GB∕T 34590.3-2017
基本信息
标准号: GB∕T 34590.3-2017
中文名称:道路车辆 功能安全 第3部分:概念阶段(图文)
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:2306KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 34590.3-2017 道路车辆 功能安全 第3部分:概念阶段(图文)
GB∕T34590.3-2017
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS_43.040
中华人民共和国国家标准
GB/T34590.3—2017
道路车辆
功能安全
第3部分:概念阶段
Road vehicles-Functional safety-Part 3: Concept phase
(ISO26262-3:2011.MOD)
2017-10-14发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-05-01实施
GB/T34590.3—2017
规范性引用文件
术语、定义和缩略语,
般要求
表的诠释
基于ASIL等级的要求和建议
相关项定义
本章的输人
要求和建议
工作成果
安全生命周期启动
本章的输入
要求和建议
工作成果
危害分析和风险评估
本章的输人
要求和建议
工作成果
8功能安全概念
8.3本章的输人
8.4要求和建议
8.5工作成果
附录A(资料性附录)
概念阶段概览
附录B(资料性附录)危害分析和风险评估参考文献
GB/T34590《道路车辆功能安全》分为以下部分:第1部分:术语;
一第2部分:功能安全管理;
一第3部分:概念阶段;
一第4部分:产品开发:系统层面:一第5部分:产品开发:硬件层面;一第6部分:产品开发:软件层面;第7部分:生产和运行;
一第8部分:支持过程;
一第9部分:以汽车安全完整性等级为导向和以安全为导向的分析;第10部分:指南。
本部分为GB/T34590的第3部分
本部分按照GB/T1.1—2009给出的规则起草。GB/T34590.3—2017bzxz.net
本部分使用重新起草法修改采用ISO26262-3:2011《道路车辆功能安全第3部分:概念阶段》本部分与IS026262-3:2011的技术性差异及其原因如下:修改了本部分的适用范围,由原文的“适用于安装在最大总质量不超过3.5t的量产乘用车上的包含一个或多个电子电气系统的与安全相关系统”改为“适用于安装在量产乘用车上的包含一个或多个电子电气系统的与安全相关的系统”;关于规范性引用文件,本部分做了具有技术性差异的调整,以适应我国的技术条件,调整的情况集中反映在第2章“规范性引用文件”中,具体调整如下:,用修改采用国际标准的GB/T34590.1—2017代替ISO26262-1:2011;●用修改采用国际标准的GB/T34590.2—2017代替ISO26262-2:2011;●用修改采用国际标准的GB/T34590.8—2017代替ISO26262-8:2011;·用修改采用国际标准的GB/T34590.9—2017代替ISO26262-9:2011。本部分还做了下列编辑性修改:修改了国际标准的引言及其表述和图1的内容。本部分由全国汽车标准化技术委员会(SAC/TC114)提出并归口。本部分负责起草单位:中国汽车技术研究中心、泛亚汽车技术中心有限公司、中国第一汽车股份有限公司、博世汽车部件(苏州)有限公司、舍弗勒投资(中国)有限公司、上海海拉电子有限公司、北京兴科迪科技有限公司、联合汽车电子有限公司、上海汽车集团股份有限公司技术中心、东风汽车公司技术中心、重庆长安汽车股份有限公司。本部分参加起草单位:上汽大众汽车有限公司、本田技研工业(中国)投资有限公司上海汽车集团股份有限公司商用车技术中心、上汽通用五菱汽车股份有限责任公司、安徽江淮汽车集团股份有限公司、北京新能源汽车股份有限公司、奇瑞汽车股份有限公司、东风汽车有限公司东风日产乘用车公司。1
GB/T34590.3—2017
本部分主要起草人:李波、尚世亮、张立君、薛剑波、童菲、蒋军、曲元宁、史晓密、杨虎、明月、付越、邓湘鸿、范嘉睿、李艳文、冯亚军、付艳玲、边宁、李燕、陈音、张乐敏、盛一芝、宋锦明、压小军、徐清魁、荣胜军、黄志诚、刘正国、张小帆、引言
GB/T34590.3—2017
ISO26262是以IEC61508为基础,为满足道路车辆上电子电气系统的特定需求而编写。GB/T34590修改采用ISO26262,适用于道路车辆上由电子、电气和软件组件组成的安全相关系统在安全生命周期内的所有活动。安全是未来汽车发展的关键问题之一,不仅在驾驶辅助和动力驱动领域,而且在车辆动态控制和主被动安全系统领域,新的功能越来越多地触及到系统安全工程领域。这些功能的开发和集成将强化对安全相关系统开发流程的需求,并且要求提供满足所有合理的系统安全目标的证明。随着技术日益复杂,软件和机电一体化应用不断增加,来自系统性失效和随机硬件失效的风险逐渐增加。GB/T34590通过提供适当的要求和流程来避免风险。系统安全是通过一系列安全措施实现的。安全措施通过各种技术(例如,机械、液压、气压、电子、电气、可编程电子等)实现且应用于开发过程中的不同层面。尽管GB/T34590针对的是电子电气系统的功能安全,但是它也提供了一个框架,在该框架内可考虑基于其他技术的与安全相关系统。GB/T34590:
