《道路車輛 功能安全 第4部分：產(chǎn)品開(kāi)發(fā)：系統(tǒng)層面》征求意見(jiàn)稿

ICS43.040

CCST35

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T34590.4—XXXX

代替GB/T34590.4-2017

`

道路車輛功能安全第4部分：產(chǎn)品開(kāi)

發(fā)：系統(tǒng)層面

Roadvehicles—Functionalsafety—Part4：Productdevelopmentatthesystemlevel

(ISO26262-4:2018,MOD)

（征求意見(jiàn)稿）

（本草案完成時(shí)間：2021年4月1日））

在提交反饋意見(jiàn)時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

GB/T34590.4—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

GB/T34590-XXXX《道路車輛功能安全》分為以下部分：

——第1部分：術(shù)語(yǔ)；

——第2部分：功能安全管理；

——第3部分：概念階段；

——第4部分：產(chǎn)品開(kāi)發(fā)：系統(tǒng)層面；

——第5部分：產(chǎn)品開(kāi)發(fā)：硬件層面；

——第6部分：產(chǎn)品開(kāi)發(fā)：軟件層面；

——第7部分：生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢；

——第8部分：支持過(guò)程；

——第9部分：以汽車安全完整性等級(jí)為導(dǎo)向和以安全為導(dǎo)向的分析；

——第10部分：指南；

——第11部分：半導(dǎo)體應(yīng)用指南；

——第12部分：摩托車的適用性。

本部分為GB/T34590-XXXX的第4部分。

本部分按照GB/T1.1-2020給出的規(guī)則起草。

本部分代替GB/T34590.4-2017《道路車輛功能安全第4部分：產(chǎn)品開(kāi)發(fā)：系統(tǒng)層面》，與GB/T

34590.4-2017相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如下：

——修改了標(biāo)準(zhǔn)使用范圍，由“量產(chǎn)乘用車”擴(kuò)大到“除輕便摩托車外的量產(chǎn)道路車輛”；

——新增了對(duì)商用車輛的相關(guān)要求和示例、對(duì)摩托車的適應(yīng)性要求等；

——修改了第5章的內(nèi)容，由“啟動(dòng)系統(tǒng)層面產(chǎn)品開(kāi)發(fā)”修改為“系統(tǒng)層面產(chǎn)品開(kāi)發(fā)的概述”（見(jiàn)

第5章）；

——修改了第5章的目的（見(jiàn)5.1）；

——?jiǎng)h除了第5章本章的輸入、要求和建議、工作成果等內(nèi)容（見(jiàn)2017版的5.3、5.4、5.5）；

——整合了2017版第6章和第7章的內(nèi)容，對(duì)技術(shù)安全概念階段的開(kāi)發(fā)目的做了細(xì)化（見(jiàn)6.1，

2017版的6.1、7.1）；

——修改了對(duì)技術(shù)安全要求的描述，更改為對(duì)技術(shù)安全概念的描述（見(jiàn)6.2）；

——修改了“技術(shù)安全要求”的定義要求（見(jiàn)6.4.4.1）；

——修改了安全機(jī)制的定義要求（見(jiàn)6.4.2）；

——?jiǎng)h除了ASIL分解對(duì)應(yīng)的內(nèi)容（見(jiàn)2017版的6.4.3）；

——新增了系統(tǒng)架構(gòu)設(shè)計(jì)中安全分析的目的（見(jiàn)6.4.4.1）；

——?jiǎng)h除了模塊化系統(tǒng)設(shè)計(jì)的屬性等相關(guān)內(nèi)容及表表格（見(jiàn)6.4.4.6，2017版的7.4.3.7）

——修改了關(guān)于生產(chǎn)、服務(wù)、運(yùn)行和報(bào)廢的相關(guān)概念（見(jiàn)6.4.8.1）；

——?jiǎng)h除了系統(tǒng)設(shè)計(jì)的驗(yàn)證相關(guān)內(nèi)容及表格（見(jiàn)2017版的7.4.8）；

——新增了系統(tǒng)階段認(rèn)證的相關(guān)內(nèi)容及要求（見(jiàn)6.4.9.2）；

——修改了集成和測(cè)試的子階段和目標(biāo)（見(jiàn)7.1）；

——?jiǎng)h除了集成和測(cè)試策略中的“安全機(jī)制的診斷或失效覆蓋的有效性”的描述（見(jiàn)7.4.1.1）；

——修改了系統(tǒng)層面和整車層面關(guān)于“安全機(jī)制的診斷或失效覆蓋的有效性”的內(nèi)容（見(jiàn)表10，

表14）；

II

GB/T34590.4—XXXX

——修改了安全確認(rèn)的目的（見(jiàn)8.1）；

——新增了安全確認(rèn)的環(huán)境（見(jiàn)8.4.1）；

——修改了確認(rèn)的計(jì)劃的描述，變更為安全確認(rèn)的規(guī)范（8.4.2）；

——?jiǎng)h除了相關(guān)項(xiàng)層面實(shí)施隨機(jī)硬件失效度量的確認(rèn)（見(jiàn)2017版的9.4.3.3）；

——?jiǎng)h除了功能安全評(píng)估、生產(chǎn)發(fā)布兩個(gè)章節(jié)（見(jiàn)2017版的第10章、第11章）

本部分使用重新起草法修改采用了ISO26262-4：2018《道路車輛功能安全第4部分：產(chǎn)品開(kāi)發(fā)：

系統(tǒng)層面》。

本部分與ISO26262-4：2018的技術(shù)性差異及其原因如下：

——關(guān)于規(guī)范性引用文件，本部分做了具有技術(shù)性差異的調(diào)整，以適應(yīng)我國(guó)的技術(shù)條件，調(diào)整的情

況集中反映在第2章“規(guī)范性引用文件”中，具體調(diào)整如下：

?用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.2-XXXX代替ISO26262-2：2018；

?用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.3-XXXX代替ISO26262-3：2018；

?用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.5-XXXX代替ISO26262-5：2018；

?用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.6-XXXX代替ISO26262-6：2018；

?用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.7-XXXX代替ISO26262-7：2018；

?用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.8-XXXX代替ISO26262-8：2018；

?用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.9-XXXX代替ISO26262-9：2018；

——修改了5.2中關(guān)于進(jìn)行安全確認(rèn)以提供與安全目標(biāo)和接受準(zhǔn)則相關(guān)的功能安全證據(jù)的要求；

