中国标准英文版 数据库收录: 159759 更新: 2024-06-01

[PDF] GB/T 34590.10-2022 - 自动发货. 英文版

标准搜索结果: 'GB/T 34590.10-2022'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 34590.10-2022 英文版 980 GB/T 34590.10-2022 3分钟内自动发货[PDF],有增值税发票。 道路车辆 功能安全 第10部分:指南 有效

基本信息
标准编号 GB/T 34590.10-2022 (GB/T34590.10-2022)
中文名称 道路车辆 功能安全 第10部分:指南
英文名称 Road vehicles -- Functional safety -- Part 10: Guideline
行业 国家标准 (推荐)
中标分类 T35
国际标准分类 43.040
字数估计 74,745
发布日期 2022-12-30
实施日期 2023-07-01
旧标准 (被替代) GB/T 34590.10-2017
起草单位 中国汽车技术研究中心有限公司、泛亚汽车技术中心有限公司、中国第一汽车集团有限公司、上海海拉电子有限公司、法雷奥汽车内部控制(深圳)有限公司、联合汽车电子有限公司、比亚迪汽车工业有限公司、吉利汽车研究院(宁波)有限公司、蜂巢能源科技有限公司、长城汽车股份有限公司、北京宝沃汽车股份有限公司、株洲中车时代电气股份有限公司、东风汽车集团股份有限公司、兴科迪科技(泰州)有限公司、北京地平线机器人技术研发有限公司、华为技术有限公司、广州汽车集团股份有限公司、舍弗勒(中国)有限公司、上海汽车集团股份有限公司技术中心、悠
归口单位 全国汽车标准化技术委员会(SAC/TC 114)
提出机构 中华人民共和国工业和信息化部
发布机构 国家市场监督管理总局、国家标准化管理委员会

GB/T 34590.10-2022: 道路车辆 功能安全 第10部分:指南
GB/T 34590.10-2022 英文名称: Road vehicles -- Functional safety -- Part 10: Guideline
ICS 43.040
CCST35
中华人民共和国国家标准
代替GB/T 34590.10-2017
道路车辆 功能安全 第10部分:指南
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
1 范围
本文件提供了GB/T 34590的概览,也给出了额外的解释,目的是增强对本文件其他部分的理解。
本文件只具有资料性特性,描述了GB/T 34590的一般概念以便于理解。该解释将一般概念扩展到特
定的内容。
本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子系统的与安
全相关的系统。
本文件不适用于特殊用途车辆上特定的电气/电子系统,例如为残疾驾驶者设计的车辆系统。
注:其他专用的安全标准可作为本文件的补充,反之亦然。
已经完成生产发布的系统及其组件或在本文件发布前正在开发的系统及其组件不适用于本文件。
对于在本文件发布前完成生产发布的系统及其组件进行变更时,本文件基于这些变更对安全生命周期
的活动进行剪裁。未按照本文件开发的系统与按照本文件开发的系统进行集成时,需要按照本文件进
行安全生命周期的剪裁。
本文件针对由安全相关的电气/电子系统的功能异常表现而引起的可能的危害,包括这些系统相互
作用而引起的可能的危害。本文件不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、
能量释放等相关的危害和类似的危害,除非危害是直接由安全相关的电气/电子系统的功能异常表现而
引起的。
本文件提出了安全相关的电气/电子系统进行功能安全开发的框架,该框架旨在将功能安全活动整
合到企业特定的开发框架中。本文件规定了为实现产品功能安全的技术开发要求,也规定了组织具备
相应功能安全能力的开发流程要求。
本文件不针对电气/电子系统的标称性能。
如果本文件与GB/T 34590其他部分存在不一致时,以GB/T 34590其他部分定义的要求、建议和
