标准规范下载简介
GB/T 41901.2-2022 道路车辆 网联车辆方法论 第2部分:设计导则.pdf道路车辆网联车辆方法论
术语和定义 缩略语. 用于识别规则和基本原则以及规定其相关内容的样例 概述 .++...... 6.1设计导则在网联车辆设计过程中的作用 6.2网联车辆设计导则主要内容 6.3考虑新的网联车辆功能 规则·….…·
图2本文件的结构 图3网联车辆的生命周期各
GB/T 41901.2—2022
5000TD新型干法水泥生产线安装工程施工组织设计图4由BP004阐述的潜在风险示例 图5 5与BP005相关的潜在风险示例 图6 在网联车辆内集成新功能的示例 图7与 与BP006相关的风险的示例 图8中BP008解决的潜在安金相关
图4由BP004闸述的潜在风险示例 图5与BP005相关的潜在风险示例….….… 图6在网联车辆内集成新功能的示例…. 图7与BP006相关的风险的示例 ............. 图8由BP008解决的潜在安全相关风险的示例 图9针对不同用例的两种不同网联车辆接口示例 图B.1技术需求模板需要包含的需求细节示例
随着技术进步,产生了与车辆通信的新方式,不仅可以通过物理方式访问数字信息,也可以通过无 线方式访问数字信息。这些进步产生了“网联车辆”概念,并且在设计新功能时,需要减轻由于网联车辆 与外部世界产生新通信而带来的风险。本文件旨在规范网联车辆的概念和指导网联车辆的开发, GB/T41901由2个部分构成。 一第1部分:通用信息。目的在于规范网联车辆的基本定义和概念。 第2部分:设计导则。目的在于指导车辆制造厂开展网联车辆的设计过程。
本文件规定了网联车辆设计导则的规则与基本原则。 本文件适用于M类、N类汽车
道路车辆网联车辆方法论 第2部分:设计导则
GB/T41901.1界定的以及下列术语和定义适用于本文件。 3.1 基本原则basicprinciple 在设计网联车辆时所考虑的设计原则。 3.2 生命周期lifecycle 车辆在其整个生命中所能遇到的各种情况,包括设计、制造、客户使用、维护和回收等。 3.3 本地诊断协助者localdiagnosticfacilitator 与远程技术人员保持通信,能够按照远程技术人员的要求进行操作并回答远程技术人员的问题,从 而帮助诊断的人员。 注:本地诊断协助者具备理解和描述车载仪器和信号装置显示内容的能力。 3.4 操作者operator 在车辆内操作、控制或服务网联车辆的人。 示例:本地诊断协助者。 3.5 需求方requester 向网联车辆制造厂提出新功能需求的企业或法人实体。 注1:在提交需求时,将作为售后服务提供商的车辆制造厂视为需求方。 注2:若车辆制造厂与网联车辆制造厂相同时:可以使用其内部需求流程
GB/T41901.1界定的以及下列术语和定义适用于本文件。 3.1 基本原则basicprinciple 在设计网联车辆时所考虑的设计原则。 3.2 生命周期lifecycle 车辆在其整个生命中所能遇到的各种情况,包括设计、制造、客户使用、维护和回收等。 3.3 本地诊断协助者localdiagnosticfacilitator 与远程技术人员保持通信,能够按照远程技术人员的要求进行操作并回答远程技术人员的问题,从 而帮助诊断的人员。 注:本地诊断协助者具备理解和描述车载仪器和信号装置显示内容的能力。 3.4 操作者operator 在车辆内操作、控制或服务网联车辆的人。 示例:本地诊断协助者。 3.5 需求方requester 向网联车辆制造厂提出新功能需求的企业或法人实体。 注1:在提交需求时,将作为售后服务提供商的车辆制造厂视为需求方。 注2:若车辆制造厂与网联车辆制造厂相同时,可以使用其内部需求流程。
规则 rule 设计网联车辆时所满足的基本设计要求。
下列缩略语适用于本文件。 BP:基本原则(BasicPrinciple) ECU:电子控制单元(ElectronicControlUnit) ExVe:网联车辆(ExtendedVehicle) LDF:本地诊断协作者(LocalDiagnosticFacilitator) NUM:规则或BP编号(Number) R:规则(Rule)