a)提供了一个汽车安全生命周期(管理、开发、生产、运行、服务、报废),并支持在这些生命周期阶段内对必要活动的剪裁;
提供了一种汽车特定的基于风险的分析方法,以确定汽车安全完整性等级(ASIL);b)
应用汽车安全完整性等级(ASIL)定义GB/T34590中适用的要求,以避免不合理的残余c)
风险;
d)提供了对于确认和认可措施的要求,以确保达到一个充分、可接受的安全等级;e)提供了与供应商相关的要求。功能安全受开发过程(例如,包括需求规范、设计、实现、集成、验证、确认和配置)、生产过程、服务过程和管理过程的影响。
安全问题与常规的以功能为导向和以质量为导向的开发活动及工作成果相互关联。GB/T34590涉及与安全相关的开发活动和工作成果。图1为GB/T34590的整体架构。GB/T34590基于V模型为产品开发的不同阶段提供参考过程模型:
阴影”V”表示GB/T34590.3—2017、GB/T34590.4—2017、GB/T34590.5—2017、GB/T34590.6—2017、GB/T34590.7—2017之间的相互关系;以“m-n”方式表示的具体章条中,“m\代表特定部分的编号,“n\代表该部分章的编号。示例:“2-6\代表GB/T34590.2—2017的第6章。GB/T34590.3—2017
2-5整体安全管理
3.概念阶段
3-5相关项定义
3-6安全生命周期启动
3-7危害分析和风险评估
3-8功能安全概念
8-5分布式开发的接口
8-6安全要求的定义和管理
8-7配置管理
8-8变更管理
8-9验证
2.功能安全管理
2-6概念阶段和产品开发过程中的安全管理4.产品开发:
系统层面
4-5启动系统层面产品开发
4-6技术安全要求的定义
4-7系统设计
5.产品开发:硬件层面
5-5启动硬件层面产品开发
5-6硬件安全要求的定义
5-7硬件设计
5-8硬件架构度量的评估
5-9随机硬件失效导致违背
安全月标的评估
5-10硬件集成和测试
8.支持过程
4-11生产发布
2-7相关项生产发布后的安全管理7.生产和运行
7-5生产
4-10功能安全评估
4-9安全确认
4-8相关项集成和测试
6.产品开发:软件层面
6-5启动软件层面产品开发
6-6软件安全要求的定义
6-7软件架构设计
6-8软件单元设计和实现
6-9软件单元测试
6-10软件集成和测试
6-11软件安全要求验证
8-10文档
8-11使用软件T.具的置信度
8-12软件组件的鉴定
8-13硬件组件的鉴定
8-14在用证明
9.以汽车安全完整性等级为导向和以安全为导向的分析9-5关于ASIL剪裁的要求分解
9-6要素共的准则
9-7相关失效分析
9-8安全分析
10.指南
GB/T34590—2017概览
7-6运行、服务
(维护与维修)
和报废
1范围
道路车辆功能安全
第3部分:概念阶段
GB/T34590的本部分规定了车辆在概念阶段的要求相关项定义;
一安全生命周期启动;
一危害分析和风险评估;及
一功能安全概念。
GB/T34590.3—2017
本标准适用于安装在量产乘用车上的包含一个或多个电子电气系统的与安全相关的系统。本标准不适用于特殊用途车辆上特定的电子电气系统,例如,为残疾驾驶者设计的车辆。本标准不适用于已经完成生产发布的系统及其组件或在本标准发布日期前开发的系统及其组件对于在本标准发布前完成生产发布的系统及其组件进行进一步的开发或变更时,仅修改的部分需要按照本标准开发。
本标准针对由电子电气安全相关系统的故障行为而引起的可能的危害,包括这些系统相互作用而引起的可能的危害。本标准不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危害和类似的危害,除非危害是直接由电子电气安全相关系统的故障行为而引起的。本标准不针对电子电气系统的标称性能,即使这些系统(例如主动和被动安全系统、制动系统、自适应巡航系统)有专用的功能性能标准。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T34590.1一2017道路车辆功能安全第1部分:术语(ISO26262-1:2011,MOD)GB/T34590.2一2017道路车辆功能安全第2部分:功能安全管理(IS026262-2:2011,MOD)
GB/T34590.8—2017道路车辆功能安全第8部分:支持过程(ISO26262-8:2011,MOD)GB/T34590.9一2017道路车辆功能安全第9部分:以汽车安全完整性等级为导向和以安全为导向的分析(ISO26262-9:2011,MOD)3术语、定义和缩略语
GB/T34590.1一2017界定的术语、定义和缩略语适用于本文件。4要求
4.1一般要求
如声明满足GB/T34590一2017的要求时,应满足每一个要求,除非有下列情况之一:1
GB/T34590.3—2017
a)按照GB/T34590.2一2017的要求,已经计划安全活动的剪裁并表明这些要求不适用;或b)不满足要求的理由存在且是可接受的,并且按照GB/T34590.2一2017的要求对该理由进行了评估。
标有“注”或“示例”的信息仅用于辅助理解或阐明相关要求,不应作为要求本身且不具备完备性。将安全活动的结果作为工作成果。应具备上一阶段工作成果作为“前提条件”的信息。如果章条的某些要求是依照ASIL定义的或可剪裁的,某些工作成果可不作为前提条件“支持信息”是可供参考的信息,但在某些情况下,GB/T34590一2017不要求其作为上一阶段的工作成果,并且可以是由不同于负责功能安全活动的人员或组织等外部资源提供的信息。4.2表的诠释
