日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號(hào)

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

R171.01對(duì)DCAS的要求⑨

2025-04-27 15:29:51·  來源:智駕小強(qiáng)  
 

1.背景

2.范圍和定義

3.申請(qǐng)批準(zhǔn)

4.批準(zhǔn)

5.一般要求

6.DCAS功能的附加要求

7.DCAS運(yùn)行監(jiān)控

8.系統(tǒng)驗(yàn)證

9.系統(tǒng)信息數(shù)據(jù)

10.軟件識(shí)別要求

11.系統(tǒng)安全要求

12.物理測試要求

13.模擬仿真要求






11.系統(tǒng)安全要求
適用于審計(jì)/評(píng)估的特殊要求
1. 一般要求
就本UN法規(guī)而言,本章節(jié)界定電子系統(tǒng)復(fù)雜電子控制系統(tǒng)安全方面的留檔、設(shè)計(jì)安全和驗(yàn)證的特殊要求。
本章節(jié)未規(guī)定“系統(tǒng)”的性能標(biāo)準(zhǔn),但涵蓋了應(yīng)用于設(shè)計(jì)過程的方法論以及為型式批準(zhǔn)目的必須向型式批準(zhǔn)機(jī)構(gòu)或代表其行事的技術(shù)服務(wù)(以下簡稱型式批準(zhǔn)機(jī)構(gòu))披露的信息。
該信息應(yīng)表明,“DCAS系統(tǒng)”在無故障和故障條件下滿足本UN法規(guī)其他地方規(guī)定的所有適當(dāng)性能要求,并且DCAS系統(tǒng)的設(shè)計(jì)操作方式不會(huì)對(duì)駕駛員、乘客和其他道路使用者造成不合理的安全風(fēng)險(xiǎn)。
必須始終遵守本UN法規(guī)中“系統(tǒng)應(yīng)shall……”形式的規(guī)定。在評(píng)估期間未能滿足此類要求則不符合本UN規(guī)定的要求。
本UN法規(guī)中“系統(tǒng)應(yīng)旨在shall aim to……”形式的規(guī)定承認(rèn),該要求可能并不總是能夠?qū)崿F(xiàn)(例如,由于外部干擾或在特定情況下不適合這樣做)。
本UN法規(guī)中“系統(tǒng)應(yīng)設(shè)計(jì)為shall be designed to……”形式的規(guī)定承認(rèn)系統(tǒng)性能測試不是驗(yàn)證要求,驗(yàn)證要求將需要對(duì)系統(tǒng)設(shè)計(jì)(例如其控制策略)進(jìn)行評(píng)估。
如果在評(píng)估過程中,“應(yīng)旨在shall aim to……”或“應(yīng)設(shè)計(jì)為shall be designed to……”形式的要求未得到滿足,制造商應(yīng)向型式認(rèn)證機(jī)構(gòu)證明為什么會(huì)出現(xiàn)這種情況,以及系統(tǒng)如何避免不合理的風(fēng)險(xiǎn)。
2. 定義
“該系統(tǒng)The system”是指能夠幫助駕駛員持續(xù)控制車輛縱向和橫向運(yùn)動(dòng)的硬件和軟件。在章節(jié)的范圍內(nèi),這還包括本UN法規(guī)范圍內(nèi)的任何其他系統(tǒng),以及與本UN法規(guī)范圍之外的其他關(guān)聯(lián)系統(tǒng)。在本UN條例中,該系統(tǒng)也被稱為駕駛員控制輔助系統(tǒng)DCAS。
“安全概念Safety Concept”是指對(duì)DCAS系統(tǒng)中設(shè)計(jì)的措施的描述,例如在電子單元內(nèi),以解決系統(tǒng)完整性問題,從而確保在故障(功能安全functional safety)和非故障條件(操作安全operational safety)下的安全運(yùn)行,不會(huì)對(duì)車輛乘員和其他道路使用者產(chǎn)生不合理的安全風(fēng)險(xiǎn)。部分功能甚至整個(gè)系統(tǒng)的冗余備份,是安全概念的一部分。
