GB/T 34590.3-2022英文版翻译English 道路车辆功能安全第3部分:概念阶段

ChinaAutoRegs|GB/T 34590.3-2022英文版翻译English 道路车辆功能安全第3部分:概念阶段(英语版)
Road Vehicles—Functional Safety—Part 3: Concept Phase

GB/T 34590.3-2022英文版翻译English 道路车辆功能安全第3部分:概念阶段

CONTENTS

Foreword
Introduction
1 Scope
2 Normative References
3 Terms and Definitions
4 Requirements
5 Item definition
6 Hazard analysis and risk assessment
7 Functional safety concept
Annex A (Informative) Overview of and workflow of concept phase
Annex B (Informative) Hazard analysis and risk assessment
Bibliography

1 范围

GB/T 34590的本文件规定了车辆在概念阶段的要求,包括:
——相关项定义;
——危害分析和风险评估;
——功能安全概念。
本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子系统的与安全 相关的系统。
本文件不适用于特殊用途车辆上特定的电气/电子系统,例如,为残疾驾驶者设计的车辆。 注:其他专用的安全标准可作为本文件的补充,反之亦然。 已经完成生产发布的系统及其组件或在本文件发布日期前正在开发的系统及其组件不适用于本文
件。对于在本文件发布前完成生产发布的系统及其组件进行变更时,本文件基于这些变更对安全生命周 期的活动进行裁剪。未按照本文件开发的系统与按照本文件开发的系统进行集成时,需要按照本文件进 行安全生命周期的裁剪。
本文件针对由安全相关的电气/电子系统的功能异常表现而引起的可能的危害,包括这些系统相互 作用而引起的可能的危害。本文件不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐 蚀性、能量释放等相关的危害和类似的危害,除非危害是直接由安全相关的电气/电子系统的功能异常 表现表现而引起的。
本文件提出了安全相关的电气/电子系统进行功能安全开发的框架,该框架旨在将功能安全活动整 合到企业特定的开发框架中。本文件规定了为实现产品功能安全的技术开发要求,也规定了组织应具备 相应功能安全能力的开发流程要求。
本文件不针对电气/电子系统的标称性能。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。
GB/T 34590.1 道路车辆 功能安全 第1部分:术语(ISO 26262-1:2018,MOD)
GB/T 34590.2 道路车辆 功能安全 第2部分:功能安全管理(ISO 26262-2:2018,MOD)
GB/T 34590.4 道路车辆 功能安全 第4部分:产品开发:系统层面(ISO 26262-4:2018,MOD) GB/T 34590.8 道路车辆 功能安全 第8部分:支持过程(ISO 26262-8:2018,MOD)
GB/T 34590.9 道路车辆 功能安全 第9部分:以汽车安全完整性等级为导向和以安全为导向 的分析(ISO 26262-9:2018,MOD)

3 术语、定义和缩略语

GB/T 34590.1界定的术语、定义和缩略语适用于本文件。

4 要求

目的

本章规定了:
a) 如何符合 GB/T 34590;
b) 如何解释 GB/T 34590 中所使用的表格;及 c) 如何解释各章条基于不同的 ASIL 等级的适用性。

一般要求

如声明满足GB/T 34590的要求时,应满足每一个要求,除非有下列情况之一: a) 按照 GB/T 34590.2 的要求,安全活动的剪裁已经实施并表明这些要求不适用;或
b) 不满足要求的理由存在且是可接受的,并且按照 GB/T 34590.2 的要求对该理由进行了评估。 标有“注”或“示例”的信息仅用于辅助理解或阐明相关要求,不应作为要求本身且不具备完备性。 将安全活动的结果作为工作成果。应具备上一阶段工作成果作为“前提条件”的信息。如果章条的
某些要求是依照ASIL定义的或可剪裁的,某些工作成果可不作为前提条件。 “支持信息”是可供参考的信息,但在某些情况下,GB/T 34590不要求其作为上一阶段的工作成果,
并且可以是由不同于负责功能安全活动的人员或组织等外部资源提供的信息。