——7.3.1中增加了關(guān)于安全準(zhǔn)則的表述；

——8.1的列項(xiàng)a）中增加了關(guān)于安全準(zhǔn)則的表述。

本標(biāo)準(zhǔn)做了下列編輯性修改：

——將國(guó)際標(biāo)準(zhǔn)中的“本國(guó)際標(biāo)準(zhǔn)”改為“本標(biāo)準(zhǔn)”；

——?jiǎng)h除國(guó)際標(biāo)準(zhǔn)的前言；

——修改國(guó)際標(biāo)準(zhǔn)的引言及其表述。

本標(biāo)準(zhǔn)由中華人民共和國(guó)工業(yè)和信息化部提出。

本標(biāo)準(zhǔn)由全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC114）歸口。

本部分起草單位：

本部分主要起草人：

本文件所代替文件的歷次版本發(fā)布情況為：

——GB/T34590.4,2017年首次發(fā)布。

III

GB/T34590.4—XXXX

引言

ISO26262是以IEC61508為基礎(chǔ)，為滿足道路車輛上電氣/電子系統(tǒng)的特定需求而編

寫。

GB/T34590修改采用ISO26262，適用于道路車輛上由電子、電氣和軟件組件組成的安

全相關(guān)系統(tǒng)在安全生命周期內(nèi)的所有活動(dòng)。

安全是道路車輛開(kāi)發(fā)的關(guān)鍵問(wèn)題之一。汽車功能的開(kāi)發(fā)和集成強(qiáng)化了對(duì)功能安全的需

求，以及對(duì)提供證據(jù)證明滿足功能安全目標(biāo)的需求。

隨著技術(shù)日益復(fù)雜、軟件和機(jī)電一體化應(yīng)用不斷增加，來(lái)自系統(tǒng)性失效和隨機(jī)硬件失

效的風(fēng)險(xiǎn)逐漸增加，這些都在功能安全的考慮范疇之內(nèi)。GB/T34590通過(guò)提供適當(dāng)?shù)囊?/p>

和流程來(lái)降低風(fēng)險(xiǎn)。

為了實(shí)現(xiàn)功能安全，GB/T34590-XXXX（所有部分）：

a)提供了一個(gè)汽車安全生命周期（開(kāi)發(fā)、生產(chǎn)、運(yùn)行、服務(wù)、報(bào)廢）的參考，并支

持在這些生命周期階段內(nèi)對(duì)執(zhí)行的活動(dòng)進(jìn)行剪裁；

b)提供了一種汽車特定的基于風(fēng)險(xiǎn)的分析方法，以確定汽車安全完整性等級(jí)（ASIL）；

c)使用ASIL等級(jí)來(lái)定義GB/T34590中適用的要求，以避免不合理的殘余風(fēng)險(xiǎn)；

d)提出了對(duì)于功能安全管理、設(shè)計(jì)、實(shí)現(xiàn)、驗(yàn)證、確認(rèn)和認(rèn)可措施的要求；及

e)提出了客戶與供應(yīng)商之間關(guān)系的要求。

GB/T34590針對(duì)的是電氣/電子系統(tǒng)的功能安全,通過(guò)安全措施(包括安全機(jī)制)來(lái)實(shí)現(xiàn)。

它也提供了一個(gè)框架，在該框架內(nèi)可考慮基于其它技術(shù)（例如，機(jī)械、液壓、氣壓）的安

全相關(guān)系統(tǒng)。

功能安全的實(shí)現(xiàn)受開(kāi)發(fā)過(guò)程（例如，包括需求規(guī)范、設(shè)計(jì)、實(shí)現(xiàn)、集成、驗(yàn)證、確認(rèn)和

配置）、生產(chǎn)過(guò)程、服務(wù)過(guò)程和管理過(guò)程的影響。

安全問(wèn)題與常規(guī)的以功能為導(dǎo)向和以質(zhì)量為導(dǎo)向的活動(dòng)及工作成果相互關(guān)聯(lián)。GB/T

34590涉及與安全相關(guān)的開(kāi)發(fā)活動(dòng)和工作成果。

圖1為GB/T34590的整體架構(gòu)。GB/T34590基于V模型為產(chǎn)品開(kāi)發(fā)的不同階段提供參考

過(guò)程模型：

——陰影”V”表示GB/T34590.3-XXXX、GB/T34590.4-XXXX、GB/T34590.5-XXXX、

GB/T34590.6-XXXX、GB/T34590.7-XXXX之間的相互關(guān)系；

——對(duì)于摩托車：

?GB/T34590.12-XXXX的第8章支持GB/T34590.3-XXXX；

?GB/T34590.12-XXXX的第9章和第10章支持GB/T34590.4-XXXX。

——以“m-n”方式表示的具體章條中，“m”代表特定部分的編號(hào)，“n”代表該部分章的編

號(hào)。

示例：“2-6”代表GB/T34590.2-XXXX的第6章。

IV

GB/T34590.4—XXXX

圖1GB/T34590-XXXX概覽

V

GB/T34590.4—XXXX

道路車輛功能安全第4部分：產(chǎn)品開(kāi)發(fā)：系統(tǒng)層面

1范圍

GB/T34590的本部分規(guī)定了車輛在系統(tǒng)層面產(chǎn)品開(kāi)發(fā)的要求，包括：

——啟動(dòng)系統(tǒng)層面產(chǎn)品開(kāi)發(fā)總則；

——技術(shù)安全要求的定義；

——技術(shù)安全概念；

——系統(tǒng)架構(gòu)設(shè)計(jì)；

——相關(guān)項(xiàng)集成和測(cè)試；

——安全確認(rèn)；

本文件適用于安裝在除輕便摩托車外的量產(chǎn)道路車輛上的包含一個(gè)或多個(gè)電氣/電子系統(tǒng)的與安全

相關(guān)的系統(tǒng)。

本文件不適用于特殊用途車輛上特定的電氣/電子系統(tǒng)，例如，為殘疾駕駛者設(shè)計(jì)的車輛。

注：其他專用的安全標(biāo)準(zhǔn)可作為本文件的補(bǔ)充，反之亦然。

已經(jīng)完成生產(chǎn)發(fā)布的系統(tǒng)及其組件或在本文件發(fā)布日期前正在開(kāi)發(fā)的系統(tǒng)及其組件不適用于本文

件。對(duì)于在本文件發(fā)布前完成生產(chǎn)發(fā)布的系統(tǒng)及其組件進(jìn)行變更時(shí)，本文件基于這些變更對(duì)安全生命周

期的活動(dòng)進(jìn)行裁剪。未按照本文件開(kāi)發(fā)的系統(tǒng)與按照本文件開(kāi)發(fā)的系統(tǒng)進(jìn)行集成時(shí)，需要按照本文件進(jìn)

行安全生命周期的裁剪。

本文件針對(duì)由安全相關(guān)的電氣/電子系統(tǒng)的功能異常表現(xiàn)而引起的可能的危害，包括這些系統(tǒng)相互

作用而引起的可能的危害。本文件不針對(duì)與觸電、火災(zāi)、煙霧、熱、輻射、毒性、易燃性、反應(yīng)性、腐

蝕性、能量釋放等相關(guān)的危害和類似的危害，除非危害是直接由安全相關(guān)的電氣/電子系統(tǒng)的功能異常

表現(xiàn)表現(xiàn)而引起的。

本文件提出了安全相關(guān)的電氣/電子系統(tǒng)進(jìn)行功能安全開(kāi)發(fā)的框架，該框架旨在將功能安全活動(dòng)整

合到企業(yè)特定的開(kāi)發(fā)框架中。本文件規(guī)定了為實(shí)現(xiàn)產(chǎn)品功能安全的技術(shù)開(kāi)發(fā)要求，也規(guī)定了組織應(yīng)具備

相應(yīng)功能安全能力的開(kāi)發(fā)流程要求。

本文件不針對(duì)電氣/電子系統(tǒng)的標(biāo)稱性能。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T34590.1-XXXX道路車輛功能安全第1部分：術(shù)語(yǔ)(ISO26262-1:2018,MOD)

GB/T34590.2-XXXX道路車輛功能安全第2部分：功能安全管理(ISO26262-2:2018,MOD)

GB/T34590.3-XXXX道路車輛功能安全第3部分：概念階段(ISO26262-3:2018,MOD)

GB/T34590.5-XXXX道路車輛功能安全第5部分：產(chǎn)品開(kāi)發(fā)：硬件層面(ISO26262-5:2018,MOD)

GB/T34590.6-XXXX道路車輛功能安全第6部分：產(chǎn)品開(kāi)發(fā)：軟件層面(ISO26262-6:2018,MOD)

GB/T34590.7-XXXX道路車輛功能安全第7部分：生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢(ISO26262-7:2018,MOD)

GB/T34590.8-XXXX道路車輛功能安全第8部分：支持過(guò)程(ISO26262-8:2018,MOD)

1

GB/T34590.4—XXXX

GB/T34590.9-XXXX道路車輛功能安全第9部分：以汽車安全完整性等級(jí)為導(dǎo)向和以安全為導(dǎo)向

的分析(ISO26262-9:2018,MOD)

3術(shù)語(yǔ)、定義和縮略語(yǔ)

