中国标准英文版 数据库收录: 159759 更新: 2024-05-08

[PDF] GB/T 34590.3-2022 - 自动发货. 英文版

标准搜索结果: 'GB/T 34590.3-2022'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 34590.3-2022 英文版 425 GB/T 34590.3-2022 3分钟内自动发货[PDF],有增值税发票。 道路车辆 功能安全 第3部分:概念阶段 有效

基本信息
标准编号 GB/T 34590.3-2022 (GB/T34590.3-2022)
中文名称 道路车辆 功能安全 第3部分:概念阶段
英文名称 Road vehicles -- Functional safety -- Part 3: Concept phase
行业 国家标准 (推荐)
中标分类 T35
国际标准分类 43.040
字数估计 30,310
发布日期 2022-12-30
实施日期 2023-07-01
旧标准 (被替代) GB/T 34590.3-2017
起草单位 中国汽车技术研究中心有限公司、广州汽车集团股份有限公司、一汽解放汽车有限公司、联合汽车电子有限公司、上汽大众汽车有限公司、上汽大通汽车有限公司、捷太格特科技研发中心(无锡)有限公司、华为技术有限公司、长城汽车股份有限公司、东软睿驰汽车技术(沈阳)有限公司、泛亚汽车技术中心有限公司、耐世特汽车系统(苏州)有限公司、博世汽车部件(苏州)有限公司、蔚来汽车(安徽)有限公司、中国第一汽车集团有限公司、深圳市大疆创新科技有限公司、上海金脉电子科技有限公司、北京宝沃汽车股份有限公司、宁德时代新能源科技股份有限公司、比
归口单位 全国汽车标准化技术委员会(SAC/TC 114)
提出机构 中华人民共和国工业和信息化部
发布机构 国家市场监督管理总局、国家标准化管理委员会

GB/T 34590.3-2022: 道路车辆 功能安全 第3部分:概念阶段
GB/T 34590.3-2022 英文名称: Road vehicles -- Functional safety -- Part 3: Concept phase
ICS 43.040
CCST35
中华人民共和国国家标准
代替GB/T 34590.3-2017
道路车辆 功能安全
第3部分:概念阶段
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
1 范围
本文件规定了车辆在概念阶段的要求,包括:
---相关项定义;
---危害分析和风险评估;
---功能安全概念。
本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子系统的与安
全相关的系统。
本文件不适用于特殊用途车辆上特定的电气/电子系统,例如,为残疾驾驶者设计的车辆系统。
注:其他专用的安全标准可作为本文件的补充,反之亦然。
已经完成生产发布的系统及其组件或在本文件发布日期前正在开发的系统及其组件不适用于本文
件。对于在本文件发布前完成生产发布的系统及其组件进行变更时,本文件基于这些变更对安全生命
周期的活动进行裁剪。未按照本文件开发的系统与按照本文件开发的系统进行集成时,需要按照本文
件进行安全生命周期的裁剪。
本文件针对由安全相关的电气/电子系统的功能异常表现而引起的可能的危害,包括这些系统相互
作用而引起的可能的危害。本文件不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、
能量释放等相关的危害和类似的危害,除非危害是直接由安全相关的电气/电子系统的功能异常表现而
引起的。
本文件提出了安全相关的电气/电子系统进行功能安全开发的框架,该框架旨在将功能安全活动整
合到企业特定的开发框架中。本文件规定了为实现产品功能安全的技术开发要求,也规定了组织具备
相应功能安全能力的开发流程要求。
本文件不针对电气/电子系统的标称性能。
附录A概述了本文件的目标、前提条件和工作成果。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
4.3 表的诠释
本文件中的表是规范性或资料性取决于上下文。在满足相关要求时,表中列出的不同方法有助于
置信度水平。表中的每个方法是:
a) 一个连续的条目(在最左侧列以顺序号标明,如1、2、3);或
b) 一个选择的条目[在最左侧列以数字后加字母标明,如2a)、2b)、2c)]。
对于连续的条目,高度推荐和推荐的方法按照ASIL等级推荐予以使用。高度推荐或推荐的方法
允许用未列入表中的其他方法替代,此种情况下,应给出满足相关要求的理由。如果可以给出不选择所
有条目也能符合相应要求的理由,则不需要对缺省方法做进一步解释。
对于选择性的条目,应按照指定的ASIL等级对这些方法进行适当的组合,而与这些方法在表中是
否列出无关。如果所列出的方法对于一个ASIL等级来说具有不同的推荐等级,宜采用具有较高推荐
等级的方法。应给出选择组合方法或选择单一方法满足相应要求的理由。
注:在表中所列出方法的理由是充分的。但是,这并不意味着有倾向性或对未列到表中的方法表示反对。
对于每种方法,应用相关方法的推荐等级取决于ASIL等级,分类如下:
---“++”表示对于指定的ASIL等级,高度推荐该方法;
---“+”表示对于指定的ASIL等级,推荐该方法;
---“○”表示对于指定的ASIL等级,不推荐也不反对该方法。
4.4 基于ASIL等级的要求和建议
若无其他说明,对于ASILA、B、C和D等级,应满足每一章条的要求或建议。这些要求和建议参
照安全目标的ASIL等级。如果在项目开发的早期对 ASIL等级完成了分解,按照GB/T 34590.9-
2022中第5章的要求,应遵循分解后的ASIL等级。
如果GB/T 34590中ASIL等级在括号中给出,则对于该ASIL等级,相应的章条应被认为是推荐
而非要求。这里的括号与ASIL等级分解无关。
5.4.1 应给出相关项的要求,包括:
注1:在定义了安全目标和相应的ASIL等级后,这些要求可归类为是与安全相关的。
注2:如果当前没有功能性和非功能性的要求,可由本章的要求来促成该信息的生成。
a) 法规要求、国家标准和国际标准;
b) 整车层面的功能行为,包括运行模式或运行状态;
c) 所要求的质量、性能和功能的可用性(如果适用);
d) 相关项的约束,例如:功能依赖性、与其他相关项的依赖性、运行环境;
e) 行为不足的潜在后果(如有),包括已知的失效模式和危害;
注3:可包括已知的且包含类似相关项的安全相关事件。
f) 执行器的能力,或其假定的能力。
注4:在进行危害分析和风险评估的过程中,这些参数(例如,输出扭矩、所受的力、运行速度、亮度、音量)的值或其
估算值,对于确定影响的程度是必要的。在确定严重度等级和可控性等级时,需要将这些影响程度考虑
在内。
5.4.2 定义相关项的边界、接口以及提出与其他相关项及要素交互关系的假设时,应考虑:
a) 相关项的要素;
注1:要素也可基于其他技术。
b) 相关项的行为对整车的影响的假设;
c) 其他相关项和要素要求本相关项提供的功能;
d) 本相关项要求其他相关项和要素提供的功能;
e) 功能在所涉及的系统和要素间的分配;
f) 影响相关项功能的运行场景。
注2:随着整车功能复杂性的增加,相关项之间存在依赖性。一个相关项可以通过一组系统来实现,这些系统本身
也实施了其他整车层面功能(即这些系统也可以被视为不同相关项)。
示例:自适应巡航控制和车道保持辅助的组合功能由一套制动系统、一套转向系统和一套驱动系统实现。在此示
例中,制动系统实现了行车制动功能,其本身也可以视为一个相关项。
注3:如果开发范围是要素而不是相关项,参考GB/T 34590.2-2022的6.4.5.7。
5.5 工作成果
相关项定义,由5.4的要求得出。
6 危害分析和风险评估
6.1 目的
本章的目的是:
a) 识别并分类由相关项中的功能异常表现引起的危害事件;
b) 制定防止危害事件发生或减轻危害程度的安全目标及其相应的ASIL等级,以避免不合理的
风险。
6.2 总则
危害分析、风险评估和ASIL等级的确定用于确定相关项的安全目标。为此,根据相关项的潜在危
害事件,对相关项进行评估。通过对危害事件进行系统性的评估确定安全目标及分配给他们的ASIL
等级。ASIL等级的确定需要考虑严重度、暴露概率和可控性。严重度、暴露概率和可控性的确定基于
相关项的功能行为,因而不一定需要知道相关项的设计细节。
6.4.1.1 应基于相关项定义进行危害分析和风险评估。
6.4.1.2 在危害分析和风险评估过程中,应对不含内部安全机制的相关项进行评估(即,在危害分析和
风险评估过程中不应考虑将要实施或已经在先前相关项中实施的安全机制)。
注1:在对相关项进行评估过程中,可用的且充分独立的外部措施是有益的。
示例:如果电子稳定性控制被证明是可用的,并且与被评估的相关项充分独立,那么其能够通过增加驾驶员的可控
性来减轻底盘系统失效的影响。
注2:相关项中将要或已经实施的安全机制是功能安全概念的一部分。
6.4.2 场景分析和危害识别
6.4.2.1 应对相关项的功能异常表现导致一个危害事件发生时所处的运行场景及运行模式进行描述,
包括正确的使用车辆和可合理预见的不正确使用车辆的情况。
注1:运行场景描述了假定相关项是以安全的方式运行的条件。
注2:由相关项非失效情况下的行为导致的危害,不属于本文件的范围。
6.4.2.2 应基于相关项可能的功能异常表现系统性地确定危害。
注1:失效模式与影响分析(FMEA)方法和危害和可操作性分析(HAZOP)适用于支持相关项层面的危害识别。
这些可以通过头脑风暴、检查表、质量历史记录和现场研究来支持。
注2:通过建立外部措施以减轻货物运输过程带来的额外风险的责任不属于GB/T 34590的范围。因此,与货物运
输相关的额外风险不属于危害分析和风险评估的部分。
6.4.2.3 应在整车层面定义由相关项的功能异常表现导致的危害。
注1:通常,每一个危害有多种与相关项的实现相关的潜在原因,但在危害分析和风险评估中对于功能异常表现的
分析时,不需要考虑这些原因。
注2:仅考虑与相关项功能异常表现相关的危害;假设其他充分独立的系统(外部措施)均正确工作。
6.4.2.4 如果在本章中所识别出的危害超出了GB/T 34590的范围(见第1章),应按照组织的特定流
程处理这些危害。
注:由于这些危害超出了GB/T 34590的范围,因此本文件未提供有关这些危害的ASIL等级的合规性指导,对此
类危害的分类按照适用的安全流程进行。
6.4.2.5 应确定相关的危害事件。
6.4.2.6 应识别危害事件的后果。
注:如果相关项层面的功能异常表现导致该相关项丧失多个功能,则场景分析和危害识别要考虑其综合影响。
示例1:制动系统电子稳定性控制(ESC)功能丧失可能导致驾驶辅助功能同步无效。
示例2:整车供电系统的失效能导致同时丧失一系列功能,包括:“发动机扭矩”“助力转向”及“前向照明”。
6.4.2.7 应确保所选择的运行场景列表的详细程度不会导致ASIL等级的不适当降低。
注:对一个危害来说,一个非常详细的关于车辆状况、道路条件和环境条件的运行场景列表(见6.4.2.1),会使得用
于危害事件分类的场景的颗粒度更为精细。这可以更容易地评估可控性和严重度。然而,大量的不同运行场
景可能导致相应地降低各自的暴露概率等级,从而导致不恰当地降低 ASIL等级。这可以通过合并类似的场
景来避免。
6.4.3 危害事件分类
6.4.3.1 应对在6.4.2中识别出的所有的危害事件进行分类,不含超出GB/T 34590范围的危害事件。
注:如果难以对一个给定的危害进行严重度(S)、暴露概率(E)或可控性(C)的分级,需要采取保守分级的方法(即,
一旦分级存在合理的怀疑,就采用较高的S、E或C等级)。
6.4.3.2 对于每一个危害事件,应基于确定的理由来预估潜在伤害的严重度。应按照表1为严重度指
定一个S0、S1、S2或S3的严重度等级。
注1:危害事件的风险评估关注的是潜在的处于风险中的每个人受到的伤害情况---包括引起危害事件的车辆的
驾驶员或乘客,以及其他潜在的处于风险中的人员,如骑自行车的人员、行人或其他车辆上的人员。附录B
中介绍的简明损伤定级(AIS)可用于界定伤害的严重度。此外,附录B中还包括不同类型的严重度和事故的
参考示例。
6.4.3.3 有的运行场景会导致伤害(例如事故),在此运行场景下,其相关项后续的功能异常表现会增加
或无法减小所产生的伤害,在这种情况下,严重度的分级可以仅限于初始运行场景(例如事故)和相关项
功能异常表现所产生的严重度差异。
示例1:如果事故的发生不是由相关项的功能异常表现导致,则严重度的分级不用考虑事故所产生的伤害。
示例2:被考虑的相关项包含用于减少碰撞所致伤害的安全气囊功能。如果事故发生时安全气囊未能正常打开,
那么由碰撞导致的伤害可以被确定。如果相同事故中安全气囊正常打开可以将伤害降低到一个较低的严重度等级,那
么,在严重度评级时只需考虑两者的差异。
6.4.3.4 如果经过危害分析和风险评估,确定相关项的功能异常表现的后果明显仅限于物体损坏并不
涉及对人员的伤害,则该危害的严重度等级可为S0。如果一个危害事件的严重度等级为S0,则无需分
配ASIL等级。
6.4.3.5 对于每一个危害事件,应基于确定的理由预估每个运行场景的暴露概率。按照表2,应为暴露
概率指定一个E0、E1、E2、E3或E4的概率等级。
6.4.3.6 当预估暴露概率时,不应考虑装备该相关项的车辆数量。
注:暴露概率的评估是基于假设每个车辆都配备有该相关项进行的。这意味着“因为该相关项未装备在每台车辆
上(只有一些车辆装备该相关项),所以暴露概率会降低”的观点是不成立的。
6.4.3.7 暴露概率等级E0可用于在危害分析和风险评估过程中所建议的那些认为是难以置信的场
景,无需进一步探讨。应记录排除这些场景的理由。如果一个危害事件的暴露概率等级被指定为E0,
则无需分配ASIL等级。
示例:E0可用于“不可抗力”风险的情况(见B.3)。
6.4.3.8 对于每一个危害事件,应基于一个确定的理由预估驾驶员或其他处于运行场景的人员对该危
害事件的可控性。应按照表3为可控性指定一个C0、C1、C2或C3的可控性等级。
注1:从C1~C3等级,两个相邻C等级间的概率差异是一个数量级。
注2:可控性评估是指对人员能够充分控制危害事件以避免特定伤害概率的预估。因此,使用级别分别为C0、C1、
C2和C3的参数C,以对避免伤害的可能性进行分类。假设驾驶员处于正常的状态(例如,驾驶员不疲劳),
接受了恰当的驾驶员培训(驾驶员有驾驶执照)并且遵守所有适用的法律法规,包括应有的谨慎以避免为其
他交通参与者带来风险。表B.6中列出了一些示例,这些示例对这些等级做出解释。
注3:要考虑可合理预见的误用,例如,作为一种常见的行为,没有与前方车辆保持所需的距离。
注4:当危害事件与车辆方向和速度的控制无关时,例如,肢体卡在运动部件中,该可控性是对涉险人员能够从危
害场景中移出自身或被其他人员移出的概率预估。当考虑可控性时,要注意的是涉险人员可能不熟悉相关
项的操作,或者可能没有意识到潜在的危害情况的发生。
注5:当可控性涉及多个交通参与者的行为时,可控性评估可以基于带有功能异常相关项的车辆的可控性,以及其
他参与者的假定行为。
6.4.3.9 如果相关项不可用的危害不影响车辆的安全运行(例如,一些驾驶员辅助系统),或者可以通过
常规的驾驶员行为来避免事故,则该危害事件的可控性等级可为C0。如果一个危害事件的可控性等级
为C0,则无需分配ASIL等级。
示例1:如果试图开车出门时,在车库中发生了动力丢失的情况,可以选择C0,因为任何驾驶员都可以把车停回
车库。
6.4.4.1 应为具有ASIL等级的每个危害事......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版