附录B
(规范性附录)
功能安全要求
B.1总则
车辆安全相关电子电气系统发生功能异常时,将会导致潜在的危害事件(例如,车辆正常行驶过程中,发生非预期的自主转向,导致车辆碰撞)。GB/T34590(所有部分)《道路车辆功能安全》阐明了车辆安全相关电子电气系统在安全生命周期内应满足的功能安全要求,以避免或降低因系统发生故障所导致的风险。
本附录规定了转向电子控制系统在功能安全方面的文档、安全策略及验证确认的要求。
本附录不针对转向电子控制系统的标称性能,也不作为转向电子控制系统功能安全开发的具体指导,而是规定设计过程中应遵循的方法和系统验证确认时应具备的信息,以证明系统在
正常运行和故障状态下均能实现功能概念和功能安全概念,并满足本标准规定的、所有适用的性能要求。
B.2文档
B.2.1要求
应具有相应的文档以说明转向电子控制系统的功能概念、为实现安全目标而制定的功能安全概念、安全策略、开发过程和方法,以证明系统:
——通过设计保证系统在非故障和故障状态下均能实现功能概念和功能安全概念。
——在非故障和故障状态下满足本标准规定的性能要求。
——开发过程和方法是适用的。
B.2.2转向电子控制系统描述
B.2.2.1应描述转向电子控制系统的功能概念,即目的和功能描述清单。
B.2.2.2应定义转向电子控制系统的范围,明确子系统和要素,并识别与其存在交互关系的外部系统或要素。
B.2.2.3应定义转向电子控制系统的运行条件和约束限制,针对相应的系统功能,说明有效工作范围的界限。
B.2.3系统布局及原理图
B.2.3.1系统组件清单
应提供组件清单,该清单应包含系统的所有组件单元,同时也应列明为实现相关控制功能所需的车辆其它系统。
应基于这些组件单元提供系统布局及原理图,该图应能够清晰地展示组件分布和相互连接。
B.2.3.2单元功能
应概述系统各单元的功能,并展示该单元与其它单元或车辆其它系统间的信号连接。可使
用带标记的框图或其它示意图,也可借助图表说明。
B.2.3.3相互连接
用电路图、管路图和布置简图分别说明电子传输链、液压传输链和机械连接装置在系统内部的相互连接。
B.2.3.4信号流、运行数据和优先顺序
单元间的传输链与信号、运行数据应有明确的对应关系。
如优先顺序影响本标准所述性能或安全,应确定多元数据通道内的信号、运行数据的优先顺序。
B.2.3.5单元的识别
应能清晰明确地识别每个单元(例如,对硬件的标识、对软件内容的标识或软件输出)并提供相应的说明。
内部集成了多个功能的单元或单个处理器,在框图里多次出现时,为清晰和便于解释,仅用一个硬件识别标志。应利用识别标志确认所提供的装置与相应的文档一致。
识别标志应明确硬件和软件的版本,如版本变化引起本标准所述功能的改变,应对识别标志作相应地改变。
B.2.4危害分析和风险评估
应对转向电子控制系统的功能性故障进行分析,并归类。
应根据车辆目标使用场景及目标用户,分析潜在危害,并定义相应的汽车安全完整性等级(ASIL),参见GB/T34590。
应针对潜在危害,定义安全目标,并进行归类。
B.2.5功能安全概念
B.2.5.1应确保为实现安全目标而选择的安全策略不会在故障条件、非故障条件(例如:功能局限、合理可预见的误用条件)下影响车辆的安全运行。转向电子控制系统相关危害的
功能安全要求应至少包含表 D.1中所列出的要求。
表B.1转向电子控制系统相关危害的安全目标
序号整车危害ASIL等级安全目标
1非预期的侧向运动D车辆非预期的侧向运动应满足非预期侧向运动的安全度量
2非预期地失去侧向运动控制D 应确保驾驶员对车辆侧向运动的控制能力,相应转向操纵力应满足非预期失去转向控制的安全度量
3失去助力情况下的转向沉重QM或A转向操纵力应满足转向沉重的安全度量
注:安全度量应基于目标市场来确定。
如果出现与表 D.1所列的要求不一致的情况,应具备相应的证据来证明转向电子控制系统不会因功能异常表现而导致不合理的整车危害风险。应至少包括如下证据:
a)全部整车危害风险已被考虑,并制定了合理的安全目标;
