《道路車輛 功能安全 第8部分：支持過(guò)程》征求意見(jiàn)稿

ICS43.430

CCST35

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T34590.8—XXXX

代替GB/T34590.8—2017

道路車輛功能安全

第8部分：支持過(guò)程

Roadvehicles-Functionalsafety-

Part8:Supportingprocesses

(ISO26262-8:2018,MOD)

（征求意見(jiàn)稿）

（本草案完成時(shí)間：2021年4月1日）

在提交反饋意見(jiàn)時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

GB/T34590.8—XXXX

前言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》

的規(guī)定起草。

GB/T34590-XXXX《道路車輛功能安全》分為以下部分：

——第1部分：術(shù)語(yǔ)；

——第2部分：功能安全管理；

——第3部分：概念階段；

——第4部分：產(chǎn)品開(kāi)發(fā)：系統(tǒng)層面；

——第5部分：產(chǎn)品開(kāi)發(fā)：硬件層面；

——第6部分：產(chǎn)品開(kāi)發(fā)：軟件層面；

——第7部分：生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢；

——第8部分：支持過(guò)程；

——第9部分：以汽車安全完整性等級(jí)為導(dǎo)向和以安全為導(dǎo)向的分析；

——第10部分：指南；

——第11部分：半導(dǎo)體應(yīng)用指南；

——第12部分：摩托車的適用性。

本文件為GB/T34590-XXXX的第8部分。

本文件代替GB/T34590.8-2017《道路車輛功能安全第8部分：支持過(guò)程》,與GB/T

34590.8-2017相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如下：

——修改了標(biāo)準(zhǔn)適用范圍，由“量產(chǎn)乘用車”擴(kuò)大到“除輕便摩托車外的量產(chǎn)道路車輛”，

修；

——新增了對(duì)商用車輛的相關(guān)要求和示例、對(duì)摩托車的適應(yīng)性要求等；

——新增了軟件工具置信度的工具使用方面和工具鑒定方面等兩組活動(dòng)的要求（見(jiàn)

11.2）。

——新增了III類硬件要素的評(píng)估的要求（見(jiàn)13.4.4）。

——新增了GB/T34590標(biāo)準(zhǔn)適用范圍之外應(yīng)用的接口相關(guān)要求（見(jiàn)15）和未按照根據(jù)

GB/T34590開(kāi)發(fā)的安全相關(guān)系統(tǒng)的集成的相關(guān)要求（見(jiàn)16）。

——?jiǎng)h除了GB/T34590.5-2017中軟件工具鑒定的確認(rèn)評(píng)審的要求。

本文件使用重新起草法修改采用了ISO26262-8：2018《道路車輛功能安全第8部分：

支持過(guò)程》。

本文件與ISO26262-8：2018的技術(shù)性差異及其原因如下：

——關(guān)于規(guī)范性引用文件，本文件做了具有技術(shù)性差異的調(diào)整，以適應(yīng)我國(guó)的技術(shù)條件，

IV

GB/T34590.8—XXXX

調(diào)整的情況集中反映在第2章“規(guī)范性引用文件”中，具體調(diào)整如下：

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.1-XXXX代替ISO26262-1：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.2-XXXX代替ISO26262-2：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.3-XXXX代替ISO26262-2：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.4-XXXX代替ISO26262-4：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.5-XXXX代替ISO26262-2：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.6-XXXX代替ISO26262-6：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.7-XXXX代替ISO26262-7：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.9-XXXX代替ISO26262-9：2018；

——新增了基于工具用戶的要求的示例（見(jiàn)11.2）。

本文件做了下列編輯性修改：

——將國(guó)際標(biāo)準(zhǔn)中的“本國(guó)際標(biāo)準(zhǔn)”改為“本文件”；

——?jiǎng)h除國(guó)際標(biāo)準(zhǔn)的前言；

——修改國(guó)際標(biāo)準(zhǔn)的引言及其表述。

本文件由中華人民共和國(guó)工業(yè)和信息化部提出。

本文件由全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC114）歸口。

本文件起草單位：

本文件主要起草人：

本文件所代替文件的歷次版本發(fā)布情況為：

——GB/T34590.8,2017年首次發(fā)布。

V

GB/T34590.8—XXXX

引??言

ISO26262是以IEC61508為基礎(chǔ)，為滿足道路車輛上電氣/電子系統(tǒng)的特定需求而編寫。

GB/T34590修改采用ISO26262，適用于道路車輛上由電子、電氣和軟件組件組成的安

全相關(guān)系統(tǒng)在安全生命周期內(nèi)的所有活動(dòng)。

安全是道路車輛開(kāi)發(fā)的關(guān)鍵問(wèn)題之一。汽車功能的開(kāi)發(fā)和集成強(qiáng)化了對(duì)功能安全的需求，

以及對(duì)提供證據(jù)證明滿足功能安全目標(biāo)的需求。

隨著技術(shù)日益復(fù)雜、軟件和機(jī)電一體化應(yīng)用不斷增加，來(lái)自系統(tǒng)性失效和隨機(jī)硬件失效

的風(fēng)險(xiǎn)逐漸增加，這些都在功能安全的考慮范疇之內(nèi)。GB/T34590通過(guò)提供適當(dāng)?shù)囊蠛土?/p>

程來(lái)降低風(fēng)險(xiǎn)。

為了實(shí)現(xiàn)功能安全，GB/T34590-XXXX（所有部分）：

a)提供了一個(gè)汽車安全生命周期（開(kāi)發(fā)、生產(chǎn)、運(yùn)行、服務(wù)、報(bào)廢）的參考，并支持

在這些生命周期階段內(nèi)對(duì)執(zhí)行的活動(dòng)進(jìn)行剪裁；

b)提供了一種汽車特定的基于風(fēng)險(xiǎn)的分析方法，以確定汽車安全完整性等級(jí)（ASIL）；

c)使用ASIL等級(jí)來(lái)定義GB/T34590中適用的要求，以避免不合理的殘余風(fēng)險(xiǎn)；

d)提出了對(duì)于功能安全管理、設(shè)計(jì)、實(shí)現(xiàn)、驗(yàn)證、確認(rèn)和認(rèn)可措施的要求；及

e)提出了客戶與供應(yīng)商之間關(guān)系的要求。

GB/T34590針對(duì)的是電氣/電子系統(tǒng)的功能安全,通過(guò)安全措施(包括安全機(jī)制)來(lái)實(shí)現(xiàn)。

它也提供了一個(gè)框架，在該框架內(nèi)可考慮基于其它技術(shù)（例如，機(jī)械、液壓、氣壓）的安全

相關(guān)系統(tǒng)。

功能安全的實(shí)現(xiàn)受開(kāi)發(fā)過(guò)程（例如，包括需求規(guī)范、設(shè)計(jì)、實(shí)現(xiàn)、集成、驗(yàn)證、確認(rèn)和

配置）、生產(chǎn)過(guò)程、服務(wù)過(guò)程和管理過(guò)程的影響。

安全問(wèn)題與常規(guī)的以功能為導(dǎo)向和以質(zhì)量為導(dǎo)向的活動(dòng)及工作成果相互關(guān)聯(lián)。GB/T

