Приложение У (обязательное). Специальные требования, относящиеся к безопасности комплексных электронных систем управления транспортных средств. Национальный стандарт РФ ГОСТ Р 41.13-2007 (Правила ЕЭК ООН N 13) "Единообразные предписания, касающиеся транспортных средств категорий М, N и О в отношении торможения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 23.10.2007 N 275-ст) (отменен)

Приложение У
(обязательное)

Специальные требования,
относящиеся к безопасности комплексных электронных систем управления транспортных средств

У.1 Общие положения

Настоящее приложение устанавливает специальные требования к документации, стратегии обнаружения и устранения неисправностей, касающиеся безопасности комплексных электронных систем управления ТС (см. У.2.3), имеющие отношение к настоящему стандарту.

На настоящее приложение также имеются ссылки в отдельных пунктах настоящего стандарта, относящихся к функциям безопасности, управляемым электронной системой (электронными системами).

Настоящее приложение не устанавливает критерии эффективности функционирования электронной системы управления (далее - система), но описывает методологию, применимую к процессу конструирования, и информацию, которая должна быть представлена испытательной лаборатории для проведения испытаний.

Эта информация должна продемонстрировать, что система удовлетворяет при нормальных условиях и при возникновении неисправностей (отказов) всем соответствующим требованиям к эффективности, установленным настоящим стандартом.

У.2 Термины и определения

Для целей настоящего приложения применены следующие термины с соответствующими определениями:

У.2.1 концепция безопасности (safety concept): Описание особенностей конструкции электронной системы управления, например электронных блоков, обеспечивающих целостность системы и, тем самым, безопасную эксплуатацию даже в случае неисправности в электропитании.

Возможность резервирования частичной функциональности или даже дублирования системы в отношении выполнения ее жизненно важных функций должна входить составной частью в концепцию безопасности.

У.2.2 электронная система управления (electronic control system): Комбинация блоков, сконструированная для обеспечения взаимодействия при формировании установленной функции управления транспортного средства на основе электронной обработки данных.

Такие системы часто управляются программным обеспечением на базе дискретных функциональных компонентов: датчиков, электронных управляющих блоков, исполнительных механизмов, связанных с промежуточными звеньями. Они могут включать в себя механические, электропневматические или электрогидравлические элементы.

Термин "система" в применении к настоящему пункту означает один из объектов, для которых запрашивают одобрение типа.

У.2.3 комплексные электронные системы управления транспортных средств (complex electronic vehicle control systems): Электронные системы управления, входящие в иерархическую структуру управления, в которой управляемая функция может перейти под контроль электронной системы управления/функции более высокого уровня.

Эта перешедшая под контроль более высокого уровня функция становится составной частью комплексной системы.

У.2.4 системы/функции управления высокого уровня (higher-level control systems/functions): Системы/функции, которые используют дополнительные данные и результаты их обработки для изменения поведения транспортного средства, модифицируя стандартную функцию (стандартные функции) системы управления транспортного средства.

Это позволяет комплексным системам автоматически менять приоритетность целей в зависимости от регистрируемых условий.

У.2.5 блоки (units): Наименьшие комбинации (сочетания) элементов системы, рассматриваемые в настоящем приложении как самостоятельные единицы для целей идентификации, анализа или замены.

У.2.6 каналы связи (transmission links): Средства, используемые для взаимного соединения различных блоков для передачи сигналов, обработки данных или подачи энергии.

Это оборудование обычно является электрическим, однако отдельные его части могут быть механическими, пневматическими, гидравлическими или оптическими.

У.2.7 диапазон управления (range of control): Диапазон, в пределах которого система осуществляет управление по отношению к данной выходной переменной.

У.2.8 пределы функционирования (boundary of functional operation): Границы внешних физических условий, в которых система способна осуществлять управление.

У.3 Документация

У.3.1 Требования

Изготовитель должен представить комплект документов, дающих представление об основополагающей концепции системы и средствах, которыми она связана с другими системами ТС, или с помощью которых она непосредственно управляет выходными переменными.

