报道：汽车转向电子控制系统功能安全要求

|注： 以下摘录自国标GB17675，仅供学习参考！

功能安全要求

本附录规定了转向电子控制系统在功能安全方面的文档、 安全策略及验证确认的要求。

B. 1 总则

车辆安全相关电子电气系统发生功能异常时， 将会导致潜在的危害事件（例如， 车辆正常行驶过程中， 发生非预期的自主转向， 导致车辆碰撞） 。GB/T 34590（所有部分） 《道路车辆 功能安全》 阐明了车辆安全相关电子电气系统在安全生命周期内应满足的功能安全要求， 以避免或降低因系统发生故障所导致的风险。

本附录规定了转向电子控制系统在功能安全方面的文档、 安全策略及验证确认的要求。

本附录不针对转向电子控制系统的标称性能， 也不作为转向电子控制系统功能安全开发的具体指导， 而是规定设计过程中应遵循的方法和系统验证确认时应具备的信息， 以证明系统在正常运行和故障状态下均能实现功能概念和功能安全概念， 并满足本标准规定的、 所有适用的性能要求。

B. 2 文档

B. 2. 1 要求

(相关资料图)

应具有相应的文档以说明转向电子控制系统的功能概念、为实现安全目 标而制定的功能安全概念、安全策略、 开发过程和方法， 以证明系统：

——通过设计保证系统在非故障和故障状态下均能实现功能概念和功能安全概念。

——在非故障和故障状态下满足本标准规定的性能要求。

——开发过程和方法是适用的。

B. 2. 2 转向电子控制系统描述

B. 2. 2. 1 应描述转向电子控制系统的功能概念， 即目的和功能描述清单。

B. 2. 2. 2 应定义转向电子控制系统的范围， 明确子系统和要素， 并识别与其存在交互关系的外部系统或要素。

B. 2. 2. 3 应定义转向电子控制系统的运行条件和约束限制， 针对相应的系统功能， 说明有效工作范围的界限。

B. 2. 3 系统布局及原理图

B. 2. 3. 1 系统组件清单

应提供组件清单， 该清单应包含系统的所有组件单元， 同时也应列明为实现相关控制功能所需的车辆其它系统。

应基于这些组件单元提供系统布局及原理图， 该图应能够清晰地展示组件分布和相互连接。

B. 2. 3. 2 单元功能

应概述系统各单元的功能， 并展示该单元与其它单元或车辆其它系统间的信号连接。可使用带标记的框图或其它示意图， 也可借助图表说明。、

B. 2. 3. 3 相互连接

用电路图、 管路图和布置简图分别说明电子传输链、 液压传输链和机械连接装置在系统内部的相互连接。

B. 2. 3. 4 信号流、 运行数据和优先顺序

单元间的传输链与信号、 运行数据应有明确的对应关系。

如优先顺序影响本标准所述性能或安全， 应确定多元数据通道内的信号、 运行数据的优先顺序。

B. 2. 3. 5 单元的识别

应能清晰明确地识别每个单元（例如， 对硬件的标识、 对软件内容的标识或软件输出） 并提供相应的说明。

内部集成了多个功能的单元或单个处理器， 在框图里多次出现时， 为清晰和便于解释， 仅用一个硬件识别标志。应利用识别标志确认所提供的装置与相应的文档一致。

识别标志应明确硬件和软件的版本， 如版本变化引起本标准所述功能的改变， 应对识别标志作相应地改变。

B. 2. 4 危害分析和风险评估

应对转向电子控制系统的功能性故障进行分析， 并归类。

应根据车辆目 标使用场景及目标用户， 分析潜在危害， 并定义相应的汽车安全完整性等级（ASIL） ，参见 GB/T 34590。应针对潜在危害， 定义安全目标， 并进行归类。

