電動(dòng)汽車功能安全技術(shù)規(guī)范管理制度

1、電動(dòng)汽車功安全技術(shù)規(guī)范管理制度1.2 功能安全本部分的功能安全是指電池系統(tǒng)和充電系（相關(guān)內(nèi)容參見(jiàn)后繼章節(jié)以的功 能安全。1.2.1 整車功能安全開(kāi)發(fā)流程功能安全開(kāi)發(fā)流程符合GB/T34590-2017道路車輛功能安全相關(guān)規(guī)定要求。 1.2.2 概念開(kāi)發(fā)階段應(yīng)基于 GB/T34590.3-2017 相關(guān)規(guī)定完成概念發(fā)，并得出相關(guān)項(xiàng)定、安全目標(biāo)和 功能安全要求，作系統(tǒng)開(kāi)發(fā)的必要輸入1.2.2.1 相關(guān)項(xiàng)定義為了充分理解相關(guān)后續(xù)階段的安全活提供支持相關(guān)項(xiàng)的功能素、 接口環(huán)境條件相關(guān)法規(guī)要求和危害方面考慮詳細(xì)定義相關(guān)的功能性和非功能 要求。1.2.2.2 危害分析與風(fēng)險(xiǎn)評(píng)估危害分析與風(fēng)險(xiǎn)評(píng)的目的是識(shí)別

2、相關(guān)項(xiàng)因故障而引起的危害對(duì)危害進(jìn)行歸類， 制定相應(yīng)的安全目，以避免不合理的風(fēng)。其中，應(yīng)基于相關(guān)的功能行為，來(lái)分析潛在的危害事件。再危害 -事件的嚴(yán)重 程度露概率控三個(gè)方面對(duì)相關(guān)項(xiàng)行系統(tǒng)性的評(píng)估而確定安全目標(biāo)及應(yīng)的 ASIL等級(jí)。1.2.2.3 功能安全概念功能安全概念主要為了從安全目標(biāo)中得功能安全要求其分配給相關(guān)項(xiàng)的架 構(gòu)要素或外部措施定義功能安全要求應(yīng)從相關(guān)項(xiàng)的運(yùn)行式故障容錯(cuò)時(shí)間間安全狀態(tài)、緊急 運(yùn)行時(shí)間間隔及功冗余等方面進(jìn)行考慮用安全分方 法 ，使制定的功安全要求更加完善功能安全概念還應(yīng)照 GB/T34590.9-2017 的要求進(jìn)行驗(yàn)證以表明與安全目標(biāo) 一致性和符合性，減輕或避免危害事件

3、能力。1.2.3 系統(tǒng)功能安全開(kāi)發(fā)進(jìn)行正式系統(tǒng)開(kāi)發(fā)，應(yīng)基于 GB/T34590.4-2017 相關(guān)規(guī)定，定系統(tǒng)層面產(chǎn)品開(kāi) 的安全活動(dòng)計(jì)劃包括確定設(shè)計(jì)和集成程中適當(dāng)?shù)姆椒ù胧?測(cè)及驗(yàn)證計(jì)劃功能 安全評(píng)估計(jì)劃等。1.2.3.1 系統(tǒng)安全要求設(shè)計(jì)技術(shù)安全要求是實(shí)功能安全概念必要的術(shù)要求是將相關(guān)項(xiàng)層面功能安全 要求細(xì)化到系統(tǒng)層的技術(shù)安全要求。應(yīng)基于 GB/T34590.4-2017 相關(guān)規(guī)定，根據(jù)功安全概念、相關(guān)項(xiàng)的步架構(gòu)設(shè)想、 外部接口、限制條等系統(tǒng)特性來(lái)制定技安全要求。技術(shù)安全要求應(yīng)從障探測(cè)指示/控制措施全狀態(tài)障容錯(cuò)時(shí)間間隔方面考 慮，定義必要的安機(jī)制。1.2.3.2 系統(tǒng)設(shè)計(jì)系統(tǒng)設(shè)計(jì)應(yīng)基于功概

