GB∕T 34590.9-2017
基本信息
标准号: GB∕T 34590.9-2017
中文名称:道路车辆 功能安全 第9部分:以汽车安全完整性等级为导向和以安全为导向的分析
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:1676KB
相关标签: 道路 车辆 功能 安全 汽车 完整性 等级 导向 分析
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 34590.9-2017 道路车辆 功能安全 第9部分:以汽车安全完整性等级为导向和以安全为导向的分析
GB∕T34590.9-2017
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS_43.040
口中华人民共和国国家标准
GB/T34590.9—2017
道路车辆
功能安全第9部分:
以汽车安全完整性等级为
导向和以安全为导向的分析
Road vehiclesFunctional safety-Part 9: AutomotiveSafety Integrity Level(ASIL)-oriented and safety-oriented analyses(ISO26262-9:2011MOD)
2017-10-14发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-05-01实施
GB/T34590.9—2017
规范性引用文件
术语、定义和缩略语
一般要求
表的诠释
基于ASIL等级的要求和建议
5关于ASIL剪裁的要求分解
本章的输人
要求和建议
工作成果
要素共存的准则
本章的输入
要求和建议
工作成果
相关失效分析
本章的输人
要求和建议
工作成果
8安全分析
8.3本章的输人
8.4要求和建议
工作成果wwW.bzxz.Net
附录A(资料性附录)
参考文献
以汽车安全完整性等级为导向和以安全为导向的分析的概览m
GB/T34590《道路车辆功能安全》分为以下部分:第1部分:术语;
第2部分:功能安全管理;
第3部分:概念阶段;
一第4部分:产品开发:系统层面;一第5部分:产品开发:硬件层面;一第6部分:产品开发:软件层面;第7部分:生产和运行;
一第8部分:支持过程;
一第9部分:以汽车安全完整性等级为导向和以安全为导向的分析;一第10部分:指南。
本部分为GB/T34590的第9部分。本部分按照GB/T1.1一2009给出的规则起草GB/T34590.9—2017
本部分使用重新起草法修改采用1S026262-9:2011《道路车辆厂功能安全第9部分:以汽车安
全完整性等级为导向和以安全为导向的分析》。本部分与ISO26262-9:2011的技术性差异及其原因如下修改了本部分的适用范围,由原文的“适用于安装在最大总质量不超过3.5的量产乘用车上的包含一个或多个电子电气系统的与安全相关系统”改为“适用于安装在量产乘用车上的包含个或多个电子电气系统的与安全相关的系统”;关于规范性引用文件,本部分做了具有技术性差异的调整,以适应我国的技术条件,调整的情况集中反映在第2章“规范性引用文件”中,具体调整如下:?用修改采用国际标准的GB/T34590.1—2017代替ISO26262-1:2011;·用修改采用国际标准的GB/T34590.2—2017代替ISO26262-2:2011;·用修改采用国际标准的GB/T34590.3—2017代替ISO26262-3:2011;●用修改采用国际标准的GB/T34590.4—2017代替ISO26262-4:2011;·用修改采用国际标准的GB/T34590.5—2017代替ISO26262-5:2011;·用修改采用国际标准的GB/T34590.62017代替ISO26262-6:2011;,用修改采用国际标准的GB/T34590.8—2017代替ISO26262-8:2011。本部分还做了下列编辑性修改:修改了国际标准的引言及其表述和图1的内容本部分由全国汽车标准化技术委员会(SAC/TC114)提出并归口。本部分负责起草单位:中国汽车技术研究中心泛亚汽车技术中心有限公司博世汽车部件(苏州)有限公司、中国第一汽车股份有限公司、北京兴科迪科技有限公司、舍弗勒投资(中国)有限公司、上海海拉电子有限公司、联合汽车电子有限公司、大陆汽车投资(上海)有限公司、宁德时代新能源科技有限公司,北汽福田汽车股份有限公司。本部分参加起草单位:郑州宇通客车股份有限公司、合肥巨一动力系统有限公司、上海海马汽车研发有限公司、上海鉴石汽车技术有限公司、大众汽车(中国)投资有限公司。1
GB/T34590.9—2017
本部分主要起草人:李波、尚世亮、曲元宁、杨虎、张立君、蒋军、薛剑波、史晓密、童菲、还宏生、蒋云、明月、付越、李艳文、郑伟、邱冬、阳邓华、卢长军、高冉、付广胜、顾杰、曹亚妮、韩亚超、秦浩、归寅、王璐婷、赵闻。
GB/T34590.9—2017
ISO26262是以IEC61508为基础,为满足道路车辆上电子电气系统的特定需求而编写。GB/T34590修改采用ISO26262,适用于道路车辆上由电子、电气和软件组件组成的安全相关系统在安全生命周期内的所有活动。安全是未来汽车发展的关键问题之一,不仅在驾驶辅助和动力驱动领域,而且在车辆动态控制和主被动安全系统领域,新的功能越来越多地触及到系统安全工程领域。这些功能的开发和集成将强化对安全相关系统开发流程的需求,并且要求提供满足所有合理的系统安全目标的证明。随着技术日益复杂、软件和机电一体化应用不断增加,来自系统性失效和随机硬件失效的风险逐渐增加。GB/T34590通过提供适当的要求和流程给出了避免风险的指导。系统安全是通过一系列安全措施实现的。安全措施通过各种技术(例如,机械、液压、气压、电子、电气、可编程电子等)实现且应用于开发过程中的不同层面。尽管GB/T34590针对的是电子电气系统的功能安全,但是它也提供了一个框架,在该框架内可考虑基于其他技术的与安全相关系统。GB/T34590:
