[PDF] GB/T 34590.3-2017 - 自动发货. 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GB/T 34590.3-2017 | 145 | GB/T 34590.3-2017 | 9秒内发货PDF | 道路车辆 功能安全 第3部分:概念阶段 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 34590.3-2017 (GB/T34590.3-2017) |
| 中文名称 | 道路车辆 功能安全第3部分:概念阶段 |
| 英文名称 | Road vehicles -- Functional safety -- Part 3: Concept phase |
| 行业 | 国家标准 (推荐) |
| 中标分类 | T35 |
| 国际标准分类 | 43.040 |
| 字数估计 | 26,285 |
| 发布日期 | 2017-10-14 |
| 实施日期 | 2018-05-01 |
| 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
GB/T 34590.3-2017
道路车辆 功能安全 第3部分:概念阶段
Road vehicles -- Functional safety -- Part 3: Concept phase
1 范围
GB/T 34590的本部分规定了车辆在概念阶段的要求:
---相关项定义;
---安全生命周期启动;
---危害分析和风险评估;及
---功能安全概念。
本标准适用于安装在量产乘用车上的包含一个或多个电子电气系统的与安全相关的系统。
本标准不适用于特殊用途车辆上特定的电子电气系统,例如,为残疾驾驶者设计的车辆。
本标准不适用于已经完成生产发布的系统及其组件或在本标准发布日期前开发的系统及其组件。
对于在本标准发布前完成生产发布的系统及其组件进行进一步的开发或变更时,仅修改的部分需要按
照本标准开发。
本标准针对由电子电气安全相关系统的故障行为而引起的可能的危害,包括这些系统相互作用而
引起的可能的危害。本标准不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危害和类似的危害,除非危害是直接由电子电气安全相关系统的故障行为而引起的。
本标准不针对电子电气系统的标称性能,即使这些系统(例如主动和被动安全系统、制动系统、自适
应巡航系统)有专用的功能性能标准。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 34590.1-2017 道路车辆 功能安全 第1部分:术语(ISO 26262-1:2011,MOD)
GB/T 34590.2-2017 道路车辆 功能安全 第2部分:功能安全管理(ISO 26262-2:2011,
MOD)
GB/T 34590.8-2017 道路车辆 功能安全 第8部分:支持过程(ISO 26262-8:2011,MOD)
GB/T 34590.9-2017 道路车辆 功能安全 第9部分:以汽车安全完整性等级为导向和以安全
为导向的分析(ISO 26262-9:2011,MOD)
3 术语、定义和缩略语
GB/T 34590.1-2017界定的术语、定义和缩略语适用于本文件。
4 要求
4.1 一般要求
如声明满足GB/T 34590-2017的要求时,应满足每一个要求,除非有下列情况之一:
a) 按照GB/T 34590.2-2017的要求,已经计划安全活动的剪裁并表明这些要求不适用;或
b) 不满足要求的理由存在且是可接受的,并且按照GB/T 34590.2-2017的要求对该理由进行
了评估。
标有“注”或“示例”的信息仅用于辅助理解或阐明相关要求,不应作为要求本身且不具备完备性。
将安全活动的结果作为工作成果。应具备上一阶段工作成果作为“前提条件”的信息。如果章条的
