GB/T 34590.10-2017 道路车辆 功能安全 第10部分：指南

ICS43.040

T35

中华人民共和国国家标准

GB/T34590.10—2017

道路车辆功能安全

第10部分:指南

Roadvehicles—Functionalsafety—

Part10:Guideline

(ISO26262-10:2012,Roadvehicles—Functionalsafety—

Part10:GuidelineonISO26262,MOD)

2017-10-14发布2018-05-01实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

GB/T34590.10—2017

目次

前言…………………………Ⅲ

引言…………………………Ⅴ

1范围………………………1

2规范性引用文件…………………………1

、………………………

3术语定义和缩略语2

4GB/T34590中的关键概念……………2

4.1针对汽车系统的功能安全(与GB/T20438的关系)……………2

、、、、………………

4.2相关项系统要素组件硬件元器件和软件单元3

、………………………

4.3故障错误和失效之间的关系4

5关于安全管理的精选话题………………5

5.1工作成果……………5

5.2认可措施……………5

5.3安全档案的理解……………………7

6概念阶段和系统开发……………………8

6.1总则…………………8

6.2危害分析和风险评估示例…………9

6.3关于可控性分级……………………9

6.4外部措施……………10

6.5合并安全目标的示例………………10

安全过程的要求结构安全要求的运行和顺序………

7-11

8关于硬件开发……………13

8.1随机硬件故障的分类………………13

8.2残余失效率和局部单点故障度量评估的示例……………………16

8.3关于硬件的进一步解释……………25

9独立于环境的安全要素…………………26

9.1独立于环境的安全要素的开发……………………26

9.2使用案例……………27

10在用证明的示例………………………33

10.1总则………………33

10.2相关项定义和在用证明候选项的定义…………34

10.3变更分析…………………………34

10.4在用证明的目标价值……………34

11关于ASIL的分解……………………35

11.1ASIL分解的目的…………………35

11.2ASIL分解的描述…………………35

Ⅰ

GB/T34590.10—2017

11.3ASIL分解的示例…………………35

附录A(资料性附录)GB/T34590和微控制器………38

附录B(资料性附录)故障树的架构和应用……………57

参考文献……………………73

Ⅱ

GB/T34590.10—2017

前言

/《》:

GBT34590道路车辆功能安全分为以下部分

———第1部分:术语;

———第2部分:功能安全管理;

———第3部分:概念阶段;

———第4部分:产品开发:系统层面;

———第5部分:产品开发:硬件层面;

———第6部分:产品开发:软件层面;

———第7部分:生产和运行;

———第8部分:支持过程;

———第9部分:以汽车安全完整性等级为导向和以安全为导向的分析;

———第10部分:指南。

本部分为GB/T34590的第10部分。

本部分按照GB/T1.1—2009给出的规则起草。

:《:》。

本部分使用重新起草法修改采用ISO26262-102012道路车辆功能安全第10部分指南

本部分与ISO26262-10:2012的技术性差异及其原因如下:

———,“

修改了本部分的适用范围由原文的适用于安装在最大总质量不超过3.5t的量产乘用车上

”“

的包含一个或多个电子电气系统的与安全相关系统改为适用于安装在量产乘用车上的包含

一个或多个电子电气系统的与安全相关的系统”;

———关于规范性引用文件,本部分做了具有技术性差异的调整,以适应我国的技术条件,调整的情

“”,:

况集中反映在第2章规范性引用文件中具体调整如下

●用修改采用国际标准的GB/T34590.1—2017代替ISO26262-1:2011;

●用修改采用国际标准的GB/T34590.2—2017代替ISO26262-2:2011;

●用修改采用国际标准的GB/T34590.3—2017代替ISO26262-3:2011;

●用修改采用国际标准的GB/T34590.4—2017代替ISO26262-4:2011;

●用修改采用国际标准的GB/T34590.5—2017代替ISO26262-5:2011;

●用修改采用国际标准的GB/T34590.6—2017代替ISO26262-6:2011;

●用修改采用国际标准的GB/T34590.8—2017代替ISO26262-8:2011;

