電動汽車功能安全技術(shù)規(guī)范管理制度

1、電動汽車功安全技術(shù)規(guī)范管理制度1.2 功能安全本部分的功能安全是指電池系統(tǒng)和充電系（相關(guān)內(nèi)容參見后繼章節(jié)以的功 能安全。1.2.1 整車功能安全開發(fā)流程功能安全開發(fā)流程符合GB/T34590-2017道路車輛功能安全相關(guān)規(guī)定要求。 1.2.2 概念開發(fā)階段應(yīng)基于 GB/T34590.3-2017 相關(guān)規(guī)定完成概念發(fā)，并得出相關(guān)項定、安全目標(biāo)和 功能安全要求，作系統(tǒng)開發(fā)的必要輸入1.2.2.1 相關(guān)項定義為了充分理解相關(guān)后續(xù)階段的安全活提供支持相關(guān)項的功能素、 接口環(huán)境條件相關(guān)法規(guī)要求和危害方面考慮詳細(xì)定義相關(guān)的功能性和非功能 要求。1.2.2.2 危害分析與風(fēng)險評估危害分析與風(fēng)險評的目的是識別

2、相關(guān)項因故障而引起的危害對危害進(jìn)行歸類， 制定相應(yīng)的安全目，以避免不合理的風(fēng)。其中，應(yīng)基于相關(guān)的功能行為，來分析潛在的危害事件。再危害 -事件的嚴(yán)重 程度露概率控三個方面對相關(guān)項行系統(tǒng)性的評估而確定安全目標(biāo)及應(yīng)的 ASIL等級。1.2.2.3 功能安全概念功能安全概念主要為了從安全目標(biāo)中得功能安全要求其分配給相關(guān)項的架 構(gòu)要素或外部措施定義功能安全要求應(yīng)從相關(guān)項的運行式故障容錯時間間安全狀態(tài)、緊急 運行時間間隔及功冗余等方面進(jìn)行考慮用安全分方 法 ，使制定的功安全要求更加完善功能安全概念還應(yīng)照 GB/T34590.9-2017 的要求進(jìn)行驗證以表明與安全目標(biāo) 一致性和符合性，減輕或避免危害事件

3、能力。1.2.3 系統(tǒng)功能安全開發(fā)進(jìn)行正式系統(tǒng)開發(fā)，應(yīng)基于 GB/T34590.4-2017 相關(guān)規(guī)定，定系統(tǒng)層面產(chǎn)品開 的安全活動計劃包括確定設(shè)計和集成程中適當(dāng)?shù)姆椒ù胧?測及驗證計劃功能 安全評估計劃等。1.2.3.1 系統(tǒng)安全要求設(shè)計技術(shù)安全要求是實功能安全概念必要的術(shù)要求是將相關(guān)項層面功能安全 要求細(xì)化到系統(tǒng)層的技術(shù)安全要求。應(yīng)基于 GB/T34590.4-2017 相關(guān)規(guī)定，根據(jù)功安全概念、相關(guān)項的步架構(gòu)設(shè)想、 外部接口、限制條等系統(tǒng)特性來制定技安全要求。技術(shù)安全要求應(yīng)從障探測指示/控制措施全狀態(tài)障容錯時間間隔方面考 慮，定義必要的安機制。1.2.3.2 系統(tǒng)設(shè)計系統(tǒng)設(shè)計應(yīng)基于功概

4、念相關(guān)項的初步構(gòu)設(shè)想和技術(shù)安全求在實現(xiàn)技術(shù)安全 要求相關(guān)的內(nèi)容時驗證系統(tǒng)設(shè)計能力硬件設(shè)計技術(shù)能力行統(tǒng)測試的能 力等方面考慮系統(tǒng)計。為避免系統(tǒng)性失效系統(tǒng)設(shè)進(jìn)行安全分析以識系統(tǒng)性失效的原因和統(tǒng)性故 障的影響。為降低系統(tǒng)運行過中隨機硬件失效造成影響應(yīng)在統(tǒng)設(shè)計中定義探測制或 減輕隨機硬件失效措施。系統(tǒng)設(shè)計中定義軟件接口規(guī)范，并在后硬件開發(fā)和軟件開發(fā)程中進(jìn)行細(xì)化。 1.2.3.3 系統(tǒng)集成與測試基于GB/T34590.4-2017相規(guī)定分別進(jìn)行軟硬件系統(tǒng)整車層級集成和測試， 驗證每一條功能和術(shù)安全要求是否滿足范系統(tǒng)設(shè)計在整個相關(guān)上是否得到正 確實施。為發(fā)現(xiàn)系統(tǒng)集成過中的系統(tǒng)性故障，在定測試方法時，應(yīng)從下