某些要求是依照ASIL定义的或可剪裁的,某些工作成果可不作为前提条件。
“支持信息”是可供参考的信息,但在某些情况下,GB/T 34590-2017不要求其作为上一阶段的工
作成果,并且可以是由不同于负责功能安全活动的人员或组织等外部资源提供的信息。
4.2 表的诠释
表属于规范性表还是资料性表取决于上下文。在实现满足相关要求时,表中列出的不同方法有助
于置信度水平。表中的每个方法是:
a) 一个连续的条目(在最左侧列以顺序号标明,如1、2、3);或
b) 一个选择的条目(在最左侧列以数字后加字母标明,如2a、2b、2c)。
对于连续的条目,全部方法应按照ASIL等级推荐予以使用。除了所列出的方法外,如果应用所列
出方法以外的其他方法,应给出满足相关要求的理由。
对于选择性的条目,应按照指定的ASIL等级,对这些方法进行适当的组合,不依赖于这些方法是
否在表中列出。如果所列出的方法对于一个ASIL等级来说具有不同的推荐等级,宜采用具有较高推
荐等级的方法。应给出所选的方法组合满足相关要求的理由。
注:在表中所列出方法的理由是充分的。但是,这并不意味着有倾向性或对未列到表中的方法表示反对。
对于每种方法,应用相关方法的推荐等级取决于ASIL等级,分类如下:
---“++”表示对于指定的ASIL等级,高度推荐该方法;
---“+”表示对于指定的ASIL等级,推荐该方法;
---“O”表示对于指定的ASIL等级,不推荐也不反对该方法。
4.3 基于ASIL等级的要求和建议
若无其他说明,对于ASILA、B、C和D等级,应满足每一子章条的要求或建议。这些要求和建议
参照安 全 目 标 的 ASIL 等 级。如 果 在 项 目 开 发 的 早 期 对 ASIL 等 级 完 成 了 分 解,应 按 照
GB/T 34590.9-2017第5章,遵循分解后的ASIL等级。
如果GB/T 34590-2017中ASIL等级在括号中给出,则对于该ASIL等级,相应的子章条应被认
为是推荐而非要求。这里的括号与ASIL等级分解无关。
5 相关项定义
5.1 目的
第一个目的是定义并描述相关项,及其与环境和其他相关项的依赖性和相互影响。
第二个目的是为充分理解相关项提供支持,以便执行后续阶段的活动。
5.2 总则
本章为建立相关项的定义列出了要求和建议,相关项的定义包括其功能、接口、环境条件、法规要求
和危害等。该定义为执行后续子阶段:“安全生命周期启动”(参见第6章)、“危害分析和风险评估”(参
见第7章)和“功能安全概念”(参见第8章)的人员提供了充足的关于相关项的信息。
注:附录A中表A.1提供了概念阶段的目的、前提条件和工作成果的概览。
5.3 本章的输入
5.3.1 前提条件
无。
5.3.2 支持信息
可考虑如下信息:
---任何与相关项相关的已有信息,如产品理念、项目梗概、相关专利、预试验结果、来自前代相关
项的文档、其他独立的相关项的相关信息。
5.4 要求和建议
5.4.1 应给出相关项的功能性和非功能性的要求,以及相关项与其环境之间的依赖性。
注1:在定义了相关项的安全目标和各自的ASIL等级后,这些要求可归类为是与安全相关的。
注2:所需的信息对于相关项的定义来说是一个必要的输入,即使该信息不是与安全相关的。如果不
具备所需的信息,则可由本章的要求来促成该信息的生成。
该信息包括:
a) 功能概念,其描述了目的和功能,包括相关项的运行模式和状态;
b) 运行条件和环境约束;
c) 法规要求(特别是法律和法规),国家标准和国际标准;
d) 由相似的功能、相关项或要素实现的行为(如果存在);
e) 相关项的预期行为的假设;
f) 行为不足,包括已知的失效模式和危害,造成的潜在后果。
5.4.2 定义相关项的边界、接口以及提出与其他相关项和要素交互关系的假设时,应考虑:
a) 相关项内部的要素;
注:要素也可基于其他技术。
b) 相关项的行为对其他相关项或要素的影响的假设,即相关项的环境;
