联合国法规R175对油门防误踩功能ACPE的要求③

1.背景

2.范围&定义

3.技术要求

4.测试要求

5.电子控制系统安全方面的特殊要求

5.电子控制系统安全方面的特殊要求

 

5.1 一般要求

 

就本法规而言，本章节定义了复杂电子车辆控制系统安全方面的留档、故障策略和验证的特殊要求。

 

就本法规而言，本章节也应适用于本法规中确定的由电子控制系统控制的与安全有关的功能。

 

本章节没有具体说明“系统”的性能标准，但涵盖了应用于设计过程的方法论以及为型式批准目的必须向技术服务部门披露的信息。

 

该信息应表明“系统”在非故障和故障条件下满足本法规其他地方规定的所有适当性能要求，并且其设计为以不会引起安全关键风险的方式运行。

 

5.2 定义

 

就本章节而言

“该系统The System”：指提供或构成本法规适用功能的控制传输的一部分的电子控制系统或复杂电子控制系统。这还包括本法规范围内涵盖的任何其他系统，以及与本法规范围之外的其他系统之间的传输链接，这些系统作用于本法规适用的功能。（ACPE子系统及关联系统）

“安全概念Safety Concept”：是对系统设计措施的描述，例如在电子单元内，以解决系统完整性问题，从而确保在故障和非故障条件下的安全运行。安全概念的一部分可能是回退到部分运行甚至是重要车辆功能的备用系统。

“电子控制系统Electronic Control System”：是指一组单元的组合，旨在通过电子数据处理合作产生所述车辆控制功能。这些系统通常由软件控制，由传感器、电子控制单元和执行器等离散功能组件构建，并通过传输链路连接。它们可能包括机械链接、电-气链接或电-液链接。

“复杂电子车辆控制系统Complex Electronic Vehicle Control Systems”：是指由电子系统或驾驶员控制的功能可能被更高级别的电子控制系统/功能覆盖的电子控制系统。被覆盖的功能成为复杂系统的一部分，以及本法规范围内的任何覆盖系统/功能。本法规范围之外的与覆盖系统/功能（ACPE）之间的传输链接也应包括在内。

“高级电子控制"Higher-Level Electronic Control”：系统/功能是指采用额外的处理和/或传感装置，通过命令车辆控制系统功能的变化来改变车辆行为的系统。这使得复杂的系统能够根据感知的情况自动改变其目标的优先级。

“单元Units”：是本章节将审议的系统组成部分的最小分类，为了识别、分析或更换的目的，这些组成部分的组合将被视为单一实体。

“传输链路Transmission links”：是用于连接分布式单元以传输信号、操作数据或能量供应的手段。这种设备通常是电气的，但在某些部分可能是机械的、气动的或液压的。

“控制范围Range of control”：指的是输出变量，并定义了系统可能行使控制的范围。

“功能操作的边界Boundary of functional operation”：定义了ACPE系统能够保持控制的外部物理限制的边界。

“安全相关功能Safety Related Function”：是指“系统”能够改变车辆动态行为的功能。“系统”可能能够执行一个以上的安全相关功能。

 

5.3 文档

 

5.3.1 要求

 

制造商应提供一个留档包，以便访问“系统”的基本设计以及它与其他车辆系统连接或直接控制输出变量的方式。应解释“系统”的功能和制造商制定的安全概念。文档应简短，但提供证据表明设计和开发受益于所有相关系统领域的专业知识。对于定期技术检查，留档应描述如何检查“系统”的当前运行状态。

 

认证机构应评估留档包，以显示“系统”：

 

（a）设计为在非故障和故障条件下运行，不会引发安全关键风险；

 

（b）在非过失和过失条件下，遵守本法规其他地方规定的所有适当性能要求；

 

（c）根据制造商声明的开发过程/方法开发。

 

文件应分两部分提供：

 