5、幾個方面考慮： （1）功能和技要求在系統(tǒng)層面是否正確執(zhí)行；（2）安全機制系統(tǒng)層面是否被正確執(zhí)行；（3）外部接口內(nèi)部接口在系統(tǒng)層面行的一致性和正確；（4）安全機制系統(tǒng)層面的失效覆蓋的有效性；（5）系統(tǒng)層面魯棒性水平。1.2.3.4 安全目標(biāo)確認(rèn)應(yīng)基于 GB/T34590.4-2017 中的規(guī)定，通過檢和測試等方式，確認(rèn)全目標(biāo)是否在 整車層面是正確、整并得到完全實現(xiàn)。確認(rèn)安全目標(biāo)前可從確認(rèn)流程測試用例環(huán)境條件等方面慮并制定詳細(xì)的確 認(rèn)計劃。應(yīng)根據(jù)安全目標(biāo)、能安全要求和預(yù)期用，按計劃執(zhí)行整車層的安全目標(biāo)確認(rèn)。 具體確認(rèn)方法可考詳細(xì)定義的可重復(fù)性試安全分長期測試戶抽測評審形 式。1.2.4 電控單元硬

6、件開發(fā)電控單元硬件開發(fā)程應(yīng)滿足 GB/T 34590.5-2017 的要求，行規(guī)定的安全活動 輸出規(guī)定的交付內(nèi)。1.2.4.1 電控單元硬件安全要基于GB/T 34590.5-2017相關(guān)定，將技術(shù)安全概，技術(shù)安全要求系統(tǒng)設(shè)計說明 落實到硬件層級，計完整且詳細(xì)的硬件全要求。為保證硬件安全要的完整性，在設(shè)計時考慮包含以下內(nèi)容：（1）安全機制其屬性；（2）驗證的標(biāo)；（3）硬件度量目標(biāo)值；（4）FTTI；（5）其它與安相關(guān)的要求。為保證硬件安全要的質(zhì)量，應(yīng)按照 GB/T 34590.8-2017 中第 6 章的要求進(jìn)行硬 件安全要求的設(shè)計驗證和管理。為使硬件被軟件正地控制和使用，應(yīng)對硬件接口（ ）進(jìn)

7、行充分的細(xì)化，并 描述出硬件和軟件間的每一項安全相關(guān)關(guān)聯(lián)性。1.2.4.2 電控單元硬件設(shè)計基于GB/T 34590.5-2017相關(guān)定，進(jìn)行硬件架構(gòu)計和硬件詳細(xì)設(shè)，并進(jìn)行硬件 安全分析，以滿足統(tǒng)設(shè)計說明和硬件安需求的要求。為避免硬件的系統(tǒng)風(fēng)險，一般應(yīng)進(jìn)行硬架構(gòu)設(shè)計，然后進(jìn)行件詳細(xì)設(shè)計。在硬件架構(gòu)設(shè)計時應(yīng)確保每個硬件組件承了正確的 ASIL 等級，并可追溯與之 相關(guān)的硬件安全要。在硬件設(shè)計時應(yīng)運用相關(guān)經(jīng)驗總結(jié)并考慮安全相硬件組件失效的非能性原 因，如果適用，可含以下因素：溫度，動，水，灰塵， EMI，來硬件架構(gòu)的其他組 件或其所在環(huán)境的擾。為提高設(shè)計的可靠，應(yīng)遵循 34590.5-2017 中

8、的“模塊的硬件設(shè)計原則”和 “魯棒性設(shè)計原則設(shè)計、壞情況分析等。為識別硬件失效的因和故障的影響，應(yīng) GB/T 34590.5-2017 中的要求，根據(jù) 同的 ASIL 等，使用“演繹分 FTA）“歸納分）的方法進(jìn)行安分 析。如果安全分析表明產(chǎn)、行服務(wù)和報廢與安相關(guān)，則應(yīng)定義其安全相關(guān)的特 殊特性并輸出說明文件。為驗證硬件設(shè)計與件安全要求的一致性完整性，應(yīng)按 GB/T 34590.5-2017 中的 要求，對硬件設(shè)計行驗證。1.2.4.3電控單元硬件組件鑒定基于 GB/T 34590.8-2017 關(guān)規(guī)定，對其中復(fù)的硬件組件及元件應(yīng)進(jìn)行硬件組件 的鑒定，確保硬件件合規(guī)使用并為FMEDA分析提供基