34590涉及與安全相關(guān)的開(kāi)發(fā)活動(dòng)和工作成果。

圖1為GB/T34590的整體架構(gòu)。GB/T34590基于V模型為產(chǎn)品開(kāi)發(fā)的不同階段提供參

考過(guò)程模型：

陰影”V”表示GB/T34590.3-XXXX、GB/T34590.4-XXXX、GB/T34590.5-XXXX、

————

GB/T34590.6-XXXX、GB/T34590.7-XXXX之間的相互關(guān)系；

對(duì)于摩托車：

————

GB/T34590.12-XXXX的第8章支持GB/T34590.3-XXXX；

GB/T34590.12-XXXX的第9章和第10章支持GB/T34590.4-XXXX。

以“m-n”方式表示的具體章條中，“m”代表特定部分的編號(hào)，“n”代表該部分

————

章的編號(hào)。

VI

GB/T34590.8—XXXX

示例：“2-6”代表GB/T34590.2-XXXX的第6章。

圖1GB/T34590-XXXX概覽

VII

GB/T34590.8—XXXX

道路車輛功能安全

第8部分：支持過(guò)程

1范圍

GB/T34590的本部分規(guī)定了對(duì)支持過(guò)程的要求，包括：

——分布式開(kāi)發(fā)中的接口；

——安全要求的整體管理；

——配置管理；

——變更管理；

——驗(yàn)證；

——文檔化管理；

——使用軟件工具的置信度；

——軟件組件的鑒定；

——硬件組件的鑒定；

——在用證明；

——接口超出GB/T34590范圍的應(yīng)用；及

——未根據(jù)GB/T34590開(kāi)發(fā)的安全相關(guān)系統(tǒng)的集成。

本文件適用于安裝在除輕便摩托車外的量產(chǎn)道路車輛上的包含一個(gè)或多個(gè)電氣/電子系統(tǒng)的與安全

相關(guān)的系統(tǒng)。

本文件不適用于特殊用途車輛上特定的電氣/電子系統(tǒng)，例如，為殘疾駕駛者設(shè)計(jì)的車輛。

注：其他專用的安全標(biāo)準(zhǔn)可作為本文件的補(bǔ)充，反之亦然。

已經(jīng)完成生產(chǎn)發(fā)布的系統(tǒng)及其組件或在本文件發(fā)布日期前正在開(kāi)發(fā)的系統(tǒng)及其組件不適用于本文

件。對(duì)于在本文件發(fā)布前完成生產(chǎn)發(fā)布的系統(tǒng)及其組件進(jìn)行變更時(shí)，本文件基于這些變更對(duì)安全生命周

期的活動(dòng)進(jìn)行裁剪。未按照本文件開(kāi)發(fā)的系統(tǒng)與按照本文件開(kāi)發(fā)的系統(tǒng)進(jìn)行集成時(shí)，需要按照本文件進(jìn)

行安全生命周期的裁剪。

本文件針對(duì)由安全相關(guān)的電氣/電子系統(tǒng)的功能異常表現(xiàn)而引起的可能的危害，包括這些系統(tǒng)相互

作用而引起的可能的危害。本文件不針對(duì)與觸電、火災(zāi)、煙霧、熱、輻射、毒性、易燃性、反應(yīng)性、腐

蝕性、能量釋放等相關(guān)的危害和類似的危害，除非危害是直接由安全相關(guān)的電氣/電子系統(tǒng)的功能異常

表現(xiàn)表現(xiàn)而引起的。

本文件提出了安全相關(guān)的電氣/電子系統(tǒng)進(jìn)行功能安全開(kāi)發(fā)的框架，該框架旨在將功能安全活動(dòng)整

合到企業(yè)特定的開(kāi)發(fā)框架中。本文件規(guī)定了為實(shí)現(xiàn)產(chǎn)品功能安全的技術(shù)開(kāi)發(fā)要求，也規(guī)定了組織應(yīng)具備

相應(yīng)功能安全能力的開(kāi)發(fā)流程要求。

本文件不針對(duì)電子電氣系統(tǒng)的標(biāo)稱性能。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T34590.1-XXXX道路車輛功能安全第1部分：術(shù)語(yǔ)(ISO26262-1:2018,MOD)

GB/T34590.2-XXXX道路車輛功能安全第2部分：功能安全管理(ISO26262-2:2018,MOD)

GB/T34590.3-XXXX道路車輛功能安全第3部分：概念階段(ISO26262-3:2018,MOD)

GB/T34590.4-XXXX道路車輛功能安全第4部分：產(chǎn)品開(kāi)發(fā)：系統(tǒng)層面(ISO26262-4:2018,MOD)

GB/T34590.5-XXXX道路車輛功能安全第5部分：產(chǎn)品開(kāi)發(fā)：硬件層面(ISO26262-5:2018,MOD)

1

GB/T34590.8—XXXX

GB/T34590.6-XXXX道路車輛功能安全第6部分：產(chǎn)品開(kāi)發(fā)：軟件層面(ISO26262-6:2018,MOD)

GB/T34590.7-XXXX道路車輛功能安全第7部分：生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢(ISO26262-7:2018,MOD)

GB/T34590.9-XXXX道路車輛功能安全第9部分：以汽車安全完整性等級(jí)為導(dǎo)向和以安全為導(dǎo)向

的分析(ISO26262-9:2018,MOD)

3術(shù)語(yǔ)、定義和縮略語(yǔ)

GB/TXXXXX-1給出的術(shù)語(yǔ)、定義和縮略語(yǔ)適用于本文件。

4要求

4.1目的

本章規(guī)定了：

a)如何符合GB/T34590-XXXX；

b)如何解釋GB/T34590-XXXX中所使用的表格；及

c)如何解釋各章條基于不同的ASIL等級(jí)的適用性。

4.2一般要求

如聲明滿足GB/T34590-XXXX的要求時(shí)，應(yīng)滿足每一個(gè)要求，除非有下列情況之一：

a)按照GB/TXXXXX.2-XXXX的要求，安全活動(dòng)的剪裁已經(jīng)實(shí)施并表明這些要求不適用；或

b)不滿足要求的理由存在且是可接受的，并且按照GB/TXXXXX.2-XXXX的要求對(duì)該理由進(jìn)行了評(píng)

估。

標(biāo)有“注”或“示例”的信息僅用于輔助理解或闡明相關(guān)要求，不應(yīng)作為要求本身且不具備完備性。

將安全活動(dòng)的結(jié)果作為工作成果。應(yīng)具備上一階段工作成果作為“前提條件”的信息。如果章條的

某些要求是依照ASIL定義的或可剪裁的，某些工作成果可不作為前提條件。

“支持信息”是可供參考的信息，但在某些情況下，GB/T34590-XXXX不要求其作為上一階段的工

作成果，并且可以是由不同于負(fù)責(zé)功能安全活動(dòng)的人員或組織等外部資源提供的信息。

4.3對(duì)表格的詮釋

本文件中的表是規(guī)范性或資料性取決于上下文。在滿足相關(guān)要求時(shí)，表中列出的不同方法有助于置

信度水平。表中的每個(gè)方法是：

a)一個(gè)連續(xù)的條目（在最左側(cè)列以順序號(hào)標(biāo)明，如1、2、3）；或

b)一個(gè)選擇的條目（在最左側(cè)列以數(shù)字后加字母標(biāo)明，如2a、2b、2c）。

對(duì)于連續(xù)的條目，高度推薦和推薦的方法按照ASIL等級(jí)推薦予以使用。高度推薦或推薦的方法允許

用未列入表中的其它方法替代,此種情況下，應(yīng)給出滿足相關(guān)要求的理由。如果可以給出不選擇所有條

目也能符合相應(yīng)要求的理由，則不需要對(duì)缺省方法做進(jìn)一步解釋。

對(duì)于選擇性的條目，應(yīng)按照指定的ASIL等級(jí)對(duì)這些方法進(jìn)行適當(dāng)?shù)慕M合，而與這些方法在表中是否

列出無(wú)關(guān)。如果所列出的方法對(duì)于一個(gè)ASIL等級(jí)來(lái)說(shuō)具有不同的推薦等級(jí)，宜采用具有較高推薦等級(jí)的

方法。應(yīng)給出選擇組合方法或選擇單一方法滿足相應(yīng)要求的理由。

注：在表中所列出方法的理由是充分的。但是，這并不意味著有傾向性或?qū)ξ戳械奖碇械姆椒ū硎痉磳?duì)。

對(duì)于每種方法，應(yīng)用相關(guān)方法的推薦等級(jí)取決于ASIL等級(jí)，分類如下：

——“++”表示對(duì)于指定的ASIL等級(jí)，高度推薦該方法；

——“+”表示對(duì)于指定的ASIL等級(jí)，推薦該方法；

——“o”表示對(duì)于指定的ASIL等級(jí)，不推薦也不反對(duì)該方法。

2

GB/T34590.8—XXXX

4.4基于ASIL等級(jí)的要求和建議

若無(wú)其它說(shuō)明，對(duì)于ASILA、B、C和D等級(jí)，應(yīng)滿足每一章條的要求或建議。這些要求和建議參

照安全目標(biāo)的ASIL等級(jí)。如果在項(xiàng)目開(kāi)發(fā)的早期對(duì)ASIL等級(jí)完成了分解，按照GB/TXXXXX-9第5章的要

