《道路車(chē)輛 功能安全 第6部分：產(chǎn)品開(kāi)發(fā)：軟件層面》征求意見(jiàn)稿

ICS43.040

CCST35

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T34590.6-XXXX

代替GB/T34590.6-2017

道路車(chē)輛功能安全

第6部分：產(chǎn)品開(kāi)發(fā)：軟件層面

Roadvehicles—Functionalsafety—

Part6:Productdevelopmentatthesoftwarelevel

（ISO26262-6:2018，MOD)

（征求意見(jiàn)稿）

（本草案完成時(shí)間：2021年4月1日）

GB/T34590.6—XXXX

前??言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)

則》的規(guī)定起草。

GB/T34590-XXXX《道路車(chē)輛功能安全》分為以下部分：

——第1部分：術(shù)語(yǔ)；

——第2部分：功能安全管理；

——第3部分：概念階段；

——第4部分：產(chǎn)品開(kāi)發(fā)：系統(tǒng)層面；

——第5部分：產(chǎn)品開(kāi)發(fā)：硬件層面；

——第6部分：產(chǎn)品開(kāi)發(fā)：軟件層面；

——第7部分：生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢；

——第8部分：支持過(guò)程；

——第9部分：以汽車(chē)安全完整性等級(jí)為導(dǎo)向和以安全為導(dǎo)向的分析；

——第10部分：指南；

——第11部分：半導(dǎo)體應(yīng)用指南；

——第12部分：摩托車(chē)的適用性。

本文件為GB/T34590-XXXX的第6部分。

本文件代替GB/T34590.6-2017《道路車(chē)輛功能安全第6部分：產(chǎn)品開(kāi)發(fā)：軟件層面》,

與GB/T34590.6-2017相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如下：

——修改了標(biāo)準(zhǔn)適用范圍，由“量產(chǎn)乘用車(chē)”擴(kuò)大到“除輕便摩托車(chē)外的量產(chǎn)道路車(chē)

輛”；

——新增了對(duì)商用車(chē)輛的相關(guān)要求和示例、對(duì)摩托車(chē)的適應(yīng)性要求等；

——新增了基于模型的開(kāi)發(fā)方法下開(kāi)展軟件安全要求定義，軟件架構(gòu)設(shè)計(jì)，軟件單元

設(shè)計(jì)和實(shí)現(xiàn)，軟件架構(gòu)設(shè)計(jì)的開(kāi)發(fā)，軟件單元的設(shè)計(jì)和實(shí)現(xiàn)，軟件組件的設(shè)計(jì)、實(shí)現(xiàn)和集

成，軟件驗(yàn)證安全活動(dòng)的指導(dǎo)；

——新增了軟件架構(gòu)層級(jí)安全分析及相關(guān)失效分析的應(yīng)用指導(dǎo)（見(jiàn)附錄E）；

——新增了軟件開(kāi)發(fā)環(huán)境文檔的要求（見(jiàn)5.5.1）；

——新增了嵌入式軟件測(cè)試用例的得出方法的要求（見(jiàn)11.4.3）；

——?jiǎng)h除了啟動(dòng)軟件層面產(chǎn)品開(kāi)發(fā)的要求（見(jiàn)2017版第5章）；

——?jiǎng)h除了軟件架構(gòu)層面的錯(cuò)誤探測(cè)機(jī)制（見(jiàn)2017版的7.4.14表4）；

——?jiǎng)h除了軟件架構(gòu)層面的錯(cuò)誤處理機(jī)制（見(jiàn)2017版的7.4.15表5）；

本文件使用重新起草法修改采用了ISO26262-6：2018《道路車(chē)輛功能安全第6部分：

產(chǎn)品開(kāi)發(fā)：系統(tǒng)層面》。

本文件與ISO26262-6：2018的技術(shù)性差異及其原因如下：

——關(guān)于規(guī)范性引用文件，本文件做了具有技術(shù)性差異的調(diào)整，以適應(yīng)我國(guó)的技術(shù)條

件，調(diào)整的情況集中反映在第2章“規(guī)范性引用文件”中，具體調(diào)整如下：

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.1-XXXX代替ISO26262-1：2018；

III

GB/T34590.6—XXXX

總則..........................................................................16

本章的輸入....................................................................17

要求和建議....................................................................17

工作成果......................................................................20

10軟件集成和驗(yàn)證...................................................................20

目的.........................................................................20

總則.........................................................................20

本章的輸入...................................................................20

要求和建議...................................................................21

工作成果.....................................................................23

11嵌入式軟件測(cè)試...................................................................23

目的.........................................................................24

總則.........................................................................24

本章的輸入...................................................................24

要求和建議...................................................................24

工作成果.....................................................................25

附錄A（資料性）產(chǎn)品開(kāi)發(fā)軟件層面管理的概覽和工作流程................................26

附錄B（資料性）基于模型的開(kāi)發(fā)方法..................................................29

附錄C（規(guī)范性）軟件配置............................................................33

附錄D（資料性）避免軟件要素間的干擾................................................37

附錄E（資料性）軟件架構(gòu)層級(jí)安全分析及相關(guān)失效分析的應(yīng)用............................39

參考文獻(xiàn).............................................................................48

II

GB/T34590.6—XXXX

引??言

ISO26262是以IEC61508為基礎(chǔ)，為滿足道路車(chē)輛上電氣/電子系統(tǒng)的特定需求而編寫(xiě)。

GB/T34590修改采用ISO26262，適用于道路車(chē)輛上由電子、電氣和軟件組件組成的安

全相關(guān)系統(tǒng)在安全生命周期內(nèi)的所有活動(dòng)。

安全是道路車(chē)輛開(kāi)發(fā)的關(guān)鍵問(wèn)題之一。汽車(chē)功能的開(kāi)發(fā)和集成強(qiáng)化了對(duì)功能安全的需

求，以及對(duì)提供證據(jù)證明滿足功能安全目標(biāo)的需求。

隨著技術(shù)日益復(fù)雜、軟件和機(jī)電一體化應(yīng)用不斷增加，來(lái)自系統(tǒng)性失效和隨機(jī)硬件失

效的風(fēng)險(xiǎn)逐漸增加，這些都在功能安全的考慮范疇之內(nèi)。GB/T34590通過(guò)提供適當(dāng)?shù)囊?/p>

和流程來(lái)降低風(fēng)險(xiǎn)。

為了實(shí)現(xiàn)功能安全，GB/T34590-XXXX（所有部分）：

a)提供了一個(gè)汽車(chē)安全生命周期（開(kāi)發(fā)、生產(chǎn)、運(yùn)行、服務(wù)、報(bào)廢）的參考，并支

持在這些生命周期階段內(nèi)對(duì)執(zhí)行的活動(dòng)進(jìn)行剪裁；

b)提供了一種汽車(chē)特定的基于風(fēng)險(xiǎn)的分析方法，以確定汽車(chē)安全完整性等級(jí)（ASIL）；

c)使用ASIL等級(jí)來(lái)定義GB/T34590中適用的要求，以避免不合理的殘余風(fēng)險(xiǎn)；

d)提出了對(duì)于功能安全管理、設(shè)計(jì)、實(shí)現(xiàn)、驗(yàn)證、確認(rèn)和認(rèn)可措施的要求；及

e)提出了客戶(hù)與供應(yīng)商之間關(guān)系的要求。

GB/T34590針對(duì)的是電氣/電子系統(tǒng)的功能安全,通過(guò)安全措施(包括安全機(jī)制)來(lái)實(shí)現(xiàn)。

它也提供了一個(gè)框架，在該框架內(nèi)可考慮基于其它技術(shù)（例如，機(jī)械、液壓、氣壓）的安

全相關(guān)系統(tǒng)。

功能安全的實(shí)現(xiàn)受開(kāi)發(fā)過(guò)程（例如，包括需求規(guī)范、設(shè)計(jì)、實(shí)現(xiàn)、集成、驗(yàn)證、確認(rèn)