c) 该相关项与其他相关项或要素的相互作用;
d) 其他相关项、要素和环境要求本相关项提供的功能;
e) 本相关项要求其他相关项、要素和环境提供的功能;
f) 功能在所涉及的系统和要素间的分配;
g) 影响相关项功能的运行场景。
5.5 工作成果
相关项定义,由5.4的要求得出。
6 安全生命周期启动
6.1 目的
安全生命周期启动的第一个目的是对新的相关项开发和对现有相关项的修改进行区分(参见
GB/T 34590.2-2017图2)。
安全生命周期启动的第二个目的是在对现有相关项的修改的情况下定义将要实施的安全生命周期
活动(参见GB/T 34590.2-2017图2)。
6.2 总则
基于相关项定义,通过区分相关项为新的开发还是对现有相关项的修改来启动安全生命周期。对
于现有相关项的修改的情况,进行安全相关活动的剪裁。
6.3 本章的输入
6.3.1 前提条件
应具备如下信息:
---相关项定义,按照5.5。
6.3.2 支持信息
可考虑如下信息:
---相关项的定义未包含的、有助于进行影响分析的任何现有信息。
示例:产品概念、变更要求、实施计划、在用证明。
6.4 要求和建议
6.4.1 确定开发类别
应确定相关项是否为一个新的开发,或对现有相关项或其环境的修改:
a) 对于新开发的情况,紧接着应根据第7章进行危害分析和风险评估。
b) 对于现有相关项或其环境进行修改的情况,应按照6.4.2确定适用的生命周期子阶段和活动。
注:在用证明可适用于修改的情况(参见GB/T 34590.8-2017第14章)。
6.4.2 现有相关项修改的情况下的影响分析和可能的安全生命周期剪裁
6.4.2.1 为了识别和描述对相关项或其环境的预期修改,及评估这些修改带来的影响,应进行影响
分析。
注1:对相关项的修改包括设计修改和实现方式的修改。设计修改可来自需求的修改(如功能或性能提高或成本优化)。实现方式的修改不影响相关项的定义或性能,仅影响实现方式的特性。
示例:实现方式的修改可来自软件的修正,或使用新的开发工具或生产工具。
注2:如果配置数据或标定数据的修改会影响相关项的功能,则该修改被认为是对相关项的修改。
注3:相关项所处环境的修改可能是由于相关项安装在一个新的目标环境内(如其他车辆变型)或与相关项相互作用的(或在其周边的)其他相关项或要素的升级。
6.4.2.2 影响分析应识别和指出因相关项的修改、相关项先前和未来的使用条件之间的修改所带来的
影响,包括:
a) 运行场景和运行模式;
b) 与环境的接口;
c) 安装特性,如在车上的位置、车辆配置和变型;及
d) 一系列环境条件,如温度、海拔、湿度、振动、电磁干扰和燃油类型。
6.4.2.3 应识别并描述修改对功能安全的影响。
6.4.2.4 应识别并描述需要更新的受影响的工作成果。
6.4.2.5 安全活动应根据适用的生命周期阶段进行剪裁。
6.4.2.6 剪裁应基于影响分析的结果。
6.4.2.7 按照GB/T 34590.2-2017中6.4.3,剪裁的结果应包含在安全计划中。
6.4.2.8 应重新生成受到影响的工作成果。
6.4.2.9 如果缺少工作成果或工作成果不满足GB/T 34590-2017,则应确定为满足GB/T 34590-
2017的要求所必需的活动。
6.5 工作成果
6.5.1 影响分析,由6.4.2.1~6.4.2.4的要求得出。
6.5.2 安全计划(细化的),由6.4.2.5~6.4.2.9的要求得出。
7 危害分析和风险评估
7.1 目的
危害分析和风险评估的目的是识别相关项中因故障而引起的危害并对危害进行归类,制定防止危
害事件发生或减轻危害程度的安全目标,以避免不合理的风险。
7.2 总则
危害分析、风险评估和ASIL等级的确定用于确定相关项的安全目标以避免不合理的风险。为此,
根据相关项中潜在的危害事件,对相关项进行评估。通过对危害事件进行系统性的评估确定安全目标
及分配给它们的ASIL等级。ASIL等级是通过对影响因子:严重度、暴露概率和可控性的预估确定的,
