibung der von M&S generierten Daten

a)
Der Hersteller muss Informationen über alle Daten und Szenarien bereitstellen, die für die Validierung der virtuellen Toolchain verwendet werden.
b)
Der Hersteller muss die exportierten Daten dokumentieren und wichtige Qualitätsmerkmale vermerken.
c)
Der Hersteller muss eine M&S-Ausgabe auf den entsprechenden Simulationsaufbau zurückführen.

3.2.6.3.
Auswirkung der Datenqualität auf die Glaubwürdigkeit der M&S

a)
Die M&S-Ausgabedaten müssen ausreichend umfangreich sein, um die korrekte Ausführung der Validierungsberechnung zu gewährleisten. Die Daten müssen die für die virtuelle Bewertung des ADS relevante ODD ausreichend reflektieren.
b)
Die Ausgabedaten müssen eine Konsistenz-/Sicherheitsprüfung der virtuellen Modelle durch eine mögliche Nutzung redundanter Informationen zulassen.

3.2.6.4.
Verwaltung stochastischer Modelle

a)
Stochastische Modelle sind in Bezug auf ihre Varianz zu charakterisieren.
b)
Für stochastische Modelle muss die Möglichkeit einer deterministischen Wiederholung sichergestellt werden.

3.3.
M&S-Analyse und -Beschreibung
3.3.1.
Die M&S-Analyse und -Beschreibung sind darauf ausgelegt, die gesamte M&S zu definieren und den Parameterraum zu identifizieren, der durch virtuelle Tests bewertet werden kann. Sie definiert den Umfang und die Grenzen der Modelle und der Toolchain sowie die Quellen für Unsicherheiten, die ihre Ergebnisse beeinflussen können.
3.3.2.
Allgemeine Beschreibung
3.3.2.1.
Der Hersteller muss eine Beschreibung der vollständigen Toolchain vorlegen und darlegen, wie die Simulationsdaten zur Unterstützung der ADS-Validierungsstrategie verwendet werden sollen.
3.3.2.2.
Der Hersteller muss eine klare Beschreibung des Testziels vorlegen.
3.3.3.
Annahmen, bekannte Einschränkungen und Quellen der Unsicherheit
3.3.3.1.
Der Hersteller muss die Annahmen für die Modellierung begründen, die dem Entwurf der M&S-Toolchain zugrunde liegen.
3.3.3.2.
Der Hersteller muss folgende Nachweise erbringen:

i)
wie die vom Hersteller definierten Annahmen bei der Definition der Grenzen der Toolchain eine Rolle spielen;
ii)
den Treuegrad, der für die Simulationsmodelle erforderlich ist.

3.3.3.3.
Der Hersteller muss begründen, dass die Toleranz für die Korrelation zwischen Simulation und Realität für das Testziel akzeptabel ist.
3.3.3.4.
Schließlich muss dieser Abschnitt Informationen über die Quellen der Unsicherheit im Modell enthalten. Dies ist ein wichtiger Beitrag zur abschließenden Unsicherheitsanalyse, die definiert, wie die Modellergebnisse durch die verschiedenen Unsicherheitsquellen des verwendeten Modells beeinflusst werden können.
3.3.4.
Gültigkeitsbereich (wie die M&S in der ADS-Validierung verwendet wird)
3.3.4.1.
Die Glaubwürdigkeit des virtuellen Werkzeugs muss durch einen klar definierten Gültigkeitsbereich der entwickelten Modelle sichergestellt werden.
3.3.4.2.
Die ausgereifte M&S muss eine Virtualisierung der physikalischen Phänomene mit einem Genauigkeitsgrad ermöglichen, der dem für die Bescheinigung geforderten Treuegrad entspricht. Somit dient die M&S als „virtuelles Versuchsgelände” für ADS-Tests.
3.3.4.3.
Simulationsmodelle benötigen spezielle Szenarien und Metriken für die Validierung. Die für die Validierung verwendeten Szenarien müssen so gewählt werden, dass die Toolchain auch in Szenarien außerhalb des Gültigkeitsbereichs für die Validierung in gleicher Weise funktioniert.
3.3.4.4.
Der Hersteller muss eine Liste von Validierungsszenarien zusammen mit den Einschränkungen der entsprechenden Parameter bereitstellen.
3.3.4.5.
Die ODD-Analyse ist ein entscheidender Beitrag zur Ableitung von Anforderungen, Gültigkeitsbereichen und Auswirkungen, die die M&S berücksichtigen müssen, um die ADS-Validierung zu unterstützen.
3.3.4.6.
Die für die Szenarien generierten Parameter definieren extrinsische und intrinsische Daten für die Toolchain und die Simulationsmodelle.
3.3.5.
Kritikalitätsbewertung
3.3.5.1.
Die Simulationsmodelle und die Simulationswerkzeuge, die in der gesamten Toolchain verwendet werden, sind im Hinblick auf ihre Verantwortung im Falle eines Sicherheitsfehlers im Endprodukt zu untersuchen. Der vorgeschlagene Ansatz für die Kritikalitätsanalyse ist von der ISO-Norm 26262 abgeleitet, die eine Qualifizierung für einige der im Entwicklungsprozess verwendeten Werkzeuge verlangt.
3.3.5.2.
Um abzuleiten, wie kritisch die simulierten Daten sind, muss die Kritikalitätsbewertung die folgenden Parameter berücksichtigen:

a)
Die Folgen für die menschliche Sicherheit, z. B. die Schweregrade in ISO 26262.
b)
Das Ausmaß, in dem die simulierten Ergebnisse das ADS beeinflussen.

3.3.5.3.
Aus Perspektive der Kritikalitätsbewertung gibt es drei mögliche Fälle für die Bewertung:

a)
Modelle oder Werkzeuge, bei denen es sich um klare Kandidaten für eine vollständige Glaubwürdigkeitsprüfung handelt;
b)
diejenigen Modelle oder Werkzeuge, die nach dem Ermessen des Prüfers für eine vollständige Glaubwürdigkeitsbewertung infrage kommen oder nicht;
c)
diejenigen Modelle oder Werkzeuge, die keiner Glaubwürdigkeitsbewertung unterzogen werden müssen.

3.4.
Verifizierung
3.4.1.
Die Verifizierung einer M&S beinhaltet die Analyse der korrekten Implementierung der konzeptionellen/mathematischen Modelle, die die M&S-Toolchain bilden. Die Verifizierung trägt zur Glaubwürdigkeit der M&S bei, indem sie sicherstellt, dass die M&S kein unrealistisches Verhalten für eine Reihe von Eingaben zeigt, die nicht getestet werden können. Das Verfahren basiert auf einem mehrstufigen Ansatz, der die Überprüfung des Codes, die Überprüfung der Berechnungen und eine Sensitivitätsanalyse umfasst.
3.4.2.
Code-Überprüfung
3.4.2.1.
Die Überprüfung des Codes umfasst Tests, die zeigen, dass keine numerischen/logischen Fehler die virtuellen Modelle beeinträchtigen.
3.4.2.2.
Der Hersteller muss die Durchführung geeigneter Verfahren für die Codeverifizierung dokumentieren, z. B. statische/dynamische Codeverifizierung, Konvergenzanalyse und ggf. Vergleich mit exakten Lösungen.
3.4.2.3.
Der Hersteller muss Dokumentationen vorlegen, aus denen hervorgeht, dass die Untersuchung des Eingangsparameterbereichs umfassend genug war, um Parameterkombinationen zu identifizieren, für die die M&S ein instabiles oder unrealistisches Verhalten zeigt. Abdeckungsmetriken für Parameterkombinationen können verwendet werden, um die erforderliche Untersuchung der Modellverhaltens zu demonstrieren.
3.4.2.4.
Der Hersteller muss Verfahren zur Überprüfung der Korrektheit/Konsistenz anwenden, wann immer die Daten dies zulassen.
3.4.3.
Überprüfung der Berechnungen
3.4.3.1.
Die Überprüfung der Berechnungen beschäftigt sich mit der Abschätzung von numerischen Fehlern, die die M&S beeinflussen.
3.4.3.2.
Der Hersteller muss Schätzungen der numerischen Fehler dokumentieren (z. B. Diskretisierungsfehler, Rundungsfehler, Konvergenz iterativer Verfahren),
3.4.3.3.
Die numerischen Fehler müssen ausreichend begrenzt sein, um die Validierung nicht zu beeinträchtigen.
3.4.4.
Sensitivitätsanalyse
3.4.4.1.
Mit der Sensitivitätsanalyse soll quantifiziert werden, wie sich Änderungen der Modelleingabewerte auf die Modellausgabewerte auswirken, um so die Parameter zu ermitteln, die den größten Einfluss auf die Ergebnisse des Simulationsmodells haben. Die Untersuchung der Sensitivität hilft auch zu bestimmen, inwieweit das Simulationsmodell die Validierungsschwellenwerte erfüllt, wenn kleine Variationen der Parameter darauf angewendet werden. Sie ist daher von grundlegender Bedeutung, um die Glaubwürdigkeit der Simulationsergebnisse zu unterstützen.
3.4.4.2.
Der Hersteller muss eine stützende Dokumentation vorlegen, aus der hervorgeht, dass die kritischsten Parameter, die das Simulationsergebnis beeinflussen, mithilfe von Sensitivitätsanalysetechniken ermittelt wurden, beispielsweise durch Anwendung einer Störung der Modellparameter.
3.4.4.3.
Der Hersteller muss nachweisen, dass bei der Ermittlung und Kalibrierung der kritischsten Parameter robuste Kalibrierverfahren angewandt wurden, um die Glaubwürdigkeit der entwickelten Toolchain zu erhöhen.
3.4.4.4.
Letztlich werden die Ergebnisse der Sensitivitätsanalyse auch dazu beitragen, die Eingaben und Parameter zu definieren, deren Unsicherheitscharakterisierung besonderer Aufmerksamkeit bedarf, um die Unsicherheit der Simulationsergebnisse richtig zu definieren.
3.4.5.
Validierung
3.4.5.1.
Der quantitative Prozess für die Bestimmung, in welchem Grad ein Modell oder eine Simulation eine genaue Darstellung der realen Welt aus der Perspektive der beabsichtigten Anwendungen des M&S bieten, erfordert die Auswahl und Definition mehrerer Elemente.
3.4.5.2.
Leistungsmaße (Metriken)
3.4.5.2.1.
Die Leistungsmaße sind die Metriken, die zum Vergleich des Simulationsmodells mit der realen Welt verwendet werden. Die Leistungsmaße werden während der M&S-Analyse definiert.
3.4.5.2.2.
Metriken für die Validierung können Folgendes umfassen:

i)
Analyse diskreter Werte, z. B. Erkennungsrate, Auslöserate;
ii)
zeitliche Entwicklung, z. B. Positionen, Geschwindigkeiten, Beschleunigung;
iii)
Analyse des Aktionsflusses, z. B. Berechnung von Entfernung/Geschwindigkeit, TTC-Berechnung, Bremsauslösung.

3.4.5.3.
Anpassungsgütemessungen
3.4.5.3.1.
Die analytischen Rahmen werden verwendet, um reale und simulierte Metriken zu vergleichen. Im Allgemeinen handelt es sich dabei um wesentliche Leistungsindikatoren (KPIs), die die statistische Vergleichbarkeit zwischen zwei Datensätzen anzeigen.
3.4.5.3.2.
Die Validierung muss zeigen, dass diese KPIs erfüllt sind.
3.4.5.4.
Validierungsmethodik
3.4.5.4.1.
Der Hersteller muss die logischen Szenarien definieren, die für die Validierung der Toolchain für virtuelle Tests verwendet werden. Sie müssen in der Lage sein, die ODD der virtuellen Tests für die ADS-Validierung so weit wie möglich abzudecken
3.4.5.4.2.
Die genaue Methodik hängt von dem Aufbau und dem Zweck der Toolchain ab. Die Validierung kann aus einem oder mehreren der folgenden Punkte bestehen:

i)
Validierung von Teilsystemmodellen, z. B. Umgebungsmodell (Straßennetz, Wetterbedingungen, Interaktion mit Verkehrsteilnehmern), Sensormodellen (Funkerkennung und Reichweite (RADAR), Lichterkennung und Reichweite (LiDAR), Kamera), Fahrzeugmodell (Lenkung, Bremsen, Antriebsstrang);
ii)
Validierung des Fahrzeugsystems (Modell der Fahrzeugdynamik zusammen mit dem Umweltmodell);
iii)
Validierung des Sensorsystems (Sensormodell zusammen mit dem Umgebungsmodell);
iv)
Validierung des integrierten Systems (Sensormodell + Umgebungsmodell mit Einflüssen aus dem Fahrzeugmodell).

