GB/T 41901.2-2022
基本信息
标准号: GB/T 41901.2-2022
中文名称:道路车辆 网联车辆方法论 第2部分:设计导则
标准类别:国家标准(GB)
英文名称:Road vehicles—Extended vehicle(ExVe) methodology—Part 2:Methodology for designing the extended vehicle
标准状态:现行
发布日期:2022-10-12
实施日期:2023-05-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:9693634
标准分类号
标准ICS号:道路车辆工程>>43.020道路车辆综合
中标分类号:车辆>>汽车>>T40汽车综合
关联标准
采标情况:ISO 20077-2:2018
出版信息
出版社:中国标准出版社
页数:28页
标准价格:49.0
相关单位信息
起草人:张行、张亚楠、段嗣盛、褚景尧、金银敬、杨淼、张路、陆睿、王冬昕、李栋、刘帆、李中豪、贺洪江、王川宿、徐潇
起草单位:中国汽车技术研究中心有限公司、泛亚汽车技术中心有限公司、北京汽车股份有限公司、北京现代汽车有限公司、华为技术有限公司、标致雪铁龙(上海)管理有限公司、中国第一汽车集团有限公司、米其林(中国)投资有限公司、戴姆勒大中华区投资有限公司等
归口单位:全国汽车标准化技术委员会(SAC/TC 114)
提出单位:中华人民共和国工业和信息化部
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件规定了网联车辆设计导则的规则与基本原则。
本文件适用于M类、N类汽车。
标准图片预览
标准内容
ICS43.020
CCST40
中华人民共和国国家标准
GB/T 41901.2-—2022
道路车辆
网联车辆方法论
第2部分:设计导则
Road vehicles-Extended vehicle(ExVe) methodology-Part 2: Methodology for designing the extended vehicle(IS020077-2:2018,M0D)
2022-10-12发布
国家市场监督管理总局
国家标准化管理委员会
2023-05-01实施
1范围
规范性引用文件
3术语和定义
缩略语
用于识别规则和基本原则以及规定其相关内容的样例概述
设计导则在网联车辆设计过程中的作用6.1
网联车辆设计导则主要内容
考虑新的网联车辆功能
安全性相关规则
防护性相关规则
基本原则
般基本原则
生命周期相关的基本原则
远程访问相关的基本原则
现有设计相关的基本原则
功能之间的相互作用和优先权管理相关的基本原则8.6
资源不退化和可用性相关的基本原则8.7
网联车辆功能验证相关的基本原则禁止监控相关的基本原则
附录A(资料性)本文件与ISO20077-2:2018的结构编号对照情况附录B(资料性)
附录C(资料性)
附录D(资料性)
参考文献
网联车辆设计导则-
技术需求模板
技术响应模板·
图1网联车辆设计导则的示意图
图2本文件的结构
图3网联车辆的生命周期各阶段图示技术模板·
GB/T41901.2—2022
GB/T41901.2—2022
由BP004阐述的潜在风险示例
图5与BP005相关的潜在风险示例图6在网联车辆内集成新功能的示例·图7与BP006相关的风险的示例
图8由BP008解决的潜在安全相关风险的示例图9针对不同用例的两种不同网联车辆接口示例…·图B.1#
技术需求模板需要包含的需求细节示例表A.1本文件与ISO20077-2:2018的结构编号对照情况技术需求模板的文件编制说明和示例表B.1
表B.2技术响应模板的文件编制说明与示例表C.1
技术需求模板
技术响应模板
GB/T41901.2—2022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是GB/T41901《道路车辆
网联车辆方法论》的第2部分。GB/T41901已发布以下部分:第1部分:通用信息;
第2部分:设计导则。
