《道路車輛 功能安全 第2部分：功能安全管理》征求意見稿

ICS43.430

CCST35

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T34590.2—XXXX

代替GB/T34590.2-2017

`

道路車輛功能安全

第2部分：功能安全管理

Roadvehicles—Functionalsafety—Part2：Managementoffunctionalsafety

(ISO26262-2:2018,MOD)

（征求意見稿）

（本草案完成時(shí)間：2021年4月1日）

在提交反饋意見時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

GB/T34590.2—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

GB/T34590-XXXX《道路車輛功能安全》分為以下部分：

——第1部分：術(shù)語；

——第2部分：功能安全管理；

——第3部分：概念階段；

——第4部分：產(chǎn)品開發(fā)：系統(tǒng)層面；

——第5部分：產(chǎn)品開發(fā)：硬件層面；

——第6部分：產(chǎn)品開發(fā)：軟件層面；

——第7部分：生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢；

——第8部分：支持過程；

——第9部分：以汽車安全完整性等級(jí)為導(dǎo)向和以安全為導(dǎo)向的分析；

——第10部分：指南；

——第11部分：半導(dǎo)體應(yīng)用指南；

——第12部分：摩托車的適用性。

本文件為GB/T34590-XXXX的第2部分。

本文件代替GB/T34590.2-2017《道路車輛功能安全第2部分：功能安全管理》,與GB/T

34590.2-2017相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如下：

——修改了標(biāo)準(zhǔn)適用范圍，由“量產(chǎn)乘用車”擴(kuò)大到“除輕便摩托車外的量產(chǎn)道路車輛”；

——新增了對(duì)商用車輛的相關(guān)要求和示例、對(duì)摩托車的適應(yīng)性要求等；

——修改了整體安全管理的目的，明確執(zhí)行安全活動(dòng)的組織實(shí)現(xiàn)的目標(biāo)（見5.1）；

——修改了安全生命周期內(nèi)不同階段及子階段的定義（見5.2.2.2，2017版，5.2.2）；

——新增了在安全生命周期內(nèi)需要考慮的其他關(guān)鍵概念中的認(rèn)可措施、相關(guān)項(xiàng)層面的影響分析、

要素層面的影響分析、生產(chǎn)發(fā)布等概念（見5.2.2.3）；

——修改了條中功能安全、信息安全、預(yù)期功能安全及與功能安全實(shí)現(xiàn)相關(guān)的其他領(lǐng)域之間的溝

通，增加示例（見5.4.2.3）；

——修改了中功能安全的安全異常管理內(nèi)容，新增加安全異常關(guān)閉的條件以及異常的處理（見

5.4.3，2017版，5.4.2.5）；

——修改了整體安全管理的工作成果，增加了質(zhì)量管理體系證據(jù)和已識(shí)別的安全異常報(bào)告（見5.5）；

——修改了項(xiàng)目相關(guān)的功能安全管理的目的和6.2中的項(xiàng)目安全管理相關(guān)的總則（見6.1）；

——修改了功能安全管理的總則的要求（見6.2）；

——修改了項(xiàng)目相關(guān)的功能安全管理的要求（見6.4.1），增加了分布式開發(fā)下的項(xiàng)目經(jīng)理角色任

命的注（見6.4.2）；

——新增了項(xiàng)目相關(guān)的功能安全管理中的相關(guān)項(xiàng)層面的影響分析（見6.4.3）和現(xiàn)有要素的復(fù)用（見

6.4.4）；

——新增了硬件要素評(píng)估和軟件組件鑒定的裁剪要求以及T&B的相關(guān)項(xiàng)開發(fā)裁剪的要求（見6.4.5）；

——增加修改相關(guān)項(xiàng)和現(xiàn)有相關(guān)項(xiàng)環(huán)境時(shí)以及復(fù)用要素時(shí)的安全計(jì)劃及協(xié)調(diào)要求，增加安全計(jì)劃

在開發(fā)階段持續(xù)更新的要求，以及分布式開發(fā)時(shí)的安全計(jì)劃要求（見6.4.6，2017版，6.4.3）；

——修改了安全檔案的要求，增加分布式開發(fā)時(shí)安全檔案要求和安全聲明周期中逐步發(fā)布安全檔

案以提供安全論證證據(jù)的要求（見6.4.8，2017版，6.4.6）；

II

GB/T34590.2—XXXX

——修改了認(rèn)可措施的要求，增加了功能安全審核判斷流程的實(shí)施情況和判斷相關(guān)項(xiàng)實(shí)現(xiàn)的功能

安全或貢獻(xiàn)的要求（見6.4.9，2017版，6.4.7）；

——新增了認(rèn)可評(píng)審的要求（見6.4.10）；

——修改了功能安全審核的要求，新增了評(píng)估報(bào)告的要求（見6.4.11，2017版，6.4.8）；

——修改了功能安全評(píng)估的要求，增加了功能安全評(píng)估的階段、范圍、人員要求，修訂了評(píng)估的

接受條件等（見6.4.12，2017版，6.4.9）；

——新增了生產(chǎn)發(fā)布的條件和要求（見6.4.13）；

——修改了項(xiàng)目相關(guān)功能安全開發(fā)的工作成果（見6.5）；

——修改了生產(chǎn)、運(yùn)行、服務(wù)、報(bào)廢的安全管理的要求。將生產(chǎn)發(fā)布后的階段調(diào)整為生產(chǎn)、運(yùn)行、

服務(wù)和報(bào)廢階段的描述（見第7章）；

——修改了功能安全管理概覽的要求（見附錄A）；

——修改了安全文化（見附錄B）；

——?jiǎng)h除了認(rèn)可措施的目標(biāo)，新增了認(rèn)可措施指南（見附錄C）；

——?jiǎng)h除了2017版標(biāo)準(zhǔn)中附錄D驗(yàn)證評(píng)審概覽（見2017版，附錄D）；

——修改了附錄中功能安全評(píng)估安排舉例（見附錄D）；

——新增了附錄E功能安全與信息安全的潛在交互作用指南。新增功能安全與信息安全的潛在交

互作用指南（見附錄E）。

本文件使用重新起草法修改采用了ISO26262-2：2018《道路車輛功能安全第2部分：功能安全管

理》。

本文件與ISO26262-4：2018的技術(shù)性差異及其原因如下：

——關(guān)于規(guī)范性引用文件，本文件做了具有技術(shù)性差異的調(diào)整，以適應(yīng)我國(guó)的技術(shù)條件，調(diào)整的

情況集中反映在第2章“規(guī)范性引用文件”中，具體調(diào)整如下：

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.1-XXXX代替ISO26262-1：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.3-XXXX代替ISO26262-3：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.4-XXXX代替ISO26262-4：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.5-XXXX代替ISO26262-5：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.6-XXXX代替ISO26262-6：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.7-XXXX代替ISO26262-7：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.8-XXXX代替ISO26262-8：2018；

用修改采用國(guó)際標(biāo)準(zhǔn)的GB/T34590.9-XXXX代替ISO26262-9：2018。

——修改了5.2.3條的描述，增加示例1。

本文件做了下列編輯性修改：

——將國(guó)際標(biāo)準(zhǔn)中的“本國(guó)際標(biāo)準(zhǔn)”改為“本文件”；

——?jiǎng)h除國(guó)際標(biāo)準(zhǔn)的前言；

——修改國(guó)際標(biāo)準(zhǔn)的引言及其表述。

本文件由中華人民共和國(guó)工業(yè)和信息化部提出。

本文件由全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC114）歸口。

本文件起草單位：

本文件主要起草人：

本文件所代替文件的歷次版本發(fā)布情況為：

——GB/T34590.2,2017年首次發(fā)布。

III

GB/T34590.2—XXXX

引言

ISO26262是以IEC61508為基礎(chǔ)，為滿足道路車輛上電氣/電子系統(tǒng)的特定需求而編寫。

GB/T34590修改采用ISO26262，適用于道路車輛上由電子、電氣和軟件組件組成的安全相關(guān)系統(tǒng)