表的诠释

本文件中的表是规范性或资料性取决于上下文。在满足相关要求时,表中列出的不同方法有助于置 信度水平。表中的每个方法是:
a) 一个连续的条目(在最左侧列以顺序号标明,如 1、2、3);或
b) 一个选择的条目(在最左侧列以数字后加字母标明,如 2a、2b、2c)。
对于连续的条目,高度推荐和推荐的方法按照ASIL等级推荐予以使用。高度推荐或推荐的方法允许 用未列入表中的其它方法替代,此种情况下,应给出满足相关要求的理由。如果可以给出不选择所有条 目也能符合相应要求的理由,则不需要对缺省方法做进一步解释。
对于选择性的条目,应按照指定的ASIL等级对这些方法进行适当的组合,而与这些方法在表中是否 列出无关。如果所列出的方法对于一个ASIL等级来说具有不同的推荐等级,宜采用具有较高推荐等级的 方法。应给出选择组合方法或选择单一方法满足相应要求的理由。
注:在表中所列出方法的理由是充分的。但是,这并不意味着有倾向性或对未列到表中的方法表示反对。
对于每种方法,应用相关方法的推荐等级取决于ASIL等级,分类如下:
——“++”表示对于指定的 ASIL 等级,高度推荐该方法;
——“+”表示对于指定的 ASIL 等级,推荐该方法;
——“o”表示对于指定的 ASIL 等级,不推荐也不反对该方法。

基于 ASIL 等级的要求和建议

若无其它说明,对于ASIL A、 B、 C和D等级,应满足每一章条的要求或建议。这些要求和建议参 照安全目标的ASIL等级。如果在项目开发的早期对ASIL等级完成了分解,按照GB/T 34590.9第5章的要 求,应遵循分解后的ASIL等级。
如果GB/T 34590中ASIL等级在括号中给出,则对于该ASIL等级,相应的章条应被认为是推荐而非要 求。这里的括号与ASIL等级分解无关。

摩托车的适用性

对于适用于GB/T 34590.12要求的摩托车的相关项或要素,GB/T 34590.12的要求替代本文件和GB/T 34590.2的相应要求。

卡车、客车、挂车和半挂车的适用性

对卡车、客车、挂车和半挂车的特殊规定以(T&B)来表示。

5 相关项定义

目的

本章的目的是:
a) 在整车层面对相关项进行定义和描述,包括功能,其与驾驶员、环境和其他相关项的依赖性和 交互;及
b) 对充分理解相关项提供支持,以便执行后续阶段的活动。

总则

本章为建立相关项的定义列出了要求和建议,相关项的定义包括其功能、接口、环境条件、法规要 求和危害。该定义为执行后续子阶段:“危害分析和风险评估”(本文件第6章)和“功能安全概念”
(本文件第7章)的人员提供了关于相关项的充足信息。
注:表A.1提供了概念阶段的目的、前提条件和工作成果的概览。

本章的输入

5.3.1 前提条件

无。

5.3.2 支持信息

可考虑如下信息:
——任何与相关项有关的已有信息,例如产品理念、项目梗概、相关专利、预试验结果、来自前 代相关项的文档、其他相关项的相关信息。

要求和建议

5.4.1 应给出相关项的要求,包括: 注1:在定义了安全目标和相应的ASIL等级后,这些要求可归类为是与安全相关的。 注2:如果当前没有功能性和非功能性的要求,可由本章的要求来促成该信息的生成。 a) 法规要求、国家标准和国际标准;
b) 整车层面的功能行为,包括运行模式或运行状态;
C) 所要求的质量、性能和功能的可用性(如果适用);
d) 相关项的约束,例如:功能依赖性、与其他相关项的依赖性、运行环境; e) 行为不足的潜在后果(如有),包括已知的失效模式和危害;及 注3:可包括已知的且包含类似相关项的安全相关事件。
f) 执行器的能力,或其假定的能力。
注4:在进行危害分析和风险评估的过程中,这些参数(例如:输出扭矩、所受的力、运行速度、亮度、音量)的值

