Está Vd. en

Documento DOUE-L-2022-81263

Reglamento de Ejecución (UE) 2022/1426 de la Comisión de 5 de agosto de 2022 por el que se establecen normas para la aplicación del Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo en cuanto a los procedimientos uniformes y las especificaciones técnicas para la homologación de tipo del sistema de conducción automatizada (ADS) de los vehículos totalmente automatizados.

Publicado en:
«DOUE» núm. 221, de 26 de agosto de 2022, páginas 1 a 64 (64 págs.)
Departamento:
Unión Europea
Referencia:
DOUE-L-2022-81263

TEXTO ORIGINAL

 

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo, de 27 de noviembre de 2019, relativo a los requisitos de homologación de tipo de los vehículos de motor y de sus remolques, así como de los sistemas, componentes y unidades técnicas independientes destinados a esos vehículos, en lo que respecta a su seguridad general y a la protección de los ocupantes de los vehículos y de los usuarios vulnerables de la vía pública, por el que se modifica el Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) n.o 78/2009, (CE) n.o 79/2009 y (CE) n.o 661/2009 del Parlamento Europeo y del Consejo y los Reglamentos (CE) n.o 631/2009, (UE) n.o 406/2010, (UE) n.o 672/2010, (UE) n.o 1003/2010, (UE) n.o 1005/2010, (UE) n.o 1008/2010, (UE) n.o 1009/2010, (UE) n.o 19/2011, (UE) n.o 109/2011, (UE) n.o 458/2011, (UE) n.o 65/2012, (UE) n.o 130/2012, (UE) n.o 347/2012, (UE) n.o 351/2012, (UE) n.o 1230/2012 y (UE) 2015/166 de la Comisión (1), y en particular su artículo 11, apartado 2,

Considerando lo siguiente:

(1)

Es necesario adoptar la legislación de ejecución para la homologación de tipo del sistema de conducción automatizada de los vehículos totalmente automatizados, en particular los sistemas enumerados en el artículo 11, apartado 1, letras a), b), d) y f), del Reglamento (UE) 2019/2144. Los sistemas de monitorización de la disponibilidad del conductor no son aplicables a los vehículos totalmente automatizados de conformidad con el artículo 11, apartado 1, del Reglamento (UE) 2019/2144. Además, el formato armonizado de intercambio de datos en caso, por ejemplo, de formación de un pelotón de vehículos multimarca, sigue siendo objeto de actividades de normalización y no se incluirá en el presente Reglamento en esta fase. Por último, la homologación de los sistemas de conducción automatizada de los vehículos automatizados no debe estar regulada por el presente Reglamento, ya que se pretende regularlos con una referencia al Reglamento n.o 157 de las Naciones Unidas sobre sistemas automáticos de mantenimiento del carril (2) que figurará en el anexo I del Reglamento (UE) 2019/2144, en el que se enumeran los reglamentos de las Naciones Unidas que se aplicarán con carácter obligatorio en la UE.

(2)

Para la homologación de tipo de vehículos completos de vehículos totalmente automatizados, la homologación de tipo de su sistema de conducción automatizada con arreglo al presente Reglamento debe completarse con los requisitos establecidos en el anexo II, parte I, apéndice 1, del Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo (3). Como fase siguiente, la Comisión continuará su labor para seguir desarrollando y adoptar, a más tardar en julio de 2024, los requisitos necesarios para la homologación de tipo UE de vehículo entero de los vehículos totalmente automatizados fabricados en series ilimitadas.

(3)

La evaluación del sistema de conducción automatizada de los vehículos totalmente automatizados, tal como se propone en el presente Reglamento, se basa en gran medida en los escenarios de tráfico que son pertinentes para los distintos casos de uso de los vehículos totalmente automatizados. Por lo tanto, es necesario definir estos distintos casos de uso. Con el fin de cubrir casos de uso adicionales, deben llevarse a cabo periódicamente la revisión de estos casos de uso y, cuando sea necesaria, su modificación.

(4)

La ficha de características a la que se hace referencia en el artículo 24, apartado 1, letra a) del Reglamento (UE) 2018/858, que debe facilitar el fabricante para la homologación de tipo del sistema de conducción automatizada de vehículos totalmente automatizados debe basarse en la plantilla para la homologación de tipo de vehículo entero que figura en el anexo II del Reglamento de Ejecución (UE) 2020/683 de la Comisión (4). No obstante, para garantizar un enfoque coherente, es necesario extraer las entradas de la ficha de características que sean pertinentes para la homologación de tipo del sistema de conducción automatizada de los vehículos totalmente automatizados.

(5)

Dada la complejidad de los sistemas de conducción automatizada, es necesario completar los requisitos de rendimiento y los ensayos del presente Reglamento mediante documentación del fabricante que demuestre que el sistema de conducción automatizada está exento de riesgos excesivos para la seguridad de los ocupantes del vehículo y de otros usuarios de la vía pública en los escenarios pertinentes y durante la vida útil del ADS. A este respecto, es necesario establecer el sistema de gestión de la seguridad que deben implantar los fabricantes, establecer para los fabricantes y las autoridades los parámetros que deben utilizarse en los escenarios de tráfico pertinentes para el sistema de conducción automatizada, establecer criterios para evaluar si el concepto de seguridad del fabricante aborda los escenarios de tráfico, los peligros y los riesgos pertinentes, y establecer criterios para evaluar los resultados de la validación del fabricante, en particular los resultados de la validación de cadenas de herramientas virtuales. Por último, es necesario especificar los datos pertinentes sobre los vehículos en circulación que el fabricante deberá comunicar a las autoridades de homologación de tipo.

(6)

El certificado de homologación de tipo UE y su adenda, mencionados en el artículo 28, apartado 1, del Reglamento (UE) 2018/858, que deben expedirse para el sistema de conducción automatizada de vehículos totalmente automatizados, deben basarse en las plantillas respectivas establecidas en el anexo III del Reglamento de Ejecución (UE) 2020/683 de la Comisión. No obstante, para garantizar un enfoque coherente, es necesario extraer las entradas del certificado de homologación de tipo UE y su adenda que sean pertinentes para la homologación de tipo del sistema de conducción automatizada de los vehículos totalmente automatizados.

(7)

Conforme a lo dispuesto en el Reglamento (UE) 2018/858 y en toda la legislación pertinente de la UE, el presente Reglamento se entiende sin perjuicio del derecho de los Estados miembros a regular la circulación y la seguridad del funcionamiento de los vehículos totalmente automatizados cuando estén circulando y la seguridad del funcionamiento de dichos vehículos en los servicios de transporte local. Los Estados miembros no están obligados a predefinir las zonas, las rutas o los aparcamientos en virtud del presente Reglamento. Los vehículos de motor cubiertos por el presente Reglamento solo pueden funcionar dentro del ámbito de aplicación del artículo 1.

(8)

Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité Técnico sobre Vehículos de Motor.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Ámbito de aplicación

El presente Reglamento es aplicable a la homologación de tipo de los vehículos totalmente automatizados de las categorías M y N, en lo que respecta a su sistema de conducción automatizada, en los siguientes casos de uso:

a) vehículos totalmente automatizados, incluidos vehículos de modo dual, diseñados y fabricados para el transporte de pasajeros o de mercancías en una zona predefinida;

b) «punto a punto» o «hub to hub»: vehículos totalmente automatizados, incluidos vehículos de modo dual, diseñados y fabricados para el transporte de pasajeros o de mercancías en un itinerario predefinido con puntos de partida y llegada fijos para los viajes/trayectos;

c) «estacionamiento automatizado»: vehículos de modo dual con un modo de conducción totalmente automatizada para aplicaciones de estacionamiento dentro de aparcamientos predefinidos. El sistema puede utilizar o no la infraestructura externa (por ejemplo, marcadores de localización, sensores de percepción, etc.) del aparcamiento para llevar a cabo la tarea de conducción dinámica.

El fabricante podrá solicitar la homologación individual o la homologación de tipo con arreglo al presente Reglamento del sistema de conducción automatizada de los vehículos definidos en el artículo 2, apartado 3, del Reglamento (UE) 2018/858, siempre que dichos vehículos cumplan los requisitos del presente Reglamento.

Artículo 2

Definiciones

Además de las definiciones del Reglamento (UE) 2018/858 y del Reglamento (UE) 2019/2144, a efectos del presente Reglamento, se aplicarán las siguientes definiciones:

1)

«sistema de conducción automatizada» (ADS): el hardware y el software que son capaces colectivamente de realizar la totalidad de la tarea de conducción dinámica de forma continuada en un ámbito de diseño operativo específico;

2)

«característica del ADS»: aplicación de hardware y software del ADS diseñada para un uso específico en un dominio del diseño operativo;

3)

«función del ADS»: aplicación de hardware y software del ADS diseñada para realizar una parte específica de la tarea de conducción dinámica;

4)

«tarea de conducción dinámica»: todas las funciones operativas en tiempo real y funciones tácticas necesarias para el funcionamiento del vehículo, excluidas funciones estratégicas como la programación del trayecto y la selección de destinos y puntos de ruta, incluidas, entre otras, las siguientes subtareas:

a) control del movimiento lateral del vehículo mediante la dirección (operativa);

b) control del movimiento longitudinal del vehículo mediante aceleración y desaceleración (operativa);

c) seguimiento del entorno de conducción a través de la detección, reconocimiento y clasificación de objetos y eventos y la preparación de la respuesta (operativa y táctica);

d) ejecución de la respuesta a objetos y eventos (operativa y táctica);

e) planificación de la maniobra (táctica);

f) mejora de la visibilidad mediante iluminación, bocina, señales, indicaciones, etc. (táctica);

5)

«funciones operativas» de la tarea de conducción dinámica: funciones ejecutadas en cuestión de milisegundos y que incluyen tareas tales como las señales transmitidas a la dirección para mantenerse dentro del carril o el frenado para evitar los peligros que surjan;

6)

«funciones tácticas» de la tarea de conducción dinámica: funciones ejecutadas en cuestión de segundos, incluidas tareas tales como la elección de carril, la aceptación de la distancia de seguridad y los adelantamientos;

7)

«defecto»: una situación anormal que puede causar un fallo. Puede afectar al hardware o al software;

8)

«fallo»: el cese de un comportamiento previsto de un componente o sistema del ADS debido a la aparición de un defecto;

9)

«vigilancia en servicio»: los datos recogidos por el fabricante y los datos de otras fuentes para obtener pruebas sobre el rendimiento en materia de seguridad en servicio del ADS sobre el terreno;

10)

«información en servicio»: los datos comunicados por el fabricante para demostrar el rendimiento en materia de seguridad en servicio del ADS sobre el terreno;

11)

«vida útil del ADS»: período de tiempo durante el cual el ADS permanece disponible en el vehículo;

12)

«ciclo de vida del ADS»: período de tiempo que consiste en las fases de diseño, desarrollo, producción, funcionamiento sobre el terreno, servicio y retirada del servicio;

13)

«mal funcionamiento»: fallo o comportamiento imprevisto de un componente o sistema del ADS con respecto a los objetivos de su diseño;

14)

«maniobra de riesgo mínimo»: maniobra destinada a minimizar los riesgos en el tráfico mediante la detención del vehículo en condiciones de seguridad (es decir, en condiciones de riesgo mínimo);

15)

«condición de riesgo mínimo»: estado estable y parado del vehículo que reduce el riesgo de colisión;

16)

«dominio del diseño operativo»: las condiciones de funcionamiento en las que está diseñado específicamente para funcionar un ADS determinado, incluidas, entre otras, las restricciones medioambientales, geográficas y de la hora del día, o el requisito de presencia o ausencia de determinadas características del tráfico o de la vía pública;

17)

«detección y respuesta de objetos y eventos» («OEDR»): subtareas de la tarea de conducción dinámica que incluyen la vigilancia del entorno de conducción y la ejecución de una respuesta adecuada. Incluye la detección, el reconocimiento y la clasificación de objetos y eventos, así como la preparación y ejecución de respuestas según sea necesario;

18)

«escenario»: una secuencia o combinación de situaciones utilizada para evaluar los requisitos de seguridad de un ADS;

19)

«escenarios de tráfico nominales»: situaciones razonablemente previsibles a las que se enfrenta el ADS al operar dentro de su dominio del diseño operativo. Estos escenarios representan las interacciones no críticas del ADS con otros participantes en el tráfico y generan un funcionamiento normal del ADS;

20)

«escenarios críticos»: escenarios relacionados con casos extremos (por ejemplo, condiciones inesperadas con una probabilidad excepcionalmente baja de que ocurran) y deficiencias operativas, no limitadas a las condiciones del tráfico, sino también a las condiciones ambientales (por ejemplo, fuertes lluvias o deslumbramiento de las cámaras por rayos de sol pegados al horizonte), factores humanos, así como los problemas de conectividad y comunicación que dan lugar a un funcionamiento de emergencia del sistema ADS;

21)

«escenarios de fallo»: escenarios relacionados con fallos del ADS o de los componentes del vehículo que pueden dar lugar a un funcionamiento normal o de emergencia del ADS, dependiendo de si se mantiene o no el nivel mínimo de seguridad;

22)

«funcionamiento normal»: funcionamiento del ADS dentro de los límites operativos y las condiciones especificados para llevar a cabo la actividad prevista;

23)

«funcionamiento de emergencia»: funcionamiento del ADS debida a acontecimientos que requieren una actuación rápida para mitigar consecuencias adversas para la salud humana o daños materiales;

24)

«operador a bordo»: persona situada dentro del vehículo totalmente automatizado que, cuando corresponda al concepto de seguridad ADS, podrá:

a) activar, reinicializar, o desactivar el ADS;

b) solicitar al ADS que inicie una maniobra de riesgo mínimo;

c) confirmar una maniobra propuesta por el ADS mientras el vehículo está parado;

d) después de una maniobra de riesgo mínimo, mientras el vehículo totalmente automatizado está parado, solicitar al ADS que realice con seguridad una maniobra de baja velocidad limitada a 6 km/h con el rendimiento restante para evacuar el vehículo totalmente automatizado a una ubicación preferible cercana;

e) seleccionar o modificar la planificación de un itinerario o puntos de parada para los usuarios, o

f) prestar asistencia a los pasajeros del vehículo totalmente automatizado en situaciones debidamente identificadas.

En las situaciones anteriores, el operador a bordo no conducirá el vehículo totalmente automatizado y el ADS seguirá desempeñando la tarea de conducción dinámica;

25)

«operador de intervención a distancia»: cuando corresponda al concepto de seguridad ADS, la persona o personas situadas fuera del vehículo totalmente automatizado que puedan desempeñar a distancia las tareas del operador a bordo, siempre que sea seguro hacerlo.

El operador de intervención a distancia no conducirá el vehículo totalmente automatizado y el ADS seguirá desempeñando la tarea de conducción dinámica;

26)

«capacidades a distancia»: capacidades diseñadas específicamente para apoyar la intervención a distancia;

27)

«número de identificación de software R2022/1426 (R2022/1426SWIN)»: identificador específico, definido por el fabricante, que refleja la información relativa al software del ADS pertinente para la homologación de tipo que contribuye a las características del vehículo pertinentes para la homologación de tipo;

28)

«riesgo excesivo»: nivel global de riesgo para los ocupantes del vehículo y otros usuarios de la vía pública que es superior al de un vehículo de conducción manual en servicios de transporte y situaciones comparables dentro del dominio del diseño operativo;

29)

«seguridad funcional»: ausencia de riesgos excesivos en caso de que se produzcan peligros causados por un comportamiento defectuoso;

30)

«seguridad operativa»: la ausencia de riesgos excesivos ante la incidencia de peligros derivados de insuficiencias funcionales de la funcionalidad prevista (por ejemplo, un falso positivo/negativo en la detección), perturbaciones del funcionamiento (por ejemplo, condiciones ambientales como niebla, lluvia, sombra, luz solar o infraestructura) o mediante la previsión razonable de usos indebidos o errores por parte de los ocupantes del vehículo u otros usuarios de la vía (es decir, peligros para la seguridad, sin defectos del sistema);

31)

«estrategia de control»: estrategia para garantizar un funcionamiento sólido y seguro del ADS en respuesta a un conjunto específico de condiciones ambientales o de funcionamiento (como el estado de la superficie de la carretera, otros usuarios de la vía pública, las condiciones meteorológicas adversas, el riesgo inminente de colisión, los fallos, alcanzar los límites del dominio del diseño operativo, etc.). Esto puede incluir restricciones temporales de funcionamiento (por ejemplo, reducción de la velocidad máxima de funcionamiento, etc.), maniobras de riesgo mínimo, prevención o mitigación de colisiones, intervención a distancia, etc.;

32)

«tiempo de colisión»: el tiempo que transcurriría antes de que se produjese una colisión entre vehículos/objetos/sujetos implicados si su velocidad no cambiase y teniendo en cuenta sus trayectorias.

Para situaciones longitudinales puras con velocidades constantes, salvo que se especifique otra cosa en el texto, se obtendrá el tiempo de colisión dividiendo la distancia longitudinal (en el sentido de marcha del vehículo objeto de ensayo) entre el vehículo objeto de ensayo y los demás vehículos/objetos/sujetos por la velocidad longitudinal relativa del vehículo objeto de ensayo y los demás vehículos/objetos/sujetos.

Para situaciones de cruce puro con velocidades constantes, salvo que se especifique otra cosa en el texto, se obtendrá dividiendo la distancia longitudinal entre el vehículo objeto de ensayo y la línea lateral de movimiento de los demás vehículos/objetos/sujetos por la velocidad longitudinal del vehículo objeto de ensayo;

33)

«tipo de vehículo con respecto al ADS», los vehículos totalmente automatizados que no difieran entre sí en aspectos esenciales como:

a) las características del vehículo que influyen significativamente en el funcionamiento del ADS;

b) las características del sistema y el diseño del ADS;

34)

«vehículos de modo dual»: vehículos totalmente automatizados, con un asiento para el conductor, diseñados y fabricados:

a) para ser conducidos por el conductor en el «modo de conducción manual», y

b) para ser conducidos por el ADS sin supervisión del conductor en el «modo de conducción totalmente automatizada».

En el caso de los vehículos de modo dual, la transición entre el modo de conducción manual y el modo totalmente automatizado, y viceversa, solo podrá producirse cuando el vehículo esté parado, no cuando el vehículo esté en movimiento;

35)

«operador del servicio de transporte»: la entidad que presta un servicio de transporte utilizando uno o varios vehículos totalmente automatizados.

Artículo 3

Disposiciones administrativas y especificaciones técnicas para la homologación de tipo del sistema de conducción automatizada de vehículos totalmente automatizados

1.   Las entradas pertinentes de la ficha de características, presentada de conformidad con el artículo 24, apartado 1, letra a), del Reglamento (UE) 2018/858 con la solicitud de homologación de tipo del sistema de conducción automatizada de un vehículo totalmente automatizado, consistirán en la información pertinente para dicho sistema que figura en el anexo I.

2.   La homologación de tipo de los sistemas de conducción automatizada de vehículos totalmente automatizados estará sujeta a las especificaciones técnicas establecidas en el anexo II. Dichas especificaciones serán evaluadas por las autoridades de homologación o sus servicios técnicos de conformidad con el anexo III.

3.   El certificado de homologación de tipo UE para un tipo de sistema de conducción automatizada de un vehículo totalmente automatizado, tal como se contempla en el artículo 28, apartado 1, del Reglamento (UE) 2018/858, se elaborará de conformidad con el anexo IV.

Artículo 4

Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 5 de agosto de 2022.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1)  DO L 325 de 16.12.2019, p. 1.

(2)  DO L 82 de 9.3.2021, p. 75.

(3)  Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, sobre la homologación y la vigilancia del mercado de los vehículos de motor y sus remolques y de los sistemas, los componentes y las unidades técnicas independientes destinados a dichos vehículos, por el que se modifican los Reglamentos (CE) n.o 715/2007 y (CE) n.o 595/2009 y por el que se deroga la Directiva 2007/46/CE (DO L 151 de 14.6.2018, p. 1).

(4)  Reglamento de Ejecución (UE) 2020/683 de la Comisión, de 15 de abril de 2020, por el que se desarrolla el Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo en lo que concierne a los requisitos administrativos para la homologación y la vigilancia del mercado de los vehículos de motor y sus remolques y de los sistemas, los componentes y las unidades técnicas independientes destinados a dichos vehículos (DO L 163 de 26.5.2020, p. 1).

ANEXO I
Ficha de características para la homologación de tipo UE de vehículos totalmente automatizados en lo que respecta a su sistema de conducción automatizada

MODELO

Ficha de características n.o ... relativa a la homologación de tipo UE de un tipo de vehículo totalmente automatizado con respecto al sistema de conducción automatizada.

La información que figura a continuación se presentará por triplicado e incluirá un índice. Los dibujos o fotografías se presentarán a la escala adecuada, suficientemente detallados y en formato A4 o plegados de forma que se ajusten a dicho formato. Si se presentan fotografías, deberán ser suficientemente detalladas.

 

0.

DISPOSICIONES GENERALES
 

0.1.

Marca (nombre comercial del fabricante):
 

0.2.

Tipo:
 

0.2.1.

Denominaciones comerciales (si están disponibles):
 

0.2.2

Respecto a los vehículos objeto una homologación de tipo multifásica, información sobre la homologación de tipo del vehículo de base o del vehículo en las fases anteriores (enumérese la información relativa a cada fase): (Para ello puede utilizarse un cuadro).

Tipo:

Variantes:

Versiones:

Número del certificado de homologación de tipo, incluido el número de extensión: ...

 

0.3.

Medio de identificación del tipo, si está marcado en el vehículo/componente/unidad técnica independiente:
 

0.3.1.

Ubicación de ese marcado:
 

0.4.

Categoría de vehículo:
 

0.5.

Nombre de la empresa y dirección del fabricante:
 

0.5.1.

Respecto a los vehículos objeto de una homologación multifásica, nombre de la empresa y dirección del fabricante del vehículo de base o del vehículo en la fase o las fases anteriores: …
 

0.6.

Emplazamiento y método de fijación de las placas reglamentarias y emplazamiento del número de identificación del vehículo: …
 

0.6.1.

En el bastidor: …
 

0.6.2.

En la carrocería: …
 

0.8.

Nombre y dirección de las plantas de montaje:
 

0.9.

Nombre y dirección del representante del fabricante (de haberlo):
 

17.

SISTEMA DE CONDUCCIÓN AUTOMATIZADA (ADS)
 

17.1.

Descripción general del ADS
 

17.1.1.

Dominio del diseño operativo/condiciones límite
 

17.1.2.

Funcionamiento básico (por ejemplo, detección de objetos y eventos y respuesta, planificación, etc.)
 

17.2.

Descripción de las funciones del ADS
 

17.2.1.