影响因子的确定基于相关项的功能行为,因而不一定需要知道相关项的设计细节。
7.3 本章的输入
7.3.1 前提条件
应提供以下信息:
---相关项定义,按照5.5。
7.3.2 支持信息
可考虑如下信息:
---影响分析,如果适用(参见6.5.1);及
---其他独立相关项的相关信息(来自外部)。
7.4 要求和建议
7.4.1 危害分析和风险评估的启动
7.4.1.1 应基于相关项的定义进行危害分析和风险评估。
7.4.1.2 在危害分析和风险评估过程中,应对不含内部安全机制的相关项进行评估,即在危害分析和风
险评估过程中不应考虑将要实施或已经在前代相关项中实施的安全机制。
注1:在对相关项进行评估过程中,可用的且充分独立的外部措施是有益的。
示例:如果通过电子稳定性控制(ESC)提供更多的控制是可用的并且充分独立的,则其能减轻底盘系统失效的影响。
注2:相关项中将要或已经实施的安全机制是功能安全概念的一部分。
7.4.2 场景分析及危害识别
7.4.2.1 场景分析
应对相关项的故障行为导致一个危害事件发生时所处的运行场景及运行模式进行描述,既要考虑
正确使用车辆的情况,也要考虑可预见的不正确使用车辆的情况。
注:运行场景描述了期望相关项以一种安全的方式进行工作的边界范围。例如:不期望普通乘用车在越野路面高速行驶。
7.4.2.2 危害识别
7.4.2.2.1 应通过使用足够的技术手段系统地确定危害。
注:使用诸如头脑风暴、检查列表、质量历史记录、FMEA和现场研究等技术提取相关项层面的危害。
7.4.2.2.2 应以能在整车层面观察到的条件或行为来定义危害。
注1:通常,每一个危害有多种与相关项的功能实现相关的潜在原因,但在危害分析和风险评估中,对于危害的条件或行为进行定义时,不需要考虑这些原因,这些原因是从相关项的功能行为得出的。
注2:仅考虑与相关项自身相关的危害,假设其他充分独立的系统(外部措施)均正确工作。
7.4.2.2.3 危害事件应由运行场景和危害的相关组合确定。
7.4.2.2.4 应识别危害事件的后果。
注:如果相关项层面的失效导致该相关项丧失多个功能,则场景分析和危害识别需考虑由相关项或整车的故障行为组合而导致的危害事件。
示例:整车供电系统的失效能导致同时丧失一系列功能,包括“发动机扭矩”“助力转向”及“前向照明”。
7.4.2.2.5 如果在7.4.2.2中所识别出的危害超出GB/T 34590-2017的范围(参见第1章),应注明需
要采用适当的措施来减轻或控制这些危害并通报给相关责任者。
注:由于这些危害超出GB/T 34590-2017的范围,因此不需要进行危害分类。
7.4.3 危害事件分类
7.4.3.1 应对在7.4.2.2中识别出的所有的危害事件进行分类,除了超出GB/T 34590-2017范围的。
注:如果难以对一个给定的危害进行严重度、暴露概率或可控性的分级,则在分级时需要保持谨慎,即不论何时有任何疑问,给出一个较高的ASIL等级而不是较低的ASIL等级。
7.4.3.2 对于每一个危害事件,应基于确定的理由来预估潜在伤害的严重度。应根据表1为严重度指
定一个S0、S1、S2或S3的严重度等级。
注1:危害事件的风险评估关注的是潜在的处于风险中的每个人受到的伤害情况---包括引起危害事件的车辆的驾驶员或乘客,以及其他潜在的处于风险中的人员,如骑自行车的人员、行人或其他车辆上的人员。简明损伤定级(AIS)的描述可用于界定严重度,参见附录B。关于严重度的不同类型和事故的资料性示例参见附录B。
注2:严重度等级的评估可基于对多个伤害的综合性的考量,相比只考虑单一伤害的评估结果而言,这样可能会导致一个较高的严重度评估。
注3:对被评估中的场景,严重度预估需要考虑事件发生的合理顺序。
7.4.3.3 如果经过危害分析,确定相关项的故障行为的后果明显局限于物质损坏并不涉及对人员的伤
害,则该危害的严重度等级可为S0。如果一个危害的严重度等级为S0,则无需分配ASIL等级。
