GB/T 34590.5-2022英文版 道路車輛功能安全第5部分：產(chǎn)品開發(fā)：硬件層面

GB/T 34590.5-2022英文版

?

1 范圍

道路車輛 功能安全 第5部分：產(chǎn)品開發(fā)：硬件階段

GB/T 34590的本部分規(guī)定了車輛在硬件層面產(chǎn)品開發(fā)的要求，包括：
——硬件層面產(chǎn)品開發(fā)的概述；
——硬件安全要求的定義；
——硬件設(shè)計(jì)；
——硬件架構(gòu)度量的評估；
——因隨機(jī)硬件故障而導(dǎo)致違背安全目標(biāo)的評估；及
——硬件集成和驗(yàn)證。 本文件適用于安裝在除輕便摩托車外的量產(chǎn)道路車輛上的包含一個或多個電氣/電子系統(tǒng)的與安全相關(guān)的系統(tǒng)。
本文件不適用于特殊用途車輛上特定的電氣/電子系統(tǒng)，例如，為殘疾駕駛者設(shè)計(jì)的車輛。
注：其他專用的安全標(biāo)準(zhǔn)可作為本文件的補(bǔ)充，反之亦然。
已經(jīng)完成生產(chǎn)發(fā)布的系統(tǒng)及其組件或在本文件發(fā)布日期前正在開發(fā)的系統(tǒng)及其組件不適用于本文 件。對于在本文件發(fā)布前完成生產(chǎn)發(fā)布的系統(tǒng)及其組件進(jìn)行變更時，本文件基于這些變更對安全生命周 期的活動進(jìn)行裁剪。未按照本文件開發(fā)的系統(tǒng)與按照本文件開發(fā)的系統(tǒng)進(jìn)行集成時，需要按照本文件進(jìn) 行安全生命周期的裁剪。
本文件針對由安全相關(guān)的電氣/電子系統(tǒng)的功能異常表現(xiàn)而引起的可能的危害，包括這些系統(tǒng)相互 作用而引起的可能的危害。本文件不針對與觸電、火災(zāi)、煙霧、熱、輻射、毒性、易燃性、反應(yīng)性、腐 蝕性、能量釋放等相關(guān)的危害和類似的危害，除非危害是直接由安全相關(guān)的電氣/電子系統(tǒng)的功能異常 表現(xiàn)表現(xiàn)而引起的。
本文件提出了安全相關(guān)的電氣/電子系統(tǒng)進(jìn)行功能安全開發(fā)的框架，該框架旨在將功能安全活動整 合到企業(yè)特定的開發(fā)框架中。本文件規(guī)定了為實(shí)現(xiàn)產(chǎn)品功能安全的技術(shù)開發(fā)要求，也規(guī)定了組織應(yīng)具備 相應(yīng)功能安全能力的開發(fā)流程要求。
本文件不針對電氣/電子系統(tǒng)的標(biāo)稱性能。 本文件中對硬件要素的要求適用于非可編程和可編程硬件要素，如ASIC、FPGA和PLD，更多指南見
GB/T 34590.10和GB/T 34590.11。
2 規(guī)范性引用文件
下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件， 僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本 文件。
GB/T 34590.1 道路車輛 功能安全 第1部分：術(shù)語(ISO 26262-1:2018,MOD)
GB/T 34590.2 道路車輛 功能安全 第2部分：功能安全管理(ISO 26262-2:2018,MOD)
GB/T 34590.4 道路車輛 功能安全 第4部分：產(chǎn)品開發(fā)：系統(tǒng)層面(ISO 26262-4:2018,MOD) GB/T 34590.6 道路車輛 功能安全 第6部分：產(chǎn)品開發(fā)：軟件層面(ISO 26262-6:2018,MOD) GB/T 34590.7 道路車輛 功能安全 第7部分：生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢(ISO 26262-7:2018,MOD) GB/T 34590.8 道路車輛 功能安全 第8部分：支持過程(ISO 26262-8:2018,MOD)
GB/T 34590.9，道路車輛 功能安全 第9部分：以汽車安全完整性等級為導(dǎo)向和以安全為導(dǎo)向 的分析(ISO 26262-9:2018，MOD)

3 術(shù)語、定義和縮略語
