ChinaAutoRegs|GB/T 45829-2025英文版翻译 乘用车转向系统功能安全要求及试验方法
Funtional safety requirements and testing methods for passenger car steering system
目 次
前言
1范围
2规范性引用文件
3术语和定义
4一般要求
5相关项定义
6危害分析和风险评估
7安全要求
8安全分析
9验证和确认
附录A(资料性)EPS系统相关项定义
附录B(资料性)EPS系统危害分析和风险评估
附录C(资料性)故障容错时间间隔(FTTI)的定义
附录D(资料性)EPS系统功能安全确认测试方法
附录E(资料性)EPS系统典型安全机制
附录F(资料性)EPS系统安全分析示例
附录G(资料性)EPS系统功能安全验证测试方法及示例
参考文献
1范围
本文件规定了乘用车转向系统的功能安全要求,描述了转向系统功能安全验证和确认的试验方法。
本文件适用于安装在M1类车辆上,用于控制车辆侧向运动的电动助力转向系统(以下简称
“EPS系统”),其他转向相关电气/电子系统参照使用。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17675-2021汽车转向系 基本要求
GB/T 34590.1-2022 道路车辆 功能安全 第1部分:术语
GB/T 34590.2-2022 道路车辆 功能安全 第2部分:功能安全管理
GB/T 34590.3-2022 道路车辆 功能安全 第3部分:概念阶段
GB/T 34590.4-2022 道路车辆 功能安全 第4部分:产品开发:系统层面
GB/T 34590.5-2022 道路车辆 功能安全 第5部分:产品开发:硬件层面
GB/T 34590.6-2022 道路车辆 功能安全 第6部分:产品开发:软件层面
GB/T 34590.7-2022 道路车辆 功能安全 第7部分:生产、运行、服务和报废
GB/T 34590.8-2022 道路车辆 功能安全 第8部分:支持过程
GB/T 34590.9-2022 道路车辆 功能安全 第9部分:以汽车安全完整性等级为导向和以安全为导向的分析
GB/T 34590.10-2022 道路车辆 功能安全 第10部分:指南
GB/T 34590.11-2022 道路车辆 功能安全 第11部分:半导体应用指南
3术语和定义
GB/T 34590.1-2022界定的以及下列术语和定义适用于本文件。
3.1
单一要素失效分析single element failure analysis (SEFA)
识别单一要素失效影响的系统性分析方法。
3.2
系统理论过程分析system theoretic process analysis (STPA)
基于系统理论事故模型和过程的危害分析方法。
3.3
安全度量safety metric
为符合安全目标而给定的具体技术参数的量化值。
[来源:GB 17675-2021,3.2.7,有修改]
4一般要求
乘用车转向系统的功能安全技术开发、流程开发要求按照GB/T 34590.1~34590.11-2022执行,若本文件有专门要求,按照本文件执行。
5相关项定义
5.1目的
本章的目的是定义并描述作为相关项的EPS系统,以支持执行后续阶段活动。
5.2要求
5.2.1按照GB/T 34590.3-2022中5.4的要求,对EPS系统进行相关项定义。EPS系统的功能性要求应满足GB 17675-2021。
注1:EPS系统的功能、架构、非功能性要求示例见附录A。
注2:EPS系统与其他相关项的功能交互包括:
—转向系统要求其他相关项和要素提供的功能,例如:EPS系统要求仪表系统向驾驶员提供系统状态和报警信息;
—其他相关项和要素要求转向系统提供的功能,例如:车辆驾驶模式控制系统要求EPS系统提供不同标定风格的转向助力。
5.2.2EPS系统助力功能应符合整车运行条件与环境约束的要求。
注:EPS系统运行条件除考虑车辆正常运行条件外,还可能包括行驶中车辆异常下电的情况,例如此时若EPS系统由备用电源供电,所提供的转向助力有助于确保紧急情况下车辆运行的安全性。
6危害分析和风险评估
6.1目的
本章的目的是识别并分类因EPS系统的功能异常表现所引起的危害事件,定义EPS系统需要满足的安全目标,避免不合理的风险。
6.2要求
6.2.1按照GB/T 34590.3-2022中6.4的要求,应对EPS系统进行危害分析和风险评估。
6.2.2应对EPS系统的各类功能异常表现进行识别,并与运行场景进行组合分析,归类形成危害事件清单。EPS系统的功能异常表现可能导致的整车典型危害见表1。附录B给出了EPS系统危害分析和风险评估的过程及分析方法示例。
6.2.3危害分析时考虑EPS系统的正确使用以及可合理预见的误用。
示例:因EPS系统具有主动回正功能,驾驶员可能在转向回正过程中脱手。
6.2.4危害分析和风险评估应采用系统性分析方法,以提升完整性和准确性。
