GB/T 34590.5-2022英文版翻译English 道路车辆功能安全第5部分:产品开发:硬件层面

ChinaAutoRegs|GB/T 34590.5-2022英文版翻译English 道路车辆功能安全第5部分:产品开发:硬件层面(英语版)
Road Vehicles—Functional Safety—Part 5: Product development at the hardware level

CONTENTS

Foreword
Introduction
1 Scope
2 Normative References
3 Terms and Definitions
4 Requirements
5 General topics for the product development at the hardware level
6 Specification of hardware safety requirements
7 Hardware design
8 Evaluation of the hardware architectural metrics
9 Evaluation of safety goal violations due to random hardware failures
10 Hardware integration and verification
Annex A (Informative) Overview of and workflow of product development at the hardware level
Annex B (Informative) Failure mode classification of a hardware element
Annex C (Informative) Hardware architectural metrics
Annex D (Informative) Evaluation of the diagnostic coverage
Annex E (Informative) Example calculation of hardware architectural metrics: “single-point fault metric” and “latent-fault metric”
Annex F (Informative) Example for rationale that objectives of Clause 9 in accordance with 4.2 are met
Annex G (Informative) Example of a PMHF budget assignment for an item consisting of two systems
Annex H (Informative) Example of latent fault handling
Bibliography

1 范围

道路车辆 功能安全 第5部分:产品开发:硬件阶段

GB/T 34590的本部分规定了车辆在硬件层面产品开发的要求,包括:
——硬件层面产品开发的概述;
——硬件安全要求的定义;
——硬件设计;
——硬件架构度量的评估;
——因随机硬件故障而导致违背安全目标的评估;及
——硬件集成和验证。 本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子系统的与安全相关的系统。
本文件不适用于特殊用途车辆上特定的电气/电子系统,例如,为残疾驾驶者设计的车辆。
注:其他专用的安全标准可作为本文件的补充,反之亦然。
已经完成生产发布的系统及其组件或在本文件发布日期前正在开发的系统及其组件不适用于本文 件。对于在本文件发布前完成生产发布的系统及其组件进行变更时,本文件基于这些变更对安全生命周 期的活动进行裁剪。未按照本文件开发的系统与按照本文件开发的系统进行集成时,需要按照本文件进 行安全生命周期的裁剪。
本文件针对由安全相关的电气/电子系统的功能异常表现而引起的可能的危害,包括这些系统相互 作用而引起的可能的危害。本文件不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐 蚀性、能量释放等相关的危害和类似的危害,除非危害是直接由安全相关的电气/电子系统的功能异常 表现表现而引起的。
本文件提出了安全相关的电气/电子系统进行功能安全开发的框架,该框架旨在将功能安全活动整 合到企业特定的开发框架中。本文件规定了为实现产品功能安全的技术开发要求,也规定了组织应具备 相应功能安全能力的开发流程要求。
本文件不针对电气/电子系统的标称性能。 本文件中对硬件要素的要求适用于非可编程和可编程硬件要素,如ASIC、FPGA和PLD,更多指南见
GB/T 34590.10和GB/T 34590.11。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。
GB/T 34590.1 道路车辆 功能安全 第1部分:术语(ISO 26262-1:2018,MOD)
GB/T 34590.2 道路车辆 功能安全 第2部分:功能安全管理(ISO 26262-2:2018,MOD)
GB/T 34590.4 道路车辆 功能安全 第4部分:产品开发:系统层面(ISO 26262-4:2018,MOD) GB/T 34590.6 道路车辆 功能安全 第6部分:产品开发:软件层面(ISO 26262-6:2018,MOD) GB/T 34590.7 道路车辆 功能安全 第7部分:生产、运行、服务和报废(ISO 26262-7:2018,MOD) GB/T 34590.8 道路车辆 功能安全 第8部分:支持过程(ISO 26262-8:2018,MOD)
GB/T 34590.9,道路车辆 功能安全 第9部分:以汽车安全完整性等级为导向和以安全为导向 的分析(ISO 26262-9:2018,MOD)

