欧盟法规(商用车制动系统)附录三

附录III复合车辆电子控制系统安全方面的一些特殊要求1总则本附录规定了本法规中的复合车辆电子控制系统安全方面的文件、故障策略以及验证方法的特殊要求。本附录也适用于电子控制系统与安全相关的功能模块。本附录未规定复合车辆电子控制系统的性能细则，但是规定了设计过程中应遵循的方法，以及试验时须向技术部门公开的信息。须公开的信息应可证明复合车辆电子控制系统在正常和错误状态下均能满足法规中所有适用条款对其的性能要求。2定义本附录做出如下定义：“安全概念(safetyconcept)”指的是，在系统(如电子单元)设计时，针对系统完整性所采取的一系列措施；这些措施能够确保在电路失效时系统仍能安全工作。另外，维持系统的部分工作或为重要的车辆功能模块提供备用系统都属于此“安全概念”的范畴。“电子控制系统(electroniccontrolsystem)”指的是，通过对电子数据的处理，能够协作实现规定的车辆控制功能的单元组合。电子控制系统一般由软件控制，并由传感器、ECU和执行器等独立的功能部件组成；这些部件能够通过传输装置连接，一般可包括机械式、电-气动式或电-液压式元件。“复合车辆电子控制系统(complexelectronicvehiclecontrolsystem)”指的是，上层电子控制系统/功能模块可对下层电子控制系统/功能模块进行超驰控制(overridecontro1)的电子控制系统。(超驰控制：当自动控制系统接到事故报警、偏差越限、故障等异常信号时,超驰逻辑将根据事故发生的原因立即执行自动切手动、优先增、优先减、禁止增、禁止减等逻辑功能,将系统转换到预设定好的安全状态,并发出报警信号。注：超驰控制定义引自百度百科)“上层控制系统/功能模块(Highei-levelcontrolsystems/functions)”指的是,采用附加处理或感应装置，通过命令车辆控制系统正常功能下的变量修正车辆状态的系统/功能模块。一般,允许复合系统根据感应情况决定优先顺序,以便自动改变其控制目标。“单元(Units)”指的是，本附录中涉及到的系统部件的最小组成部分；这些部件组合在识别、分析或替换时可作为一个独立的实体。“传输链路(transmissionlinks)”指的是，一种分散单元间的相互连接方式；这种连接方式能够在分散单元之间传输信号、工作数据或能量供应。传输链路装置一般为电动式，但是某些部分也采用机械式、气压式、液压式或光学式。“控制范围(rangeofcontrol)”指的是，一个输出变量，这个输出变量表征系统能够实施控制的范围。“有效工作范围(boundaryoffunctionaloperation)”指的是，系统能够保持控制的外部物理界线范围。3文件3.1要求制造商应提供一系列文件，这些文件能够说明复合车辆电子控制系统试验时的基本设计，与车辆其它系统的连接方式或直接控制输出变量的方式。制造商应对系统(复合车辆电子控制系统)功能和安全概念做出规定。文件应该简明扼要，并应证明系统在设计开发时，采用了所有相关领域的专业技术。为了定期的技术检查，文件应说明如何检查系统当前的工作状态。3.1.1文件应分为两个部分（a）获批的正式文件，包含文件（3节）中所有材料（3.4.4中的材料除外）；这些文件在申请试验时须向技术部门提供，并将作为（4验证与试验）规定的程序确认方法的主要参考依据。（b）附加材料和344中的分析数据应由制造商保存，但在试验时需予以公开，以便检查。3.2系统功能说明书说明书中应简单地解释说明系统各功能模块，和给出完成任务所用的控制装置的使用说明。输入和感应变量列表应予以提供，并限定其工作范围。系统控制的所有变量列表应予以提供，并说明其在每种情况（工况）下是由系统直接控制，还是由其它车辆系统控制。这些变量实施控制的范围也应予以规定。3.2.3对于相应的系统性能，有效的工作范围界限应予以说明。系统布置和示意图3.3.1零部件清单零部件清单应按序号列出所有的系统单元，以及实现相应控制功能的其它车辆系统。简明的示意图必须予以提供；示意图应说明组合中的各单元信息，并应注明各装置的分布情况以及其相互连接方式。单元功能系统各单元的功能应予以简要说明；各单元与其它单元或车辆其它系统的连接信号也应予以说明。这些内容可通过带标注的模块图或其它示意图或其它辅助图表来予以说明。相互连接方式系统内部的相互连接方式应采用电路图、光纤图、管路图和布置简图予以说明。电路图主要说明电控传输链路；光纤图主要说明光学传输装置的连接方式；管路图主要说明气压或液压传输装置的连接方式；布置简图主要说明机械传输装置的连接方式。3.3.4信号流及优先级顺序传输链路与各单元间输出信号的对应关系应予以说明。无论优先级是影响本法规中所涉及到的性能问题，还是影响安全问题，多元数据通道内的信号优先级顺序都应予以规定。3.3.5单元识别通过相应的硬件和文件帮助说明，每个单元（如硬件标志单元、软件内容标志或软件输出单元）都应清晰明确地予以识别。在一个单元或计算机集成了多种功能时，使用一个单独的硬件识别标志即可，但是为了便于清楚简单地理解，也可在模块图中使用多个模块表示。制造商应使用上述识别标志确认所提供的装置是否与相应文件一致。上述识别标志应规定硬件和软件的版本。在软件版本变化引起本法规中所述单元的功能变化时，相应的识别标志也应做出改变。制造商的安全概念制造商应确定在无故障条件时，实现系统目标所选的策略不会损害本法规中所述系统的安全运行。对于系统所使用的软件，应说明解释其简要结构，并注明其所使用的设计方法和设计工具。制造商应准备，在需要时，说明在设计开发过程中，通过何种方法确定系统逻辑的实现方式。制造商应向技术管理部门解释说明系统在故障状态下安全运行时，在设计中所需的预防措施。系统失效时在设计中所采用的预防措施如下：a）使用部分系统维持工作；b）切换到独立的备用系统；c）关闭上层功能。系统在失效时，应通过报警信号或信息提示来预警驾驶员。如果系统不是由驾驶员终止的（通过切断开关或通过专用开关切断特殊功能），只要系统失效仍然存在，报警也应继续。如果在系统失效时，选择“部分系统维持工作”模式，应说明其条件及其有效范围。如果选择第二种方式（备用系统）来实现车辆控制系统的目标时，切换机制的原理、冗余度逻辑、冗余度水平和所有备用系统检查特征应予以说明。备用系统的有效范围也应予以规定。如果选择“关闭上层功能”模式，与该功能相关的所有输出控制信号都应予以禁止，以便通过这种方式限制过渡干扰。支持上述文件，需要通过分析系统如何从总体的角度应对一些特定的失效状况来实现；这些失效状态一般会影响车辆控制性能或车辆控制安全。这些应对方法可以基于失效模式及后果分析（FMFA）、失效树分析（FTA）或所有适用于系统安全分析的其它类似方法。这些所采用的分析方法应由制造商予以建立和保存，并在试验时向技术部门予以公开，以便检查。3.4.4.1文件应详细列明监测参数，并规定3.4.4中所述的每种失效状态下，报警驾驶员和（或）服务人员/技术检查人员的信号。4验证和试验文件（3节）中所规定的系统运行功能应由以下试验予以测试：4.1.1系统功能验证作为保持系统正常工作水平的方法，除非应用本法规规定的试验程序进行专门的性能试验，否则应参照制造商的基本基准规范，来验证车辆系统非