表属于规范性表还是资料性表取决于上下文。在实现满足相关要求时,表中列出的不同方法有助于置信度水平。表中的每个方法是:a)一个连续的条目(在最左侧列以顺序号标明,如1、2、3);或b)一个选择的条目(在最左侧列以数字后加字母标明,如2a、2b、2c)。对于连续的条目,全部方法应按照ASIL等级推荐予以使用。除了所列出的方法外,如果应用所列出方法以外的其他方法,应给出满足相关要求的理由。对于选择性的条目,应按照指定的ASIL等级,对这些方法进行适当的组合,不依赖于这些方法是否在表中列出。如果所列出的方法对于一个ASIL等级来说具有不同的推荐等级,宜采用具有较高推荐等级的方法。应给出所选的方法组合满足相关要求的理由,注:在表中所列出方法的理由是充分的。但是,这并不意味着有倾向性或对未列到表中的方法表示反对。对于每种方法,应用相关方法的推荐等级取决于ASIL等级,分类如下:“十十”表示对于指定的ASIL等级,高度推荐该方法;一“十”表示对于指定的ASIL等级,推荐该方法;“O”表示对于指定的ASIL等级,不推荐也不反对该方法。4.3基于ASIL等级的要求和建议
若无其他说明,对于ASILAB.C和D等级,应满足每一子章条的要求或建议。这些要求和建议参照安全目标的ASIL等级。如果在项目开发的早期对ASIL等级完成了分解,应按照GB/T34590.9一2017第5章,遵循分解后的ASIL等级。如果GB/T34590一2017中ASIL等级在括号中给出,则对于该ASIL等级,相应的子章条应被训为是推荐而非要求。这里的括号与ASIL等级分解无关。5相关项定义
5.1自的
第一个目的是定义并描述相关项,及其与环境和其他相关项的依赖性和相互影响。第二个目的是为充分理解相关项提供支持,以便执行后续阶段的活动。5.2总则
本章为建立相关项的定义列出了要求和建议,相关项的定义包括其功能、接口、环境条件、法规要求和危害等。该定义为执行后续子阶段:“安全生命周期启动”(参见第6章)、“危害分析和风险评估”(参见第7章)和\功能安全概念”(参见第8章)的人员提供了充足的关于相关项的信息注:附录A中表A.1提供了概念阶段的目的,前提条件和工作成果的概览5.3本章的输入
5.3.1前提条件
5.3.2支持信息
可考虑如下信息:
GB/T34590.3—2017
任何与相关项相关的已有信息,如产品理念、项目梗概、相关专利、预试验结果、来自前代相关项的文档、其他独立的相关项的相关信息。5.4要求和建议
5.4.1应给出相关项的功能性和非功能性的要求,以及相关项与其环境之间的依赖性注1:在定义了相关项的安全目标和各自的ASIL等级后,这些要求可归类为是与安全相关的注2:所需的信息对于相关项的定义来说是一个必要的输入,即使该信息不是与安全相关的。如果不具备所需的信息,则可由本章的要求来促成该信息的生成该信息包括:
a)功能概念,其描述了目的和功能,包括相关项的运行模式和状态;b)运行条件和环境约束;
法规要求(特别是法律和法规),国家标准和国际标准;c)
由相似的功能、相关项或要素实现的行为(如果存在);d)
相关项的预期行为的假设:及
行为不足,包括已知的失效模式和危害,造成的潜在后果,注:可包括关于类似相关项的已知的与安全相关的事件。5.4.2定义相关项的边界,接口以及提出与其他相关项和要素交互关系的假设时,应考虑:a)相关项内部的要素;
注:要素也可基于其他技术
相关项的行为对其他相关项或要素的影响的假设,即相关项的环境;b)
该相关项与其他相关项或要素的相互作用;其他相关项、要素和环境要求本相关项提供的功能;本相关项要求其他相关项、要素和环境提供的功能;功能在所涉及的系统和要素间的分配;及影响相关项功能的运行场景。
5工作成果
相关项定义,由5.4的要求得出。安全生命周期启动
6.1目的
安全生命周期启动的第一个目的是对新的相关项开发和对现有相关项的修改进行区分(参见GB/T34590.2—2017图2)。
安全生命周期启动的第二个目的是在对现有相关项的修改的情况下定义将要实施的安全生命周期3
GB/T34590.3—2017
活动(参见GB/T34590.2—2017图2)。6.2总则
基于相关项定义,通过区分相关项为新的开发还是对现有相关项的修改来启动安全生命周期。对于现有相关项的修改的情况,进行安全相关活动的剪裁。6.3本章的输入
6.3.1前提条件
应具备如下信息:
相关项定义,按照5.5。
6.3.2支持信息
可考虑如下信息:
相关项的定义未包含的,有助于进行影响分析的任何现有信息示例:产品概念,变更要求,实施计划、在用证明6.4要求和建议
6.4.1确定开发类别
应确定相关项是否为一个新的开发,或对现有相关项或其环境的修改:对于新开发的情况,紧接着应根据第7章进行危害分析和风险评估a)
b)对于现有相关项或其环境进行修改的情况,应按照6.4.2确定适用的生命周期子阶段和活动。注:在用证明可适用于修改的情况(参见GB/T34590.8—2017第14章)。6.4.2现有相关项修改的情况下的影响分析和可能的安全生命周期剪裁6.4.2.1
为了识别和描述对相关项或其环境的预期修改,及评估这些修改带来的影响,应进行影响分析。
