标准规范下载简介
GB/Z 42285-2022 道路车辆 电子电气系统ASIL等级确定方法指南.pdfICS 43.040 CCS T35
电子电气系统ASIL等级确定方法指南
Road vehicles
厂区次干道道路、排水、路灯工程施工组织设计Roadvehicles ASILdeterminationguidelinesforelectricalandelectronicsystem
国家市场监督管理总局 发布 国家标准化管理委员会
范围 规范性引用文件 术语和定义 危害分析和风险评估 4.1危害的识别 4.2风险评估 4.3安全目标与安全状态的关系 附录A(资料性)整车层面的运动 10 附录B(资料性)严重度分级指南 B.1总体介绍·.…. B.2说明·.... 附录C(资料性)转向功能危害分析和风险评估示例…… C.1总则.. 14 C.2相关项定义:功能概念概述 C.3HAZOP分析........ 14 C.4危害分析和风险评估 15 附录D(资料性)驱动和传动功能危害分析和风险评估示例…………… D.1总则·...... 18 D.2相关项定义:功能概念概述……… 18 D.3危害与可操作性分析...…..…..…..…..…..… D.4危害分析和风险评估..….…… D.5示例详述·. ·31 附录E(资料性)悬架控制功能的危害分析和风险评估示例… "35 E.2 相关项定义:功能概念概述·…… 35 E.3危害分析..…. E.5其他注意事项 附录F(资料性)制动和驻车制动功能危害分析和风险评估示例·… F.1总则.....…. 39 F.2 相关项定义:功能概念概述…… F.3 HAZOP分析.. F.4危害分析和风险评估 41 F.5示例的说明和细节描述…..….…
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中华人民共和国工业和信息化部提出。 本文件由全国汽车标准化技术委员会(SAC/TC114)归口。 本文件起草单位:中国汽车技术研究中心有限公司、泛亚汽车技术中心有限公司、一汽解放汽车有 限公司、上海海拉电子有限公司、博世汽车部件(苏州)有限公司、北京地平线机器人技术研发有限公司、 兴科迪科技(泰州)有限公司、舍弗勒(中国)有限公司、联合汽车电子有限公司、深圳市大疆创新科技有 限公司、北京车和家汽车科技有限公司、北京国家新能源汽车技术创新中心有限公司、美的集团(上海) 有限公司、上汽大众汽车有限公司、法雷奥汽车内部控制(深圳)有限公司、日立安斯泰莫汽车电子(上 海)有限公司、中车时代电动汽车股份有限公司、重庆长安汽车软件科技有限公司、比亚迪汽车工业有限 公司、东风汽车有限公司东风日产乘用车公司、中国第一汽车集团有限公司、上海蔚来汽车有限公司、广 州汽车集团股份有限公司、吉利汽车研究院(宁波)有限公司。 本文件主要起草人:李波、付越、尚世亮、张立君、余建业、童菲、曲元宁、杨虎、史晓密、薛剑波、明月 刘辉、王方方、蒋军、蒋云、许赞珍、王双全、张乐敏、陈锐、徐惠忠、李勇、周宏伟、熊再辉、马小龙、杨雪珠 张伟谦、陈勇、卢萍任夏楠
电子电气系统ASIL等级确定方法指南
本文件提出了确定道路车辆电子电气系统ASIL(汽车安全完整性等级)的方法。确定电子电气系 统ASIL(汽车安全完整性等级)是GB/T34590.3一2022所要求的。 本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子系统的与安 全相关的系统
GB/T34590.1一2022界定的术语和定义适用于本文件
GB/T34590.1一2022界定的术语和定义适用于本文件
a)功能丧失一一在有需求时,不提供功能。 b)在有需求时,提供错误的功能: 1)错误的功能一一多于预期; 2)错误的功能一一少于预期; 3)错误的功能一一方向相反。 c)非预期的功能一一在无需求时,提供功能。 d)输出卡滞在固定值上一一功能不能按照预期更新。 注1:相关项处于功能异常时,可考虑在进行与相关项的维修不相关的任务时对维护人员的伤害。然而,对已有故 障、已损坏或已拆解的相关项进行维修时,危害分析和风险评估不考虑相关项的已有故障对维护人员的伤害。 例如,电动助力转向系统有在转向助力振荡这个敌障情况下关闭助力功能的安全机制。当进行此敌障的维修 时,维修人员可强制开启助力功能以识别故障的原因。这种情况不能使用危害分析和风险评估方法进行分 析,因为这是维修人员为了进行维修而故意操作的。 注2:根据GB/T34590(所有部分),危害分析和风险评估基于相关项的功能异常表现。 注3:并非所有的HAZOP引导词都适用于所有的分析,需要根据分析的范围和内容对引导词进行剪裁。使用者可 以选取一组特殊的HAZOP引导词用于分析。 针对车辆的两种功能,即转向助力和制动控制,表1提供了使用HAZOP方法识别功能异常表现的 列。
