安全验证
more
B.2【  文档 【 B—.2.1  要求】 —    应》具有相应的文—档以说明转向电子控!制系统的功能概念】、为:实现:安,全目标而制定的【功能安全《概,念,、,安全:策略、?开,。发过程和《方法以证明系统 !    【 通过设计保证【。。。系统在非故障和故】障状态下均能—实现功能概》念和功能安全—概念 ?   【  在非故障和故障!状态:下满足本标准—。规定:的性能要求》 《     开【发过程?和方法?是,适用的 — B.2—。.2: , 转:向电子控制系统描述!   】  B.2.2.1! , 应描?述转向电子控制系】统的功能概念即目的!和,功能描述清单— 》     B—。.2:.2.2  应【定义转向电子—控制系统的范围【明确子系统和要素并!识别与其存》在交互关系的外部】系统或要素》 ,。   【  B.2.2【.3: , 应定义转》向电子控制系—统,的运行条《件和约束限制针对相!应的系统功能说【明有效工作范围【的界限? 》 B.2.3 【 系统布《局及原理图 —  —   B《.2.3.1—  系统组件清单】 》。       应】提供组件清单该【。清单应包含系—统的所有组》件单元同时也应列】明为实现相关—控制功能所》需的车辆《其他系统 — ,       !应,基,于这些组件单元提】供系:统布:局及原?理图该图应能够清晰!地展:示组件分布和—相互连接 】 :    B.2.3!.,2  单元功能 】 ?  ?     应概述】系统各?单元的功能并展示】该单:元与其他《单元或车辆其—他系统间的信号连接!可使用带标》。记的框图或其他示意!图,也可:借助图表说明 【 ?  ? , , B.2.》3.3  相—互连接?   】   ? ,用电路?图、管路图和布置简!图分别?说明电子《。传输链、《液,压传输链《和机械连接装—置在系统内》部的相?互连接 —。     【B.2.3.4  !信号流、运》行数据和《优先:顺序: : : ,      — 单元间《的传:输链与信《号,、运行数据应有【明确的对应关—系,    !   如《优先顺序《影响:本标准所《述性能?。或安:全应确定多元数据通!道,内的信号、运行数】据的优先顺》序 《     【B.2.《3.5  单—元的识?别 ? :。 ,。     》 , 应能清晰明确地识!别,每个:单元(例如对硬件】的,标识、对软》件内:容的标识《或软件输出)并【提供相应的》说明 》      】 ,内部集成了多个功】能的单?元或单个处理—器在框图《里,多次出?。现时为?清晰和便于解释【仅用一个硬件识【别标志应利用识别标!。志确认所提》。供的装置与相应【的文档一《致 》       识!别标志应明确硬件和!软件的版本如版本变!化引起?本标准?所述:。功能:的,改变应?对识别标志作相应地!改变 ? B.【2.4  危害分析!和风:险评估 —   》  应对转》。向电子控制》系统的功能性—。故障进行分析并【归类 》     【应,根据车辆《目标使?用场景及目标用户】分析潜在危害—并定义相《应的汽车《安全完整性等级(A!SI:L)参见G》B/T 34—590.3 !     应针】对潜在危《。害定义安全》目标:。并进行归类 ! ,。 B.2.5  功!能安全概念 】     【B.2?。.5.1 》 应确保为实现【安全目标而选择的安!全策略不会在故障条!件、非故障条件下影!响,车辆的安《全运行转向》电,子控制系统相关危】害的功能安全要【求应至?少包含表B》.1中所列出的要】求 《 ? 》   ?  功能安》全概念和安全策【略的选择除考—。。虑故障条件外还应考!虑非故障《。条件的情况 】 ?    示例对【于非:故障条件的》情况为避免》非预期的转》向力变化过》快而设置的转向变化!梯度约束可能对【。紧急:转向工况带》来不利影《响 《 ?   ? ,根据GB/T 3】4590.3AS】IL等级《的,定义适用于因故【障条件而导致—的整车?危害对于《非,故障条件导致—的整车危《害可不定《义ASIL等—级但仍应满足表B.!1中的安全》要求  !   ?。如果出现与表B【.1所列的要求不】一致的?情,况应具备相应的证】据来证明转向电子控!制系统不会因功能】异常表现而导—致不合?理的整?车危害风险应至少】包,括如:下证:据 —       a)!全,部整车危害》风险已被考》虑并制定了合—理的安全目标—。;   ! ,   b《)所制定的安全目】标,针对目标市》。场,是适用和充分—的 —。    《 B.2.》5.2  》在转向电子控制系】统发生故障时—。为满足安全》目标:。而在设?计时可采取的安全措!施(含外部措—施)如下 !    《 ,  利用部分系【统维持工作如在【发生特定失效时【。选择维持《部分性能的运—行模式应《说明条件并界—定其效果 ! ,      —切换到独立的备用系!统如选择备用系统】方式来?实现安目标应—对,切换机制的原—理,。、冗余的逻辑和层】级、备份系统—检,查,特征进行《说明并界定》。备用系统《的效果 》    【   通过关闭上层!功能而进《入安全状《态如选择《关闭上层功能应禁止!与该功能有关的【所有相?应的输出《控制信号以此—来限:制干扰?的传播 !      通过】警告驾驶员将—风险暴露时间—。。降低到一个可—接受的时间区间内】 《 ,   ?  B.2》.5.3  应说明!转向电子控制—系统中软件》的架构概要》、设计和开发—过程:中的逻辑、》所使用的《设,计方法和工具 】     B!.2.5.4  转!向电子控制系统【安,全相关功能》发生失效时应通过警!告信号或提》示信:息等方式警告驾【。驶员 】B.2.6 — 安全分析 】     【B.2.6》.1  应》通过安全《分析从总《体上说?明对影响车辆—运,动控制和安》全目标的危害—和故障进行了有效识!别和处理以》此来支持上述文档】安全分析《应,包括但不限于 【 , ,      】 ,。a)整车层面的安全!分析确认以下—   】      与车】辆其他系《统的交互; — : ,   《  :    功能—异常:表现; 【      【。。   非故障条件】。。下的安全风》险 【   ?   ?b)系统层面的【安全分析可采—用潜在失效模式【与影响分析》(FM?EA)、故》障树分析(F—TA)或适合系统安!。全分析的《其他类似方法 【    】   c)对确认计!划和确认结果—进行检查确认—应基于硬件在环(H!IL)测试、—实车道?路测试或其他适当的!方,法 ? ?   ?。  B.2.—6,.2  应列—出系:。统所监测的参数【同时应针对》B.2?.6.1中定—义的:每,一种:故障情况列出给【予,驾驶员、维修人员】、检测机构人—员的警告信号 【 ?    》 B.2.6.【3  应描述对应的!措施确保系统在性】能,受环境条《件影:。响时如?气候:、温度、灰尘进入】、,。进水、?冰封:等不会妨碍车—辆的安全运行 】