《 道路車輛 功能安全 第5部分：產(chǎn)品開發(fā)：硬件層面》征求意見稿

ICS43.040

CCST35

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T34590.5—XXXX

代替GB/T34590.5-2017

道路車輛功能安全

第5部分：產(chǎn)品開發(fā)：硬件層面

Roadvehicles-Functionalsafety-

Part5:Productdevelopmentatthehardwarelevel

(ISO26262-5:2018,MOD)

（征求意見稿）

（本草案完成時(shí)間：2021年4月1日））

GB/T34590.5—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

GB/T34590-XXXX《道路車輛功能安全》分為以下部分：

——第1部分：術(shù)語(yǔ)；

——第2部分：功能安全管理；

——第3部分：概念階段；

——第4部分：產(chǎn)品開發(fā)：系統(tǒng)層面；

——第5部分：產(chǎn)品開發(fā)：硬件層面；

——第6部分：產(chǎn)品開發(fā)：軟件層面；

——第7部分：生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢；

——第8部分：支持過程；

——第9部分：以汽車安全完整性等級(jí)為導(dǎo)向和以安全為導(dǎo)向的分析；

——第10部分：指南；

——第11部分：半導(dǎo)體應(yīng)用指南；

——第12部分：摩托車的適用性。

本文件為GB/T34590-XXXX的第5部分。

本文件代替GB/T34590.5-2017《道路車輛功能安全第5部分：產(chǎn)品開發(fā)：硬件層面》,與GB/T

34590.5-2017相比，主要變化如下：

——修改了標(biāo)準(zhǔn)適用范圍，由“量產(chǎn)乘用車”擴(kuò)大到“除輕便摩托車外的量產(chǎn)道路車輛”；

——新增了對(duì)商用車輛的相關(guān)要求和示例、對(duì)摩托車的適應(yīng)性要求等；

——增加了硬件規(guī)范（來自外部）(見6.3.2)；

——增加了注2（見6.4.2）；

——增加了注釋（見6.4.7）；

——增加了關(guān)于目的的內(nèi)容（見7.1）；

——增加了非安全相關(guān)的硬件需求規(guī)范（來自外部）(見7.3.2)；

——增加了注1、注2，表1由“模塊化的硬件設(shè)計(jì)原則”更改為“硬件架構(gòu)設(shè)計(jì)原則”(見)；

——增加了對(duì)噪聲因素的要求(見)；

——增加了注6以及對(duì)ASIL（A）的要求(見)；

——增加了對(duì)ASIL（A）的要求(見)；

——增加了注5、注6(見)；

——增加了硬件設(shè)計(jì)驗(yàn)證方法提供證據(jù)證明的要求(見)；

——增加了驗(yàn)證SEooC的假設(shè)的有效性的要求(見)；

——增加了硬件設(shè)計(jì)過程中產(chǎn)生的硬件要素的生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢要求(見)；

——增加了注2（見8.2）；

——增加了注2、注3、注4、注5、注7、注8、注9、注10、示例2、示例3（見8.4.3）；

III

GB/T34590.5—XXXX

——增加了注2以及列項(xiàng)a、b中關(guān)于“附加的安全機(jī)制”的要求（見8.4.4）；

——增加了關(guān)于SPFM目標(biāo)值相關(guān)公式的示例（見8.4.7）；

——增加了示例1、示例2中關(guān)于“附錄H提供的示例”以及“LFM目標(biāo)值相關(guān)公式”的內(nèi)容（見

8.4.8）；

——增加了關(guān)于“本要求的ASIL適用等級(jí)”的內(nèi)容（見）；

——增加了“證明單一硬件元器件單點(diǎn)故障發(fā)生概率足夠低”的論據(jù)的內(nèi)容（見）；

——增加了“證明一個(gè)硬件元器件的殘余故障發(fā)生概率足夠低”的論據(jù)的內(nèi)容（見）；

——增加了注1、注2（見）；

——增加了注3、注4、注5（見）；

——增加了構(gòu)成相關(guān)項(xiàng)的多個(gè)系統(tǒng)的要求（見）；

——增加了注8（見）；

——增加了注3、注4（見）；

——增加了適用的ASIL等級(jí)（見）；

——增加了示例和注5（見1）；

——增加了雙點(diǎn)失效可接受的條件的要求（見2）；

——增加了關(guān)于“在不能滿足1或2的要求的情況下導(dǎo)致可能的雙點(diǎn)失效的條件”

的內(nèi)容（見3）；

——增加了示例以及對(duì)安全相關(guān)硬件元器件的要求（見10.4.3）；

——增加了硬件集成和驗(yàn)證規(guī)范（見10.5.1）；

——增加了部分公式，且對(duì)原有公式進(jìn)行了刪減修訂（見C.1.2）；

——增加了可集成在組件中的安全機(jī)制的注釋（見附錄D）；

——增加了示例（見D.2.2.2）；

——增加了附錄F、附錄G、附錄H。

——?jiǎng)h除了5.3、5.4、5.5中關(guān)于“本章輸入、要求和建議、工作成果”的內(nèi)容；

——?jiǎng)h除了“安全計(jì)劃（細(xì)化的）”（見6.3.1）；

——?jiǎng)h除了注1（見6.4.2）；

——?jiǎng)h除了注釋（見6.4.3）；

——?jiǎng)h除了關(guān)于目的的內(nèi)容（見2017版的7.1）；

——?jiǎng)h除了安全計(jì)劃（細(xì)化的）（見7.3.1）；

——?jiǎng)h除了注（見9.2）；

——?jiǎng)h除了關(guān)于“比例因子”的內(nèi)容（見）；

——?jiǎng)h除了2017版的注3（見）；

——?jiǎng)h除了失效率換算的內(nèi)容（見2017版的2）；

——?jiǎng)h除了硬件安全需求規(guī)范、硬件設(shè)計(jì)規(guī)范（見10.3.1）；

——?jiǎng)h除了項(xiàng)目計(jì)劃（細(xì)化的）（見10.3.2）；

——?jiǎng)h除了2017版的表D.5、D.6、D.13、D.14；

——?jiǎng)h除了2017版的D.2.4、D.2.5；

IV

GB/T34590.5—XXXX

——?jiǎng)h除了2017版的附錄E注4。

——修改了第5章的標(biāo)題；

——修改了關(guān)于目的的描述（見5.1）；

——修改了圖2（見5.2）；

——修改了總則的描述（見9.2）；

——修改了第10章的標(biāo)題；

——修改了表12的標(biāo)題（見10.4.6）；

——修改了表D.1的標(biāo)題、注釋；

——修改了D.2.2.2的標(biāo)題；

——圖E.2修改為表E.1；

——修改了表E.1的注5重的計(jì)算數(shù)據(jù)；

——圖E.3修改為表E.2；

本文件使用重新起草法修改采用了ISO26262-5：XXXX《道路車輛功能安全第5部分：產(chǎn)品開發(fā)：

硬件層面》。

本文件與ISO26262-5：2018的技術(shù)性差異及其原因如下：

——關(guān)于規(guī)范性引用文件，本文件做了具有技術(shù)性差異的調(diào)整，以適應(yīng)我國(guó)的技術(shù)條件，調(diào)整的

