道路車輛 功能安全審核及評(píng)估方法 第4部分:硬件層面_第1頁
道路車輛 功能安全審核及評(píng)估方法 第4部分:硬件層面_第2頁
道路車輛 功能安全審核及評(píng)估方法 第4部分:硬件層面_第3頁
道路車輛 功能安全審核及評(píng)估方法 第4部分:硬件層面_第4頁
道路車輛 功能安全審核及評(píng)估方法 第4部分:硬件層面_第5頁
已閱讀5頁,還剩29頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

ICS43.040

CCST35

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

`

道路車輛功能安全審核及評(píng)估方法

第4部分:硬件層面

Roadvehicles-FunctionalSafetyAuditandAssessmentMethod-Part3:Hardware

Level

(征求意見稿)

(本草案完成時(shí)間:2022年4月29日)

在提交反饋意見時(shí),請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件是GB/TXXXXX《道路車輛功能安全審核及評(píng)估方法》的第4部分。GB/TXXXXX已經(jīng)發(fā)布了以

下部分:

——第1部分:通用要求;

——第2部分:概念階段和系統(tǒng)層面;

——第3部分:軟件層面;

——第4部分:硬件層面。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。

本文件由中華人民共和國工業(yè)和信息化部提出。

本文件由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC114)歸口。

本文件起草單位:

本文件主要起草人:

III

GB/TXXXXX—XXXX

引言

GB/TXXXXX-XXXX以GB/T34590為基礎(chǔ),適用于道路車輛上安全相關(guān)的電氣/電子(E/E)系統(tǒng)在安

全生命周期內(nèi)的審核及評(píng)估活動(dòng)。

安全是道路車輛開發(fā)的關(guān)鍵問題之一,車輛上包含的電氣、電子和軟件相關(guān)功能的數(shù)量不斷增加,

強(qiáng)化了對(duì)功能安全的需求,以及對(duì)提供證據(jù)證明滿足功能安全目標(biāo)的需求。

為了確認(rèn)電氣/電子(E/E)系統(tǒng)對(duì)于功能安全流程及功能安全要求的符合性,GB/TXXXXX-XXXX:

a)提供了組織層面開展功能安全審核及評(píng)估的通用流程、實(shí)施方法及要求;

b)提供了安全相關(guān)的電氣/電子(E/E)系統(tǒng)在概念階段、系統(tǒng)層面、軟件層面、硬件層面的功

能安全審核及評(píng)估的過程、方法和要求;

c)提供了功能安全審核及評(píng)估的檢查清單和參考示例。

功能安全審核及評(píng)估活動(dòng)伴隨著功能安全開發(fā)過程的迭代實(shí)現(xiàn),圖1為GB/TXXXXX-XXXX的整體架構(gòu),

基于V模型為產(chǎn)品開發(fā)的不同階段、對(duì)象和范圍,提供審核及評(píng)估參考過程模型。

圖1功能安全審核及評(píng)估概覽

IV

GB/TXXXXX—XXXX

道路車輛功能安全審核及評(píng)估方法

第4部分:硬件層面

1范圍

本標(biāo)準(zhǔn)規(guī)定了針對(duì)安全相關(guān)的電氣/電子(E/E)系統(tǒng)在硬件層面的功能安全相關(guān)活動(dòng)和工作成果,

開展功能安全審核及評(píng)估的要求和方法,以檢查和判斷開發(fā)過程及工作成果對(duì)于功能安全的符合性。

本文件適用于安裝在除輕便摩托車外的量產(chǎn)道路車輛上的包含一個(gè)或多個(gè)電氣/電子系統(tǒng)的與安全

相關(guān)的系統(tǒng)。

本文件不適用于特殊用途車輛上特定的電氣/電子系統(tǒng),例如,為殘疾駕駛者設(shè)計(jì)的車輛系統(tǒng)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,

僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本

文件。

GB/T34590-XXXX(所有部分)道路車輛功能安全(ISO26262:2018,MOD)

3術(shù)語和定義

GB/T34590.1-XXXX界定的術(shù)語和定義適用于本文件。

4一般要求

GB/TXXXXX-XXXX《道路車輛功能安全審核及評(píng)估方法第1部分:通用要求》中定義的審核及評(píng)估

要求,適用于本部分。

硬件層面的功能安全審核及評(píng)估,主要涉及以下內(nèi)容:

——硬件安全要求的定義;

——硬件設(shè)計(jì);

——硬件架構(gòu)度量的評(píng)估;

——隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評(píng)估;

——硬件集成和驗(yàn)證;

——硬件要素評(píng)估。

通過審核及評(píng)估,基于證據(jù)判斷硬件層面的功能安全開發(fā),符合:

——硬件安全需求規(guī)范是恰當(dāng)和完整的;

——通過設(shè)計(jì)、驗(yàn)證保證硬件能實(shí)現(xiàn)功能安全要求;

——提供基于硬件架構(gòu)度量的證據(jù),來證明相關(guān)項(xiàng)硬件架構(gòu)設(shè)計(jì)在安全相關(guān)的隨機(jī)硬件失效探測

和控制方面的適用性;

——確保所開發(fā)硬件符合硬件安全要求;

——確保硬件要素的功能表現(xiàn)足以滿足分配的安全要求。

1

GB/TXXXXX—XXXX

5硬件安全要求

目標(biāo)

本章的目標(biāo)是對(duì)作為功能安全硬件安全要求的定義文檔進(jìn)行審核及評(píng)估,以檢查其定義是否符合功

能安全開發(fā)的需要。

審核及評(píng)估的輸入

為了開展本章規(guī)定的審核及評(píng)估過程,應(yīng)具備以下輸入:

——硬件安全需求規(guī)范(包括測試和認(rèn)可準(zhǔn)則);

——軟硬件接口規(guī)范(細(xì)化的);

——硬件安全要求驗(yàn)證報(bào)告。

其他支持材料:

——技術(shù)安全概念;

——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范;

——軟硬件接口規(guī)范;

——可參考的已有硬件架構(gòu)設(shè)計(jì)。

審核和評(píng)估的要求

對(duì)于硬件安全要求進(jìn)行審核及評(píng)估,應(yīng)涵蓋表1、表2、表3的檢查項(xiàng):

表1硬件安全要求的審核及評(píng)估檢查清單

序號(hào)檢查清單

1是否在流程上定義了硬件安全要求的開發(fā)?

2是否定義硬件安全要求模板并在項(xiàng)目上進(jìn)行了實(shí)施?

3是否定義了硬件安全要求和安全機(jī)制控制硬件內(nèi)部失效(例如:對(duì)內(nèi)核失效的檢測,對(duì)存儲(chǔ)失效的監(jiān)控)?

4是否定義了對(duì)外部失效容錯(cuò)的硬件安全要求和安全機(jī)制(例如:傳感器開路或短路檢測的支撐電路)?

5為符合其他要素的安全要求的硬件安全要求和安全機(jī)制的相關(guān)屬性?

6是否定義了硬件安全要求和安全機(jī)制探測內(nèi)外部失效和發(fā)送失效信息?

7是否設(shè)定了硬件的度量目標(biāo)值?

注:適用于等級(jí)為ASIL(B)、C和D的安全目標(biāo)。

8是否設(shè)定了硬件的隨機(jī)硬件失效目標(biāo)值?

注:適用于等級(jí)為ASIL(B)、C和D的安全目標(biāo)。

9是否定義了線束或接插件的設(shè)計(jì)措施要求?

