前言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
GB/T 34590-XXXX《道路车辆 功能安全》分为以下部分:
—— 第1部分:术语;
—— 第2部分:功能安全管理;
—— 第3部分:概念阶段;
—— 第4部分:产品开发:系统层面;
—— 第5部分:产品开发:硬件层面;
—— 第6部分:产品开发:软件层面;
—— 第7部分:生产、运行、服务和报废;
—— 第8部分:支持过程;
—— 第9部分:以汽车安全完整性等级为导向和以安全为导向的分析;
—— 第10部分:指南;
—— 第11部分:半导体应用指南;
—— 第12部分:摩托车的适用性。
本部分为GB/T 34590-XXXX的第1部分。
本文件代替GB/T 34590.1-2017《道路车辆 功能安全 第1部分:术语》,与GB/T 34590.1-2017相比,除结构调整和编辑性改动外,主要技术变化如下:
—— 标准适用范围由“量产乘用车”修改为“除轻便摩托车外的量产道路车辆”,并修改了范围的描述;
—— 新增第2章“规范性引用文件”;
—— 修改了3.1 架构、3.3 ASIL等级分解、3.4 评估、3.5 审核、3.6 汽车安全完整性等级、3.7 可用性、3.10 基线、3.13 分支覆盖率、3.15 标定数据、3.17 级联失效、3.18 共因失效、3.21 组件、 3.22 配置数据、 3.24 认可评审、3.28降级degradation、3.29 相关失效、3.31 可探测的故障、 3.32 开发接口协议、3.33 诊断覆盖率、3.35 诊断测试时间间隔、3.36 分布式开发、3.37 多样性、3.38 双点失效、3.40 电气/电子系统、3.41 要素、3.42 嵌入式软件、3.43 紧急运行、 3.44 紧急运行时间间隔、3.46 错误、3.48 暴露、 3.50 失效、 3.51 失效模式、3.54 故障、3.58 故障模型、3.59 故障响应时间间隔、3.61 故障容错时间间隔、3.63 形式记法、3.64 形式验证、3.68 功能安全概念、 3.69 功能安全要求、3.70 硬件架构度量、3.71 硬件元器件、3.78 独立性、3.79 非相关失效、3.80 非形式记法、3.82 检查、3.83 预期功能、3.84 相关项、3.85 潜伏故障、3.90 基于模型的开发、3.91 修改、3.96 多点失效、3.97 多点故障、3.99 新开发、3.100 非功能性危害、3.102 运行模式、3.103 运行时间、3.104 运行场景、3.105 其他技术、3.108 可感知故障、3.109 永久性故障、3.110 阶段、3.115 在用证明、3.118 随机硬件失效、3.120 合理预见的、3.122 冗余、3.125 残余故障、3.127 评审、3.131 安全状态、3.133 安全活动、3.136 安全档案、3.137 安全文化、3.139 安全目标、 3.140 安全经理、3.141 安全措施、 3.142 安全机制、3.145 安全相关功能、3.147 安全相关的特殊特性、3.148 安全确认、3.154 严重度、3.155 单点失效、3.156 单点故障、3.161 子阶段、3.163 系统、 3.167 技术安全概念、3.169 测试、3.180 验证、3.181 验证评审、3.182 走查、3.183 报警和降级策略、3.184 值得信赖的、3.185 工作成果等92个术语的定义。
—— 新增了3.2 ASIL等级能力、3.8 基础失效率、3.9 基础车辆、3.11 商用车制造商、3.12 车辆上装设备、3.14 客车、3.19 共模失效、3.20 完整车辆、3.26 耦合系数、3.30 相关失效引发源、3.34 诊断点、3.45 紧急运行容错时间间隔、3.47 专业摩托车驾驶员、3.52 失效模式覆盖率、3.55 故障探测时间间隔、3.56 故障处理时间间隔、3.57 故障注入、3.60 故障容错、3.72 硬件基础子元器件、3.73 硬件子元器件、3.87 管理体系、3.89 最长待修复时间间隔、3.92 修改条件/判定覆盖率、3.93 摩托车、3.94 摩托车安全完整性等级、3.95 多核、3.101 观测点、3.111 失效物理学、 3.112 动力输出装置、 3.113 处理要素、3.114 可编程逻辑器件、3.117 质量管理、3.119 随机硬件故障、3.121 重建、3.124 再制造、3.134 安全异常、3.138 独立于环境的安全要素、3.146 安全相关事件、3.151 半挂车、3.152 量产道路车辆、3.162供应协议、3.166目标环境、3.170牵引车、3.171 挂车、3.172 转换器、3.174 卡车、3.175 T&B车辆配置、3.177 T&B车辆使用的变化、3.178 整车功能、3.179 车辆运行状态等50个术语和定义:
