1.背景
2.范围和定义
3.申请批准
4.批准
5.一般要求
6.DCAS功能的附加要求
7.DCAS运行监控
8.系统验证
9.系统信息数据
10.软件识别要求
11.系统安全要求
12.物理测试要求
13.模拟仿真要求
11.系统安全要求
适用于审计/评估的特殊要求
1. 一般要求
就本UN法规而言,本章节界定电子系统和复杂电子控制系统的安全方面的留档、设计安全和验证的特殊要求。
本章节未规定“系统”的性能标准,但涵盖了应用于设计过程的方法论以及为型式批准目的必须向型式批准机构或代表其行事的技术服务(以下简称型式批准机构)披露的信息。
该信息应表明,“DCAS系统”在无故障和故障条件下满足本UN法规其他地方规定的所有适当性能要求,并且DCAS系统的设计操作方式不会对驾驶员、乘客和其他道路使用者造成不合理的安全风险。
必须始终遵守本UN法规中“系统应shall……”形式的规定。在评估期间未能满足此类要求则不符合本UN规定的要求。
本UN法规中“系统应旨在shall aim to……”形式的规定承认,该要求可能并不总是能够实现(例如,由于外部干扰或在特定情况下不适合这样做)。
本UN法规中“系统应设计为shall be designed to……”形式的规定承认系统性能测试不是验证要求,验证要求将需要对系统设计(例如其控制策略)进行评估。
如果在评估过程中,“应旨在shall aim to……”或“应设计为shall be designed to……”形式的要求未得到满足,制造商应向型式认证机构证明为什么会出现这种情况,以及系统如何避免不合理的风险。
2. 定义
“该系统The system”是指能够帮助驾驶员持续控制车辆纵向和横向运动的硬件和软件。在章节的范围内,这还包括本UN法规范围内的任何其他系统,以及与本UN法规范围之外的其他关联系统。在本UN条例中,该系统也被称为“驾驶员控制辅助系统(DCAS)”。
“安全概念Safety Concept”是指对DCAS系统中设计的措施的描述,例如在电子单元内,以解决系统完整性问题,从而确保在故障(功能安全functional safety)和非故障条件(操作安全operational safety)下的安全运行,不会对车辆乘员和其他道路使用者产生不合理的安全风险。部分功能甚至整个系统的冗余备份,是安全概念的一部分。
“电子控制系统Electronic Control System”是指一组单元的组合,旨在通过电子数据处理合作生产所述车辆控制功能。这些系统通常由软件控制,由离散的功能组件(如传感器、电子控制单元和执行器)构建,并通过传输链路连接。传输链路可能包括机械、机电、电气或电液等方式。
“复杂电子控制系统Complex Electronic Control Systems”是指由电子系统控制的功能可能被更高级别的电子控制系统/功能超控override的电子控制系统。被超控的功能成为复杂电子控制系统的一部分,例如本UN法规范围内的任何覆盖系统/功能(ABS、IPB、EPS等)。本UN法规范围之外的与覆盖系统/功能之间的传输链接也应包括在内。
“高级电子控制Higher-Level Electronic Control”是指采用额外的处理和/或传感装置,通过命令车辆控制系统功能的变化来改变车辆行为的系统。这使得复杂的系统能够根据感知的情况自动改变其目标的优先级。
“单元Units”是本章节将审议的系统组成部分的最小分类,为了识别、分析或更换的目的,这些组成部分的组合将被视为单一实体。
“传输链路Transmission links”是用于连接分布式单元以传输信号、操作数据或能量供应的手段。这种设备通常是电气的,但在某些部分可能是机械的、气动的或液压的。
“控制范围Range of control”指的是输出变量,并定义了系统可能行使控制的范围。
“功能操作的边界Boundary of functional operation”定义了系统设计用于维持控制的可验证或可测量限制的边界。在本UN法规中,功能操作边界也称为“系统边界System Boundaries”。