10是否定義了相關(guān)項(xiàng)或要素的硬件設(shè)計(jì)驗(yàn)證準(zhǔn)則,包括環(huán)境條件(溫度、振動(dòng)、EMI等)、特定的運(yùn)行環(huán)境(供

電電壓、任務(wù)概述等)以及特定于組件的要求?

11硬件安全要求所對(duì)應(yīng)的安全機(jī)制的容錯(cuò)時(shí)間間隔要求是否符合系統(tǒng)層級(jí)的定義?

12硬件安全要求所對(duì)應(yīng)的安全機(jī)制的多點(diǎn)故障探測時(shí)間間隔要求是否符合系統(tǒng)層級(jí)的定義?

13硬件安全要求是否與技術(shù)安全要求之間保持了追溯性和一致性?

表2軟硬件接口規(guī)范的審核及評(píng)估檢查清單

序號(hào)檢查清單

1是否在流程上定義了軟硬件接口的細(xì)化活動(dòng)?

2

GB/TXXXXX—XXXX

序號(hào)檢查清單

2是否定義了軟硬件接口規(guī)范的模板并在項(xiàng)目上進(jìn)行了實(shí)施?

3是否細(xì)化了硬件設(shè)備的相關(guān)運(yùn)行模式和相關(guān)配置參數(shù)(例如:對(duì)看門狗的配置)?

4是否確保了要素間獨(dú)立性或支持軟件分區(qū)的硬件特征?

5是否對(duì)硬件資源的共用和專用進(jìn)行了明確定義?

6是否對(duì)硬件設(shè)備的訪問機(jī)制進(jìn)行了明確定義?

7由技術(shù)安全概念得出的時(shí)間約束是否在軟硬件接口規(guī)范中進(jìn)行了說明?

8是否對(duì)硬件的診斷特性進(jìn)行了明確定義?

9是否對(duì)需要在軟件中實(shí)現(xiàn)的對(duì)硬件的診斷特性進(jìn)行了明確定義?

10是否明確描述了硬件和軟件之間的每一項(xiàng)安全相關(guān)的關(guān)聯(lián)性?

11是否細(xì)化后的軟硬件接口都定義了對(duì)應(yīng)的驗(yàn)證準(zhǔn)則?

12是否細(xì)化后的軟硬件接口(HSI)規(guī)范的充分性由軟硬件開發(fā)人員進(jìn)行了共同驗(yàn)證?

表3硬件安全要求驗(yàn)證報(bào)告的審核及評(píng)估檢查清單

編號(hào)檢查清單

1是否在流程上定義了硬件安全要求驗(yàn)證?

2是否按照定義好的硬件安全要求驗(yàn)證活動(dòng)實(shí)施了驗(yàn)證?

3硬件安全要求驗(yàn)證報(bào)告是否按照定義好的模板生成?

4驗(yàn)證活動(dòng)是否驗(yàn)證了與技術(shù)安全概念、系統(tǒng)設(shè)計(jì)規(guī)范以及硬件規(guī)范的一致性?

5驗(yàn)證活動(dòng)是否說明了技術(shù)安全要求分配給硬件要素的完整性?

6驗(yàn)證活動(dòng)是否驗(yàn)證了與相關(guān)軟件安全要求的一致性?

7驗(yàn)證活動(dòng)是否驗(yàn)證了硬件安全要求的正確性與準(zhǔn)確性?

注:附錄A提供了針對(duì)硬件安全要求開展審核及評(píng)估的說明及示例。

6硬件設(shè)計(jì)

目標(biāo)

本章的目標(biāo)是對(duì)硬件設(shè)計(jì)進(jìn)行審核及評(píng)估,以檢查其是否符合功能安全硬件設(shè)計(jì)的需要。

審核及評(píng)估的輸入

為了開展本章規(guī)定的審核及評(píng)估過程,應(yīng)具備以下輸入:

——硬件設(shè)計(jì)規(guī)范(包括硬件架構(gòu)設(shè)計(jì)和硬件詳細(xì)設(shè)計(jì));

——基于演繹法的硬件安全分析(例如:硬件FTA);

——基于歸納法的硬件安全分析(例如:硬件FMEA);

——相關(guān)失效分析(DFA);

——硬件安全分析報(bào)告;

——硬件設(shè)計(jì)驗(yàn)證報(bào)告;

——與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢相關(guān)的需求規(guī)范。

其他支持材料:

——硬件安全需求規(guī)范;

——細(xì)化的軟硬件接口規(guī)范;

——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范。

3

GB/TXXXXX—XXXX

審核及評(píng)估的要求

對(duì)于硬件設(shè)計(jì)規(guī)范的審核及評(píng)估,應(yīng)涵蓋表4、表5、表6、表7的檢查項(xiàng):

表4硬件設(shè)計(jì)規(guī)范的審核及評(píng)估檢查清單

序號(hào)檢查清單

1是否在流程上定義了硬件設(shè)計(jì)過程的要求(包括硬件架構(gòu)設(shè)計(jì)和硬件詳細(xì)設(shè)計(jì))?

2是否定義硬件架構(gòu)設(shè)計(jì)模板并在項(xiàng)目上進(jìn)行了實(shí)施?

3是否定義硬件詳細(xì)設(shè)計(jì)模板并在項(xiàng)目上進(jìn)行了實(shí)施?

4所定義的硬件安全要求是否與硬件架構(gòu)保持了追溯性和一致性,并保持到硬件組件的最底層?

5硬件安全要求是否都分配給到了硬件要素及其子要素?每個(gè)硬件要素或子要素所定義的ASIL等級(jí)是否為分配

給它的所有要求中最高的ASIL等級(jí)?如果一個(gè)硬件要素是由ASIL等級(jí)低于要素ASIL等級(jí)或沒有指定ASIL等級(jí)

的子要素組成,那么是否滿足GB/T34590.9-XXXX第6章的共存準(zhǔn)則?

6硬件架構(gòu)設(shè)計(jì)中如果對(duì)硬件安全要求應(yīng)用ASIL等級(jí)分解,那么ASIL等級(jí)的分解是否按照GB/T34590.9-XXXX第

5章的要求進(jìn)行?

7硬件架構(gòu)設(shè)計(jì)是否按照對(duì)應(yīng)的ASIL等級(jí)根據(jù)GB/T34590.5-XXXX中的表1硬件架構(gòu)設(shè)計(jì)原則進(jìn)行設(shè)計(jì),并具有

模塊化特性,適當(dāng)?shù)牧6人胶秃唵涡??如未按照ASIL等級(jí)要求選取硬件設(shè)計(jì)原則,是否有合理的理由說明?

8在硬件架構(gòu)設(shè)計(jì)時(shí),是否考慮安全相關(guān)硬件組件失效的非功能性原因(如:溫度、振動(dòng)、水、灰塵、電磁干

擾、噪聲因素、或來自硬件架構(gòu)的其他硬件組件或其所在環(huán)境的串?dāng)_。)?

9在進(jìn)行硬件詳細(xì)設(shè)計(jì)時(shí),為避免常見的設(shè)計(jì)缺陷,是否運(yùn)用相關(guān)的經(jīng)驗(yàn)總結(jié)?

10在硬件詳細(xì)設(shè)計(jì)時(shí),是否考慮安全相關(guān)硬件元器件失效的非功能性原因(如:溫度、振動(dòng)、水、灰塵、電磁

干擾、噪聲因素、來自硬件組件的其他硬件元器件或其所在環(huán)境的串?dāng)_。)?

