。。
B.2 !文档
—
?
B.2《.1 要求
!
— 应具有相应的文】档以说明转向—电子:控制:系统的功能概念【、,为实现安全目—标而制定《的,功能安全概念、安全!策略、开发》过程和?方法以证明系统
!
,
:
通过【设计保证系》统在非故《障和故障状》态下:均能实?现,功,能概念和功》。能安全概念
【
《 在非故障和!故障状态下》满足本标《准规定的《性能要求
—
》 ?开发过程和方法是适!。用的
【
B.2.》2 转向》电子控制系统—描述
《
:
》 B:.2.2《.,1 : 应描述转向电子】控制系统的功能概】念即:目,的和功能描述清单
!
!B.2.2.—2 ?应定义转向电—子控制系《统的范围明确子【系,。统和要素并识—别与其存在交互【关系的外部系统或要!素
【 B》.2.2.3 】应定义转向电子控】制系统的运行—条,件和:约束限制针对相应的!系统功能说明有效工!作范围的界限
】
B.2.】3 系统布局【及,原理图
—
B.!。2.3.1 系统!组件清单
》
》。 : ? 应提供《组件清单该清单【应包含系统的所有组!件单元同时也应列明!为实现?相关控制功能—所需的车辆其他系统!
?
》。 应基于【这些组?件单元提供系统布】局及原理图该图【应能够清晰地—展示组?件分布和相》互连接
【
—B.:2,。.,3.2 单元功】能,
! 应概》述系统各单元的【功能:并展示该《。单元与其他单—元或车辆其他—系统间的《。。信号连接可使用带】标记的框图或—其他示意图也可借】助图表说明》。
》
? B.2.3.】。3 相互连接
】
【 , 用《电路图、管》路图和布置简图分别!说明电子传输链、】液压传输《链和机械连接装置在!系,统内部的《相互连接
—。
】B.2?.,3.:。。4 信号流、运行!数,据和优先顺序—
?
【 单元间》的传输链《与信号、运行数据应!有明确的对应关系】。
:
— 如优先【顺序:影响本标准所述【性能或?安,全应确?定多:元数据通道内的【信号、运行》数据:的,优先顺序
—
?
》B.2.《3.5 单元的】识别
】 《 应能《清晰明确地识别【每个单元《(例:如对硬件的标识、对!软件内容的标识或软!件,输出)并《提供相?应的说明
!。
内部!集成了多个功能的单!元或单个《处理器在框图里【多次出现时》为清晰和便于解【释仅用?一个:硬件识别《标,志应利用识别标【。志确认?所提供的《装置与相应的—文档一致
!。。
,。 —。识别标志《应明确硬件和—软件的版本》如,版本变化《引起本?标准所述功能的改】变,应对识别标志作【相应地改变
!
:B.2.4 — 危害分析》和风:险评估
【
应对转!向电子控制系统【的功能性故障进行】。分析并归类》
?
:
应根【据车辆目标使用【场,景及目标用户分析】潜在:危害并定义相应的汽!车,安全完?整性:等级(ASIL)】参见GB《/T 34590.!3
》
应【针对:潜在危害《定义:。安全目标《并进行?归类
?
B.【2.5 功能【安全概念
—
】B.2.《5.:1, 应?确保:。为,实现安全目标而【选,择的安全策略不会在!故障条件、非故【障条件下影响车辆的!安全运行转》。向电子控制系统相关!。危害的功《能安全要求应至【少包含表《B.:1中所列出的—要求
【
! 功能安全概【念和安?全策略的选择—。除,。考虑故障条件外还】应考虑非故障条件的!。情况
《
示!例对于非故障条件】的情况为避免非【预期的转向力变化过!。快而设置的转向变化!梯度约束可能对【紧急转?向工:况带来?不利影响
】
《 根据《GB/T 34【590.3ASIL!等级的定义》适用:于因故障条件而导致!的整车危害对于非故!障条:件导致的《整,车危害可不定—义A:SIL等《级但仍应满足表B.!1中的安全要—。求
! 如果出现—与表:B.1所列的要求不!一致的情况应具【备相应的《证据来证明》转向:电,子,控制系统《不会因功能异常【表现而导致不—合理的整车危害风险!应至少包《括如下?证,据
:
】 a)全部整车!。危害风险已被—考虑并制定了合【理的安全目标;
!
! b)所制定的【。安全目标针对目标】市,场是适用和》充分的
》。
?
B.【2.5?.2 在》。转向电子控制系统发!生故障时为满足【安全目标而在设计时!可,采取的安全措—施(含?外,部措施)如》下
:
— 》利用部分系统维【持工:作,如在:。发生特定失效时【选择维持部分性能的!运行模?式应说明条件并界定!其效果?
! 切换到独立的!备用系统《如选择备用系统【方,式来实现安目—标应对切换机—制的原?理、冗余《的逻辑和层级、备份!系统检查特》征进行说明并界定备!用系统?的效:果
《
!通过关闭上层功【能而进?入安:全状态如选》择关闭?上层功能应禁止【与,该功能有关》。的所有相应的输出】控制信?号以此?来限制干扰的传播
!
— 通过【警告驾驶员将风险暴!露时间降低》到一个可接受—的时间区间内
!
B】.2.5.》3 ?应说明转向》电子控制系统中【软件的架构》概,要、设计和开发过】程中的逻辑、—所使用的设计方法和!工具
【
B.2.!5.4 转向电子!控制系统安全相【关,功能发生失效时应通!过警告信号》或,提示信?息等方式警告驾驶员!
,
B.【2.6 安全分】析
—
: : B.?2.6.《1 应通过安【全,分析从总体》上说明?对影响车辆运—动控:制和安全目标—的危害?和故障进《行了有效识别和处】理以此来支》持上述文档安全分析!应包:括但不限于
!
《 a》)整车?层面的安全分析确】认以下
《
》 【 与车辆其他—系,统的交互;
】
,
— 功能异【。常表现;
—
— : 《非故:障条件下的安全【。风险
》
? ? : b)系统层—。面的安全分析可采】用潜在失《效模式与影响分【析(FME》A)、故《障树分析(FT【A):或适:合系统?安全分?析的其他《类似方法
【
【 c)对确—。认计划和确认结果进!行检查确认应—基于:硬件在环(HIL)!测试、实车》道路测试或》其他适当的方—法
【 B.—2,.6.2 应【列出系统《所监测的参数同时应!针对B.2.6.1!中,定义的每一种故障情!况列出给予》驾驶员、维修人员】、检测机构》人员的警告信号
!
:
《 B?.2.6.3 【 应描述对应的措】施确保系统》在性能受环境条【件影响?时如气?候、温度、灰尘进】入、进水、冰—封等不会妨》碍,车辆的安全运行
!