在安全生命周期內(nèi)的所有活動(dòng)。

安全是道路車輛開發(fā)的關(guān)鍵問題之一。汽車功能的開發(fā)和集成強(qiáng)化了對(duì)功能安全的需求，以及對(duì)提

供證據(jù)證明滿足功能安全目標(biāo)的需求。

隨著技術(shù)日益復(fù)雜、軟件和機(jī)電一體化應(yīng)用不斷增加，來自系統(tǒng)性失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)逐漸

增加，這些都在功能安全的考慮范疇之內(nèi)。GB/T34590通過提供適當(dāng)?shù)囊蠛土鞒虂斫档惋L(fēng)險(xiǎn)。

為了實(shí)現(xiàn)功能安全，GB/T34590-XXXX（所有部分）：

a)提供了一個(gè)汽車安全生命周期（開發(fā)、生產(chǎn)、運(yùn)行、服務(wù)、報(bào)廢）的參考，并支持在這些生

命周期階段內(nèi)對(duì)執(zhí)行的活動(dòng)進(jìn)行剪裁；

b)提供了一種汽車特定的基于風(fēng)險(xiǎn)的分析方法，以確定汽車安全完整性等級(jí)（ASIL）；

c)使用ASIL等級(jí)來定義GB/T34590中適用的要求，以避免不合理的殘余風(fēng)險(xiǎn)；

d)提出了對(duì)于功能安全管理、設(shè)計(jì)、實(shí)現(xiàn)、驗(yàn)證、確認(rèn)和認(rèn)可措施的要求；及

e)提出了客戶與供應(yīng)商之間關(guān)系的要求。

GB/T34590針對(duì)的是電氣/電子系統(tǒng)的功能安全,通過安全措施(包括安全機(jī)制)來實(shí)現(xiàn)。它也提供了

一個(gè)框架，在該框架內(nèi)可考慮基于其它技術(shù)（例如，機(jī)械、液壓、氣壓）的安全相關(guān)系統(tǒng)。

功能安全的實(shí)現(xiàn)受開發(fā)過程（例如，包括需求規(guī)范、設(shè)計(jì)、實(shí)現(xiàn)、集成、驗(yàn)證、確認(rèn)和配置）、生

產(chǎn)過程、服務(wù)過程和管理過程的影響。

安全問題與常規(guī)的以功能為導(dǎo)向和以質(zhì)量為導(dǎo)向的活動(dòng)及工作成果相互關(guān)聯(lián)。GB/T34590涉及與安

全相關(guān)的開發(fā)活動(dòng)和工作成果。

圖1為GB/T34590的整體架構(gòu)。GB/T34590基于V模型為產(chǎn)品開發(fā)的不同階段提供參考過程模型：

——陰影”V”表示GB/T34590.3-XXXX、GB/T34590.4-XXXX、GB/T34590.5-XXXX、GB/T34590.6-XXXX、

GB/T34590.7-XXXX之間的相互關(guān)系；

——對(duì)于摩托車：

GB/T34590.12-XXXX的第8章支持GB/T34590.3-XXXX；

GB/T34590.12-XXXX的第9章和第10章支持GB/T34590.4-XXXX。

——以“m-n”方式表示的具體章條中，“m”代表特定部分的編號(hào)，“n”代表該部分章的編號(hào)。

示例：“2-6”代表GB/T34590.2-XXXX的第6章。

IV

GB/T34590.2—XXXX

圖1GB/T34590-XXXX概覽

V

GB/T34590.2—XXXX

道路車輛功能安全

第2部分：功能安全管理

1范圍

GB/T34590的本部分規(guī)定了應(yīng)用于汽車領(lǐng)域的功能安全管理的要求，包括：

——獨(dú)立于項(xiàng)目的關(guān)于所涉及組織的要求（整體安全管理）；及

——項(xiàng)目特定的在安全生命周期內(nèi)關(guān)于管理活動(dòng)的要求，例如在概念階段、產(chǎn)品開發(fā)階段（系統(tǒng)

層面、硬件層面、軟件層面）以及生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的管理。

本文件適用于安裝在除輕便摩托車外的量產(chǎn)道路車輛上的包含一個(gè)或多個(gè)電氣/電子系統(tǒng)的與安全

相關(guān)的系統(tǒng)。

本文件不適用于特殊用途車輛上特定的電氣/電子系統(tǒng)，例如，為殘疾駕駛者設(shè)計(jì)的車輛。

注：其他專用的安全標(biāo)準(zhǔn)可作為本文件的補(bǔ)充，反之亦然。

已經(jīng)完成生產(chǎn)發(fā)布的系統(tǒng)及其組件或在本文件發(fā)布日期前正在開發(fā)的系統(tǒng)及其組件不適用于本文

件。對(duì)于在本文件發(fā)布前完成生產(chǎn)發(fā)布的系統(tǒng)及其組件進(jìn)行變更時(shí)，本文件基于這些變更對(duì)安全生命周

期的活動(dòng)進(jìn)行剪裁。未按照本文件開發(fā)的系統(tǒng)與按照本文件開發(fā)的系統(tǒng)進(jìn)行集成時(shí)，需要按照本文件進(jìn)

行安全生命周期的剪裁。

本文件針對(duì)由安全相關(guān)的電氣/電子系統(tǒng)的功能異常表現(xiàn)而引起的可能的危害，包括這些系統(tǒng)相互

作用而引起的可能的危害。本文件不針對(duì)與觸電、火災(zāi)、煙霧、熱、輻射、毒性、易燃性、反應(yīng)性、腐

蝕性、能量釋放等相關(guān)的危害和類似的危害，除非危害是直接由安全相關(guān)的電氣/電子系統(tǒng)的功能異常

表現(xiàn)表現(xiàn)而引起的。

本文件提出了安全相關(guān)的電氣/電子系統(tǒng)進(jìn)行功能安全開發(fā)的框架，該框架旨在將功能安全活動(dòng)整

合到企業(yè)特定的開發(fā)框架中。本文件規(guī)定了為實(shí)現(xiàn)產(chǎn)品功能安全的技術(shù)開發(fā)要求，也規(guī)定了組織應(yīng)具備

相應(yīng)功能安全能力的開發(fā)流程要求。

本文件不針對(duì)電氣/電子系統(tǒng)的標(biāo)稱性能。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T34590.1-XXXX道路車輛功能安全第1部分：術(shù)語(ISO26262-1:2018,MOD)

GB/T34590.3-XXXX道路車輛功能安全第3部分：概念階段(ISO26262-3:2018,MOD)

GB/T34590.4-XXXX道路車輛功能安全第4部分：產(chǎn)品開發(fā)：系統(tǒng)層面(ISO26262-4:2018,MOD)

GB/T34590.5-XXXX道路車輛功能安全第5部分：產(chǎn)品開發(fā)：硬件層面(ISO26262-5:2018,MOD)

GB/T34590.6-XXXX道路車輛功能安全第6部分：產(chǎn)品開發(fā)：軟件層面(ISO26262-6:2018,MOD)

GB/T34590.7-XXXX道路車輛功能安全第7部分：生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢(ISO26262-7:2018,MOD)

GB/T34590.8-XXXX道路車輛功能安全第8部分：支持過程(ISO26262-8:2018,MOD)

GB/T34590.9-XXXX道路車輛功能安全第9部分：以汽車安全完整性等級(jí)為導(dǎo)向和以安全為導(dǎo)向

的分析(ISO26262-9:2018,MOD)