GB/T34590.1-XXXX界定的術(shù)語(yǔ)、定義和縮略語(yǔ)適用于本文件。

4要求

目的

本章規(guī)定了：

a)如何符合GB/T34590-XXXX；

b)如何解釋GB/T34590-XXXX中所使用的表格；及

c)如何解釋各章條基于不同的ASIL等級(jí)的適用性。

一般要求

如聲明滿足GB/T34590-XXXX的要求時(shí)，應(yīng)滿足每一個(gè)要求，除非有下列情況之一：

a)按照GB/T34590.2-XXXX的要求，安全活動(dòng)的剪裁已經(jīng)實(shí)施并表明這些要求不適用；或

b)不滿足要求的理由存在且是可接受的，并且按照GB/T34590.2-XXXX的要求對(duì)該理由進(jìn)行了

評(píng)估。

標(biāo)有“注”或“示例”的信息僅用于輔助理解或闡明相關(guān)要求，不應(yīng)作為要求本身且不具備完備性。

將安全活動(dòng)的結(jié)果作為工作成果。應(yīng)具備上一階段工作成果作為“前提條件”的信息。如果章條的

某些要求是依照ASIL定義的或可剪裁的，某些工作成果可不作為前提條件。

“支持信息”是可供參考的信息，但在某些情況下，GB/T34590-XXXX不要求其作為上一階段的工

作成果，并且可以是由不同于負(fù)責(zé)功能安全活動(dòng)的人員或組織等外部資源提供的信息。

表的詮釋

本文件中的表是規(guī)范性或資料性取決于上下文。在滿足相關(guān)要求時(shí)，表中列出的不同方法有助于置

信度水平。表中的每個(gè)方法是：

a)一個(gè)連續(xù)的條目（在最左側(cè)列以順序號(hào)標(biāo)明，如1、2、3）；或

b)一個(gè)選擇的條目（在最左側(cè)列以數(shù)字后加字母標(biāo)明，如2a、2b、2c）。

對(duì)于連續(xù)的條目，高度推薦和推薦的方法按照ASIL等級(jí)推薦予以使用。高度推薦或推薦的方法允許

用未列入表中的其它方法替代,此種情況下，應(yīng)給出滿足相關(guān)要求的理由。如果可以給出不選擇所有條

目也能符合相應(yīng)要求的理由，則不需要對(duì)缺省方法做進(jìn)一步解釋。

對(duì)于選擇性的條目，應(yīng)按照指定的ASIL等級(jí)對(duì)這些方法進(jìn)行適當(dāng)?shù)慕M合，而與這些方法在表中是否

列出無(wú)關(guān)。如果所列出的方法對(duì)于一個(gè)ASIL等級(jí)來(lái)說(shuō)具有不同的推薦等級(jí)，宜采用具有較高推薦等級(jí)的

方法。應(yīng)給出選擇組合方法或選擇單一方法滿足相應(yīng)要求的理由。

注：在表中所列出方法的理由是充分的。但是，這并不意味著有傾向性或?qū)ξ戳械奖碇械姆椒ū硎痉磳?duì)。

對(duì)于每種方法，應(yīng)用相關(guān)方法的推薦等級(jí)取決于ASIL等級(jí)，分類如下：

——“++”表示對(duì)于指定的ASIL等級(jí)，高度推薦該方法；

——“+”表示對(duì)于指定的ASIL等級(jí)，推薦該方法；

——“o”表示對(duì)于指定的ASIL等級(jí)，不推薦也不反對(duì)該方法。

2

GB/T34590.4—XXXX

基于ASIL等級(jí)的要求和建議

若無(wú)其它說(shuō)明，對(duì)于ASILA、B、C和D等級(jí)，應(yīng)滿足每一章條的要求或建議。這些要求和建議參

照安全目標(biāo)的ASIL等級(jí)。如果在項(xiàng)目開(kāi)發(fā)的早期對(duì)ASIL等級(jí)完成了分解，按照GB/T34590-9第5章的要

求，應(yīng)遵循分解后的ASIL等級(jí)。

如果GB/T34590-XXXX中ASIL等級(jí)在括號(hào)中給出，則對(duì)于該ASIL等級(jí)，相應(yīng)的章條應(yīng)被認(rèn)為是推薦

而非要求。這里的括號(hào)與ASIL等級(jí)分解無(wú)關(guān)。

摩托車的適用性

對(duì)于適用于GB/T34590.12要求的摩托車的相關(guān)項(xiàng)或要素，GB/T34590.12的要求替代本部分和GB/T

34590.2的相應(yīng)要求。

卡車、客車、掛車和半掛車的適用性

對(duì)卡車、客車、掛車和半掛車的特殊規(guī)定以（T&B）來(lái)表示。

5系統(tǒng)層面產(chǎn)品開(kāi)發(fā)的概述

目的

本章的目的是提供系統(tǒng)層面產(chǎn)品開(kāi)發(fā)的概覽。

總則

圖2給出了系統(tǒng)開(kāi)發(fā)過(guò)程中的必要活動(dòng)。技術(shù)安全概念在迭代過(guò)程中被開(kāi)發(fā)出來(lái)，其包括技術(shù)安全

要求和系統(tǒng)架構(gòu)設(shè)計(jì)。系統(tǒng)架構(gòu)建立后，將技術(shù)安全要求分配給系統(tǒng)的各要素，如果適用，也可分配給

其他技術(shù)。此外，技術(shù)安全要求需要被細(xì)化，增加來(lái)自系統(tǒng)架構(gòu)的包括軟硬件接口（HSI）在內(nèi)的要求。

同時(shí)，基于架構(gòu)的復(fù)雜程度，子系統(tǒng)的要求可通過(guò)迭代得到。

完成相關(guān)開(kāi)發(fā)后，集成硬件和軟件要素并測(cè)試以形成一個(gè)相關(guān)項(xiàng)，然后，將該相關(guān)項(xiàng)集成在整車上。

一旦在整車層面完成了集成，進(jìn)行安全確認(rèn)以提供與安全目標(biāo)和接受準(zhǔn)則相關(guān)的功能安全證據(jù)。

本部分適用于系統(tǒng)開(kāi)發(fā)。GB/T34590.5和GB/T34590.6分別提出了針對(duì)硬件和軟件開(kāi)發(fā)的要求。

圖3具有多層集成的系統(tǒng)示例，闡明了如何應(yīng)用本部分及GB/T34590.5和GB/T34590.6。

注1：表A.1提供了對(duì)系統(tǒng)層面產(chǎn)品開(kāi)發(fā)中特定子階段的目標(biāo)、前提條件和工作成果的概覽。

第4部分：產(chǎn)品開(kāi)發(fā)---系統(tǒng)層面

4-6技術(shù)安全概念

第5部分：產(chǎn)品開(kāi)發(fā)：硬件層面第6部分：產(chǎn)品開(kāi)發(fā)：軟件層面

4-7系統(tǒng)及相關(guān)項(xiàng)的集成和測(cè)試

4-8安全驗(yàn)證

圖2安全相關(guān)的相關(guān)項(xiàng)開(kāi)發(fā)的參考階段模型

3

GB/T34590.4—XXXX

注2：在圖2和圖3中，GB/T34590各部分的具體章用以下方式表示:“m-n”，其中“m”表示該部分的編號(hào)，“n”

表示該章的編號(hào)，如“4-6”表示GB/T34590.4-XXXX，第6章。

圖3系統(tǒng)層面產(chǎn)品開(kāi)發(fā)示例

注3：關(guān)于系統(tǒng)層面產(chǎn)品開(kāi)發(fā)的更多信息詳見(jiàn)參考文獻(xiàn)[1]和[2]。

6技術(shù)安全概念

目的

本章目的為：

a)為實(shí)現(xiàn)系統(tǒng)要素和接口的功能、相關(guān)性、約束和屬性，制定所需的技術(shù)安全要求；

b)為系統(tǒng)要素和接口中將要實(shí)施的安全機(jī)制，制定技術(shù)安全要求；

c)制定在生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢過(guò)程中系統(tǒng)及其要素功能安全的相關(guān)要求；

d)驗(yàn)證技術(shù)安全要求在系統(tǒng)層面是否符合功能安全要求并與功能安全要求一致；

e)制定滿足安全要求且不與非安全相關(guān)要求沖突的系統(tǒng)架構(gòu)設(shè)計(jì)和技術(shù)安全概念；

f)分析系統(tǒng)架構(gòu)設(shè)計(jì)，以防止故障發(fā)生，并導(dǎo)出針對(duì)生產(chǎn)和服務(wù)必要的安全相關(guān)的特殊特性；及

g)驗(yàn)證系統(tǒng)架構(gòu)設(shè)計(jì)和技術(shù)安全概念是否滿足相應(yīng)ASIL等級(jí)的安全要求。

總則

技術(shù)安全概念是技術(shù)安全要求及其對(duì)應(yīng)的系統(tǒng)架構(gòu)設(shè)計(jì)的集合，提供了系統(tǒng)架構(gòu)設(shè)計(jì)適合于滿足

