中国标准英文版 数据库收录: 159759 更新: 2024-02-09

GB/T 34590.11-2022

标准搜索结果: 'GB/T 34590.11-2022'
标准号码内文价格美元第2步(购买)交付天数标准名称详情状态
GB/T 34590.11-2022 英文版 2105 GB/T 34590.11-2022 3分钟内自动发货[PDF],有增值税发票。 道路车辆 功能安全 第11部分:半导体应用指南 GB/T 34590.11-2022 有效
GB/T 34590.1-2022 英文版 665 GB/T 34590.1-2022 3分钟内自动发货[PDF],有增值税发票。 道路车辆 功能安全 第1部分:术语 GB/T 34590.1-2022 有效
GB/T 34590.1-2017 英文版 145 GB/T 34590.1-2017 3分钟内自动发货[PDF],有增值税发票。 道路车辆 功能安全 第1部分:术语 GB/T 34590.1-2017 有效

   
基本信息
标准编号 GB/T 34590.11-2022 (GB/T34590.11-2022)
中文名称 道路车辆 功能安全 第11部分:半导体应用指南
英文名称 Road vehicles -- Functional safety -- Part 11: Guidelines on applicationsto semiconductors
行业 国家标准 (推荐)
中标分类 T35
国际标准分类 43.040
字数估计 154,147
发布日期 2022-12-30
实施日期 2023-07-01
起草单位 中国汽车技术研究中心有限公司、英飞凌科技(中国)有限公司、北京地平线机器人技术研发有限公司、法雷奥汽车内部控制(深圳)有限公司、安谋科技(中国)有限公司、华为技术有限公司、博世汽车部件(苏州)有限公司、株洲中车时代电气股份有限公司、北京国家新能源汽车技术创新中心有限公司、上汽大众汽车有限公司、长城汽车股份有限公司、上海水木蓝鲸半导体技术有限公司、比亚迪汽车工业有限公司、舍弗勒(中国)有限公司、北京宝沃汽车股份有限公司、上海金脉电子科技有限公司、中国第一汽车集团有限公司、北京百度智行科技有限公司、中车时代电
归口单位 全国汽车标准化技术委员会(SAC/TC 114)
提出机构 中华人民共和国工业和信息化部
发布机构 国家市场监督管理总局、国家标准化管理委员会

GB/T 34590.11-2022: 道路车辆 功能安全 第11部分:半导体应用指南
GB/T 34590.11-2022 英文名称: Road vehicles -- Functional safety -- Part 11: Guidelines on applicationsto semiconductors
ICS 43.040
CCST35
中华人民共和国国家标准
道路车辆 功能安全
第11部分:半导体应用指南
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
1 范围
本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子系统的与安
全相关的系统。
本文件不适用于特殊用途车辆上特定的电气/电子系统,例如为残疾驾驶者设计的车辆系统。
注:其他专用的安全标准可作为本文件的补充,反之亦然。
已经完成生产发布的系统及其组件或在本文件发布前正在开发的系统及其组件不适用于本文件。
对于在本文件发布前完成生产发布的系统及其组件进行变更时,本文件基于这些变更对安全生命周期
的活动进行裁剪。未按照本文件开发的系统与按照本文件开发的系统进行集成时,需要按照本文件进
行安全生命周期的裁剪。
本文件针对由安全相关的电气/电子系统的功能异常表现而引起的可能的危害,包括这些系统相互
作用而引起的可能的危害。本文件不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、
能量释放等相关的危害和类似的危害,除非危害是直接由安全相关的电气/电子系统的功能异常表现而
引起的。
本文件提出了安全相关的电气/电子系统进行功能安全开发的框架,该框架旨在将功能安全活动整
合到企业特定的开发框架中。本文件规定了为实现产品功能安全的技术开发要求,也规定了组织具备
相应功能安全能力的开发流程要求。
本文件不针对电气/电子系统的标称性能。
本文件只具有资料性特性,包含了GB/T 34590其他部分针对半导体开发的可能解释。关于可能