求，應(yīng)遵循分解后的ASIL等級(jí)。

如果GB/T34590-XXXX中ASIL等級(jí)在括號(hào)中給出，則對(duì)于該ASIL等級(jí)，相應(yīng)的章條應(yīng)被認(rèn)為是推薦

而非要求。這里的括號(hào)與ASIL等級(jí)分解無(wú)關(guān)。

4.5摩托車的適用性

對(duì)于適用于GB/TXXXXX.12要求的摩托車的相關(guān)項(xiàng)或要素，GB/T34590.12的要求替代本部分和GB/T

34590.2的相應(yīng)要求。

4.6卡車、客車、掛車和半掛車的適用性

對(duì)卡車、客車、掛車和半掛車的特殊規(guī)定以（T&B）來(lái)表示。

5分布式開(kāi)發(fā)的接口

5.1目的

本章的目的是：

a)定義客戶和供應(yīng)商在進(jìn)行開(kāi)發(fā)活動(dòng)時(shí)的交互和依賴；

b）描述職責(zé)的分配；及

c）識(shí)別相關(guān)項(xiàng)及其要素在進(jìn)行分布式開(kāi)發(fā)時(shí)需要交換的工作成果。

5.2總則

相關(guān)項(xiàng)或要素開(kāi)發(fā)的客戶（如：車輛制造者）和供應(yīng)商共同遵守GB/T34590定義的分布式開(kāi)發(fā)要

求。在安全生命周期中的概念、開(kāi)發(fā)、生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢階段，客戶和供應(yīng)商就責(zé)任達(dá)成一致。

分包的關(guān)系是被允許的?？蛻魞?nèi)部具有關(guān)于相關(guān)項(xiàng)開(kāi)發(fā)的計(jì)劃、執(zhí)行和文檔化的安全相關(guān)流程，因此，

類似的流程適用于與供應(yīng)商在分布式相關(guān)項(xiàng)開(kāi)發(fā)中的合作。這同樣也適用于供應(yīng)商對(duì)功能安全負(fù)有全部

責(zé)任的相關(guān)項(xiàng)開(kāi)發(fā)。

注1：開(kāi)發(fā)接口協(xié)議（DIA）旨在描述客戶和供應(yīng)商之間的角色和責(zé)任。因此，客戶和供應(yīng)商的安全計(jì)劃符合開(kāi)發(fā)

接口協(xié)議。

注2：本章不適用于未對(duì)供應(yīng)商分配任何安全責(zé)任的采購(gòu)，包括標(biāo)準(zhǔn)組件、元器件或委托開(kāi)發(fā)。

注3：本注釋適用于T&B：本章不適用于向基礎(chǔ)車輛集成車輛上裝設(shè)備的情況。第15章適用于把按照GB/T34590

開(kāi)發(fā)的車輛上裝設(shè)備集成到按照另一標(biāo)準(zhǔn)開(kāi)發(fā)的基礎(chǔ)車輛中的情況。第16章適用于把按照另一標(biāo)準(zhǔn)開(kāi)發(fā)的車輛上裝設(shè)

備集成到按照GB/T34590開(kāi)發(fā)的基礎(chǔ)車輛中的情況。

5.3本章的輸入

5.3.1前提條件

本文件安全生命周期相關(guān)階段（該階段計(jì)劃且實(shí)施了分布式開(kāi)發(fā)）中適用的前提條件。

5.3.2支持信息

可考慮如下信息：

——安全生命周期相關(guān)階段（該階段計(jì)劃且實(shí)施了分布式開(kāi)發(fā)）中適用的支持信息；及

——基于報(bào)價(jià)需求（RFQ）的供應(yīng)商投標(biāo)（來(lái)自外部）。

5.4要求和建議

5.4.1要求的應(yīng)用

應(yīng)將本章的要求用于每個(gè)按照GB/T34590開(kāi)發(fā)的相關(guān)項(xiàng)和要素，但適用下述之一的商業(yè)現(xiàn)成

的且不是為了滿足特定安全要求而定制生產(chǎn)的要素除外：

3

GB/T34590.8—XXXX

a)按照基于質(zhì)量標(biāo)準(zhǔn)（如：電子組件的AEC標(biāo)準(zhǔn)）的公認(rèn)流程，鑒定商業(yè)現(xiàn)成的硬件要素，且按

照第13章進(jìn)行評(píng)估；

b)商業(yè)現(xiàn)成的軟件組件按照第12章經(jīng)鑒定合格的；或

c)商業(yè)現(xiàn)成的硬件要素或軟件組件作為SEooC來(lái)開(kāi)發(fā)。

注1：非定制生產(chǎn)的商業(yè)現(xiàn)成的硬件要素或軟件組件可能是獨(dú)立于客戶的SEooC，其項(xiàng)目特定的修改已被要

素規(guī)范所覆蓋。

示例：通信堆棧、操作系統(tǒng)或軟件庫(kù)是商業(yè)現(xiàn)成的要素。

注2：按照GB/T34590.2-XXXX，，SEooC的假設(shè)在其目標(biāo)應(yīng)用中得到確認(rèn)。

應(yīng)將有關(guān)客戶-供應(yīng)商關(guān)系（接口和交互）的要求，用于客戶-供應(yīng)商關(guān)系的每個(gè)層面。

注1：這包含頂層供應(yīng)商采取的分包、分包商采取的分包等。

注2：對(duì)內(nèi)部供應(yīng)商的管理可以采取與管理外部供應(yīng)商相同的方法。

5.4.2供應(yīng)商選擇準(zhǔn)則

供應(yīng)商選擇準(zhǔn)則應(yīng)包含對(duì)供應(yīng)商開(kāi)發(fā)能力的評(píng)估，如果適用，也包含按照GB/T34590對(duì)類似

復(fù)雜度和ASIL等級(jí)的相關(guān)項(xiàng)和要素的生產(chǎn)能力的評(píng)估。

注：供應(yīng)商選擇準(zhǔn)則包含：

——供應(yīng)商質(zhì)量管理體系的證據(jù)；

——供應(yīng)商以往的表現(xiàn)和質(zhì)量；

——對(duì)供應(yīng)商功能安全能力（作為投標(biāo)的一部分）的確認(rèn)；

——以往按照GB/T34590.2-XXXX，6.4.12進(jìn)行的功能安全評(píng)估結(jié)果，或

——來(lái)自整車廠開(kāi)發(fā)、生產(chǎn)、質(zhì)量和物流部門（因其影響功能安全）的推薦。

客戶給候選供應(yīng)商的報(bào)價(jià)需求（RFQ）應(yīng)包含：

a)符合GB/T34590的正式要求；

b)供貨范圍的定義；

注：供貨范圍規(guī)定了需要供應(yīng)商提供的相關(guān)項(xiàng)或要素的功能、特性和邊界。

c)如果已存在，基于供應(yīng)商報(bào)價(jià)對(duì)象的安全目標(biāo)或相關(guān)功能安全要求（包含其分配的ASIL等級(jí)）；