“電子控制系統(tǒng)Electronic Control System”是指一組單元的組合,旨在通過電子數(shù)據(jù)處理合作生產(chǎn)所述車輛控制功能。這些系統(tǒng)通常由軟件控制,由離散的功能組件(如傳感器、電子控制單元和執(zhí)行器)構(gòu)建,并通過傳輸鏈路連接。傳輸鏈路可能包括機(jī)械、機(jī)電、電氣或電液等方式。
“復(fù)雜電子控制系統(tǒng)Complex Electronic Control Systems”是指由電子系統(tǒng)控制的功能可能被更高級(jí)別的電子控制系統(tǒng)/功能超控override電子控制系統(tǒng)。被超控的功能成為復(fù)雜電子控制系統(tǒng)的一部分,例如本UN法規(guī)范圍內(nèi)的任何覆蓋系統(tǒng)/功能(ABS、IPB、EPS等)。本UN法規(guī)范圍之外的與覆蓋系統(tǒng)/功能之間的傳輸鏈接也應(yīng)包括在內(nèi)。
“高級(jí)電子控制Higher-Level Electronic Control”是指采用額外的處理和/或傳感裝置,通過命令車輛控制系統(tǒng)功能的變化來改變車輛行為的系統(tǒng)。這使得復(fù)雜的系統(tǒng)能夠根據(jù)感知的情況自動(dòng)改變其目標(biāo)的優(yōu)先級(jí)。
“單元Units”是本章節(jié)將審議的系統(tǒng)組成部分的最小分類,為了識(shí)別、分析或更換的目的,這些組成部分的組合將被視為單一實(shí)體。
“傳輸鏈路Transmission links”是用于連接分布式單元以傳輸信號(hào)、操作數(shù)據(jù)或能量供應(yīng)的手段。這種設(shè)備通常是電氣的,但在某些部分可能是機(jī)械的、氣動(dòng)的或液壓的。
“控制范圍Range of control”指的是輸出變量,并定義了系統(tǒng)可能行使控制的范圍。
“功能操作的邊界Boundary of functional operation”定義了系統(tǒng)設(shè)計(jì)用于維持控制的可驗(yàn)證或可測量限制的邊界。在本UN法規(guī)中,功能操作邊界也稱為“系統(tǒng)邊界System Boundaries”。
“安全相關(guān)功能Safety Related Function”是指能夠改變車輛動(dòng)態(tài)行為的“系統(tǒng)”功能。DCAS系統(tǒng)可能能夠執(zhí)行多個(gè)安全相關(guān)功能。
“控制策略Control Strategy”是指響應(yīng)一組特定的環(huán)境或操作條件(例如道路表面條件、交通強(qiáng)度和其他道路使用者、惡劣天氣條件等)確保系統(tǒng)功能穩(wěn)健和安全運(yùn)行的策略。這可能包括功能的自動(dòng)停用或臨時(shí)性能限制(例如,最大運(yùn)行速度的降低等)。
“故障Fault”是指可能導(dǎo)致故障的異常情況。這可能涉及硬件或軟件。
“失效Failure”是指由于故障表現(xiàn)而終止系統(tǒng)的功能或系統(tǒng)的預(yù)期行為。
“不合理風(fēng)險(xiǎn)Unreasonable risk”是與系統(tǒng)邊界內(nèi)的老司機(jī)(成熟謹(jǐn)慎駕駛員)駕駛車輛相比,車輛乘員和其他道路使用者的總體風(fēng)險(xiǎn)水平有所增加。
“高速公路Highway”是指禁止行人和騎自行車的道路,根據(jù)設(shè)計(jì),該道路配備了物理隔離,將相反方向的交通分開。
“非高速公路Non-Highway”是指上述定義的高速公路以外的道路。
3. 文檔
3.1 文檔要求