3.4.5.5.
Genauigkeitsanforderung
3.4.5.5.1.
Die Anforderung an die Korrelationsschwelle wird während der M&S-Analyse festgelegt. Die Validierung soll zeigen, dass die in 3.4.5.3.1 dieses Teils genannten KPIs erfüllt sind.
3.4.5.6.
Validierungsumfang (der zu validierende Teil der Toolchain)
3.4.5.6.1.
Eine Toolchain besteht aus mehreren Werkzeugen, und jedes Werkzeug verwendet mehrere Modelle. Der Validierungsumfang umfasst alle Werkzeuge und die entsprechenden Modelle, die Gegenstand der Validierung sind.
3.4.5.7.
Interne Validierungsergebnisse
3.4.5.7.1.
Die Dokumentation soll nicht nur den Nachweis der Validierung des Simulationsmodells erbringen, sondern auch dazu dienen, ausreichende Informationen über die Prozesse und Produkte zu erhalten, die die allgemeine Glaubwürdigkeit der verwendeten Toolchain darlegen.
3.4.5.7.2.
Die Dokumentation/Ergebnisse können aus früheren Glaubwürdigkeitsbewertungen übernommen werden.
3.4.5.8.
Unabhängige Validierung der Ergebnisse
3.4.5.8.1.
Die Typgenehmigungsbehörde bewertet die vom Hersteller vorgelegte Dokumentation und kann physische Tests des vollständigen integrierten Werkzeugs durchführen.
3.4.5.9.
Unsicherheitscharakterisierung
3.4.5.9.1.
Dieser Abschnitt befasst sich mit der Charakterisierung der erwarteten Variabilität der Ergebnisse der virtuellen Toolchain. Die Bewertung muss aus zwei Phasen bestehen. In der ersten Phase werden die in der M&S-Analyse und -Beschreibung sowie in den Abschnitten über die Herkunft der Daten/Eingaben gesammelten Informationen verwendet, um die Unsicherheit in den Eingabedaten, in den Modellparametern und in der Modellierungsstruktur zu charakterisieren. Durch die Fortpflanzung aller Unsicherheiten durch die virtuelle Toolchain wird die Unsicherheit der Modellergebnisse quantifiziert. Je nach Unsicherheit in den Modellergebnissen muss der Hersteller bei der Verwendung virtueller Tests für die ADS-Validierung angemessene Sicherheitstoleranzen einführen.
3.4.5.9.2.
Charakterisierung der Unsicherheit in den Eingabedaten

Der Hersteller muss demonstrieren, dass er die Eingaben des kritischen Modells mithilfe robuster Techniken angemessen geschätzt hat, wie z. B. mehrfache Wiederholungen für die Bewertung der Größe.

3.4.5.9.3.
Charakterisierung der Unsicherheit der Modellparameter (nach der Kalibrierung)

Der Hersteller muss nachweisen, dass die Parameter des kritischen Modells, die nicht identisch geschätzt werden können, durch eine Verteilung und/oder Vertrauensintervalle charakterisiert werden.

3.4.5.9.4.
Charakterisierung der Unsicherheit in der M&S-Struktur

Der Hersteller muss nachweisen, dass die Annahmen für die Modellierung mit einer quantitativen Charakterisierung der erzeugten Unsicherheit versehen sind (z. B. durch Vergleich der Ergebnisse verschiedener Modellierungsansätze, wann immer dies möglich ist).

3.4.5.9.5.
Charakterisierung der aleatorischen im Vergleich zur epistemischen Unsicherheit:

Der Hersteller muss versuchen, zwischen der aleatorischen Komponente der Unsicherheit (die nur geschätzt, aber nicht reduziert werden kann) und der epistemischen Unsicherheit, die sich aus dem fehlenden Wissen bei der Virtualisierung des Prozesses ergibt (und die wiederum reduziert werden kann), zu unterscheiden.

4.
Aufbau der Dokumentation

4.1.
In diesem Abschnitt wird beschrieben, wie die oben genannten Informationen in der Dokumentation, die der Hersteller der zuständigen Behörde vorlegt, erfasst und organisiert werden.
4.2.
Der Hersteller erstellt ein Dokument (ein „Simulationshandbuch” ), das entsprechend dem vorliegenden Entwurf gegliedert ist, um den Nachweis für die dargestellten Themen zu erbringen.
4.3.
Die Dokumentation ist zusammen mit dem entsprechenden Release der M&S und den damit verbundenen produzierten Daten zu liefern.
4.4.
Der Hersteller muss eindeutige Referenzen angeben, die eine Rückverfolgung der Dokumentation zu der entsprechenden M&S bzw. den Daten ermöglichen.
4.5.
Die Dokumentation muss während des gesamten Lebenszyklus der M&S-Nutzung gepflegt werden. Die Typgenehmigungsbehörde kann ein Audit für den Hersteller durchführen, indem es seine Dokumentation bewertet und/oder physische Tests durchführt.