6.2.5EPS系统应至少满足表2所列的安全目标要求。如果与表2所列的安全目标不一致,应具备相应的证据来证明EPS系统不会因功能异常表现而导致不合理的整车危害风险,至少包括如下证据:
a)整车危害风险已被考虑,并制定了合理的安全目标;
b)所制定的安全目标是适用和充分的。
7安全要求
7.1目的
本章的目的是提供EPS系统需要满足的安全要求及安全机制,以符合安全目标。
7.2总体要求
应根据第5章和第6章规定的EPS系统的相关项定义和安全目标,按照GB/T 34590.3-2022的要求,导出功能安全概念和技术安全概念,确保相关安全目标得到正确和完整的实现。
7.3EPS系统安全要求
7.3.1EPS系统整车层面的安全要求
7.3.1.1对于因非预期的提供转向助力、错误地提供过大助力等导致的非预期转向,EPS系统应满足非预期侧向运动的安全度量。
7.3.1.2对于因错误的反向助力等故障导致的转向操纵力过大,EPS系统应满足非预期失去侧向运动控制的安全度量。
7.3.1.3对于因转向助力不足或丢失导致的转向操纵力过大,EPS系统应满足失去助力情况下的转向沉重的安全度量。
7.3.2EPS系统关键组件的安全要求
7.3.2.1EPS系统应对转向助力请求相关输入信号的异常进行周期性探测,避免错误地识别转向力矩请求导致非预期侧向运动、失去侧向运动控制或转向沉重风险。
7.3.2.2EPS系统应对转向盘扭矩传感器短路(对地或对电源)、开路、信号卡滞、偏差等故障进行周期性探测,以避免因故障导致异常的转向意图识别,从而造成违背非预期侧向运动的安全度量、失去侧向运动控制的安全度量或转向沉重的安全度量。
示例:通过冗余的扭矩传感器,实现对单路扭矩传感器异常的探测。注:故障探测门限和探测周期的确定,一方面可由安全度量及FTTI导出,另一方面可根据现有设计经验定义,通
过验证确认证明其合理性。
7.3.2.3对于随车速调整转向助力水平的EPS系统,应周期性探测车速信号传输的完整性,避免因车速信号通信异常导致转向助力过大、过小或波动,而违背非预期侧向运动、失去侧向运动控制或转向沉重的安全度量。
示例:通过对总线输入的车速信号增加通信保护位,例如:校验和、时间戳等,实现对车速信号通信异常的探测。
7.3.2.4EPS系统应对控制单元的异常进行周期性探测,避免错误的转向力矩计算导致违背非预期侧向运动、失去侧向运动控制或转向沉重的安全度量。
7.3.2.5对于非驾驶员直接操作而产生的EPS系统转向力矩,应控制在合理的水平,且能确保驾驶员对转向的控制,以避免违背非预期侧向运动或失去侧向运动控制的安全度量。
示例:主动回正功能可独立于驾驶员输入,提供转向力矩。注:对于同时存在多个可触发转向力矩的子功能,考虑对生成的总体力矩进行约束,附录A提供了EPS主要功能
的示例。
7.3.2.6EPS系统应对助力电机的驱动链路及电机的短路、开路故障进行周期性探测,避免异常转向力矩导致违背非预期侧向运动、失去侧向运动控制或转向沉重的安全度量。
示例:EPS系统对电机驱动桥(MOSFET)短路故障进行周期性探测,避免转向力矩执行错误。
7.3.2.7EPS系统应对供电链路的过压、欠压、开路异常进行周期性探测,以避免因电压异常导致违背非预期侧向运动、失去侧向运动控制或转向沉重的安全度量。
示例:EPS系统对一定范围内的过压或欠压故障容错,当过压或欠压超出正常工作范围后,为避免危害,EPS系统关闭电机驱动链路。
7.3.3EPS系统失效降级的安全要求
7.3.3.1当发生可能导致违背安全目标的故障时,EPS系统应进入安全状态,安全状态可以是维持合理的EPS转向力矩输出能力,或切断EPS转向力矩输出而保持机械转向能力,同时发出报警信息。
注:安全状态的选择考虑系统可保障的安全运行能力,及驾驶员对车辆转向的可控性水平,若驾驶员操纵力不满足转向沉重安全度量,考虑更改机械转向比设计或引入EPS冗余设计。
7.3.3.2对于具备冗余转向能力的EPS系统,当系统发生单助力链路失效时,应避免因链路切换造成过大的转向力矩波动,而导致违背非预期侧向运动的安全度量。
注:单助力链路是指能实现基本转向助力功能的最小组件集,含传感、控制和执行等必要组件。通过增加冗余组件,可实现部分或全部的冗余转向助力功能,对于部分冗余EPS系统,不同助力链路间可能共用组件。
7.3.3.3对于为避免失去助力导致转向沉重危害而引入的冗余EPS系统,当系统发生单个失效后,应根据剩余工作链路发生进一步失效的可能性,及时发出报警信息,避免备份链路故障导致违背转向沉重的安全度量。
7.4EPS系统安全机制
为满足EPS系统的安全要求,应定义用于安全相关故障的探测和处理的安全机制,避免导致危害风险。EPS系统可采取的典型安全机制的示例见表3。
8安全分析
8.1目的
本章的目的是定义应开展的功能安全分析活动及工作成果,以确保因EPS系统故障导致的危害风险被充分识别,根据安全目标导出的安全要求是正确且完整的。
8.2整车层面的安全分析
8.2.1应针对EPS系统开展整车层面的安全分析,至少包括:
—分析EPS系统与车辆其他系统的交互(含交互接口故障的条件下)可能导致的潜在安全风险及对应的安全措施,确保风险被充分识别和覆盖;
