GBT - 《道路车辆功能安全》第2&3部分 - 功能安全管理&概念阶段.docx-道客多多

资源描述

1、ICS 43.020 T40中华人民共和国国家标准GB/T XXXXXXXXX道路车辆功能安全第 2 部分：功能安全管理Road vehicles Functional safety Part 2: Management of functional safety（ ISO 26262-2： 2011， MOD）征求意见稿（本稿完成日期： 20150423）XXXX - XX - XX 发布 XXXX - XX - XX 实施GB/T XXXXXXXXXI目录前言 II引言 .III1 范围 .12 规范性引用文件 13 术语

2、和定义 14 要求 .25 整体安全管理 .26 概念阶段和产品开发过程中的安全管理 77 相关项生产发布后的安全管理 .14附录 A16附录 B17附录 C18附录 D20附录 E21GB/T XXXXXXXXXII前言GB/T XXXXX 道路车辆功能安全包括十个部分：第 1部分：术语；第 2部分：功能安全管理；第 3部分：概念阶段；第 4部分：产品开发：系统层面；第 5部分：产品开发：硬件层面

3、；第 6部分：产品开发：软件层面；第 7部分：生产和运行；第 8部分：支持过程；第 9部分：汽车安全完整性等级导向和安全导向分析；第 10部分：指南。本部分为 GB/T XXXXX的第 2部分。本部分按照 GB/T 1.1-2009给出的规则起草。本部分修改采用国际标准 ISO 26262-2：2011Road vehicles Functional safety Part 2:Management of functional sa

4、fety 。本部分由国家标准化管理委员会提出。本部分由全国汽车标准化技术委员会（ SAC/TC114）归口。本部分起草单位：本部分主要起草人：GB/T XXXXXXXXX3引言ISO 26262 是以 IEC61508 为基础，为满足道路车辆上特定电子电气系统的需求而编写。ISO 26262 适用于道路车辆上特定的由电子、电气和软件组件组成的安全相关系统在安全生命周期内的所有活动。安

5、全是未来汽车发展的关键问题之一，不仅在驾驶员辅助和动力驱动领域，而且在车辆动态控制和主被动安全系统领域，新的功能越来越多地触及到系统安全工程领域。这些功能的开发和集成将强化对安全的系统开发流程的需求，及提供证据证明全部合理的系统安全目标得到满足的需求。随着技术日益复杂、软件内容和机电一体化应用不断增加，来自系统性失效和随机硬件失效的风险逐渐增加。 ISO 26262 包

6、含了通过提供适当的要求和流程来避免风险的指导。系统安全是通过一系列安全措施实现的。安全措施通过各种技术（例如，机械、液压、气压、电子、电气、可编程电子等）实现且应用于开发过程中的不同层面。尽管 ISO 26262 针对的是电子电气系统的功能安全，但是它也提供了一个基于其它技术的与安全相关系统的框架。 ISO 26262：a) 提供了一个汽车安全

7、生命周期 (管理、开发、生产、运行、维护、报废 )，并支持在这些生命周期阶段内对必要活动的剪裁；b) 提供了一种汽车特定的基于风险的分析方法以确定完整性等级汽车安全完整性等级 (ASIL)； c) 运用汽车安全完整性等级 (ASIL)定义 ISO 26262 中适用的要求，以避免不合理的残余风险； d) 提供了对于确认和认可措施的要求，以确保达到

8、一个充分、可接受的安全等级；e) 提供了与供应商关系的要求。功能安全受开发过程 (例如包括需求规范、设计、实现、集成、验证、确认和配置 )、生产过程、维护过程和管理过程的影响。安全问题与常规的以功能为导向和以质量为导向的开发活动和工作成果相互关联。 ISO 26262 涉及与安全相关的开发活动和工作成果。图 1为 ISO 26262的整体架构。 ISO 26262基