a)提供了一个汽车安全生命周期(管理、开发、生产、运行、服务、报废),并支持在这些生命周期阶段内对必要活动的剪裁;
提供了一种汽车特定的基于风险的分析方法以确定汽车安全完整性等级(ASIL);b)
应用汽车安全完整性等级(ASIL)定义GB/T34590中适用的要求,以避免不合理的残余c)
风险;
d)提供了对于确认和认可措施的要求,以确保达到一个充分、可接受的安全等级;e)提供了与供应商相关的要求。功能安全受开发过程(例如,包括需求规范、设计、实现、集成、验证、确认和配置)、生产过程、服务过程和管理过程的影响。
安全问题与常规的以功能为导向和以质量为导向的开发活动及工作成果相互关联。GB/T34590涉及与安全相关的开发活动和工作成果。图1为GB/T34590的整体架构。GB/T34590基于V模型为产品开发的不同阶段提供参考过程模型:
阴影V”表示GB/T34590.3—2017、GB/T34590.4—2017、GB/T34590.5—2017、GB/T34590.6—2017、GB/T34590.7—2017之间的相互关系;以“m-n”方式表示的具体章条中,“m\代表特定部分的编号,“n\代表该部分章的编号。示例:“2-6\代表GB/T34590.2—2017第6章。GB/T34590.9—2017
2-5整体安全管理
3.概念阶段
3-5相关项定义
3-6安全生命周期启动
3-7危害分析和风险评估
3-8功能安全概念
8-5分布式开发的接口
8-6安全要求的定义和管理
8-7配置管理
8-8变更管理
8-9验证
2.功能安全管理
2-6概念阶段和产品开发过程中的安全管理4.产品开发:
系统层面
4-5启动系统层面产品开发
4-6技术安全要求的定义
4-7系统设计
5.产品开发:硬件层面
5-5启动硬件层面产品开发
5-6硬件安全要求的定义
5-7硬件设计
5-8硬件架构度量的评估
5-9随机硬件失效导致违背
安全月标的评估
5-10硬件集成和测试
8.支持过程
4-11生产发布
2-7相关项生产发布后的安全管理7.生产和运行
7-5生产
4-10功能安全评估
4-9安全确认
4-8相关项集成和测试
6.产品开发:软件层面
6-5启动软件层面产品开发
6-6软件安全要求的定义
6-7软件架构设计
6-8软件单元设计和实现
6-9软件单元测试
6-10软件集成和测试
6-11软件安全要求验证
8-10文档
8-11使用软件T.具的置信度
8-12软件组件的鉴定
8-13硬件组件的鉴定
8-14在用证明
9.以汽车安全完整性等级为导向和以安全为导向的分析9-5关于ASIL剪裁的要求分解
9-6要素共的准则
9-7相关失效分析
9-8安全分析
10.指南
GB/T34590—2017概览
7-6运行、服务
(维护与维修)
和报废
1范围
道路车辆功能安全第9部分:
以汽车安全完整性等级为
导向和以安全为导向的分析
GB/T34590.9—2017
GB/T34590的本部分规定了以汽车安全完整性等级为导向和以安全为导向的分析的要求,包括:关于ASIL剪裁的要求分解;
要素共存的准则;
相关失效分析;及
安全分析。
本标准适用于安装在量产乘用车上的包含一个或多个电子电气系统的与安全相关的系统。本标准不适用于特殊用途车辆上特定的电子电气系统,例如,为残疾驾驶者设计的车辆。本标准不适用于已经完成生产发布的系统及其组件或在本标准发布日期前开发的系统及其组件对于在本标准发布前完成生产发布的系统及其组件进行进一步的开发或变更时,仅修改的部分需要按照本标准开发。
本标准针对由电子电气安全相关系统的故障行为而引起的可能的危害,包括这些系统相互作用而引起的可能的危害。本标准不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危害和类似的危害,除非危害是直接由电子电气安全相关系统的故障行为而引起的本标准不针对电子电气系统的标称性能,即使这些系统(例如主动和被动安全系统、制动系统、自适应巡航系统)有专用的功能性能标准。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T34590.1一2017道路车辆功能安全第1部分:术语(ISO26262-1:2011.MOD)GB/T34590.2—2017
两功能安全第2部分:功能安全管理(ISO26262-2:2011,道路车辆
GB/T34590.3—2017
功能安全第3部分:概念阶段(ISO26262-3:2011,MOD)道路车辆:
GB/T34590.4—
GB/T34590.5—2017
GB/T34590.6—2017
功能安全第4部分:产品开发:系统层面(ISO26262-4:2011,道路车辆:
功能安全第5部分:产品开发:硬件层面(ISO26262-5:2011,道路车辆
道路车辆
GB/T34590.8—2017
道路车辆
功能安全第6部分:产品开发:软件层面(ISO26262-6:2011:功能安全第8部分:支持过程(IS026262-8:2011,MOD)1
GB/T34590.9—2017
3术语、定义和缩略语
GB/T34590.1一2017界定的术语、定义和缩略语适用于本文件。4要求
4.1一般要求
如声明满足GB/T34590一2017的要求时,应满足每一个要求,除非有下列情况之一:a)按照GB/T34590.2一2017的要求,已经计划了安全活动的剪裁并表明这些要求不适用;或b)不满足要求的理由存在且是可接受的,并且按照GB/T34590.2一2017对该理由进行了评估。标有“注”或“示例”的信息仅用于辅助理解或阐明相关要求,不应作为要求本身且不具备完备性。将安全活动的结果作为工作成果。应具备上一阶段工作成果作为“前提条件”的信息。如果章条的某些要求是依照ASIL定义的或可剪裁的,某些工作成果可不作为前提条件。“支持信息\是可供参考的信息,但在某些情况下,GB/T34590一2017不要求其作为上一阶段的工作成果,并且可以是由不同于负责功能安全活动的人员或组织等外部资源提供的信息。4.2表的诠释