6

GB/T34590.2—XXXX

3術(shù)語、定義和縮略語

GB/T34590.1-XXXX界定的術(shù)語、定義和縮略語適用于本文件。

4要求

目的

本章規(guī)定了：

a)如何符合GB/T34590-XXXX；

b)如何解釋GB/T34590-XXXX中所使用的表格；及

c)如何解釋各章條基于不同的ASIL等級(jí)的適用性。

一般要求

如聲明滿足GB/T34590-XXXX的要求時(shí)，應(yīng)滿足每一個(gè)要求，除非有下列情況之一：

a)按照本文件的要求，安全活動(dòng)的剪裁已經(jīng)實(shí)施并表明這些要求不適用；或

b)不滿足要求的理由存在且是可接受的，并且按照本文件的要求對(duì)該理由進(jìn)行了評(píng)估。

標(biāo)有“注”或“示例”的信息僅用于輔助理解或闡明相關(guān)要求，不應(yīng)作為要求本身且不具備完備性。

將安全活動(dòng)的結(jié)果作為工作成果。應(yīng)具備上一階段工作成果作為“前提條件”的信息。如果章條的

某些要求是依照ASIL定義的或可剪裁的，某些工作成果可不作為前提條件。

“支持信息”是可供參考的信息，但在某些情況下，GB/T34590不要求其作為上一階段的工作成果，

并且可以是由不同于負(fù)責(zé)功能安全活動(dòng)的人員或組織等外部資源提供的信息。

表的詮釋

本文件中的表是規(guī)范性或資料性取決于上下文。在滿足相關(guān)要求時(shí)，表中列出的不同方法有助于置

信度水平。表中的每個(gè)方法是：

a)一個(gè)連續(xù)的條目（在最左側(cè)列以順序號(hào)標(biāo)明，如1、2、3）；或

b)一個(gè)選擇的條目（在最左側(cè)列以數(shù)字后加字母標(biāo)明，如2a、2b、2c）。

對(duì)于連續(xù)的條目，高度推薦和推薦的方法按照ASIL等級(jí)推薦予以使用。高度推薦或推薦的方法允許

用未列入表中的其它方法替代,此種情況下，應(yīng)給出滿足相關(guān)要求的理由。如果可以給出不選擇所有條

目也能符合相應(yīng)要求的理由，則不需要對(duì)缺省方法做進(jìn)一步解釋。

對(duì)于選擇性的條目，應(yīng)按照指定的ASIL等級(jí)對(duì)這些方法進(jìn)行適當(dāng)?shù)慕M合，而與這些方法在表中是否

列出無關(guān)。如果所列出的方法對(duì)于一個(gè)ASIL等級(jí)來說具有不同的推薦等級(jí)，宜采用具有較高推薦等級(jí)的

方法。應(yīng)給出選擇組合方法或選擇單一方法滿足相應(yīng)要求的理由。

注：在表中所列出方法的理由是充分的。但是，這并不意味著有傾向性或?qū)ξ戳械奖碇械姆椒ū硎痉磳?duì)。

對(duì)于每種方法，應(yīng)用相關(guān)方法的推薦等級(jí)取決于ASIL等級(jí)，分類如下：

——“++”表示對(duì)于指定的ASIL等級(jí)，高度推薦該方法；

——“+”表示對(duì)于指定的ASIL等級(jí)，推薦該方法；

——“o”表示對(duì)于指定的ASIL等級(jí)，不推薦也不反對(duì)該方法。

基于ASIL等級(jí)的要求和建議

7

GB/T34590.2—XXXX

若無其它說明，對(duì)于ASILA、B、C和D等級(jí)，應(yīng)滿足每一章條的要求或建議。這些要求和建議參

照安全目標(biāo)的ASIL等級(jí)。如果在項(xiàng)目開發(fā)的早期對(duì)ASIL等級(jí)完成了分解，按照GB/T34590.9第5章的要

求，應(yīng)遵循分解后的ASIL等級(jí)。

如果GB/T34590中ASIL等級(jí)在括號(hào)中給出，則對(duì)于該ASIL等級(jí)，相應(yīng)的章條應(yīng)被認(rèn)為是推薦而非要

求。這里的括號(hào)與ASIL等級(jí)分解無關(guān)。

摩托車的適用性

對(duì)于適用于GB/T34590.12要求的摩托車的相關(guān)項(xiàng)或要素，GB/T34590.12的要求替代本文件和GB/T

34590.2的相應(yīng)要求。

卡車、客車、掛車和半掛車的適用性

對(duì)卡車、客車、掛車和半掛車的特殊規(guī)定以（T&B）來表示。

5整體安全管理

目的

本章旨在確保參與安全生命周期執(zhí)行的組織，即負(fù)責(zé)安全生命周期或在安全生命周期內(nèi)執(zhí)行安全活

動(dòng)的組織，實(shí)現(xiàn)以下目標(biāo)：

a)建立并維護(hù)能夠用于支持和鼓勵(lì)功能安全有效實(shí)現(xiàn)，并能夠促進(jìn)與功能安全相關(guān)的其他領(lǐng)域

有效溝通的安全文化；

b)建立并維護(hù)充分的組織的專門的功能安全規(guī)章和流程；

c)建立并維護(hù)可確保能充分解決識(shí)別出的安全異常的流程；

建立并維護(hù)可確保參與人員的能力與其職責(zé)相匹配的能力管理體系；及

建立并維護(hù)用以支持功能安全的質(zhì)量管理體系。

本章是GB/T34590安全生命周期內(nèi)所有活動(dòng)的前提條件。

總則

5.2.1安全生命周期概述

GB/T34590參考安全生命周期包含了在概念階段、產(chǎn)品開發(fā)、生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢期間的主要

安全活動(dòng)。計(jì)劃、協(xié)調(diào)和監(jiān)控安全活動(dòng)的進(jìn)度，以及確保認(rèn)可措施得到執(zhí)行，是關(guān)鍵的管理任務(wù)，并且

貫穿整個(gè)生命周期。安全生命周期可以被剪裁（本文件第6章）。

注1：GB/T34590.3-XXXX、GB/T34590.4-XXXX、GB/T34590.5-XXXX、GB/T34590.6-XXXX和GB/T34590.7-XXX

分別詳細(xì)描述了在概念階段、產(chǎn)品開發(fā)、生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢期間的安全活動(dòng)。

注2：表A.1概括了功能安全管理的目的、前提條件和工作成果。

圖2說明了與安全生命周期相關(guān)的管理活動(dòng)。

注3：在圖中，GB/T34590-XXXX各部分中的具體條款用以下方式表示：“m-n”,其中m代表部分的數(shù)值，n代表章

的數(shù)值。例如：3-6代表GB/T34590.3-XXXX的第6章。

注4：1)系統(tǒng)層面產(chǎn)品開發(fā)的子階段如GB/T34590.4-XXXX圖2所示。

注5：2)硬件層面產(chǎn)品開發(fā)的子階段如GB/T34590.5-XXXX圖2所示。

注6：3)軟件層面產(chǎn)品開發(fā)的子階段如GB/T34590.6-XXXX圖2所示。

8

GB/T34590.2—XXXX

圖2與安全生命周期相關(guān)的管理活動(dòng)

5.2.2安全生命周期的解釋說明

5.2.2.1總則

GB/T34590不僅定義了針對(duì)安全生命周期內(nèi)特定階段和特定子階段的要求，同時(shí)也定義了適用于

安全生命周期多個(gè)或全部階段的要求，例如功能安全管理的要求。

關(guān)鍵的安全管理任務(wù)是計(jì)劃、協(xié)調(diào)和追蹤與功能安全相關(guān)的活動(dòng)。這些管理任務(wù)適用于安全生命周

期的所有階段。本文件給出了功能安全管理的要求，分別是：

——整體安全管理（本文件第5章）；

——在概念階段及在系統(tǒng)、硬件和軟件層面產(chǎn)品開發(fā)階段的項(xiàng)目相關(guān)的安全管理（本文件第6章）；

及

——生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的安全管理（本文件第7章）。

開發(fā)相關(guān)的安全活動(dòng)計(jì)劃在概念階段啟動(dòng)，并在產(chǎn)品開發(fā)階段（系統(tǒng)、硬件和軟件）中進(jìn)行必需的

細(xì)化，直到?jīng)Q定對(duì)相關(guān)項(xiàng)或要素進(jìn)行生產(chǎn)發(fā)布。與生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢相關(guān)的活動(dòng)計(jì)劃在系統(tǒng)層面