及

注：如果在選擇供應(yīng)商時(shí)ASIL等級(jí)未知，則可以作出保守的假設(shè)。

d)如果已存在，基于供應(yīng)商報(bào)價(jià)對(duì)象的要素的失效率目標(biāo)值和診斷覆蓋率目標(biāo)值（按照GB/T

34590.4-XXXX，）

5.4.3分布式開(kāi)發(fā)的啟動(dòng)和計(jì)劃

客戶和供應(yīng)商應(yīng)定義開(kāi)發(fā)接口協(xié)議，包含以下：

a)客戶和供應(yīng)商安全經(jīng)理的任命；

b)按照GB/T34590.2-XXXX，6.4.5進(jìn)行安全活動(dòng)的聯(lián)合裁剪；

c)客戶需開(kāi)展的安全生命周期的活動(dòng)和供應(yīng)商需開(kāi)展的安全生命周期的活動(dòng)；

注1：活動(dòng)的聯(lián)合計(jì)劃是需要考慮的，包含按照GB/T34590.2給出的功能安全評(píng)估和功能安全審核的職責(zé)。

d)需共享的信息和工作成果，包含分配和評(píng)審；

注2：這包括對(duì)需提供的文檔達(dá)成一致，以完成客戶及供應(yīng)商的安全檔案；

注3：交換的信息包含安全相關(guān)的特殊特性；

注4：對(duì)所涉及開(kāi)發(fā)方的活動(dòng)所必須的工作成果相關(guān)部分，可進(jìn)行識(shí)別和交換。

4

GB/T34590.8—XXXX

e)每項(xiàng)活動(dòng)分配給每一方的責(zé)任；

注5：責(zé)任可以描述為“負(fù)責(zé)”、“批準(zhǔn)”、“支持”、“通知”、“咨詢”。

f)目標(biāo)值的溝通或確認(rèn)（本文件d），這些目標(biāo)值由系統(tǒng)層面的目標(biāo)導(dǎo)出，再分配給相

關(guān)方，目的是使這些相關(guān)方滿足單點(diǎn)故障度量及潛伏故障度量的目標(biāo)值（按照GB/T34590.5

對(duì)硬件架構(gòu)度量的評(píng)估和因隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評(píng)估）；

g)在客戶和供應(yīng)商合作中所需要的接口相關(guān)的流程、方法及工具；

注6：流程、工具及工具配置的版本和修訂可以是相關(guān)的。

h)哪一方（供應(yīng)商或者客戶）按照GBT34590.4執(zhí)行安全確認(rèn)所達(dá)成的協(xié)議；

注7：如果由供應(yīng)商執(zhí)行整車集成和確認(rèn)，對(duì)供應(yīng)商所需的能力和資源達(dá)成一致是重要的，因?yàn)榘踩_認(rèn)工作

需要集成后的車輛（本文件GB/T34590.4-XXXX）。

i)按照GB/T34590.2-XXXX，關(guān)于由供應(yīng)商開(kāi)發(fā)的要素或工作成果的功能安全評(píng)估活動(dòng)；

注8：這些由供應(yīng)商開(kāi)發(fā)的要素或工作成果的功能安全評(píng)估活動(dòng)，可能是由供應(yīng)商本身、客戶、或供應(yīng)商/客

戶指定的組織或個(gè)人來(lái)執(zhí)行。

j)供應(yīng)商關(guān)于功能安全評(píng)估報(bào)告的計(jì)劃；及

注9：開(kāi)發(fā)接口協(xié)議包含報(bào)告的最低限度內(nèi)容、版本和里程碑節(jié)點(diǎn)；

注10：附錄B給出了開(kāi)發(fā)接口協(xié)議的一個(gè)示例。

k)客戶與供應(yīng)商之間達(dá)成的允許客戶指定審核人員在供應(yīng)商的場(chǎng)所進(jìn)行功能安全審核的協(xié)議。

如果供應(yīng)商執(zhí)行危害分析和風(fēng)險(xiǎn)評(píng)估，那么危害分析和風(fēng)險(xiǎn)評(píng)估應(yīng)提供給客戶進(jìn)行驗(yàn)證和批

準(zhǔn)。

概念階段的責(zé)任方應(yīng)按照GB/T34590.3-XXXX制定功能安全概念。

5.4.4分布式開(kāi)發(fā)的執(zhí)行

客戶應(yīng)確保供應(yīng)商按時(shí)收到所需的用于執(zhí)行開(kāi)發(fā)接口協(xié)議中安全活動(dòng)的信息和數(shù)據(jù)。

供應(yīng)商應(yīng)向客戶報(bào)告可能增加不符合開(kāi)發(fā)接口協(xié)議條款的風(fēng)險(xiǎn)的問(wèn)題。

供應(yīng)商應(yīng)向客戶報(bào)告在其責(zé)任范圍內(nèi)和其分包商責(zé)任范圍內(nèi)的開(kāi)發(fā)活動(dòng)中發(fā)生的安全異常。

應(yīng)分析已識(shí)別出的潛在影響供應(yīng)商交付成果的安全異常，并采取措施予以解決。雙方應(yīng)就誰(shuí)

來(lái)執(zhí)行所需的行動(dòng)達(dá)成協(xié)議。

供應(yīng)商應(yīng)確定客戶的安全要求是否可行，以及6.4.1和6.4.2的要求是否滿足。若不可行/

不滿足，則客戶應(yīng)重新檢查安全要求并做適當(dāng)?shù)男薷?，以確保安全要求定義的正確性。

供應(yīng)商應(yīng)向客戶傳達(dá)其職責(zé)范圍以外但供應(yīng)商認(rèn)為為確保實(shí)現(xiàn)功能安全所必要的相關(guān)項(xiàng)的要

素的安全要求。

在導(dǎo)出用于當(dāng)前開(kāi)發(fā)的安全要求時(shí)，按照GB/T34590.2-XXXX，，雙方都應(yīng)考慮從之

前相似開(kāi)發(fā)中所獲得的經(jīng)驗(yàn)。

供應(yīng)商應(yīng)向客戶報(bào)告安全計(jì)劃中制定的各項(xiàng)任務(wù)和里程碑節(jié)點(diǎn)上所取得的進(jìn)展。供應(yīng)商和客

戶應(yīng)就報(bào)告的內(nèi)容和提交的日期達(dá)成一致。

5.4.5分布式開(kāi)發(fā)中的功能安全評(píng)估活動(dòng)

對(duì)于分配了安全要求的最高ASIL等級(jí)為ASIL（B）、C或D的要素，在DIA中應(yīng)指定哪個(gè)組

織按照GB/T34590.2-XXXX對(duì)供應(yīng)商開(kāi)發(fā)的要素或工作成果執(zhí)行功能安全評(píng)估活動(dòng)。

注1：這些由供應(yīng)商開(kāi)發(fā)的要素或工作成果的功能安全評(píng)估活動(dòng)，可能由供應(yīng)商本身、客戶、或者客戶/供應(yīng)商指定

的組織或人員執(zhí)行。

注2：在DIA審批過(guò)程中，所有這些都需要與客戶達(dá)成一致。

對(duì)于分配了安全要求的最高ASIL等級(jí)為ASIL（B）、C或D的要素，在DIA中應(yīng)規(guī)定供應(yīng)商

5

GB/T34590.8—XXXX

功能安全評(píng)估活動(dòng)的計(jì)劃。

注：計(jì)劃包括報(bào)告的最低限度內(nèi)容和里程碑節(jié)點(diǎn)。

對(duì)于分配了安全要求的最高ASIL等級(jí)為ASIL（B）、C或D的要素，供應(yīng)商應(yīng)向客戶提供功

能安全評(píng)估報(bào)告，包括供應(yīng)商對(duì)所開(kāi)發(fā)的要素是否符合來(lái)自客戶的安全要求的評(píng)估，以及所實(shí)施的流程

是否滿足實(shí)現(xiàn)功能安全的準(zhǔn)則。

對(duì)于分配了安全要求的最高ASIL等級(jí)為ASIL（B）、C或D的要素，應(yīng)將供應(yīng)商的功能安全

評(píng)估活動(dòng)的結(jié)果提供給客戶和供應(yīng)商。

5.4.6生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的協(xié)議

供應(yīng)商應(yīng)向客戶提供證據(jù)，證明能具備并保持GB/T34590.2-XXXX第7章和GB/T

34590.7-XXXX第5章和第6章所要求的生產(chǎn)過(guò)程能力。

注：關(guān)于半導(dǎo)體生產(chǎn)的指南，本文件GB/T34590.11-XXXX，4.9。

客戶和供應(yīng)商間的供應(yīng)協(xié)議應(yīng)依據(jù)GB/T34590.2-XXXX，明確功能安全責(zé)任，并應(yīng)定

