1.背景

2.范圍&定義

3.技術(shù)要求

4.測(cè)試要求

5.電子控制系統(tǒng)安全方面的特殊要求

5.3 文檔

5.3.1 要求

制造商應(yīng)提供一個(gè)留檔包，以便訪問(wèn)“系統(tǒng)”的基本設(shè)計(jì)以及它與其他車(chē)輛系統(tǒng)連接或直接控制輸出變量的方式。應(yīng)解釋“系統(tǒng)”的功能和制造商制定的安全概念。文檔應(yīng)簡(jiǎn)短，但提供證據(jù)表明設(shè)計(jì)和開(kāi)發(fā)受益于所有相關(guān)系統(tǒng)領(lǐng)域的專(zhuān)業(yè)知識(shí)。對(duì)于定期技術(shù)檢查，留檔應(yīng)描述如何檢查“系統(tǒng)”的當(dāng)前運(yùn)行狀態(tài)。

認(rèn)證機(jī)構(gòu)應(yīng)評(píng)估留檔包，以顯示“系統(tǒng)”：

（a）設(shè)計(jì)為在非故障和故障條件下運(yùn)行，不會(huì)引發(fā)安全關(guān)鍵風(fēng)險(xiǎn)；

（b）在非過(guò)失和過(guò)失條件下，遵守本法規(guī)其他地方規(guī)定的所有適當(dāng)性能要求；

（c）根據(jù)制造商聲明的開(kāi)發(fā)過(guò)程/方法開(kāi)發(fā)。

文件應(yīng)分兩部分提供：

（a）用于批準(zhǔn)的正式留檔包裝，包含5.3段所列材料（不包括5.3.5段的附加材料），應(yīng)在提交型式批準(zhǔn)申請(qǐng)時(shí)提供給認(rèn)證機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)應(yīng)將此留檔包用作第5.4段所述驗(yàn)證過(guò)程的基本參考。認(rèn)證機(jī)構(gòu)應(yīng)確保此留檔包在與批準(zhǔn)機(jī)構(gòu)商定的期限內(nèi)保持可用。這一期限應(yīng)從車(chē)輛明確停止生產(chǎn)之日起至少計(jì)算10年。

（b）第5.3.5段的附加材料和分析數(shù)據(jù)應(yīng)由制造商保留，但在型式批準(zhǔn)時(shí)開(kāi)放供檢查。制造商應(yīng)確保該材料和分析數(shù)據(jù)在車(chē)輛明確停止生產(chǎn)之日起10年內(nèi)保持可用。

5.3.2 “系統(tǒng)”功能說(shuō)明

應(yīng)提供描述，對(duì)“系統(tǒng)”的所有控制功能和實(shí)現(xiàn)目標(biāo)所采用的方法進(jìn)行簡(jiǎn)單解釋?zhuān)刂茩C(jī)制的說(shuō)明。

應(yīng)識(shí)別并描述任何可以override功能的操作方法，并進(jìn)一步描述該功能操作的原理變化。

應(yīng)提供所有輸入和檢測(cè)變量的列表，并定義這些變量的工作范圍。

應(yīng)提供由“系統(tǒng)”控制的所有輸出變量列表，并在每種情況下給出控制是直接控制還是通過(guò)其他車(chē)輛系統(tǒng)的指示。應(yīng)定義對(duì)每個(gè)輸出變量的控制范圍。

定義功能操作邊界的限制，并在適當(dāng)?shù)那闆r下說(shuō)明系統(tǒng)性能。

5.3.3 系統(tǒng)布局和原理圖

組件清單

應(yīng)提供一份清單，整理“系統(tǒng)”的所有單元，并提及實(shí)現(xiàn)相關(guān)控制功能所需的其他車(chē)輛系統(tǒng)。

應(yīng)提供顯示這些單元組合的概要示意圖，并明確設(shè)備分布和互連。

單元的職能

應(yīng)概述“系統(tǒng)”每個(gè)單元的功能，并顯示將其與其他單元或其他車(chē)輛系統(tǒng)連接的信號(hào)。這可以通過(guò)標(biāo)記的框圖或其他示意圖提供，也可以通過(guò)此類(lèi)圖表輔助的描述提供。

互連

“系統(tǒng)”內(nèi)的互連應(yīng)由電氣傳動(dòng)環(huán)節(jié)的電路圖、氣動(dòng)或液壓傳動(dòng)設(shè)備的管路圖和機(jī)械連桿的簡(jiǎn)化圖解布局顯示。還應(yīng)顯示與其他系統(tǒng)之間的傳動(dòng)環(huán)節(jié)。

信號(hào)流、運(yùn)行數(shù)據(jù)和優(yōu)先級(jí)

這些傳輸鏈路與單元之間傳輸?shù)男盘?hào)和/或操作數(shù)據(jù)之間應(yīng)具有明確的對(duì)應(yīng)關(guān)系。在多路復(fù)用數(shù)據(jù)路徑上，如果信號(hào)或操作數(shù)據(jù)的優(yōu)先級(jí)可能影響本法規(guī)的性能或安全，應(yīng)說(shuō)明信號(hào)或操作數(shù)據(jù)的優(yōu)先級(jí)。