Должны быть разъяснены функция (функции) системы и концепция обеспечения безопасности, заложенные изготовителем.

Документы должны быть краткими, но вместе с тем в них должно быть продемонстрировано, что при проектировании и разработке системы был использован опыт, накопленный во всех смежных областях.

Для целей проведения периодических технических осмотров документы должны содержать описание способа проверки эксплуатационного состояния системы.

У.3.1.1 Документация должна состоять из двух частей:

а) официального комплекта документов для проведения испытаний, содержащего материалы, перечисленные в У.3 (за исключением материалов, указанных в У.3.4.4), который должен быть представлен испытательной лаборатории при подаче заявки на проведение испытаний. Этот комплект документов рассматривают в качестве основы при осуществлении процедуры проверки, указанной в У.4;

б) дополнительных материалов и аналитических данных, указанных в У.3.4.4, которые остаются у изготовителя, но могут быть представлены для ознакомления при проведении испытаний в испытательной лаборатории.

У.3.2 Описание функций системы

Должно быть представлено описание, содержащее простое разъяснение всех управляющих функций системы и методов, используемых для достижения намеченных результатов, включая описание механизма (механизмов), посредством которого (которых) осуществляется управление:

У.3.2.1 Должен быть представлен перечень всех полученных и вводимых переменных и определены их рабочие диапазоны.

У.3.2.2 Должен быть представлен перечень всех выходных переменных, управляемых системой, и в каждом отдельном случае указано, является ли это управление непосредственным или осуществляется через другую систему ТС. Для каждой такой переменной должен быть определен диапазон управления (см. У.2.7).

У.3.2.3 Там, где это необходимо для работы системы, должны быть установлены границы, определяющие пределы функционирования (см. У.2.8).

У.3.3 Схема и описание системы

У.3.3.1 Перечень (реестр) компонентов

Должен быть представлен перечень всех блоков системы с указанием других систем ТС, которые необходимы для реализации соответствующей управляющей функции.

Должно быть также представлено схематическое изображение этих блоков, позволяющее получить четкое представление о распределении оборудования и связях между блоками.

У.3.3.2 Функции блоков

Должны быть показаны функции каждого блока системы и указаны сигналы, связывающие его с другими блоками или с другими системами ТС, на маркированной схеме соединения блоков или другой схеме, или в описании, дополненном такой схемой.

У.3.3.3 Внутренние связи

Связи внутри системы должны быть показаны на схеме электрических цепей в случае электрических каналов связи, на схеме волоконно-оптических соединений в случае оптических каналов, на схеме трубопроводов и случае пневматического или гидравлического оборудования и на упрощенной диаграмме в случае механических соединений.

У.3.3.4 Поток сигналов и приоритеты

Должно быть четко показано соответствие между каналами связи и сигналами, передаваемыми между блоками.

Должна быть указана приоритетность передачи сигналов по мультиплексным каналам передачи данных, когда эта приоритетность может влиять на эффективность функционирования или безопасность применительно к настоящему стандарту.

У.3.3.5 Идентификация блоков

Должна быть обеспечена четкая и однозначная идентификация каждого блока (например, путем маркировки оборудования, маркировки или наличия выходных данных средств программного обеспечения) для того, чтобы можно было проверить соответствие оборудования и данных, приведенных в документации.

В тех случаях, когда функции объединены в едином блоке или в одном компьютере, а на принципиальной схеме для ясности и простоты объяснения изображены несколько блоков, для идентификации оборудования должен быть использован только один идентификационный знак.

Изготовитель посредством такой идентификации должен подтвердить, что поставленное оборудование соответствует сопроводительной документации.

У.3.3.5.1 Идентификационный знак указывает модель оборудования и версию программного обеспечения, причем, когда последние изменения таковы, что изменяют функцию блока в случаях, относящихся к нестоящему стандарту, идентификационный знак также должен быть изменен.