3 术语、定义和缩略语
GB/T 34590.1界定的术语、定义和缩略语适用于本文件。
4 要求
4.1 目的
本章规定了:
a) 如何符合 GB/T 34590;
b) 如何解释 GB/T 34590 中所使用的表格;及 c) 如何解释各章条基于不同的 ASIL 等级的适用性。
4.2 一般要求
如声明满足GB/T 34590的要求时,应满足每一个要求,除非有下列情况之一:
a) 按照 GB/T XXXXX.2 的要求,安全活动的剪裁已经实施并表明这些要求不适用;或
b) 不满足要求的理由存在且是可接受的,并且按照 GB/T XXXXX.2 的要求对该理由进行了评 估。
标有“注”或“示例”的信息仅用于辅助理解或阐明相关要求,不应作为要求本身且不具备完备性。 将安全活动的结果作为工作成果。应具备上一阶段工作成果作为“前提条件”的信息。如果章条的
某些要求是依照ASIL定义的或可剪裁的,某些工作成果可不作为前提条件。
“支持信息”是可供参考的信息,但在某些情况下,GB/T 34590不要求其作为上一阶段的工 作成果,并且可以是由不同于负责功能安全活动的人员或组织等外部资源提供的信息。
4.3 表的诠释
本文件中的表是规范性或资料性取决于上下文。在满足相关要求时,表中列出的不同方法有助于置 信度水平。表中的每个方法是:
a) 一个连续的条目(在最左侧列以顺序号标明,如 1、2、3);或
b) 一个选择的条目(在最左侧列以数字后加字母标明,如 2a、2b、2c)。 对于连续的条目,高度推荐和推荐的方法按照ASIL等级推荐予以使用。高度推荐或推荐的方法允许
用未列入表中的其它方法替代,此种情况下,应给出满足相关要求的理由。如果可以给出不选择所有条 目也能符合相应要求的理由,则不需要对缺省方法做进一步解释。
对于选择性的条目,应按照指定的ASIL等级对这些方法进行适当的组合,而与这些方法在表中是否 列出无关。如果所列出的方法对于一个ASIL等级来说具有不同的推荐等级,宜采用具有较高推荐等级的 方法。应给出选择组合方法或选择单一方法满足相应要求的理由。
注:在表中所列出方法的理由是充分的。但是,这并不意味着有倾向性或对未列到表中的方法表示反对。
对于每种方法,应用相关方法的推荐等级取决于ASIL等级,分类如下:
——“++”表示对于指定的 ASIL 等级,高度推荐该方法;
——“+” 表示对于指定的 ASIL 等级,推荐该方法;
——“o” 表示对于指定的 ASIL 等级,不推荐也不反对该方法。
4.4 基于 ASIL 等级的要求和建议
若无其它说明,对于ASIL A、 B、 C和D等级,应满足每一章条的要求或建议。这些要求和建议参 照安全目标的ASIL等级。如果在项目开发的早期对ASIL等级完成了分解,按照GB/T XXXXX-9第5章的要 求,应遵循分解后的ASIL等级。
如果GB/T 34590中ASIL等级在括号中给出,则对于该ASIL等级,相应的章条应被认为是推荐 而非要求。这里的括号与ASIL等级分解无关。

