道路車輛 功能安全審核及評估方法 第4部分：硬件層面

ICS43.040

CCST35

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

`

道路車輛功能安全審核及評估方法

第4部分：硬件層面

Roadvehicles-FunctionalSafetyAuditandAssessmentMethod-Part3：Hardware

Level

（征求意見稿）

（本草案完成時(shí)間：2022年4月29日）

在提交反饋意見時(shí)，請將您知道的相關(guān)專利連同支持性文件一并附上。

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件是GB/TXXXXX《道路車輛功能安全審核及評估方法》的第4部分。GB/TXXXXX已經(jīng)發(fā)布了以

下部分：

——第1部分：通用要求；

——第2部分：概念階段和系統(tǒng)層面；

——第3部分：軟件層面；

——第4部分：硬件層面。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由中華人民共和國工業(yè)和信息化部提出。

本文件由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC114）歸口。

本文件起草單位：

本文件主要起草人：

III

GB/TXXXXX—XXXX

引言

GB/TXXXXX-XXXX以GB/T34590為基礎(chǔ)，適用于道路車輛上安全相關(guān)的電氣/電子（E/E）系統(tǒng)在安

全生命周期內(nèi)的審核及評估活動。

安全是道路車輛開發(fā)的關(guān)鍵問題之一，車輛上包含的電氣、電子和軟件相關(guān)功能的數(shù)量不斷增加，

強(qiáng)化了對功能安全的需求，以及對提供證據(jù)證明滿足功能安全目標(biāo)的需求。

為了確認(rèn)電氣/電子（E/E）系統(tǒng)對于功能安全流程及功能安全要求的符合性，GB/TXXXXX-XXXX：

a)提供了組織層面開展功能安全審核及評估的通用流程、實(shí)施方法及要求；

b)提供了安全相關(guān)的電氣/電子（E/E）系統(tǒng)在概念階段、系統(tǒng)層面、軟件層面、硬件層面的功

能安全審核及評估的過程、方法和要求；

c)提供了功能安全審核及評估的檢查清單和參考示例。

功能安全審核及評估活動伴隨著功能安全開發(fā)過程的迭代實(shí)現(xiàn)，圖1為GB/TXXXXX-XXXX的整體架構(gòu)，

基于V模型為產(chǎn)品開發(fā)的不同階段、對象和范圍，提供審核及評估參考過程模型。

圖1功能安全審核及評估概覽

IV

GB/TXXXXX—XXXX

道路車輛功能安全審核及評估方法

第4部分：硬件層面

1范圍

本標(biāo)準(zhǔn)規(guī)定了針對安全相關(guān)的電氣/電子（E/E）系統(tǒng)在硬件層面的功能安全相關(guān)活動和工作成果，

開展功能安全審核及評估的要求和方法，以檢查和判斷開發(fā)過程及工作成果對于功能安全的符合性。

本文件適用于安裝在除輕便摩托車外的量產(chǎn)道路車輛上的包含一個(gè)或多個(gè)電氣/電子系統(tǒng)的與安全

相關(guān)的系統(tǒng)。

本文件不適用于特殊用途車輛上特定的電氣/電子系統(tǒng)，例如，為殘疾駕駛者設(shè)計(jì)的車輛系統(tǒng)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T34590-XXXX（所有部分）道路車輛功能安全（ISO26262:2018，MOD）

3術(shù)語和定義

GB/T34590.1-XXXX界定的術(shù)語和定義適用于本文件。

4一般要求

GB/TXXXXX-XXXX《道路車輛功能安全審核及評估方法第1部分：通用要求》中定義的審核及評估

要求，適用于本部分。

硬件層面的功能安全審核及評估，主要涉及以下內(nèi)容：

——硬件安全要求的定義；

——硬件設(shè)計(jì)；

——硬件架構(gòu)度量的評估；

——隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估；

——硬件集成和驗(yàn)證；

——硬件要素評估。

通過審核及評估，基于證據(jù)判斷硬件層面的功能安全開發(fā)，符合：

——硬件安全需求規(guī)范是恰當(dāng)和完整的；

——通過設(shè)計(jì)、驗(yàn)證保證硬件能實(shí)現(xiàn)功能安全要求；

——提供基于硬件架構(gòu)度量的證據(jù)，來證明相關(guān)項(xiàng)硬件架構(gòu)設(shè)計(jì)在安全相關(guān)的隨機(jī)硬件失效探測

和控制方面的適用性；

——確保所開發(fā)硬件符合硬件安全要求；

——確保硬件要素的功能表現(xiàn)足以滿足分配的安全要求。

1

GB/TXXXXX—XXXX

5硬件安全要求

目標(biāo)

本章的目標(biāo)是對作為功能安全硬件安全要求的定義文檔進(jìn)行審核及評估，以檢查其定義是否符合功

能安全開發(fā)的需要。

審核及評估的輸入

為了開展本章規(guī)定的審核及評估過程，應(yīng)具備以下輸入：

——硬件安全需求規(guī)范（包括測試和認(rèn)可準(zhǔn)則）；

——軟硬件接口規(guī)范（細(xì)化的）；

——硬件安全要求驗(yàn)證報(bào)告。

其他支持材料：

——技術(shù)安全概念；

——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范；

——軟硬件接口規(guī)范；

——可參考的已有硬件架構(gòu)設(shè)計(jì)。

審核和評估的要求

對于硬件安全要求進(jìn)行審核及評估，應(yīng)涵蓋表1、表2、表3的檢查項(xiàng)：

表1硬件安全要求的審核及評估檢查清單

序號檢查清單

1是否在流程上定義了硬件安全要求的開發(fā)？

2是否定義硬件安全要求模板并在項(xiàng)目上進(jìn)行了實(shí)施？

3是否定義了硬件安全要求和安全機(jī)制控制硬件內(nèi)部失效（例如：對內(nèi)核失效的檢測，對存儲失效的監(jiān)控）？

4是否定義了對外部失效容錯(cuò)的硬件安全要求和安全機(jī)制（例如：傳感器開路或短路檢測的支撐電路）？

5為符合其他要素的安全要求的硬件安全要求和安全機(jī)制的相關(guān)屬性？

6是否定義了硬件安全要求和安全機(jī)制探測內(nèi)外部失效和發(fā)送失效信息？

7是否設(shè)定了硬件的度量目標(biāo)值？

注：適用于等級為ASIL(B)、C和D的安全目標(biāo)。

8是否設(shè)定了硬件的隨機(jī)硬件失效目標(biāo)值？

注：適用于等級為ASIL(B)、C和D的安全目標(biāo)。

9是否定義了線束或接插件的設(shè)計(jì)措施要求？

10是否定義了相關(guān)項(xiàng)或要素的硬件設(shè)計(jì)驗(yàn)證準(zhǔn)則，包括環(huán)境條件（溫度、振動、EMI等）、特定的運(yùn)行環(huán)境（供

電電壓、任務(wù)概述等）以及特定于組件的要求？

11硬件安全要求所對應(yīng)的安全機(jī)制的容錯(cuò)時(shí)間間隔要求是否符合系統(tǒng)層級的定義？

12硬件安全要求所對應(yīng)的安全機(jī)制的多點(diǎn)故障探測時(shí)間間隔要求是否符合系統(tǒng)層級的定義？

13硬件安全要求是否與技術(shù)安全要求之間保持了追溯性和一致性?