9、于 V模型为产品开发不同阶段提供过程参考：阴影 ”V”表示标准中第 3、 4、 5、 6 和 7 部分之间的关系；以 “m-n”方式表示的具体条款中， “m”代表特定部分的编号， “n”代表该部分章条的编号。示例： “2-6” 代表 GB/T XXXXX-2 的第 6 章。4GB/T XXXXXXXXX图1 GB/T XXXXX概览1道路车辆功能安全第2部分：功能安全管理1 范围GB/T XXXXX适用于安装在最大总质量不超过 3.5吨的量产

10、乘用车上的包含一个或多个电子电气系统的与安全相关系统。GB/T XXXXX不适用于安装在特殊用途车辆上的特定的电子电气系统，例如为残疾驾驶者设计的车辆。已经完成生产发布的系统及其组件或在本标准发布日期前开发的系统及其组件不适用于本标准。对于在本标准发布前完成生产发布的系统及其组件进行进一步的开发或变更时，仅修改的部分需要按照本标准开发。本标准针对由安全相关电

11、子电气系统的故障行为而引起的可能的危害，包括这些系统相互作用而引起的可能的危害。本标准不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危害和类似的危害，除非危害是直接由安全相关电子电气系统的故障行为而引起的。本标准不针对电子电气系统的标称性能，即使这些系统（例如主动和被动安全、制动系统、自适应巡航系统

12、）有专用的功能性能标准。本部分规定了车辆功能安全管理的要求，包括：独立于项目的关于所涉及组织的要求（整体安全管理），以及项目特定的在安全生命周期内关于管理活动的要求（例如在概念阶段、产品开发阶段以及生产发布后的管理）。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。

13、凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T XXXXX-1:201X，道路车辆功能安全第 1部分：术语； GB/T XXXXX-3:201X，道路车辆功能安全第 3部分：概念阶段；GB/T XXXXX-4:201X，道路车辆功能安全第 4部分：产品开发：系统层面； GB/T XXXXX-5:201X，道路车辆功能安全第 5部分：产品开发：硬件层面； GB

14、/T XXXXX-6:201X，道路车辆功能安全第 6部分：产品开发：软件层面； GB/T XXXXX-7:201X，道路车辆功能安全第 7部分：生产和运行；GB/T XXXXX-8:201X，道路车辆功能安全第 8部分：支持过程；GB/T XXXXX-9:201X，道路车辆功能安全第 9部分：汽车安全完整性等级导向和安全导向分析； GB/T XXXXX-10:201X，道路车辆功能安全第 10部分：指

15、南。3 术语和定义2GB/T XXXXX-1给出的术语和定义适用于本部分。4 要求4.1 一般要求如声明满足 GB/T XXXXX的要求时，应满足每一个要求，除非有下列情况之一：a) 按照本部分的要求，已经计划安全活动的剪裁并表明这些要求不适用，或，b) 不满足要求的理由存在且可接受，并且按照本部分的要求对该理由进行了评估。标有 “注” 或 “示例” 的信息仅

16、用于辅助理解或阐明相关要求，不应作为要求本身且不具备完备性。将安全活动的结果作为工作成果。上一阶段工作成果作为 “前提条件” 的这一信息应具备。如果条款的某些要求是依照 ASIL定义的或可剪裁的，某些工作成果可不作为前提条件。 “支持信息 ”是可供参考的信息，但在某些情况下， GB/T XXXXX不要求其作为上一阶段的工作成果，并且可以是由与负责功能安全活动的

17、人员或组织不同的外部资源提供的信息。4.2 表的诠释表属于规范性表还是资料性表取决于上下文。表中列出的不同方法有助于提高实现相关要求的置信度水平。表中的每个方法是：a) 一个连续性的条目（在最左侧栏以顺序号标明，如 1、 2、 3），或b) 一个选择性的条目（在最左侧栏以数字后加字母标明，如 2a、 2b、 2c）。对于连续性的条目，全部方法应按照AS IL等级推荐予以