4、念相關(guān)項(xiàng)的初步構(gòu)設(shè)想和技術(shù)安全求在實(shí)現(xiàn)技術(shù)安全 要求相關(guān)的內(nèi)容時(shí)驗(yàn)證系統(tǒng)設(shè)計(jì)能力硬件設(shè)計(jì)技術(shù)能力行統(tǒng)測(cè)試的能 力等方面考慮系統(tǒng)計(jì)。為避免系統(tǒng)性失效系統(tǒng)設(shè)進(jìn)行安全分析以識(shí)系統(tǒng)性失效的原因和統(tǒng)性故 障的影響。為降低系統(tǒng)運(yùn)行過(guò)中隨機(jī)硬件失效造成影響應(yīng)在統(tǒng)設(shè)計(jì)中定義探測(cè)制或 減輕隨機(jī)硬件失效措施。系統(tǒng)設(shè)計(jì)中定義軟件接口規(guī)范，并在后硬件開(kāi)發(fā)和軟件開(kāi)發(fā)程中進(jìn)行細(xì)化。 1.2.3.3 系統(tǒng)集成與測(cè)試基于GB/T34590.4-2017相規(guī)定分別進(jìn)行軟硬件系統(tǒng)整車層級(jí)集成和測(cè)試， 驗(yàn)證每一條功能和術(shù)安全要求是否滿足范系統(tǒng)設(shè)計(jì)在整個(gè)相關(guān)上是否得到正 確實(shí)施。為發(fā)現(xiàn)系統(tǒng)集成過(guò)中的系統(tǒng)性故障，在定測(cè)試方法時(shí)，應(yīng)從下

5、幾個(gè)方面考慮： （1）功能和技要求在系統(tǒng)層面是否正確執(zhí)行；（2）安全機(jī)制系統(tǒng)層面是否被正確執(zhí)行；（3）外部接口內(nèi)部接口在系統(tǒng)層面行的一致性和正確；（4）安全機(jī)制系統(tǒng)層面的失效覆蓋的有效性；（5）系統(tǒng)層面魯棒性水平。1.2.3.4 安全目標(biāo)確認(rèn)應(yīng)基于 GB/T34590.4-2017 中的規(guī)定，通過(guò)檢和測(cè)試等方式，確認(rèn)全目標(biāo)是否在 整車層面是正確、整并得到完全實(shí)現(xiàn)。確認(rèn)安全目標(biāo)前可從確認(rèn)流程測(cè)試用例環(huán)境條件等方面慮并制定詳細(xì)的確 認(rèn)計(jì)劃。應(yīng)根據(jù)安全目標(biāo)、能安全要求和預(yù)期用，按計(jì)劃執(zhí)行整車層的安全目標(biāo)確認(rèn)。 具體確認(rèn)方法可考詳細(xì)定義的可重復(fù)性試安全分長(zhǎng)期測(cè)試戶抽測(cè)評(píng)審形 式。1.2.4 電控單元硬

6、件開(kāi)發(fā)電控單元硬件開(kāi)發(fā)程應(yīng)滿足 GB/T 34590.5-2017 的要求，行規(guī)定的安全活動(dòng) 輸出規(guī)定的交付內(nèi)。1.2.4.1 電控單元硬件安全要基于GB/T 34590.5-2017相關(guān)定，將技術(shù)安全概，技術(shù)安全要求系統(tǒng)設(shè)計(jì)說(shuō)明 落實(shí)到硬件層級(jí)，計(jì)完整且詳細(xì)的硬件全要求。為保證硬件安全要的完整性，在設(shè)計(jì)時(shí)考慮包含以下內(nèi)容：（1）安全機(jī)制其屬性；（2）驗(yàn)證的標(biāo)；（3）硬件度量目標(biāo)值；（4）FTTI；（5）其它與安相關(guān)的要求。為保證硬件安全要的質(zhì)量，應(yīng)按照 GB/T 34590.8-2017 中第 6 章的要求進(jìn)行硬 件安全要求的設(shè)計(jì)驗(yàn)證和管理。為使硬件被軟件正地控制和使用，應(yīng)對(duì)硬件接口（ ）進(jìn)