表2軟硬件接口規(guī)范的審核及評估檢查清單

序號檢查清單

1是否在流程上定義了軟硬件接口的細(xì)化活動？

2

GB/TXXXXX—XXXX

序號檢查清單

2是否定義了軟硬件接口規(guī)范的模板并在項(xiàng)目上進(jìn)行了實(shí)施？

3是否細(xì)化了硬件設(shè)備的相關(guān)運(yùn)行模式和相關(guān)配置參數(shù)（例如：對看門狗的配置）？

4是否確保了要素間獨(dú)立性或支持軟件分區(qū)的硬件特征？

5是否對硬件資源的共用和專用進(jìn)行了明確定義？

6是否對硬件設(shè)備的訪問機(jī)制進(jìn)行了明確定義？

7由技術(shù)安全概念得出的時(shí)間約束是否在軟硬件接口規(guī)范中進(jìn)行了說明？

8是否對硬件的診斷特性進(jìn)行了明確定義？

9是否對需要在軟件中實(shí)現(xiàn)的對硬件的診斷特性進(jìn)行了明確定義？

10是否明確描述了硬件和軟件之間的每一項(xiàng)安全相關(guān)的關(guān)聯(lián)性？

11是否細(xì)化后的軟硬件接口都定義了對應(yīng)的驗(yàn)證準(zhǔn)則？

12是否細(xì)化后的軟硬件接口（HSI）規(guī)范的充分性由軟硬件開發(fā)人員進(jìn)行了共同驗(yàn)證？

表3硬件安全要求驗(yàn)證報(bào)告的審核及評估檢查清單

編號檢查清單

1是否在流程上定義了硬件安全要求驗(yàn)證？

2是否按照定義好的硬件安全要求驗(yàn)證活動實(shí)施了驗(yàn)證？

3硬件安全要求驗(yàn)證報(bào)告是否按照定義好的模板生成？

4驗(yàn)證活動是否驗(yàn)證了與技術(shù)安全概念、系統(tǒng)設(shè)計(jì)規(guī)范以及硬件規(guī)范的一致性？

5驗(yàn)證活動是否說明了技術(shù)安全要求分配給硬件要素的完整性?

6驗(yàn)證活動是否驗(yàn)證了與相關(guān)軟件安全要求的一致性？

7驗(yàn)證活動是否驗(yàn)證了硬件安全要求的正確性與準(zhǔn)確性？

注：附錄A提供了針對硬件安全要求開展審核及評估的說明及示例。

6硬件設(shè)計(jì)

目標(biāo)

本章的目標(biāo)是對硬件設(shè)計(jì)進(jìn)行審核及評估，以檢查其是否符合功能安全硬件設(shè)計(jì)的需要。

審核及評估的輸入

為了開展本章規(guī)定的審核及評估過程，應(yīng)具備以下輸入：

——硬件設(shè)計(jì)規(guī)范（包括硬件架構(gòu)設(shè)計(jì)和硬件詳細(xì)設(shè)計(jì)）；

——基于演繹法的硬件安全分析（例如：硬件FTA）；

——基于歸納法的硬件安全分析（例如：硬件FMEA）；

——相關(guān)失效分析（DFA）；

——硬件安全分析報(bào)告；

——硬件設(shè)計(jì)驗(yàn)證報(bào)告；

——與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢相關(guān)的需求規(guī)范。

其他支持材料：

——硬件安全需求規(guī)范；

——細(xì)化的軟硬件接口規(guī)范；

——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范。

3

GB/TXXXXX—XXXX

審核及評估的要求

對于硬件設(shè)計(jì)規(guī)范的審核及評估，應(yīng)涵蓋表4、表5、表6、表7的檢查項(xiàng)：

表4硬件設(shè)計(jì)規(guī)范的審核及評估檢查清單

序號檢查清單

1是否在流程上定義了硬件設(shè)計(jì)過程的要求（包括硬件架構(gòu)設(shè)計(jì)和硬件詳細(xì)設(shè)計(jì)）？

2是否定義硬件架構(gòu)設(shè)計(jì)模板并在項(xiàng)目上進(jìn)行了實(shí)施？

3是否定義硬件詳細(xì)設(shè)計(jì)模板并在項(xiàng)目上進(jìn)行了實(shí)施？

4所定義的硬件安全要求是否與硬件架構(gòu)保持了追溯性和一致性，并保持到硬件組件的最底層？

5硬件安全要求是否都分配給到了硬件要素及其子要素？每個(gè)硬件要素或子要素所定義的ASIL等級是否為分配

給它的所有要求中最高的ASIL等級？如果一個(gè)硬件要素是由ASIL等級低于要素ASIL等級或沒有指定ASIL等級

的子要素組成，那么是否滿足GB/T34590.9-XXXX第6章的共存準(zhǔn)則？

6硬件架構(gòu)設(shè)計(jì)中如果對硬件安全要求應(yīng)用ASIL等級分解,那么ASIL等級的分解是否按照GB/T34590.9-XXXX第

5章的要求進(jìn)行？

7硬件架構(gòu)設(shè)計(jì)是否按照對應(yīng)的ASIL等級根據(jù)GB/T34590.5-XXXX中的表1硬件架構(gòu)設(shè)計(jì)原則進(jìn)行設(shè)計(jì),并具有

模塊化特性,適當(dāng)?shù)牧６人胶秃唵涡?？如未按照ASIL等級要求選取硬件設(shè)計(jì)原則，是否有合理的理由說明？

8在硬件架構(gòu)設(shè)計(jì)時(shí)，是否考慮安全相關(guān)硬件組件失效的非功能性原因（如：溫度、振動、水、灰塵、電磁干

擾、噪聲因素、或來自硬件架構(gòu)的其他硬件組件或其所在環(huán)境的串?dāng)_。）？

9在進(jìn)行硬件詳細(xì)設(shè)計(jì)時(shí)，為避免常見的設(shè)計(jì)缺陷，是否運(yùn)用相關(guān)的經(jīng)驗(yàn)總結(jié)？