信息为准。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 34590.1-2022 道路车辆 功能安全 第1部分:术语(ISO 26262-1:2018,MOD)
注:GB/T 34590.1-2022被引用的内容与ISO 26262-1:2018被引用的内容没有技术上的差异。
3 术语和定义
GB/T 34590.1-2022界定的术语和定义适用于本文件。
4 GB/T 34590中的关键概念
4.1 针对汽车系统的功能安全(与GB/T 20438的关系)
GB/T 20438是关于电气、电子、可编程电子安全相关系统的功能安全通用标准和基础安全标准。
这意味着,各工业领域将基于GB/T 20438的要求建立自身的功能安全标准。
在汽车行业,如果直接应用GB/T 20438会存在许多问题。其中的一些问题相对应于GB/T 34590的差
异描述如下。
GB/T 20438基于“受控设备”模型,例如具有如下关联控制系统的工业装置。
a) 使用危害分析识别出与受控设备(包括设备控制系统)关联的危害,并对此应用可降低风险的
措施。这可通过电气/电子/可编程电子系统、其他技术的安全相关系统(例如,安全阀)、或外
部措施(例如,对装置的物理围堵)来实现。GB/T 34590基于严重度、暴露概率和可控性,为
危害分级提供了规范化的汽车领域的方案。
b) 电气/电子/可编程电子系统可通过完成如下设计的安全功能来降低所分配的风险。这些安全
功能可以是独立的保护系统的一部分,也可以被纳入装置控制中。在汽车系统中,未必都能做
出这种区分。车辆的安全依赖于控制系统自身的表现。
GB/T 20438针对单一的或小批量的系统。系统经过制造和测试后安装到装置上,然后执行安全
确认。对于大批量销售的系统,如道路车辆,安全确认在量产之前执行。因此GB/T 34590中生命周期
活动的次序有所不同。对此,GB/T 34590.7-2022提出了对生产的要求。而在GB/T 20438并未覆盖
此部分内容。
GB/T 20438未对管理跨多个组织和供应链的开发提出特定要求。因为汽车系统是由整车厂自
身、由整车厂的一个或多个供应商或由整车厂与供应商合作生产的,GB/T 34590包含了明确地解决这
个问题的要求,包括开发接口协议(DIA)(见GB/T 34590.8-2022第5章)。
GB/T 20438不包含对危害分级的规范化要求。GB/T 34590则包含了汽车领域危害分级的方案。
此方案认为汽车系统的危害并不一定会导致事故。其结果取决于涉险人员是否实际暴露在危害发生的
场景下,及相关人员能否采取措施以控制危害的结果。图2给出了此概念的示例,将其应用到了一个对
运动中车辆可控性有影响的失效上。
注:此概念仅为阐述失效的发生和事故之间没有必然的直接关联。尽管此过程中评估的参数与图中状态过渡的可
能性相关,但不是危害分析和风险评估过程的展示。
图2 汽车风险的状态机模型
为符 合 汽 车 工 业 的 当 前 技 术 水 平,对 硬 件 开 发 (GB/T 34590.5-2022)和 软 件 开 发
(GB/T 34590.6-2022)要求进行了调整。对于GB/T 34590列出的方法给出了特定的目标。为实现
这些目标,可应用给出的方法,或应用替代方法,但需提供理由证明替代方法也能实现目标。
为GB/T 34590中的安全要求分配汽车安全完整性等级(ASIL)而不是安全完整性等级(SIL),其
主要原因是GB/T 20438中的SIL表述为概率术语(见GB/T 20438.1-2017表3)。GB/T 20438确
认,对于系统安全完整性常常需要定性判断,而对于硬件安全完整性需要量化技术。GB/T 34590中
ASIL主要关注在系统、硬件和软件中实现系统安全的要求,但也存在关于符合ASIL随机硬件失效要
求的概率目标。
4.2 相关项、系统、要素、组件、硬件元器件和软件单元
GB/T 34590.1-2022定义了相关项、系统、要素、组件、硬件元器件和软件单元。图3展示了系统、
要素、组件、硬件元器件和软件单元的关系。图4举例展示了相关项的分解(构成关系)。可分解的要素
可被标注为系统或组件。满足系统标准的可分解要素可被标注为系统。组件是非系统层面的、逻辑上
和技术上独立的要素。通常,术语“组件”用于仅由元器件和单元组成的要素,但也能用于由更低层面的