●用修改采用国际标准的GB/T34590.9—2017代替ISO26262-9:2011。

本部分还做了下列编辑性修改:

———修改了国际标准的引言及其表述和图1的内容。

本部分由全国汽车标准化技术委员会(SAC/TC114)提出并归口。

:、、

本部分负责起草单位中国汽车技术研究中心中国第一汽车股份有限公司上海海拉电子有限公

、()、、、

司博世汽车部件苏州有限公司北京兴科迪科技有限公司泛亚汽车技术中心有限公司舍弗勒投资

()、、()、、

中国有限公司联合汽车电子有限公司大陆汽车投资上海有限公司浙江尤奈特电机有限公司北

京新能源汽车股份有限公司。

:、

本部分参加起草单位上汽通用五菱汽车股份有限责任公司湖南中车时代电动汽车股份有限公

Ⅲ

GB/T34590.10—2017

、()、()、()

司标致雪铁龙中国汽车贸易有限公司奥托立夫中国电子有限公司爱德克斯常州管理有限公

、()、()、()

司爱信南通汽车技术中心有限公司宝马中国服务有限公司法雷奥汽车内部控制深圳有限

公司。

:、、、、、、、、、、、

本部分主要起草人李波张立君蒋军曲元宁付越尚世亮杨虎史晓密蒋云薛剑波童菲

、、、、、、、、、、、、、、

明月还宏生吴庆淼戴军丑丽丽匡小军谢勇波王俏力易威张蕾靳琼李钟谢攀郭厚锐

杨和全。

Ⅳ

GB/T34590.10—2017

引言

ISO26262是以IEC61508为基础,为满足道路车辆上电子电气系统的特定需求而编写。

/,、

GBT34590修改采用ISO26262适用于道路车辆上由电子电气和软件组件组成的安全相关系

统在安全生命周期内的所有活动。

安全是未来汽车发展的关键问题之一,不仅在驾驶辅助和动力驱动领域,而且在车辆动态控制和主

被动安全系统领域,新的功能越来越多地触及到系统安全工程领域。这些功能的开发和集成将强化对

安全相关系统开发流程的需求,并且要求提供满足所有合理的系统安全目标的证明。

、,

随着技术日益复杂软件和机电一体化应用不断增加来自系统性失效和随机硬件失效的风险逐渐

增加。GB/T34590通过提供适当的要求和流程给出了避免风险的指导。

。(,、、、、

系统安全是通过一系列安全措施实现的安全措施通过各种技术例如机械液压气压电子电

、)。/

气可编程电子等实现且应用于开发过程中的不同层面尽管GBT34590针对的是电子电气系统的

功能安全,但是它也提供了一个框架,在该框架内可考虑基于其他技术的与安全相关系统。

GB/T34590:

)(、、、、、),

a提供了一个汽车安全生命周期管理开发生产运行服务报废并支持在这些生命周期阶

段内对必要活动的剪裁;

b)提供了一种汽车特定的基于风险的分析方法以确定汽车安全完整性等级(ASIL);

c)应用汽车安全完整性等级(ASIL)定义GB/T34590中适用的要求,以避免不合理的残余

风险;

),、;

d提供了对于确认和认可措施的要求以确保达到一个充分可接受的安全等级

e)提供了与供应商相关的要求。

(,、、、、、)、、

功能安全受开发过程例如包括需求规范设计实现集成验证确认和配置生产过程服务过

程和管理过程的影响。

安全问题与常规的以功能为导向和以质量为导向的开发活动及工作成果相互关联。GB/T34590

涉及与安全相关的开发活动和工作成果。

图1为GB/T34590的整体架构。GB/T34590基于V模型为产品开发的不同阶段提供参考过程

模型:

———阴影“”表示/—、/—、/—、

VGBT34590.32017GBT34590.42017GBT34590.52017

GB/T34590.6—2017、GB/T34590.7—2017之间的相互关系;