和配置）、生產(chǎn)過(guò)程、服務(wù)過(guò)程和管理過(guò)程的影響。

安全問(wèn)題與常規(guī)的以功能為導(dǎo)向和以質(zhì)量為導(dǎo)向的活動(dòng)及工作成果相互關(guān)聯(lián)。GB/T

34590涉及與安全相關(guān)的開(kāi)發(fā)活動(dòng)和工作成果。

圖1為GB/T34590的整體架構(gòu)。GB/T34590基于V模型為產(chǎn)品開(kāi)發(fā)的不同階段提供參考

過(guò)程模型：

陰影”V”表示GB/T34590.3-XXXX、GB/T34590.4-XXXX、GB/T34590.5-XXXX、

————

GB/T34590.6-XXXX、GB/T34590.7-XXXX之間的相互關(guān)系；

對(duì)于摩托車(chē)：

————

GB/T34590.12-XXXX的第8章支持GB/T34590.3-XXXX；

GB/T34590.12-XXXX的第9章和第10章支持GB/T34590.4-XXXX。

以m-n方式表示的具體章條中，m代表特定部分的編號(hào)，n代表該部分章的編

————“”“”“”

號(hào)。

示例：“2-6”代表GB/T34590.2-XXXX的第6章。

V

GB/T34590.6—XXXX

圖1GB/T34590-XXXX概覽

VI

GB/T34590.6—XXXX

道路車(chē)輛功能安全

第6部分：產(chǎn)品開(kāi)發(fā)：軟件層面

1范圍

GB/T34590的本部分規(guī)定了車(chē)輛在軟件層面產(chǎn)品開(kāi)發(fā)的要求，包括：

——軟件層面產(chǎn)品開(kāi)發(fā)的概述；

——軟件安全要求的定義；

——軟件架構(gòu)設(shè)計(jì)；

——軟件單元設(shè)計(jì)和實(shí)現(xiàn)；

——軟件單元驗(yàn)證；

——軟件集成和驗(yàn)證；及

——嵌入式軟件測(cè)試。

本文件規(guī)定了使用可配置軟件的相關(guān)要求。

本文件適用于安裝在除輕便摩托車(chē)外的量產(chǎn)道路車(chē)輛上的包含一個(gè)或多個(gè)電氣/電子系

統(tǒng)的與安全相關(guān)的系統(tǒng)。

本文件不適用于特殊用途車(chē)輛上特定的電氣/電子系統(tǒng)，例如，為殘疾駕駛者設(shè)計(jì)的車(chē)

輛。

注：其他專(zhuān)用的安全標(biāo)準(zhǔn)可作為本文件的補(bǔ)充，反之亦然。

已經(jīng)完成生產(chǎn)發(fā)布的系統(tǒng)及其組件或在本文件發(fā)布日期前正在開(kāi)發(fā)的系統(tǒng)及其組件不

適用于本文件。對(duì)于在本文件發(fā)布前完成生產(chǎn)發(fā)布的系統(tǒng)及其組件進(jìn)行變更時(shí)，本文件基于

這些變更對(duì)安全生命周期的活動(dòng)進(jìn)行裁剪。未按照本文件開(kāi)發(fā)的系統(tǒng)與按照本文件開(kāi)發(fā)的系

統(tǒng)進(jìn)行集成時(shí)，需要按照本文件進(jìn)行安全生命周期的裁剪。

本文件針對(duì)由安全相關(guān)的電氣/電子系統(tǒng)的功能異常表現(xiàn)而引起的可能的危害，包括這

些系統(tǒng)相互作用而引起的可能的危害。本文件不針對(duì)與觸電、火災(zāi)、煙霧、熱、輻射、毒性、

易燃性、反應(yīng)性、腐蝕性、能量釋放等相關(guān)的危害和類(lèi)似的危害，除非危害是直接由安全相

關(guān)的電氣/電子系統(tǒng)的功能異常表現(xiàn)表現(xiàn)而引起的。

本文件提出了安全相關(guān)的電氣/電子系統(tǒng)進(jìn)行功能安全開(kāi)發(fā)的框架，該框架旨在將功能

安全活動(dòng)整合到企業(yè)特定的開(kāi)發(fā)框架中。本文件規(guī)定了為實(shí)現(xiàn)產(chǎn)品功能安全的技術(shù)開(kāi)發(fā)要

求，也規(guī)定了組織應(yīng)具備相應(yīng)功能安全能力的開(kāi)發(fā)流程要求。

本文件不針對(duì)電氣/電子系統(tǒng)的標(biāo)稱(chēng)性能。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本

適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T34590.1-XXXX，道路車(chē)輛功能安全第1部分：術(shù)語(yǔ)(ISO26262-1:2018，MOD)

GB/T34590.2-XXXX，道路車(chē)輛功能安全第2部分：功能安全管理(ISO26262-2:2018，

MOD)

GB/T34590.3-XXXX，道路車(chē)輛功能安全第3部分：概念階段(ISO26262-3:2018,MOD)

GB/T34590.4-XXXX，道路車(chē)輛功能安全第4部分：產(chǎn)品開(kāi)發(fā)：系統(tǒng)層面(ISO

26262-4:2018，MOD)

1

GB/T34590.6—XXXX

GB/T34590.5-XXXX，道路車(chē)輛功能安全第5部分：產(chǎn)品開(kāi)發(fā)：硬件層面(ISO

26262-5:2018，MOD)

GB/T34590.7-XXXX，道路車(chē)輛功能安全第7部分：生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢(ISO

26262-7:2018,MOD)

GB/T34590.8-XXXX，道路車(chē)輛功能安全第8部分：支持過(guò)程(ISO26262-8:2018，MOD)

GB/T34590.9-XXXX，道路車(chē)輛功能安全第9部分：以汽車(chē)安全完整性等級(jí)為導(dǎo)向和以

安全為導(dǎo)向的分析(ISO26262-9:2018，MOD)

3術(shù)語(yǔ)、定義和縮略語(yǔ)