GB/T34590.3（包括考慮非安全要求）中所述活動(dòng)產(chǎn)生的安全要求和設(shè)計(jì)約束的依據(jù)。

4

GB/T34590.4—XXXX

技術(shù)安全要求規(guī)定了功能安全要求在其各自層級(jí)上的技術(shù)實(shí)現(xiàn)；要同時(shí)考慮相關(guān)項(xiàng)定義和系統(tǒng)架

構(gòu)設(shè)計(jì)，并述及潛伏失效的探測(cè)、故障避免、安全完整性以及運(yùn)行和服務(wù)方面的問(wèn)題。

系統(tǒng)構(gòu)架設(shè)計(jì)是由技術(shù)系統(tǒng)實(shí)現(xiàn)的所選系統(tǒng)層面解決方案。系統(tǒng)構(gòu)架設(shè)計(jì)旨在同時(shí)滿足所分配的

技術(shù)安全要求和非安全要求。

系統(tǒng)開(kāi)發(fā)可以迭代執(zhí)行。

本章的輸入

6.3.1前提條件

應(yīng)具備下列信息：

——功能安全概念，按照GB/T34590.3-XXXX,7.5.1;

——系統(tǒng)架構(gòu)設(shè)計(jì)（來(lái)自外部，見(jiàn)GB/T34590.3-XXXX,7.3.1）；及

——其他涉及安全的相關(guān)項(xiàng)對(duì)此相關(guān)項(xiàng)的要求（如果適用）。

示例：泊車輔助系統(tǒng)對(duì)制動(dòng)系統(tǒng)的要求。

注：在分布式開(kāi)發(fā)中，一個(gè)技術(shù)安全概念可基于由子系統(tǒng)實(shí)現(xiàn)的另一個(gè)技術(shù)安全概念。

6.3.2支持信息

可考慮下列信息：

——危害分析和風(fēng)險(xiǎn)評(píng)估報(bào)告（見(jiàn)GB/T34590.3-XXXX，6.5.1）；及

——相關(guān)項(xiàng)定義(見(jiàn)GB/T34590.3-XXXX,5.5.1)。

要求和建議

6.4.1技術(shù)安全要求的定義

6.4.1.1技術(shù)安全要求應(yīng)按照功能安全概念、相關(guān)項(xiàng)的系統(tǒng)架構(gòu)設(shè)計(jì)來(lái)定義，考慮如下：

a)相關(guān)項(xiàng)、系統(tǒng)及其要素安全相關(guān)的關(guān)聯(lián)性及約束條件；

b)系統(tǒng)的外部接口，如果適用；及

c)系統(tǒng)可配置性。

注1：設(shè)計(jì)約束可能來(lái)自于：環(huán)境條件、安裝空間、實(shí)施本身（例如可用性能、熱容量、熱擴(kuò)散）以及其他功能或非

功能性要求（例如安全性、所用技術(shù)的物理限制）。

注2：系統(tǒng)的可配置性由系統(tǒng)要素中的變量、配置數(shù)據(jù)或標(biāo)定數(shù)據(jù)來(lái)確定，通常作為將現(xiàn)有系統(tǒng)復(fù)用于不同應(yīng)用的策

略的一部分。

6.4.1.2技術(shù)安全要求應(yīng)定義影響安全要求實(shí)現(xiàn)的系統(tǒng)應(yīng)激響應(yīng)。這包括相關(guān)激勵(lì)和失效與每種相

關(guān)運(yùn)行模式和定義的系統(tǒng)狀態(tài)的組合。

示例：如果收到的ACC指令信息未通過(guò)錯(cuò)誤檢測(cè)代碼檢查，則制動(dòng)系統(tǒng)電控單元（ECU）將禁用自適應(yīng)巡航控制（ACC）

制動(dòng)。

6.4.1.3除技術(shù)安全要求已定義的那些功能外，如果其他功能或要求也由該系統(tǒng)或其要素實(shí)現(xiàn)，則應(yīng)

定義這些功能或要求，或者參考其規(guī)范。

示例：其他要求可能來(lái)自聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)（UN/ECE）法規(guī)、美國(guó)汽車安全技術(shù)法規(guī)（FMVSS）、公司平臺(tái)戰(zhàn)略、

功能概念或其他概念，例如信息安全概念。

6.4.1.4技術(shù)安全要求和非安全要求不應(yīng)矛盾。

5

GB/T34590.4—XXXX

6.4.2安全機(jī)制

6.4.2.1技術(shù)安全要求應(yīng)定義安全機(jī)制，用于探測(cè)故障并防止或減輕出現(xiàn)在系統(tǒng)輸出端的違反功能安

全要求（見(jiàn)GB/T34590.3-XXXX,第7章）的失效，包括：

a)與系統(tǒng)自身故障的探測(cè)、指示和控制相關(guān)的安全機(jī)制；

注1：包括用于探測(cè)隨機(jī)硬件故障及探測(cè)系統(tǒng)性故障（如果適用）的系統(tǒng)自身監(jiān)控。

注2：包括對(duì)通訊通道失效（例如：數(shù)據(jù)接口、通訊總線、無(wú)線射頻鏈接）的探測(cè)和控制的安全機(jī)制。

注3：可以在系統(tǒng)架構(gòu)適當(dāng)?shù)膶蛹?jí)定義安全機(jī)制。

b)涉及探測(cè)、指示和控制與本系統(tǒng)有相互影響的其他外部要素中所發(fā)生故障的安全機(jī)制；

示例：外部設(shè)備包括其他的電控單元、電源或者通訊設(shè)備。

c)使系統(tǒng)實(shí)現(xiàn)或者維持在相關(guān)項(xiàng)的安全狀態(tài)的安全機(jī)制；

注4：包括來(lái)自安全機(jī)制的多個(gè)控制請(qǐng)求的仲裁。

d)定義和執(zhí)行報(bào)警和降級(jí)策略的安全機(jī)制；及

e)防止故障變?yōu)闈摲收系陌踩珯C(jī)制。

注5：如同a)到d)，這些安全機(jī)制通常與上電過(guò)程（運(yùn)行前檢查）、運(yùn)行中、下電過(guò)程（運(yùn)行后檢查）及維護(hù)過(guò)程中

發(fā)生的自檢相關(guān)。

6.4.2.2對(duì)于每個(gè)使相關(guān)項(xiàng)實(shí)現(xiàn)安全狀態(tài)或維持安全狀態(tài)的安全機(jī)制，應(yīng)定義下列內(nèi)容：

a)狀態(tài)間的轉(zhuǎn)換；

注1：包括控制執(zhí)行器的要求。

b)與從適當(dāng)?shù)募軜?gòu)層級(jí)分配得到的時(shí)間要求相關(guān)的故障處理時(shí)間間隔；及

注2：該子要求的目的是在針對(duì)每個(gè)安全目標(biāo)定義的故障處理時(shí)間間隔的范圍內(nèi)，實(shí)現(xiàn)時(shí)間一致。

c)不能在FTTI內(nèi)進(jìn)入相關(guān)項(xiàng)安全狀態(tài)時(shí)的緊急運(yùn)行容錯(cuò)時(shí)間間隔（見(jiàn)GB/T34590.1-XXXX，