Principales funciones del ADS (arquitectura funcional)
 

17.2.1.1.

Funciones internas del vehículo
 

17.2.1.2.

Funciones externas del vehículo [por ejemplo, infraestructuras de segundo plano (backend) y exteriores necesarias, medidas operativas necesarias]
 

17.3.

Visión general de los principales componentes del ADS
 

17.3.1.

Unidades de control
 

17.3.2.

Sensores e instalación de los sensores en el vehículo
 

17.3.3.

Actuadores
 

17.3.4.

Mapas y posicionamiento
 

17.3.5.

Otro hardware
 

17.4.

Configuración y esquema del ADS
 

17.4.1.

Configuración esquemática del sistema (por ejemplo, diagrama de bloques)
 

17.4.2.

Lista y esquema de las interconexiones
 

17.5.

Especificaciones
 

17.5.1.

Especificaciones en funcionamiento normal
 

17.5.2.

Especificaciones en condiciones de funcionamiento de emergencia
 

17.5.3.

Criterios de aceptación
 

17.5.4

Demostración de conformidad
 

17.6.

Concepto de seguridad
 

17.6.1.

Declaración del fabricante de que el vehículo no entraña riesgos excesivos
 

17.6.2.

Arquitectura básica del software (por ejemplo, diagrama de bloques)
 

17.6.3.

Medios por los que se determina la realización de la lógica del ADS
 

17.6.4.

Explicación general de las principales disposiciones de diseño integradas en el ADS para garantizar un funcionamiento seguro en condiciones de fallo, con perturbaciones de funcionamiento y con incidencia de condiciones que excedan el dominio del diseño operativo
 

17.6.5

Descripción general de los principios más importantes de gestión de fallos y la estrategia en modo degradado, incluida la estrategia de mitigación de riesgos (maniobra de riesgo mínimo):
 

17.6.6.

Condiciones para activar una solicitud al operador a bordo o al operador de intervención a distancia
 

17.6.7.

Concepto de interacción persona-máquina con los ocupantes del vehículo, el operador a bordo y el operador de intervención a distancia, incluida la protección contra la activación/el funcionamiento simple no autorizado y las intervenciones
 

17.7.

Verificación y validación por parte del fabricante de los requisitos de rendimiento, en particular la OEDR, la interfaz persona-máquina, el cumplimiento de las normas de tráfico y la conclusión de que el sistema está diseñado de tal manera que está exento de riesgos excesivos para los ocupantes del vehículo y otros usuarios de la vía pública:
 

17.7.1.

Descripción del enfoque adoptado
 

17.7.2.

Selección de escenarios nominales, críticos y de fallo
 

17.7.3.

Descripción de los métodos y herramientas utilizados (software, laboratorio, otros) y resumen de la evaluación de la credibilidad
 

17.7.4.

Descripción de los resultados
 

17.7.5.

Incertidumbre de los resultados
 

17.7.6.

Interpretación de los resultados
 

17.7.7.

Declaración del fabricante:

El/Los fabricante(s)afirma(n) que el ADS no entraña riesgos excesivos para la seguridad de los ocupantes del vehículo y de otros usuarios de la vía.

 

17.8.

Elementos de datos del ADS
 

17.8.1.

Tipos de datos almacenados
 

17.8.2.

Ubicación de almacenamiento
 

17.8.3.

Incidencias y elementos de datos registrados
 

17.8.4.

Medios para garantizar la seguridad y la protección de los datos
 

17.8.5.

Medios de acceso a los datos
 

17.9.

Ciberseguridad y actualización del software
 

17.9.1.

Número de homologación de tipo de la ciberseguridad:
 

17.9.2.

Número del certificado de conformidad del sistema de gestión de la ciberseguridad:
 

17.9.3.

Número de homologación de tipo de la actualización del software:
 

17.9.4.

Número del certificado de conformidad del sistema de gestión de actualizaciones de software
 

17.9.5.

Identificación del software del ADS
 

17.9.5.1.

Información sobre el procedimiento de lectura del número RxSWIN o de las versiones del software en el caso de que el número RxSWIN no se guarde en el vehículo.
 

17.9.5.2.

En su caso, deberán enumerarse los parámetros pertinentes que permitan la identificación de aquellos vehículos que puedan actualizarse con el software representado por el número RxSWIN previsto en el punto 17.9.4.1.
 

17.10.

Manual de funcionamiento (deberá adjuntarse a la ficha de características)
 

17.10.1.

Descripción funcional del ADS y función prevista del propietario, del operador del servicio de transporte, del operador a bordo, del operador de intervención a distancia, etc.
 

17.10.2.

Medidas técnicas para un funcionamiento seguro (por ejemplo, descripción de la infraestructura exterior necesaria, momento, frecuencia y plantilla de las operaciones de mantenimiento)
 

17.10.3.

Restricciones operativas y medioambientales
 

17.10.4.

Medidas operativas (por ejemplo, si es necesario un operador a bordo o un operador de intervención a distancia)
 

17.10.5.

Instrucciones en caso de fallos y solicitud del ADS (medidas de seguridad que deben adoptar los ocupantes del vehículo, el operador del servicio de transporte, el operador a bordo, el operador de intervención a distancia y las autoridades públicas en caso de fallo de funcionamiento)
 

17.11.

Medios para permitir las inspecciones técnicas periódicas de los vehículos

Lista de gráficos/cuadros

Acrónimos

Anexo I: manual de simulación

Anexo II: manual de funcionamiento

Nota explicativa

Esta ficha de características incluye la información pertinente del sistema de conducción automatizada y se cumplimentará de conformidad con el modelo establecido en el anexo I del Reglamento de Ejecución (UE) 2020/683 de la Comisión.

ANEXO II
Requisitos de rendimiento

1.   Tarea de conducción dinámica en escenarios de tráfico nominal

 

1.1.

El ADS deberá ser capaz de realizar la totalidad de la tarea de conducción dinámica.
 

1.1.1.

La capacidad del ADS para realizar la totalidad de la tarea de conducción dinámica se determinará en el contexto del dominio del diseño operativo del ADS.
 

1.1.2.

Como parte de la tarea de conducción dinámica, el ADS deberá poder:

a)

funcionar a velocidades seguras y respetar las limitaciones de velocidad aplicables al vehículo;

b)

mantener distancias adecuadas con respecto a otros usuarios de la carretera controlando el movimiento longitudinal y lateral del vehículo;

c)

adaptar su comportamiento a las condiciones de tráfico circundantes (por ejemplo, evitando perturbaciones en el flujo del tráfico) de una manera adecuada y orientada a la seguridad;

d)

adaptar su comportamiento a los riesgos para la seguridad y dar la máxima prioridad a la protección de la vida humana;

 

1.1.3.

El sistema deberá demostrar un comportamiento anticipatorio en la interacción con otros usuarios de la vía pública, a fin de garantizar un comportamiento longitudinal, poco dinámico y estable, y un comportamiento que minimice el riesgo cuando se puedan dar situaciones críticas de forma inminente, por ejemplo, con usuarios vulnerables de la vía pública (peatones, ciclistas, etc.), visibles o no, o con otros vehículos que crucen o se incorporen al carril por delante del vehículo totalmente automatizado.
 

1.1.4.

Los requisitos relativos a la tarea de conducción dinámica se cumplirán en dirección inversa, si la marcha atrás es exigida por el dominio del diseño operativo o está declarada en él.
 

1.2.

El ADS detectará y responderá adecuadamente a los objetos y eventos pertinentes para la tarea de conducción dinámica en el dominio del diseño operativo.

Los objetos y eventos pueden incluir, entre otros, los siguientes:

a)

vehículos de motor y otros usuarios de la carretera, como motocicletas, bicicletas, patinetes, usuarios de sillas de ruedas, peatones y obstáculos (por ejemplo, escombros, pérdida de carga);

b)

accidentes de tráfico;

c)

congestiones del tráfico;

d)

obras viarias;

e)

agentes de seguridad vial y agentes de las fuerzas y cuerpos de seguridad;

f)

vehículos de emergencias;

g)

señales de circulación, marcas viales;

h)

condiciones ambientales (por ejemplo, menor velocidad debido a la lluvia o nieve).

 

1.3.

El ADS deberá cumplir las normas de tráfico del país de operación.
 

1.3.1.

El ADS interactuará de forma segura con otros usuarios de la vía pública de conformidad con las normas de tráfico, por ejemplo a través de:

a)

la señalización de las intenciones de maniobra (por ejemplo, indicador de dirección).

b)

la utilización del avisador acústico cuando proceda;

c)

la interactuación de forma segura con los agentes de seguridad vial o los agentes de las fuerzas y cuerpos de seguridad, el personal de mantenimiento de las carreteras, el personal del servicio de emergencias, los inspectores de carretera, etc.;

d)

en el caso de los vehículos de modo dual, el estado del ADS (modo de conducción manual o modo de conducción totalmente automatizado) será reconocible para los agentes de seguridad vial o los agentes de las fuerzas y cuerpos de seguridad.

 

1.3.2.

En ausencia de normas de tráfico específicas, los vehículos con ADS destinados a transportar ocupantes del vehículo de pie o sin sujeción no superarán una aceleración horizontal combinada de 2,4 m/s2 (en valor absoluto y calculada como la combinación de la aceleración lateral y longitudinal) ni una tasa de aceleración de cambio de 5 m/s3.

Dependiendo de los factores que influyen en el riesgo para los ocupantes y otros usuarios de la vía pública, podría ser conveniente superar estos límites, como en condiciones de funcionamiento de emergencia.

2.   Tarea de conducción dinámica en escenarios críticos de tráfico (funcionamiento de emergencia)

 

2.1.

El ADS deberá ser capaz de realizar la tarea de conducción dinámica en todos los escenarios críticos de tráfico razonablemente previsibles en el dominio del diseño operativo.
 

2.1.1.

El ADS deberá ser capaz de detectar el riesgo de colisión con otros usuarios de la vía pública o con un obstáculo repentino (escombros, pérdida de carga) y deberá ser capaz de realizar automáticamente el funcionamiento de emergencia adecuado (frenazo, dirección evasiva) para evitar colisiones razonablemente previsibles y minimizar los riesgos para la seguridad de los ocupantes del vehículo y de otros usuarios de la vía.
 

2.1.1.1.

En caso de riesgo alternativo inevitable para la vida humana, el ADS no preverá ninguna ponderación basada en las características personales de las personas.
 

2.1.1.2.

La protección de otras vidas humanas fuera del vehículo totalmente automatizado no estará subordinada a la protección de la vida humana dentro del vehículo totalmente automatizado.
 

2.1.2.

La estrategia de evitación/mitigación debe tener en cuenta la vulnerabilidad de los usuarios de la vía pública implicados.
 

2.1.3.

Tras la maniobra evasiva, el vehículo tratará de reanudar un movimiento estable tan pronto como sea técnicamente posible.
 

2.1.4.

La señal de activación de las luces de emergencia se generará automáticamente de conformidad con las normas de tráfico. Si el vehículo totalmente automatizado vuelve a ponerse en movimiento automáticamente, la señal de desactivar las luces de emergencia se generará automáticamente.
 

2.1.5.

En caso de accidente de tráfico en el que esté implicado el vehículo totalmente automatizado, el ADS tendrá como objetivo detener el vehículo totalmente automatizado y realizar una maniobra de riesgo mínimo para alcanzar la condición de riesgo mínimo. No será posible que el ADS reanude el funcionamiento normal hasta que se haya confirmado el estado de funcionamiento seguro de los vehículos totalmente automatizados mediante autocomprobaciones del ADS o del operador a bordo (si procede) o del operador de intervención a distancia (si procede).

3.   Tarea de conducción dinámica en los límites del dominio del diseño operativo

 

3.1.

El ADS reconocerá las condiciones y límites del dominio del diseño operativo.
 

3.1.1.

El ADS deberá poder determinar si se cumplen las condiciones para su activación.
 

3.1.2.

El ADS detectará y responderá cuando no se cumplan o hayan dejado de cumplirse una o más condiciones del dominio del diseño operativo.
 

3.1.3.

El ADS deberá ser capaz de prever las salidas del dominio del diseño operativo.
 

3.1.4.

El fabricante establecerá las condiciones y límites del dominio del diseño operativo.
 

3.1.4.1.

Las condiciones del dominio del diseño operativo que debe reconocer el ADS incluyen:

a)

precipitaciones (lluvia, nieve);

b)

hora del día;

c)

intensidad luminosa, incluso cuando se utilicen dispositivos de alumbrado;

d)

niebla, neblina;

e)

marcas del carril y de la vía;

f)

categoría de carretera (por ejemplo, número de carriles de conducción, carriles separados);

g)

área geográfica (si procede).

 

3.1.5.

Cuando el ADS alcance los límites del dominio del diseño operativo, realizará una maniobra de riesgo mínimo para alcanzar una condición de riesgo mínimo y advertirá en consecuencia al operador a bordo (si procede) o al operador a distancia (si procede).

4.   Tarea de conducción dinámica en escenarios de fallo

 

4.1.

El ADS detectará y responderá al mal funcionamiento del ADS o del vehículo.
 

4.1.1.

El ADS deberá autodiagnosticar defectos y fallos.
 

4.1.2.

El ADS evaluará su capacidad para cumplir la totalidad de la tarea de conducción dinámica.
 

4.1.2.1.

El ADS responderá de forma segura a un defecto o fallo del ADS que no comprometa de forma significativa el rendimiento del ADS.
 

4.1.2.2.

El ADS ejecutará una maniobra de riesgo mínimo para obtener una condición de riesgo mínimo en caso de fallo del ADS u otro sistema del vehículo que impida al ADS realizar la tarea de conducción dinámica.
 

4.1.2.3.

Inmediatamente después de la detección, el ADS señalará los fallos graves y el estado operacional resultante a los ocupantes del vehículo, al operador de a bordo (si está disponible) o al operador de intervención a distancia (si procede), así como a otros usuarios de la vía pública de conformidad con las normas de tráfico (por ejemplo, activando las luces de emergencia).
 

4.1.2.4.

Si algún fallo afecta al rendimiento de frenado o dirección del vehículo, la maniobra de riesgo mínimo se realizará en consideración del rendimiento restante.

5.   Maniobra de riesgo mínimo y condición de riesgo mínimo

 

5.1.

Durante la maniobra de riesgo mínimo, el vehículo totalmente automatizado con el ADS se ralentizará, con el fin de alcanzar una demanda de desaceleración no superior a 4,0 m/s2, hasta una parada total en el lugar más seguro posible, teniendo en cuenta el tráfico y la infraestructura viaria circundantes. Se permiten valores de demanda de desaceleración más elevados en caso de fallo grave del ADS o del vehículo totalmente automatizado.
 

5.2.

El ADS deberá indicar su intención de colocar el vehículo totalmente automatizado en una condición de riesgo mínimo a los ocupantes del vehículo totalmente automatizado, así como a otros usuarios de la vía pública, de conformidad con las normas de tráfico (por ejemplo, activando las luces de emergencia).
 

5.3.

El vehículo totalmente automatizado solo abandonará la condición de riesgo mínimo tras la confirmación, mediante autocomprobaciones del ADS o del operador de a bordo (si procede) o del operador de intervención a distancia (si procede), de que ya no existen la causa o las causas de la maniobra de riesgo mínimo.

6.   La interacción entre la persona y la máquina

 

6.1.

Se facilitará información adecuada a los ocupantes del vehículo totalmente automatizado siempre que sea necesario para un funcionamiento seguro y con respecto a los riesgos para la seguridad.
 

6.2.

Si un operador de intervención a distancia forma parte del concepto de seguridad del ADS, el vehículo totalmente automatizado proporcionará a sus ocupantes medios para llamar a dicho operador a través de una interfaz audiovisual en el vehículo totalmente automatizado. Se utilizarán señales inequívocas para la interfaz audiovisual (por ejemplo, ISO 7010 E004).
 

6.3.

El ADS proporcionará a los ocupantes del vehículo medios para solicitar una maniobra de riesgo mínimo para detener el vehículo totalmente automatizado. En caso de emergencia:

a)

en el caso de los vehículos equipados con puertas de accionamiento automático, el desbloqueo de las puertas se llevará a cabo automáticamente cuando sea seguro hacerlo;

b)

se dará a los viajeros un medio para salir de un vehículo parado (abriendo las puertas o a través de una salida de emergencia).

 

6.4.

Si un operador de intervención a distancia forma parte del concepto de seguridad del ADS, el vehículo totalmente automatizado incluirá sistemas de visión (por ejemplo, cámaras de conformidad con el capítulo 6 de la norma ISO 16505:2019) del espacio para ocupantes dentro del vehículo y del entorno del vehículo para que el operador de intervención a distancia pueda evaluar la situación dentro y fuera del vehículo.
 

6.5.

Si un operador de intervención a distancia forma parte del concepto de seguridad del ADS, deberá ser posible que el operador de intervención a distancia abra a distancia la puerta de servicio de accionamiento a motor.
 

6.6.

El ADS activará los sistemas pertinentes del vehículo cuando sea necesario y aplicable (por ejemplo, abriendo puertas, activando los limpiaparabrisas en caso de lluvia, sistema de calefacción, etc.).

7.   Seguridad funcional y operativa

 

7.1.

El fabricante demostrará que se ha considerado de forma aceptable la seguridad funcional y operativa del ADS durante sus procesos de diseño y desarrollo. Las medidas adoptadas por el fabricante garantizarán que el vehículo totalmente automatizado no presente riesgos excesivos para la seguridad de los ocupantes del vehículo y otros usuarios de la vía pública durante la vida útil del vehículo en comparación con servicios y situaciones de transporte comparables en el ámbito operativo.
 

7.1.1.

El fabricante definirá los criterios de aceptación a partir de los cuales se derivan los objetivos de validación del ADS de cara a evaluar el riesgo residual para el dominio del diseño operativo, teniendo en cuenta, cuando se disponga de ellos, los datos de accidentes existentes (1), los datos sobre el rendimiento de los vehículos manuales conducidos de forma competente y cuidadosa y la tecnología más avanzada.
 

7.2.

El fabricante dispondrá de procesos para gestionar la seguridad y la conformidad continua del ADS a lo largo de su vida útil (desgaste de los componentes, especialmente en el caso de sensores, nuevos escenarios de tráfico, etc.).

8.   Ciberseguridad y actualizaciones de software

 

8.1.

El ADS estará protegido contra el acceso no autorizado de conformidad con el Reglamento n.o 155 de las Naciones Unidas (2).
 

8.2.

El ADS soportará actualizaciones de software. La eficacia de los procedimientos y procesos de actualización del software relativos al ADS se demostrará mediante el cumplimiento del Reglamento n.o 156 de las Naciones Unidas (3).
 

8.2.1

Tal como se especifica en el Reglamento sobre las actualizaciones y el sistema de gestión de actualizaciones de software, con el fin de garantizar la identificación del software del sistema, se utilizará un R2022/1426SWIN. El R2022/1426SWIN podrá guardarse en el vehículo o, si no se guarda en el vehículo, el fabricante declarará a la autoridad de homologación de tipo la versión o versiones de software del vehículo o la unidad de control eléctrico única en relación con las homologaciones de tipo pertinentes.
 

8.2.2

El fabricante proporcionará la siguiente información en la ficha de características:

a)

el R2022/1426SWIN;

b)

cómo leer el R2022/1426SWIN o la versión o versiones de software en caso de que el R2022/1426SWIN no se guarde en el vehículo.

 

8.2.3.

El fabricante podrá incluir en la ficha de características una lista de los parámetros pertinentes que permitan la identificación de aquellos vehículos que pueden actualizarse con el software representado por el número R2022/1426SWIN. La información facilitada será declarada por el fabricante y no podrá ser verificada por una autoridad de homologación de tipo.
 

8.2.4.

El fabricante podrá obtener una nueva homologación de tipo de vehículo con el fin de diferenciar las versiones de software que se pretendan usar en vehículos ya matriculados en el mercado de las versiones de software que se utilicen en vehículos nuevos. Esto puede cubrir situaciones en que se actualicen las normas de homologación de tipo o se realicen cambios de hardware en los vehículos de producción en serie. De acuerdo con la autoridad de homologación de tipo, se evitará la duplicación de ensayos en la medida de lo posible.

9.   Requisitos de datos del ADS y elementos de datos específicos para el registrador de datos de eventos para vehículos totalmente automatizados

 

9.1.

El ADS registrará las siguientes incidencias cada vez que se active el ADS:
 

9.1.1.

Activación/reinicialización del ADS (si procede)
 

9.1.2.

Desactivación del ADS (si procede)
 

9.1.3.

Solicitud enviada por el ADS al operador de intervención a distancia (si procede)
 

9.1.4.

Solicitud/entrada enviada por el operador de intervención a distancia (si procede)
 

9.1.5.

Inicio del funcionamiento de emergencia
 

9.1.6.

Fin del funcionamiento de emergencia
 

9.1.7.

Involucración en una colisión detectada
 

9.1.8.

Acción desencadenante del registrador de datos de eventos
 

9.1.9.

Inicio de una maniobra de riesgo mínimo por el ADS
 

9.1.10.

Condición de riesgo mínimo alcanzada por el vehículo totalmente automatizado
 

9.1.11.

Fallo del ADS (descripción)
 

9.1.12.

Fallo del vehículo
 

9.1.13.

Inicio del procedimiento de cambio de carril
 

9.1.14.

Fin del procedimiento de cambio de carril
 

9.1.15.

Interrupción del procedimiento de cambio de carril
 

9.1.16.

Inicio del cruce intencionado del carril
 

9.1.17.

Fin del cruce intencionado del carril
 

9.2.

Los marcadores de incidencias de los puntos 9.1.13, 9.1.14, 9.1.16 y 9.1.17 solo tendrán que almacenarse si se producen en los 30 segundos anteriores a los sucesos de los puntos 9.1.5, 9.1.7, 9.1.15 o 9.1.8:
 

9.3.

Elementos de datos del ADS
 

9.3.1.

Para cada incidencia enumerada en el punto 9.1, se registrarán los siguientes elementos de datos de manera claramente identificable:
 

9.3.2.

El marcador de incidencia registrada
 

9.3.3.

El motivo de la incidencia, según proceda
 

9.3.4.

Fecha (resolución: aaaa-mm-dd)
 

9.3.5.

Posición (coordenadas GPS)
 

9.3.6.

Sello de tiempo:

a)

resolución: hh/mm/ss huso horario, por ejemplo, 12:59:59 UTC.

b)

exactitud: ± 1,0 segundos

 

9.4.

Para cada incidencia registrada, serán claramente identificables el RXSWIN o las versiones del software, que indiquen el software que estaba presente en el momento en que se produjo el evento.
 

9.5.

