安全验证
more
, ,。 B.《。2  ?文档 ? 【B.2.1  要】求 :  —  : 应具有相应的文档!以说:明转向电子》控,制系统的《功能概念、为实【现安全目标而制【定的:功能安全《概念、安全策略、开!发过程?和方法以证明系统 !  —   通《过设计保证系—统在非故障和—故障状态下》均能实现功能概念】和功能安全概念【。 ? ?    在非故障】和,故障状态下满—足本标?准规定的性》。能要求 【 ,     》开,发过程和《方法是适《用的 ? B—.2.?2  转向电—子控制系统描述 】     !B.2?.2.1 》 应描?述,转向电子控制系【统,的功能概念即目的】和功能描述清—单 【    B.2【.,2.2  应定义转!向电子控《制系统的范》围明确子系统和要素!并识别与其》存在交?互关系?的外部系统》或,要素: —    B》.2.?2.3?  :应定义转《向,。电子控制系统的运行!条件:和约束限制针对相应!。的系统功能说明【有效工作范围—的界限 】。 B.2.3—  系?统布局及《原理图 《     !B.2?。。.3.1  —系统组件清单—   】    应》提供组件清单该【清单:。应,包含系统的所有【组件单元同时也【应列明为实现相【关控制功能所需的车!。辆其他系统 】   》    应基于【这些组件单元提【供系统布局》及原理图该图应【能够清晰《地展:示组件分布和相互连!接 【    B.2.3!.,2  单元》功能 【       应概!。述系统各单元的【功能:并展示?该单元与《其他:单元或车辆其他【系统间的信》号连接可使》用带标记的框—图或其?他示意图也可—借助:图表说明 【 ?。    B.2.3!.3  相互连接】    !   用电路图、】管路图和布置简图】分别说明电子传【输链、液压传输【链和机械《连接装置在》系统内部的相—互连接 【     —B.2.3.4  !信号流、运行数据和!优先顺?序, 》。 ,。    《  单?元间的传《输链与信号、运【行,数据应有明确的对应!关,。系, , , 《      —如优先顺序影响【本标准所述性能或安!全应确?定多元数据通—道内的信号、运行】数,据的优?先顺序 !    B.2.】3.5  单元【的识别 】    《。   应能清—晰明确地识别—每个:单元:。(例:如对硬件的标—识、对?软件内容的》标识或软件》输出)?并,提供相应的说—明  】     》内部集成了多—个功:能的单元《或单个处《理器在?。框,图里多次出现时为清!。晰和便于解》释仅用一个硬—件识别标志应利用】识别标志确认所【。提供的装置与—相应的文档》一致 —  ?。  :   识别》标志应明确硬件和】软件的版本如版本变!。化引起本标准所述】功能的改变应对识】别标志?作,相应地改《变 B.!2.4 《 危:害分析?和风险评估 】 ?    应》对转向?电子控制《系,。统的功能性》故障进行分析—并归:类 【   ? 应根?据车辆目标使用场】景及:目标用户分析潜在危!害并定义相应的汽车!安全完整性等级【(ASIL)参见】GB/T 》34590》.3  !   应针对潜在】危害定?义安全?目标并进行》归类 《 B.—2.5  功能安全!概念 》 ,。   《  B.2》.5.1  应确保!为实现安全目—。标而:选,择,。的安全策略不会【在故障条件、非故障!条件下影响车—辆,的安全运行转—向电子控《。。制系:统相关危《害的:功能安全要求—应至少包含表—B.1中所列出【的要求 】 》 :。    功能安全】概念和安全策略【的选择?除考虑故障》。。条件外还应考—虑非故障条件的情况!   】  示例对于非故】障条件的情况—为避免非预期的转向!力变化过快而设【置的转向变》化梯度约束可—能对紧急转》向工况带来不利【影响  !  : ,根据GB/T—。 34?590.3A—SIL等级的定【义,适用于因故障条件而!导致的整《车危害对于非故障】条件导致的整车【。危,害可不定义AS【I,L等级?但仍应满《足表B.1中—的安:全要求 】     》如果出现与》表B.1所列的【要求不一致的—情,况应具备《相应的?证据来证明转向【电子控制系统—不会因功能异常表现!而,。导致不合理的整车】危害:。风险应?至少包括如下证【据 ?    【   a)全部【整车危害风险已被考!虑,并制:定,了,合理的安全目标【; 《 ,    》 ,  :b)所制定的安全】目标针对《目,标市场是适用和【充分的 —     B.!2.5.《2 : 在:转向电?子控制?系统:发生故障《时为满足安全—目标而在设计时【可,采取的安全措施(】含外部措施)如【下  】     利—。用部分系统维持工作!如在发生《特定失效时选择维持!部分性?能的:运行模式应说—明条件并《界定其?效果  !  : ,  切换到》独立的备用系统【如选择?备用系统方》式来实现安目标【应对切换机》制的原理《、冗余的《逻辑:和,层级、备《份系统检《查特征进行》说明并界定备用系统!的效果 】    《   通《过关闭上层》功能而进入》安全状?态如选择关闭上【层功能应禁》止与:该功能有关的所有】。相应:的输出?控制信?号以:。此来限制干扰的传】播 : , :      【 通过警告驾驶【员将风?险,暴露时间《降低到?一个可?接受的?时间区?间内 】    《。B.2?.5.?3  应《说,明转向电子控制系统!中软件的架构概【要、设?计和开发过程中的】逻辑、所《使用的设计方法和工!具 》   《  B.2》.5.4 》 ,。转,向电:子控制?系统:安全相?关功能?发生:失,。效时:应,通过:。警告信?号,或提示?信息等?方式警告驾驶员 ! B.2.】。6  安全分析 ! ,。。     B】.2:.6.1  应【通过安全分析从【总,体上说明对影响车】辆运动控制和—安全目标的危害和】故,障进:行,了,有效识别和》处理:以此来支持上述【文档安全分析应包括!但,不限:。于 【     》 ,a)整车层面的【安,全分析确认以下 】 : ,    》     与车【辆,。。其他:系统:的交互?。; —    《     功能异常!表现:; 》  ? ,      非故】障,。条件下的安全风【险, :      ! b)系统层面的】安全分析可采—。用潜:在失效模《式与影响分析(【FMEA《)、故障树分—析(FTA)或适合!系统安全分析的其他!类似方法 【 , ,       c)!对确:。认计划和确认结果进!行检查?确认应基于硬件在环!(HIL)测—试、实?车道路测试或其【他适当?的方法 】 ,  :  B.2.6.2!  应列出系统所监!测的参数同时应针对!B.2.6.1中】定义的每《一种故障情况列出给!予驾驶?员、维修人员、【检测机?构人员的《。警告信号 !     B.2】.6.3 》 应描述对》。应的措施确》保系统在性能受环境!条件影响《时如气候《、温:度,、灰尘进入、—。。进水、冰《封,等不会妨碍》车辆的安全》运,行 ?