GB/T 34590.1界定的術(shù)語、定義和縮略語適用于本文件。
4 要求
4.1 目的
本章規(guī)定了：
a) 如何符合 GB/T 34590；
b) 如何解釋 GB/T 34590 中所使用的表格；及 c) 如何解釋各章條基于不同的 ASIL 等級的適用性。
4.2 一般要求
如聲明滿足GB/T 34590的要求時，應(yīng)滿足每一個要求，除非有下列情況之一：
a) 按照 GB/T XXXXX.2 的要求，安全活動的剪裁已經(jīng)實(shí)施并表明這些要求不適用；或
b) 不滿足要求的理由存在且是可接受的，并且按照 GB/T XXXXX.2 的要求對該理由進(jìn)行了評 估。
標(biāo)有“注”或“示例”的信息僅用于輔助理解或闡明相關(guān)要求，不應(yīng)作為要求本身且不具備完備性。 將安全活動的結(jié)果作為工作成果。應(yīng)具備上一階段工作成果作為“前提條件”的信息。如果章條的
某些要求是依照ASIL定義的或可剪裁的，某些工作成果可不作為前提條件。
“支持信息”是可供參考的信息，但在某些情況下，GB/T 34590不要求其作為上一階段的工 作成果，并且可以是由不同于負(fù)責(zé)功能安全活動的人員或組織等外部資源提供的信息。
4.3 表的詮釋
本文件中的表是規(guī)范性或資料性取決于上下文。在滿足相關(guān)要求時，表中列出的不同方法有助于置 信度水平。表中的每個方法是：
a) 一個連續(xù)的條目（在最左側(cè)列以順序號標(biāo)明，如 1、2、3）；或
b) 一個選擇的條目（在最左側(cè)列以數(shù)字后加字母標(biāo)明，如 2a、2b、2c）。 對于連續(xù)的條目，高度推薦和推薦的方法按照ASIL等級推薦予以使用。高度推薦或推薦的方法允許
用未列入表中的其它方法替代,此種情況下，應(yīng)給出滿足相關(guān)要求的理由。如果可以給出不選擇所有條 目也能符合相應(yīng)要求的理由，則不需要對缺省方法做進(jìn)一步解釋。
對于選擇性的條目，應(yīng)按照指定的ASIL等級對這些方法進(jìn)行適當(dāng)?shù)慕M合，而與這些方法在表中是否 列出無關(guān)。如果所列出的方法對于一個ASIL等級來說具有不同的推薦等級，宜采用具有較高推薦等級的 方法。應(yīng)給出選擇組合方法或選擇單一方法滿足相應(yīng)要求的理由。
注：在表中所列出方法的理由是充分的。但是，這并不意味著有傾向性或?qū)ξ戳械奖碇械姆椒ū硎痉磳Α?br>對于每種方法，應(yīng)用相關(guān)方法的推薦等級取決于ASIL等級，分類如下：
——“++”表示對于指定的 ASIL 等級，高度推薦該方法；
——“+” 表示對于指定的 ASIL 等級，推薦該方法；
——“o” 表示對于指定的 ASIL 等級，不推薦也不反對該方法。
4.4 基于 ASIL 等級的要求和建議
若無其它說明，對于ASIL A、 B、 C和D等級，應(yīng)滿足每一章條的要求或建議。這些要求和建議參 照安全目標(biāo)的ASIL等級。如果在項(xiàng)目開發(fā)的早期對ASIL等級完成了分解，按照GB/T XXXXX-9第5章的要 求，應(yīng)遵循分解后的ASIL等級。
如果GB/T 34590中ASIL等級在括號中給出，則對于該ASIL等級，相應(yīng)的章條應(yīng)被認(rèn)為是推薦 而非要求。這里的括號與ASIL等級分解無關(guān)。

4.5 摩托車的適用性
對于適用于GB/T XXXXX.12要求的摩托車的相關(guān)項(xiàng)或要素，GB/T 34590.12的要求替代本部分和GB/T 34590.2的相應(yīng)要求。
4.6 卡車、客車、掛車和半掛車的適用性
對卡車、客車、掛車和半掛車的特殊規(guī)定以（T&B）來表示。
5 硬件層面產(chǎn)品開發(fā)的概述
5.1 目的
本章的目的是描述硬件開發(fā)各子階段中的功能安全活動。
5.2 總則
按照GB/T 34590.2,6.4.6來制定滿足安全要求的硬件開發(fā)所需的活動和流程的計(jì)劃。 圖2闡明了為滿足本文件要求的硬件層面產(chǎn)品開發(fā)的流程步驟，以及在GB/T 34590框架內(nèi)這些步驟
的集成。
硬件層面產(chǎn)品開發(fā)的必要活動和流程包括：
