GB/Z 42285-2022 道路车辆 电子电气系统ASIL等级确定方法指南.pdf

GB/Z 42285-2022 道路车辆 电子电气系统ASIL等级确定方法指南.pdf
仅供个人学习
反馈
标准编号:
文件类型:.pdf
资源大小:11.6 M
标准类别:国家标准
资源ID:139765
免费资源

标准规范下载简介

GB/Z 42285-2022 道路车辆 电子电气系统ASIL等级确定方法指南.pdf简介:

GB/Z 42285-2022《道路车辆 电子电气系统ASIL等级确定方法指南》是中国国家标准,专门针对道路车辆电子电气系统的安全完整性等级(ASIL,Architecture Safety Integrity Level)的评估提供了一套详细的指导原则。ASIL等级是一种国际通用的评估方法,用于衡量电子电气系统在车辆中的安全风险,它将系统划分为四个等级:ASIL A、ASIL B、ASIL C和ASIL D,从低到高代表安全风险逐渐增大。

该指南的目的是确保电子电气系统的设计和开发过程中,能够对系统的安全风险进行全面、系统性的评估,以确保车辆的安全性能。它涵盖了ASIL等级的定义、评估流程、风险分析方法、数据收集、测试要求、文档管理等多个方面,旨在帮助设计者和制造商在设计阶段就考虑到系统的安全特性,避免或减少潜在的安全隐患。

遵循这个指南,企业可以确保其电子电气系统的安全性能满足国际标准,提高产品的市场竞争力,同时也有利于保障驾驶者和乘客的生命财产安全。

GB/Z 42285-2022 道路车辆 电子电气系统ASIL等级确定方法指南.pdf部分内容预览:

GB/T34590.1一2022界定的术语和定义适用于本文件

GB/T34590.1一2022界定的术语和定义适用于本文件

a)功能丧失一一在有需求时,不提供功能。 b)在有需求时,提供错误的功能: 1)错误的功能一一多于预期; 2)错误的功能一一少于预期; 3)错误的功能一一方向相反。 c)非预期的功能一一在无需求时,提供功能。 d)输出卡滞在固定值上一一功能不能按照预期更新。 注1:相关项处于功能异常时,可考虑在进行与相关项的维修不相关的任务时对维护人员的伤害。然而,对已有故 障、已损坏或已拆解的相关项进行维修时,危害分析和风险评估不考虑相关项的已有故障对维护人员的伤害。 例如,电动助力转向系统有在转向助力振荡这个敌障情况下关闭助力功能的安全机制。当进行此敌障的维修 时,维修人员可强制开启助力功能以识别故障的原因。这种情况不能使用危害分析和风险评估方法进行分 析DB41∕T 2136-2021 高速公路基础设施数据库编目编码规则,因为这是维修人员为了进行维修而故意操作的。 注2:根据GB/T34590(所有部分),危害分析和风险评估基于相关项的功能异常表现。 注3:并非所有的HAZOP引导词都适用于所有的分析,需要根据分析的范围和内容对引导词进行剪裁。使用者可 以选取一组特殊的HAZOP引导词用于分析。 针对车辆的两种功能,即转向助力和制动控制,表1提供了使用HAZOP方法识别功能异常表现的 列。

表1 HAZOP方法应用示例

项的功能丧失可作为一种降级模式,但考虑到相关项间的相互作用和依赖关系,在整车层面上可能不是安全 状态。 一旦某项功能潜在的功能异常表现被假定出来,将继续开展危害分析活动,分析每个功能异常表现 在整车层面上产生的危害。在此分析过程中,需要考虑车辆的运行场景,包括相关项生命周期的各个阶 段(例如,运行、服务和报废阶段)。 同一个功能异常表现可能造成多个整车层面的危害,这取决于车辆在不同运行场景中的行为表现, 例如:非预期或过大的制动可能引起车辆非预期的减速和非预期的侧向移动,这取决于驾驶场景。 另外,相关项的不同功能异常表现可能造成相同的整车层面危害。危害分析和风险评估是一个选 代过程。考虑到不同的车辆运行场景和相关项生命周期阶段,相关项的功能异常表现和相应的整车层 面危害也会在危害分析和风险评估的过程中不断更新。 表2和表3给出了将表1中基于整车功能所识别出的功能异常表现映射到整车层面危害的示例。该 映射随功能异常表现所考虑的驾驶场景不同而不同(例如,制动丧失会导致减速能力丧失,车辆溜坡等)