表属于规范性表还是资料性表取决于上下文。在实现满足相关要求时,表中列出的不同方法有助于置信度水平。表中的每个方法是:a)一个连续的条目(在最左侧列以顺序号标明,如1、2、3);b)一个选择的条目(在最左侧列以数字后加字母标明,如2a、2b、2c)。对于连续的条目,全部方法应按照ASIL等级推荐予以使用。除了所列出的方法外,如果应用所列出方法以外的其他方法,应给出满足相关要求的理由。对于选择性的条目,应按照指定的ASIL等级,对这些方法进行适当的组合,不依赖于这些方法是否在表中列出。如果所列出的方法对于一个ASIL等级来说具有不同的推荐等级,宜采用具有较高推荐等级的方法。应给出所选的方法组合满足相关要求的理由,表中所列出的方法的理由是充分的。但是,这并不意味着有倾向性或对未列到表中的方法表示反对。
对于每种方法,应用相关方法的推荐等级取决于ASIL等级,分类如下:“十十”表示对于指定的ASIL等级,高度推荐该方法一“十”表示对于指定的ASIL等级,推荐该方法;一“o\表示对于指定的ASIL等级,不推荐也不反对该方法。4.3基于ASIL等级的要求和建议
若无其他说明,对于ASILA、B、C和D等级,应满足每一子章条的要求或建议。这些要求和建议参照安全目标的ASIL等级。如果在项目开发的早期对ASIL等级完成了分解,按照GB/T34590.92017第5章,应遵循分解后的ASIL等级。如果GB/T34590一2017中ASIL等级在括号中给出,则对于该ASIL等级,相应的子章条应被认为是推荐而非要求。这里的括号与ASIL等级分解无关。2
5关于ASIL剪裁的要求分解
5.1目的
GB/T34590.9—2017
本章提供了将安全要求分解为完余安全要求的规则和指导,以允许在更细节层面的ASIL剪裁。5.2总则
所开发相关项的安全目标的ASIL等级贯穿整个相关项的开发过程。从安全目标开始,安全要求在开发阶段得出并细化。ASIL等级作为安全目标的一个属性,由后续每个安全要求继承。功能和技术安全要求向每个架构要素的分配,开始于初步的架构设想,结束于硬件和软件要素设计过程中的ASIL剪裁方法称为\ASIL分解”。在分配过程中,可从包括存在充分独立的架构要素等架构决策中获得益处,这提供了以下机会:通过这些独立的架构要素完余实现安全要求;及分配一个可能更低的ASIL等级给这些分解后的安全要求。如果架构要素不是充分独立的,则余要求和架构要素继承初始的ASIL等级。注1:ASIL分解是一种ASIL剪裁方法,可用于相关项或要素的功能安全要求、技术安全要求、硬件或者软件安全要求。
注2:作为一项基本原则,ASIL分解需要安全要求具有完余性,且分配给充分独立的架构要素注3:使用同构元余(例如:通过复制设备或复制软件)的情况下,考虑到硬件和软件的系统性失效,不能降低ASIL等级,除非相关失效的分析提供了存在充分独立性或潜在共因指向安全状态的证据。因此,同构元余因缺少要素间的独立性,通常不足以降低ASIL等级。注4:通常,ASIL分解不适用于在多通道架构设计中用来确保通道选择的要素或切换的要素。通常,ASIL分解允许将安全要求的ASIL等级在几个用来确保同一安全目标的同一安全要求的要素间进行分配。在特定条件下,允许在预期功能及其相应的安全机制间进行ASIL分解(参见5.4.7)。针对随机硬件失效的要求,包括硬件架构度量的评估和由于随机硬件失效导致违背安全目标的评估(参见GB/T34590.5一2017),在ASIL分解后仍保持不变注:附录A中表A.1提供了以汽车安全完整性等级为导向和以安全为导向的分析的目的、前提条件和工作成果的概览。
5.3本章的输入
5.3.1前提条件
应具备下列信息:
ASIL分解所在系统、硬件或软件层面的安全要求,按照GB/T34590.3一2017的8.5.1、GB/T34590.4—2017的6.5.1,GB/T34590.52017的6.5.1或GB/T34590.6—2017的6.5.1及
ASIL分解所在系统、硬件或软件层面的架构信息,按照GB/T34590.4一2017的7.5.2、GB/T34590.5—2017的7.5.1或GB/T34590.6—2017的7.5.1。5.3.2支持信息
可考虑下列信息:
相关项定义(参见GB/T34590.3—2017的5.5);及——安全目标(参见GB/T34590.3—2017的7.5.2)。3
GB/T34590.9—2017
5.4要求和建议
5.4.1如果应用ASIL分解,应满足本章的所有要求。5.4.2进行ASIL分解时,应分别考虑每一个初始的安全要求。注:对不同初始安全要求的ASIL分解,可将儿个安全要求分配给同一独立要素。5.4.3应将初始安全要求分解为由充分独立要素执行的穴余安全要求5.4.4每个分解后的安全要求自身应符合初始安全要求。注:此要求通过定义提供了完余。5.4.5按照GB/T34590.5一2017.对硬件架构度量的评估要求和对由于随机硬件失效导致违背安全目标的评估要求应在ASIL分解后保持不变。5.4.6如果在软件层面应用ASIL分解,应在系统层面检查执行分解后要求的要素间的充分独立性,且应在软件层面,硬件层面或系统层面采取适当的措施来获得充分的独立性。5.4.7如果对初始安全要求的ASIL分解导致将分解后的要求分配给预期功能及相关安全机制,则:a)相关安全机制宜被赋予分解后的最高ASIL等级;注:通常,与预期功能相比,安全机制具备更低的复杂度和更小的规模。b)安全要求应被分配给预期功能,并按照相应分解后的ASIL等级实现。注:如果选择了分解方案ASIL.x(x)十QM(x),则QM(x)意味着对于实现分配给预期功能的安全要求的要素开发,质量管理体系是充分的。QM(x)也意味着质量管理体系可为预期功能和安全机制间独立性的依据提供支持。