3.45）。

注3：整車測(cè)試和試驗(yàn)?zāi)軌蛴糜诖_定緊急運(yùn)行容錯(cuò)時(shí)間間隔。

示例1：安全狀態(tài)之前的降級(jí)運(yùn)行持續(xù)時(shí)間。

示例2：一個(gè)依賴于電源的線控制動(dòng)應(yīng)用的安全機(jī)制，可以包括定義備用電源或儲(chǔ)能設(shè)備(容量、啟動(dòng)和運(yùn)行時(shí)間等)。

6.4.2.3本要求適用于ASIL(A)、(B)、C和D等級(jí)：如果適用，應(yīng)定義安全機(jī)制，以防止故障變?yōu)闈?/p>

伏故障。

注1：僅隨機(jī)硬件故障的多點(diǎn)故障有可能成為潛伏故障。

示例：自檢可作為檢測(cè)多點(diǎn)故障的安全機(jī)制。用于驗(yàn)證組件在不同運(yùn)行模式（例如上電、下電、運(yùn)行或額外的自檢

模式）下的狀態(tài)。閥、繼電器或燈在常規(guī)上電時(shí)進(jìn)行的功能檢測(cè)就是自檢的例子。

注2：識(shí)別是否需要防止故障成為潛伏故障的安全機(jī)制的評(píng)估標(biāo)準(zhǔn)來(lái)源于良好的工程實(shí)踐。GB/T34590.5-XXXX第8

章給出的潛伏故障度量提供了評(píng)估標(biāo)準(zhǔn)。

6.4.2.4此要求適用于ASIL(A)、(B)、C和D等級(jí)：為了避免多點(diǎn)失效，應(yīng)為每個(gè)探測(cè)多點(diǎn)故障的安

全機(jī)制定義診斷測(cè)試策略，包括：

a)硬件組件的可靠性要求，并考慮其在架構(gòu)中的角色及其對(duì)多點(diǎn)失效的貢獻(xiàn)；

b)定義的量化目標(biāo)值，表征由于隨機(jī)硬件失效而違背各安全目標(biāo)的最大可能性(見(jiàn)GB/T

34590.5-XXXX,第9章)；

c)已分配的ASIL等級(jí)，從相關(guān)安全目標(biāo)、功能安全要求或更高層面的技術(shù)安全要求中導(dǎo)出；及

d)多點(diǎn)故障探測(cè)時(shí)間間隔。

注1：診斷測(cè)試策略可以是時(shí)間驅(qū)動(dòng)（例如使用診斷測(cè)試時(shí)間間隔）或者事件驅(qū)動(dòng)（例如啟動(dòng)測(cè)試）。

6

GB/T34590.4—XXXX

注2：二階多點(diǎn)失效包含以多點(diǎn)故障檢測(cè)時(shí)間間隔分隔的兩個(gè)故障。

注3：下列措施的使用取決于時(shí)間約束：

——系統(tǒng)或要素在運(yùn)行過(guò)程中的周期性測(cè)試；

——要素在上下電時(shí)的自檢；及

——系統(tǒng)或要素在維護(hù)時(shí)的測(cè)試。

6.4.2.5本要求適用于ASIL(A)、(B)、C和D等級(jí)。僅為了防止雙點(diǎn)故障變成潛伏故障而實(shí)施的安全

機(jī)制的開(kāi)發(fā)應(yīng)至少符合：

a)ASILB等級(jí)（對(duì)于分配為ASILD等級(jí)的技術(shù)安全要求）；

b)ASILA等級(jí)（對(duì)于分配為ASILB等級(jí)和ASILC等級(jí)的技術(shù)安全要求）；及

c)QM等級(jí)（對(duì)于分配為ASILA等級(jí)的技術(shù)安全要求）。

注：如果安全要求運(yùn)用了ASIL等級(jí)分解，那么本章的要求亦適用于分解后的要求。

示例：某內(nèi)存存儲(chǔ)采用奇偶校驗(yàn)作為安全機(jī)制，其安全要求被評(píng)為ASILB等級(jí)。針對(duì)用于測(cè)試該奇偶校驗(yàn)機(jī)制在

探測(cè)和指示內(nèi)存故障的能力的自檢測(cè)試，其要求可被評(píng)為ASILA等級(jí)。

6.4.3系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范和技術(shù)安全概念

6.4.3.1技術(shù)安全概念和該子階段的系統(tǒng)架構(gòu)設(shè)計(jì)應(yīng)基于相關(guān)項(xiàng)定義，功能安全概念和先前的系統(tǒng)架

構(gòu)設(shè)計(jì)。

6.4.3.2應(yīng)檢查GB/T34590.3-XXXX,7.3.1中的系統(tǒng)架構(gòu)設(shè)計(jì)和本子階段中的系統(tǒng)架構(gòu)設(shè)計(jì)的一致性。

如果發(fā)現(xiàn)差異，則可能有必要對(duì)GB/T34590.3-XXXX描述的活動(dòng)進(jìn)行迭代。

6.4.3.3系統(tǒng)架構(gòu)設(shè)計(jì)應(yīng)實(shí)現(xiàn)技術(shù)安全要求。

6.4.3.4關(guān)于技術(shù)安全要求的實(shí)現(xiàn)，系統(tǒng)架構(gòu)設(shè)計(jì)應(yīng)考慮：

a)驗(yàn)證系統(tǒng)架構(gòu)設(shè)計(jì)的能力；

b)與實(shí)現(xiàn)功能安全相關(guān)的預(yù)期軟硬件要素的技術(shù)能力；及

c)在系統(tǒng)集成過(guò)程中執(zhí)行測(cè)試的能力；

6.4.3.5應(yīng)定義安全相關(guān)要素的內(nèi)部和外部接口，其他要素不應(yīng)對(duì)安全相關(guān)要素產(chǎn)生不利的安全相關(guān)

影響。

6.4.3.6如果在系統(tǒng)架構(gòu)設(shè)計(jì)期間對(duì)安全要求進(jìn)行ASIL等級(jí)分解，應(yīng)按照GB/T34590.9-XXXX，第5

章進(jìn)行。

6.4.4安全分析及避免系統(tǒng)性失效

6.4.4.1應(yīng)按照表1和GB/T34590.9-XXXX第8章進(jìn)行系統(tǒng)架構(gòu)設(shè)計(jì)的安全分析，其目的在于：

——為系統(tǒng)設(shè)計(jì)的適合性提供證據(jù)，以證明其適合提供與ASIL等級(jí)相適應(yīng)的特定安全功能和特

性；

——識(shí)別失效原因和故障影響；

——識(shí)別或確認(rèn)安全相關(guān)系統(tǒng)要素和接口；及

——支持設(shè)計(jì)規(guī)范，并基于已識(shí)別的故障原因和失效影響驗(yàn)證安全機(jī)制的有效性。

表1系統(tǒng)架構(gòu)設(shè)計(jì)分析

7

GB/T34590.4—XXXX

ASIL等級(jí)

方法

ABCD

1演繹分析o+++++

2歸納分析++++++++

注1：安全相關(guān)特性包括獨(dú)立性及免于干擾的要求。

注2：這些分析的目的是輔助設(shè)計(jì)。因此在該階段，定性分析是足夠的。如果有必要,可采用定量分析。

注3：在足以識(shí)別隨機(jī)硬件失效和系統(tǒng)性失效的原因和影響的細(xì)節(jié)層面上進(jìn)行分析。

注4：演繹和歸納的方法結(jié)合使用的目的是提供互補(bǔ)的分析方法，見(jiàn)GB/T34590.9-XXXX,8.2。

6.4.4.2為符合安全目標(biāo)或要求，應(yīng)消除已識(shí)別出的引起失效的內(nèi)部原因，或在必要時(shí)減輕它們的影

響。

6.4.4.3為符合安全目標(biāo)或要求，應(yīng)消除已識(shí)別出的引起失效的外部原因，或在必要時(shí)減輕它們的影

響。

6.4.4.4為了減少系統(tǒng)性失效的可能性，宜在適用處應(yīng)用值得信賴的系統(tǒng)設(shè)計(jì)原則。這些原則可能包

括：

a)值得信賴的技術(shù)安全概念的復(fù)用；

b)值得信賴的要素設(shè)計(jì)的復(fù)用，包括硬件和軟件組件；

c)值得信賴的探測(cè)和控制失效的機(jī)制的復(fù)用；

d)值得信賴的或標(biāo)準(zhǔn)化接口的復(fù)用。

6.4.4.5應(yīng)對(duì)值得信賴的設(shè)計(jì)原則的適用性進(jìn)行分析并形成文檔，以確保其和最終產(chǎn)品應(yīng)用的一致性

