Auteur moral

France. Direction générale des infrastructures, des transports et de la mer

Auteur secondaire

Résumé

Le présent document porte sur l'utilisation des scénarios pour la démonstration de la sécurité des systèmes de transports routiers automatisés (STRA). Il s'intègre dans un ensemble de trois volets :<br /> ;1. Génération, alimentation et enrichissement des scénarios<br /> ;2. Hiérarchisation des scénarios<br /> ;3. Utilisation des scénarios

Descripteur Urbamet

transport terrestre

Descripteur écoplanete

Thème

Transports

Texte intégral

1 DGITM/DMR/TUD le 1er février 2023 Utilisation des scénarios pour la démonstration de la sécurité des systèmes de transports routiers automatisés Document méthodologique Préambule Le présent document porte sur l?utilisation des scénarios pour la démonstration de la sécurité des systèmes de transports routiers automatisés (STRA). Il s?intègre dans un ensemble de trois volets : 1. Génération, alimentation et enrichissement des scénarios 2. Hiérarchisation des scénarios 3. Utilisation des scénarios Ce document a été rédigé dans le cadre du groupe de travail sur les scénarios copiloté par la DGITM et l?Institut de Recherche Technologique SystemX (ci-après IRT SystemX). Ce document s?intéresse aux principes d?implémentation des scénarios dans la démonstration de sécurité des STRA et en particulier pour la validation de la sécurité des systèmes. Il repose sur les piliers définis par le groupe de travail international du WP. 29 du « New Assessment Test Method » (NATM). Ce document ne présage en rien des rôles et des interactions entre les parties prenantes dans la validation de sécurité à ce stade. Le périmètre technique du NATM est le système de conduite automatisé, dont on comprend du règlement européen 2022/1426 du 05 août 2022, qu?il peut recouvrir le caractère embarqué ou débarqué du système. Pour l?application du décret STRA n° 2021/873 du 29 juin 2021, l?application de l?approche des piliers NATM aux systèmes de systèmes nécessite de couvrir les niveaux système technique et système de transport déployé sur un parcours dans le cadre d?un service. Cette application des piliers NATM aux STRA est traitée pour partie dans ce document, qui se concentre sur les concepts du NATM et les principaux outils mentionnés. Ce document n?a pas de valeur prescriptive. Ce document complète le corpus de documents méthodologiques produits par la DGITM sur les scénarios de conduite, et ne reprécise pas les concepts directement liés aux scénarios qui auraient déjà étés décrits par ailleurs. De même, ce document n?aborde pas des domaines d?utilisation des scénarios qui ne relèvent ni des simulations, ni des tests. Ainsi, l?utilisation d?une bibliothèque ou d?un set de scénarios dans le simple objectif de répondre à des questions du type « ce scénario est pris en compte » n?est pas abordé dans ce document, alors que ce domaine d?utilisation de scénarios (lié au concept de complétude rappelé par le règlement européen 2022/1426) peut constituer un autre pilier de la démonstration de sécurité. Les tests sur route ouverte n?incluent pas les marches à blanc. Ce document ne détaille pas l?utilisation des marches à blanc, qui constituent une des obligations du décret n° 2021/873. Le schéma suivant synthétise des domaines couverts par le présent document. 2 (*) : couvert par ce document (**) : ECE-TRANS-WP.29-2022-57 Les piliers du NATM sont étroitement articulés à l?approche par scénarios, comme fondement de la pertinence des tests. A ce stade, ce document n?aborde pas les procédures de vérification de exigences liées à la génération, à l?enrichissement et à l?alimentation des scénarios dont l?évaluation de la complétude, de processus robustes de bonne couverture notamment. Encadré : Définitions des concepts généraux de l?approche par scénarios - ECE-TRANS-WP.29-2022-57 A scenario-based approach helps to systematically organize safety validation activities in an efficient, objective, repeatable, and scalable manner and is a critical part of the NATM for ensuring a holistic and dense coverage of traffic situations. [?] Scenario-based validation methods must include an adequate representation/coverage of relevant, critical, and complex scenarios to effectively validate an ADS. ?Coverage? of scenario catalogue, which means considered cases out of total cases, is an important aspect in order to estimate the effectiveness of the scenario catalogue. Thus, it is important to ensure that the scenario catalogue includes scenarios sufficient to address conditions in a wide range of ODDs covered (e.g. urban, highway, rural roadway configurations; various weather elements, etc.) from the viewpoint of completeness of the scenario catalogue, and that the scenarios relevant to the ODD of an ADS include a precise broad reflection of the ODD related real-world driving situations that can reasonably be expected to occur in the ODD from the viewpoint of credibility of the scenario based validation applied to the ADS. Unsafe behaviours of other road users (e.g. wrong way driver, sudden crossing) ?if reasonably foreseeable? should be included in the scenario catalogue. This does not mean that all collision will be avoided because the requirement for ADS depends on the situation and required level of safety. NATM pilier 4 : Audit (*) Utilisation des scénarios Vérification de la complétude des scénarios adressés par le système (**) NATM pilier 1 (*): Simulations NATM pilier 2 (*): Tests sur site fermé NATM pilier 3 (*): Tests sur route ouverte NATM pilier 5 (*): Retours d?expérience d?exploitation Génération de scénarios Hiérarchisation des scénarios Analyse de sécurité du parcours Marches à blanc sur le parcours 3 Table des matières 1. Bibliothèque de scénarios .......................................................................................................... 7 2. Pilier 1 : Simulation / tests virtuels ............................................................................................ 8 3. Pilier 2 : Tests sur piste d?essais ............................................................................................... 11 4. Pilier 3 : Tests sur route ouverte .............................................................................................. 14 5. Pilier 4 : Audit et évaluation ..................................................................................................... 17 6. Pilier 5 : Surveillance en exploitation ....................................................................................... 