本文件修改采用ISO20077-2:2018《道路车辆网联车辆方法论第2部分:设计导则》。本文件与ISO20077-2:2018相比在结构上有调整,附录A列出了本文件与ISO20077-2:2018的结构编号对照情况。
本文件与ISO20077-2:2018的技术性差异及其原因如下:更改了ISO20077-2:2018第1章“范围”的表述,以适应我国国情;-删除了ISO20077-2:2018第1章“范围”中车辆阶段的表述,以适应我国国情;更改了ISO20077-2:2018第3章的引导语,以适应我国国情;-删除了ISO20077-2:2018第4章中部分缩略语,以适应我国国情;将ISO20077-22018中第9章的内容更改为本文件资料性附录B,该内容在我国尚不具备使用基础,更改为资料性附录可以引导行业使用;一将ISO20077-2:2018的附录A由“规范性”更改为本文件附录C资料性”,该内容在我国尚不具备使用基础,更改为资料性附录可以引导行业使用;一将ISO20077-2:2018的附录B由“规范性”更改为本文件附录D\资料性”,该内容在我国尚不具备使用基础,更改为资料性附录可以引导行业使用。本文件还做了下列编辑性改动:将ISO20077-2:2018第5章、第6章、第7章、第8章中规则和基本原则的表述形式按我国的行业习惯进行了修改;
删除了ISO20077-2:2018第5章、第6章、第7章、第8章中规则和基本原则的版本号;删除了ISO20077-2:2018表2中注2;更改了ISO20077-2:2018的参考文献。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中华人民共和国工业和信息化部提出。本文件由全国汽车标准化技术委员会(SAC/TC114)归口。本文件起草单位:中国汽车技术研究中心有限公司、泛亚汽车技术中心有限公司、北京汽车股份有限公司、北京现代汽车有限公司、华为技术有限公司、标致雪铁龙(上海)管理有限公司、中国第一汽车集团有限公司、米其林(中国)投资有限公司、戴姆勒大中华区投资有限公司、东风汽车有限公司东风日产乘用车公司、广州汽车集团股份有限公司、奇瑞汽车股份有限公司、联合汽车电子有限公司。本文件主要起草人:张行、张亚楠、段嗣盛、褚景尧、金银敬、杨淼、张路、陆睿、王冬昕、李栋、刘帆、李中豪、贺洪江、王川宿、徐潇。Ⅲ
GB/T41901.2-—2022
随着技术进步,产生了与车辆通信的新方式,不仅可以通过物理方式访问数字信息,也可以通过无线方式访问数字信息。这些进步产生了“网联车辆”概念,并且在设计新功能时,需要减轻由于网联车辆与外部世界产生新通信而带来的风险。本文件旨在规范网联车辆的概念和指导网联车辆的开发,GB/T41901由2个部分构成。
一第1部分:通用信息。目的在于规范网联车辆的基本定义和概念一一第2部分:设计导则。目的在于指导车辆制造厂开展网联车辆的设计过程。Iy
1范围
道路车辆
网联车辆方法论
第2部分:设计导则
本文件规定了网联车辆设计导则的规则与基本原则。本文件适用于M类、N类汽车。
2规范性引用文件
GB/T41901.2—2022
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T41901.1
道路车辆
ISO20077-1:2017,MOD)
3术语和定义
网联车辆方法论第1部分:通用信息(GB/T41901.1一2022,GB/T41901.1界定的以及下列术语和定义适用于本文件。3.1
基本原则basicprinciple
在设计网联车辆时所考虑的设计原则。3.2
生命周期
月lifecycle
车辆在其整个生命中所能遇到的各种情况,包括设计、制造、客户使用、维护和回收等。3.3
localdiagnosticfacilitator
本地诊断协助者
与远程技术人员保持通信,能够按照远程技术人员的要求进行操作并回答远程技术人员的问题,从而帮助诊断的人员。
注:本地诊断协助者具备理解和描述车载仪器和信号装置显示内容的能力。3.4
操作者
operator
在车辆内操作、控制或服务网联车辆的人。示例:本地诊断协助者。
需求方
requester