—— 删除了GB/T 34590.1-2017中的2.1分配、2.2异常、2.60同构冗余、 2.66初始ASIL等级、2.70相关项开发、2.126特殊用途车辆等6个术语和定义。
—— 修改缩略语3个,新增缩略语60个,删除缩略语6个。
本部分修改采用ISO 26262-1:2018 《道路车辆 功能安全 第1部分:术语》。
本部分与ISO 26262-1:2018的技术性差异及其原因如下:
—— 关于规范性引用文件,本部分做了具有技术性差异的调整,以适应我国的技术条件,调整的情况集中反映在第2章“规范性引用文件”中,具体调整如下:用修改采用国际标准的GB/T 34590-XXXX(所有部分)代替ISO 26262:2018(所有部分);
—— 3.14 客车 passenger car,修改原文中的定义内容,与GB/T 3730.1-2001《汽车和挂车类型的术语和定义》中的定义保持一致;
—— 3.93 摩托车 motorcycle,修改原文中的定义内容,与GB/T 5359.1-2019《摩托车和轻便摩托车术语》中的定义保持一致;
—— 3.107 乘用车 passenger car,修改原文中的定义内容,与GB/T 3730.1-2001《汽车和挂车类型的术语和定义》中的定义保持一致。
—— 新增术语3.186预期功能安全 safety of the intended functionality;SOTIF及其定义。
—— 新增术语3.187接受准则 acceptance criteria及其定义;
—— 新增术语3.188安全度量 safety metric及其定义;
本文件还做了下列编辑性修改:
—— 将国际标准中的“本国际标准”改为“本文件”;
—— 删除国际标准的前言;
—— 修改了国际标准的引言及其表述。
本文件由中华人民共和国工业和信息化部提出。
本文件由全国汽车标准化技术委员会(SAC/TC114)归口。
本文件起草单位:
本文件主要起草人:
本文件所代替文件的历次版本发布情况为:
—— GB/T 34590.1,2017年首次发布。
引言
ISO 26262是以IEC 61508为基础,为满足道路车辆上电气/电子系统的特定需求而编写。
GB/T 34590修改采用ISO 26262,适用于道路车辆上由电子、电气和软件组件组成的安全相关系统在安全生命周期内的所有活动。
安全是道路车辆开发的关键问题之一。汽车功能的开发和集成强化了对功能安全的需求,以及对提供证据证明满足功能安全目标的需求。
随着技术日益复杂、软件和机电一体化应用不断增加,来自系统性失效和随机硬件失效的风险逐渐增加,这些都在功能安全的考虑范畴之内。GB/T 34590通过提供适当的要求和流程来降低风险。
为了实现功能安全,GB/T 34590-XXXX(所有部分):
a) 提供了一个汽车安全生命周期(开发、生产、运行、服务、报废)的参考,并支持在这些生命周期阶段内对执行的活动进行剪裁;
b) 提供了一种汽车特定的基于风险的分析方法,以确定汽车安全完整性等级(ASIL);
c) 使用ASIL等级来定义GB/T 34590中适用的要求,以避免不合理的残余风险;
d) 提出了对于功能安全管理、设计、实现、验证、确认和认可措施的要求;及
e) 提出了客户与供应商之间关系的要求。
GB/T 34590针对的是电气/电子系统的功能安全,通过安全措施(包括安全机制)来实现。它也提供了一个框架,在该框架内可考虑基于其它技术(例如,机械、液压、气压)的安全相关系统。
功能安全的实现受开发过程(例如,包括需求规范、设计、实现、集成、验证、确认和配置)、生产过程、服务过程和管理过程的影响。
安全问题与常规的以功能为导向和以质量为导向的活动及工作成果相互关联。GB/T 34590涉及与安全相关的开发活动和工作成果。