5.4.8如果不能通过将要素关闭来阻止对初始安全要求的违背,则应展示执行分解后安全要求的充分独立要素具备足够的可用性。
5.4.9对安全要求应用ASIL分解时:a)应按照5.4.10应用ASIL分解:b)
ASIL分解的应用可能多于一次;c)应通过在括号中给出安全目标的ASIL等级,对每个分解后的ASIL等级做标注。示例:如果一个ASILD的要求分解成一个ASILC的要求和一个ASILA的要求,则应标注成\ASILC(D)”和“ASILA(D)”。如果ASILC(D)的要求进一步分解成一个ASILB的要求和一个ASILA的要求,则应使用安全目标的ASIL等级将其标注为\ASILB(D)\和\ASILA(D)”。5.4.10应按照分解前的ASIL等级选择下列分解方案中的一种(如图2所示),或使用可得出更高ASIL等级的方案。
注:从所选分解方案的一个层面到相邻更低层面的步骤定义了ASIL等级的一个分解a)应按照下列之一对一个ASILD的要求进行分解:1)一个ASILC(D)的要求和一个ASILA(D)的要求;或2)一个ASILB(D)的要求和一个ASILB(D)的要求;或3)一个ASILD(D)的要求和一个QM(D)的要求。b)应按照下列之一对一个ASILC的要求进行分解:1)一个ASILB(C)的要求和一个ASILA(C)的要求;或2)一个ASILC(C)的要求和一个QM(C)的要求。c)应按照下列之一对一个ASILB的要求进行分解:1)一个ASILA(B)的要求和一个ASILA(B)的要求;或2)一个ASILB(B)的要求和一个QM(B)的要求。d)
一个ASILA的要求不应被进一步分解,除非需要分解成一个ASILA(A)的要求和一个QM(A)的要求。
ASIL.C(D)
ASILBC
ASILArB
ASILA(D)
ASILA(B
其他分解
5.4.11的要求
ASILBD
5.4.11的要
其他分解
和5.4.12的要
其他分解
其他分解
其他分解
GB/T34590.9—2017
分解之前
5,4.11的要求
分解之后
分解之前
5.4.的要求
分解之后
分解之前
分解之后
分解之前
5.4.m的要求
分解之后
示例:5.4.7中描述的案例,即:QM分配给预期功能、与初始ASIL等级相同的ASIL等级分配给相关安全机制,如最右列所示,
注:每个分解步骤最上面阴影框内的值代表分解前的ASIL等级图2ASIL分解方案
当使用5.4.10中给出的任何分解方案时,则:应按照安全目标的ASIL等级实施符合GB/T34590.2一2017的6.4.7的认可措施:b)
应具备分解后要素充分独立性的证据。注:如果相关失效分析(参见本部分第7章)未发现可导致违背分解前安全要求的相关失效来源,或识别出的每个相关失效的来源都按照安全目标的ASIL等级被安全措施充分控制,则要素是充分独立的。5.4.12
当使用5.4.10a)2)中给出的ASILD分解方案时,则:应按照GB/T34590.8一2017第6章ASILC的要求来定义分解后的安全要求;a
注:与ASILB相比,ASILC要求更正式的标记法,从而更有效的避免系统性失效,并降低两个ASILB(D)实施间的相关性
如果用相同的软件工具开发分解后的要素,则这些软件工具应考虑为开发ASILD相关项或b)
要素的软件工具,并符合GB/T34590.8一2017中软件工具使用的置信度。5
GB/T34590.9—2017
3应至少按照GB/T34590.4一2017和GB/T34590.6—2017中(分解后的)ASIL等级要求,在系5.4.13
统层面和软件层面开发分解后的要素。应至少按照GB/T34590.5一2017中(分解后的)ASIL等级要求,在硬件层面开发分解后的要素,但硬件架构度量的评估和因随机硬件失效导致违背安全目标的评估除外(参见5.4.5)。
5.4.14在应用了分解的设计过程的每个层面,应按照分解前的ASIL等级的要求开展对分解后的要素的相关集成活动及后续活动。
5.5工作成果
5.5.1架构信息的更新,由5.4得出。5.5.2作为安全要求和要素的属性的ASIL等级更新,由5.4得出。6要素共存的准则
6.1目的
本章提供了以下子要素在同一要素内共存的准则:安全相关的子要素与没有分配ASIL等级的子要素;及一分配了不同ASIL等级的安全相关子要素。6.2总则
通常,当某个要素由几个子要素组成时,依照适用于该要素的最高ASIL等级(即:分配给要素的安全要求的最高ASIL等级)的相应措施开发每个子要素(参见GB/T34590.4一2017的7.4.2.3)。在分配了不同ASIL等级的子要素共存情况下,或未分配ASIL等级的子要素与安全相关的子要素共存情况下,避免将某些子要素的ASIL等级提高到要素的ASIL等级可能是有益的。为达到该目的,本章为确定要素中子要素的ASIL等级提供了指导。本章以要素中某个子要素与其余子要素间的干扰分析为基础。
干扰是由未分配ASIL等级的子要素或分配了较低ASIL等级的子要素,到分配了较高ASIL等级的子要素发生了级联失效,从而导致违背了要素的安全要求(参见GB/T34590.1一2017中2.13和2.49的定义)。
当确定要素中子要素的ASIL等级时,关注级联失效的相关失效分析(参见本部分第7章)支持了免于干扰的理由。
6.3本章的输入
6.3.1前提条件
应具备下列信息:
开展分析所在系统、硬件或软件层面的安全要求,按照GB/T34590.3一2017的8.5.1、GB/T34590.4—2017的6.5.1.GB/T34590.5—2017的6.5.1或GB/T34590.6—2017的6.5.1;及