制造商應(yīng)提供一個(gè)留檔包,提供DCAS系統(tǒng)的基本設(shè)計(jì)以及與其他車輛系統(tǒng)連接或直接控制輸出變量的方法。應(yīng)解釋制造商規(guī)定的系統(tǒng)功能和安全概念。文檔應(yīng)簡短,但提供證據(jù)表明設(shè)計(jì)和開發(fā)受益于所有相關(guān)系統(tǒng)領(lǐng)域的專業(yè)知識(shí)。對(duì)于定期技術(shù)檢查,留檔應(yīng)描述如何檢查系統(tǒng)的當(dāng)前運(yùn)行狀態(tài)。
型式認(rèn)證機(jī)構(gòu)應(yīng)評(píng)估留檔包裝,以顯示“系統(tǒng)”:
(a)設(shè)計(jì)用于在非故障和故障條件下運(yùn)行,以避免不合理的風(fēng)險(xiǎn);和
(b)在非故障及故障情況下,遵守本UN法規(guī)其他地方指明的所有適當(dāng)性能要求;和
(c)制造商根據(jù)第11.1.3.4段選擇的法式進(jìn)行開發(fā)。
3.1.1 文件應(yīng)分兩部分提供:
(a)用于批準(zhǔn)的正式留檔包裝,包含第3段所列材料(第3.4.4段除外),應(yīng)在提交型式批準(zhǔn)申請(qǐng)時(shí)提供給型式批準(zhǔn)機(jī)構(gòu)。型式批準(zhǔn)機(jī)構(gòu)應(yīng)將此留檔包裝用作本附件第4段(第12部分)所述驗(yàn)證過程的基本參考。型式批準(zhǔn)機(jī)構(gòu)應(yīng)確保此留檔包裝在與型式批準(zhǔn)機(jī)構(gòu)商定的期限內(nèi)保持可用。該期限應(yīng)至少為車輛正式停產(chǎn)后10年。
(b)第3.4.4款規(guī)定的其他機(jī)密材料和分析數(shù)據(jù)(知識(shí)產(chǎn)權(quán))應(yīng)由制造商保留,但在型式批準(zhǔn)時(shí)開放供檢查(例如,在制造商的工程設(shè)施現(xiàn)場)。制造商應(yīng)確保此材料和分析數(shù)據(jù)在車輛停產(chǎn)后10年內(nèi)保持可用。(功能安全相關(guān)文檔供應(yīng)商自行保管,可不提交,但要支持抽查。)
3.2 系統(tǒng)功能說明
應(yīng)對(duì)系統(tǒng)的所有功能(包括控制策略)提供描述,并對(duì)為實(shí)現(xiàn)目標(biāo)采用的方法進(jìn)行簡單解釋,包括對(duì)實(shí)施控制的策略的說明。
任何描述的功能都應(yīng)被識(shí)別,并進(jìn)一步描述功能操作的變更原理。
本UN法規(guī)第2.1段中定義的為駕駛員提供輔助的任何啟用或禁用安全相關(guān)功能(AEB、LDP、ISA等),當(dāng)硬件和軟件在生產(chǎn)時(shí)存在于車輛中時(shí),應(yīng)在車輛使用前聲明并受本附件要求的約束。
3.2.1 應(yīng)提供所有輸入和檢測變量的列表(輸入報(bào)文矩陣),并定義這些變量的工作范圍,以及每個(gè)變量如何影響系統(tǒng)行為的描述。
3.2.2 應(yīng)提供由DCAS系統(tǒng)控制的所有輸出變量的列表(輸出報(bào)文矩陣),并在每種情況下給出控制是直接控制還是通過其他車輛系統(tǒng)控制(間接控制)的解釋。應(yīng)定義對(duì)每個(gè)此類變量實(shí)施的控制范圍。
3.2.3 在系統(tǒng)性能適當(dāng)?shù)那闆r下,應(yīng)說明定義功能操作邊界的限制。
3.2.4 應(yīng)根據(jù)本附件附錄4中的模型提供系統(tǒng)能力及其特性的聲明。
3.3 系統(tǒng)布局和原理圖
3.3.1 組件清單
應(yīng)提供一份清單,整理系統(tǒng)的所有單元,并提及實(shí)現(xiàn)相關(guān)控制功能所需的其他車輛系統(tǒng)。
應(yīng)提供顯示這些單元組合的概要示意圖,并明確設(shè)備分布和互連。
3.3.2 單元的職能