情況集中反映在第2章“規(guī)范性引用文件”中，具體調(diào)整如下：

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.1-XXXX代替ISO26262-1：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.2-XXXX代替ISO26262-2：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.4-XXXX代替ISO26262-4：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.6-XXXX代替ISO26262-6：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.7-XXXX代替ISO26262-7：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.8-XXXX代替ISO26262-8：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.9-XXXX代替ISO26262-9：2018。

本文件做了下列編輯性修改：

——將國(guó)際標(biāo)準(zhǔn)中的“本國(guó)際標(biāo)準(zhǔn)”改為“本文件”；

——?jiǎng)h除國(guó)際標(biāo)準(zhǔn)的前言；

——修改國(guó)際標(biāo)準(zhǔn)的引言及其表述。

本文件由中華人民共和國(guó)工業(yè)和信息化部提出。

本文件由全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC114）歸口。

本文件起草單位：

本文件主要起草人：

本文件由中華人民共和國(guó)工業(yè)和信息化部提出。

本文件由全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC114）歸口。

本文件起草單位：

本文件主要起草人：

本文件所代替文件的歷次版本發(fā)布情況為：

V

GB/T34590.5—XXXX

——GB/T34590.5,2017年首次發(fā)布。

VI

GB/T34590.5—XXXX

引??言

ISO26262是以IEC61508為基礎(chǔ)，為滿足道路車輛上電氣/電子系統(tǒng)的特定需求而編寫。

GB/T34590修改采用ISO26262，適用于道路車輛上由電子、電氣和軟件組件組成的安全相關(guān)系統(tǒng)

在安全生命周期內(nèi)的所有活動(dòng)。

安全是道路車輛開發(fā)的關(guān)鍵問題之一。汽車功能的開發(fā)和集成強(qiáng)化了對(duì)功能安全的需求，以及對(duì)提

供證據(jù)證明滿足功能安全目標(biāo)的需求。

隨著技術(shù)日益復(fù)雜、軟件和機(jī)電一體化應(yīng)用不斷增加，來自系統(tǒng)性失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)逐漸

增加，這些都在功能安全的考慮范疇之內(nèi)。GB/T34590通過提供適當(dāng)?shù)囊蠛土鞒虂斫档惋L(fēng)險(xiǎn)。

為了實(shí)現(xiàn)功能安全，GB/T34590-XXXX（所有部分）：

a)提供了一個(gè)汽車安全生命周期（開發(fā)、生產(chǎn)、運(yùn)行、服務(wù)、報(bào)廢）的參考，并支持在這些生命

周期階段內(nèi)對(duì)執(zhí)行的活動(dòng)進(jìn)行剪裁；

b)提供了一種汽車特定的基于風(fēng)險(xiǎn)的分析方法，以確定汽車安全完整性等級(jí)（ASIL）；

c)使用ASIL等級(jí)來定義GB/T34590中適用的要求，以避免不合理的殘余風(fēng)險(xiǎn)；

d)提出了對(duì)于功能安全管理、設(shè)計(jì)、實(shí)現(xiàn)、驗(yàn)證、確認(rèn)和認(rèn)可措施的要求；及

e)提出了客戶與供應(yīng)商之間關(guān)系的要求。

GB/T34590針對(duì)的是電氣/電子系統(tǒng)的功能安全,通過安全措施(包括安全機(jī)制)來實(shí)現(xiàn)。它也提供了

一個(gè)框架，在該框架內(nèi)可考慮基于其它技術(shù)（例如，機(jī)械、液壓、氣壓）的安全相關(guān)系統(tǒng)。

功能安全的實(shí)現(xiàn)受開發(fā)過程（例如，包括需求規(guī)范、設(shè)計(jì)、實(shí)現(xiàn)、集成、驗(yàn)證、確認(rèn)和配置）、生

產(chǎn)過程、服務(wù)過程和管理過程的影響。

安全問題與常規(guī)的以功能為導(dǎo)向和以質(zhì)量為導(dǎo)向的活動(dòng)及工作成果相互關(guān)聯(lián)。GB/T34590涉及與

安全相關(guān)的開發(fā)活動(dòng)和工作成果。

圖1為GB/T34590的整體架構(gòu)。GB/T34590基于V模型為產(chǎn)品開發(fā)的不同階段提供參考過程模型：

陰影”V”表示GB/T34590.3-XXXX、GB/T34590.4-XXXX、GB/T34590.5-XXXX、GB/T

————

34590.6-XXXX、GB/T34590.7-XXXX之間的相互關(guān)系；

對(duì)于摩托車：

————

GB/T34590.12-XXXX的第8章支持GB/T34590.3-XXXX；

GB/T34590.12-XXXX的第9章和第10章支持GB/T34590.4-XXXX。

以“m-n”方式表示的具體章條中，“m”代表特定部分的編號(hào)，“n”代表該部分章的編號(hào)。

————

示例：“2-6”代表GB/T34590.2-XXXX的第6章。

VII

GB/T34590.5—XXXX

圖1GB/T34590-XXXX概覽

VIII

GB/T34590.5—XXXX

道路車輛功能安全

第5部分：產(chǎn)品開發(fā)：硬件階段

1范圍

GB/T34590的本部分規(guī)定了車輛在硬件層面產(chǎn)品開發(fā)的要求，包括：

——硬件層面產(chǎn)品開發(fā)的概述；

——硬件安全要求的定義；

——硬件設(shè)計(jì)；

——硬件架構(gòu)度量的評(píng)估；

——因隨機(jī)硬件故障而導(dǎo)致違背安全目標(biāo)的評(píng)估；及

——硬件集成和驗(yàn)證。

本文件適用于安裝在除輕便摩托車外的量產(chǎn)道路車輛上的包含一個(gè)或多個(gè)電氣/電子系統(tǒng)的與安全

相關(guān)的系統(tǒng)。

本文件不適用于特殊用途車輛上特定的電氣/電子系統(tǒng)，例如，為殘疾駕駛者設(shè)計(jì)的車輛。

注：其他專用的安全標(biāo)準(zhǔn)可作為本文件的補(bǔ)充，反之亦然。

已經(jīng)完成生產(chǎn)發(fā)布的系統(tǒng)及其組件或在本文件發(fā)布日期前正在開發(fā)的系統(tǒng)及其組件不適用于本文

件。對(duì)于在本文件發(fā)布前完成生產(chǎn)發(fā)布的系統(tǒng)及其組件進(jìn)行變更時(shí)，本文件基于這些變更對(duì)安全生命周

期的活動(dòng)進(jìn)行裁剪。未按照本文件開發(fā)的系統(tǒng)與按照本文件開發(fā)的系統(tǒng)進(jìn)行集成時(shí)，需要按照本文件進(jìn)