助力功能的功能异常表现映射到整车层面危害的

4.2.2步骤1:确定暴露概率

图1风险评估过程的示例

根据GB/T34590.3一2022,车辆运行场景的暴露概率可以被指定为表4中的五个等级之一。表4 总结了GB/T34590.3一2022中表2、附录B中B.2和B.3的示例,得到基于运行场景频率和运行场景 持续时间的各种暴露概率等级。按照图1,风险评估的第一步是针对特定的车辆运行场景评估暴露概 率。特定的车辆运行场景可以是几个工况同时出现。确定暴露概率的目的是去理解真实场景,包括正 常驾驶和危险驾驶工况。然而,需要注意的是不同的交通规则、环境条件等都会影响所考虑的场景,并 可能由此导致不同的暴露概率。

4.2.2.2基于持续时间的暴露概率

1.2.2.3基于频率的暴露

图2给出了一系列车辆运行的场景作为参考。本示例清单不能认为是穷尽的,而且在很多情况下, 这些场景可合并以减少或者简化在危害分析和风险评估中所考虑的场景(参考GB/T34590.3一2022 中的6.4.2)。

4.2.2.5暴露概率等级分配指南

GB/Z42285—2022

某个场景可划分为几个新增的特定场景(可能导致不同的S、C参数); · 如果与相同危害相关的多个场景的分析结果相似或者相同,应将这些场景组合起来分析; · 不应使用以上指南人为地增加或减少暴露概率因素; ·J 这并非要求穷尽地检查每种可能的组合,考虑典型的车辆运行场景并包含了那些可以导出 最高ASIL等级的场景就足够了。

4.2.3步骤2:确定严重度

4.2.4步骤3:可控性的确定

4.2.4.1一般信息

6GB/T34590.3一2022对于可控性等级的描述

4.2.5步骤4:ASIL的确定

按照GB/T34590.3一2022确定ASIL等级的准贝

当为一个新系统确定ASIL等级时,如果适用,则由于该新系统的功能异常表现而导致事故的发生 及其严重度,可以与现有的相关事故数据做对比。然后可评估测试对象对危害的反应行为,以导出初步 的可控性等级。 需要避免高估严重度、暴露概率和可控性参数以及导出的ASIL等级,否则可能导致对于提升车辆 整体安全性有益的功能或特性的减少,甚至取消。同样也要避免低估严重度、暴露概率、可控性参数以 及导出的ASIL等级,否则可能导致安全要求的不足。 附录C提供了电动助力转向(EPS)辅助功能的危害分析和风险评估示例。 附录D提供了驱动和传动功能的危害分析和风险评估示例。 附录E提供了悬架控制功能的危害分析和风险评估的示例。 附录F提供了制动和驻车制动功能的危害分析和风险评估示例。

苏J08-2006 室外工程.pdf安全目标与安全状态的关

在执行“危害分析和风险评估”时,输出的是一组安全目标以确保安全运行。这些安全目标的定义 考虑避免或者减轻相关项的功能异常可能导致的潜在危害,可控性度量可以用于安全目标的定义。在 功能安全概念或技术安全概念中,适当地定义了安全状态和相关的安全措施,以在相关项故障时实现安 全目标。并不总是要求对安全状态进行“危害分析和风险评估”,尽管当安全状态和相关项层面的特定 失效一致时,安全状态的危害可以由“危害分析和风险评估”导出。因此,由于安全目标和安全状态均源 于对安全生命周期中不同点的故障行为的考虑,可能会导致不一致。为了安全档案的一致性,建议避免 安全状态违背安全目标。此建议可通过对安全目标和各安全状态的不同阐述来实现。例如,安全目标 可为“避免在没有报警的情况下丢失紧急制动功能”而安全状态可为“禁用功能并通知驾驶员该功能不 可用”。在这种安全状态下,报警会减轻功能丧失的后果,因为驾驶员会意识到该功能已不可用。安全 概念和HARA应保持一致,否则会对安全档案产生不利影响。如果此安全目标的安全状态导致违反了 另一个不太重要的安全目标,则应注意使其各自的安全要求保持一致。并建议提供支持该策略的理由, 示例:假设存在这样一个系统:该系统的安全目标是避免某个功能异常,且该安全目标的ASIL等级很高。然而,由 于在以前的项目开发中,该系统失效被分配一个较低的ASIL等级,因此功能安全工程师在概念阶段开发过程中错误地 将该系统失效定义成了一种“安全状态”。之后,在根据单点故障度量评估组件失效风险的硬件设计阶段,发现概念阶段 定义的安全机制非但不能降低系统风险,反而会引起系统失效,该技术安全概念存在自相矛盾的地方。为了解决这个问 题,需要重新定义“安全状态”,或者重新定义失效模式,同时重新进行危害分析和风险评估