應(yīng)概述系統(tǒng)的每個(gè)單元的功能,并顯示將其與其他單元或其他車輛系統(tǒng)連接的信號(hào)。這可以通過標(biāo)記的框圖或其他示意圖或由此類圖表輔助的描述來提供。
3.3.3 連接方式
系統(tǒng)內(nèi)的連接方式應(yīng)以電路圖、氣動(dòng)或液壓傳動(dòng)設(shè)備的管線圖和機(jī)械連桿的簡化圖來顯示。還應(yīng)顯示與其他系統(tǒng)之間的傳動(dòng)方式。
3.3.4 信號(hào)流、運(yùn)行數(shù)據(jù)和優(yōu)先級(jí)
傳輸鏈路和單元之間傳輸?shù)男盘?hào)之間應(yīng)有明確的對(duì)應(yīng)關(guān)系。如果優(yōu)先級(jí)可能影響性能或安全,則應(yīng)說明多路復(fù)用數(shù)據(jù)路徑上信號(hào)的優(yōu)先級(jí)(如CAN信號(hào)優(yōu)先級(jí))。
3.3.5 單元識(shí)別
每個(gè)單元應(yīng)清晰明確地識(shí)別(例如,通過硬件標(biāo)記和軟件內(nèi)容標(biāo)記或軟件輸出),以提供相應(yīng)的硬件和留檔關(guān)聯(lián)。
如果功能在單個(gè)單元內(nèi),但為了清晰和易于解釋而在框圖中以多個(gè)塊顯示,則只能使用單個(gè)硬件標(biāo)識(shí)標(biāo)記。制造商應(yīng)通過使用此標(biāo)識(shí)來確認(rèn)所提供的設(shè)備符合相應(yīng)的文件(文檔與實(shí)車零部件及軟件版本一致性)。
3.3.5.1 該標(biāo)識(shí)定義了硬件和軟件版本,如果軟件發(fā)生變化,例如就本法規(guī)而言改變了單元的功能,則該標(biāo)識(shí)也應(yīng)更改。
3.4 制造商的安全理念
3.4.1 制造商應(yīng)提供一份聲明,確認(rèn)為實(shí)現(xiàn)系統(tǒng)目標(biāo)而選擇的策略在非故障條件下不會(huì)影響車輛的安全運(yùn)行。
制造商應(yīng)補(bǔ)充本聲明,說明所選策略如何確保系統(tǒng)目標(biāo)不影響上述系統(tǒng)的安全運(yùn)行,并描述支持該聲明的驗(yàn)證計(jì)劃部分。
型式認(rèn)證機(jī)構(gòu)應(yīng)對(duì)聲明及補(bǔ)充聲明進(jìn)行評(píng)估,以確定制造商對(duì)所選策略的解釋是可理解的、合乎邏輯的,驗(yàn)證計(jì)劃合適的并且已經(jīng)完成
型式認(rèn)證機(jī)構(gòu)可以執(zhí)行測試,或者可以要求執(zhí)行測試,以驗(yàn)證“系統(tǒng)”是否按照所選策略運(yùn)行。
3.4.2 對(duì)于系統(tǒng)中使用的軟件,應(yīng)解釋概要架構(gòu),并確定使用的設(shè)計(jì)方法和工具。制造商應(yīng)在設(shè)計(jì)和開發(fā)過程中展示其確定系統(tǒng)邏輯實(shí)現(xiàn)方式的證據(jù)(軟件測試、仿真測試)。
3.4.3 制造商應(yīng)向型式認(rèn)證機(jī)構(gòu)提供系統(tǒng)內(nèi)置設(shè)計(jì)條款的解釋:DCAS系統(tǒng)在故障條件下如何進(jìn)行安全運(yùn)行。系統(tǒng)故障的可能設(shè)計(jì)條款例如:
(a)回退到使用部分系統(tǒng)運(yùn)行(抑制部分功能/性能,如降低最大運(yùn)行速度、禁用換道功能);
(b)切換到單獨(dú)的備份系統(tǒng)(系統(tǒng)冗余設(shè)計(jì)、需考慮切換時(shí)間);
(c)刪除高級(jí)功能(如只報(bào)警不控制)。
3.4.3.1 如果所選方案為在某些故障條件下選擇部分性能運(yùn)行模式,則應(yīng)說明這些條件并定義由此產(chǎn)生的有效性限制。