10在硬件詳細(xì)設(shè)計(jì)時(shí)，是否考慮安全相關(guān)硬件元器件失效的非功能性原因（如：溫度、振動、水、灰塵、電磁

干擾、噪聲因素、來自硬件組件的其他硬件元器件或其所在環(huán)境的串?dāng)_。）？

11硬件詳細(xì)設(shè)計(jì)是否考慮硬件元器件或硬件組件的任務(wù)剖面和運(yùn)行條件？是否保證硬件元器件或硬件組件在其

規(guī)格范圍內(nèi)運(yùn)行？

12硬件詳細(xì)設(shè)計(jì)是否考慮魯棒性設(shè)計(jì)原則？

表5硬件安全分析的檢查清單

序號檢查清單

1是否在流程上定義了硬件安全分析以識別硬件失效的原因和故障的影響？

2是否定義了針對不同ASIL等級硬件產(chǎn)品要求的定性的安全分析方法？

3是否定義適用的硬件安全分析模板或工具并在項(xiàng)目上進(jìn)行了實(shí)施？

4是否用安全分析針對每個(gè)安全相關(guān)的硬件組件或元器件識別以下內(nèi)容*：

適用于開發(fā)安全相關(guān)的嵌入式軟件，包括方法、指南、語言和工具；

a)安全故障；

b)單點(diǎn)故障或殘余故障；

c)多點(diǎn)故障（無論是可感知的、可探測的或潛伏的）。

注：適用于等級為ASIL(B)、C和D的安全目標(biāo)。

5對于防止導(dǎo)致單點(diǎn)失效的故障或減少殘余故障的而實(shí)施的安全機(jī)制，是否具備證明安全機(jī)制具有實(shí)現(xiàn)和保持

安全狀態(tài)的能力（特別是在容錯(cuò)時(shí)間間隔和最大故障處理時(shí)間間隔內(nèi)適當(dāng)?shù)氖p輕能力）的證據(jù)？由安全

機(jī)制實(shí)現(xiàn)的殘余故障的診斷覆蓋率是否已評估？

注：適用于等級為ASIL(A)、(B)、C和D的安全目標(biāo)。

6對于防止?jié)摲收隙鴮?shí)施的安全機(jī)制，是否具備證據(jù)以證明安全機(jī)制在可接受的多點(diǎn)故障探測時(shí)間間隔內(nèi)完

成潛伏故障的失效探測和實(shí)現(xiàn)或保持安全狀態(tài)及警示駕駛員的能力，以確定哪些故障保持潛伏，哪些故障可

4

GB/TXXXXX—XXXX

序號檢查清單

被探測到？由安全機(jī)制實(shí)現(xiàn)的潛伏故障的診斷覆蓋率是否已評估？

注：適用于等級為ASIL(A)、(B)、C和D的安全目標(biāo)。

7是否進(jìn)行相關(guān)失效分析以提供證據(jù)證明設(shè)計(jì)中的硬件要素與它們的獨(dú)立性要求相符合？

8如果硬件設(shè)計(jì)引入了新危害，且這個(gè)危害沒有被現(xiàn)有的HARA報(bào)告覆蓋，是否有變更管理流程對它們進(jìn)行引入

和評估？

注：FTA、FMEA、DFA按照GB/TXXXXX-XXXX《道路車輛功能安全審核及評估方法第1部分：通用要求》的檢查清單

進(jìn)行檢查。

表6硬件設(shè)計(jì)驗(yàn)證的審核及評估檢查清單

序號檢查清單

1是否在流程上定義了硬件設(shè)計(jì)驗(yàn)證過程的要求？

2是否按照定義的硬件設(shè)計(jì)驗(yàn)證活動實(shí)施了驗(yàn)證？

3是否定義硬件設(shè)計(jì)驗(yàn)證計(jì)劃的模板并在項(xiàng)目上進(jìn)行了實(shí)施？

4是否定義硬件設(shè)計(jì)驗(yàn)證規(guī)范的模板并在項(xiàng)目上進(jìn)行了實(shí)施？

5是否定義硬件設(shè)計(jì)驗(yàn)證報(bào)告的模板并在項(xiàng)目上進(jìn)行了實(shí)施？

6是否按照對應(yīng)的ASIL等級選取GB/T34590.5-XXXX表3的要求硬件設(shè)計(jì)驗(yàn)證方法，以驗(yàn)證硬件設(shè)計(jì)滿足硬件安

全要求，與軟硬件接口規(guī)范兼容以及用來生產(chǎn)和服務(wù)過程中實(shí)現(xiàn)功能安全的安全相關(guān)特殊特性的適用性？如

未按照ASIL等級要求選取方法，是否有合理的理由說明？

7在硬件設(shè)計(jì)過程中，如果發(fā)現(xiàn)任何硬件安全要求的實(shí)施是不可行的，是否按照GB/T34590.8-XXXX第8章中的

變更管理流程提出變更請求？

8是否根據(jù)硬件安全要求和硬件設(shè)計(jì)規(guī)范驗(yàn)證用于開發(fā)集成到硬件中的SEooC（獨(dú)立于環(huán)境的安全要素）的假設(shè)

的有效性？

表7與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的需求規(guī)范的檢查清單

序號檢查清單

1是否在流程上定義了需要產(chǎn)出與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的需求規(guī)范？

2是否定義與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢相關(guān)的需求規(guī)范模板并在項(xiàng)目上進(jìn)行了實(shí)施？

3是否有與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢相關(guān)的安全相關(guān)的特殊特性?

4是否定義這些安全相關(guān)的特殊特性？

——生產(chǎn)和運(yùn)行的驗(yàn)證措施；

——這些措施的接受準(zhǔn)則。

5如果安全相關(guān)硬件要素的錯(cuò)誤組裝、拆卸和報(bào)廢可能對實(shí)現(xiàn)或維護(hù)功能安全產(chǎn)生不利影響，是否該將避免錯(cuò)

誤執(zhí)行所需的信息告知負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的人員？

6安全相關(guān)硬件要素是否具有可追溯性？是否支持可進(jìn)行有效的現(xiàn)場監(jiān)測和可啟用召回或更換管理？

7如果錯(cuò)誤的服務(wù)可能對實(shí)現(xiàn)或維護(hù)功能安全產(chǎn)生不利影響，是否將避免此類影響執(zhí)行所需的信息定義至與生

產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢相關(guān)的需求規(guī)范中？是否告知負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的人員？

8硬件設(shè)計(jì)過程中產(chǎn)生的硬件要素的生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢要求，是否通過某種方式告知負(fù)責(zé)生產(chǎn)、運(yùn)行、

服務(wù)和報(bào)廢的人員？

9與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的需求規(guī)范是否通過驗(yàn)證？

注：附錄B提供了針對硬件設(shè)計(jì)開展審核及評估的說明及示例。

5

GB/TXXXXX—XXXX

7硬件架構(gòu)度量的評估

目標(biāo)

本章的目標(biāo)是通過評估硬件架構(gòu)度量（包括單點(diǎn)故障度量SPFM和潛伏故障度量LFM）是否達(dá)到目標(biāo)