向网联车辆制造厂提出新功能需求的企业或法人实体。注1:在提交需求时,将作为售后服务提供商的车辆制造厂视为需求方。注2:若车辆制造厂与网联车辆制造厂相同时,可以使用其内部需求流程。1
GB/T41901.2—2022
规则rule
设计网联车辆时所满足的基本设计要求。4缩略语
下列缩略语适用于本文件。
BP:基本原则(BasicPrinciple)ECU:电子控制单元(ElectronicControlUnit)ExVe:网联车辆(ExtendedVehicle)LDF:本地诊断协作者(LocalDiagnosticFacilitator)NUM:规则或BP编号(Number)
R:规则(Rule)
5用于识别规则和基本原则以及规定其相关内容的样例5.1在本文件中,将规则和基本原则用以下方式表示:XXNUM:规则或基本原则的内容。5.2××NUM表示引用规则(R)或基本原则(BP),其中:—XX是用于识别规则(R)或基本原则(BP)的字母;-NUM是一个整数,介于001和999(含)之间,用于识别规则或基本原则编号。示例:R025与R026是两个不同的规则。注:规则和基本原则后面可以跟着说明性正文。6概述
6.1设计导则在网联车辆设计过程中的作用本文件旨在通过规定通用的规则和基本原则体系,为网联车辆及其接口的设计(物理、文档、支持等)提供指南。网联车辆制造厂应根据规则和基本原则制定出相应的方法或流程,用于根据特定的用例或场景去设计网联车辆。
每个网联车辆制造厂通常都通过协作方法和流程来规范该设计过程中的工作方式,如图1所示。6.2
网联车辆设计导则主要内容
网联车辆设计导则包含以下内容(见图2):在提出新需求功能时,用于完整描述最少信息的技术需求模板(见附录B和附录C);一用于指导新的网联车辆功能设计的规则和基本原则的体系(见第7章和第8章);一一在响应新需求功能时,用于完整描述最少信息的技术响应模板(见附录B和附录D)。2
需求文件,包括使用案例与场景(模板)
网联车辆
设计导则
基本原则与规则
设计网联车辆的车辆制造厂内部方法可行性
网联车辆
接口选择+应用限制
(模板)
关于使用的文件
(模板)
图1网联车辆设计导则的示意图
技术需求模板
设计导则
(基本设计规则)
技术响应模板
图2本文件的结构
6.3考虑新的网联车辆功能
安全性
GB/T41901.2—2022
防护性(幕改、访问数据)
生命周期
结构规范
采购约束
质量限制
目标成本
商业合约
网联车辆制造厂通过实施本文件的规则和基本原则来应用网联车辆的设计导则。设计导则适用于网联车辆的设计或设计变更,包括车辆与第三方(例如,车辆操作者、车主、服务提供商或其他网联车辆相关方)之间的直接或间接通信。网联车辆新的功能需求可能来自法规、标准和个体需求,对新的网联车辆功能的需求应由需求方通过技术需求模板对所有必需元素(例如,与性能相关的元素)进行精确描述设计导则也适用于设计来自法规要求的用于车辆进行远程通信的新接口。本文件既适用于需求方对网联车辆新功能的任何需求,也适用于需要扩展或远程使用现有功能的情况。对于多阶段生产的车辆,本文件适用于所有相关制造厂。不考虑现有设计而仅添加新设备来启3
GB/T41901.2—2022
用新功能可能不会达到预期的结果。一方面,新功能可能会不可控地干扰初始或现有的功能;另一方面,车辆原系统通常不具备新功能所需的所有组件。设计导则的基本原则旨在强调对这些风险的处理。本文件规定的这些规则与基本原则旨在以适当的方式处理由于新的网联车辆功能(无论这个功能是否已经存在而导致的网联车辆的内部风险,可采取包括但不限于以下措施管理这些风险:一修改现有网联车辆的电子系统(资源等)用于实现新功能;一不配置新功能;
一配置新功能,但只限于特定条件下;修改其他现有功能。
还可采用非技术性的措施(例如,合同措施)来管理风险,例如,与现有功能或服务的退化或破坏的相关风险。
7规则
7.1概述
网联车辆设计导则基于远程访问,应在车辆的全生命周期内保持车辆的基本安全性和防护性。因此,本文件包含两条规则(R001和R002),网联车辆制造厂应在其设计方法和流程中采用这两条规则。7.2安全性相关规则