行安全生命周期的裁剪。

本文件針對(duì)由安全相關(guān)的電氣/電子系統(tǒng)的功能異常表現(xiàn)而引起的可能的危害，包括這些系統(tǒng)相互

作用而引起的可能的危害。本文件不針對(duì)與觸電、火災(zāi)、煙霧、熱、輻射、毒性、易燃性、反應(yīng)性、腐

蝕性、能量釋放等相關(guān)的危害和類似的危害，除非危害是直接由安全相關(guān)的電氣/電子系統(tǒng)的功能異常

表現(xiàn)表現(xiàn)而引起的。

本文件提出了安全相關(guān)的電氣/電子系統(tǒng)進(jìn)行功能安全開發(fā)的框架，該框架旨在將功能安全活動(dòng)整

合到企業(yè)特定的開發(fā)框架中。本文件規(guī)定了為實(shí)現(xiàn)產(chǎn)品功能安全的技術(shù)開發(fā)要求，也規(guī)定了組織應(yīng)具備

相應(yīng)功能安全能力的開發(fā)流程要求。

本文件不針對(duì)電氣/電子系統(tǒng)的標(biāo)稱性能。

本文件中對(duì)硬件要素的要求適用于非可編程和可編程硬件要素，如ASIC、FPGA和PLD，更多指南見

GB/T34590.10-XXXX和GB/T34590.11-XXXX。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T34590.1-XXXX道路車輛功能安全第1部分：術(shù)語(yǔ)(ISO26262-1:2018,MOD)

GB/T34590.2-XXXX道路車輛功能安全第2部分：功能安全管理(ISO26262-2:2018,MOD)

GB/T34590.4-XXXX道路車輛功能安全第4部分：產(chǎn)品開發(fā)：系統(tǒng)層面(ISO26262-4:2018,MOD)

GB/T34590.6-XXXX道路車輛功能安全第6部分：產(chǎn)品開發(fā)：軟件層面(ISO26262-6:2018,MOD)

GB/T34590.7-XXXX道路車輛功能安全第7部分：生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢(ISO26262-7:2018,MOD)

GB/T34590.8-XXXX道路車輛功能安全第8部分：支持過程(ISO26262-8:2018,MOD)

GB/T34590.9-XXXX，道路車輛功能安全第9部分：以汽車安全完整性等級(jí)為導(dǎo)向和以安全為導(dǎo)向

的分析(ISO26262-9:2018，MOD)

1

GB/T34590.5—XXXX

3術(shù)語(yǔ)、定義和縮略語(yǔ)

GB/T34590.1-XXXX界定的術(shù)語(yǔ)、定義和縮略語(yǔ)適用于本文件。

4要求

4.1目的

本章規(guī)定了：

a)如何符合GB/T34590-XXXX；

b)如何解釋GB/T34590-XXXX中所使用的表格；及

c)如何解釋各章條基于不同的ASIL等級(jí)的適用性。

4.2一般要求

如聲明滿足GB/T34590-XXXX的要求時(shí)，應(yīng)滿足每一個(gè)要求，除非有下列情況之一：

a)按照GB/TXXXXX.2-XXXX的要求，安全活動(dòng)的剪裁已經(jīng)實(shí)施并表明這些要求不適用；或

b)不滿足要求的理由存在且是可接受的，并且按照GB/TXXXXX.2-XXXX的要求對(duì)該理由進(jìn)行了評(píng)

估。

標(biāo)有“注”或“示例”的信息僅用于輔助理解或闡明相關(guān)要求，不應(yīng)作為要求本身且不具備完備性。

將安全活動(dòng)的結(jié)果作為工作成果。應(yīng)具備上一階段工作成果作為“前提條件”的信息。如果章條的

某些要求是依照ASIL定義的或可剪裁的，某些工作成果可不作為前提條件。

“支持信息”是可供參考的信息，但在某些情況下，GB/T34590-XXXX不要求其作為上一階段的工

作成果，并且可以是由不同于負(fù)責(zé)功能安全活動(dòng)的人員或組織等外部資源提供的信息。

4.3表的詮釋

本文件中的表是規(guī)范性或資料性取決于上下文。在滿足相關(guān)要求時(shí)，表中列出的不同方法有助于置

信度水平。表中的每個(gè)方法是：

a)一個(gè)連續(xù)的條目（在最左側(cè)列以順序號(hào)標(biāo)明，如1、2、3）；或

b)一個(gè)選擇的條目（在最左側(cè)列以數(shù)字后加字母標(biāo)明，如2a、2b、2c）。

對(duì)于連續(xù)的條目，高度推薦和推薦的方法按照ASIL等級(jí)推薦予以使用。高度推薦或推薦的方法允許

用未列入表中的其它方法替代,此種情況下，應(yīng)給出滿足相關(guān)要求的理由。如果可以給出不選擇所有條

目也能符合相應(yīng)要求的理由，則不需要對(duì)缺省方法做進(jìn)一步解釋。

對(duì)于選擇性的條目，應(yīng)按照指定的ASIL等級(jí)對(duì)這些方法進(jìn)行適當(dāng)?shù)慕M合，而與這些方法在表中是否

列出無關(guān)。如果所列出的方法對(duì)于一個(gè)ASIL等級(jí)來說具有不同的推薦等級(jí)，宜采用具有較高推薦等級(jí)的

方法。應(yīng)給出選擇組合方法或選擇單一方法滿足相應(yīng)要求的理由。

注：在表中所列出方法的理由是充分的。但是，這并不意味著有傾向性或?qū)ξ戳械奖碇械姆椒ū硎痉磳?duì)。

對(duì)于每種方法，應(yīng)用相關(guān)方法的推薦等級(jí)取決于ASIL等級(jí)，分類如下：

——“++”表示對(duì)于指定的ASIL等級(jí)，高度推薦該方法；

——“+”表示對(duì)于指定的ASIL等級(jí)，推薦該方法；

——“o”表示對(duì)于指定的ASIL等級(jí)，不推薦也不反對(duì)該方法。

4.4基于ASIL等級(jí)的要求和建議

若無其它說明，對(duì)于ASILA、B、C和D等級(jí)，應(yīng)滿足每一章條的要求或建議。這些要求和建議參

照安全目標(biāo)的ASIL等級(jí)。如果在項(xiàng)目開發(fā)的早期對(duì)ASIL等級(jí)完成了分解，按照GB/TXXXXX-9第5章的要

求，應(yīng)遵循分解后的ASIL等級(jí)。

如果GB/T34590-XXXX中ASIL等級(jí)在括號(hào)中給出，則對(duì)于該ASIL等級(jí)，相應(yīng)的章條應(yīng)被認(rèn)為是推薦

而非要求。這里的括號(hào)與ASIL等級(jí)分解無關(guān)。

2

GB/T34590.5—XXXX

4.5摩托車的適用性

對(duì)于適用于GB/TXXXXX.12要求的摩托車的相關(guān)項(xiàng)或要素，GB/T34590.12的要求替代本部分和GB/T

34590.2的相應(yīng)要求。

4.6卡車、客車、掛車和半掛車的適用性

對(duì)卡車、客車、掛車和半掛車的特殊規(guī)定以（T&B）來表示。

5硬件層面產(chǎn)品開發(fā)的概述

5.1目的

本章的目的是描述硬件開發(fā)各子階段中的功能安全活動(dòng)。

5.2總則

按照GB/T34590.2-XXXX,6.4.6來制定滿足安全要求的硬件開發(fā)所需的活動(dòng)和流程的計(jì)劃。

圖2闡明了為滿足本文件要求的硬件層面產(chǎn)品開發(fā)的流程步驟，以及在GB/T34590框架內(nèi)這些步驟

的集成。

硬件層面產(chǎn)品開發(fā)的必要活動(dòng)和流程包括：

——技術(shù)安全概念的硬件實(shí)現(xiàn)；

——分析潛在的硬件故障及其影響；及

——與軟件開發(fā)的協(xié)調(diào)。

與軟件開發(fā)子階段相比，本文件包含兩個(gè)章節(jié)，描述了對(duì)相關(guān)項(xiàng)整體硬件架構(gòu)的定量評(píng)估。