TEIL 5

1.
Begriffsbestimmungen

Für die Zwecke dieses Anhangs gelten folgende Begriffsbestimmungen:
1.1.
„Vorkommnis” bezeichnet eine sicherheitsrelevante Situation, an der ein mit einem automatisierten Fahrsystem ausgestattetes Fahrzeug beteiligt ist.
1.2.
„Nicht kritisches Vorkommnis” bezeichnet ein Vorkommnis, bei dem es sich um eine Betriebsunterbrechung, einen Defekt, eine Störung oder einen anderen Umstand handelt, der sich auf die Sicherheit des ADS auswirkt oder ausgewirkt haben könnte und nicht zu einem Unfall oder einer schweren Störung geführt hat. Zu dieser Kategorie gehören z. B. geringfügige Vorfälle, Sicherheitsbeeinträchtigungen, die den normalen Betrieb nicht verhindern, Not-/komplexe Manöver zur Vermeidung einer Kollision und ganz allgemein alle Vorkommnisse, die für die Sicherheitsleistung des ADS auf der Straße relevant sind (z. B. Interaktion mit dem Bediener für den Ferneingriff usw.).
1.3.
„Kritisches Vorkommnis” bezeichnet jedes Vorkommnis, bei dem das ADS zum Zeitpunkt eines Kollisionsereignisses in Betrieb ist und aufgrund dessen:

a)
mindestens eine Person eine Verletzung erleidet, die ärztliche Hilfe benötigt, weil sie sich in dem Fahrzeug befunden hat oder an dem Ereignis beteiligt war;
b)
das vollautomatisierte Fahrzeug, andere Fahrzeuge oder stationäre Objekte einen Sachschaden erleiden, der einen bestimmten Schwellenwert übersteigt, oder bei einem an dem Ereignis beteiligten Fahrzeug ein Airbag ausgelöst wird.

2.
Benachrichtigungen und Berichte vom Hersteller

2.1.
Der Hersteller benachrichtigt die Typgenehmigungsbehörden, Marktüberwachungsbehörden und die Kommission unverzüglich übersicherheitskritische Vorkommnisse.
2.2.
Der Hersteller meldet den Typgenehmigungsbehörden, den Marktüberwachungsbehörden und der Kommission innerhalb eines Monats alle kurzfristigen Vorkommnisse gemäß Anhang 1, die vom Hersteller behoben werden müssen.
2.3.
Der Hersteller meldet der Typgenehmigungsbehörde, die die Genehmigung erteilt hat, jährlich die in Anlage 1 aufgeführten Ereignisse. Der Bericht enthält Nachweise für die Leistung der ADS in Bezug auf sicherheitsrelevante Ereignisse in dem jeweiligen Bereich. Insbesondere muss er darlegen, dass:

a)
keine Unstimmigkeiten im Vergleich zu der vor der Markteinführung bewerteten Sicherheitsleistung des ADS festgestellt werden;
b)
das ADS die in dieser Verordnung festgelegten Leistungsanforderungen einhält;
c)
alle neu entdeckten wesentlichen Probleme im Zusammenhang mit der Sicherheitsleistung des ADS angemessen behandelt wurden, und wie sie behandelt wurden.

Die ausstellende Typgenehmigungsbehörde teilt diese Informationen den Typgenehmigungsbehörden, den Marktüberwachungsbehörden und der Kommission mit.

2.4.
Die Typgenehmigungsbehörden, die Marktüberwachungsbehörden und die Kommission können vom Hersteller unterstützende Daten anfordern, um die Informationen genauer auszuwerten, die in den Berichten und Benachrichtigungen während des Berichts bereitgestellt werden. Diese Daten werden mithilfe einer Datenaustauschdatei im vereinbarten Format ausgetauscht. Die Typgenehmigungsbehörden, die Marktüberwachungsbehörden und die Kommission ergreifen alle erforderlichen Maßnahmen, um diese Daten zu sichern.
2.5.
Jede Vorverarbeitung von Daten muss der erteilenden Typgenehmigungsbehörde im Bericht über in Betrieb befindliche Fahrzeuge mitgeteilt werden.

Fußnote(n):

(1)

ECE/TRANS/WP.29/2022/59/Rev.1.

© Europäische Union 1998-2021

ANHANG I

Tipp: Verwenden Sie die Pfeiltasten der Tastatur zur Navigation zwischen Normen.