7.4.3.4 对于每一个危害事件,应基于确定的理由预估每个运行场景的暴露概率。应按照表2为暴露
概率指定一个E0、E1、E2、E3或E4的概率等级。
注1:从E1到E4等级,两个相邻E等级间的概率差异是一个数量级。
注2:暴露概率的确定基于目标市场中有代表性的运行场景样本。
注3:暴露概率的相关细节和示例参见附录B。
7.4.3.5 当预估暴露概率时,不应考虑装备该相关项的车辆数量。
注:暴露概率的评估是基于假设每个车辆都配备有该相关项进行的。这意味着“因为该相关项未装备在每个车辆上(只有一些车辆装备该相关项),所以暴露概率会降低”的观点是不成立的。
7.4.3.6 暴露概率等级E0可用于在危害分析和风险评估过程中所建议的那些认为是几乎不可能发生
或难以置信的场景,无需跟进。应记录排除这些场景的理由。如果一个危害的暴露概率等级被指定为
E0,则无需分配ASIL等级。
7.4.3.7 对于每一个危害事件,应基于一个确定的理由预估驾驶员或其他潜在处于风险的人员对该危
害事件的可控性。应按照表3为可控性指定一个C0、C1、C2或C3的可控性等级。
注1:从C1到C3等级,两个相邻C等级间的概率差异是一个数量级。
注2:可控性评估指预估驾驶员或其他潜在处于风险的人员能够充分控制危害事件以避免特定伤害的概率。因此,使用级别分别为C1、C2、和C3的参数C,对避免伤害的可能性进行分类。假设驾驶员在正常的条件下驾驶(例如:他/她不疲劳),经过相应的驾驶员培训(他/她有驾驶执照)并遵守所有适用的法律法规,包括应有的谨慎以避免为其他交通参与者带来风险。表B.4列出了一些示例,用于对这些等级做出解释。考虑合理地可预见的误操作。
注3:当危害事件与车辆方向和速度的控制无关时,例如肢体卡在运动部件中,该可控性是对涉险人员能够移出自身,或被该危害场景中的其他人员移出的概率的预估。当考虑可控性时,注意涉险人员可能不熟悉相关项的运行。
注4:当可控性涉及多个交通参与者的行为时,可控性的评估可基于带有故障相关项的车辆的可控性,以及其他参与者的可能的行为。
7.4.3.8 如果相关项失效的危害不影响车辆的安全运行(例如一些驾驶员辅助系统),可控性等级可为
C0。如果已经有专门法规规定了针对一个既定危害的功能表现,则该危害的可控性等级可为C0,此外,
也可通过应用现有的经验认为达到了充分的可控性,通过讨论而定义为C0等级。如果一个危害的可
控性等级为C0,则无需分配ASIL等级。
示例:某个专门的法规精确地定义了在失效情况下,车辆系统应具备的力或加速度。
7.4.4 ASIL等级和安全目标的确定
7.4.4.1 每一个危害事件的ASIL等级应根据表4使用“严重度”“暴露概率”和“可控性”这三个参数
确定。
注1:4个ASIL等级:ASILA、ASILB、ASILC和ASILD,其中 ASILA是最低的安全完整性等级,ASILD是最高的。
注2:除了这4个ASIL等级之外,QM(质量管理)等级表示GB/T 34590-2017不做要求。
7.4.4.2 应确保运行场景列表的详细程度选择不会导致相应安全目标的ASIL等级不适当的降低。
注:对一个危害来说,一个非常详细的关于车辆状况、道路条件和环境条件的运行场景列表(参见7.4.2.2),可得到关于多个危害事件的详细分类。这可以更容易地评估可控性和严重度。然而,大量的不同运行场景可导致相应地降低各自的暴露等级,从而不恰当地降低相应安全目标的ASIL等级。
7.4.4.3 应为具有ASIL等级的每个危害事件确定一个安全目标,该ASIL等级从危害分析中得出。如
果所确定的安全目标是类似的,可将其合并为一个安全目标。
注:安全目标是相关项最高层面的安全要求。安全目标导出功能安全要求,以避免每个危害事件的不合理风险。
安全目标不表述为技术解决方案,而表述为功能目的。
7.4.4.4 应将为危害事件所确定的ASIL等级分配给对应的安全目标。如果将类似的安全目标合并为
一个安全目标,按照7.4.4.3,应将最高的ASIL等级分配给合并后的安全目标。
