UN/ECE R152是联合国欧洲经济委员会针对M1类乘用车和N1类轻型商用车制定的先进紧急制动系统(AEBS)功能安全合规审核标准,旨在通过统一技术规范和认证流程,确保车辆主动安全性能符合欧盟及全球主要市场的准入要求。
R152法规于2021年正式生效,是欧盟新通用安全法规(GSR II)的重要组成部分。其适用范围覆盖M1类(座位数≤9座的乘用车)和N1类(最大设计总质量≤3.5吨的轻型商用车),要求车辆在城市驾驶条件下配备AEBS系统,实现自动检测潜在碰撞风险、触发警告并实施紧急制动。自2022年7月起,欧盟强制要求新车型配备车对车AEBS功能,2024年7月起进一步扩展至行人和自行车场景。其他市场如日本、韩国、澳大利亚等也逐步采用R152作为准入依据。
那么R152功能安全合规审核,本质上是通过ISO 26262的流程框架确保AEBS系统的功能安全开发符合方法论要求,同时通过R152的技术指标验证系统在实际场景中的安全性。
以下从流程符合性审查和技术符合性审查两个维度,结合ISO 26262标准与R152技术要求展开详细说明:
一、流程符合性审核:基于ISO 26262的安全管理与支持过程
1. 审核核心:ISO 26262 Part2(安全管理)与Part8(支持过程)
- 安全管理体系审查:
- 组织层面:是否建立功能安全团队(如安全经理、安全工程师),职责是否独立于开发团队;
- 流程文件:是否制定《功能安全开发流程手册》,明确V模型各阶段的输入/输出(如概念阶段需输出《安全概念书》);
- 项目管理:是否针对AEBS项目制定安全计划,包括ASIL等级分配(如控制器需满足ASIL D)、故障处理机制(如DIADEM流程)。
- 支持过程审查:
- 配置管理:硬件/软件版本是否通过配置管理工具(如Git、SVN)追溯,确保RxSWIN编码与认证版本绑定;
- 工具链认证:仿真工具(如MATLAB/Simulink)、测试工具(如CANoe)是否通过ISO 26262工具认证(如TCL3级);
- 培训记录:开发人员是否接受ISO 26262培训(如ASIL D级开发需40小时以上培训)。
2. 审核形式:现场与离线结合
- 现场审核:
- 抽查功能安全会议记录(如每周安全状态评审);
- 实地查看配置管理服务器、测试设备校准证书(如制动减速度测试仪需每年校准)。
- 离线审核:
- 提交《安全管理手册》《项目安全计划》等文档,审核流程是否覆盖ISO 26262的强制性要求(如危害分析需使用HARA方法);
- 审查FMEA报告的完整性,是否按ISO 26262要求分析每类故障的ASIL等级(如传感器失效需对应ASIL B)。
3. 典型不符合项示例
- 安全计划中未明确AEBS系统的安全生命周期阶段(如缺少“退役阶段”的处理方案);
- 硬件设计文档未记录单点故障度量(SPFM)和潜伏故障度量(LFM)的计算过程,不满足ISO 26262 Part5要求。
二、技术符合性审核:基于ISO 26262的R152技术指标落地
1. 审核逻辑:从安全需求到系统实现的全链条追溯
- 概念阶段:
- 危害分析(HARA)是否识别R152关注的场景风险(如“未及时制动导致行人碰撞”需定为ASIL C/D);
- 安全目标(Safety Goal)是否与R152性能指标对齐(如“在60 km/h车速下将碰撞速度降至≤20 km/h”转化为安全需求)。
- 系统阶段:
- 系统架构设计是否满足安全需求(如传感器冗余设计,确保单个雷达失效时仍满足R152的制动要求);
- 接口规范(如摄像头与控制器的通信协议)是否定义故障处理机制(如通信超时需触发报警)。
- 硬件/软件阶段:
- 硬件电路设计是否通过DFMEA分析,确保电源失效时AEBS仍能维持至少5.0 m/s²制动(如双电源供电设计);
- 软件算法是否实现R152的预警逻辑(如碰撞前0.8秒触发声光报警),并通过单元测试+集成测试验证(需提供覆盖率报告,MC/DC≥90%)。
2. R152附录3技术条款的落地验证
- 制动性能验证:
- 基于ISO 26262的系统测试方法,在整车级测试中验证不同负载下的制动减速度(空载/满载均需≥5.0 m/s²);
- 测试数据需记录制动压力、减速度曲线,与R152附录3的阈值对比(如60 km/h车速下制动距离≤38米)。
- 故障处理验证:
- 模拟传感器失效(如断开摄像头电源),审核软件是否按ISO 26262要求执行降级策略(如仅依赖雷达维持功能),并在15秒内触发报警;
- 检查硬件失效诊断覆盖率是否满足R152的“90%关键故障检测率”要求(需通过FTA故障树分析证明)。
3. 整车级测试的特殊要求
- 测试场景覆盖:
- 除R152规定的车对车、行人、自行车场景外,需按ISO 26262补充极端场景测试(如暴雨天气下的传感器性能);
- 每类场景需进行至少30次重复测试,统计成功率(如行人场景成功率需≥95%)。
- 数据追溯性:
- 整车测试需记录环境参数(光照、温度)、目标运动轨迹(如行人横穿速度5 km/h),确保可复现;
- 测试日志需包含时间戳、ECU状态码,便于按ISO 26262要求追溯故障根因(如某帧雷达数据异常导致误触发)。
三、审核报告编制与证据组织
1. 报告结构与合规证据
- 流程符合性部分:
- 证据清单:安全计划审批记录、FMEA分析会议纪要、员工培训证书;
- 不符合项跟踪表:对现场审核发现的问题(如配置管理流程缺失)制定整改计划,附责任人与完成时间。
- 技术符合性部分:
- 追溯矩阵:安全需求→系统设计→硬件/软件实现的双向追溯表(如R152的“制动减速度”需求对应硬件电路的驱动能力计算);
- 测试报告集:系统集成测试报告(含功能测试用例覆盖率)、整车测试原始数据(如CSV格式的车速-时间曲线)。
2. 与ISO 26262产品认证的一致性
- 认证逻辑一致:均采用“流程合规性+技术合规性”双维度审核,通过V模型确保开发过程可追溯;
- 证书关联:若已获得ISO 26262产品认证(如AEBS控制器通过ASIL D认证),可在R152审核中豁免部分流程审查(如硬件设计流程),但需额外验证R152特有的场景性能(如行人识别准确率)。
四、实操建议
1. 建立追溯性管理工具:使用Excel或专业工具(如PTC Integrity)构建安全需求追溯矩阵,确保R152技术条款与ISO 26262流程节点一一对应。
2. 预审核模拟:邀请第三方机构开展ISO 26262流程预审核,提前识别流程漏洞(如安全分析未覆盖所有R152故障场景)。
3. 整车测试优化:在R152要求的30%物理测试基础上,增加ISO 26262推荐的边界值测试(如车速59.9 km/h和60.1 km/h时的系统响应差异)。
五、总结
R152功能安全审核通过ISO 26262的流程框架保障开发过程的规范性,同时通过R152的技术指标验证系统在实际场景中的安全性,形成“方法论+场景化”的双重合规体系。企业需在开发阶段同步推进两者的要求(如HARA分析时纳入R152场景风险),并在测试阶段通过系统级与整车级验证确保技术落地,最终通过审核报告的证据链证明合规性。
【摘自功能安全公众号】
全部评论 (0)