一开展分析所在系统、硬件或软件层面的要素架构信息,按照GB/T34590.4一2017的7.5.2、GB/T34590.5—2017的7.5.1或GB/T34590.6—2017的7.5.1。6.3.2支持信息
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
口中华人民共和国国家标准
GB/T34590.9—2017
道路车辆
功能安全第9部分:
以汽车安全完整性等级为
导向和以安全为导向的分析
Road vehiclesFunctional safety-Part 9: AutomotiveSafety Integrity Level(ASIL)-oriented and safety-oriented analyses(ISO26262-9:2011MOD)
2017-10-14发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-05-01实施
GB/T34590.9—2017
规范性引用文件
术语、定义和缩略语
一般要求
表的诠释
基于ASIL等级的要求和建议
5关于ASIL剪裁的要求分解
本章的输人
要求和建议
工作成果
要素共存的准则
本章的输入
要求和建议
工作成果
相关失效分析
本章的输人
要求和建议
工作成果
8安全分析
8.3本章的输人
8.4要求和建议
工作成果wwW.bzxz.Net
附录A(资料性附录)
参考文献
以汽车安全完整性等级为导向和以安全为导向的分析的概览m
GB/T34590《道路车辆功能安全》分为以下部分:第1部分:术语;
第2部分:功能安全管理;
第3部分:概念阶段;
一第4部分:产品开发:系统层面;一第5部分:产品开发:硬件层面;一第6部分:产品开发:软件层面;第7部分:生产和运行;
一第8部分:支持过程;
一第9部分:以汽车安全完整性等级为导向和以安全为导向的分析;一第10部分:指南。
本部分为GB/T34590的第9部分。本部分按照GB/T1.1一2009给出的规则起草GB/T34590.9—2017
本部分使用重新起草法修改采用1S026262-9:2011《道路车辆厂功能安全第9部分:以汽车安
全完整性等级为导向和以安全为导向的分析》。本部分与ISO26262-9:2011的技术性差异及其原因如下修改了本部分的适用范围,由原文的“适用于安装在最大总质量不超过3.5的量产乘用车上的包含一个或多个电子电气系统的与安全相关系统”改为“适用于安装在量产乘用车上的包含个或多个电子电气系统的与安全相关的系统”;关于规范性引用文件,本部分做了具有技术性差异的调整,以适应我国的技术条件,调整的情况集中反映在第2章“规范性引用文件”中,具体调整如下:?用修改采用国际标准的GB/T34590.1—2017代替ISO26262-1:2011;·用修改采用国际标准的GB/T34590.2—2017代替ISO26262-2:2011;·用修改采用国际标准的GB/T34590.3—2017代替ISO26262-3:2011;●用修改采用国际标准的GB/T34590.4—2017代替ISO26262-4:2011;·用修改采用国际标准的GB/T34590.5—2017代替ISO26262-5:2011;·用修改采用国际标准的GB/T34590.62017代替ISO26262-6:2011;,用修改采用国际标准的GB/T34590.8—2017代替ISO26262-8:2011。本部分还做了下列编辑性修改:修改了国际标准的引言及其表述和图1的内容本部分由全国汽车标准化技术委员会(SAC/TC114)提出并归口。本部分负责起草单位:中国汽车技术研究中心泛亚汽车技术中心有限公司博世汽车部件(苏州)有限公司、中国第一汽车股份有限公司、北京兴科迪科技有限公司、舍弗勒投资(中国)有限公司、上海海拉电子有限公司、联合汽车电子有限公司、大陆汽车投资(上海)有限公司、宁德时代新能源科技有限公司,北汽福田汽车股份有限公司。本部分参加起草单位:郑州宇通客车股份有限公司、合肥巨一动力系统有限公司、上海海马汽车研发有限公司、上海鉴石汽车技术有限公司、大众汽车(中国)投资有限公司。1
GB/T34590.9—2017
本部分主要起草人:李波、尚世亮、曲元宁、杨虎、张立君、蒋军、薛剑波、史晓密、童菲、还宏生、蒋云、明月、付越、李艳文、郑伟、邱冬、阳邓华、卢长军、高冉、付广胜、顾杰、曹亚妮、韩亚超、秦浩、归寅、王璐婷、赵闻。
GB/T34590.9—2017
ISO26262是以IEC61508为基础,为满足道路车辆上电子电气系统的特定需求而编写。GB/T34590修改采用ISO26262,适用于道路车辆上由电子、电气和软件组件组成的安全相关系统在安全生命周期内的所有活动。安全是未来汽车发展的关键问题之一,不仅在驾驶辅助和动力驱动领域,而且在车辆动态控制和主被动安全系统领域,新的功能越来越多地触及到系统安全工程领域。这些功能的开发和集成将强化对安全相关系统开发流程的需求,并且要求提供满足所有合理的系统安全目标的证明。随着技术日益复杂、软件和机电一体化应用不断增加,来自系统性失效和随机硬件失效的风险逐渐增加。GB/T34590通过提供适当的要求和流程给出了避免风险的指导。系统安全是通过一系列安全措施实现的。安全措施通过各种技术(例如,机械、液压、气压、电子、电气、可编程电子等)实现且应用于开发过程中的不同层面。尽管GB/T34590针对的是电子电气系统的功能安全,但是它也提供了一个框架,在该框架内可考虑基于其他技术的与安全相关系统。GB/T34590:
a)提供了一个汽车安全生命周期(管理、开发、生产、运行、服务、报废),并支持在这些生命周期阶段内对必要活动的剪裁;
提供了一种汽车特定的基于风险的分析方法以确定汽车安全完整性等级(ASIL);b)
