【GBT标准】汽车智能限速系统功能安全要求
工业和信息化部、国家标准委联合发布《国家车联网产业标准体系建设指南(智能网联汽车) 》 ,提出我国建设智能网联汽车标准体系的总体规划,是我国进行相关标准制修订工作的重要指南。智能网联汽车标准体系共包括标准制定计划 99 项,其中,《智能限速系统性能要求》 是智能网联汽车标准体系中辅助控制的基本功能之一,体系编号为302-9,标准性质为推荐性国家标准,对整个标准体系起到关键的基础支撑性作用。本标准与现行相关法律、法规、规章及标准无抵触,并可为后续辅助驾驶相关法律、法规、标准的出台提供支撑。
1) 本标准编写符合 GB/T1.1《标准化工作导则》 的规定;2) 起草过程,充分考虑国内外现有 ADAS 相关标准的统一和协调; 3) 起草过程中多次对草案内容进行征求意见工作,并结合反馈意见在会上进行充分讨论; 4) 标准的要求充分考虑了国内当前的行业技术水平。项目组于 2020 年 5 月 进行第一次智能限速试验验证。根据工作组内实际产品搭载情况及成员报名安排,神龙汽车、奥迪汽车、吉利汽车、东风风神等参与了本次摸底试验。根据组内 成员检测机构情况,选定襄阳达安检测中心作为试验验证机构,提供测试场地、测试设备、测试人员等的支持,验证项目包括标准草案确定的主要试验内容。
2017 年 10 月~12 月 启动标准项目,确定了标准制定的指导思想和原则。收集、整理并系统地分析了国内外与智能限速系统相关的法规、标准、文献等资料,组织开展相关技术研究工作。2021 年 8 月 对草案进行修改形成征求意见稿和标准编制说明。本文以下主要摘录标准中的附录,汽车智能限速系统功能安全要求。仅供学习参考!车辆安全相关电子电气系统发生功能异常时,将会导致潜在的危害事件。按照GB/T 34590. 1 ~ 34590. 10 -2017 制定的智能限速系统的功能安全要求,阐明了车辆安全相关电子电气系统在安全生命周期内应满足的功能安全要求,以避免或降低系统发生故障所导致的风险。本附录规定了汽车智能限速系统在功能安全方面的文档、故障策略及确认试验的特殊要求。本附录不针对汽车智能限速系统的标称性能,也不作为智能限速系统功能安全开发的具体指导,而是规定设计过程中应遵循的方法和系统验证确认时应具备的信息,以证明系统在正常运行和故障状态下均能确保实现功能安全概念,并满足本文件规定的、所有适用的性能要求。应具备相应的文件来说明智能限速系统的功能概念、功能安全概念,并满足以下要求:a) 说明智能限速系统的功能概念、内外部接口、潜在的失效、风险及安全措施;b) 证明智能限速系统设计考虑了潜在失效来源,包含随机硬件失效和系统性失效,并应用了相关领域的工程实践;示例:GB/T 34590. 5-2017 附录 E 给出了针对随机硬件失效的设计实践。c) 为支持确认试验,说明如何对智能限速系统正常运行和失效模式下的工作状态进行检查。A. 2. 2. 1应描述相关项的功能概念,提供功能描述清单。 注1 :GB/T 34590. 1-2017中,相关项是指实现车辆层面功能或部分功能的系统或系统组。如相关项智能限速系统可包含环境感知系统、控制系统、执行系统、驾驶员信息交互系统等。 A. 2. 2. 2 应定义相关项的范围,明确属于相关项中的系统和要素,并识别与其存在交互关系的外部系统或要素。 A. 2. 2. 3 应定义相关项的运行条件和约束限制,针对相应的系统功能,说明有效工作范围的界限。 示例:常见的运行条件:供电、车速等;常见的约束限制:环境温度、湿度、振动等。A. 2. 2. 4 应提供示意图(例如, 模块图)说明相关项的架构及其内外部接口。在示意图中标明相关项组件、外部接口系统、内外部接口通道,并提供明细清单,简要说明清单中各组件、 系统和接口的功能。 注:若一个组件集成了多种功能,为了清晰和便于解释,在示意图中可用多个模块表示。A. 2. 2. 5 应利用识别标志,清晰明确地识别相关项的每个组件(包含硬件和软件) ,并确认其与所提供的文档的一致性。识别标志应明确硬件和软件的版本,如版本变化引起本文件所述功能的改变,应对识别标志作相应地改变。A. 2. 3. 1 应对相关项的功能性故障进行分析,并归类。示例:典型的分析方法,例如,危害与可操作性分析(HAZOP) 。A. 2. 3. 2 应根据车辆目 标使用场景及目标用户,分析潜在危害,并定义相应的汽车安全完整性等级 (ASIL) ,按GB/T 34590. 1 ~ 34590. 10 -2017执行。 A. 2. 3. 3 应针对潜在危害,定义安全目标,并进行归类。 A. 2. 4. 1 应说明为确保智能限速系统发生失效时满足相关安全目标而在设计时采取的安全措施(含外部措施)。可采取如下安全措施:a) 利用部分系统维持工作。如在发生特定失效时选择维持部分性能的运行模式,应说明条件并界定其效果。a) 切换到独立的备用系统。如选择备用系统方式来实现安全目标,应对切换机制的原理、冗余的逻辑和层级、备份系统检查特征进行说明并界定备用系统的效果。b) 通过关闭上层功能而进入安全状态。如选择关闭上层功能, 应禁止与该功能有关的所有相应的输出控制信号,以此来限制干扰的传播。c) 通过警告驾驶员, 将风险暴露时间降低到一个可接受的时间区间内。 A. 2. 4. 2 智能限速系统发生功能失效时,应通过报警信号或提示信息等方式警告驾驶员。 A. 2. 4. 3 应解释智能限速系统中软件的架构概要并注明所使用的设计方法和工具。 A. 2. 5. 1 应通过安全分析从总体上说明对影响系统安全目标的故障或故障组进行了有效识别和处理,以此来支持上述文档。 A. 2. 5. 2 分析可采用潜在失效模式与影响分析(FMEA) 、故障树分析(FTA) 或适合系统安全分析的其它类似方法。应按照A. 2中相关文档的描述,进行下列试验,对系统功能概念和功能安全概念进行确认:a) 除非需要按照本文件或其它文件规定的专门试验程序进行功能试验,应按照 A. 2. 2. 1 的功能概念,执行车辆系统非故障状态下的功能试验,作为确定智能限速系统正常运行水平的方法。b) 按照 A. 2. 4 的功能安全概念,应通过向智能限速系统电子电气组件或机械组件施加相应的输出信号,来模拟组件内部故障的影响,以检查智能限速系统在单个组件失效时的反应。确认结果应与功能安全概念的结论一致,并说明相关安全概念及其实施效果的充分性。