第8章描述了兩個(gè)度量，以評(píng)估相關(guān)項(xiàng)硬件架構(gòu)和實(shí)施的安全機(jī)制應(yīng)對(duì)隨機(jī)硬件失效的有效性。

作為對(duì)第8章的補(bǔ)充，第9章描述了兩種可選的方法以評(píng)估違背安全目標(biāo)的殘余風(fēng)險(xiǎn)是否足夠低，一

種是應(yīng)用全局概率方法（請(qǐng)參閱9.4.2，PMHF方法），另一種是應(yīng)用割集分析方法（請(qǐng)參閱EEC方法9.4.3），

來研究硬件要素中所識(shí)別出每個(gè)故障對(duì)違背安全目標(biāo)的影響。

注：在圖中，GB/T34590的每個(gè)部分的具體章用以下方式表示：“m-n”，其中“m”代表部分的編號(hào)，“n”代

表章的編號(hào)，例如“4-7”代表GB/T34590.4-XXXX第4部分第7章。

圖2硬件層面產(chǎn)品開發(fā)參考階段模型

3

GB/T34590.5—XXXX

6硬件安全要求的定義

6.1目的

本章的目的是：

a)定義硬件安全要求。這些要求由技術(shù)安全概念和系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范導(dǎo)出；

b)細(xì)化最初在GB/T34590.4-XXXX，6.4.7中定義的軟硬件接口規(guī)范；及

c)驗(yàn)證硬件安全要求及軟硬件接口規(guī)范與技術(shù)安全概念及系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范的一致性。

6.2總則

將技術(shù)安全要求分配給硬件和軟件。既分配給硬件又分配給軟件的要求被進(jìn)一步劃分出僅對(duì)硬件的

安全要求?？紤]設(shè)計(jì)限制和這些限制對(duì)硬件的影響，對(duì)硬件安全要求進(jìn)行進(jìn)一步的細(xì)化。

6.3本章的輸入

6.3.1前提條件

應(yīng)具備如下信息：

——技術(shù)安全概念，按照GB/T34590.4-XXXX，6.5.2；

——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范，按照GB/T34590.4-XXXX，6.5.3；及

——軟硬件接口規(guī)范，按照GB/T34590.4-XXXX，6.5.4。

6.3.2支持信息

可以考慮如下信息：

——軟件安全需求規(guī)范（請(qǐng)參見GB/T34590.6-XXXX，6.5.1）；及

——硬件規(guī)范（來自外部）。

6.4要求和建議

6.4.1相關(guān)項(xiàng)硬件要素的硬件安全需求規(guī)范應(yīng)從分配給硬件的技術(shù)安全要求中導(dǎo)出（源自GB/T

34590.4-XXXX，6.5.2）。

6.4.2硬件安全需求規(guī)范應(yīng)包括與功能安全有關(guān)的每一條硬件要求，包括以下內(nèi)容：

a)為控制要素硬件內(nèi)部失效的硬件安全要求和安全機(jī)制的相關(guān)特性。這包括用于覆蓋瞬態(tài)故障

(例如，由于所使用的技術(shù)而產(chǎn)生的瞬態(tài)故障)的內(nèi)部安全機(jī)制；

示例1：特性可能包括看門狗的定時(shí)和探測(cè)能力。

b)為控制或者容忍要素外部失效的硬件安全要求和安全機(jī)制的相關(guān)特性；

示例2：當(dāng)外部失效發(fā)生時(shí)，如ECU的輸入開路時(shí)，要求ECU應(yīng)具備的功能表現(xiàn)。

c)為符合其他要素的安全要求的硬件安全要求和安全機(jī)制的相關(guān)特性；

示例3：對(duì)傳感器或執(zhí)行器的診斷。

d)為探測(cè)內(nèi)外部失效和發(fā)送失效信息的硬件安全要求和安全機(jī)制的相關(guān)特性；及

注1：d）中描述的硬件安全要求包括防止故障潛伏的安全機(jī)制。

示例4：安全機(jī)制中定義的硬件元器件的故障響應(yīng)時(shí)間，要符合故障容錯(cuò)時(shí)間間隔。

e)不定義安全機(jī)制的硬件安全要求。

示例5：舉例如下：

——為滿足6.4.3和6.4.4所描述的隨機(jī)硬件失效目標(biāo)值的硬件要素要求；

——為避免特定行為的要求（例如，“一個(gè)特定的傳感器不應(yīng)該有一個(gè)不穩(wěn)定的輸出”）；

——分配給執(zhí)行預(yù)期功能的硬件要素的要求；及

4

GB/T34590.5—XXXX

——定義線束或接插件的設(shè)計(jì)措施的要求。

注2：安全機(jī)制能用硬件、軟件或軟硬件結(jié)合的方式來實(shí)現(xiàn)。

6.4.3本要求適用于等級(jí)為ASIL（B），C和D的安全目標(biāo)。當(dāng)為相關(guān)項(xiàng)硬件要素推導(dǎo)目標(biāo)值時(shí)，應(yīng)考

慮按照GB/T34590.4-XXXX，6.4.5的要求，為本文件第8章定義的度量設(shè)定目標(biāo)值。

6.4.4本要求適用于等級(jí)為ASIL（B），C和D的安全目標(biāo)。當(dāng)為相關(guān)項(xiàng)硬件要素推導(dǎo)目標(biāo)值時(shí)，應(yīng)考

慮按照GB/T34590.4-XXXX，6.4.5的要求，為本文件第9章定義的過程設(shè)定目標(biāo)值。

注：除非同意使用9.4.3的EEC，否則在GB/T34590.8-XXXX第5章定義的分布式開發(fā)情況下，此活動(dòng)可能包括PMHF

目標(biāo)值的分配。

6.4.5硬件安全要求應(yīng)按照GB/T34590.8-XXXX第6章的要求進(jìn)行定義。

6.4.6應(yīng)定義相關(guān)項(xiàng)的硬件要素的設(shè)計(jì)驗(yàn)證準(zhǔn)則，包括環(huán)境條件（溫度、振動(dòng)、EMI等）、特定的運(yùn)行

