汽车转向系 基本要求GB17675-2021 建标库
more

B.2  文档

B.2.1  要求

    应具有相应的文档以说明转向电子控制系统的功能概念、为实现安全目标而制定的功能安全概念、安全策略、开发过程和方法,以证明系统:

    ——通过设计保证系统在非故障和故障状态下均能实现功能概念和功能安全概念。

    ——在非故障和故障状态下满足本标准规定的性能要求。

    ——开发过程和方法是适用的。

B.2.2  转向电子控制系统描述

    B.2.2.1  应描述转向电子控制系统的功能概念,即目的和功能描述清单。

    B.2.2.2  应定义转向电子控制系统的范围,明确子系统和要素,并识别与其存在交互关系的外部系统或要素。

    B.2.2.3  应定义转向电子控制系统的运行条件和约束限制,针对相应的系统功能,说明有效工作范围的界限。

B.2.3  系统布局及原理图

    B.2.3.1  系统组件清单

      应提供组件清单,该清单应包含系统的所有组件单元,同时也应列明为实现相关控制功能所需的车辆其他系统。

      应基于这些组件单元提供系统布局及原理图,该图应能够清晰地展示组件分布和相互连接。

    B.2.3.2  单元功能

      应概述系统各单元的功能,并展示该单元与其他单元或车辆其他系统间的信号连接。可使用带标记的框图或其他示意图,也可借助图表说明。

    B.2.3.3  相互连接

      用电路图、管路图和布置简图分别说明电子传输链、液压传输链和机械连接装置在系统内部的相互连接。

    B.2.3.4  信号流、运行数据和优先顺序

      单元间的传输链与信号、运行数据应有明确的对应关系。

      如优先顺序影响本标准所述性能或安全,应确定多元数据通道内的信号、运行数据的优先顺序。

    B.2.3.5  单元的识别

      应能清晰明确地识别每个单元(例如,对硬件的标识、对软件内容的标识或软件输出)并提供相应的说明。

      内部集成了多个功能的单元或单个处理器,在框图里多次出现时,为清晰和便于解释,仅用一个硬件识别标志。应利用识别标志确认所提供的装置与相应的文档一致。

      识别标志应明确硬件和软件的版本,如版本变化引起本标准所述功能的改变,应对识别标志作相应地改变。

B.2.4  危害分析和风险评估

    应对转向电子控制系统的功能性故障进行分析,并归类。

    应根据车辆目标使用场景及目标用户,分析潜在危害,并定义相应的汽车安全完整性等级(ASIL),参见GB/T34590.3。

    应针对潜在危害,定义安全目标,并进行归类。

B.2.5  功能安全概念

    B.2.5.1  应确保为实现安全目标而选择的安全策略不会在故障条件、非故障条件下影响车辆的安全运行。转向电子控制系统相关危害的功能安全要求应至少包含表B.1中所列出的要求。

    功能安全概念和安全策略的选择除考虑故障条件外,还应考虑非故障条件的情况。

    示例:对于非故障条件的情况,为避免非预期的转向力变化过快而设置的转向变化梯度约束,可能对紧急转向工况带来不利影响。

    根据GB/T34590.3,ASIL等级的定义适用于因故障条件而导致的整车危害,对于非故障条件导致的整车危害可不定义ASIL等级,但仍应满足表B.1中的安全要求。

    如果出现与表B.1所列的要求不一致的情况,应具备相应的证据来证明转向电子控制系统不会因功能异常表现而导致不合理的整车危害风险。应至少包括如下证据:

      a)全部整车危害风险已被考虑,并制定了合理的安全目标;

      b)所制定的安全目标针对目标市场是适用和充分的。

    B.2.5.2  在转向电子控制系统发生故障时,为满足安全目标而在设计时可采取的安全措施(含外部措施)如下:

      ——利用部分系统维持工作。如在发生特定失效时选择维持部分性能的运行模式,应说明条件并界定其效果。

      ——切换到独立的备用系统。如选择备用系统方式来实现安目标,应对切换机制的原理、冗余的逻辑和层级、备份系统检查特征进行说明并界定备用系统的效果。

      ——通过关闭上层功能而进入安全状态。如选择关闭上层功能,应禁止与该功能有关的所有相应的输出控制信号,以此来限制干扰的传播。

      ——通过警告驾驶员,将风险暴露时间降低到一个可接受的时间区间内。

    B.2.5.3  应说明转向电子控制系统中软件的架构概要、设计和开发过程中的逻辑、所使用的设计方法和工具。

    B.2.5.4  转向电子控制系统安全相关功能发生失效时,应通过警告信号或提示信息等方式警告驾驶员。

B.2.6  安全分析

    B.2.6.1  应通过安全分析从总体上说明对影响车辆运动控制和安全目标的危害和故障进行了有效识别和处理,以此来支持上述文档。安全分析应包括但不限于:

      a)整车层面的安全分析,确认以下:

        ——与车辆其他系统的交互;

        ——功能异常表现;

        ——非故障条件下的安全风险。

      b)系统层面的安全分析,可采用潜在失效模式与影响分析(FMEA)、故障树分析(FTA)或适合系统安全分析的其他类似方法。

      c)对确认计划和确认结果进行检查,确认应基于硬件在环(HIL)测试、实车道路测试或其他适当的方法。

    B.2.6.2  应列出系统所监测的参数,同时应针对B.2.6.1中定义的每一种故障情况,列出给予驾驶员、维修人员、检测机构人员的警告信号。

    B.2.6.3  应描述对应的措施,确保系统在性能受环境条件影响时,如气候、温度、灰尘进入、进水、冰封等,不会妨碍车辆的安全运行。