GB/T34590.1-XXXX界定的術(shù)語(yǔ)、定義和縮略語(yǔ)適用于本文件。

4要求

4.1目的

本章規(guī)定了：

a)如何符合GB/T34590-XXXX；

b)如何解釋GB/T34590-XXXX中所使用的表格；及

c)如何解釋各章條基于不同的ASIL等級(jí)的適用性。

4.2一般要求

如聲明滿足GB/T34590-XXXX的要求時(shí)，應(yīng)滿足每一個(gè)要求，除非有下列情況之一：

a)按照GB/TXXXXX.2-XXXX的要求，安全活動(dòng)的剪裁已經(jīng)實(shí)施并表明這些要求不適用；

或

b)不滿足要求的理由存在且是可接受的，并且按照GB/TXXXXX.2-XXXX的要求對(duì)該理

由進(jìn)行了評(píng)估。

標(biāo)有“注”或“示例”的信息僅用于輔助理解或闡明相關(guān)要求，不應(yīng)作為要求本身且不

具備完備性。

將安全活動(dòng)的結(jié)果作為工作成果。應(yīng)具備上一階段工作成果作為“前提條件”的信息。

如果章條的某些要求是依照ASIL定義的或可剪裁的，某些工作成果可不作為前提條件。

“支持信息”是可供參考的信息，但在某些情況下，GB/T34590-XXXX不要求其作為上

一階段的工作成果，并且可以是由不同于負(fù)責(zé)功能安全活動(dòng)的人員或組織等外部資源提供的

信息。

4.3表的詮釋

本文件中的表是規(guī)范性或資料性取決于上下文。在滿足相關(guān)要求時(shí)，表中列出的不同方

法有助于置信度水平。表中的每個(gè)方法是：

a)一個(gè)連續(xù)的條目（在最左側(cè)列以順序號(hào)標(biāo)明，如1、2、3）；或

b)一個(gè)選擇的條目（在最左側(cè)列以數(shù)字后加字母標(biāo)明，如2a、2b、2c）。

對(duì)于連續(xù)的條目，高度推薦和推薦的方法按照ASIL等級(jí)推薦予以使用。高度推薦或推薦

的方法允許用未列入表中的其它方法替代,此種情況下，應(yīng)給出滿足相關(guān)要求的理由。如果

可以給出不選擇所有條目也能符合相應(yīng)要求的理由，則不需要對(duì)缺省方法做進(jìn)一步解釋。

對(duì)于選擇性的條目，應(yīng)按照指定的ASIL等級(jí)對(duì)這些方法進(jìn)行適當(dāng)?shù)慕M合，而與這些方法

在表中是否列出無(wú)關(guān)。如果所列出的方法對(duì)于一個(gè)ASIL等級(jí)來(lái)說(shuō)具有不同的推薦等級(jí)，宜采

用具有較高推薦等級(jí)的方法。應(yīng)給出選擇組合方法或選擇單一方法滿足相應(yīng)要求的理由。

2

GB/T34590.6—XXXX

注：在表中所列出方法的理由是充分的。但是，這并不意味著有傾向性或?qū)ξ戳械奖碇械姆椒ū硎痉?/p>

對(duì)。

對(duì)于每種方法，應(yīng)用相關(guān)方法的推薦等級(jí)取決于ASIL等級(jí)，分類(lèi)如下：

——“++每表示對(duì)于指定的ASIL等級(jí)，高度推薦該方法；

——“+—對(duì)表示對(duì)于指定的ASIL等級(jí)，推薦該方法；

——“o—對(duì)表示對(duì)于指定的ASIL等級(jí)，不推薦也不反對(duì)該方法。

4.4基于ASIL等級(jí)的要求和建議

若無(wú)其它說(shuō)明，對(duì)于ASILA、B、C和D等級(jí)，應(yīng)滿足每一章條的要求或建議。這些要

求和建議參照安全目標(biāo)的ASIL等級(jí)。如果在項(xiàng)目開(kāi)發(fā)的早期對(duì)ASIL等級(jí)完成了分解，按照

GB/TXXXXX-9第5章的要求，應(yīng)遵循分解后的ASIL等級(jí)。

如果GB/T34590-XXXX中ASIL等級(jí)在括號(hào)中給出，則對(duì)于該ASIL等級(jí)，相應(yīng)的章條應(yīng)被

認(rèn)為是推薦而非要求。這里的括號(hào)與ASIL等級(jí)分解無(wú)關(guān)。

4.5摩托車(chē)的適用性

對(duì)于適用于GB/TXXXXX.12要求的摩托車(chē)的相關(guān)項(xiàng)或要素，GB/TXXXXX.12的要求替代本

文件和GB/TXXXXX.2的相應(yīng)要求。

4.6卡車(chē)、客車(chē)、掛車(chē)和半掛車(chē)的適用性

對(duì)卡車(chē)、客車(chē)、掛車(chē)和半掛車(chē)的特殊規(guī)定以（T&B）來(lái)表示。

5軟件層面產(chǎn)品開(kāi)發(fā)概述

5.1目的

本章的目的是：

a)確保合適且一致的軟件開(kāi)發(fā)流程；及

b)確保合適的軟件開(kāi)發(fā)環(huán)境。

5.2總則

圖2給出了軟件開(kāi)發(fā)階段的參考模型。附錄C中提供了可配置軟件處理的詳細(xì)信息。

3

GB/T34590.6—XXXX

注：圖中GB/T34590每部分的特定章用以下方式標(biāo)示：“m-n”，“m”代表部分號(hào)，“n”代表章

號(hào)，例如，“4-7”代表GB/T34590.4-XXXX的第7章。

圖2軟件層面產(chǎn)品開(kāi)發(fā)階段參考模型

注1：敏捷軟件開(kāi)發(fā)的方式和方法也可以適用于安全相關(guān)軟件的開(kāi)發(fā)，但是如果安全活動(dòng)按照該方式

剪裁，應(yīng)該考慮GB/T34590.2-XXXX，6.4.5。然而，敏捷方式和方法的使用不能省略安全措施

或忽略實(shí)現(xiàn)功能安全所必需的基本文檔、流程或嚴(yán)格的產(chǎn)品安全完整性要求。

示例1：由測(cè)試驅(qū)動(dòng)的開(kāi)發(fā)可用于提高要求的質(zhì)量和可測(cè)試性。

示例2：基于自動(dòng)化構(gòu)建系統(tǒng)的持續(xù)集成可以支持各個(gè)子階段的一致性并促進(jìn)回歸測(cè)試。這種構(gòu)建系

統(tǒng)通常執(zhí)行代碼生成、編譯和鏈接、靜態(tài)代碼分析、文檔生成、測(cè)試和打包。根據(jù)工具鏈和

工具配置，該系統(tǒng)允許重復(fù)生成以及在變更后生成可比較的軟件、文檔和測(cè)試結(jié)果。

注2：開(kāi)發(fā)特定相關(guān)項(xiàng)的嵌入式軟件時(shí)，也可以考慮信息安全，見(jiàn)GB/T34590.2-XXXX，。為