表1 HAZOP方法应用示例
项的功能丧失可作为一种降级模式,但考虑到相关项间的相互作用和依赖关系,在整车层面上可能不是安全 状态。 一旦某项功能潜在的功能异常表现被假定出来,将继续开展危害分析活动,分析每个功能异常表现 在整车层面上产生的危害。在此分析过程中,需要考虑车辆的运行场景,包括相关项生命周期的各个阶 段(例如,运行、服务和报废阶段)。 同一个功能异常表现可能造成多个整车层面的危害,这取决于车辆在不同运行场景中的行为表现, 例如:非预期或过大的制动可能引起车辆非预期的减速和非预期的侧向移动,这取决于驾驶场景。 另外,相关项的不同功能异常表现可能造成相同的整车层面危害。危害分析和风险评估是一个选 代过程。考虑到不同的车辆运行场景和相关项生命周期阶段,相关项的功能异常表现和相应的整车层 面危害也会在危害分析和风险评估的过程中不断更新。 表2和表3给出了将表1中基于整车功能所识别出的功能异常表现映射到整车层面危害的示例。该 映射随功能异常表现所考虑的驾驶场景不同而不同(例如,制动丧失会导致减速能力丧失,车辆溜坡等)
助力功能的功能异常表现映射到整车层面危害的
4.2.2步骤1:确定暴露概率
图1风险评估过程的示例
根据GB/T34590.3一2022,车辆运行场景的暴露概率可以被指定为表4中的五个等级之一。表4 总结了GB/T34590.3一2022中表2、附录B中B.2和B.3的示例,得到基于运行场景频率和运行场景 持续时间的各种暴露概率等级。按照图1,风险评估的第一步是针对特定的车辆运行场景评估暴露概 率。特定的车辆运行场景可以是几个工况同时出现。确定暴露概率的目的是去理解真实场景,包括正 常驾驶和危险驾驶工况。然而,需要注意的是不同的交通规则、环境条件等都会影响所考虑的场景,并 可能由此导致不同的暴露概率。
4.2.2.2基于持续时间的暴露概率
1.2.2.3基于频率的暴露
图2给出了一系列车辆运行的场景作为参考。本示例清单不能认为是穷尽的,而且在很多情况下, 这些场景可合并以减少或者简化在危害分析和风险评估中所考虑的场景(参考GB/T34590.3一2022 中的6.4.2)。
4.2.2.5暴露概率等级分配指南
GB/Z42285—2022
某个场景可划分为几个新增的特定场景(可能导致不同的S、C参数); · 如果与相同危害相关的多个场景的分析结果相似或者相同,应将这些场景组合起来分析; · 不应使用以上指南人为地增加或减少暴露概率因素; ·J 这并非要求穷尽地检查每种可能的组合,考虑典型的车辆运行场景并包含了那些可以导出 最高ASIL等级的场景就足够了。
4.2.3步骤2:确定严重度
4.2.4步骤3:可控性的确定
4.2.4.1一般信息
6GB/T34590.3一2022对于可控性等级的描述
4.2.5步骤4:ASIL的确定
SL734-2016水利工程质量检测技术规程按照GB/T34590.3一2022确定ASIL等级的准贝
当为一个新系统确定ASIL等级时,如果适用,则由于该新系统的功能异常表现而导致事故的发生 及其严重度,可以与现有的相关事故数据做对比。然后可评估测试对象对危害的反应行为,以导出初步 的可控性等级。 需要避免高估严重度、暴露概率和可控性参数以及导出的ASIL等级,否则可能导致对于提升车辆 整体安全性有益的功能或特性的减少,甚至取消。同样也要避免低估严重度、暴露概率、可控性参数以 及导出的ASIL等级,否则可能导致安全要求的不足。 附录C提供了电动助力转向(EPS)辅助功能的危害分析和风险评估示例。 附录D提供了驱动和传动功能的危害分析和风险评估示例。 附录E提供了悬架控制功能的危害分析和风险评估的示例。 附录F提供了制动和驻车制动功能的危害分析和风险评估示例。
安全目标与安全状态的关