和適用性。

6.4.4.6為了避免系統(tǒng)性故障，系統(tǒng)架構(gòu)設(shè)計(jì)應(yīng)具有以下特征：

a)模塊化；

b)適當(dāng)?shù)念w粒度水平；及

c)簡(jiǎn)單。

注：可以通過(guò)使用諸如分層的設(shè)計(jì)，精確的接口定義，避免組件和接口不必要的復(fù)雜性，可維護(hù)性和可驗(yàn)證性之類

的設(shè)計(jì)原則實(shí)現(xiàn)上述特征。

6.4.4.7在安全分析或系統(tǒng)架構(gòu)設(shè)計(jì)過(guò)程中新識(shí)別的尚未被安全目標(biāo)涵蓋的危害，應(yīng)更新到按照GB/T

34590.3定義的危害分析和風(fēng)險(xiǎn)評(píng)估（HARA）中。

注：安全目標(biāo)尚未涵蓋的危害可能是非功能性危害。非功能性危害不在GB/T34590的范圍內(nèi)，但可在危害分析和風(fēng)

險(xiǎn)評(píng)估中增加注釋；例如，通過(guò)增加“此危害中未指定ASIL等級(jí)，因?yàn)樗辉贕B/T34590的范圍內(nèi)”的注釋進(jìn)行

說(shuō)明。

6.4.5運(yùn)行過(guò)程中隨機(jī)硬件失效的控制措施

6.4.5.1應(yīng)按照6.4.3中的系統(tǒng)架構(gòu)設(shè)計(jì)，定義探測(cè)、控制或減輕隨機(jī)硬件失效的措施。

8

GB/T34590.4—XXXX

示例1：這些措施可能是硬件的診斷特性，通過(guò)軟件對(duì)其的使用來(lái)探測(cè)隨機(jī)硬件失效。

示例2：隨機(jī)硬件失效發(fā)生時(shí)，不需要探測(cè)即可進(jìn)入安全狀態(tài)的硬件設(shè)計(jì)（即，失效-安全的硬件設(shè)計(jì)）。

注：6.4.4.1中歸納和演繹分析的量化估計(jì)有助于確定是否需要采取進(jìn)一步的安全措施。可按照GB/T34590.5-XXXX

進(jìn)行硬件分析，并做出決定。

6.4.5.2本要求適用于等級(jí)為ASIL(B)、C和D的安全目標(biāo)。應(yīng)選擇可替代流程中的一個(gè)，用于評(píng)估隨

機(jī)硬件失效導(dǎo)致的對(duì)安全目標(biāo)的違背(見(jiàn)GB/T34590.5-XXXX，第9章)，并應(yīng)定義目標(biāo)值以用于相關(guān)

項(xiàng)層面的最終評(píng)估。

6.4.5.3本要求適用于等級(jí)為ASIL(B)、C和D的安全目標(biāo)。適當(dāng)?shù)氖屎驮\斷覆蓋率的目標(biāo)值宜在

要素層面進(jìn)行定義，以符合：

a)GB/T34590.5-XXXX,第8章中度量的目標(biāo)值；及

b)GB/T34590.5-XXXX,第9章中的流程。

6.4.5.4本要求適用于ASIL(B)、C和D等級(jí)。對(duì)于分布式開(kāi)發(fā)（見(jiàn)GB/T34590.8-XXXX,第5章），

推導(dǎo)出的目標(biāo)值應(yīng)通報(bào)給每個(gè)相關(guān)團(tuán)隊(duì)。

注1：GB/T34590.5-XXXX，第8章和第9章中描述的架構(gòu)約束，不一定適用于商業(yè)現(xiàn)成產(chǎn)品的元器件和組件。這是因?yàn)?/p>

供應(yīng)商通常不能預(yù)測(cè)終端相關(guān)項(xiàng)中如何使用他們的產(chǎn)品以及潛在的安全影響。在這種情況下，供應(yīng)商會(huì)提供基

本的數(shù)據(jù)，例如失效率、失效模式、每種失效模式的失效率分布、內(nèi)置的診斷等，以便允許在整體硬件架構(gòu)層

面上預(yù)估架構(gòu)約束。

6.4.6分配到硬件和軟件

6.4.6.1技術(shù)安全要求應(yīng)分配給以系統(tǒng)、硬件或軟件作為實(shí)施技術(shù)的系統(tǒng)架構(gòu)設(shè)計(jì)要素。

注：如果將技術(shù)安全要求分配給作為實(shí)施技術(shù)的系統(tǒng)中，則再次按照GB/T34590.4進(jìn)一步開(kāi)發(fā)這些要求，直到能將

他們分配給硬件和軟件為止。

6.4.6.2分配和分區(qū)決策應(yīng)符合系統(tǒng)架構(gòu)設(shè)計(jì)。

注：為了實(shí)現(xiàn)獨(dú)立性和避免失效傳播，系統(tǒng)架構(gòu)設(shè)計(jì)可以采用功能分區(qū)和組件分區(qū)。

6.4.6.3每個(gè)系統(tǒng)架構(gòu)設(shè)計(jì)要素都應(yīng)繼承其實(shí)現(xiàn)的技術(shù)安全要求的最高的ASIL等級(jí)。

6.4.6.4如果系統(tǒng)架構(gòu)設(shè)計(jì)要素由指定為不同ASIL等級(jí)的子要素組成,或由安全相關(guān)和非安全相關(guān)的

子要素組成，那么每個(gè)子要素都應(yīng)按照最高ASIL等級(jí)進(jìn)行處理，除非滿足共存標(biāo)準(zhǔn)（按照GB/T34590.9-

XXXX，第6章）。

6.4.6.5如果技術(shù)安全要求分配到具備可編程功能的定制化硬件要素（比如：專用集成芯片（ASICs）、

可編程門陣列（FPGA）或是其他形式的數(shù)字化硬件），宜結(jié)合GB/T34590.5和GB/T34590.6的要求來(lái)

定義和實(shí)施適當(dāng)?shù)拈_(kāi)發(fā)流程。

注1：如果滿足GB/T34590.8-XXXX第13章的應(yīng)用準(zhǔn)則，則可以按照該章的評(píng)估方法提供證據(jù)證明上述硬件要素中的

一些要素滿足所分配的安全要求。

注2：GB/T34590.11-XXXX提供了相應(yīng)指導(dǎo)。

6.4.7軟硬件接口(HSI)規(guī)范

6.4.7.1HSI規(guī)范應(yīng)定義硬件和軟件的交互，并保持與技術(shù)安全概念一致。HSI規(guī)范應(yīng)包括組件中由軟

件控制的硬件元器件以及支持軟件運(yùn)行的硬件資源。

9

GB/T34590.4—XXXX

注：軟硬件接口（HSI）中詳細(xì)描述的方面和特性見(jiàn)附錄B。

6.4.7.2軟硬件接口（HSI）規(guī)范應(yīng)包含下列特性：

a)硬件設(shè)備的相關(guān)運(yùn)行模式和相關(guān)配置參數(shù)；

示例1：硬件設(shè)備的運(yùn)行模式，例如：默認(rèn)模式、初始化模式、測(cè)試模式或者高級(jí)模式。

示例2：配置參數(shù)，例如：增益控制、帶通頻率或時(shí)鐘分頻。

b)確保要素間獨(dú)立性或支持軟件分區(qū)的硬件特征；

c)硬件資源的共用和專用；

示例3：內(nèi)存映射、寄存器分配、計(jì)時(shí)器、中斷、I/O端口。

d)硬件設(shè)備的訪問(wèn)機(jī)制；及

示例4：串、并、從、主/從。

e)由技術(shù)安全概念得出的時(shí)間約束。

6.4.7.3硬件的相關(guān)診斷能力和軟件對(duì)其的使用應(yīng)在軟硬件接口（HSI）規(guī)范中定義：

a)應(yīng)定義硬件的診斷特性；及

示例：過(guò)流、短路或過(guò)溫的探測(cè)。

b)應(yīng)定義需要在軟件中實(shí)現(xiàn)的對(duì)硬件的診斷特性。

6.4.7.4應(yīng)在系統(tǒng)架構(gòu)設(shè)計(jì)過(guò)程中對(duì)軟硬件接口（HSI）進(jìn)行定義。

注：在硬件開(kāi)發(fā)（見(jiàn)GB/T34590.5-XXXX第6章）和軟件開(kāi)發(fā)（見(jiàn)GB/T34590.6-XXXX第6章）過(guò)程中對(duì)軟硬件接口（HSI）