图1为GB/T 34590的整体架构。GB/T 34590基于V模型为产品开发的不同阶段提供参考过程模型:
—— 阴影”V”表示GB/T 34590.3-XXXX、GB/T 34590.4-XXXX、GB/T 34590.5-XXXX、GB/T 34590.6-XXXX、GB/T 34590.7-XXXX之间的相互关系;
—— 对于摩托车:
• GB/T 34590.12-XXXX的第8章支持GB/T 34590.3-XXXX;
• GB/T 34590.12-XXXX的第9章和第10章支持GB/T 34590.4-XXXX。
—— 以“m-n”方式表示的具体章条中,“m”代表特定部分的编号,“n”代表该部分章的编号。
示例: “2-6”代表GB/T 34590.2-XXXX的第6章。
图1 GB/T 34590-XXXX概览
道路车辆 功能安全 功能安全 功能安全
第 1部分:术语 部分:术语
1 范围
GB/T 34590的本部分规定了本文件所有部分所应用的术语和定义,以及缩略语。
本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子系统的与安全相关的系统。
本文件不适用于特殊用途车辆上特定的电气/电子系统,例如,为残疾驾驶者设计的车辆。
注: 其他专用的安全标准可作为本文件的补充,反之亦然。
已经完成生产发布的系统及其组件或在本文件发布日期前正在开发的系统及其组件不适用于本文件。对于在本文件发布前完成生产发布的系统及其组件进行变更时,本文件基于这些变更对安全生命周期的活动进行裁剪。未按照本文件开发的系统与按照本文件开发的系统进行集成时,需要按照本文件进行安全生命周期的裁剪。
本文件针对由安全相关的电气/电子系统的功能异常表现而引起的可能的危害,包括这些系统相互作用而引起的可能的危害。本文件不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危害和类似的危害,除非危害是直接由安全相关的电气/电子系统的功能异常表现表现而引起的。
本文件提出了安全相关的电气/电子系统进行功能安全开发的框架,该框架旨在将功能安全活动整合到企业特定的开发框架中。本文件规定了为实现产品功能安全的技术开发要求,也规定了组织应具备相应功能安全能力的开发流程要求。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 34590-XXXX(所有部分) 道路车辆 功能安全(ISO 26262:2018,MOD)
3 术语和定义
下列术语和定义适用于本文件。 架构 architecture
相关项(3.84)或要素(3.41)的结构的表征,用于识别结构模块及其边界和接口,并包括将要求分配给结构模块。 ASIL等级能力 ASIL capability
相关项(3.84) (3.84) 或要素(3.41) (3.41)(3.41)满足假定 的、被分配了给满足假定 的、被分配了给满足假定 的、被分配了给满足假定 的、被分配了给满足假定 的、被分配了给满足假定 的、被分配了给满足假定 的、被分配了给ASIL(3.6 3.6)等级的 )等级的 )等级的 安全(3.132 3.132)要求的能 )要求的能 )要求的能 力。
注: 作为硬件安全要求的一部分,如果需要,还包括实现分配给要素(3.41)的相应随机硬件故障度量目标值(见GB/T 34590.5-XXXX,第8章和第9章)。 ASIL等级分解 ASIL decomposition
为有助于实现同一 为有助于实现同一 为有助于实现同一 为有助于实现同一 安全目标(3.139) (3.139) ,将冗余的 ,将冗余的 ,将冗余的 ,将冗余的 安全(3.132)(3.132) 要求分 配给具有充要求分 配给具有充要求分 配给具有充要求分 配给具有充要求分 配给具有充独立性(3.78) (3.78) 的要素(3.41) (3.41) ,以降低分配给相关 ,以降低分配给相关 ,以降低分配给相关 ,以降低分配给相关 ,以降低分配给相关 要素(3.41) (3.41) 的 冗余的 冗余安全(3.132) (3.132) (3.132)要求的 要求的 ASIL(3.6)(3.6)(3.6) 等级。 等级。
注1:ASIL等级分解是设计过程中ASIL(3.6)等级剪裁方法的基础(GB/T 34590.9中定义为关于ASIL(3.6)等级剪裁的要求分解)。