18 4 Introduction Le Forum mondial pour l?harmonisation des règlements sur les véhicules (World Forum for Harmonization of Vehicle Regulations) aussi appelé WP.29 est un groupe de travail de la Commission économique pour l'Europe des Nations Unies (CEE-ONU). Il crée un ensemble uniforme de règlements pour la conception des véhicules routiers pour le marché international, européen puis mondial. Le forum travaille sur des règlements qui couvrent des domaines aussi variés que la sécurité des véhicules, la protection de l'environnement, l'efficacité énergétique et la performance anti-vol. En particulier, le groupe de travail sur les véhicules automatisés/autonomes et connectés (GRVA) a été créé en juin 2018 pour réviser la réglementation sur l?homologation par type pour les futurs véhicules automatisés/autonomes et connectés avec une liste de priorités, qui comprend la définition des exigences fonctionnelles (sous-groupe FRAV), de la méthode de validation de la conduite automatisée (sous-groupe VMAD), de la cybersécurité (et des mises à jour logicielles), des ADAS et des systèmes de freinage. Dans le cadre du GRVA, le VMAD élabore des méthodes de validation, y compris des scénarios, pour valider la sécurité des systèmes automatisés sur la base d'une approche à plusieurs piliers comprenant l'audit, la simulation/les essais virtuels, les essais sur pistes et les essais en conditions réelles. Ce travail se concrétise par la rédaction d?un document : New assessment test methods (NATM) master document, dont une deuxième version a été proposée en juin 2022 [11]. En prenant comme référence cet état de l?art international, le présent document étend ces méthodes de validation, initialement centrées sur le véhicule équipé d?un système de conduite automatisé, au système technique et au système de transport routier automatisé (STRA1) tels que définis dans le décret n° 2021-873 du 29 juin 2021 portant application de l?ordonnance n° 2021-443 du 14 avril 2021 relative au régime de responsabilité pénale applicable en cas de circulation d?un véhicule à délégation de conduite et à ses conditions d?utilisation [5,6]. Ce document a donc pour vocation de transposer aux systèmes de systèmes, la méthodologie proposée par les NATM pour le niveau véhicule dans le cadre de l?homologation ; ceci afin de couvrir la validation de la sécurité des systèmes techniques et STRA déployés sur un parcours dans le cadre d?un service de transport routier automatisé. Dans ce cadre, le système de transport est concevable comme un système de systèmes, notamment en intégrant des véhicules homologués. NB : dans la suite du document, sont désignés par « système », à la fois le « système technique de transport routier automatisé » et le « système de transport routier automatisé » tels que définis dans le décret susmentionné [6]. Le document NATM propose d?adopter une approche multi-piliers pour la validation de la sécurité qui combine une évaluation avant la mise en service, et un suivi continu de la sécurité en opération. Cette approche se décompose selon cinq piliers, et une bibliothèque de scénarios : i. Simulation/tests virtuels : Ces tests utilisent différents types de chaînes d'outils de simulation pour évaluer la conformité d'un système de conduite automatisé aux exigences de sécurité sur un large éventail de scénarios virtuels, y compris certains qui seraient extrêmement difficiles, voire impossibles à tester dans des contextes réels. 1 C?est à dire système complet intégrant les véhicules et ses fonctions débarquées et offrant des capacités de conduite hautement ou totalement automatisé. Application du titre II du décret du n° 2021-873 du 29 juin 2021. https://fr.wikipedia.org/wiki/Commission_%C3%A9conomique_pour_l%27Europe_des_Nations_unies https://fr.wikipedia.org/wiki/Commission_%C3%A9conomique_pour_l%27Europe_des_Nations_unies https://fr.wikipedia.org/wiki/V%C3%A9hicule_(transport_physique) https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_active https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_active https://fr.wikipedia.org/wiki/Efficacit%C3%A9_%C3%A9nerg%C3%A9tique_dans_les_transports 5 ii. Tests sur piste d?essais : Ces tests utilisent une piste d?essais à accès restreint pour évaluer divers scénarios de test pour vérifier les capacités et le fonctionnement d'un système de conduite automatisé dans des conditions maitrisées de l?environnement contrôlé du site d?essais. iii. Tests sur route ouverte : Ces tests utilisent des routes publiques et ouvertes pour tester et évaluer les performances du système, liées à sa capacité à assurer le contrôle dynamique dans des conditions de circulation réelles ; iv. Audit et évaluation : Ce pilier établit comment les entités évaluées seront tenues de démontrer la sécurité de leur système à l'aide de documentations, de leurs simulations, de leurs tests sur piste et/ou de tests en conditions réelles. L'audit validera que les dangers et les risques pertinents pour le système ont été identifiés et qu'un concept cohérent de sécurité dès la conception a été mis en place. L'audit vérifiera également que des processus, mécanismes, stratégies solides (c'est-à-dire un système de gestion de la sécurité) sont en place pour garantir que le système de conduite automatisé répond aux exigences de sécurité pertinentes (par exemple EU ADS ACT [8], NATM [11], ISO 34501-2-3-4 [12,13,14,15], etc.) tout au long du cycle de vie du véhicule. Il évaluera également la complémentarité entre les différents piliers de l'évaluation et la couverture globale des scénarios ; v. Surveillance et rapports en exploitation : Ce pilier porte sur la sécurité en exploitation du système technique, et du système de transport routier automatisé après sa mise en service. Il s'appuie sur la collecte de données sur le terrain, notamment des systèmes, pour évaluer le niveau de sécurité du système en exploitation avec des informations mensuelles et annuelles. Cette collecte de données peut également être utilisée pour alimenter la bibliothèque de scénarios communs avec de nouveaux scénarios émanant de la mise en service et/ou de l?exploitation, et permettre à l'ensemble de la communauté de tirer des enseignements des accidents et incidents majeurs des systèmes en exploitation. Rappel du Titre II du Décret n° 2021-873 du 29 juin 2021 [6] : Extraits du Décret n° 2021-873 du 29 juin 2021 : Titre II / Article 6 / Titre V / Chapitre Ier / Art. R. 3151-1 du code des transports [?] Système de transport routier automatisé : système technique de transport routier automatisé, déployé sur des parcours ou zones de circulation prédéfinis, et complété de règles d?exploitation, d?entretien et de maintenance, aux fins de fournir un service de transport routier public collectif ou particulier de personnes, ou de service privé de transport de personnes, à l?exclusion des transports soumis au décret n° 2017-440 du 30 mars 2017 relatif à la sécurité des transports publics guidés [?] Système technique de transport routier automatisé : ensemble de véhicules hautement ou totalement automatisés tels que définis aux 8.2 et 8.3 de l?article 311-1 du code de la route et d?installations techniques permettant une intervention à distance ou participant à la sécurité ; [?] Parcours ou zone de circulation prédéfini : ensemble des sections routières ou espace dont les limites géographiques sont définies, sur lesquelles est prévue la circulation ou l'arrêt d'un ou plusieurs véhicules d?un système de transport routier automatisé ; [?] Système de gestion de la sécurité : ensemble de règles, procédures et méthodes à mettre en oeuvre pour atteindre en permanence les objectifs de sécurité ; [?] 6 La figure ci-dessous illustre la définition du système STRA, et les notions associées : Figure 1 - Architecture des sous-systèmes d'un STRA Cette illustration met en exergue le lien entre les briques essentielles d?un STRA, que sont : ? le système technique = ensemble de véhicules automatisés, et d?installations techniques participant à la sécurité (dont les équipements permettant une intervention à distance) ; ? les règles d'exploitation, d'entretien et de maintenance ; ? le parcours ou zones de circulation prédéfinis (avec l'infrastructure et les aménagements associés). Les chapitres suivants de ce document détaillent chacune des composantes de l?approche NATM transposée au système technique et au système de transport routier automatisé. L?objectif des piliers du NATM est de produire une méthodologie d?