的解释,该内容并非详尽无遗,即为了满足GB/T 34590的其他部分定义的要求,其他解释也是可能的。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 34590.1-2022 道路车辆 功能安全 第1部分:术语(ISO 26262-1:2018,MOD)
3 术语和定义
GB/T 34590.1-2022界定的术语和定义适用于本文件。
4 半导体组件及其分区
4.1 如何考虑半导体组件开发
如果半导体组件的开发作为一个符合GB/T 34590的相关项开发的一部分,它需基于硬件安全要
求开发,此要求源于相关项的顶层安全目标,并通过技术安全概念产生。如果分配给该相关项的目标包
括为满足硬件架构度量而设定的相关失效模式的诊断覆盖率、随机硬件失效概率度量(PMHF)或对违
背安全目标的每个原因的评估(EEC):在这种情况下,半导体组件只是要素之一。如GB/T 34590.5-
2022中8.2的示例所述,为了促进分布式开发,可以通过在相关项层面获得SPFM、LFM 和PMHF的
目标值或将EEC应用于硬件元器件层面,从而将这些目标值分配给半导体组件本身。半导体组件的安
全分析根据GB/T 34590.5-2022中的7.4.3和GB/T 34590.9-2022第8章定义的要求和建议进行。
注:如果要素未按照GB/T 34590开发,则可以参考GB/T 34590.8-2022第13章的要求。
半导体组件可以按照SEooC来开发,如GB/T 34590.10-2022所述。在这种情况下,开发基于对
半导体组件使用条件的假设(使用假设或AoU,见4.4)完成,然后在下一个更高的集成层面上,考虑这
些将要使用半导体组件的相关项的安全目标导出的半导体组件的要求,进行验证。
该部分的表述和方法都是假定这个半导体组件是一个SEooC,但是如果半导体组件未被视为一个
SEooC,则所表述的方法(例如,半导体组件的失效率的计算方法)仍然有效。考虑半导体组件自身而实
施这些方法时,应当给出适当的假设。4.4描述了如何在系统层面或要素层面调整和验证这些方法和
假设。在 半 导 体 组 件 自 身 层 面,可 以 应 用 GB/T 34590.2-2022、GB/T 34590.5-2022、
GB/T 34590.6-2022、GB/T 34590.7-2022、GB/T 34590.8-2022和GB/T 34590.9-2022的要求(例
如与安全分析、相关失效分析、验证等相关)。
4.2 半导体组件划分
如图2所示并且按照GB/T 34590.1-2022中3.21的定义,半导体组件可分为数个元器件:整个半
导体层级可视为一个组件,第二层级(例如CPU)可视为一个元器件,下一层级(例如CPU寄存器组)可
视为子元器件,直到基础子元器件(其内部寄存器和相关逻辑)。
注:半导体组件划分的详细程度(例如,是否停止于元器件层面或下至子元器件或基础子元器件层面)以及基础子
元器件的定义(例如触发器、模拟晶体管)可取决于安全概念、分析的阶段以及使用的安全机制(在半导体组件
内部或在系统层面或要素层面)。
4.3.1 总述
如图3所示,集成电路的随机硬件故障和失效模式相互关联。
注1:失效模式可以是抽象的,也可根据具体实施情况而裁剪,例如与组件、元器件或子元器件的引脚相关。
通常情况下,失效模式在本文件中被描述为功能失效模式。也可进一步表征失效模式的特性。
4.5.1.1 理解IP
在本条中,IP是指可复用的逻辑设计单元或物理设计单元,作为一个元器件或组件集成到设计中。
术语“IP集成商”指负责将来自一个或多个源的IP设计集成到具有安全要求的设计中的组织。术语
“IP供应商”用于指负责设计或开发IP的组织。IP集成商和IP供应商可以是单独的各方,也可以是同
一公司或同一公司的不同组织。
根据GB/T 34590的要求,为基于IP的设计确定了四种可能的方法。这些方法如图5所示。IP集
成商通常根据对IP供应商提供的信息以及IP的成熟度的考量来选择方法。
示例:如果无法从IP供应商处获得支持信息,可能的方法可以仅限于“在用证明”论据(如果适用)。若“在用证明”
不适用,那么IP在安全架构中的作用将被区别对待,例如:使用多样化冗余来降低系统性和硬件随机失效的风险。
图5 在安全相关设计中使用IP可能用到的方法
IP可以是具有预定义功能集的现有设计。在这种情况下,IP集成商有责任确定支持设计的安全概
念所需的功能集。IP也可根据议定的安全要求进行设计。在这种情况下,IP集成商确定了支持设计的
安全概念所必要的IP要求。
注1:本条中的指导可适用于新开发的IP、修订的IP和现有的未修改的IP。
注2:如GB/T 34590.2-2022中的6.4.5.7,通常的方法是假设可能的目标用途。该方案在GB/T 34590.10-2022