—分析EPS系统功能异常表现引起的整车安全风险及对应的安全措施的有效性。
8.2.2整车层面的安全分析可采用危害与可操作性分析(HAZOP)、危害分析和风险评估(HARA)、单一要素失效分析(SEFA)、归纳分析法[例如:失效模式与影响分析(FMEA)]、演绎分析法[例如:故障树分析(FTA)]、探索性分析[例如:系统理论过程问题(STPA)]或适合整车层面安全分析的其他类似方法。
注:附录B的B.2和附录F的F.3提供了整车层面安全分析的示例。
8.3EPS系统层面的安全分析
8.3.1应开展EPS系统层面的安全分析,确保不存在由于系统性故障或随机硬件故障而导致违背安全目标的不合理风险。系统层面的安全分析应至少包括:
—识别可能导致违背安全目标或安全要求的故障或失效;
—针对识别出的故障或失效,定义预防或控制措施;
—提供安全概念适用性的证据;
—对安全概念、安全要求的验证。
8.3.2系统层面的安全分析可采用归纳分析法(例如:FMEA)、演绎分析法(例如:FTA)、相关失效分析(DFA)、探索性分析(例如:STPA)或适合系统安全分析的其他类似方法。
注:附录F的F.4提供了系统层面安全分析的示例。
9验证和确认
9.1目的
本章的目的是定义EPS系统验证和确认活动所需满足的要求,并规定了验证测试和确认测试的要求。
9.2验证
9.2.1应对EPS系统功能安全要求、技术安全要求和安全机制的正确实施进行验证,含安全相关接口的一致性验证。
注:附录G提供了EPS系统功能安全验证测试方法及示例。
9.2.2为验证EPS系统安全机制的有效性,应开展故障注入测试。
注:故障注入可采用硬件或软件方式模拟实现。
9.2.3为验证EPS系统在不同环境条件下(例如:路面条件等)工作的稳定性,宜开展鲁棒性测试。
9.3安全确认
9.3.1按照6.2.5规定的安全目标开展安全确认,以证明安全目标的充分性且得到了实现。
9.3.2EPS系统安全确认测试应包含表4的测试要求,附录D提供了EPS系统功能安全确认测试方法的示例。
附 录A
(资料性)
EPS系统相关项定义
A.1目的
本附录的目的是以EPS系统作为相关项,提供其定义方法及示例。
A.2EPS系统相关项定义示例
A.2.1功能和架构
列出EPS系统的功能,并对各个功能进行定义和说明。表A.1给出了EPS系统功能定义的示例。
图A.1为以某一转向管柱助力式EPS系统为示例,展示系统边界、要素、接口及交互关系。
图A.1中的EPS系统主要要素及功能描述见表A.2。要素及功能描述为后续功能异常分析和危害行为识别提供了基础。
A.2.2运行场景与运行模式
运行场景的定义考虑与EPS系统相关的整车正常使用场景及可合理预见的误用场景。运行模式需要定义模式之间的转换关系。包含初始化、运行、故障等。图A.2给出了EPS系统运行模式及各模式间的切换条件。
EPS系统的运行模式信息将为危害场景分析、功能安全概念、技术安全概念和安全确认提供输入。
A.2.3EPS系统的非功能性要求示例
EPS系统的非功能性要求的示例包括:工作温度范围、电压范围、最大电流、耐久及可靠性、电磁兼容要求等。EPS系统的非功能性要求将为技术安全概念和安全确认提供输入。
示例1:EPS系统运行温度范围为-40℃~105℃。
示例2:EPS系统工作电压范围为6V~20V。
A.2.4EPS系统输出能力参数
EPS系统输出能力参数的示例见表A.4。
A.2.5已知失效模式及危害风险
EPS系统已知的失效模式及可导致的危害风险的示例见表A.5。
附 录B
(资料性)
EPS系统危害分析和风险评估
B.1目的
本附录的第一个目的是提供危害分析的系统化分析方法,并给出利用这些方法得到EPS系统危害分析结果的示例。
本附录的第二个目的是为EPS系统的风险评估方法和评估结果提供参考,并提供安全目标的示例。
B.2危害分析方法及示例
B.2.1方法概述
危害识别活动中通过使用足够的技术手段系统地确定危害。本附录给出两种系统化的分析方法:
—危害与可操作性分析(HAZOP);
—单一要素失效分析(SEFA)。HAZOP分析方法从相关项功能层面出发,通过引导词分析特定功能异常可能导致的危害。SEFA
分析方法从相关项架构层面出发,分析特定架构要素失效可能导致的危害。HAZOP和SEFA是基于可靠性理论的线性分析方法,分析中不考虑控制措施及安全机制,可基于相关项的已知设计识别危害风险,有针对性地导出预防或减轻这些功能及要素失效的安全要求。
注1:SEFA分析方法是架构层面的FMEA分析方法。
注2:对于列入本附录的方法,可能存在多种应用形式,本附录仅给出了一种常见应用,对所列方法及应用形式不具有倾向性。
B.2.2危害与可操作性分析(HAZOP)
B.2.2.1方法描述
HAZOP是一种探索型的分析方法,可用于识别和评估相关项的功能异常表现,有助于结构化和系统地检查相关项在整车层面的运行情况,该分析方法通过给相关项的每个功能添加适当的引导词来假定其不同的功能异常表现,该功能异常表现可导致危害,而该危害可能对目标车辆的驾乘人员,其他车辆及其乘客,或其他处于风险中的人员,例如:目标车辆附近的行人、骑自行车的人员或维修人员造成潜在伤害。