義各方的安全活動(dòng)。

注：關(guān)于半導(dǎo)體分布式開(kāi)發(fā)的指南，本文件GB/T34590.11-XXXX，4.10。

供應(yīng)協(xié)議應(yīng)規(guī)定各方間關(guān)于安全相關(guān)特殊特性的生產(chǎn)監(jiān)控記錄和從客戶退回部件的失效分析

結(jié)果的訪問(wèn)和交換。

注：這些事項(xiàng)能由質(zhì)量管理協(xié)議充分覆蓋。

供應(yīng)協(xié)議應(yīng)規(guī)定關(guān)于交換安全相關(guān)事件和所需分析的及時(shí)的溝通渠道。對(duì)于現(xiàn)場(chǎng)問(wèn)題，就按

照已建立的現(xiàn)場(chǎng)監(jiān)控過(guò)程對(duì)這些事件進(jìn)行分析。

注：該分析包括類似相關(guān)項(xiàng)和潛在受類似事件影響的其他方。

5.5工作成果

5.5.1供應(yīng)商選擇報(bào)告，由和的要求得出。

5.5.2開(kāi)發(fā)接口協(xié)議（DIA），由5.4.3，和的要求得出。

5.5.3供應(yīng)商安全計(jì)劃，由5.4.3和5.4.4的要求得出。

5.5.4功能安全評(píng)估報(bào)告，由和的要求得出。

5.5.5供應(yīng)協(xié)議，供應(yīng)協(xié)議，由～的要求得出。

6安全要求的定義和管理

6.1目的

本章的目的是：

a)確保正確的定義安全要求及其屬性和特性；及

b)確保在整個(gè)安全生命周期內(nèi)對(duì)安全要求的一致管理。

6.2總則

安全要求是旨在達(dá)到并確保所需功能安全等級(jí)的要求。

在安全生命周期過(guò)程中，安全要求通過(guò)分層結(jié)構(gòu)進(jìn)行定義和細(xì)化。圖2給出了GB/T34590-XXXX

中用到的安全要求的結(jié)構(gòu)和相關(guān)性。安全要求被分配給要素或在要素間分布。

安全要求的管理包括：對(duì)要求達(dá)成一致、從安全要求的執(zhí)行方取得承諾和保持追溯性。

為了支持對(duì)安全要求的管理，推薦使用合適的需求管理工具。

“GB/T34590.3、GB/T34590.4、GB/T34590.5”列出了有關(guān)安全要求內(nèi)容在不同層面的特定要

6

GB/T34590.8—XXXX

求。

注：圖中GB/T34590-XXXX每部分的特定章用以下方式標(biāo)示：“m-n”，“m”代表部分號(hào)，“n”代表章號(hào)，例如

“3-7”代表GB/T34590.3-XXX的第7章。

圖2安全要求的結(jié)構(gòu)

6.3本章的輸入

6.3.1前提條件

應(yīng)具備如下信息:

—組織的專門的功能安全規(guī)章和流程，按照GB/T34590.2-XXXX,5.5.1；及

—安全生命周期相關(guān)階段（該階段定義或管理了安全要求）中適用的前提條件。

6.3.2支持信息

本文件安全生命周期相關(guān)階段（該階段定義或管理了安全要求）中適用的支持信息。

6.4要求和建議

6.4.1安全要求的定義

為了達(dá)到所列安全要求的特性，應(yīng)使用以下恰當(dāng)?shù)慕M合來(lái)定義安全要求：

a)自然語(yǔ)言；及

b)表1所列的方法。

表1定義安全要求

ASIL等級(jí)

方法

ABCD

7

GB/T34590.8—XXXX

1a用于要求定義的非形式記法a,b++++++

1b用于要求定義的半形式記法a,b,c,d++++++

1c用于要求定義的形式標(biāo)記法a++++

a安全要求定義方法的恰當(dāng)選擇考慮：針對(duì)特定問(wèn)題待定義的安全要求，方法是否足夠準(zhǔn)確以具

備6.4.2規(guī)定的安全要求的特性；方法的復(fù)雜性；定義或管理安全要求的人員的背景知識(shí)。示例

包括使用狀態(tài)圖或關(guān)系圖來(lái)定義軟件或硬件的復(fù)雜行為，包括許多狀態(tài)或/和復(fù)雜轉(zhuǎn)換。

b對(duì)于較高層面的安全要求（如安全目標(biāo)、功能安全要求和技術(shù)安全要求），自然語(yǔ)言和其他類

型的非形式記法是最恰當(dāng)?shù)男问剑欢行┮罂赡苡冒胄问接浄ǜ锰幚怼?/p>

c半形式記法使用數(shù)學(xué)或圖形要素【如方程、圖形、圖表、流程圖、時(shí)序圖和許多其他形式的表示

(例如UML?和SysML?)】補(bǔ)充的自然語(yǔ)言來(lái)表達(dá)需求。示例包括基于模型的技術(shù)，以及在自然語(yǔ)言

中為要求描述語(yǔ)句應(yīng)用模板和受控詞匯表。

d對(duì)于較低層面的安全要求，其可能定義了精確的硬件和軟件行為和能力，由于半形式記法更清晰

所以更合適。然而，即使這樣，也難以或沒(méi)有必要對(duì)每條要求都使用半形式技術(shù)。

6.4.2安全要求的屬性和特性

安全要求應(yīng)能被明確的識(shí)別為安全要求。

注：為了符合該要求，可將安全要求列在一個(gè)單獨(dú)的文件中。如果在同一文件中管理安全要求和其他要求，可通過(guò)

使用中給出的特殊屬性而明確的識(shí)別出安全要求。

安全要求應(yīng)繼承將其導(dǎo)出的原安全要求的ASIL等級(jí)，但運(yùn)用了按照GB/T34590.9-XXXX的

ASIL分解除外。

注：因安全目標(biāo)是頂層的安全要求，故ASIL等級(jí)的繼承始于安全目標(biāo)層。

應(yīng)將安全要求分配給實(shí)施這些要求的相關(guān)項(xiàng)或要素。

安全要求應(yīng)具有如下特性:

注1：安全要求的特性能夠使相關(guān)人員進(jìn)行清晰地溝通。這些特性是向必須執(zhí)行安全要求的人傳達(dá)安全要求的主要

手段。下面引用的特性與ISO/IEC/IEEE29148(參考文獻(xiàn)【8】）中引用的特性一致。

a)明確的；

注2：如果對(duì)要求的意思存在共同的理解，那么要求是明確的。

b)可理解的；

注3：如果要求的相關(guān)人員或要求的使用者理解要求的意思，那么要求是可理解的。

c)不可分割的（單一的）；

注4：當(dāng)一個(gè)層面的安全要求在所考慮的層面上不能被分解為至少兩個(gè)獨(dú)立的安全要求，那么這些要求是不可

分割的。此特性的實(shí)現(xiàn)可能與安全要求的其他基本特性的實(shí)現(xiàn)相矛盾。在這種情況下，不可分割的重要性可

以降低。

d)內(nèi)部一致的；

注5：如果要求不包含自相矛盾的內(nèi)容，則要求是內(nèi)部一致的。

e)可行和可實(shí)現(xiàn)的；

注6：如果某個(gè)要求在相關(guān)項(xiàng)的開(kāi)發(fā)限制（資源、當(dāng)前技術(shù)水平等）內(nèi)可被實(shí)現(xiàn)，則其是可行的。

注7：一項(xiàng)要求在技術(shù)上可以實(shí)現(xiàn)，它不需要重大的技術(shù)進(jìn)步，并且在可接受范圍內(nèi)符合相關(guān)項(xiàng)限制（如成本、