了能夠開(kāi)發(fā)軟件，本章中討論了關(guān)于要使用的建模、設(shè)計(jì)和/或編程語(yǔ)言以及指南和工具應(yīng)用的

特定主題。

注3：用于軟件開(kāi)發(fā)的工具，包括軟件工具以外的工具。

示例3：測(cè)試階段使用的工具。

5.3本章的輸入

5.3.1前提條件

無(wú)。

5.3.2支持信息

可考慮下列信息：

——經(jīng)鑒定合格的軟件工具（見(jiàn)GB/T34590.8-XXXX，第11章）；

——用于建模、設(shè)計(jì)和編程語(yǔ)言的設(shè)計(jì)和編碼指南（來(lái)自外部）；

——方法應(yīng)用的指南（來(lái)自外部）；及

4

GB/T34590.6—XXXX

——工具應(yīng)用的指南（來(lái)自外部）。

5.4要求和建議

5.4.1在開(kāi)發(fā)相關(guān)項(xiàng)的軟件時(shí)，使用的軟件開(kāi)發(fā)過(guò)程和軟件開(kāi)發(fā)環(huán)境應(yīng)：

a)適用于開(kāi)發(fā)安全相關(guān)的嵌入式軟件，包括方法、指南、語(yǔ)言和工具；

b)支持軟件開(kāi)發(fā)生命周期中的各跨子階段和各自工作成果的一致性；及

c)與系統(tǒng)和硬件開(kāi)發(fā)階段在所需的交互和信息交換的一致性方面兼容。

注1：相關(guān)項(xiàng)軟件開(kāi)發(fā)的階段、任務(wù)和活動(dòng)的排序，包括迭代步驟，目的是為了確保相應(yīng)的工作成果

與硬件層面的產(chǎn)品開(kāi)發(fā)（本文件GB/T34590.5）和系統(tǒng)層面的產(chǎn)品開(kāi)發(fā)（本文件GB/T34590.4）

保持一致。

注2：軟件工具準(zhǔn)則評(píng)估報(bào)告（本文件GB/T34590.8-XXXX，11.5.1）或軟件工具的鑒定報(bào)告（本文件

GB/T34590.8-XXXX，11.5.2）可以為工具的使用提供輸入。

5.4.2當(dāng)選擇一種設(shè)計(jì)語(yǔ)言、建模語(yǔ)言或編程語(yǔ)言時(shí)，應(yīng)考慮準(zhǔn)則：

a)明確易理解的定義；

示例：語(yǔ)法和語(yǔ)義的明確定義或?qū)﹂_(kāi)發(fā)環(huán)境配置的限制。

b)如果建模用于需求工程和管理，定義和管理安全要求（按照GB/T34590.2-XXXX第

8章）的適用性；

c)支持模塊化、抽象化和封裝化的實(shí)現(xiàn)；及

d)支持結(jié)構(gòu)化構(gòu)造的使用。

注：匯編語(yǔ)言能用于那些不適合使用高級(jí)編程語(yǔ)言的軟件部分，如與硬件接口的底層軟件、中斷處理

程序、或?qū)r(shí)間敏感的算法。然而，使用匯編語(yǔ)言可能需要對(duì)所有軟件開(kāi)發(fā)階段進(jìn)行適當(dāng)?shù)膽?yīng)用

或剪裁（例如，第8章的要求）。

5.4.3考慮到表1中列出的主題，相應(yīng)的指南或者開(kāi)發(fā)環(huán)境應(yīng)涵蓋適合于建模、設(shè)計(jì)或者

編程語(yǔ)言（見(jiàn)5.4.2）的準(zhǔn)則，并且這些準(zhǔn)則并不完全由語(yǔ)言自身決定。

示例1：MISRAC（見(jiàn)參考文獻(xiàn)[3]）是編程C語(yǔ)言的編碼指南，并包括自動(dòng)生成代碼的指南。

示例2：在具有自動(dòng)代碼生成功能的基于模型的開(kāi)發(fā)中，可以在模型層面以及代碼層面中應(yīng)用該準(zhǔn)則。

可以考慮適當(dāng)?shù)慕ｏL(fēng)格指南，包括MISRAAC系列。商業(yè)工具的風(fēng)格指南也可作為可能的

指南。

注：可以為特定的相關(guān)項(xiàng)開(kāi)發(fā)修改現(xiàn)有的編碼指南和建模指南。

表1建模和編碼指南涵蓋的主題

ASIL等級(jí)

通則

ABCD

1a強(qiáng)制低復(fù)雜度a++++++++

1b語(yǔ)言子集的使用b++++++++

1c強(qiáng)制強(qiáng)類(lèi)型c++++++++

1d防御性實(shí)施技術(shù)的使用d++++++

1e使用值得信賴(lài)的設(shè)計(jì)原則e++++++

1f使用無(wú)歧義的圖形表示+++++++

5

GB/T34590.6—XXXX

1g風(fēng)格指南的使用+++++++

1h命名慣例的使用++++++++

1i并發(fā)方面f++++

a可能需要將該通則與本文檔的其他要求進(jìn)行適當(dāng)?shù)恼壑小?/p>

b主題1b的目標(biāo)包括：

——排除模棱兩可的語(yǔ)言構(gòu)造，這些構(gòu)造可能由不同的建模者，程序員，代碼生成器或編譯器以不

同的方式解釋?zhuān)?/p>

——從經(jīng)驗(yàn)中排除容易導(dǎo)致錯(cuò)誤的語(yǔ)言構(gòu)造，例如，條件分配或局部和全局變量的相同命名；

——排除可能導(dǎo)致未處理的運(yùn)行時(shí)錯(cuò)誤的語(yǔ)言構(gòu)造。

c1c的目的是在語(yǔ)言中沒(méi)有固有強(qiáng)類(lèi)型的原則情況下強(qiáng)加這些原則。

d防御性實(shí)施技術(shù)示例：

——除法運(yùn)算之前驗(yàn)證除數(shù)（非零或在特定范圍內(nèi)）；

——檢查由參數(shù)傳遞的標(biāo)識(shí)符，以驗(yàn)證調(diào)用函數(shù)是否為預(yù)期的調(diào)用者；

——在switch-case語(yǔ)句中使用default分支。

e可能需要驗(yàn)證基本假設(shè)，適用范圍和條件的有效性。

f進(jìn)程或任務(wù)的并發(fā)性不僅限于在多核或多處理器運(yùn)行環(huán)境中執(zhí)行軟件。

5.5工作成果

5.5.1軟件開(kāi)發(fā)環(huán)境文檔，由5.4.1～5.4.3和C.4.1～C.4.11的要求得出。

6軟件安全要求的定義

6.1目的

該子階段的目的是：

a)定義或細(xì)化由技術(shù)安全概念和系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范導(dǎo)出的軟件安全要求；

b)定義軟件實(shí)現(xiàn)所需的安全相關(guān)功能和特性；

c)細(xì)化在GB/T34590.4-XXXX第6章最初定義的軟硬件接口要求；及

d)驗(yàn)證軟件安全要求和軟硬件接口要求是否適用于軟件開(kāi)發(fā)，及驗(yàn)證它們與技術(shù)安全

概念和系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范的一致性。

6.2總則

在GB/T34590.4-XXXX，第6章定義的系統(tǒng)架構(gòu)設(shè)計(jì)階段中，技術(shù)安全要求被細(xì)化并分配

給硬件和軟件。軟件安全要求的定義特別考慮硬件約束及其對(duì)軟件的影響。該子階段包括軟

件安全要求的定義，以支持后續(xù)設(shè)計(jì)階段。

6.3本章的輸入

6.3.1前提條件

應(yīng)具備下列信息：

——技術(shù)安全要求規(guī)范，按照GB/T34590.4-XXXX，6.5.1；

——技術(shù)安全概念，按照GB/T34590.4-XXXX，6.5.2；

6

GB/T34590.6—XXXX

——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范，按照GB/T34590.4-XXXX，6.5.3；