Se admitirá un único sello de tiempo para varios elementos registrados simultáneamente en la resolución temporal de los elementos de datos específicos. Si se registra más de un elemento con el mismo sello de tiempo, la información de cada elemento indicará el orden cronológico.
 

9.6.

Disponibilidad de los datos
 

9.6.1.

Los elementos de datos del ADS estarán disponibles con arreglo a los requisitos especificados en la legislación nacional o de la Unión (4).
 

9.6.2.

Una vez que la capacidad de almacenamiento alcance su límite, solo se sobrescribirán los datos existentes siguiendo el procedimiento «primero en entrar, primero en salir», con el principio de respetar los requisitos pertinentes de disponibilidad de los datos.

El fabricante proporcionará pruebas documentadas de la capacidad de almacenamiento.

 

9.6.3.

En el caso de los vehículos de categoría M1 y N1, los elementos de datos se podrán recuperar incluso después de un impacto del nivel de gravedad establecido por los Reglamentos n.o 94 (5), n.o 95 (6) o n.o 137 (7) de las Naciones Unidas.
 

9.6.4.

En el caso de los vehículos de categorías M2, M3, N2 y N3, los elementos de datos enumerados en el punto 9.2 se podrán recuperar incluso después de un impacto. Para demostrar dicha capacidad, se aplicará lo siguiente:

O bien:

a)

se aplicará un choque mecánico a los dispositivos de almacenamiento de datos a bordo, en caso de que los haya, en el nivel de gravedad especificado en el ensayo con componentes del anexo 9C de la serie 03 de enmiendas del Reglamento n.o 100 de las Naciones Unidas (8); y

b)

los dispositivos de almacenamiento de datos a bordo se instalarán en la cabina o en el habitáculo del vehículo, o en una posición de integridad estructural suficiente para protegerse contra daños físicos que impidan la recuperación de los datos. Esto se demostrará al servicio técnico junto con la documentación adecuada (por ejemplo, cálculos o simulaciones);

o

c)

el fabricante demuestra que cumple los requisitos del punto 9.6.3. (por ejemplo, para los vehículos M2/N2 derivados de M1/N1).

 

9.6.5.

Si la principal fuente de alimentación de a bordo no está disponible, todavía será posible recuperar todos los datos registrados.
 

9.6.6.

Los datos almacenados se podrán leer fácilmente por un método normalizado mediante el uso de una interfaz electrónica de comunicación, al menos a través de la interfaz estándar [puerto de diagnóstico a bordo (DAB)].
 

9.7.

Datos específicos para el registrador de datos de eventos para vehículos totalmente automatizados
 

9.7.1.

En el caso de los vehículos equipados con un registrador de datos de eventos de conformidad con el artículo 6 del Reglamento (UE) 2019/2144, será posible obtener, a través de la interfaz estándar (puerto DAB), los elementos de datos del ADS a que se refieren los puntos 9.3.1 y 9.3.2 registrados durante al menos los 30 segundos anteriores a la última configuración del marcador de incidencia de la «acción desencadenante del registrador de datos de eventos», junto con los elementos de datos especificados en el anexo 4 del Reglamento n.o 160 de las Naciones Unidas (9) (datos del registrador de datos de eventos).
 

9.7.2.

En ausencia de cualquiera de las incidencias a que se refiere el punto 9.1 en los 30 segundos anteriores a la última configuración del marcador de incidencia de la «acción desencadenante del registrador de datos de eventos», deberá ser posible recuperar, junto con los datos del registrador de datos de eventos, el elemento de datos correspondiente a las últimas incidencias dentro del mismo ciclo de potencia mencionado en los puntos 9.1.1 y 9.1.2, como mínimo.
 

9.7.3.

Los elementos de datos recuperados de conformidad con los puntos 9.7.1 o 9.7.2 no incluirán la fecha y el sello de tiempo ni ninguna otra información que permita la identificación del vehículo, de su usuario o de su propietario. En su lugar, el sello de tiempo se sustituirá por información que represente la diferencia temporal entre el marcador de incidencia «acción desencadenante del registrador de datos de eventos» y el marcador de incidencia del elemento de datos correspondiente del ADS.
 

9.8.

El fabricante proporcionará instrucciones sobre cómo acceder a los datos.
 

9.9.

Protección contra manipulaciones
 

9.9.1.

Deberá garantizarse una protección adecuada contra la manipulación (por ejemplo, el borrado) de los datos almacenados, por ejemplo mediante un diseño contra la manipulación.

10.   Modo de conducción manual

 

10.1.

Si el ADS permite conducir manualmente con fines de mantenimiento o para asumir el control después de que el vehículo totalmente automatizado realice una maniobra de riesgo mínimo, el vehículo estará limitado a 6 km/h y deberá disponer de medios que permitan a la persona que lo conduce llevar a cabo la tarea de conducción con seguridad, de conformidad con el concepto de seguridad del fabricante. Salvo en caso de fallo, el ADS seguirá detectando un obstáculo (por ejemplo, vehículos o peatones) en el área de maniobras y ayudará al conductor a detener inmediatamente el vehículo para evitar una colisión.
 

10.2.

Si la conducción manual está limitada a 6 km/h, no será necesario que el conductor permanezca en el vehículo totalmente automatizado. El control podrá realizarse a través de un mando a distancia situado en las proximidades del vehículo, siempre que los vehículos permanezcan en la línea visual directa del conductor. La distancia máxima sobre la que es posible el control mediante un mando a distancia no excederá de 10 metros.
 

10.3.

Si, durante la conducción manual, el vehículo está destinado a circular a velocidades superiores a 6 km/h, se considerará vehículo de modo dual.

11.   Manual de funcionamiento

 

11.1.

El fabricante elaborará un manual de funcionamiento. La finalidad del manual de funcionamiento es garantizar el funcionamiento seguro del vehículo totalmente automatizado mediante instrucciones detalladas dirigidas al propietario, a los ocupantes del vehículo, al operador del servicio de transporte, al operador de a bordo, al operador de intervención a distancia y a las autoridades nacionales pertinentes.

Cuando el vehículo totalmente automatizado incluya la posibilidad de conducir manualmente con fines de mantenimiento o para asumir el control tras una maniobra de riesgo mínimo, esta también estará cubierta por el manual de funcionamiento.

 

11.2.

El manual de funcionamiento incluirá la descripción funcional del ADS.
 

11.3.

El manual de funcionamiento incluirá las medidas técnicas (por ejemplo, comprobaciones y trabajos de mantenimiento del vehículo y de la infraestructura exterior, o requisitos de transporte e infraestructura física, como el marcador de localización y los sensores de percepción), las restricciones operativas (por ejemplo, límite de velocidad, carril específico, o separación física con el tráfico en sentido contrario), las condiciones ambientales (por ejemplo, ausencia de nieve) y las medidas operativas (por ejemplo, la necesidad de un operador a bordo o de un operador de intervención remota) necesarias para garantizar la seguridad durante el funcionamiento del vehículo totalmente automatizado.
 

11.4.

El manual de funcionamiento describirá las instrucciones para los ocupantes del vehículo, el operador del servicio de transporte, el operador a bordo (cuando proceda) y el operador de intervención a distancia (cuando proceda) y las autoridades públicas en caso de fallos y solicitud del ADS.
 

11.5.

El manual de funcionamiento establecerá normas para garantizar la correcta realización del mantenimiento, los ensayos generales y otros exámenes.
 

11.6.

El manual de funcionamiento se presentará a la autoridad de homologación de tipo junto con la solicitud de homologación de tipo y se adjuntará al certificado de homologación de tipo.
 

11.7.

El manual de funcionamiento se pondrá a disposición del propietario y, en su caso, del operador del servicio de transporte, del operador a bordo (cuando proceda), del operador de intervención a distancia (cuando proceda) y de cualquier autoridad nacional pertinente.

12.   Disposiciones relativas a las inspecciones técnicas periódicas

 

12.1.

A efectos de las inspecciones técnicas periódicas, deberá ser posible verificar las siguientes características del ADS:

a)

Su correcto estado de funcionamiento, mediante una observación visual del estado de la señal de advertencia de fallo, tras la activación del interruptor principal de control del vehículo y tras toda comprobación del estado de las bombillas. Cuando la señal de advertencia de fallo se visualice en un espacio común (zona en la que pueden visualizarse más de dos funciones o símbolos de información, pero no simultáneamente), deberá comprobarse en primer lugar que este funciona antes de verificar el estado de la señal de advertencia de fallo.

b)

Su correcta funcionalidad y la integridad del software, mediante el uso de una interfaz electrónica del vehículo, como la establecida en la sección I, punto 14, del anexo III de la Directiva 2014/45/UE del Parlamento Europeo y del Consejo (10), cuando las características técnicas del vehículo lo permitan y se faciliten los datos necesarios. Los fabricantes deberán asegurar la disponibilidad de la información técnica para el uso de la interfaz electrónica del vehículo, de conformidad con el artículo 6 del Reglamento de Ejecución (UE) 2019/621 de la Comisión (11).

(1)  Por ejemplo, sobre la base de los datos actuales relativos a accidentes de autobuses, autocares, camiones y coches en la UE, para la introducción en el mercado del ADS para servicios y situaciones de transporte comparables podría considerarse un criterio de aceptación agregado indicativo de 10-7 víctimas mortales por hora de funcionamiento. El fabricante podrá utilizar otros parámetros y métodos siempre que pueda demostrar que conducen a la ausencia de riesgos excesivos para la seguridad en comparación con servicios de transporte comparables y situaciones en el ámbito operativo.

(2)  DO L 82 de 9.3.2021, p. 30.

(3)  DO L 82 de 9.3.2021, p. 60.

(4)  Se recomienda una capacidad de almacenamiento de 2 500 sellos de tiempo que corresponda a un período de seis meses de uso.

(5)  DO L 392 de 5.11.2021, p. 1.

(6)  DO L 392 de 5.11.2021, p. 62.

(7)  DO L 392 de 5.11.2021, p. 130.

(8)  DO L 449 de 15.12.2021, p. 1.

(9)  DO L 265 de 26.7.2021, p. 3.

(10)  Directiva 2014/45/UE del Parlamento Europeo y del Consejo, de 3 de abril de 2014, relativa a las inspecciones técnicas periódicas de los vehículos de motor y de sus remolques, y por la que se deroga la Directiva 2009/40/CE (DO L 127 de 29.4.2014, p. 51).

(11)  Reglamento de Ejecución (UE) 2019/621 de la Comisión, de 17 de abril de 2019, relativo a la información técnica necesaria para las inspecciones técnicas de los elementos que deben inspeccionarse, al uso de los métodos de inspección recomendados y por el que se establecen normas detalladas acerca del formato de los datos y de los procedimientos de acceso a la información técnica pertinente (DO L 108 de 23.4.2019, p. 5).

ANEXO III
EVALUACIÓN DE LA CONFORMIDAD

La evaluación global de la conformidad del ADS se basa en:

Parte 1: Escenarios de tráfico que deben considerarse

Parte 2: La evaluación del concepto de seguridad del ADS y la auditoría del sistema de gestión de la seguridad del fabricante

Parte 3: Los ensayos para los escenarios de tráfico más pertinentes

Parte 4: Los principios que deben utilizarse para la evaluación de la credibilidad del uso de la cadena virtual de herramientas para la validación de ADS

Parte 5: El sistema establecido por el fabricante para garantizar la presentación de informes en servicio.

Cualquier requisito del anexo II podrá comprobarse mediante ensayos realizados por la autoridad de homologación de tipo (o su servicio técnico).

PARTE 1

ESCENARIOS DE TRÁFICO QUE DEBEN CONSIDERARSE

 

1.

Conjunto mínimo de escenarios de tráfico
 

1.1.

Se utilizarán los escenarios y parámetros enumerados en el punto 1 cuando estos escenarios sean pertinentes para el dominio del diseño operativo del ADS.

Si el fabricante se aparta de los parámetros propuestos en el punto 1, los parámetros de rendimiento en materia de seguridad y las hipótesis inherentes utilizados por el fabricante se reflejarán en la documentación. Los parámetros del rendimiento en materia de seguridad y las hipótesis inherentes elegidas demostrarán que el vehículo totalmente automatizado no presenta riesgos excesivos para la seguridad. La validez de dichos parámetros de rendimiento en materia de seguridad y de las hipótesis inherentes se sustentará en datos de vigilancia en servicio.

 

1.2.

Parámetros que debe utilizar el vehículo totalmente automatizado para los escenarios de cambio de carril
 

1.2.1.

Los escenarios y parámetros con respecto al cambio de carril se aplicarán según lo especificado en el Reglamento n.o 157 de las Naciones Unidas (1).
 

1.3.

Parámetros que debe utilizar el vehículo totalmente automatizado para el escenario de giro y cruce.
 

1.3.1.

En ausencia de normas de tráfico más específicas, se tendrán en cuenta los siguientes requisitos con respecto a la interacción con otros usuarios de la vía que intervienen en el movimiento al girar y cruzar (véase el gráfico 1) en condiciones de pavimento seco y adecuado.
 

1.3.2.

En caso de que converjan con tráfico privilegiado durante el giro, cruzando o no el sentido de circulación opuesto, el tráfico privilegiado en el carril objetivo no debería tener que desacelerar. Sin embargo, debe garantizarse que el tiempo de colisión del tráfico privilegiado que se aproxima en la carretera objetivo [caso a) del gráfico 1] nunca se sitúe por debajo del umbral TTC dyn definido de la siguiente manera:

 

Imagen: http://publications.europa.eu/resource/uriserv/OJ.L_.2022.221.01.0001.01.SPA.xhtml.FOR-L_2022221ES.01002001.notes.0001.xml.jpg

 

En la que:

 

ve igual a la velocidad del vehículo totalmente automatizado

 

va igual a la velocidad del tráfico privilegiado que se aproxima

 

β igual a 3 m/s2, que es la deceleración máxima admisible para el tráfico privilegiado que se aproxima

 

ρ igual a 1,5 s, que es el tiempo de reacción del tráfico privilegiado que se aproxima

 

1.3.3.

En el caso de una maniobra de giro que cruce el sentido de circulación opuesto, al considerar el tráfico en sentido opuesto, el tráfico privilegiado en el carril objetivo no debería tener que desacelerarse. Sin embargo, si la densidad de tráfico lo justifica —además de la distancia desde el tráfico privilegiado que se aproxima en la carretera objetivo—, debe garantizarse que el tiempo de colisión del tráfico privilegiado que cruza hasta el punto de colisión ficticio [punto de intersección de las trayectorias, caso b) del gráfico 1] nunca se sitúe por debajo del umbral TTC int definido de la siguiente manera:

 

Imagen: http://publications.europa.eu/resource/uriserv/OJ.L_.2022.221.01.0001.01.SPA.xhtml.FOR-L_2022221ES.01002001.notes.0002.xml.jpg

 

En la que:

 

vc igual a la velocidad del tráfico privilegiado en conflicto

 

β igual a 3 m/s2, que es la deceleración máxima admisible para el tráfico privilegiado que cruza

 

ρ igual a 1,5 s, que es el tiempo de reacción del tráfico privilegiado que cruza

Lo mismo se aplica a los cruces con tráfico privilegiado [caso c) del gráfico 1]: El tiempo de colisión del tráfico privilegiado hasta el punto de colisión ficticio (punto de intersección de las trayectorias) nunca se situará por debajo del umbral TTCint definido en el presente punto.

 

Imagen: http://publications.europa.eu/resource/uriserv/OJ.L_.2022.221.01.0001.01.SPA.xhtml.L_2022221ES.01002101.tif.jpg

 

Gráfico 1: Visualización de las distancias durante los giros y cruces.

Caso a): Distancia al tráfico privilegiado que se aproxima en el carril objetivo que debe observarse durante el giro y la convergencia con el tráfico privilegiado.

Caso b): Distancia al tráfico privilegiado en sentido opuesto que debe observarse al girar cruzando el sentido de circulación opuesto.

Caso c): Distancia al tráfico de cruce privilegiado que debe respetarse al cruzar.

 

1.4.

Parámetros que debe utilizar el vehículo totalmente automatizado para los escenarios de maniobra de emergencia (tarea de conducción dinámica en escenarios críticos)
 

1.4.1.

El ADS evitará una colisión con un vehículo precedente que desacelere hasta alcanzar su rendimiento de frenado completo, a condición de que no se haya incorporado al carril otro vehículo.
 

1.4.2.

Se evitarán colisiones con vehículos que se incorporen al carril, peatones y ciclistas que circulen en la misma dirección, así como con peatones que puedan cruzar la vía sin respetar las normas de tráfico, al menos en las condiciones determinadas por la siguiente ecuación.

 

Imagen: http://publications.europa.eu/resource/uriserv/OJ.L_.2022.221.01.0001.01.SPA.xhtml.FOR-L_2022221ES.01002001.notes.0003.xml.jpg

 

En la que:

 

Imagen: http://publications.europa.eu/resource/uriserv/OJ.L_.2022.221.01.0001.01.SPA.xhtml.FOR-L_2022221ES.01002001.notes.0004.xml.jpg es el tiempo para la colisión en el momento en que el vehículo o el ciclista se incorpora en más de 30 cm al carril del vehículo totalmente automatizado.

 

vrel es la velocidad relativa en metros por segundo [m/s] entre el vehículo totalmente automatizado y el vehículo que se incorpora al carril (positiva si el ADS es más rápido que el vehículo que se incorpora).

β es la deceleración máxima del vehículo totalmente automatizado y se supone que es igual a:

 

2,4 m/s2 si transporta ocupantes de pie o sin cinturón de seguridad en un escenario en el que un vehículo se incorpora al carril;

 

6 m/s2 si transporta ocupantes de pie o sin cinturón de seguridad en otros escenarios con peatones o ciclistas;

 

6 m/s2 para otros vehículos totalmente automatizados.

 

ρ es el tiempo que necesita el vehículo totalmente automatizado para iniciar un frenado de emergencia y se supone que es igual a 0,1 s;

 

τ es el tiempo para alcanzar la desaceleración máxima β y se supone que es igual a

 

0,12 s para los vehículos totalmente automatizados que transporten ocupantes de pie o sin cinturón de seguridad;

 

0,3 s para los demás vehículos totalmente automatizados.

La conformidad con esta ecuación solo es obligatoria para los usuarios de la vía pública que se incorporan al carril y solo si estos eran visibles al menos 0,72 segundos antes de la incorporación al carril:

Esto da lugar a la evitación de colisiones exigida cuando otro usuario de la vía entra en el carril ego por encima de los siguientes valores de tiempo de colisión (por ejemplo, mostrado para velocidades en tramos de 10 km/h). Estos requisitos deberán cumplirse independientemente de las condiciones medioambientales.

vrel [km/h]

 

Imagen: http://publications.europa.eu/resource/uriserv/OJ.L_.2022.221.01.0001.01.SPA.xhtml.FOR-L_2022221ES.01002001.notes.0005.xml.jpg

 

[s] para vehículos con ocupantes de vehículos de pie o sin cinturón de seguridad

 

Imagen: http://publications.europa.eu/resource/uriserv/OJ.L_.2022.221.01.0001.01.SPA.xhtml.FOR-L_2022221ES.01002001.notes.0006.xml.jpg

 

[s] para los demás vehículos

10

0,74

0,48

20

1,32

0,71

30

1,9

0,94

40

2,47

1,18

50

3,05

1,41

60

3,63

1,64

Si se lleva a cabo un cambio de carril, con un tiempo de colisión inferior, al carril del vehículo totalmente automatizado, ya no cabe asumir que no habrá evitación de colisiones. La estrategia de control del ADS puede cambiar entre evitación y mitigación de colisiones solo si el fabricante puede demostrar que ello aumenta la seguridad de los ocupantes del vehículo y de los demás usuarios de la vía pública (por ejemplo, dando prioridad al frenado sobre una maniobra alternativa).

 

1.4.3.

El ADS evitará una colisión con un peatón o un ciclista que crucen delante del vehículo.
 

1.4.3.1.

Condiciones de conducción urbana y rural
 

1.4.3.1.1.

El ADS evitará una colisión, hasta una velocidad de 60 km/h, con un paso de peatones sin obstrucciones con un componente de velocidad lateral no superior a 5 km/h o un cruce ciclista que sea visible con un componente de velocidad lateral no superior a 15 km/h delante del vehículo. Esto se garantizará con independencia de la maniobra específica que esté realizando el ADS.
 

1.4.3.1.2.

En caso de que el peatón o el ciclista avancen a una velocidad superior a los valores antes mencionados y el ADS ya no pueda evitar la colisión, la estrategia de control del ADS solo podrá cambiar entre evitación y mitigación si el fabricante puede demostrar que ello aumenta la seguridad de los ocupantes del vehículo y de los demás usuarios de la vía pública (por ejemplo, dando prioridad al frenado sobre una maniobra alternativa).
 

1.4.3.1.3.

El ADS mitigará una colisión con un peatón o un ciclista no visibles por delante del vehículo, reduciendo su velocidad de choque en al menos 20 km/h. Esto se garantizará con independencia de la maniobra específica que esté realizando el ADS.
 

1.4.3.1.4.

A fin de demostrar el cumplimiento de los requisitos anteriores relacionados con el cruce de peatones y ciclistas delante del vehículo, podrán tomarse como orientación los escenarios de ensayo y evaluación desarrollados en el marco del programa europeo de evaluación de automóviles nuevos (Euro NCAP).
 

1.4.3.2.

Condiciones de conducción en autopista
 

1.4.3.2.1.

Los escenarios y parámetros con respecto al cruce de peatones se aplicarán según lo especificado en el Reglamento n.o 157 de las Naciones Unidas.
 

1.4.3.2.2.

En caso de que el peatón cruce con unos valores de parámetros fuera de los límites especificados en el Reglamento n.o 157 de las Naciones Unidas y el ADS ya no pueda evitar la colisión, la estrategia de control del ADS solo podrá cambiar entre evitación y mitigación si el fabricante puede demostrar que ello aumenta la seguridad de los ocupantes del vehículo y de los demás usuarios de la vía pública (por ejemplo, dando prioridad al frenado sobre una maniobra alternativa).
 

1.5.

Entrada en autopista

El vehículo totalmente automatizado deberá poder entrar en la autopista de forma segura adaptando la velocidad al flujo de tráfico y activar el indicador de dirección pertinente con arreglo a las normas de tráfico.

El indicador de dirección se desactivará una vez que el vehículo haya realizado la maniobra de cambio de carril. Se aplicarán los parámetros utilizados en el escenario de cambio de carril.

 

1.6.

Salida de autopista

El vehículo totalmente automatizado deberá ser capaz de anticipar la salida prevista de la autopista conduciendo por el carril adyacente al carril de salida y no desacelerará innecesariamente antes de que comience la maniobra de cambio de carril al carril de salida.