18、使用。如果应用所列出方法以外的其它方法，应给出满足相关要求的理由。对于选择性的条目，应按照ASIL 等级的指示，采用适当的方法组合，不依赖于组合的方法是否在表中列出。如果所列出的方法对于一个 ASIL等级来说具有不同的推荐等级，宜采用具有较高推荐等级的方法。应给出方法的组合满足相关要求的理由。注：基于表中所列出的方法的理由是充分的。但是，这并不意味着有偏袒或对未列到表中的方法表示反对。对于每种方法，应

19、用相关方法的推荐等级取决于 ASIL等级，分类如下： “+”表示对于指定的 ASIL 等级，高度推荐该方法； “+” 表示对于指定的 ASIL 等级，推荐该方法； “o” 表示对于指定的 ASIL 等级，未推荐或反对该方法。4.3 基于 ASIL 等级的要求和建议若无其它说明，每一子章条的要求或建议应依从 ASIL A, B, C和 D等级。这些要求和建议参照安全目标的 ASI

20、L等级。如果在项目开发的早期对 ASIL等级完成了分解，按照 GB/T XXXXX-9第 5章的要求，应遵循分解后的 ASIL等级。如果 GB/T XXXXX中AS IL等级在括号中给出，则对于该ASIL 等级，相应的子章节应被认为是推荐而非要求。这里的括号与 ASIL等级分解无关。5 整体安全管理5.1 目的本章的目的是定义负责安全生命周期或在安全生命周期内执行安全活动的组织的要求

21、。本章是 GB/T XXXXX安全生命周期内所有活动的前提条件。37-6 运行、维护和报废生产发布之后产品开发概念阶段5.2 总则5.2.1 安全生命周期概述GB/T XXXXX安全生命周期（见图 2）包含了在概念阶段、产品开发、生产、运行、维护和报废期间的主要安全活动。计划、协调和记录安全生命周期所有阶段的安全活动是关键的管理任务。图 2描述了安全生命周期的参考模

22、型，允许进行安全生命周期的剪裁，包括子阶段迭代。注1：GB/T XXXXX-3（概念阶段）、GB/T XXXXX-4（产品开发系统层面）、GB/T XXXXX-5（产品开发硬件层面）、 GB/T XXXXX -6（产品开发软件层面）和 GB/T XXXXX-7（生产和运行）分别详细描述了在概念阶段、产品开发过程和生产发布后的安全活动。注2：附录中表 A.1 概括了功能安全管理特定阶段的目标、前提条件和工作成果。2-5至 2-7

23、功能安全管理3-5 相关项定义3-6 安全生命周期启动3-7 危害分析和风险评估3-8 功能安全概念7-6 运行计划 7-5 生产计划4 产品开发：系统层面5 6分配给硬件层面软件层面其它技术可控性外部措施4-9 安全确认4-10 功能安全评估4-11 生产发布7-5 生产发生修改的情况，返回到恰当的生命周期阶段注：在图中， GB/T XXXXX各部分中的具体条款用以下方式表示： “m-n”,m代表部分的数值， n代表章的数值。例如： 3-6代表GB/T XXXXX-3的第 6章。图2 安全生命周

24、期5.2.2 安全生命周期的解释说明GB/T XXXXX不仅定义了针对安全生命周期内特定阶段和特定子阶段的要求，同时也定义了适用于安全生命周期中几个或全部阶段的要求，例如功能安全管理要求。关键的管理任务是计划、协调和追踪与功能安全相关的活动。这些管理任务适用于安全生命周期的所有阶段。本部分给出了功能安全管理的要求，分别是：整体安全管理（见本章）概念阶段和产品

25、开发阶段的安全管理（见第 6 章）相关项生产发布后的安全管理（见第 7 章）安全生命周期中不同阶段和子阶段的定义以及其它关键概念的解释描述如下：a) 子阶段：相关项定义安全生命周期的初始任务是对相关项的功能、接口、环境条件、法规要求、已知危害等进行描述。确定相关项的边界及其接口，以及与其它相关项、要素、系统和部件相

