1.背景

2.范圍&定義

3.技術(shù)要求

4.測試要求

5.電子控制系統(tǒng)安全方面的特殊要求

5.3 文檔

5.3.1 要求

制造商應(yīng)提供一個(gè)留檔包，以便訪問“系統(tǒng)”的基本設(shè)計(jì)以及它與其他車輛系統(tǒng)連接或直接控制輸出變量的方式。應(yīng)解釋“系統(tǒng)”的功能和制造商制定的安全概念。文檔應(yīng)簡短，但提供證據(jù)表明設(shè)計(jì)和開發(fā)受益于所有相關(guān)系統(tǒng)領(lǐng)域的專業(yè)知識(shí)。對(duì)于定期技術(shù)檢查，留檔應(yīng)描述如何檢查“系統(tǒng)”的當(dāng)前運(yùn)行狀態(tài)。

認(rèn)證機(jī)構(gòu)應(yīng)評(píng)估留檔包，以顯示“系統(tǒng)”：

（a）設(shè)計(jì)為在非故障和故障條件下運(yùn)行，不會(huì)引發(fā)安全關(guān)鍵風(fēng)險(xiǎn)；

（b）在非過失和過失條件下，遵守本法規(guī)其他地方規(guī)定的所有適當(dāng)性能要求；

（c）根據(jù)制造商聲明的開發(fā)過程/方法開發(fā)。

文件應(yīng)分兩部分提供：

（a）用于批準(zhǔn)的正式留檔包裝，包含5.3段所列材料（不包括5.3.5段的附加材料），應(yīng)在提交型式批準(zhǔn)申請(qǐng)時(shí)提供給認(rèn)證機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)應(yīng)將此留檔包用作第5.4段所述驗(yàn)證過程的基本參考。認(rèn)證機(jī)構(gòu)應(yīng)確保此留檔包在與批準(zhǔn)機(jī)構(gòu)商定的期限內(nèi)保持可用。這一期限應(yīng)從車輛明確停止生產(chǎn)之日起至少計(jì)算10年。

（b）第5.3.5段的附加材料和分析數(shù)據(jù)應(yīng)由制造商保留，但在型式批準(zhǔn)時(shí)開放供檢查。制造商應(yīng)確保該材料和分析數(shù)據(jù)在車輛明確停止生產(chǎn)之日起10年內(nèi)保持可用。

5.3.2 “系統(tǒng)”功能說明

應(yīng)提供描述，對(duì)“系統(tǒng)”的所有控制功能和實(shí)現(xiàn)目標(biāo)所采用的方法進(jìn)行簡單解釋，包括控制機(jī)制的說明。

應(yīng)識(shí)別并描述任何可以override功能的操作方法，并進(jìn)一步描述該功能操作的原理變化。

應(yīng)提供所有輸入和檢測變量的列表，并定義這些變量的工作范圍。

應(yīng)提供由“系統(tǒng)”控制的所有輸出變量列表，并在每種情況下給出控制是直接控制還是通過其他車輛系統(tǒng)的指示。應(yīng)定義對(duì)每個(gè)輸出變量的控制范圍。

定義功能操作邊界的限制，并在適當(dāng)?shù)那闆r下說明系統(tǒng)性能。

5.3.3 系統(tǒng)布局和原理圖

組件清單

應(yīng)提供一份清單，整理“系統(tǒng)”的所有單元，并提及實(shí)現(xiàn)相關(guān)控制功能所需的其他車輛系統(tǒng)。

應(yīng)提供顯示這些單元組合的概要示意圖，并明確設(shè)備分布和互連。

單元的職能

應(yīng)概述“系統(tǒng)”每個(gè)單元的功能，并顯示將其與其他單元或其他車輛系統(tǒng)連接的信號(hào)。這可以通過標(biāo)記的框圖或其他示意圖提供，也可以通過此類圖表輔助的描述提供。

互連

“系統(tǒng)”內(nèi)的互連應(yīng)由電氣傳動(dòng)環(huán)節(jié)的電路圖、氣動(dòng)或液壓傳動(dòng)設(shè)備的管路圖和機(jī)械連桿的簡化圖解布局顯示。還應(yīng)顯示與其他系統(tǒng)之間的傳動(dòng)環(huán)節(jié)。

信號(hào)流、運(yùn)行數(shù)據(jù)和優(yōu)先級(jí)

這些傳輸鏈路與單元之間傳輸?shù)男盘?hào)和/或操作數(shù)據(jù)之間應(yīng)具有明確的對(duì)應(yīng)關(guān)系。在多路復(fù)用數(shù)據(jù)路徑上，如果信號(hào)或操作數(shù)據(jù)的優(yōu)先級(jí)可能影響本法規(guī)的性能或安全，應(yīng)說明信號(hào)或操作數(shù)據(jù)的優(yōu)先級(jí)。

