安全验证
more
。。 B.2  !文档 — ? B.2《.1  要求 !    — 应具有相应的文】档以说明转向—电子:控制:系统的功能概念【、,为实现安全目—标而制定《的,功能安全概念、安全!策略、开发》过程和?方法以证明系统 ! , :     通过【设计保证系》统在非故《障和故障状》态下:均能实?现,功,能概念和功》。能安全概念 【 《    在非故障和!故障状态下》满足本标《准规定的《性能要求 —  》   ?开发过程和方法是适!。用的 【 B.2.》2  转向》电子控制系统—描述 《 :    》 B:.2.2《.,1 : 应描述转向电子】控制系统的功能概】念即:目,的和功能描述清单 !     !B.2.2.—2  ?应定义转向电—子控制系《统的范围明确子【系,。统和要素并识—别与其存在交互【关系的外部系统或要!素 【    B》.2.2.3  】应定义转向电子控】制系统的运行—条,件和:约束限制针对相应的!系统功能说明有效工!作范围的界限 】 B.2.】3  系统布局【及,原理图 —     B.!。2.3.1  系统!组件清单 》 》。  :   ? 应提供《组件清单该清单【应包含系统的所有组!件单元同时也应列明!为实现?相关控制功能—所需的车辆其他系统! ?   》。    应基于【这些组?件单元提供系统布】局及原理图该图【应能够清晰地—展示组?件分布和相》互连接 【     —B.:2,。.,3.2  单元功】能,    !   应概》述系统各单元的【功能:并展示该《。单元与其他单—元或车辆其他—系统间的《。。信号连接可使用带】标记的框图或—其他示意图也可借】助图表说明》。 》   ?  B.2.3.】。3  相互连接 】   【 ,   用《电路图、管》路图和布置简图分别!说明电子传输链、】液压传输《链和机械连接装置在!系,统内部的《相互连接 —。     】B.2?.,3.:。。4  信号流、运行!数,据和优先顺序— ?     【  单元间》的传输链《与信号、运行数据应!有明确的对应关系】。 :   —    如优先【顺序:影响本标准所述【性能或?安,全应确?定多:元数据通道内的【信号、运行》数据:的,优先顺序 — ?     》B.2.《3.5  单元的】识别 】    《  应能《清晰明确地识别【每个单元《(例:如对硬件的标识、对!软件内容的标识或软!件,输出)并《提供相?应的说明 !。       内部!集成了多个功能的单!元或单个《处理器在框图里【多次出现时》为清晰和便于解【释仅用?一个:硬件识别《标,志应利用识别标【。志确认?所提供的《装置与相应的—文档一致 !。。 ,。      —。识别标志《应明确硬件和—软件的版本》如,版本变化《引起本?标准所述功能的改】变,应对识别标志作【相应地改变 ! :B.2.4 — 危害分析》和风:险评估 【     应对转!向电子控制系统【的功能性故障进行】。分析并归类》 ? :     应根【据车辆目标使用【场,景及目标用户分析】潜在:危害并定义相应的汽!车,安全完?整性:等级(ASIL)】参见GB《/T 34590.!3 》     应【针对:潜在危害《定义:。安全目标《并进行?归类 ? B.【2.5  功能【安全概念 —     】B.2.《5.:1,  应?确保:。为,实现安全目标而【选,择的安全策略不会在!故障条件、非故【障条件下影响车辆的!安全运行转》。向电子控制系统相关!。危害的功《能安全要求应至【少包含表《B.:1中所列出的—要求 【   !  功能安全概【念和安?全策略的选择—。除,。考虑故障条件外还】应考虑非故障条件的!。情况 《     示!例对于非故障条件】的情况为避免非【预期的转向力变化过!。快而设置的转向变化!梯度约束可能对【紧急转?向工:况带来?不利影响 】   《  根据《GB/T 34【590.3ASIL!等级的定义》适用:于因故障条件而导致!的整车危害对于非故!障条:件导致的《整,车危害可不定—义A:SIL等《级但仍应满足表B.!1中的安全要—。求   !  如果出现—与表:B.1所列的要求不!一致的情况应具【备相应的《证据来证明》转向:电,子,控制系统《不会因功能异常【表现而导致不—合理的整车危害风险!应至少包《括如下?证,据 :    】   a)全部整车!。危害风险已被—考虑并制定了合【理的安全目标; !      ! b)所制定的【。安全目标针对目标】市,场是适用和》充分的 》。 ?     B.【2.5?.2  在》。转向电子控制系统发!生故障时为满足【安全目标而在设计时!可,采取的安全措—施(含?外,部措施)如》下 :  —     》利用部分系统维【持工:作,如在:。发生特定失效时【选择维持部分性能的!运行模?式应说明条件并界定!其效果?    !   切换到独立的!备用系统《如选择备用系统【方,式来实现安目—标应对切换机—制的原?理、冗余《的逻辑和层级、备份!系统检查特》征进行说明并界定备!用系统?的效:果 《       !通过关闭上层功【能而进?入安:全状态如选》择关闭?上层功能应禁止【与,该功能有关》。的所有相应的输出】控制信?号以此?来限制干扰的传播 !  —     通过【警告驾驶员将风险暴!露时间降低》到一个可接受—的时间区间内 !     B】.2.5.》3  ?应说明转向》电子控制系统中【软件的架构》概,要、设计和开发过】程中的逻辑、—所使用的设计方法和!工具 【     B.2.!5.4  转向电子!控制系统安全相【关,功能发生失效时应通!过警告信号》或,提示信?息等方式警告驾驶员! , B.【2.6  安全分】析 —  :  : B.?2.6.《1  应通过安【全,分析从总体》上说明?对影响车辆运—动控:制和安全目标—的危害?和故障进《行了有效识别和处】理以此来支》持上述文档安全分析!应包:括但不限于 !   《    a》)整车?层面的安全分析确】认以下 《 》       【 与车辆其他—系,统的交互; 】 ,     —    功能异【。常表现; —   —  :    《非故:障条件下的安全【。风险 》 ?   ?  : b)系统层—。面的安全分析可采】用潜在失《效模式与影响分【析(FME》A)、故《障树分析(FT【A):或适:合系统?安全分?析的其他《类似方法 【     【  c)对确—。认计划和确认结果进!行检查确认应—基于:硬件在环(HIL)!测试、实车》道路测试或》其他适当的方—法 【    B.—2,.6.2  应【列出系统《所监测的参数同时应!针对B.2.6.1!中,定义的每一种故障情!况列出给予》驾驶员、维修人员】、检测机构》人员的警告信号 ! :   《  B?.2.6.3 【 应描述对应的措】施确保系统》在性能受环境条【件影响?时如气?候、温度、灰尘进】入、进水、冰—封等不会妨》碍,车辆的安全运行 !