進(jìn)行細(xì)化。

6.4.8生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢

6.4.8.1應(yīng)定義在系統(tǒng)架構(gòu)設(shè)計(jì)過(guò)程中識(shí)別出的GB/T34590.7-XXXX中對(duì)生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的

要求。這些包括：

a)在生產(chǎn)、服務(wù)或報(bào)廢期間達(dá)到、保持或修復(fù)相關(guān)項(xiàng)及其要素的安全相關(guān)功能和特性所需的措施；

b)安全相關(guān)的特殊特性；

c)確保正確識(shí)別系統(tǒng)或要素的要求；

d)生產(chǎn)的驗(yàn)證措施；

e)包含診斷數(shù)據(jù)及服務(wù)記錄的服務(wù)要求；及

f)報(bào)廢措施。

示例：組裝或拆卸指南、服務(wù)記錄、關(guān)于系統(tǒng)要素允許維修的指南、報(bào)廢指南、要素標(biāo)簽。

注：確保生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢期間的功能安全主要包含兩方面。第一個(gè)方面涉及那些在開(kāi)發(fā)階段中確保充分的

系統(tǒng)架構(gòu)設(shè)計(jì)和對(duì)合適的安全相關(guān)的特殊特性的定義而開(kāi)展的活動(dòng)，這些活動(dòng)在要求6.4.8.1中給出，第二方

面涉及確保在生產(chǎn)和運(yùn)行階段實(shí)現(xiàn)或維持功能安全的活動(dòng)（例如：基于特定的與安全相關(guān)的特殊特性），這些

活動(dòng)在GB/T34590.7-XXXX中進(jìn)行了闡述。

6.4.8.2在考慮了安全分析的結(jié)果和所實(shí)施的安全機(jī)制的情況下，應(yīng)定義需具備的診斷特性，以提供

按照GB/T34590.2-XXXX,第7章對(duì)相關(guān)項(xiàng)或其要素進(jìn)行現(xiàn)場(chǎng)監(jiān)控所需的數(shù)據(jù)。

6.4.8.3為了修復(fù)或保持功能安全，應(yīng)定義診斷特性以便服務(wù)時(shí)能夠識(shí)別故障并對(duì)維護(hù)或修復(fù)的有效

性進(jìn)行檢查。

6.4.9驗(yàn)證

10

GB/T34590.4—XXXX

6.4.9.1應(yīng)按照GB/T34590.8-XXXX，第6章和第9章對(duì)技術(shù)安全要求進(jìn)行驗(yàn)證，以提供其在給定系

統(tǒng)邊界條件下的正確性、完整性和一致性的證據(jù)。

6.4.9.2應(yīng)使用表2所列的驗(yàn)證方法對(duì)系統(tǒng)架構(gòu)設(shè)計(jì)，軟硬件接口（HSI）規(guī)范以及生產(chǎn)、運(yùn)行、服務(wù)

和報(bào)廢的要求規(guī)范以及技術(shù)安全概念進(jìn)行驗(yàn)證，以提供證據(jù)表明實(shí)現(xiàn)以下目標(biāo)：

a)它們適合并足以達(dá)到按照相關(guān)ASIL等級(jí)所要求的功能安全水平；

b)系統(tǒng)架構(gòu)設(shè)計(jì)與技術(shù)安全概念的一致性；及

c)先前開(kāi)發(fā)步驟中系統(tǒng)架構(gòu)設(shè)計(jì)的有效性和符合性。

注：識(shí)別出的安全異常和不完備性將按照GB/T34590.2-XXXX,5.4.3進(jìn)行報(bào)告。

表2驗(yàn)證

ASIL等級(jí)

方法

ABCD

1a檢查a+++++++

1b走查a+++oo

2a仿真b++++++

2b系統(tǒng)原型和車輛測(cè)試b++++++

3系統(tǒng)架構(gòu)設(shè)計(jì)分析c見(jiàn)表1

a方法1a和1b用于檢查要求是否得到完整和正確的實(shí)施。

b2a和2b可以作為故障注入測(cè)試的有利方法，以支持系統(tǒng)架構(gòu)設(shè)計(jì)關(guān)于故障方面

的完整性和正確性的論證。

c對(duì)于如何實(shí)施安全分析，見(jiàn)GB/T34590.9-XXXX第8章。

工作成果

6.5.1技術(shù)安全需求規(guī)范，由6.4.1和6.4.2的要求得出。

6.5.2技術(shù)安全概念，由6.4.3～6.4.6的要求得出。

6.5.3系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范，由6.4.3～6.4.6的要求得出。

6.5.4軟硬件接口(HSI)規(guī)范，由6.4.7的要求得出。

6.5.5生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢需求規(guī)范，由6.4.8的要求得出。

6.5.6針對(duì)系統(tǒng)架構(gòu)設(shè)計(jì)、軟硬件接口（HSI）規(guī)范、生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢需求規(guī)范及技術(shù)安全概

念的驗(yàn)證報(bào)告，由6.4.9的要求得出。

11

GB/T34590.4—XXXX

6.5.7安全分析報(bào)告，由6.4.4的要求得出。

7系統(tǒng)及相關(guān)項(xiàng)的集成和測(cè)試

目的

集成和測(cè)試階段包括三個(gè)子階段和三個(gè)目標(biāo)，如下所述。第一個(gè)子階段是各要素硬件和軟件的集成；

第二個(gè)子階段是組成一個(gè)系統(tǒng)的要素的集成，以形成一個(gè)完整的相關(guān)項(xiàng)；第三個(gè)子階段是相關(guān)項(xiàng)與車輛

內(nèi)其他系統(tǒng)的集成。本章的目的是：

a)定義集成步驟并集成系統(tǒng)要素，直到系統(tǒng)完全集成；

b)驗(yàn)證由系統(tǒng)架構(gòu)層級(jí)安全分析定義的安全措施是否得到正確實(shí)施；及

c)提供證據(jù)表明所集成的系統(tǒng)要素滿足按照系統(tǒng)架構(gòu)設(shè)計(jì)的安全要求。

總則

相關(guān)項(xiàng)要素的集成按照系統(tǒng)化的方法進(jìn)行，從軟硬件集成和驗(yàn)證開(kāi)始，經(jīng)過(guò)系統(tǒng)集成和驗(yàn)證，到整

車集成和驗(yàn)證。在每個(gè)集成階段要進(jìn)行特定的集成測(cè)試，以提供證據(jù)證明所集成的要素之間正確地交互。

在按照GB/T34590.5和GB/T34590.6對(duì)硬件和軟件進(jìn)行充分開(kāi)發(fā)后，可按照本章啟動(dòng)系統(tǒng)集成。

本章的輸入

7.3.1前提條件

應(yīng)具備下列信息:

——危害分析和風(fēng)險(xiǎn)評(píng)估報(bào)告中得出的安全目標(biāo)和接受準(zhǔn)則，按照GB/T34590.3-XXXX,6.5.1;

——功能安全概念，按照GB/T34590.3-XXXX，8,7.5.1;