單元識(shí)別

每個(gè)單元應(yīng)清晰明確地識(shí)別（例如，通過硬件標(biāo)記和軟件內(nèi)容標(biāo)記或軟件輸出），以提供相應(yīng)的硬件和留檔關(guān)聯(lián)。

如果功能組合在一個(gè)單元內(nèi)，但為了清晰和便于解釋，在框圖中顯示在多個(gè)塊中，則只能使用單個(gè)硬件識(shí)別標(biāo)記。制造商應(yīng)通過使用該標(biāo)識(shí)來確認(rèn)所提供的設(shè)備符合相應(yīng)的文件。

該標(biāo)識(shí)定義了硬件和軟件版本，如果軟件版本發(fā)生了變化，例如就本法規(guī)而言改變了設(shè)備的功能，則該標(biāo)識(shí)也應(yīng)更改。

5.3.4 制造商的安全理念

制造商應(yīng)提供一份聲明，確認(rèn)為實(shí)現(xiàn)“系統(tǒng)”目標(biāo)而選擇的策略在非故障條件下不會(huì)損害車輛的安全運(yùn)行。

對(duì)于“系統(tǒng)”中使用的軟件，應(yīng)解釋概要架構(gòu)，并確定使用的設(shè)計(jì)方法和工具。制造商應(yīng)在設(shè)計(jì)和開發(fā)過程中展示其確定系統(tǒng)邏輯實(shí)現(xiàn)方式的證據(jù)。

制造商應(yīng)向認(rèn)證機(jī)構(gòu)提供“系統(tǒng)”內(nèi)置設(shè)計(jì)條款的解釋，以便在故障條件下安全運(yùn)行。“系統(tǒng)”中可能出現(xiàn)的故障設(shè)計(jì)條款包括：

（a）回退到使用部分系統(tǒng)的操作（功能降級(jí)）。

（b）切換到單獨(dú)的備份系統(tǒng)（冗余備份）。

（c）刪除高級(jí)功能（關(guān)閉功能）。

如果發(fā)生故障，應(yīng)通過警告信號(hào)或信息顯示等方式向駕駛員發(fā)出警告。當(dāng)系統(tǒng)未被駕駛員停用時(shí)，例如通過將點(diǎn)火（運(yùn)行）開關(guān)調(diào)至“關(guān)閉”（下電），或通過關(guān)閉該特定功能（如果為此目的提供了特殊開關(guān)），只要故障狀況持續(xù)存在，警告就應(yīng)存在。

如果系統(tǒng)在某些故障條件下選擇了部分性能運(yùn)行模式，則應(yīng)說明這些條件并定義由此產(chǎn)生的有效性限制。

如果系統(tǒng)選擇第二種（冗余備份）方式來實(shí)現(xiàn)車輛控制系統(tǒng)目標(biāo)，則應(yīng)解釋轉(zhuǎn)換機(jī)制的原理、冗余邏輯和級(jí)別以及任何內(nèi)置后備檢查功能，并定義后備有效性的最終限制。

如果系統(tǒng)選擇去除高級(jí)功能，則應(yīng)禁止與該功能相關(guān)的所有相應(yīng)輸出控制信號(hào)，并以限制轉(zhuǎn)換擾動(dòng)的方式進(jìn)行（功能退出不應(yīng)產(chǎn)生跳變）。

5.3.5 安全分析文檔

應(yīng)通過分析來支持留檔，該分析總體上顯示系統(tǒng)在發(fā)生對(duì)車輛控制性能或安全有影響的任何單獨(dú)危險(xiǎn)或故障時(shí)的行為。

所選擇的分析方法應(yīng)由制造商建立和維護(hù)，并應(yīng)在型式批準(zhǔn)時(shí)開放供認(rèn)證機(jī)構(gòu)檢查。

認(rèn)證機(jī)構(gòu)應(yīng)對(duì)分析方法的應(yīng)用進(jìn)行評(píng)估。審計(jì)應(yīng)包括：

（a）在概念（車輛）級(jí)別檢查安全方法，并確認(rèn)其包括與其他車輛系統(tǒng)的相互作用。該方法應(yīng)基于適合系統(tǒng)安全的危險(xiǎn)/風(fēng)險(xiǎn)分析。

（b）系統(tǒng)級(jí)安全方法的檢查。該方法應(yīng)基于故障模式和影響分析（FMEA）、故障樹分析（FTA）或任何適用于系統(tǒng)安全的類似過程。

（c）驗(yàn)證計(jì)劃和結(jié)果的檢查。該驗(yàn)證應(yīng)使用例如硬件在環(huán)（HIL）測試、車輛道路運(yùn)行測試或任何適合驗(yàn)證的方法。