環(huán)境（供電電壓、任務(wù)剖面等）以及組件的特定要求：

a)通過硬件要素評(píng)估進(jìn)行的驗(yàn)證，其準(zhǔn)則應(yīng)滿足GB/T34590.8-XXXX第13章的要求；及

b)通過測(cè)試進(jìn)行的驗(yàn)證，其準(zhǔn)則應(yīng)滿足本文件第10章的要求。

6.4.7硬件安全要求應(yīng)符合GB/T34590.4-XXXX，6.4.2中定義的安全機(jī)制的故障容錯(cuò)時(shí)間間隔，或者

最大故障處理時(shí)間間隔。

注：硬件設(shè)計(jì)中能定義一種可能夠控制故障，但不能滿足容錯(cuò)時(shí)間間隔或最大故障處理時(shí)間間隔的機(jī)制。在這種情

況下，進(jìn)行本文件的第8章和第9章的定義的度量評(píng)估和ASIL等級(jí)分解時(shí)，不能考慮該機(jī)制。

6.4.8硬件安全要求應(yīng)符合按照GB/T34590.4-XXXX，6.4.2中定義的多點(diǎn)故障探測(cè)時(shí)間間隔。

注1：對(duì)于ASIL等級(jí)為C和D的安全目標(biāo)來說，如果對(duì)應(yīng)的安全概念沒有描述明確的量值，多點(diǎn)故障探測(cè)時(shí)間間隔

能定義為等于或小于該相關(guān)項(xiàng)從上電到下電的周期。

注2：合適的多點(diǎn)故障探測(cè)時(shí)間間隔也能通過對(duì)隨機(jī)硬件失效的發(fā)生概率的定量分析來確定（參見第9章）。

6.4.9硬件安全要求應(yīng)按照GB/T34590.8-XXXX第9章的要求進(jìn)行驗(yàn)證，以提供證據(jù)證明其：

a)與技術(shù)安全概念、系統(tǒng)設(shè)計(jì)規(guī)范以及硬件規(guī)范的一致性；

b)關(guān)于技術(shù)安全要求分配給硬件要素的完整性；

c)與相關(guān)軟件安全要求的一致性；及

d)正確性與準(zhǔn)確性。

6.4.10在GB/T34590.4-XXXX，6.4.7中最初定義的軟硬件接口應(yīng)被充分細(xì)化，以允許硬件被軟件正確

的控制和使用，并且應(yīng)描述出硬件和軟件之間的每一項(xiàng)安全相關(guān)的關(guān)聯(lián)性。

6.4.11軟硬件開發(fā)人員應(yīng)共同負(fù)責(zé)驗(yàn)證細(xì)化后的軟硬件接口規(guī)范的充分性。

6.5工作成果

6.5.1硬件安全需求規(guī)范（包括測(cè)試和評(píng)估準(zhǔn)則），由6.4.1～6.4.8的要求得出。

6.5.2軟硬件接口規(guī)范（細(xì)化的），由6.4.10的要求得出。

注：此工作成果可以參考GB/T34590.6-XXXX中6.5.2給出的相同的工作成果。

6.5.3硬件安全要求驗(yàn)證報(bào)告，由6.4.9和6.4.11的要求得出。

7硬件設(shè)計(jì)

7.1目的

本章的目的是：

a)創(chuàng)建一個(gè)硬件設(shè)計(jì)：

——支持以安全為導(dǎo)向的分析；

——考慮安全導(dǎo)向分析的結(jié)果；

5

GB/T34590.5—XXXX

——符合硬件安全要求；

——符合軟硬件接口規(guī)范；

——符合系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范；及

——滿足所需的硬件設(shè)計(jì)特性；及

b)定義在生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢期間的硬件功能安全要求并提供有關(guān)信息；及

c)驗(yàn)證：

——硬件設(shè)計(jì)能滿足硬件安全要求和軟硬件接口規(guī)范；

——假設(shè)的有效性，此假設(shè)用于開發(fā)集成在已開發(fā)硬件中的每個(gè)SEooC；及

——安全相關(guān)的特殊特性的適用性，以實(shí)現(xiàn)生產(chǎn)和服務(wù)期間的功能安全。

7.2總則

硬件設(shè)計(jì)包括硬件架構(gòu)設(shè)計(jì)和硬件詳細(xì)設(shè)計(jì)。硬件架構(gòu)設(shè)計(jì)表示所有的硬件組件以及它們彼此的相

互關(guān)系。硬件詳細(xì)設(shè)計(jì)是在電子電氣原理圖級(jí)別上，表示構(gòu)成硬件組件的元器件間的相互連接。

為開發(fā)同時(shí)符合硬件安全要求及所有的非安全要求的唯一的硬件設(shè)計(jì)，在此子階段，應(yīng)在同一開發(fā)

過程中處理安全和非安全性要求。

7.3本章的輸入

7.3.1前提條件

應(yīng)具備下列信息：

——硬件安全需求規(guī)范，按照6.5.1；

——軟硬件接口規(guī)范（細(xì)化的），按照6.5.2；及

——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范，按照GB/T34590.4-XXXX，6.5.3。

7.3.2支持信息

可能考慮下列信息：

——軟件安全需求規(guī)范（參見GB/T34590.6-XXXX，6.5.1）；及

——非安全相關(guān)的硬件需求規(guī)范(來自外部)。

7.4要求和建議

7.4.1硬件架構(gòu)設(shè)計(jì)

硬件架構(gòu)應(yīng)實(shí)現(xiàn)第6章定義的硬件安全要求。

硬件安全要求應(yīng)分配到對(duì)應(yīng)的硬件要素，因此，每個(gè)硬件要素都應(yīng)按照分配給它的所有要求中

最高的ASIL等級(jí)來開發(fā)。

注：硬件要素的各個(gè)特征將繼承該要素所實(shí)現(xiàn)的硬件安全要求中最高的ASIL等級(jí)。

如果在硬件架構(gòu)設(shè)計(jì)中對(duì)硬件安全要求應(yīng)用了ASIL等級(jí)分解，ASIL等級(jí)分解應(yīng)按照GB/T

34590.9-XXXX,第5章的要求進(jìn)行。

如果一個(gè)硬件要素是由ASIL等級(jí)低于要素ASIL等級(jí)或沒有指定ASIL等級(jí)的子要素組成，除

非滿足按照GB/T34590.9-XXXX，第6章的共存準(zhǔn)則，否則應(yīng)按照最高的ASIL等級(jí)處理每個(gè)子要素。

對(duì)硬件安全要求和硬件架構(gòu)設(shè)計(jì)要素之間的可追溯性，應(yīng)保持到硬件組件的最底層。

注：硬件安全要求的可追溯性不要求深入到硬件詳細(xì)設(shè)計(jì)。對(duì)于不能劃分為子元器件的硬件元器件，不分配硬件安

全要求。例如，試圖建立每個(gè)電容和電阻等硬件的可追溯性既沒有意義，也沒有益處。

為避免系統(tǒng)性故障，應(yīng)通過使用表1中列出的原則，使硬件架構(gòu)設(shè)計(jì)具有下述特性：

6

GB/T34590.5—XXXX

a)模塊化；

注：模塊化使得硬件要素的設(shè)計(jì)無需修改就可以重復(fù)使用(如溫度探測(cè)電路模塊、微控制器中的ECC模塊)。

b)適當(dāng)?shù)牧６人剑患?/p>

注：其目的是架構(gòu)在必要的詳細(xì)程度上體現(xiàn)必要的信息，來顯示安全機(jī)制的有效性。

c)簡(jiǎn)單性。

表1硬件架構(gòu)設(shè)計(jì)原則

ASIL等級(jí)