或其估算值,对于确定影响的程度是必要的。在确定严重度等级和可控性等级时,需要将这些影响程度考虑在 内。
5.4.2 定义相关项的边界、接口以及提出与其他相关项及要素交互关系的假设时,应考虑: a) 相关项的要素;
注1:要素也可基于其他技术。
b) 相关项的行为对整车的影响的假设;
c) 其他相关项和要素要求本相关项提供的功能; d) 本相关项要求其他相关项和要素提供的功能; e) 功能在所涉及的系统和要素间的分配;及
f) 影响相关项功能的运行场景。
注2:随着整车功能复杂性的增加,相关项之间存在依赖性。一个相关项可以通过一组系统来实现,这些系统本身也 实施了其他整车层面功能,即,这些系统也可以被视为不同相关项。
示例:自适应巡航控制和车道保持辅助的组合功能由一套制动系统、一套转向系统和一套驱动系统实现。在此示例 中,制动系统实现了行车制动功能,其本身也可以视为一个相关项。
注3:如果开发范围是要素而不是相关项,请参阅GB/T 34590.2,6.4.5.7。

工作成果

5.5.1 相关项定义,由 5.4 的要求得出。

6 危害分析和风险评估

目的

本章的目的是:
a) 识别并分类由相关项中的功能异常表现引起的危害事件;
b) 定义接受准则,包括危害行为的安全度量,以及由接受准则导出安全确认目标,用于评估残余 风险;及
c) 制定防止危害事件发生或减轻危害程度的安全目标及其相应的 ASIL 等级,以避免不合理的风 险。

总则

危害分析、风险评估和ASIL等级的确定用于确定相关项的安全目标。为此,根据相关项的潜在危害 事件,对相关项进行评估。通过对危害事件进行系统性的评估确定安全目标及分配给他们的ASIL等级。 ASIL等级的确定需要考虑严重度、暴露概率和可控性。严重度、暴露概率和可控性的确定基于相关项的 功能行为,因而不一定需要知道相关项的设计细节。

本章的输入

6.3.1 前提条件

应具备以下信息:
——相关项定义,按照 5.5.1。

6.3.2 支持信息

可考虑如下信息:

——其他相关项的相关信息(来自外部)。

要求和建议

6.4.1 危害分析和风险评估的启动

6.4.1.1 应基于相关项定义进行危害分析和风险评估。
6.4.1.2 在危害分析和风险评估过程中,应对不含内部安全机制的相关项进行评估,即,在危害分析 和风险评估过程中不应考虑将要实施或已经在先前相关项中实施的安全机制。
注1:在对相关项进行评估过程中,可用的且充分独立的外部措施是有益的。 示例:如果电子稳定性控制被证明是可用的,并且与被评估的相关项充分独立,那么其能够通过增加驾驶员的可控
性来减轻底盘系统失效的影响。
注2:相关项中将要或已经实施的安全机制是功能安全概念的一部分。

