每日消息!对车辆安全相关电子电气系统的功能安全要求

|注：以下摘录自推荐国标GBT，仅供学习参考！

对车辆安全相关电子电气系统的功能安全要求

本附录规定了智能泊车辅助系统（IPAS）在功能安全方面的文件、故障策略及确认试验的特殊要求。

A. 1 总则

车辆安全相关电子电气系统发生功能异常时， 将会导致潜在的危害事件（例如， 车辆正常行驶过程中， 发生非预期的车辆操控系统而引发事故风险） 。GB/T 34590阐明了车辆安全相关电子电气系统在安全生命周期内应满足的功能安全要求， 以避免或降低系统发生故障而导致的风险。

本附录规定了智能泊车辅助系统（IPAS）在功能安全方面的文件、故障策略及确认试验的特殊要求。

本附录不针对智能泊车辅助系统（IPAS）的标称性能， 也不作为IPAS系统功能安全开发的具体指导，而是规定设计过程中应遵循的方法和系统验证确认时应具备的信息， 以证明系统在正常运行和故障状态下均能确保实现功能安全概念， 并满足本标准规定的、 所有适用的性能要求。

A. 2 文档

A. 2. 1 要求

应具备相应的文件来说明系统的功能概念、 功能安全概念， 并满足以下要求：

a) 说明系统的功能概念、 内外部接口、 潜在的失效风险及安全措施；

b) 证明系统设计考虑了潜在失效来源， 包含随机硬件失效和系统性失效， 并应用了相关领域的工程实践；

示例：GB/T 34590. 5—2017 附录 E 给出了针对随机硬件失效的设计实践。

c) 为支持确认试验， 说明如何对系统正常运行和失效模式下的工作状态进行检查。

A. 2. 2 相关项定义文件

A. 2. 2. 1 应描述相关项的功能概念， 提供功能描述清单。

注1 ：GB/T 34590. 1中， 相关项是指执行整车层面功能的一个或一组系统。如：（IPAS） 系统的相关项定义中 可 包含环视摄像头、 ECU、 转向控制模块、 纵向控制模块、 超声波雷达等。

注2：描述从整车层面可感知的功能并细化。

A. 2. 2. 2 应定义相关项的范围， 明确属于相关项中的系统和要素， 并识别与其存在交互关系的外部 系统或要素。

A. 2. 2. 3 应定义相关项的运行条件和约束限制， 针对相应的系统功能， 说明有效工作范围的界限。

示例：常见的运行条件有：供电、 车速等；常见的约束限制有：环境温度、 湿度、 振动等。

A. 2. 2. 4 提供示意图（例如， 模块图） 说明相关项的架构及其内外部接口。在示意图中以序号标明 相关项组件、 外部接口系统、 内外部接口通道， 并提供明细清单， 简要说明清单中各组件、 系统和接口 的功能。

注：若一个组件集成了多种功能， 为了清晰和便于解释， 在示意图中可用多个模块表示。

A. 2. 2. 5 利用识别标志， 清晰明确地识别相关项的每个组件(包含硬件和软件) ， 并确认其与所提供的文档的一致性。识别标志应明确硬件和软件的版本， 如版本变化引起本标准所述功能的改变， 应对识 别标志作相应地改变。

A. 2. 3 危害分析和风险评估

A. 2. 3. 1 应对相关项的功能性故障进行分析， 并归类。

示例：典型的分析方法， 例如， 危险与可操作性研究(HAZOP) 。

A. 2. 3. 2 应根据车辆目标使用场景及目标用户， 给出潜在危害清单， 并定义相应的汽车安全完整性等级(ASIL) ， 参见 GB/T 34590. 3。

A. 2. 3. 3 应针对潜在危害， 定义安全目标， 并进行归类。

A. 2. 4 功能安全概念

A. 2. 4. 1 应说明为确保系统发生失效时满足相关安全目标而在设计时采取的安全措施（含外部措施 ）。

可采取如下安全措施：

a) 利用部分系统维持工作。如在发生特定失效时选择维持部分性能的运行模式， 应说明条件并界定其效果。

b) 切换到独立的备用系统。如选择备用系统方式来实现安全目标， 应对切换机制的原理、 冗余度逻辑及水平和备份系统检查特征进行说明并界定备用系统的效果。

c) 通过关闭上层功能而进入安全状态。如选择关闭上层功能， 应禁止与该功能有关的所有相应的输出控制信号， 以此来限制过渡性干扰。

d) 通过驾驶员警告， 将风险暴露时间降低到一个可接受的时间区间内。

A. 2. 4. 2 IPAS 系统发生功能失效时， 应通过警告信号或信息提示等方式警告驾驶员。

A. 2. 4. 3 应解释系统中软件的概要结构并注明所使用的设计方法和工具。

A. 2. 5 安全分析

应通过安全分析从总体上说明对影响系统安全目 标的故障或故障组进行了有效识别和处理， 以此来支持上述文件。

分析可采用潜在失效模式及后果分析(FMEA) 、 故障树分析(FTA) 或适合系统安全分析的其它类似方法。

(资料图片仅供参考)

A. 2. 6 确认试验

应按照A. 2中相关文档的描述， 进行下列试验， 对系统功能概念和安全概念进行确认：

a) 确认系统的功能概念

除非需要按照本标准或其他标准规定的专门试验程序进行功能试验， 应按照A. 2. 2. 1的功能概念，执行车辆系统非故障状态下的功能试验， 作为确定系统正常运行水平的方法。

b) 确认系统的功能安全概念

按照A. 2. 4的功能安全概念， 应通过向系统电子电气组件或机械组件施加相应的输出信号， 来模拟组件内部故障的影响， 以检查系统在单个组件失效时的反应。

确认结果应与功能安全概念的结论一致， 并说明相关安全概念及其实施效果的充分性。

关键词： 外部接口 安全相关