——技術(shù)安全概念，按照6.5.2;

——架構(gòu)設(shè)計(jì)規(guī)范，按照6.5.3;及

——軟硬件接口（HSI）規(guī)范，按照6.5.4、GB/T34590.5-XXXX,6.5.2和GB/T34590.6-

XXXX,6.5.2。

7.3.2支持信息

可考慮下列信息:

——整車架構(gòu)(來(lái)自外部);

——整車其他系統(tǒng)的技術(shù)安全概念(來(lái)自外部);及

——安全分析報(bào)告(見(jiàn)6.5.7)。

要求和建議

7.4.1集成和測(cè)試策略規(guī)范

7.4.1.1為了提供證據(jù)證明系統(tǒng)架構(gòu)設(shè)計(jì)符合功能安全和技術(shù)安全要求，應(yīng)按照GB/T34590.8-XXXX，

第9章進(jìn)行集成測(cè)試活動(dòng)，以檢查:

a)功能安全及技術(shù)安全要求的正確實(shí)施;

b)安全機(jī)制正確的功能性能、準(zhǔn)確性和時(shí)序;

c)接口的一致性和正確實(shí)施；及

d)足夠的魯棒性。

12

GB/T34590.4—XXXX

7.4.1.2應(yīng)考慮系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范、功能安全概念和技術(shù)安全概念，定義集成和測(cè)試策略，其應(yīng)該述

及：

a)適合提供功能安全證據(jù)的測(cè)試目標(biāo)；及

b)相關(guān)項(xiàng)及該相關(guān)項(xiàng)中有助于安全概念的要素的集成和測(cè)試；

注：這包括有助于安全概念的其他技術(shù)要素。

7.4.1.3為使相關(guān)項(xiàng)集成子階段能夠進(jìn)行，應(yīng)根據(jù)集成和測(cè)試策略執(zhí)行以下內(nèi)容：

a)應(yīng)為軟硬件集成和測(cè)試定義相關(guān)項(xiàng)集成和測(cè)試策略；

b)相關(guān)項(xiàng)集成和測(cè)試策略的定義應(yīng)包括系統(tǒng)和整車層面的集成測(cè)試規(guī)范。應(yīng)確保來(lái)自于軟硬件

驗(yàn)證的未解決問(wèn)題得到處理；

c)相關(guān)項(xiàng)集成和測(cè)試策略應(yīng)考慮車輛系統(tǒng)（相關(guān)項(xiàng)內(nèi)部和外部）與環(huán)境之間的接口；及

d)相關(guān)項(xiàng)集成和測(cè)試策略應(yīng)考慮被集成的系統(tǒng)或要素是否是作為獨(dú)立于環(huán)境的安全要素（SEooC）

進(jìn)行開(kāi)發(fā)，以及開(kāi)發(fā)期間所做的假設(shè)是否需要驗(yàn)證。

注：在軟硬件集成層面和相關(guān)項(xiàng)層面進(jìn)行集成與驗(yàn)證的規(guī)范，要考慮軟硬件之間的接口及其交互。

7.4.1.4如果系統(tǒng)是可配置的（如通過(guò)要素的變量或標(biāo)定數(shù)據(jù)），在系統(tǒng)或整車層面的驗(yàn)證應(yīng)提供證

據(jù)證明用于量產(chǎn)實(shí)施層面的配置符合安全要求

注：測(cè)試一個(gè)合適的配置子集可能是足夠的。

7.4.1.5在整個(gè)集成子階段，對(duì)每個(gè)功能安全和技術(shù)安全要求是否得到了滿足，應(yīng)至少進(jìn)行一次驗(yàn)證

（如果適用，通過(guò)測(cè)試來(lái)驗(yàn)證）。

注1：一個(gè)常規(guī)的做法是在更高一級(jí)的集成層面上對(duì)已定義的安全要求進(jìn)行驗(yàn)證。

注2：當(dāng)一個(gè)SEooC集成到一個(gè)安全相關(guān)系統(tǒng)中，其開(kāi)發(fā)中使用的假設(shè)的有效性需要進(jìn)行驗(yàn)證。

注3：集成測(cè)試期間識(shí)別出的安全異常要按照GB/T34590.2-XXXX,5.4.3的要求進(jìn)行報(bào)告。

7.4.1.6為了恰當(dāng)?shù)亩x集成測(cè)試的測(cè)試用例，應(yīng)考慮集成的層面，使用表3中所列的恰當(dāng)?shù)姆椒ńM

合導(dǎo)出測(cè)試用例。

表3導(dǎo)出集成測(cè)試案例的方法

方法ASIL等級(jí)

ABCD

1a需求分析++++++++

1b外部和內(nèi)部接口分析+++++++

1c軟硬件集成等價(jià)類的生成和分析++++++

1d邊界值分析++++++

1e基于知識(shí)或經(jīng)驗(yàn)的錯(cuò)誤猜測(cè)法++++++

1f功能的相關(guān)性分析++++++

1g相關(guān)失效的共有限制條件、次序及來(lái)源分析，見(jiàn)GB/T34590.9-

++++++

34590，第7章

1h環(huán)境條件和操作用例分析+++++++

1i現(xiàn)場(chǎng)經(jīng)驗(yàn)分析+++++++

7.4.2軟硬件集成和測(cè)試

13

GB/T34590.4—XXXX

7.4.2.1軟硬件集成

7.4.2.1.1應(yīng)對(duì)按照GB/T34590.5開(kāi)發(fā)的硬件和按照GB/T34590.6開(kāi)發(fā)的軟件進(jìn)行集成，并作為表

4至表8中測(cè)試活動(dòng)的對(duì)象。

7.4.2.1.2應(yīng)對(duì)集成后的硬件和軟件進(jìn)行測(cè)試，以符合軟硬件接口（HSI）規(guī)范的要求。

注：首選用于生產(chǎn)的硬件和軟件。對(duì)于特定的測(cè)試技術(shù)，必要時(shí)可以使用修改過(guò)的硬件或軟件。

7.4.2.2軟硬件測(cè)試中的測(cè)試目標(biāo)和測(cè)試方法

7.4.2.2.1按照7.4.2.2.2～7.4.2.2.6要求得出的測(cè)試目標(biāo)，應(yīng)使用對(duì)應(yīng)表中給出的適當(dāng)?shù)臏y(cè)試方

法來(lái)實(shí)現(xiàn)。

注1：這些目標(biāo)和方法可以幫助在系統(tǒng)架構(gòu)設(shè)計(jì)中對(duì)系統(tǒng)性故障的探測(cè)

注2：基于已實(shí)施的功能、功能復(fù)雜性或系統(tǒng)的分布特性，如有足夠的理由，在其他集成子階段執(zhí)行測(cè)試也是可行

的。

7.4.2.2.2技術(shù)安全要求的安全相關(guān)功能和行為在軟硬件層面的正確執(zhí)行，應(yīng)使用表4中列出的測(cè)試

方法來(lái)提供證據(jù)。

表4技術(shù)安全要求在軟硬件層面的正確執(zhí)行

方法ASIL等級(jí)

ABCD

1a基于需求的測(cè)試a++++++++

1b故障注入測(cè)試b+++++++

1c背靠背測(cè)試c++++++

a基于需求的測(cè)試是指針對(duì)功能性和非功能性要求的測(cè)試。

b故障注入測(cè)試使用特殊的方法向運(yùn)行中的測(cè)試對(duì)象注入故障。這可以通過(guò)特殊的測(cè)試接口在軟件中完成，或

通過(guò)特殊準(zhǔn)備的硬件完成。該方法經(jīng)常用于提高安全要求的測(cè)試覆蓋率，因?yàn)樵谡＿\(yùn)行中安全機(jī)制不會(huì)被

調(diào)用。

c背靠背測(cè)試對(duì)比測(cè)試對(duì)象和仿真模型對(duì)相同激勵(lì)的反應(yīng)，以發(fā)現(xiàn)模型和其實(shí)現(xiàn)的表現(xiàn)差異。

注：表4和表9中的方法1b的工