的產(chǎn)品開發(fā)期間啟動(dòng)。

9

GB/T34590.2—XXXX

第5.2.2.2條闡述了安全生命周期內(nèi)不同階段和子階段的定義。第5.2.2.3條闡述了在安全生命周期

內(nèi)需要考慮的其他關(guān)鍵概念。

5.2.2.2安全生命周期的階段和子階段

a)相關(guān)項(xiàng)定義（概念階段的子階段）：

安全生命周期的初始任務(wù)是對(duì)相關(guān)項(xiàng)的功能、接口、環(huán)境條件、法規(guī)要求、已知危害等進(jìn)行

描述。確定相關(guān)項(xiàng)的邊界及其接口，以及對(duì)其他相關(guān)項(xiàng)、要素或者外部措施的假設(shè)（見GB/T

34590.3-XXXX第5章）。

b)危害分析和風(fēng)險(xiǎn)評(píng)估（概念階段的子階段）：

按照GB/T34590.3-XXXX,第6章的要求進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估。首先，通過危害分析和風(fēng)

險(xiǎn)評(píng)估預(yù)測(cè)與相關(guān)項(xiàng)相關(guān)的危害事件所處工況的暴露概率、危害事件的可控性和嚴(yán)重度。這

些參數(shù)共同決定了危害事件的ASIL等級(jí)。然后通過危害分析和風(fēng)險(xiǎn)評(píng)估確定相關(guān)項(xiàng)的安全目

標(biāo)，安全目標(biāo)是相關(guān)項(xiàng)的最高層面的安全要求。將所確定的危害事件的ASIL等級(jí)分配給相應(yīng)

的安全目標(biāo)。在危害分析和風(fēng)險(xiǎn)評(píng)估、功能安全概念和技術(shù)安全概念中，對(duì)人員行為的假設(shè)

（包括可控性和人員反應(yīng)）以及與ASIL分級(jí)相關(guān)的技術(shù)假設(shè)是經(jīng)過確認(rèn)的。（見GB/T

34590.3-XXXX第6章，GB/T34590.3-XXXX第7章和GB/T34590.4-XXXX第8章）。

后續(xù)階段和子階段中詳細(xì)的安全要求來自安全目標(biāo)。安全要求繼承了相應(yīng)安全目標(biāo)的ASIL等

級(jí)，或者在應(yīng)用了ASIL等級(jí)剪裁的要求進(jìn)行分解的情況下，接受分解后的ASIL等級(jí)。（見

GB/T34590.9-XXXX第5章）。

c)功能安全概念（概念階段的子階段）：

基于安全目標(biāo)，同時(shí)考慮初步的構(gòu)架設(shè)想以開發(fā)功能安全概念（見GB/T34590.3-XXXX,第7

章）。功能安全概念是通過從安全目標(biāo)中導(dǎo)出功能安全要求，并通過將這些功能安全要求分

配給相關(guān)項(xiàng)要素來開發(fā)的。功能安全概念還可以包括其他技術(shù)或依賴于外部措施（見GB/T

34590.3-XXXX,第7章）。在這些情況下，對(duì)相應(yīng)的假設(shè)或預(yù)期行為進(jìn)行確認(rèn)（見GB/T

34590.4-XXXX,第8章）。其他技術(shù)的實(shí)施不在本文件系列范圍內(nèi)，且外部措施的實(shí)施不在相

關(guān)項(xiàng)開發(fā)范圍內(nèi)。

d)產(chǎn)品開發(fā)：系統(tǒng)層面

在定義了功能安全概念后，應(yīng)按照GB/T34590.4-XXXX，從系統(tǒng)層面進(jìn)行相關(guān)項(xiàng)的開發(fā)。系統(tǒng)

開發(fā)流程基于V模型概念，V模型左側(cè)包含技術(shù)安全要求的定義、系統(tǒng)架構(gòu)、系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)，

V模型右側(cè)包含集成、驗(yàn)證、安全確認(rèn)。

在本階段定義了軟硬件接口。硬件和軟件之間的接口在硬件和軟件開發(fā)期間進(jìn)行更新。

GB/T34590.4-XXXX，圖2提供了系統(tǒng)開發(fā)子階段的概覽。

系統(tǒng)開發(fā)包括對(duì)發(fā)生在安全生命周期內(nèi)其他階段活動(dòng)的安全確認(rèn)任務(wù)，包括：

——與ASIL等級(jí)分類相關(guān)的技術(shù)假設(shè)；

——對(duì)人員行為所做假設(shè)的確認(rèn)，包括可控性和人員反應(yīng)；

——對(duì)通過其他技術(shù)實(shí)現(xiàn)的功能安全概念的確認(rèn)；及

——對(duì)外部措施有效性的假設(shè)的確認(rèn)和對(duì)表現(xiàn)性能的假設(shè)的確認(rèn)。

e)產(chǎn)品開發(fā):硬件層面

基于系統(tǒng)設(shè)計(jì)規(guī)范，開發(fā)硬件（見GB/T34590.5-XXXX）。硬件開發(fā)流程基于V模型概念，V

模型左側(cè)包含硬件要求的定義、硬件設(shè)計(jì)和實(shí)現(xiàn)，V模型右側(cè)包含硬件集成和驗(yàn)證。

GB/T34590.5-XXXX，圖2提供了硬件開發(fā)子階段的概覽。

f)產(chǎn)品開發(fā):軟件層面

基于系統(tǒng)設(shè)計(jì)規(guī)范，開發(fā)軟件（見GB/T34590.6-XXXX）。軟件開發(fā)流程基于V模型概念，V

模型左側(cè)包含軟件要求的定義、軟件架構(gòu)設(shè)計(jì)和實(shí)現(xiàn)，V模型右側(cè)包含軟件集成和驗(yàn)證。

10

GB/T34590.2—XXXX

GB/T34590.6-XXXX，圖2提供了軟件開發(fā)子階段的概覽。

g)生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢

這一階段的計(jì)劃（見GB/T34590.7-XXXX，第5章），以及相關(guān)要求的規(guī)范，在系統(tǒng)層面的產(chǎn)

品開發(fā)過程中開始（見GB/T34590.4-XXXX），并與系統(tǒng)、硬件和軟件開發(fā)并行。這樣的計(jì)劃

可以通過交換信息或要求來實(shí)現(xiàn)，例如提高產(chǎn)品生產(chǎn)能力的安全相關(guān)的特殊特性或要求。

這一階段描述了流程、方法和說明以確保相關(guān)項(xiàng)或要素的生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢中的功能

安全。安全相關(guān)的特殊特性，以及相關(guān)項(xiàng)或要素的生產(chǎn)、運(yùn)行、服務(wù)（維護(hù)和維修）和報(bào)廢

的指導(dǎo)說明的開發(fā)和管理是要被考慮的（見GB/T34590.7-XXXX，第6章和第7章）。

5.2.2.3其他關(guān)鍵概念

a)認(rèn)可措施

實(shí)施認(rèn)可措施（本文件第6章）以判斷相關(guān)項(xiàng)實(shí)現(xiàn)了功能安全，或?qū)?shí)現(xiàn)功能安全的貢獻(xiàn)，

例如關(guān)于要素的開發(fā)。

b)可控性

在危害分析和風(fēng)險(xiǎn)評(píng)估（見GB/T34590.3-XXXX，第6章）中，駕駛員或其他涉險(xiǎn)人員（例如，

行人、騎自行車者、乘客、其他車輛的駕駛員）避免特定傷害的能力的可信度，可能受到外

部措施的支持。需要確認(rèn)在危害分析和風(fēng)險(xiǎn)評(píng)估、功能安全概念和技術(shù)安全概念中關(guān)于可控

性的假設(shè)（見GB/T34590.3-XXXX，第6章和第7章，和GB/T34590.4-XXXX，第8章）。

注：暴露概率和嚴(yán)重度依賴于場(chǎng)景。通過人為干預(yù)的最終可控性受相關(guān)項(xiàng)設(shè)計(jì)的影響，因此，在安全確認(rèn)過程中進(jìn)