26、关的假设（参见 GB/T XXXXX-3，第 5章）。4b) 子阶段：安全生命周期启动在完成相关项定义的基础上，通过确定所开发的相关项是一个全新的开发还是对现有相关项的修改来启动安全生命周期。如果是对现有相关项的修改，对其所做的影响分析的结果可用于剪裁安全生命周期（参见 GB/T XXXXX-3，第 6章）。c) 子阶段：危害分析和风险评估安全生命周期启动后，按照

27、GB/T XXXXX-3第 7章的要求进行危害分析和风险评估。首先，通过危害分析和风险评估预测与相关项相关的危害事件所处工况的暴露概率、危害事件的可控性和严重度，这些参数共同决定了危害事件的汽车安全完整性等级。然后，通过危害分析和风险评估确定相关项的安全目标，安全目标是相关项的最高层面的安全要求。将所确定的危害事件的 ASIL等级分配给相应的安全目标。后续阶段和子阶段中详细的安全要

28、求来自安全目标，这些安全要求继承了相应安全目标的 ASIL等级。d) 子阶段：功能安全概念基于安全目标，同时考虑初步的构架设想以定义功能安全概念（参见 GB/T XXXXX-3，第 8章）。功能安全概念是通过分配给相关项要素的功能安全要求来定义的。如果能够对涉及的其它技术或与外部措施接口的期望行为进行确认，功能安全概念可包括其它技术或与外部措施的接口

29、（参见 GB/T XXXXX-4，第 9章）。其它技术的实施不在本标准范围内，且外部措施的实施不在相关项开发范围内。e) 阶段：产品开发系统层面在定义了功能安全概念后，按照 GB/T XXXXX-4，从系统层面进行相关项的开发。系统开发流程基于一个 V模型概念， V模型左侧包含技术安全要求的定义、系统架构、系统设计和实现， V模型右侧包含集成、

30、验证、确认和功能安全评估。在本阶段定义了软硬件接口。图 1为产品开发系统层面各个子阶段的概览。产品开发系统层面包括对发生在安全生命周期内其它阶段活动的确认任务：对通过其它技术实现功能安全概念的确认；对外部措施有效性和性能的假设的确认；对人员反应所做假设的确认，包括可控性和操作任务。生产发布是产品开发的最后子

31、阶段，并提供相关项量产发布。（参见 GB/T XXXXX-4，第 11章）f) 阶段：产品开发硬件层面基于系统设计规范，从硬件层面进行相关项的开发（参见 GB/T XXXXX-5）。硬件开发流程基于一个 V 模型概念， V 模型左侧包含硬件要求定义、硬件设计和实现， V 模型右侧包含硬件集成和测试。图 1提供了产品开发硬件层面的概览。g) 产品开发软件层面基于系统设计规范，从软

32、件层面进行相关项的开发（参见 GB/T XXXXX-6）。软件开发流程基于一个 V 模型概念， V 模型左侧包含软件要求定义、软件架构设计和实现， V 模型右侧包含软件集成、测试和软件要求验证。5GB/T XXXXXXXXX图 1 提供了产品开发软件层面的概览。h) 生产计划和运行计划生产计划和运行计划以及相关要求的定义在产品开发系统层面过程中启动（参见 GB/T XXXXX-4）。GB/T XXXX

33、X-7 中的第 5 章和第 6 章中给出了生产和运行的要求。i) 阶段：生产和运行，维护和报废该阶段描述了与相关项的功能安全目标相关的生产过程，即与安全相关的特殊特性，以及对相关项的维护、修理、报废的指导说明的开发和管理，以确保相关项在生产发布后的功能安全。（参见 GB/T XXXXX-7 中的第 5 和第 6 章。）j) 可控性在危害分析和风险评估中（参见 GB/T XXXXX-3 中的第 7 章），驾驶员

34、或其他涉险人员控制危害情况能力的可信度。在安全确认过程中，需要确认在危害分析和风险评估、功能安全概念和技术安全概念中关于可控性的假设（参见图 2 和 GB/T XXXXX-4 中的第 9 章）。注：暴露概率和严重度依赖于实际情况，通过人为干预的最终可控性受相关项设计的影响，因此，在确认过程中进行评估（参见 GB/T XXXXX-4 中的第 9.4.3.2 条）。k) 外部措施外部措施指相关项外的措施，在相关项定义里进行了规定（参见图 2 和 GB/T XXXXX-