——軟硬件接口規(guī)范，按照GB/T34590.4-XXXX，6.5.4；及

——軟件開(kāi)發(fā)環(huán)境文檔，按照5.5.1。

6.3.2支持信息

可考慮下列信息：

——硬件設(shè)計(jì)規(guī)范(見(jiàn)GB/T34590.5-XXXX，7.5.1)；及

——軟件非安全相關(guān)功能和特性的定義（來(lái)自外部）。

6.4要求和建議

6.4.1軟件安全要求得出時(shí)，應(yīng)考慮所需的安全相關(guān)的軟件功能和特性，其失效可能違背

分配給軟件的技術(shù)安全要求。

注1：軟件安全要求或者直接來(lái)源于分配給軟件的技術(shù)安全要求，或者是對(duì)軟件功能和特性的要求（這

些要求如果不滿足可能違背分配給軟件的技術(shù)安全要求）。

示例1：軟件安全相關(guān)功能可以是：

——使標(biāo)稱(chēng)功能可以安全執(zhí)行的功能；

——使系統(tǒng)達(dá)到或維持安全狀態(tài)或降級(jí)狀態(tài)的功能；

——與安全相關(guān)硬件要素故障探測(cè)、指示和減輕相關(guān)的功能；

——與操作系統(tǒng)、基礎(chǔ)軟件或應(yīng)用軟件本身失效探測(cè)、指示和減輕有關(guān)的自檢或監(jiān)控功能；

——在生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢過(guò)程中與車(chē)載測(cè)試和非車(chē)載測(cè)試相關(guān)的功能；

——允許在生產(chǎn)和服務(wù)過(guò)程中對(duì)軟件進(jìn)行修改的功能；或

——與性能或?qū)r(shí)間敏感的操作相關(guān)的功能。

示例2：安全相關(guān)的特殊特性包括對(duì)錯(cuò)誤輸入的魯棒性、不同功能之間的獨(dú)立性或免于干擾、或軟件

的容錯(cuò)能力。

注2：安全導(dǎo)向分析（本文件7.4.10或7.4.11）可用于識(shí)別額外的軟件安全要求或?yàn)槠鋵?shí)現(xiàn)提供證據(jù)。

6.4.2軟件安全要求的定義應(yīng)按照GB/T34590.4-XXXX，6.4.1和6.4.3的技術(shù)安全要求、

技術(shù)安全概念和系統(tǒng)架構(gòu)設(shè)計(jì)得出，并應(yīng)考慮如下內(nèi)容：

a)安全要求的定義和管理，按照GB/T34590.8-XXXX，第6章；

b)已定義的系統(tǒng)和硬件的配置；

示例1：配置參數(shù)可包括增益控制、帶通頻率和時(shí)鐘分頻。

c)軟硬件接口規(guī)范；

d)硬件設(shè)計(jì)規(guī)范的相關(guān)要求；

e)時(shí)間約束；

f)示例2：由系統(tǒng)層面要求的響應(yīng)時(shí)間得出執(zhí)行或反應(yīng)時(shí)間。

g)外部接口；及

示例3：通訊和用戶(hù)接口。

h)對(duì)軟件有影響的車(chē)輛、系統(tǒng)或者硬件的每個(gè)運(yùn)行模式以及運(yùn)行模式之間的轉(zhuǎn)換。

示例4：運(yùn)行模式包括下電或休眠、初始化、正常運(yùn)行、降級(jí)和用于測(cè)試或刷新的其他高級(jí)模式。

6.4.3如果對(duì)軟件安全要求進(jìn)行了ASIL等級(jí)分解，應(yīng)滿足GB/T34590.9-XXXX，第5章的

要求。

7

GB/T34590.6—XXXX

6.4.4在GB/T34590.4-XXXX第6章初步定義的軟硬件接口規(guī)范，應(yīng)細(xì)化到可以通過(guò)軟件

正確控制和使用硬件的程度，并應(yīng)描述硬件和軟件間每個(gè)與安全相關(guān)的依賴(lài)性。

6.4.5如果嵌入式軟件除了執(zhí)行6.4.1定義的安全要求的功能外，還執(zhí)行了其他功能，則

應(yīng)按照所應(yīng)用的質(zhì)量管理體系的要求提供這些功能及其特性的規(guī)范。

6.4.6應(yīng)由負(fù)責(zé)系統(tǒng)開(kāi)發(fā)、硬件開(kāi)發(fā)和軟件開(kāi)發(fā)的人員共同驗(yàn)證細(xì)化后的軟硬件接口規(guī)范。

6.4.7應(yīng)按照GB/T34590.8-XXXX第6章和第9章的要求，對(duì)軟件安全要求和細(xì)化后的軟

硬件接口規(guī)范進(jìn)行驗(yàn)證，以提供證據(jù)證明：

a)軟件開(kāi)發(fā)的適用性；

b)與技術(shù)安全要求的符合性和一致性；

c)與系統(tǒng)設(shè)計(jì)的符合性；及

d)與軟硬件接口的一致性。

6.5工作成果

6.5.1軟件安全需求規(guī)范，由6.4.1～6.4.3和6.4.5的要求得出。

6.5.2軟硬件接口規(guī)范（細(xì)化的），由6.4.4的要求得出。

注：該工作成果參照GB/T34590.5-XXXX，6.5.2相同的工作成果。

6.5.3軟件驗(yàn)證報(bào)告，由6.4.6和6.4.7的要求得出。

7軟件架構(gòu)設(shè)計(jì)