6.4.2 场景分析和危害识别

6.4.2.1 应对相关项的功能异常表现导致一个危害事件发生时所处的运行工况及运行模式进行描述, 包括正确的使用车辆和合理可预见的不正确使用车辆的情况。
注1:运行场景描述了假定相关项是以安全的方式运行的条件。 注2:由相关项非失效情况下的行为导致的危害,不属于本文件的范围。
6.4.2.2 应基于相关项可能的功能异常表现系统性地确定危害。
注1:FMEA方法和HAZOP适用于支持相关项层面的危害识别。这些可以通过头脑风暴、检查表、质量历史记录和现场 研究来支持。
注2:通过建立外部措施以减轻货物运输过程带来的额外风险的责任不属于GB/T 34590的范围。因此,与货物运输相 关的额外风险不属于危害分析和风险评估的部分。
6.4.2.3 应在整车层面定义由相关项的功能异常表现导致的危害。
注1:通常,每一个危害有多种与相关项的实现相关的潜在原因,但在危害分析和风险评估中对于功能异常表现的分 析时,不需要考虑这些原因。
注2:仅考虑与相关项功能异常表现相关的危害;假设其他充分独立的系统(外部措施)均正确工作。
6.4.2.4 如果在本章中所识别出的危害超出了 GB/T 34590 的范围(本文件第 1 章),应按照组织的特 定流程处理这些危害。
注:由于这些危害超出了GB/T 34590的范围,因此本文件未提供有关这些危害的ASIL等级的合规性指导,对此类危 害的分类按照适用的安全流程进行。
6.4.2.5 应确定相关的危害事件。
6.4.2.6 应识别危害事件的后果。 注:如果相关项层面的功能异常表现导致该相关项丧失多个功能,则场景分析和危害识别要考虑其综合影响。 示例1:制动系统(ESC)的功能丧失可能导致驾驶辅助功能同步无效。 示例2:整车供电系统的失效能导致同时丧失一系列功能,包括:“发动机扭矩”、“助力转向”及“前向照明”。
6.4.2.7 应确保所选择的运行场景列表的详细程度不会导致 ASIL 等级的不适当降低。
注:对一个危害来说,一个非常详细的关于车辆状况、道路条件和环境条件的运行场景列表(本文件6.4.2.1),会 使得用于危害事件分类的场景的颗粒度更为精细。这可以更容易地评估可控性和严重度。然而,大量的不同运 行场景可能导致相应地降低各自的暴露等级,从而导致不恰当地降低ASIL等级。这可以通过合并类似的场景来 避免。
6.4.3 危害事件分类