El vehículo totalmente automatizado aplicará el indicador de dirección de conformidad con las normas de tráfico y realizará la maniobra de cambio de carril al carril de salida sin demora indebida.

El indicador de dirección se desactivará una vez completada la maniobra de cambio de carril de conformidad con las normas de tráfico en el país de operación.

 

1.7.

Pasar por una estación de peaje

En función del dominio del diseño operativo, el vehículo totalmente automatizado deberá ser capaz de seleccionar la barrera de peaje adecuada y adaptar su velocidad a los límites permitidos dentro de la zona de peaje teniendo en cuenta el flujo de tráfico.

 

1.8.

Funcionamiento en tipos de carretera distintos de las autopistas

En función del dominio del diseño operativo, se aplicará el escenario pertinente definido en los puntos 1.2 a 1.4.

 

1.9.

Parámetros que deben utilizarse para el estacionamiento automatizado
 

1.9.1.

En función del dominio del diseño operativo, se aplicará el escenario pertinente definido en los puntos 1.3 a 1.5. Es posible que haya que adaptar los parámetros que deben utilizarse para estos escenarios a fin de tener en cuenta la velocidad de conducción limitada y la falta general de visibilidad que puede producirse en una zona de estacionamiento. Se prestará especial atención a evitar colisiones con peatones, en particular con niños y cochecitos.
 

2.

Escenarios no cubiertos por el punto 1
 

2.1.

Se generarán escenarios no enumerados en el punto 1 para cubrir situaciones críticas razonablemente previsibles, incluidos fallos y riesgos de tráfico en el dominio del diseño operativo.
 

2.2.

Cuando las capacidades del ADS dependan de capacidades remotas, los escenarios incluirán fallos y riesgos de tráfico derivados de las capacidades remotas correspondientes.
 

2.3.

El método para generar escenarios no enumerados en la sección 1 se ajustará a los principios establecidos en el apéndice 1 de la parte 1 del presente anexo.
 

2.4.

El método utilizado por el fabricante para generar escenarios que no se enumeran en el punto 1 se documentará en la documentación que debe facilitarse para la evaluación del ADS.

Apéndice 1

Principios que deben seguirse para derivar escenarios pertinentes para el dominio del diseño operativo del ADS

 

Imagen: http://publications.europa.eu/resource/uriserv/OJ.L_.2022.221.01.0001.01.SPA.xhtml.L_2022221ES.01002502.tif.jpg

 

1.   Generación y clasificación de escenarios

Desde una perspectiva cualitativa, los escenarios pueden clasificarse en nominal/crítico/fallo y corresponden al funcionamiento normal o de emergencia. Para cada una de estas categorías, puede utilizarse un enfoque basado en datos y un enfoque basado en el conocimiento para generar los escenarios de tráfico correspondientes. Un enfoque basado en el conocimiento utiliza los conocimientos especializados para identificar sistemáticamente los eventos peligrosos y crear escenarios hipotéticos. Un enfoque basado en datos utiliza los datos disponibles para identificar y clasificar los escenarios que ocurren. Los escenarios se derivarán del dominio del diseño operativo del vehículo totalmente automatizado.

2.   Escenarios nominales

Una serie de marcos analíticos puede ayudar al fabricante a derivar escenarios nominales adicionales para garantizar la cobertura de la aplicación específica. Estos marcos se dividen en:

2.1.   Análisis del dominio del diseño operativo

Un dominio del diseño operativo consiste en elementos paisajísticos (por ejemplo, infraestructura física), condiciones ambientales, elementos dinámicos (por ejemplo, tráfico, usuarios vulnerables de la vía pública) y limitaciones operativas de la aplicación ADS específica. El objetivo de este análisis es identificar las características del dominio del diseño operativo, asignar propiedades y definir las interacciones entre los objetos. Aquí se estudia el efecto del dominio del diseño operativo en las competencias de comportamiento del ADS. En el cuadro 1 se ofrece un ejemplo de análisis.

Cuadro 1

Elementos dinámicos y sus propiedades

Objetos

Eventos/Interacciones

Vehículos (por ejemplo, coches, camionetas, camiones pesados, autobuses o motocicletas)

Desaceleración (frontal) del vehículo precedente

Parada (frontal) del vehículo precedente

Aceleración (frontal) del vehículo precedente

Cambios de carril (frontal/lateral)

Incorporación al carril (adyacente)

Giro (frontal)

Invasión del vehículo opuesto (frontal/lateral)

Invasión del vehículo adyacente (frontal/lateral)

Entrada en la calzada (frontal/lateral)

Salida del carril (frontal)

Peatones

Cruzando la carretera: dentro del paso de peatones (frontal)

Cruzando la carretera: fuera del paso de peatones (frontal)

Caminando por la acera o el arcén

Ciclistas

Circulando por el carril (frontal)

Circulando por un carril adyacente (frontal/lateral)

Circulando por un carril reservado a bicicletas (frontal/lateral)

Circulando por la acera o el arcén

Cruzando la carretera: dentro del paso de peatones (frontal)

Cruzando la carretera: fuera del paso de peatones (frontal)

Animales

Estático en el carril (frontal)

Entrando/saliendo del carril (frontal/lateral)

Estático/moviéndose en el carril adyacente (frontal)

Estático/moviéndose en el arcén

Escombros

Estático en el carril (frontal)

Otros objetos dinámicos (por ejemplo, carritos de compra)

Estático en el carril (frontal/lateral)

Entrando/saliendo del carril (frontal/lateral)

Señales de tráfico

Stop, ceda el paso, límite de velocidad, paso de peatones, ferrocarril, cruce, zona escolar

Señales de tráfico

Intersección, cruce ferroviario, zona escolar

Señales del vehículo

Señales de giro (indicador de dirección)

2.2.   Análisis de la detección de objetos y eventos y respuesta Identificación de competencias de comportamiento

Una vez identificados los objetos y propiedades pertinentes, es posible cartografiar la respuesta adecuada del ADS. La respuesta del ADS se basa en los requisitos funcionales aplicables y en la aplicación de los requisitos de rendimiento del presente Reglamento y de las normas de tráfico del país de operación.

El resultado del análisis de la detección de objetos y eventos y respuesta es también un conjunto de competencias que pueden corresponderse con las competencias de comportamiento aplicables al dominio del diseño operativo, a fin de garantizar el cumplimiento de los requisitos legales y reglamentarios pertinentes. El cuadro 2 ofrece un ejemplo cualitativo de correspondencia evento-respuesta.

La combinación de objetos y eventos, así como su posible interacción, como función del dominio del diseño operativo, constituyen el conjunto de escenarios nominales pertinentes para el ADS objeto de análisis. La identificación de escenarios nominales puede beneficiarse de una combinación mejorada de descriptores de escenarios que abarquen, dentro del dominio del diseño operativo, por ejemplo, atributos de infraestructura, características de objetos y eventos, peligros que afecten a las respuestas (por ejemplo, meteorología, visibilidad). La determinación de escenarios nominales no se limita a las condiciones del tráfico, sino que también abarca las condiciones medioambientales, los factores humanos, la conectividad y los problemas de comunicación. Dado que aún no se han definido los parámetros (hipótesis) de los eventos, los escenarios nominales derivados de la aplicación del análisis deben tenerse en cuenta en su nivel de abstracción funcional y lógica.

Cuadro 2

Competencias de comportamiento para determinados eventos

Evento

Respuesta

Desaceleración del vehículo precedente

Seguir el vehículo, desacelerar, parar

Parada del vehículo precedente

Desacelerar, parar

Aceleración del vehículo precedente

Acelerar, seguir el vehículo

Giro del vehículo precedente

Desacelerar, parar

Otros vehículos que cambian de carril

Ceder el paso, desacelerar, seguir el vehículo

Otros vehículos que se incorporan

Ceder el paso, desacelerar, parar, seguir el vehículo

Vehículo que entra en la calzada

Seguir el vehículo, desacelerar, parar

Invasión del vehículo opuesto

Desacelerar, parar, desplazarse dentro del carril, desplazarse fuera del carril

Invasión del vehículo adyacente

Ceder el paso, desacelerar, parar

Salida del carril del vehículo precedente

Acelerar, desacelerar, parar

Peatón cruzando la carretera: dentro del paso de peatones

Ceder el paso, desacelerar, parar

Peatón cruzando la carretera: fuera del paso de peatones

Ceder el paso, desacelerar, parar

Ciclistas circulando por el carril

Ceder el paso, seguir

Ciclistas circulando por un carril reservado a bicicletas

Desplazamiento dentro del carril

Ciclistas cruzando la carretera: dentro del paso de peatones

Ceder el paso, desacelerar, parar

Ciclistas cruzando la carretera: fuera del paso de peatones

Ceder el paso, desacelerar, parar

3.   Escenarios críticos

Los escenarios críticos pueden obtenerse teniendo en cuenta las hipótesis de tránsito nominal (basados en datos) o aplicando métodos normalizados (basados en el conocimiento) para la evaluación de las insuficiencias operativas (véanse ejemplos de métodos en el punto 3.5.5 de la parte 2). La identificación de escenarios críticos puede beneficiarse de una combinación mejorada de descriptores de escenarios y valores de borde que cubran, dentro del dominio del diseño operativo, por ejemplo, atributos de infraestructura, características de objetos y eventos, peligros que afecten a las respuestas (por ejemplo, meteorología, máscaras de visibilidad, interacciones con otros usuarios de la vía pública distintos del objeto o evento desencadenado). La determinación de escenarios críticos no se limita a las condiciones del tráfico, sino que también abarca las condiciones medioambientales, los factores humanos, la conectividad y los problemas de comunicación. Los escenarios críticos corresponden al funcionamiento de emergencia del ADS.

4.   Escenarios de fallo

Estos escenarios tienen por objeto evaluar la forma en que el ADS responde a un fallo. En la bibliografía existen diferentes métodos (véanse ejemplos de métodos en el punto 3.5.5 de la parte 2).

Para cada uno de los fallos de comportamiento y efectos consiguientes detectados, el fabricante pondrá en marcha las estrategias pertinentes a la hora de desarrollar el ADS (es decir, a prueba de fallos).

Al aplicar los escenarios de fallo, el objetivo es evaluar la capacidad del ADS para cumplir los requisitos relativos a situaciones críticas para la seguridad, incluidos, por ejemplo, «El ADS gestionará situaciones de conducción críticas para la seguridad» y «El ADS gestionará de forma segura los modos de fallo» y sus respectivos subrequisitos.

5.   Hipótesis: Escenarios lógicos a concretos

Para garantizar que los escenarios señalados en los puntos anteriores estén listos para ser evaluados mediante simulación o ensayos físicos, el fabricante puede necesitar determinar parámetros coherentes aplicando hipótesis.

El fabricante proporcionará pruebas que respalden las hipótesis formuladas, tales como campañas de recogida de datos realizadas durante la fase de desarrollo, accidentología en condiciones reales y evaluaciones realistas del comportamiento de conducción.

Los parámetros utilizados para caracterizar escenarios críticos deben abarcar valores razonablemente previsibles en los descriptores de escenarios, pero no deben limitarse a los valores ya observados en bases de datos documentadas.

PARTE 2

EVALUACIÓN DEL CONCEPTO DE SEGURIDAD DEL ADS Y AUDITORÍA DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DEL FABRICANTE

1.   Observaciones generales

 

1.1.

La autoridad de homologación de tipo que conceda la homologación de tipo o el servicio técnico que actúe en su nombre verificará mediante comprobaciones y ensayos puntuales específicos, en particular como se especifica en el punto 4 del presente anexo, que la argumentación de seguridad proporcionada por la documentación cumple los requisitos del anexo II y que el fabricante aplica realmente el diseño y los procesos descritos en la documentación.
 

1.2.

Si bien las pruebas aportadas para la auditoría del sistema de gestión de la seguridad y la evaluación del concepto de seguridad del ADS realizada a satisfacción de la autoridad de homologación de tipo de conformidad con el presente Reglamento están basadas en la documentación facilitada, se considera que el nivel residual de riesgo del ADS con homologación de tipo es aceptable para que el tipo de vehículo entre en servicio y la seguridad general del ADS durante toda su vida útil de conformidad con los requisitos del presente Reglamento es responsabilidad del fabricante que solicita la homologación de tipo.

2.   Definiciones

A los efectos del presente anexo, se aplicarán las definiciones siguientes:

 

2.1.

«Concepto de seguridad»: una descripción de las medidas diseñadas en el ADS, de modo que el vehículo totalmente automatizado funcione en relación con los escenarios y eventos pertinentes para el dominio del diseño operativo, de manera que no presente riesgos excesivos para la seguridad de los ocupantes del vehículo y otros usuarios de la vía pública con fallos (seguridad funcional) y en ausencia de fallos (seguridad operativa). La posibilidad de recurrir a un funcionamiento parcial o incluso a un sistema de reserva para mantener las funciones esenciales del ADS formará parte del concepto de seguridad.
 

2.2.

«Unidades»: las divisiones más pequeñas de los componentes del sistema que se considerarán en el presente anexo, ya que estas combinaciones de componentes se tratarán como entidades únicas a efectos de identificación, análisis o sustitución.
 

2.3.

«Enlaces de transmisión»: los medios utilizados para interconectar las unidades distribuidas con el fin de transmitir señales, datos de funcionamiento o suministro de energía. Este equipo es, por lo general, eléctrico, pero puede ser en parte mecánico, neumático o hidráulico.
 

2.4.

«Ámbito de control»: una variable de salida que define el ámbito en el que el sistema puede ejercer su control.
 

2.5.

«Límites de funcionamiento efectivo»: los límites físicos externos dentro de los cuales el ADS puede ejecutar las tareas de conducción dinámica.

3.   Documentación sobre el ADS

3.1.   Requisitos

El fabricante deberá presentar una documentación que muestre el diseño básico del ADS y los medios por los que se conecta con otros sistemas del vehículo o mediante los cuales controla directamente las variables de salida, así como el hardware/software exterior y las capacidades a distancia.

Deberán explicarse las funciones del ADS, incluidas las estrategias de control, y el concepto de seguridad, según estén establecidos por el fabricante.

La documentación deberá ser breve, pero deberá aportar pruebas de que en el diseño y el desarrollo se han aprovechado los conocimientos especializados de todos los ámbitos relacionados con el ADS.

De cara a las inspecciones técnicas periódicas de los vehículos, la documentación deberá describir el modo de comprobar el estado de funcionamiento del ADS y la funcionalidad y la integridad del software en ese momento.

La autoridad de homologación de tipo evaluará la documentación, que deberá demostrar que el ADS:

a)

se ha diseñado y desarrollado para funcionar de manera que no entrañe riesgos excesivos para los ocupantes de un vehículo y para otros usuarios de la vía dentro del dominio del diseño operativo y los límites declarados;

b)

cumple los requisitos de rendimiento del anexo II del presente Reglamento;

c)

se ha desarrollado según el proceso/método de desarrollo declarado por el fabricante.

 

3.1.1.

La documentación deberá estar disponible en tres partes:

a)

Solicitud de homologación de tipo: la ficha de características presentada a la autoridad de homologación de tipo en el momento de la solicitud de homologación de tipo contendrá breve información sobre los puntos enumerados en el anexo I. Pasará a formar parte de la homologación de tipo.

b)

La documentación oficial para la homologación de tipo, que incluirá el material enumerado en el presente punto 3 (a excepción del mencionado en el punto 3.5.5), que se entregará a la autoridad de homologación de tipo para los fines de la homologación de tipo del ADS. La autoridad de homologación de tipo utilizará esta documentación como referencia de base para el proceso de verificación establecido en el punto 4 del presente anexo. La autoridad de homologación de tipo se asegurará de que esta documentación permanezca disponible durante un período de al menos diez años a partir del cese definitivo de la producción del tipo de vehículo.

c)

El material y los datos de análisis confidenciales adicionales (propiedad intelectual) del punto 3.5.5, que permanecerán en poder del fabricante, pero que se presentarán para su inspección (por ejemplo, de forma presencial en las instalaciones técnicas del fabricante) en el momento de la homologación de tipo del ADS. El fabricante se asegurará de que este material y los datos de análisis permanezcan disponibles durante un período de diez años a partir del cese definitivo de la producción del tipo de vehículo.

3.2.   Descripción general del ADS

 

3.2.1.

Se facilitará una descripción con una explicación sencilla de las características operativas del ADS y de sus funciones.
 

3.2.2.

La descripción incluirá:
 

3.2.2.1

el dominio del diseño operativo, como la velocidad máxima de funcionamiento, el tipo de carretera (por ejemplo, un carril reservado), el país o países o las zonas de operación, las condiciones de la carretera y las condiciones ambientales requeridas (por ejemplo, ausencia de nieve, etc.)/Condiciones límite
 

3.2.2.2

rendimiento básico (por ejemplo, detección de objetos y eventos y respuesta, infraestructura exterior necesaria durante la explotación)
 

3.2.2.3.

Interacción con otros usuarios de la vía pública
 

3.2.2.4.

condiciones principales para las maniobras de riesgo mínimo.
 

3.2.2.5.

concepto de interacción con los ocupantes del vehículo, el operador a bordo (si procede) y el operador de intervención a distancia (si procede).
 

3.2.2.6.

los medios para activar o desactivar el ADS por el operador de a bordo (si procede) o por el operador de intervención a distancia (si procede), los ocupantes del vehículo (si procede) u otros usuarios de la vía pública (si procede).
 

3.2.2.7.

medidas operativas (por ejemplo, necesidad de un operador a bordo o un operador de intervención remota) que deben cumplirse para garantizar la seguridad durante el funcionamiento del vehículo totalmente automatizado.
 

3.2.2.8.

infraestructura de backend y exterior necesaria para garantizar la seguridad durante el funcionamiento totalmente automatizado del vehículo.

3.3.   Descripción de las funciones del ADS

Deberá facilitarse una descripción con una explicación de todas las funciones, incluidas estrategias de control para garantizar el funcionamiento sólido y seguro del ADS y de los métodos empleados para ejecutar las tareas de conducción dinámica dentro del dominio del diseño operativo y los límites conforme a los cuales el sistema de conducción automatizada esté diseñado para funcionar, incluida una descripción de cómo se garantiza esto.

Deberán declararse todas las funciones de conducción autónoma habilitadas o deshabilitadas para las que el vehículo incorpore hardware y software en el momento de la producción, y estarán sujetas a los requisitos del presente anexo, así como del anexo II del presente Reglamento, antes de utilizarse en el vehículo. El fabricante también documentará el procesamiento de los datos si se aplican algoritmos de aprendizaje continuo.

 

3.3.1.

Deberá proporcionarse una lista de todas las variables de entrada y detectadas e indicarse su intervalo de funcionamiento, junto con una descripción de cómo afecta cada variable al comportamiento del ADS.
 

3.3.2.

Deberá facilitarse una lista de todas las variables de salida que estén controladas por el ADS y explicarse, en cada caso, si dicho control es directo o se ejerce a través de otro sistema del vehículo. Deberá definirse el intervalo en el que es probable que el ADS ejerza control sobre cada una de estas variables.
 

3.3.3.

Cuando sea pertinente desde el punto de vista del rendimiento del ADS, deberán indicarse los límites de funcionamiento efectivo, incluidos los límites del dominio del diseño operativo.
 

3.3.4.

Deberá explicarse el concepto de interacción persona-máquina con los ocupantes del vehículo/el operador a bordo/el operador de intervención a distancia (en su caso) cuando se esté cerca de los límites del dominio del diseño operativo y cuando se superen. La explicación incluirá la lista de los tipos de situaciones en las que el ADS generará una solicitud de apoyo al operador a bordo o al operador de intervención a distancia (si procede), la forma en que se realiza la solicitud, el procedimiento que procesa una solicitud fallida y la maniobra de riesgo mínimo. También se describirán las señales y la información facilitadas al operador de a bordo o al operador de intervención a distancia, a los ocupantes del vehículo y a los demás usuarios de la vía pública en cada uno de los aspectos anteriores.

3.4.   Configuración y esquema del ADS

 

3.4.1.

Inventario de componentes

Se facilitará una lista en la que se cotejen todas las unidades del ADS y se mencionen los demás sistemas del vehículo, así como el hardware/software exterior y las capacidades a distancia que sean necesarias para lograr el rendimiento especificado del ADS que debe homologarse de conformidad con su dominio del diseño operativo.

Deberá proporcionarse un esquema que muestre la combinación de estas unidades e ilustre claramente la distribución de los equipos y las interconexiones.

Dicho esquema deberá incluir:

a)

Percepción y detección de objetos o eventos, incluida la cartografía y el posicionamiento.

b)

Caracterización de la toma de decisiones.

c)

Elementos de datos del ADS.

d)

Enlaces e interfaz con otros sistemas del vehículo, hardware/software exterior y capacidades a distancia.

 

3.4.2.

Funciones de las unidades

Se indicará la función de cada unidad del ADS y se mostrarán las señales que las vinculen a otras unidades u otros sistemas del vehículo. Incluirá sistemas exteriores que soporten el ADS y otros sistemas del vehículo. Esta información podrá suministrarse mediante un diagrama de bloques con etiquetas u otro tipo de esquema, o mediante una descripción acompañada de un diagrama de este tipo.

 

3.4.3.

Las interconexiones presentes en el ADS deberán mostrarse mediante un diagrama de circuitos en el caso de los enlaces de transmisión eléctricos, un diagrama de tuberías en el caso del equipo de transmisión neumático o hidráulico y un diagrama simplificado en el caso de las conexiones mecánicas. Se mostrarán también los enlaces de transmisión hacia y desde otros sistemas.
 

3.4.4.

Deberá haber una correspondencia clara entre los enlaces de transmisión y las señales transmitidas entre las unidades. Deberán establecerse prioridades de las señales en canales de datos multiplexados, siempre que la prioridad pueda constituir un elemento que afecte al rendimiento o a la seguridad.
 

3.4.5.

Identificación de las unidades
 

3.4.5.1.

Cada unidad deberá estar identificada de manera clara e inequívoca (por ejemplo, mediante marcado en el caso del hardware y mediante marcado o una salida de software en el caso del software) para poder asociar el hardware a la documentación correspondiente. Cuando se pueda cambiar una versión de software sin necesidad de sustituir el marcado o el componente, el software deberá identificarse únicamente por medio de una salida de software.
 

3.4.5.2.

Cuando varias funciones se combinen en una única unidad o, de hecho, en un único ordenador, pero en el correspondiente diagrama se muestren en múltiples bloques para mayor claridad y para facilitar su explicación, deberá utilizarse un solo marcado de identificación del hardware. Al utilizar esta identificación, el fabricante estará afirmando que el equipo suministrado es conforme con el documento correspondiente.
 