原則

ABCD

1分層設(shè)計(jì)++++

2安全相關(guān)硬件組件的精確定義接口++++++++

3避免不必要的接口復(fù)雜性++++

4避免不必要的硬件組件復(fù)雜性++++

5可維護(hù)性（服務(wù)）++++++

6可測(cè)試性a++++++

a可測(cè)試性包括開發(fā)，生產(chǎn)，服務(wù)和運(yùn)行過程中的測(cè)試。

在硬件架構(gòu)設(shè)計(jì)時(shí)，應(yīng)考慮安全相關(guān)硬件組件失效的非功能性原因，如果適用，可包括以下的

影響因素：溫度、振動(dòng)、水、灰塵、電磁干擾、噪聲因素、或來自硬件架構(gòu)的其他硬件組件或其所在環(huán)

境的串?dāng)_。

7.4.2硬件詳細(xì)設(shè)計(jì)

為了避免常見的設(shè)計(jì)缺陷，按照GB/T34590.2-XXXX，，應(yīng)運(yùn)用相關(guān)的經(jīng)驗(yàn)總結(jié)。

在硬件詳細(xì)設(shè)計(jì)時(shí)，應(yīng)考慮安全相關(guān)硬件元器件失效的非功能性原因，如果適用，可包括以下

的影響因素：溫度、振動(dòng)、水、灰塵、電磁干擾、噪聲因素、來自硬件組件的其他硬件元器件或其所在

環(huán)境的串?dāng)_。

按照硬件詳細(xì)設(shè)計(jì)，應(yīng)考慮硬件元器件或硬件組件的任務(wù)剖面和運(yùn)行條件，以確保硬件元器件

或硬件組件在其規(guī)格范圍內(nèi)運(yùn)行，以避免其由于預(yù)期使用而發(fā)生失效。

宜考慮魯棒性設(shè)計(jì)原則。

注：魯棒性設(shè)計(jì)原則可以通過硬件設(shè)計(jì)指南的應(yīng)用來體現(xiàn)。

示例：關(guān)于組件應(yīng)對(duì)環(huán)境和運(yùn)行應(yīng)力因素魯棒性的保守規(guī)范。

7.4.3安全分析

硬件設(shè)計(jì)的安全分析，應(yīng)按照表2和GB/T34590.9-XXXX第8章進(jìn)行，以識(shí)別失效的原因和故

障的影響。

注1：安全分析的最初目的是支持硬件設(shè)計(jì)的定義，其后，安全分析能用于硬件設(shè)計(jì)驗(yàn)證（見7.4.4）。

注2：就安全分析支持硬件設(shè)計(jì)定義的目的來說，定性分析可能是適當(dāng)且充分的。

表2硬件設(shè)計(jì)的安全分析

7

GB/T34590.5—XXXX

ASIL等級(jí)

方法

ABCD

1演繹分析o+++++

2歸納分析++++++++

注：分析的詳細(xì)程度與設(shè)計(jì)的詳細(xì)程度相對(duì)應(yīng)。在某些情況下，兩種方法都可在不同的細(xì)節(jié)層面上執(zhí)行。

示例：FMEA是在硬件組件層面上完成的，它提供了在更高抽象層面上執(zhí)行的FTA的基本事件。

本要求適用于等級(jí)為ASIL(B)、C和D的安全目標(biāo)。對(duì)于每個(gè)安全相關(guān)的硬件組件或元器件，

針對(duì)所考慮的安全目標(biāo)，安全分析應(yīng)識(shí)別以下內(nèi)容：

a)安全故障；

b)單點(diǎn)故障或殘余故障；及

c)多點(diǎn)故障（無論是可感知的、可探測(cè)的或潛伏的）。

注1：識(shí)別多點(diǎn)故障的目的，并不要求對(duì)每一種可能的兩個(gè)硬件故障的組合進(jìn)行系統(tǒng)的分析，但至少要考慮從技術(shù)

安全概念得出的組合（例如兩個(gè)故障的組合：一個(gè)故障影響了安全相關(guān)的要素，另一個(gè)故障影響了相應(yīng)的為

達(dá)到或維持安全狀態(tài)所需的安全機(jī)制）。

注2：在大多數(shù)情況下，分析可能限制到雙點(diǎn)故障。但有時(shí)階次高于2的多點(diǎn)故障可能顯示與技術(shù)安全概念有關(guān)（例

如，當(dāng)執(zhí)行冗余安全機(jī)制時(shí)）。

本要求適用于等級(jí)為ASIL（A）、(B)、C和D的安全目標(biāo)。應(yīng)具備實(shí)施的安全機(jī)制對(duì)防止導(dǎo)致

單點(diǎn)失效的故障或減少殘余故障的有效性的證據(jù)。

為了這個(gè)目的：

a)應(yīng)具備證據(jù)以證明安全機(jī)制具有實(shí)現(xiàn)和保持安全狀態(tài)的能力（特別是在容錯(cuò)時(shí)間間隔和最大故

障處理時(shí)間間隔內(nèi)適當(dāng)?shù)氖p輕能力）；及

b)應(yīng)評(píng)估由安全機(jī)制實(shí)現(xiàn)的殘余故障的診斷覆蓋率。

注1：一個(gè)可能在任何時(shí)間（例如不僅在上電時(shí)）發(fā)生的故障，如果故障探測(cè)時(shí)間間隔加上相應(yīng)安全機(jī)制的故障響

應(yīng)時(shí)間，大于相應(yīng)的容錯(cuò)時(shí)間間隔或指定的最大故障處理時(shí)間間隔，則不能認(rèn)為此故障被有效覆蓋。

注2：如果能證明某一特定故障模式可能僅發(fā)生上電時(shí)，并且在車輛行駛期間發(fā)生的概率是可以忽略的，那么對(duì)這

些故障僅在上電后執(zhí)行啟動(dòng)測(cè)試是可以接受的。

注3：能用例如FMEA或FTA分析來構(gòu)建理由。

注4：根據(jù)對(duì)硬件要素失效模式和它們對(duì)更高層面的影響的認(rèn)知，這種評(píng)估可能是硬件要素的整體診斷覆蓋率，或

更詳細(xì)的失效模式的覆蓋率評(píng)估。

注5：附錄D可以作為起始點(diǎn)，為已制定的安全機(jī)制確定診斷覆蓋率。所聲明的診斷覆蓋率需要合適的理由支持（參

見GB/T34590.10-XXXX殘余失效率評(píng)估條款和GB/T34590.11-XXXX附錄A中的示例）。

注6：本要求適用于硬件、軟件或兩者結(jié)合實(shí)現(xiàn)的安全機(jī)制。

本要求適用于等級(jí)為ASIL（A）、(B)、C和D的安全目標(biāo)。應(yīng)具備實(shí)施的安全機(jī)制對(duì)防止?jié)摲?/p>