应用汽车安全完整性等级(ASIL)定义GB/T34590中适用的要求,以避免不合理的残余c)
风险;
d)提供了对于确认和认可措施的要求,以确保达到一个充分、可接受的安全等级;e)提供了与供应商相关的要求。功能安全受开发过程(例如,包括需求规范、设计、实现、集成、验证、确认和配置)、生产过程、服务过程和管理过程的影响。
安全问题与常规的以功能为导向和以质量为导向的开发活动及工作成果相互关联。GB/T34590涉及与安全相关的开发活动和工作成果。图1为GB/T34590的整体架构。GB/T34590基于V模型为产品开发的不同阶段提供参考过程模型:
阴影V”表示GB/T34590.3—2017、GB/T34590.4—2017、GB/T34590.5—2017、GB/T34590.6—2017、GB/T34590.7—2017之间的相互关系;以“m-n”方式表示的具体章条中,“m\代表特定部分的编号,“n\代表该部分章的编号。示例:“2-6\代表GB/T34590.2—2017第6章。GB/T34590.9—2017
2-5整体安全管理
3.概念阶段
3-5相关项定义
3-6安全生命周期启动
3-7危害分析和风险评估
3-8功能安全概念
8-5分布式开发的接口
8-6安全要求的定义和管理
8-7配置管理
8-8变更管理
8-9验证
2.功能安全管理
2-6概念阶段和产品开发过程中的安全管理4.产品开发:
系统层面
4-5启动系统层面产品开发
4-6技术安全要求的定义
4-7系统设计
5.产品开发:硬件层面
5-5启动硬件层面产品开发
5-6硬件安全要求的定义
5-7硬件设计
5-8硬件架构度量的评估
5-9随机硬件失效导致违背
安全月标的评估
5-10硬件集成和测试
8.支持过程
4-11生产发布
2-7相关项生产发布后的安全管理7.生产和运行
7-5生产
4-10功能安全评估
4-9安全确认
4-8相关项集成和测试
6.产品开发:软件层面
6-5启动软件层面产品开发
6-6软件安全要求的定义
6-7软件架构设计
6-8软件单元设计和实现
6-9软件单元测试
6-10软件集成和测试
6-11软件安全要求验证
8-10文档
8-11使用软件T.具的置信度
8-12软件组件的鉴定
8-13硬件组件的鉴定
8-14在用证明
9.以汽车安全完整性等级为导向和以安全为导向的分析9-5关于ASIL剪裁的要求分解
9-6要素共的准则
9-7相关失效分析
9-8安全分析
10.指南
GB/T34590—2017概览
7-6运行、服务
(维护与维修)
和报废
1范围
道路车辆功能安全第9部分:
以汽车安全完整性等级为
导向和以安全为导向的分析
GB/T34590.9—2017
GB/T34590的本部分规定了以汽车安全完整性等级为导向和以安全为导向的分析的要求,包括:关于ASIL剪裁的要求分解;
要素共存的准则;
相关失效分析;及
安全分析。
本标准适用于安装在量产乘用车上的包含一个或多个电子电气系统的与安全相关的系统。本标准不适用于特殊用途车辆上特定的电子电气系统,例如,为残疾驾驶者设计的车辆。本标准不适用于已经完成生产发布的系统及其组件或在本标准发布日期前开发的系统及其组件对于在本标准发布前完成生产发布的系统及其组件进行进一步的开发或变更时,仅修改的部分需要按照本标准开发。
本标准针对由电子电气安全相关系统的故障行为而引起的可能的危害,包括这些系统相互作用而引起的可能的危害。本标准不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危害和类似的危害,除非危害是直接由电子电气安全相关系统的故障行为而引起的本标准不针对电子电气系统的标称性能,即使这些系统(例如主动和被动安全系统、制动系统、自适应巡航系统)有专用的功能性能标准。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T34590.1一2017道路车辆功能安全第1部分:术语(ISO26262-1:2011.MOD)GB/T34590.2—2017
两功能安全第2部分:功能安全管理(ISO26262-2:2011,道路车辆
GB/T34590.3—2017
功能安全第3部分:概念阶段(ISO26262-3:2011,MOD)道路车辆:
GB/T34590.4—
GB/T34590.5—2017
GB/T34590.6—2017
功能安全第4部分:产品开发:系统层面(ISO26262-4:2011,道路车辆:
功能安全第5部分:产品开发:硬件层面(ISO26262-5:2011,道路车辆
道路车辆
GB/T34590.8—2017
道路车辆
功能安全第6部分:产品开发:软件层面(ISO26262-6:2011:功能安全第8部分:支持过程(IS026262-8:2011,MOD)1
GB/T34590.9—2017
3术语、定义和缩略语
GB/T34590.1一2017界定的术语、定义和缩略语适用于本文件。4要求
4.1一般要求
如声明满足GB/T34590一2017的要求时,应满足每一个要求,除非有下列情况之一:a)按照GB/T34590.2一2017的要求,已经计划了安全活动的剪裁并表明这些要求不适用;或b)不满足要求的理由存在且是可接受的,并且按照GB/T34590.2一2017对该理由进行了评估。标有“注”或“示例”的信息仅用于辅助理解或阐明相关要求,不应作为要求本身且不具备完备性。将安全活动的结果作为工作成果。应具备上一阶段工作成果作为“前提条件”的信息。如果章条的某些要求是依照ASIL定义的或可剪裁的,某些工作成果可不作为前提条件。“支持信息\是可供参考的信息,但在某些情况下,GB/T34590一2017不要求其作为上一阶段的工作成果,并且可以是由不同于负责功能安全活动的人员或组织等外部资源提供的信息。4.2表的诠释