中被描述为SEooC。SEooC的开发依赖于识别由IP集成商验证的假设用例和安全要求。
4.5.1.2 IP的类型
表1列出了常用的IP类型。该表并未涵盖所有可能的IP类型。本文件考虑了应用于半导体设计
的IP的物理和模型表示类型。
4.5.2 IP的类别和安全要求
通常情况下,可以基于对安全要求的分配来确定两类IP:没有分配安全要求的IP和分配一个或多
个安全要求的IP。当IP没有分配安全要求时,除非在安全分析时被识别出,否则GB/T 34590对此没
有要求附加的考虑。在非安全相关IP与安全相关要素共存的情况下,可使用相关失效分析来评估是否
免于干扰。对于相关失效分析指南,见GB/T 34590.9-2022第7章和本文件4.7中的附加指南。
如果为IP分配了一个或多个安全要求,则GB/T 34590的要求依然适用。特别是GB/T 34590.2-
2022、GB/T 34590.4-2022、GB/T 34590.5-2022、GB/T 34590.8-2022和GB/T 34590.9-2022的要
求通常被裁剪以适用于IP设计。以下内容为分配了安全要求的IP提供了指导,以及如何在有和没有
集成安全机制的情况下考虑这些IP要求。
安全相关的IP可以基于安全机制的集成进行进一步分类。图6说明了两种可能的情况,其中,图
6a)说明了集成了安全机制的IP,图6b)说明了没有集成安全机制的IP。
a) b)
4.5.3.2 IP作为SEooC
在开发SEooCIP时,根据 GB/T 34590.2-2022中的6.4.5.7裁剪适用的安全活动。这种针对
SEooC开发的裁剪并不意味着可以省略任何一个安全生命周期的步骤。如果在SEooC开发期间某些
步骤被推迟,则可以在相关项开发期间完成这些步骤。
如果SEooC的ASIL等级能力(见GB/T 34590.1-2022中的3.2)和由IP集成商指定的ASIL等
级要求不匹配,则IP集成商可以采用IP外部附加的安全机制。也应将关于避免系统性失效的附加安
全措施考虑在内。可以使用GB/T 34590.9-2022第5章定义的ASIL等级分解,前提是可以表明存在
冗余和独立的要求,并考虑了集成IP的系统性失效避免和控制方法。
SEooC是基于预期功能和使用场景(包括外部接口)的假设开发的。这些假设的设置方式可以将
SEooC集成到其中的组件的超集,从而可以在以后的多个不同设计中使用SEooC。这些假设的有效性
是在集成SEooC的实际组件的场景下建立的。在这种情况下,被开发为SEooC的IP通常可以配置为
针对许多不同的设计。配置可以在综合之前,综合之后,或通过熔丝、激光切割、闪光或任何其他编程方
式来完成。在这种情况下,IP供应商提供有关测试和验证活动所涉及的IP配置的信息。
示例:用于确定互连总线的宽度、内部高速缓存大小、中断数、存储器映射的配置选项。
注1:IP配置与软件配置数据不同,因此GB/T 34590.6-2022附录C不能直接应用于IP。
注2:IP集成商执行必要的验证活动,以确保生成的IP的正确性;在后续章节中所列出的必要的工作成果应是可
用的;并且,IP集成商验证IP在这种场景下的正确集成。
4.5.3.3 特定场景下进行IP设计
当在某场景下开发IP时,IP供应商根据GB/T 34590.2-2022中的6.4.5.1描述裁剪安全活动。
对基于场景的设计,IP供应商可以在了解安全要求的情况下开发IP。
4.5.3.4 通过硬件要素评估的IP应用
如果没有SEooC或场景信息可用于IP,如GB/T 34590.8-2022第13章所述的硬件要素的评估
可被用于增加对IP的信心。用于评估硬件要素的预知活动可以应用于没有预先可用的支持信息的IP
(如4.5.5所述)。
4.5.3.5 通过“在用证明”论证的IP应用
如果用以避免系统故障的证据不可用,则在GB/T 34590.8-2022第14章中所述的“在用证明”论
据可以为IP集成商提供一种方法,表明符合GB/T 34590。
关于“在用证明”论证的有效性的条件可能是受限的。确保GB/T 34590.8-2022中14.4.5.3所述
的有效现场监控程序的实施是具有挑战性的,因为通常来自于包含IP的设计的现场反馈有限,或IP配
置有所差异。
4.5.4.1 IP工作成果清单
工作成果示例在5.1.11(用于数字组件)、5.2.6(用于模拟或混合信号组件)、5.3.6(用于PLD)和
5.5.6(用于传感器和转换器)中描述。后续给出了用于IP设计的有关工作成果内容的通用性指导。
注:DIA(见GB/T 34590.8-2022第5章)可用于定义哪些文档可供IP集成商使用,以及所包含的详细程度。
4.5.4.2 安全计划
对于分配了一个或多个安全要求的IP,按照GB/T 34590.2-2022中6.4.6的要求制定安全计划。