故障的有效性的證據(jù)。

為了這個(gè)目的：

a)應(yīng)具備證據(jù)以證明安全機(jī)制在可接受的多點(diǎn)故障探測(cè)時(shí)間間隔內(nèi)完成潛伏故障的失效探測(cè)和

實(shí)現(xiàn)或保持安全狀態(tài)及警示駕駛員的能力，以確定哪些故障保持潛伏，哪些故障可被探測(cè)到；

及

b)應(yīng)評(píng)估由安全機(jī)制實(shí)現(xiàn)的潛伏故障的診斷覆蓋率。

8

GB/T34590.5—XXXX

注1：如果一個(gè)相應(yīng)安全機(jī)制的故障處理時(shí)間間隔大于相應(yīng)的潛伏故障的多點(diǎn)故障探測(cè)時(shí)間間隔，則不能認(rèn)為此故

障被有效覆蓋。

注2：能用例如FMEA或FTA分析來構(gòu)建理由。

注3：根據(jù)對(duì)硬件要素失效模式和它們對(duì)更高層面的影響的認(rèn)知，這種評(píng)估可能是硬件要素的全局診斷覆蓋率，或

更詳細(xì)的失效模式的覆蓋率評(píng)估。

注4：附錄D可以作為起始點(diǎn)，為已制定的安全機(jī)制確定診斷覆蓋率。所聲明的診斷覆蓋率需要合適的理由支持（參

見GB/T34590.10-XXXX殘余失效率評(píng)估條款和GB/T34590.11-XXXX附錄A中的示例）。

注5：本要求適用于硬件、軟件或兩者結(jié)合實(shí)現(xiàn)的安全機(jī)制。

如果適用，應(yīng)按照GB/T34590.9-XXXX第7章進(jìn)行相關(guān)失效分析，提供證據(jù)證明設(shè)計(jì)中的硬件

要素與它們的獨(dú)立性要求相符合。

注1：參見GB/T34590.9-XXXX，附錄C。

注2：參見GB/T34590.11-XXXX，4.7。

如果硬件設(shè)計(jì)引入了新危害，且這個(gè)危害沒有被現(xiàn)有的HARA報(bào)告覆蓋，則應(yīng)按照

GB/T34590.8-XXXX，第8章中的變更管理流程對(duì)它們進(jìn)行引入和評(píng)估。

注：新識(shí)別出的、沒有被現(xiàn)有安全目標(biāo)覆蓋的危害，通常是非功能性的危害。非功能性的危害在GB/T34590范圍之

外，但在危害分析和風(fēng)險(xiǎn)評(píng)估中能對(duì)它們添加如下注釋，“由于不在GB/T34590的范圍內(nèi)，所以沒有對(duì)該危害

指定ASIL等級(jí)”。然而，也能指定一個(gè)ASIL等級(jí)作參考。

7.4.4硬件設(shè)計(jì)的驗(yàn)證

應(yīng)按照GB/T34590.8-XXXX第9章來驗(yàn)證硬件設(shè)計(jì)，并按照表3中列出的硬件設(shè)計(jì)驗(yàn)證方法提

供證據(jù)證明：

a)滿足硬件安全要求；

b)與軟硬件接口規(guī)范兼容；及

c)用來在生產(chǎn)和服務(wù)過程中實(shí)現(xiàn)功能安全的安全相關(guān)特殊特性的適用性。

表3硬件設(shè)計(jì)驗(yàn)證

ASIL等級(jí)

方法

ABCD

a

1a硬件設(shè)計(jì)走查++++oo

a

1b硬件設(shè)計(jì)檢查++++++

2安全分析依照7.4.3

b

3a仿真o+++

b

3b通過硬件原型的開發(fā)o+++

注：該驗(yàn)證評(píng)審的范圍是與硬件安全要求相關(guān)的技術(shù)正確性和完整性。

a方法1a和1b檢查硬件設(shè)計(jì)中硬件安全要求是否得到完整和正確的執(zhí)行。

b當(dāng)認(rèn)為分析方法1和2不充分時(shí)，利用方法3a和3b檢查硬件設(shè)計(jì)的特定點(diǎn)（例如GB/T34590.11-XXXX4.8

中所述的故障注入）。

9

GB/T34590.5—XXXX

在硬件設(shè)計(jì)過程中，如果發(fā)現(xiàn)任何硬件安全要求的實(shí)施是不可行的，應(yīng)按照GB/T34590.8-XXXX

第8章中的變更管理流程提出變更請(qǐng)求。

應(yīng)根據(jù)硬件安全要求和硬件設(shè)計(jì)規(guī)范驗(yàn)證用于開發(fā)集成到硬件中的SEooC（獨(dú)立于環(huán)境的安全

要素）的假設(shè)的有效性。

7.4.5生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢

如果安全分析表明安全相關(guān)的特殊特性與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢相關(guān)，則應(yīng)定義這些安全相

關(guān)的特殊特性。安全相關(guān)的特殊特性的定義應(yīng)包括：

a)生產(chǎn)和運(yùn)行的驗(yàn)證措施；及

b)這些措施的接受準(zhǔn)則。

示例：對(duì)一種依賴于新的傳感器技術(shù)的硬件設(shè)計(jì)的安全分析（例如，影像或雷達(dá)傳感器），能揭示出這些傳感器

與特殊安裝流程的關(guān)系。這種情況下，在生產(chǎn)階段對(duì)這些組件的額外驗(yàn)證措施可能是必要的。

如果安全相關(guān)硬件要素的錯(cuò)誤組裝、拆卸和報(bào)廢可能對(duì)實(shí)現(xiàn)或維護(hù)功能安全產(chǎn)生不利影響，則

應(yīng)該將避免錯(cuò)誤執(zhí)行所需的信息告知按照GB/T34590.2-XXXX第7章委任的負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報(bào)

廢的人員。

按照GB/T34590.7-XXXX和，安全相關(guān)硬件要素應(yīng)可追溯，目的是：

a)按照GB/T34590.2-XXXX和GB/T34590.7-XXXX，進(jìn)行有效的現(xiàn)場(chǎng)監(jiān)測(cè)；及

b)啟用召回或更換管理。

注：這可能包括適當(dāng)?shù)臉?biāo)簽或其他的硬件要素識(shí)別方法，來表示它們是與安全相關(guān)的。

如果錯(cuò)誤的服務(wù)可能對(duì)實(shí)現(xiàn)或維護(hù)功能安全產(chǎn)生不利影響，則應(yīng)該將避免此類影響執(zhí)行所需的

信息告知按照GB/T34590.2-XXXX第7章委任的負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的人員。

硬件設(shè)計(jì)過程中產(chǎn)生的硬件要素的生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢要求，應(yīng)告知按照GB/T

34590.2-XXXX第7章委任的負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的人員。

7.5工作成果

7.5.1硬件設(shè)計(jì)規(guī)范，由7.4.1和7.4.2的要求得出。

7.5.2硬件安全分析報(bào)告，由7.4.3的要求得出。

7.5.3硬件設(shè)計(jì)驗(yàn)證報(bào)告，由7.4.4的要求得出。

7.5.4與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢相關(guān)的需求規(guī)范，由7.4.5的要求得出。

8硬件架構(gòu)度量的評(píng)估

8.1目的

本章的目的是提供基于硬件架構(gòu)度量的證據(jù)，來證明相關(guān)項(xiàng)硬件架構(gòu)設(shè)計(jì)在安全相關(guān)的隨機(jī)硬件失