（a）用于批准的正式留档包装，包含5.3段所列材料（不包括5.3.5段的附加材料），应在提交型式批准申请时提供给认证机构。认证机构应将此留档包用作第5.4段所述验证过程的基本参考。认证机构应确保此留档包在与批准机构商定的期限内保持可用。这一期限应从车辆明确停止生产之日起至少计算10年。

 

（b）第5.3.5段的附加材料和分析数据应由制造商保留，但在型式批准时开放供检查。制造商应确保该材料和分析数据在车辆明确停止生产之日起10年内保持可用。

 

5.3.2 “系统”功能说明

 

应提供描述，对“系统”的所有控制功能和实现目标所采用的方法进行简单解释，包括控制机制的说明。

 

应识别并描述任何可以override功能的操作方法，并进一步描述该功能操作的原理变化。

 

应提供所有输入和检测变量的列表，并定义这些变量的工作范围。

 

应提供由“系统”控制的所有输出变量列表，并在每种情况下给出控制是直接控制还是通过其他车辆系统的指示。应定义对每个输出变量的控制范围。

 

定义功能操作边界的限制，并在适当的情况下说明系统性能。

 

5.3.3 系统布局和原理图

组件清单

 

应提供一份清单，整理“系统”的所有单元，并提及实现相关控制功能所需的其他车辆系统。

 

应提供显示这些单元组合的概要示意图，并明确设备分布和互连。

单元的职能

 

应概述“系统”每个单元的功能，并显示将其与其他单元或其他车辆系统连接的信号。这可以通过标记的框图或其他示意图提供，也可以通过此类图表辅助的描述提供。

 

 

互连

 

“系统”内的互连应由电气传动环节的电路图、气动或液压传动设备的管路图和机械连杆的简化图解布局显示。还应显示与其他系统之间的传动环节。

信号流、运行数据和优先级

 

这些传输链路与单元之间传输的信号和/或操作数据之间应具有明确的对应关系。在多路复用数据路径上，如果信号或操作数据的优先级可能影响本法规的性能或安全，应说明信号或操作数据的优先级。

 

 

单元识别

 

每个单元应清晰明确地识别（例如，通过硬件标记和软件内容标记或软件输出），以提供相应的硬件和留档关联。

 

如果功能组合在一个单元内，但为了清晰和便于解释，在框图中显示在多个块中，则只能使用单个硬件识别标记。制造商应通过使用该标识来确认所提供的设备符合相应的文件。

 

该标识定义了硬件和软件版本，如果软件版本发生了变化，例如就本法规而言改变了设备的功能，则该标识也应更改。

 

5.3.4 制造商的安全理念

 

制造商应提供一份声明，确认为实现“系统”目标而选择的策略在非故障条件下不会损害车辆的安全运行。

 

对于“系统”中使用的软件，应解释概要架构，并确定使用的设计方法和工具。制造商应在设计和开发过程中展示其确定系统逻辑实现方式的证据。

制造商应向认证机构提供“系统”内置设计条款的解释，以便在故障条件下安全运行。“系统”中可能出现的故障设计条款包括：

 

（a）回退到使用部分系统的操作（功能降级）。

 

（b）切换到单独的备份系统（冗余备份）。

 

（c）删除高级功能（关闭功能）。

 

如果发生故障，应通过警告信号或信息显示等方式向驾驶员发出警告。当系统未被驾驶员停用时，例如通过将点火（运行）开关调至“关闭”（下电），或通过关闭该特定功能（如果为此目的提供了特殊开关），只要故障状况持续存在，警告就应存在。

 

如果系统在某些故障条件下选择了部分性能运行模式，则应说明这些条件并定义由此产生的有效性限制。

 

如果系统选择第二种（冗余备份）方式来实现车辆控制系统目标，则应解释转换机制的原理、冗余逻辑和级别以及任何内置后备检查功能，并定义后备有效性的最终限制。

 

如果系统选择去除高级功能，则应禁止与该功能相关的所有相应输出控制信号，并以限制转换扰动的方式进行（功能退出不应产生跳变）。

 

5.3.5 安全分析文档

 

应通过分析来支持留档，该分析总体上显示系统在发生对车辆控制性能或安全有影响的任何单独危险或故障时的行为。

 

