R171.01对DCAS的要求⑩

1.背景

2.范围和定义

3.申请批准

4.批准

5.一般要求

6.DCAS功能的附加要求

7.DCAS运行监控

8.系统验证

9.系统信息数据

10.软件识别要求

11.系统安全要求

12.物理测试要求

13.模拟仿真要求

3.5 安全管理体系（过程审核）

3.5.1 对于系统中使用的软件和硬件，制造商应向型式认证机构证明，在安全管理体系方面，有效的流程、方法和工具是最新的，且已经到位，并在组织内得到遵守，以管理整个产品生命周期（设计、开发、生产和运营）的安全性和持续合规性。

3.5.2 安全管理体系应包括以下关键组成部分：

（a）安全政策和目标，建立具有明确安全政策、安全角色和责任以及组织安全目标的安全实践；

（b）安全风险管理，旨在以积极主动的方式管理风险；

（c）监控、分析和衡量整体安全绩效的安全保障；

（d）安全宣传，确保充分的信息、教育，提高员工的安全意识。

3.5.3 制造商应建立设计和开发流程，包括设计安全、需求管理、需求实施、测试、故障跟踪、补救和发布。

3.5.4 制造商应在负责功能安全、操作安全、网络安全和与实现车辆安全相关的任何其他相关学科的制造商部门之间建立和维护有效的沟通渠道。

3.5.5 制造商应证明进行了定期独立的内部过程审核，以确保按照上文3.5.1-3.5.4段建立的过程得到一致实施。

3.5.6 制造商应与供应商建立适当的安排（例如合同安排、明确的接口、质量管理体系），以确保供应商安全管理体系符合上述3.5.1（与车辆相关的方面，如“操纵”除外）、3.5.2、3.5.3、3.5.5的要求。

3.5.7 留档应概述系统信息策略，旨在鼓励驾驶员在操作DCAS系统时查看系统操作信息（例如，当系统切换到“开启”模式时，在驱动周期开始时定期通知驾驶员查看相关材料）。

4. 验证和测试

4.1 第3章节中要求的文件中规定的系统功能操作应按以下方式进行测试：

4.1.1 系统功能验证：

型式认证机构应在非故障条件下通过测试制造商在上文第3.2段中声明的若干选定功能来验证系统。

这些选定功能的性能验证应按照制造商的测试程序进行，除非本UN法规规定了测试程序。

如果DCAS系统受制于本UN法规范围之外的系统的输入信号，则应使用相关UN法规的测试程序或通过产生相关输入信号的其他方式（例如模拟）进行测试。

对于复杂的电子系统，这些测试应包括覆盖声明的功能的全部场景。

4.1.1.1 验证结果应符合段落3.2中制造商提供的描述，包括控制策略。

4.1.2 验证第3.4段的安全概念

在任何单个单元的故障（模拟电气故障或非电气故障）影响下检查系统的反应。应通过向电气单元或机械元件施加相应的输出信号来检查系统的反应，以模拟单元内部故障的影响。认证机构应至少对一个单独的单元进行此检查，但不应检查“系统”对单个单元的多个同时故障的反应。