R001:在设计网联车辆的新功能时,网联车辆制造厂应考虑可能存在的安全性风险。对于影响安全性的功能,应根据最佳安全性实践进行处理。网联车辆制造厂在设计网联车辆时,应在全生命周期内考虑车辆、驾乘人员、操作者和其他用户的安全。
注:可以在一些现有标准[例如,GB/T34590(所有部分)]中找到部分最佳安全实践。在设计网联车辆新的功能时,网联车辆制造厂应在其设计方法和流程中应用规则R001。在应用规则R001时,可以基于以下安全标准对网联车辆功能进行分类:一一对车辆行驶行为无影响的网联车辆功能,如娱乐信息或并不会对驾驶员产生干扰风险的功能;一对车辆安全有影响的网联车辆功能,这些功能可能会与车辆行为(例如,发动机、制动、转向、悬架)发生交互或可能会分散驾驶员的注意力。这种分类由网联车辆功能的内在风险、特定情况下的风险或特定功能操作的风险(相同的动作可能导致不同的风险)来确定。
运行中的车辆安全风险示例:
示例1:车辆制动能力受影响。
示例2:不适当的功能,例如,在道路上行驶时将车辆突然静止。示例3:超出设定参数的不适当功能。静止车辆安全风险示例:
示例4:在前排座椅有人时,安全气囊误触发。示例5:在高压电池断开时,高压部件误启动。示例6:在维修作业期间,部件误启动。7.3防护性相关规则
R002:在设计网联车辆的新功能时,网联车辆制造厂应考虑可能存在的防护性风险。对于影响防护性的功能,应根据最佳防护性实践进行处理。网联车辆制造厂负责确保车辆在全生命周期内的防护性。4
GB/T41901.2—2022
在设计网联车辆的新功能时,网联车辆制造厂应在其设计方法和流程中应用规则R002。注1:信息安全被视为通用防护性领域的一部分。注2:信息传输不受控会产生防护性风险,例如,盗窃车辆或盗窃运输货物。注3:在必要时,可以对网联车辆设置保密措施(验证访间者、验证数据的完整性和保密性),以确保网联车辆不会遭受算改和未经授权的访间。
注4:某些数据可能需要加密处理。注5:每个数据都有固有的保密等级。考虑到可能的用途,数据关联可能导致保密级别远高于每个数据的保密级别。
注6:防护性问题会导致安全性问题。防护性风险示例:
示例1:对备用密钥未进行授权编码。示例2:未授权的远程ECU重新编程。示例3:克隆车辆连接接口。
示例4:不匹配的访问。
8基本原则
8.1概述
网联车辆制造厂在自己的设计方法和流程中采用基本原则时,应始终满足本文件规定的规则。8.2一般基本原则
BP001:网联车辆制造厂负责网联车辆的设计。BP002:网联车辆制造厂负责网联车辆的所有接口的设计,以便实现与网联车辆的通信。BP003:网联车辆制造厂负责网联车辆功能的实现。网联车辆制造厂负责网联车辆及其功能的设计。因此,网联车辆制造厂既要负责网联车辆每个功能的实现,又要负责整个功能集的一致性。在根据本文件规定的方法实现网联车辆新功能时,可能会存在以下客观限制:功能可用性的客观限制;
—功能性能的客观限制;
一由于车辆、型号等差异造成的客观限制;-特殊市场条件导致的客观限制。8.3生命周期相关的基本原则
BP004:网联车辆制造厂负责评估新的网联车辆功能在全生命周期内对车辆的影响。需求方在访问数据时对所需求网联车辆功能的可用性和预期性能在全生命周期内不应受限制。网联车辆制造厂应分析集成此功能在车辆的全生命周期(见图3)中的影响,从而确定在需求方未提及的情况下(例如,在制造、维护或回收阶段)可能产生的不相容性。该分析的结果可能会导致所需求的新功能性能和可用性地降低。5
GB/T41901.2—2022
EX-123-VHbZxz.net
注1:本图左边部分表示设计与生产阶段。注2:本图的右边部分表示售后阶段。生命周期
图3网联车辆的生命周期各阶段图示BP004对R001“安全性相关规则”的作用示例(见图4):此示例展示需要由网联车辆制造厂评估的、可能出错的远程激活,维护
应避免在“售前”错误地远程激活(例如,在工厂或展览厅)车辆,因为在车辆和功能激活的情况下,车辆内外的人和货物可能面临较大的安全风险,为避免这种情况,网联车辆应只能由授权人员在合适场景下激活;
在图4中,技术人员输人了错误的车辆VIN码来访问在用车辆,这个错误的车辆VIN码可能是在产车辆的正确车辆VIN码,该错误可能会在车辆生产阶段导致重大问题。售前