值進(jìn)而評估相關(guān)項(xiàng)架構(gòu)或硬件元器件架構(gòu)應(yīng)對隨機(jī)硬件失效的有效性。

審核及評估的輸入

為了開展本章規(guī)定的審核及評估過程，應(yīng)具備以下輸入：

——相關(guān)項(xiàng)架構(gòu)應(yīng)對隨機(jī)硬件失效的有效性的分析；

——相關(guān)項(xiàng)架構(gòu)應(yīng)對隨機(jī)硬件失效的有效性評估的評審報(bào)告。

注：適用于等級為ASIL(B)、C和D的安全目標(biāo)。評估產(chǎn)品如果為硬件元器件，則審核對象為針對硬

件架構(gòu)相關(guān)的工作成果。

其他支持材料：

——硬件安全需求規(guī)范；

——硬件設(shè)計(jì)規(guī)范；

——硬件安全分析報(bào)告；

——硬件相關(guān)失效分析報(bào)告；

——技術(shù)安全概念（如適用）；

——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范（如適用）。

審核及評估的要求

對于硬件架構(gòu)度量的評估的審核及評估，應(yīng)涵蓋表8的檢查項(xiàng)：

表8硬件架構(gòu)度量的評估的審核及評估檢查清單

序號檢查清單

1是否在流程上定義了硬件架構(gòu)度量的評估？

2是否定義了硬件架構(gòu)度量評估的相關(guān)模板？

3是否在項(xiàng)目中按照所定義的流程及模板實(shí)施了硬件架構(gòu)度量評估？

4是否為已制定的安全機(jī)制確定了診斷覆蓋率？確定的診斷覆蓋率是否合理？

5硬件元器件預(yù)估失效率的確定是否采用了正確的方法？預(yù)估的失效率是否合理、正確？

6當(dāng)無法提供充足證據(jù)支持硬件元器件的失效率時(shí)，是否有相應(yīng)的替代方案？替代方案是否合理？

7是否為每一個(gè)安全目標(biāo)定義了單點(diǎn)故障度量（SPFM）的目標(biāo)值？

8是否為每一個(gè)安全目標(biāo)定義了潛伏故障度量（LFM）的目標(biāo)值？

9進(jìn)行硬件架構(gòu)度量評估時(shí)，是否將發(fā)生在安全相關(guān)硬件要素上的每個(gè)故障都進(jìn)行了正確的分類？

10是否每一個(gè)安全目標(biāo)的單點(diǎn)故障度量（SPFM）的計(jì)算都采用了正確的計(jì)算公式？

11是否每一個(gè)安全目標(biāo)滿足了已定義的單點(diǎn)故障度量（SPFM）的目標(biāo)值？

12是否每一個(gè)安全目標(biāo)的潛伏故障度量（LFM）的計(jì)算都采用了正確的計(jì)算公式？

13是否每一個(gè)安全目標(biāo)滿足了已定義的潛伏故障度量（LFM）的目標(biāo)值？

14是否對每一個(gè)安全目標(biāo)SPFM和LFM的結(jié)果進(jìn)行驗(yàn)證評審？

注：附錄C提供了針對硬件架構(gòu)度量的評估開展審核及評估的說明及示例。

8隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估

6

GB/TXXXXX—XXXX

目標(biāo)

本章的目標(biāo)是通過評估隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)進(jìn)而評估殘余風(fēng)險(xiǎn)是否足夠低。

審核及評估的輸入

為開展本章規(guī)定的審核及評估過程，應(yīng)具備以下輸入：

——由隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的分析；

——硬件專用措施的定義，如果需要，包括專用措施有效性的依據(jù)；

——對隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)進(jìn)行評估的評審報(bào)告。

注：適用于等級為ASIL(B)、C和D的安全目標(biāo)。

其他支持材料：

——硬件安全需求規(guī)范；

——硬件設(shè)計(jì)規(guī)范；

——硬件安全分析報(bào)告；

——硬件相關(guān)失效分析報(bào)告；

——技術(shù)安全概念（如適用）；

——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范（如適用）。

審核及評估的要求

對于隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估的審核及評估，應(yīng)涵蓋表9的檢查項(xiàng)：

表9隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估的審核及評估檢查清單

序號檢查清單

1是否在流程上定義了隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估？

2是否定義了隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)評估的相關(guān)模板？

3是否在項(xiàng)目中按照所定義的流程及模板實(shí)施了隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估？

4隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)評估中用到的硬件元器件預(yù)估失效率的確定是否采用了正確的方法？預(yù)估的

失效率是否合理、正確？

5隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估是采用了“隨機(jī)硬件失效概率度量”（PMHF）的評估方法，還是采用

了“對違背安全目標(biāo)的每個(gè)原因的評估”（EEC）的方法？

6單一硬件元器件單點(diǎn)故障是否存在有效論據(jù)證明其發(fā)生概率足夠低可被接受？

注：適用于ASILC和D的安全目標(biāo)。

7一個(gè)硬件元器件的殘余故障診斷覆蓋率低于90%是否存在有效論據(jù)證明其發(fā)生概率足夠低可被接受？

注：適用于ASILC和D的安全目標(biāo)。

8PMHF評估的定量目標(biāo)值是否表述為相關(guān)項(xiàng)整個(gè)運(yùn)行生命周期中每小時(shí)的平均概率？

9是否為隨機(jī)硬件失效在相關(guān)項(xiàng)層面導(dǎo)致違背每個(gè)安全目標(biāo)的最大可能性定義了定量目標(biāo)值？

10PMHF目標(biāo)值的分配是否滿足要求？

11是否有證據(jù)證明PMHF的目標(biāo)值已達(dá)到？

12采用EEC評估時(shí)，對違背所考慮的安全目標(biāo)的每個(gè)單點(diǎn)故障、殘余故障和雙點(diǎn)失效進(jìn)行的單獨(dú)評估是否在硬件

層面執(zhí)行？

13采用EEC評估時(shí)，是否能按照要求提供證據(jù)證明違背安全目標(biāo)的每個(gè)單點(diǎn)故障、殘余故障和雙點(diǎn)失效是可接受

的？

14采用EEC評估時(shí)，是否對硬件元器件失效率進(jìn)行了失效率等級評級？

7

GB/TXXXXX—XXXX

序號檢查清單

15采用EEC評估時(shí)，是否可以接受硬件元器件發(fā)生的單點(diǎn)故障？

16采用EEC評估時(shí)，是否可以接受硬件元器件發(fā)生的殘余故障？

17采用EEC評估時(shí)，雙點(diǎn)失效是否被認(rèn)識是可能的？

18采用EEC評估時(shí)，是否可以接受硬件元器件發(fā)生的可以導(dǎo)致雙點(diǎn)失效的雙點(diǎn)故障？

19是否對隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)評估的結(jié)果進(jìn)行驗(yàn)證評審？

注：附錄D提供了針對隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估開展審核及評估的說明及示例。

9硬件集成和驗(yàn)證

目標(biāo)

本章的目標(biāo)是對硬件集成和驗(yàn)證相關(guān)的活動和結(jié)果進(jìn)行審核及評估，以檢查硬件設(shè)計(jì)是否滿足硬件

功能安全要求和相應(yīng)的ASIL等級。

審核及評估的輸入

為了開展本章規(guī)定的審核及評估過程，應(yīng)具備以下輸入：

——硬件集成和驗(yàn)證計(jì)劃；

——硬件集成和驗(yàn)證規(guī)范；

——硬件集成和驗(yàn)證報(bào)告。

其他支持材料：

——硬件安全要求；

——硬件設(shè)計(jì)文檔；

——硬件安全分析報(bào)告。

審核及評估的要求

對于硬件集成和驗(yàn)證的審核及評估，應(yīng)涵蓋表10、表11、表12的檢查項(xiàng)：

表10硬件集成和驗(yàn)證計(jì)劃的審核及評估檢查清單

序號檢查清單

1是否在產(chǎn)品開發(fā)流程上定義了硬件集成和驗(yàn)證計(jì)劃？

2是否定義了硬件集成和驗(yàn)證計(jì)劃相關(guān)的模板并在項(xiàng)目中實(shí)施？

3是否在硬件集成和驗(yàn)證計(jì)劃中定義了驗(yàn)證對象信息，驗(yàn)證目的和驗(yàn)證通過準(zhǔn)則?