可以使用单个计划或多个相关计划。详细计划应纳入GB/T 34590.8-2022描述的适用的支持过程,
包括配置管理、变更管理、影响分析和变更请求、验证、文档管理和软件工具鉴定。
4.5.4.3 分配给IP设计的安全要求
如GB/T 34590.5-2022第6章中定义,硬件安全要求可以分配到IP设计。
示例:根据对IP中安全机制要求的描述,允许在适当的集成层面验证要求。集成和测试规范可以与定义于技术安
全概念中的要求相关联。
4.5.4.4 IP设计的硬件设计验证和验证评审
对于逻辑设计形式的IP设计,定义设计验证的准则,特别是针对环境条件(振动、EMI等)的准则
通常是不可能的,因为物理特性高度依赖于由IP集成商完成的设计的物理实现。
注:对于用作数字逻辑设计的IP,可通过使用在5.1.9中列出的技术进行硬件设计验证。
验证报告包括用于验证IP设计的活动结果。可按照GB/T 34590.8-2022第9章进行验证,包括
验证活动的计划、执行和评估。
4.5.4.5 安全分析报告
IP设计可采用GB/T 34590.9-2022第8章中的安全分析的要求。可基于GB/T 34590.5-2022
表2,选择合适的安全分析方法。
对于定性分析,供应商提供已识别的IP的失效模式,以支持其集成。
对于定量分析,如GB/T 34590.9-2022中8.4.10所定义的,所包含的数据支持硬件架构度量的评
估和由于随机硬件故障导致违背安全目标的评估。
示例:数据包括估计的失效率和失效模式分布信息。
注1:对于IP的逻辑设计,比如寄存器传输级(RTL),定量分析取决于关于失效率和失效模式分布的假设,因而不
能代表实际的物理设计。IP集成商验证针对特定实现的假设和定量安全分析结果。
注2:在评估度量时,可以考虑嵌入IP中的安全机制及其预期的失效模式覆盖率(在适用于给定IP的等级上)。
若IP可配置,则安全分析可包括关于配置选项对失效模式分布影响的信息。
注3:分析配置选项对安全机制的实施和诊断覆盖率的影响。
可以定义通过IP内部和外部特征的组合实现的安全机制,以及在IP外部实施的安全机制。这些
附加的安全机制可依赖于针对SEooC设计的使用假设,可在GB/T 34590.2-2022中6.4.5.7所述的适
当层面进行确认。
4.5.4.1~4.5.4.9中工作成果的适用性取决于4.5.2描述的IP的分类。对于没有集成安全机制的
知识产权:
---安全分析报告仅限于IP的失效模式分布。由于没有集成的安全机制,因此没有针对硬件度量
的评估。IP集成商需要失效模式分布,以便能够在集成层面执行安全分析。
---集成文档集(非特定的工作成果,而是如4.5.4.9所述的信息集合)受限于对IP集成环境假设
的描述,包括接口。
---通常不包括相关失效的分析。
4.6.1.1 简介
本条提供有关如何计算和使用基础(或原始)失效率的说明、指南和示例。按照GB/T 34590.5-
2022,基础失效率是计算定量安全分析和度量的主要输入。
注:GB/T 34590.5-2022中的定量安全分析侧重于随机硬件失效并排除系统性失效。因此,在GB/T 34590中使
用的基础失效率仅针对随机硬件失效。也可见4.6.1.3。
可用于基础失效率评估的每种技术都需要考虑失效机理的假设。由不同的基础失效率评估技术造
成的结果差异通常是由于缺乏对同一组失效机理的考量。如果不对一组共同的失效机理进行协调,那
么将不同技术应用于同一组件的结果就不具有可比性。
4.6.1.2 定量目标值和可靠性预测
由于随机硬件失效导致的在相关项层面违背每个安全目标的最大概率的定量目标值(PMHF)有
时会被误认为是可靠性预测的输入。按照GB/T 34590.5-2022中9.4.2.2的注1,这些定量目标值不
具有绝对意义,但在比较现有设计和新设计时非常有用。它们旨在提供可用的设计指南并提供证明设
计符合安全目标的可用证据。因此,这些值不能够在可靠性预测中“按原样”使用。
4.6.1.3 系统性失效和随机失效之间的差异
GB/T 34590区分了系统性失效和随机失效。绝大多数用于基础失效率评估的可用技术旨在提供
可靠性评估但不做出这种区分。由于包含估算系统性失效的因子,这些技术的结果可能过于保守。例
如,基于现场失效观测的评估技术通常不具有适当的样本大小或观测质量以区分系统性失效和随机失
效。类似地,在GB/T 34590的背景下(例如参考文献[22]中定义的πpm和πprocess因子)使用将系统性功
能作为基础失效率计算的一部分的模型可......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版