错误的VIN
远程访间
在车间内
图4由BP004阐述的潜在风险示例8.4远程访问相关的基本原则
BP005:网联车辆制造厂负责管理因某一现有功能可以远程使用而导致的额外风险。远程访问可能会在无法确定车辆的当前状态与环境的情况下运行。在某些情况下,这可能会损坏本车辆、其他车辆或伤害到乘客及周围的人员。因此,在设计之前,应对与网联车辆功能相关的其他风险进行基本分析。
BP005对R001\安全性相关规则”的作用示例(见图5):在图5的示例中,在售后车间实施车辆诊断(场景1)时,专业人员可以在事先完成车辆的外观检查之后,再控制发动机喷油器;当车辆停在路边(场景2)时,也可以通过网联车辆的远程访问来进行同一功能;但在这一场景6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCST40
中华人民共和国国家标准
GB/T 41901.2-—2022
道路车辆
网联车辆方法论
第2部分:设计导则
Road vehicles-Extended vehicle(ExVe) methodology-Part 2: Methodology for designing the extended vehicle(IS020077-2:2018,M0D)
2022-10-12发布
国家市场监督管理总局
国家标准化管理委员会
2023-05-01实施
1范围
规范性引用文件
3术语和定义
缩略语
用于识别规则和基本原则以及规定其相关内容的样例概述
设计导则在网联车辆设计过程中的作用6.1
网联车辆设计导则主要内容
考虑新的网联车辆功能
安全性相关规则
防护性相关规则
基本原则
般基本原则
生命周期相关的基本原则
远程访问相关的基本原则
现有设计相关的基本原则
功能之间的相互作用和优先权管理相关的基本原则8.6
资源不退化和可用性相关的基本原则8.7
网联车辆功能验证相关的基本原则禁止监控相关的基本原则
附录A(资料性)本文件与ISO20077-2:2018的结构编号对照情况附录B(资料性)
附录C(资料性)
附录D(资料性)
参考文献
网联车辆设计导则-
技术需求模板
技术响应模板·
图1网联车辆设计导则的示意图
图2本文件的结构
图3网联车辆的生命周期各阶段图示技术模板·
GB/T41901.2—2022
GB/T41901.2—2022
由BP004阐述的潜在风险示例
图5与BP005相关的潜在风险示例图6在网联车辆内集成新功能的示例·图7与BP006相关的风险的示例
图8由BP008解决的潜在安全相关风险的示例图9针对不同用例的两种不同网联车辆接口示例…·图B.1#
技术需求模板需要包含的需求细节示例表A.1本文件与ISO20077-2:2018的结构编号对照情况技术需求模板的文件编制说明和示例表B.1
表B.2技术响应模板的文件编制说明与示例表C.1
技术需求模板
技术响应模板
GB/T41901.2—2022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是GB/T41901《道路车辆
网联车辆方法论》的第2部分。GB/T41901已发布以下部分:第1部分:通用信息;
第2部分:设计导则。
本文件修改采用ISO20077-2:2018《道路车辆网联车辆方法论第2部分:设计导则》。本文件与ISO20077-2:2018相比在结构上有调整,附录A列出了本文件与ISO20077-2:2018的结构编号对照情况。
本文件与ISO20077-2:2018的技术性差异及其原因如下:更改了ISO20077-2:2018第1章“范围”的表述,以适应我国国情;-删除了ISO20077-2:2018第1章“范围”中车辆阶段的表述,以适应我国国情;更改了ISO20077-2:2018第3章的引导语,以适应我国国情;-删除了ISO20077-2:2018第4章中部分缩略语,以适应我国国情;将ISO20077-22018中第9章的内容更改为本文件资料性附录B,该内容在我国尚不具备使用基础,更改为资料性附录可以引导行业使用;一将ISO20077-2:2018的附录A由“规范性”更改为本文件附录C资料性”,该内容在我国尚不具备使用基础,更改为资料性附录可以引导行业使用;一将ISO20077-2:2018的附录B由“规范性”更改为本文件附录D\资料性”,该内容在我国尚不具备使用基础,更改为资料性附录可以引导行业使用。本文件还做了下列编辑性改动:将ISO20077-2:2018第5章、第6章、第7章、第8章中规则和基本原则的表述形式按我国的行业习惯进行了修改;