———“”,“”,“”。

以m-n方式表示的具体章条中m代表特定部分的编号n代表该部分章的编号

:“”/—。

示例2-6代表GBT34590.22017第6章

Ⅴ

GB/T34590.10—2017

图1GB/T34590—2017概览

Ⅵ

GB/T34590.10—2017

道路车辆功能安全

第10部分:指南

1范围

GB/T34590的本部分提供了GB/T34590的概览,也给出了额外的解释,目的是增强对本标准其

他部分的理解。本部分只具有资料性特性,描述了GB/T34590的一般概念以便于理解。该解释将一

般概念扩展到特定的内容。

本标准适用于安装在量产乘用车上的包含一个或多个电子电气系统的与安全相关的系统。

本标准不适用于特殊用途车辆上特定的电子电气系统,例如,为残疾驾驶者设计的车辆。

本标准不适用于已经完成生产发布的系统及其组件或在本标准发布日期前开发的系统及其组件。

对于在本标准发布前完成生产发布的系统及其组件进行进一步的开发或变更时,仅修改的部分需要按

照本标准开发。

本标准针对由电子电气安全相关系统的故障行为而引起的可能的危害,包括这些系统相互作用而

。、、、、、、、、、

引起的可能的危害本标准不针对与触电火灾烟雾热辐射毒性易燃性反应性腐蚀性能量释

放等相关的危害和类似的危害,除非危害是直接由电子电气安全相关系统的故障行为而引起的。

,(、、

本标准不针对电子电气系统的标称性能即使这些系统例如主动和被动安全系统制动系统自适

应巡航系统)有专用的功能性能标准。

,、

如果本部分与本标准的其他部分存在不一致时以本标准的其他部分中定义的要求建议和信息

为准。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T34590.1—2017道路车辆功能安全第1部分:术语(ISO26262-1:2011,MOD)

GB/T34590.2—2017道路车辆功能安全第2部分:功能安全管理(ISO26262-2:2011,

MOD)

GB/T34590.3—2017道路车辆功能安全第3部分:概念阶段(ISO26262-3:2011,MOD)

GB/T34590.4—2017道路车辆功能安全第4部分:产品开发:系统层面(ISO26262-4:2011,

MOD)

GB/T34590.5—2017道路车辆功能安全第5部分:产品开发:硬件层面(ISO26262-5:2011,

MOD)

GB/T34590.6—2017道路车辆功能安全第6部分:产品开发:软件层面(ISO26262-6:2011,

MOD)

GB/T34590.8—2017道路车辆功能安全第8部分:支持过程(ISO26262-8:2011,MOD)

GB/T34590.9—2017道路车辆功能安全第9部分:以汽车安全完整性等级为导向和以安全

为导向的分析(ISO26262-9:2011,MOD)

1

GB/T34590.10—2017

、

3术语定义和缩略语

/—、。

GBT34590.12017界定的术语定义和缩略语适用于本文件

4GB/T34590中的关键概念

4.1针对汽车系统的功能安全(与GB/T20438的关系)

/、、。

GBT20438是关于电气电子可编程电子安全相关系统的功能安全通用标准和基础安全标准

这意味着,各工业领域将基于GB/T20438的要求建立自身的功能安全标准。

在汽车行业,如果直接应用GB/T20438会存在许多问题。其中的一些问题和GB/T34590中相

应的差异描述如下。

/“”,:

GBT20438基于受控设备模型例如具有如下关联控制系统的工业嵌入装置

a)危害分析识别出与受控设备(包括设备控制系统)关联的危害,并对此应用风险降低措施。这

//、(:)(

可通过电子电气可编程电子系统其他技术的安全相关系统例如安全阀或外部措施例

:)。/、,

如嵌入装置的物理围堵来实现GBT34590基于严重度暴露概率和可控性为危害分级

提供了规范化的汽车领域的方案。

b)分配给电子/电气/可编程电子系统的风险降低,是通过指定的安全功能实现的。这些安全功

、。,

能要么是独立的保护系统的一部分要么嵌入装置控制中但在汽车系统中未必能做出这

种区分。车辆的安全依赖于控制系统自身的表现。

GB/T34590使用了安全目标和安全概念的如下思想:

———、;

通过危害分析和风险评估识别出需要防止减轻或控制的危害和危害事件

——