4是否在硬件集成和驗(yàn)證計(jì)劃中定義了符合產(chǎn)品硬件ASIL等級要求的活動與方法？

5是否在硬件集成和驗(yàn)證計(jì)劃中定義了符合產(chǎn)品硬件安全等級要求的測試策略？

6是否在硬件集成和驗(yàn)證計(jì)劃定義了驗(yàn)證相關(guān)的依賴項(xiàng)?

7是否在硬件集成和驗(yàn)證計(jì)劃中定義了驗(yàn)證失敗的應(yīng)對措施?

8是否對硬件集成和驗(yàn)證計(jì)劃變更定義了相應(yīng)的管理和追溯措施？

9是否對硬件集成和驗(yàn)證計(jì)劃進(jìn)行了同行評審（評審人員需滿足獨(dú)立性要求）？

表11硬件集成和驗(yàn)證規(guī)范的審核及評估檢查清單

序號檢查清單

8

GB/TXXXXX—XXXX

序號檢查清單

1是否在產(chǎn)品開發(fā)流程上定義了硬件集成和驗(yàn)證規(guī)范？

2是否定義了硬件集成和測規(guī)范相關(guān)模板并在項(xiàng)目中實(shí)施？

3是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的驗(yàn)證對象，驗(yàn)證目的和驗(yàn)證通過準(zhǔn)則?

4是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的測試活動和方法？

5是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的測試策略？

6是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的驗(yàn)證依賴項(xiàng)？

7是否在硬件集成和驗(yàn)證規(guī)范中定義了符合產(chǎn)品ASIL等級要求的測試用例？

8是否在硬件集成和驗(yàn)證規(guī)范中確認(rèn)了硬件安全要求與測試用例間的追溯性

9是否在硬件集成和驗(yàn)證規(guī)范中確認(rèn)了測試用例的完整性？

10是否在硬件集成和驗(yàn)證規(guī)范中確認(rèn)了測試用例的正確性？

11是否在硬件集成和驗(yàn)證規(guī)范中，根據(jù)產(chǎn)品ASIL等級,定義了硬件在環(huán)境和運(yùn)行應(yīng)力因素下的耐用性和魯棒性測試?

12是否對硬件集成和驗(yàn)證規(guī)范的變更定義了相應(yīng)的管理和追溯措施？

13是否對硬件集成和驗(yàn)證規(guī)范進(jìn)行了同行評審（評審人員需滿足獨(dú)立性要求）？

表12硬件集成和驗(yàn)證報(bào)告的審核及評估檢查清單

序號檢查清單

1是否在產(chǎn)品開發(fā)流程上定義了硬件集成和驗(yàn)證報(bào)告？

2是否定義了硬件集成和測試報(bào)告相關(guān)模板并在項(xiàng)目中實(shí)施？

3是否在硬件集成和驗(yàn)證報(bào)告中覆蓋了所有的測試案列？

4是否在硬件集成和驗(yàn)證報(bào)告中記錄了完整的測試數(shù)據(jù)？

5是否在硬件集成和驗(yàn)證報(bào)告中體現(xiàn)了測試用例完成狀態(tài)？

6是否在硬件集成和驗(yàn)證報(bào)告中體現(xiàn)了測試結(jié)果(每條測試用例）？

7是否對硬件集成和驗(yàn)證報(bào)告中的測試偏離項(xiàng)提供解釋說明或建議改進(jìn)措施？

8是否在硬件集成和驗(yàn)證報(bào)告明確了測試結(jié)論(通過或者失敗原因)？

9是否對硬件集成和驗(yàn)證報(bào)告進(jìn)行了同行評審（評審人員需滿足獨(dú)立性要求）？

注：附錄E提供了針對硬件集成和測試開展審核及評估的說明及示例。

10硬件要素評估

目標(biāo)

本章的目標(biāo)是通過對硬件要素在功能安全應(yīng)用背景下進(jìn)行評估，以檢查其失效是否會違背產(chǎn)品分配

的硬件功能安全要求。

本章中所涉及到的“硬件要素”術(shù)語指的是商業(yè)現(xiàn)成硬件組件或元器件,或指定制的硬件組件或器

件，即：

——最初不是按照GB/T34590開發(fā)或設(shè)計(jì)的；

——集成到符合GB/T34590的相關(guān)項(xiàng)或要素中，被認(rèn)為是與安全相關(guān)的。

在硬件要素的評估中,所考慮的硬件要素根據(jù)其特性分類三類:

——Ⅰ類要素由于功能簡單，因此不需要對其本身進(jìn)行評估，集成了類硬件要素的硬件開發(fā)應(yīng)按

照GB/T34590進(jìn)行；

——Ⅱ類要素的評估可以通過分析與測試結(jié)合的方式來完成；

9

GB/TXXXXX—XXXX

——Ⅲ類元素的評估，除了Ⅱ類要素所必需的評估活動以外，還需增加論證來證明安全目標(biāo)被違

背的風(fēng)險(xiǎn)或安全要求被違背的風(fēng)險(xiǎn)是足夠低的。

審核及評估的輸入

為開展本章規(guī)定的審核及評估過程，應(yīng)具備以下輸入：

——硬件要素評估計(jì)劃；

——硬件要素測試計(jì)劃(如適用)；

——硬件要素評估報(bào)告；

——硬件要素評估驗(yàn)證報(bào)告。

其他支持材料：

——硬件要素相關(guān)的安全要求；

——設(shè)計(jì)驗(yàn)證準(zhǔn)則（分析和測試）；

——生產(chǎn)商的硬件要素規(guī)范，如無，或硬件要素規(guī)范的假設(shè)。

審核及評估的要求

對于硬件要素評估的審核及評估，應(yīng)涵蓋表13、表14、表15的檢查項(xiàng)：

表13硬件要素評估計(jì)劃的審核及評估檢查清單

序號檢查清單

1是否在產(chǎn)品開發(fā)流程上定義了硬件要素評估計(jì)劃？

2是否定義了硬件要素評估計(jì)劃相關(guān)模板并在項(xiàng)目中實(shí)施？

3是否在硬件要素評估計(jì)劃中中定義了評估對象信息，評估目的以及評估通過準(zhǔn)則?