B.2.2.2功能异常表现分析
基于EPS系统的功能定义,分析每个功能的异常表现,使用以下引导词。
a)功能丧失—在有需求时,不提供功能。
b)在有需求时,提供错误的功能:1)错误的功能—多于预期;
2)错误的功能—少于预期;
3)错误的功能—方向相反。
c)非预期的功能—在无需求时,提供功能。
d)输出卡滞在固定值上—功能不能按照需求更新。
注:以上引导词并非适用于所有的分析,通常是根据分析范围和内容对引导词进行剪裁或选取其他引导词用于分析。
针对EPS系统的转向助力功能,HAZOP分析示例见表B.1。
B.2.2.3危害识别
考虑车辆不同的运行场景,进一步分析每个功能异常表现在整车层面上可能产生的危害。不同运行场景中,同一功能异常表现可能导致整车层面的多种危害。
示例:对于非预期的提供转向助力,在车辆处于直线行驶时,可能造成的整车危害是非预期的车辆侧向运动;在车辆静止时,可能造成的整车危害是转向盘快速转动导致人员手部伤害。
另外,不同功能异常表现可能导致整车层面的同一危害。危害分析是一个迭代过程,考虑到不同的车辆运行场景和生命周期阶段,相关项的功能异常表现和相应的车辆层面危害也会在分析过程中不断更新。
将表B.1中识别出的功能异常表现映射到表B.2中的整车层面的危害。
B.2.3单一要素失效分析(SEFA)
B.2.3.1 描述
SEFA分析方法是一种识别单一要素失效影响的系统性分析方法。该方法通过探索性地分析要素失效对系统整体的影响,来确定是否有足够的措施来避免或减轻潜在的危害风险。SEFA分析可用于相关项危害的识别。
注1:SEFA分析基于相关项架构要素及其交互,分析的对象包括系统要素、硬件要素及要素间的交互。
注2:SEFA分析提供了一个独立于HAZOP的分析方法。由于采用了不同的分析角度,为危害的识别方法提供了补充。由于分析基于相关项的架构设计,SEFA分析结果也更容易贴近相关项的实际危害,并有利于导出安
全要求。
注3:当相关项是基于已有设计的变更时,SEFA分析能快速识别变更对危害的影响。
B.2.3.2 SEFA分析
根据相关项定义,启动SEFA分析。若相关项架构复杂,可按照系统边界将相关项打散为更小的功能块,单独对每一功能块进行分析,再汇总最后的分析结果。
SEFA分析方法假定作为相关项一部分的单个要素出现了失效,而其他要素正常。不考虑几个要素同时失效的情况,但会考虑要素失效后可能直接引发的其他要素失效,例如:供电要素失效导致多个其他要素失去能源和功能。
注1:危害分析和风险评估阶段,相关项架构要素的划分一般比较集中,在这一层面仅考虑单一要素的失效,通常可支持危害识别的分析目的。
对要素失效模式的定义可参考行业标准、现有产品、专家经验等。失效模式的详细程度,决定了分析的细节程度和工作量。在危害识别阶段,失效的描述可关注功能性失效。针对表A.2中的要素,分析潜在失效模式,然后考虑其对系统整体的影响,再结合整车运行场景,识别出潜在的危害,见表B.3。
注2:为便于分析,运行场景仅考虑车辆行驶过程中的场景;对同一要素的失效、系统层表现及整车危害的描述,非一一对应关系;相同的整车危害以同一序号标出。
基于上述危害分析,将EPS系统危害事件归类,其汇总见表1。
B.3风险评估
B.3.1概述
完成危害识别后,基于确定的理由,为危害事件定义可控性(C)、暴露概率(E)和严重度(S),最终完成ASIL评级。
B.3.2严重度和暴露概率评级
表B.4展示了EPS系统危害事件的严重度和暴露概率评级的示例。
B.3.3可控性评级
对危害事件的可控性进行评级,见表B.5。表中还提供了EPS系统可控性分级时使用的度量指标的参考。相关指标可基于典型驾驶员的可控性测试得出,指标用于支持可控性客观分级。
注:可控性度量指标客观地衡量了EPS系统功能异常是否构成驾驶员难以控制的不合理风险,因此,这些指标也可用作功能安全目标的度量指标。
B.3.4ASIL评级
根据B.3.2、B.3.3的分析,EPS系统的危害事件ASIL评级见表B.6。
B.3.5安全目标的定义
EPS系统的安全目标见表B.7。
注:将安全目标表述为避免危害的发生,这种表述通常难以支持功能安全概念的导出。例如:对于非预期的侧向运动的安全目标表述为“避免发生非预期的车辆侧向运动”,难以支持功能安全概念的导出,因此需要引入安全度量指标。通过指标不仅明确地表达安全目标,还有利于功能安全概念和技术安全概念的导出。
附 录C
(资料性)
故障容错时间间隔(FTTI)的定义
C.1目的
本附录的目的是提供故障容错时间间隔(FTTI)的定义方法指导及示例。
C.2故障容错时间间隔(FTTI)的概述
对于EPS系统,故障容错时间间隔是在安全机制未被激活情况下,从可导致相关项危害行为(例如:非预期转向力矩)的故障(例如:扭矩传感器信号偏差故障)发生,到车辆危害事件发生(非预期转向事件)的时间间隔。
故障容错时间间隔是安全机制设计的重要输入,对安全机制中故障诊断时间和故障处理时间提出了需求,也用于评估已有故障处理机制是否满足安全要求。
C.3定义FTTI的方法
定义FTTI的方法包括分析、计算、仿真、测试等。对FTTI的定义,考虑以下方面:
a)因FTTI考察的是故障发生到危害事件发生的过程时间,若通过测试得到,需要屏蔽相关安全措施的影响(安全措施可能延长故障导致发生危害事件的过程,甚至消除故障产生的危害影响);
b)故障模式或程度不同,影响也不同,因此得到的FTTI时间长度也会有区别,通常选取最小时长作为某类故障的典型FTTI值;
c)FTTI的计时起点是故障发生时刻,终点是危害事件发生时刻,即危害行为违背安全目标度量的时刻;
d)从故障的影响到危害事件的发生,可能经过多个传递环节,例如EPS系统电气/电子链路、机械结构、轮胎路面等。因此,若初期通过分析计算得到了初始FTTI,当具备测试条件后,在台架或实车层面开展故障注入测试,以检验FTTI定义的正确性。
考虑可导致EPS系统危害事件的典型故障,开展故障注入测试,得到FTTI。测试场景可参考附录D的D.5。测试过程中,在无安全机制的情况下,注入合理的故障值,以得到FTTI值。
表C.1给出了以车辆偏离车道线为危害事件的故障容错时间间隔测试的示例。
附 录D
(资料性)
EPS系统功能安全确认测试方法
D.1 目的
本附录的目的是提供在整车层面对EPS系统安全目标进行安全确认的方法、测试流程和度量评价准则的参考及示例。本附录仅针对表2中的转向相关危害和安全目标及安全度量要求给出安全确认测试方法示例,其余转向相关安全目标(如有)的安全确认测试方法可参照执行。
D.2 总则
根据GB/T 34590.4-2022中第8章的要求,对典型车辆上所集成的相关项进行安全确认,确保安全目标合理且得到实现。本附录提供了通过开展转向安全确认测试,在整车层面确认转向系统安全目标的示例。根据D.3的要求提供相关文档和信息,按照D.4规定的安全确认计划和D.5提供的测试方法开展安全确认测试。
D.3 文档
开展安全确认前,提供下列文档和信息:
a)危害分析和风险评估,至少包含第6章、附录B的内容;
b)功能安全概念,至少包含7.3、7.4的要求。
D.4安全确认计划
按照GB/T 34590.4-2022中8.4.1安全确认的环境、8.4.2安全确认的规范制定安全确认计划,并满足GB 17675-2021中关于确认计划的要求。
D.5安全确认试验方法
D.5.1试验目的
在驾驶员驾驶操控过程中,评估特定失效模式对车辆可控性的影响,确认是否满足9.3.2中规定的接受准则。
注:通过客观车辆动力学参数及车辆行为表现结合的方式进行评估。
D.5.2试验条件
D.5.2.1环境条件
在无雨、雪、雾且风速不影响试验结果的情况下进行。
D.5.2.2道路条件
试验道路满足以下条件:
a)试验场地为干燥、平坦而清洁的,用水泥混凝土或沥青铺装的路面,任意方向的坡度不宜大于2%,场地有良好的附着系数;
b)试验场地能布置符合本文件规定的直行和转弯车道,并在车道线外有额外的路面保证试验安全,见图D.1和图D.2;
c)针对每项试验定义车道宽度,并设置用于界定车道的锥桶或其他要素。用于界定车道的要素设置方式保持其表面与车道的外边缘对齐,要素之间的最大距离不应超过车辆的长度。试验过程中的最大允许轨迹偏差指锥桶或其他要素不发生倾倒和/或位置移动。
注:锥桶或其他要素用于界定车道并检查车辆是否偏离车道。此外,使用差分定位等合适的技术来测量车道偏离也是常见的。
D.5.2.3车辆状态
车辆的质量状态,选择在注入不同故障时使车辆产生最大激励的前轴和后轴载荷。
轮胎气压充气到相应轴荷规定的推荐胎压。
D.5.2.4试验仪器设备
测量各参数的试验设备满足表D.1。
D.5.3试验场景
D.5.3.1转向相关危害及典型运行场景
根据附录B中危害分析和风险评估过程,EPS系统的典型危害相关运行场景见表D.2。
D.5.3.2安全确认试验场景
基于D.5.3.1中的典型运行场景,考虑典型交通情况,本附录提供了安全确认试验场景示例,见表D.3、表D.4。
D.5.4试验步骤
D.5.4.1直行场景安全确认试验
D.5.4.1.1本试验在表D.3规定的场景中开展,试验过程包括D.5.4.1.2~D.5.4.1.5规定的4个阶段:加速段、稳态段、测试段和结束段,见图D.3。
图D.3直行场景安全确认试验步骤示意图
D.5.4.1.2在附着条件良好(附着系数μ≥0.8)的水平路面上,将空载车辆加速至试验规定车速。
D.5.4.1.3驾驶员驾驶车辆驶入试验车道,并沿试验车道中线以试验车速匀速直行行驶。
注:试验过程中驾驶员以日常姿势握住转向盘。
D.5.4.1.4试验人员通过向电子电气组件或机械组件施加相应的信号,来模拟组件内部故障的影响。驾驶员通过控制转向盘,尽可能使车辆行驶在直线车道内。
注:引起非预期的侧向运动这一整车层面危害的要素的失效可能来自EPS系统的传感器、控制器或执行器。
示例:EPS系统电机驱动链路发生故障,使电机产生非预期的助力扭矩输出,导致车辆产生非预期的侧向运动。通过故障注入设备在控制单元或电机驱动单元处注入某一大小的助力扭矩驱动信号,触发电机输出非预期的扭矩。
D.5.4.1.5驾驶员尽可能按照试验规定车速保持车辆在车道线之内,直线行驶一段距离后安全停车,试验结束。