évaluation des processus de validation de la sécurité des systèmes introduits sur le marché ainsi que de leur exploitation, de façon à ce qu?elle soit répétable, objective et basée sur des preuves, tout en restant agnostique de la technologie utilisée. L?approche multi pilier reconnaît ainsi que la sécurité d?un système ne peut être évaluée/validée de manière faible en utilisant un seul des piliers présentés par la suite. Chacun des piliers présente ses vertus ainsi que ses limites, qui font la complétude de la méthode. De même, l?utilisation de chacun des piliers dans le processus d?évaluation/validation de la sécurité n?est pas linéaire mais continu et itératif, toujours dans l?objectif de satisfaire les exigences de sécurité. 7 1. Bibliothèque de scénarios Cette partie présente brièvement les grands concepts développés dans le corpus méthodologique DGITM sur les scénarios de conduite et les liens avec la validation de la sécurité. La construction de bibliothèques de scénarios est l?objet du document méthodologique DGITM décrivant l?approche par scénarios de février 2022 [1], complété du document méthodologique DGITM de juillet 2022 [2]. Ces documents fixent les grands principes de la méthodologie de génération, d?alimentation et d?enrichissement des scénarios pour la démonstration de la sécurité des STRA. Les scénarios de conduite permettent de générer, dans un processus vivant et itératif, des scénarios provenant des phases de conception du système, des analyses de risques, issus d?accidents, de roulage, pouvant être complétés par des scénarios à dires d?experts. Après la mise en service d?un STRA, la phase d?exploitation permettra de générer de nouveaux scénarios et d?enrichir l?existant. La bibliothèque de scénarios permet de faire coexister des approches basées sur le corpus normatif ISO 26262 et ISO 21448 (dite SOTIF) et des approches complémentaires, qui concourent en premier lieu à l?objectif de couverture suffisante des activités de validation au regard des situations dangereuses raisonnablement prévisibles devant être couvertes par la démonstration de la sécurité. L?articulation de l?approche par scénarios et les méthodes de démonstration de la sécurité fait l?objet de travaux complémentaires. La bibliothèque de scénarios est considérée au niveau ONU comme l?un des piliers du processus de la validation des systèmes de conduite automatisés. La recherche de complétude des scénarios, au regard d?un ODD2 déclaré, est considérée aux niveaux européen et français comme une exigence de la validation des systèmes. L'utilisation des scénarios peut être appliquée à différentes méthodologies de test, telles que les tests virtuels / simulés, les tests sur piste et les tests en conditions réelles. Ensemble, ces méthodologies fournissent une architecture de test à multiples facettes, chaque méthodologie possédant des forces et des faiblesses spécifiques. Par conséquent, certains scénarios peuvent être testés de manière plus appropriée en utilisant certaines méthodologies de test plutôt que d'autres. L?utilisation de techniques d?échantillonnage aléatoire lors de la sélection des paramètres à utiliser pour créer des scénarios logiques et concrets pour la validation d?un système particulier dans son ODD permet d?éviter que le système ne soit optimisé pour un ensemble de cas de tests connus. La maximisation de l?échantillonnage aléatoire est préférable du point de vue de la crédibilité, mais il est reconnu que cela peut représenter une charge plus importante. 2 Le terme « ODD » fait référence ici soit au domaine de conception technique dans le cas d?un système technique ou du domaine d?emploi dans le cas d?un système de transport routier automatisé. Dans la suite du document, on considérera le terme « ODD » par abus de langage pour désigner l?un ou l?autre. 8 2. Pilier 1 : Simulation / tests virtuels La simulation et les tests en environnement virtuel, qui utilisent différents types d?outils de simulation dynamique ont pour objectif d?évaluer la conformité des systèmes aux concepts de sécurité, à partir d?une large gamme de scénarios. La pertinence et la crédibilité des scénarios simulés doivent faire l?objet de vérifications. La simulation fournit des outils puissants pour évaluer les performances d'un système dans des conditions diverses et complexes qui sont prohibitives pour les essais physiques conventionnels. Grâce aux modèles de simulation, les essais virtuels jouent un rôle essentiel dans l'évaluation complète d'un système. Le rôle majeur que les essais virtuels joueront dans le développement et la validation des systèmes justifie leur inclusion comme pilier principal du NATM. Les essais virtuels peuvent être utilisés dans différentes phases du développement et de la validation du système. Les essais virtuels peuvent être utilisés pour explorer de manière complète et optimisée un système (ou une partie de celui-ci) dans une large gamme de scénarios de trafic à travers différents ODD et pour une variété d'objectifs. Le test virtuel consiste à remplacer un ou plusieurs éléments physiques caractérisés dans un test basé sur un scénario par un modèle de simulation. Le but de cette virtualisation est de ressembler, dans une mesure suffisante, aux éléments physiques d'origine. Pour les applications automobiles, les essais virtuels peuvent être utilisés pour reproduire l'environnement de conduite et les objets qui s?y trouvent et qui interagissent avec le système complet. Des essais relatifs à des interactions peuvent aussi avoir lieu dans le contexte STRA, il peut s?agir de reproduire les interactions entre les véhicules et les installations techniques débarquées, entre le système global et le parcours sur lequel il est déployé. Grâce à cette approche, un évaluateur peut avoir confiance en le système en se basant sur les tests virtuels et la validation qui ont été effectués par le concepteur d'une manière agile, contrôlable, prévisible, répétable et efficace. La chaîne d'outils de simulation utilisée pour les tests virtuels peut entraîner la combinaison de différentes approches. En particulier, il existe de nombreuses façons d'effectuer des tests : a. entièrement numérique (appelé Model ou Software in the Loop testing, MIL/SIL), avec le modèle des éléments impliqués interagissant dans un environnement simulé ; et/ou b. hybrides, avec des pièces d?un capteur, d?un sous-système ou de l'ensemble du système interagissant avec un environnement virtuel (Hardware ou Vehicle in the Loop testing, HIL/VIL) ou avec un sous-système interagissant avec un intervenant réel ou des passagers (analogie au Driver in the Loop testing, DIL). Dans ce cas, le véhicule peut être aussi bien dans un laboratoire (par exemple sur un banc d?essai), sur un terrain d?essai interagissant avec un environnement virtuel, avec un sous-système interagissant avec un conducteur réel ou en interaction entre le système et son environnement. L'interaction entre le système sous test et l'environnement peut être une boucle ouverte (open-loop) ou fermée (closed-loop). Dans le cas de la validation de systèmes particulièrement instables pour lesquels la réponse attendue est primordiale, les tests en simulation en boucle fermée, présentent l?avantage de prendre en compte l?interaction entre le système global et son environnement, afin notamment de vérifier le comportement du système dans son ODD et à sa frontière. Le choix de la simulation en boucle ouverte ou fermée peut dépendre de facteurs comme des objectifs de l?activité de tests virtuels et de l?