Приложение А (обязательное). Требования в отношении безопасности комплексных электронных систем управления транспортным средством. Национальный стандарт РФ ГОСТ Р 58804-2020 "Автотранспортные средства. Системы удержания транспортного средства в занимаемой полосе движения. Общие технические требования и методы испытаний" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 07.02.2020 N 35-ст)

Приложение А
(обязательное)

Требования
в отношении безопасности комплексных электронных систем управления транспортным средством

А.1 Общие положения

В настоящем приложении определены требования в отношении проверки безопасности комплексных электронных систем управления ТС (см. А.2.3) применительно к СУПД.

В настоящем приложении не указаны критерии рабочих параметров для СУПД, но описаны применяемые методы проектирования конструкции и информирования, которые должны доводиться до сведения испытательной лаборатории, ответственной за проведение испытаний.

Данная информация должна свидетельствовать о том, что СУПД в рабочем состоянии и в случае неисправности отвечает всем требованиям настоящего стандарта.

А.2 Документация

А.2.1 Изготовитель ТС предоставляет комплект документов, описывающих конструкцию СУПД и средств ее соединения с другими системами ТС, в котором должны быть разъяснены функция(и) СУПД и концепция безопасности, предусмотренные изготовителем. Документация должна быть краткой и свидетельствовать о том, что при проектировании и разработке использованы специальные знания из всех областей, имеющих отношение к работе системы. В целях проведения периодических технических осмотров в документации указывают способ проверки текущего состояния СУПД.

Должна быть доступна следующая документация:

- комплект документов для сертификации СУПД, содержащий материалы, перечисленные в А.2 (за исключением указанных в А.2.4.4), которые передают испытательной лаборатории и органу по сертификации. Эти документы используют в качестве основных справочных материалов для процесса проверки, предусмотренного в А.3. Испытательная лаборатория и орган по сертификации должны обеспечить доступность этих документов в течение 10 лет с момента окончательного прекращения производства ТС;

- дополнительные материалы и данные анализа, указанные в А.2.4.4, которые могут храниться у изготовителя, но должны быть представлены для проверки при подтверждении соответствия СУПД. Изготовитель должен обеспечить доступность этих документов в течение 10 лет с момента окончательного прекращения производства ТС.

А.2.2 Описание функций СУПД

В описании должно быть приведено разъяснение всех функций СУПД, связанных с управлением ТС, и методов, используемых для достижения ее целей, включая указание механизма(ов), при помощи которого(ых) осуществляется управление ТС.

А.2.2.1 Представляют перечень всех вводимых и принимаемых переменных и определяют диапазон их работы.

А.2.2.2 Представляют перечень всех выходных переменных, контролируемых СУПД, и в каждом случае указывают, осуществляется ли непосредственное управление ТС или управление через другую систему ТС. Определяют диапазон управления применительно к каждой из таких переменных.

А.2.2.3 Указывают пределы, определяющие границы функциональных возможностей, если это необходимо, с учетом рабочих параметров СУПД.

А.2.3 Компоновка и схематическое описание СУПД

А.2.3.1 Перечень компонентов

Представляют перечень, в котором перечислены все блоки СУПД с указанием других систем ТС, необходимых для обеспечения данной функции управления, а также краткое схематическое описание этих блоков с указанием их сочетания и с четким освещением аспектов установки и взаимного подсоединения оборудования.

А.2.3.2 Функции блоков

Должны быть кратко охарактеризованы функции каждого блока СУПД и указаны сигналы, обеспечивающие его соединение с другими блоками или с другими системами ТС. Это может быть сделано при помощи блок-схемы с соответствующей маркировкой или иного схематического описания либо при помощи текста, сопровождающего такую схему.

А.2.3.3 Соединения

Соединения в рамках СУПД обозначают при помощи принципиальной схемы электрических линий передачи, схемы пневматического или гидравлического передающего оборудования и упрощенной диаграммной схемы механических соединений. Обозначают также линии передачи к другим системам и от них.

А.2.3.4 Сигнальная ориентация и очередность сигналов

Обеспечивают четкое соответствие между этими линиями передачи и сигналами, передаваемыми между блоками.

В каждом случае, когда очередность может повлиять на эксплуатационные качества или безопасность применительно к настоящему стандарту, указывают очередность сигналов на мультиплексных информационных каналах.

А.2.3.5 Идентификация блоков

Каждый блок четко и недвусмысленно идентифицируют (например, посредством маркировки аппаратных и программных средств по их содержанию) для обеспечения надлежащего соответствия между программными средствами и документацией.

Если различные функции сочетаются в рамках единого блока или единого компьютера, но указаны на многочисленных элементах блок-схемы с целью обеспечения ясности и легкости их понимания, то используют единую идентификационную маркировку аппаратных средств.

При помощи этой идентификации изготовитель подтверждает, что поставляемое оборудование соответствует требованиям настоящего стандарта.

Идентификация позволяет определить используемый тип аппаратного и программного обеспечения, и в случае изменения их типа с изменением функций блока, предусмотренных настоящим стандартом, данную идентификацию также изменяют.

А.2.4 Концепция безопасности изготовителя

А.2.4.1 Изготовитель представляет декларацию, в которой утверждается, что стратегия, выбранная для обеспечения целевых функций СУПД в исправном состоянии, не препятствует надежному функционированию систем, на которые распространяются требования настоящего стандарта.