注:如果合并后的安全目标是针对不同场景下的相同的危害,则安全目标的ASIL等级是每种场景下所考虑的安全目标中最高的一个。
7.4.4.5 如果一个安全目标可以通过转移到或保持一个或多个安全状态来实现,则应明确说明对应的
安全状态。
注:安全状态将在第8章中进一步说明。
示例:一个安全状态可以是关闭、锁定、车辆静止,以及在某种失效情况下规定的时间内保持功能。
7.4.4.6 安全目标连同它们的属性(ASIL等级)应按照GB/T 34590.8-2017第6章进行定义。
注:安全目标可包括诸如容错时间间隔等特征,或物理特性(例如最大的非预期方向盘转矩,最大的非预期加速度),如果它们与ASIL等级的确定相关。
7.4.5 验证
危害分析、风险评估和安全目标应按照GB/T 34590.8-2017第9章进行验证,以表明其:
a) 场景(7.4.2.1)和危害(7.4.2.2)的完备性;
b) 与相关项定义的符合性;
c) 与相关危害分析和风险评估的一致性;
d) 对危害事件覆盖的完备性;及
e) 所分配的ASIL等级与相关危害事件的一致性。
注:该验证评审检查相关项的危害分析和风险评估的正确性和完备性,即考虑的场景、危害和参数估计(严重度、暴露概率和可控性)。相比之下,根据GB/T 34590.2-2017进行的危害分析和风险评估的认可评审,正式地检查危害分析和风险评估的流程是否符合第7章的要求。认可评审由一位或多位来自不同的部门或组织的人来执行,而不是相关项的开发人员。
7.5 工作成果
7.5.1 危害分析和风险评估,由7.4.1.1~7.4.4.2的要求得出。
7.5.2 安全目标,由7.4.4.3~7.4.4.6的要求得出。
7.5.3 危害分析和风险评估以及安全目标的验证评审报告,由7.4.5的要求得出。
8 功能安全概念
8.1 目的
功能安全概念的目的是从安全目标中得出功能安全要求,并将其分配给相关项的初步架构要素或
外部措施。
8.2 总则
为了满足安全目标,功能安全概念包括安全措施(含安全机制),这些安全措施将在相关项的架构要
素中实现,并在功能安全要求中规定。
功能安全概念涵盖:
---故障探测和失效减轻;
---向安全状态的过渡;
---容错机制,在此机制下一个故障不直接导致违背一个或多个安全目标,并且使相关项保持在安
全状态(无论是否有功能降级);
---故障探测和驾驶员警告,目的是将风险暴露时间降低到一个可接受的时间区间内(例如:发动
机故障指示灯,ABS故障警示灯);
---仲裁逻辑,从不同功能同时生成的多种请求中选择最合适的控制请求。
8.3 本章的输入
8.3.1 前提条件
应具备以下信息:
---相关项定义,按照5.5;
---危害分析和风险评估,按照7.5.1;
---安全目标,按照7.5.2。
8.3.2 支持信息
可考虑以下信息:
---初步架构设想(来自外部)。
8.4 要求和建议
8.4.1 总则
功能安全要求应按照GB/T 34590.8-2017第6章进行定义。
8.4.2 功能安全要求的导出
8.4.2.1 功能安全要求应由安全目标和安全状态导出,并考虑初步架构设想。
8.4.2.2 应为每一个安全目标定义至少一项功能安全要求。
注:一项功能安全要求可对几个安全目标有效。
8.4.2.3 如果适用,应考虑以下几点来定义每项功能安全要求:
a) 运行模式;
b) 故障容错时间间隔;
c) 安全状态;
d) 紧急运行时间间隔;及
e) 功能冗余(例如故障容错)。
注:为了制定一套完整有效的功能安全要求,安全分析(例如FMEA、FTA、HAZOP)可为以上活动提供支持。
8.4.2.4 如果在一个可接受的时间间隔内,不能过渡到安全状态,应规定紧急运行。
示例:当立即关闭系统尚不能达到安全状态的时候,应规定紧急运行。
8.4.2.5 应将报警和降级概念定义为功能安全要求。
注:在报警和降级概念中描述了安全状态的过渡(切换到安全状态和从安全状态中恢复)和过渡条件。