行評(píng)估（見GB/T34590.4-XXXX，第8章）。

c)外部措施

外部措施是指在相關(guān)項(xiàng)邊界外（見GB/T34590.3-XXXX，第5章）減少或減輕相關(guān)項(xiàng)故障行為

造成的潛在危害的措施。外部措施可以包括額外的車載裝置，如動(dòng)態(tài)穩(wěn)定控制器或防爆輪胎，

也可以包括車外裝置，如防撞護(hù)欄或隧道消防系統(tǒng)。

需確認(rèn)在相關(guān)項(xiàng)定義、危害分析和風(fēng)險(xiǎn)評(píng)估、功能安全概念和技術(shù)安全概念中關(guān)于外部措施

的假設(shè)（見GB/T34590.4-XXXX，第8章）。

可在危害分析和風(fēng)險(xiǎn)評(píng)估過程中考慮外部措施(見GB/T34590.3-XXXX中，第6章),然而,如

果可信度來自危害分析和風(fēng)險(xiǎn)評(píng)估過程中的外部措施（如降低安全目標(biāo)的ASIL等級(jí)）,則在

功能安全概念中不能再次認(rèn)為此外部措施是一個(gè)減少風(fēng)險(xiǎn)的途徑。

外部措施可以在GB/T34590的范圍之外（例如，外部措施是由另一技術(shù)實(shí)現(xiàn)或在車輛以外實(shí)

施），或在GBT34590的范圍內(nèi)（例如，如果外部措施由與相關(guān)項(xiàng)不同的電氣/電子系統(tǒng)實(shí)現(xiàn)）。

d)影響分析：相關(guān)項(xiàng)層面

在相關(guān)項(xiàng)層面執(zhí)行影響分析（見6.4.3）以確定相關(guān)項(xiàng)是全新開發(fā)、或是對(duì)現(xiàn)有相關(guān)項(xiàng)的修改，

還是對(duì)現(xiàn)有相關(guān)項(xiàng)環(huán)境的修改，如果有一個(gè)或多個(gè)修改，則分析修改對(duì)功能安全的影響。

e)影響分析：要素層面

當(dāng)現(xiàn)有要素被復(fù)用（本文件6.4.4）時(shí)，在要素層面進(jìn)行影響分析，以評(píng)估復(fù)用要素是否能夠

符合分配給該要素的安全要求，分析時(shí)要考慮要素被復(fù)用時(shí)所在的運(yùn)行環(huán)境。

f)其他技術(shù)

其他技術(shù)（如機(jī)械和液壓技術(shù)）不同于電子電氣技術(shù)。這些技術(shù)可在安全要求的規(guī)范制定中

和分配中(見GB/T34590.3-XXXX，第7章和GB/T34590.4-XXXX)被考慮，或作為外部措施被

考慮。換言之，由其他技術(shù)實(shí)現(xiàn)的要素可以在相關(guān)項(xiàng)內(nèi)實(shí)施，或者可以定義為外部措施。

g)生產(chǎn)發(fā)布

考慮安全生命周期的成果（包括適用的認(rèn)可措施的成果），生產(chǎn)發(fā)布（本文件6.4.13）正式

決定將相關(guān)項(xiàng)或要素用于生產(chǎn)。

11

GB/T34590.2—XXXX

本章的輸入

5.3.1前提條件

無。

5.3.2支持信息

可考慮如下信息：

符合質(zhì)量管理標(biāo)準(zhǔn)的證據(jù)。

示例1：IATF16949與ISO9001中關(guān)于安全生命周期各個(gè)階段的質(zhì)量管理。

示例2：ISO/IEC33000標(biāo)準(zhǔn)系列，能力成熟度模型集成(CMMI?)或是汽車軟件過程改進(jìn)及能力評(píng)定(Automotive

SPICE?)1)標(biāo)準(zhǔn)系列中關(guān)于產(chǎn)品開發(fā)的部分。

要求和建議

5.4.1總則

執(zhí)行安全生命周期活動(dòng)的組織應(yīng)該滿足第5.4.2～5.4.6條。

5.4.2安全文化

5.4.2.1組織應(yīng)創(chuàng)造、培育并保持一種安全文化，以支持并鼓勵(lì)有效地實(shí)現(xiàn)功能安全。

注：附件B提供了構(gòu)建安全文化的更多細(xì)節(jié)。

5.4.2.2組織應(yīng)建立、執(zhí)行并維護(hù)組織的專門的規(guī)章和流程，以實(shí)現(xiàn)且維護(hù)功能安全并符合GB/T34590

的要求。

注：組織的專門的規(guī)章和流程可包括創(chuàng)建并維護(hù)通用的計(jì)劃（例如：通用安全計(jì)劃）或通用的流程描述。

5.4.2.3組織應(yīng)建立并維護(hù)功能安全、預(yù)期功能安全、信息安全及與實(shí)現(xiàn)功能安全相關(guān)的其他領(lǐng)域之

間的有效溝通渠道。

示例1：建立功能安全與預(yù)期功能安全之間的溝通渠道，以便于兩者交互相關(guān)信息（例如，在產(chǎn)品開發(fā)過程中，功

能安全活動(dòng)和預(yù)期功能安全活動(dòng)是并行開展的，需要針對(duì)可能的相互影響進(jìn)行評(píng)估）。

示例2：建立功能安全與信息安全之間的溝通渠道，以便于兩者交互相關(guān)信息（例如，在識(shí)別到信息安全問題可能

違背安全目標(biāo)或安全要求的情況下，或在信息安全要求可能與功能安全要求沖突的情況下）。

示例3：建立功能安全和非電氣/電子系統(tǒng)相關(guān)安全（如機(jī)械安全）之間的溝通渠道。

示例4：建立功能安全和質(zhì)量之間的溝通渠道。

注：關(guān)于功能安全與信息安全潛在交互的指導(dǎo)見附錄E。

5.4.2.4在安全生命周期執(zhí)行期間,組織應(yīng)執(zhí)行要求的安全活動(dòng),包括文檔的創(chuàng)建和管理(按照

GB/34590.8—XXXX，第10章的說明)。

5.4.2.5組織應(yīng)為功能安全的實(shí)現(xiàn)提供所需的資源。

注：資源包括人力資源、工具、數(shù)據(jù)庫(kù)、指南和工作說明。

5.4.2.6基于以下幾點(diǎn)，組織應(yīng)建立、執(zhí)行并維護(hù)持續(xù)改進(jìn)的流程：

1)CMMI?和AutomotiveSPICE?是適用的商業(yè)產(chǎn)品示例。這些信息是為了方便本文件的用戶而提供的，并不代表本文件對(duì)這些產(chǎn)品的推薦。

12

GB/T34590.2—XXXX

——從其他相關(guān)項(xiàng)安全生命周期的執(zhí)行過程中學(xué)習(xí)經(jīng)驗(yàn)，包括現(xiàn)場(chǎng)經(jīng)驗(yàn)；及

——將獲得的改進(jìn)應(yīng)用于后續(xù)相關(guān)項(xiàng)。

5.4.2.7組織應(yīng)確保給予負(fù)責(zé)實(shí)現(xiàn)或維護(hù)功能安全、執(zhí)行或支持安全活動(dòng)的人員以足夠的權(quán)限來履行

他們的職責(zé)。

5.4.3關(guān)于功能安全的安全異常管理

5.4.3.1組織應(yīng)建立、執(zhí)行并維護(hù)流程，以確保將識(shí)別出的安全異常明確傳達(dá)給負(fù)責(zé)在安全生命周期

內(nèi)實(shí)現(xiàn)或維護(hù)功能安全的人員。

注：根據(jù)安全異常情況，責(zé)任人可包括客戶安全經(jīng)理、供應(yīng)商安全經(jīng)理、與相關(guān)項(xiàng)開發(fā)相關(guān)的安全經(jīng)理，或在生產(chǎn)、