删除了ISO20077-2:2018第5章、第6章、第7章、第8章中规则和基本原则的版本号;删除了ISO20077-2:2018表2中注2;更改了ISO20077-2:2018的参考文献。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中华人民共和国工业和信息化部提出。本文件由全国汽车标准化技术委员会(SAC/TC114)归口。本文件起草单位:中国汽车技术研究中心有限公司、泛亚汽车技术中心有限公司、北京汽车股份有限公司、北京现代汽车有限公司、华为技术有限公司、标致雪铁龙(上海)管理有限公司、中国第一汽车集团有限公司、米其林(中国)投资有限公司、戴姆勒大中华区投资有限公司、东风汽车有限公司东风日产乘用车公司、广州汽车集团股份有限公司、奇瑞汽车股份有限公司、联合汽车电子有限公司。本文件主要起草人:张行、张亚楠、段嗣盛、褚景尧、金银敬、杨淼、张路、陆睿、王冬昕、李栋、刘帆、李中豪、贺洪江、王川宿、徐潇。Ⅲ
GB/T41901.2-—2022
随着技术进步,产生了与车辆通信的新方式,不仅可以通过物理方式访问数字信息,也可以通过无线方式访问数字信息。这些进步产生了“网联车辆”概念,并且在设计新功能时,需要减轻由于网联车辆与外部世界产生新通信而带来的风险。本文件旨在规范网联车辆的概念和指导网联车辆的开发,GB/T41901由2个部分构成。
一第1部分:通用信息。目的在于规范网联车辆的基本定义和概念一一第2部分:设计导则。目的在于指导车辆制造厂开展网联车辆的设计过程。Iy
1范围
道路车辆
网联车辆方法论
第2部分:设计导则
本文件规定了网联车辆设计导则的规则与基本原则。本文件适用于M类、N类汽车。
2规范性引用文件
GB/T41901.2—2022
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T41901.1
道路车辆
ISO20077-1:2017,MOD)
3术语和定义
网联车辆方法论第1部分:通用信息(GB/T41901.1一2022,GB/T41901.1界定的以及下列术语和定义适用于本文件。3.1
基本原则basicprinciple
在设计网联车辆时所考虑的设计原则。3.2
生命周期
月lifecycle
车辆在其整个生命中所能遇到的各种情况,包括设计、制造、客户使用、维护和回收等。3.3
localdiagnosticfacilitator
本地诊断协助者
与远程技术人员保持通信,能够按照远程技术人员的要求进行操作并回答远程技术人员的问题,从而帮助诊断的人员。
注:本地诊断协助者具备理解和描述车载仪器和信号装置显示内容的能力。3.4
操作者
operator
在车辆内操作、控制或服务网联车辆的人。示例:本地诊断协助者。
需求方
requester
向网联车辆制造厂提出新功能需求的企业或法人实体。注1:在提交需求时,将作为售后服务提供商的车辆制造厂视为需求方。注2:若车辆制造厂与网联车辆制造厂相同时,可以使用其内部需求流程。1
GB/T41901.2—2022
规则rule
设计网联车辆时所满足的基本设计要求。4缩略语
下列缩略语适用于本文件。
BP:基本原则(BasicPrinciple)ECU:电子控制单元(ElectronicControlUnit)ExVe:网联车辆(ExtendedVehicle)LDF:本地诊断协作者(LocalDiagnosticFacilitator)NUM:规则或BP编号(Number)
R:规则(Rule)