特定技术领域(例如,电气/电子技术,见图4)要素组成的要素。硬件元器件还可以进一步按层次由硬
件子元器件和硬件基本子元器件组成。
注1:根据上下文,要素可用于此图中的系统、组件、硬件元器件和软件单元,按照GB/T 34590.1-2022中的3.41。
注2:GB/T 34590.1-2022中3.163定义的系统使至少一个传感器、一个控制器和一个执行器相互关联。该相互关
联的传感器和执行器可以被包含在系统内,也可以在系统外部。
4.3 故障、错误和失效之间的关系
在GB/T 34590.1-2022定义了术语“故障”“错误”和“失效”。图5从三个不同类型的原因(系统
性软件问题、随机硬件问题和系统性硬件问题)描述了故障到错误并从错误到失效的发展过程。系统故
障(见GB/T 34590.1-2022中的3.165)起因于设计和规范的问题。软件故障和部分硬件故障是系统
性的。在组件层面,每个不同类型的故障会导致不同的失效。然而,组件层面的失效是相关项层面的故
障。注意,在此示例中,整车层面不同原因导致的故障可引起相同的失效。如果额外的环境因素使失效
叠加了事故场景,相关项层面的部分失效将会是危害(见GB/T 34590.1-2022中的3.75)。
示例:当车辆开始穿越十字交叉路口时发生非期望的行为,可能发生碰撞,例如,对危害事件“当车辆开始穿越十字
交叉路口时发生猛烈蹿动”的风险进行严重度、暴露概率和可控性的评估(“猛烈蹿动”指突然的剧烈移动)。
4.4.1 介绍
GB/T 34590.3-2022中6.4.4.3的注,说明FTTI可作为安全目标的一部分被包含在其中。此外,
GB/T 34590.4-2022中的6.4.2.2规定了在定义每种安全机制的故障处理时间间隔时,应考虑FTTI
和紧急运行容错时间间隔。
注:故障处理时间间隔是给定的安全机制的一种特征。故障容错时间间隔(FTTI)是相关项的一种特征。
作为概念阶段确定安全目标和功能安全要求流程的一部分,FTTI是基于车辆功能的整车层面定
义。在产品开发期间需考虑该时间跨度,确定最大故障处理时间间隔,以避免危害事件(例如,
GB/T 34590.1-2022图5描述的故障探测时间间隔和故障反应时间间隔的总和)。FTTI是设计安全
机制响应时间的必要值。在FTTI内,故障由安全机构控制,可以防止危害事件发生。当故障探测时间
间隔和故障反应时间间隔之和比FTTI短时可以实现。
当无法在FTTI内达到安全状态时,需定义紧急运行(GB/T 34590.4-2022中的6.4.2.2)。紧急运
行是一种被定义为报警和降级策略一部分的运行模式。在FTTI结束之前启动紧急运行,并在紧急运
行容错时间间隔结束之前,维持直到安全状态为止。为满足安全目标,应在紧急运行容错时间间隔结束
之前达到安全状态。
4.4.2.1 控制系统说明
本条将故障探测时间间隔(FDTI)、故障容错时间间隔(FTTI)、故障响应时间间隔(FRTI)、紧急运
行容错时间间隔(EOTTI)和诊断测试时间间隔(DTTI)的概念应用于阀门控制系统示例。该系统由阀
门、位置传感器、控制器和电机组成。该系统的功能是使用电机将阀门控制到所需的位置。
如果阀门开度超过预期百分比,则可能发生意外流量导致危害事件。作为一种故障响应,电机由一
个带有机械弹簧的独立电路断电,机械弹簧将阀门拉到预设的固定开度位置。这个固定开度位置限制
了流量,从而使相关项处于安全状态。
4.4.2.2 时序模型在示例控制系统中的应用
在此示例中考虑的特定失效模式是电机故障,该故障使阀门达到其最大开度位置。这种情况可能
是电机因电源短路或其他电机控制问题造成的。以下为可能发生的四种场景。
---场景1:系统没有任何安全机制避免违背安全目标。
电机中出现短路导致阀门达到其最大开度位置。因为没有安全机制,一旦超过FTTI,就会发
生危害事件。
4.4.2.3 警告和降级策略
当阀门处于默认位置时,可能产生整车层面的影响。功能安全概念可能还包括在此状态下警告驾
驶员的要求。这是报警和降级策略的一部分,由图6中的“驾驶员警告提示灯打开”箭头指示,该箭头可
能在t3 之后的指定时间内发生。
5 关于安全管理的精选话题
5.1 工作成果
本条描述术语“工作成果”。
工作成果是满足GB/T 34590的相应要求的结果(见GB/T 34590.1-2022)。因此,工作成果可提