效探測(cè)和控制方面的適用性。

8.2總則

本章描述了兩種硬件架構(gòu)的度量，用于評(píng)估相關(guān)項(xiàng)架構(gòu)應(yīng)對(duì)隨機(jī)硬件失效的有效性。

這些度量和關(guān)聯(lián)的目標(biāo)值在相關(guān)項(xiàng)層面對(duì)相關(guān)項(xiàng)的硬件要素進(jìn)行評(píng)估，并與第9章描述的對(duì)隨機(jī)硬

件失效導(dǎo)致違背安全目標(biāo)的評(píng)估互為補(bǔ)充。

這些度量所針對(duì)的隨機(jī)硬件失效僅限于相關(guān)項(xiàng)中某些安全相關(guān)電子和電氣硬件元器件，即那些能對(duì)

安全目標(biāo)的違背或?qū)崿F(xiàn)有顯著影響的元器件，并限于這些元器件的單點(diǎn)故障、殘余故障和潛伏故障。對(duì)

于機(jī)電硬件元器件，則僅考慮電氣失效模式和失效率。

注1：計(jì)算中能忽略階次高于2的多點(diǎn)故障硬件要素，除非它們與技術(shù)安全概念相關(guān)。

硬件架構(gòu)度量能在硬件架構(gòu)設(shè)計(jì)和硬件詳細(xì)設(shè)計(jì)過程中迭代使用。

10

GB/T34590.5—XXXX

硬件架構(gòu)度量取決于相關(guān)項(xiàng)的整體硬件。對(duì)相關(guān)項(xiàng)涉及的每個(gè)安全目標(biāo)，都應(yīng)符合規(guī)定的硬件架構(gòu)

度量的目標(biāo)值。

定義這些硬件架構(gòu)度量以實(shí)現(xiàn)下列目標(biāo)：

——客觀上可評(píng)估：度量是用來區(qū)分不同的架構(gòu)的一種可理解的手段；

——支持最終設(shè)計(jì)的評(píng)估（即基于選取的詳細(xì)的硬件設(shè)計(jì)完成計(jì)算）；

——為評(píng)估硬件架構(gòu)的充分性而提供基于ASIL等級(jí)的合格/不合格準(zhǔn)則；

——顯示用于防止硬件架構(gòu)中單點(diǎn)或殘余故障風(fēng)險(xiǎn)的安全機(jī)制的覆蓋率是否足夠（單點(diǎn)故障度量）；

——顯示用于防止硬件架構(gòu)中潛伏故障風(fēng)險(xiǎn)的安全機(jī)制的覆蓋率是否足夠（潛伏故障度量）；

——處理單點(diǎn)故障、殘余故障和潛伏故障；

——考慮到硬件失效率的不確定性，確保硬件架構(gòu)的魯棒性；

——僅限于安全相關(guān)要素；及

——支持不同要素層面的應(yīng)用，例如，能為供應(yīng)商的硬件要素分配目標(biāo)值。

示例：為方便分布式開發(fā)，能為集成電路或者ECU分配導(dǎo)出的目標(biāo)值。

注2：具有安全相關(guān)可用性要求的相關(guān)項(xiàng)（即，失去某一功能可能導(dǎo)致危害事件）與不具有安全相關(guān)可用性要求的

相關(guān)項(xiàng)一樣，受相同硬件架構(gòu)度量的要求和目標(biāo)的約束。

8.3本章的輸入

8.3.1前提條件

應(yīng)具備下列信息：

——硬件安全需求規(guī)范，按照6.5.1；

——硬件設(shè)計(jì)規(guī)范，按照7.5.1；及

——硬件安全分析報(bào)告，按照7.5.2。

8.3.2支持信息

可能考慮下列信息：

——技術(shù)安全概念（參見GB/T34590.4-XXXX，6.5.2）；及

——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范（參見GB/T34590.4-XXXX，6.5.3)。

8.4要求和建議

8.4.1本要求適用于等級(jí)為ASIL(B)、C和D的安全目標(biāo)。應(yīng)將按照附錄C的診斷覆蓋率、單點(diǎn)故障度

量和潛伏故障度量的概念用于8.4.2～8.4.9的要求。

8.4.2本要求適用于等級(jí)為ASIL(B)、C和D的安全目標(biāo)。應(yīng)結(jié)合殘余故障和相關(guān)的潛伏故障來預(yù)估安

全機(jī)制所實(shí)現(xiàn)的安全相關(guān)硬件要素的診斷覆蓋率。

注1：附錄D可以作為起始點(diǎn)，為已制定的安全機(jī)制確定診斷覆蓋率。所聲明的診斷覆蓋率需要合適的理由支持（參

見GB/T34590.10-XXXX殘余失效率評(píng)估條款和GB/T34590.11-XXXX附錄A中的示例）。

注2：根據(jù)對(duì)硬件要素失效模式和它們對(duì)更高層面影響的認(rèn)知，這種評(píng)估可能是一個(gè)硬件要素的診斷覆蓋率評(píng)估，

或更詳細(xì)的失效模式的覆蓋率評(píng)估。

8.4.3本要求適用于等級(jí)為ASIL(B)、C和D的安全目標(biāo)。分析中用到的硬件元器件預(yù)估失效率的確定，

應(yīng)使用以下方法：

a)使用業(yè)界公認(rèn)的硬件元器件失效率數(shù)據(jù)；或

示例1：用于確定硬件元器件失效率和失效模式分布的業(yè)界公認(rèn)的來源包括SN29500,IEC61709,MILHDBK217F

notice2,RIACHDBK217Plus,UTEC80-811,NPRD-2016,EN50129:2003,AnnexC,RIACFMD-2016,MILHDBK338,

和FIDES2009EdA。例如，能使用由“AlessandroBirolini-可靠性工程”定義的失效模式分布。

11

GB/T34590.5—XXXX

注1：這些數(shù)據(jù)庫(kù)給出的失效率數(shù)據(jù)一般都比較保守。

注2：在應(yīng)用選定的業(yè)界數(shù)據(jù)源時(shí)，為避免人為降低所計(jì)算出的基礎(chǔ)失效率，應(yīng)考慮以下因素:

——任務(wù)剖面;

——失效模式相對(duì)于運(yùn)行條件的適用性;及

——失效率單位(每工作小時(shí)或每日歷小時(shí))。

b)使用現(xiàn)場(chǎng)反饋的統(tǒng)計(jì)數(shù)據(jù)。這種情況下，預(yù)估的失效率宜有至少70%的可比置信度；或

注3：如果SPFM和LFM評(píng)估中使用的不同硬件元器件的故障率的置信度顯著不同，則度量指標(biāo)將是有偏差的。

注4：在將這些從現(xiàn)場(chǎng)反饋的基于統(tǒng)計(jì)的數(shù)據(jù)與不同置信度的其他數(shù)據(jù)源的值一起使用之前，可能仍然需要衡量這

些數(shù)據(jù)。也可見注釋7。

注5：基于現(xiàn)場(chǎng)反饋的失效率能按照GB/T34590.8-XXXX第14章(在用證明)的描述進(jìn)行計(jì)算。

c)使用工程方法形成的專家判斷，該工程方法基于定量和定性的論證。應(yīng)按照結(jié)構(gòu)化準(zhǔn)則進(jìn)行專