運(yùn)行、服務(wù)和報(bào)廢期間實(shí)現(xiàn)和維護(hù)功能安全的人員。

5.4.3.2組織應(yīng)建立、執(zhí)行和維護(hù)安全異常解決流程，以確保及時(shí)、有效地分析、評(píng)估、解決和管理

已識(shí)別的安全異常，直至關(guān)閉。

注：安全異常的解決流程可包括根本原因分析，由該根本原因分析得出對(duì)以后的修正行動(dòng)。

注：如果安全異常的解決導(dǎo)致變更，則按照GB/T34590.8-XXXX中，第8章，將該變更納入變更管理流程。

注：安全經(jīng)理可以提名負(fù)責(zé)解決安全異常的人員。

注：安全異常解決流程可以整合進(jìn)質(zhì)量管理體系的異常解決流程中（見5.4.5）。

5.4.3.3只有達(dá)成以下條件，安全異常才應(yīng)認(rèn)為被關(guān)閉：

a)基于某一依據(jù)，實(shí)施了充分的安全措施以解決安全異常，且安全措施的有效性得到了驗(yàn)證；

或

注1：在設(shè)計(jì)變更解決了安全異常的情況下，按照ISO26262-8：2018第8章進(jìn)行的相應(yīng)的影響分析可提供依據(jù)。

注2：安全異常可以通過其他技術(shù)實(shí)施的措施或外部措施（例如ISO26262范圍之外的措施）解決。

b)基于某一依據(jù)，將安全異常評(píng)估為不構(gòu)成不合理風(fēng)險(xiǎn)并將其關(guān)閉。

注3：如果沒有合理依據(jù)，則無法關(guān)閉安全異常。

5.4.3.4應(yīng)對(duì)5.4.3.3規(guī)定的關(guān)閉安全異常的依據(jù)進(jìn)行記錄；并應(yīng)進(jìn)行評(píng)審。

示例：對(duì)關(guān)閉安全異常的依據(jù)的評(píng)審可以作為功能安全評(píng)估的一部分（見6.4.12）。

5.4.3.5未完成關(guān)閉的安全異常應(yīng)上報(bào)給負(fù)責(zé)功能安全的人員，比如將涉及產(chǎn)品開發(fā)的安全異常上報(bào)

給項(xiàng)目經(jīng)理。

注：如果在開發(fā)過程中識(shí)別到安全異常，但未完成關(guān)閉，而此時(shí)進(jìn)行功能安全評(píng)估，則負(fù)責(zé)功能安全評(píng)估的人員是

需被明確傳達(dá)安全異常的人員之一。

5.4.4能力管理

5.4.4.1組織應(yīng)確保執(zhí)行安全生命周期活動(dòng)的人員具有與其職責(zé)相匹配的技能水平、能力和資質(zhì)。

注1：在開發(fā)過程中，達(dá)到足夠的技能水平和能力的方法之一是考慮以下知識(shí)領(lǐng)域的培訓(xùn)和資質(zhì)培養(yǎng)：

——常規(guī)的安全實(shí)踐、概念和設(shè)計(jì)；

——GB/T34590-XXXX標(biāo)準(zhǔn)和其他適用的安全標(biāo)準(zhǔn)；

——用于功能安全組織的專門規(guī)則；

——用于與功能安全交互專業(yè)的組織的專門規(guī)則；及

——組織所建立的功能安全流程。

13

GB/T34590.2—XXXX

注2：為了評(píng)估執(zhí)行滿足GB/T34590-XXXX的活動(dòng)所需的技能、能力和資質(zhì)，可以考量以往的專業(yè)活動(dòng)經(jīng)驗(yàn)，如：

——相關(guān)項(xiàng)專業(yè)領(lǐng)域的知識(shí)；

——相關(guān)項(xiàng)環(huán)境方面的專業(yè)知識(shí)；

——管理經(jīng)驗(yàn)；及

——生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢方面的專業(yè)知識(shí)。

注3：組織可以定義技能、能力和資質(zhì)的充分性的標(biāo)準(zhǔn)。

示例：英國(guó)健康與安全執(zhí)行局在“安全相關(guān)系統(tǒng)管理能力”中給出的準(zhǔn)則。

5.4.5質(zhì)量管理體系

5.4.5.1組織應(yīng)具有支持實(shí)現(xiàn)功能安全并滿足質(zhì)量管理標(biāo)準(zhǔn)如IATF16949，ISO9001或等同標(biāo)準(zhǔn)的質(zhì)

量管理體系。

5.4.6獨(dú)立于項(xiàng)目的安全生命周期剪裁

5.4.6.1組織可剪裁安全生命周期，應(yīng)用于各相關(guān)項(xiàng)或要素，即獨(dú)立于項(xiàng)目的剪裁，僅限于以下情況：

a)合并或分解子階段、活動(dòng)或任務(wù)；

注：如果所用的方法難以清晰地區(qū)分單獨(dú)的子階段，那么這些子階段可以合并。例如，計(jì)算機(jī)輔助開發(fā)工具能在一

個(gè)步驟中支持多個(gè)子階段的活動(dòng)。

b)在不同的階段或子階段中執(zhí)行同一活動(dòng)或任務(wù)；

c)在新增的階段或子階段中執(zhí)行同一活動(dòng)或任務(wù)；

d)反復(fù)進(jìn)行某個(gè)階段或子階段；

e)若符合6.4.7.1，執(zhí)行與其他階段或子階段的安全活動(dòng)同時(shí)進(jìn)行的安全活動(dòng)；或

f)根據(jù)某個(gè)理由，省略不適用于組織的階段或子階段。

工作成果

5.5.1組織的專門的功能安全規(guī)章和流程，由5.4.2到5.4.6得出。

5.5.2能力管理證據(jù)，由5.4.4得出。

5.5.3質(zhì)量管理體系證據(jù)，由5.4.5和5.4.6得出。

5.5.4已識(shí)別的安全異常報(bào)告（如果適用），由5.4.3得出。

6項(xiàng)目相關(guān)的安全管理

目的

本章的目的是，確保參與概念階段或系統(tǒng)、硬件、軟件層面開發(fā)階段的組織實(shí)現(xiàn)以下目標(biāo)：

a)定義與分配安全活動(dòng)相關(guān)的角色和責(zé)任；

b)在相關(guān)項(xiàng)層面執(zhí)行影響分析，以識(shí)別相關(guān)項(xiàng)是全新的，或是對(duì)現(xiàn)有相關(guān)項(xiàng)修改，還是對(duì)現(xiàn)有相

關(guān)項(xiàng)的使用環(huán)境進(jìn)行修改；并在有一項(xiàng)或多項(xiàng)修改時(shí)，分析所識(shí)別出的修改對(duì)功能安全的影響；

c)在現(xiàn)有要素復(fù)用的情況下，在要素層面執(zhí)行影響分析，評(píng)估復(fù)用的要素是否可以滿足分配給它

的安全要求，并考慮該要素復(fù)用的運(yùn)行環(huán)境；

注：在相關(guān)項(xiàng)或要素層面的影響分析能支持安全活動(dòng)的計(jì)劃（見6.4.6.7）。

d)定義所剪裁的安全活動(dòng)，提供相應(yīng)的剪裁理由，并評(píng)審所提供的理由；

e)計(jì)劃安全活動(dòng)；

14

GB/T34590.2—XXXX

f)按照安全計(jì)劃協(xié)調(diào)并追蹤安全活動(dòng)的進(jìn)度；

g)規(guī)劃分布式開發(fā)(見GB/T34590.8-XXXX，第5章)；

h)在整個(gè)安全生命周期內(nèi)，確保安全活動(dòng)的正確進(jìn)程；

i)創(chuàng)建可理解的安全檔案，以提供實(shí)現(xiàn)了功能安全的證據(jù)；

j)判斷相關(guān)項(xiàng)是否實(shí)現(xiàn)了功能安全（即功能安全評(píng)估），或者判斷某一要素（即供應(yīng)商進(jìn)行的功