У.3.4 Концепция безопасности, применяемая изготовителем

У.3.4.1 Изготовитель должен представить подтверждение того, что стратегия, избранная им для достижения целей системы при нормальных условиях функционирования не окажет негативного влияния на безопасное функционирование систем, на которые распространяются требования настоящего стандарта.

У.3.4.2 Что касается программного обеспечения, используемого в системе, то должны быть разъяснены принципы его построения и указаны методы его разработки и инструментарий. Изготовитель должен быть готов, если потребуется, представить обоснования выбора логической концепции на этапе проектирования программного обеспечения.

У.3.4.3 Изготовитель должен представить испытательной лаборатории разъяснение концептуальных решений, заложенных в системе для обеспечения безопасного функционирования в условиях отказа. К таким концептуальным решениям могут относиться, например, следующие действия:

а) переход в режим частичного функционирования системы;

б) переключение на отдельную резервную систему;

в) отключение функции более высокого уровня.

В случае неисправности водитель должен быть оповещен о ее наличии, например с помощью предупреждающего сигнала или надписи, появляющейся на дисплее. Если водитель не отключает систему, например поворотом ключа в замке зажигания в положение "выключено" (off) или отключением соответствующей функции, когда для этой цели предусмотрен специальный выключатель, предупреждение о неисправности должно сохраняться до тех пор, пока она не будет устранена.

У.3.4.3.1 Если для определенных условий возникновения неисправностей предусмотрен режим частичного функционирования, то такие условия должны быть указаны и должны быть определены конечные пределы эффективности.

У.3.4.3.2 Если для достижения цели, поставленной перед системой управления ТС, выбрано переключение на резервную систему, то должны быть разъяснены принципы функционирования механизма переключения, логическая концепция и уровень дублирования, а также любые встроенные средства проверки функционирования резервной системы и определены конечные пределы эффективности.

У3.4.3.3 Если для определенных условий предусмотрено подавление функции более высокого уровня, то все соответствующие выходные сигналы управления, связанные с этой функцией, должны подавляться таким образом, чтобы ограничить любые помехи в переходном режиме.

У.3.4.4 Документация должна быть дополнена результатами анализа, которые должны в общих чертах показывать, каким образом будет вести себя система при возникновении любой из неисправностей, которые влияют на управление ТС или на его безопасность.

Это дополнение может быть основано на анализе состояния и последствий отказов (АСПО) системы, структурном анализе сбоев (САС) или любом аналогичном процессе, отвечающем требованиям обеспечения безопасности системы.

Соответствующий анализ, выбираемый и осуществляемый изготовителем, должен быть доступным для инспекции со стороны испытательной лаборатории в период проведения испытаний.

У.3.4.4.1 Документы должны содержать классификацию параметров, подлежащих мониторингу, и устанавливать для каждого случая отказа вида, упоминаемого в У.3.4.4, предупреждающий сигнал, информирующий водителя и/или обслуживающий персонал и/или персонал технической инспекции.

У.4 Проверка и испытания

У.4.1 Должно быть проверено в испытаниях функционирование системы в соответствии с документами, наличие которых предписано в У.3:

У.4.1.1 Проверка функции системы

В качестве способа установления нормальных уровней функционирования должна быть проведена проверка работы системы в соответствии с основной тестовой программой изготовителя в условиях отсутствия отказов, если только система не является объектом специального испытания в качестве составной части комплекса испытаний на соответствие настоящему или другому стандарту.

У.4.1.2 Проверка концепции безопасности, предписанной в У.3.4

По усмотрению испытательной лаборатории должна быть проверена реакция системы на влияние отказа любого отдельно взятого блока путем выработки соответствующих сигналов, воздействующих на электрические блоки или механические элементы, воспроизводящих эффект неисправностей внутри блока.

У.4.1.2.1 Результаты проверки должны соответствовать документированным выводам по анализу отказов (неисправностей) на таком уровне суммарного эффекта, при котором концепция безопасности и ее реальное воплощение будут признаны адекватными.