示例1:通过切换到安全状态进行故障探测和失效减轻。
示例2:故障探测和驾驶员警告是为了将风险暴露的时间降低到可接受的时间间隔内(例如:发动机故障指示灯、ABS故障报警灯)。
8.4.2.6 如果为了满足安全目标而对驾驶员或其他潜在涉险人员的必要行动做出了假设,则应进行a)
和b):
注:这些行动包括在可控性预测期间被认为是具有可信度的那些行动,以及在实施安全要求之后为满足安全目标所做的任何更进一步的必要行动。
示例:ACC:通过驾驶员踩下加速踏板来撤销制动行为。
a) 在功能安全概念中应定义这些行动;
b) 在功能安全概念中应定义可供驾驶员或其他潜在涉险人员使用的足够的方法和控制手段。
注1:对驾驶员的工作任务分析有助于考虑防止驾驶员超负荷,防止驾驶员的惊吓、恐慌、震惊(丧失控制车辆的能力)和模式混淆(关于操作模式的不正确的假设)。
注2:对警告和降级概念、驾驶员和其他潜在涉险人员的必要行动的定义,应作为用户手册的输入(见
GB/T 34590.7-2017的6.4.1)。
8.4.3 功能安全要求的分配
8.4.3.1 功能安全要求应分配给初步架构设想中的要素:
注:冗余度和独立性可通过对相关失效的分析来检查(参见GB/T 34590.9-2017第7章)。
a) 在分配过程中,ASIL等级和8.4.2.3中所给出的信息应从相关的安全目标或上一级安全要求
(若应用了ASIL分解)中继承得到;
b) 如果将几个功能安全要求分配给同一个架构要素,且在初步架构中无法证明这些要求是互相
独立或者免于干扰,则该架构要素应按照安全要求中最高的ASIL等级开发;
c) 如果相关项包含多个系统,则应根据初步架构的设想定义各个系统以及系统之间接口的功能
安全要求,这些功能安全要求应分配到各个系统中;
d) 如果在功能安全要求分配期间进行ASIL等级分解,则应按照GB/T 34590.9-2017第5章进
行ASIL等级分解。
8.4.3.2 如果功能安全概念依赖于其他技术的要素,应:
a) 应导出基于其他技术的要素所实现的功能安全要求,并将其分配给架构中的相关要素;
b) 应定义与其他技术要素的接口相关的功能安全要求;
c) 应通过特定的措施(超出GB/T 34590-2017的范围)来保证基于其他技术的要素所实现的功
能安全要求;
d) 无需对这些要素分配ASIL等级。
注:基于其他技术的要素的充分性体现在确认活动中(参见GB/T 34590.4-2017)。
8.4.3.3 如果功能安全概念依赖于外部措施,应:
a) 应导出由外部措施实现的功能安全要求并进行沟通;
b) 应定义与外部措施接口的功能安全要求;
c) 若外部措施是由一个或多个电子电气系统实现的,则应使用GB/T 34590-2017来表述其功
能安全要求;
d) 应确保由外部措施实现的功能安全要求的执行。
注:外部措施的充分性,体现在确认活动中(参见GB/T 34590.4-2017)。
8.4.4 确认准则
应基于功能安全要求对相关项安全确认的接受准则进行定义。
注:对详细准则和待确认特性列表的进一步要求,参见GB/T 34590.4-2017的6.4.6.2和9.4.3.2。
8.4.5 功能安全概念的验证
功能安全概念应按照GB/T 34590.8-2017第9章进行验证,以表明其与安全目标的一致性和符
合性,及减轻或避免危害事件的能力。
注1:在概念阶段,对减轻或避免危害事件的能力进行验证的方法可与确认方法相同。评估结果可为概念的改进提供指引。然而,需记住的是,GB/T 34590.4-2017第9章里安全确认的基础是一个根据GB/T 34590开发的相关项,而且安全确认不能基于概念研究(例如,原型)。
示例:减轻或者避免一个危害事件的能力可通过测试、试运行或专家评价来评估,结合原型、研究、专项测试或者仿真等。
注2:针对该故障的特性(例如,是瞬态的或者是永久的),对减轻或避免危害事件的能力进行验证。
注3:对于验证,可使用一种基于可追溯性的论证,例如:若相关项符合功能安全要求,则该相关项符合与该要求相关的安全目标。