7.1目的

該子階段的目的是：

a)開(kāi)發(fā)滿足軟件安全要求和其他軟件要求的軟件架構(gòu)設(shè)計(jì)；

b)驗(yàn)證軟件架構(gòu)設(shè)計(jì)適合滿足所要求ASIL等級(jí)的軟件安全要求；及

c)支持軟件的實(shí)現(xiàn)與驗(yàn)證。

7.2總則

軟件架構(gòu)設(shè)計(jì)以層次結(jié)構(gòu)的形式表示軟件架構(gòu)要素以及他們的交互方式。描述了靜態(tài)方

面，如軟件組件之間的接口、和動(dòng)態(tài)方面，如進(jìn)程序列和時(shí)序行為。

注：軟件架構(gòu)設(shè)計(jì)并不一定局限于某個(gè)微控制器或ECU。每個(gè)微控制器的軟件架構(gòu)也在此子條中論述。

軟件架構(gòu)設(shè)計(jì)既能滿足軟件安全要求，又能滿足其他軟件要求。因此，在該子階段中，

與安全相關(guān)和非安全相關(guān)的軟件要求在同一個(gè)開(kāi)發(fā)過(guò)程中處理。

軟件架構(gòu)設(shè)計(jì)提供了實(shí)現(xiàn)軟件要求和ASIL等級(jí)所需的軟件安全要求的方法，也提供了

管理軟件詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)復(fù)雜度的方法。

7.3本章輸入

7.3.1前提條件

應(yīng)具備下列信息：

——軟件開(kāi)發(fā)環(huán)境文檔，按照5.5.1；

——軟硬件接口規(guī)范(細(xì)化的)，按照6.5.2；及

——軟件安全需求規(guī)范，按照6.5.1。

7.3.2支持信息

8

GB/T34590.6—XXXX

可考慮下列信息：

——技術(shù)安全概念（見(jiàn)GB/T34590.4-XXXX，6.5.2）；

——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范（見(jiàn)GB/T34590.4-XXXX，6.5.3）；

——可用的經(jīng)鑒定合格的軟件組件（見(jiàn)GB/T34590.8-XXXX，第12章）；及

——軟件非安全相關(guān)功能和特性的定義以及其他軟件要求的定義，按照6.4.5（來(lái)自外

部）。

7.4要求和建議

7.4.1為避免軟件架構(gòu)設(shè)計(jì)和后續(xù)開(kāi)發(fā)活動(dòng)中的系統(tǒng)性故障，軟件架構(gòu)設(shè)計(jì)的描述應(yīng)滿足

表2中列出的軟件架構(gòu)設(shè)計(jì)標(biāo)記法所支持的特征：

a)可理解性；

b)一致性；

c)簡(jiǎn)單性；

d)可驗(yàn)證性；

e)模塊化；

f)抽象性；

注：抽象性可以通過(guò)使用層次化結(jié)構(gòu)、分組方案或視圖來(lái)支持，以涵蓋架構(gòu)設(shè)計(jì)的靜態(tài)、動(dòng)態(tài)或

部署方面。

g)封裝性；及

h)可維護(hù)性。

表2軟件架構(gòu)設(shè)計(jì)標(biāo)記法

ASIL等級(jí)

方法

ABCD

1a自然語(yǔ)言a++++++++

1b非形式記法++++++

1c半形式記法b++++++

1d形式記法++++

注：UML?、SysML?、Simulink?和Stateflow?都是商業(yè)可用的合適產(chǎn)品的例子。這些信息是為了方便本文

檔的用戶(hù)而提供的，并不構(gòu)成國(guó)際標(biāo)準(zhǔn)化組織對(duì)這些產(chǎn)品的認(rèn)可。

a自然語(yǔ)言可以補(bǔ)充標(biāo)記法的使用，例如，某些主題更容易用自然語(yǔ)言表達(dá)，或?yàn)槭褂么藰?biāo)記法提

供解釋和理由。

b半形式記法可以包括偽代碼或使用UML?、SysML?、Simulink?或Stateflow?的建模。

7.4.2在軟件架構(gòu)設(shè)計(jì)開(kāi)發(fā)中，應(yīng)該考慮下述方面：

a)軟件架構(gòu)設(shè)計(jì)的可驗(yàn)證性；

注：這意味著軟件架構(gòu)設(shè)計(jì)和軟件安全要求之間的雙向可追溯性。

b)可配置軟件的適用性；

9

GB/T34590.6—XXXX

c)軟件單元設(shè)計(jì)與實(shí)現(xiàn)的可行性；

d)軟件集成測(cè)試中軟件架構(gòu)的可測(cè)試性；及

e)軟件架構(gòu)設(shè)計(jì)的可維護(hù)性。

7.4.3為避免系統(tǒng)性故障，應(yīng)使用表3列出的原則，使軟件架構(gòu)設(shè)計(jì)具有以下特征：

a)可理解性；

b)一致性；

c)簡(jiǎn)單性；

d)可驗(yàn)證性；

e)模塊化；

f)封裝性；及

g)可維護(hù)性。

表3軟件架構(gòu)設(shè)計(jì)原則

ASIL等級(jí)

方法

ABCD

1a軟件組件的適當(dāng)分層結(jié)構(gòu)++++++++

1b限制軟件組件的規(guī)模和復(fù)雜度a++++++++

a

1c限制接口規(guī)模+++++

1d每個(gè)組件內(nèi)強(qiáng)內(nèi)聚b+++++++

1e軟件組件間松耦合b,c+++++++

1f恰當(dāng)調(diào)度的特性++++++++

1g限制中斷的使用a,d+++++

1h軟件組件的適當(dāng)空間隔離+++++

1i共享資源的適當(dāng)管理e++++++++

a

在原則1b、1c和1g中，“限制”表示與其他設(shè)計(jì)考慮進(jìn)行平衡后的最低程度。

b

例如，原則1d和1e可通過(guò)分隔關(guān)注點(diǎn)的方法實(shí)現(xiàn)，這些關(guān)注點(diǎn)代表了對(duì)特定概念、目標(biāo)、任務(wù)或目

的相關(guān)的軟件部分進(jìn)行識(shí)別、封裝和操作的能力。

c

原則1e針對(duì)軟件組件間相關(guān)性的管理。

d

原則1g可以包括最小化數(shù)量，或使用具有明確優(yōu)先級(jí)的中斷來(lái)實(shí)現(xiàn)確定性。

e

在共存的情況下，原則1i適用于共享硬件資源以及共享軟件資源。這種資源管理可以用軟件或硬件

實(shí)現(xiàn)，包括安全機(jī)制和/或防止共享資源訪問(wèn)沖突的過(guò)程措施，以及探測(cè)和處理共享資源訪問(wèn)沖突的機(jī)制。