3.4.5.3.

La identificación define la versión de hardware y de software y, en caso de que esta última cambie de tal modo que altere la función de la unidad por lo que respecta al presente Reglamento, deberá cambiarse también la identificación.
 

3.4.6.

Instalación de componentes del sistema de detección

El fabricante facilitará información sobre las opciones de instalación para los componentes individuales que comprenden el sistema de detección. Dichas opciones abarcarán, entre otras, la ubicación del componente en el vehículo, los materiales alrededor del componente, el dimensionamiento y la geometría de los materiales alrededor del componente, y el acabado superficial de los materiales alrededor del componente, una vez instalados en el vehículo. Esta información también incluirá especificaciones de instalación que sean críticas para el rendimiento del ADS, por ejemplo, las tolerancias del ángulo de instalación.

Todos los cambios introducidos en los distintos componentes del sistema de detección, o de las opciones de instalación, se notificarán a la autoridad de homologación de tipo y estarán sujetos a evaluación.

3.5.   Concepto de seguridad del fabricante y validación del concepto de seguridad por parte del fabricante

 

3.5.1.

El fabricante presentará una declaración en la que afirme que el ADS no entraña riesgos excesivos para los ocupantes del vehículo y para otros usuarios de la vía pública.
 

3.5.2.

En cuanto al software empleado en el ADS, se explicará su arquitectura básica y se indicarán los métodos y herramientas de diseño utilizados (véase el punto 3.5.1). El fabricante deberá presentar pruebas de los medios utilizados para determinar la realización de la lógica del ADS durante el proceso de diseño y de desarrollo.
 

3.5.3.

El fabricante proporcionará a la autoridad de homologación de tipo una explicación de las disposiciones de diseño integradas en el ADS para garantizar su seguridad funcional y operativa. Tales disposiciones de diseño del ADS pueden ser, por ejemplo:

a)

volver al funcionamiento con un sistema parcial;

b)

redundancia con un sistema aparte;

c)

diversidad de sistemas que realizan la misma función;

d)

supresión o limitación de la función de conducción automatizada.

 

3.5.3.1.

Si la medida elegida selecciona un modo de funcionamiento de rendimiento parcial en determinadas condiciones de fallo (por ejemplo, en caso de fallos graves), deberán especificarse dichas condiciones (por ejemplo, el tipo de fallo) y definirse los límites de eficacia resultantes (por ejemplo, inicio inmediato de una maniobra de riesgo mínimo), así como la estrategia de aviso al operador o al operador a distancia, a los ocupantes y a otros usuarios de la vía pública (cuando proceda).
 

3.5.3.2.

Si la disposición de diseño elegida selecciona un segundo medio (de reserva) o medios diversos para lograr el rendimiento afectado por el fallo, se explicarán los principios del mecanismo de cambio a dicho medio, la lógica y el nivel de redundancia y toda característica integrada de verificación, y se definirán los límites de eficacia resultantes.
 

3.5.3.3.

Si la disposición de diseño elegida selecciona la supresión de la función o funciones de conducción automatizada, ello se hará en cumplimiento de las disposiciones pertinentes del presente Reglamento. Deberán inhibirse todas las señales de control de salida asociadas a dicha función.
 

3.5.4.

El fabricante también facilitará a la autoridad de homologación de tipo una explicación de las medidas de seguridad operativa que deben aplicarse para el funcionamiento seguro del ADS, como un operador a bordo o un operador de intervención remota, el apoyo a la infraestructura exterior, los requisitos de infraestructura física y de transporte, las medidas de mantenimiento, etc.
 

3.5.5.

La documentación deberá ir acompañada de un análisis que muestre cómo se comportará el sistema para mitigar o evitar los peligros que puedan afectar a la seguridad de los ocupantes del vehículo y otros usuarios de la vía pública.
 

3.5.5.1.

El fabricante establecerá y mantendrá los enfoques analíticos elegidos y los pondrá a disposición de la autoridad de homologación de tipo para su inspección en el momento de la homologación de tipo y posteriormente.
 

3.5.5.2.

La autoridad de homologación de tipo evaluará la aplicación de los enfoques analíticos, para lo cual realizará:

a)

una inspección del enfoque de seguridad a nivel de sistema;

este enfoque se basará en un análisis de peligros/riesgos adecuado para la seguridad del sistema;

b)

una inspección del enfoque de la seguridad a nivel del ADS, que incluirá un enfoque descendente (desde el posible peligro hasta el diseño) y un enfoque ascendente (desde el diseño hasta los posibles peligros); el enfoque de la seguridad se podrá basar en un análisis modal de fallos y efectos (AMFE), un análisis en forma de árbol de fallos y un análisis de proceso teórico del sistema o cualquier otro procedimiento similar que resulte adecuado para las consideraciones relativas a la seguridad funcional y operativa del sistema;

c)

una inspección de los planes de validación/verificación y los resultados, que incluya criterios de aceptación adecuados. Dicha validación incluirá ensayos adecuados para la validación, por ejemplo, ensayos del sistema físico en la realimentación (Hardware in the Loop), ensayos de funcionamiento del vehículo en carretera, ensayos con usuarios reales, o cualquier otro medio apropiado para la validación/verificación. Los resultados de la validación y verificación podrán ser evaluados analizando la cobertura de los distintos ensayos y estableciendo umbrales mínimos de cobertura para varias métricas.

 

3.5.5.3.

El enfoque analítico del punto 3.5.5.2 confirmará que se incluye al menos cada uno de los siguientes elementos:

i)

problemas relacionados con interacciones con otros sistemas del vehículo (por ejemplo, los frenos o la dirección);

ii)

fallos del sistema de conducción automatizada y reacciones de mitigación de riesgos del sistema;

iii)

situaciones en el marco del dominio del diseño operativo en las que el ADS podría entrañar riesgos excesivos para la seguridad de los ocupantes del vehículo y otros usuarios de la vía debido a perturbaciones del funcionamiento (por ejemplo, falta o error de comprensión del entorno del vehículo, error de interpretación de la reacción del operador u operador a distancia, de los ocupantes del vehículo o de otros usuarios de la vía pública, control inadecuado, escenarios complejos);

iv)

determinación de los escenarios pertinentes dentro de las condiciones límite y método de gestión utilizado para seleccionar escenarios y herramienta de validación elegida;

v)

proceso decisorio que da lugar a la ejecución de las tareas de conducción dinámica (por ejemplo, maniobras de emergencia), para la interacción con otros usuarios de la vía pública y en cumplimiento de las normas de tráfico nacionales;

vi)

uso indebido razonablemente previsible por parte de los ocupantes del vehículo u otros usuarios de la vía pública, errores o malentendidos por parte del operador u operador a distancia/ocupantes/otros usuarios de la vía pública (por ejemplo, anulación no intencionada) y manipulación intencionada del ADS;

vii)

amenazas para la ciberseguridad que afecten a la seguridad del ADS (pueden cubrirse mediante el análisis efectuado en virtud del Reglamento n.o 155 de las Naciones Unidas sobre la ciberseguridad y el sistema de gestión de la ciberseguridad);

viii)

cuestiones de seguridad operativa: problemas con la infraestructura de apoyo exterior, problemas con el operador de intervención a distancia, pérdida de conectividad, falta de mantenimiento, etc.

 

3.5.5.4.

La evaluación por parte de la autoridad de homologación de tipo consistirá en controles aleatorios para establecer que la argumentación que justifica el concepto de seguridad es comprensible y lógica y se ha aplicado en las diferentes funciones del ADS. Dicha evaluación también verificará que los planes de validación son suficientemente sólidos para demostrar la seguridad (por ejemplo, una cobertura razonable de los ensayos realizados en los escenarios elegidos por la herramienta de validación elegida) y que se han llevado a cabo adecuadamente.
 

3.5.5.4.1.

Demostrará que el funcionamiento del vehículo totalmente automatizado no entraña riesgos excesivos para el conductor, los ocupantes del vehículo y otros usuarios de la vía en el dominio del diseño operativo, es decir, mediante:

a)

un objetivo de validación general (es decir, criterios generales de aceptación de la validación) justificado por los resultados de la validación, que demuestre que la entrada en servicio del ADS no incrementará, con carácter general, el nivel de riesgo para los ocupantes del vehículo y para otros usuarios de la vía en comparación con la conducción manual del vehículo; así como

b)

un enfoque específico del escenario (es decir, criterios de aceptación de la validación basados en escenarios) que demuestre que el ADS no incrementará, con carácter general, el nivel de riesgo para los ocupantes del vehículo y para otros usuarios de la vía en comparación con la conducción manual del vehículo en cada uno de los escenarios pertinentes para la seguridad.

 

3.5.5.5.

La autoridad de homologación de tipo realizará o hará que se realicen los ensayos especificados en el punto 4 del presente anexo para verificar el concepto de seguridad.
 

3.5.5.6.

Esta documentación enumerará los parámetros objeto de seguimiento e indicará, para cada condición de fallo del tipo definido en el punto 3.5.4 del presente anexo, la señal de aviso que deberá recibir el operador u operador remoto/los ocupantes del vehículo/otros usuarios de la vía o el personal encargado del mantenimiento o de la inspección técnica.
 

3.5.5.7.

En esta documentación se describirán las medidas adoptadas para garantizar que el ADS no entrañe riesgos excesivos para los ocupantes del vehículo, y para otros usuarios de la vía pública cuando el rendimiento del ADS resulte afectado por las condiciones ambientales, tales como la situación climática, la temperatura, la exposición al polvo, la exposición al agua, la acumulación de hielo o las inclemencias del tiempo.

4.   Verificación y ensayos

Teniendo en cuenta los resultados del análisis de la documentación del fabricante, la autoridad de homologación de tipo solicitará que el servicio técnico realice o presencie los ensayos para comprobar puntos específicos derivados de la evaluación.

 

4.1.

El funcionamiento del ADS, expuesto en los documentos exigidos en el punto 3, deberá someterse a ensayo como se expone a continuación.
 

4.1.1.

Verificación del funcionamiento del ADS

La autoridad de homologación de tipo verificará el ADS en condiciones de ausencia de fallos realizando ensayos en pista de una serie de funciones seleccionadas, según lo considere necesario la autoridad de homologación de tipo, de entre las descritas por el fabricante, y comprobando el comportamiento general del ADS en condiciones reales de conducción, incluido el cumplimiento de las normas de tráfico.

Estas pruebas incluirán escenarios en los que el ADS sea anulado por el operador de intervención a distancia (si procede).

Estas pruebas podrán basarse en los escenarios de prueba enumerados en la parte 3 del presente anexo o en escenarios adicionales no cubiertos por la parte 3.

 

4.1.1.1.

Los resultados del ensayo se corresponderán con la descripción, incluidas las estrategias de control, facilitada por el fabricante en el punto 3.2 y cumplirán los requisitos de rendimiento del presente Reglamento.
 

4.1.2.

Verificación del concepto de seguridad del ADS

Se comprobará la reacción del ADS bajo la influencia de un defecto en cualquiera de las unidades aplicando las señales de salida correspondientes a unidades eléctricas o elementos mecánicos, con el fin de simular los efectos de fallos ocurridos en el interior de la unidad.

La autoridad de homologación de tipo verificará que estos ensayos incluyan aspectos que puedan incidir en la controlabilidad del vehículo y la información del usuario (aspectos de la interfaz persona-máquina, como la interacción con el operador o el operador a distancia).

 

4.1.2.1.

Las autoridades de homologación de tipo también comprobarán distintos escenarios que sean críticos para la detección de objetos y eventos y respuesta y la caracterización del proceso decisorio y las funciones de la interfaz persona-máquina del ADS (por ejemplo, objeto difícil de detectar, cuándo el ADS alcanza los límites del dominio del diseño operativo, escenarios de perturbación del tráfico, problemas de conectividad, problemas con los sistemas fuera del vehículo, problemas de capacidades a distancia, como la ausencia del operador de intervención remota) tal como se definen en el presente Reglamento.
 

4.1.2.2.

Los resultados de la verificación deberán corresponderse con el resumen documentado del análisis de fallos, hasta un nivel de efecto global que confirme que el concepto de seguridad y la ejecución son adecuados y cumplen los requisitos del presente Reglamento.
 

4.2.

Podrán utilizarse herramientas de simulación y modelos matemáticos para verificar el concepto de seguridad de conformidad con el anexo VIII del Reglamento (UE) 2018/858, en particular en relación con escenarios que sean difíciles en una pista de pruebas o en condiciones de conducción real. Los fabricantes demostrarán el ámbito de aplicación de la herramienta de simulación y su validez para el escenario de que se trate, así como la validación realizada para la cadena de la herramienta de simulación (correlación del resultado con los ensayos físicos). Para demostrar la validez de la cadena de herramientas de simulación, se aplicarán los principios de la parte 4 del presente anexo. La simulación no sustituirá a los ensayos físicos de la parte 3 del presente anexo.
 

4.3.

El fabricante contará con un certificado de conformidad del sistema de gestión de la seguridad válido que sea pertinente para el tipo de vehículo sujeto a homologación.

5.   Sistema de gestión de la seguridad

 

5.1.

En relación con el ADS, el fabricante demostrará, a satisfacción de la autoridad de homologación de tipo por lo que respecta al sistema de gestión de la seguridad, que existen procesos, metodologías, formación y herramientas eficaces, actualizados y seguidos por la organización para gestionar la seguridad y el cumplimiento permanente durante todo el ciclo de vida del ADS.
 

5.2.

Se establecerá y documentará el proceso de diseño y desarrollo, incluido el sistema de gestión de la seguridad, gestión de los requisitos, aplicación de los requisitos, ensayos, seguimiento de fallos, reparación y autorización.
 

5.3.

El fabricante garantizará canales de comunicación eficaces entre los departamentos del fabricante responsables de la seguridad funcional/operativa, la ciberseguridad y cualquier otra disciplina pertinente relacionada con la seguridad del vehículo.
 

5.4.

El fabricante dispondrá de procesos destinados a recoger los datos del vehículo, así como datos de otras fuentes, a fin de supervisar y analizar los incidentes o accidentes relacionados con la seguridad causados por el sistema de conducción automatizada activado. El fabricante notificará a las autoridades de homologación de tipo, a las autoridades de vigilancia del mercado y a la Comisión las incidencias pertinentes de conformidad con la parte 5 del presente anexo.
 

5.4.1.

El fabricante deberá permitir que el operador del servicio de transporte facilite a las autoridades de homologación de tipo, a las autoridades de vigilancia del mercado u otras autoridades designadas por los Estados miembros, los datos del vehículo de conformidad con el punto 5.4, así como los datos del ADS y los elementos de datos específicos para el registrador de datos de eventos recogidos de conformidad con el punto 9 del anexo II.
 

5.5.

El fabricante dispondrá de procesos para gestionar posibles lagunas pertinentes en materia de seguridad después de la matriculación y para actualizar los vehículos en caso necesario.
 

5.6.

El fabricante demostrará que se llevan a cabo auditorías internas de los procesos de forma periódica (por ejemplo, cada dos años) e independiente para garantizar que los procesos establecidos de conformidad con los puntos 5.1 hasta 5.5 se aplican de forma sistemática.
 

5.7.

Los fabricantes establecerán mecanismos adecuados con los proveedores (por ejemplo, disposiciones contractuales, interfaces claras o un sistema de gestión de la calidad) para asegurarse de que el sistema de gestión de la seguridad de los proveedores cumpla con los requisitos de los puntos 5.1 (a excepción de los aspectos relacionados con el vehículo como el «funcionamiento» y la «retirada del servicio»), 5.2, 5.3 y 5.6.
 

5.8.

Certificado de conformidad del sistema de gestión de la seguridad
 

5.8.1.

La solicitud de un certificado de conformidad del sistema de gestión de la seguridad será presentada a la autoridad de homologación de tipo por el fabricante o por su representante debidamente acreditado.
 

5.8.2.

Irá acompañada de los documentos que se mencionan a continuación, que se presentarán por triplicado, así como de los elementos siguientes:

a)

Documentación que describa el sistema de gestión de la seguridad.

b)

Una declaración firmada de la conformidad del sistema de gestión de la seguridad con todos los requisitos para la gestión de la seguridad con arreglo al presente Reglamento, utilizando el modelo definido en el apéndice 3 del presente anexo.

 

5.8.3.

Cuando esta auditoría del sistema de gestión de la seguridad se haya realizado de forma satisfactoria y a la recepción de una declaración firmada del fabricante conforme al modelo definido en el apéndice 3, se otorgará al fabricante un certificado de conformidad del sistema de gestión de la seguridad tal y como se describe en el apéndice 4 (en adelante el certificado de conformidad del sistema de gestión de la seguridad).
 

5.8.4.

El certificado de conformidad del sistema de gestión de la seguridad tendrá una validez de un máximo de tres años a partir de la fecha de su expedición, a menos que sea retirado.
 

5.8.5.

La autoridad de homologación de tipo podrá verificar en cualquier momento que siguen cumpliéndose los requisitos para el certificado de conformidad del sistema de gestión de la seguridad. La autoridad de homologación de tipo retirará el certificado de conformidad del sistema de gestión de la seguridad si se descubren irregularidades graves en el cumplimiento de los requisitos establecidos en el presente Reglamento y no se abordan inmediatamente.
 

5.8.6.

El fabricante informará a la autoridad de homologación o a su servicio técnico de cualquier modificación que afecte a la pertinencia del certificado de conformidad del sistema de gestión de la seguridad. Tras consultar al fabricante, la autoridad de homologación de tipo o su servicio técnico decidirá si es necesario realizar nuevas comprobaciones.
 

5.8.7.

A su debido tiempo, el fabricante solicitará un nuevo certificado de conformidad o la extensión del actual certificado de conformidad del sistema de gestión de la seguridad. Tras una auditoría positiva, la autoridad de homologación expedirá un nuevo certificado de conformidad del sistema de gestión de la seguridad o ampliará la validez del existente durante un período adicional de tres años. La autoridad de homologación verificará que el sistema de gestión de la seguridad sigue cumpliendo los requisitos del presente Reglamento. La autoridad de homologación de tipo expedirá un nuevo certificado cuando ella o su servicio técnico hayan tenido conocimiento de cambios y dichos cambios se hayan reevaluado de forma positiva.
 

5.8.8.

El vencimiento o la retirada del certificado de conformidad del sistema de gestión de la seguridad del fabricante se considerarán, en lo que respecta a los tipos de vehículos para los que es pertinente el sistema de gestión de la seguridad, una modificación de la homologación, que podrá incluir la retirada de la homologación si han dejado de cumplirse las condiciones para su concesión.

6.   Disposiciones relativas a la presentación de informes

 

6.1.

La presentación de informes de la evaluación de la seguridad del concepto de seguridad del ADS, así como la auditoría del sistema de gestión de la seguridad del fabricante, se llevarán a cabo de manera que permita su trazabilidad, por ejemplo, codificando y enumerando en los registros del servicio técnico las versiones de los documentos inspeccionados.
 

6.2.

En el apéndice 1 de la presente parte figura un ejemplo de configuración del informe de evaluación del concepto de seguridad del ADS por el servicio técnico y dirigido a la autoridad de homologación de tipo. Los equipos enumerados en dicho apéndice se presentan como el conjunto mínimo de equipos que es necesario abarcar.
 

6.3.

La autoridad de homologación de tipo otorgante expedirá los resultados de la evaluación de la seguridad que deben adjuntarse al certificado de homologación de tipo sobre la base de la documentación facilitada por el fabricante, el informe de evaluación del concepto de seguridad del ADS por el servicio técnico y los resultados de las campañas de verificación y ensayo realizadas de conformidad con la parte 3 del presente anexo. En el apéndice 4 figura un ejemplo de la posible configuración para la presentación de los resultados de la evaluación de la seguridad.

7.   Competencia de los auditores/evaluadores

 

7.1.

La evaluación del concepto de seguridad del ADS y la auditoría del sistema de gestión de la seguridad con arreglo a esta parte solo serán realizadas por evaluadores/auditores con los conocimientos técnicos y administrativos necesarios a tal efecto. En particular, serán competentes como auditores o evaluadores conforme a la norma ISO 26262-2018 (Seguridad funcional: vehículos de carretera) y la norma ISO/PAS 21448 (Seguridad de la funcionalidad prevista de los vehículos de carretera); y serán capaces de establecer la relación necesaria con los aspectos relativos a la ciberseguridad de conformidad con el Reglamento n.o 155 de las Naciones Unidas y la norma ISO/SAE 21434). Esta competencia deberá demostrarse mediante titulaciones adecuadas u otra acreditación de formación equivalente.

Apéndice 1

Modelo para el informe de evaluación del concepto de seguridad del ADS

Informe de evaluación de la seguridad n.o:

1.   

Identificación

1.1.   

Marca del vehículo:

1.2.   

Tipo de vehículo

1.3.   

Medio de identificación del tipo, si está marcado en el vehículo:

1.4.   

Ubicación de ese marcado:

1.5.   

Nombre y dirección del fabricante:

1.6.   

En su caso, nombre y dirección del representante del fabricante:

1.7.   

Documentación oficial del fabricante:

N.o de referencia de la documentación:

Fecha de la expedición original:

Fecha de la última actualización:

2.   

Método de evaluación

2.1.   

Descripción de los procesos y metodologías de evaluación

2.2.   

Criterios de aceptabilidad

3.   

Resultados de la revisión de la documentación

3.1.   

Revisión de la descripción del ADS

3.2.   

Revisión del concepto de seguridad del fabricante y del análisis de seguridad del fabricante.

3.3.   

Revisión de la verificación y validación realizadas por el fabricante, en particular, cobertura de los distintos ensayos y establecimiento de umbrales mínimos de cobertura para varias métricas.

3.4.   

Revisión de los métodos y herramientas (software, laboratorio, otros) y la evaluación de la credibilidad

3.5.   

Revisión de los requisitos de datos del ADS y elementos de datos específicos para el registrador de datos de eventos para vehículos totalmente automatizados

3.6.   

Controles de los certificados de ciberseguridad y de actualización de software que cubren el ADS

3.7.   

Revisión de la información facilitada en el manual de funcionamiento

3.8.   

Revisión de las disposiciones relativas a las inspecciones técnicas periódicas del ADS

3.9.   

Revisión de la información adicional no incluida en la ficha de características

4.   

Verificación de las funciones del ADS en condiciones de ausencia de fallos [a que se refiere el anexo III, parte 2, punto 4.1.1, del Reglamento de Ejecución (UE) 2022/1426 de la Comisión, de 5 de agosto de 2022, por el que se establecen normas para la aplicación del Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo en cuanto a los procedimientos uniformes y las especificaciones técnicas para la homologación de tipo del sistema de conducción automatizada (ADS) de los vehículos totalmente automatizados (2)

4.1.   