進(jìn)度、技術(shù)、法律、法規(guī)等）”；

f)可驗(yàn)證的

注8：如果在定義要求的層面上有方法檢查這些要求是否得到了滿足，則要求是可驗(yàn)證的。

注9：收集到有關(guān)相關(guān)項(xiàng)的證據(jù)表明相應(yīng)的要求已得到滿足。如果要求是可測(cè)量的，可驗(yàn)證性會(huì)更強(qiáng)。

8

GB/T34590.8—XXXX

g)必要的

注10：要求中定義了基本能力、特性、約束和/或質(zhì)量因素。如果移除或刪除，則將存在產(chǎn)品的其他能力或

流程無(wú)法滿足的缺陷。

注11：要求在當(dāng)前是適用的，且沒(méi)有隨著時(shí)間的推移而改變。對(duì)于具有計(jì)劃失效日期或適用日期的要求進(jìn)行

了清晰的識(shí)別。

h)實(shí)施自由的

注12：要求定義的是對(duì)于相關(guān)項(xiàng)必要和充分的內(nèi)容，避免對(duì)架構(gòu)設(shè)計(jì)施加不必要的限制。該屬性的目的是獨(dú)

立實(shí)施要求。要求描述的是需要什么，而不是如何滿足。

i)完整的，及

注13：所描述的要求是可測(cè)量的，并且充分描述了要求相關(guān)者所關(guān)注的能力和特性，因此要求是清晰的，不

需要進(jìn)一步擴(kuò)充。

j)合規(guī)的

注14：所述要求符合相關(guān)適用的且應(yīng)滿足來(lái)自政府、汽車工業(yè)及產(chǎn)品的標(biāo)準(zhǔn)、規(guī)范和接口要求。

安全要求應(yīng)具有如下屬性：

a)在整個(gè)安全生命周期中，具有唯一識(shí)別并保持不變；

示例1：可通過(guò)不同的方法實(shí)現(xiàn)對(duì)要求的唯一識(shí)別，如對(duì)每個(gè)詞“應(yīng)”標(biāo)注下腳標(biāo)，例如：“系統(tǒng)應(yīng)9782檢查…”；

或者對(duì)含有詞“應(yīng)”的每個(gè)句子進(jìn)行連續(xù)的編號(hào)，例如：“9782在…情況下，系統(tǒng)應(yīng)檢查…”。

b)狀態(tài)；及

示例2：安全要求的狀態(tài)可以是“已建議”、“已假設(shè)”、“已接受”、“已評(píng)審”、“已交付”或“已驗(yàn)證”。

c)ASIL等級(jí)。

6.4.3安全要求的管理

從一個(gè)或多個(gè)安全目標(biāo)導(dǎo)出的相關(guān)項(xiàng)或要素的安全要求集應(yīng)具備以下特性：

a)分層結(jié)構(gòu)；

注1：如圖2所示，分層結(jié)構(gòu)是指安全要求是由幾個(gè)連續(xù)層面構(gòu)建而成的。這些層面總是與相應(yīng)的設(shè)計(jì)階段

保持一致。圖2中的任何設(shè)計(jì)階段都可能存在多個(gè)層面的分層。

b)按照適當(dāng)分組原則建立的組織結(jié)構(gòu)；

注2：安全要求的組織意味著每個(gè)層面的安全要求被分組在一起，通常與架構(gòu)相對(duì)應(yīng)。

c)完整性；

注3：完整性表示一個(gè)層面的安全要求完全的實(shí)施了上一層面的全部安全要求。

d)外部一致性；

注4：不同于內(nèi)部一致性，即每個(gè)單獨(dú)的安全要求不包含與自身相矛盾的內(nèi)容，外部一致性表示多個(gè)安全要求

不互相矛盾。

e)分層結(jié)構(gòu)中任意一層的信息不重復(fù)；及

注5：信息不重復(fù)表示安全要求的內(nèi)容不重復(fù)出現(xiàn)在分層結(jié)構(gòu)同一層面的其他安全要求中，并且在每個(gè)分層層

面均有此要求。

f)可維護(hù)性。

注6：可維護(hù)性表示要求集可被修改或擴(kuò)展，例如引入要求的新版本或增加/去掉要求集內(nèi)的要求。

注7：當(dāng)每個(gè)要求滿足的所有要點(diǎn)，并且要求集滿足時(shí)，可維護(hù)性得到了提高。

安全要求應(yīng)是可追溯的，與以下內(nèi)容相關(guān)聯(lián)：

a)安全要求在下一個(gè)更高分層層面的每個(gè)來(lái)源；

b)導(dǎo)出到下一個(gè)更低分層層面的每個(gè)安全要求，或各安全要求在設(shè)計(jì)中的實(shí)現(xiàn)；及

9

GB/T34590.8—XXXX

c)按照9.4.2的驗(yàn)證規(guī)范。

注1：可使用各種追溯記錄類型，如需求管理系統(tǒng)、電子材料等。

注2：可追溯性支持：

——要求、其實(shí)現(xiàn)及驗(yàn)證間的一致性；

——對(duì)特定的安全要求更改后，影響分析的有效性；及

——認(rèn)可措施(如功能安全評(píng)估，以評(píng)估功能安全實(shí)現(xiàn)與否)的執(zhí)行。

應(yīng)將表2所列驗(yàn)證方法的恰當(dāng)組合用于驗(yàn)證安全要求是否符合本章的要求，及是否符合得出

安全要求的GB/T34590-XXXX相關(guān)部分中關(guān)于驗(yàn)證安全要求的特定要求。

表2驗(yàn)證安全要求的方法

ASIL等級(jí)

方法

ABCD

1a通過(guò)走查驗(yàn)證+++oo

1b通過(guò)檢查驗(yàn)證+++++++

1c半形式驗(yàn)證a++++++

1d形式驗(yàn)證ao+++

a可執(zhí)行模型可以支持驗(yàn)證。

按照第7章，安全要求應(yīng)置于配置管理下來(lái)維護(hù)整個(gè)安全生命周期的一致性。

示例：當(dāng)較低層面的安全要求與較高層面的安全要求相符合時(shí)，配置管理可以定義一個(gè)基線作為安全生命周期后續(xù)

階段的基礎(chǔ)。

6.5工作成果

無(wú)。

7配置管理

7.1目的

本章的目的是：

a）確保工作成果、相關(guān)項(xiàng)、要素及其生產(chǎn)的原理和一般條件，在任何時(shí)間以可控的方式可被唯一

識(shí)別和重生成；及

b）確保當(dāng)前版本和較早版本的關(guān)系及區(qū)別是可追溯的。

7.2總則

配置管理是汽車工業(yè)中的成熟實(shí)踐，可依據(jù)如ISO10007、AutomotiveSPICE、ISO/IEC33000、

ISO/IEC/IEEE15288[4]和ISO/IEC/IEEE12207進(jìn)行應(yīng)用。

GB/T34590的每個(gè)工作成果要服從于配置管理。

7.3本章的輸入

7.3.1前提條件

應(yīng)具備如下信息：

——安全計(jì)劃，按照GB/T34590.2-XXXX，6.5.3；

10

GB/T34590.8—XXXX

——組織專門的功能安全規(guī)章和流程,按照GB/T34590.2-XXXX，5.5.1；及

——安全生命周期相關(guān)階段（該階段對(duì)配置管理進(jìn)行了計(jì)劃或管理）中適用的前提條件；及

7.3.2支持信息

無(wú)。

7.4要求和建議

7.4.1應(yīng)計(jì)劃配置管理。

注：配置管理計(jì)劃可以包括職責(zé)和資源、工具和存儲(chǔ)庫(kù)、配置項(xiàng)的識(shí)別和命名規(guī)范、訪問(wèn)權(quán)限、基線計(jì)劃、發(fā)布/