供符合这些安全要求的证据。
示例:需求规范是可通过需求数据库或文本文件来记录的一种工作成果。可执行模型是能通过可执行建模语言文
件表示的一种工作成果(例如,通过使用软件工具达到仿真的目的)。
工作成果的文档(见GB/T 34590.8-2022第10章)作为已执行的安全活动、安全要求或相关信息
的记录,不局限于任何形式或媒介。
示例:工作成果的文档可通过电子或纸质文件表示,通过单一或系列文档表示,可以与其他工作成果的文档合并,
或与非功能安全直属文档合并。
为避免信息重复,可在文档内或文档间使用交叉引用。
5.2.2 功能安全评估
如果相关项安全目标的最高ASIL等级是ASILC或D,则开展功能安全评估以评价相关项是否实
现功能安全。GB/T 34590.2-2022描述了功能安全评估的某些方面以及认可措施的其他方面。
功能安全评估的范围在GB/T 34590.2-2022第6章中定义。
对实施功能安全评估的情况,功能安全审核以及认可评审的结果是功能安全评估的输入。负责评
估的人员可根据其判断进行评估,包括如何使用功能安全审核与认可评审的结果。
5.3.2 安全档案开发生命周期
安全档案的开发可被视为与安全生命周期内其余开发阶段集成的增量活动。
注:安全计划可包含安全档案增量步骤的计划和安全档案初始版本的计划。
这种方法允许在产品开发的给定节点生成安全档案的中间版本。例如,安全档案的初始版本可在
技术安全要求验证后生成,中间版本可在系统设计验证后生成。最终版本可在功能安全评估的最终报
告前生成。
安全档案应满足GB/T 34590.2-2022中6.4.9规定的认可评审。
如果相关项被修改,需评估对安全档案的影响,如果必要,需根据修改对安全档案进行更新。
6.4.1 总则
外部措施是独立于且不同于相关项的措施,用于降低或减轻相关项失效造成的风险。
注1:如果外部措施独立于相关项实施的功能,则外部措施可被在 HARA中考虑。
注2:外部措施作为一种降低ASIL等级的技术假设,根据GB/T 34590.3-2022中的6.4.4.4进行确认。
6.4.2 基于车辆的外部措施示例1
车辆A装备手动变速器,当熄火后,变速器能处于任何挡位,包括空挡。车辆B装备自动变速器,
熄火状态下,维持一个挡位啮合且离合器常闭状态。两辆车都有附加相关项,电子驻车制动(EPB)。
对两个车辆都进行分析的场景包括:
---车辆处于驻车状态(熄火,驾驶员不在);
---车辆位于人口密集的城市区域有坡度的路边;
---发生导致电子驻车制动功能突然丧失的失效。
在此场景中,对于车辆A:当熄火时被非预期地置于空挡,如果无人看管,将可能溜车。这会导致可
控性评估为C3,取决于车辆附近是否有易受伤害的人员,严重度为S2或更高,且暴露概率等级大于
E0。依据实际分配的暴露概率等级,得出的ASIL等级在A和C之间或QM。
车辆B一直结合在挡位上而不会发生移动,所以不会导致危害。此设计中包含的基于车辆的外部
措施有助于消除该场景下的风险,但前提是自动变速器和电子驻车系统能被证明是充分独立的。
6.5.1 介绍
安全目标是相关项最高层面的安全要求,可导出避免危害事件产生不合理风险所需的功能安全
要求。按照GB/T 34590.3-2022中的6.4.4,在概念阶段确定安全目标。当安全目标相似或涉及不
同场景下的相同危害时,可将初始的安全目标进行合并,并将最高的ASIL等级分配给合并后的最终
安全目标。对更少的安全目标进行管理,但仍覆盖了所有识别出的危害,将简化后续的开发活动。
6.5.2 总则
下面示例中展示的相关项、安全目标和ASIL分级仅为了说明安全目标合并的过程。本示例不能
反映将GB/T 34590应用到相似真实项目的情况。特别是,本示例没有完整表述失效模式识别、场景分
析和整车层面的影响评估。
为简单起见,本示例仅限于两个安全目标的合并,但相同的方法可以扩展到更多初始安全目标的
合并。
6.5.3 功能定义
考虑车辆装备了EPB系统。当被驾驶员的特定请求激活时,EPB系统在车辆后轮施加制动力矩以
防止驻车时车辆非预期的移动。
6.5.4.2 安全目标的阐述
如上所示,相同的安全目标和安全状态适用于两种场景。因此,可定义......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版