35、3 中的第 5 章)，用于减少或减轻来自相关项的风险。外部措施不仅包括附加的车载装置如动态稳定控制器或防爆轮胎，而且也可包括车辆以外的装置如防撞栏或隧道消防系统。在安全确认过程中，需要确认在相关项定义、危害分析和风险评估、功能安全概念和技术安全概念中关于外部措施的假设（参见图 2 和 GB/T XXXXX-4 中的第 9 章）。外部措施可在危害分析和风险评估过程中考虑

36、，然而，如果可信度来自危害分析和风险评估过程中的外部措施，那么，在功能安全概念中，外部措施不能被认为是一个减少风险的途径。GB/T XXXXX 同样适用于其范围内的那些外部措施。l) 其它技术其它技术，如机械和液压技术，不同于本标准适用范围内的电子电气技术。这些技术可在功能安全概念制定中（参见图 2 及 GB/T XXXXX-3 第 8 章）、安全要求分配中（参见 GB/T XXXXX-

37、3 及 GB/T XXXXX-4）或作为外部措施被考虑。注：如果其它技术被定义为外部措施，那么考虑到降低相关风险而重新进行危害分析和风险评估是有益的，这样做可能会降低相关安全目标的 ASIL 等级。5.3 本章的输入5.3.1 前提条件无。5.3.2 支持信息6GB/T XXXXXXXXX可考虑如下信息：现有的满足如 ISO/TS 16949、 ISO 9001或等同要求的质量管理标准的质量管理体系。5.4 要求和建议5.4.1 总则执行安全生命周期活动的组

38、织应满足 5.4.2-5.4.5。5.4.2 安全文化5.4.2.1 组织应创造、培育并保持一种安全文化，支持并鼓励有效地实现功能安全。示例：附录 B 中给出了评估安全文化的例子。5.4.2.2 组织应建立、执行并维护专门的规章和流程，以符合 GB/T XXXXX 的要求。注：组织的专门的规章和流程可包括创建并维护通用的安全计划和流程描述。5.4.2.3 组织应建立、执行并维护流程以确保识别出的

39、功能安全异常能够明确地通报给安全经理和其它责任者。示例：安全经理和其它责任者可以是客户安全经理、供应商安全经理，以及与相关项开发相关的安全经理。5.4.2.4 组织应建立、执行并维护解决安全异常的流程，以确保及时、有效地对功能安全异常进行分析、评估、解决和处理。注：功能安全异常的解决流程可包括根本原因分析，该根本原因分析引发针对以后的修正行动。5.4.2.

40、5 在安全生命周期内，组织应执行所需的功能安全活动，包括相关文档的生成和管理（按照 GB/T XXXXX-8 中第 10 章的说明）。5.4.2.6 组织应为功能安全的实现提供所需的资源。注：人力资源、工具、数据库和模板。5.4.2.7 基于以下几点，组织应建立、执行并维护持续改进的流程：从其它相关项安全生命周期的执行过程中学习经验，包括现场经验，以及获得的改进应用于后续相关

41、项。5.4.2.8 组织应确保给予执行或支持安全活动的人员以足够的权限来履行他们的职责。5.4.3 能力管理5.4.3.1 组织应确保执行安全生命周期活动的人员具有与其职责相匹配的技能水平、能力和资质。注1：在开发过程中，达到足够的技能水平和能力的方法之一是考虑以下知识领域的培训和资质计划：常规的安全实践、概念和设计；GB/T XXXXX 和其它适用的安全标准；用于功能安全组织的专

42、门规则；组织所建立的功能安全流程。注2：为了评估执行满足 GB/T XXXXX 的活动的技能、能力和资质，可以考量以往的专业活动经验，如：7GB/T XXXXXXXXX相关项专业领域的知识；相关项相关领域的专业知识。管理经验。5.4.4 安全生命周期中的质量管理5.4.4.1 执行安全生命周期活动的组织应具有满足质量标准如 ISO/TS 16949、 ISO 9001 或等同标准的

