安全验证
more
B.2【 , 文档 — 《 B.2.1—  要?求 ? 《    应具有【相应:的文档以说明转向电!子控制系统》的功能概《念、为实现安全【目,标,而制定的功》能安全概念、安【全策:略、:。开发过程和》方法以证明》系统: : ?     通过【设计保证系统在非故!障和故障状态—下均能?实现功能概念和【。功能:安全概念 》 ,     】在非故障和》故障状态下满足【本标准规定的性【能要:求, , 《     开—发过程?和方法?。是适用?的 B】.2.2  转向电!。子控:制系统描《述 —     B.【2.:2.1  》应描述?转向:电子控?制系统的功》能概念?即目的和功能描【述清单? 》     B.2】.2.?2  应定义转向电!子控制系统》的范:围明确子系统—和要素并识别与【其存在交互关系的外!部系统或要素 !。     B.!。2.2.3  应定!义转向电子控制系统!的运行条件和约束】限制:针对相应《的,系统功能说明有【效工作?范围的界《限 — B.2.》3  系统布局及】原理图 !  :  :B.2.3》.1  《系统组件清单—   】   ? ,。应提供组《。。件清单该清单应【包含系统的》所有组?件单元?同时也?应列明为《实现相关控》制功能所需的车辆】其,他系统 》 《   ?。 , ,。 应基于这些组件单!。元提:供系统布局及原【理,图该图应能》。够清晰地《展,示组件分布》和相:互连:接 》     B.】2.3.2  单元!功能 《     】  :应概述系统各单【元的功能并展—示该单?。元,与其:他单元或车辆其他系!。统间的信号连接可】使用带标记的框【图或其他示意图也】可借:助图表?说明 》     【B.2?.3:。.3:  相?互连接 ! ,    《 用电路图、管路】图,和布置简图分别【说,明电子?传输:链、:液压传输链和—机械连接装置在系统!内部的相互》连接 】    《B.2.《3.4  信—号流、运行数据和优!先顺序 】       单元!间的传输链与信【。号、运行数据应【有明:确的对应关系—   】 ,   如优先顺【序影响本标》准,所述性能或安—全应确定多元数据】通道:内的信号《、运:行数据的优》先,顺序 《     】B.2?.,3.5  单—元的识别 【   》 ,   应能清晰明】确地识别每个单【元(例如对》硬,件的:标识、对软件内【容的:标,识或软?件输出)并》提供相应的说明 】 ? :  :  :  内部集成—了多个?功能的单元或单个】处,理器在框图里—多次出现时为清【晰和便于解释仅【。用一个硬件》识别标志应利用识】别标:志,确,认所提供的》装置与相应的文【档,一致 ? : ,      【 ,识别标志应》明确硬件和》软件:的版本如《版本变?化引起本标准所【述功能的改变应对】识别标志作相应地改!变 ? : B.2.4  !危害:分析和风险》评估 —     应【对转向电子控制【系统的功能性—故障进行分析并归类! ? ,     应【根据车辆目标使用场!景及目?。标用户分析》潜,在危害并定》义相应的汽》车安全完《整性等级(》A,。SIL)参》见,G,B/T 3459】0.3 》   —  :。应针对潜在危害定】。义安:全目标并进行—归类 ? B.2.!5  功能》安全概念 】。  ?   B.2—.5:.1  应确保为】实现安全目标—而选择?的安全策略》不会:在故:障条件、非故障条】件下:影,响车辆?的安全运行》转向电子控制系【。统相关危害的功能】安全要求应至少【包含表?B.1中所》列出的要求 ! ,   !  功能安全概【念和:安全:策略的选择除—考虑故障条件外【还应考虑非故障【条件的情况 —  —   示例对—于非故障条件的【情况为避免》。非预期的转向力变】化过快而设置的转】向变:化梯度约束可能对】紧急转向工况带来】不利影响 》  —   ?根据GB/T 【34590.3AS!IL等级的定义适用!于因故障条》件而导致的》整车危害《对于非故障》条件导致《的整:车,危害可?不,定,义ASIL等级【但仍应满足》表B.1中》的安全?要求 —     如果】出现与表B》.1所列的》要求:不一致的情况—应具备?相应的证据来证明】转向电子《控制系统不会因功】能异:常表现而导致—不合理的整车危害】风险应至少》。包括如?下证据 】 ,      a【)全:部整车危害风险【已,被考虑?并,制定:了合理的《安全目标《; 《 ?      b)】所,制定的?安全目标针对目【标市场是适》用,和充分的 【 ,     B.】2.5.《2  ?在转向电子》控制系统发生故【障,时为满足安》全目:标而在设计时可采】取的安?全措施(含外—部措:施)如下 】  ?     》利用部分系统维【持工:作如在发生特—定失效时选》择维持部《分性能?的运:行模式应说明条件】并,界定其效果 !   《    切》换到独立的备用【系统如选择备用系统!方式来实现安目标】应对:切换机?制的:原理:。、冗余的逻辑—和层级?、备份系统检查【。特征进行说明并界定!备用系统的效果【    !   通《。过关闭上层功能【而,进入安全状》态如选择关》闭上层功能》应禁止与该》功能有关《的所有相应的输出控!制信号以此来—限制:干扰的传播 】   》    通过—警,告驾驶员将风—险暴:露时间降低》到一个可接受的【时间区?间内  !。   ?。B.2.5.—3  ?应说明转向电子控】制系统?中软件的架》构概要、设》计和开发过》程中的逻辑、所【使用的设《计方法和工具 】     】B.2.《5.4  转向电】子控制系统安全相】。关,功能发?生失效时《应通过?警告信号或提—。示信息?等方式警告》。驾,驶,员 【B.2.《6  安全分析 !  》   B《.2.6.1  应!通过安全《分,析从总体上说明对影!响车:辆运动控制和安【全,目标的危害和故障进!行了有?效,识别和处《理以此来《支持上述文档—安全分析应包括【但不限于 【     【  a)《整车层面的》安全分析确认—。以下 《    【     与—车辆其他系统的交互!; :    】     功能【异常:表现; 《   【 ,     非故障】条件下的安全风险】 ?      】。 b)系统层面【的安全分析可采用】潜在失效模式与影】响分析(《FM:EA)、故》障树分析(FTA)!或适合系统》安全分析的》其他类似方法 !      】 c:)对确认《计划和?确认结?果进行检查确认应】基于硬?件在环(H》。IL:)测试、实车道【路,测试或其他适当【的方法?    ! B.2.6.2 ! 应列出《系统所监测》。的参数同时应—针对B.2》.6.?1中定义的每一种故!障情况列出给予【。驾驶员、维》修人员、检测机【构,人员的警告信号【    ! B.2.6.【3,  应描《述对:应的措施确保系统在!性能受环境》条件影响时如气【。候、温度《、灰:尘进入、《进水、?冰封等?不会妨碍车辆—的安:全运行 》