D.5.4.2转弯场景安全确认试验
D.5.4.2.1本试验在表D.4规定的场景中开展,试验过程包括D.5.4.2.2~D.5.4.2.5规定的4个阶段:加速段、稳态段、测试段和结束段,见图D.4。
图D.4转弯场景安全确认试验步骤示意图
D.5.4.2.2在附着条件良好(附着系数μ≥0.8)的水平路面上,将满载车辆加速至试验规定车速。
D.5.4.2.3驾驶员驾驶车辆驶入直行试验车道,并沿试验车道中线以试验车速匀速直行行驶。
注:试验过程中驾驶员以日常姿势握住转向盘。
D.5.4.2.4驾驶员保持试验车速,控制车辆进入弯道,在驾驶员开始操作转向盘之后,完成转向动作之前,测试人员通过向电子电气组件或机械组件施加相应的信号,来模拟组件内部故障的影响。驾驶员通过控制转向盘,尽可能使车辆行驶在弯道车道内。
注:试验过程中驾驶员以日常转向的手部姿势握住转向盘。
D.5.4.2.5驾驶员尽可能按照试验规定车速保持车辆在弯道车道线之内,待车辆完全驶过转弯车道线后安全停车,结束测试。
D.5.5数据处理
D.5.5.1记录试验过程中与转向安全度量相关的车辆运动学参数的时间历程曲线。示例:侧向加速度、转向盘力矩、侧向位移、横摆角速度、转向盘转角、车速、纵向加速度等。注:通过多通道数据采集设备记录上述车辆参数是常见的方法。
D.5.5.2车辆动力学参数的时间历程曲线至少记录5s,在故障注入前至少记录3s,在故障注入后至少记录2s。
D.5.5.3宜使用GB/T 40501-2021中的相关规定对记录的车辆动力学信号进行滤波。
D.5.5.4针对不同试验场景下的安全确认试验,对采集的转向相关安全度量参数按照D.5.5.1~D.5.5.3的规定进行数据处理,考察故障注入前后各车辆运动学参数的变化。图D.5给出了直行行驶中确定侧向加速度扰动的示例,图D.6给出了转弯行驶中确定最大转向盘力矩的示例。
注:将故障注入前滤波的车辆动力学信号的平均值与故障注入后该信号的变化进行比较,例如:峰值或在一定时间内的扰动。
D.5.6安全确认试验接受准则
根据6.2中规定的相关安全目标及安全度量指标,定义安全确认试验的通过/不通过准则。本附录提供了针对不同安全目标,以车辆动力学参数作为安全度量的指标参考值,见图D.7、图D.8和表D.5。如满足安全度量及其他接受准则(如有),则视为通过安全确认试验,如不满足则视为不通过。
注1:表D.5提供的安全度量指标参考值,是在D.5.3的试验场景下基于60名具有代表性的普通驾驶员通过一系列实车场地试验得出的,试验基于多款乘用车车型。
注2:针对不同车型,开展相同的测试并比较,以下可控性度量指标值主要受驾驶员、车辆宽度、车道宽度等因素决定。对于不同车辆配置参数的影响,例如:转向盘半径对手力和手力矩的影响,车辆宽度、车道宽度对车辆偏离车道的加速度变化率的影响,可进行折算转化。如有其他影响因素,可根据实际情况,进行合理的调整。
注3:图D.7的上、下两条水平线分别对应90%驾驶员可控的侧向加速度达到峰值的时间、侧向加速度变化的峰值。
注4:图D.8的上、下两条水平线分别对应90%驾驶员不能转动转向盘(无法完成预定转向动作,失去车辆侧向运动控制)的转向盘力矩、90%驾驶员可控制车辆完成预定转向动作的转向盘力矩。
D.5.7测试报告
测试报告中至少记录测试目的、测试方法及步骤、测试设备、测试环境、接受准则、测试结果等内容,安全确认测试记录表见表D.6。
附 录E
(资料性)
EPS系统典型安全机制
E.1目的
本附录的目的是提供EPS系统典型安全机制的示例,以支持技术安全概念的开发和典型故障的处理。
注:相关安全机制的示例不具有完备性,每个安全机制的具体设计基于特定EPS系统的应用情况。
E.2安全机制的概念
安全机制的主要作用是探测故障和控制失效,使相关项达到或保持在某种安全状态,按照GB/T 34590.4-2022中6.4.2.1的定义,安全机制的主要类别见表E.1。
E.3EPS系统典型安全机制
E.3.1概述
EPS系统的典型安全机制,从输入、处理和输出三个环节考虑。
E.3.2输入环节的典型安全机制
EPS系统的输入环节包括信号的探测、信号的传输、外部供电等,典型机制如下:
a)传感器冗余校验机制:针对关键传感器信号输入,可考虑采用冗余校验机制,以提升传感器故障的诊断覆盖率;
示例:EPS采用双扭矩传感器(内含两套霍尔感知元器件及处理芯片),每个扭矩传感器都可独立完成转向盘力矩输入探测,并且独立输出给EPS控制单元。两套扭矩信号互为校验,当二者差值过大,或不正常输入时,EPS及时采取降级策略,从而进入安全状态。
b)通信保护机制:探测通信失效,提升信号传输环节安全完整性等级。见GB/T 34590.5-2022中附录D。
E.3.3处理环节的典型安全机制
EPS系统的处理环节主要包含对收到的输入信号进行处理、生成控制指令、状态判断和监控等,典型机制如下:
a)信号有效性检查机制:检查输入信号的有效性,确保软件功能使用有效的信号进行计算;
示例:EPS车速计算模块检查车速信号的有效性,如果输入的车速信号无效,进入默认助力状态。
