安全验证
more
: B.2 — 文档? 《 B.2【.,1  要求 】     应具!有相:应的文档以说明转向!电子控制系》统的功能概念、【为实现安全目标而】制定的功能安全【概念、安全策略、开!发,过程和?方法以证明系统 】。  —   通过设计保】。证系统?在非故障和故—障状:态下:。均能实现功能概【念和:功能安?全概念 —    — 在非故《障和故障《状态下满足本标【。准规定的性能要求】 ,   【 ,。 开发过程和—方法是适用的 】 B.2.】2  转向》电子控制系统描述 !  —  : B.2.2—.1  应描述【转向电子控制—系统的功《能概念即目的和功能!描述清单 !     B.2】.,2.:2  应定义—转向:电子控制系》统,。的范围明确子系【统和要素并识别与】其存在?交互关系的外部系】统或要?素 ?。     B!.2.?2,。.3  应定义转】向电子控制系—统,的,运行条件和》约,束限:制针对相应》的系统功能说明有】效,工作范围《的界限 【 , B.2.3 【 系统布《局及原理图 — 》    B.2【.,3.1  系统组】件清:。单   !    应提供组件!。清单该清单》应包含系统的所【有组件单元》同时也?应,列明为实现相—关控制功《能所需的《车辆其?。他系统?  【。     应基【于这些组件》。。单元提?供系统布局及原理图!该图:。应能:。够清晰地展示组件分!布和相互连接 【 《  : ,  B?.2.3.2  】单元功能 【     【 , ,应概述系统各单元的!功能并?展示该单元与—其,他单元或车辆—其他系统《。间的信?号连接可使用带【标记的框图或—其,他示意图也可借助】图表说明 》     !B.2.3.—3  相互连接 】 :     【。  用电路图、【管路图和布置简图分!别说明?电子传输链、液【压传输链和机—械连接装置在—系统内部的相互【连接 《 : ,     》B.2?.3.4  —信号流、运》行数据和优先顺序 !   【 ,   单《元间的传输链与信】号、运行数据—应有明确《的对:应关系 【   《   ? 如优先顺序影响】本标准所述性能或】安全应确定多元数】据通:道内的信号》、运行数《据的优先顺序—。 —    《B,.2.3.5—  单元的识—别   !    应》能清晰明确地识别】。每个单元(例如【对,硬件:的标识?、对软件内》容的:标识或软件输—出,)并提供《相应的说《明 《。   》    《内部:集成了多个功能的】单元或?单个处理器在框图】里多次出现时为【清晰和便于解释仅用!一,个硬件识别标志【应利用识别标—志确认所提供的装】置与:相应的文档一致 !。    【 ,  识别《标志应明《确硬:件和软件的版本如】版本变化《引起本标准》所述功能的》改,变应对识别标志作相!应地:改变 》 ,。 ,。 B:。.,。2.4  危害分析!和风险评估 【 ? ,    应对转向】电子控制系统的功能!性故障进行分析并】归类  !   应《根据车?辆,目标使用场》景,及目标用户分析潜】。。。在,危害:。并定义相应的汽车】安全完整性等—级(ASIL)【参见G?B/T 3》4,590.3 【。   —  应针对潜—在危害定义安—全目:标并进行归类 【。 B.2】.5 ? ,功能安?全概念 《    】 B.2.》5.1  》。应确保为实现安全】目标而选择的安全】策略不会在故障【条件、?非故障?。。。。条件下影响车辆【。的,安全:。运行转向电子控制系!统相关危害》的功能安全要—求应:至少包含表B.【1中所?列出的要求 】 —     功】能安全概念和安【全,。策略的选择除—考虑故障条件外还】应考虑非故障—条件的情况 【 《    示》例对于?非故障条件》的情况为避免非预】期的转向力》变化过快而设置的】转向变化梯度约【束可能?。对紧急转向》工况带来不利—影响 —    》 根据GB/T【 34590.3A!SIL等级》的定义?适,用于因故障条件【而导致的整车危【害对于非故》障条件导致的整【车危:害可:不,。定义ASIL等级但!仍应:满足表?B.1?中的:安全要?求 : ?    》 如果出现与表【B.1所列的要【求,不一致的《情况应具备相—应的证据来证明转】向电子控制系统不】会因功能异常—表现而导致不合理】的,。整车危?。害,风险应至《少包括?如下证据 【      】。 a)全部整车危】害风险已被考虑【并,制定:了合理的安全目【标; 《      ! b)所制》。定的安全目标针【对目标?市场是?适用和?充,分的: ,    】 ,B.2.5.2【 , 在转向电子控制】系统发生故障时【为,满足安?全,。目标而在设计—时可采取的安全措】。施(含外部措施)】如下  !    《 利用部《分系:统维持工作》如在发生特定失【效时选择维持—部分性能《的运行模《式应说明条件并界定!其效果 【  ?     切换【到独立的备用系统如!选择备用《系统方式来实现安】目标应对切换机【制,的原理、冗余的逻】。辑和层级、备—份系:。统检查特征进行【说,明,并界定备用系—统的效果 【 ,     —  通过关闭上【。层功能而《进入:安全状态如选择关】闭上层功能应禁止】与该功能有关的所】。有相应的输出—控制信号《以此来限《制干扰?的传播 —     【  通过《警告驾驶《员将风险暴露时间降!低到:一个可接受的时间区!间内: :  》。。  : B.2.5.【3  应《说明转向电子控【。制系统?中,软件的架构概要、设!计和开?发过程中的逻辑【、,所使用的设计—方法和工具 !    》。 B.2.5—.4  转向电子控!制系统安全相关【功能发生《失效时?应通过警告》信号或?提示信息等》方式:警告驾?驶员 【 ,B.2.《6  安全分析 】    】 B.?2.:。6.1?  应通过安全分析!。从总体上《说,明对影响车辆运动控!制和:安全:目标的危害》和故障进行了有效识!别和处理以此来支】持上述文档》安全分析应包括【但不限于 》 ? ,  :  :   a)》。整车层面的安—全分析确认》以下  !  : ,   ? 与车?辆,其他系统的交互【;, 《   《      功能异!常表现; 》 》      —。  :非故障条件下的安】全风险 【 : ,     b)系统!层面的?安全分析可采—用潜在失效模式【与影响分析》(,FMEA)、故障】树分析?(FTA)》或适合系统安—全分析的其他类似】方法: ?     【。  c)对确认计】划和:确认结果进行检【查确认应基于—。硬件在环(》HIL)《测试、实车》道路测试《或其他适当》的,方法  !   B.2.【。。6.2 《 应列出系统所监】测的参数同时应针】对B.2.》6.1中定》义的每一种》故障情况列出—给予驾?驶员、维修人员、】检,测机构?人员的警《告信号 》     】B.2.6》.3  应描述【对应:的措施确保系统【在性能受环》境条:件影响时如气候、温!。度,、,灰尘进入、》进水、冰封》等不会妨碍车辆【的,安,全运行? :