注1：基于表3所列原則的適當(dāng)折中是必要的，因?yàn)檫@些原則不互相排斥。

注2：高復(fù)雜度的指標(biāo)可以是：

10

GB/T34590.6—XXXX

——高度分支化的控制流或數(shù)據(jù)流；

——分配給單個(gè)設(shè)計(jì)要素的要求過(guò)多；

——某個(gè)設(shè)計(jì)要素的接口過(guò)多或設(shè)計(jì)要素之間的交互性過(guò)多；

——參數(shù)類(lèi)型復(fù)雜或過(guò)多；

——全局變量過(guò)多；

——難以為錯(cuò)誤探測(cè)和處理的合適性和完整性提供證據(jù)；

——難以達(dá)到要求的測(cè)試覆蓋率；或

——只有少數(shù)專(zhuān)家或項(xiàng)目參與者能夠理解。

注3：這些特性和原則也適用于軟件例行程序（例如，中斷處理的服務(wù)例行程序）。

7.4.4軟件架構(gòu)設(shè)計(jì)應(yīng)被開(kāi)發(fā)到能夠識(shí)別出軟件單元的程度。

7.4.5軟件架構(gòu)設(shè)計(jì)應(yīng)描述：

a)軟件架構(gòu)要素的靜態(tài)設(shè)計(jì)方面；及

注1：靜態(tài)設(shè)計(jì)方面涉及：

——包括分級(jí)層次的軟件結(jié)構(gòu)；

——數(shù)據(jù)類(lèi)型和它們的特征參數(shù)；

——軟件組件的外部接口；

——嵌入式軟件的外部接口；

——全局變量；及

——包括架構(gòu)的范圍和外部依賴(lài)的約束。

注2：在基于模型的開(kāi)發(fā)的情況下，結(jié)構(gòu)建模可能是整個(gè)建?；顒?dòng)的固有部分。建模的結(jié)構(gòu)可

能取決于所選的建模語(yǔ)言。

b)軟件架構(gòu)要素的動(dòng)態(tài)設(shè)計(jì)方面。

注3：動(dòng)態(tài)設(shè)計(jì)方面涉及：——事件和行為的功能鏈；——數(shù)據(jù)處理的邏輯順序；——控制流和

并發(fā)進(jìn)程；——通過(guò)接口和全局變量傳遞的數(shù)據(jù)流；及——時(shí)間的限制。

注4：為確定動(dòng)態(tài)行為（如任務(wù)、時(shí)間片和中斷），需要考慮不同的運(yùn)行狀態(tài)（如開(kāi)機(jī)、關(guān)機(jī)、

正常運(yùn)行、標(biāo)定和診斷）。

注5：為描述動(dòng)態(tài)行為（如任務(wù)、時(shí)間片和中斷），需要定義通訊關(guān)系及其在系統(tǒng)硬件（如CPU

和通訊通道）上的分配。

7.4.6軟件安全要求應(yīng)按層次分配給軟件組件，直至軟件單元。因此，每個(gè)軟件組件應(yīng)按

照分配給它的任何需求的最高的ASIL等級(jí)來(lái)進(jìn)行開(kāi)發(fā)。

注：在設(shè)計(jì)開(kāi)發(fā)和要求分配過(guò)程中，可能需要按照第6章對(duì)軟件安全要求進(jìn)行拆分或進(jìn)一步細(xì)化。

7.4.7如果復(fù)用一個(gè)沒(méi)有按照GB/T34590進(jìn)行開(kāi)發(fā)的未修改的現(xiàn)有軟件架構(gòu)要素，為滿足

分配的安全要求，則應(yīng)按照GB/T34590.8-XXXX，第12章的要求進(jìn)行鑒定。

注1：使用經(jīng)鑒定合格的軟件組件不影響第10章和第11章的適用性。然而，第8章和第9章描述的

某些活動(dòng)可以被省略。

注2：按照GB/T34590開(kāi)發(fā)的復(fù)用軟件要素的適用性可在軟件架構(gòu)設(shè)計(jì)驗(yàn)證階段來(lái)實(shí)現(xiàn)。

7.4.8如果嵌入式軟件不得不實(shí)現(xiàn)不同ASIL等級(jí)的軟件組件，或?qū)崿F(xiàn)安全相關(guān)及非安全相

關(guān)的軟件組件，除非軟件組件符合GB/T34590.9-XXXX第6章定義的共存準(zhǔn)則，否則全部嵌

入式軟件必須按照最高ASIL等級(jí)來(lái)處理。

7.4.9如果用軟件分區(qū)（本文件附錄D）實(shí)現(xiàn)軟件組件間免于干擾，那么應(yīng)該確保：

a)共享資源的使用方式應(yīng)確保軟件分區(qū)免于干擾；

11

GB/T34590.6—XXXX

注1：一個(gè)軟件分區(qū)內(nèi)的任務(wù)彼此之間不能免于干擾。

注2：一個(gè)軟件分區(qū)不能改變其他軟件分區(qū)的代碼或數(shù)據(jù)，也不能控制其他軟件分區(qū)的非共享資

源。

注3：一個(gè)軟件分區(qū)從共享資源獲取的服務(wù)不能被另一個(gè)軟件分區(qū)影響。這包括相關(guān)資源的性能，

以及對(duì)資源調(diào)度訪問(wèn)的使用率、延遲、抖動(dòng)和持續(xù)時(shí)間。

b)由專(zhuān)用的硬件特性或等效方法來(lái)支持軟件分區(qū)（該要求適用于ASILD等級(jí)，按照

4.4）；

示例：存儲(chǔ)器保護(hù)單元等硬件特性。

c)實(shí)現(xiàn)軟件分區(qū)的軟件要素是根據(jù)分配給分區(qū)軟件任何要求的最高ASIL等級(jí)開(kāi)發(fā)

的；及

注：一般來(lái)說(shuō)操作系統(tǒng)提供或支持軟件分區(qū)。

d)軟件分區(qū)有效性的證據(jù)會(huì)在軟件集成和驗(yàn)證期間生成（按照第10章）。

7.4.10應(yīng)按照GB/T34590.9-XXXX，第8章在軟件架構(gòu)層級(jí)執(zhí)行安全導(dǎo)向分析，目的是：

——提供軟件的適用性證據(jù)證明具備了相應(yīng)的ASIL等級(jí)要求所需的特定的安全相關(guān)功

能和特性；

注1：安全相關(guān)的特殊特性包括獨(dú)立性和免于干擾。

——識(shí)別或確認(rèn)軟件的安全相關(guān)部分；及

——支持安全措施的定義并驗(yàn)證其有效性。

注2：安全措施包括從安全導(dǎo)向分析中得出的安全機(jī)制，并可涵蓋與隨機(jī)硬件失效和軟件故障有關(guān)的

問(wèn)題。

注3：關(guān)于在軟件架構(gòu)層級(jí)運(yùn)用安全導(dǎo)向分析和選擇適當(dāng)安全措施的更多信息，本文件附錄E。

7.4.11如果軟件安全要求的實(shí)現(xiàn)依賴(lài)于軟件組件間免于干擾或足夠的獨(dú)立性，則應(yīng)按照

GB/T34590.9-XXXX，第7章進(jìn)行相關(guān)失效及其影響分析。

注：在軟件架構(gòu)層級(jí)應(yīng)用相關(guān)失效分析的更多信息，本文件附錄E和GB/T34590.9-XXXX，附錄C。

7.4.12應(yīng)根據(jù)軟件架構(gòu)層級(jí)安全導(dǎo)向的分析（按照7.4.10和7.4.11）結(jié)果，采用錯(cuò)誤探

測(cè)和錯(cuò)誤處理的安全機(jī)制。

注1：附錄E提供了判斷失效模式是否需要安全機(jī)制的指導(dǎo)。

注2：用于錯(cuò)誤探測(cè)的安全機(jī)制包括：

——輸入輸出數(shù)據(jù)的范圍檢查；

——合理性檢查（例如，使用期望行為的參考模型、斷言檢查、或不同來(lái)源信號(hào)的比較）；

——數(shù)據(jù)錯(cuò)誤探測(cè)（例如，檢錯(cuò)碼和多重?cái)?shù)據(jù)存儲(chǔ)）；

——外部要素監(jiān)控程序執(zhí)行，例如，通過(guò)專(zhuān)用集成電路（ASIC）或者其他軟件要素來(lái)執(zhí)行看門(mén)狗功能。