注2:根据GB/T 34590.9,ASIL等级分解不适用于随机硬件失效要求。
注3:冗余安全(3.132)要求的ASIL(3.6)等级降低也存在一些例外,如,认可措施(3.23)保持与安全目标(3.139)相同的等级。 评估 assessment
对相关项(3.84)或要素(3.41)的特性是否实现GB/T 34590目标的检查。 审核 audit
针对过程目标对已实施过程的检查。 汽车安全完整性等级 Automotive Safety Integrity Level;ASIL
四个等级中的一个等级,用于定义相关项(3.84)或要素(3.41)需要满足的GB/T 34590中的要求和安全措施(3.141),以避免不合理的风险(3.176),其中,D代表最高严格等级,A代表最低严格等级。
注: QM(3.117)不是一个ASIL等级。 可用性 availability
在定义的生命周期内,产品在给定条件下按照要求提供规定功能的能力。 基础失效率 base failure rate;BFR
在给定用例中作为安全(3.132)分析输入的硬件要素(3.41)失效率(3.53)。 基础车辆 base vehicle
在安装车辆上装设备(3.12)之前,原始设备制造商(OEM)的T&B车辆配置(3.175)。
注: 车辆上装设备(3.12)可安装在包括所有驾驶相关系统(3.163)(发动机、传动系、底盘、转向、制动、驾驶室和驾驶员信息)的基础车辆上。
示例:带有动力系统和驾驶室的卡车(3.174)底盘、带动力系统的滚动底盘。 基线 baseline
已批准的可作为变更基础的一组单一或多个工作成果(3.185)、相关项(3.84)或要素(3.41)的版本。
注1:见GB/T 34590.8,第8章。
注2:基线通常置于配置管理之下。
注3:在生命周期(3.86)中,通过变更管理流程,基线被用作进一步开发的基础 。
3
车辆上装制造商 body builder;BB
将卡车(3.174)、客车(3.14)、挂车(3.171)和半挂车(3.151)(T&B)的车身、 货运工具或设备增加到基础车辆(3.9)上的组织。
注1:T&B车身包括卡车(3.174)驾驶室、客车(3.14)车身、步入式车厢等。
注2:货运工具包括货箱、平板床、汽车运输架等。
注3:设备包括作业设备和机械,如水泥搅拌机、倾卸床、雪铲、升降机等。 车辆上装设备 body builder equipment
安装在T&B基础车辆(3.9)上的机械、车身或货运工具。 分支覆盖率 branch coverage
在测试中,已执行计算机程序的控制流分支所占的比率。
注1:100%分支覆盖率意味着100%语句覆盖率(3.160)。
注2:一个if语句总有两个分支,即条件为true和条件为false,不依赖于else语句是否存在。
客车 bus
在设计和技术特性上用于载运乘客及其随身行李的商用车辆,包括驾驶员座位在内座位数超过9座。客车有单层的或双层的,也可牵引一挂车(3.171)。
[来源:GB/T 3730.1—2001,2.1.2.1 ] 标定数据 calibration data
在开发过程中,软件构建后将用作软件参数值的数据。
示例:参数(例如,低怠速值、发动机万有特性图)、车辆特定参数(适应值,例如,节气门限位)、变量编码(例如,国家代码、左舵/右舵)。
注: 标定数据不包含可执行代码或注释代码。
候选项 candidate candidate candidate
与已经发布并在运行的相关项(3.84)或要素(3.41)的定义和使用条件相同、或具有高度通用性的相关项(3.84)或要素(3.41)。
注: 该定义适用于在用证明(3.115)中使用的候选项。
级联失效 级联失效 cascading failurecascading failure cascading failure cascading failure cascading failurecascading failure
由一个根本原因(来自要素(3.41)内部或外部)导致某个相关项(3.84)的要素(3.41)的失效(3.50),进而引起相同或不同相关项(3.84)的另一个要素(3.41)或多个要素(3.41)的失效(3.50)。
注: 级联失效是相关失效(3.29),其可能是导致共因失效(3.18)的根本原因之一。见图2。