單元識(shí)別

每個(gè)單元應(yīng)清晰明確地識(shí)別（例如，通過(guò)硬件標(biāo)記和軟件內(nèi)容標(biāo)記或軟件輸出），以提供相應(yīng)的硬件和留檔關(guān)聯(lián)。

如果功能組合在一個(gè)單元內(nèi)，但為了清晰和便于解釋?zhuān)诳驁D中顯示在多個(gè)塊中，則只能使用單個(gè)硬件識(shí)別標(biāo)記。制造商應(yīng)通過(guò)使用該標(biāo)識(shí)來(lái)確認(rèn)所提供的設(shè)備符合相應(yīng)的文件。

該標(biāo)識(shí)定義了硬件和軟件版本，如果軟件版本發(fā)生了變化，例如就本法規(guī)而言改變了設(shè)備的功能，則該標(biāo)識(shí)也應(yīng)更改。

5.3.4 制造商的安全理念

制造商應(yīng)提供一份聲明，確認(rèn)為實(shí)現(xiàn)“系統(tǒng)”目標(biāo)而選擇的策略在非故障條件下不會(huì)損害車(chē)輛的安全運(yùn)行。

對(duì)于“系統(tǒng)”中使用的軟件，應(yīng)解釋概要架構(gòu)，并確定使用的設(shè)計(jì)方法和工具。制造商應(yīng)在設(shè)計(jì)和開(kāi)發(fā)過(guò)程中展示其確定系統(tǒng)邏輯實(shí)現(xiàn)方式的證據(jù)。

制造商應(yīng)向認(rèn)證機(jī)構(gòu)提供“系統(tǒng)”內(nèi)置設(shè)計(jì)條款的解釋?zhuān)员阍诠收蠗l件下安全運(yùn)行?！跋到y(tǒng)”中可能出現(xiàn)的故障設(shè)計(jì)條款包括：

（a）回退到使用部分系統(tǒng)的操作（功能降級(jí)）。

（b）切換到單獨(dú)的備份系統(tǒng)（冗余備份）。

（c）刪除高級(jí)功能（關(guān)閉功能）。

如果發(fā)生故障，應(yīng)通過(guò)警告信號(hào)或信息顯示等方式向駕駛員發(fā)出警告。當(dāng)系統(tǒng)未被駕駛員停用時(shí)，例如通過(guò)將點(diǎn)火（運(yùn)行）開(kāi)關(guān)調(diào)至“關(guān)閉”（下電），或通過(guò)關(guān)閉該特定功能（如果為此目的提供了特殊開(kāi)關(guān)），只要故障狀況持續(xù)存在，警告就應(yīng)存在。

如果系統(tǒng)在某些故障條件下選擇了部分性能運(yùn)行模式，則應(yīng)說(shuō)明這些條件并定義由此產(chǎn)生的有效性限制。

如果系統(tǒng)選擇第二種（冗余備份）方式來(lái)實(shí)現(xiàn)車(chē)輛控制系統(tǒng)目標(biāo)，則應(yīng)解釋轉(zhuǎn)換機(jī)制的原理、冗余邏輯和級(jí)別以及任何內(nèi)置后備檢查功能，并定義后備有效性的最終限制。

如果系統(tǒng)選擇去除高級(jí)功能，則應(yīng)禁止與該功能相關(guān)的所有相應(yīng)輸出控制信號(hào)，并以限制轉(zhuǎn)換擾動(dòng)的方式進(jìn)行（功能退出不應(yīng)產(chǎn)生跳變）。

5.3.5 安全分析文檔

應(yīng)通過(guò)分析來(lái)支持留檔，該分析總體上顯示系統(tǒng)在發(fā)生對(duì)車(chē)輛控制性能或安全有影響的任何單獨(dú)危險(xiǎn)或故障時(shí)的行為。

所選擇的分析方法應(yīng)由制造商建立和維護(hù)，并應(yīng)在型式批準(zhǔn)時(shí)開(kāi)放供認(rèn)證機(jī)構(gòu)檢查。

認(rèn)證機(jī)構(gòu)應(yīng)對(duì)分析方法的應(yīng)用進(jìn)行評(píng)估。審計(jì)應(yīng)包括：

（a）在概念（車(chē)輛）級(jí)別檢查安全方法，并確認(rèn)其包括與其他車(chē)輛系統(tǒng)的相互作用。該方法應(yīng)基于適合系統(tǒng)安全的危險(xiǎn)/風(fēng)險(xiǎn)分析。

（b）系統(tǒng)級(jí)安全方法的檢查。該方法應(yīng)基于故障模式和影響分析（FMEA）、故障樹(shù)分析（FTA）或任何適用于系統(tǒng)安全的類(lèi)似過(guò)程。

（c）驗(yàn)證計(jì)劃和結(jié)果的檢查。該驗(yàn)證應(yīng)使用例如硬件在環(huán)（HIL）測(cè)試、車(chē)輛道路運(yùn)行測(cè)試或任何適合驗(yàn)證的方法。

