应具备相应的文件来说明智能限速系统的功能概念、功能安全概念,并满足以下要求:a) 说明智能限速系统的功能概念、内外部接口、潜在的失效、风险及安全措施;b) 证明智能限速系统设计考虑了潜在失效来源,包含随机硬件失效和系统性失效,并应用了相关领域的工程实践;示例:GB/T 34590. 5-2017 附录 E 给出了针对随机硬件失效的设计实践。c) 为支持确认试验,说明如何对智能限速系统正常运行和失效模式下的工作状态进行检查。 A. 2. 2. 1应描述相关项的功能概念,提供功能描述清单。 注1 :GB/T 34590. 1-2017中,相关项是指实现车辆层面功能或部分功能的系统或系统组。如相关项智能限速系统可包含环境感知系统、控制系统、执行系统、驾驶员信息交互系统等。 注2:描述从整车层面可感知的功能并细化。 A. 2. 2. 2 应定义相关项的范围,明确属于相关项中的系统和要素,并识别与其存在交互关系的外部系统或要素。 A. 2. 2. 3 应定义相关项的运行条件和约束限制,针对相应的系统功能,说明有效工作范围的界限。 示例:常见的运行条件:供电、车速等;常见的约束限制:环境温度、湿度、振动等。 A. 2. 2. 4 应提供示意图(例如, 模块图)说明相关项的架构及其内外部接口。在示意图中标明相关项组件、外部接口系统、内外部接口通道,并提供明细清单,简要说明清单中各组件、 系统和接口的功能。 注:若一个组件集成了多种功能,为了清晰和便于解释,在示意图中可用多个模块表示。 A. 2. 2. 5 应利用识别标志,清晰明确地识别相关项的每个组件(包含硬件和软件) ,并确认其与所提供的文档的一致性。识别标志应明确硬件和软件的版本,如版本变化引起本文件所述功能的改变,应对识别标志作相应地改变。
危害分析和风险评估 :
A. 2. 3. 1 应对相关项的功能性故障进行分析,并归类。示例:典型的分析方法,例如,危害与可操作性分析(HAZOP) 。 A. 2. 3. 2 应根据车辆目 标使用场景及目标用户,分析潜在危害,并定义相应的汽车安全完整性等级 (ASIL) ,按GB/T 34590. 1 ~ 34590. 10 -2017执行。 A. 2. 3. 3 应针对潜在危害,定义安全目标,并进行归类。
功能安全概念 :
A. 2. 4. 1 应说明为确保智能限速系统发生失效时满足相关安全目标而在设计时采取的安全措施(含外部措施)。可采取如下安全措施:a) 利用部分系统维持工作。如在发生特定失效时选择维持部分性能的运行模式,应说明条件并界定其效果。a) 切换到独立的备用系统。如选择备用系统方式来实现安全目标,应对切换机制的原理、冗余的逻辑和层级、备份系统检查特征进行说明并界定备用系统的效果。b) 通过关闭上层功能而进入安全状态。如选择关闭上层功能, 应禁止与该功能有关的所有相应的输出控制信号,以此来限制干扰的传播。c) 通过警告驾驶员, 将风险暴露时间降低到一个可接受的时间区间内。 A. 2. 4. 2 智能限速系统发生功能失效时,应通过报警信号或提示信息等方式警告驾驶员。 A. 2. 4. 3 应解释智能限速系统中软件的架构概要并注明所使用的设计方法和工具。
安全分析:
A. 2. 5. 1 应通过安全分析从总体上说明对影响系统安全目标的故障或故障组进行了有效识别和处理,以此来支持上述文档。 A. 2. 5. 2 分析可采用潜在失效模式与影响分析(FMEA) 、故障树分析(FTA) 或适合系统安全分析的其它类似方法。
确认和试验 :
应按照A. 2中相关文档的描述,进行下列试验,对系统功能概念和功能安全概念进行确认: a) 除非需要按照本文件或其它文件规定的专门试验程序进行功能试验,应按照 A. 2. 2. 1 的功能概念,执行车辆系统非故障状态下的功能试验,作为确定智能限速系统正常运行水平的方法。 b) 按照 A. 2. 4 的功能安全概念,应通过向智能限速系统电子电气组件或机械组件施加相应的输出信号,来模拟组件内部故障的影响,以检查智能限速系统在单个组件失效时的反应。确认结果应与功能安全概念的结论一致,并说明相关安全概念及其实施效果的充分性。