4是否在硬件要素評估計(jì)劃中定義了符合要素類別的評估策略？

5是否在硬件要素評估計(jì)劃中定義了符合要素類別的評估依據(jù)？

6是否在硬件要素評估計(jì)劃中定義了評估要素的依賴項(xiàng)？

7是否對硬件要素評估計(jì)劃中定義了評估要素的責(zé)任方?

8是否對硬件要素評估計(jì)劃變更定義了相應(yīng)的管理和追溯措施？

9是否對硬件要素評估計(jì)劃做了同行評審（評審人員需滿足獨(dú)立性要求）？

表14硬件要素測試計(jì)劃的審核及評估檢查清單（若適用)

序號檢查清單

1是否在產(chǎn)品開發(fā)流程上定義了硬件要素測試計(jì)劃？

2是否定義了硬件要素測試計(jì)劃相關(guān)模板并在項(xiàng)目中實(shí)施？

3是否在硬件要素測試計(jì)劃中定義了被測要素的信息，測試目的和測試通過準(zhǔn)則？

4是否在硬件要素測試計(jì)劃中定義了符合產(chǎn)品硬件ASIL等級要求的活動與方法?

5是否在硬件要素測試計(jì)劃中明確了分配到測試要素的安全要求?

6是否在硬件要素測試計(jì)劃中定義了需要參考的測試規(guī)范和順序?

7是否在硬件要素測試計(jì)劃中定義了裝配和連接的需求?

8是否在硬件要素測試計(jì)劃中定義了測試的依賴項(xiàng)?

9是否在硬件要素測試計(jì)劃中定義了被測要素?cái)?shù)量?

10是否對硬件要素測試計(jì)劃變更定義了相應(yīng)的管理和追溯措施？

11是否對硬件要素測試計(jì)劃做了同行評審（評審人員需滿足獨(dú)立性要求）？

10

GB/TXXXXX—XXXX

表15硬件要素評估報(bào)告的審核及評估檢查清單

序號檢查清單

1是否在產(chǎn)品開發(fā)流程上定義了硬件要素評估報(bào)告？

2是否定義了硬件要素評估報(bào)告相關(guān)模板并在項(xiàng)目中實(shí)施？

3是否在硬件要素評估報(bào)告中體現(xiàn)了基于分析的評估結(jié)果？

4是否在硬件組件鑒定報(bào)告中體現(xiàn)了基于測試的評估結(jié)果？

5對于III類硬件要素，是否在硬件要素評估報(bào)告中體現(xiàn)了基于額外鑒定措施（例：現(xiàn)場應(yīng)用經(jīng)驗(yàn)等）的評估

結(jié)果？

6是否對硬件要素評估報(bào)告中的偏離項(xiàng)提供了解釋說明或建議改進(jìn)措施？

7是否在硬件要素評估報(bào)告中明確了評估結(jié)論（通過或失?。?

8是否對硬件要素評估報(bào)告進(jìn)行了同行評審（評審人員需滿足獨(dú)立性要求）？

注：附錄F提供了針對硬件要素評估開展審核及評估的說明及示例。

11

GB/TXXXXX—XXXX

A

A

附錄A

（資料性）

硬件安全要求

硬件安全要求的審核及評估說明見表A.1。

表A.1硬件安全要求的審核及評估說明

序號檢查清單示例及說明

1是否在流程上定義了硬件安全要求如果適用，則應(yīng)檢查是否有流程文件對硬件安全要求的開發(fā)過程進(jìn)行了定義，

的開發(fā)？明確了流程步驟，人員分工以及必要的輸入及對應(yīng)的交付物。需求管理是否有

對應(yīng)的指南文件進(jìn)行指導(dǎo)和說明。

2是否定義硬件安全要求模板并在項(xiàng)如果適用，則應(yīng)檢查是否模板是否存在，模板內(nèi)包含GB/T34590.5-XXXX的6.4

目上進(jìn)行了實(shí)施？中硬件安全要求涉及內(nèi)容。

3是否定義了硬件安全要求和安全機(jī)如果適用，則應(yīng)檢查是否根據(jù)硬件內(nèi)部失效分析（DFMEA等）的結(jié)果定義了相

制控制硬件內(nèi)部失效（例如：對內(nèi)核關(guān)要求。

失效的檢測，對存儲失效的監(jiān)控）？示例1：根據(jù)DFMEA的分析結(jié)果，如果內(nèi)核失效，可能造成程序跑飛，需要檢

查是否有定義看門狗的定時(shí)和探測能力的要求。

示例2：根據(jù)DFMEA的分析結(jié)果，如果存儲區(qū)域失效，會造成數(shù)據(jù)丟失，需要檢

查是否有存儲區(qū)域的校驗(yàn)要求。

4是否定義了對外部失效容錯(cuò)的硬件如果適用，則應(yīng)檢查是否根據(jù)外部接口失效分析（系統(tǒng)FMEA等）的結(jié)果定義

安全要求和安全機(jī)制（例如：傳感器了相關(guān)要求。

開路或短路檢測的支撐電路）？例如：EPS的輸入開路時(shí)，有硬件安全要求支持對開路故障的檢測。

5為符合其它要素的安全要求的硬件如果適用，則應(yīng)檢查是否有硬件安全要求滿足根據(jù)來自其他系統(tǒng)的安全要求定

安全要求和安全機(jī)制的相關(guān)屬性？義。例如：有支持轉(zhuǎn)角、轉(zhuǎn)矩傳感器和電機(jī)供電狀態(tài)讀取的硬件安全要求。

6是否定義了硬件安全要求和安全機(jī)如果適用，則應(yīng)檢查是否有對應(yīng)發(fā)送失效信息的硬件安全要求，例如：設(shè)計(jì)點(diǎn)

制探測內(nèi)外部失效和發(fā)送失效信亮報(bào)警燈或發(fā)送CAN信號的硬件電路的硬件安全要求。

息？

7是否設(shè)定了硬件的度量目標(biāo)值？如果適用，則應(yīng)檢查定義的硬件度量設(shè)定目標(biāo)值是否符合單點(diǎn)故障度量和潛伏

注：適用于等級為ASIL(B)、C和D故障度量指標(biāo)的要求（GB/T34590.5-2022表4和表5）。

的安全目標(biāo)。如涉及ASIL分解，則應(yīng)檢查硬件度量設(shè)定目標(biāo)值是否按照分解前的ASIL等級設(shè)

置。

8是否設(shè)定了硬件的隨機(jī)硬件失效目如果適用，則應(yīng)檢查定義的硬件隨機(jī)失效設(shè)定目標(biāo)值是否滿足隨機(jī)硬件失效目