表属于规范性表还是资料性表取决于上下文。在实现满足相关要求时,表中列出的不同方法有助于置信度水平。表中的每个方法是:a)一个连续的条目(在最左侧列以顺序号标明,如1、2、3);b)一个选择的条目(在最左侧列以数字后加字母标明,如2a、2b、2c)。对于连续的条目,全部方法应按照ASIL等级推荐予以使用。除了所列出的方法外,如果应用所列出方法以外的其他方法,应给出满足相关要求的理由。对于选择性的条目,应按照指定的ASIL等级,对这些方法进行适当的组合,不依赖于这些方法是否在表中列出。如果所列出的方法对于一个ASIL等级来说具有不同的推荐等级,宜采用具有较高推荐等级的方法。应给出所选的方法组合满足相关要求的理由,表中所列出的方法的理由是充分的。但是,这并不意味着有倾向性或对未列到表中的方法表示反对。
对于每种方法,应用相关方法的推荐等级取决于ASIL等级,分类如下:“十十”表示对于指定的ASIL等级,高度推荐该方法一“十”表示对于指定的ASIL等级,推荐该方法;一“o\表示对于指定的ASIL等级,不推荐也不反对该方法。4.3基于ASIL等级的要求和建议
若无其他说明,对于ASILA、B、C和D等级,应满足每一子章条的要求或建议。这些要求和建议参照安全目标的ASIL等级。如果在项目开发的早期对ASIL等级完成了分解,按照GB/T34590.92017第5章,应遵循分解后的ASIL等级。如果GB/T34590一2017中ASIL等级在括号中给出,则对于该ASIL等级,相应的子章条应被认为是推荐而非要求。这里的括号与ASIL等级分解无关。2
5关于ASIL剪裁的要求分解
5.1目的
GB/T34590.9—2017
本章提供了将安全要求分解为完余安全要求的规则和指导,以允许在更细节层面的ASIL剪裁。5.2总则
所开发相关项的安全目标的ASIL等级贯穿整个相关项的开发过程。从安全目标开始,安全要求在开发阶段得出并细化。ASIL等级作为安全目标的一个属性,由后续每个安全要求继承。功能和技术安全要求向每个架构要素的分配,开始于初步的架构设想,结束于硬件和软件要素设计过程中的ASIL剪裁方法称为\ASIL分解”。在分配过程中,可从包括存在充分独立的架构要素等架构决策中获得益处,这提供了以下机会:通过这些独立的架构要素完余实现安全要求;及分配一个可能更低的ASIL等级给这些分解后的安全要求。如果架构要素不是充分独立的,则余要求和架构要素继承初始的ASIL等级。注1:ASIL分解是一种ASIL剪裁方法,可用于相关项或要素的功能安全要求、技术安全要求、硬件或者软件安全要求。
注2:作为一项基本原则,ASIL分解需要安全要求具有完余性,且分配给充分独立的架构要素注3:使用同构元余(例如:通过复制设备或复制软件)的情况下,考虑到硬件和软件的系统性失效,不能降低ASIL等级,除非相关失效的分析提供了存在充分独立性或潜在共因指向安全状态的证据。因此,同构元余因缺少要素间的独立性,通常不足以降低ASIL等级。注4:通常,ASIL分解不适用于在多通道架构设计中用来确保通道选择的要素或切换的要素。通常,ASIL分解允许将安全要求的ASIL等级在几个用来确保同一安全目标的同一安全要求的要素间进行分配。在特定条件下,允许在预期功能及其相应的安全机制间进行ASIL分解(参见5.4.7)。针对随机硬件失效的要求,包括硬件架构度量的评估和由于随机硬件失效导致违背安全目标的评估(参见GB/T34590.5一2017),在ASIL分解后仍保持不变注:附录A中表A.1提供了以汽车安全完整性等级为导向和以安全为导向的分析的目的、前提条件和工作成果的概览。
5.3本章的输入
5.3.1前提条件
应具备下列信息:
ASIL分解所在系统、硬件或软件层面的安全要求,按照GB/T34590.3一2017的8.5.1、GB/T34590.4—2017的6.5.1,GB/T34590.52017的6.5.1或GB/T34590.6—2017的6.5.1及
ASIL分解所在系统、硬件或软件层面的架构信息,按照GB/T34590.4一2017的7.5.2、GB/T34590.5—2017的7.5.1或GB/T34590.6—2017的7.5.1。5.3.2支持信息
可考虑下列信息:
相关项定义(参见GB/T34590.3—2017的5.5);及——安全目标(参见GB/T34590.3—2017的7.5.2)。3
GB/T34590.9—2017
5.4要求和建议
5.4.1如果应用ASIL分解,应满足本章的所有要求。5.4.2进行ASIL分解时,应分别考虑每一个初始的安全要求。注:对不同初始安全要求的ASIL分解,可将儿个安全要求分配给同一独立要素。5.4.3应将初始安全要求分解为由充分独立要素执行的穴余安全要求5.4.4每个分解后的安全要求自身应符合初始安全要求。注:此要求通过定义提供了完余。5.4.5按照GB/T34590.5一2017.对硬件架构度量的评估要求和对由于随机硬件失效导致违背安全目标的评估要求应在ASIL分解后保持不变。5.4.6如果在软件层面应用ASIL分解,应在系统层面检查执行分解后要求的要素间的充分独立性,且应在软件层面,硬件层面或系统层面采取适当的措施来获得充分的独立性。5.4.7如果对初始安全要求的ASIL分解导致将分解后的要求分配给预期功能及相关安全机制,则:a)相关安全机制宜被赋予分解后的最高ASIL等级;注:通常,与预期功能相比,安全机制具备更低的复杂度和更小的规模。b)安全要求应被分配给预期功能,并按照相应分解后的ASIL等级实现。注:如果选择了分解方案ASIL.x(x)十QM(x),则QM(x)意味着对于实现分配给预期功能的安全要求的要素开发,质量管理体系是充分的。QM(x)也意味着质量管理体系可为预期功能和安全机制间独立性的依据提供支持。
5.4.8如果不能通过将要素关闭来阻止对初始安全要求的违背,则应展示执行分解后安全要求的充分独立要素具备足够的可用性。