在执行“危害分析和风险评估”时,输出的是一组安全目标以确保安全运行。这些安全目标的定义 考虑避免或者减轻相关项的功能异常可能导致的潜在危害,可控性度量可以用于安全目标的定义。在 功能安全概念或技术安全概念中,适当地定义了安全状态和相关的安全措施,以在相关项故障时实现安 全目标。并不总是要求对安全状态进行“危害分析和风险评估”,尽管当安全状态和相关项层面的特定 失效一致时,安全状态的危害可以由“危害分析和风险评估”导出。因此,由于安全目标和安全状态均源 于对安全生命周期中不同点的故障行为的考虑,可能会导致不一致。为了安全档案的一致性,建议避免 安全状态违背安全目标。此建议可通过对安全目标和各安全状态的不同阐述来实现。例如,安全目标 可为“避免在没有报警的情况下丢失紧急制动功能”而安全状态可为“禁用功能并通知驾驶员该功能不 可用”。在这种安全状态下,报警会减轻功能丧失的后果,因为驾驶员会意识到该功能已不可用。安全 概念和HARA应保持一致,否则会对安全档案产生不利影响。如果此安全目标的安全状态导致违反了 另一个不太重要的安全目标,则应注意使其各自的安全要求保持一致。并建议提供支持该策略的理由, 示例:假设存在这样一个系统:该系统的安全目标是避免某个功能异常,且该安全目标的ASIL等级很高。然而,由 于在以前的项目开发中,该系统失效被分配一个较低的ASIL等级,因此功能安全工程师在概念阶段开发过程中错误地 将该系统失效定义成了一种“安全状态”。之后,在根据单点故障度量评估组件失效风险的硬件设计阶段,发现概念阶段 定义的安全机制非但不能降低系统风险,反而会引起系统失效,该技术安全概念存在自相矛盾的地方。为了解决这个问 题,需要重新定义“安全状态”,或者重新定义失效模式,同时重新进行危害分析和风险评估
本附录简要讨论沿不同车辆轴线可能的整车层面的运动。图A.1展示了车辆的运动方向,共计 1由度。其中三条直线箭头、y、2分别代表纵向、侧向和垂直运动方向,而绕着这三个方向的旋 、分别是侧倾、俯仰、横摆。非预期的相关项行为可能会潜在影响车辆沿一个或多个轴的运动。
表A.1沿车辆各轴向的潜在危害行为示例
于碰撞前的场景中。示例包括:乘员特性(例如:在类似的碰撞事故中,年长乘员一般来说会比 年轻乘员受到更高的损伤风险)和碰撞对象特性(例如:大型商用车轻载与满载情况相比,碰撞 能量潜能是不同的)。 碰撞事故发生后对碰撞能量的预估(例如:相对车速、避障等效车速): ·不一定对每辆车进行计算(例如:目前拖车碰撞事故案例中,如果碰撞对象是中型/重型载 货汽车,无可用的相对速度预估); ·不一定与乘员碰撞脉冲一致,乘员碰撞脉冲可能受到特定碰撞特性、车辆结构和内饰、乘员 几何尺寸、约束系统等的影响; ·不一定与碰撞前的行驶车速一致,甚至也不接近。 如果本文件的使用者能接触到由特定危害的仿真、测试或其他严重度预估方法得出的特定数据或 信息(例如:特定车辆的或与未来应用特别相关的数据/信息),那么可以使用这些数据/信息。此外,如 果车辆上其他安全系统(即,危害分析和风险评估中分析考虑的系统以外的其他系统)的存在能减少潜 在的伤害,则也可以作为特定严重度等级分配及相关可控性等级分配中的考虑因素。所以,本附录提供 的一般指导目的是支持使用者理解问题的复杂性,并做出恰当的决策(需要更进一步的专家分析)。本 文件不对作为危害分析和风险评估一部分的严重度分级的特定方法进行推荐或支持。 在GB/T34590(所有部分)中没有给出特定的、可实施指导的情况下,开展了对文献刊物和历史事 故数据库(包含碰撞后重构相对车速和损伤AIS评级)的分析。表B.1考虑了以下信息:损毁面、受伤人 员的最大简明损伤定级(MAIS)、冲击力的方向、碰撞对象及对乘员约束的使用。 GB/T34590.3一2022中附录B的表B.1列出评审损伤评级时的通用指导。基于不同分析和评审 在碰撞发生后对相对车速的估计,表B.1给出了相对车速范围的总结。尽管损伤评级通常随着碰撞速 度的增加而升高灵武市狼皮子梁安置区农村环境连片整治示范项目区填埋式垃圾处理厂施工组织设计,对S0~S3分配的车速范围却受所考虑的数据来源和碰撞事故的影响而存在较大的 范围变化。然而,这些分析的速度范围是基于碰撞发生后对相对车速的重构,也可为S0~S3的分配提 供一些总的初始指导。但需要指出的是,使用表B.1并不作为本文件要求的一部分。 为了获得一组离散的范围,分析人员可以只选择一个数据来源,并应用适当的选取准则和严重度准 则进行诠释。执行此过程后,分配严重度等级的速度范围不会重叠。 注:表B.1的数据来源为GIDAS等全球不同数据库,如参考文献[56]7]。表中的速度区间仅为参考值,具体开 展分析需要结合目标市场的数据来源确定
下同事故数据库的各种分析中得出的最小和最大