監(jiān)控可以是邏輯監(jiān)控或時(shí)間監(jiān)控，或者兩者的結(jié)合；

——程序執(zhí)行的時(shí)間監(jiān)控；

——設(shè)計(jì)中的異構(gòu)冗余；或——在軟件或硬件中實(shí)施的訪問(wèn)沖突控制機(jī)制，與授權(quán)訪問(wèn)或拒絕訪問(wèn)安

全相關(guān)共享資源有關(guān)。

注3：用于錯(cuò)誤處理的安全機(jī)制可能包括：

——為了達(dá)到和維持安全狀態(tài)的功能關(guān)閉；

——靜態(tài)恢復(fù)機(jī)制（例如，恢復(fù)塊、后向恢復(fù)、前向恢復(fù)以及通過(guò)重試來(lái)恢復(fù)）；

——通過(guò)劃分功能的優(yōu)先級(jí)進(jìn)行平穩(wěn)降級(jí)，從而最小化潛在失效對(duì)功能安全的不利影響；

——設(shè)計(jì)中的同構(gòu)冗余，主要側(cè)重于控制運(yùn)行相似軟件的硬件中瞬態(tài)故障或隨機(jī)故障的影響（例如，

軟件在時(shí)間上的冗余執(zhí)行）；

12

GB/T34590.6—XXXX

——設(shè)計(jì)中的異構(gòu)冗余，意味著在每個(gè)并行路徑中使用不同的軟件，主要側(cè)重于預(yù)防或控制軟件中的

系統(tǒng)性故障；

——數(shù)據(jù)糾錯(cuò)碼；或

——在軟件或硬件中實(shí)施的訪問(wèn)許可管理，與授權(quán)訪問(wèn)或拒絕訪問(wèn)安全相關(guān)共享資源有關(guān)。

注4：可在系統(tǒng)層面對(duì)軟件安全機(jī)制（包括一般的魯棒性機(jī)制）進(jìn)行評(píng)審，以分析其對(duì)系統(tǒng)行為的潛

在影響和與技術(shù)安全要求的一致性。

7.4.13應(yīng)該對(duì)嵌入式軟件所需資源進(jìn)行上限預(yù)估，包括：

a)執(zhí)行時(shí)間；

b)存儲(chǔ)空間；及

示例：用于存儲(chǔ)堆和棧的RAM，用于存儲(chǔ)程序和非易失性數(shù)據(jù)的ROM。

c)通訊資源。

7.4.14軟件架構(gòu)設(shè)計(jì)應(yīng)按照GB/T34590.8-XXXX，第9章來(lái)進(jìn)行驗(yàn)證，并使用表4中所列

出的軟件架構(gòu)設(shè)計(jì)驗(yàn)證方法，為實(shí)現(xiàn)下列目標(biāo)提供證據(jù)：

a)軟件架構(gòu)設(shè)計(jì)滿足對(duì)應(yīng)ASIL等級(jí)的軟件安全要求；

b)軟件架構(gòu)設(shè)計(jì)的評(píng)審或?qū)徍四軌驗(yàn)樵O(shè)計(jì)滿足對(duì)應(yīng)ASIL等級(jí)的軟件安全要求提供證

據(jù)；

c)與目標(biāo)環(huán)境的兼容性；及

注：目標(biāo)環(huán)境是指軟件運(yùn)行的環(huán)境，包含了操作系統(tǒng)、基礎(chǔ)軟件以及在7.4.13中詳細(xì)描述的目

標(biāo)硬件及其資源。

d)與設(shè)計(jì)指南保持一致。

表4軟件架構(gòu)設(shè)計(jì)驗(yàn)證方法

ASIL等級(jí)

方法

ABCD

1a設(shè)計(jì)走查a+++oo

1b設(shè)計(jì)檢查a+++++++

1c對(duì)設(shè)計(jì)中的動(dòng)態(tài)行為進(jìn)行仿真+++++

1d生成原型oo+++

1e形式驗(yàn)證oo++

1f控制流分析b++++++

1g數(shù)據(jù)流分析b++++++

1h調(diào)度分析++++++

a在基于模型的開(kāi)發(fā)的情況下，這些方法可以在模型中應(yīng)用。

b控制流和數(shù)據(jù)流分析可以限制在安全相關(guān)組件和它們的接口上。

7.5工作成果

7.5.1軟件架構(gòu)設(shè)計(jì)規(guī)范，由7.4.1～7.4.13的要求得出。

13

GB/T34590.6—XXXX

7.5.2安全分析報(bào)告，由7.4.10的要求得出。

7.5.3相關(guān)失效分析報(bào)告，由7.4.11的要求得出。

7.5.4軟件驗(yàn)證報(bào)告，由7.4.14的要求得出。

8軟件單元設(shè)計(jì)和實(shí)現(xiàn)

8.1目的

該子階段的目的是：

a)按照軟件架構(gòu)設(shè)計(jì)、設(shè)計(jì)準(zhǔn)則和所分配的支持軟件單元實(shí)施和驗(yàn)證的軟件要求，開(kāi)

發(fā)軟件單元設(shè)計(jì)；及

b)實(shí)現(xiàn)所定義的軟件單元。

8.2總則

應(yīng)基于軟件架構(gòu)設(shè)計(jì)，開(kāi)發(fā)軟件單元的詳細(xì)設(shè)計(jì)。詳細(xì)設(shè)計(jì)可以是模型化的形式。

源代碼層面的實(shí)施可以按照由軟件開(kāi)發(fā)環(huán)境中的設(shè)計(jì)手動(dòng)或自動(dòng)生成。

為了開(kāi)發(fā)每一個(gè)軟件單元設(shè)計(jì)，軟件安全要求和非安全相關(guān)的要求都要實(shí)現(xiàn)。因此，該

子階段，安全相關(guān)的和非安全相關(guān)的要求都按照同一個(gè)開(kāi)發(fā)流程來(lái)處理。

8.3本章的輸入

8.3.1前提條件

應(yīng)具備下列信息：

——軟件開(kāi)發(fā)環(huán)境文檔，按照5.5.1；

——軟硬件接口規(guī)范（細(xì)化的），按照6.5.2；

——軟件架構(gòu)設(shè)計(jì)規(guī)范，按照7.5.1；

——軟件安全需求規(guī)范，按照6.5.1；

——配置數(shù)據(jù)，按照C.5.3，如果適用；及

——標(biāo)定數(shù)據(jù)，按照C.5.4，如果適用。

8.3.2支持信息

可考慮下列信息：

——技術(shù)安全概念（本文件GB/T34590.4-XXXX，6.5.2）；

——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范（本文件GB/T34590.4-XXXX，6.5.3）；