能安全評(píng)估活動(dòng)）或工作成果（例如認(rèn)可評(píng)審）對(duì)于實(shí)現(xiàn)功能安全的貢獻(xiàn)；及

k)在開發(fā)結(jié)束時(shí)，基于支持有信心實(shí)現(xiàn)功能安全的證據(jù)，決定相關(guān)項(xiàng)或要素是否能夠生產(chǎn)發(fā)布。

總則

在項(xiàng)目中，定義和分配與安全活動(dòng)相關(guān)的角色和職責(zé)。

在相關(guān)項(xiàng)層面進(jìn)行影響分析，以識(shí)別相關(guān)項(xiàng)是全新的，或是對(duì)現(xiàn)有相關(guān)項(xiàng)修改，還是對(duì)現(xiàn)有相關(guān)項(xiàng)

的使用環(huán)境進(jìn)行修改；并在有一項(xiàng)或多項(xiàng)修改時(shí)，分析所識(shí)別出的修改對(duì)功能安全的影響。

在現(xiàn)有要素復(fù)用的情況下，在要素層面進(jìn)行影響分析，并考慮該要素復(fù)用的運(yùn)行環(huán)境。

安全管理包括計(jì)劃和協(xié)調(diào)安全活動(dòng)、根據(jù)相應(yīng)的計(jì)劃跟蹤活動(dòng)進(jìn)度的責(zé)任，以及對(duì)被剪裁的安全活

動(dòng)進(jìn)行描述和理由說明的責(zé)任。

將安全計(jì)劃文檔化，并參考開發(fā)接口協(xié)議（見GB/34590.8—XXXX，第5章），該協(xié)議定義了在分布

式開發(fā)中與其他方的安全計(jì)劃的接口。

安全管理也有責(zé)任確保執(zhí)行認(rèn)可措施。根據(jù)適用的ASIL等級(jí)，認(rèn)可措施的執(zhí)行要求在資源、管理和

發(fā)布權(quán)限上的充分獨(dú)立性。

認(rèn)可措施包括認(rèn)可評(píng)審、功能安全審核和功能安全評(píng)估：

——認(rèn)可評(píng)審的目的是評(píng)判關(guān)鍵工作成果（見表1）是否提供了充分和令人信服的證據(jù)，證明其對(duì)

實(shí)現(xiàn)功能安全的貢獻(xiàn)；

——如果適用，功能安全審核的目的是評(píng)估安全活動(dòng)所要求的流程的執(zhí)行情況；

——如果適用，功能安全評(píng)估的目的是判斷相關(guān)項(xiàng)是否實(shí)現(xiàn)了功能安全，或判斷對(duì)功能安全實(shí)現(xiàn)

的貢獻(xiàn)（例如要素的開發(fā)）。

表1列出了認(rèn)可措施。

除了認(rèn)可措施外，還需進(jìn)行驗(yàn)證活動(dòng)。按照GB/T34590-XXXX其他部分的要求，這些驗(yàn)證活動(dòng)用于

驗(yàn)證相關(guān)工作成果是否滿足項(xiàng)目要求以及技術(shù)要求，尤其是與應(yīng)用案例和失效模式相關(guān)的技術(shù)要求。

最后，相關(guān)項(xiàng)或相關(guān)項(xiàng)中各要素的發(fā)布責(zé)任人，基于支持有信心實(shí)現(xiàn)功能安全的證據(jù)，判斷相關(guān)項(xiàng)

或要素是否已做好了批量生產(chǎn)和運(yùn)行的準(zhǔn)備。

本章的輸入

6.3.1前提條件

應(yīng)具備如下信息：

組織的專門的功能安全規(guī)章和流程，按照5.5.1；

能力管理證據(jù)，按照5.5.2；及

質(zhì)量管理體系證據(jù)，按照5.5.3。

6.3.2支持信息

如果有，可以考慮如下信息：

——項(xiàng)目計(jì)劃(來自外部)；

——其他活動(dòng)，包括其他安全活動(dòng)；及

——其他用于進(jìn)行影響分析的現(xiàn)有信息（見6.4.3和6.4.4）。

15

GB/T34590.2—XXXX

示例：產(chǎn)品概念、修改請(qǐng)求、實(shí)施計(jì)劃或在用證明。

要求和建議

6.4.1總則

第6.4.2～6.4.13條適用于參與相關(guān)項(xiàng)或相關(guān)項(xiàng)的一個(gè)或多個(gè)要素的概念階段或產(chǎn)品開發(fā)階段（系

統(tǒng)、硬件或軟件）的組織。

示例：供應(yīng)商開發(fā)了一個(gè)要由客戶集成的要素（見GB/T34590.8:XXXX，第5章），該要素根據(jù)4.4的要求，實(shí)施

一個(gè)或多個(gè)ASIL等級(jí)為A、B、C或D的安全要求。

6.4.2安全管理的角色和職責(zé)

6.4.2.1在相關(guān)項(xiàng)產(chǎn)品開發(fā)的啟動(dòng)階段應(yīng)指定一名項(xiàng)目經(jīng)理。

注：在分布式開發(fā)的情況下（見GB/T34590.8:XXXX，第5章），客戶和開發(fā)一個(gè)或多個(gè)將被集成的要素的供應(yīng)商，

均需任命項(xiàng)目經(jīng)理。

6.4.2.2應(yīng)按照5.4.2.7的要求賦予項(xiàng)目經(jīng)理責(zé)任和權(quán)限，以確保：

a)執(zhí)行實(shí)現(xiàn)功能安全所需的安全活動(dòng)；及

b)滿足GB/T34590-XXXX的要求。

6.4.2.3項(xiàng)目經(jīng)理應(yīng)確認(rèn)組織提供了符合5.4.2.5要求的功能安全活動(dòng)所需的資源。

注：在計(jì)劃階段預(yù)估、確定并分配足夠的資源。

6.4.2.4項(xiàng)目經(jīng)理應(yīng)確保已指定了符合5.4.4要求的安全經(jīng)理。

注1：安全經(jīng)理的角色可以由項(xiàng)目經(jīng)理承擔(dān)。

注2：因術(shù)語“安全經(jīng)理”被定義為角色（見GB/T34590.1-XXXX），其任務(wù)可以根據(jù)組織的形式分配給不同的人。

注3：在分布式開發(fā)的情況下（見GB/T34590.8-XXXX，第5章），在客戶處和開發(fā)一個(gè)或多個(gè)要集成的要素的供應(yīng)

商處任命安全經(jīng)理。

6.4.3相關(guān)項(xiàng)層面的影響分析

6.4.3.1在安全生命周期開始時(shí)，應(yīng)進(jìn)行相關(guān)項(xiàng)層面的影響分析，以確定相關(guān)項(xiàng)是全新開發(fā)，或是對(duì)

現(xiàn)有相關(guān)項(xiàng)修改，還是對(duì)現(xiàn)有相關(guān)項(xiàng)的使用環(huán)境進(jìn)行修改。

注：在用證在用證明可適用于修改的情況（見GB/T34590.8-XXXX，第14章）。

6.4.3.2在對(duì)相關(guān)項(xiàng)或其環(huán)境修改的情況下，按照6.4.3.1執(zhí)行的相關(guān)項(xiàng)層面的影響分析應(yīng)識(shí)別并描

述應(yīng)用于相關(guān)項(xiàng)的修改，包括：

注1：本章考慮的影響分析關(guān)注計(jì)劃階段相關(guān)項(xiàng)的修改。在開發(fā)執(zhí)行過程中的設(shè)計(jì)修改是通過變更管理流程實(shí)現(xiàn)的