“安全相关功能Safety Related Function”是指能够改变车辆动态行为的“系统”功能。DCAS系统可能能够执行多个安全相关功能。
“控制策略Control Strategy”是指响应一组特定的环境或操作条件(例如道路表面条件、交通强度和其他道路使用者、恶劣天气条件等)确保系统功能稳健和安全运行的策略。这可能包括功能的自动停用或临时性能限制(例如,最大运行速度的降低等)。
“故障Fault”是指可能导致故障的异常情况。这可能涉及硬件或软件。
“失效Failure”是指由于故障表现而终止系统的功能或系统的预期行为。
“不合理风险Unreasonable risk”是与系统边界内的老司机(成熟谨慎驾驶员)驾驶车辆相比,车辆乘员和其他道路使用者的总体风险水平有所增加。
“高速公路Highway”是指禁止行人和骑自行车的道路,根据设计,该道路配备了物理隔离,将相反方向的交通分开。
“非高速公路Non-Highway”是指上述定义的高速公路以外的道路。
3. 文档
3.1 文档要求
制造商应提供一个留档包,提供DCAS系统的基本设计以及与其他车辆系统连接或直接控制输出变量的方法。应解释制造商规定的系统功能和安全概念。文档应简短,但提供证据表明设计和开发受益于所有相关系统领域的专业知识。对于定期技术检查,留档应描述如何检查系统的当前运行状态。
型式认证机构应评估留档包装,以显示“系统”:
(a)设计用于在非故障和故障条件下运行,以避免不合理的风险;和
(b)在非故障及故障情况下,遵守本UN法规其他地方指明的所有适当性能要求;和
(c)制造商根据第11.1.3.4段选择的法式进行开发。
3.1.1 文件应分两部分提供:
(a)用于批准的正式留档包装,包含第3段所列材料(第3.4.4段除外),应在提交型式批准申请时提供给型式批准机构。型式批准机构应将此留档包装用作本附件第4段(第12部分)所述验证过程的基本参考。型式批准机构应确保此留档包装在与型式批准机构商定的期限内保持可用。该期限应至少为车辆正式停产后10年。
(b)第3.4.4款规定的其他机密材料和分析数据(知识产权)应由制造商保留,但在型式批准时开放供检查(例如,在制造商的工程设施现场)。制造商应确保此材料和分析数据在车辆停产后10年内保持可用。(功能安全相关文档供应商自行保管,可不提交,但要支持抽查。)
3.2 系统功能说明
应对系统的所有功能(包括控制策略)提供描述,并对为实现目标而采用的方法进行简单解释,包括对实施控制的策略的说明。
任何描述的功能都应被识别,并进一步描述功能操作的变更原理。
本UN法规第2.1段中定义的为驾驶员提供辅助的任何启用或禁用的安全相关功能(AEB、LDP、ISA等),当硬件和软件在生产时存在于车辆中时,应在车辆使用前声明并受本附件要求的约束。
3.2.1 应提供所有输入和检测变量的列表(输入报文矩阵),并定义这些变量的工作范围,以及每个变量如何影响系统行为的描述。
3.2.2 应提供由DCAS系统控制的所有输出变量的列表(输出报文矩阵),并在每种情况下给出控制是直接控制还是通过其他车辆系统控制(间接控制)的解释。应定义对每个此类变量实施的控制范围。
3.2.3 在系统性能适当的情况下,应说明定义功能操作边界的限制。
3.2.4 应根据本附件附录4中的模型提供系统能力及其特性的声明。
3.3 系统布局和原理图
3.3.1 组件清单
应提供一份清单,整理系统的所有单元,并提及实现相关控制功能所需的其他车辆系统。
应提供显示这些单元组合的概要示意图,并明确设备分布和互连。
3.3.2 单元的职能
应概述系统的每个单元的功能,并显示将其与其他单元或其他车辆系统连接的信号。这可以通过标记的框图或其他示意图或由此类图表辅助的描述来提供。
3.3.3 连接方式
系统内的连接方式应以电路图、气动或液压传动设备的管线图和机械连杆的简化图来显示。还应显示与其他系统之间的传动方式。
3.3.4 信号流、运行数据和优先级
传输链路和单元之间传输的信号之间应有明确的对应关系。如果优先级可能影响性能或安全,则应说明多路复用数据路径上信号的优先级(如CAN信号优先级)。
3.3.5 单元识别