標(biāo)值？標(biāo)值（PMHF）或者對違背安全目標(biāo)的每個(gè)原因的評估（EEC）方法的定義。

注：適用于等級為ASIL(B)、C和Da）隨機(jī)硬件失效目標(biāo)值（PMHF見GB/T34590.5-XXXX的表6）；

的安全目標(biāo)。b）違背安全目標(biāo)的每個(gè)原因的評估（EEC）：

——針對單點(diǎn)故障的硬件元器件失效率等級目標(biāo)(見GB/T34590.5-XXXX表7和

表8)；

——針對雙點(diǎn)故障的硬件元器件失效率等級和覆蓋率的目標(biāo)(見

GB/T34590.5-XXXX表9)。

如果采用對違背安全目標(biāo)的每個(gè)原因的評估（EEC）方法，則需檢查是否需要

定義專用措施。專用措施可能包括：

12

GB/TXXXXX—XXXX

序號檢查清單示例及說明

——設(shè)計(jì)特征，如硬件元器件過設(shè)計(jì)（例如電氣或熱應(yīng)力等級）或者物理隔離

（例如印刷電路板上的觸點(diǎn)間隔）；

——專門的來料抽樣測試，以降低此失效模式發(fā)生的風(fēng)險(xiǎn)；

——老化測試；

——作為控制計(jì)劃一部分的專用控制設(shè)備；

——安全相關(guān)的特殊特性的分配。

9是否定義了線束或接插件的設(shè)計(jì)措如果適用，則應(yīng)檢查是否有相關(guān)定義，例如：線束屏蔽EMC干擾的硬件安全要

施要求？求，接插件插拔防呆的硬件安全要求。

10是否定義了相關(guān)項(xiàng)或要素的硬件設(shè)如果適用，則應(yīng)檢查是否有針對每條硬件安全需求都需定義硬件設(shè)計(jì)驗(yàn)證準(zhǔn)則

計(jì)驗(yàn)證準(zhǔn)則，包括環(huán)境條件（溫度、（設(shè)計(jì)評審或測試驗(yàn)證都可作為驗(yàn)證準(zhǔn)則）。

振動、EMI等）、特定的運(yùn)行環(huán)境（供例如：

電電壓、任務(wù)概述等）以及特定于組——硬件安全需求：XXX的電源接口應(yīng)提供3.3V的電壓給XXX傳感器；

件的要求？——驗(yàn)證準(zhǔn)則：設(shè)計(jì)評審。

11硬件安全要求所對應(yīng)的安全機(jī)制的如果適用且為單點(diǎn)故障，則應(yīng)檢查是否與所關(guān)聯(lián)的技術(shù)安全要求的容錯(cuò)時(shí)間間

容錯(cuò)時(shí)間間隔要求是否符合系統(tǒng)層隔要求保持一致。

級的定義？

12硬件安全要求所對應(yīng)的安全機(jī)制的如果適用且為多點(diǎn)故障，對于ASIL等級為C和D的安全目標(biāo)來說：

多點(diǎn)故障探測時(shí)間間隔要求是否符a）如果對應(yīng)的安全概念沒有描述明確的量值，則檢查是否參照安全概念的定

合系統(tǒng)層級的定義？義；

b）如果對應(yīng)的安全概念沒有描述明確的量值，則檢查多點(diǎn)故障探測時(shí)間間隔

是否等于或小于該相關(guān)項(xiàng)從上電到下電的周期。

如通過對隨機(jī)硬件失效的發(fā)生概率的定量分析來確定，則檢查是否符合MTTF的

合理性。

13硬件安全要求是否與技術(shù)安全要求如果適用，則應(yīng)檢查是否有驗(yàn)證報(bào)告可以表現(xiàn)有對追溯性和一致性的檢查，是

之間保持了追溯性和一致性?否可以提供工具統(tǒng)計(jì)的硬件安全要求與技術(shù)安全要求的覆蓋度報(bào)告或類似證

據(jù)。并對實(shí)際交付物進(jìn)行抽查，例如：硬件安全要求和技術(shù)安全要求的要求是

否都有獨(dú)立的ID，ID之間是否可以互相追溯，上下級要求之間描述是否一致。

14是否在流程上定義了軟硬件接口的無

細(xì)化活動？

15是否定義了軟硬件接口規(guī)范的模板無

并在項(xiàng)目上進(jìn)行了實(shí)施？

16是否細(xì)化了硬件設(shè)備的相關(guān)運(yùn)行模如果適用，則應(yīng)檢查運(yùn)行模式是否有定義，例如：上電、下電、初始化、故障

式和相關(guān)配置參數(shù)（例如：對看門狗模式等。及檢查對應(yīng)參數(shù)是否有配置，例如：看門狗的時(shí)間窗。

的配置）？

17是否確保了要素間獨(dú)立性或支持軟如果適用，則應(yīng)結(jié)合DFA分析的結(jié)果檢查是否對系統(tǒng)層面的軟硬件接口規(guī)劃進(jìn)

件分區(qū)的硬件特征？行了細(xì)化，例如：對多核MCU的核內(nèi)資源分配。

18是否對硬件資源的共用和專用進(jìn)行如果適用，則應(yīng)檢查例如：是否對內(nèi)存映射、寄存器分配、計(jì)時(shí)器、中斷、I/O

了明確定義？端口等進(jìn)行了細(xì)化。

19是否對硬件設(shè)備的訪問機(jī)制進(jìn)行了如果適用，則應(yīng)檢查例如：是否對硬件設(shè)備間的主從、串并關(guān)系進(jìn)行了細(xì)化。

明確定義？

20由技術(shù)安全概念得出的時(shí)間約束是如果適用，則應(yīng)檢查軟件和硬件的響應(yīng)時(shí)間之和是否滿足技術(shù)安全概念得出的

13

GB/TXXXXX—XXXX

序號檢查清單示例及說明

否在軟硬件接口規(guī)范中進(jìn)行了說時(shí)間約束。

明？

21是否對硬件的診斷特性進(jìn)行了明確如果適用，則應(yīng)檢查例如：是否定義了硬件的過流過壓過溫閾值，并在關(guān)聯(lián)的

定義？軟件安全要求里定義了診斷要求。

22是否對需要在軟件中實(shí)現(xiàn)的對硬件如果適用，則應(yīng)檢查例如：是否定義了硬件的過流過壓過溫閾值，并在關(guān)聯(lián)的

的診斷特性進(jìn)行了明確定義？軟件安全要求里定義了診斷要求。

23是否明確描述了硬件和軟件之間的如果適用，則應(yīng)根據(jù)例如：硬件FMEA和軟件FMEA的分析結(jié)果檢查是否都進(jìn)行了

每一項(xiàng)安全相關(guān)的關(guān)聯(lián)性？明確描述。

24是否細(xì)化后的軟硬件接口都定義了如果適用，則應(yīng)檢查每一條接口定義是否有關(guān)聯(lián)驗(yàn)證準(zhǔn)則（設(shè)計(jì)評審或測試驗(yàn)

對應(yīng)的驗(yàn)證準(zhǔn)則？證都可作為驗(yàn)證準(zhǔn)則），如需軟件實(shí)現(xiàn)的診斷特性，則堅(jiān)持軟件安全要求是否

