GB/T XXXXXXXXX 12 A A 附录A (规范性)功能安全要求 A.1 总则 车辆安全相关电子电气系统发生功能异常时,将会导致潜在的危害事件GB/T 34590(所有部分)道路车辆 功能安全阐明了车辆安全相关电子电气系统在安全生命周期内应满足的功能安全要求,以避免或降低系统发生故障所导致的风险本附录规定了具备多车道行驶控制系统在功能安全方面的文档、故障策略及确认试验的要求本附录不针对系统的标称性能,也不作为系统功能安全开发的具体指导,而是规定设计过程中应遵循的方法和系统验证确认时应具备的信息,以证明系统在正常运行和故障状态下均能实现功能概念和功能安全概念,并满足本文件规定的、所有适用的性能要求A.2 文档 A.2.1 要求 应具备相应的文档以说明系统的功能概念、为实现安全目标而制定的功能安全概念、安全策略、开发过程和方法,以证明系统:a)通过设计保证系统在非故障和故障状态下均能实现功能概念和功能安全概念;b)在非故障和故障状态下满足本标准规定的性能要求;c)开发过程和方法是适用的A.2.2 系统描述 A.2.2.1 应描述系统的功能概念,即目的和功能描述清单A.2.2.2 应定义系统的范围,明确子系统和要素,并识别与其存在交互关系的外部系统或要素。
A.2.2.3 应定义系统的运行条件和约束限制,针对相应的系统功能,说明有效工作范围的界限A.2.3 系统布局及原理图 A.2.3.1 系统组件清单 应提供组件清单,该清单应包含系统的所有组件单元,同时也应列明为实现相关控制功能所需的车辆其它系统应基于这些组件单元提供系统布局及原理图,该图应能够清晰地展示组件分布和相互连接A.2.3.2 单元功能 应概述系统各单元的功能,并展示该单元与其它单元或车辆其它系统间的信号连接可使用带标记的框图或其它示意图,也可借助图表说明GB/T XXXXXXXXX 13 A.2.3.3 相互连接 用电路图、管路图和布置简图分别说明电子传输链、液压传输链和机械连接装置在系统内部的相互连接A.2.3.4 信号流、运行数据和优先顺序 单元间的传输链与信号、运行数据应有明确的对应关系如优先顺序影响本标准所述性能或安全,应确定多元数据通道内的信号、运行数据的优先顺序A.2.3.5 单元的识别 应能清晰明确地识别每个单元(例如,对硬件的标识、对软件内容的标识或软件输出)并提供相应的说明内部集成了多个功能的单元或单个处理器,在框图里多次出现时,为清晰和便于解释,仅用一个硬件识别标志。
应利用识别标志确认所提供的装置与相应的文档一致识别标志应明确硬件和软件的版本,如版本变化引起本标准所述功能的改变,应对识别标志作相应地改变A.2.4 危害分析和风险评估 应对系统的功能性故障进行分析,并归类应根据车辆目标使用场景及目标用户,分析潜在危害,并定义相应的汽车安全完整性等级(ASIL),见GB/T 34590.3应针对潜在危害,定义安全目标,并进行归类A.2.5 功能安全概念 A.2.5.1 应确保为实现安全目标而选择的安全策略不会在故障条件、非故障条件下影响车辆的安全运行应提出系统相关危害的功能安全要求,且至少通过以下方面证明系统不会因功能异常表现而导致不合理的整车危害风险:a)全部整车危害风险已被考虑,并制定了合理的安全目标;b)所制定的安全目标针对目标市场是适用和充分的A.2.5.2 在系统发生故障时,应为满足安全目标设计相应的安全措施(含外部措施),例如:a)利用部分系统维持工作如在发生特定失效时选择维持部分性能的运行模式,应说明条件并界定其效果;b)切换到独立的备用系统如选择备用系统方式来实现安全目标,应对切换机制的原理、冗余的逻辑和层级、备份系统检查特征进行说明并界定备用系统的效果;c)通过关闭上层功能而进入安全状态。
如选择关闭上层功能,应禁止与该功能有关的所有相应的输出控制信号,以此来限制干扰的传播;d)通过警告驾驶员,将风险暴露时间降低到一个可接受的时间区间内A.2.5.3 应说明系统中软件的架构概要、设计和开发过程中的逻辑、所使用的设计方法和工具A.2.5.4 系统相关功能发生失效时,应通过警告信号或提示信息等方式警告驾驶员A.2.6 安全分析 GB/T XXXXXXXXX 14 A.2.6.1 应通过安全分析从总体上说明对影响车辆运动控制和安全目标的危害和故障组进行了有效识别和处理,以此来支持上述文档安全分析应包括但不限于:A.2.6.1.1 整车层面的安全分析,确认以下:a)与车辆其它系统的交互;b)功能异常表现;c)非故障条件下的安全风险A.2.6.1.2 系统层面的安全分析,可采用潜在失效模式与影响分析(FMEA)、故障树分析(FTA)或适合系统安全分析的其它类似方法A.2.6.1.3 对确认计划和确认结果进行检查,确认应基于硬件在环(HIL)测试、实车道路测试或其它适当的方法A.2.6.2 应列出系统所监测的参数,同时应针对A.2.6.1中定义的每一种故障情况,列出给予驾驶员、维修人员、检测机构人员的警告信号。
A.2.6.3 应描述对应的措施,确保系统在性能受环境条件影响时,如气候、温度、灰尘进入、进水、冰封等,不会妨碍车辆的安全运行A.3 验证和确认 A.3.1 应按照A.2中相关文档的描述,进行下列试验,对系统的功能概念和功能安全概念进行验证和确认A.3.1.1 功能概念的验证和确认 除需要按照本标准或其他标准规定的专门试验程序进行功能试验,应按照A.2.2.1的功能概念,执行车辆系统非故障状态下的功能试验,作为确定系统正常运行水平的方法A.3.1.2 功能安全概念的验证和确认 应通过向电子电气组件或机械组件施加相应的信号,来模拟组件内部故障的影响,以检查单个组件失效时的反应应针对A.2.5.1中的故障条件、非故障条件下的可控性、人机交互(HMI)进行验证和确认验证和确认的结果应与A.2.5一致,并说明功能安全概念及其实施效果的充分性B B _ 。