6.4.3.1 应对在 6.4.2 中识别出的所有的危害事件进行分类,不含超出 GB/T 34590 范围的危害事件。
注:如果难以对一个给定的危害进行严重度(S)、暴露概率(E)或可控性(C)的分级,需要采取保守分级的方法, 即,一旦分级存在合理的怀疑,就采用较高的S、E或C等级。
6.4.3.2 对于每一个危害事件,应基于确定的理由来预估潜在伤害的严重度。应按照表 1 为严重度指 定一个 S0、S1、S2 或 S3 的严重度等级。
注1:危害事件的风险评估关注的是潜在的处于风险中的每个人受到的伤害情况——包括引起危害事件的车辆的驾 驶员或乘客,以及其他潜在的处于风险中的人员,如骑自行车的人员、行人或其他车辆上的人员。附录B中介 绍的简明损伤定级(AIS)可用于界定伤害的严重度;此外,附录B中还包括不同类型的严重度和事故的参考示 例。
注2:严重度的分级可基于对多个伤害的综合性的考量,相比只考虑单一伤害的评估结果而言,这样可能会导致一个 较高的严重度等级。
注3:对被评估中的运行场景,严重度预估要考虑事件发生的合理顺序。 注4:严重度的评级基于涉险人员的代表性样本。
6.4.3.3 有的运行场景会导致伤害(例如事故),在此运行场景下,其相关项后续的功能异常表现会 增加或无法减小所产生的伤害,在这种情况下,严重度的分级可以仅限于初始运行场景(例如事故)和 相关项功能异常表现所产生的严重度差异。
示例1:如果事故的发生不是由相关项的功能异常表现导致,则严重度的分级不用考虑事故所产生的伤害。 示例2:被考虑的相关项包含用于减少碰撞所致伤害的安全气囊功能。如果事故发生时安全气囊未能正常打开,那么
由碰撞导致的伤害可以被确定。如果相同事故中安全气囊正常打开可以将伤害降低到一个较低的严重度等级,那么,在 严重度评级时只需考虑两者的差异。
6.4.3.4 如果经过危害分析和风险评估,确定相关项的功能异常表现的后果明显仅限于物体损坏并不 涉及对人员的伤害,则该危害的严重度等级可为 S0。如果一个危害事件的严重度等级为 S0,则无需分 配 ASIL 等级。
6.4.3.5 对于每一个危害事件,应基于确定的理由预估每个运行场景的暴露概率。按照表 2,应为暴 露概率指定一个 E0、E1、E2、E3 或 E4 的概率等级。
注1:从E1到E4等级,两个相邻E等级间的概率差异是一个数量级。 注2:暴露度的确定基于目标市场中有代表性的运行场景样本。 注3:暴露概率的更多信息和示例本文件附录B。
6.4.3.6 当预估暴露概率时,不应考虑装备该相关项的车辆数量。
注:暴露概率的评估是基于假设每个车辆都配备有该相关项进行的。这意味着“因为该相关项未装备在每台车辆上
(只有一些车辆装备该相关项),所以暴露概率会降低”的观点是不成立的。
6.4.3.7 暴露概率等级 E0 可用于在危害分析和风险评估过程中所建议的那些认为是难以置信的场景, 无需进一步探讨。应记录排除这些场景的理由。如果一个危害事件的暴露度等级被指定为 E0,则无需 分配 ASIL 等级。
示例:E0 可用于“不可抗力”风险的情况(本文件 B.3)。
6.4.3.8 对于每一个危害事件,应基于一个确定的理由预估驾驶员或其他处于运行场景的人员对该危 害事件的可控性。应按照表 3 为可控性指定一个 C0、C1、C2 或 C3 的可控性等级。
注1:从C1至C3等级,两个相邻C等级间的概率差异是一个数量级。 注2:可控性评估是指对人员能够充分控制危害事件以避免特定伤害概率的预估。因此,使用级别分别为C0,C1,C2
和C3的参数C,以对避免伤害的可能性进行分类。 假设驾驶员处于正常的状态(例如,驾驶员不疲劳),接受 了恰当的驾驶员培训(驾驶员有驾驶执照)并且遵守所有适用的法律法规,包括应有的谨慎以避免为其他交通 参与者带来风险。表B.6中列出了一些示例,这些示例对这些等级做出解释。
注3:要考虑合理可预见的误用,例如“作为一种常见的行为,没有与前方车辆保持所需的距离”。 注4:当危害事件与车辆方向和速度的控制无关时,例如肢体卡在运动部件中,该可控性是对涉险人员能够从危害场
景中移出自身或被其他人员移出的概率预估。当考虑可控性时,要注意的是涉险人员可能不熟悉相关项的操 作,或者可能没有意识到潜在的危害情况的发生。
注5:当可控性涉及多个交通参与者的行为时,可控性评估可以基于带有功能异常相关项的车辆的可控性,以及其他 参与者的假定行为。
6.4.3.9 如果相关项不可用的危害不影响车辆的安全运行(例如一些驾驶员辅助系统),或者可以通 过常规的驾驶员行为来避免事故,则该危害事件的可控性等级可为 C0。如果一个危害事件的可控性等 级为 C0,则无需分配 ASIL 等级。
示例1:如果试图开车出门时,在车库中发生了动力丢失的情况,可以选择 C0,因为任何驾驶员都可以把车停回车 库。
注:在选择合适的可控性等级时,若有适用于相关危害事件的专用法规规定了其功能性能,并有证据(例如真实的 使用体验)支撑,则该法规可以作为理由的一部分。
示例2:某个包含了车辆系统认证要求的专用法规,精确地定义了在失效情况下车辆系统应具备的力或加速度。
6.4.3.10 每一个危害事件的 ASIL 等级基于严重度、暴露概率和可控性的分级,并按照表 4 来确定。 注1:4个ASIL等级:ASIL A、ASIL B、ASIL C和ASIL D,其中ASIL A是最低的安全完整性等级,ASIL D是最高的。 注2:除了这4个ASIL等级之外,QM(质量管理)等级表示GB/T 34590不做要求。然而,相应的危害事件可能会影响安全,这种情况下需制定安全要求。QM等级表明质量流程足以管理已识别的风险。


现成译文,到款即发。
任取样页验证译文质量。
提供正规增值税电子发票。
请联系手机/微信: 133-0649-6964/Email: standardtrans@foxmail.com 购买完整译文。
专业源于专注|ChinaAutoRegs 始终专注于汽车标准翻译领域!迄今为止已翻译上千个国内外汽车标准法规!独家打造千万级汽车专业术语库和记忆库。
Note:
This document in English is readily available, and delivered immediately upon payment.
You may request for sample pages to your preference to verify the quality of translation.
Please contact standardtrans@foxmail.com for the complete PDF in English.

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注