11硬件詳細(xì)設(shè)計(jì)是否考慮硬件元器件或硬件組件的任務(wù)剖面和運(yùn)行條件?是否保證硬件元器件或硬件組件在其

規(guī)格范圍內(nèi)運(yùn)行?

12硬件詳細(xì)設(shè)計(jì)是否考慮魯棒性設(shè)計(jì)原則?

表5硬件安全分析的檢查清單

序號(hào)檢查清單

1是否在流程上定義了硬件安全分析以識(shí)別硬件失效的原因和故障的影響?

2是否定義了針對(duì)不同ASIL等級(jí)硬件產(chǎn)品要求的定性的安全分析方法?

3是否定義適用的硬件安全分析模板或工具并在項(xiàng)目上進(jìn)行了實(shí)施?

4是否用安全分析針對(duì)每個(gè)安全相關(guān)的硬件組件或元器件識(shí)別以下內(nèi)容*:

適用于開發(fā)安全相關(guān)的嵌入式軟件,包括方法、指南、語言和工具;

a)安全故障;

b)單點(diǎn)故障或殘余故障;

c)多點(diǎn)故障(無論是可感知的、可探測的或潛伏的)。

注:適用于等級(jí)為ASIL(B)、C和D的安全目標(biāo)。

5對(duì)于防止導(dǎo)致單點(diǎn)失效的故障或減少殘余故障的而實(shí)施的安全機(jī)制,是否具備證明安全機(jī)制具有實(shí)現(xiàn)和保持

安全狀態(tài)的能力(特別是在容錯(cuò)時(shí)間間隔和最大故障處理時(shí)間間隔內(nèi)適當(dāng)?shù)氖p輕能力)的證據(jù)?由安全

機(jī)制實(shí)現(xiàn)的殘余故障的診斷覆蓋率是否已評(píng)估?

注:適用于等級(jí)為ASIL(A)、(B)、C和D的安全目標(biāo)。

6對(duì)于防止?jié)摲收隙鴮?shí)施的安全機(jī)制,是否具備證據(jù)以證明安全機(jī)制在可接受的多點(diǎn)故障探測時(shí)間間隔內(nèi)完

成潛伏故障的失效探測和實(shí)現(xiàn)或保持安全狀態(tài)及警示駕駛員的能力,以確定哪些故障保持潛伏,哪些故障可

4

GB/TXXXXX—XXXX

序號(hào)檢查清單

被探測到?由安全機(jī)制實(shí)現(xiàn)的潛伏故障的診斷覆蓋率是否已評(píng)估?

注:適用于等級(jí)為ASIL(A)、(B)、C和D的安全目標(biāo)。

7是否進(jìn)行相關(guān)失效分析以提供證據(jù)證明設(shè)計(jì)中的硬件要素與它們的獨(dú)立性要求相符合?

8如果硬件設(shè)計(jì)引入了新危害,且這個(gè)危害沒有被現(xiàn)有的HARA報(bào)告覆蓋,是否有變更管理流程對(duì)它們進(jìn)行引入

和評(píng)估?

注:FTA、FMEA、DFA按照GB/TXXXXX-XXXX《道路車輛功能安全審核及評(píng)估方法第1部分:通用要求》的檢查清單

進(jìn)行檢查。

表6硬件設(shè)計(jì)驗(yàn)證的審核及評(píng)估檢查清單

序號(hào)檢查清單

1是否在流程上定義了硬件設(shè)計(jì)驗(yàn)證過程的要求?

2是否按照定義的硬件設(shè)計(jì)驗(yàn)證活動(dòng)實(shí)施了驗(yàn)證?

3是否定義硬件設(shè)計(jì)驗(yàn)證計(jì)劃的模板并在項(xiàng)目上進(jìn)行了實(shí)施?

4是否定義硬件設(shè)計(jì)驗(yàn)證規(guī)范的模板并在項(xiàng)目上進(jìn)行了實(shí)施?

5是否定義硬件設(shè)計(jì)驗(yàn)證報(bào)告的模板并在項(xiàng)目上進(jìn)行了實(shí)施?

6是否按照對(duì)應(yīng)的ASIL等級(jí)選取GB/T34590.5-XXXX表3的要求硬件設(shè)計(jì)驗(yàn)證方法,以驗(yàn)證硬件設(shè)計(jì)滿足硬件安

全要求,與軟硬件接口規(guī)范兼容以及用來生產(chǎn)和服務(wù)過程中實(shí)現(xiàn)功能安全的安全相關(guān)特殊特性的適用性?如

未按照ASIL等級(jí)要求選取方法,是否有合理的理由說明?

7在硬件設(shè)計(jì)過程中,如果發(fā)現(xiàn)任何硬件安全要求的實(shí)施是不可行的,是否按照GB/T34590.8-XXXX第8章中的

變更管理流程提出變更請(qǐng)求?

8是否根據(jù)硬件安全要求和硬件設(shè)計(jì)規(guī)范驗(yàn)證用于開發(fā)集成到硬件中的SEooC(獨(dú)立于環(huán)境的安全要素)的假設(shè)

的有效性?

表7與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的需求規(guī)范的檢查清單

序號(hào)檢查清單

1是否在流程上定義了需要產(chǎn)出與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的需求規(guī)范?

2是否定義與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢相關(guān)的需求規(guī)范模板并在項(xiàng)目上進(jìn)行了實(shí)施?

3是否有與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢相關(guān)的安全相關(guān)的特殊特性?

4是否定義這些安全相關(guān)的特殊特性?

——生產(chǎn)和運(yùn)行的驗(yàn)證措施;

——這些措施的接受準(zhǔn)則。

5如果安全相關(guān)硬件要素的錯(cuò)誤組裝、拆卸和報(bào)廢可能對(duì)實(shí)現(xiàn)或維護(hù)功能安全產(chǎn)生不利影響,是否該將避免錯(cuò)

誤執(zhí)行所需的信息告知負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的人員?

6安全相關(guān)硬件要素是否具有可追溯性?是否支持可進(jìn)行有效的現(xiàn)場監(jiān)測和可啟用召回或更換管理?

7如果錯(cuò)誤的服務(wù)可能對(duì)實(shí)現(xiàn)或維護(hù)功能安全產(chǎn)生不利影響,是否將避免此類影響執(zhí)行所需的信息定義至與生

產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢相關(guān)的需求規(guī)范中?是否告知負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的人員?

8硬件設(shè)計(jì)過程中產(chǎn)生的硬件要素的生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢要求,是否通過某種方式告知負(fù)責(zé)生產(chǎn)、運(yùn)行、

服務(wù)和報(bào)廢的人員?

9與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的需求規(guī)范是否通過驗(yàn)證?