所选择的分析方法应由制造商建立和维护，并应在型式批准时开放供认证机构检查。

 

认证机构应对分析方法的应用进行评估。审计应包括：

 

（a）在概念（车辆）级别检查安全方法，并确认其包括与其他车辆系统的相互作用。该方法应基于适合系统安全的危险/风险分析。

 

（b）系统级安全方法的检查。该方法应基于故障模式和影响分析（FMEA）、故障树分析（FTA）或任何适用于系统安全的类似过程。

 

（c）验证计划和结果的检查。该验证应使用例如硬件在环（HIL）测试、车辆道路运行测试或任何适合验证的方法。

 

评估应包括对技术服务选择的危险和故障的检查，以确定制造商对安全概念的解释是可理解的、合乎逻辑的，并且验证计划是合适的并且已经完成。

 

认证机构可以执行或可能要求执行5.4段中规定的测试，以验证安全概念。

 

该留档应逐项列出被监测的参数，并应针对本附件第5.3.5段中定义的每种类型的故障情况，列出向驾驶员和/或服务/技术检查人员发出的警告信号。

 

本留档应描述当“系统”的性能受到环境条件（如气候、温度、灰尘进入、水进入、冰雪覆盖等）的影响时，为确保“系统”不损害车辆的安全运行而采取的措施。

 

5.4 验证和测试

 

第5.3段要求的文件中规定的“系统”的功能操作应按以下方式进行测试：

 

5.4.1 “系统”功能验证

 

认证机构应在非故障条件下通过测试制造商在上文第5.3.2段中声明的一些选定功能来验证“系统”。

 

对于复杂电子控制系统，这些测试应包括声明的override场景。

 

5.4.2 验证第5.3.4段的安全概念。

 

应在任何单个单元的故障影响下检查“系统”的反应，通过向电气单元或机械元件施加相应的输出信号，以模拟单元内部故障的影响。技术服务应至少对一个单个单元进行此检查，但不应检查“系统”对单个单元的多个同时故障的反应。

 

认证机构应核实可能对车辆可控性和用户信息（HMI方面）产生影响的测试。

 

验证结果应与记录在案的故障分析摘要相一致，达到总体效果水平，从而确认安全概念和执行是充分的。

 

5.5 技术服务报告

 

认证机构的评估报告应以允许可追溯性的方式进行，例如检查的文件版本被编码并列在认证机构的记录中。

 

 

 

 

 

 

 

 

 

 

认证机构发给型式认可当局的评估表的模板如下：

电子系统评估表模版

 

检测报告编号：

 

1. 身份证明

 

1.1 车辆品牌：

 

1.2 类型：

 

1.3 标记在车上的类型识别方法：

 

1.4 该标记的位置：

 

1.5 制造商名称和地址：

 

1.6 制造商代表的姓名和地址（如适用）：

 

 

1.7 制造商的正式留档包：

 

文件编号：

 

原始版本发行日期：

 

最新更新日期：

 

2. 测试车辆/系统说明

 

2.1 一般说明：

 

2.2 “系统”所有控制功能的描述，以及操作方法：

 

2.3 “系统”内的组件描述和互联图：

 

3. 制造商的安全理念

 

3.1 信号流和操作数据及其优先级的描述：

 

3.2 制造商声明：

 

制造商xxx确认为实现“系统”而选择的策略，不会在非故障条件下损害车辆的安全运行。

 

3.3 软件架构和使用的设计方法和工具：

 

3.4 故障条件下“系统”内置的设计条款说明：

 

3.5 对“系统”在单个危险或故障条件下的行为进行记录分析：

 

3.6 针对环境条件的措施说明：

 

3.7 “系统”定期技术检查规定：

 

3.8  “系统”验证测试的结果：

 

3.9 安全概念验证测试结果：

 

3.10 测试日期：

 

3.11 本试验已经根据XX法规XX修订版进行测试并报告了结果。

 

3.12 签名: ...... 日期: .......

 

3.13 注释：