А.2.4.2 В отношении программного обеспечения, используемого в СУПД, в декларации разъясняются элементы конфигурации и определяются использовавшиеся методы и средства проектирования. Изготовитель должен быть готов к тому, чтобы при поступлении соответствующего требования представить доказательства в отношении использования средств, при помощи которых была реализована логическая схема СУПД в процессе проектирования и практической разработки.

А.2.4.3 Изготовитель приводит сведения о проектных условиях, которым соответствует СУПД, для обеспечения ее надежного функционирования в случае неисправности. Возможными проектными условиями на случай неисправности СУПД могут служить, например, следующие:

- переход к функционированию с частичным использованием СУПД;

- переключение на отдельную дублирующую систему;

- отмена функции высокого уровня.

В случае неисправности водителя информируют о ней, например, при помощи предупреждающего сигнала либо соответствующего сообщения. Если СУПД не отключается водителем, например при помощи перевода переключателя зажигания (запуска) в положение "выключено" либо при помощи отключения этой конкретной функции при условии, что для этого предусмотрен специальный переключатель, то предупреждение сохраняется до тех пор, пока существует неисправность.

А.2.4.3.1 Если в соответствии с обозначенным требованием выбирают какой-либо конкретный режим функционирования при определенных условиях неисправности, то эти условия указывают и определяют соответствующие пределы эффективности.

А.2.4.3.2 Если в соответствии с обозначенным требованием выбирают вторую возможность (дублирующая система, позволяющая обеспечить управление ТС), то должны быть разъяснены принципы работы оборудования переключения, логика и уровень резервирования, а также любые резервные проверочные аспекты и определены соответствующие пределы резервной эффективности.

А.2.4.3.3 Если в соответствии с обозначенным требованием выполняется отмена функции более высокого уровня, то все соответствующие выходные сигналы управления, связанные с этой функцией, подавляются с ограничением переходных помех.

А.2.4.4 Эта документация дополняется анализом, показывающим возможности реагирования СУПД на любую из указанных неисправностей, влияющих на управление ТС или его безопасность.

Анализ может включать анализ режима и последствий неисправностей, анализ дерева неисправностей либо любых аналогичных процессов, имеющих отношение к безопасности СУПД.

Изготовитель отбирает и обеспечивает применение выбранного(ых) аналитического(их) подхода(ов), который(е) во время подтверждения соответствия доводится(ятся) до сведения испытательной лаборатории и органа по сертификации.

Для каждого типа отказа СУПД приводят перечень контролируемых параметров и указывают предупредительный сигнал, подаваемый водителю и/или сотрудникам службы, проводящей технический осмотр.

А.2.4.5 Эта документация должна включать описание мер, принимаемых для обеспечения того, чтобы СУПД не препятствовала надежной работе ТС, когда на ее функционирование влияют такие факторы окружающей среды, как погодные явления, температурные условия, попадание пыли, проникновение воды или лед на поверхности дороги.

А.3 Проверка и испытания

А.3.1 Испытательная лаборатория анализирует комплект документации с целью убедиться в том, что СУПД:

- сконструирована так, чтобы функционировать в условиях отсутствия неисправности и в случае неисправности таким образом, чтобы это не приводило к возникновению критических рисков в области безопасности;

- соответствует в условиях отсутствия неисправности и в случае неисправности всем требованиям настоящего стандарта.

А.3.2 Испытательная лаборатория проводит оценку применения аналитического(их) подхода(ов), описанного(ых) в А.2.4.4. Эта оценка включает:

- проверку подхода к обеспечению безопасности на уровне ТС с подтверждением того, что он предусматривает учет взаимодействия с другими системами ТС. Этот подход опирается на анализ опасностей/рисков, связанных с функционированием СУПД;

- проверку подхода к обеспечению безопасности на системном уровне. Этот подход основан на анализе режима и последствий неисправностей, анализе дерева неисправностей либо любых аналогичных процессов, имеющих отношение к безопасности СУПД;

- проверку планов и результатов валидации, проведенной изготовителем. В процессе валидации может использоваться (например, аппаратно-программное моделирование, эксплуатационные испытания ТС в дорожных условиях или любые аналогичные испытания, приемлемые для целей валидации).

Освидетельствование должно включать контроль отдельных рисков и неисправностей, выбранных испытательной лабораторией для подтверждения ясности и логичности предоставленного изготовителем разъяснения концепции безопасности, а также проверки приемлемости и выполнения планов валидации.

А.3.3 Функциональные возможности СУПД, указанные в документах, предусмотренных в А.2, проверяют следующим образом:

А.3.3.1 Проверка функции СУПД

Испытательная лаборатория проводит испытания СУПД в условиях отсутствия неисправностей путем проверки отдельных функций из числа заявленных изготовителем согласно А.2.2.

А.3.3.2 Проверка концепции безопасности, указанной в А.2.4

Проводится проверка поведения СУПД в условиях неисправности любого отдельного блока посредством подачи соответствующих выходных сигналов на электрические блоки или механические элементы с целью имитации воздействия внутренних неисправностей в рамках этого блока.

Проверку проводят, как минимум, в отношении одного отдельного блока, однако поведение СУПД в случае неисправности сразу нескольких блоков не проверяют.

Испытательная лаборатория должна убедиться в том, что проверка охватывает ситуации, которые могут оказать воздействие на управляемость ТС, и соответствующее информирование пользователей (аспекты человеко-машинного интерфейса).

Результаты проверки должны соответствовать документально подтвержденному резюме анализа неисправности таким образом, чтобы была обоснована адекватность концепции безопасности и методов ее применения.