于识别规则和基本原则以及规定其相关内容的样
在本文件中,将规则和基本原则用以下方式表
XXNUM:规则或基本原则的内容。 XXNUM表示引用规则(R)或基本原则(BP),其中: X×是用于识别规则(R)或基本原则(BP)的字母; 一NUM是一个整数,介于001和999(含)之间,用于识别规则或基本原则编号。 示例:R025与R026是两个不同的规则。 注:规则和基本原则后面可以跟着说明性正文。
本文件旨在通过规定通用的规则和基本原则体系,为网联车辆及其接口的设计(物理、文档、支持 等)提供指南。网联车辆制造厂应根据规则和基本原则制定出相应的方法或流程,用于根据特定的用份 或场景去设计网联车辆。 每个网联车辆制造厂通常都通过协作方法和流程来规范该设计过程中的工作方式,如图1所示。
网联车辆设计导则主要内
网联车辆设计导则包含以下内容(见图2): 在提出新需求功能时,用于完整描述最少信息的技术需求模板(见附录B和附录C); 用于指导新的网联车辆功能设计的规则和基本原则的体系(见第7章和第8章); 在响应新需求功能时,用于完整描述最少信息的技术响应模板(见附录B和附录D)
6.3考虑新的网联车辆功能
图1 网联车辆设计导则的示意图
网联车辆制造厂通过实施本文件的规则和基本原则来应用网联车辆的设计导则。设计导则适用于 网联车辆的设计或设计变更,包括车辆与第三方(例如,车辆操作者、车主、服务提供商或其他网联车辆 相关方)之间的直接或间接通信。 网联车辆新的功能需求可能来自法规、标准和个体需求,对新的网联车辆功能的需求应由需求方通 过技术需求模板对所有必需元素(例如,与性能相关的元素)进行精确描述。 设计导则也适用于设计来自法规要求的用于车辆进行远程通信的新接口。 本文件既适用于需求方对网联车辆新功能的任何需求,也适用于需要扩展或远程使用现有功能的 情况。对于多阶段生产的车辆,本文件适用于所有相关制造厂。不考虑现有设计而仅添加新设备来启
用新功能可能不会达到预期的结果。一方面,新功能可能会不可控地干扰初始或现有的功能;另一方 面,车辆原系统通常不具备新功能所需的所有组件。设计导则的基本原则旨在强调对这些风险的处理。 本文件规定的这些规则与基本原则旨在以适当的方式处理由于新的网联车辆功能(无论这个功能 是否已经存在)而导致的网联车辆的内部风险,可采取包括但不限于以下措施管理这些风险: 一 修改现有网联车辆的电子系统(资源等)用于实现新功能; 一 不配置新功能; 一配置新功能,但只限于特定条件下; 一一修改其他现有功能。 还可采用非技术性的措施(例如,合同措施)来管理风险,例如,与现有功能或服务的退化或破坏的 相关风险。
R002:在设计网联车辆的新功能时,网联车辆制造厂应考虑可能存在的防护性风险。对于影响 的功能,应根据最佳防护性实践进行处理。 网联车辆制造厂负责确保车辆在全生命周期内的防护性。
在设计网联车辆的新功能时,网联车辆制造厂应在其设计方法和流程中应用规则R002。 注1:信息安全被视为通用防护性领域的一部分。 注2:信息传输不受控会产生防护性风险,例如,盗窃车辆或盗窃运输货物。 注3:在必要时,可以对网联车辆设置保密措施(验证访问者、验证数据的完整性和保密性),以确保网联车辆不会遭 受算改和未经授权的访问。 注4:某些数据可能需要加密处理。 注5:每个数据都有固有的保密等级。考虑到可能的用途,数据关联可能导致保密级别远高于每个数据的保密 级别。 注6:防护性问题会导致安全性问题。 防护性风险示例: 示例1:对备用密钥未进行授权编码。 示例2:未授权的远程ECU重新编程。 示例3:克隆车辆连接接口。 示例4:不匹配的访间。
网联车辆制造厂在自己的设计方法和流