5用于识别规则和基本原则以及规定其相关内容的样例5.1在本文件中,将规则和基本原则用以下方式表示:XXNUM:规则或基本原则的内容。5.2××NUM表示引用规则(R)或基本原则(BP),其中:—XX是用于识别规则(R)或基本原则(BP)的字母;-NUM是一个整数,介于001和999(含)之间,用于识别规则或基本原则编号。示例:R025与R026是两个不同的规则。注:规则和基本原则后面可以跟着说明性正文。6概述
6.1设计导则在网联车辆设计过程中的作用本文件旨在通过规定通用的规则和基本原则体系,为网联车辆及其接口的设计(物理、文档、支持等)提供指南。网联车辆制造厂应根据规则和基本原则制定出相应的方法或流程,用于根据特定的用例或场景去设计网联车辆。
每个网联车辆制造厂通常都通过协作方法和流程来规范该设计过程中的工作方式,如图1所示。6.2
网联车辆设计导则主要内容
网联车辆设计导则包含以下内容(见图2):在提出新需求功能时,用于完整描述最少信息的技术需求模板(见附录B和附录C);一用于指导新的网联车辆功能设计的规则和基本原则的体系(见第7章和第8章);一一在响应新需求功能时,用于完整描述最少信息的技术响应模板(见附录B和附录D)。2
需求文件,包括使用案例与场景(模板)
网联车辆
设计导则
基本原则与规则
设计网联车辆的车辆制造厂内部方法可行性
网联车辆
接口选择+应用限制
(模板)
关于使用的文件
(模板)
图1网联车辆设计导则的示意图
技术需求模板
设计导则
(基本设计规则)
技术响应模板
图2本文件的结构
6.3考虑新的网联车辆功能
安全性
GB/T41901.2—2022
防护性(幕改、访问数据)
生命周期
结构规范
采购约束
质量限制
目标成本
商业合约
网联车辆制造厂通过实施本文件的规则和基本原则来应用网联车辆的设计导则。设计导则适用于网联车辆的设计或设计变更,包括车辆与第三方(例如,车辆操作者、车主、服务提供商或其他网联车辆相关方)之间的直接或间接通信。网联车辆新的功能需求可能来自法规、标准和个体需求,对新的网联车辆功能的需求应由需求方通过技术需求模板对所有必需元素(例如,与性能相关的元素)进行精确描述设计导则也适用于设计来自法规要求的用于车辆进行远程通信的新接口。本文件既适用于需求方对网联车辆新功能的任何需求,也适用于需要扩展或远程使用现有功能的情况。对于多阶段生产的车辆,本文件适用于所有相关制造厂。不考虑现有设计而仅添加新设备来启3
GB/T41901.2—2022
用新功能可能不会达到预期的结果。一方面,新功能可能会不可控地干扰初始或现有的功能;另一方面,车辆原系统通常不具备新功能所需的所有组件。设计导则的基本原则旨在强调对这些风险的处理。本文件规定的这些规则与基本原则旨在以适当的方式处理由于新的网联车辆功能(无论这个功能是否已经存在而导致的网联车辆的内部风险,可采取包括但不限于以下措施管理这些风险:一修改现有网联车辆的电子系统(资源等)用于实现新功能;一不配置新功能;
一配置新功能,但只限于特定条件下;修改其他现有功能。
还可采用非技术性的措施(例如,合同措施)来管理风险,例如,与现有功能或服务的退化或破坏的相关风险。
7规则
7.1概述
网联车辆设计导则基于远程访问,应在车辆的全生命周期内保持车辆的基本安全性和防护性。因此,本文件包含两条规则(R001和R002),网联车辆制造厂应在其设计方法和流程中采用这两条规则。7.2安全性相关规则
R001:在设计网联车辆的新功能时,网联车辆制造厂应考虑可能存在的安全性风险。对于影响安全性的功能,应根据最佳安全性实践进行处理。网联车辆制造厂在设计网联车辆时,应在全生命周期内考虑车辆、驾乘人员、操作者和其他用户的安全。
注:可以在一些现有标准[例如,GB/T34590(所有部分)]中找到部分最佳安全实践。在设计网联车辆新的功能时,网联车辆制造厂应在其设计方法和流程中应用规则R001。在应用规则R001时,可以基于以下安全标准对网联车辆功能进行分类:一一对车辆行驶行为无影响的网联车辆功能,如娱乐信息或并不会对驾驶员产生干扰风险的功能;一对车辆安全有影响的网联车辆功能,这些功能可能会与车辆行为(例如,发动机、制动、转向、悬架)发生交互或可能会分散驾驶员的注意力。这种分类由网联车辆功能的内在风险、特定情况下的风险或特定功能操作的风险(相同的动作可能导致不同的风险)来确定。
运行中的车辆安全风险示例:
示例1:车辆制动能力受影响。
示例2:不适当的功能,例如,在道路上行驶时将车辆突然静止。示例3:超出设定参数的不适当功能。静止车辆安全风险示例:
示例4:在前排座椅有人时,安全气囊误触发。示例5:在高压电池断开时,高压部件误启动。示例6:在维修作业期间,部件误启动。7.3防护性相关规则
R002:在设计网联车辆的新功能时,网联车辆制造厂应考虑可能存在的防护性风险。对于影响防护性的功能,应根据最佳防护性实践进行处理。网联车辆制造厂负责确保车辆在全生命周期内的防护性。4
GB/T41901.2—2022
在设计网联车辆的新功能时,网联车辆制造厂应在其设计方法和流程中应用规则R002。注1:信息安全被视为通用防护性领域的一部分。注2:信息传输不受控会产生防护性风险,例如,盗窃车辆或盗窃运输货物。注3:在必要时,可以对网联车辆设置保密措施(验证访间者、验证数据的完整性和保密性),以确保网联车辆不会遭受算改和未经授权的访间。
注4:某些数据可能需要加密处理。注5:每个数据都有固有的保密等级。考虑到可能的用途,数据关联可能导致保密级别远高于每个数据的保密级别。
注6:防护性问题会导致安全性问题。防护性风险示例:
示例1:对备用密钥未进行授权编码。示例2:未授权的远程ECU重新编程。示例3:克隆车辆连接接口。
示例4:不匹配的访问。
8基本原则
8.1概述
网联车辆制造厂在自己的设计方法和流程中采用基本原则时,应始终满足本文件规定的规则。8.2一般基本原则
BP001:网联车辆制造厂负责网联车辆的设计。BP002:网联车辆制造厂负责网联车辆的所有接口的设计,以便实现与网联车辆的通信。BP003:网联车辆制造厂负责网联车辆功能的实现。网联车辆制造厂负责网联车辆及其功能的设计。因此,网联车辆制造厂既要负责网联车辆每个功能的实现,又要负责整个功能集的一致性。在根据本文件规定的方法实现网联车辆新功能时,可能会存在以下客观限制:功能可用性的客观限制;
—功能性能的客观限制;
一由于车辆、型号等差异造成的客观限制;-特殊市场条件导致的客观限制。8.3生命周期相关的基本原则
BP004:网联车辆制造厂负责评估新的网联车辆功能在全生命周期内对车辆的影响。需求方在访问数据时对所需求网联车辆功能的可用性和预期性能在全生命周期内不应受限制。网联车辆制造厂应分析集成此功能在车辆的全生命周期(见图3)中的影响,从而确定在需求方未提及的情况下(例如,在制造、维护或回收阶段)可能产生的不相容性。该分析的结果可能会导致所需求的新功能性能和可用性地降低。5
GB/T41901.2—2022
EX-123-VHbZxz.net
注1:本图左边部分表示设计与生产阶段。注2:本图的右边部分表示售后阶段。生命周期
图3网联车辆的生命周期各阶段图示BP004对R001“安全性相关规则”的作用示例(见图4):此示例展示需要由网联车辆制造厂评估的、可能出错的远程激活,维护
应避免在“售前”错误地远程激活(例如,在工厂或展览厅)车辆,因为在车辆和功能激活的情况下,车辆内外的人和货物可能面临较大的安全风险,为避免这种情况,网联车辆应只能由授权人员在合适场景下激活;
在图4中,技术人员输人了错误的车辆VIN码来访问在用车辆,这个错误的车辆VIN码可能是在产车辆的正确车辆VIN码,该错误可能会在车辆生产阶段导致重大问题。售前
错误的VIN
远程访间
在车间内
图4由BP004阐述的潜在风险示例8.4远程访问相关的基本原则
BP005:网联车辆制造厂负责管理因某一现有功能可以远程使用而导致的额外风险。远程访问可能会在无法确定车辆的当前状态与环境的情况下运行。在某些情况下,这可能会损坏本车辆、其他车辆或伤害到乘客及周围的人员。因此,在设计之前,应对与网联车辆功能相关的其他风险进行基本分析。
BP005对R001\安全性相关规则”的作用示例(见图5):在图5的示例中,在售后车间实施车辆诊断(场景1)时,专业人员可以在事先完成车辆的外观检查之后,再控制发动机喷油器;当车辆停在路边(场景2)时,也可以通过网联车辆的远程访问来进行同一功能;但在这一场景6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。