注1:对相关项的修改包括设计修改和实现方式的修改。设计修改可来自需求的修改(如功能或性能提高或成本优化)。实现方式的修改不影响相关项的定义或性能,仅影响实现方式的特性。示例:实现方式的修改可来自软件的修正,或使用新的开发工具或生产工具。注2:如果配置数据或标定数据的修改会影响相关项的功能,则该修改被认为是对相关项的修改,注3:相关项所处环境的修改可能是由于相关项安装在一个新的目标环境内(如其他车辆变型)或与相关项相互作用的(或在其周边的)其他相关项或要素的升级。6.4.2.2
影响分析应识别和指出因相关项的修改,相关项先前和未来的使用条件之间的修改所带来的影响,包括:
运行场景和运行模式;
与环境的接口;
安装特性,如在车上的位置、车辆配置和变型;及c)
一系列环境条件,如温度,海拨,湿度,振动,电磁干扰和燃油类型。应识别并描述修改对功能安全的影响应识别并描述需要更新的受影响的工作成果安全活动应根据适用的生命周期阶段进行剪裁。剪裁应基于影响分析的结果。
按照GB/T34590.2一2017中6.4.3,剪裁的结果应包含在安全计划中。6.4.2.8应重新生成受到影响的工作成果注:受到影响的工作成果包括确认计划(参见GB/T34590.4—2017)。GB/T34590.3—2017
6.4.2.9如果缺少工作成果或工作成果不满足GB/T34590—2017,则应确定为满足GB/T34590-2017的要求所必需的活动
6.5工作成果
6.5.1影响分析,由6.4.2.1~6.4.2.4的要求得出。6.5.2安全计划(细化的),由6.4.2.5~6.4.2.9的要求得出。7危害分析和风险评估
7.1目的
危害分析和风险评估的目的是识别相关项中因故障而引起的危害并对危害进行归类,制定防止危害事件发生或减轻危害程度的安全目标,以避免不合理的风险。7.2总则
危害分析、风险评估和ASIL等级的确定用于确定相关项的安全目标以避免不合理的风险。为此,根据相关项中潜在的危害事件,对相关项进行评估。通过对危害事件进行系统性的评估确定安全目标及分配给它们的ASIL等级。ASIL等级是通过对影响因子:严重度、暴露概率和可控性的预估确定的,影响因子的确定基于相关项的功能行为,因而不一定需要知道相关项的设计细节7.3本章的输入
7.3.1前提条件
应提供以下信息:
相关项定义,按照5.5。
7.3.2支持信息
可考虑如下信息:
影响分析,如果适用(参见6.5.1):及其他独立相关项的相关信息(来自外部)。7.4要求和建议
7.4.1危害分析和风险评估的启动7.4.1.1应基于相关项的定义进行危害分析和风险评估。7.4.1.2在危害分析和风险评估过程中,应对不含内部安全机制的相关项进行评估,即在危害分析和风险评估过程中不应考虑将要实施或已经在前代相关项中实施的安全机制。注1:在对相关项进行评估过程中,可用的且充分独立的外部措施是有益的。示例:如果通过电子稳定性控制(ESC)提供更多的控制是可用的并且充分独立的,则其能减轻底盘系统失效的影响。
注2:相关项中将要或已经实施的安全机制是功能安全概念的一部分。5
GB/T34590.3—2017
7.4.2场景分析及危害识别
7.4.2.1场景分析
应对相关项的故障行为导致一个危害事件发生时所处的运行场景及运行模式进行描述,既要考虑正确使用车辆的情况,也要考虑可预见的不正确使用车辆的情况,注:运行场景描述了期望相关项以一种安全的方式进行工作的边界范围。例如:不期望普通乘用车在越野路面高速行驶。
7.4.2.2危害识别
7.4.2.2.1应通过使用足够的技术手段系统地确定危害。注:使用诸如头脑风暴、检查列表、质量历史记录、FMEA和现场研究等技术提取相关项层面的危害。7.4.2.2.2应以能在整车层面观察到的条件或行为来定义危害注1:通常,每一个危害有多种与相关项的功能实现相关的潜在原因。但在危害分析和风险评估中,对于危害的条件或行为进行定义时,不需要考虑这些原因,这些原因是从相关项的功能行为得出的。注2:仅考虑与相关项自身相关的危害,假设其他充分独立的系统(外部措施)均正确工作。7.4.2.2.3危害事件应由运行场景和危害的相关组合确定。7.4.2.2.4应识别危害事件的后果。注:如果相关项层面的失效导致该相关项丧失多个功能,则场景分析和危害识别需考虑由相关项或整车的故障行为组合而导致的危害事件。
示例:整车供电系统的失效能导致同时丧失一系列功能,包括“发动机扭矩”“助力转向”及“前向照明”7.4.2.2.5如果在7.4.2.2中所识别出的危害超出GB/T34590—2017的范围(参见第1章),应注明需要采用适当的措施来减轻或控制这些危害并通报给相关责任者。注:由于这些危害超出GB/T34590—2017的范围,因此不需要进行危害分类。7.4.3危害事件分类
7.4.3.1应对在7.4.2.2中识别出的所有的危害事件进行分类,除了超出GB/T34590一2017范围的注:如果难以对一个给定的危害进行严重度、暴露概率或可控性的分级,则在分级时需要保持谨慎,即不论何时有任何疑问,给出一个较高的ASIL等级而不是较低的ASIL等级。7.4.3.2对于每一个危害事件,应基于确定的理由来预估潜在伤害的严重度。应根据表1为严重度指定一个SO、S1、S2或S3的严重度等级。注1:危害事件的风险评估关注的是潜在的处于风险中的每个人受到的伤害情况一包括引起危害事件的车辆的
驾驶员或乘客,以及其他潜在的处于风险中的人员,如骑自行车的人员,行人或其他车辆上的人员。简明损伤定级(AIS)的描述可用于界定严重度,参见附录B。关于严重度的不同类型和事故的资料性示例参见附录B。注2:严重度等级的评估可基于对多个伤害的综合性的考量,相比只考虑单一伤害的评估结果而言,这样可能会导致一个较高的严重度评估