état de développement du système en test. La flexibilité de ce pilier, qui permet de tester une multitude de combinaison de paramètres de diverses manières, en fait une méthode de tests pertinente pour la validation d?un système depuis sa 9 conception. Etant donné les difficultés de tester le comportement du système en conditions réelles (notamment dans les phases où le domaine de conception technique peut ne pas être assez spécifique) et dans toutes les situations possibles, les tests en simulation deviennent alors un outil indispensable pour vérifier la capacité du système à faire face à une multitude de scénarios de conduite. En outre, des essais en simulation, dont peuvent faire partie des simulations avec un jumeau numérique, permettent de tester le système dans des scénarios critiques pour la sécurité qui seraient complexes et/ou dangereux à reproduire sur des pistes d?essai ou des routes ouvertes à la circulation publique. En phase de validation, les tests en simulation peuvent servir différents objectifs, en fonction de la stratégie de validation globale et de la précision des modèles de simulation sous-jacents : 1. valider des exigences de sécurité qualitatives de l?ensemble du système, ou de sous-systèmes ; 2. valider des exigences de performance (qualitatives ou quantitatives) de l?ensemble du système, ou de sous-systèmes ou de composants spécifiques ; 3. contribuer à la découverte de nouveaux scénarios complexes (via roulages numériques) qui pourraient alors être rejoués en tests physiques ;. 4. contribuer à la démonstration de l?atteinte de cibles de validation (validation targets) définies au regard d?un critère d?acceptation (acceptance criteria) (qualitatif ou quantitatif) permettant alors de justifier l?arrêt des activités de validation. En contrepartie, la validation des modèles de simulation utilisés dans les essais virtuels est essentielle pour déterminer la qualité et la crédibilité des résultats par rapport aux performances réelles. La comparaison des performances du système lors d?un test virtuel avec ses performances dans le monde réel lors de l'exécution du même scénario est une étape qui peut conduire à faire évoluer les modèles de simulation et à corriger des biais de la simulation. Cela permet d'évaluer la précision d'une chaîne d'outils d'essais virtuels. Étant donné le nombre élevé de scénarios que les tests virtuels peuvent exécuter par rapport aux tests sur piste, la validation des modèles de simulation devrait probablement être effectuée sur un sous-ensemble plus petit mais néanmoins suffisamment représentatif des scénarios pertinents. Le pilier simulation a des relations avec tous les piliers des NATM. En particulier, les tests en simulation : ? complètent les tests physiques pour tenir compte de la quantité et de la diversité des configurations d?un système, des utilisations prévues et des limitations d?utilisation. En utilisant cette approche, les tests virtuels peuvent démontrer la couverture de scénarios pertinents pour la sécurité dont notamment la bonne prise en compte du facteur humain ; par conséquent, ils peuvent fournir les éléments démontrant que le STRA se comportera comme attendu pour tel ou tel scénario en exploitation3 ; ils réduisent la charge des tests physiques (en compensant leurs faiblesses) et contribuent à améliorer l?efficacité du processus d?évaluation global dans l?ensemble des piliers. ? peuvent jouer un rôle important dans le développement des exigences de performance et des scénarios de conduite. ? permettent d'évaluer les limites de performance des systèmes, ce qui permet de préciser les limites entre les scénarios pour lesquels la réponse attendue est l'évitement des collisions et ceux pour lesquels la réponse attendue est l'atténuation des accidents ; au stade de sa conception ou dans le cadre de son évaluation, le système peut être mis à l'épreuve afin d?accroître la confiance dans ses performances lorsqu'il est confronté à des événements à faible probabilité. 3 Il a été volontairement choisi de se référer ici au STRA en exploitation, sans pour autant omettre que le système technique sera aussi soumis à des simulations dans le cadre de son intégration dans le STRA. 10 ? seront un élément clé du pilier « audit et évaluation » ; les résultats des essais virtuels effectués tant pendant le développement du véhicule que pendant la phase de vérification et de validation fourniront des preuves précieuses pour l'audit de sécurité. ? peuvent jouer un rôle important pour répondre aux préoccupations identifiées dans la phase d?exploitation. Ils constituent une approche rapide et flexible pour analyser les performances des systèmes sur la base d'événements réels ; ils permettent aux concepteurs d?analyser et de vérifier le comportement du système afin de comprendre pourquoi un problème s?est produit. Les tests sur piste peuvent permettre de valider les outils de simulation numériques. L?utilisation des essais en simulation réalisés par une chaîne d?outils de simulation qualifiée permet d?évaluer notamment les exigences générales de sécurité suivantes : ? le système doit effectuer la tâche dynamique de conduite en toute sécurité et gérer les situations critiques pour la sécurité ; cette exigence est celle où les tests virtuels peuvent jouer le rôle le plus important. ? le système doit interagir en toute sécurité avec les passagers et autres usagers de la route. ? le système doit gérer en toute sécurité ses dysfonctionnements et doit garantir un état de fonctionnement sûr dans et en limites d?ODD4 ; les tests virtuels peuvent inclure des dysfonctionnements et des demandes de maintenance. Le tableau suivant présente les avantages et inconvénients du pilier simulation / tests virtuels. Avantages Inconvénients ? contrôlabilité de tous les aspects / paramètres du test ; ? agilité : les changements du système peuvent être réévalués immédiatement ; ? efficacité : les tests virtuels peuvent être générés en accéléré, ce qui permet de réaliser plus de tests en une durée de temps plus courte ; ? rentabilité économoique : les coûts de fonctionnement liés à l?utilisation de la chaîne d?outils sont faibles comparé aux tests physiques, malgré les investissements de développement, de validation et de maintien ; ? grande couverture de scénarios par une diversité de combinaisons testables, permettant de réduire l?espace des « unknown » ; ? collecte et analyse des données facilitée par une plateforme de récupération ; ? répétabilité et réplicabilité. ? fiabilité/fidélité de l?environnement et des réponses associées aux éléments extérieurs au système plus faible ; ? risque de sûr-confiance ; ? cycle de vie coûteux des logiciels de simulation. NB : les essais virtuels sont utilisables pour l?établissement du dossier de conception du système technique (DCST) et pour le dossier préliminaire de sécurité (DPS) et dossier de sécurité (DS) des STRA. Le système technique étant un système de systèmes comprenant notamment le véhicule automatisé, les analyses au niveau du système technique peuvent reprendre des résultats de tests présentés au niveau du véhicule automatisé. Le STRA étant une instanciation à un parcours prédéfini d?un système technique, les analyses au niveau du STRA peuvent reprendre des résultats de tests présentés au niveau du système technique. 