評(píng)估應(yīng)包括對(duì)技術(shù)服務(wù)選擇的危險(xiǎn)和故障的檢查，以確定制造商對(duì)安全概念的解釋是可理解的、合乎邏輯的，并且驗(yàn)證計(jì)劃是合適的并且已經(jīng)完成。

認(rèn)證機(jī)構(gòu)可以執(zhí)行或可能要求執(zhí)行5.4段中規(guī)定的測(cè)試，以驗(yàn)證安全概念。

該留檔應(yīng)逐項(xiàng)列出被監(jiān)測(cè)的參數(shù)，并應(yīng)針對(duì)本附件第5.3.5段中定義的每種類(lèi)型的故障情況，列出向駕駛員和/或服務(wù)/技術(shù)檢查人員發(fā)出的警告信號(hào)。

本留檔應(yīng)描述當(dāng)“系統(tǒng)”的性能受到環(huán)境條件（如氣候、溫度、灰塵進(jìn)入、水進(jìn)入、冰雪覆蓋等）的影響時(shí)，為確保“系統(tǒng)”不損害車(chē)輛的安全運(yùn)行而采取的措施。

5.4 驗(yàn)證和測(cè)試

第5.3段要求的文件中規(guī)定的“系統(tǒng)”的功能操作應(yīng)按以下方式進(jìn)行測(cè)試：

5.4.1 “系統(tǒng)”功能驗(yàn)證

認(rèn)證機(jī)構(gòu)應(yīng)在非故障條件下通過(guò)測(cè)試制造商在上文第5.3.2段中聲明的一些選定功能來(lái)驗(yàn)證“系統(tǒng)”。

對(duì)于復(fù)雜電子控制系統(tǒng)，這些測(cè)試應(yīng)包括聲明的override場(chǎng)景。

5.4.2 驗(yàn)證第5.3.4段的安全概念。

應(yīng)在任何單個(gè)單元的故障影響下檢查“系統(tǒng)”的反應(yīng)，通過(guò)向電氣單元或機(jī)械元件施加相應(yīng)的輸出信號(hào)，以模擬單元內(nèi)部故障的影響。技術(shù)服務(wù)應(yīng)至少對(duì)一個(gè)單個(gè)單元進(jìn)行此檢查，但不應(yīng)檢查“系統(tǒng)”對(duì)單個(gè)單元的多個(gè)同時(shí)故障的反應(yīng)。

認(rèn)證機(jī)構(gòu)應(yīng)核實(shí)可能對(duì)車(chē)輛可控性和用戶(hù)信息（HMI方面）產(chǎn)生影響的測(cè)試。

驗(yàn)證結(jié)果應(yīng)與記錄在案的故障分析摘要相一致，達(dá)到總體效果水平，從而確認(rèn)安全概念和執(zhí)行是充分的。

5.5 技術(shù)服務(wù)報(bào)告

認(rèn)證機(jī)構(gòu)的評(píng)估報(bào)告應(yīng)以允許可追溯性的方式進(jìn)行，例如檢查的文件版本被編碼并列在認(rèn)證機(jī)構(gòu)的記錄中。

認(rèn)證機(jī)構(gòu)發(fā)給型式認(rèn)可當(dāng)局的評(píng)估表的模板如下：

電子系統(tǒng)評(píng)估表模版

檢測(cè)報(bào)告編號(hào)：

1. 身份證明

1.1 車(chē)輛品牌：

1.2 類(lèi)型：

1.3 標(biāo)記在車(chē)上的類(lèi)型識(shí)別方法：

1.4 該標(biāo)記的位置：

1.5 制造商名稱(chēng)和地址：

1.6 制造商代表的姓名和地址（如適用）：

1.7 制造商的正式留檔包：

文件編號(hào)：

原始版本發(fā)行日期：

最新更新日期：

2. 測(cè)試車(chē)輛/系統(tǒng)說(shuō)明

2.1 一般說(shuō)明：

2.2 “系統(tǒng)”所有控制功能的描述，以及操作方法：

2.3 “系統(tǒng)”內(nèi)的組件描述和互聯(lián)圖：

3. 制造商的安全理念

3.1 信號(hào)流和操作數(shù)據(jù)及其優(yōu)先級(jí)的描述：

3.2 制造商聲明：

3.3 軟件架構(gòu)和使用的設(shè)計(jì)方法和工具：

3.4 故障條件下“系統(tǒng)”內(nèi)置的設(shè)計(jì)條款說(shuō)明：

3.5 對(duì)“系統(tǒng)”在單個(gè)危險(xiǎn)或故障條件下的行為進(jìn)行記錄分析：

3.6 針對(duì)環(huán)境條件的措施說(shuō)明：

3.7 “系統(tǒng)”定期技術(shù)檢查規(guī)定：

3.8  “系統(tǒng)”驗(yàn)證測(cè)試的結(jié)果：

3.9 安全概念驗(yàn)證測(cè)試結(jié)果：

3.10 測(cè)試日期：

3.11 本試驗(yàn)已經(jīng)根據(jù)XX法規(guī)XX修訂版進(jìn)行測(cè)試并報(bào)告了結(jié)果。

3.12 簽名: ...... 日期: .......

3.13 注釋?zhuān)?