7、行充分的細(xì)化，并 描述出硬件和軟件間的每一項(xiàng)安全相關(guān)關(guān)聯(lián)性。1.2.4.2 電控單元硬件設(shè)計(jì)基于GB/T 34590.5-2017相關(guān)定，進(jìn)行硬件架構(gòu)計(jì)和硬件詳細(xì)設(shè)，并進(jìn)行硬件 安全分析，以滿足統(tǒng)設(shè)計(jì)說(shuō)明和硬件安需求的要求。為避免硬件的系統(tǒng)風(fēng)險(xiǎn)，一般應(yīng)進(jìn)行硬架構(gòu)設(shè)計(jì)，然后進(jìn)行件詳細(xì)設(shè)計(jì)。在硬件架構(gòu)設(shè)計(jì)時(shí)應(yīng)確保每個(gè)硬件組件承了正確的 ASIL 等級(jí)，并可追溯與之 相關(guān)的硬件安全要。在硬件設(shè)計(jì)時(shí)應(yīng)運(yùn)用相關(guān)經(jīng)驗(yàn)總結(jié)并考慮安全相硬件組件失效的非能性原 因，如果適用，可含以下因素：溫度，動(dòng)，水，灰塵， EMI，來(lái)硬件架構(gòu)的其他組 件或其所在環(huán)境的擾。為提高設(shè)計(jì)的可靠，應(yīng)遵循 34590.5-2017 中

8、的“模塊的硬件設(shè)計(jì)原則”和 “魯棒性設(shè)計(jì)原則設(shè)計(jì)、壞情況分析等。為識(shí)別硬件失效的因和故障的影響，應(yīng) GB/T 34590.5-2017 中的要求，根據(jù) 同的 ASIL 等，使用“演繹分 FTA）“歸納分）的方法進(jìn)行安分 析。如果安全分析表明產(chǎn)、行服務(wù)和報(bào)廢與安相關(guān)，則應(yīng)定義其安全相關(guān)的特 殊特性并輸出說(shuō)明文件。為驗(yàn)證硬件設(shè)計(jì)與件安全要求的一致性完整性，應(yīng)按 GB/T 34590.5-2017 中的 要求，對(duì)硬件設(shè)計(jì)行驗(yàn)證。1.2.4.3電控單元硬件組件鑒定基于 GB/T 34590.8-2017 關(guān)規(guī)定，對(duì)其中復(fù)的硬件組件及元件應(yīng)進(jìn)行硬件組件 的鑒定，確保硬件件合規(guī)使用并為FMEDA分析提供基

9、礎(chǔ)數(shù)據(jù)1.2.4.4 電控單元硬件架構(gòu)度的評(píng)估基于 34590.5-2017 相關(guān)規(guī)定，進(jìn)行件架構(gòu)度量的評(píng)估并將評(píng)估結(jié)果和優(yōu)化 建議反饋到系統(tǒng)設(shè)件設(shè)計(jì)件設(shè)計(jì)環(huán)節(jié)以優(yōu)化產(chǎn)品設(shè)計(jì)最終的“單點(diǎn)障度 量”和“潛伏故障量”滿足對(duì)應(yīng)ASIL的求。1.2.4.5 隨機(jī)電控單元硬件失導(dǎo)致違背安全目標(biāo)的評(píng)估基于 GB/T 34590.5-2017 相關(guān)規(guī)定，進(jìn)行 評(píng)估或割分析評(píng)估，閉環(huán)優(yōu)使相關(guān) 安全目標(biāo)沒(méi)有由于機(jī)硬件失效帶來(lái)的不接受的風(fēng)險(xiǎn)。1.2.4.6 電控單元硬件集成和試基于 GB/T 34590.5-2017 相關(guān)規(guī)定，進(jìn)行硬件集成測(cè)試，通過(guò)測(cè)試保所開(kāi)發(fā)的 硬件符合硬件安全求。硬件集成測(cè)試用例生成應(yīng)考慮G

10、B/T 34590.5-2017的表10中所列的方法。為了驗(yàn)證安全機(jī)制完整性和正確性，件集成測(cè)試應(yīng)考以下方法功能測(cè)試故 障注入測(cè)試和電氣試。為了驗(yàn)證硬件在外應(yīng)力下的魯棒性，硬集成測(cè)試應(yīng)考慮B/T 的表 12中所列方法。1.2.5 電控單元軟件設(shè)計(jì)1.2.5.1 軟件安全需求分析軟件安全需求分析的是依據(jù)安全技術(shù)規(guī)以及系統(tǒng)設(shè)計(jì)說(shuō)明書(shū)定軟件安全需求， 同時(shí)驗(yàn)證軟件安全求與安全技術(shù)規(guī)范及統(tǒng)設(shè)計(jì)說(shuō)明書(shū)是否一軟件安全需求分階 段需滿足完整性、測(cè)試性、可追溯性要。軟件安全需求分析應(yīng)從如下方面考慮分識(shí)別失效會(huì)違安全技術(shù)要求的軟 功能需來(lái)源于安技術(shù)要求和系統(tǒng)設(shè)方案應(yīng)識(shí)別軟件與件之間所有安全相的屬 性含足夠的硬運(yùn)