批準(zhǔn)程序。

7.4.2配置管理過(guò)程應(yīng)符合：

a)質(zhì)量管理體系標(biāo)準(zhǔn)的相關(guān)要求；及

b)軟件開(kāi)發(fā)的特定要求。

注1：軟件開(kāi)發(fā)的軟件配置管理的特定要求，本文件ISO/IEC/IEEE12207。

注2：配置管理過(guò)程可以適應(yīng)開(kāi)發(fā)的相應(yīng)階段。

7.4.3安全計(jì)劃要求的工作成果及再次生成相關(guān)項(xiàng)和要素所需要的工作成果，應(yīng)按照配置管理策略，

生成基線并存放。

7.4.4在整個(gè)安全生命周期中，需要被唯一識(shí)別和重生成的工作成果、相關(guān)項(xiàng)和要素，在配置管理策

略中應(yīng)定義其條件或目的。

示例：作為客戶-供應(yīng)商關(guān)系里安全活動(dòng)的一部分，在其交換之前需要?jiǎng)?chuàng)建工作成果、相關(guān)項(xiàng)和要素的配置條件或

目的。

7.4.5在整個(gè)安全生命周期中，應(yīng)對(duì)配置管理進(jìn)行維護(hù)。

7.5工作成果

7.5.1配置管理計(jì)劃，由7.4.1～7.4.5的要求得出。

8變更管理

8.1目的

變更管理的目的是在整個(gè)安全生命周期中，分析和控制安全相關(guān)工作成果、相關(guān)項(xiàng)和要素的變更。

8.2總則

變更管理確保對(duì)變更進(jìn)行系統(tǒng)性計(jì)劃、控制、監(jiān)測(cè)、實(shí)施和記錄，同時(shí)在整個(gè)安全生命周期內(nèi)維護(hù)

工作成果、相關(guān)項(xiàng)和要素的相關(guān)功能和特性。

注：變更理解為因組件或元器件的異常、移除、增添、加強(qiáng)、報(bào)廢等導(dǎo)致的修改。

變更管理是汽車行業(yè)中的成熟實(shí)踐，可根據(jù)ISO10007、AutomotiveSpice?、ISO/IEC33000、

ISO/IEC/IEEE15288[4]或ISO/IEC/IEEE12207等進(jìn)行應(yīng)用。

8.3本章的輸入

8.3.1前提條件

應(yīng)具備如下信息：

——配置管理計(jì)劃，按照7.5.1；

——安全計(jì)劃，按照GB/T34590.2-XXXX，6.5.3；及

——組織專門的功能安全規(guī)章和流程，按照GB/T34590.2-XXXX，5.5.1。

8.3.2支持信息

11

GB/T34590.8—XXXX

無(wú)。

8.4要求和建議

8.4.1計(jì)劃和啟動(dòng)變更管理

在對(duì)工作成果進(jìn)行變更前，應(yīng)計(jì)劃和啟動(dòng)變更管理流程。

注：配置管理和變更管理是相互關(guān)聯(lián)的，定義并維護(hù)兩個(gè)流程間的接口，以確保變更管理的有效性。

應(yīng)在變更管理計(jì)劃中識(shí)別要進(jìn)行變更管理的工作成果、相關(guān)項(xiàng)和要素，這些工作成果、相關(guān)

項(xiàng)和要素也要滿足7.4.3的要求。

應(yīng)為已識(shí)別出的工作成果、相關(guān)項(xiàng)和要素定義實(shí)施變更管理流程的日程表。

變更管理流程應(yīng)包括：

a)變更需求，按照8.4.2；

b)變更需求分析，按照8.4.3；

c)變更需求的決策和依據(jù)，按照8.4.4；

d)已接受的變更的實(shí)施和驗(yàn)證，按照8.4.5；及

e)文檔化，按照8.4.5。

注1：變更管理流程可適用于開(kāi)發(fā)過(guò)程中的相應(yīng)階段；

注2：可在一個(gè)變更需求中處理多個(gè)變更。

8.4.2變更需求

應(yīng)為每個(gè)變更需求分配唯一的識(shí)別碼。

每個(gè)變更需求應(yīng)至少包含以下信息：

a)日期；

b)所需變更的理由；

c)所需變更的準(zhǔn)確描述；及

d)所需變更基于的配置。

8.4.3變更需求分析

對(duì)于每個(gè)變更需求,應(yīng)針對(duì)以下信息,對(duì)所涉及的相關(guān)項(xiàng)或要素、接口及關(guān)聯(lián)相關(guān)項(xiàng)或要素進(jìn)

行影響分析：

a)變更需求的類型；

示例：可能的變更類型有：解決錯(cuò)誤、調(diào)整、消除、加強(qiáng)、預(yù)防。

b)對(duì)需更改的工作成果、相關(guān)項(xiàng)和要素及受影響的工作成果、相關(guān)項(xiàng)和要素進(jìn)行的識(shí)別；

c)在分布式開(kāi)發(fā)的情況下，所涉及的相關(guān)方的識(shí)別及其責(zé)任；

d)變更對(duì)功能安全的潛在影響；及

e)變更的實(shí)現(xiàn)和驗(yàn)證的日程表。

對(duì)工作成果的每次變更，應(yīng)重新啟動(dòng)安全生命周期的適用階段。后續(xù)階段的開(kāi)展應(yīng)符合GB/T

34590-XXXX。

8.4.4變更需求評(píng)估

應(yīng)使用按照進(jìn)行的影響分析的結(jié)果,對(duì)變更需求進(jìn)行評(píng)估,并且應(yīng)由授權(quán)人員決定是

否接受、拒絕或推遲變更。

示例：典型的授權(quán)的人員包括：

12

GB/T34590.8—XXXX

——項(xiàng)目經(jīng)理；

——安全經(jīng)理；

——負(fù)責(zé)質(zhì)量保證的人員；及

——涉及的開(kāi)發(fā)人員。

注：已接受的變更需求可按優(yōu)先級(jí)排序，并與已接受的相關(guān)變更需求合并。

對(duì)于每個(gè)已接受的變更需求，應(yīng)決定由誰(shuí)來(lái)開(kāi)展變更及變更的最晚時(shí)間。該決定應(yīng)考慮開(kāi)展

變更時(shí)所涉及到的接口。

8.4.5變更的實(shí)施和記錄

應(yīng)按計(jì)劃實(shí)施變更和驗(yàn)證變更。

如果變更影響了安全相關(guān)功能或特性，則應(yīng)在發(fā)布相關(guān)項(xiàng)前，對(duì)按照GB/T34590.2-XXXX的

6.4.9和6.4.10的功能安全評(píng)估和適用的確認(rèn)評(píng)審進(jìn)行更新。

變更的記錄應(yīng)包含以下信息：

a)按照第7章，在合適的層面下，變更的工作成果、相關(guān)項(xiàng)和要素的清單，包括：配置和版本。

b)開(kāi)展的變更細(xì)節(jié)；及

c)變更部署的計(jì)劃日期。

注1：對(duì)臨時(shí)變更需求，應(yīng)明確指出該變更需求的理由和變更持續(xù)的時(shí)間（如已知）。

注2：對(duì)被拒絕的變更需求，記錄變更需求和拒絕的理由。

8.5工作成果

8.5.1變更管理計(jì)劃，由8.4.1的要求得出。

8.5.2變更需求，由8.4.2的要求得出。

8.5.3影響分析和變更需求計(jì)劃，由8.4.3和8.4.4的要求得出。

8.5.4變更報(bào)告，由8.4.5的要求得出。

9驗(yàn)證

9.1目的

驗(yàn)證的目的是確保工作成果符合它們相應(yīng)的要求。

9.2總則

驗(yàn)證適用于以下安全生命周期階段：

a）在概念階段，驗(yàn)證確保了概念是正確的、完整的、并符合相關(guān)項(xiàng)的邊界條件，同時(shí)確保了定義

的邊界條件本身是正確的、完整的和一致的，以使概念可以得到實(shí)現(xiàn)。

b）在產(chǎn)品開(kāi)發(fā)階段，以不同的方式執(zhí)行驗(yàn)證，描述如下：

——在設(shè)計(jì)階段，驗(yàn)證是對(duì)工作成果的評(píng)估，例如：需求規(guī)范、架構(gòu)設(shè)計(jì)、模型或軟件編碼，