3.4.3.2 如果所選方案為第二種(冗余備份)方式來實(shí)現(xiàn)車輛控制系統(tǒng)安全目標(biāo),則應(yīng)解釋轉(zhuǎn)換機(jī)制的原理冗余邏輯級(jí)別以及任何內(nèi)置后備檢查功能,并定義后備有效性的最終限制。
3.4.3.3 如果所選擇的方案為刪除高級(jí)功能,則與該功能相關(guān)聯(lián)的所有輸出控制信號(hào)均應(yīng)禁止,并以限制過渡干擾的方式進(jìn)行。(線性停止,避免擾動(dòng))
3.4.4 應(yīng)通過分析來支持留檔,該分析總體上顯示系統(tǒng)在發(fā)生對(duì)車輛控制性能或安全有影響的任何單個(gè)危險(xiǎn)或故障時(shí)的行為。
所選擇的分析方法應(yīng)由制造商建立和維護(hù),并應(yīng)在型式批準(zhǔn)時(shí)開放供型式批準(zhǔn)機(jī)構(gòu)檢查。
型式認(rèn)可機(jī)構(gòu)應(yīng)對(duì)分析方法的應(yīng)用進(jìn)行評(píng)估。評(píng)估應(yīng)包括:(a)在概念(車輛)層面檢查安全方法,并確認(rèn)其包括考慮:
(i)與其他車輛系統(tǒng)的交互;
(ii)本UN法規(guī)范圍內(nèi)的系統(tǒng)故障;
(iii)對(duì)于本UN法規(guī)第3.2段定義的功能:
沒有故障的系統(tǒng)可能會(huì)產(chǎn)生安全關(guān)鍵風(fēng)險(xiǎn)的情況(例如,由于對(duì)車輛環(huán)境的缺乏或錯(cuò)誤理解);
功能和系統(tǒng)限制;
駕駛員合理可預(yù)見的誤用;
有意篡改系統(tǒng)。
(iv)影響車輛安全的網(wǎng)絡(luò)攻擊。
這種方法可以基于適合系統(tǒng)安全的危險(xiǎn)/風(fēng)險(xiǎn)分析。(HARA分析
(b)在系統(tǒng)層面檢查安全方法。這種方法包括自上而下和自下而上的方法。安全方法可以基于故障模式和影響分析(FMEA)、故障樹分析(FTA)和系統(tǒng)理論過程分析(STPA)或任何適合系統(tǒng)功能和操作安全的類似過程;
(c)驗(yàn)證計(jì)劃和結(jié)果的檢查。該驗(yàn)證應(yīng)包括適用于驗(yàn)證的驗(yàn)證測試,例如硬件在環(huán)HIL)測試、車輛道路運(yùn)行測試或任何其他適用于驗(yàn)證的測試。
評(píng)估應(yīng)包括由型式認(rèn)證機(jī)構(gòu)選擇的危險(xiǎn)、故障和故障條件的檢查,以確定制造商對(duì)安全概念的解釋是可理解的、合乎邏輯的,并且驗(yàn)證計(jì)劃是合適的并且已經(jīng)完成(需要認(rèn)證機(jī)構(gòu)抽查)。
型式認(rèn)證機(jī)構(gòu)可按第12章節(jié)的規(guī)定進(jìn)行試驗(yàn)或要求進(jìn)行試驗(yàn),以驗(yàn)證安全概念。
3.4.4.1 該留檔應(yīng)逐項(xiàng)列出被監(jiān)測的參數(shù),并應(yīng)針對(duì)本第3.4.4段中定義的每種相關(guān)故障情況進(jìn)行說明,列出向駕駛員和或服務(wù)/技術(shù)檢查人員發(fā)出的警告信號(hào)。
3.4.4.2 本留檔應(yīng)描述當(dāng)系統(tǒng)性能受環(huán)境條件(如氣候、溫度、灰塵進(jìn)入、水進(jìn)入、冰封)影響時(shí),為確保系統(tǒng)不影響車輛安全運(yùn)行而采取的措施。
如果本UN法規(guī)包含對(duì)系統(tǒng)在不同環(huán)境條件下運(yùn)行的特別規(guī)定,本留檔須描述為確保符合該規(guī)定而采取的措施。(如自動(dòng)開啟暖風(fēng)除霜、自動(dòng)開啟雨刮器、自動(dòng)開啟大燈等)


分享到:
 
反對(duì) 0 舉報(bào) 0 收藏 0 評(píng)論 0
滬ICP備11026917號(hào)-25