注:附錄B提供了針對(duì)硬件設(shè)計(jì)開展審核及評(píng)估的說明及示例。

5

GB/TXXXXX—XXXX

7硬件架構(gòu)度量的評(píng)估

目標(biāo)

本章的目標(biāo)是通過評(píng)估硬件架構(gòu)度量(包括單點(diǎn)故障度量SPFM和潛伏故障度量LFM)是否達(dá)到目標(biāo)

值進(jìn)而評(píng)估相關(guān)項(xiàng)架構(gòu)或硬件元器件架構(gòu)應(yīng)對(duì)隨機(jī)硬件失效的有效性。

審核及評(píng)估的輸入

為了開展本章規(guī)定的審核及評(píng)估過程,應(yīng)具備以下輸入:

——相關(guān)項(xiàng)架構(gòu)應(yīng)對(duì)隨機(jī)硬件失效的有效性的分析;

——相關(guān)項(xiàng)架構(gòu)應(yīng)對(duì)隨機(jī)硬件失效的有效性評(píng)估的評(píng)審報(bào)告。

注:適用于等級(jí)為ASIL(B)、C和D的安全目標(biāo)。評(píng)估產(chǎn)品如果為硬件元器件,則審核對(duì)象為針對(duì)硬

件架構(gòu)相關(guān)的工作成果。

其他支持材料:

——硬件安全需求規(guī)范;

——硬件設(shè)計(jì)規(guī)范;

——硬件安全分析報(bào)告;

——硬件相關(guān)失效分析報(bào)告;

——技術(shù)安全概念(如適用);

——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范(如適用)。

審核及評(píng)估的要求

對(duì)于硬件架構(gòu)度量的評(píng)估的審核及評(píng)估,應(yīng)涵蓋表8的檢查項(xiàng):

表8硬件架構(gòu)度量的評(píng)估的審核及評(píng)估檢查清單

序號(hào)檢查清單

1是否在流程上定義了硬件架構(gòu)度量的評(píng)估?

2是否定義了硬件架構(gòu)度量評(píng)估的相關(guān)模板?

3是否在項(xiàng)目中按照所定義的流程及模板實(shí)施了硬件架構(gòu)度量評(píng)估?

4是否為已制定的安全機(jī)制確定了診斷覆蓋率?確定的診斷覆蓋率是否合理?

5硬件元器件預(yù)估失效率的確定是否采用了正確的方法?預(yù)估的失效率是否合理、正確?

6當(dāng)無法提供充足證據(jù)支持硬件元器件的失效率時(shí),是否有相應(yīng)的替代方案?替代方案是否合理?

7是否為每一個(gè)安全目標(biāo)定義了單點(diǎn)故障度量(SPFM)的目標(biāo)值?

8是否為每一個(gè)安全目標(biāo)定義了潛伏故障度量(LFM)的目標(biāo)值?

9進(jìn)行硬件架構(gòu)度量評(píng)估時(shí),是否將發(fā)生在安全相關(guān)硬件要素上的每個(gè)故障都進(jìn)行了正確的分類?

10是否每一個(gè)安全目標(biāo)的單點(diǎn)故障度量(SPFM)的計(jì)算都采用了正確的計(jì)算公式?

11是否每一個(gè)安全目標(biāo)滿足了已定義的單點(diǎn)故障度量(SPFM)的目標(biāo)值?

12是否每一個(gè)安全目標(biāo)的潛伏故障度量(LFM)的計(jì)算都采用了正確的計(jì)算公式?

13是否每一個(gè)安全目標(biāo)滿足了已定義的潛伏故障度量(LFM)的目標(biāo)值?

14是否對(duì)每一個(gè)安全目標(biāo)SPFM和LFM的結(jié)果進(jìn)行驗(yàn)證評(píng)審?

注:附錄C提供了針對(duì)硬件架構(gòu)度量的評(píng)估開展審核及評(píng)估的說明及示例。

8隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評(píng)估

6

GB/TXXXXX—XXXX

目標(biāo)

本章的目標(biāo)是通過評(píng)估隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)進(jìn)而評(píng)估殘余風(fēng)險(xiǎn)是否足夠低。

審核及評(píng)估的輸入

為開展本章規(guī)定的審核及評(píng)估過程,應(yīng)具備以下輸入:

——由隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的分析;

——硬件專用措施的定義,如果需要,包括專用措施有效性的依據(jù);

——對(duì)隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)進(jìn)行評(píng)估的評(píng)審報(bào)告。

注:適用于等級(jí)為ASIL(B)、C和D的安全目標(biāo)。

其他支持材料:

——硬件安全需求規(guī)范;

——硬件設(shè)計(jì)規(guī)范;

——硬件安全分析報(bào)告;

——硬件相關(guān)失效分析報(bào)告;

——技術(shù)安全概念(如適用);

——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范(如適用)。

審核及評(píng)估的要求

對(duì)于隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評(píng)估的審核及評(píng)估,應(yīng)涵蓋表9的檢查項(xiàng):

表9隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評(píng)估的審核及評(píng)估檢查清單

序號(hào)檢查清單

1是否在流程上定義了隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評(píng)估?

2是否定義了隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)評(píng)估的相關(guān)模板?

3是否在項(xiàng)目中按照所定義的流程及模板實(shí)施了隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評(píng)估?

4隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)評(píng)估中用到的硬件元器件預(yù)估失效率的確定是否采用了正確的方法?預(yù)估的

失效率是否合理、正確?

5隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評(píng)估是采用了“隨機(jī)硬件失效概率度量”(PMHF)的評(píng)估方法,還是采用

了“對(duì)違背安全目標(biāo)的每個(gè)原因的評(píng)估”(EEC)的方法?

6單一硬件元器件單點(diǎn)故障是否存在有效論據(jù)證明其發(fā)生概率足夠低可被接受?

注:適用于ASILC和D的安全目標(biāo)。

7一個(gè)硬件元器件的殘余故障診斷覆蓋率低于90%是否存在有效論據(jù)證明其發(fā)生概率足夠低可被接受?

注:適用于ASILC和D的安全目標(biāo)。

8PMHF評(píng)估的定量目標(biāo)值是否表述為相關(guān)項(xiàng)整個(gè)運(yùn)行生命周期中每小時(shí)的平均概率?

9是否為隨機(jī)硬件失效在相關(guān)項(xiàng)層面導(dǎo)致違背每個(gè)安全目標(biāo)的最大可能性定義了定量目標(biāo)值?

10PMHF目標(biāo)值的分配是否滿足要求?

11是否有證據(jù)證明PMHF的目標(biāo)值已達(dá)到?

12采用EEC評(píng)估時(shí),對(duì)違背所考慮的安全目標(biāo)的每個(gè)單點(diǎn)故障、殘余故障和雙點(diǎn)失效進(jìn)行的單獨(dú)評(píng)估是否在硬件

層面執(zhí)行?

13采用EEC評(píng)估時(shí),是否能按照要求提供證據(jù)證明違背安全目標(biāo)的每個(gè)單點(diǎn)故障、殘余故障和雙點(diǎn)失效是可接受

的?

14采用EEC評(píng)估時(shí),是否對(duì)硬件元器件失效率進(jìn)行了失效率等級(jí)評(píng)級(jí)?

7

GB/TXXXXX—XXXX

序號(hào)檢查清單

15采用EEC評(píng)估時(shí),是否可以接受硬件元器件發(fā)生的單點(diǎn)故障?

16采用EEC評(píng)估時(shí),是否可以接受硬件元器件發(fā)生的殘余故障?

17采用EEC評(píng)估時(shí),雙點(diǎn)失效是否被認(rèn)識(shí)是可能的?

18采用EEC評(píng)估時(shí),是否可以接受硬件元器件發(fā)生的可以導(dǎo)致雙點(diǎn)失效的雙點(diǎn)故障?

19是否對(duì)隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)評(píng)估的結(jié)果進(jìn)行驗(yàn)證評(píng)審?