4.5 摩托车的适用性
对于适用于GB/T XXXXX.12要求的摩托车的相关项或要素,GB/T 34590.12的要求替代本部分和GB/T 34590.2的相应要求。
4.6 卡车、客车、挂车和半挂车的适用性
对卡车、客车、挂车和半挂车的特殊规定以(T&B)来表示。
5 硬件层面产品开发的概述
5.1 目的
本章的目的是描述硬件开发各子阶段中的功能安全活动。
5.2 总则
按照GB/T 34590.2,6.4.6来制定满足安全要求的硬件开发所需的活动和流程的计划。 图2阐明了为满足本文件要求的硬件层面产品开发的流程步骤,以及在GB/T 34590框架内这些步骤
的集成。
硬件层面产品开发的必要活动和流程包括:
——技术安全概念的硬件实现;
——分析潜在的硬件故障及其影响;及
——与软件开发的协调。 与软件开发子阶段相比,本文件包含两个章节,描述了对相关项整体硬件架构的定量评估。 第8章描述了两个度量,以评估相关项硬件架构和实施的安全机制应对随机硬件失效的有效性。
作为对第8章的补充,第9章描述了两种可选的方法以评估违背安全目标的残余风险是否足够低,一 种是应用全局概率方法(请参阅9.4.2,PMHF方法),另一种是应用割集分析方法(请参阅EEC方法9.4.3), 来研究硬件要素中所识别出每个故障对违背安全目标的影响。
注:在图中,GB/T 34590的每个部分的具体章用以下方式表示:“ m-n”,其中“ m”代表部分的编号,“ n”代 表章的编号,例如 “ 4-7”代表GB/T 34590.4第4部分第7章。
图 2 硬件层面产品开发参考阶段模型
6 硬件安全要求的定义
6.1 目的
本章的目的是:
a) 定义硬件安全要求。这些要求由技术安全概念和系统架构设计规范导出;
b) 细化最初在 GB/T 34590.4,6.4.7 中定义的软硬件接口规范;及
c) 验证硬件安全要求及软硬件接口规范与技术安全概念及系统架构设计规范的一致性。
6.2 总则
将技术安全要求分配给硬件和软件。既分配给硬件又分配给软件的要求被进一步划分出仅对硬件的 安全要求。考虑设计限制和这些限制对硬件的影响,对硬件安全要求进行进一步的细化。
6.3 本章的输入
6.3.1 前提条件
应具备如下信息:
——技术安全概念,按照 GB/T 34590.4,6.5.2;
——系统架构设计规范,按照 GB/T 34590.4,6.5.3;及
——软硬件接口规范,按照 GB/T 34590.4,6.5.4。
6.3.2 支持信息
可以考虑如下信息:
——软件安全需求规范(请参见 GB/T 34590.6,6.5.1);及
——硬件规范(来自外部)。 6.4 要求和建议
6.4.1 相关项硬件要素的硬件安全需求规范应从分配给硬件的技术安全要求中导出(源自 GB/T
34590.4,6.5.2)。
6.4.2 硬件安全需求规范应包括与功能安全有关的每一条硬件要求,包括以下内容:
a) 为控制要素硬件内部失效的硬件安全要求和安全机制的相关特性。这包括用于覆盖瞬态故障 (例如,由于所使用的技术而产生的瞬态故障)的内部安全机制;
示例 1:特性可能包括看门狗的定时和探测能力。
b) 为控制或者容忍要素外部失效的硬件安全要求和安全机制的相关特性;
示例 2:当外部失效发生时,如 ECU 的输入开路时,要求 ECU 应具备的功能表现。
c) 为符合其他要素的安全要求的硬件安全要求和安全机制的相关特性;
示例 3:对传感器或执行器的诊断。
d) 为探测内外部失效和发送失效信息的硬件安全要求和安全机制的相关特性;及
注 1:d)中描述的硬件安全要求包括防止故障潜伏的安全机制。
示例 4:安全机制中定义的硬件元器件的故障响应时间,要符合故障容错时间间隔。
e) 不定义安全机制的硬件安全要求。
示例 5:举例如下:
——为满足 6.4.3 和 6.4.4 所描述的随机硬件失效目标值的硬件要素要求;
——为避免特定行为的要求(例如,“一个特定的传感器不应该有一个不稳定的输出”);
——分配给执行预期功能的硬件要素的要求;及
——定义线束或接插件的设计措施的要求。
注 2:安全机制能用硬件、软件或软硬件结合的方式来实现。
6.4.3 本要求适用于等级为 ASIL(B),C 和 D 的安全目标。当为相关项硬件要素推导目标值时,应考 虑按照 GB/T 34590.4,6.4.5 的要求,为本文件第 8 章定义的度量设定目标值。
6.4.4 本要求适用于等级为 ASIL(B),C 和 D 的安全目标。当为相关项硬件要素推导目标值时,应考 虑按照 GB/T 34590.4,6.4.5 的要求,为本文件第 9 章定义的过程设定目标值。
注:除非同意使用9.4.3的EEC,否则在GB/T 34590.8 第5章定义的分布式开发情况下,此活动可能包括PMHF 目标值的分配。
6.4.5 硬件安全要求应按照 GB/T 34590.8 第 6 章的要求进行定义。
6.4.6 应定义相关项的硬件要素的设计验证准则,包括环境条件(温度、振动、EMI 等)、特定的运行 环境(供电电压、任务剖面等)以及组件的特定要求:
a) 通过硬件要素评估进行的验证,其准则应满足 GB/T 34590.8 第 13 章的要求;及
b) 通过测试进行的验证,其准则应满足本文件第 10 章的要求。
6.4.7 硬件安全要求应符合 GB/T 34590.4,6.4.2 中定义的安全机制的故障容错时间间隔,或者 最大故障处理时间间隔。
注:硬件设计中能定义一种可能够控制故障,但不能满足容错时间间隔或最大故障处理时间间隔的机制。在这种情 况下,进行本文件的第8章和第9章的定义的度量评估和ASIL等级分解时,不能考虑该机制。