11、行資源效安全相關(guān)等信息的認(rèn)硬件口說(shuō)明書(shū)應(yīng)是確認(rèn) 有效的；測(cè)試驗(yàn)證法應(yīng)是安全有效的。1.2.5.2 軟件安全架構(gòu)設(shè)計(jì)軟件安全監(jiān)控架構(gòu)計(jì)目的在于開(kāi)發(fā)一個(gè)以滿足并實(shí)現(xiàn)軟件安需求的軟件架構(gòu)。 軟件安全監(jiān)控架構(gòu)計(jì)需結(jié)合功能安全相軟件需求和非功能安相關(guān)軟件需求，局考 慮軟件的架構(gòu)設(shè)計(jì)并進(jìn)行軟件安全分析軟件安全監(jiān)控架構(gòu)計(jì)時(shí)從如下方面考慮該是可配置可實(shí)施于測(cè)試和可 維護(hù)的遵循模塊化高類聚低耦合復(fù)雜度的要求細(xì)化到足夠支持細(xì)設(shè)計(jì)； 應(yīng)具備靜態(tài)和動(dòng)態(tài)性；應(yīng)滿足獨(dú)立性的求；應(yīng)覆蓋軟件安全求等。1.2.5.3 軟件失效分析與詳細(xì)計(jì)軟件失效分析與軟詳細(xì)設(shè)計(jì)目的是基于件架構(gòu)設(shè)計(jì)及軟件安需求對(duì)軟件功 能模塊進(jìn)行詳細(xì)設(shè)，同時(shí)根

12、據(jù)建模及編指導(dǎo)書(shū)進(jìn)行模型或源碼設(shè)計(jì)。軟件詳細(xì)設(shè)計(jì)時(shí)應(yīng)從如方面考慮包含足夠的必要信以便于允許后續(xù)活動(dòng) 展詳細(xì)描述其功能特滿足可測(cè)性維護(hù)復(fù)雜度讀性和健壯性等要； 詳細(xì)設(shè)計(jì)應(yīng)滿足與件安全需求架構(gòu)準(zhǔn)則設(shè)計(jì)說(shuō)明書(shū)等一致性的求。 1.2.5.4 軟件安全算法測(cè)試軟件算法測(cè)試用于明軟件單元模塊符合件詳細(xì)設(shè)計(jì)說(shuō)明書(shū)要，該要求包括 件功能要求的符合，接口要求的一致性算法的健壯與高效等軟件算法測(cè)試案例計(jì)時(shí)需按照軟件詳細(xì)設(shè)說(shuō)明書(shū)，軟失效分析報(bào)告要采 用需求分析、等價(jià)劃分、邊界值分析、誤猜想等方法。軟件算法測(cè)試活動(dòng)要做好詳細(xì)設(shè)計(jì)、失分析報(bào)告、測(cè)試案例測(cè)試數(shù)據(jù)、測(cè)試缺陷的雙向可追溯性過(guò)程的完整性。軟件算法測(cè)試同時(shí)需要度量驗(yàn)證軟件算質(zhì)量括單覆蓋 句覆蓋度，分支覆度，修正判定條件覆度等編碼規(guī)則，以及其他 靜態(tài)度量指標(biāo)（如圈復(fù)雜度等參見(jiàn)GB/T34590.6-2017相關(guān)要。 1.2.5.5 軟件集成與架構(gòu)符合測(cè)試軟件集成與架構(gòu)符性測(cè)試主要用于驗(yàn)證件組件集成功能軟件 組建之間的接口是符合軟件架構(gòu)設(shè)計(jì)文要求。軟件集成通常可分增殖式集成與一次性成同的集成方應(yīng)的 集成測(cè)試策略也不。常用到的測(cè)試方法括：基于需求的測(cè)試接口測(cè)試， 故