(見GB/T34590.8-XXXX，第8章)。

a)設(shè)計(jì)的修改；

注2：設(shè)計(jì)的修改可來自需求的修改。

注3：設(shè)計(jì)的修改可以影響相關(guān)項(xiàng)的行為。

示例1：設(shè)計(jì)的修改可來自標(biāo)定數(shù)據(jù)的修改。

示例2：設(shè)計(jì)的修改可來自相關(guān)項(xiàng)運(yùn)行模式的更改。

16

GB/T34590.2—XXXX

a)實(shí)現(xiàn)方式的修改；及

注4：實(shí)現(xiàn)方式的修改不影響相關(guān)項(xiàng)的規(guī)格或性能。

注5：對(duì)于相關(guān)項(xiàng)實(shí)現(xiàn)方式的修改，可能會(huì)影響相關(guān)項(xiàng)的行為。

注6：實(shí)現(xiàn)方式的修改可來自軟件的修正。

b)與環(huán)境相關(guān)的修改。

示例3：溫度、海拔、濕度、振動(dòng)、電磁干擾（EMI）和燃料類型。

注7：修改包括：

——將相關(guān)項(xiàng)安裝于新的目標(biāo)環(huán)境（如車輛變型）；

——運(yùn)行場(chǎng)景的變更；及

——-相關(guān)項(xiàng)在車內(nèi)的不同位置。

6.4.3.3按照6.4.3.2，相關(guān)項(xiàng)層面的影響分析應(yīng)：

a)評(píng)估修改對(duì)功能安全的影響；及

b)基于修改的影響，識(shí)別并描述要開展的安全活動(dòng)。

6.4.4現(xiàn)有要素的復(fù)用

在復(fù)用現(xiàn)有要素的情況下，應(yīng)執(zhí)行要素層面的影響分析，包括：

a)識(shí)別運(yùn)行環(huán)境的修改，包括其導(dǎo)致的對(duì)要素的修改；

b)無論復(fù)用的要素是否進(jìn)行修改，都需要評(píng)估其能否符合分配給其的安全要求，這些安全要求

來自集成該要素的相關(guān)項(xiàng)或要素；

注1：無論是否計(jì)劃對(duì)現(xiàn)有要素進(jìn)行修改，它都可以被復(fù)用。例如，可以計(jì)劃對(duì)要素進(jìn)行修改，以實(shí)現(xiàn)現(xiàn)有要素的

集成。

c)基于修改影響（包括先前假設(shè)有效性的影響）進(jìn)行評(píng)估，識(shí)別要執(zhí)行的安全活動(dòng);及

d)評(píng)估與復(fù)用要素有關(guān)的現(xiàn)有安全相關(guān)文檔，并判斷其是否支持將要素集成到相關(guān)項(xiàng)，或?qū)⒁?/p>

素集成到另一個(gè)要素。

注2：本章中考慮的影響分析涉及在計(jì)劃階段考慮的要素運(yùn)行環(huán)境的修改。開發(fā)過程中考慮的設(shè)計(jì)修改通過變更管

理流程執(zhí)行。（見GB/T34590.8，第8章）。

注3：現(xiàn)有要素的復(fù)用需：

a)基于硬件要素的評(píng)估（見GB/T34590.8-XXXX，第13章）；

b)基于軟件組件的鑒定（見GB/T34590.8-XXXX，第12章）；

c)基于在用證明（見GB/T34590.8-XXXX，第14章）；或

d)作為獨(dú)立于環(huán)境的安全要素（見GB/T34590.10-XXXX）。

6.4.5安全活動(dòng)的剪裁

6.4.5.1可以對(duì)特定相關(guān)項(xiàng)開發(fā)的安全活動(dòng)進(jìn)行剪裁，即省略或以不同于GB/T34590所參考的生命周

期中規(guī)定的方式執(zhí)行。如果安全活動(dòng)被剪裁，那么

a)應(yīng)在安全計(jì)劃中定義該剪裁（見6.4.6.5，b）；及

b)應(yīng)給出理由說明為什么剪裁對(duì)于實(shí)現(xiàn)功能安全來說是恰當(dāng)且充分的。

注1：該理由應(yīng)考慮相關(guān)要求的ASIL等級(jí)。

17

GB/T34590.2—XXXX

注2：剪裁的理由包含在安全計(jì)劃中且在安全計(jì)劃的認(rèn)可評(píng)審（見6.4.9）或功能安全評(píng)估（見6.4.12）過程中進(jìn)

行評(píng)審。

注3：本要求適用于特定相關(guān)項(xiàng)的安全活動(dòng)的剪裁。關(guān)于組織層面相關(guān)項(xiàng)開發(fā)的安全生命周期的剪裁，僅5.4.6適

用。

6.4.5.2如果是按照影響分析結(jié)果（按照6.4.3或6.4.4）對(duì)某一安全活動(dòng)按照6.4.5.1進(jìn)行剪裁，

則應(yīng)滿足6.4.6.7的要求。

6.4.5.3如果由于在用證明結(jié)果而按照6.4.5.1對(duì)某一安全活動(dòng)進(jìn)行剪裁，則剪裁應(yīng)滿足GB/T

34590.8-XXXX，第14章的要求。

6.4.5.4如果由于硬件要素評(píng)估而按照6.4.5.1對(duì)某一安全活動(dòng)進(jìn)行剪裁，則剪裁應(yīng)滿足GB/T

34590.8-XXXX，第13章的要求。

6.4.5.5如果是由于軟件組件鑒定而按照6.4.5.1對(duì)某一安全活動(dòng)進(jìn)行剪裁，則剪裁應(yīng)滿足GB/T

34590.8-XXXX，第12章的要求。

6.4.5.6如果基于考慮所使用軟件工具的置信度的依據(jù)而按照6.4.5.1對(duì)某一安全活動(dòng)進(jìn)行剪裁，則

應(yīng)滿足GB/T34590.8-XXXX，第11章的要求。

6.4.5.7如果由于要素被開發(fā)為獨(dú)立于環(huán)境的安全要素（“SEooC”）而按照6.4.5.1對(duì)某一安全活動(dòng)

進(jìn)行剪裁，那么

a)獨(dú)立于環(huán)境的安全要素的開發(fā)應(yīng)基于一個(gè)需求規(guī)范，該需求規(guī)范來自對(duì)預(yù)期用途和環(huán)境的假設(shè)，

包括其外部接口；及

b)當(dāng)安全要素被集成到其目標(biāo)應(yīng)用中時(shí)，應(yīng)驗(yàn)證對(duì)獨(dú)立于環(huán)境的安全要素的預(yù)期用途和應(yīng)用環(huán)境

的假設(shè)。

注1：本文件作為一個(gè)整體不能應(yīng)用于獨(dú)立于環(huán)境的安全要素的開發(fā)，因?yàn)楣δ馨踩皇且粋€(gè)要素屬性（然而一個(gè)

相關(guān)項(xiàng)中的某一個(gè)要素可以認(rèn)為是與安全相關(guān)的）。功能安全是一個(gè)可以通過功能安全評(píng)估方法來評(píng)價(jià)的相

關(guān)項(xiàng)的屬性。

示例：微控制器作為獨(dú)立于環(huán)境的安全要素開發(fā)。

注2：了解更多獨(dú)立于環(huán)境的安全要素的開發(fā)見GB/T34590.10。

6.4.5.8本要求適用于T&B的相關(guān)項(xiàng)的開發(fā)：如果某個(gè)應(yīng)用超出了GB/T34590的范圍，且該應(yīng)用正在

與已根據(jù)這些標(biāo)準(zhǔn)開發(fā)的基礎(chǔ)車輛或相關(guān)項(xiàng)進(jìn)行對(duì)接,則應(yīng)按照GB/T34590.8-XXXX，第15章的要求

對(duì)相應(yīng)的安全活動(dòng)進(jìn)行剪裁。

6.4.5.9本要求適用于T&B的相關(guān)項(xiàng)的開發(fā)：如果開展安全活動(dòng)，以確保未按照GB/T34590開發(fā)的系

統(tǒng)或組件，滿足集成到按照這些標(biāo)準(zhǔn)開發(fā)的相關(guān)項(xiàng)中所需的功能安全水平，則應(yīng)按照GB/T34590.8-XXXX，

第16章的要求對(duì)這類安全活動(dòng)進(jìn)行剪裁。

6.4.6安全活動(dòng)的計(jì)劃和協(xié)調(diào)

6.4.6.1按照5.4.2.7的要求，安全經(jīng)理應(yīng)負(fù)責(zé)計(jì)劃和協(xié)調(diào)組織所參