注3:对被评估中的场景,严重度预估需要考虑事件发生的合理顺序注4:严重度的确定基于目标市场中有代表性的个体样本,表1严重度等级
无伤害
轻度和中度伤害
严重的和危及生命的伤
害(有存活的可能)
危及生命的伤害(存活
不确定),致命的伤害
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T34590.3—2017
道路车辆
功能安全
第3部分:概念阶段
Road vehicles-Functional safety-Part 3: Concept phase
(ISO26262-3:2011.MOD)
2017-10-14发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-05-01实施
GB/T34590.3—2017
规范性引用文件
术语、定义和缩略语,
般要求
表的诠释
基于ASIL等级的要求和建议
相关项定义
本章的输人
要求和建议
工作成果
安全生命周期启动
本章的输入
要求和建议
工作成果
危害分析和风险评估
本章的输人
要求和建议
工作成果
8功能安全概念
8.3本章的输人
8.4要求和建议
8.5工作成果
附录A(资料性附录)
概念阶段概览
附录B(资料性附录)危害分析和风险评估参考文献
GB/T34590《道路车辆功能安全》分为以下部分:第1部分:术语;
一第2部分:功能安全管理;
一第3部分:概念阶段;
一第4部分:产品开发:系统层面:一第5部分:产品开发:硬件层面;一第6部分:产品开发:软件层面;第7部分:生产和运行;
一第8部分:支持过程;
一第9部分:以汽车安全完整性等级为导向和以安全为导向的分析;第10部分:指南。
本部分为GB/T34590的第3部分
本部分按照GB/T1.1—2009给出的规则起草。GB/T34590.3—2017bzxz.net
本部分使用重新起草法修改采用ISO26262-3:2011《道路车辆功能安全第3部分:概念阶段》本部分与IS026262-3:2011的技术性差异及其原因如下:修改了本部分的适用范围,由原文的“适用于安装在最大总质量不超过3.5t的量产乘用车上的包含一个或多个电子电气系统的与安全相关系统”改为“适用于安装在量产乘用车上的包含一个或多个电子电气系统的与安全相关的系统”;关于规范性引用文件,本部分做了具有技术性差异的调整,以适应我国的技术条件,调整的情况集中反映在第2章“规范性引用文件”中,具体调整如下:,用修改采用国际标准的GB/T34590.1—2017代替ISO26262-1:2011;●用修改采用国际标准的GB/T34590.2—2017代替ISO26262-2:2011;●用修改采用国际标准的GB/T34590.8—2017代替ISO26262-8:2011;·用修改采用国际标准的GB/T34590.9—2017代替ISO26262-9:2011。本部分还做了下列编辑性修改:修改了国际标准的引言及其表述和图1的内容。本部分由全国汽车标准化技术委员会(SAC/TC114)提出并归口。本部分负责起草单位:中国汽车技术研究中心、泛亚汽车技术中心有限公司、中国第一汽车股份有限公司、博世汽车部件(苏州)有限公司、舍弗勒投资(中国)有限公司、上海海拉电子有限公司、北京兴科迪科技有限公司、联合汽车电子有限公司、上海汽车集团股份有限公司技术中心、东风汽车公司技术中心、重庆长安汽车股份有限公司。本部分参加起草单位:上汽大众汽车有限公司、本田技研工业(中国)投资有限公司上海汽车集团股份有限公司商用车技术中心、上汽通用五菱汽车股份有限责任公司、安徽江淮汽车集团股份有限公司、北京新能源汽车股份有限公司、奇瑞汽车股份有限公司、东风汽车有限公司东风日产乘用车公司。1
GB/T34590.3—2017
本部分主要起草人:李波、尚世亮、张立君、薛剑波、童菲、蒋军、曲元宁、史晓密、杨虎、明月、付越、邓湘鸿、范嘉睿、李艳文、冯亚军、付艳玲、边宁、李燕、陈音、张乐敏、盛一芝、宋锦明、压小军、徐清魁、荣胜军、黄志诚、刘正国、张小帆、引言
GB/T34590.3—2017
ISO26262是以IEC61508为基础,为满足道路车辆上电子电气系统的特定需求而编写。GB/T34590修改采用ISO26262,适用于道路车辆上由电子、电气和软件组件组成的安全相关系统在安全生命周期内的所有活动。安全是未来汽车发展的关键问题之一,不仅在驾驶辅助和动力驱动领域,而且在车辆动态控制和主被动安全系统领域,新的功能越来越多地触及到系统安全工程领域。这些功能的开发和集成将强化对安全相关系统开发流程的需求,并且要求提供满足所有合理的系统安全目标的证明。随着技术日益复杂,软件和机电一体化应用不断增加,来自系统性失效和随机硬件失效的风险逐渐增加。GB/T34590通过提供适当的要求和流程来避免风险。系统安全是通过一系列安全措施实现的。安全措施通过各种技术(例如,机械、液压、气压、电子、电气、可编程电子等)实现且应用于开发过程中的不同层面。尽管GB/T34590针对的是电子电气系统的功能安全,但是它也提供了一个框架,在该框架内可考虑基于其他技术的与安全相关系统。GB/T34590:
a)提供了一个汽车安全生命周期(管理、开发、生产、运行、服务、报废),并支持在这些生命周期阶段内对必要活动的剪裁;
提供了一种汽车特定的基于风险的分析方法,以确定汽车安全完整性等级(ASIL);b)
应用汽车安全完整性等级(ASIL)定义GB/T34590中适用的要求,以避免不合理的残余c)
风险;