43、质量管理体系。5.4.5 独立于项目的安全生命周期剪裁5.4.5.1 组织可剪裁安全生命周期，应用于各相关项的开发，即独立于项目的剪裁，但仅限于以下的一种或多种方式：a) 合并或分解子阶段、活动或任务，或注：如果所用的方法难以清晰地区分单独的子阶段，那么可以合并单独的子阶段。例如，计算机辅助开发工具能在一个步骤中支持多个子阶段的活动。b) 同一活动或任务可在不同的阶段或子阶段中执行，或

44、 c) 同一活动或任务可在新增的阶段或子阶段中执行，或 d) 反复进行某个阶段或子阶段。5.5 工作成果5.5.1 组织的专门的功能安全规章和流程，由 5.4.2 和 5.4.5 得出。5.5.2 能力证据，由 5.4.3 得出。5.5.3 质量管理证据，由 5.4.4 得出。6 概念阶段和产品开发过程中的安全管理6.1 目的本章的第一个目的是定义关于安全生命周期内，概念阶段和开发阶段的安全

45、管理角色和职责（见图 1和图 2）。本章的第二个目的是定义在概念阶段和开发阶段中的安全管理要求，包括安全活动的计划和协调、安全生命周期的进展、安全档案的创建和认可措施的执行。6.2 General6.2 总则安全管理包括确保执行认可措施的责任。根据适当的ASIL 等级，一些认可措施要求在资源、管理和发布权限上有独立性。（参见 6.4.7）认可措施包括认可评审

46、、功能安全审核和功能安全评估：认可评审的目的是核查工作成果是否符合 GB/T XXXXX 的要求；功能安全审核的目的是评价功能安全活动所需要的流程的执行情况；功能安全评估的目的是评价相关项是否实现了功能安全。8GB/T XXXXXXXXX除了认可措施外，还需进行验证评审。 GB/T XXXXX的其它部分也要求这些评审，目的是验证相关的工作成果

47、满足项目的要求，以及与应用案例和失效模式相关的技术要求。表 1列出了所需的认可措施。附录 D列出了关于验证的评审和参考本标准的适用部分。安全管理包括对所有剪裁的安全活动（参见 6.4.5）进行描述和理由说明的责任。6.3 本章的输入6.3.1 前提条件应提供如下信息：组织的专门的功能安全规章和流程，按照 5.5.1；能力证据，按照 5.5

48、.2；质量管理证据，按照 5.5.3。6.3.2 支持信息如果有，可以考虑如下信息：项目计划 (来自外部资源 )；其它活动，包括其它安全活动。6.4 要求和建议6.4.1 总则对于至少有一个安全目标为 ASIL A、 B、 C或 D的相关项，执行安全生命周期活动的组织应满足 6.4.2-6.4.9的要求，除非有其它说明。6.4.2 安全管理的角色和职责6.4.2.1 在相关项开发的启

49、动阶段应指定一名项目经理。6.4.2.2 应赋予项目经理责任和权限，按照 5.4.2.8 的要求，确保：a) 执行实现功能安全所需的安全活动，以及b) 满足 GB/T XXXXX 的要求。6.4.2.3 项目经理应确认组织提供了符合 5.4.2.6 要求的功能安全活动所需的资源。注：通常在计划阶段对足够的资源进行预估、确定和分配。6.4.2.4 项目经理应确保已指定了符合 5.4.3 要求的安全经理。注1：安全经理的角色可以由项目经理承担。注 2：在 GB/T XXXXX-1（术语）里面定义了 “安全经理” ，在矩阵式组织里，安全经理的任务可以分配给不同的人。6.4.3 安全活动的计划和协调6.4.3.1 按照 5.4.2.8 的要求，在安全生命周期的开发阶段，安全经理应负责计划和协调功能

展开阅读全文