——技術(shù)安全概念的硬件實(shí)現(xiàn)；
——分析潛在的硬件故障及其影響；及
——與軟件開發(fā)的協(xié)調(diào)。 與軟件開發(fā)子階段相比，本文件包含兩個章節(jié)，描述了對相關(guān)項(xiàng)整體硬件架構(gòu)的定量評估。 第8章描述了兩個度量，以評估相關(guān)項(xiàng)硬件架構(gòu)和實(shí)施的安全機(jī)制應(yīng)對隨機(jī)硬件失效的有效性。
作為對第8章的補(bǔ)充，第9章描述了兩種可選的方法以評估違背安全目標(biāo)的殘余風(fēng)險(xiǎn)是否足夠低，一 種是應(yīng)用全局概率方法（請參閱9.4.2，PMHF方法），另一種是應(yīng)用割集分析方法（請參閱EEC方法9.4.3）， 來研究硬件要素中所識別出每個故障對違背安全目標(biāo)的影響。
注：在圖中，GB/T 34590的每個部分的具體章用以下方式表示：“ m-n”，其中“ m”代表部分的編號，“ n”代 表章的編號，例如 “ 4-7”代表GB/T 34590.4第4部分第7章。
圖 2 硬件層面產(chǎn)品開發(fā)參考階段模型
6 硬件安全要求的定義
6.1 目的
本章的目的是：
a) 定義硬件安全要求。這些要求由技術(shù)安全概念和系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范導(dǎo)出；
b) 細(xì)化最初在 GB/T 34590.4，6.4.7 中定義的軟硬件接口規(guī)范；及
c) 驗(yàn)證硬件安全要求及軟硬件接口規(guī)范與技術(shù)安全概念及系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范的一致性。
6.2 總則
將技術(shù)安全要求分配給硬件和軟件。既分配給硬件又分配給軟件的要求被進(jìn)一步劃分出僅對硬件的 安全要求?？紤]設(shè)計(jì)限制和這些限制對硬件的影響，對硬件安全要求進(jìn)行進(jìn)一步的細(xì)化。
6.3 本章的輸入
6.3.1 前提條件
應(yīng)具備如下信息：
——技術(shù)安全概念，按照 GB/T 34590.4，6.5.2；
——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范，按照 GB/T 34590.4，6.5.3；及
——軟硬件接口規(guī)范，按照 GB/T 34590.4，6.5.4。
6.3.2 支持信息
可以考慮如下信息：
——軟件安全需求規(guī)范（請參見 GB/T 34590.6，6.5.1）；及
——硬件規(guī)范（來自外部）。 6.4 要求和建議
6.4.1 相關(guān)項(xiàng)硬件要素的硬件安全需求規(guī)范應(yīng)從分配給硬件的技術(shù)安全要求中導(dǎo)出（源自 GB/T
34590.4，6.5.2）。
6.4.2 硬件安全需求規(guī)范應(yīng)包括與功能安全有關(guān)的每一條硬件要求，包括以下內(nèi)容：
a) 為控制要素硬件內(nèi)部失效的硬件安全要求和安全機(jī)制的相關(guān)特性。這包括用于覆蓋瞬態(tài)故障 (例如，由于所使用的技術(shù)而產(chǎn)生的瞬態(tài)故障)的內(nèi)部安全機(jī)制；
示例 1：特性可能包括看門狗的定時和探測能力。
b) 為控制或者容忍要素外部失效的硬件安全要求和安全機(jī)制的相關(guān)特性；
示例 2：當(dāng)外部失效發(fā)生時，如 ECU 的輸入開路時，要求 ECU 應(yīng)具備的功能表現(xiàn)。
c) 為符合其他要素的安全要求的硬件安全要求和安全機(jī)制的相關(guān)特性；
示例 3：對傳感器或執(zhí)行器的診斷。
d) 為探測內(nèi)外部失效和發(fā)送失效信息的硬件安全要求和安全機(jī)制的相關(guān)特性；及
注 1：d）中描述的硬件安全要求包括防止故障潛伏的安全機(jī)制。
示例 4：安全機(jī)制中定義的硬件元器件的故障響應(yīng)時間，要符合故障容錯時間間隔。
e) 不定義安全機(jī)制的硬件安全要求。
示例 5：舉例如下：
——為滿足 6.4.3 和 6.4.4 所描述的隨機(jī)硬件失效目標(biāo)值的硬件要素要求；