注:附錄D提供了針對(duì)隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評(píng)估開展審核及評(píng)估的說明及示例。

9硬件集成和驗(yàn)證

目標(biāo)

本章的目標(biāo)是對(duì)硬件集成和驗(yàn)證相關(guān)的活動(dòng)和結(jié)果進(jìn)行審核及評(píng)估,以檢查硬件設(shè)計(jì)是否滿足硬件

功能安全要求和相應(yīng)的ASIL等級(jí)。

審核及評(píng)估的輸入

為了開展本章規(guī)定的審核及評(píng)估過程,應(yīng)具備以下輸入:

——硬件集成和驗(yàn)證計(jì)劃;

——硬件集成和驗(yàn)證規(guī)范;

——硬件集成和驗(yàn)證報(bào)告。

其他支持材料:

——硬件安全要求;

——硬件設(shè)計(jì)文檔;

——硬件安全分析報(bào)告。

審核及評(píng)估的要求

對(duì)于硬件集成和驗(yàn)證的審核及評(píng)估,應(yīng)涵蓋表10、表11、表12的檢查項(xiàng):

表10硬件集成和驗(yàn)證計(jì)劃的審核及評(píng)估檢查清單

序號(hào)檢查清單

1是否在產(chǎn)品開發(fā)流程上定義了硬件集成和驗(yàn)證計(jì)劃?

2是否定義了硬件集成和驗(yàn)證計(jì)劃相關(guān)的模板并在項(xiàng)目中實(shí)施?

3是否在硬件集成和驗(yàn)證計(jì)劃中定義了驗(yàn)證對(duì)象信息,驗(yàn)證目的和驗(yàn)證通過準(zhǔn)則?

4是否在硬件集成和驗(yàn)證計(jì)劃中定義了符合產(chǎn)品硬件ASIL等級(jí)要求的活動(dòng)與方法?

5是否在硬件集成和驗(yàn)證計(jì)劃中定義了符合產(chǎn)品硬件安全等級(jí)要求的測試策略?

6是否在硬件集成和驗(yàn)證計(jì)劃定義了驗(yàn)證相關(guān)的依賴項(xiàng)?

7是否在硬件集成和驗(yàn)證計(jì)劃中定義了驗(yàn)證失敗的應(yīng)對(duì)措施?

8是否對(duì)硬件集成和驗(yàn)證計(jì)劃變更定義了相應(yīng)的管理和追溯措施?

9是否對(duì)硬件集成和驗(yàn)證計(jì)劃進(jìn)行了同行評(píng)審(評(píng)審人員需滿足獨(dú)立性要求)?

表11硬件集成和驗(yàn)證規(guī)范的審核及評(píng)估檢查清單

序號(hào)檢查清單

8

GB/TXXXXX—XXXX

序號(hào)檢查清單

1是否在產(chǎn)品開發(fā)流程上定義了硬件集成和驗(yàn)證規(guī)范?

2是否定義了硬件集成和測規(guī)范相關(guān)模板并在項(xiàng)目中實(shí)施?

3是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的驗(yàn)證對(duì)象,驗(yàn)證目的和驗(yàn)證通過準(zhǔn)則?

4是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的測試活動(dòng)和方法?

5是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的測試策略?

6是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的驗(yàn)證依賴項(xiàng)?

7是否在硬件集成和驗(yàn)證規(guī)范中定義了符合產(chǎn)品ASIL等級(jí)要求的測試用例?

8是否在硬件集成和驗(yàn)證規(guī)范中確認(rèn)了硬件安全要求與測試用例間的追溯性

9是否在硬件集成和驗(yàn)證規(guī)范中確認(rèn)了測試用例的完整性?

10是否在硬件集成和驗(yàn)證規(guī)范中確認(rèn)了測試用例的正確性?

11是否在硬件集成和驗(yàn)證規(guī)范中,根據(jù)產(chǎn)品ASIL等級(jí),定義了硬件在環(huán)境和運(yùn)行應(yīng)力因素下的耐用性和魯棒性測試?

12是否對(duì)硬件集成和驗(yàn)證規(guī)范的變更定義了相應(yīng)的管理和追溯措施?

13是否對(duì)硬件集成和驗(yàn)證規(guī)范進(jìn)行了同行評(píng)審(評(píng)審人員需滿足獨(dú)立性要求)?

表12硬件集成和驗(yàn)證報(bào)告的審核及評(píng)估檢查清單

序號(hào)檢查清單

1是否在產(chǎn)品開發(fā)流程上定義了硬件集成和驗(yàn)證報(bào)告?

2是否定義了硬件集成和測試報(bào)告相關(guān)模板并在項(xiàng)目中實(shí)施?

3是否在硬件集成和驗(yàn)證報(bào)告中覆蓋了所有的測試案列?

4是否在硬件集成和驗(yàn)證報(bào)告中記錄了完整的測試數(shù)據(jù)?

5是否在硬件集成和驗(yàn)證報(bào)告中體現(xiàn)了測試用例完成狀態(tài)?

6是否在硬件集成和驗(yàn)證報(bào)告中體現(xiàn)了測試結(jié)果(每條測試用例)?

7是否對(duì)硬件集成和驗(yàn)證報(bào)告中的測試偏離項(xiàng)提供解釋說明或建議改進(jìn)措施?

8是否在硬件集成和驗(yàn)證報(bào)告明確了測試結(jié)論(通過或者失敗原因)?

9是否對(duì)硬件集成和驗(yàn)證報(bào)告進(jìn)行了同行評(píng)審(評(píng)審人員需滿足獨(dú)立性要求)?

注:附錄E提供了針對(duì)硬件集成和測試開展審核及評(píng)估的說明及示例。

10硬件要素評(píng)估

目標(biāo)

本章的目標(biāo)是通過對(duì)硬件要素在功能安全應(yīng)用背景下進(jìn)行評(píng)估,以檢查其失效是否會(huì)違背產(chǎn)品分配

的硬件功能安全要求。

本章中所涉及到的“硬件要素”術(shù)語指的是商業(yè)現(xiàn)成硬件組件或元器件,或指定制的硬件組件或器

件,即:

——最初不是按照GB/T34590開發(fā)或設(shè)計(jì)的;

——集成到符合GB/T34590的相關(guān)項(xiàng)或要素中,被認(rèn)為是與安全相關(guān)的。

在硬件要素的評(píng)估中,所考慮的硬件要素根據(jù)其特性分類三類:

——Ⅰ類要素由于功能簡單,因此不需要對(duì)其本身進(jìn)行評(píng)估,集成了類硬件要素的硬件開發(fā)應(yīng)按

照GB/T34590進(jìn)行;

——Ⅱ類要素的評(píng)估可以通過分析與測試結(jié)合的方式來完成;

9

GB/TXXXXX—XXXX

——Ⅲ類元素的評(píng)估,除了Ⅱ類要素所必需的評(píng)估活動(dòng)以外,還需增加論證來證明安全目標(biāo)被違

背的風(fēng)險(xiǎn)或安全要求被違背的風(fēng)險(xiǎn)是足夠低的。

審核及評(píng)估的輸入

為開展本章規(guī)定的審核及評(píng)估過程,應(yīng)具備以下輸入:

——硬件要素評(píng)估計(jì)劃;

——硬件要素測試計(jì)劃(如適用);

——硬件要素評(píng)估報(bào)告;

——硬件要素評(píng)估驗(yàn)證報(bào)告。

其他支持材料:

——硬件要素相關(guān)的安全要求;

——設(shè)計(jì)驗(yàn)證準(zhǔn)則(分析和測試);

——生產(chǎn)商的硬件要素規(guī)范,如無,或硬件要素規(guī)范的假設(shè)。

審核及評(píng)估的要求

對(duì)于硬件要素評(píng)估的審核及評(píng)估,應(yīng)涵蓋表13、表14、表15的檢查項(xiàng):

表13硬件要素評(píng)估計(jì)劃的審核及評(píng)估檢查清單

序號(hào)檢查清單

1是否在產(chǎn)品開發(fā)流程上定義了硬件要素評(píng)估計(jì)劃?

