R13H汽车制动法规对智驾功能的要求3

#中国新能源产业崛起#

1.什么是R13H

2.R13H对制动系统的要求

3.R13H对智驾功能的要求

3.​R13H对智驾功能的要求

​

对于远程控制驻车制动释放的装置，需要满足R79中A类ACSF的要求。

对于自动紧急制动AEB、自适应巡航ACC、前向横穿制动FCTB、后向横穿制动RCTB、低速紧急制动MEB、智能限速控制ISLC等关联制动系统的复杂车辆电子控制系统，需要按照R13H附件8中的要求进行安全方面的审核。若某个复杂车辆电子控制系统有相对应的法规，如R152-AEB，则该系统需要按照对应法规要求进行型式认证。

​

附件8的要求如下：

3.1 总则 本附件规定了本法规涉及的复杂车辆电子控制系统在安全方面的文件、故障策略及确认的特殊要求。 电子系统控制的、与安全相关的功能也可通过本法规的特殊条款以采用本附件。 本附件未规定“系统”的性能标准，而是规定设计过程应遵循的方法和认证时须向技术部门公开的信息。 该信息应证明系统在正常和错误状态下均能满足本法规其它条款规定的所有适用的性能要求。

​

3.2 定义适用于本附件。 “安全概念”是指为确保在电路失效时仍能安全工作而在系统（如电控单元）设计时针对系统完整性所采取的措施。维持部分工作或为重要车辆功能提供备用系统都属于安全概念的范畴。 “电子控制系统”是指通过电子数据处理，协作实现预定车辆控制功能的单元组合。该系统通常由软件控制，由传感器、电子控制单元(ECU)和执行器等独立的功能部件构成并通过传输装置连接。传输装置可包括机械、电子-气动、电子-液压等方式。此处所指的系统是指欲进行型式认证的电子控制系统。 “复杂车辆电子控制系统〞是遵循上层电子控制系统/功能可控制下层电子控制系统/功能进行超驰控制的控制体系的电子控制系统。受控制的功能是复杂系统的一部分。 “上层控制”系统/功能是指利用附加处理和/或感应装置命令车辆控制系统改变正常功能以调整车辆状态的系统/功能。这允许复杂系统根据感应情况决定优先顺序并自动改变其控制目标。 “单元“是指本附件中系统部件的最小部分。这些部件的组合在识别、分析或更换时可作为的一个单独的实体。 “传输装置”是指为在分散的单元之间传送信号、工作数据或能量供应所采用的相互连接方式。该装置通常为电动，但某些部分也可以是机械式、气动或液压或光学的。 “控制范围“是指输出变量，它规定了系统能够实施控制的范围。

“有效工作范围”是指系统能够保持控制的外部物理界线的范围。

​

​3.3 文件1. 要求 制造商应提供一系列文件，说明系统的基本设计、与其它车辆系统的连接方式或如何直接控制输出变量。

应说明制造商对系统功能和安全概念的规定。 文件应简明扼要，并证明设计开发利用了相关系统领域的专业技术。 针对定期检查，文件应说明如何对系统当前的工作状态进行检查。 文件分为2部分： a)认证的正式文件，包括第3部分所列、在提交型式认证申请书时须向技术部门提供的材料。这作为本附件第 4 条规定的确认程序的主要参考依据。 b）附加材料和第3.4.4条的分析数据，由制造商保管但在型式认证时应予公开、备查。2. 系统功能说明书 说明书应简要说明系统的所有控制功能和用以实现目标的方法，包括对控制实施机制的说明。 应提供所有输入和感应变量表并限定其工作范围。 应提供系统控制的所有输出变量表并说明其在每种情况下是由系统直接控制还是通过其它车辆系统控制。规定对每种变量实施控制的范围。 针对相应的系统性能，说明有效工作范围的界限。

​

3. 系统布置及示意图 零部件明细： 明细表应接序号列出所有的系统单元及实现相应控制功能所需的其它车辆系统。 应提供简要的示意图来说明组合中各单元，并标明装备的分布及相互连接关系。

​

单元的功能： 简要说明系统各单元的功能及其与其它单元或其它车辆系统连接的信号。可通过标示模块图或其它示意图提供，也可借助图表说明。 相互连接： 分别用电路图、光纤图、管路图和布置简图简要说明采用电动传输装置、气动或液压传输装置和机械连接装置的系统内的相互连接。 信号流和优先顺序： 传输装置和在单元之间传输的信号应有明确的对应关系。如优先顺序可能成为影响本法规所达性能或安全的问题，应确定多元数据通道内的信号优先顺序。 单元的识别： 每个单元都应能够清晰明确的识别（例如，对硬件的标志、对软件内容的标志或软件输出）并提供相应的的硬件和文件帮助。 如一个单元或计算机集成了多种功能，则只使用一个单独的硬件识别标志，但为清晰和便于解释，在模块图中可用多个模块表示。 制造商应利用识别标志确认所提供的装置与相应的文件一致。识别标志明确了硬件和软件的版本，如软件版本变化引起本法规所述单元的功能改变，该识别标志也应改变。

​

4. 制造商的安全概念 制造商应说明：在无故障条件下，实现系统目标所选择的策略不会损害本法规所述系统的安全运行。

至于系统使用的软件，则应解释其概要结构并注明所使用的设计方法和工具。制造南应准备在需要时说明设计开发过程中通过何种方法确定系统逻辑的实现途径。 制造商应向技术主管部门解释为确保系统在故障状态下安全运行而在设计时采取的预防措施。系统失效时可采取如下预防措施： a) 利用部分系统以维持工作； b)切换到独立的备用系统； c）关闭上层功能。 发生失效时，应通过报警信号或讯息显示等警告驾驶员。若系统不是由驾驶员通过关掉切断开关或通过专用开关切断特殊功能来使系统停止工作，只要失效仍然存在就应继续报警。

​

如在发生特定失效时选择维持部分性能的运行模式，应说明条件并界定其效果。 如选择第二种（备用系统）方式来实现车辆控制系统的目标，应对切换机制的原理、冗余度的逻辑及水平、备份系统检查特征等进行说明并界定后备系统的效果。 如选择关闭上层功能，应禁止与该功能有关的所有相应的输出控制信号，以此来限制过渡干扰。 通过分析从总体上说明当影响车辆控制性能或安全的特定失效发生时系统如何应对，以此来支持上述文件。 可采用失效模式及影响分析（FMEA)、失效树分析(FTA）或适合系统安全分析的其它类似方法。采用的分析方法由制造商确定和保管，并应在型式认证时对技术部门公开备查。 文件应详细说明监视参数并规定3.4.4条每种失效状态下向驾驶员和/或服务/技术检查人员发出的报警信号。

​

​3.4 确认和试验 应按第3.3条中文件所规定的要求进行下列试验对系统功能进行确认： 1.确认系统功能 作为确定正常工作水平的方法，除非需要根据本法规或其它法规的认证程序进行专门的性能试验，应对照制造商的基本基准确定车辆系统在非故障状态下的性能。（功能边界测试） 2.确认第3.3条的安全概念 为模拟单元内部故障的影响，应通过对电子单元或机械元件发出相应的输出信号，来检查系统在受单个单元失效影响时的反应。 确认结果应与失效分析的结论一致，总体效果应确保有充分的安全概念和和良好的执行效果。（失效模式测试）

​#中国新能源产业崛起#​