b)软件多样性设计机制:通过差异化计算逻辑设计,对比检查控制逻辑的输出处于合理范围;
示例:为避免复杂软件功能的系统性失效,软件功能可设计成功能层和功能监控层,其基于同样的输入信号,不同的计算逻辑,对输出结果进行比较,一旦偏差超出安全阈值,系统则进入安全状态。
c)外部看门狗机制:通过独立的外部芯片监控主芯片的运行;
示例:在设定时间窗口内正确回答监控单元问题,如果超时或者回答错误超过一定次数,则触发控制器重置,进入安全状态。
d)温度监控机制:监控系统工作运行温度,当温度过高时进入降级保护模式,避免过高温度下的系统失效;
示例:EPS系统的ECU电路板上设有温度传感器,实时探测ECU工作温度。当温度超过一定阈值时,控制器启动限制助力或关闭助力模式,当温度回归正常范围一段时间后取消以上限制。
e)电压电流监控机制:监控功率器件运行电压或电流,探测到异常的电压或电流时,进入降级模式,避免器件进一步的失效影响。
示例:EPS系统监控电机驱动电路的电压和电流,当电压或电流超过一定范围(过高或过低)时,进入降级状态。
E.3.4输出环节的典型安全机制
EPS系统输出环节包括电机助力扭矩的输出、系统工作状态信号的输出等,典型机制如下:
a)扭矩输出监控机制:对EPS系统转向力矩输出进行监控和限制,避免由硬件或软件错误导致的转向力矩输出异常;
示例:对期望扭矩和电机实际输出扭矩对比,当实际输出与期望的差值大于一定数值并持续超过一定时间,则进入安全状态。
b)助力关断及报警机制:当探测到系统异常时,为避免对车辆运行产生不可控的风险,切断系统助力,并发出警示信息。
示例:EPS系统检测到MCU失效时,立即关断助力,并发出报警信息。
E.4冗余EPS系统失效运行
E.4.1失效运行的目的
失效运行指系统在发生安全相关的失效后,通过安全设计实现系统部分或全部功能的正常运行。为了达到失效运行的目的,设计上可考虑采取冗余设计的方法或者合理可靠的外部措施来继续维持全部或部分功能。
E.4.2失效运行的需求
对于EPS系统是否需要支持失效运行,主要考虑:如果非冗余系统发生单路功能失效后,是否会导致不合理的安全风险,例如:转向力过于沉重或驾驶员不能及时接管控车等,若风险可接受,则功能安全不要求系统支持失效运行,可通过机械转向维持控车至安全停车或维修;反之,则需要支持失效运行。
E.4.3失效运行的时长
对于支持失效运行的冗余EPS系统,单个通道发生失效后,备份通道可支持安全运行的时长,除考虑支持驾驶员安全控车操作所需的最短时间(例如:将车辆安全停在路边,等待救援),还考虑如果长期处于失效运行状态,可能发生备份系统失效,而导致突然完全失去转向助力的概率风险。因而,会对失效运行时长进行合理的约束。
E.4.4通过外部措施实现失效运行
如果车辆具有其他横向控制系统(例如:制动、驱动、后轮转向),也可使用这些系统作为EPS系统功能失效后,确保车辆的转向功能的外部措施。对于外部措施的有效性和独立性,需要在整车层面进行验证和确认。
附 录F
(资料性)
EPS系统安全分析示例
F.1目的
本附录的目的是提供EPS系统整车层面和系统层面安全分析的示例,为支持相关安全开发和验证确认活动提供参考。
F.2安全分析概述
安全分析可在不同层面开展,例如:整车层面、系统层面及软硬件层面等。功能安全开发时,从最顶层的安全目标定义开始,经过功能安全概念开发,将安全目标转化为功能安全要求,再不断细化得到技术安全要求,由组件予以实施。
通过安全分析对安全概念、安全要求进行验证,以及对设计要求和测试要求进行识别。安全分析的结果表明是否与相关安全概念、安全要求相符合,若不满足某个安全概念或安全要求,利用安全分析得出导致违背安全目标或安全要求的故障或失效的预防措施、探测措施或影响减轻措施。
F.3整车层面安全分析
F.3.1分析方法
整车层面的安全分析除附录B给出的用于支持危害识别的HAZOP方法外,还包括用于分析EPS系统与车辆其他系统交互风险的方法,例如:FTA分析、FMEA分析、STPA分析。
F.3.2 FTA分析
以“危害1:车辆非预期的侧向运动不满足非预期侧向运动的安全度量”为例,给出整车层面FTA分析的示例,见图F.1。
F.3.3 FMEA分析
从整车层面进行EPS系统的FMEA分析时,以EPS功能作为对象进行失效影响分析,见表F.1。表中分别针对“EPS系统基于整车状态输入信号提供基础助力功能”和“EPS系统提供转向末端止点位置防撞保护”两个子功能,分析功能潜在失效模式、潜在失效影响、潜在失效原因,制定应对措施,检测措施有效性,并导出功能安全要求。
F.3.4 STPA分析
F.3.4.1概述
STPA分析方法基于系统理论的事故模型和过程(STAMP)理论,通过定义需要避免的事故或危害,同时建立相关项控制模型,识别出可能导致这些事故或危害的不安全控制行为,及产生每个不安全控制行为的原因场景,定义约束和安全要求,达到避免危害发生的目的。STPA分析方法是自上而下的分析方法。
F.3.4.2分析方法和示例
F.3.4.2.1危害定义和控制模型建立
STPA分析方法可与相关项的早期开发同步启动,为其提供分析支持,并伴随着相关项的开发而不断迭代和完善。以EPS系统的主动转向功能为例,描述STPA分析方法的应用。