——為避免特定行為的要求（例如，“一個特定的傳感器不應(yīng)該有一個不穩(wěn)定的輸出”）；
——分配給執(zhí)行預(yù)期功能的硬件要素的要求；及
——定義線束或接插件的設(shè)計(jì)措施的要求。
注 2：安全機(jī)制能用硬件、軟件或軟硬件結(jié)合的方式來實(shí)現(xiàn)。
6.4.3 本要求適用于等級為 ASIL（B），C 和 D 的安全目標(biāo)。當(dāng)為相關(guān)項(xiàng)硬件要素推導(dǎo)目標(biāo)值時，應(yīng)考 慮按照 GB/T 34590.4，6.4.5 的要求，為本文件第 8 章定義的度量設(shè)定目標(biāo)值。
6.4.4 本要求適用于等級為 ASIL（B），C 和 D 的安全目標(biāo)。當(dāng)為相關(guān)項(xiàng)硬件要素推導(dǎo)目標(biāo)值時，應(yīng)考 慮按照 GB/T 34590.4，6.4.5 的要求，為本文件第 9 章定義的過程設(shè)定目標(biāo)值。
注：除非同意使用9.4.3的EEC，否則在GB/T 34590.8 第5章定義的分布式開發(fā)情況下，此活動可能包括PMHF 目標(biāo)值的分配。
6.4.5 硬件安全要求應(yīng)按照 GB/T 34590.8 第 6 章的要求進(jìn)行定義。
6.4.6 應(yīng)定義相關(guān)項(xiàng)的硬件要素的設(shè)計(jì)驗(yàn)證準(zhǔn)則，包括環(huán)境條件（溫度、振動、EMI 等）、特定的運(yùn)行 環(huán)境（供電電壓、任務(wù)剖面等）以及組件的特定要求：
a) 通過硬件要素評估進(jìn)行的驗(yàn)證，其準(zhǔn)則應(yīng)滿足 GB/T 34590.8 第 13 章的要求；及
b) 通過測試進(jìn)行的驗(yàn)證，其準(zhǔn)則應(yīng)滿足本文件第 10 章的要求。
6.4.7 硬件安全要求應(yīng)符合 GB/T 34590.4，6.4.2 中定義的安全機(jī)制的故障容錯時間間隔，或者 最大故障處理時間間隔。
注：硬件設(shè)計(jì)中能定義一種可能夠控制故障，但不能滿足容錯時間間隔或最大故障處理時間間隔的機(jī)制。在這種情 況下，進(jìn)行本文件的第8章和第9章的定義的度量評估和ASIL等級分解時，不能考慮該機(jī)制。
6.4.8 硬件安全要求應(yīng)符合按照 GB/T 34590.4，6.4.2 中定義的多點(diǎn)故障探測時間間隔。
注 1：對于 ASIL 等級為 C 和 D 的安全目標(biāo)來說，如果對應(yīng)的安全概念沒有描述明確的量值，多點(diǎn)故障探測時間間隔 能定義為等于或小于該相關(guān)項(xiàng)從上電到下電的周期。
注 2：合適的多點(diǎn)故障探測時間間隔也能通過對隨機(jī)硬件失效的發(fā)生概率的定量分析來確定（參見第 9 章）。
6.4.9 硬件安全要求應(yīng)按照 GB/T 34590.8 第 9 章的要求進(jìn)行驗(yàn)證，以提供證據(jù)證明其：
a) 與技術(shù)安全概念、系統(tǒng)設(shè)計(jì)規(guī)范以及硬件規(guī)范的一致性；
b) 關(guān)于技術(shù)安全要求分配給硬件要素的完整性；
c) 與相關(guān)軟件安全要求的一致性；及
d) 正確性與準(zhǔn)確性。
6.4.10 在 GB/T 34590.4，6.4.7 中最初定義的軟硬件接口應(yīng)被充分細(xì)化，以允許硬件被軟件正確 的控制和使用，并且應(yīng)描述出硬件和軟件之間的每一項(xiàng)安全相關(guān)的關(guān)聯(lián)性。
6.4.11 軟硬件開發(fā)人員應(yīng)共同負(fù)責(zé)驗(yàn)證細(xì)化后的軟硬件接口規(guī)范的充分性。
6.5 工作成果
6.5.1 硬件安全需求規(guī)范（包括測試和評估準(zhǔn)則），由 6.4.1～6.4.8 的要求得出。
6.5.2 軟硬件接口規(guī)范（細(xì)化的），由 6.4.10 的要求得出。
注：此工作成果可以參考GB/T 34590.6 中6.5.2給出的相同的工作成果。