8.5 工作成果
8.5.1 功能安全概念,由8.4.1~8.4.4的要求得出。
8.5.2 功能安全概念验证报告,由8.4.5的要求得出。
附 录 A
(资料性附录)
概念阶段概览
表A.1提供了概念阶段的目的、前提条件和工作成果的概览。
附 录 B
(资料性附录)
危害分析和风险评估
B.1 总则
本附录给出了危害分析和风险评估的一般解释。B.2(严重度)、B.3(暴露概率)和B.4(可控性)中的
例子仅供参考,并非穷尽。
B.2 严重度示例
B.2.1 总则
评估危害对驾驶员、乘客、车辆周围人员或周边车辆中人员产生的潜在伤害,以确定相应危害的严
重度等级,如表B.1所示。
表B.1给出了示例,关于一个给定危害可能导致的后果,以及每一个后果的严重度等级。
由于事故的复杂性以及事故场景的多样性,表B.1中所提供的例子仅代表对事故后果的一个大概
估计。它们代表根据过往事故分析所得到的预期值,因此,不能通过这些单独的描述来得出一个普遍有
效的结论。
事故统计可用于确定不同类型事故中预期发生的伤害的分布。
在表B.1中,AIS表示伤害等级分类,但仅用于单一伤害。除AIS外,也可以使用其他分类方法,例
特定伤害等级的使用依赖于同期所进行的医学研究的进展情况。因此,不同伤害等级,例如AIS、
ISS和NISS的适用性可以随时间而变化(见参考文献[2],[4],[5])。
B.2.2 AIS等级描述
使用AIS分级来描述严重度。AIS代表受伤的严重程度分级,它由汽车事故医学高级协会
发布。该指南的创建使得国际间的严重度比较成为可能。AIS等级分为七级:
---AIS0:无人员伤亡;
---AIS1:轻伤,例如皮肤表面伤口、肌肉疼痛、挥鞭样损伤等;
---AIS2:中度伤害,例如深度皮肉伤、脑震荡长达15min无意识、单纯性长骨骨折、单纯性肋骨
骨折等;
---AIS3:严重,但未危及生命的伤害,例如无脑损伤的颅骨骨折、没有脊髓损伤的第四颈椎以下
脊柱错位、没有呼吸异常的超过一根的肋骨骨折等;
---AIS4:严重受伤(危及生命、有生存的可能),例如伴随或不伴随颅骨骨折的脑震荡引起的长
达12h的昏迷、呼吸异常;
---AIS5:危险伤害(危及生命,生存不确定),例如伴随脊髓损伤的第四颈椎以下脊柱骨折、肠道
撕裂、心脏撕裂、伴随颅内出血的超过12h的昏迷等;
---AIS6:极度危险或致命伤害,例如伴随脊髓损伤的第三颈椎以上脊柱骨折、极度危险的体腔
(胸腔和腹腔)开放性伤口等。
B.3 暴露概率的示例与解释
对暴露概率的预估需要场景评估,在这些场景中,会出现促成危害发生的相关环境因素。需要评估
的场景包括各种驾驶和运行场景。
评估的结果会确定危害场景的暴露概率级别,暴露概率级别有5个,分别为E0(最低暴露概率级
别)、E1、E2、E3、E4(最高暴露概率级别)。
首先,那些尽管在危害分析和风险评估中被定义了,但又被认为是不寻常或令人难以置信的场景会
被指定为E0。仅仅与E0场景关联的危害的后续评估会被排除在进一步的分析之外。
示例:典型的E0示例:
a) 极其不寻常的或不可能同时发生的情况,如
---车辆与另一辆装载危险材料的车的事故
注:这不适用于设计目的本身就是装载危险材料的车;
---车辆涉及到与在高速公路上降落的飞机的事故。
b) 自然灾害,如地震、飓风、森林大火。
根据场景的持续时间(重叠时间)或发生的频率,指定其余的E1、E2、E3和E4等级给可发生危害
的场景。
注1:可依据例如地理位置或使用类型等来分级(见7.4.3.4)。
如果暴露按照场景的持续时间分级,暴露概率可以根据时间(所考虑的场景)与总的运行时间(上
电)的比值来预估。在特......
英文网页: GB/T 34590.3-2017
相关标准: GB/T 34590.2|GB/T 34590.5|GB/T 34590.6|GB/T 34590.1|GB/T 34590.3-2017|GB/T 34590.3|