2是否定義了硬件要素評(píng)估計(jì)劃相關(guān)模板并在項(xiàng)目中實(shí)施?

3是否在硬件要素評(píng)估計(jì)劃中中定義了評(píng)估對(duì)象信息,評(píng)估目的以及評(píng)估通過準(zhǔn)則?

4是否在硬件要素評(píng)估計(jì)劃中定義了符合要素類別的評(píng)估策略?

5是否在硬件要素評(píng)估計(jì)劃中定義了符合要素類別的評(píng)估依據(jù)?

6是否在硬件要素評(píng)估計(jì)劃中定義了評(píng)估要素的依賴項(xiàng)?

7是否對(duì)硬件要素評(píng)估計(jì)劃中定義了評(píng)估要素的責(zé)任方?

8是否對(duì)硬件要素評(píng)估計(jì)劃變更定義了相應(yīng)的管理和追溯措施?

9是否對(duì)硬件要素評(píng)估計(jì)劃做了同行評(píng)審(評(píng)審人員需滿足獨(dú)立性要求)?

表14硬件要素測試計(jì)劃的審核及評(píng)估檢查清單(若適用)

序號(hào)檢查清單

1是否在產(chǎn)品開發(fā)流程上定義了硬件要素測試計(jì)劃?

2是否定義了硬件要素測試計(jì)劃相關(guān)模板并在項(xiàng)目中實(shí)施?

3是否在硬件要素測試計(jì)劃中定義了被測要素的信息,測試目的和測試通過準(zhǔn)則?

4是否在硬件要素測試計(jì)劃中定義了符合產(chǎn)品硬件ASIL等級(jí)要求的活動(dòng)與方法?

5是否在硬件要素測試計(jì)劃中明確了分配到測試要素的安全要求?

6是否在硬件要素測試計(jì)劃中定義了需要參考的測試規(guī)范和順序?

7是否在硬件要素測試計(jì)劃中定義了裝配和連接的需求?

8是否在硬件要素測試計(jì)劃中定義了測試的依賴項(xiàng)?

9是否在硬件要素測試計(jì)劃中定義了被測要素?cái)?shù)量?

10是否對(duì)硬件要素測試計(jì)劃變更定義了相應(yīng)的管理和追溯措施?

11是否對(duì)硬件要素測試計(jì)劃做了同行評(píng)審(評(píng)審人員需滿足獨(dú)立性要求)?

10

GB/TXXXXX—XXXX

表15硬件要素評(píng)估報(bào)告的審核及評(píng)估檢查清單

序號(hào)檢查清單

1是否在產(chǎn)品開發(fā)流程上定義了硬件要素評(píng)估報(bào)告?

2是否定義了硬件要素評(píng)估報(bào)告相關(guān)模板并在項(xiàng)目中實(shí)施?

3是否在硬件要素評(píng)估報(bào)告中體現(xiàn)了基于分析的評(píng)估結(jié)果?

4是否在硬件組件鑒定報(bào)告中體現(xiàn)了基于測試的評(píng)估結(jié)果?

5對(duì)于III類硬件要素,是否在硬件要素評(píng)估報(bào)告中體現(xiàn)了基于額外鑒定措施(例:現(xiàn)場應(yīng)用經(jīng)驗(yàn)等)的評(píng)估

結(jié)果?

6是否對(duì)硬件要素評(píng)估報(bào)告中的偏離項(xiàng)提供了解釋說明或建議改進(jìn)措施?

7是否在硬件要素評(píng)估報(bào)告中明確了評(píng)估結(jié)論(通過或失敗)?

8是否對(duì)硬件要素評(píng)估報(bào)告進(jìn)行了同行評(píng)審(評(píng)審人員需滿足獨(dú)立性要求)?

注:附錄F提供了針對(duì)硬件要素評(píng)估開展審核及評(píng)估的說明及示例。

11

GB/TXXXXX—XXXX

A

A

附錄A

(資料性)

硬件安全要求

硬件安全要求的審核及評(píng)估說明見表A.1。

表A.1硬件安全要求的審核及評(píng)估說明

序號(hào)檢查清單示例及說明

1是否在流程上定義了硬件安全要求如果適用,則應(yīng)檢查是否有流程文件對(duì)硬件安全要求的開發(fā)過程進(jìn)行了定義,

的開發(fā)?明確了流程步驟,人員分工以及必要的輸入及對(duì)應(yīng)的交付物。需求管理是否有

對(duì)應(yīng)的指南文件進(jìn)行指導(dǎo)和說明。

2是否定義硬件安全要求模板并在項(xiàng)如果適用,則應(yīng)檢查是否模板是否存在,模板內(nèi)包含GB/T34590.5-XXXX的6.4

目上進(jìn)行了實(shí)施?中硬件安全要求涉及內(nèi)容。

3是否定義了硬件安全要求和安全機(jī)如果適用,則應(yīng)檢查是否根據(jù)硬件內(nèi)部失效分析(DFMEA等)的結(jié)果定義了相

制控制硬件內(nèi)部失效(例如:對(duì)內(nèi)核關(guān)要求。

失效的檢測,對(duì)存儲(chǔ)失效的監(jiān)控)?示例1:根據(jù)DFMEA的分析結(jié)果,如果內(nèi)核失效,可能造成程序跑飛,需要檢

查是否有定義看門狗的定時(shí)和探測能力的要求。

示例2:根據(jù)DFMEA的分析結(jié)果,如果存儲(chǔ)區(qū)域失效,會(huì)造成數(shù)據(jù)丟失,需要檢

查是否有存儲(chǔ)區(qū)域的校驗(yàn)要求。

4是否定義了對(duì)外部失效容錯(cuò)的硬件如果適用,則應(yīng)檢查是否根據(jù)外部接口失效分析(系統(tǒng)FMEA等)的結(jié)果定義

安全要求和安全機(jī)制(例如:傳感器了相關(guān)要求。

開路或短路檢測的支撐電路)?例如:EPS的輸入開路時(shí),有硬件安全要求支持對(duì)開路故障的檢測。

5為符合其它要素的安全要求的硬件如果適用,則應(yīng)檢查是否有硬件安全要求滿足根據(jù)來自其他系統(tǒng)的安全要求定

安全要求和安全機(jī)制的相關(guān)屬性?義。例如:有支持轉(zhuǎn)角、轉(zhuǎn)矩傳感器和電機(jī)供電狀態(tài)讀取的硬件安全要求。

6是否定義了硬件安全要求和安全機(jī)如果適用,則應(yīng)檢查是否有對(duì)應(yīng)發(fā)送失效信息的硬件安全要求,例如:設(shè)計(jì)點(diǎn)

制探測內(nèi)外部失效和發(fā)送失效信亮報(bào)警燈或發(fā)送CAN信號(hào)的硬件電路的硬件安全要求。

息?