B. 2. 5 功能安全概念

B. 2. 5. 1 应确保为实现安全目标而选择的安全策略不会在故障条件、 非故障条件（例如：功能局限、合理可预见的误用条件） 下影响车辆的安全运行。转向电子控制系统相关危害的功能安全要求应至少包含表 D. 1 中所列出的要求。

如果出现与表 D. 1 所列的要求不一致的情况， 应具备相应的证据来证明转向电子控制系统不会因功能异常表现而导致不合理的整车危害风险。应至少包括如下证据：

a） 全部整车危害风险已被考虑， 并制定了合理的安全目 标；

b） 所制定的安全目 标针对目 标市场是适用和充分的。

B. 2. 5. 2 在转向电子控制系统发生故障时， 为满足安全目 标而在设计时可采取的安全措施（含外部措施） 如下：

——利用部分系统维持工作。如在发生特定失效时选择维持部分性能的运行模式， 应说明条件并界定其效果。

——切换到独立的备用系统。如选择备用系统方式来实现安全目 标， 应对切换机制的原理、 冗余的逻辑和层级、 备份系统检查特征进行说明并界定备用系统的效果。

——通过关闭上层功能而进入安全状态。如选择关闭上层功能， 应禁止与该功能有关的所有相应的输出控制信号， 以此来限制干扰的传播。

——通过警告驾驶员， 将风险暴露时间降低到一个可接受的时间区间内。

B. 2. 5. 3 应说明转向电子控制系统中软件的架构概要、 设计和开发过程中的逻辑、 所使用的设计方法和工具。

B. 2. 5. 4 转向电子控制系统安全相关功能发生失效时， 应通过警告信号或提示信息等方式警告驾驶员。

B. 2. 6 安全分析

B. 2. 6. 1 应通过安全分析从总体上说明对影响车辆运动控制和安全目标的危害和故障进行了有效识别和处理， 以此来支持上述文档。

安全分析应包括但不限于：

B. 2. 6. 1 . 1 整车层面的安全分析， 确认以下：

——与车辆其它系统的交互；

——功能异常表现；

——非故障条件下的安全风险（例如对车辆周边环境缺乏理解或错误的理解） ；

——合理可预见的误用。

B. 2. 6. 1 . 2 系统层面的安全分析， 可采用潜在失效模式与影响分析（FMEA）、 故障树分析(FTA) 或适合系统安全分析的其它类似方法。

B. 2. 6. 1 . 3 对确认计划和确认结果进行检查， 确认应基于硬件在环（HIL） 测试、 实车道路测试或其它适当的方法。

B. 2. 6. 2 应列出系统所监测的参数， 同时应针对 D. 2. 6. 1 中定义的每一种故障情况， 列出给予驾驶员、维修人员、 检测机构人员的警告信号。

B. 2. 6. 3 应描述对应的措施， 确保系统在性能受环境条件影响时， 如气候、 温度、 灰尘进入、 进水、冰封等， 不会妨碍车辆的安全运行。

B. 3 验证和确认

B. 3. 1 应按照 D. 2 中相关文档的描述， 进行下列试验， 对转向电子控制系统的功能概念和功能安全概念进行验证和确认。

B. 3. 1 . 1 功能概念的验证和确认

除需要按照本标准或其他标准规定的专门试验程序进行功能试验， 应按照 D. 2. 2. 1 的功能概念，执行车辆系统非故障状态下的功能试验， 作为确定系统正常运行水平的方法。

B. 3. 1 . 2 功能安全概念的验证和确认

应通过向电子电气组件或机械组件施加相应的信号， 来模拟组件内部故障的影响， 以检查单个组件失效时的反应。

应针对 D. 2. 5. 1 中的故障条件、 非故障条件、 功能局限、 合理可预见的误用条件下的可控性、 人机交互（HMI） 进行验证和确认。

验证和确认的结果应与 D. 2. 5 一致， 并说明功能安全概念及其实施效果的充分性。

B. 4 评估报告

B. 4. 1 评估报告应具有可追溯性， 例如对所检查文档的版本进行编号并记录。本附录给出了评估报告的示例。

B. 4. 1 . 1 基本信息

B. 4. 1 . 1 . 1 车辆信息

制造商名称：___________

车型：___________VIN: ____________

B. 4. 1 . 1 . 2 制造商提供的文档信息

文档编号：____________

原始版本发布时间：____________

最终版本发布时间：____________

B. 4. 1 . 2 转向电子控制系统描述

总体描述：___________

系统所有的控制功能描述， 以及操作方法: ____________

系统中关联的组件和图表的描述: ____________

B. 4. 1 . 3 功能安全概念

信号流、 运行数据和优先顺序说明：___________

制造商声明（例如：制造商应确保为实现安全目 标而选择的安全策略不会在故障条件、 非故障条件

（例如：功能局限、 合理可预见的误用条件） 下影响车辆的安全运行） : ____________

软件架构概要及所使用的设计方法和工具: ____________

系统在故障条件下的设计说明: ____________

系统针对危害和故障的安全分析文档：____________

针对所处环境条件的措施说明: ____________

B. 4. 1 . 4 验证和确认

功能概念验证和确认结果（要求参见 D. 3. 1. 1） ：___________

功能安全概念验证和确认结果（要求参见 D. 3. 1. 2） : ____________

测试日期: ____________

关键词： 电子控制系统 安全分析