有關(guān)聯(lián)驗(yàn)證準(zhǔn)則。

25是否細(xì)化后的軟硬件接口（HSI）規(guī)如果適用，則應(yīng)檢查設(shè)計(jì)評審及測試驗(yàn)證的參與人員角色。

范的充分性由軟硬件開發(fā)人員進(jìn)行

了共同驗(yàn)證？

26是否在流程上定義了硬件安全要求無

驗(yàn)證？

27是否按照定義好的硬件安全要求驗(yàn)無

證活動實(shí)施了驗(yàn)證？

28硬件安全要求驗(yàn)證報(bào)告是否按照定如果適用，則應(yīng)檢查是否應(yīng)用了定義好的模板，并適用于被評審的項(xiàng)目及產(chǎn)品，

義好的模板生成？變更記錄清晰完整，并有對應(yīng)的報(bào)告審核。

29驗(yàn)證活動是否驗(yàn)證了與技術(shù)安全概如果適用，則應(yīng)檢查是否有記錄體現(xiàn)一致性的證據(jù)。

念、系統(tǒng)設(shè)計(jì)規(guī)范以及硬件規(guī)范的一

致性？

30驗(yàn)證活動是否說明了技術(shù)安全要求如果適用，則應(yīng)檢查是否有記錄體現(xiàn)完整性的證據(jù)。

分配給硬件要素的完整性?

31驗(yàn)證活動是否驗(yàn)證了與相關(guān)軟件安如果適用，則應(yīng)檢查是否有記錄體現(xiàn)一致性的證據(jù)。

全要求的一致性？

32驗(yàn)證活動是否驗(yàn)證了硬件安全要求如果適用，則應(yīng)檢查是否有記錄體現(xiàn)正確性和準(zhǔn)確性的證據(jù)。

的正確性與準(zhǔn)確性？

14

GB/TXXXXX—XXXX

B

B

附錄B

（資料性）

硬件設(shè)計(jì)

硬件設(shè)計(jì)的審核及評估說明見表B.1。

表B.1硬件設(shè)計(jì)的審核及評估說明

序號檢查清單示例及說明（產(chǎn)品）

1是否在流程上定義了硬件設(shè)計(jì)過程如果適用，則應(yīng)檢查是否有流程文件對硬件設(shè)計(jì)過程進(jìn)行了定義（細(xì)分包括硬件

的要求（包括硬件架構(gòu)設(shè)計(jì)和硬件詳架構(gòu)設(shè)計(jì)和硬件詳細(xì)設(shè)計(jì)），明確了流程步驟，人員分工以及必要的輸入及對應(yīng)

細(xì)設(shè)計(jì)）？的交付物。

2是否定義硬件架構(gòu)設(shè)計(jì)模板并在項(xiàng)如果適用，則應(yīng)檢查硬件架構(gòu)設(shè)計(jì)模板的完整性和適用性，是否包含GB/T

目上進(jìn)行了實(shí)施？34590.5-XXXX中7.4.1的硬件架構(gòu)設(shè)計(jì)所涉及的內(nèi)容。

項(xiàng)目上若使用內(nèi)部模板，是否與定義的模板相一致。

3是否定義硬件詳細(xì)設(shè)計(jì)模板并在項(xiàng)如果適用，則應(yīng)檢查硬件詳細(xì)設(shè)計(jì)模板的完整性和適用性，是否包含GB/T34590.5

目上進(jìn)行了實(shí)施？7.4.2章節(jié)硬件詳細(xì)設(shè)計(jì)所涉及的內(nèi)容。項(xiàng)目上若使用內(nèi)部模板，是否與定義的模

板相一致。

4所定義的硬件安全要求是否與硬件如果適用，則應(yīng)檢查是否有驗(yàn)證報(bào)告表示所定義的硬件安全要求與硬件架構(gòu)（甚

架構(gòu)保持了追溯性和一致性，并保持至到硬件組件的最底層）保持了追溯性和一致性，是否有工具統(tǒng)計(jì)的硬件架構(gòu)與

到硬件組件的最底層？硬件安全要求的覆蓋度報(bào)告或類似證據(jù)。對實(shí)際交付物進(jìn)行抽查，例如：硬件安

全要求是否有獨(dú)立的ID，硬件架構(gòu)描述是否有獨(dú)立的ID，ID之間是否可以相互追

溯，相互之間的描述是否一致。

注：硬件安全要求的可追溯性不要求深入到硬件詳細(xì)設(shè)計(jì)。對于不能劃分為子元

器件的硬件元器件，不分配硬件安全要求。例如，試圖建立每個(gè)電容和電阻等硬

件的可追溯性既沒有意義，也沒有益處。

5硬件安全要求是否都分配給到了硬如果適用，則應(yīng)檢查是否有驗(yàn)證報(bào)告表示硬件要求都分配給了硬件要素及其子要

件要素及其子要素？每個(gè)硬件要素素，且每個(gè)硬件要素或子要素所定義的ASIL等級為分配給它的所有要求中最高的

或子要素所定義的ASIL等級是否為ASIL等級，并對交付物進(jìn)行抽查。

分配給它的所有要求中最高的ASIL如果一個(gè)硬件要素是由ASIL等級低于要素ASIL等級或沒有指定ASIL等級的子要

等級？如果一個(gè)硬件要素是由ASIL素組成，需要檢查DFA中基于硬件架構(gòu)對于ASIL等級低于要素ASIL等級或沒有

等級低于要素ASIL等級或沒有指定指定ASIL等級的子要素分析的完整性和正確性，證明其不存在干擾。

ASIL等級的子要素組成，那么是否滿示例：見GB/T34590.9-XXXX附錄B。

足GB/T34590.9-XXXX第6章的共存

準(zhǔn)則？

6硬件架構(gòu)設(shè)計(jì)中如果對硬件安全要如果適用，則應(yīng)檢查硬件架構(gòu)設(shè)計(jì)中硬件安全要求ASIL等級的分解的方案，分解

求應(yīng)用ASIL等級分解,那么ASIL等級方案滿足GB/T34590.9-XXXX第5章的要求。

的分解是否按照GB/T34590.9-XXXX示例：分配給電源ASILD要求可分解為兩路不同源的電源輸入，并且兩路的電源

第5章的要求進(jìn)行？都使用監(jiān)控輸出的電壓或電流的安全機(jī)制，那么這兩路電源的ASIL等級可以都為

ASILB（D）。

7硬件架構(gòu)設(shè)計(jì)是否按照對應(yīng)的ASIL如果適用，則應(yīng)根據(jù)GB/T34590.5-XXX表1按照對應(yīng)ASIL等級的要求檢查硬件

等級根據(jù)GB/T34590.5-XXX表1硬架構(gòu)框圖是否具有對應(yīng)的設(shè)計(jì)原則。如未按照ASIL等級要求選取硬件設(shè)計(jì)原則，