7是否設(shè)定了硬件的度量目標(biāo)值?如果適用,則應(yīng)檢查定義的硬件度量設(shè)定目標(biāo)值是否符合單點(diǎn)故障度量和潛伏

注:適用于等級(jí)為ASIL(B)、C和D故障度量指標(biāo)的要求(GB/T34590.5-2022表4和表5)。

的安全目標(biāo)。如涉及ASIL分解,則應(yīng)檢查硬件度量設(shè)定目標(biāo)值是否按照分解前的ASIL等級(jí)設(shè)

置。

8是否設(shè)定了硬件的隨機(jī)硬件失效目如果適用,則應(yīng)檢查定義的硬件隨機(jī)失效設(shè)定目標(biāo)值是否滿足隨機(jī)硬件失效目

標(biāo)值?標(biāo)值(PMHF)或者對(duì)違背安全目標(biāo)的每個(gè)原因的評(píng)估(EEC)方法的定義。

注:適用于等級(jí)為ASIL(B)、C和Da)隨機(jī)硬件失效目標(biāo)值(PMHF見GB/T34590.5-XXXX的表6);

的安全目標(biāo)。b)違背安全目標(biāo)的每個(gè)原因的評(píng)估(EEC):

——針對(duì)單點(diǎn)故障的硬件元器件失效率等級(jí)目標(biāo)(見GB/T34590.5-XXXX表7和

表8);

——針對(duì)雙點(diǎn)故障的硬件元器件失效率等級(jí)和覆蓋率的目標(biāo)(見

GB/T34590.5-XXXX表9)。

如果采用對(duì)違背安全目標(biāo)的每個(gè)原因的評(píng)估(EEC)方法,則需檢查是否需要

定義專用措施。專用措施可能包括:

12

GB/TXXXXX—XXXX

序號(hào)檢查清單示例及說明

——設(shè)計(jì)特征,如硬件元器件過設(shè)計(jì)(例如電氣或熱應(yīng)力等級(jí))或者物理隔離

(例如印刷電路板上的觸點(diǎn)間隔);

——專門的來料抽樣測試,以降低此失效模式發(fā)生的風(fēng)險(xiǎn);

——老化測試;

——作為控制計(jì)劃一部分的專用控制設(shè)備;

——安全相關(guān)的特殊特性的分配。

9是否定義了線束或接插件的設(shè)計(jì)措如果適用,則應(yīng)檢查是否有相關(guān)定義,例如:線束屏蔽EMC干擾的硬件安全要

施要求?求,接插件插拔防呆的硬件安全要求。

10是否定義了相關(guān)項(xiàng)或要素的硬件設(shè)如果適用,則應(yīng)檢查是否有針對(duì)每條硬件安全需求都需定義硬件設(shè)計(jì)驗(yàn)證準(zhǔn)則

計(jì)驗(yàn)證準(zhǔn)則,包括環(huán)境條件(溫度、(設(shè)計(jì)評(píng)審或測試驗(yàn)證都可作為驗(yàn)證準(zhǔn)則)。

振動(dòng)、EMI等)、特定的運(yùn)行環(huán)境(供例如:

電電壓、任務(wù)概述等)以及特定于組——硬件安全需求:XXX的電源接口應(yīng)提供3.3V的電壓給XXX傳感器;

件的要求?——驗(yàn)證準(zhǔn)則:設(shè)計(jì)評(píng)審。

11硬件安全要求所對(duì)應(yīng)的安全機(jī)制的如果適用且為單點(diǎn)故障,則應(yīng)檢查是否與所關(guān)聯(lián)的技術(shù)安全要求的容錯(cuò)時(shí)間間

容錯(cuò)時(shí)間間隔要求是否符合系統(tǒng)層隔要求保持一致。

級(jí)的定義?

12硬件安全要求所對(duì)應(yīng)的安全機(jī)制的如果適用且為多點(diǎn)故障,對(duì)于ASIL等級(jí)為C和D的安全目標(biāo)來說:

多點(diǎn)故障探測時(shí)間間隔要求是否符a)如果對(duì)應(yīng)的安全概念沒有描述明確的量值,則檢查是否參照安全概念的定

合系統(tǒng)層級(jí)的定義?義;

b)如果對(duì)應(yīng)的安全概念沒有描述明確的量值,則檢查多點(diǎn)故障探測時(shí)間間隔

是否等于或小于該相關(guān)項(xiàng)從上電到下電的周期。

如通過對(duì)隨機(jī)硬件失效的發(fā)生概率的定量分析來確定,則檢查是否符合MTTF的

合理性。

13硬件安全要求是否與技術(shù)安全要求如果適用,則應(yīng)檢查是否有驗(yàn)證報(bào)告可以表現(xiàn)有對(duì)追溯性和一致性的檢查,是

之間保持了追溯性和一致性?否可以提供工具統(tǒng)計(jì)的硬件安全要求與技術(shù)安全要求的覆蓋度報(bào)告或類似證

據(jù)。并對(duì)實(shí)際交付物進(jìn)行抽查,例如:硬件安全要求和技術(shù)安全要求的要求是

否都有獨(dú)立的ID,ID之間是否可以互相追溯,上下級(jí)要求之間描述是否一致。

14是否在流程上定義了軟硬件接口的無

細(xì)化活動(dòng)?

15是否定義了軟硬件接口規(guī)范的模板無

并在項(xiàng)目上進(jìn)行了實(shí)施?

16是否細(xì)化了硬件設(shè)備的相關(guān)運(yùn)行模如果適用,則應(yīng)檢查運(yùn)行模式是否有定義,例如:上電、下電、初始化、故障

式和相關(guān)配置參數(shù)(例如:對(duì)看門狗模式等。及檢查對(duì)應(yīng)參數(shù)是否有配置,例如:看門狗的時(shí)間窗。

的配置)?

17是否確保了要素間獨(dú)立性或支持軟如果適用,則應(yīng)結(jié)合DFA分析的結(jié)果檢查是否對(duì)系統(tǒng)層面的軟硬件接口規(guī)劃進(jìn)

件分區(qū)的硬件特征?行了細(xì)化,例如:對(duì)多核MCU的核內(nèi)資源分配。

18是否對(duì)硬件資源的共用和專用進(jìn)行如果適用,則應(yīng)檢查例如:是否對(duì)內(nèi)存映射、寄存器分配、計(jì)時(shí)器、中斷、I/O

了明確定義?端口等進(jìn)行了細(xì)化。

19是否對(duì)硬件設(shè)備的訪問機(jī)制進(jìn)行了如果適用,則應(yīng)檢查例如:是否對(duì)硬件設(shè)備間的主從、串并關(guān)系進(jìn)行了細(xì)化。

明確定義?

20由技術(shù)安全概念得出的時(shí)間約束是如果適用,則應(yīng)檢查軟件和硬件的響應(yīng)時(shí)間之和是否滿足技術(shù)安全概念得出的

13

GB/TXXXXX—XXXX

序號(hào)檢查清單示例及說明

否在軟硬件接口規(guī)范中進(jìn)行了說時(shí)間約束。

明?

21是否對(duì)硬件的診斷特性進(jìn)行了明確如果適用,則應(yīng)檢查例如:是否定義了硬件的過流過壓過溫閾值,并在關(guān)聯(lián)的

定義?軟件安全要求里定義了診斷要求。

22是否對(duì)需要在軟件中實(shí)現(xiàn)的對(duì)硬件如果適用,則應(yīng)檢查例如:是否定義了硬件的過流過壓過溫閾值,并在關(guān)聯(lián)的

的診斷特性進(jìn)行了明確定義?軟件安全要求里定義了診斷要求。

23是否明確描述了硬件和軟件之間的如果適用,則應(yīng)根據(jù)例如:硬件FMEA和軟件FMEA的分析結(jié)果檢查是否都進(jìn)行了

每一項(xiàng)安全相關(guān)的關(guān)聯(lián)性?明確描述。

24是否細(xì)化后的軟硬件接口都定義了如果適用,則應(yīng)檢查每一條接口定義是否有關(guān)聯(lián)驗(yàn)證準(zhǔn)則(設(shè)計(jì)評(píng)審或測試驗(yàn)

對(duì)應(yīng)的驗(yàn)證準(zhǔn)則?證都可作為驗(yàn)證準(zhǔn)則),如需軟件實(shí)現(xiàn)的診斷特性,則堅(jiān)持軟件安全要求是否

有關(guān)聯(lián)驗(yàn)證準(zhǔn)則。

25是否細(xì)化后的軟硬件接口(HSI)規(guī)如果適用,則應(yīng)檢查設(shè)計(jì)評(píng)審及測試驗(yàn)證的參與人員角色。

范的充分性由軟硬件開發(fā)人員進(jìn)行

了共同驗(yàn)證?