d)提供了对于确认和认可措施的要求,以确保达到一个充分、可接受的安全等级;e)提供了与供应商相关的要求。功能安全受开发过程(例如,包括需求规范、设计、实现、集成、验证、确认和配置)、生产过程、服务过程和管理过程的影响。
安全问题与常规的以功能为导向和以质量为导向的开发活动及工作成果相互关联。GB/T34590涉及与安全相关的开发活动和工作成果。图1为GB/T34590的整体架构。GB/T34590基于V模型为产品开发的不同阶段提供参考过程模型:
阴影”V”表示GB/T34590.3—2017、GB/T34590.4—2017、GB/T34590.5—2017、GB/T34590.6—2017、GB/T34590.7—2017之间的相互关系;以“m-n”方式表示的具体章条中,“m\代表特定部分的编号,“n\代表该部分章的编号。示例:“2-6\代表GB/T34590.2—2017的第6章。GB/T34590.3—2017
2-5整体安全管理
3.概念阶段
3-5相关项定义
3-6安全生命周期启动
3-7危害分析和风险评估
3-8功能安全概念
8-5分布式开发的接口
8-6安全要求的定义和管理
8-7配置管理
8-8变更管理
8-9验证
2.功能安全管理
2-6概念阶段和产品开发过程中的安全管理4.产品开发:
系统层面
4-5启动系统层面产品开发
4-6技术安全要求的定义
4-7系统设计
5.产品开发:硬件层面
5-5启动硬件层面产品开发
5-6硬件安全要求的定义
5-7硬件设计
5-8硬件架构度量的评估
5-9随机硬件失效导致违背
安全月标的评估
5-10硬件集成和测试
8.支持过程
4-11生产发布
2-7相关项生产发布后的安全管理7.生产和运行
7-5生产
4-10功能安全评估
4-9安全确认
4-8相关项集成和测试
6.产品开发:软件层面
6-5启动软件层面产品开发
6-6软件安全要求的定义
6-7软件架构设计
6-8软件单元设计和实现
6-9软件单元测试
6-10软件集成和测试
6-11软件安全要求验证
8-10文档
8-11使用软件T.具的置信度
8-12软件组件的鉴定
8-13硬件组件的鉴定
8-14在用证明
9.以汽车安全完整性等级为导向和以安全为导向的分析9-5关于ASIL剪裁的要求分解
9-6要素共的准则
9-7相关失效分析
9-8安全分析
10.指南
GB/T34590—2017概览
7-6运行、服务
(维护与维修)
和报废
1范围
道路车辆功能安全
第3部分:概念阶段
GB/T34590的本部分规定了车辆在概念阶段的要求相关项定义;
一安全生命周期启动;
一危害分析和风险评估;及
一功能安全概念。
GB/T34590.3—2017
本标准适用于安装在量产乘用车上的包含一个或多个电子电气系统的与安全相关的系统。本标准不适用于特殊用途车辆上特定的电子电气系统,例如,为残疾驾驶者设计的车辆。本标准不适用于已经完成生产发布的系统及其组件或在本标准发布日期前开发的系统及其组件对于在本标准发布前完成生产发布的系统及其组件进行进一步的开发或变更时,仅修改的部分需要按照本标准开发。
本标准针对由电子电气安全相关系统的故障行为而引起的可能的危害,包括这些系统相互作用而引起的可能的危害。本标准不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危害和类似的危害,除非危害是直接由电子电气安全相关系统的故障行为而引起的。本标准不针对电子电气系统的标称性能,即使这些系统(例如主动和被动安全系统、制动系统、自适应巡航系统)有专用的功能性能标准。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T34590.1一2017道路车辆功能安全第1部分:术语(ISO26262-1:2011,MOD)GB/T34590.2一2017道路车辆功能安全第2部分:功能安全管理(IS026262-2:2011,MOD)
GB/T34590.8—2017道路车辆功能安全第8部分:支持过程(ISO26262-8:2011,MOD)GB/T34590.9一2017道路车辆功能安全第9部分:以汽车安全完整性等级为导向和以安全为导向的分析(ISO26262-9:2011,MOD)3术语、定义和缩略语
GB/T34590.1一2017界定的术语、定义和缩略语适用于本文件。4要求
4.1一般要求
如声明满足GB/T34590一2017的要求时,应满足每一个要求,除非有下列情况之一:1
GB/T34590.3—2017
a)按照GB/T34590.2一2017的要求,已经计划安全活动的剪裁并表明这些要求不适用;或b)不满足要求的理由存在且是可接受的,并且按照GB/T34590.2一2017的要求对该理由进行了评估。
标有“注”或“示例”的信息仅用于辅助理解或阐明相关要求,不应作为要求本身且不具备完备性。将安全活动的结果作为工作成果。应具备上一阶段工作成果作为“前提条件”的信息。如果章条的某些要求是依照ASIL定义的或可剪裁的,某些工作成果可不作为前提条件“支持信息”是可供参考的信息,但在某些情况下,GB/T34590一2017不要求其作为上一阶段的工作成果,并且可以是由不同于负责功能安全活动的人员或组织等外部资源提供的信息。4.2表的诠释