Justificación de la selección de los escenarios de ensayo

4.2.   

Escenarios de ensayo seleccionados

4.3.   

Actas de ensayos

4.3.1.   

N.o de ensayo (añádanse tantos como ensayos realizados)

4.3.1.1.   

Objetivos del ensayo

4.3.1.2.   

Condiciones de ensayo

4.3.1.3.   

Magnitudes y dispositivos de medida

4.3.1.4.   

Criterios de aceptabilidad

4.3.1.5.   

Resultados de los ensayos

4.3.1.6.   

Comparación con la documentación facilitada por el fabricante

5.   

Verificación del concepto de seguridad del ADS en condiciones de fallo (a que se refiere el anexo III, parte 2, punto 4.1.2, del Reglamento de Ejecución (UE) 2022/1426.

5.1.   

Justificación de la selección de los escenarios de ensayo

5.2.   

Escenarios de ensayo seleccionados

5.3.   

Actas de ensayos

5.3.1.   

N.o de ensayo (añádanse tantos como ensayos realizados)

5.3.1.1.   

Objetivos del ensayo

5.3.1.2.   

Condiciones de ensayo

5.3.1.3.   

Magnitudes y dispositivos de medida

5.3.1.4.   

Criterios de aceptabilidad

5.3.1.5.   

Resultados de los ensayos

5.3.1.6.   

Comparación con la documentación facilitada por el fabricante

6.   

Certificado del sistema de gestión de la seguridad (se adjuntará a la presente acta de ensayo)

7.   

Fecha de la evaluación

8.   

Decisión final sobre el resultado de la evaluación de la seguridad

9.   

Esta evaluación se ha llevado a cabo y los resultados se han comunicado de conformidad con el Reglamento de Ejecución (UE) 2022/1426.

Servicio técnico que ha realizado la evaluación

Firmado: …

Fecha: …

10.   

Observaciones:

Apéndice 2

Modelo de resultados de la evaluación del ADS que se adjuntará al certificado de homologación de tipo

1.   

Identificación

1.1.   

Marca del vehículo

1.2.   

Tipo de vehículo

1.3.   

Medio de identificación del tipo, si está marcado en el vehículo:

1.4.   

Ubicación de ese marcado:

1.5.   

Nombre y dirección del fabricante:

1.6.   

En su caso, nombre y dirección del representante del fabricante:

1.7.   

Documentación oficial del fabricante:

N.o de referencia de la documentación:

Fecha de la expedición original:

Fecha de la última actualización:

2.   

Método de evaluación

2.1.   

Descripción de los procesos y metodologías de evaluación

2.2.   

Criterios de aceptabilidad

3.   

Verificación de las funciones del ADS en condiciones de ausencia de fallos [a que se refiere el anexo III, parte 2, punto 4.1.1, del Reglamento de Ejecución (UE) 2022/1426)

3.1.   

Justificación de la selección de los escenarios de ensayo

3.2.   

Escenarios de ensayo seleccionados

4.   

Verificación del concepto de seguridad del ADS en condiciones de fallo único (a que se refiere el anexo III, parte 2, punto 4.1.2, del Reglamento de Ejecución (UE) 2022/1426)

4.1.   

Justificación de la selección de los escenarios de ensayo

4.2.   

Escenarios de ensayo seleccionados

5.   

Resultados de la evaluación

5.1.   

Resultados de la revisión de la ficha de características

5.2.   

Resultados de la verificación de las funciones del ADS en condiciones de ausencia de fallos

5.3.   

Resultados de la verificación del concepto de seguridad del ADS en caso de fallo único

5.4.   

Resultados de la evaluación del sistema de gestión de la seguridad

5.5.   

Resultados de la verificación de las disposiciones relativas a las inspecciones técnicas periódicas

6.   

Decisión final sobre el resultado de la evaluación de la seguridad

Apéndice 3

Modelo de la declaración de conformidad del sistema de gestión de la seguridad del fabricante

Declaración de conformidad del fabricante con los requisitos del sistema de gestión de la seguridad

Nombre del fabricante:

Dirección del fabricante:

… (nombre del fabricante) certifica que los procesos necesarios para cumplir los requisitos del sistema de gestión de la seguridad establecidos en el Reglamento de Ejecución (UE) 2022/1426 están instalados y se mantendrán.

Hecho en: … (lugar)

Fecha:

Nombre del firmante:

Cargo del firmante:

(Sello y firma del representante del fabricante)

Apéndice 4

Modelo de certificado de conformidad del sistema de gestión de la seguridad

Certificado de conformidad del sistema de gestión de la seguridad

Con el Reglamento de Ejecución (UE) 2022/1426.

Número del certificado [número de referencia]

[… Autoridad de homologación de tipo]

Certifica que

Fabricante: …

Dirección del fabricante:

cumple lo dispuesto en el Reglamento de Ejecución (UE) 2022/1426;

Los controles fueron realizados el día:

por (nombre y dirección de la autoridad de homologación de tipo o el servicio técnico):

Número del acta de ensayo:…

El certificado será válido hasta el […fecha]

Hecho en […lugar]

el […fecha]

[…Firma]

Anexos: descripción del sistema de gestión de la seguridad por el fabricante.
PARTE 3

ENSAYOS

1.   Disposiciones generales

Los criterios apto/no apto para evaluar la seguridad del ADS se basarán en los requisitos establecidos en el anexo II y en el escenario descrito en la parte 1 del presente anexo. Los requisitos se definen de tal manera que los criterios apto/no apto pueden obtenerse no solo para un conjunto específico de parámetros de ensayo, sino también para todas las combinaciones de parámetros pertinentes para la seguridad que puedan darse en las condiciones de funcionamiento cubiertas por la homologación de tipo y el intervalo de funcionamiento especificado (por ejemplo, rango de velocidad, intervalo de aceleración longitudinal y transversal, radios de curvatura, brillo, número de carriles). En caso de condiciones no sometidas a ensayo pero que puedan producirse en el dominio del diseño operativo definido del sistema, el fabricante deberá demostrar, como parte de la evaluación descrita en la parte 2, a satisfacción de la autoridad de homologación de tipo, que el vehículo está controlado de forma segura.

Estos ensayos confirmarán los requisitos mínimos de rendimiento descritos en el anexo II, así como la funcionalidad del ADS y el concepto de seguridad del fabricante, tal como se describe en la parte 2 del presente anexo. Los resultados de los ensayos se documentarán y notificarán de conformidad con el punto 6 de la parte 2 del presente anexo.

Estas pruebas también confirmarán que el ADS cumple las normas de tráfico, adapta su funcionamiento a las condiciones ambientales, evita perturbaciones en el flujo del tráfico (por ejemplo, bloqueando el carril debido a demasiadas maniobras de riesgo mínimo), no muestra un comportamiento imprevisible y muestra un comportamiento cooperativo y anticipatorio razonable en situaciones pertinentes (es decir, incorporarse en un tráfico intenso o en las proximidades de usuarios vulnerables de la vía pública).

2   Lugar de ensayo

El lugar de ensayo incluirá características (ejemplo: valor de fricción) que correspondan al dominio del diseño operativo especificado del ADS. En la medida en que sea necesario para aplicar las condiciones específicas del dominio del diseño operativo del ADS, los ensayos físicos se realizarán en el dominio del diseño operativo real (en carretera) o en cualquier instalación de ensayo que reproduzca las condiciones del dominio del diseño operativo, y serán determinados por el fabricante y la autoridad de homologación de tipo. El ADS se someterá a ensayo en carretera de conformidad con la legislación aplicable de los Estado miembros y siempre que los ensayos puedan realizarse de forma segura y sin riesgo alguno para otros usuarios de la vía pública.

3.   Condiciones ambientales

Los ensayos se llevarán a cabo en diferentes condiciones ambientales, dentro de los límites del dominio del diseño operativo definido para el ADS. En el caso de condiciones medioambientales no sometidas a ensayo que puedan producirse en el dominio del diseño operativo definido, el fabricante deberá demostrar, como parte de la evaluación, a satisfacción de la autoridad de homologación de tipo, que el vehículo está controlado de forma segura.

Para comprobar los requisitos relativos al fallo de las funciones, el autoensayo del ADS y el inicio y la aplicación de una maniobra de riesgo mínimo, pueden inducirse artificialmente errores y el vehículo puede ser llevado artificialmente a situaciones en las que alcance los límites del intervalo de funcionamiento definido (por ejemplo, condiciones ambientales).

4.   Modificaciones del sistema con fines de ensayo

Si es necesario realizar modificaciones en el ADS para poder llevar a cabo el ensayo, por ejemplo, criterios de evaluación del tipo de carretera o información del tipo de carretera (datos cartográficos), se asegurará que dichas modificaciones no afecten a los resultados del ensayo. En principio se documentarán estas modificaciones en el acta del ensayo y se anexarán a esta. La descripción y las pruebas de la influencia (en su caso) de estas modificaciones se documentarán en el acta de ensayo y se anexarán a esta.

5.   Condiciones del vehículo

 

5.1.

Masa de ensayo

El vehículo objeto de ensayo se someterá a ensayo con cualquier carga autorizada del vehículo. Una vez iniciado el procedimiento de ensayo, no se efectuará ninguna modificación de la carga. El fabricante deberá demostrar documentalmente que el ADS funciona en todas las situaciones de carga.

 

5.2.

El vehículo en cuestión se someterá a ensayo con la presión de los neumáticos recomendada por el fabricante del vehículo.
 

5.3.

Deberá verificarse que el estado del sistema se ajusta a la finalidad de ensayo prevista (por ejemplo, en condiciones libres de fallos o con los fallos específicos que se van a someter a ensayo).

6.   Herramientas de ensayo

Además de los vehículos reales, pueden utilizarse herramientas de ensayo de última generación para llevar a cabo los ensayos, sustituyendo a los vehículos reales y a otros usuarios de la vía pública (por ejemplo, objetivos blandos, plataformas móviles, etc.). Las herramientas de ensayo de sustitución deberán cumplir las características pertinentes para la evaluación del comportamiento sensorial, los vehículos reales y otros participantes en el tráfico. Los ensayos no se realizarán de manera que pongan en peligro al personal implicado, y deberán evitarse los daños significativos del vehículo sometido a ensayo cuando se disponga de otros medios de validación.

7.   Variación de los parámetros de ensayo

El fabricante deberá declarar los límites del sistema la autoridad de homologación de tipo. La autoridad de homologación de tipo definirá diferentes combinaciones de parámetros de ensayo (por ejemplo, velocidad actual del vehículo, tipo y separación lateral del objetivo, curvatura del carril, etc.) para someter a ensayo el ADS. Los casos de ensayo seleccionados deberán ofrecer una cobertura de ensayo suficiente para todos los escenarios, parámetros de ensayo e influencias medioambientales. Deberá demostrarse la solidez adecuada de los sistemas de percepción del ADS frente al mal funcionamiento de los datos de entrada o de los sensores y frente a las condiciones ambientales adversas.

Los parámetros de ensayo seleccionados por la autoridad de homologación de tipo se registrarán en un acta de ensayo de manera que se permita la trazabilidad y la reproducibilidad de la configuración del ensayo.

8.   Escenarios de ensayo para evaluar el comportamiento del ADS en una pista de ensayo (puntos 8.1, 8.2, 8.5, 8.6, 8.7, 8.8 y 8.9) y en carretera (8.3, 8.4 y 8.10)

Los escenarios incluidos en los puntos siguientes deben considerarse un conjunto mínimo de ensayos. A petición de la autoridad de homologación de tipo, pueden ejecutarse otros escenarios que formen parte del dominio del diseño operativo. Si un escenario descrito en el punto 8 del presente anexo no pertenece al dominio del diseño operativo del vehículo, no se tendrá en cuenta.

En función del dominio del diseño operativo, los escenarios de ensayo se seleccionarán como parte del ensayo de homologación de tipo. Los escenarios de ensayo se seleccionarán de conformidad con la parte 1 del presente anexo. Los ensayos de homologación de tipo podrán realizarse sobre la base de simulaciones, maniobras en la pista de ensayo y ensayos de conducción en tráfico real. Sin embargo, no podrán basarse únicamente en simulaciones por ordenador y, en el momento de la homologación de tipo, la autoridad de homologación de tipo deberá realizar o presenciar al menos los siguientes ensayos para evaluar el comportamiento del ADS.

8.1.   Mantenimiento del carril

El ensayo demostrará que el vehículo totalmente automatizado no abandona su carril y mantiene un movimiento estable dentro de su carril en todo el intervalo de velocidades y diferentes curvaturas dentro de los límites de su sistema.

 

8.1.1

El ensayo se basará en el dominio del diseño operativo del ADS y se llevará a cabo al menos:

a)

con una duración mínima de cinco minutos;

b)

con un objetivo en forma de turismo así como con un objetivo en forma de vehículo de motor de dos ruedas como otro vehículo;

c)

con un vehículo precedente virando en el carril; así como

d)

con otro vehículo aproximándose lateralmente en el carril adyacente.

8.2.   Maniobra de cambio de carril

Los ensayos deberán demostrar que el vehículo totalmente automatizado no supone un riesgo excesivo para la seguridad de los ocupantes del vehículo y de otros usuarios de la vía pública durante el procedimiento de cambio de carril, y que el ADS puede evaluar el carácter crítico de la situación antes de iniciar la maniobra de cambio de carril en todo el intervalo de velocidades de funcionamiento. Estos ensayos solo son necesarios si el vehículo totalmente automatizado es capaz de realizar cambios de carril, bien durante una maniobra de riesgo mínimo, bien durante el funcionamiento regular.

 

8.2.1.

Se realizarán los siguientes ensayos:

a)

con el vehículo totalmente automatizado realizando un cambio de carril al carril adyacente (objetivo);

b)

convergiendo al final del carril;

c)

convergiendo en un carril ocupado.

 

8.2.2.

Los ensayos deberán realizarse, como mínimo:

a)

con diferentes vehículos, incluido un objetivo en forma de vehículo de motor de dos ruedas que se aproxime por detrás;

b)

en un escenario en el que sea posible ejecutar una maniobra de cambio de carril en funcionamiento regular;

c)

en un escenario en el que la maniobra de cambio de carril en funcionamiento regular no es posible debido a que un vehículo se aproxima por detrás;

d)

con un vehículo a la misma velocidad que siga detrás en el carril adyacente, evitando un cambio de carril;

e)

con un vehículo circulando al lado en el carril adyacente, evitando un cambio de carril;

f)

en un escenario en el que sea posible una maniobra de cambio de carril y sea ejecutada durante una maniobra de riesgo mínimo;

g)

en un escenario en el que el vehículo totalmente automatizado reaccione ante otro vehículo que empiece a cambiar al mismo espacio dentro del carril objetivo, a fin de evitar un riesgo potencial de colisión.

8.3.   Respuesta a las distintas geometrías de la carretera

Estos ensayos garantizarán que el vehículo totalmente automatizado detecte y se adapte a una variación de las distintas geometrías de la carretera que puedan producirse dentro del dominio del diseño operativo previsto en toda su gama de velocidades.

 

8.3.1.

El ensayo se llevará a cabo con al menos la lista de escenarios que figura a continuación, sobre la base del dominio del diseño operativo del ADS:

a)

Intersección en T (intersecciones de 3 vías) con y sin semáforos, con diferentes derechos de paso;

b)

cruces (intersecciones de 4 o más vías) con y sin semáforos, con diferentes derechos de paso;

c)

rotondas.

 

8.3.2.

Cada ensayo deberá realizarse al menos:

a)

sin un vehículo precedente;

b)

con un objetivo en forma de turismo así como un objetivo en forma de vehículo de motor de dos ruedas como vehículo precedente/otro vehículo;

c)

con y sin aproximación o paso de vehículos.

8.4.   Respuesta a las normas nacionales de tráfico y a las infraestructuras viarias

Estos ensayos deberán garantizar que el vehículo totalmente automatizado cumple las normas de tráfico nacionales y que se adapta a diversos cambios permanentes y temporales de la infraestructura viaria (por ejemplo, obras de construcción de carreteras) en toda la gama de velocidades.

 

8.4.1.

Los ensayos se llevarán a cabo con al menos la lista de escenarios que figura a continuación que sean relevantes para el dominio del diseño operativo del ADS:

a)

señales de limitación de velocidad diferentes, de modo que el ADS tenga que cambiar su velocidad con arreglo a los valores indicados;

b)

luces de señalización o de parada ordenadas por un oficial de seguridad vial o por agentes de las fuerzas y cuerpos de seguridad con situaciones de marcha recta, giros a la izquierda y a la derecha;

c)

cruces de peatones y ciclistas con y sin peatones o ciclistas que se aproximen o que vayan por la carretera.

d)

modificaciones temporales: por ejemplo, las operaciones de mantenimiento de carreteras indicadas por señales de tráfico, conos y otras señales o restricciones de acceso.

e)

estaciones de entrada, salida y peaje en autopista.

 

8.4.2.

Cada ensayo deberá realizarse al menos:

a)

sin un vehículo precedente;

b)

con un objetivo en forma de turismo así como un objetivo en forma de vehículo de motor de dos ruedas como vehículo precedente/otro vehículo.

8.5.   Evitación de colisiones: Evitar una colisión con usuarios de la vía u objetos que bloqueen el carril

El ensayo demostrará que el vehículo totalmente automatizado evita una colisión con un vehículo o usuario de la vía estáticos o un carril total o parcialmente bloqueado hasta la velocidad máxima especificada del ADS.

 

8.5.1.

Este ensayo se realizará al menos con los siguientes escenarios, cuando proceda en el dominio del diseño operativo:

a)

con un objetivo en forma de turismo estático;

b)

con un objetivo en forma de vehículo de motor de dos ruedas estático;

c)

con un objetivo en forma de peatón estático;

d)

con un objetivo en forma de peatón que cruce el carril a una velocidad de 5 km/h, también en presencia de otros objetos pertinentes en el dominio del diseño operativo (por ejemplo, una bola, una bolsa de compra, etc.);

e)

con un objetivo en forma de peatón que se mueva a una velocidad de hasta 5 km/h dentro del carril del ADS y ocupe parcialmente el carril y que siga la misma dirección o la dirección opuesta del vehículo totalmente automatizado;

f)

con un objetivo en forma de peatón virando en el mismo carril del vehículo totalmente automatizado;

g)

con un objetivo en forma de ciclista que cruce el carril a una velocidad de 15 km/h;

h)

con un objetivo en forma de ciclista que circule en la misma dirección a una velocidad de 15 km/h;

i)

con el vehículo totalmente automatizado girando a la derecha y cruzando la trayectoria del ciclista que circule en la misma dirección a una velocidad de 15 km/h;

j)

con un objetivo representativo de un carril bloqueado;

k)

con un objetivo que invada parcialmente el carril;

l)

con uno o más tipos diferentes de objetos infranqueables pertinentes en el dominio del diseño operativo (por ejemplo, un cubo de basura, una bicicleta o un patinete caídos, una señal de tráfico caída, una pelota parada o en movimiento, etc.);

m)

con múltiples obstáculos consecutivos que bloqueen el carril pertinente en el dominio del diseño operativo (por ejemplo, en el siguiente orden: vehículo ego-motocicleta-coche);

n)

en un tramo curvo de la carretera.

8.6.   Evitar el frenado de emergencia frente a un objeto franqueable en el carril. Un «objeto franqueable» es un objeto que se puede arrollar sin que ello suponga un riesgo excesivo para los ocupantes del vehículo u otros usuarios de la vía pública.

El ensayo deberá demostrar que el vehículo totalmente automatizado no está iniciando un frenado de emergencia con una demanda de deceleración superior a 5 m/s2 debido a un objeto franqueable en el carril pertinente para el dominio del diseño operativo (por ejemplo, una tapa de una alcantarilla o una rama pequeña) hasta la velocidad máxima especificada del ADS.

 

8.6.1.

Este ensayo se realizará al menos con los siguientes escenarios, cuando proceda en el dominio del diseño operativo:

a)

sin un vehículo precedente;

b)

con un objetivo en forma de turismo así como un objetivo en forma de vehículo de motor de dos ruedas como vehículo precedente/otro vehículo.

8.7.   Circulación siguiendo a un vehículo precedente

El ensayo demostrará que el vehículo totalmente automatizado es capaz de mantener y restablecer un movimiento estable y la distancia de seguridad con un vehículo precedente y que es capaz de evitar una colisión con dicho vehículo precedente cuando este desacelere al máximo.

 

8.7.1.

Este ensayo se realizará al menos con los siguientes escenarios, cuando proceda en el dominio del diseño operativo:

a)

en toda la gama de velocidades del vehículo totalmente automatizado;

b)

utilizando objetivos en forma de turismo, de vehículo de motor de dos ruedas, así como de bicicleta como vehículo precedente, siempre que se disponga de objetivos de vehículo de motor de dos ruedas estándar adecuados para realizar el ensayo con seguridad;

c)

para velocidades constantes y variables del vehículo precedente (perfil de velocidad realista);

d)

en tramos rectos y curvos de la vía;

e)

con el vehículo precedente en diferentes posiciones laterales en el carril;

f)

con el vehículo precedente a una desaceleración mínima de 6 m/s2 que implique una desaceleración desarrollada al máximo hasta que se detenga.

8.8.   Cambio de carril de otro vehículo que se incorpore al carril (incorporación al carril)

El ensayo demostrará que el vehículo totalmente automatizado es capaz de evitar una colisión con un vehículo u otro usuario de la vía pública que se incorpore al carril del vehículo totalmente automatizado hasta un determinad punto crítico de la maniobra de incorporación.

 

8.8.1.

El carácter crítico de la maniobra de incorporación se determinará con arreglo a las disposiciones introducidas en la parte 1 del presente anexo y en función de la distancia entre el punto más trasero del vehículo que se incorpora al carril y el punto más delantero del vehículo totalmente automatizado.
 

8.8.2.

Este ensayo se realizará al menos con los siguientes escenarios, cuando proceda para el dominio del diseño operativo:

a)

con diferentes valores de tiempo de colisión, distancia y velocidad relativa de la maniobra de incorporación, que abarquen tipos de escenarios de incorporación al carril en los que se pueda evitar una colisión y aquellos en los que no sea posible evitar la colisión;

b)

con vehículos en incorporación que circulen a una velocidad longitudinal constante, acelerando y desacelerando;

c)

con diferentes velocidades laterales y aceleraciones laterales del vehículo en incorporación;

d)

con objetivos en forma de turismo, de vehículo de motor de dos ruedas, así como de bicicleta como vehículo en incorporación, siempre que se disponga de objetivos de vehículo de motor de dos ruedas estándar adecuados para realizar el ensayo con seguridad.