6.4.8 硬件安全要求应符合按照 GB/T 34590.4,6.4.2 中定义的多点故障探测时间间隔。
注 1:对于 ASIL 等级为 C 和 D 的安全目标来说,如果对应的安全概念没有描述明确的量值,多点故障探测时间间隔 能定义为等于或小于该相关项从上电到下电的周期。
注 2:合适的多点故障探测时间间隔也能通过对随机硬件失效的发生概率的定量分析来确定(参见第 9 章)。
6.4.9 硬件安全要求应按照 GB/T 34590.8 第 9 章的要求进行验证,以提供证据证明其:
a) 与技术安全概念、系统设计规范以及硬件规范的一致性;
b) 关于技术安全要求分配给硬件要素的完整性;
c) 与相关软件安全要求的一致性;及
d) 正确性与准确性。
6.4.10 在 GB/T 34590.4,6.4.7 中最初定义的软硬件接口应被充分细化,以允许硬件被软件正确 的控制和使用,并且应描述出硬件和软件之间的每一项安全相关的关联性。
6.4.11 软硬件开发人员应共同负责验证细化后的软硬件接口规范的充分性。
6.5 工作成果
6.5.1 硬件安全需求规范(包括测试和评估准则),由 6.4.1~6.4.8 的要求得出。
6.5.2 软硬件接口规范(细化的),由 6.4.10 的要求得出。
注:此工作成果可以参考GB/T 34590.6 中6.5.2给出的相同的工作成果。
6.5.3 硬件安全要求验证报告,由 6.4.9 和 6.4.11 的要求得出。
7 硬件设计
7.1 目的
本章的目的是:
a) 创建一个硬件设计:
——支持以安全为导向的分析;
——考虑安全导向分析的结果;
——符合硬件安全要求;
——符合软硬件接口规范;
——符合系统架构设计规范;及
——满足所需的硬件设计特性;及
b) 定义在生产、运行、服务和报废期间的硬件功能安全要求并提供有关信息;及
c) 验证:
——硬件设计能满足硬件安全要求和软硬件接口规范;
——假设的有效性,此假设用于开发集成在已开发硬件中的每个 SEooC;及
——安全相关的特殊特性的适用性,以实现生产和服务期间的功能安全。 7.2 总则
硬件设计包括硬件架构设计和硬件详细设计。硬件架构设计表示所有的硬件组件以及它们彼此的相 互关系。硬件详细设计是在电子电气原理图级别上,表示构成硬件组件的元器件间的相互连接。
为开发同时符合硬件安全要求及所有的非安全要求的唯一的硬件设计,在此子阶段,应在同一开发 过程中处理安全和非安全性要求。
7.3 本章的输入
7.3.1 前提条件
应具备下列信息:
——硬件安全需求规范,按照 6.5.1;
——软硬件接口规范(细化的),按照 6.5.2;及
——系统架构设计规范,按照 GB/T 34590.4,6.5.3。
7.3.2 支持信息
可能考虑下列信息:
——软件安全需求规范(参见 GB/T 34590.6,6.5.1);及
——非安全相关的硬件需求规范(来自外部)。 7.4 要求和建议
7.4.1 硬件架构设计
7.4.1.1 硬件架构应实现第 6 章定义的硬件安全要求。
7.4.1.2 硬件安全要求应分配到对应的硬件要素,因此,每个硬件要素都应按照分配给它的所有要求中 最高的 ASIL 等级来开发。
注:硬件要素的各个特征将继承该要素所实现的硬件安全要求中最高的ASIL等级。
7.4.1.3 如果在硬件架构设计中对硬件安全要求应用了 ASIL 等级分解,ASIL 等级分解应按照 GB/T
34590.9,第 5 章的要求进行。
7.4.1.4 如果一个硬件要素是由 ASIL 等级低于要素 ASIL 等级或没有指定 ASIL 等级的子要素组成,除 非满足按照 GB/T 34590.9,第 6 章的共存准则,否则应按照最高的 ASIL 等级处理每个子要素。
7.4.1.5 对硬件安全要求和硬件架构设计要素之间的可追溯性,应保持到硬件组件的最底层。
注:硬件安全要求的可追溯性不要求深入到硬件详细设计。对于不能划分为子元器件的硬件元器件,不分配硬件安 全要求。例如,试图建立每个电容和电阻等硬件的可追溯性既没有意义,也没有益处。
7.4.1.6 为避免系统性故障,应通过使用表 1 中列出的原则,使硬件架构设计具有下述特性:
a) 模块化;
注:模块化使得硬件要素的设计无需修改就可以重复使用(如温度探测电路模块、微控制器中的ECC模块)。
b) 适当的粒度水平;及
注:其目的是架构在必要的详细程度上体现必要的信息,来显示安全机制的有效性。
c) 简单性。


现成译文,到款即发。
任取样页验证译文质量。
提供正规增值税电子发票。
请联系手机/微信: 133-0649-6964/Email: standardtrans@foxmail.com 购买完整译文。
专业源于专注|ChinaAutoRegs 始终专注于汽车标准翻译领域!迄今为止已翻译上千个国内外汽车标准法规!独家打造千万级汽车专业术语库和记忆库。
Note:
This document in English is readily available, and delivered immediately upon payment.
You may request for sample pages to your preference before placing an order.
Please contact standardtrans@foxmail.com for the complete PDF in English.

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注