從而確保它們與之前建立的要求在正確性、完整性和一致性方面相符合。評(píng)估可通過(guò)評(píng)審、模

擬或分析技術(shù)開(kāi)展，并以系統(tǒng)化方式計(jì)劃、定義、執(zhí)行和記錄。

注：設(shè)計(jì)階段是指GB/T34590.4-XXXX第6章、GB/T34590.5-XXXX第7章、GB/T34590.6-XXXX第7章和

GB/T34590.6-XXXX第8章。

——在測(cè)試階段，驗(yàn)證是在測(cè)試環(huán)境下對(duì)工作成果、相關(guān)項(xiàng)和要素的評(píng)估，以確保其滿足要求。

測(cè)試以系統(tǒng)化的方式進(jìn)行計(jì)劃、定義、執(zhí)行、評(píng)估和記錄。

c）在生產(chǎn)和運(yùn)行階段，驗(yàn)證確保了：

13

GB/T34590.8—XXXX

——生產(chǎn)過(guò)程中恰當(dāng)?shù)貪M足安全相關(guān)的特殊特性

——在用戶手冊(cè)、維修和維護(hù)指導(dǎo)中恰當(dāng)?shù)靥峁┝税踩嚓P(guān)的信息；及

——通過(guò)在生產(chǎn)流程中應(yīng)用控制措施，相關(guān)項(xiàng)的安全相關(guān)特性得到了滿足。

注：這是一般性的驗(yàn)證流程，GB/T34590.3、GB/T34590.4、GB/T34590.5、GB/T34590.6和GB/T34590.7

中的安全生命周期的各階段給出了示例。該流程并不針對(duì)安全確認(rèn)。本文件GB/T34590.4-XXXX第8章，以

獲取更多細(xì)節(jié)。

9.3本章的輸入

9.3.1前提條件

應(yīng)具備如下信息：

——組織專門的功能安全規(guī)章和流程，按照GB/T34590.2-XXXX,5.5.1；及

——安全生命周期相關(guān)階段（該階段計(jì)劃和執(zhí)行驗(yàn)證）中適用的前提條件。

9.3.2支持信息

本文件安全生命周期相關(guān)階段（該階段計(jì)劃和執(zhí)行驗(yàn)證）中適用的支持信息。

9.4要求和建議

9.4.1驗(yàn)證計(jì)劃

對(duì)安全生命周期的每個(gè)階段及子階段，應(yīng)制定驗(yàn)證計(jì)劃，并應(yīng)涵蓋以下方面：

a）需驗(yàn)證的工作成果內(nèi)容；

b）驗(yàn)證的目的；

c）用于驗(yàn)證的方法；

d）驗(yàn)證通過(guò)和不通過(guò)的準(zhǔn)則；

e）如果適用，驗(yàn)證環(huán)境；

注：驗(yàn)證環(huán)境可以是測(cè)試環(huán)境或模擬環(huán)境。

f）如果適用，用于驗(yàn)證的設(shè)備；

示例：測(cè)試工具或者測(cè)量設(shè)備。

g）如果適用，用于驗(yàn)證的資源；

h）當(dāng)探測(cè)出異常時(shí)需采取的行動(dòng)；及

i）回歸策略。

注：回歸策略定義了在相關(guān)項(xiàng)或要素變更后如何重復(fù)進(jìn)行驗(yàn)證。驗(yàn)證可以被全部或部分重復(fù)，并可包含其他

能影響驗(yàn)證結(jié)果的相關(guān)項(xiàng)或要素。

制定驗(yàn)證計(jì)劃宜考慮以下方面：

a）所使用驗(yàn)證方法的充分性；

b）需驗(yàn)證的工作成果的復(fù)雜性；

c）與驗(yàn)證目標(biāo)材料相關(guān)的前期經(jīng)驗(yàn)；及

注：這包括維修歷史及在用證明達(dá)到的程度。

d）所使用技術(shù)的成熟度，或使用這些技術(shù)的風(fēng)險(xiǎn)。

9.4.2驗(yàn)證規(guī)范

驗(yàn)證規(guī)范應(yīng)對(duì)用于驗(yàn)證的方法進(jìn)行細(xì)化，并應(yīng)包含：

a）評(píng)審或分析的檢查清單；或

14

GB/T34590.8—XXXX

b）模擬場(chǎng)景；或

c）測(cè)試用例、測(cè)試數(shù)據(jù)和測(cè)試目標(biāo)。

對(duì)于測(cè)試，每條測(cè)試用例的定義應(yīng)包含以下內(nèi)容：

a）唯一的識(shí)別；

b）需驗(yàn)證的相關(guān)工作成果的版本的參考；

c）前提條件和配置；

注：如果對(duì)工作成果的可能配置（例如：系統(tǒng)變型）進(jìn)行完整驗(yàn)證是不可行的，可選擇一個(gè)合理的子集（例

如：系統(tǒng)的最小或最大功能性配置）。

d）如果適用，環(huán)境條件；

注：環(huán)境條件與周圍物理屬性（例如：溫度）有關(guān)，測(cè)試在該環(huán)境進(jìn)行或模擬部分測(cè)試。

e）輸入數(shù)據(jù)，數(shù)據(jù)時(shí)序及其值；

f）期望的表現(xiàn)，包括：輸出數(shù)據(jù)、輸出值的可接受范圍、時(shí)間表現(xiàn)和公差表現(xiàn)；及

注1：當(dāng)定義期望的表現(xiàn)時(shí)，對(duì)初始輸出數(shù)據(jù)的定義可能是必要的，以探測(cè)變化。

注2：為避免重復(fù)定義和存儲(chǔ)不同測(cè)試用例用到的前提條件、配置及環(huán)境條件，有必要使用明確的參考。

g）確定測(cè)試用例通過(guò)和不通過(guò)的準(zhǔn)則。

對(duì)于測(cè)試，應(yīng)按使用的測(cè)試方法對(duì)測(cè)試用例進(jìn)行分組，從以下幾個(gè)方面考慮：

a）所需的測(cè)試設(shè)備或測(cè)試環(huán)境；

b）邏輯和時(shí)間的依賴性；及

c）資源。

示例：將測(cè)試用例分成回歸測(cè)試用例和完整測(cè)試用例。

對(duì)于測(cè)試，測(cè)試用例宜由與待驗(yàn)證的工作成果的完成人不同的人進(jìn)行評(píng)審。

9.4.3驗(yàn)證的執(zhí)行和評(píng)估

應(yīng)按照9.4.1所做的計(jì)劃及按照9.4.2所做的規(guī)范，執(zhí)行驗(yàn)證。

驗(yàn)證宜由與待驗(yàn)證的工作成果的完成人不同的人執(zhí)行。

對(duì)驗(yàn)證結(jié)果的評(píng)估應(yīng)包含以下信息：

a）所驗(yàn)證工作成果的唯一識(shí)別；

b）驗(yàn)證計(jì)劃和驗(yàn)證規(guī)范的參考；

c）如果適用，評(píng)估中用到的驗(yàn)證環(huán)境配置、驗(yàn)證工具及標(biāo)定數(shù)據(jù)；

d）驗(yàn)證結(jié)果與期望結(jié)果的一致性水平；

e）驗(yàn)證通過(guò)或不通過(guò)的明確的陳述，如果驗(yàn)證不通過(guò)，陳述應(yīng)包含不通過(guò)的理由和對(duì)所驗(yàn)證工作

成果進(jìn)行修改的建議；及

注：按照驗(yàn)證的完成和結(jié)束準(zhǔn)則[本文件d)]和預(yù)期的驗(yàn)證結(jié)果，對(duì)驗(yàn)證進(jìn)行評(píng)估。

f）每個(gè)驗(yàn)證步驟未執(zhí)行的理由。

用于驗(yàn)證的測(cè)試設(shè)備應(yīng)能提供有效的和可重復(fù)的結(jié)果，并應(yīng)按照所采用的質(zhì)量管理體系進(jìn)行管

控。

9.5工作成果

9.5.1驗(yàn)證計(jì)劃，由和的要求得出。

9.5.2驗(yàn)證規(guī)范，由～的要求得出。