6.5.3 硬件安全要求驗(yàn)證報(bào)告，由 6.4.9 和 6.4.11 的要求得出。
7 硬件設(shè)計(jì)
7.1 目的
本章的目的是：
a) 創(chuàng)建一個硬件設(shè)計(jì)：
——支持以安全為導(dǎo)向的分析；
——考慮安全導(dǎo)向分析的結(jié)果；
——符合硬件安全要求；
——符合軟硬件接口規(guī)范；
——符合系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范；及
——滿足所需的硬件設(shè)計(jì)特性；及
b) 定義在生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢期間的硬件功能安全要求并提供有關(guān)信息；及
c) 驗(yàn)證：
——硬件設(shè)計(jì)能滿足硬件安全要求和軟硬件接口規(guī)范；
——假設(shè)的有效性，此假設(shè)用于開發(fā)集成在已開發(fā)硬件中的每個 SEooC；及
——安全相關(guān)的特殊特性的適用性，以實(shí)現(xiàn)生產(chǎn)和服務(wù)期間的功能安全。 7.2 總則
硬件設(shè)計(jì)包括硬件架構(gòu)設(shè)計(jì)和硬件詳細(xì)設(shè)計(jì)。硬件架構(gòu)設(shè)計(jì)表示所有的硬件組件以及它們彼此的相 互關(guān)系。硬件詳細(xì)設(shè)計(jì)是在電子電氣原理圖級別上，表示構(gòu)成硬件組件的元器件間的相互連接。
為開發(fā)同時符合硬件安全要求及所有的非安全要求的唯一的硬件設(shè)計(jì)，在此子階段，應(yīng)在同一開發(fā) 過程中處理安全和非安全性要求。
7.3 本章的輸入
7.3.1 前提條件
應(yīng)具備下列信息：
——硬件安全需求規(guī)范，按照 6.5.1；
——軟硬件接口規(guī)范（細(xì)化的），按照 6.5.2；及
——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范，按照 GB/T 34590.4，6.5.3。
7.3.2 支持信息
可能考慮下列信息：
——軟件安全需求規(guī)范（參見 GB/T 34590.6，6.5.1）；及
——非安全相關(guān)的硬件需求規(guī)范(來自外部)。 7.4 要求和建議
7.4.1 硬件架構(gòu)設(shè)計(jì)
7.4.1.1 硬件架構(gòu)應(yīng)實(shí)現(xiàn)第 6 章定義的硬件安全要求。
7.4.1.2 硬件安全要求應(yīng)分配到對應(yīng)的硬件要素，因此，每個硬件要素都應(yīng)按照分配給它的所有要求中 最高的 ASIL 等級來開發(fā)。
注：硬件要素的各個特征將繼承該要素所實(shí)現(xiàn)的硬件安全要求中最高的ASIL等級。
7.4.1.3 如果在硬件架構(gòu)設(shè)計(jì)中對硬件安全要求應(yīng)用了 ASIL 等級分解，ASIL 等級分解應(yīng)按照 GB/T
34590.9,第 5 章的要求進(jìn)行。
7.4.1.4 如果一個硬件要素是由 ASIL 等級低于要素 ASIL 等級或沒有指定 ASIL 等級的子要素組成，除 非滿足按照 GB/T 34590.9，第 6 章的共存準(zhǔn)則，否則應(yīng)按照最高的 ASIL 等級處理每個子要素。
7.4.1.5 對硬件安全要求和硬件架構(gòu)設(shè)計(jì)要素之間的可追溯性，應(yīng)保持到硬件組件的最底層。
注：硬件安全要求的可追溯性不要求深入到硬件詳細(xì)設(shè)計(jì)。對于不能劃分為子元器件的硬件元器件，不分配硬件安 全要求。例如，試圖建立每個電容和電阻等硬件的可追溯性既沒有意義，也沒有益處。
7.4.1.6 為避免系統(tǒng)性故障，應(yīng)通過使用表 1 中列出的原則，使硬件架構(gòu)設(shè)計(jì)具有下述特性：
a) 模塊化；
注：模塊化使得硬件要素的設(shè)計(jì)無需修改就可以重復(fù)使用(如溫度探測電路模塊、微控制器中的ECC模塊)。
b) 適當(dāng)?shù)牧６人剑患?br>注：其目的是架構(gòu)在必要的詳細(xì)程度上體現(xiàn)必要的信息，來顯示安全機(jī)制的有效性。
c) 簡單性。