型式认可机构应验证这些测试包括可能对车辆可控性和用户信息/交互产生影响的方面（HMI方面）。

4.1.2.1 验证结果应与记录在案的故障分析文件相对应，达到总体效果水平，从而确认安全概念和执行是充分的。

4.1.3 可控性验证［新增］

从可控性的角度来看，在无故障（第4.1.1.1段）和故障（第3.1.2.1 段）条件下的验证应足够。

4.1.1.3.1 关于第5.3.6.2段。根据本联合国法规，确保可控性的策略可能包括但不限于：

（a）限制系统的转向输出；

（b）调整车辆在行驶车道上的位置；

（c）确定道路类型和属性；

（d）确定其他道路使用者的行为；

（e）使用驾驶员监控。

4.1.3.2 关于第5.3.6.2段。根据本联合国法规，在抑制脱手报警HOR的同时确保可控性的策略可能包括但不限于：

（a）不立即终止辅助并继续控制适当的轨迹，（例如当未检测到驾驶员正在控制转向且暂时未检测到车道标记时）；

（b）根据车辆制造商的安全概念，尽可能限制或避免车辆突然运动（例如，避免突然失去转向辅助）；

（c）调整车辆在行驶车道上的位置（例如，在转弯时进行偏移，保持中心位置或为其他交通进行偏移）；

（d）确定道路类型和属性（例如，仅限于宽车道或横向自由空间较宽的车道）；

（e）限制设计速度范围或横向加速度范围；

（f）增加除HOR和EOR之外的警告时间，以便驾驶员脱手后有足够的反应时间在进行直接转向控制。

4.2 可以使用仿真工具和数学模型来验证安全概念，特别是在测试场地或实际驾驶条件下搭建场景比较困难的情况。为此目的使用的方法应符合本UN法规附件5（第13章节）的要求。制造商应证明仿真工具的范围、其对相关场景的有效性以及对仿真工具链进行的验证（结果与物理测试的相关性）。

4.2.1 如果制造商进行仿真测试，型式认证机构应评估制造商提供的申报结果，特别是与安全指标和系统边界覆盖范围有关的结果。

4.3 型式认证机构应检查一些对系统HMI功能的表征至关重要的场景，并验证驾驶员脱离监测和警告系统的有效性能。

4.4 型式认证机构还应检查法规中定义的对驾驶员控制系统边界至关重要的一些场景（例如，当系统到达其系统边界时难以检测到的物体、与其他道路使用者碰撞的风险、系统故障情况）。

5. 型式认证机构的报告

型式认证机构的评估报告应以允许可追溯的方式执行，例如检查的文件版本应编码并列在评估记录中。

电子系统和/或复杂电子系统的模型评估表

试验报告编号：

1. 识别

1.1 制造商

1.2 车辆类型

1.3 车辆上的系统识别方式

1.4 标记位置

1.5 制造商名称和地址

1.6 制造商代表的姓名和地址（如适用）

1.7 制造商的正式文件包

文件参考号：

原始签发日期：

最新更新日期：

2. 测试车辆/系统说明

2.1 概述

2.2 系统所有控制功能的描述，包括控制策略（附件三第3.2段）

2.2.1 输入和感知变量及其工作范围列表，包括变量対系统行为的影响的描述（附件三第3.2.1.段）

2.2.2 输出变量及其控制范围列表（附件三第3.2.2段）

2.2.2.1 直接控制

2.2.2.2 通过另一个车辆系统控制

2.3 描述系统布局和示意图（附件三第3.3段）

2.3.1 部件清单（附件三第3.3.1段）

2.3.2 装置的功能（附件三第3.3.2段）

2.3.3 互连（附件三第3.3.3段）

2.3.4 信号流、运行数据和代先级（附件三第3.3.4段）

2.3.5 单元（硬件和软件）的标识（附件三第3.3.5段）

3. 制造商的安全理念

3.1 制造商声明（附件三第3.4.1段）

制造商XXXX确认在非故障条件下，系统不会影响车辆的安全运行。

3.2 软件（概述架构、软件设计方法和使用的工具）（附件三第3.4.2段）

3.3 故障条件下系统内置设计规定的说明（附件三第3.4.3段）

3.4 对单个故障条件下系统行为的记录分析

3.4.1 监测参数

3.4.2 产生的警告信号

3.5 针对环境条件采取的措施说明（附件三第3.4.4.2段）

3.6 系统定期技术检查的规定（附件三第3.1段）

3.7 检查系统运行状态的方法说明

4. 验证和测试

4.1 系统功能的验证（附件三第4.1.1段）

4.1.1 所选功能列表和所用测试程序说明

4.1.2 根据本附录第4.1.1.1段验证的测试结果：是/否。

4.2 系统安全概念的验证（附件三第4.1.2段）

4.2.1 测试的单元及其功能

4.2.2 模拟故障

4.2.3 根据附件三第4.1.2段验证的测试结果：是/否。

4.3 测试日期

4.4 本实验已按照联合国第172号法规（本联合国法规的编号）进行，并报告了结果。

进行试验的型式认证机：

签名：日期：

4.5 评论