評(píng)估應(yīng)包括對(duì)技術(shù)服務(wù)選擇的危險(xiǎn)和故障的檢查，以確定制造商對(duì)安全概念的解釋是可理解的、合乎邏輯的，并且驗(yàn)證計(jì)劃是合適的并且已經(jīng)完成。

認(rèn)證機(jī)構(gòu)可以執(zhí)行或可能要求執(zhí)行5.4段中規(guī)定的測試，以驗(yàn)證安全概念。

該留檔應(yīng)逐項(xiàng)列出被監(jiān)測的參數(shù)，并應(yīng)針對(duì)本附件第5.3.5段中定義的每種類型的故障情況，列出向駕駛員和/或服務(wù)/技術(shù)檢查人員發(fā)出的警告信號(hào)。

本留檔應(yīng)描述當(dāng)“系統(tǒng)”的性能受到環(huán)境條件（如氣候、溫度、灰塵進(jìn)入、水進(jìn)入、冰雪覆蓋等）的影響時(shí)，為確?！跋到y(tǒng)”不損害車輛的安全運(yùn)行而采取的措施。

5.4 驗(yàn)證和測試

第5.3段要求的文件中規(guī)定的“系統(tǒng)”的功能操作應(yīng)按以下方式進(jìn)行測試：

5.4.1 “系統(tǒng)”功能驗(yàn)證

認(rèn)證機(jī)構(gòu)應(yīng)在非故障條件下通過測試制造商在上文第5.3.2段中聲明的一些選定功能來驗(yàn)證“系統(tǒng)”。

對(duì)于復(fù)雜電子控制系統(tǒng)，這些測試應(yīng)包括聲明的override場景。

5.4.2 驗(yàn)證第5.3.4段的安全概念。

應(yīng)在任何單個(gè)單元的故障影響下檢查“系統(tǒng)”的反應(yīng)，通過向電氣單元或機(jī)械元件施加相應(yīng)的輸出信號(hào)，以模擬單元內(nèi)部故障的影響。技術(shù)服務(wù)應(yīng)至少對(duì)一個(gè)單個(gè)單元進(jìn)行此檢查，但不應(yīng)檢查“系統(tǒng)”對(duì)單個(gè)單元的多個(gè)同時(shí)故障的反應(yīng)。

認(rèn)證機(jī)構(gòu)應(yīng)核實(shí)可能對(duì)車輛可控性和用戶信息（HMI方面）產(chǎn)生影響的測試。

驗(yàn)證結(jié)果應(yīng)與記錄在案的故障分析摘要相一致，達(dá)到總體效果水平，從而確認(rèn)安全概念和執(zhí)行是充分的。

5.5 技術(shù)服務(wù)報(bào)告

認(rèn)證機(jī)構(gòu)的評(píng)估報(bào)告應(yīng)以允許可追溯性的方式進(jìn)行，例如檢查的文件版本被編碼并列在認(rèn)證機(jī)構(gòu)的記錄中。

認(rèn)證機(jī)構(gòu)發(fā)給型式認(rèn)可當(dāng)局的評(píng)估表的模板如下：

電子系統(tǒng)評(píng)估表模版

檢測報(bào)告編號(hào)：

1. 身份證明

1.1 車輛品牌：

1.2 類型：

1.3 標(biāo)記在車上的類型識(shí)別方法：

1.4 該標(biāo)記的位置：

1.5 制造商名稱和地址：

1.6 制造商代表的姓名和地址（如適用）：

1.7 制造商的正式留檔包：

文件編號(hào)：

原始版本發(fā)行日期：

最新更新日期：

2. 測試車輛/系統(tǒng)說明

2.1 一般說明：

2.2 “系統(tǒng)”所有控制功能的描述，以及操作方法：

2.3 “系統(tǒng)”內(nèi)的組件描述和互聯(lián)圖：

3. 制造商的安全理念

3.1 信號(hào)流和操作數(shù)據(jù)及其優(yōu)先級(jí)的描述：

3.2 制造商聲明：

3.3 軟件架構(gòu)和使用的設(shè)計(jì)方法和工具：

3.4 故障條件下“系統(tǒng)”內(nèi)置的設(shè)計(jì)條款說明：

3.5 對(duì)“系統(tǒng)”在單個(gè)危險(xiǎn)或故障條件下的行為進(jìn)行記錄分析：

3.6 針對(duì)環(huán)境條件的措施說明：

3.7 “系統(tǒng)”定期技術(shù)檢查規(guī)定：

3.8  “系統(tǒng)”驗(yàn)證測試的結(jié)果：

3.9 安全概念驗(yàn)證測試結(jié)果：

3.10 測試日期：

3.11 本試驗(yàn)已經(jīng)根據(jù)XX法規(guī)XX修訂版進(jìn)行測試并報(bào)告了結(jié)果。

3.12 簽名: ...... 日期: .......

3.13 注釋：