5.4.9对安全要求应用ASIL分解时:a)应按照5.4.10应用ASIL分解:b)
ASIL分解的应用可能多于一次;c)应通过在括号中给出安全目标的ASIL等级,对每个分解后的ASIL等级做标注。示例:如果一个ASILD的要求分解成一个ASILC的要求和一个ASILA的要求,则应标注成\ASILC(D)”和“ASILA(D)”。如果ASILC(D)的要求进一步分解成一个ASILB的要求和一个ASILA的要求,则应使用安全目标的ASIL等级将其标注为\ASILB(D)\和\ASILA(D)”。5.4.10应按照分解前的ASIL等级选择下列分解方案中的一种(如图2所示),或使用可得出更高ASIL等级的方案。
注:从所选分解方案的一个层面到相邻更低层面的步骤定义了ASIL等级的一个分解a)应按照下列之一对一个ASILD的要求进行分解:1)一个ASILC(D)的要求和一个ASILA(D)的要求;或2)一个ASILB(D)的要求和一个ASILB(D)的要求;或3)一个ASILD(D)的要求和一个QM(D)的要求。b)应按照下列之一对一个ASILC的要求进行分解:1)一个ASILB(C)的要求和一个ASILA(C)的要求;或2)一个ASILC(C)的要求和一个QM(C)的要求。c)应按照下列之一对一个ASILB的要求进行分解:1)一个ASILA(B)的要求和一个ASILA(B)的要求;或2)一个ASILB(B)的要求和一个QM(B)的要求。d)
一个ASILA的要求不应被进一步分解,除非需要分解成一个ASILA(A)的要求和一个QM(A)的要求。
ASIL.C(D)
ASILBC
ASILArB
ASILA(D)
ASILA(B
其他分解
5.4.11的要求
ASILBD
5.4.11的要
其他分解
和5.4.12的要
其他分解
其他分解
其他分解
GB/T34590.9—2017
分解之前
5,4.11的要求
分解之后
分解之前
5.4.的要求
分解之后
分解之前
分解之后
分解之前
5.4.m的要求
分解之后
示例:5.4.7中描述的案例,即:QM分配给预期功能、与初始ASIL等级相同的ASIL等级分配给相关安全机制,如最右列所示,
注:每个分解步骤最上面阴影框内的值代表分解前的ASIL等级图2ASIL分解方案
当使用5.4.10中给出的任何分解方案时,则:应按照安全目标的ASIL等级实施符合GB/T34590.2一2017的6.4.7的认可措施:b)
应具备分解后要素充分独立性的证据。注:如果相关失效分析(参见本部分第7章)未发现可导致违背分解前安全要求的相关失效来源,或识别出的每个相关失效的来源都按照安全目标的ASIL等级被安全措施充分控制,则要素是充分独立的。5.4.12
当使用5.4.10a)2)中给出的ASILD分解方案时,则:应按照GB/T34590.8一2017第6章ASILC的要求来定义分解后的安全要求;a
注:与ASILB相比,ASILC要求更正式的标记法,从而更有效的避免系统性失效,并降低两个ASILB(D)实施间的相关性
如果用相同的软件工具开发分解后的要素,则这些软件工具应考虑为开发ASILD相关项或b)
要素的软件工具,并符合GB/T34590.8一2017中软件工具使用的置信度。5
GB/T34590.9—2017
3应至少按照GB/T34590.4一2017和GB/T34590.6—2017中(分解后的)ASIL等级要求,在系5.4.13
统层面和软件层面开发分解后的要素。应至少按照GB/T34590.5一2017中(分解后的)ASIL等级要求,在硬件层面开发分解后的要素,但硬件架构度量的评估和因随机硬件失效导致违背安全目标的评估除外(参见5.4.5)。
5.4.14在应用了分解的设计过程的每个层面,应按照分解前的ASIL等级的要求开展对分解后的要素的相关集成活动及后续活动。
5.5工作成果
5.5.1架构信息的更新,由5.4得出。5.5.2作为安全要求和要素的属性的ASIL等级更新,由5.4得出。6要素共存的准则
6.1目的
本章提供了以下子要素在同一要素内共存的准则:安全相关的子要素与没有分配ASIL等级的子要素;及一分配了不同ASIL等级的安全相关子要素。6.2总则
通常,当某个要素由几个子要素组成时,依照适用于该要素的最高ASIL等级(即:分配给要素的安全要求的最高ASIL等级)的相应措施开发每个子要素(参见GB/T34590.4一2017的7.4.2.3)。在分配了不同ASIL等级的子要素共存情况下,或未分配ASIL等级的子要素与安全相关的子要素共存情况下,避免将某些子要素的ASIL等级提高到要素的ASIL等级可能是有益的。为达到该目的,本章为确定要素中子要素的ASIL等级提供了指导。本章以要素中某个子要素与其余子要素间的干扰分析为基础。
干扰是由未分配ASIL等级的子要素或分配了较低ASIL等级的子要素,到分配了较高ASIL等级的子要素发生了级联失效,从而导致违背了要素的安全要求(参见GB/T34590.1一2017中2.13和2.49的定义)。
当确定要素中子要素的ASIL等级时,关注级联失效的相关失效分析(参见本部分第7章)支持了免于干扰的理由。
6.3本章的输入
6.3.1前提条件
应具备下列信息:
开展分析所在系统、硬件或软件层面的安全要求,按照GB/T34590.3一2017的8.5.1、GB/T34590.4—2017的6.5.1.GB/T34590.5—2017的6.5.1或GB/T34590.6—2017的6.5.1;及
一开展分析所在系统、硬件或软件层面的要素架构信息,按照GB/T34590.4一2017的7.5.2、GB/T34590.5—2017的7.5.1或GB/T34590.6—2017的7.5.1。6.3.2支持信息
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。