本附录简要讨论沿不同车辆轴线可能的整车层面的运动。图A.1展示了车辆的运动方向,共计 1由度。其中三条直线箭头、y、2分别代表纵向、侧向和垂直运动方向,而绕着这三个方向的旋 、分别是侧倾、俯仰、横摆。非预期的相关项行为可能会潜在影响车辆沿一个或多个轴的运动。

表A.1沿车辆各轴向的潜在危害行为示例

于碰撞前的场景中。示例包括:乘员特性(例如:在类似的碰撞事故中,年长乘员一般来说会比 年轻乘员受到更高的损伤风险)和碰撞对象特性(例如:大型商用车轻载与满载情况相比,碰撞 能量潜能是不同的)。 碰撞事故发生后对碰撞能量的预估(例如:相对车速、避障等效车速): ·不一定对每辆车进行计算(例如:目前拖车碰撞事故案例中,如果碰撞对象是中型/重型载 货汽车,无可用的相对速度预估); ·不一定与乘员碰撞脉冲一致,乘员碰撞脉冲可能受到特定碰撞特性、车辆结构和内饰、乘员 几何尺寸、约束系统等的影响; ·不一定与碰撞前的行驶车速一致,甚至也不接近。 如果本文件的使用者能接触到由特定危害的仿真、测试或其他严重度预估方法得出的特定数据或 信息(例如:特定车辆的或与未来应用特别相关的数据/信息),那么可以使用这些数据/信息。此外,如 果车辆上其他安全系统(即,危害分析和风险评估中分析考虑的系统以外的其他系统)的存在能减少潜 在的伤害,则也可以作为特定严重度等级分配及相关可控性等级分配中的考虑因素。所以,本附录提供 的一般指导目的是支持使用者理解问题的复杂性,并做出恰当的决策(需要更进一步的专家分析)。本 文件不对作为危害分析和风险评估一部分的严重度分级的特定方法进行推荐或支持。 在GB/T34590(所有部分)中没有给出特定的、可实施指导的情况下,开展了对文献刊物和历史事 故数据库(包含碰撞后重构相对车速和损伤AIS评级)的分析。表B.1考虑了以下信息:损毁面、受伤人 员的最大简明损伤定级(MAIS)、冲击力的方向、碰撞对象及对乘员约束的使用。 GB/T34590.3一2022中附录B的表B.1列出评审损伤评级时的通用指导。基于不同分析和评审 在碰撞发生后对相对车速的估计,表B.1给出了相对车速范围的总结。尽管损伤评级通常随着碰撞速 度的增加而升高,对S0~S3分配的车速范围却受所考虑的数据来源和碰撞事故的影响而存在较大的 范围变化。然而,这些分析的速度范围是基于碰撞发生后对相对车速的重构,也可为S0~S3的分配提 供一些总的初始指导。但需要指出的是,使用表B.1并不作为本文件要求的一部分。 为了获得一组离散的范围,分析人员可以只选择一个数据来源,并应用适当的选取准则和严重度准 则进行诠释。执行此过程后,分配严重度等级的速度范围不会重叠。 注:表B.1的数据来源为GIDAS等全球不同数据库,如参考文献[56]7]。表中的速度区间仅为参考值,具体开 展分析需要结合目标市场的数据来源确定

下同事故数据库的各种分析中得出的最小和最大

GB∕T 50832-2013 1000kV系统电气装置安装工程电气设备交接试验标准附录C (资料性) 转向功能危害分析和风险评估示例

C.2相关项定义:功能概念概述

©版权声明
相关文章