9、礎(chǔ)數(shù)據(jù)1.2.4.4 電控單元硬件架構(gòu)度的評估基于 34590.5-2017 相關(guān)規(guī)定，進(jìn)行件架構(gòu)度量的評估并將評估結(jié)果和優(yōu)化 建議反饋到系統(tǒng)設(shè)件設(shè)計件設(shè)計環(huán)節(jié)以優(yōu)化產(chǎn)品設(shè)計最終的“單點障度 量”和“潛伏故障量”滿足對應(yīng)ASIL的求。1.2.4.5 隨機電控單元硬件失導(dǎo)致違背安全目標(biāo)的評估基于 GB/T 34590.5-2017 相關(guān)規(guī)定，進(jìn)行 評估或割分析評估，閉環(huán)優(yōu)使相關(guān) 安全目標(biāo)沒有由于機硬件失效帶來的不接受的風(fēng)險。1.2.4.6 電控單元硬件集成和試基于 GB/T 34590.5-2017 相關(guān)規(guī)定，進(jìn)行硬件集成測試，通過測試保所開發(fā)的 硬件符合硬件安全求。硬件集成測試用例生成應(yīng)考慮G

10、B/T 34590.5-2017的表10中所列的方法。為了驗證安全機制完整性和正確性，件集成測試應(yīng)考以下方法功能測試故 障注入測試和電氣試。為了驗證硬件在外應(yīng)力下的魯棒性，硬集成測試應(yīng)考慮B/T 的表 12中所列方法。1.2.5 電控單元軟件設(shè)計1.2.5.1 軟件安全需求分析軟件安全需求分析的是依據(jù)安全技術(shù)規(guī)以及系統(tǒng)設(shè)計說明書定軟件安全需求， 同時驗證軟件安全求與安全技術(shù)規(guī)范及統(tǒng)設(shè)計說明書是否一軟件安全需求分階 段需滿足完整性、測試性、可追溯性要。軟件安全需求分析應(yīng)從如下方面考慮分識別失效會違安全技術(shù)要求的軟 功能需來源于安技術(shù)要求和系統(tǒng)設(shè)方案應(yīng)識別軟件與件之間所有安全相的屬 性含足夠的硬運

11、行資源效安全相關(guān)等信息的認(rèn)硬件口說明書應(yīng)是確認(rèn) 有效的；測試驗證法應(yīng)是安全有效的。1.2.5.2 軟件安全架構(gòu)設(shè)計軟件安全監(jiān)控架構(gòu)計目的在于開發(fā)一個以滿足并實現(xiàn)軟件安需求的軟件架構(gòu)。 軟件安全監(jiān)控架構(gòu)計需結(jié)合功能安全相軟件需求和非功能安相關(guān)軟件需求，局考 慮軟件的架構(gòu)設(shè)計并進(jìn)行軟件安全分析軟件安全監(jiān)控架構(gòu)計時從如下方面考慮該是可配置可實施于測試和可 維護的遵循模塊化高類聚低耦合復(fù)雜度的要求細(xì)化到足夠支持細(xì)設(shè)計； 應(yīng)具備靜態(tài)和動態(tài)性；應(yīng)滿足獨立性的求；應(yīng)覆蓋軟件安全求等。1.2.5.3 軟件失效分析與詳細(xì)計軟件失效分析與軟詳細(xì)設(shè)計目的是基于件架構(gòu)設(shè)計及軟件安需求對軟件功 能模塊進(jìn)行詳細(xì)設(shè)，同時根

12、據(jù)建模及編指導(dǎo)書進(jìn)行模型或源碼設(shè)計。軟件詳細(xì)設(shè)計時應(yīng)從如方面考慮包含足夠的必要信以便于允許后續(xù)活動 展詳細(xì)描述其功能特滿足可測性維護復(fù)雜度讀性和健壯性等要； 詳細(xì)設(shè)計應(yīng)滿足與件安全需求架構(gòu)準(zhǔn)則設(shè)計說明書等一致性的求。 1.2.5.4 軟件安全算法測試軟件算法測試用于明軟件單元模塊符合件詳細(xì)設(shè)計說明書要，該要求包括 件功能要求的符合，接口要求的一致性算法的健壯與高效等軟件算法測試案例計時需按照軟件詳細(xì)設(shè)說明書，軟失效分析報告要采 用需求分析、等價劃分、邊界值分析、誤猜想等方法。軟件算法測試活動要做好詳細(xì)設(shè)計、失分析報告、測試案例測試數(shù)據(jù)、測試缺陷的雙向可追溯性過程的完整性。軟件算法測試同時需要度量驗證軟件算質(zhì)量括單覆蓋 句覆蓋度，分支覆度，修正判定條件覆度等編碼規(guī)則，以及其他 靜態(tài)度量指標(biāo)（如圈復(fù)雜度等參見GB/T34590.6-2017相關(guān)要。 1.2.5.5 軟件集成與架構(gòu)符合測試軟件集成與架構(gòu)符性測試主要用于驗證件組件集成功能軟件 組建之間的接口是符合軟件架構(gòu)設(shè)計文要求。軟件集成通?？煞衷鲋呈郊膳c一次性成同的集成方應(yīng)的 集成測試策略也不。常用到的測試方法括：基于需求的測試接口測試， 故