26是否在流程上定義了硬件安全要求無

驗(yàn)證?

27是否按照定義好的硬件安全要求驗(yàn)無

證活動(dòng)實(shí)施了驗(yàn)證?

28硬件安全要求驗(yàn)證報(bào)告是否按照定如果適用,則應(yīng)檢查是否應(yīng)用了定義好的模板,并適用于被評(píng)審的項(xiàng)目及產(chǎn)品,

義好的模板生成?變更記錄清晰完整,并有對(duì)應(yīng)的報(bào)告審核。

29驗(yàn)證活動(dòng)是否驗(yàn)證了與技術(shù)安全概如果適用,則應(yīng)檢查是否有記錄體現(xiàn)一致性的證據(jù)。

念、系統(tǒng)設(shè)計(jì)規(guī)范以及硬件規(guī)范的一

致性?

30驗(yàn)證活動(dòng)是否說明了技術(shù)安全要求如果適用,則應(yīng)檢查是否有記錄體現(xiàn)完整性的證據(jù)。

分配給硬件要素的完整性?

31驗(yàn)證活動(dòng)是否驗(yàn)證了與相關(guān)軟件安如果適用,則應(yīng)檢查是否有記錄體現(xiàn)一致性的證據(jù)。

全要求的一致性?

32驗(yàn)證活動(dòng)是否驗(yàn)證了硬件安全要求如果適用,則應(yīng)檢查是否有記錄體現(xiàn)正確性和準(zhǔn)確性的證據(jù)。

的正確性與準(zhǔn)確性?

14

GB/TXXXXX—XXXX

B

B

附錄B

(資料性)

硬件設(shè)計(jì)

硬件設(shè)計(jì)的審核及評(píng)估說明見表B.1。

表B.1硬件設(shè)計(jì)的審核及評(píng)估說明

序號(hào)檢查清單示例及說明(產(chǎn)品)

1是否在流程上定義了硬件設(shè)計(jì)過程如果適用,則應(yīng)檢查是否有流程文件對(duì)硬件設(shè)計(jì)過程進(jìn)行了定義(細(xì)分包括硬件

的要求(包括硬件架構(gòu)設(shè)計(jì)和硬件詳架構(gòu)設(shè)計(jì)和硬件詳細(xì)設(shè)計(jì)),明確了流程步驟,人員分工以及必要的輸入及對(duì)應(yīng)

細(xì)設(shè)計(jì))?的交付物。

2是否定義硬件架構(gòu)設(shè)計(jì)模板并在項(xiàng)如果適用,則應(yīng)檢查硬件架構(gòu)設(shè)計(jì)模板的完整性和適用性,是否包含GB/T

目上進(jìn)行了實(shí)施?34590.5-XXXX中7.4.1的硬件架構(gòu)設(shè)計(jì)所涉及的內(nèi)容。

項(xiàng)目上若使用內(nèi)部模板,是否與定義的模板相一致。

3是否定義硬件詳細(xì)設(shè)計(jì)模板并在項(xiàng)如果適用,則應(yīng)檢查硬件詳細(xì)設(shè)計(jì)模板的完整性和適用性,是否包含GB/T34590.5

目上進(jìn)行了實(shí)施?7.4.2章節(jié)硬件詳細(xì)設(shè)計(jì)所涉及的內(nèi)容。項(xiàng)目上若使用內(nèi)部模板,是否與定義的模

板相一致。

4所定義的硬件安全要求是否與硬件如果適用,則應(yīng)檢查是否有驗(yàn)證報(bào)告表示所定義的硬件安全要求與硬件架構(gòu)(甚

架構(gòu)保持了追溯性和一致性,并保持至到硬件組件的最底層)保持了追溯性和一致性,是否有工具統(tǒng)計(jì)的硬件架構(gòu)與

到硬件組件的最底層?硬件安全要求的覆蓋度報(bào)告或類似證據(jù)。對(duì)實(shí)際交付物進(jìn)行抽查,例如:硬件安

全要求是否有獨(dú)立的ID,硬件架構(gòu)描述是否有獨(dú)立的ID,ID之間是否可以相互追

溯,相互之間的描述是否一致。

注:硬件安全要求的可追溯性不要求深入到硬件詳細(xì)設(shè)計(jì)。對(duì)于不能劃分為子元

器件的硬件元器件,不分配硬件安全要求。例如,試圖建立每個(gè)電容和電阻等硬

件的可追溯性既沒有意義,也沒有益處。

5硬件安全要求是否都分配給到了硬如果適用,則應(yīng)檢查是否有驗(yàn)證報(bào)告表示硬件要求都分配給了硬件要素及其子要

件要素及其子要素?每個(gè)硬件要素素,且每個(gè)硬件要素或子要素所定義的ASIL等級(jí)為分配給它的所有要求中最高的

或子要素所定義的ASIL等級(jí)是否為ASIL等級(jí),并對(duì)交付物進(jìn)行抽查。

分配給它的所有要求中最高的ASIL如果一個(gè)硬件要素是由ASIL等級(jí)低于要素ASIL等級(jí)或沒有指定ASIL等級(jí)的子要

等級(jí)?如果一個(gè)硬件要素是由ASIL素組成,需要檢查DFA中基于硬件架構(gòu)對(duì)于ASIL等級(jí)低于要素ASIL等級(jí)或沒有

等級(jí)低于要素ASIL等級(jí)或沒有指定指定ASIL等級(jí)的子要素分析的完整性和正確性,證明其不存在干擾。

ASIL等級(jí)的子要素組成,那么是否滿示例:見GB/T34590.9-XXXX附錄B。

足GB/T34590.9-XXXX第6章的共存

準(zhǔn)則?

6硬件架構(gòu)設(shè)計(jì)中如果對(duì)硬件安全要如果適用,則應(yīng)檢查硬件架構(gòu)設(shè)計(jì)中硬件安全要求ASIL等級(jí)的分解的方案,分解

求應(yīng)用ASIL等級(jí)分解,那么ASIL等級(jí)方案滿足GB/T34590.9-XXXX第5章的要求。

的分解是否按照GB/T34590.9-XXXX示例:分配給電源ASILD要求可分解為兩路不同源的電源輸入,并且兩路的電源

第5章的要求進(jìn)行?都使用監(jiān)控輸出的電壓或電流的安全機(jī)制,那么這兩路電源的ASIL等級(jí)可以都為

ASILB(D)。

7硬件架構(gòu)設(shè)計(jì)是否按照對(duì)應(yīng)的ASIL如果適用,則應(yīng)根據(jù)GB/T34590.5-XXX表1按照對(duì)應(yīng)ASIL等級(jí)的要求檢查硬件

等級(jí)根據(jù)GB/T34590.5-XXX表1硬架構(gòu)框圖是否具有對(duì)應(yīng)的設(shè)計(jì)原則。如未按照ASIL等級(jí)要求選取硬件設(shè)計(jì)原則,

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論