8.9.   Obstáculo estático tras el cambio de carril del vehículo precedente (salida del carril)

El ensayo demostrará que el vehículo totalmente automatizado es capaz de evitar una colisión con un vehículo o usuario de la vía estático o un carril bloqueado que se haga visible después de que el vehículo precedente haya evitado una colisión por medio de una maniobra evasiva. El ensayo se basará en los requisitos establecidos en el anexo II y en los parámetros de los escenarios de la parte 1 del presente anexo. En el caso de condiciones no sometidas a ensayo que puedan producirse dentro del intervalo de funcionamiento definido del vehículo, el fabricante deberá demostrar, como parte de la evaluación descrita en la parte 2 del anexo III, a satisfacción de las autoridades pertinentes, que el vehículo está controlado con seguridad.

 

8.9.1.

Este ensayo se realizará al menos con los siguientes escenarios, cuando proceda para el dominio del diseño operativo:

a)

con un objetivo en forma de turismo estático centrado en el carril;

b)

con un objetivo en forma de vehículo de motor de dos ruedas centrado en el carril;

c)

con un objetivo en forma de peatón estático centrado en el carril;

d)

con un objetivo representativo de un carril bloqueado centrado en el carril;

e)

con múltiples obstáculos consecutivos que bloqueen el carril (por ejemplo, en el siguiente orden: vehículo ego-vehículo que cambia de carril-motocicleta-coche).

8.10.   Estacionamiento

El ensayo deberá demostrar que el ADS puede estacionar en diferentes plazas de aparcamiento y configuraciones de aparcamientos en diferentes condiciones; y que durante la maniobra de estacionamiento no está causando daños a los objetos circundantes, a los usuarios de la vía pública ni a sí mismo.

 

8.10.1.

Este ensayo se realizará al menos con los siguientes escenarios, cuando proceda para el dominio del diseño operativo:

a)

con plazas de aparcamiento paralelas y perpendiculares a la carretera;

b)

en superficies planas e inclinadas;

c)

con otros vehículos situados en las plazas de aparcamiento circundantes, incluidos los vehículos de dos ruedas motorizados y las bicicletas;

d)

plazas de aparcamiento con diferentes dimensiones geométricas;

e)

en diferentes ángulos de inclinación de la carretera;

f)

con otro vehículo incorporándose a la plaza de aparcamiento durante la maniobra de estacionamiento.

8.11.   Navegación en una instalación de estacionamiento

El ensayo deberá demostrar que el ADS es capaz de funcionar a baja velocidad de conducción y en las condiciones de falta general de visibilidad que pueden producirse en un aparcamiento.

 

8.11.1.

Este ensayo se realizará al menos con los siguientes escenarios, cuando proceda para el dominio del diseño operativo:

a)

con un peatón objetivo inicialmente no visible que cruza la trayectoria del vehículo totalmente automatizado a una velocidad de 5 km/h;

b)

con un vehículo que salga de un aparcamiento delante del vehículo totalmente automatizado;

c)

con un obstáculo estático en la trayectoria del vehículo totalmente automatizado;

d)

con diferentes trayectorias, en caso de que la infraestructura obstruya el campo visual;

e)

con un pequeño obstáculo en el suelo después de una rampa no visible por otros objetos en la trayectoria del vehículo totalmente automatizado.

8.12.   Escenarios específicos de autopista

 

8.12.1.

Entrada en autopista

El ensayo deberá demostrar que el ADS puede entrar con seguridad en la autopista.

 

8.12.1.1.

Este ensayo se realizará al menos con los siguientes escenarios, cuando proceda para el dominio del diseño operativo:

a)

con diferentes vehículos, incluido un objetivo en forma de vehículo de motor de dos ruedas que se aproxime por detrás;

b)

cuando los vehículos se aproximen desde atrás a una velocidad diferente;

c)

con un pelotón de vehículos circulando al lado en el carril adyacente.

 

8.12.2.

Salida de autopista

El ensayo deberá demostrar que el ADS puede salir con seguridad de la autopista.

 

8.12.2.1.

Este ensayo se realizará al menos con los siguientes escenarios, cuando proceda para el dominio del diseño operativo:

a)

sin un vehículo precedente;

b)

con un objetivo en forma de turismo así como un objetivo en forma de vehículo de motor de dos ruedas como vehículo precedente/otro vehículo;

c)

con otros vehículos u obstáculos que bloqueen la salida de la autopista.

 

8.12.3.

Estación de peaje

El ensayo deberá demostrar que el ADS es capaz de seleccionar la barrera de peaje adecuada y adaptar su velocidad a la permitida dentro de la zona de peaje.

 

8.12.3.1.

Este ensayo se realizará al menos con los siguientes escenarios, cuando proceda para el dominio del diseño operativo:

a)

con y sin vehículo precedente;

b)

con otros vehículos que bloqueen las barreras de peaje;

c)

con barreras de peaje cerradas y abiertas;

d)

con diferentes velocidades permitidas en la zona de peaje.

8.13.   En el caso de los vehículos de modo dual, transición entre el modo de conducción manual y el modo totalmente automatizado.

El ensayo deberá demostrar que el ADS asume la tarea de conducción dinámica de forma segura y solo cuando el vehículo está parado.

 

8.13.1.

Este ensayo se realizará al menos con los siguientes escenarios, cuando proceda para el dominio del diseño operativo:

a)

con y sin conductor humano presente en el vehículo;

b)

con puertas del vehículo abiertas y cerradas;

c)

con y sin obstáculos alrededor del vehículo;

d)

dentro y fuera de la zona específica de estacionamiento, si procede.

 

8.13.2.

Este ensayo se realizará al menos con los siguientes escenarios, cuando proceda para el dominio del diseño operativo:

a)

en una situación en la que la transición sea posible y se ejecute;

b)

en una situación en la que no sea posible ejecutar la transición.

PARTE 4

PRINCIPIOS PARA LA EVALUACIÓN DE LA CREDIBILIDAD DEL USO DE LA CADENA DE HERRAMIENTAS VIRTUALES PARA VALIDAR EL ADS

1.   Observaciones generales

 

1.1.

La credibilidad puede lograrse investigando y evaluando cinco propiedades de la modelización y simulación (MyS):

a)

capacidad: ¿qué puede hacer la MyS y cuáles son los riesgos asociados a ella?

b)

exactitud: ¿con qué exactitud reproduce la MyS los datos objetivo?;

c)

exactitud: grado de solidez de los datos de la MyS y de los algoritmos;

d)

facilidad de uso: qué formación y experiencia se necesitan;

e)

adecuación a su finalidad: ¿en qué medida es adecuada la MyS para la evaluación del dominio del diseño operativo y del ADS?

 

1.2.

Al mismo tiempo, el marco de evaluación de la credibilidad deberá ser lo suficientemente general como para ser utilizado para diferentes tipos y aplicaciones de MyS. Sin embargo, el objetivo se ve complicado por las grandes diferencias existentes entre las características del ADS y la variedad de tipos y aplicaciones de MyS. Estas consideraciones requieren un marco de evaluación de la credibilidad (basado en el riesgo o la información) pertinente y adecuado para todas las solicitudes de MyS.
 

1.3.

El marco de evaluación de la credibilidad ofrece una descripción general de los principales aspectos considerados para evaluar la credibilidad de una solución de MyS, junto con los principios sobre el papel de los evaluadores externos en el proceso de validación con respecto a la credibilidad. En relación con este último punto, la autoridad de homologación de tipo investigará la documentación presentada en apoyo de la credibilidad en la fase de evaluación, mientras que los ensayos de validación reales se realizarán una vez que el fabricante haya desarrollado los sistemas de simulación integrados.
 

1.4.

En última instancia, el resultado de la evaluación de credibilidad actual definirá la dotación en la que puede utilizarse la herramienta virtual para apoyar la evaluación del ADS.
 

1.5.

Por lo tanto, los requisitos de esta parte tienen por objeto demostrar la credibilidad de cualquier modelo de simulación o cadena de herramientas virtual para su uso en la validación del ADS.

2.   Definiciones

A efectos del presente anexo, se entenderá por:

 

2.1.

«Abstracción»: proceso de selección de los aspectos esenciales de un sistema fuente o sistema de referencia que deben representarse en un modelo o simulación, sin tener en cuenta aspectos no pertinentes. Cualquier abstracción de modelización implica la hipótesis de que no afectará significativamente a los usos previstos de la herramienta de simulación.
 

2.2.

«Ensayo de bucle cerrado»: entorno virtual que tiene en cuenta las acciones del elemento en bucle. Los objetos simulados responden a las acciones del sistema (por ejemplo, el sistema interactúa con un modelo de tráfico).
 

2.3.

«Determinístico»: término que describe un sistema cuya evolución a lo largo del tiempo puede predecirse exactamente y en el que un determinado conjunto de estímulos de entrada siempre producirá el mismo resultado.
 

2.4.

«Conductor en bucle»: se lleva a cabo normalmente en un simulador de conducción utilizado para someter a ensayo el diseño de interacción persona-automatización. El conductor en bucle tiene componentes para que el conductor opere y se comunique con el entorno virtual.
 

2.5.

«hardware en bucle»: se refiere al hardware final de un subsistema de vehículo específico que ejecuta el software final con entrada y salida conectadas a un entorno de simulación para realizar ensayos virtuales. El ensayo del hardware en bucle proporciona una forma de replicar sensores, actuadores y componentes mecánicos de manera que conecte todas las entradas y salidas de las unidades de control electrónico sometidas a ensayo, mucho antes de que se integre el sistema final.
 

2.6.

«Modelo»: descripción o representación de un sistema, entidad, fenómeno o proceso.
 

2.7.

«Calibración del modelo»: proceso de ajuste de los parámetros numéricos o de modelización del modelo para mejorar el acuerdo con un referente.
 

2.8.

«Parámetro del modelo»: un valor numérico utilizado para justificar la caracterización de una funcionalidad del sistema. Un parámetro del modelo tiene un valor que no puede observarse directamente en el mundo real, sino que debe deducirse de los datos recogidos en el mundo real (en la fase de calibración del modelo).
 

2.9.

«modelo en bucle»: enfoque que permite el desarrollo algorítmico rápido sin Contar con hardware específico. Este nivel de desarrollo suele implicar marcos de software de alto nivel de abstracción que funcionan con sistemas informáticos de uso general.
 

2.10.

«Ensayo de bucle abierto»: entorno virtual que no tiene en cuenta las acciones del elemento en bucle (por ejemplo, el sistema interactúa con una situación de tráfico registrada).
 

2.11.

«Probabilístico»: término relativo a eventos no deterministas, cuyos resultados se describen mediante una medida de probabilidad.
 

2.12.

«Terreno o pista de ensayo»: instalación física de ensayo cerrada al tráfico en la que puede investigarse el rendimiento de un ADS en el vehículo real. Los agentes de tráfico pueden introducirse mediante la estimulación de sensores o mediante maniquíes colocados en la vía.
 

2.13.

«Estimulación de sensores»: técnica mediante la cual se proporcionan señales generadas artificialmente al elemento sometido a ensayo a fin de que produzca el resultado necesario para la verificación del mundo real, la formación, el mantenimiento o la investigación y el desarrollo.
 

2.14.

«Simulación»: imitación del funcionamiento de un proceso o sistema en condiciones reales a lo largo del tiempo.
 

2.15.

«Modelo de simulación»: modelo cuyas variables de entrada varían a lo largo del tiempo.
 

2.16.

«Cadena de herramientas de simulación»: combinación de herramientas de simulación que se utilizan para apoyar la validación de un ADS.
 

2.17.

«software en bucle»: aquel en el que la aplicación del modelo desarrollado se evaluará en sistemas informáticos de uso general. Este paso puede utilizar una aplicación informática completa muy próxima a la final. El ensayo de software en bucle se utiliza para describir una metodología de ensayo en la que se ensaya un código ejecutable, como algoritmos (o incluso una estrategia completa del controlador), en un entorno de modelización que puede ayudar a probar el software o someterlo a ensayo.
 

2.18.

«Estocástico»: un proceso que incluye o contiene una o varias variables aleatorias. Relacionado con la suerte o la probabilidad.
 

2.19.

«Validación del modelo de simulación»: proceso de determinación del grado en que un modelo de simulación es una representación exacta del mundo real desde la perspectiva de los usos previstos de la herramienta.
 

2.20.

«Vehículo en bucle»: entorno de fusión de un vehículo de ensayo real en el mundo real y un entorno virtual. Puede reflejar la dinámica del vehículo al mismo nivel que el mundo real y puede utilizarse en un banco de ensayos de vehículos o en una pista de ensayo.
 

2.21.

«Verificación del modelo de simulación»: proceso por el que se determina en qué medida un modelo de simulación o una herramienta de ensayo virtual cumple sus requisitos y especificaciones, tal como se detalla en sus modelos conceptuales, modelos matemáticos u otros constructos.
 

2.22.

«Ensayo virtual»: proceso de ensayo de un sistema utilizando uno o más modelos de simulación.

3.   Componentes del marco de evaluación de la credibilidad y requisitos de documentación conexos

 

3.1.

El marco de evaluación de la credibilidad introduce una forma de evaluar e informar de la credibilidad de la MyS sobre la base de criterios de garantía de calidad en los que puedan indicarse los niveles de confianza en los resultados. Dicho de otro modo, la credibilidad se determina evaluando los siguientes factores que influyen en la MyS y que se consideran los principales factores que contribuyen a las propiedades de la MyS y, por lo tanto, a la credibilidad global de la MyS: a) la gestión de la MyS; b) la experiencia y los conocimientos especializados del equipo; c) el análisis y la descripción de la MyS; d) la genealogía de los datos o entradas y e) la verificación; la validación y la caracterización de la incertidumbre. Cada uno de estos factores indica el nivel de calidad alcanzado por la MyS, y la comparación entre los niveles obtenidos y los niveles requeridos determinará si la MyS es creíble y adecuada para los ensayos virtuales. A continuación se muestra una representación gráfica de la relación entre los componentes del marco de evaluación de la credibilidad.

 

Imagen: http://publications.europa.eu/resource/uriserv/OJ.L_.2022.221.01.0001.01.SPA.xhtml.L_2022221ES.01005201.tif.jpg

 

 

3.2.

Gestión de modelos y simulación.
 

3.2.1.

El ciclo de vida de la MyS es un proceso dinámico con versiones frecuentes que debe ser objeto de seguimiento y documentación. Se llevarán a cabo actividades de gestión para apoyar la MyS en forma de gestión de productos de trabajo. Se facilitará información pertinente sobre los siguientes aspectos.
 

3.2.2.

El proceso de gestión de la MyS deberá:

a)

describir las modificaciones introducidas en las versiones;

b)

designar el software correspondiente (por ejemplo, el producto y la versión específicos del software) y la disposición del hardware (por ejemplo, la configuración XiL);

c)

registrar los procesos de revisión interna que aceptaron las nuevas versiones;

d)

recibir apoyo durante todo el período de utilización del modelo virtual.

 

3.2.3.

Gestión de versiones
 

3.2.3.1.

Se almacenará cualquier versión de la cadena de herramientas de MyS que se utilice para publicar datos con fines de certificación. Los modelos virtuales que constituyen la cadena de herramientas de ensayo se documentarán en términos de los métodos de validación y los umbrales de aceptación correspondientes para apoyar la credibilidad general de la cadena de herramientas. El desarrollador aplicará un método para rastrear los datos generados hasta la versión de MyS correspondiente.
 

3.2.3.2.

Control de calidad de los datos virtuales. Se garantizará la exhaustividad, exactitud y coherencia de los datos a lo largo de las versiones y la vida útil de una cadena de herramientas de MyS para apoyar los procedimientos de verificación y validación.
 

3.2.4.

Experiencia y conocimientos especializados del equipo
 

3.2.4.1.

Aunque la experiencia y los conocimientos especializados ya están cubiertos en un sentido general dentro de la organización, es importante sentar las bases de confianza en la experiencia y los conocimientos especializados con respecto a las actividades de MyS.
 

3.2.4.2.

La credibilidad de la MyS depende no solo de la calidad de los modelos de simulación, sino también de la experiencia y los conocimientos especializados del personal que participa en la validación y el uso de la MyS. Por ejemplo, una comprensión adecuada del ámbito de las limitaciones y del dominio de validación evitará el posible uso indebido de la MyS o la interpretación errónea de sus resultados.
 

3.2.4.3.

Por lo tanto, es importante sentar las bases de la confianza del fabricante en la experiencia y los conocimientos especializados de:

a)

los equipos que validarán la cadena de herramientas de simulación y

b)

los equipos que utilizarán la simulación validada para la ejecución de ensayos virtuales con el fin de validar el ADS.

 

3.2.4.4.

Una gestión adecuada de la experiencia y los conocimientos especializados del equipo aumenta el nivel de confianza en la credibilidad de la MyS y en sus resultados, al garantizar que se tienen en cuenta los factores humanos que implica la MyS y que se controla cualquier posible riesgo de componente humano, como cabe esperar de un sistema de gestión adecuado.
 

3.2.4.5.

Si la cadena de herramientas del fabricante incorpora o se basa en aportaciones de organizaciones o productos ajenos al propio equipo del fabricante, este explicará las medidas que haya adoptado para fundamentar su confianza en la calidad y la integridad de dichas entradas.
 

3.2.4.6.

La experiencia y los conocimientos especializados del equipo constan de dos niveles.
 

3.2.4.6.1.

Nivel organizativo

La credibilidad se establece mediante el establecimiento de procesos y procedimientos para determinar y mantener las capacidades, los conocimientos y la experiencia necesarios para llevar a cabo actividades de MyS. Se establecerán, mantendrán y documentarán los siguientes procesos:

i)

proceso para identificar y evaluar la competencia y las capacidades de la persona;

ii)

proceso de formación del personal competente para el desempeño de tareas relacionadas con la MyS

 

3.2.4.6.2.

Nivel de equipo

Una vez que se ha finalizado una MyS, su credibilidad viene dictada principalmente por las capacidades y los conocimientos de la persona o el equipo que validará la cadena de herramientas de MyS y utilizará la MyS para la validación del ADS. La credibilidad se acredita documentando que estos equipos han recibido la formación adecuada para desempeñar sus funciones.

A continuación, el fabricante deberá:

i)

sentar las bases de la confianza del fabricante en la experiencia y los conocimientos especializados de la persona o el equipo que valida la cadena de herramientas de MyS;

ii)

proporcionar la base para la confianza del fabricante en la experiencia y los conocimientos especializados de la persona o el equipo que utiliza la simulación para llevar a cabo ensayos virtuales con el fin de validar el ADS.

La demostración por parte del fabricante del modo en que aplica los principios de la norma ISO 9001 o una mejor práctica o norma similar para garantizar la competencia de su organización en materia de MyS y de las personas que forman parte de dicha organización será la base para esta determinación. La autoridad de homologación de tipo no podrá sustituir su opinión sobre la experiencia y los conocimientos especializados de la organización o sus miembros por la que tenga el fabricante.

 

3.2.5.

Genealogía de datos o entradas
 

3.2.5.1.

La genealogía de los datos o las entradas contiene un registro de trazabilidad a partir de los datos del fabricante que se hayan utilizado en la validación de la MyS.
 

3.2.5.2.

Descripción de los datos utilizados para la MyS

a)

El fabricante documentará los datos utilizados para validar el modelo y tomará nota de las características de calidad importantes.

b)

El fabricante proporcionará documentación que demuestre que los datos utilizados para validar los modelos cubren las funcionalidades previstas que la cadena de herramientas pretende virtualizar.

c)

El fabricante documentará los procedimientos de calibración utilizados para ajustar los parámetros de los modelos virtuales a los datos de entrada recogidos.

 

3.2.5.3.

Efecto de la calidad de los datos (por ejemplo, cobertura de los datos, relación señal-ruido, incertidumbre/sesgo/índice de muestreo de los sensores) en la incertidumbre de los parámetros de los modelos.

La calidad de los datos utilizados para desarrollar el modelo afectará a la estimación y calibración de los parámetros de los modelos. La incertidumbre en los parámetros de los modelos será otro aspecto importante en el análisis final de incertidumbre.

 

3.2.6.

Genealogía de datos o resultados
 

3.2.6.1.

La genealogía de los datos o los resultados contiene un registro de los resultados de MyS utilizados para la validación del ADS.
 

3.2.6.2.

Descripción de los datos generados por la MyS

a)

El fabricante facilitará información sobre todos los datos y escenarios utilizados para la validación virtual de la cadena de herramientas.

b)

El fabricante documentará los datos exportados y tomará nota de las características cualitativas importantes.

c)

El fabricante deberá trazar un resultado de la MyS hasta la configuración de simulación correspondiente.

 

3.2.6.3.

Efecto de la calidad de los datos en la credibilidad de la MyS

a)

Los datos de la MyS serán lo suficientemente amplios como para garantizar la correcta ejecución del cálculo de validación. Los datos reflejarán suficientemente el dominio del diseño operativo pertinente para la evaluación virtual del ADS.

b)

Los datos de salida deberán permitir un control de coherencia/sensatez de los modelos virtuales a través de la posible explotación de información redundante.

 

3.2.6.4.

Gestión de modelos estocásticos

a)

Los modelos estocásticos se caracterizarán en función de su varianza.

b)

Se garantizará la posibilidad de reejecución determinista de los modelos estocásticos.

 

3.3.

Análisis y descripción de la MyS
 

3.3.1.

El análisis y la descripción de la MyS tienen por objeto definir la totalidad de la MyS y determinar el espacio de parámetros que puede evaluarse a través de ensayos virtuales. Definen el alcance y las limitaciones de los modelos y la cadena de herramientas, así como las fuentes de incertidumbre que pueden afectar a sus resultados.
 

3.3.2.

Descripción general
 

3.3.2.1.

El fabricante facilitará una descripción de toda la cadena de herramientas junto con la forma en que se utilizarán los datos de simulación para apoyar la estrategia de validación del ADS.
 

3.3.2.2.

El fabricante facilitará una descripción clara del objetivo del ensayo.
 

3.3.3.

Hipótesis, limitaciones conocidas y fuentes de incertidumbre
 

3.3.3.1.

El fabricante deberá justificar las hipótesis de modelización que hayan guiado el diseño de la cadena de herramientas de MyS.
 

3.3.3.2.

El fabricante proporcionará pruebas sobre:

i)

el modo en que las hipótesis definidas por el fabricante desempeñan un papel a la hora de definir las limitaciones de la cadena de herramientas;

ii)

el nivel de fidelidad requerido para los modelos de simulación.

 

3.3.3.3.

El fabricante justificará que la tolerancia de correlación simulación-realidad es aceptable para el objetivo de ensayo.
 

3.3.3.4.