注1:主动转向功能是指EPS系统接收外部系统的转向控制指令,例如:转角指令或扭矩指令,结合自身状态判断,主动施加转向力矩,达到预期转角位置或扭矩值,实现车辆自动转向或辅助驾驶员转向。
相关项设计之初,功能和架构设计并不完善,STPA分析先从整车层面避免的危害出发,确定分析目标,示例见表F.2。
注2:表F.2提供了STPA分析中可能用到的整车危害分类,对应于不同的相关项,可由此生成特定的危害清单。
STPA分析方法将人、车及系统作为一个整体来考虑,通过建立控制结构框图,表明交互关系,识别出可能导致潜在危害的不安全控制行为及场景。在主动转向功能开发的初期,定义控制架构见图F.2。
注:图中,向下的箭头表示控制行为,向上的箭头表示反馈行为。STPA分析中的控制模型可能存在多种表现形式。
图F.2主动转向功能初步控制架构
F.3.4.2.2控制行为分析
在得到相关项控制架构图和危害清单后,分析可导致危害的控制行为的失效。STPA分析方法考虑的控制行为失效模式分为:
a)F_01:未提供安全所需的控制;
b)F_02:提供了导致安全风险的控制;
c)F_03:过早、过晚或以错误的顺序提供控制;
d)F_04:控制持续的时间过久或结束得过早。
以上控制行为的失效结合一定的工况,将导致危害的发生。基于表F.2和图F.2,给出控制行为失效分析的示例,见表F.3。
F.3.4.2.3致因场景约束条件的导出
针对表F.3中识别出的不安全控制行为(其中可导致潜在危害的控制行为)及场景,定义相应的约束条件。以“功能未激活时,向EPS系统发出了转向指令”为例进行分析,相关约束见表F.4。
识别出所需约束后,考虑架构层面是否已具备这些约束,针对已有约束定义安全要求,对不具备的约束,考虑对架构设计进行完善,图F.2所示系统架构图中,未包含C_03安全约束,说明在当前架构中,驾驶员可能缺少克服EPS系统主动转向行为的有效途径,如果增加驾驶员对EPS系统的直接控制,将能有效改善驾驶员对主动转向功能异常的干预能力。更新系统控制架构见图F.3。
图F.3STPA分析后更新的EPS系统控制架构
更新控制架构后,可针对变化点迭代开展STPA分析,完善安全设计,实现对相关项开发的不断优化。接下来,可对导致每个不安全控制行为的原因场景进行详细分析,定义详细的场景因素,再针对这些场景因素,定义详细的安全要求,完善安全分析。
注:场景因素分析时,除正常的行驶场景外,也存在特殊情况,例如:小备胎导致EPS系统主动转向行为的偏差等。
F.4系统层面安全分析
F.4.1分析方法
系统层面的安全分析可采用归纳分析法(例如:FMEA)、演绎分析法(例如:FTA)、相关失效分析(DFA)、探索性分析(例如:STPA)或适合系统安全分析的其他类似方法。
注:DFA用于识别组件间失效的相关性,证明组件间免于干扰,支持上一层面的ASIL分解和对组件的ASIL分配。
F.4.2 FTA分析
图F.4系统层面FTA分析示例
F.4.3 FMEA分析
针对EPS系统控制器的FMEA分析示例见表F.5。
F.4.4 DFA分析
以EPS系统的ASIL分解中的组成部件和关联要素为导向,进行相关失效分析,EPS系统的DFA分析示例见表F.6。
附 录G
(资料性)
EPS系统功能安全验证测试方法及示例
G.1目的
本附录的目的是提供EPS系统验证测试的参考方法,以支持验证活动的开展。
G.2验证测试方法示例
针对EPS系统的验证测试方法及示例见表G.1。
现成译文,到款即发。
下单前可任取样页验证译文质量。
免费提供正规普通增值税数电发票。
请联系手机/微信: 13306496964/Email: standardtrans@foxmail.com 获取完整译文。
本英文译本为纯人工专业精翻版本,保证语法术语准确率和专业度!
专业源于专注|ChinaAutoRegs 始终专注于汽车标准翻译领域!
「中国汽车标准译文库」已收录上千个现行汽车国家标准和行业标准的英文版译本,涵盖传统燃油车、新能源汽车和摩托车标准化体系!独家打造千万级汽车专业术语库和记忆库。
The English Translation of this document is readily available, and delivered immediately upon payment.
Sample pages may be requested to your preference before placing order.
Please contact standardtrans@foxmail.com for the complete PDF version in English.
Our well-established database has included almost all Chinese automotive standards in effect, providing one-stop, up-to-date, efficient and professional solution.