每个单元应清晰明确地识别(例如,通过硬件标记和软件内容标记或软件输出),以提供相应的硬件和留档关联。
如果功能在单个单元内,但为了清晰和易于解释而在框图中以多个块显示,则只能使用单个硬件标识标记。制造商应通过使用此标识来确认所提供的设备符合相应的文件(文档与实车零部件及软件版本一致性)。
3.3.5.1 该标识定义了硬件和软件版本,如果软件发生变化,例如就本法规而言改变了单元的功能,则该标识也应更改。
3.4 制造商的安全理念
3.4.1 制造商应提供一份声明,确认为实现系统目标而选择的策略在非故障条件下不会影响车辆的安全运行。
制造商应补充本声明,说明所选策略如何确保系统目标不影响上述系统的安全运行,并描述支持该声明的验证计划部分。
型式认证机构应对声明及补充声明进行评估,以确定制造商对所选策略的解释是可理解的、合乎逻辑的,验证计划是合适的并且已经完成。
型式认证机构可以执行测试,或者可以要求执行测试,以验证“系统”是否按照所选策略运行。
3.4.2 对于系统中使用的软件,应解释概要架构,并确定使用的设计方法和工具。制造商应在设计和开发过程中展示其确定系统逻辑实现方式的证据(软件测试、仿真测试)。
3.4.3 制造商应向型式认证机构提供系统内置设计条款的解释:DCAS系统在故障条件下如何进行安全运行。系统故障的可能设计条款例如:
(a)回退到使用部分系统运行(抑制部分功能/性能,如降低最大运行速度、禁用换道功能);
(b)切换到单独的备份系统(系统冗余设计、需考虑切换时间);
(c)删除高级功能(如只报警不控制)。
3.4.3.1 如果所选方案为在某些故障条件下选择部分性能运行模式,则应说明这些条件并定义由此产生的有效性限制。
3.4.3.2 如果所选方案为第二种(冗余备份)方式来实现车辆控制系统安全目标,则应解释转换机制的原理、冗余逻辑和级别以及任何内置后备检查功能,并定义后备有效性的最终限制。
3.4.3.3 如果所选择的方案为删除高级功能,则与该功能相关联的所有输出控制信号均应禁止,并以限制过渡干扰的方式进行。(线性停止,避免扰动)
3.4.4 应通过分析来支持留档,该分析总体上显示系统在发生对车辆控制性能或安全有影响的任何单个危险或故障时的行为。
所选择的分析方法应由制造商建立和维护,并应在型式批准时开放供型式批准机构检查。
型式认可机构应对分析方法的应用进行评估。评估应包括:(a)在概念(车辆)层面检查安全方法,并确认其包括考虑:
(i)与其他车辆系统的交互;
(ii)本UN法规范围内的系统故障;
(iii)对于本UN法规第3.2段定义的功能:
没有故障的系统可能会产生安全关键风险的情况(例如,由于对车辆环境的缺乏或错误理解);
功能和系统限制;
驾驶员合理可预见的误用;
有意篡改系统。
(iv)影响车辆安全的网络攻击。
这种方法可以基于适合系统安全的危险/风险分析。(HARA分析)
(b)在系统层面检查安全方法。这种方法包括自上而下和自下而上的方法。安全方法可以基于故障模式和影响分析(FMEA)、故障树分析(FTA)和系统理论过程分析(STPA)或任何适合系统功能和操作安全的类似过程;
(c)验证计划和结果的检查。该验证应包括适用于验证的验证测试,例如硬件在环(HIL)测试、车辆道路运行测试或任何其他适用于验证的测试。
评估应包括由型式认证机构选择的危险、故障和故障条件的检查,以确定制造商对安全概念的解释是可理解的、合乎逻辑的,并且验证计划是合适的并且已经完成(需要认证机构抽查)。
型式认证机构可按第12章节的规定进行试验或要求进行试验,以验证安全概念。
3.4.4.1 该留档应逐项列出被监测的参数,并应针对本第3.4.4段中定义的每种相关故障情况进行说明,列出向驾驶员和或服务/技术检查人员发出的警告信号。
3.4.4.2 本留档应描述当系统性能受环境条件(如气候、温度、灰尘进入、水进入、冰封)影响时,为确保系统不影响车辆安全运行而采取的措施。
如果本UN法规包含对系统在不同环境条件下运行的特别规定,本留档须描述为确保符合该规定而采取的措施。(如自动开启暖风除霜、自动开启雨刮器、自动开启大灯等)
来源:智驾小强
