Приложение А (обязательное). Требования в отношении безопасности комплексных электронных систем управления транспортным средством. Национальный стандарт РФ ГОСТ Р 58803-2020 "Автотранспортные средства. Системы помощи водителю при принятии решения о смене полосы движения. Общие технические требования и методы испытаний" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 07.02.2020 N 34-ст)

Приложение А
(обязательное)

Требования
в отношении безопасности комплексных электронных систем управления транспортным средством

А.1 Общие положения

В настоящем приложении определены требования в отношении проверки безопасности комплексных электронных систем управления ТС (см. А.2.3) применительно к СПСПД.

В настоящем приложении не указаны критерии рабочих параметров для СПСПД, но описаны применяемые методы проектирования конструкции и информирования, которые должны доводиться до сведения испытательной лаборатории, ответственной за проведение испытаний.

Данная информация должна свидетельствовать о том, что СПСПД в рабочем состоянии и в случае неисправности отвечает всем требованиям настоящего стандарта.

А.2 Документация

А.2.1 Комплектация

Изготовитель ТС предоставляет комплект документов, описывающих конструкцию СПСПД и средства ее соединения с другими системами ТС, в котором должны быть разъяснены функция(и) СПСПД и концепция безопасности, предусмотренные изготовителем. Документация должна быть краткой и свидетельствовать о том, что при проектировании и разработке использованы специальные знания из всех областей, имеющих отношение к работе системы. В целях проведения периодических технических осмотров в документации указывают способ проверки текущего состояния СПСПД.

Должна быть доступна документация двух видов:

- комплект документов для сертификации СПСПД, содержащий материалы, перечисленные в А.2 (за исключением указанных в А.2.4.4), которые передают испытательной лаборатории и органу по сертификации. Эти документы используют в качестве основных справочных материалов для процесса проверки, предусмотренного в А.3. Испытательная лаборатория и орган по сертификации должны обеспечить доступность этих документов в течение 10 лет с момента окончательного прекращения производства ТС;

- дополнительные материалы и данные анализа, указанные в А.2.4.4, которые могут храниться у изготовителя, но должны быть представлены для проверки при подтверждении соответствия СПСПД. Изготовитель должен обеспечить доступ к этим документам в течение 10 лет с момента окончательного прекращения производства ТС.

А.2.2 Описание функций СПСПД

Представляют описание, в котором приведено разъяснение всех функций СПСПД, связанных с управлением ТС, и методов, используемых для достижения ее целей, включая указание механизма(ов), при помощи которого(ых) осуществляется управление ТС.

Каждая описанная функция, которая позволяет переход от автоматизированного управления к ручному управлению, идентифицируется; в этом случае представляют описание изменений в ее действии.

А.2.2.1 Представляют перечень всех вводимых и принимаемых переменных и определяют диапазон их работы.

А.2.2.2 Представляют перечень всех выходных переменных, контролируемых СПСПД, и в каждом случае указывают, осуществляется ли непосредственное управление ТС или управление через другую систему ТС. Определяют диапазон управления применительно к каждой из таких переменных.

А.2.2.3 Указывают пределы, определяющие границы функциональных возможностей, если это необходимо с учетом рабочих параметров СПСПД.

А.2.3 Компоновка и схематическое описание системы

А.2.3.1 Перечень компонентов

Представляют перечень, в котором перечисляют все блоки СПСПД с указанием других систем ТС, необходимых для обеспечения данной функции управления, а также краткое схематическое описание этих блоков с указанием их сочетания и с четким освещением аспектов установки и взаимного подсоединения оборудования.

А.2.3.2 Функции блоков

Должны быть кратко охарактеризованы функции каждого блока СПСПД и указаны сигналы, обеспечивающие его соединение с другими блоками или с другими системами ТС. Это может быть сделано при помощи блок-схемы с соответствующей маркировкой или иного схематического описания, либо при помощи текста, сопровождающего такую схему.

А.2.3.3 Соединения

Соединения в рамках СПСПД обозначают при помощи принципиальной схемы электрических линий передачи, схемы пневматического или гидравлического передающего оборудования и упрощенной диаграммной схемы механических соединений. Обозначают также линии передачи к другим системам и от них.

А.2.3.4 Сигнальная ориентация и очередность сигналов

Обеспечивают четкое соответствие между этими линиями передачи и сигналами, передаваемыми между блоками.

В каждом случае, когда очередность может повлиять на эксплуатационные качества или безопасность применительно к настоящему стандарту, указывают очередность сигналов на мультиплексных информационных каналах.

А.2.3.5 Идентификация блоков

Каждый блок четко и недвусмысленно идентифицируют (например, посредством маркировки аппаратных и программных средств по их содержанию) для обеспечения надлежащего соответствия между программными средствами и документацией.

Если различные функции сочетаются в рамках единого блока или единого компьютера, но указаны на многочисленных элементах блок-схемы с целью обеспечения ясности и легкости их понимания, то используют единую идентификационную маркировку аппаратных средств.

При помощи этой идентификации изготовитель подтверждает, что поставляемое оборудование соответствует требованиям настоящего стандарта.

Идентификация позволяет определить используемый тип аппаратного и программного обеспечения, и в случае изменения их типа с изменением функций блока, предусмотренных настоящим стандартом, данную идентификацию также изменяют.

А.2.4 Концепция безопасности изготовителя

А.2.4.1 Изготовитель представляет декларацию, в которой утверждается, что стратегия, выбранная для обеспечения целевых функций СПСПД в исправном состоянии, не препятствует надежному функционированию систем, на которые распространяются требования настоящего стандарта.