4 Le système doit savoir reconnaître une sortie imminente d?ODD et assurer son fonctionnement sûr suite à cette sortie imminente d?ODD. 11 3. Pilier 2 : Tests sur piste d?essais Les tests sur piste en environnement fermé et contrôlé permettent de tester les capacités et le fonctionnement du système étudié pour un ensemble de scénarios paramétrés. Les tests sur piste d'essais en environnement fermé, contrôlé et sûr utilisent des obstacles réels et des substituts d'obstacles (par exemple des cibles impactables représentant des véhicules, des piétons) pour évaluer les exigences de sécurité d'un système. Ces entrées et conditions externes peuvent être contrôlées ou mesurées au cours d'un test, ce qui permet une grande répétabilité et précision. Les tests sur piste peuvent utilement être utilisés pour évaluer les performances du système dans un certain nombre de scénarios nominaux et critiques importants sélectionnés, notamment vis-à-vis du facteur humain et de ses interactions ou des manoeuvres à risque minimal et des manoeuvres d?urgence. Les essais sur piste peuvent accélérer l'exposition à des événements rares connus ou à des scénarios critiques pour la sécurité, et ce dans un environnement contrôlé et sûr. Les essais sur piste peuvent être plus appropriés que la simulation et les tests virtuels pour évaluer les capacités du système dans un nombre discret de scénarios nominaux et de scénarios critiques. Une revue initiale des pratiques, des procédures, des ressources techniques et des chaînes d?outils relatifs aux tests sur pistes d?essais a été réalisée par le sous-groupe dédié au VMAD. Celle-ci met en évidence qu?une multitude de procédures de tests et de normes ont été développées pour la vérification des véhicules équipés de systèmes de conduite automatisés et en particulier de systèmes d?assistance à la conduite, qui peuvent servir de base à la conception de méthodologies de tests sur pistes. En revanche, il apparaît aussi qu?aucune procédure d?évaluation de la sécurité des véhicules équipés de systèmes de conduite automatisés sur route ouverte à la circulation publique n?a été développée. Le point de départ du développement de méthodes de tests, que ce soit sur piste d?essais ou sur route ouverte est l?approche de la matrice test. Cette approche recommande l?utilisation d?une matrice générale pour les tests physiques, ainsi que de deux matrices d?essais spécifiquement conçues respectivement pour les essais sur piste et les essais en conditions réelles. La matrice générale a pour objectif de fournir une présentation claire des exigences de sécurité (prévues par le FRAV au niveau international5), aussi bien pour les tests sur piste ou sur route ouverte, ou les deux. Les matrices de tests, respectivement pour les essais sur piste et les essais en conditions réelles, sont de conception différente, afin de tenir compte des différents contextes dans lesquels les essais sont réalisés, ainsi que pour garantir que les points forts de chaque méthode d'essai puissent être utilisés. La matrice générale donne un aperçu du type ou des types de tests à réalisés pour évaluer la conformité aux exigences de sécurité du FRAV. La matrice générale donne une liste d?exigences de haut niveau sur la sécurité générale comme par exemple « le système doit réaliser entièrement la tâche de conduite dynamique » ou « le système doit contrôler les mouvements longitudinaux et latéraux du véhicule », qui devront alors (ou non) donner suite à des tests sur route physique. Ces exigences de haut niveau seront complétées par des critères de pass/fail. 5 Les exigences de haut niveau du FRAV sont prises en exemple à ce stade, ce qui ne présage en rien des exigences plus fines qui pourraient être prescrites aux systèmes. 12 Exemple d?une matrice générale basée sur les exigences de haut niveau du FRAV : la matrice peut contenir la pertinence des tests à réaliser mais aussi donner des informations plus détaillées sur les objectifs de tests Exigences de sécurité (FRAV) Tests sur piste d?essais Tests sur route ouverte 1. Le système doit réaliser la tâche de conduite entièrement Oui Oui 2. Le système doit contrôler les mouvements longitudinaux et latéraux du véhicule Oui Oui (?) 7. Le système doit adapter ses comportements aux risques pour la sécurité Oui Si nécessaire 8. Le système doit adapter son comportement aux conditions de trafic de son environnement Oui (?) 30. Le système doit gérer les sorties courtes d?ODD Oui Oui 31. A la suite d?une collision, le système doit arrêter le véhicule et se désactiver Oui Si nécessaire (?) La matrice de test sur pistes sera une déclinaison de la matrice générale en incorporant à la fois des scénarios permettant de répondre aux exigences de haut niveau, des exigences de sécurité sur l?état et les réponses du système, des spécifications additionnelles (durée minimale du test, paramètres particuliers) et l?évaluation des spécifications. Exemple d?une matrice de tests sur pistes d?essais sur un modèle de quatre colonnes : ? Scénario : destinée à renvoyer les essais au scénario sur lequel ils sont basés ; les scénarios doivent couvrir la situation de trafic, les éléments d?infrastructure, les événements extérieurs type objets, éléments d?ODD ; ? Exigences de sécurité : destinée à renvoyer les essais aux exigences de sécurité pertinentes pour le scénario ; les exigences doivent permettre de déterminer les critères de pass/faill ; ? Spécifications supplémentaires des tests : destinée à compléter la description du scénario par des informations ou des paramètres supplémentaires nécessaires à la réalisation de l?essai sur piste ; ? Spécification de l?évaluation : destinée à présenter la spécification de l?évaluation. Scénario Exigence(s) de sécurité Spécifications supplémentaires des tests Spécification de l?évaluation Circulation en ligne droite sans entrave ? Positionnement latéral sûr dans une voie de circulation ? Test pendant une durée minimum de 5 min L'essai doit démontrer que le système ne quitte pas son couloir et maintient une position stable à l'intérieur de son couloir sur toute la plage de vitesse prévue dans son ODD. 13 Circulation en courbe sans entrave ? Positionnement latéral sûr dans une voie de circulation ? Adaptation à la courbure de la voie ? Test pendant une durée minimum de 5 min L'essai doit démontrer que le système ne quitte pas son couloir et maintient une position stable à l'intérieur de son couloir d'ego sur toute la plage de vitesse et les différentes courbures prévue dans son ODD. Insertion par un autre véhicule devant l?ego en circulation dans sa voie ? Réponse sûre aux insertions (cut-in) ? Positionnement longitudinal sûr en poursuite ? Scénario avec des paramètres sélectionnés pour vérifier la réponse du système en matière d'évitement lors d'une insertion dangereuse L'essai doit démontrer que le système est capable d'éviter une collision avec un véhicule s'engageant sur la voie de l?ego jusqu'à une certaine criticité de la manoeuvre d'engagement. Sortie d?ODD ? Détection des limites de son ODD L'essai doit démontrer que l'ADS est capable d'amener le véhicule à un arrêt sûr lors d?une sortie d?ODD. Ce pilier interagit principalement avec le pilier simulation. Les informations générées pendant les tests sur piste peuvent utilement être utilisées comme données pour valider les tests virtuels en comparant les performances du système dans un test virtuel avec ses performances sur une piste de tests lors de l'exécution du même scénario. Le tableau suivant présente les avantages et inconvénients du pilier des tests sur piste d?essais. Avantages Inconvénients ? contrôlabilité : de nombreux aspects des