BP001:网联车辆制造厂负责网联车辆的设计。 BP002:网联车辆制造厂负责网联车辆的所有接口的设计,以便实现与网联车辆的通信。 BP003:网联车辆制造厂负责网联车辆功能的实现。 网联车辆制造厂负责网联车辆及其功能的设计。因此,网联车辆制造厂既要负责网联车辆每个功 能的实现,又要负责整个功能集的一致性。 在根据本文件规定的方法实现网联车辆新功能时,可能会存在以下客观限制: 一 功能可用性的客观限制; 功能性能的客观限制; 由于车辆、型号等差异造成的客观限制; 特殊市场条件导致的客观限制。
BP004:网联车辆制造厂负责评估新的网联车辆功能在全生命周期内对车辆的影响。 需求方在访问数据时对所需求网联车辆功能的可用性和预期性能在全生命周期内不应受限制。 网联车辆制造厂应分析集成此功能在车辆的全生命周期(见图3)中的影响,从而确定在需求方未 提及的情况下(例如,在制造、维护或回收阶段)可能产生的不相容性。该分析的结果可能会导致所需求 的新功能性能和可用性地降低。
注1:本图左边部分表示设计与生产阶段。 注2:本图的右边部分表示售后阶段
网联车辆的生命周期各阶段图示
BP004对R001“安全性相关规则”的作用示例(见图4): 此示例展示需要由网联车辆制造厂评估的、可能出错的远程激活; 应避免在“售前”错误地远程激活(例如,在工厂或展览厅)车辆,因为在车辆和功能激活的情况 下,车辆内外的人和货物可能面临较大的安全风险,为避免这种情况,网联车辆应只能由授权 人员在合适场景下激活; 在图4中,技术人员输人了错误的车辆VIN码来访问在用车辆,这个错误的车辆VIN码可能 是在产车辆的正确车辆VIN码,该错误可能会在车辆生产阶段导致重大问题。
BP004阐述的潜在风险
BP005:网联车辆制造厂负责管理因某一现有功能可以远程使用而导致的额外风险。 远程访问可能会在无法确定车辆的当前状态与环境的情况下运行。在某些情况下,这可能会损坏 本车辆、其他车辆或伤害到乘客及周围的人员。因此,在设计之前,应对与网联车辆功能相关的其他风 险进行基本分析。 BP005对R001“安全性相关规则”的作用示例(见图5): 在图5的示例中,在售后车间实施车辆诊断(场景1)时,专业人员可以在事先完成车辆的外观 检查之后,再控制发动机喷油器; 当车辆停在路边(场景2)时,也可以通过网联车辆的远程访问来进行同一功能;但在这一场景
GB/T41901.2—2022
中,如果喷油系统存在燃油泄漏,则同一控制动作会对人员与环境造成重大危害; 在场景1中,由具备资格的专业人员通过应用特定流程来管理安全链,并在紧急情况下做出处 理;在场景2中,如果无本地诊断协助者,则无法做出紧急处理。 地诊断协助者应至少能够理解或描述车载仪器和信号装置的指示。
图5与BP005相关的潜在风险示例
BP006:网联车辆制造厂负责管理新增远程功能对现有设计的影响。 在配置新的网联车辆功能时,网联车辆制造厂应考虑现有设计(见图6)。这可能导致需要更改现 有的一些功能中低产田改造项目施工组织设计,更改程度取决于: 网联车辆制造厂是在车内还是车外配置该功能; 考虑网联车辆的现有功能; 在不影响原有功能的情况下,现有功能无法满足所要求的性能和可用性
若网联车辆制造厂决定保持现有功能,则接下来的设计阶段是 B?) 管理这些功能与新增功能在车辆运行期间的优先权:
GB/T 41901:2—2022
b)管理资源的可用性。 BP006对R002“防护性相关规则”的作用示例(见图7): 现代车辆电子电气架构通过在多个电子控制单元中配置防护性数据来管理防护性,这将降低 车辆被盗的可能性; 未对防护性数据进行保护的远程功能是不可接受的; 注:防护性数据如密钥等。 在图7的示例中,左侧的场景表示安全锁定的车辆SJG 117-2022标准下载,而右侧的场景表示通过干扰锁定消息可以 解锁车辆的情况。
b)管理资源的可用性。 BP006对R002“防护性相关规则”的作用示例(见图7): 现代车辆电子电气架构通过在多个电子控制单元中配置防护性数据来管理防护性,这将降低 车辆被盗的可能性; 未对防护性数据进行保护的远程功能是不可接受的; 注:防护性数据如密钥等。 在图7的示例中,左侧的场景表示安全锁定的车辆,而右侧的场景表示通过干扰锁定消息可以 解锁车辆的情况
图7 与BP006相关的风险的示例