b)所制定的安全目标针对目标市场是适用和充分的。
B.2.5.2在转向电子控制系统发生故障时,为满足安全目标而在设计时可采取的安全措施(含外部措施)如下:
——利用部分系统维持工作。如在发生特定失效时选择维持部分性能的运行模式,应说明条件并界
定其效果。
——切换到独立的备用系统。如选择备用系统方式来实现安全目标,应对切换机制的原理、冗余的逻辑和层级、备份系统检查特征进行说明并界定备用系统的效果。
——通过关闭上层功能而进入安全状态。如选择关闭上层功能,应禁止与该功能有关的所有相应的输出控制信号,以此来限制干扰的传播。
——通过警告驾驶员,将风险暴露时间降低到一个可接受的时间区间内。
B.2.5.3应说明转向电子控制系统中软件的架构概要、设计和开发过程中的逻辑、所使用的
设计方法和工具。
B.2.5.4转向电子控制系统安全相关功能发生失效时,应通过警告信号或提示信息等方式警告驾驶员。
B.2.6安全分析
B.2.6.1应通过安全分析从总体上说明对影响车辆运动控制和安全目标的危害和故障进行了有效识别和处理,以此来支持上述文档。
安全分析应包括但不限于:
B.2.6.1.1整车层面的安全分析,确认以下:
——与车辆其它系统的交互;
——功能异常表现;
——非故障条件下的安全风险(例如对车辆周边环境缺乏理解或错误的理解);
—
—合理可预见的误用。
B.2.6.1.2系统层面的安全分析,可采用潜在失效模式与影响分析(FMEA)、故障树分析(FTA)或适合系统安全分析的其它类似方法。
B.2.6.1.3对确认计划和确认结果进行检查,确认应基于硬件在环(HIL)测试、实车道路测试或其它适当的方法。
B.2.6.2应列出系统所监测的参数,同时应针对 D.2.6.1中定义的每一种故障情况,列出给予驾驶员、维修人员、检测机构人员的警告信号。
B.2.6.3应描述对应的措施,确保系统在性能受环境条件影响时,如气候、温度、灰尘进入、进水、冰封等,不会妨碍车辆的安全运行。
B.3验证和确认
B.3.1应按照D.2中相关文档的描述,进行下列试验,对转向电子控制系统的功能概念和功能安全概念进行验证和确认。
B.3.1.1功能概念的验证和确认
除需要按照本标准或其他标准规定的专门试验程序进行功能试验,应按照 D.2.2.1的功能概念,执行车辆系统非故障状态下的功能试验,作为确定系统正常运行水平的方法。
B.3.1.2功能安全概念的验证和确认
应通过向电子电气组件或机械组件施加相应的信号,来模拟组件内部故障的影响,以检查单个组件失效时的反应。
应针对 D.2.5.1中的故障条件、非故障条件、功能局限、合理可预见的误用条件下的可控性、人机交互(HMI)进行验证和确认。
验证和确认的结果应与 D.2.5一致,并说明功能安全概念及其实施效果的充分性。
B.4评估报告
B.4.1评估报告应具有可追溯性,例如对所检查文档的版本进行编号并记录。本附录给出了评估报告的示例。
B.4.1.1基本信息
B.4.1.1.1车辆信息
制造商名称:___________
车型:___________VIN:____________
B.4.1.1.2制造商提供的文档信息
文档编号:____________
原始版本发布时间:____________
最终版本发布时间:____________
B.4.1.2转向电子控制系统描述
总体描述:___________
系统所有的控制功能描述,以及操作方法:____________
系统中关联的组件和图表的描述:____________
B.4.1.3功能安全概念
信号流、运行数据和优先顺序说明:___________
制造商声明(例如:制造商应确保为实现安全目标而选择的安全策略不会在故障条件、非故障条件(例如:功能局限、合理可预见的误用条件)下影响车辆的安全运行):____________软件架构概要及所使用的设计方法和工具:____________
汽车转向系统故障系统在故障条件下的设计说明:____________
发布评论