А.2.4.2 В отношении программного обеспечения, используемого в СПСПД, в декларации разъясняются элементы его конфигурации и указываются использовавшиеся методы и средства проектирования. Изготовитель должен быть готов к тому, чтобы при поступлении соответствующего требования представить доказательства в отношении использования средств, при помощи которых была реализована логическая схема СПСПД в процессе проектирования и практической разработки.

А.2.4.3 Изготовитель приводит сведения о проектных условиях, которым соответствует СПСПД, для обеспечения ее надежного функционирования в случае неисправности. Возможными проектными условиями на случай неисправности СПСПД могут служить, например, следующие:

- переход к функционированию с частичным использованием СПСПД;

- переключение на отдельную дублирующую систему;

- отмена функции высокого уровня.

В случае неисправности водителя информируют о ней, например, при помощи предупреждающего сигнала либо соответствующего сообщения. Если СПСПД не отключается водителем, например, при помощи перевода переключателя зажигания (запуска) в положение "выключено" либо при помощи отключения этой конкретной функции при условии, что для этого предусмотрен специальный переключатель, то предупреждение сохраняется до тех пор, пока существует неисправность.

А.2.4.3.1 Если в соответствии с обозначенным требованием выбирают какой-либо конкретный режим функционирования при определенных условиях неисправности, то эти условия указывают и определяют соответствующие пределы эффективности.

А.2.4.3.2 Если в соответствии с обозначенным требованием выбирают вторую возможность (дублирующая система, позволяющая обеспечить управление ТС), то должны быть разъяснены принципы работы оборудования переключения, логика и уровень резервирования, а также любые резервные проверочные аспекты и определены соответствующие пределы резервной эффективности.

А.2.4.3.3 Если в соответствии с обозначенным требованием осуществляется отмена функции более высокого уровня, то все соответствующие выходные сигналы управления, связанные с этой функцией, подавляются с ограничением переходных помех.

А.2.4.4 Эта документация дополняется анализом, показывающим возможности реагирования СПСПД на любую из указанных неисправностей, влияющих на управление ТС или его безопасность.

Анализ может включать анализ режима и последствий неисправностей, анализ дерева неисправностей либо любых аналогичных процессов, имеющих отношение к безопасности СПСПД.

Изготовитель отбирает и обеспечивает применение выбранного(ых) аналитического(их) подхода(ов), который(е) во время подтверждения соответствия доводится(ятся) до сведения испытательной лаборатории и органа по сертификации.

Для каждого типа отказа СПСПД приводят перечень контролируемых параметров и указывают предупредительный сигнал, подаваемый водителю и/или сотрудникам службы, проводящей технический осмотр.

А.2.4.5 Эта документация должна включать описание мер, принимаемых для обеспечения того, чтобы СПСПД не препятствовала надежной работе ТС, когда на ее функционирование влияют такие факторы окружающей среды, как погодные явления, температурные условия, попадание пыли, проникновение воды или лед на поверхности дороги.

А.3 Проверка и испытания

А.3.1 Испытательная лаборатория анализирует комплект документации с целью убедиться в том, что СПСПД:

- сконструирована так, чтобы функционировать в условиях отсутствия неисправности и в случае неисправности таким образом, чтобы это не приводило к возникновению критических рисков в области безопасности;

- соответствует в условиях отсутствия неисправности и в случае неисправности всем требованиям настоящего стандарта.

А.3.2 Испытательная лаборатория проводит оценку применения аналитического(их) подхода(ов), описанных в А.2.4.4. Эта оценка включает:

- проверку подхода к обеспечению безопасности на уровне ТС с подтверждением того, что он предусматривает учет взаимодействия с другими системами ТС. Этот подход опирается на анализ опасностей/рисков, связанных с функционированием СПСПД;

- проверку подхода к обеспечению безопасности на системном уровне. Этот подход основан на анализе режима и последствий неисправностей, анализе дерева неисправностей либо любых аналогичных процессов, имеющих отношение к безопасности СПСПД;

- проверку планов и результатов валидации, проведенной изготовителем. В процессе валидации может использоваться, например, аппаратно-программное моделирование, эксплуатационные испытания ТС в дорожных условиях или любые аналогичные испытания, приемлемые для целей валидации.

Освидетельствование должно включать контроль отдельных рисков и неисправностей, выбранных испытательной лабораторией для подтверждения ясности и логичности предоставленного изготовителем разъяснения концепции безопасности, а также проверки приемлемости и выполнения планов валидации.

А.3.3 Функциональные возможности СПСПД, указанные в документах, предусмотренных в А.2, проверяются следующим образом:

А.3.3.1 Проверка функции СПСПД

Испытательная лаборатория проводит испытания СПСПД в условиях отсутствия неисправностей путем проверки отдельных функций из числа заявленных изготовителем согласно А.2.2.

Эти испытания должны включать сценарии, в рамках которых при выполнении проверяемой функции осуществляется переход от автоматизированного управления к ручному управлению.

А.3.3.2 Проверка концепции безопасности (см. А.2.4)

Проводится проверка поведения СПСПД в условиях неисправности любого отдельного блока посредством подачи соответствующих выходных сигналов на электрические блоки или механические элементы с целью имитации воздействия внутренних неисправностей в рамках этого блока.

Проверку проводят, как минимум, в отношении одного отдельного блока, однако поведение СПСПД в случае неисправности сразу нескольких блоков не проверяют.

Испытательная лаборатория должна убедиться в том, что проверка охватывает ситуации, которые могут оказать воздействие на управляемость ТС, и соответствующее информирование пользователей (аспекты ЧМИ).

Результаты проверки должны соответствовать документально подтвержденному резюме анализа неисправности таким образом, чтобы была обоснована адекватность концепции безопасности и методов ее применения.