表属于规范性表还是资料性表取决于上下文。在实现满足相关要求时,表中列出的不同方法有助于置信度水平。表中的每个方法是:a)一个连续的条目(在最左侧列以顺序号标明,如1、2、3);或b)一个选择的条目(在最左侧列以数字后加字母标明,如2a、2b、2c)。对于连续的条目,全部方法应按照ASIL等级推荐予以使用。除了所列出的方法外,如果应用所列出方法以外的其他方法,应给出满足相关要求的理由。对于选择性的条目,应按照指定的ASIL等级,对这些方法进行适当的组合,不依赖于这些方法是否在表中列出。如果所列出的方法对于一个ASIL等级来说具有不同的推荐等级,宜采用具有较高推荐等级的方法。应给出所选的方法组合满足相关要求的理由,注:在表中所列出方法的理由是充分的。但是,这并不意味着有倾向性或对未列到表中的方法表示反对。对于每种方法,应用相关方法的推荐等级取决于ASIL等级,分类如下:“十十”表示对于指定的ASIL等级,高度推荐该方法;一“十”表示对于指定的ASIL等级,推荐该方法;“O”表示对于指定的ASIL等级,不推荐也不反对该方法。4.3基于ASIL等级的要求和建议
若无其他说明,对于ASILAB.C和D等级,应满足每一子章条的要求或建议。这些要求和建议参照安全目标的ASIL等级。如果在项目开发的早期对ASIL等级完成了分解,应按照GB/T34590.9一2017第5章,遵循分解后的ASIL等级。如果GB/T34590一2017中ASIL等级在括号中给出,则对于该ASIL等级,相应的子章条应被训为是推荐而非要求。这里的括号与ASIL等级分解无关。5相关项定义
5.1自的
第一个目的是定义并描述相关项,及其与环境和其他相关项的依赖性和相互影响。第二个目的是为充分理解相关项提供支持,以便执行后续阶段的活动。5.2总则
本章为建立相关项的定义列出了要求和建议,相关项的定义包括其功能、接口、环境条件、法规要求和危害等。该定义为执行后续子阶段:“安全生命周期启动”(参见第6章)、“危害分析和风险评估”(参见第7章)和\功能安全概念”(参见第8章)的人员提供了充足的关于相关项的信息注:附录A中表A.1提供了概念阶段的目的,前提条件和工作成果的概览5.3本章的输入
5.3.1前提条件
5.3.2支持信息
可考虑如下信息:
GB/T34590.3—2017
任何与相关项相关的已有信息,如产品理念、项目梗概、相关专利、预试验结果、来自前代相关项的文档、其他独立的相关项的相关信息。5.4要求和建议
5.4.1应给出相关项的功能性和非功能性的要求,以及相关项与其环境之间的依赖性注1:在定义了相关项的安全目标和各自的ASIL等级后,这些要求可归类为是与安全相关的注2:所需的信息对于相关项的定义来说是一个必要的输入,即使该信息不是与安全相关的。如果不具备所需的信息,则可由本章的要求来促成该信息的生成该信息包括:
a)功能概念,其描述了目的和功能,包括相关项的运行模式和状态;b)运行条件和环境约束;
法规要求(特别是法律和法规),国家标准和国际标准;c)
由相似的功能、相关项或要素实现的行为(如果存在);d)
相关项的预期行为的假设:及
行为不足,包括已知的失效模式和危害,造成的潜在后果,注:可包括关于类似相关项的已知的与安全相关的事件。5.4.2定义相关项的边界,接口以及提出与其他相关项和要素交互关系的假设时,应考虑:a)相关项内部的要素;
注:要素也可基于其他技术
相关项的行为对其他相关项或要素的影响的假设,即相关项的环境;b)
该相关项与其他相关项或要素的相互作用;其他相关项、要素和环境要求本相关项提供的功能;本相关项要求其他相关项、要素和环境提供的功能;功能在所涉及的系统和要素间的分配;及影响相关项功能的运行场景。
5工作成果
相关项定义,由5.4的要求得出。安全生命周期启动
6.1目的
安全生命周期启动的第一个目的是对新的相关项开发和对现有相关项的修改进行区分(参见GB/T34590.2—2017图2)。
安全生命周期启动的第二个目的是在对现有相关项的修改的情况下定义将要实施的安全生命周期3
GB/T34590.3—2017
活动(参见GB/T34590.2—2017图2)。6.2总则
基于相关项定义,通过区分相关项为新的开发还是对现有相关项的修改来启动安全生命周期。对于现有相关项的修改的情况,进行安全相关活动的剪裁。6.3本章的输入
6.3.1前提条件
应具备如下信息:
相关项定义,按照5.5。
6.3.2支持信息
可考虑如下信息:
相关项的定义未包含的,有助于进行影响分析的任何现有信息示例:产品概念,变更要求,实施计划、在用证明6.4要求和建议
6.4.1确定开发类别
应确定相关项是否为一个新的开发,或对现有相关项或其环境的修改:对于新开发的情况,紧接着应根据第7章进行危害分析和风险评估a)
b)对于现有相关项或其环境进行修改的情况,应按照6.4.2确定适用的生命周期子阶段和活动。注:在用证明可适用于修改的情况(参见GB/T34590.8—2017第14章)。6.4.2现有相关项修改的情况下的影响分析和可能的安全生命周期剪裁6.4.2.1
为了识别和描述对相关项或其环境的预期修改,及评估这些修改带来的影响,应进行影响分析。
注1:对相关项的修改包括设计修改和实现方式的修改。设计修改可来自需求的修改(如功能或性能提高或成本优化)。实现方式的修改不影响相关项的定义或性能,仅影响实现方式的特性。示例:实现方式的修改可来自软件的修正,或使用新的开发工具或生产工具。注2:如果配置数据或标定数据的修改会影响相关项的功能,则该修改被认为是对相关项的修改,注3:相关项所处环境的修改可能是由于相关项安装在一个新的目标环境内(如其他车辆变型)或与相关项相互作用的(或在其周边的)其他相关项或要素的升级。6.4.2.2
影响分析应识别和指出因相关项的修改,相关项先前和未来的使用条件之间的修改所带来的影响,包括:
运行场景和运行模式;
与环境的接口;
安装特性,如在车上的位置、车辆配置和变型;及c)
一系列环境条件,如温度,海拨,湿度,振动,电磁干扰和燃油类型。应识别并描述修改对功能安全的影响应识别并描述需要更新的受影响的工作成果安全活动应根据适用的生命周期阶段进行剪裁。剪裁应基于影响分析的结果。
按照GB/T34590.2一2017中6.4.3,剪裁的结果应包含在安全计划中。6.4.2.8应重新生成受到影响的工作成果注:受到影响的工作成果包括确认计划(参见GB/T34590.4—2017)。GB/T34590.3—2017
6.4.2.9如果缺少工作成果或工作成果不满足GB/T34590—2017,则应确定为满足GB/T34590-2017的要求所必需的活动
6.5工作成果
6.5.1影响分析,由6.4.2.1~6.4.2.4的要求得出。6.5.2安全计划(细化的),由6.4.2.5~6.4.2.9的要求得出。7危害分析和风险评估
7.1目的
危害分析和风险评估的目的是识别相关项中因故障而引起的危害并对危害进行归类,制定防止危害事件发生或减轻危害程度的安全目标,以避免不合理的风险。7.2总则
危害分析、风险评估和ASIL等级的确定用于确定相关项的安全目标以避免不合理的风险。为此,根据相关项中潜在的危害事件,对相关项进行评估。通过对危害事件进行系统性的评估确定安全目标及分配给它们的ASIL等级。ASIL等级是通过对影响因子:严重度、暴露概率和可控性的预估确定的,影响因子的确定基于相关项的功能行为,因而不一定需要知道相关项的设计细节7.3本章的输入
7.3.1前提条件
应提供以下信息:
相关项定义,按照5.5。
7.3.2支持信息
可考虑如下信息:
影响分析,如果适用(参见6.5.1):及其他独立相关项的相关信息(来自外部)。7.4要求和建议
7.4.1危害分析和风险评估的启动7.4.1.1应基于相关项的定义进行危害分析和风险评估。7.4.1.2在危害分析和风险评估过程中,应对不含内部安全机制的相关项进行评估,即在危害分析和风险评估过程中不应考虑将要实施或已经在前代相关项中实施的安全机制。注1:在对相关项进行评估过程中,可用的且充分独立的外部措施是有益的。示例:如果通过电子稳定性控制(ESC)提供更多的控制是可用的并且充分独立的,则其能减轻底盘系统失效的影响。
注2:相关项中将要或已经实施的安全机制是功能安全概念的一部分。5
GB/T34590.3—2017
7.4.2场景分析及危害识别
7.4.2.1场景分析
应对相关项的故障行为导致一个危害事件发生时所处的运行场景及运行模式进行描述,既要考虑正确使用车辆的情况,也要考虑可预见的不正确使用车辆的情况,注:运行场景描述了期望相关项以一种安全的方式进行工作的边界范围。例如:不期望普通乘用车在越野路面高速行驶。
7.4.2.2危害识别
7.4.2.2.1应通过使用足够的技术手段系统地确定危害。注:使用诸如头脑风暴、检查列表、质量历史记录、FMEA和现场研究等技术提取相关项层面的危害。7.4.2.2.2应以能在整车层面观察到的条件或行为来定义危害注1:通常,每一个危害有多种与相关项的功能实现相关的潜在原因。但在危害分析和风险评估中,对于危害的条件或行为进行定义时,不需要考虑这些原因,这些原因是从相关项的功能行为得出的。注2:仅考虑与相关项自身相关的危害,假设其他充分独立的系统(外部措施)均正确工作。7.4.2.2.3危害事件应由运行场景和危害的相关组合确定。7.4.2.2.4应识别危害事件的后果。注:如果相关项层面的失效导致该相关项丧失多个功能,则场景分析和危害识别需考虑由相关项或整车的故障行为组合而导致的危害事件。
示例:整车供电系统的失效能导致同时丧失一系列功能,包括“发动机扭矩”“助力转向”及“前向照明”7.4.2.2.5如果在7.4.2.2中所识别出的危害超出GB/T34590—2017的范围(参见第1章),应注明需要采用适当的措施来减轻或控制这些危害并通报给相关责任者。注:由于这些危害超出GB/T34590—2017的范围,因此不需要进行危害分类。7.4.3危害事件分类
7.4.3.1应对在7.4.2.2中识别出的所有的危害事件进行分类,除了超出GB/T34590一2017范围的注:如果难以对一个给定的危害进行严重度、暴露概率或可控性的分级,则在分级时需要保持谨慎,即不论何时有任何疑问,给出一个较高的ASIL等级而不是较低的ASIL等级。7.4.3.2对于每一个危害事件,应基于确定的理由来预估潜在伤害的严重度。应根据表1为严重度指定一个SO、S1、S2或S3的严重度等级。注1:危害事件的风险评估关注的是潜在的处于风险中的每个人受到的伤害情况一包括引起危害事件的车辆的
驾驶员或乘客,以及其他潜在的处于风险中的人员,如骑自行车的人员,行人或其他车辆上的人员。简明损伤定级(AIS)的描述可用于界定严重度,参见附录B。关于严重度的不同类型和事故的资料性示例参见附录B。注2:严重度等级的评估可基于对多个伤害的综合性的考量,相比只考虑单一伤害的评估结果而言,这样可能会导致一个较高的严重度评估
注3:对被评估中的场景,严重度预估需要考虑事件发生的合理顺序注4:严重度的确定基于目标市场中有代表性的个体样本,表1严重度等级
无伤害
轻度和中度伤害
严重的和危及生命的伤
害(有存活的可能)
危及生命的伤害(存活
不确定),致命的伤害
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。