tests, dont certains aspects de l?ODD sont contrôlés ; ? fidélité : les systèmes intégrés dans les tests sont réalistes ; ? reproductibilité : les scénarios de test peuvent être reproduits dans différents endroits par différentes entités de test ; ? répétabilité : de multiples itérations peuvent être réalisées avec les mêmes paramètres, dans les mêmes conditions ; ? efficacité : les essais en circuit fermé peuvent accélérer l'exposition à des événements rares connus ou à des scénarios critiques pour la sécurité en les mettant en place comme des scénarios d'essai explicitement conçus ; ? les essais sur piste peuvent être utilisés pour valider la qualité de la chaîne d'outils de simulation en comparant les performances d'un système dans le cadre d'un essai de simulation avec ses performances sur une piste d'essai lors de l'exécution du même scénario. ? temps significatif : un test peut nécessiter beaucoup de temps pour la paramétrisation et l?exécution ; ? coûteux : personnel requis et coût des dispositifs utilisés ; ? variabilité limitée : l?infrastructure et les conditions de réalisation peuvent être difficiles à mettre en oeuvre et peuvent être restreintes (géométries, dimensions, ?) ; ? risques pour la sécurité : les essais sur piste avec des véhicules physiques et des obstacles réels constituent un environnement potentiellement incertain et dangereux pour les participants ; ? représentativité limitée même avec une fidélité accrue (exemple des piétons représentés par des mannequins). NB : de même que pour le précédent pilier simulation, les tests sur piste concerneront aussi bien la validation du système technique que la validation du STRA. Le document EU ADS ACT [8] fournit une première liste de scénarios à tester. 14 4. Pilier 3 : Tests sur route ouverte Les tests sur route ouverte, utilisant les voies ouvertes à la circulation publique, doivent permettre de tester et d?évaluer les performances du système étudié en conditions réelles de trafic. Le recours aux tests sur route doit être réservé aux tests : ? pour lesquels le recours aux autres types d?activité n?est pas techniquement possible, ou représentatif (permettre d?exposer le système à un environnement particulier, détecter des insuffisances fonctionnelles), et, ? pour lesquels les risques associés à la réalisation du test pour le personnel et les tiers sont acceptables. La réalisation des tests sur route ouverte est aussi encadrée par l?approche par matrices de tests, dont la matrice des essais en conditions réelles leur est spécifiquement dédiée. La matrice générale (cf. partie pilier 2) de tests présente les situations de trafic qui devraient être rencontrées lors des essais en conditions réelles. Étant donné la nature dynamique du trafic sur les routes publiques, il est peu probable que les situations de trafic se produisent exactement comme décrit dans les scénarios de trafic développés, c?est pourquoi ils ne sont pas référencés dans la matrice spécifique d?essais en conditions réelles. Au lieu de cela, les situations de trafic énumérées dans la matrice générale seront décrites dans les protocoles d'essai accompagnant la matrice d'essai sur route ouverte. Ces descriptions envisagées seront plutôt générales afin de s'assurer qu'il y a une très forte probabilité qu'elles soient rencontrées lors des tests sur route ouverte. Les autres champs de la matrice représentent la spécification d'évaluation par exigence de sécurité pour les situations de trafic applicables. La vérification d?une exigence générale est corrélée à l?évaluation de plusieurs sous-exigences détaillées comme des « situations » correspondant à un « scénario » (il est fait référence ici à la distinction entre scénario fonctionnel et scénario logique). Exemple d?une matrice de tests sur route ouverte basée sur les exigences de sécurité des tests sur piste d?essais (2ème colonne de la matrice de tests du pilier 2). Les autres colonnes de cette matrice sont spécifiques aux types de situations rencontrées dans l?ODD du système. Exigences de sécurité Situations de conduite Conduite en ligne droite Insertion/sortie Franchissement intersection Tourne à droite/gauche (?) Positionneme nt latéral sûr dans sa voie Maintien d?une position stable dans sa voie, dans la plage de vitesses Atteinte d?une position stable dans la voie cible Continuité du positionnement sûr pendant franchissement Retour au positionnement sûr après un mouvement de tourne à droite/gauche Réponse en sécurité à un cut-in Adaptation de son positionnement en réponse à un cut-in (nominal) ; Réponse appropriée suite à un cut-in dangereux Positionneme nt sûr dans la voie en poursuite de véhicule Maintien d?un positionnement longitudinal stable en poursuite Maintien d?un positionnement longitudinal stable pendant un mouvement d?insertion/sortie Maitien d?un positionnement longitudinal stable en franchissement d?une intersection Maitien d?un positionnement longitudinal stable pendant un tourne à droite/gauche 15 NB : des circulations en conditions réelles, sans voyageurs, sont exigés par l'article R. 3152-12 du code des transports à des fins de vérifications préalables à la mise en service. Ces dernières utilisent le parcours ou la zone prédéfini du STRA pour procéder aux dernières vérifications relatives au fonctionnement du système dans son environnement d?exploitation réel. La réalisation de ces tests spécifiques à la marche à blanc, est, lorsqu?ils sont effectués en délégation de conduite, soumise à l?accord de l?OQA, qui s?assure de la maîtrise des risques pour les tiers sur analyse du dossier préalables aux essais (DPE). Les tests en conditions réelles paraissent pertinents pour évaluer les aspects des performances du STRA, liés à sa capacité à gérer les conditions de circulation réelles, correspondant à des exigences non strictement réglementaires et « binaires » tels que adopter une conduite souple, avoir la capacité de faire face à un trafic dense, gérer avec prudence les interactions avec les autres usagers de la route, se maintenir dans la fluidité du trafic, respecter les règles d?usage et de civilité envers les autres véhicules. Des tests en conditions réelles permettent également d?évaluer les performances du STRA à certaines limites d?ODD6 (scénarios nominaux et complexes), y compris les demandes d?intervention à distance lorsque nécessaire. En outre, des essais sur route ouverte permettent de détecter des problèmes qui pourraient ne pas être bien représentés par les essais sur piste et la simulation, tels que la limitation de la qualité de la perception (par exemple en raison des conditions de luminosité, de la pluie). Les tests sur route ouverte peuvent également permettre l'identification de cas extrêmes et d'autres situations dangereuses imprévues générées par une altération inopinée des caractéristiques du parcours, qui pourraient contribuer à l'amélioration des analyses de risques et finalement de la conception de systèmes sûrs. Bien qu'il ne soit pas possible de rencontrer tous les scénarios de trafic lors d'un test en conditions réelles, la probabilité de couvrir des scénarios complexes spécifiques pourrait être augmentée en examinant, sur le parcours, quand et où des éléments spécifiques (par exemple, un trafic à forte ou à faible densité) se produisent habituellement. Les tests sur route ouverte dans la zone ou sur le parcours de circulation d?un STRA peuvent permettre l?identification de situations potentiellement critiques. Le nombre de scénarios réalisables en conditions réelles est limité, ce qui implique de chercher à accroître la probabilité de couverture des scénarios complexes et spécifiques en sélectionnant un type spécifique de domaine d?emploi et en examinant les lieux et instants où des éléments spécifiques sont susceptibles de se produire (ce qui est réalisé via les analyses de risques). La marche à blanc peut être vue comme un cas d?application pertinent des tests sur route ouverte, afin de vérifier l?ensemble du système en conditions réelles et sans voyageurs. En complément la phase de marche à blanc permet de : ? procéder aux derniers ajustements, ? rôder les procédures d?exploitation, en mode normal mais aussi en conditions dégradées ? pour le personnel d?exploitation, de vérifier la bonne connaissance et la bonne application des procédures liées au STRA, ? pour les usagers de la route, de se familiariser avec la présence des véhicules automatisés Ce pilier est complémentaire aux deux précédents piliers. Les données générées lors des tests en conditions réelles peuvent être utilisées comme données supplémentaires pour valider la pertinence des simulations et des tests sur piste par rapport aux conditions d?exploitation réelles. Il peut aussi permettre d?enrichir la base de scénarios et donc enrichir les simulations et les tests en environnement contrôlé par de nouveaux scénarios, permettant d?identifier des scénarios dits « edge cases » et enrichir les analyses de risques quantifiées. 6 Dans cette partie, le terme générique ODD est remplacé par « domaine d?emploi » dans la mesure où les tests en conditions réelles ne concerneront que le système de transport routier automatisé déployé sur un parcours prédéfini. 16 Le tableau suivant présente les avantages et inconvénients de ce pilier tests en conditions réelles. Avantages Inconvénients ? haute validité du domaine d?emploi : le système est validé dans son domaine d?emploi ; ? peut être utilisé pour tester des éléments des scénarios comme les conditions environnementales et certaines infrastructures (tunnels, pont) ; ? permet de valider les simulations et les tests sur piste en comparant les performances du système pour le même scénario ; ? peut être utilisé pour évaluer les aspects de performance du système en lien avec ses interactions avec les autres usagers de la route, sa courtoisie avec les autres véhicules ; ? valider les modèles, les logiciels et les chaînes d?outils ? contrôlabilité restreinte : le domaine d?emploi sur routes ouvertes est difficilement contrôlable ; ? reproductibilité restreinte : la réplication des scénarios sur route ouverte est difficile ; ? répétabilité restreinte : les itérations multiples sont difficilement faisables sur route ouverte ; ? évolutivité limitée : peu d?évolution des scénarios ; ? coûteux mais pas autant que les tests sur piste ; ? potentiels impacts sur les autorités chargées de la circulation et de la sécurité ; ? nouvelles compétences à acquérir par les autorités ; ? risques pour la sécurité : les personnels de tests et le public peuvent être exposés à des comportements non sûrs du système. La protection des personnes peut rendre complexe la réalisation des tests. 17 5. Pilier 4 : Audit et évaluation Cette partie du document présente brièvement le pilier audit et évaluation d?un système en général. Par ailleurs, on se référera au guide OQA7 en ce qui concerne l?évaluation de la sécurité des systèmes de transport routier automatisés en France et l?audit de sécurité de ces systèmes en exploitation. L?objectif du pilier audit et évaluation est d?évaluer et démontrer que : ? les concepteurs de systèmes ont mis en oeuvres les bons procédés pour assurer la sécurité opérationnelle et fonctionnelle du système pendant son cycle de vie, et ? la conception du système est sure par conception et suffisamment validé avant son introduction sur le marché. Ce pilier est composé de deux volets principaux : l?audit des processus des concepteurs de systèmes établis via le système de gestion de la sécurité du concepteur, et l?évaluation de la sécurité de la conception du système. L?audit peut recourir à : ? la robustesse des processus en place afin d?assurer la sécurité au cours du cycle de vie du système (phase de développement, de production, mais aussi d?exploitation et démantèlement) ; ? l?identification des risques et des aléas pertinents pour le système étudié et la mise en place d?un concept « sûr par conception » pour atténuer les risques ; ? la validation de l?évaluation des risques et du concept « sûr par conception » à travers des tests par le concepteur afin de montrer que le système satisfait les exigences de sécurité avant sa mise sur le marché. En tant que tels, ces éléments - évaluation des risques, concept de sécurité par la conception et tests de validation - peuvent être utilisés pour démontrer la sécurité globale du système d'une manière beaucoup plus solide qu'un nombre limité de tests physiques/virtuels. L?objectif de l?audit du système de gestion de la sécurité du concepteur est de démontrer que le concepteur a mis en oeuvre des processus robustes de gestion des risques pour la sécurité et d?assurer la sécurité tout au long du cycle de vie du système. Le contrôle des risques s?articule autour des trois dimensions suivantes : les composantes humaines, les composantes organisationnelles et les composantes techniques. L?audit porte également sur la mise en place de processus d?évaluation pour la phase opérationnelle (remontée des accidents, événements, nouveaux scénarios) afin de permettre à l?ensemble de l?écosystème de tirer des enseignements du retour d?expérience opérationnel. L?objectif de l?audit de sécurité par conception est de démontrer que les risques et aléas pertinents pour le système ont été identifiés et qu?un concept cohérent de sécurité dans la conception a été mis en place pour atténuer ces risques. Il s?agit aussi de démontrer que l?évaluation du risque et de la sécurité par conception ont été validé par le concepteur par le biais de test ; démontrant, avant la mise en service du véhicule, que le système répond aux exigences de sécurité et en particulier que le système est exempt de risque déraisonnablement prévisible pour les autres usagers de la route8. 7 Mission de l?organisme qualifié agréé pour l?évaluation de la sécurité et pour l?audit de sécurité en exploitation des STRA, STRMTG, 26 octobre 2022 8 Traduction de « is free of unreasonable safety risks to the broader transport ecosystem ». 18 6. Pilier 5 : Surveillance en exploitation La surveillance en exploitation traite de la sécurité du système en exploitation, après sa mise en service. En pratique, les autres piliers du NATM permettent de s?assurer que le système mis en service ne présente pas de risque déraisonnable lors de son introduction, tandis que le pilier de surveillance en exploitation permet de s?assurer de l?exploitation sure sur le terrain et démontrer que le système continue d?être sûr en circulation. Ce pilier tient compte de la nature dynamique du transport routier pour garantir la sécurité de tous les usagers de la route. Ce pilier consiste en le relevé de données pertinentes pendant l?exploitation du système. En France, ce pilier concerne le STRA déployé sur un parcours ou zone prédéfini, dans le cadre du décret STRA. Les trois objectifs principaux de la surveillance et de rapports en exploitation sont d?utiliser l?analyse rétrospective des données provenant des concepteurs et autres sources pertinentes pour : ? démontrer que l?évaluation initiale de la sécurité (risque résiduel) dans la phase d'audit avant la mise sur le marché est confirmée suite à la mise en oeuvre sur le terrain ; ? alimenter la base de données commune de scénarios avec de nouveaux scénarios importants observés sur le terrain ; ? élaborer des recommandations de sécurité pour l'ensemble de l?écosystème en partageant les enseignements tirés des accidents/incidents de sécurité majeurs afin de permettre à l'ensemble de la communauté de tirer des enseignements du retour d'information opérationnel, favorisant ainsi l'amélioration continue de la technologie et de la réglementation. La mise en place des processus de la surveillance en exploitation n?est pas l?objectif de ce document, qui fera l?objet d?un document du STRMTG. Ce pilier présuppose que le niveau réel de sécurité ne sera confirmé que lorsqu?un nombre suffisant de STRA seront déployés et soumis à une variété suffisante de conditions de circulation et d?environnements (dans la limite du domaine d?emploi prévu). A cette fin, une boucle de rétroaction de surveillance du système peut être mise en place pour confirmer le concept de sécurité de conception et la validation du concepteur du système. Le retour d'expérience de la surveillance en service permettra d'évaluer a posteriori les exigences réglementaires et les méthodes de validation et pourrait fournir des indications sur les questions de sécurité à consolider. De nouveaux scénarios et de nouveaux risques pourraient être introduits par les STRA. Par conséquent, le pilier de la surveillance en service pourrait être utilisé pour générer de nouveaux scénarios dans la base de données commune de scénarios afin de couvrir ces nouveaux risques pour la sécurité. Enfin, tirer des enseignements des accidents impliquant des véhicules intégrés dans des STRA, afin de prévenir les accidents pour les autres systèmes en service sera possible. Les données de terrain peuvent constituer un moyen utile pour évaluer la performance réelle du système en exploitation à partir d?un panel de conditions de trafic. Elles permettent également d?alimenter la base de scénarios, en particulier en ce qui concerne ceux dérivés d?une utilisation accrue de ces systèmes. La gestion de la quantité de données générées et à analyser peut présenter une limite de ce pilier ; des méthodes permettant de vérifier la fiabilité et leur comparabilité (format) des données collectées pourraient ainsi être développées. 19 Bibliographie 1. DGITM, Guide méthodologique « Démonstration de sécurité des systèmes de transport routier automatisés : Apports attendus des scénarios de conduite », février 2022. 2. DGITM, Guide méthodologique « Démonstration de sécurité des systèmes de transport routier automatisés : Apports attendus des scénarios d?interaction avec les véhicules prioritaires bénéficiant de facilités de passage et d?interactions avec les agents des forces de l?ordre », juillet 2022. 3. DGITM, « Démonstration de sécurité des systèmes de transports routiers automatisés : apport des scénarios de conduite ? Génération, alimentation et génération », septembre 2022 4. STRMTG « Systèmes de Transport Routier Automatisés : Principe ?GAME? Globalement Au Moins Equivalent », Guide d?application, 20 décembre 2021, 24 pages (V1). 5. STRMTG, « Guide d?application relatif à la mission de l?organisme qualifié agréé pour l?évaluation de la sécurité et pour l?audit de sécurité en exploitation des STRA », novembre 2022 6. Loi LOM, Décret n° 2021-873 du 29 juin 2021 portant application de l'ordonnance n° 2021-443 du 14 avril 2021 relative au régime de responsabilité pénale applicable en cas de circulation d'un véhicule à délégation de conduite et à ses conditions d'utilisation. JORF n°0151 du 1 juillet 2021 7. Ordonnance n° 2021-443 du 14 avril 2021 relative au régime de responsabilité pénale applicable en cas de circulation d'un véhicule à délégation de conduite et à ses conditions d'utilisation. JORF n°0089 du 15 avril 2021 8. Commission Implemented Regulation (EU) ?Uniform procedures of technical specifications for the type approval of motor vehicles with regard to their automated driving system (ADS)?, Motor Vehicle Working Group, 2022 9. UN Regulation N° 152 ? ?Uniform provisions concerning the approval of motor vehicles with regard to the Advanced Emergency Braking System (AEBS) for M1 and N1 vehicles? ECE/TRANS/WP.29/2020, 30 October 2020, http://www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29fdocstts.html 10. GRVA, ?Uniform provisions concerning the approval of vehicles with regard to Automated Lane Keeping Systems?, UN ECE R157, Informal document GRVA-06-02-Rev.4, 6th GRVA, 3 ? 4 March 2020 http://www.unece.org/fileadmin/DAM/trans/doc/2020/wp29grva/GRVA-06-02r1e.pdf 11. VMAD, ?New Assessment/Test Method for Automated Driving (NATM), Guidelines for Validating Automated Driving System (ADS)?, UN ECE, WP29 VMAD IWG, 2021 12. ISO 34501, Véhicule routiers ? Termes et définitions pour les scénarios de tests de systèmes de conduite automatisée, TC 22, SC33, WG9, 2022 13. ISO DIS 34502, Véhicule routiers ? Cadre d'évaluation de la sécurité basé sur des scénarios pour les systèmes de conduite automatisée, TC22, SC33, WG9, 2022 14. ISO DIS 34503, Véhicules routiers ? Scénarios d'essai pour les systèmes de conduite automatisée ? Taxonomie pour le domaine de conception opérationnelle, TC22, SC33, WG9, 2022 15. ISO AWI 34504, Véhicules routiers ? Attributs et catégorisation des scénarios, TC22, SC33, WG9, 2022 16. ISO/IEC/IEEE 24765:2017 ?Systems and software engineering-Vocabulary" 17. PFA, ?French automotive industry Safety Argumentation for automated vehicles. SAE automation levels 3 and 4? PFA/ CSTA14/ Safety Working Group, March 2019.WP29 Secretariat, ?Revised Framework document on automated/autonomous vehicles?, ECE/TRANS/WP.29/2019/34, WP.29- 178-10-Rev.2 , 25-28 June 2019 https://www.unece.org/fileadmin/DAM/trans/doc/2020/wp29/ECE-TRANS-WP29-2019-34- Rev2e.pdf 18. JRC, Testing and certification of automated vehicles (AV) including cybersecurity and artificial intelligence aspects, 2020 19. IEEE, ?Standard for System, Software, and Hardware Verification and Validation?, 1012-2017 https://www.legifrance.gouv.fr/jorf/jo/2021/07/01/0151 https://www.legifrance.gouv.fr/jorf/jo/2021/04/15/0089 https://www.legifrance.gouv.fr/jorf/jo/2021/04/15/0089 http://www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29fdocstts.html http://www.unece.org/fileadmin/DAM/trans/doc/2020/wp29grva/GRVA-06-02r1e.pdf https://www.unece.org/fileadmin/DAM/trans/doc/2020/wp29/ECE-TRANS-WP29-2019-34-Rev2e.pdf https://www.unece.org/fileadmin/DAM/trans/doc/2020/wp29/ECE-TRANS-WP29-2019-34-Rev2e.pdf 20 Annexe : Participants au groupe de travail scénarios Ce document méthodologique a été rédigé dans le cadre du groupe de travail sur les scénarios copiloté par la DGITM et l?IRT SystemX, avec la participation des membres présentés dans le tableau suivant. Rédacteur Organisme Xavier DELACHE DGITM Elsa LANAUD DGITM Manel BRINI IRT SystemX Contributeur Organisme Aymeric AUDIGE DGITM Vincent HONNET IRT SystemX Sébastien COURTET Alstom Azedine LEBDIRI Alstom Stéphane MILET DGGN Cyril KREKOUNIAN DGGN Frédéric CALAIS DGGN Emmanuel ARNOUX Renault Pierre JOUVE STRMTG Florent SOVIGNET STRMTG Léo MAISONOBE STRMTG Frédéric LENTI Stellantis Stéphane GERONIMI Stellantis Elodie CHATEAUROUX Transpolis Philippe VEZIN UGE Hélène TATTEGRAIN UGE Noëlle FAVIER UGE Aurélien GARCIA UTAC Rafael DE SOUSA FERNANDES UTAC Richard DENIS Valéo