Por último, esta sección incluirá información sobre las fuentes de incertidumbre en el modelo. Esto representará una aportación importante para el análisis final de incertidumbre, que definirá cómo las distintas fuentes de incertidumbre del modelo utilizado pueden afectar a los resultados del modelo.
 

3.3.4.

Ámbito de aplicación (modo en que se utiliza la MyS en la validación del ADS)
 

3.3.4.1.

La credibilidad de la herramienta virtual se hará efectiva mediante un ámbito de utilización claramente definido de los modelos desarrollados.
 

3.3.4.2.

La MyS madurada permitirá una virtualización de los fenómenos físicos con un grado de exactitud que corresponda al nivel de fidelidad requerido para la certificación. De este modo, la MyS actuará como «terreno de prueba virtual» para los ensayos del ADS.
 

3.3.4.3.

Los modelos de simulación requieren escenarios y parámetros específicos para su validación. La selección de escenarios utilizada para la validación deberá ser suficiente para que la cadena de herramientas funcione de la misma manera en escenarios fuera del ámbito de la validación.
 

3.3.4.4.

El fabricante facilitará una lista de escenarios de validación junto con las limitaciones de los parámetros correspondientes.
 

3.3.4.5.

El análisis del dominio del diseño operativo es una aportación crucial para derivar los requisitos, el alcance y los efectos que debe tener en cuenta la MyS para apoyar la validación del ADS.
 

3.3.4.6.

Los parámetros generados para los escenarios definirán datos extrínsecos e intrínsecos para la cadena de herramientas y los modelos de simulación.
 

3.3.5.

Evaluación del carácter esencial
 

3.3.5.1.

Los modelos de simulación y las herramientas de simulación utilizados en toda la cadena de herramientas se investigarán desde el punto de vista de su responsabilidad en caso de error de seguridad en el producto final. El enfoque propuesto para el análisis del carácter crítico se deriva de la norma ISO 26262, que requiere la cualificación de algunas de las herramientas utilizadas en el proceso de desarrollo.
 

3.3.5.2.

Para determinar la importancia crítica de los datos simulados, la evaluación del carácter crítico tendrá en cuenta los siguientes parámetros:

a)

Las consecuencias para la seguridad humana, por ejemplo, clases de gravedad de la norma ISO 26262.

b)

El grado en que los resultados simulados influyen en el ADS.

 

3.3.5.3.

Desde la perspectiva de la evaluación del carácter crítico, los tres posibles casos de evaluación son los siguientes:

a)

los modelos o herramientas que sean candidatos claros a seguir una evaluación completa de la credibilidad;

b)

los modelos o herramientas que puedan o no ser candidatos a seguir la evaluación completa de la credibilidad a discreción del evaluador;

c)

los modelos o herramientas que no están obligados a seguir la evaluación de credibilidad.

 

3.4.

Verificación
 

3.4.1.

La verificación de una MyS implica el análisis de la correcta aplicación de los modelos conceptuales y matemáticos que forman la cadena de herramientas de MyS. La verificación contribuye a la credibilidad de la MyS, al ofrecer garantías de que esta no mostrará un comportamiento poco realista en relación con un conjunto de entradas de datos que no pueden someterse a ensayo. El procedimiento se basa en un enfoque en varias fases que incluye la verificación de códigos, la verificación del cálculo y el análisis de sensibilidad.
 

3.4.2.

Verificación de códigos
 

3.4.2.1.

La verificación de códigos implica ensayos que demuestren que no hay defectos numéricos o lógicos que afecten a los modelos virtuales.
 

3.4.2.2.

El fabricante documentará la ejecución de técnicas adecuadas de verificación de códigos, como la verificación de códigos estáticos/dinámicos, el análisis de convergencia y la comparación con soluciones exactas, si procede.
 

3.4.2.3.

El fabricante proporcionará documentación que demuestre que la exploración en el ámbito de los parámetros de entrada ha sido lo suficientemente amplia como para identificar la combinación de parámetros para la que la MyS muestra un comportamiento inestable o poco realista. Los parámetros de cobertura de las combinaciones de parámetros pueden utilizarse para demostrar la exploración necesaria de los comportamientos de los modelos.
 

3.4.2.4.

El fabricante adoptará procedimientos de control de la solidez y la coherencia siempre que los datos lo permitan.
 

3.4.3.

Verificación de cálculos
 

3.4.3.1.

La verificación de cálculos se refiere a la estimación de los errores numéricos que afectan a la MyS.
 

3.4.3.2.

El fabricante documentará las estimaciones de errores numéricos (por ejemplo, error de discretización, error de redondeo, convergencia iterativa de los procedimientos).
 

3.4.3.3.

Los errores numéricos se mantendrán suficientemente delimitados para no afectar a la validación.
 

3.4.4.

Análisis de sensibilidad
 

3.4.4.1.

El análisis de sensibilidad tiene por objeto cuantificar la forma en que los valores de salida del modelo se ven afectados por los cambios en los valores de entrada del modelo y, de este modo, identificar los parámetros que tienen el mayor impacto en los resultados del modelo de simulación. El estudio de sensibilidad también ayuda a determinar en qué medida el modelo de simulación cumple los umbrales de validación cuando se somete a pequeñas variaciones de los parámetros. Por lo tanto, es fundamental apoyar la credibilidad de los resultados de la simulación.
 

3.4.4.2.

El fabricante proporcionará documentación justificativa que demuestre que los parámetros más críticos que influyen en el resultado de la simulación se han identificado mediante técnicas de análisis de sensibilidad, como la aplicación de una perturbación de los parámetros del modelo.
 

3.4.4.3.

El fabricante demostrará que se han adoptado procedimientos de calibración sólidos a la hora de identificar y calibrar los parámetros más críticos a fin de aumentar la credibilidad de la cadena de herramientas desarrollada.
 

3.4.4.4.

En última instancia, los resultados del análisis de sensibilidad también ayudarán a definir las entradas y parámetros cuya caracterización de la incertidumbre requiere especial atención para definir adecuadamente la incertidumbre de los resultados de la simulación.
 

3.4.5.

Validación
 

3.4.5.1.

El proceso cuantitativo de determinación del grado en que un modelo o una simulación es una representación exacta del mundo real desde la perspectiva de los usos previstos de la MyS requiere la selección y definición de varios elementos.
 

3.4.5.2.

Medidas de rendimiento (parámetros)
 

3.4.5.2.1.

Las mediciones del rendimiento son los parámetros utilizados para comparar el modelo de simulación con el mundo real. Las medidas de rendimiento se definen durante el análisis de MyS.
 

3.4.5.2.2.

Los parámetros de validación pueden incluir:

i)

análisis de valores discretos, por ejemplo, índice de detección, frecuencia de disparo;

ii)

evolución temporal, por ejemplo, posiciones, velocidades, aceleración;

iii)

análisis basado en el flujo de acciones, por ejemplo cálculos de distancia/velocidad, cálculo del tiempo de colisión, inicio del frenado.

 

3.4.5.3.

Bondad del ajuste
 

3.4.5.3.1.

Los marcos analíticos se utilizan para comparar los parámetros del mundo real y la simulación. Suelen ser indicadores clave de rendimiento que indican la comparabilidad estadística entre dos conjuntos de datos.
 

3.4.5.3.2.

La validación deberá demostrar que se cumplen estos indicadores clave de rendimiento.
 

3.4.5.4.

Metodología de valoración
 

3.4.5.4.1.

El fabricante definirá los escenarios lógicos utilizados para la validación virtual de la cadena de herramientas. Deberán poder cubrir en la mayor medida posible el dominio del diseño operativo de los ensayos virtuales para la validación del ADS.
 

3.4.5.4.2.

La metodología exacta depende de la estructura y la finalidad de la cadena de herramientas. La validación podrá consistir en una o varias de las siguientes acciones:

i)

validar modelos de subsistema, por ejemplo, modelo medioambiental (red de carreteras, condiciones meteorológicas, interacción de los usuarios de la carretera), modelos de sensores [radar y radares ópticos (LIDAR), cámara], modelo de vehículo (dirección, frenado, grupo motopropulsor);

ii)

validar el sistema del vehículo (modelo de la dinámica del vehículo junto con el modelo medioambiental);

iii)

validar el sistema de sensores (modelo de sensor junto con el modelo medioambiental);

iv)

validar el sistema integrado (modelo de sensor junto con el modelo medioambiental con influencias del modelo de vehículo).

 

3.4.5.5.

Requisitos de exactitud
 

3.4.5.5.1.

El requisito del umbral de correlación se define durante el análisis de MyS. La validación mostrará que se cumplen los indicadores clave de rendimiento identificados en el punto 3.4.5.3.1 de la presente parte.
 

3.4.5.6.

Ámbito de validación (parte de la cadena de herramientas que debe validarse)
 

3.4.5.6.1.

Una cadena de herramientas consta de múltiples herramientas, y cada herramienta utilizará una serie de modelos. El ámbito de la validación incluye todas las herramientas y los modelos pertinentes sujetos a validación.
 

3.4.5.7.

Resultados de la validación interna
 

3.4.5.7.1.

La documentación no solo proporcionará pruebas de la validación del modelo de simulación, sino que también se utilizará para obtener información suficiente sobre los procesos y productos que proporcionen credibilidad global de la cadena de herramientas utilizada.
 

3.4.5.7.2.

La documentación o los resultados podrán ser trasladados a partir de evaluaciones de credibilidad anteriores.
 

3.4.5.8.

Resultados de la validación independiente
 

3.4.5.8.1.

La autoridad de homologación de tipo evaluará la documentación facilitada por el fabricante y podrá llevar a cabo ensayos físicos de la herramienta integrada completa.
 

3.4.5.9.

Caracterización de la incertidumbre
 

3.4.5.9.1.

Esta sección se refiere a la caracterización de la variabilidad prevista de los resultados de la cadena de herramientas virtual. La evaluación constará de dos fases. En una primera fase, se utiliza la información recogida en el análisis y descripción de la MyS, así como en las secciones de genealogía de datos y entradas, para caracterizar la incertidumbre de los datos de entrada, de los parámetros de los modelos y de la estructura de la modelización. A continuación, propagando todas las incertidumbres a través de la cadena de herramientas virtual, se cuantifica la incertidumbre en los resultados del modelo. En función de la incertidumbre de los resultados del modelo, el fabricante deberá introducir márgenes de seguridad adecuados en el uso de ensayos virtuales para la validación del ADS.
 

3.4.5.9.2.

Caracterización de la incertidumbre en los datos de entrada

El fabricante deberá demostrar que ha estimado adecuadamente las entradas del modelo crítico mediante técnicas sólidas, como repeticiones múltiples para la evaluación de la cantidad.

 

3.4.5.9.3.

Caracterización de la incertidumbre en los parámetros de los modelos (tras la calibración)

El fabricante demostrará que los parámetros del modelo crítico que no pueden estimarse de manera idéntica se caracterizan por una distribución o intervalos de confianza.

 

3.4.5.9.4.

Caracterización de la incertidumbre de la estructura de MyS

El fabricante proporcionará pruebas de que las hipótesis de modelización reciben una caracterización cuantitativa de la incertidumbre generada (por ejemplo, comparando los resultados de los distintos enfoques de modelización siempre que sea posible).

 

3.4.5.9.5.

Caracterización de la incertidumbre aleatoria frente a la incertidumbre epistémica:

El fabricante tratará de distinguir entre el componente aleatorio de la incertidumbre (que solo puede estimarse, pero no reducirse) y la incertidumbre epistémica derivada de la falta de conocimiento en la virtualización del proceso (que, en cambio, puede reducirse).

4.   Estructura de la documentación

 

4.1.

En esta sección se expone cómo se recogerá y organizará la información en la documentación facilitada por el fabricante a la autoridad pertinente.
 

4.2.

El fabricante elaborará un documento («manual de simulación») estructurado de acuerdo con el presente esquema para aportar pruebas de los temas presentados.
 

4.3.

La documentación deberá entregarse junto con la correspondiente versión de MyS y los datos correspondientes producidos.
 

4.4.

El fabricante deberá facilitar referencias claras que permitan rastrear la documentación hasta los datos correspondientes de la MyS;
 

4.5.

La documentación se conservará a lo largo de todo el ciclo de vida de la utilización de la MyS. La autoridad de homologación de tipo podrá auditar al fabricante evaluando su documentación o realizando ensayos físicos.

PARTE 5

PRESENTACIÓN DE INFORMES EN SERVICIO

1.   Definiciones

Para los fines del presente anexo, se entenderá por:

 

1.1.

«Incidencia»: situación relacionada con la seguridad de un vehículo equipado con un sistema de conducción automatizada.
 

1.2.

«Incidencia no crítica»: una incidencia que implica una interrupción operativa, defecto, fallo u otra circunstancia que ha influido o puede haber influido en la seguridad del ADS y que no ha dado lugar a un accidente o incidente grave. Esta categoría incluye, por ejemplo, los incidentes menores, la degradación de la seguridad que no impide el funcionamiento normal, las maniobras de emergencia o complejas para evitar una colisión y, de manera más general, todas las incidencias pertinentes para el rendimiento de seguridad del ADS en carretera (como la interacción con el operador a distancia, etc.).
 

1.3.

«Incidencia crítica»: cada incidencia en la que está activado el ADS en el momento de un evento de colisión y por el cual:

a)

al menos una persona sufra una lesión que requiera asistencia médica por encontrarse a bordo del vehículo o estar implicada en el evento;

b)

el vehículo totalmente automatizado, otros vehículos u objetos estáticos sufran un daño físico que supere un determinado umbral, o cualquier vehículo implicado en el evento que sufra el despliegue de un airbag.

2.   Notificaciones e informes del fabricante

 

2.1.

El fabricante notificará sin demora cualquier incidencia crítica para la seguridad a las autoridades de homologación de tipo, a las autoridades de vigilancia del mercado y a la Comisión.
 

2.2.

En el plazo de un mes, el fabricante notificará a las autoridades de homologación de tipo, a las autoridades de vigilancia del mercado y a la Comisión las incidencias a corto plazo descritas en el apéndice 1 que deban ser corregidas por el fabricante.
 

2.3.

El fabricante informará anualmente a la autoridad de homologación de tipo que concedió la homologación de las incidencias enumeradas en el apéndice 1. El informe aportará pruebas del rendimiento del ADS en relación con las incidencias sobre el terreno que afecten a la seguridad. En particular, deberá demostrar que:

a)

no se detectan incoherencias en comparación con el comportamiento en materia de seguridad del ADS evaluado antes de la introducción en el mercado;

b)

el ADS respeta los requisitos de funcionamiento establecidos en el presente Reglamento;

c)

se han abordado adecuadamente los problemas significativos de rendimiento en materia de seguridad del ADS recientemente descubiertos y cómo se han abordado.

La autoridad de homologación de tipo otorgante compartirá esta información con las autoridades de homologación de tipo, las autoridades de vigilancia del mercado y la Comisión.

 

2.4.

Las autoridades de homologación de tipo, las autoridades de vigilancia del mercado y la Comisión podrán solicitar al fabricante los datos justificativos utilizados para elaborar la información facilitada en los informes y las notificaciones en servicio. Estos datos se intercambiarán mediante un fichero de intercambio de datos acordado. Las autoridades de homologación de tipo, las autoridades de vigilancia del mercado y la Comisión adoptarán todas las medidas necesarias para proteger dichos datos.
 

2.5.

Todo tratamiento previo de datos debe notificarse a la autoridad de homologación de tipo otorgante en el informe de datos en servicio.

Apéndice 1

Lista de incidencias a efectos de presentación de informes en servicio

Las incidencias se han subdividido en cuatro categorías, en función de su pertinencia para la tarea de conducción dinámica, la interacción con los usuarios de vehículos totalmente automatizados y las condiciones técnicas del ADS. En el cuadro que figura a continuación se ha señalado la importancia de cada incidencia en los informes a corto plazo o periódicos.

Se espera que la presentación de informes periódicos sobre incidencias se presente en forma de datos agregados (por hora de funcionamiento o km recorridos) para el tipo de vehículo ADS y relativos al funcionamiento del ADS (es decir, cuando el ADS está activado).

INFORMES DE

INCIDENCIAS A CORTO PLAZO

(1 mes)

INFORMES PERIÓDICOS

(1 año)

1.

Incidencias relacionadas con el rendimiento del ADS de la tarea de conducción dinámica, tales como:

1.a.

Incidencias críticas de seguridad conocidas por el fabricante

X

X

1.b.

Incidencias relacionadas con el funcionamiento del ADS fuera de su dominio del diseño operativo

X

X

1.c.

Incidencias relacionadas con el fallo del ADS para lograr una condición de riesgo mínimo cuando sea necesario

X

X

1.d.

Incidencias relacionadas con la comunicación (cuando la conectividad sea pertinente para el concepto de seguridad del ADS)

 

X

1.e.

Incidencias relacionadas con la ciberseguridad

 

X

1.f.

Interacción con el operador a distancia (si procede) en relación con fallos importantes del ADS o del vehículo

 

X

2.

Incidencias relacionadas con la interacción del ADS con usuarios de vehículos totalmente automatizados, tales como:

2.a.

Incidencias relacionadas con los usuarios (por ejemplo, errores del usuario, usos indebidos o prevención de usos indebidos)

 

X

3.

Incidencias relacionadas con las condiciones técnicas del ADS, incluidos el mantenimiento y la reparación:

3.a.

Incidencias relacionadas con fallos del ADS que den lugar a una solicitud de intervención del operador o del operador de intervención remota

 

X

3.b.

Problemas de mantenimiento o de reparación

 

X

3.c.

Incidencias relacionadas con modificaciones no autorizadas (es decir, manipulaciones)

 

X

4.

Incidencias relacionadas con la determinación de nuevos escenarios pertinentes para la seguridad

X

(si el fabricante ha introducido modificaciones para abordar un problema de seguridad del ADS recientemente identificado y significativo que implique un riesgo excesivo, incluida una descripción de cualquier escenario no previsto previamente).

X

(1)  ECE/TRANS/WP.29/2022/59/Rev.1.

(2)  Véase la página 1 del presente Diario Oficial.

ANEXO IV
CERTIFICADO DE HOMOLOGACIÓN DE TIPO UE (SISTEMA DEL VEHÍCULO)

Comunicación relativa a la concesión/extensión/denegación/retirada (1) de la homologación de tipo de un tipo de vehículo con respecto a su sistema de conducción automatizada (ADS) de conformidad con los requisitos establecidos en el Reglamento de Ejecución (UE) 2022/1426, modificado en último lugar por el Reglamento (UE) …/…

Número del certificado de homologación de tipo UE:

Motivo de la extensión/denegación/retirada (1):

SECCIÓN I
 

0.1.

Marca (nombre comercial del fabricante):
 

0.2.

Tipo:
 

0.2.1.

Denominaciones comerciales (si están disponibles):
 

0.3.

Medio de identificación del tipo, si está marcado en el vehículo:
 

0.3.1.

Ubicación de ese marcado:
 

0.4.

Categoría de vehículo:
 

0.5.

Nombre y dirección del fabricante:
 

0.8.

Nombre y dirección de las plantas de montaje:
 

0.9.

Nombre y dirección del representante del fabricante (en su caso):
SECCIÓN II
 

1.

Información adicional (si procede): véase la adenda.
 

2.

Servicio técnico responsable de la realización de los ensayos:
 

3.

Fecha del acta de ensayo:
 

4.

Número del acta de ensayo:
 

5.

Observaciones (si las hubiera): véase la adenda.
 

6.

Lugar:
 

7.

Fecha:
 

8.

Firma:

Adenda

del certificado de homologación de tipo UE n.o

1.   

Descripción o esquema del ADS, que incluya:

1.1.   

Dominio del diseño operativo, límites del sistema y velocidad máxima especificada del ADS declarada por el fabricante:

1.2.   

Descripción de las principales funciones del ADS

1.2.1.   

Funciones internas del vehículo

1.2.2.   

Funciones externas del vehículo [por ejemplo, infraestructuras de segundo plano (backend) y exteriores necesarias, medidas operativas necesarias]

1.3.   

Sistema de detección (incluidos sus componentes):

1.4.   

Instalación del sistema de detección del ADS:

1.5.   

Identificación del software del ADS:

2.   

Descripción escrita o esquema de la supervisión humana del ADS

2.1.   

Operador a distancia e intervención a distancia en el ADS

2.2.   

Medios para desactivar manualmente el ADS

2.3.   

Vigilancia en el interior del vehículo

2.4.   

Cualquier limitación del sistema ocasionada por condiciones ambientales o de la vía pública

3.   

Descripción escrita o dibujo de la información facilitada a los ocupantes del vehículo y a otros usuarios de la vía pública

3.1.   

Estado del sistema:

3.2.   

Solicitud al operador a bordo o al operador de intervención remota:

3.3.   

Maniobra de riesgo mínimo:

3.4.   

Maniobra de emergencia:

4.   

Elementos de datos del ADS

4.1.   

Elementos de datos verificados del ADS tras los ensayos realizados de conformidad con el anexo III, parte 3:

4.2.   

Verificada la documentación relativa a la posibilidad de recuperar los datos, la autocomprobación de integridad de los datos y la protección contra la manipulación de los datos almacenados: sí/no

5.   

Ciberseguridad y actualizaciones de software

5.1.   

Número de homologación de tipo de la ciberseguridad:

5.2.   

Número de homologación de tipo de la actualización del software:

6.   

Evaluación de los aspectos de seguridad funcional y operativa del sistema de conducción automatizada

6.1.   

Referencia documental del fabricante para la evaluación (incluido el número de versión)

6.2.   

Ficha de características

7.   

Servicio técnico responsable de la realización de los ensayos de homologación

7.1.   

Fecha del acta de ensayo publicada por dicho servicio

7.2.   

Número (de referencia) del informe expedido por dicho servicio

8.   

Anexos

Adenda 1:

Ficha de características de los sistemas de conducción automatizada (véase el anexo I del 2022/1426.

Adenda 2:

Estados miembros y zonas específicas donde el fabricante ha declarado que se había evaluado que el sistema de conducción automatizada cumple con la normativa de tráfico local.

Lista de documentos que figuran en el expediente de homologación depositado en el servicio administrativo que haya expedido la homologación y que podrá obtenerse previa petición.

Adenda 3:

Informe de evaluación/resultados de los ensayos de la autoridad de homologación de tipo otorgante.

Adenda 4:

Certificado de conformidad del sistema de gestión de la seguridad

(1)  Táchese lo que no proceda.

ANÁLISIS

Referencias anteriores
Materias
  • Certificaciones
  • Circulación vial
  • Comisión Económica para Europa de las Naciones Unidas CEPE
  • Componentes de vehículos
  • Homologación
  • Seguridad vial
  • Tecnología
  • Vehículos de motor
  • Vehículos No Tripulados

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid