中国标准英文版 数据库收录: 159759 更新: 2024-02-09

GB/T 34590.9-2022

标准搜索结果: 'GB/T 34590.9-2022'
标准号码内文价格美元第2步(购买)交付天数标准名称相关标准状态
GB/T 34590.9-2022 英文版 410 GB/T 34590.9-2022 3分钟内自动发货[PDF],有增值税发票。 道路车辆 功能安全 第9部分:以汽车安全完整性等级为导向和以安全为导向的分析 GB/T 34590.9-2022 有效

   
基本信息
标准编号 GB/T 34590.9-2022 (GB/T34590.9-2022)
中文名称 道路车辆 功能安全 第9部分:以汽车安全完整性等级为导向和以安全为导向的分析
英文名称 Road vehicles -- Functional safety -- Part 9: Automotive safety integrity level(ASIL)-oriented and safety-oriented analyses
行业 国家标准 (推荐)
中标分类 T35
国际标准分类 43.040
字数估计 30,362
发布日期 2022-12-30
实施日期 2023-07-01
旧标准 (被替代) GB/T 34590.9-2017
起草单位 中国汽车技术研究中心有限公司、舍弗勒(中国)有限公司、兴科迪科技(泰州)有限公司、博世汽车部件(苏州)有限公司、蔚来汽车(安徽)有限公司、上汽大众汽车有限公司、一汽解放汽车有限公司、长城汽车股份有限公司、泛亚汽车技术中心有限公司、联合汽车电子有限公司、上海海拉电子有限公司、北京华特时代电动汽车技术有限公司、上海汽车集团股份有限公司技术中心、中国第一汽车集团有限公司、比亚迪汽车工业有限公司、戴姆勒大中华区投资有限公司、上汽大通汽车有限公司、株洲中车时代电气股份有限公司、中车时代电动汽车股份有限公司、华为技术
归口单位 全国汽车标准化技术委员会(SAC/TC 114)
提出机构 中华人民共和国工业和信息化部
发布机构 国家市场监督管理总局、国家标准化管理委员会

GB/T 34590.9-2022: 道路车辆 功能安全 第9部分:以汽车安全完整性等级为导向和以安全为导向的分析
GB/T 34590.9-2022 英文名称: Road vehicles -- Functional safety -- Part 9: Automotive safety integrity level(ASIL)-oriented and safety-oriented analyses
ICS 43.040
CCST35
中华人民共和国国家标准
代替GB/T 34590.9-2017
道路车辆 功能安全
第9部分:以汽车安全完整性等级为
导向和以安全为导向的分析
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
1 范围
本文件规定了以汽车安全完整性等级为导向和以安全为导向的分析的要求,包括:
---关于ASIL剪裁的要求分解;
---要素共存的准则;
---相关失效分析;
---安全分析。
本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子系统的与安
全相关的系统。
本文件不适用于特殊用途车辆上特定的电气/电子系统,例如,为残疾驾驶者设计的车辆系统。
注:其他专用的安全标准可作为本文件的补充,反之亦然。
已经完成生产发布的系统及其组件或在本文件发布日期前正在开发的系统及其组件不适用于本文
件。对于在本文件发布前完成生产发布的系统及其组件进行变更时,本文件基于这些变更对安全生命
周期的活动进行裁剪。未按照本文件开发的系统与按照本文件开发的系统进行集成时,需要按照本文
件进行安全生命周期的裁剪。
本文件针对由安全相关的电气/电子系统的功能异常表现而引起的可能的危害,包括这些系统相互
作用而引起的可能的危害。本文件不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、
能量释放等相关的危害和类似的危害,除非危害是直接由安全相关的电气/电子系统的功能异常表现而
引起的。
本文件提出了安全相关的电气/电子系统进行功能安全开发的框架,该框架旨在将功能安全活动整
合到企业特定的开发框架中。本文件提供了为实现产品功能安全的技术开发要求,也提供了组织具备
相应功能安全能力的开发流程要求。
本文件不针对电气/电子系统的标称性能。
附录A概述了本文件的目标、前提条件和工作成果。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
4.2 一般要求
如声明满足GB/T 34590的要求时,应满足每一个要求,除非有下列情况之一:
a) 按照GB/T 34590.2-2022的要求,安全活动的剪裁已经实施并表明这些要求不适用;
b) 不满足要求的理由存在且是可接受的,并且按照GB/T 34590.2-2022的要求对该理由进行
了评估。
标有“注”或“示例”的信息仅用于辅助理解或阐明相关要求,不应作为要求本身且不具备完备性。
将安全活动的结果作为工作成果。应具备上一阶段工作成果作为“前提条件”的信息。如果章条的
某些要求是依照ASIL定义的或可剪裁的,某些工作成果可不作为前提条件。
“支持信息”是可供参考的信息,但在某些情况下,GB/T 34590不要求其作为上一阶段的工作成
果,并且可以是由不同于负责功能安全活动的人员或组织等外部资源提供的信息。
4.3 表的诠释
本文件中的表是规范性或资料性取决于上下文。在满足相关要求时,表中列出的不同方法有助于
置信度水平。表中的每个方法是:
a) 一个连续的条目(在最左侧列以顺序号标明,如1、2、3);或
b) 一个选择的条目(在最左侧列以数字后加字母标明,如2a、2b、2c)。
对于连续的条目,高度推荐和推荐的方法按照ASIL等级推荐予以使用。高度推荐或推荐的方法
允许用未列入表中的其他方法替代,此种情况下,应给出满足相关要求的理由。如果可以给出不选择所
有条目也能符合相应要求的理由,则不需要对缺省方法做进一步解释。
对于选择性的条目,应按照指定的ASIL等级对这些方法进行适当的组合,而与这些方法在表中是
否列出无关。如果所列出的方法对于一个ASIL等级来说具有不同的推荐等级,宜采用具有较高推荐
等级的方法。应给出选择组合方法或选择单一方法满足相应要求的理由。
4.4 基于ASIL等级的要求和建议
若无其他说明,对于ASILA、B、C和D等级,应满足每一章条的要求或建议。这些要求和建议参
照安全目标的ASIL等级。如果在项目开发的早期对 ASIL等级完成了分解,按照GB/T 34590.9-
2022中第5章的要求,应遵循分解后的ASIL等级。
如果GB/T 34590中ASIL等级在括号中给出,则对于该ASIL等级,相应的章条应被认为是推荐
而非要求。这里的括号与ASIL等级分解无关。
5.1 目的
本章的目的是,如果使用了ASIL等级分解,则:
a) 确保安全要求在下一个更细层面上分解成冗余的安全要求,并将这些要求分配给了充分独立
的设计要素;
b) 根据允许的ASIL等级分解方案应用ASIL等级分解。
注:本章中所提到的独立性是指技术独立性,而不是组织独立性(见GB/T 34590.1-2022的3.78)。
5.2 总则
所开发相关项的安全目标的ASIL等级贯穿整个相关项的开发。从安全目标开始,在各开发阶段
得出并细化安全要求。作为安全目标的一个属性,ASIL等级由后续每个安全要求来继承。安全要求
被分配给架构要素,从分配给系统架构设计要素的功能安全要求开始,最终得出分配给硬件和/或软件
要素的安全要求。
ASIL等级分解是在概念和各个开发阶段进行ASIL等级剪裁的一种方法。在安全要求分配过程
中,可从包括存在充分独立的架构要素的架构决策中获得益处,这提供了以下机会:
---通过这些独立的架构要素冗余实现安全要求;
---分配一个可能更低的ASIL等级给这些(或其中一部分)分解后的安全要求。
如果架构要素不是充分独立的,则冗余要求和架构要素继承初始的ASIL等级。
ASIL等级分解是一种ASIL等级剪裁方法,可用于相关项或要素的功能安全要求、技术安全要求、
硬件安全要求或软件安全要求。
通常,ASIL等级分解允许将安全要求的ASIL等级在多个用来确保同一安全目标的同一安全要求
的要素间进行分配。在特定条件下,允许在预期功能及其相应的安全机制间进行 ASIL等级分解(见
5.4.7)。
针对随机硬件失效的要求,包括硬件架构度量的评估和由于随机硬件失效导致违背安全目标的评
估(见GB/T 34590.5-2022的第8章和第9章),在ASIL等级分解后仍保持不变。
附录B给出了一个架构分解的示例。
5.4.1 如果应用ASIL等级分解,应满足本章的所有要求。
5.4.2 进行ASIL等级分解时,应分别考虑每一个初始的安全要求。
注:对不同初始安全要求的ASIL等级分解,可能导致将几个安全要求分配给相同的独立要素。
5.4.3 初始安全要求应分解为冗余安全要求,并由充分独立要素实现。如果相关失效分析(见第7章)
没有找到导致违反初始安全要求的合理原因,或者根据初始安全要求的ASIL等级,所识别相关失效的
每个原因都被充分的安全措施控制,则这些要素具有充分的独立性。
注1:一条被分解的要求可能是几个初始安全要求分解的结果。
注2:使用同构冗余来实现分解的要求(例如,通过复制的设备或复制的软件)并不能解决硬件和软件系统性失效。
除非相关失效的分析(见第7章)提供了充分的独立性证据(见GB/T 34590.1-2022的3.78)或存在潜在共因
可进入安全状态的证据,否则不允许ASIL等级的降低。因此,在没有针对特定系统应用背景的相关失效分
析的支持下,单靠同构冗余通常不足以降低ASIL等级。
注3:ASIL等级分解通常不适用于在多通道架构设计中确保通道选择或通道切换的要素。
5.4.4 每个分解后的安全要求自身应符合初始安全要求。
注1:此要求通过定义提供了冗余。
注2:如果将分解后的安全要求分配给安全机制,则在评估分解后的要求是否符合初始安全要求时,考虑该安全机
制的有效性。
5.4.5 按照GB/T 34590.5-2022,对硬件架构度量的评估要求和对由于随机硬件失效导致违背安全目
标的评估要求应在ASIL等级分解后保持不变。
5.4.6 如果在软件层面应用ASIL等级分解,应在系统层面对实施分解后要求的要素间的充分独立性
进行验证。如果有必要,应在软件层面、硬件层面或系统层面采取额外的措施来实现充分的独立性。
5.4.7 如果对初始安全要求的 ASIL等级分解导致将分解后的要求分配给预期功能及相关安全机
制,则:
a) 相关安全机制宜被分配分解后的较高ASIL等级;
注1:通常,与预期功能相比,安全机制具备较低的复杂度和更小的规模。
b) 安全要求应被分配给预期功能,并按照相应分解后的ASIL等级实现。
注2:如果选择了分解方案 ASILx(x)+QM(x),则 QM(x)意味着质量管理体系足以实现预期功能要素安全要求
的开发。
5.4.10 当使用5.4.9中给出的任何分解方案时,应具备分解后要素充分独立性的证据(见5.4.3)。
5.4.11 应至少按照GB/T 34590.4-2022和GB/T 34590.6-2022中(分解后的)ASIL等级要求,在系
统层面和软件层面开发分解后的要素。应至少按照GB/T 34590.5-2022中(分解后的)ASIL等级要
求,在硬件层面开发分解后的要素,但硬件架构度量的评估和因随机硬件失效导致违背安全目标的评估
除外(见5.4.5)。
5.4.12 在应用了分解的设计过程的每个层面,对分解后的要素的相关集成活动及后续活动,包括验证
和认可措施,应按照分解前的ASIL等级的要求开展。
5.5 工作成果
5.5.1 架构信息的更新,由5.4得出。
5.5.2 作为安全要求和要素属性的ASIL等级更新,由5.4得出。
6 要素共存的准则
6.1 目的
本章提供了以下子要素在同一要素内共存的准则:
a) 安全相关的子要素与非安全相关的子要素;
b) 分配了不同ASIL等级的安全相关子要素。
6.2 总则
通常,当某个要素由几个子要素组成时,按照适用于该要素的最高ASIL等级(即:分配给要素的安
全要求的最高ASIL等级)的相应措施开发每个子要素。
在未分配ASIL等级或分配了不同ASIL等级的子要素共存情况下,或与安全无关的子要素和与
安全相关的子要素共存情况下,避免将要素的ASIL等级分配给全部子要素可能是有益的。为达到该
目的,本章为确定不同ASIL等级的子要素是否能在同一要素下共存提供了指导。本章以要素中各个
子要素与其余子要素间的干扰分析为基础。
在本章的上下文中,干扰是从未分配ASIL等级的子要素或分配了较低ASIL等级的子要素,到分配
了较高ASIL等级的子要素之间存在级联失效,从而导致违背了要素的安全要求(见GB/T 34590.1-2022
的3.65)。
当确定要素中子要素的ASIL等级时,应关注级联失效的相关失效分析(见第7章),此分析为免于
干扰提供了依据。
6.4.1 本章适用于设计过程中任何改进步骤,并行于架构要素和子要素的安全要求分配。
注:按照GB/T 34590.4-2022、GB/T 34590.5-2022或GB/T 34590.6-2022,通常在系统设计、硬件设计或软件架
构设计时考虑共存准则。
6.4.2 分析要素时应考虑下列内容:
a) 分配到要素的每个安全要求;
b) 要素包含的每个子要素。
6.4.3 如果非安全相关的子要素和安全相关子要素共同存在于同一要素中,如果能证明非安全相关的
子要素不直接或间接地违背分配给该要素的任何安全要求,即非安全子要素不干扰要素中安全相关的
任何子要素,则应仅视其为非安全相关的子要素。
注1:这意味着从该子要素到安全相关子要素的级联失效是不存在的。
注2:可通过设计措施获得,诸如考虑软件的数据流和控制流,或硬件的输入/输出信号及控制线。
否则,在不具备免于干扰证据的情况下,应将共存安全相关子要素的最高 ASIL等级分配给该子
要素。
6.4.4 如果同一要素中存在执行不同ASIL等级要求,包括QM(x)(见5.4.9)的安全相关子要素,仅当
能证明对分配给要素的每个安全要求,所考虑的子要素不会直接或间接地违反分配给执行更高ASIL
等级要求的子要素的任何安全要求时,才能视所考虑的子要素为较低ASIL等级的子要素。否则,由于
不具备免于干扰的证据,应将共存安全相关子要素的最高ASIL等级分配给该子要素。
注:对免于干扰的评估与分配给共存的子要素的最高ASIL等级要求相匹配(见7.4.8)。
6.5 工作成果
要素中各子要素的ASIL等级属性的更新,由6.4得出。
7 相关失效分析
7.1 目的
本章的目的是:
a) 通过分析其潜在原因或引发因素,确认设计中充分实现了要求的独立性或免于干扰;
b) 如有必要,定义安全措施,以减轻可能的相关失效。
7.2 总则
相关失效分析的范围可能受给定要素的技术(例如,软件要素、硬件要素或硬件和软件要素的组
合),以及所涉及的安全要求影响。
图3 不同类型相关失效之间的关系
图3描述了相关失效、免于干扰和技术独立性之间的关系。
免于干扰是用于证明分配了不同ASIL等级的,或者无ASIL等级和有ASIL等级的要素可以共存
(见第6章)。
7.4.2 应评估每个识别出的相关失效的潜在可能性,以判定其合理性,即是否存在导致相关失效并违
背给定要素间所要求的独立性或免于干扰的可合理预见原因。
注:为进行随机硬件失效导致违背安全目标的评估,而需要对随机硬件失效进行量化时(见 GB/T 34590.5-
2022),因不存在通用且充分可靠的量化方法,共因失效和级联失效的影响是在定性基础上预估的。
7.4.3 此评估应考虑所分析相关项或要素的运行工况,也应考虑其各种运行模式。
7.4.4 此评估应考虑以下适用的内容:
8.4.1 应按照适当的标准或指南,以及定义的目标(如在安全计划中定义的目标)来开展安全分析。
注1:分析的详细程度与设计的详细程度相适应。故障模型取决于分析所基于的设计描述层面(系统、硬件、软件)
及所实施的安全要求。对于半导体失效模式,可参考GB/T 34......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版