GBT 43253.2-2023 道路車輛 功能安全審核及評(píng)估方法 第2部分：概念階段和系統(tǒng)層面（正式版）

道路車輛功能安全審核及評(píng)估方法第2部分：概念階段和系統(tǒng)層面2023-11-27發(fā)布國家市場(chǎng)監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會(huì)IGB/T43253.2—2023 Ⅲ 12規(guī)范性引用文件 13術(shù)語和定義 14一般要求 15相關(guān)項(xiàng)定義 2 25.2審核及評(píng)估的輸入 25.3審核及評(píng)估的要求 26危害分析和風(fēng)險(xiǎn)評(píng)估 2 26.2審核及評(píng)估的輸入 36.3審核及評(píng)估的要求 37功能安全概念 4 47.2審核及評(píng)估的輸入 47.3審核及評(píng)估的要求 48技術(shù)安全概念 5 58.2審核及評(píng)估的輸入 68.3審核及評(píng)估的要求 69驗(yàn)證和確認(rèn) 8 89.2審核及評(píng)估的輸入 89.3審核及評(píng)估的要求 9附錄A(資料性)相關(guān)項(xiàng)定義 附錄B(資料性)危害分析和風(fēng)險(xiǎn)評(píng)估 附錄C(資料性)功能安全概念 附錄D(資料性)技術(shù)安全概念 附錄E(資料性)驗(yàn)證和確認(rèn) 參考文獻(xiàn) Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件是GB/T43253《道路車輛功能安全審核及評(píng)估方法》的第2部分。GB/T43253已經(jīng)發(fā)布了以下部分：——第1部分：通用要求；——第2部分：概念階段和系統(tǒng)層面；——第3部分：軟件層面；——第4部分：硬件層面。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中華人民共和國工業(yè)和信息化部提出。本文件由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC114)歸口。本文件起草單位：中國汽車技術(shù)研究中心有限公司、中國第一汽車集團(tuán)有限公司、深圳市大疆卓見科技有限公司、廣州汽車集團(tuán)股份有限公司、上海機(jī)動(dòng)車檢測(cè)認(rèn)證技術(shù)研究中心有限公司、東軟睿馳汽車技術(shù)(上海)有限公司、中國長安汽車集團(tuán)有限公司、知行汽車科技(蘇州)有限公司、北京地平線機(jī)器人技術(shù)研發(fā)有限公司、蔚來汽車科技(安徽)有限公司、舍弗勒(中國)有限公司、愛信(蘇州)汽車技術(shù)中心有限公司杭州分公司、重慶長安汽車軟件科技有限公司、北京國家新能源汽車技術(shù)創(chuàng)新中心有限公司。GB/T43253《道路車輛功能安全審核及評(píng)估方法》以GB/T34590《道路車輛功能安全》為基礎(chǔ)，適用于道路車輛上安全相關(guān)的電氣/電子(E/E)系統(tǒng)在安全生命周期內(nèi)的審核及評(píng)估活動(dòng)。安全是道路車輛開發(fā)的關(guān)鍵問題之一，車輛上包含的電氣、電子和軟件相關(guān)功能的數(shù)量不斷增加，強(qiáng)化了對(duì)功能安全的需求，以及對(duì)提供證據(jù)證明滿足功能安全目標(biāo)的需求。為了確認(rèn)電氣/電子(E/E)系統(tǒng)對(duì)于功能安全流程及功能安全要求的符合性，GB/T43253:a)提供了組織層面開展功能安全審核及評(píng)估的通用流程、實(shí)施方法及要求；b)提供了安全相關(guān)的電氣/電子(E/E)系統(tǒng)在概念階段、系統(tǒng)層面、軟件層面、硬件層面的功能安全審核及評(píng)估的過程、方法和要求；c)提供了功能安全審核及評(píng)估的檢查清單和參考示例。GB/T43253由4個(gè)部分構(gòu)成。——第1部分：通用要求。目的是規(guī)定功能安全審核及評(píng)估活動(dòng)在不同階段的通用要求。——第2部分：概念階段和系統(tǒng)層面。目的是規(guī)定功能安全審核及評(píng)估活動(dòng)在概念階段及系統(tǒng)層面的要求。——第3部分：軟件層面。目的是規(guī)定功能安全審核及評(píng)估活動(dòng)在軟件層面的要求。——第4部分：硬件層面。目的是規(guī)定功能安全審核及評(píng)估活動(dòng)在硬件層面的要求。功能安全審核及評(píng)估活動(dòng)伴隨功能安全開發(fā)過程的迭代，圖1為GB/T43253的整體架構(gòu)，基于V模型為產(chǎn)品開發(fā)的不同階段、對(duì)象和范圍，提供審核及評(píng)估參考過程模型。1-5中核及產(chǎn)估氣共要求功能交全管班的宣核和評(píng)估1-6-1易能安全管理概念階裂的審核評(píng)信2-5E關(guān)頂定義2-6危害分析和風(fēng)險(xiǎn)評(píng)估系統(tǒng)層面的審核評(píng)估2-8技術(shù)安全境念開發(fā)2-9驗(yàn)證和消認(rèn)軟件層面的審核評(píng)估軟件層面的審核評(píng)估4-5碘科安全要采小父環(huán)城46碘設(shè)計(jì)3-6栽件實(shí)全縣求1-7傾外熱溝度量的評(píng)估3-7軟件架檢設(shè)計(jì)規(guī)范3-8軟件單元設(shè)計(jì)及實(shí)兀39軟什·單元測(cè)試3-7軟件架檢設(shè)計(jì)規(guī)范3-8軟件單元設(shè)計(jì)及實(shí)兀39軟什·單元測(cè)試3-10軟件典成手驗(yàn)匯3-11能入式軟外澳試非肖安全口標(biāo)句評(píng)估49原件集成不驗(yàn)證3-12聯(lián)件標(biāo)定和配氣管理/:產(chǎn)、送行、服務(wù)和報(bào)廢的審核評(píng)估{.、眼務(wù)和報(bào)廢支持過程的審核和評(píng)估3-13軟件糾件鑒定4-10硬件滅素已信1-67以汽車安全完整性等敘為導(dǎo)向和安全為導(dǎo)向的分析圖1功能安全審核及評(píng)估概覽IN1道路車輛功能安全審核及評(píng)估方法第2部分：概念階段和系統(tǒng)層面本文件規(guī)定了針對(duì)安全相關(guān)的電氣/電子(E/E)系統(tǒng)在概念階段和系統(tǒng)層面的功能安全相關(guān)活動(dòng)和工作成果，開展功能安全審核及評(píng)估的要求和方法，以檢查和判斷開發(fā)過程及工作成果對(duì)于功能安全的符合性。本文件適用于安裝在除輕便摩托車外的量產(chǎn)道路車輛上的包含一個(gè)或多個(gè)電氣/電子(E/E)系統(tǒng)的與安全相關(guān)的系統(tǒng)。本文件不適用于特殊用途車輛上特定的電氣/電子(E/E)系統(tǒng)，例如，為殘疾駕駛者設(shè)計(jì)的車輛2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T34590.1～34590.12—2022道路車輛功能安全GB/T43253.1—2023道路車輛功能安全審核及評(píng)估方法第1部分：通用要求GB/T43253.3—2023道路車輛功能安全審核及評(píng)估方法第3部分：軟件層面GB/T43253.4—2023道路車輛功能安全審核及評(píng)估方法第4部分：硬件層面3術(shù)語和定義GB/T34590.1—2022界定的術(shù)語和定義適用于本文件。4一般要求GB/T43253.1—2023中定義的審核及評(píng)估要求適用于本文件。概念階段和系統(tǒng)層面的功能安全審核及評(píng)估，主要涉及以下內(nèi)容：——接受評(píng)估的相關(guān)項(xiàng)定義；——危害分析和風(fēng)險(xiǎn)評(píng)估；——功能安全概念開發(fā)；——技術(shù)安全概念開發(fā)；——驗(yàn)證和確認(rèn)。通過審核及評(píng)估，基于證據(jù)判斷功能安全概念及系統(tǒng)層面的功能安全開發(fā)，符合：——功能安全目標(biāo)、功能安全概念和技術(shù)安全概念是恰當(dāng)和完整的；——相關(guān)項(xiàng)設(shè)計(jì)實(shí)現(xiàn)了功能安全目標(biāo)、功能安全概念和技術(shù)安全概念；——功能安全開發(fā)過程、方法及使用的工具是恰當(dāng)?shù)摹?5相關(guān)項(xiàng)定義本章的目標(biāo)是對(duì)作為功能安全開發(fā)對(duì)象的相關(guān)項(xiàng)的定義文檔進(jìn)行審核及評(píng)估，以檢查其定義是否準(zhǔn)確和充分，足以支持開展后續(xù)功能安全活動(dòng)。5.2審核及評(píng)估的輸入為了開展本章規(guī)定的審核及評(píng)估過程，應(yīng)具備以下輸入及其可能存在的驗(yàn)證報(bào)告：——相關(guān)項(xiàng)定義文檔(含定義文檔及相關(guān)設(shè)計(jì)文檔的組合)。5.3審核及評(píng)估的要求對(duì)于相關(guān)項(xiàng)定義的審核及評(píng)估，應(yīng)涵蓋表1中的檢查項(xiàng)。表1相關(guān)項(xiàng)定義的審核及評(píng)估檢查清單序號(hào)檢查清單1相關(guān)項(xiàng)需要滿足的標(biāo)準(zhǔn)及法規(guī)要求有哪些?2相關(guān)項(xiàng)在整車層面的功能行為是什么?3是否定義了相關(guān)項(xiàng)的運(yùn)行場(chǎng)景和運(yùn)行模式?4是否定義了相關(guān)項(xiàng)的非功能性需求?5是否定義了相關(guān)項(xiàng)的約束?6是否分析了相關(guān)項(xiàng)行為不足的潛在后果?7是否定義了執(zhí)行器的能力或假定了執(zhí)行器的能力?8是否清晰地定義了相關(guān)項(xiàng)的邊界、要素、接口及交互關(guān)系?9是否考慮了相關(guān)項(xiàng)的行為對(duì)整車影響的假設(shè)?是否考慮了其他相關(guān)項(xiàng)和要素要求本相關(guān)項(xiàng)提供的功能?是否考慮了本相關(guān)項(xiàng)要求其他系統(tǒng)和要素提供的功能?是否考慮了功能在所涉及的系統(tǒng)和要素間的分配?是否存在相關(guān)項(xiàng)定義的驗(yàn)證報(bào)告?附錄A提供了針對(duì)相關(guān)項(xiàng)定義開展審核及評(píng)估的說明及示例。6危害分析和風(fēng)險(xiǎn)評(píng)估本章的目標(biāo)是對(duì)危害分析和風(fēng)險(xiǎn)評(píng)估過程及分析結(jié)果進(jìn)行審核及評(píng)估，以檢查：a)對(duì)電氣/電子(E/E)系統(tǒng)相關(guān)的功能異常表現(xiàn)引起的危害事件進(jìn)行了完整識(shí)別和正確歸類；b)基于充分的理由，對(duì)識(shí)別出的危害事件進(jìn)行了分級(jí)；c)針對(duì)分級(jí)后的危害事件，定義了充分的安全目標(biāo)，以避免整車不合理的安全風(fēng)險(xiǎn)。36.2審核及評(píng)估的輸入為開展本章規(guī)定的審核及評(píng)估過程，應(yīng)具備以下輸入及其可能存在的驗(yàn)證報(bào)告：——包含電氣/電子(E/E)系統(tǒng)功能、運(yùn)行場(chǎng)景、整車架構(gòu)等內(nèi)容的定義文檔；——危害分析和風(fēng)險(xiǎn)評(píng)估過程和結(jié)果報(bào)告；——針對(duì)危害分析和風(fēng)險(xiǎn)評(píng)估中相關(guān)假設(shè)、依據(jù)和結(jié)果的驗(yàn)證確認(rèn)計(jì)劃和結(jié)論。6.3審核及評(píng)估的要求對(duì)于危害分析和風(fēng)險(xiǎn)評(píng)估的審核及評(píng)估，應(yīng)涵蓋表2和表3中的檢查項(xiàng)。表2危害分析和風(fēng)險(xiǎn)評(píng)估過程和結(jié)果的審核及評(píng)估檢查清單序號(hào)檢查清單1危害分析是否涵蓋了相關(guān)項(xiàng)的所有功能行為?是否與“相關(guān)項(xiàng)定義”階段的功能行為保持了一致性及可追溯性?2在危害分析和風(fēng)險(xiǎn)評(píng)估過程中，對(duì)相關(guān)項(xiàng)內(nèi)部安全機(jī)制是否未作為評(píng)估依據(jù)?3對(duì)于相關(guān)項(xiàng)的功能異常表現(xiàn)導(dǎo)致的危害事件發(fā)生時(shí)所處的運(yùn)行場(chǎng)景及運(yùn)行模式是否進(jìn)行了描述?是否考慮了可合理預(yù)見的誤用?4是否使用了系統(tǒng)性分析方法來確定危害?5是否在整車層面上，定義了由相關(guān)項(xiàng)的功能異常表現(xiàn)導(dǎo)致的危害?6危害分析過程中，是否識(shí)別出了因非電氣/電子(E/E)系統(tǒng)功能異常表現(xiàn)導(dǎo)致的危害?若有，是否具備組織的特定流程對(duì)其進(jìn)行了妥善處理?7是否對(duì)危害相關(guān)的危害事件進(jìn)行了充分描述?8是否正確、全面地識(shí)別了危害事件的后果，是否包含合理的連鎖反應(yīng)后果?9運(yùn)行場(chǎng)景列表的詳細(xì)程度和分類是否合理?是否存在人為降低了暴露概率的情況?針對(duì)所有已識(shí)別的因電氣/電子(E/E)系統(tǒng)功能異常表現(xiàn)引起的危害事件，是否都按照以下參數(shù)進(jìn)行了分類：嚴(yán)重度等級(jí)S、運(yùn)行場(chǎng)景的暴露概率等級(jí)E、可控性等級(jí)C?是否采取了保守分級(jí)的理念?針對(duì)嚴(yán)重度等級(jí)S的評(píng)級(jí)是否合理?是否有明確的評(píng)級(jí)原則，并基于原則給予了充分的理由說明?是否考慮到危害事件中全部的涉險(xiǎn)人員?涉險(xiǎn)人員是否考慮了目標(biāo)市場(chǎng)中有代表性的樣本?針對(duì)運(yùn)行場(chǎng)景本身會(huì)導(dǎo)致傷害的情況(例如事故),因電氣/電子(E/E)系統(tǒng)功能異常表現(xiàn)導(dǎo)致的危害，其嚴(yán)重度分級(jí)是否基于有無功能異常表現(xiàn)導(dǎo)致的傷害差異?是否存在SO評(píng)級(jí)的危害事件，若有，其評(píng)級(jí)理由是否充分?針對(duì)暴露概率等級(jí)E的評(píng)級(jí)是否合理?是否有明確的評(píng)級(jí)原則，并基于原則給予了充分的理由說明?在暴露概率評(píng)級(jí)時(shí)，是否排除了裝備相關(guān)項(xiàng)的車型數(shù)量的影響?是否存在場(chǎng)景評(píng)級(jí)為E0的危害事件，若有，其評(píng)級(jí)理由是否充分?針對(duì)可控性等級(jí)C的評(píng)級(jí)是否合理?是否有明確的評(píng)級(jí)原則，并基于原則給予了充分的理由說明?對(duì)于可控性的評(píng)級(jí)是否存在必要的確認(rèn)?是否基于S、E、C分級(jí)，按照GB/T34590.1～34590.12—2022正確地確定了每個(gè)危害事件的ASIL等級(jí)?對(duì)于S3和C3,而ASIL評(píng)級(jí)為QM的危害事件，其暴露概率的評(píng)級(jí)是否有充分的理由?是否為每一個(gè)具有ASIL等級(jí)的危害事件都確定了其安全目標(biāo)?合并后的安全目標(biāo)的ASIL等級(jí)是否為其對(duì)應(yīng)危害事件的最高ASIL等級(jí)?安全目標(biāo)的屬性和特性定義、安全目標(biāo)的管理是否符合安全要求定義和管理的要求?4表3針對(duì)危害分析和風(fēng)險(xiǎn)評(píng)估的驗(yàn)證和確認(rèn)的審核及評(píng)估檢查清單序號(hào)檢查清單1在進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估過程中，是否使用到了或從中得出了假設(shè)?若存在假設(shè)，是否在安全確認(rèn)階段對(duì)這些假設(shè)進(jìn)行了確認(rèn)?2是否按照表6中關(guān)于驗(yàn)證的檢查清單的要求對(duì)危害分析和風(fēng)險(xiǎn)評(píng)估包括安全目標(biāo)進(jìn)行了充分的驗(yàn)證，且具備相應(yīng)的證據(jù)?附錄B提供了針對(duì)危害分析和風(fēng)險(xiǎn)評(píng)估開展審核及評(píng)估的說明及示例。7功能安全概念7.1目標(biāo)本章的目標(biāo)是對(duì)功能安全概念開發(fā)過程及結(jié)果進(jìn)行審核及評(píng)估，以檢查：a)對(duì)電氣/電子(E/E)系統(tǒng)與安全目標(biāo)相關(guān)的功能行為、功能降級(jí)行為進(jìn)行了完整的定義；b)針對(duì)電氣/電子(E/E)系統(tǒng)安全相關(guān)故障，定義了恰當(dāng)?shù)牟呗曰虼胧赃M(jìn)行充分和及時(shí)的探測(cè)、約束和減輕；c)將識(shí)別出的策略和措施以及定義的功能安全要求，分配給系統(tǒng)架構(gòu)設(shè)計(jì)或外部措施；d)針對(duì)上述過程開展了充分的驗(yàn)證，并定義了合理的安全確認(rèn)準(zhǔn)則。7.2審核及評(píng)估的輸入為開展本章規(guī)定的審核及評(píng)估過程，應(yīng)具備以下輸入及其可能存在的驗(yàn)證報(bào)告：——包含電氣/電子(E/E)系統(tǒng)功能、運(yùn)行場(chǎng)景、整車架構(gòu)等內(nèi)容的定義文檔；——危害分析和風(fēng)險(xiǎn)評(píng)估過程和結(jié)果報(bào)告；——系統(tǒng)架構(gòu)設(shè)計(jì)文檔；——功能安全概念報(bào)告；——功能安全驗(yàn)證和確認(rèn)計(jì)劃和報(bào)告。7.3審核及評(píng)估的要求對(duì)于電氣/電子系統(tǒng)功能安全概念文檔內(nèi)容的審核及評(píng)估，應(yīng)涵蓋表4中的檢查項(xiàng)。表4功能安全概念的審核及評(píng)估檢查清單序號(hào)檢查清單1功能安全要求的屬性和特性、功能安全要求的管理是否符合安全要求定義和管理的要求?2功能安全要求是否由安全目標(biāo)導(dǎo)出?在定義功能安全要求時(shí)，是否考慮了系統(tǒng)架構(gòu)設(shè)計(jì)?3每個(gè)安全目標(biāo)是否都可追溯到至少一項(xiàng)功能安全要求?4如果適用，在功能安全要求中是否定義了故障避免的策略?5如果適用，在功能安全要求中是否定義了故障探測(cè)的策略，以及對(duì)故障或其導(dǎo)致的功能異常表現(xiàn)的控制策略?6如果適用，在功能安全要求中是否定義了過渡到安全狀態(tài)的策略，及如果適用，過渡出安全狀態(tài)的策略?7如果適用，在功能安全要求中，是否定義了故障容錯(cuò)的策略?5表4功能安全概念的審核及評(píng)估檢查清單(續(xù))序號(hào)檢查清單8如果適用，在功能安全要求中，是否定義了故障情況下的功能降級(jí)策略?是否定義了功能降級(jí)與駕駛員警告之間的交互策略?針對(duì)不同故障風(fēng)險(xiǎn)，駕駛員警告機(jī)制是否明確和有效?9如果適用，故障處理時(shí)間間隔的定義是否滿足故障容錯(cuò)時(shí)間間隔的要求?如果適用，對(duì)于不同功能的多個(gè)控制請(qǐng)求，是否定義了仲裁策略，以避免或減輕可能導(dǎo)致的危害風(fēng)險(xiǎn)?是否進(jìn)行了安全分析以得到完整有效的功能安全要求?行時(shí)間間隔及功能冗余?在功能安全要求中，是否定義了相應(yīng)的一個(gè)或多個(gè)安全狀態(tài)以避免安全目標(biāo)的違背?是否對(duì)相關(guān)項(xiàng)過渡到安全狀態(tài)的時(shí)間間隔進(jìn)行了分析?對(duì)于不能在可接受的時(shí)間間隔內(nèi)過渡到安全狀態(tài)的情況，是否定義了緊急運(yùn)行?在功能安全概念中，是否對(duì)避免違反安全目標(biāo)的駕駛員或其他人員的必要行動(dòng)進(jìn)行了假設(shè)?若存在，是否在功能安全概念中對(duì)其進(jìn)行了定義，并定義了可供駕駛員或其他人員使用的足夠的方法和控制手段?是否將功能安全要求分配給了系統(tǒng)架構(gòu)設(shè)計(jì)中的要素?ASIL等級(jí)等信息是否與安全目標(biāo)保持一致?如果應(yīng)用了ASIL等級(jí)分解，是否符合GB/T43253.1—2023中6.7關(guān)于ASIL等級(jí)分級(jí)的檢查清單的要求?承接功能安全要求的架構(gòu)要素的開發(fā)是否符合這些安全要求的初始最高ASIL等級(jí)?若使用了ASIL等級(jí)分解，則承接初始安全要求的不同架構(gòu)要素間的獨(dú)立性，是否根據(jù)GB/T43253.1—2023中表22要素共存的檢查清單的要求進(jìn)行了證明?針對(duì)包含多個(gè)電氣/電子(E/E)系統(tǒng)的相關(guān)項(xiàng)，是否定義了各個(gè)電氣/電子(E/E)系統(tǒng)以及系統(tǒng)之間接口的功能安全要求?如果適用，是否在功能安全概念中為各個(gè)電氣/電子(E/E)系統(tǒng)分配了隨機(jī)硬件故障度量目標(biāo)值?若存在功能安全要求的ASIL等級(jí)分解，是否符合GB/T43253.1—2023中6.7關(guān)于ASIL等級(jí)分解的檢查清單的要求?若功能安全概念的實(shí)現(xiàn)需要基于其他技術(shù)的要素，則針對(duì)這些其他技術(shù)要素，是否合理分配了功能安全要求及屬性?是否定義了與其他技術(shù)要素的接口相關(guān)的功能安全要求?這些要求及屬性的實(shí)現(xiàn)是否具備充分的措施保證，并進(jìn)行了必要的驗(yàn)證和確認(rèn)?如果適用，在定義功能安全概念時(shí)，是否考慮了外部措施的功能安全要求?是否依據(jù)功能安全要求和安全目標(biāo)定義了相關(guān)項(xiàng)安全確認(rèn)的接受準(zhǔn)則?是否按照本表檢查清單的要求對(duì)功能安全概念進(jìn)行了充分的驗(yàn)證，且具備相應(yīng)的證據(jù)證明功能安全概念與安全目標(biāo)的一致性和符合性，及功能安全概念減輕或避免危害的能力?附錄C提供了針對(duì)功能安全概念開展審核及評(píng)估的說明及示例。8技術(shù)安全概念本章的目標(biāo)是對(duì)以技術(shù)安全概念和技術(shù)安全需求為核心的系統(tǒng)層面產(chǎn)品開發(fā)階段的相關(guān)工作成果進(jìn)行審核及評(píng)估，以檢查其定義是否符合功能安全開發(fā)的需要。68.2審核及評(píng)估的輸入為開展本章規(guī)定的審核及評(píng)估過程，應(yīng)具備以下輸入及其可能存在的驗(yàn)證報(bào)告：——危害分析和風(fēng)險(xiǎn)評(píng)估報(bào)告；——功能安全概念；——其他涉及安全的相關(guān)項(xiàng)，對(duì)此相關(guān)項(xiàng)的要求(如果適用);——技術(shù)安全需求規(guī)范；——技術(shù)安全概念；——系統(tǒng)架構(gòu)規(guī)范；——軟硬件接口(HSI)規(guī)范；——安全分析報(bào)告。8.3審核及評(píng)估的要求對(duì)技術(shù)安全概念開發(fā)的相關(guān)工作成果的審核及評(píng)估應(yīng)涵蓋表5中的檢查項(xiàng)。注：由于技術(shù)安全概念開發(fā)設(shè)計(jì)工作成果較多，表5按照技術(shù)安全概念、架構(gòu)設(shè)計(jì)方案、技術(shù)安全需求規(guī)范、軟硬件接口規(guī)范和生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的需求規(guī)范的順序組織檢查項(xiàng)。安全機(jī)制的設(shè)計(jì)檢查納入技術(shù)安全需求規(guī)范的檢查項(xiàng)中。表5技術(shù)安全概念開發(fā)活動(dòng)的審核及評(píng)估檢查清單序號(hào)檢查清單1如果存在其他涉及安全的相關(guān)項(xiàng)對(duì)本系統(tǒng)的安全要求，是否作為系統(tǒng)層面開發(fā)階段技術(shù)安全概念的設(shè)計(jì)輸入?2是否存在包含系統(tǒng)層面開發(fā)階段的系統(tǒng)架構(gòu)設(shè)計(jì)的系統(tǒng)架構(gòu)規(guī)范?技術(shù)安全概念和該系統(tǒng)架構(gòu)規(guī)范的系統(tǒng)架構(gòu)設(shè)計(jì)描述是否基于相關(guān)項(xiàng)定義、功能安全概念和先前的系統(tǒng)架構(gòu)設(shè)計(jì)?并保持一致?如果存在不一致，是否通過恰當(dāng)?shù)幕顒?dòng)進(jìn)行迭代?3系統(tǒng)層面開發(fā)階段的系統(tǒng)架構(gòu)設(shè)計(jì)是否能實(shí)現(xiàn)技術(shù)安全要求?4系統(tǒng)架構(gòu)設(shè)計(jì)是否識(shí)別了安全相關(guān)要素及其內(nèi)外部接口?是否具備恰當(dāng)?shù)拇胧┐_保其他要素不會(huì)對(duì)這些安全相關(guān)要素產(chǎn)生不利的安全影響?5如果在系統(tǒng)層面開發(fā)階段的系統(tǒng)架構(gòu)設(shè)計(jì)對(duì)安全要求進(jìn)行ASIL等級(jí)分解，分解的實(shí)施是否符合GB/T43253.1—2023中6.7關(guān)于ASIL等級(jí)分解的檢查清單的要求?6是否根據(jù)對(duì)應(yīng)的ASIL等級(jí)，按照GB/T34590.4—2022中表1的要求進(jìn)行技術(shù)安全概念階段的系統(tǒng)架構(gòu)設(shè)計(jì)的安全分析?7技術(shù)安全概念是否消除已識(shí)別出的引起失效的內(nèi)部原因和外部原因，或在必要時(shí)減輕它們的影響?8技術(shù)安全概念是否復(fù)用值得信賴的系統(tǒng)設(shè)計(jì)原則?如果復(fù)用，是否對(duì)設(shè)計(jì)原則的適用性進(jìn)行了分析并形成了文檔?9系統(tǒng)層面開發(fā)階段的系統(tǒng)架構(gòu)設(shè)計(jì)是否具有以下特征?a)模塊化；b)適當(dāng)?shù)念w粒度水平；7表5技術(shù)安全概念開發(fā)活動(dòng)的審核及評(píng)估檢查清單(續(xù))序號(hào)檢查清單在安全分析或系統(tǒng)架構(gòu)設(shè)計(jì)過程中，是否識(shí)別到新的尚未被安全目標(biāo)涵蓋的危害?若有，是否更新到危害分析和風(fēng)險(xiǎn)評(píng)估(HARA)中?技術(shù)安全要求中定義的安全機(jī)制是否充分，以探測(cè)故障并防止或減輕出現(xiàn)在系統(tǒng)輸出端的、導(dǎo)致違反功能安全要求的失效?對(duì)于使相關(guān)項(xiàng)實(shí)現(xiàn)或維持安全狀態(tài)的每個(gè)安全機(jī)制的定義，是否完整?對(duì)于ASIL(A)、(B)、C和D等級(jí)，如果適用，是否定義了充分的安全機(jī)制，以防止隨機(jī)硬件故障的多點(diǎn)故障變?yōu)闈摲收?對(duì)于ASIL(A)、(B)、C和D等級(jí)，為了避免多點(diǎn)失效，用于探測(cè)多點(diǎn)故障的安全機(jī)制的診斷測(cè)試策略是否合理?對(duì)于ASIL(A)、(B)、C和D等級(jí)，專門用于防止雙點(diǎn)故障變成潛伏故障的安全機(jī)制的開發(fā)是否符合要求?是否根據(jù)系統(tǒng)架構(gòu)設(shè)計(jì)，定義了充分地探測(cè)、控制或減輕隨機(jī)硬件失效的措施?對(duì)于ASIL(B)、C和D等級(jí)，針對(duì)隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的可能性是否定義了明確的目標(biāo)值?是否按照GB/T34590.5—2022第9章的要求，使用備選分析方法中的一個(gè)方法進(jìn)行了評(píng)估?對(duì)于ASIL(B)、C和D等級(jí)，如果適用，是否在要素層面定義了適當(dāng)?shù)氖屎驮\斷覆蓋率的目標(biāo)值要求?對(duì)于ASIL(B)、C和D等級(jí)，針對(duì)分布式開發(fā)，推導(dǎo)出的失效率和診斷覆蓋率的目標(biāo)值是否通報(bào)給每個(gè)相關(guān)團(tuán)隊(duì)?技術(shù)安全需求規(guī)范中安全機(jī)制的定義是否與安全分析的結(jié)果一致?是否按照功能安全概念、系統(tǒng)架構(gòu)設(shè)計(jì)來定義技術(shù)安全要求?是否在技術(shù)安全要求中定義了系統(tǒng)對(duì)影響安全要求實(shí)現(xiàn)的激勵(lì)的響應(yīng)(包括各種相關(guān)運(yùn)行模式下和定義的系統(tǒng)狀態(tài)下，激勵(lì)與失效的組合)?除技術(shù)安全要求已定義的那些功能外，如果其他功能或要求也由該系統(tǒng)或其要素實(shí)現(xiàn)，是否定義了這些功能或要求，或者參考其規(guī)范?技術(shù)安全要求和非安全要求是否存在矛盾?技術(shù)安全要求是否全部分配給以系統(tǒng)、硬件或軟件作為實(shí)施技術(shù)的系統(tǒng)架構(gòu)設(shè)計(jì)要素?技術(shù)安全要求的分配和分區(qū)決策是否符合系統(tǒng)架構(gòu)設(shè)計(jì)?每個(gè)系統(tǒng)架構(gòu)設(shè)計(jì)要素的ASIL等級(jí)是否繼承其實(shí)現(xiàn)的技術(shù)安全要求的最高的ASIL等級(jí)?如果系統(tǒng)架構(gòu)要素中存在分配了不同ASIL等級(jí)的子要素(或部分子要素為非安全相關(guān)),是否全部子要素都按照要素的最高ASIL等級(jí)進(jìn)行了開發(fā)?對(duì)于按照各自不同ASIL等級(jí)開發(fā)的子要素，他們是否符合第1部分表22關(guān)于要素共存的檢查清單的要求?對(duì)于分配了技術(shù)安全要求的具備可編程功能的定制化硬件要素，是否定義和實(shí)施了適當(dāng)?shù)拈_發(fā)流程?如果適用，技術(shù)安全要求是否包含因?qū)嵤〢SIL等級(jí)分解而產(chǎn)生的獨(dú)立性要求?技術(shù)安全要求的定義和管理是否符合安全要求的定義和管理的要求?是否存在定義了硬件和軟件交互的軟硬件接口(HSI)規(guī)范作為工作成果?軟硬件接口(HSI)規(guī)范中考慮的軟硬件接口要素是否完善?并保持與技術(shù)安全概念一致?8表5技術(shù)安全概念開發(fā)活動(dòng)的審核及評(píng)估檢查清單(續(xù))序號(hào)檢查清單軟硬件接口規(guī)范中考慮的軟硬件接口要素特性是否完善?是否定義了相關(guān)運(yùn)行模式和配置參數(shù)?是否定義了確保要素間獨(dú)立性或支持軟件分區(qū)的硬件特性?是否定義了硬件資源的共用和專用?是否定義了硬件設(shè)備的訪問機(jī)制?是否由技術(shù)安全概念導(dǎo)出了時(shí)間約束?是否在軟硬件接口規(guī)范中定義硬件的相關(guān)診斷能力和軟件對(duì)其的使用?是否定義在系統(tǒng)架構(gòu)設(shè)計(jì)過程中識(shí)別出的對(duì)生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的技術(shù)安全要求?是否定義需具備的診斷特性以提供對(duì)系統(tǒng)進(jìn)行現(xiàn)場(chǎng)監(jiān)控所需的數(shù)據(jù)?是否定義診斷特性以便服務(wù)時(shí)能夠識(shí)別故障并對(duì)維護(hù)或修復(fù)的有效性進(jìn)行檢查?是否對(duì)技術(shù)安全要求進(jìn)行驗(yàn)證，以提供其在給定系統(tǒng)邊界條件下的正確性、完整性和一致性的證據(jù)?是否按照GB/T34590.4—2022中表2要求的驗(yàn)證方法，對(duì)技術(shù)安全概念、系統(tǒng)架構(gòu)設(shè)計(jì)、軟硬件接口(HSI)規(guī)范以及生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢的需求規(guī)范進(jìn)行了驗(yàn)證?附錄D提供了針對(duì)技術(shù)安全概念開展審核及評(píng)估的說明及示例。9驗(yàn)證和確認(rèn)本章的目標(biāo)是對(duì)驗(yàn)證和確認(rèn)的相關(guān)工作成果進(jìn)行審核及評(píng)估，以檢查：a)相關(guān)項(xiàng)要素的集成是否根據(jù)系統(tǒng)化的方法，完成軟硬件集成和驗(yàn)證、系統(tǒng)集成和驗(yàn)證、整車集成和驗(yàn)證；b)驗(yàn)證由系統(tǒng)架構(gòu)層級(jí)安全分析定義的安全措施是否得到正確的實(shí)施；c)是否有證據(jù)表明所集成的系統(tǒng)要素滿足按照系統(tǒng)架構(gòu)設(shè)計(jì)的安全要求；d)驗(yàn)證工作成果是否符合相應(yīng)的要求；e)是否有證據(jù)證明集成到目標(biāo)車輛的相關(guān)項(xiàng)實(shí)現(xiàn)了其安全目標(biāo)；f)是否有證據(jù)證明功能安全概念和技術(shù)安全概念對(duì)于實(shí)現(xiàn)相關(guān)項(xiàng)的功能安全是合適的。9.2審核及評(píng)估的輸入為了開展本章規(guī)定的審核及評(píng)估過程，應(yīng)具備以下輸入及其可能存在的驗(yàn)證報(bào)告：——功能安全概念；——技術(shù)安全概念；——架構(gòu)設(shè)計(jì)規(guī)范；——軟硬件接口規(guī)范；——集成和測(cè)試策略；——集成和測(cè)試報(bào)告；——驗(yàn)證計(jì)劃；——驗(yàn)證規(guī)范；——驗(yàn)證報(bào)告；——危害分析和風(fēng)險(xiǎn)評(píng)估報(bào)告；——包含安全確認(rèn)環(huán)境描述的安全確認(rèn)規(guī)范；9——安全確認(rèn)報(bào)告。9.3審核及評(píng)估的要求對(duì)于驗(yàn)證和確認(rèn)的審核及評(píng)估，應(yīng)涵蓋表6和表7中的檢查項(xiàng)。表6集成驗(yàn)證活動(dòng)的審核及評(píng)估檢查清單序號(hào)檢查清單1系統(tǒng)架構(gòu)設(shè)計(jì)是否按照表5的檢查清單進(jìn)行了審核評(píng)估，結(jié)果是否符合功能安全和技術(shù)安全要求?是否按計(jì)劃開展了集成測(cè)試活動(dòng)?驗(yàn)證以下方面：a)功能安全要求及技術(shù)安全要求是否正確實(shí)施；b)安全機(jī)制是否具有正確的功能性能、準(zhǔn)確性和時(shí)序；c)接口是否具有一致性和正確實(shí)施；d)系統(tǒng)架構(gòu)設(shè)計(jì)是否有足夠的魯棒性2定義集成和測(cè)試策略時(shí)是否考慮系統(tǒng)架構(gòu)規(guī)范、功能安全概念和技術(shù)安全概念?a)是否有合適的能夠提供功能安全證據(jù)的測(cè)試目標(biāo)；b)相關(guān)項(xiàng)的集成和測(cè)試是否有助于安全概念的驗(yàn)證3a)相關(guān)項(xiàng)集成和測(cè)試策略的定義是否包括了軟硬件集成和測(cè)試規(guī)范；b)相關(guān)項(xiàng)集成和測(cè)試策略的定義是否包括系統(tǒng)和整車層面的集成測(cè)試規(guī)范。軟硬件驗(yàn)證的未解決問題是否已處理；c)相關(guān)項(xiàng)集成和測(cè)試策略是否考慮車輛系統(tǒng)(相關(guān)項(xiàng)內(nèi)部和外部)與環(huán)境之間的接口；d)若相關(guān)項(xiàng)集成了以獨(dú)立于環(huán)境的要素(SEooC)方式進(jìn)行開發(fā)的系統(tǒng)或要素，在相關(guān)項(xiàng)集成和測(cè)試策略中是否考慮了對(duì)SEooC開發(fā)過程中做過的假設(shè)進(jìn)行驗(yàn)證?4系統(tǒng)或整車層面的驗(yàn)證是否提供證據(jù)證明用于量產(chǎn)實(shí)施層面的配置符合安全要求?5在整個(gè)集成子階段，對(duì)于每條功能安全要求和技術(shù)安全要求的符合性，是否至少進(jìn)行過一次驗(yàn)證?6是否恰當(dāng)?shù)囟x集成測(cè)試的測(cè)試用例?集成測(cè)試的測(cè)試用例是否使用合適的方法導(dǎo)出?7是否按照GB/T43253.3—2023和GB/T43253.4—2023檢查清單的要求進(jìn)行軟硬件的開發(fā)?是否完成軟硬件的集成?是否對(duì)集成后的硬件和軟件進(jìn)行測(cè)試?8是否通過測(cè)試證明了集成后的軟件和硬件符合軟硬件接口規(guī)范的要求?9對(duì)于軟硬件集成測(cè)試的目標(biāo)，是否通過使用適當(dāng)?shù)臏y(cè)試方法得到了實(shí)現(xiàn)?是否通過合適的測(cè)試方法(基于需求的測(cè)試、故障注入測(cè)試、背靠背測(cè)試等)來證明技術(shù)安全要求的安全相關(guān)功能和行為在軟硬件層面的正確執(zhí)行?對(duì)于ASIL(A)、B、C和D等級(jí)，是否通過合適的測(cè)試方法(背靠背測(cè)試、性能測(cè)試等)對(duì)安全機(jī)制在軟硬件層面的功能性能、準(zhǔn)確性和時(shí)序進(jìn)行論證?對(duì)于ASIL(A)、B、C和D等級(jí)，是否通過合適的測(cè)試方法(外部接口測(cè)試、內(nèi)部接口測(cè)試、接口一致性檢查等)來證明外部和內(nèi)部接口在軟硬件層面執(zhí)行的一致性和正確性?對(duì)于ASIL(A)、(B)、C和D等級(jí)，是否通過合適的測(cè)試方法(故障注入測(cè)試、錯(cuò)誤猜測(cè)法測(cè)試等)對(duì)故障模型，硬件故障探測(cè)機(jī)制在軟硬件層面上的有效性進(jìn)行論證?對(duì)于ASIL(A)、(B)、(C)和D等級(jí)，是否通過合適的測(cè)試方法(資源使用測(cè)試、壓力測(cè)試等)對(duì)要素在軟硬件層面的魯棒性水平進(jìn)行論證?系統(tǒng)的各個(gè)要素是否按照系統(tǒng)架構(gòu)設(shè)計(jì)進(jìn)行集成?系統(tǒng)的各個(gè)要素是否按照系統(tǒng)集成測(cè)試規(guī)范進(jìn)行測(cè)試?表6集成驗(yàn)證活動(dòng)的審核及評(píng)估檢查清單(續(xù))序號(hào)檢查清單對(duì)于系統(tǒng)集成測(cè)試的目標(biāo)，是否通過使用適當(dāng)?shù)臏y(cè)試方法得到了實(shí)現(xiàn)?是否通過合適的測(cè)試方法(基于需求的測(cè)試、故障注入測(cè)試、背靠背測(cè)試等)來證明功能安全和技術(shù)安全要求在系統(tǒng)層面的正確執(zhí)行?對(duì)于ASIL(A)、(B)、(C)和D等級(jí)，是否通過合適的測(cè)試方法(背靠背測(cè)試、故障注入測(cè)試、性能測(cè)試、錯(cuò)誤猜測(cè)法測(cè)試、來自現(xiàn)場(chǎng)經(jīng)驗(yàn)的測(cè)試等)對(duì)安全機(jī)制在系統(tǒng)層面的正確功能性能、準(zhǔn)確性、系統(tǒng)層面失效模式的覆蓋率、時(shí)序進(jìn)行論證?是否通過合適的測(cè)試方法(外部接口測(cè)試、內(nèi)部接口測(cè)試、接口一致性檢查、通信和交互測(cè)試等)來證明外部和內(nèi)部接口在系統(tǒng)層面執(zhí)行的一致性和正確性?是否通過合適的測(cè)試方法(資源使用測(cè)試、壓力測(cè)試、特定環(huán)境條件下的抗干擾性和魯棒性測(cè)試等)對(duì)系統(tǒng)層面的魯棒性水平進(jìn)行論證?是否將相關(guān)項(xiàng)集成到整車上?是否實(shí)施整車集成測(cè)試?是否對(duì)相關(guān)項(xiàng)與車內(nèi)通信網(wǎng)絡(luò)以及車內(nèi)供電網(wǎng)絡(luò)的接口規(guī)范進(jìn)行驗(yàn)證?整車集成測(cè)試的測(cè)試目標(biāo)是否使用適當(dāng)?shù)臏y(cè)試方法來實(shí)現(xiàn)?是否通過合適的測(cè)試方法(基于需求的測(cè)試、故障注入測(cè)試、長期測(cè)試、實(shí)際使用條件下的用戶測(cè)試等)對(duì)功能安全要求在整車層面的正確執(zhí)行進(jìn)行論證?對(duì)于ASIL(A)、(B)、C和D等級(jí)，是否通過合適的測(cè)試方法(性能測(cè)試、長期測(cè)試、實(shí)際使用條件下的用戶測(cè)試、故障注入測(cè)試、錯(cuò)誤猜測(cè)法測(cè)試、來自現(xiàn)場(chǎng)經(jīng)驗(yàn)的測(cè)試等)對(duì)安全機(jī)制在整車層面的正確功能性能、準(zhǔn)確性和時(shí)序進(jìn)行論證?對(duì)于ASIL(A)、(B)、C和D等級(jí)，是否通過合適的測(cè)試方法(內(nèi)部接口測(cè)試、外部接口測(cè)試、通信和交互測(cè)試等)對(duì)整車層面內(nèi)部和外部接口實(shí)現(xiàn)的一致性和正確性進(jìn)行論證?對(duì)于ASIL(A)、(B)、C和D等級(jí)，是否通過合適的測(cè)試方法(資源使用測(cè)試、壓力測(cè)試、特定環(huán)境條件下的抗干擾性和魯棒性測(cè)試、長期測(cè)試等)對(duì)整車層面的魯棒性水平進(jìn)行論證?是否針對(duì)安全生命周期的每個(gè)階段及子階段，制定了對(duì)應(yīng)的驗(yàn)證計(jì)劃?制定的驗(yàn)證計(jì)劃中，是否包括了需驗(yàn)證的工作成果內(nèi)容?制定的驗(yàn)證計(jì)劃中，是否包括了驗(yàn)證的目的?制定的驗(yàn)證計(jì)劃中，是否包括了用于驗(yàn)證的方法?制定的驗(yàn)證計(jì)劃中，是否包括了驗(yàn)證通過和不通過的準(zhǔn)則?如果適用，制定的驗(yàn)證計(jì)劃中，是否包括了驗(yàn)證環(huán)境、用于驗(yàn)證的設(shè)備、用于驗(yàn)證的資源?制定的驗(yàn)證計(jì)劃中，是否包括了當(dāng)探測(cè)出異常時(shí)需采取的行動(dòng)?制定的驗(yàn)證計(jì)劃中，是否包括了回歸策略?制定驗(yàn)證計(jì)劃是否考慮到所適用驗(yàn)證方法的充分性?是否考慮到需驗(yàn)證的工作成果的復(fù)雜性?是否考慮到與驗(yàn)證目標(biāo)材料相關(guān)的前期經(jīng)驗(yàn)?是否考慮到所使用技術(shù)的成熟度，或使用這些技術(shù)的風(fēng)險(xiǎn)?驗(yàn)證規(guī)范中是否對(duì)用于驗(yàn)證的方法進(jìn)行細(xì)化?細(xì)化的內(nèi)容是否包含了評(píng)審或分析的檢查清單；或模擬場(chǎng)景；或測(cè)試用例、測(cè)試數(shù)據(jù)和測(cè)試目標(biāo)?表6集成驗(yàn)證活動(dòng)的審核及評(píng)估檢查清單(續(xù))序號(hào)檢查清單對(duì)于測(cè)試，每條測(cè)試用例的定義是否包含以下內(nèi)容：a)唯一的識(shí)別；b)需驗(yàn)證的相關(guān)工作成果的版本的參考；c)前提條件和配置；d)環(huán)境條件(如果適用);e)輸入數(shù)據(jù)、數(shù)據(jù)時(shí)序及其值；f)期望的表現(xiàn)，包括輸出數(shù)據(jù)、輸出值的可接受范圍、時(shí)間表現(xiàn)和公差表現(xiàn)；g)確定測(cè)試用例通過和不通過的準(zhǔn)則?對(duì)于測(cè)試，是否從所需的測(cè)試設(shè)備或測(cè)試環(huán)境、邏輯和時(shí)間的依賴性、資源這幾個(gè)方面考慮來按使用的測(cè)試方法對(duì)測(cè)試用例進(jìn)行分組?對(duì)于測(cè)試，測(cè)試用例是否由與待驗(yàn)證的工作成果的完成人不同的人進(jìn)行評(píng)審?是否按照驗(yàn)證計(jì)劃和驗(yàn)證規(guī)范，執(zhí)行驗(yàn)證?驗(yàn)證是否由與待驗(yàn)證的工作成果的完成人不同的人執(zhí)行?對(duì)驗(yàn)證結(jié)果的評(píng)估是否包含以下信息：a)所驗(yàn)證工作成果的唯一識(shí)別；b)驗(yàn)證計(jì)劃和驗(yàn)證規(guī)范的參考；c)如果適用，評(píng)估中用到的驗(yàn)證環(huán)境配置、驗(yàn)證工具及標(biāo)定數(shù)據(jù)；d)驗(yàn)證結(jié)果與期望結(jié)果的一致性水平；e)驗(yàn)證通過或不通過的明確的陳述，如果驗(yàn)證不通過，陳述應(yīng)包含不通過的理由和對(duì)所驗(yàn)證工作成果進(jìn)行修改的建議；f)每個(gè)驗(yàn)證步驟未執(zhí)行的理由?用于驗(yàn)證的測(cè)試設(shè)備是否提供有效的和可重復(fù)的結(jié)果，并應(yīng)按照所采用的質(zhì)量管理體系進(jìn)行管控?附錄E中的E.1提供了針對(duì)集成驗(yàn)證活動(dòng)開展審核及評(píng)估的說明及示例。表7確認(rèn)活動(dòng)的審核及評(píng)估檢查清單序號(hào)檢查清單1是否對(duì)整車層面的典型環(huán)境下所集成的相關(guān)項(xiàng)的安全目標(biāo)進(jìn)行確認(rèn)?2是否考慮基于車型和車輛配置的典型車輛來定義典型環(huán)境?3對(duì)于危害分析和風(fēng)險(xiǎn)評(píng)估中考慮的、影響相關(guān)項(xiàng)技術(shù)特性的運(yùn)行變化，在安全目標(biāo)的確認(rèn)過程中是否進(jìn)行了考量?4是否定義安全確認(rèn)規(guī)范，包括：a)待安全確認(rèn)的相關(guān)項(xiàng)配置，包括其標(biāo)定數(shù)據(jù)，按照GB/T34590.6—2022中的附錄C;b)安全確認(rèn)流程、測(cè)試案例、駕駛操作和接受準(zhǔn)則的定義；c)設(shè)備和要求的環(huán)境條件。5整車安全確認(rèn)是否使用了恰當(dāng)?shù)姆椒?若使用測(cè)試進(jìn)行整車安全確認(rèn)，是否對(duì)測(cè)試規(guī)范、測(cè)試的執(zhí)行和測(cè)試結(jié)果的評(píng)估進(jìn)行了規(guī)范性檢查?表7確認(rèn)活動(dòng)的審核及評(píng)估檢查清單(續(xù))序號(hào)檢查清單6整車安全確認(rèn)是否對(duì)可控性進(jìn)行評(píng)估?整車安全確認(rèn)是否對(duì)外部措施的有效性進(jìn)行評(píng)估?整車安全確認(rèn)是否對(duì)其他技術(shù)要素的有效性進(jìn)行評(píng)估?整車安全確認(rèn)是否對(duì)影響危害分析與風(fēng)險(xiǎn)評(píng)估中ASIL等級(jí)的假設(shè)進(jìn)行評(píng)估?7整車層面的安全確認(rèn)是否基于安全目標(biāo)、功能安全要求和預(yù)期用途?每個(gè)安全目標(biāo)的安全確認(rèn)流程和測(cè)試用例，是否都包括詳細(xì)的通過/未通過準(zhǔn)則?整車層面的安全確認(rèn)是否考慮其應(yīng)用范圍?8安全確認(rèn)是否通過以下方法的適當(dāng)組合予以實(shí)施?——定義了測(cè)試流程、測(cè)試案例和通過/未通過準(zhǔn)則的可重復(fù)性測(cè)試；——安全分析方法；——長期測(cè)試；——基于實(shí)際使用條件的測(cè)試；——抽檢和盲測(cè)；——基于專家經(jīng)驗(yàn)的測(cè)試；——評(píng)審9安全確認(rèn)的結(jié)果是否進(jìn)行評(píng)估?安全確認(rèn)的結(jié)果是否能夠提供證據(jù)證明已實(shí)施的安全目標(biāo)實(shí)現(xiàn)了相關(guān)項(xiàng)的功能安全?E.2提供了針對(duì)確認(rèn)活動(dòng)開展審核及評(píng)估的說明及示例。(資料性)相關(guān)項(xiàng)定義相關(guān)項(xiàng)定義的審核及評(píng)估的說明及示例見表A.1。表A.1相關(guān)項(xiàng)定義的審核及評(píng)估的說明及示例序號(hào)檢查清單說明及示例1相關(guān)項(xiàng)需要滿足的標(biāo)準(zhǔn)及法規(guī)要求有哪些?對(duì)相關(guān)項(xiàng)需要滿足的法規(guī)、國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)進(jìn)行描述，包含法規(guī)名稱、標(biāo)準(zhǔn)號(hào)、標(biāo)準(zhǔn)名稱、標(biāo)準(zhǔn)版本號(hào)、標(biāo)準(zhǔn)發(fā)布日期等2相關(guān)項(xiàng)在整車層面的功能行為是什么?如果適用，則：a)應(yīng)從輸入、處理、輸出等方面對(duì)功能進(jìn)行描述；b)應(yīng)描述相關(guān)項(xiàng)的內(nèi)部限制；例如：××相關(guān)項(xiàng)×××功能工作的速度范圍是55km/h～120km/h;c)應(yīng)描述功能的使用場(chǎng)景3是否定義了相關(guān)項(xiàng)的運(yùn)行場(chǎng)景和運(yùn)行模式?運(yùn)行場(chǎng)景的定義考慮功能的正常使用及可合理預(yù)見的誤用場(chǎng)景，還應(yīng)與目標(biāo)市場(chǎng)相關(guān)聯(lián)。定義運(yùn)行模式，應(yīng)包含如下內(nèi)容。a)對(duì)于模式的定義。如模式名稱、模式的描述、該模式下允許及禁用的功能的定義。b)定義模式之間的轉(zhuǎn)換關(guān)系。包含當(dāng)前模式、下一模式、模式跳轉(zhuǎn)的條件及時(shí)間約束、模式跳轉(zhuǎn)后要執(zhí)行的動(dòng)作及時(shí)間約束等。為了使運(yùn)行模式定義清晰明了，可采用模式流轉(zhuǎn)關(guān)系圖來表達(dá)，示例見圖A.14是否定義了相關(guān)項(xiàng)的非功能性需求?量要求等。例如：a)對(duì)于安裝要求，可描述出安裝位置、安裝方法等；的要求；機(jī)工作溫度范圍、電機(jī)額定轉(zhuǎn)矩、電機(jī)額定轉(zhuǎn)速等；5是否定義了相關(guān)項(xiàng)的約束?a)功能依賴性：如車道線檢測(cè)橫向誤差≤10cm,如LKA系統(tǒng)不具備處理復(fù)雜交通狀況或環(huán)境突變等特殊工況的能力，當(dāng)LKA功能介入控制時(shí)，需要駕駛員對(duì)路面狀況保持警惕；b)其他相關(guān)項(xiàng)的依賴性：當(dāng)EPS檢測(cè)到駕駛員的手力矩>3N·m時(shí)，退出對(duì)LKA的扭矩請(qǐng)求響應(yīng)；c)運(yùn)行環(huán)境：如功能適用的道路類型、相關(guān)項(xiàng)對(duì)于天氣、光照條件等的約束表A.1相關(guān)項(xiàng)定義的審核及評(píng)估的說明及示例(續(xù))序號(hào)檢查清單說明及示例6是否分析了相關(guān)項(xiàng)行為不足的潛在后果?如果適用，應(yīng)列出已知的失效模式及潛在的危害后果，可采用HAZOP方法進(jìn)行分析。如果適用，應(yīng)總結(jié)之前類似或相關(guān)的相關(guān)項(xiàng)的經(jīng)驗(yàn)教訓(xùn)7是否定義了執(zhí)行器的能力或假定了執(zhí)行器的能力?的力、運(yùn)行速度、亮度、音量等的值或其估算值8是否清晰地定義了相關(guān)項(xiàng)的邊界、要素、接口及交互關(guān)系?如果適用，可采用初始架構(gòu)框圖的形式展現(xiàn)，要求展現(xiàn)出相關(guān)項(xiàng)的各個(gè)要素及要素之間的連接交互關(guān)系。示例見圖A.2。參數(shù)指標(biāo)、承擔(dān)的功能等。在描述相關(guān)項(xiàng)的接口及交互關(guān)系時(shí)，如果適用，可描述接口所傳遞的信號(hào)或數(shù)據(jù)、接口的形式、接口的收發(fā)關(guān)系、信號(hào)或數(shù)據(jù)的優(yōu)先順序等9是否考慮了相關(guān)項(xiàng)的行為對(duì)整車影響的假設(shè)?根據(jù)相關(guān)項(xiàng)的邊界及接口的定義，考慮本相關(guān)項(xiàng)的輸出對(duì)整車的影響。例如：采用分析、仿真和測(cè)試手段是否考慮了其他相關(guān)項(xiàng)和要素要求本相關(guān)項(xiàng)提供的功能?例如，LKA相關(guān)項(xiàng)要求EPS提供的功能，當(dāng)EPS檢測(cè)到駕駛員的手力矩>3N·m時(shí)，EPS提供超控響應(yīng)功能，即要求EPS退出對(duì)LKA的扭矩請(qǐng)求響應(yīng)是否考慮了本相關(guān)項(xiàng)要求其他相關(guān)項(xiàng)和要素提供的功能?例如，EPS相關(guān)項(xiàng)要求制動(dòng)電子控制系統(tǒng)相關(guān)項(xiàng)提供車速信號(hào)是否考慮了功能在所涉及的系統(tǒng)和要素間的分配?如果適用，可按照功能劃分，分別繪制各個(gè)功能的初始架構(gòu)框圖，以表明功能在所涉及的系統(tǒng)和要素間的分配情況是否存在相關(guān)項(xiàng)定義的驗(yàn)證報(bào)告?針對(duì)相關(guān)項(xiàng)的定義文檔及相關(guān)信息進(jìn)行評(píng)審，以確保功能安全開發(fā)輸入的準(zhǔn)確性和充分性啟動(dòng)條件探測(cè)到故障探測(cè)到故障關(guān)閉條件初始化滿足初始化完成條件探測(cè)到故障運(yùn)行故障消除滿足功能關(guān)閉條件滿足下電條件滿足下電完成條件關(guān)閉故障圖A.1模式流轉(zhuǎn)關(guān)系圖示例十十CAN總線傳感器采集模塊中央控制單元相關(guān)項(xiàng)邊異電機(jī)位置傳感器扭矩傳感器轉(zhuǎn)角傳感器電機(jī)驅(qū)轉(zhuǎn)向管柱圖A.2相關(guān)項(xiàng)架構(gòu)框圖示例(資料性)危害分析和風(fēng)險(xiǎn)評(píng)估危害分析和風(fēng)險(xiǎn)評(píng)估的審核及評(píng)估的說明及示例見表B.1、表B.2。表B.1危害分析和風(fēng)險(xiǎn)評(píng)估的審核及評(píng)估的說明及示例序號(hào)檢查清單說明及示例1危害分析是否涵蓋了相關(guān)項(xiàng)的所有功能行為?是否與“相關(guān)項(xiàng)定義”階段的功能行為保持了一致性及可追溯性?2在危害分析和風(fēng)險(xiǎn)評(píng)估過程中，對(duì)相關(guān)項(xiàng)內(nèi)部安全機(jī)制是否未作為評(píng)估依據(jù)?即在危害分析和風(fēng)險(xiǎn)評(píng)估過程中，不宜考慮將要實(shí)施或已經(jīng)在先前相關(guān)項(xiàng)中實(shí)施的安全機(jī)制3對(duì)于相關(guān)項(xiàng)的功能異常表現(xiàn)導(dǎo)致的危害事件發(fā)生時(shí)所處的運(yùn)行場(chǎng)景及運(yùn)行模式是否進(jìn)行了描述?是否考慮了可合理預(yù)見的誤用?a)在進(jìn)行運(yùn)行場(chǎng)景描述時(shí)，如果適用，參考GB/Z42285—景等)、車內(nèi)外交通參與者(行人經(jīng)過等)等方面進(jìn)行描述。b)對(duì)于可合理預(yù)見的誤用，可從駕駛員潛在的錯(cuò)誤識(shí)別、決定和操作入手，給出分析4是否使用了系統(tǒng)性分析方法來確定危害?a)FMEA方法和HAZOP適用于支持相關(guān)項(xiàng)層面的危害識(shí)別。這些可通過頭腦風(fēng)暴、檢查表、質(zhì)量歷史記錄和現(xiàn)場(chǎng)研究來支持。b)在進(jìn)行HAZOP分析時(shí)，如果適用，可參考GB/Z42285—2022,從如下幾個(gè)方面對(duì)相關(guān)項(xiàng)功能進(jìn)行分析，以確定危害：——功能喪失(在有需求時(shí)，不提供功能);——在有需求時(shí)，提供錯(cuò)誤的功能(多于預(yù)期、少于預(yù)期、方向相反);——非預(yù)期的功能(在無需求時(shí)，提供功能);——輸出卡滯在固定值上(功能不能按照需求更新)5是否在整車層面上，定義了由相關(guān)項(xiàng)的功能異常表現(xiàn)導(dǎo)致的危害?可從車輛行為或人員可感受到的表現(xiàn)出發(fā)，描述整車層面的影響，例如，非預(yù)期的減速，而非非預(yù)期的制動(dòng)壓力6危害分析過程中，是否識(shí)別出了因非電氣/電子(E/E)系統(tǒng)功能異常表現(xiàn)導(dǎo)致的危害?若有，是否具備組織的特定流程對(duì)其進(jìn)行了妥善處理?a)由相關(guān)項(xiàng)非失效情況下的行為導(dǎo)致的危害，不屬于本文件的范圍。異常表現(xiàn)而引起的。c)若識(shí)別出上述范圍外的危害，應(yīng)進(jìn)行記錄，并明確組織處理流程、責(zé)任人、處理結(jié)果等表B.1危害分析和風(fēng)險(xiǎn)評(píng)估的審核及評(píng)估的說明及示例(續(xù))序號(hào)檢查清單說明及示例7是否對(duì)危害相關(guān)的危害事件進(jìn)行了充分描述?a)危害事件應(yīng)由運(yùn)行場(chǎng)景和危害的相關(guān)組合確定。b)危害事件的定義應(yīng)足夠，以支持我們?cè)诤罄m(xù)的風(fēng)險(xiǎn)評(píng)估中得到完整的、最危險(xiǎn)的結(jié)果8是否正確、全面地識(shí)別了危害事件的后果，是否包含合理的連鎖反應(yīng)后果?如果相關(guān)項(xiàng)層面的功能異常表現(xiàn)導(dǎo)致該相關(guān)項(xiàng)喪失多個(gè)功能，則場(chǎng)景分析和危害識(shí)別要考慮其綜合影響。示例1:制動(dòng)電子控制系統(tǒng)的功能喪失可能導(dǎo)致駕駛輔助功能同步無效。示例2:整車供電系統(tǒng)的失效可能導(dǎo)致同時(shí)喪失一系列功能，包括發(fā)動(dòng)機(jī)扭矩、助力轉(zhuǎn)向及前向照明9運(yùn)行場(chǎng)景列表的詳細(xì)程度和分類是否合理?是否存在人為降低了暴露概率的情況?環(huán)境條件的運(yùn)行場(chǎng)景列表，會(huì)使得用于危害事件分類的場(chǎng)景的顆粒度更為精細(xì)。這可更容易地評(píng)估可控性和嚴(yán)重度。然而，大量的不同運(yùn)行場(chǎng)景可能導(dǎo)致相應(yīng)地降低各自的暴露等級(jí)，從而導(dǎo)致不恰當(dāng)?shù)亟档虯SIL等級(jí)。這可通過合并類似的場(chǎng)景來避免針對(duì)所有已識(shí)別的因電氣/電子(E/E)系統(tǒng)功能異常表現(xiàn)引起的危險(xiǎn)事件，是否都按照以下參數(shù)進(jìn)行了分類：嚴(yán)重度等級(jí)S、運(yùn)行場(chǎng)景的暴露概率等級(jí)E、可控性等級(jí)C?是否采取了保守分級(jí)的理念?如果難以對(duì)一個(gè)給定的危害進(jìn)行嚴(yán)重度(S)、暴露概率(E)或可合理的懷疑，就采用較高的S、E或C等級(jí)針對(duì)嚴(yán)重度等級(jí)S的評(píng)級(jí)是否合理?是否有明確的評(píng)級(jí)原則，并基于原則給予了充分的理由說明?是否考慮到危害事件中全部的涉險(xiǎn)人員?涉險(xiǎn)人員是否考慮了目標(biāo)市場(chǎng)中有代表性的樣本?a)應(yīng)制定明確的嚴(yán)重度S評(píng)級(jí)標(biāo)準(zhǔn)。評(píng)級(jí)原則和理由例如GB/T34590.3—2022中表B.1,及GB/Z42285—2022中表B.1基于碰撞速度的S分級(jí)原則。b)針對(duì)每一個(gè)危害事件，應(yīng)依據(jù)評(píng)分標(biāo)準(zhǔn)，給出確定的理由來說明S0、S1、S2或S3確定的合理性。c)除引起危害事件的車輛的駕駛員或乘客，還需考慮其他潛在的處于風(fēng)險(xiǎn)中的人員，如騎自行車的人員、行人或其他車輛上的人員。d)對(duì)于涉險(xiǎn)人員的代表性樣本，例如上海老齡化比例e)如果出現(xiàn)了SO嚴(yán)重度等級(jí)，則應(yīng)提供足夠的證據(jù)，證明后果明顯僅限于物體損壞并不涉及對(duì)人員的傷害，此時(shí)無需分配ASIL等級(jí)針對(duì)運(yùn)行場(chǎng)景本身會(huì)導(dǎo)致傷害的情況(例如事故),因電子/電氣(E/E)系統(tǒng)功能異常表現(xiàn)導(dǎo)致的危害，其嚴(yán)重度分級(jí)是否基于有無功能異常表現(xiàn)導(dǎo)致的傷害差異?功能。如果事故發(fā)生時(shí)安全氣囊未能正常打開，那么由碰撞導(dǎo)致的傷害可被確定。如果相同事故中安全氣囊正常打開可將傷害降低到一個(gè)較低的嚴(yán)重度等級(jí)，那么,在嚴(yán)重度評(píng)級(jí)時(shí)只需考慮兩者的差異。是否存在SO評(píng)級(jí)的危害事件，若有，其評(píng)級(jí)理由是否充分?相關(guān)項(xiàng)的功能異常表現(xiàn)的后果僅限于物損，不涉及人員傷害表B.1危害分析和風(fēng)險(xiǎn)評(píng)估的審核及評(píng)估的說明及示例(續(xù))序號(hào)檢查清單說明及示例針對(duì)暴露概率等級(jí)E的評(píng)級(jí)是否合理?是否有明確的評(píng)級(jí)原則，并基于原則給予了充分的理由說明?a)應(yīng)制定明確的暴露概率E評(píng)分標(biāo)準(zhǔn)，包括基于場(chǎng)景的持續(xù)時(shí)間和基于場(chǎng)景發(fā)生的頻率兩種?？蓞⒖糋B/T34590.3—2022中表B.2～表B.5或目標(biāo)市場(chǎng)運(yùn)行場(chǎng)景的統(tǒng)計(jì)數(shù)據(jù)等，給出評(píng)級(jí)標(biāo)準(zhǔn)與GB/T34590.1～34590.12—2022暴露概率等級(jí)E0、E1、E2、E3或E4的對(duì)應(yīng)關(guān)系。b)針對(duì)每一個(gè)危害事件，應(yīng)依據(jù)評(píng)級(jí)標(biāo)準(zhǔn)，給出確定的理由來說明E0、E1、E2、E3或E4確定的合理性在暴露概率評(píng)級(jí)時(shí)，是否排除了裝備相關(guān)項(xiàng)的車型數(shù)量的影響?暴露概率的評(píng)估是基于假設(shè)每個(gè)車輛都配備有該相關(guān)項(xiàng)進(jìn)行的。這意味著“因?yàn)樵撓嚓P(guān)項(xiàng)未裝備在每臺(tái)車輛上(只有一些車輛裝備該相關(guān)項(xiàng)),所以暴露概率會(huì)降低”的觀點(diǎn)是不成立的是否存在場(chǎng)景評(píng)級(jí)為E0的危害事件，若有，其評(píng)級(jí)理由是否充分?如果出現(xiàn)了EO暴露概率等級(jí)，則應(yīng)提供足夠的證據(jù)，證明該場(chǎng)景是不尋?；蛄钊穗y以置信的，此時(shí)無需分配ASIL等級(jí)。例如：a)極其不尋常的或不可能同時(shí)發(fā)生的情況，例如車輛涉及在高速公路上降落的飛機(jī)的事故。針對(duì)可控性等級(jí)C的評(píng)級(jí)是否合理?是否有明確的評(píng)級(jí)原則，并基于原則給予了充分的理由說明?對(duì)于可控性的評(píng)級(jí)是否存在必要的確認(rèn)?a)應(yīng)制定明確的可控性等級(jí)C的評(píng)級(jí)標(biāo)準(zhǔn)?？蓞⒖糋B/T34590.3—2022中表B.6。b)針對(duì)每一個(gè)危害事件，應(yīng)依據(jù)評(píng)分標(biāo)準(zhǔn)，給出確定的理由來說明C0、C1、C2或C3確定的合理性。c)如果出現(xiàn)了C0可控性等級(jí)，則應(yīng)提供足夠的證據(jù)，證明危害不影響車輛的安全運(yùn)行，或者可通過常規(guī)的駕駛員行為輔助系統(tǒng)不可用的危害。d)對(duì)于可控性的預(yù)估，應(yīng)在驗(yàn)證和確認(rèn)階段對(duì)可控性分級(jí)的合理性進(jìn)行檢查是否基于S、E、C分級(jí)，按照GB/T34590—2022正確地確定了每個(gè)危害事件的ASIL等級(jí)?見GB/T34590.3—2022中的表4對(duì)于S3和C3,而ASIL評(píng)級(jí)為QM的危害事件，其暴露概率的評(píng)級(jí)是否有充分的理由?如果幾種不太可能的場(chǎng)景組合導(dǎo)致暴露概率低于E1,即使危害事件達(dá)到S3和C3仍然可認(rèn)定為QM示例1:對(duì)于高壓系統(tǒng)錯(cuò)誤供電的功能異常，組合運(yùn)行場(chǎng)景是：——導(dǎo)致安全氣囊點(diǎn)爆的碰撞；——車輛的一部分處于水中；——高壓系統(tǒng)部分暴露，沒有造成內(nèi)部短路。示例2:對(duì)于燃油泵錯(cuò)誤供應(yīng)汽油的功能異常，組合運(yùn)行場(chǎng)景是：——導(dǎo)致安全氣囊點(diǎn)爆的碰撞；——泵后面的油箱系統(tǒng)保持功能齊全；——泵的燃油管路破裂，以致汽油會(huì)滴在熱部件上；——泵的能源供應(yīng)功能齊全。表B.1危害分析和風(fēng)險(xiǎn)評(píng)估的審核及評(píng)估的說明及示例(續(xù))序號(hào)檢查清單說明及示例是否為每一個(gè)具有ASIL等級(jí)的危害事件都確定了其安全目標(biāo)?對(duì)于具有ASIL等級(jí)的危害，均應(yīng)定義安全目標(biāo)，且對(duì)于同類安全目標(biāo)可合并危害，可將安全目標(biāo)合并描述為：避免因EPS轉(zhuǎn)向扭矩異常導(dǎo)致車輛非預(yù)期的側(cè)向運(yùn)動(dòng)。合并后的安全目標(biāo)的ASIL等級(jí)是否為其對(duì)應(yīng)危害事件的最高ASIL等級(jí)?根據(jù)安全目標(biāo)與危害事件的追溯關(guān)系，確認(rèn)安全目標(biāo)繼承了相關(guān)危害事件的最高ASIL等級(jí)安全目標(biāo)的屬性和特性定義、安全目標(biāo)的管理是否符合安全要求定義和管理的要求?a)安全目標(biāo)的屬性：安全目標(biāo)應(yīng)具備唯一識(shí)別并保持不變、狀態(tài)、ASIL等級(jí)。b)安全目標(biāo)的特性：安全目標(biāo)應(yīng)是明確的、可理解的、不可分施自由的、完整合規(guī)的。c)安全目標(biāo)的管理：可追溯、可維護(hù)、合理地驗(yàn)證表B.2針對(duì)危害分析和風(fēng)險(xiǎn)評(píng)估的驗(yàn)證和確認(rèn)的審核及評(píng)估的說明及示例序號(hào)檢查清單說明及示例1在進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估過程中，是否使用到了或從中得出了假設(shè)?若存在假設(shè)，是否在安全確認(rèn)階段對(duì)這些假設(shè)進(jìn)行了確認(rèn)?a)如果適用，在HARA中考慮的假設(shè)包括：駕駛員或處于風(fēng)險(xiǎn)中的人員的假定行為以及外部措施的相關(guān)假設(shè)。b)參考GB/T34590.4—2022中8.4.3.2,影響危害分析與風(fēng)險(xiǎn)評(píng)估中ASIL等級(jí)的假設(shè)應(yīng)在最終車輛上進(jìn)行檢查。(E/E)系統(tǒng)的功能失效造成的潛在危害，那么這個(gè)機(jī)械組件防止或減輕危害的有效性應(yīng)在整車層面進(jìn)行確認(rèn)2是否按照表6中關(guān)于驗(yàn)證的檢查清單的要求對(duì)危害分析和風(fēng)險(xiǎn)評(píng)估包括安全目標(biāo)進(jìn)行了充分的驗(yàn)證，且具備相應(yīng)的證據(jù)?應(yīng)提供證據(jù)，以證明：——場(chǎng)景和危害組合的代表性、適用性說明；——對(duì)相關(guān)項(xiàng)功能異常的識(shí)別充分涵蓋了相關(guān)項(xiàng)功能定義；——是否考慮了其他相關(guān)項(xiàng)HARA結(jié)果中與本相關(guān)項(xiàng)有關(guān)的——危害事件分析采用了系統(tǒng)化方法，分析具有完備性；——對(duì)于分配了ASIL等級(jí)的危害事件，其安全目標(biāo)的定義能充分避免危害事件的發(fā)生。安全目標(biāo)與所分配的ASIL等級(jí)以及相應(yīng)的危害事件保持一致(資料性)功能安全概念功能安全概念的審核及評(píng)估的說明及示例見表C.1。表C.1功能安全概念的審核及評(píng)估的說明及示例序號(hào)檢查清單說明及示例1功能安全要求的屬性和特性、功能安全要求的管理是否符合安全要求定義和管理的要求?a)功能安全要求應(yīng)具有如下屬性：功能安全要求應(yīng)具備唯一識(shí)別并保持不變、狀態(tài)、ASIL等級(jí)。c)功能安全要求的管理：可追溯、可維護(hù)、合理地驗(yàn)證2功能安全要求是否由安全目標(biāo)導(dǎo)出?在定義功能安全要求時(shí)，是否考慮了系統(tǒng)架構(gòu)設(shè)計(jì)?a)如果適用，應(yīng)為每一條FSR指定其對(duì)應(yīng)的SG,確保FSR與SG之間的雙向可追溯性；b)如果適用，考慮系統(tǒng)架構(gòu)設(shè)計(jì)中各要素與安全目標(biāo)之間的對(duì)應(yīng)關(guān)系，通過對(duì)相關(guān)系統(tǒng)要素進(jìn)行安全分析，得出功能安全要求3每個(gè)安全目標(biāo)是否都可追溯到至少一項(xiàng)功能安全要求?a)每一條安全目標(biāo)都具備承接的FSR;b)同一個(gè)功能安全要求可由幾個(gè)不同的安全目標(biāo)導(dǎo)出4如果適用，在功能安全要求中是否定義了故障避免的策略?為避免隨機(jī)硬件故障，可參考FMEA、行業(yè)最佳實(shí)踐等的故障避免措施，例如：為避免短路采用ECU電路板熱熔膠工藝、為避免進(jìn)水短路或腐蝕采用密封圈/密封膠工藝5如果適用，在功能安全要求中是否定義了故障探測(cè)的策略，以及對(duì)故障或其導(dǎo)致的功能異常表現(xiàn)的控制策略?如果適用，應(yīng)依據(jù)安全分析系統(tǒng)性地得出違背安全目標(biāo)的相關(guān)故障，并針對(duì)這些故障定義探測(cè)和控制策略。例如：根據(jù)EPS的FMEA分析，電源管理芯片應(yīng)探測(cè)電源的過壓、欠壓、漂移、尖峰故障，當(dāng)出現(xiàn)上述故障后，為避免可能導(dǎo)致非預(yù)期側(cè)向運(yùn)動(dòng)的轉(zhuǎn)向助力，系統(tǒng)應(yīng)關(guān)閉部分或全部助力6如果適用，在功能安全要求中是否定義了過渡到安全狀態(tài)的策略，及如果適用，過渡出安全狀態(tài)的策略?定義了系統(tǒng)狀態(tài)機(jī)、各個(gè)狀態(tài)間的過渡過程和跳轉(zhuǎn)條件，在此過程中考慮跳轉(zhuǎn)條件和狀態(tài)的組合符合安全目標(biāo)進(jìn)入默認(rèn)助力的安全狀態(tài)，同時(shí)發(fā)出駕駛員警示；當(dāng)總線車速信號(hào)恢復(fù)后，助力柔和恢復(fù)至正常狀態(tài)，同時(shí)取消駕駛員警示。7如果適用，在功能安全要求中，是否定義了故障容錯(cuò)的策略?力沉重或主動(dòng)轉(zhuǎn)向功能非預(yù)期關(guān)閉),增加了冗余助力設(shè)計(jì)。8如果適用，在功能安全要求中，是否定義了故障情況下的功能降級(jí)策略?是否定義了功能降級(jí)與駕駛員警告之間的交互策略?針對(duì)不同故障風(fēng)險(xiǎn)，駕駛員警告機(jī)制是否明確和有效?a)針對(duì)“故障情況下的功能降級(jí)策略”,例如：當(dāng)EPS的ECU電路板溫度超過110℃后，EPS將從正常助力狀態(tài)，平緩過渡到過溫條件發(fā)生后的降低助力狀態(tài)。b)針對(duì)“將風(fēng)險(xiǎn)暴露時(shí)間縮短到可接受時(shí)間所需的駕駛員警告”,例如：序號(hào)6中，安全狀態(tài)的警示為“轉(zhuǎn)向備份系統(tǒng)故障，10個(gè)點(diǎn)火循環(huán)后將關(guān)閉助力，請(qǐng)盡快維修”。降低助力時(shí)，駕駛員警告信息為“轉(zhuǎn)向助力降低，請(qǐng)控制方向”表C.1功能安全概念的審核及評(píng)估的說明及示例(續(xù))序號(hào)檢查清單說明及示例9如果適用，故障處理時(shí)間間隔的定義是否滿足故障容錯(cuò)時(shí)間間隔的要求?a)針對(duì)不同類型的故障，應(yīng)根據(jù)故障容錯(cuò)時(shí)間間隔定義故障處理時(shí)間間隔，以確保故障探測(cè)和處理的及時(shí)性，避免危害風(fēng)險(xiǎn)。例如：針對(duì)EPS非預(yù)期轉(zhuǎn)向的探測(cè)和助力關(guān)斷時(shí)間，避免錯(cuò)誤的助力可能使車輛產(chǎn)生非預(yù)期的側(cè)向運(yùn)動(dòng)。b)相關(guān)時(shí)間間隔的制定可基于測(cè)試、仿真或分析，并最終得到確認(rèn)如果適用，對(duì)于不同功能的多個(gè)控制請(qǐng)求，是否定義了仲裁策略，以避免或減輕可能導(dǎo)致的危害風(fēng)險(xiǎn)?a)不同功能的控制請(qǐng)求可能來自內(nèi)部功能(如EPS主動(dòng)回正、摩擦補(bǔ)償功能)或外部功能(如車道保持LKA功能);b)仲裁策略可能是功能優(yōu)先級(jí)順序(如LKA功能優(yōu)先級(jí)高于主動(dòng)回正功能)或功能約束限制(如為EPS主動(dòng)回正和摩擦補(bǔ)償功能設(shè)置力矩上限)等是否進(jìn)行了安全分析以得到完整有效的功能安全要求?a)為了制定一套完整有效的功能安全要求，可使用例如FMEA、FTA、STPA、HAZOP等分析方法；b)針對(duì)安全分析中識(shí)別出的故障和風(fēng)險(xiǎn)，都針對(duì)性制定了功能安全要求，并進(jìn)行有效性的驗(yàn)證確認(rèn)在定義每項(xiàng)功能安全要求時(shí)，如果適用，是否考慮了相關(guān)項(xiàng)的運(yùn)行模式、故障容錯(cuò)時(shí)間間隔、安全狀態(tài)、緊急運(yùn)行時(shí)間間隔及功能冗余?見表A.1中序號(hào)3運(yùn)行模式，表C.1中序號(hào)9故障容錯(cuò)時(shí)間間隔、序號(hào)6安全狀態(tài)、序號(hào)8緊急運(yùn)行時(shí)間間隔及功能冗余的說明及示例在功能安全要求中，是否定義了相應(yīng)的一個(gè)或多個(gè)安全狀態(tài)以避免安全目標(biāo)的違背?維持助力到當(dāng)前點(diǎn)火循環(huán)結(jié)束、維持助力到一定的點(diǎn)火循環(huán)結(jié)束、關(guān)閉部分輔助功能、關(guān)閉主動(dòng)轉(zhuǎn)向功能等。是否對(duì)相關(guān)項(xiàng)過渡到安全狀態(tài)的時(shí)間間隔進(jìn)行了分析?對(duì)于不能在可接受的時(shí)間間隔內(nèi)過渡到安全狀態(tài)的情況，是否定義了緊急運(yùn)行?駛員并關(guān)閉助力”,但在行車過程中，不能馬上進(jìn)入到該安全狀態(tài)，為此，可采取的緊急運(yùn)行是“提供有限的助力并警告駕駛員，直到車輛停止”,再進(jìn)入安全狀態(tài)。在功能安全概念中，是否對(duì)避免違反安全目標(biāo)的駕駛員或其他人員的必要行動(dòng)進(jìn)行了假設(shè)?若存在，是否在功能安全概念中對(duì)其進(jìn)行了定義，并定義了可供駕駛員或其他人員使用的足夠的方法和控制手段?在功能安全概念中，針對(duì)EPS非預(yù)期轉(zhuǎn)向行為，可能假設(shè)和定義了駕駛員會(huì)施加必要的糾正力矩。為此，可能對(duì)EPS轉(zhuǎn)向力矩進(jìn)行約束，同時(shí)在發(fā)生故障時(shí)，通過警示信息提醒駕駛員及時(shí)采取糾正操作是否將功能安全要求分配給了系統(tǒng)架構(gòu)設(shè)計(jì)中的要素?ASIL等級(jí)等信息是否與安全目標(biāo)保持一致?如果應(yīng)用了ASIL等級(jí)分解，是否符合GB/T43253.1—2023中6.7關(guān)于ASIL等級(jí)分級(jí)的檢查清單的要求?a)對(duì)于每項(xiàng)功能安全要求，應(yīng)將其分配給系統(tǒng)架構(gòu)設(shè)計(jì)中一個(gè)或多個(gè)要素，確保功能安全要求與系統(tǒng)要素之間的雙向可追溯性。b)功能安全要求的ASIL等級(jí)及信息(運(yùn)行模式、FTTI、安全狀態(tài)、緊急運(yùn)行時(shí)間間隔、功能冗余等)應(yīng)從安全目標(biāo)中繼承得到。c)如果應(yīng)用了ASIL等級(jí)分解，應(yīng)符合GB/T34590.9—2022中第5章的要求表C.1功能安全概念的審核及評(píng)估的說明及示例(續(xù))序號(hào)檢查清單說明及示例系統(tǒng)架構(gòu)中，承接了不同ASIL等級(jí)安全要求的架構(gòu)要素之間，是否根據(jù)GB/T43253.1—2023中表22要素共存的檢查清單免于干擾的要求，若不符合，這些要素是否按照相關(guān)要求的最高ASIL等級(jí)進(jìn)行了開發(fā)?根據(jù)功能安全要求與架構(gòu)要素的雙向追溯關(guān)系，識(shí)別每個(gè)架構(gòu)要素所需滿足的最高ASIL等級(jí)。對(duì)于系統(tǒng)架構(gòu)中，承接了不同ASIL等級(jí)安全要求的要素，應(yīng)明確相關(guān)要素之間是否存在可能導(dǎo)致違背安全要求的級(jí)聯(lián)失效，是否符合免于干擾的要求部),而內(nèi)置的轉(zhuǎn)角傳感器分配了ASILB等級(jí)要求(來自車輛穩(wěn)定性控制功能要求),若不能證明該轉(zhuǎn)角傳感器與扭矩傳感器之間免于干擾(無級(jí)聯(lián)失效),則轉(zhuǎn)角傳感器也應(yīng)按照ASILD等級(jí)要求開發(fā)針對(duì)包含多個(gè)電氣/電子(E/E)系統(tǒng)的相關(guān)項(xiàng)，是否定義了各個(gè)電氣/電子(E/E)系統(tǒng)以及系統(tǒng)之間接口的功能安全要求?a)功能安全概念文檔中，包含相關(guān)項(xiàng)架構(gòu)，在該架構(gòu)中能清楚識(shí)別組成相關(guān)項(xiàng)的全部電氣/電子(E/E)系統(tǒng)及其內(nèi)外部接口。b)針對(duì)這些系統(tǒng)和接口定義功能安全要求，并將接口的要求也分配到相關(guān)系統(tǒng)中，避免實(shí)施遺漏像頭系統(tǒng)和EPS系統(tǒng)同時(shí)提出通信保護(hù)和監(jiān)控要求。如果適用，是否在功能安全概念中為各個(gè)電氣/電子系統(tǒng)分配了隨機(jī)硬件故障度量目標(biāo)值?a)可根據(jù)組成相關(guān)項(xiàng)的各個(gè)電氣/電子(E/E)系統(tǒng)對(duì)危害行為和安全目標(biāo)的貢獻(xiàn)，采用系統(tǒng)性分析手段，如FTA,對(duì)各個(gè)系統(tǒng)進(jìn)行隨機(jī)硬件故障度量目標(biāo)值的分配。b)分配的目標(biāo)一方面是確保最終目標(biāo)值的達(dá)成，同時(shí)也有利于在開發(fā)早期合理平衡開發(fā)難度。例如：對(duì)于成熟可靠的系統(tǒng)分配較高目標(biāo)，而對(duì)于全新開發(fā)的復(fù)雜系統(tǒng)分配較低目標(biāo)若存在功能安全要求的ASIL等級(jí)分解，是否符合GB/T43253.1—2023中6.7關(guān)于ASIL等級(jí)分解的檢查清單的要求?ASIL等級(jí)分解符合GB/T34590.9—2022第5章的要求，見ASIL等級(jí)分解檢查清單要求若功能安全概念的實(shí)現(xiàn)需要基于其他技術(shù)的要素，則針對(duì)這些其他技術(shù)要素，是否合理分配了功能安全要求及屬性?是否定義了與其他技術(shù)要素的接口相關(guān)的功能安全要求?這些要求及屬性的實(shí)現(xiàn)是否具備充分的措施保證，并進(jìn)行了必要的驗(yàn)證和確認(rèn)?若適用：a)相關(guān)安全要求應(yīng)包含針對(duì)其他技術(shù)要素的功能安全要求，其實(shí)現(xiàn)具備可追溯性；b)相關(guān)安全要求應(yīng)包含相關(guān)項(xiàng)與其他技術(shù)要素的接口要求；c)對(duì)上述要求的實(shí)現(xiàn)，是否具備特定的措施保證；d)確認(rèn)計(jì)劃中應(yīng)包含上述安全要求的確認(rèn)；e)對(duì)于分配給其他技術(shù)要素的功能安全要求無需分配ASIL等級(jí)，但對(duì)于承接了同一功能安全要求的相關(guān)項(xiàng)內(nèi)部要素，可按照GB/T34590.9—2022第5章，使用ASIL等級(jí)分解，在此情況下，應(yīng)在GB/T34590—2022的基礎(chǔ)上，定義實(shí)施和驗(yàn)證規(guī)則要依靠車輛機(jī)械轉(zhuǎn)向系統(tǒng)保證，為此需要對(duì)機(jī)械轉(zhuǎn)向系統(tǒng)的轉(zhuǎn)向助力比值提出要求，以確保人員具備足夠的可控性，并應(yīng)對(duì)整車實(shí)現(xiàn)效果進(jìn)行驗(yàn)證和確認(rèn)。表C.1功能安全概念的審核及評(píng)估的說明及示例(續(xù))序號(hào)檢查清單說明及示例若功能安全概念的實(shí)現(xiàn)需要基于外部措施，則針對(duì)這些外部措施，是否定義并對(duì)其傳遞了功能安全要求?并確認(rèn)了其實(shí)現(xiàn)?a)相關(guān)安全要求應(yīng)包含相關(guān)項(xiàng)與外部措施的接口；b)若外部措施是由電氣/電子(E/E)系統(tǒng)實(shí)現(xiàn)，則對(duì)其要求的定義應(yīng)符合GB/T34590.1～34590.12—2022;c)確認(rèn)計(jì)劃中應(yīng)包含外部措施實(shí)現(xiàn)安全要求的確認(rèn)安全概念的實(shí)現(xiàn)，可依賴于通過ARS系統(tǒng)實(shí)施備份的主動(dòng)轉(zhuǎn)向功能。為此，可導(dǎo)出針對(duì)ARS系統(tǒng)的接口需求，如ARS應(yīng)監(jiān)控EPS功能狀態(tài)，若探測(cè)到故障，應(yīng)激活主動(dòng)轉(zhuǎn)向功能。是否依據(jù)功能安全要求和安全目標(biāo)定義了相關(guān)項(xiàng)安全確認(rèn)的接受準(zhǔn)則?a)當(dāng)相關(guān)項(xiàng)集成到整車時(shí)，應(yīng)通過評(píng)估如下方面對(duì)相關(guān)項(xiàng)的功能安全實(shí)現(xiàn)進(jìn)行確認(rèn)，包括：——可控性；——外部措施的有效性；——其他技術(shù)要素的有效性；——影響危害分析與風(fēng)險(xiǎn)評(píng)估中ASIL等級(jí)的假設(shè)只能在最終車輛上進(jìn)行檢查。b)安全確認(rèn)不僅在V流程的安全確認(rèn)活動(dòng)(V流程的右側(cè)頂端)中執(zhí)行，也在開發(fā)階段中執(zhí)行(而不僅在開發(fā)結(jié)束時(shí)執(zhí)行)失效造成的潛在危害，那么這個(gè)機(jī)械組件防止或減輕危害的有效性應(yīng)在整車層面進(jìn)行確認(rèn)，例如針對(duì)機(jī)械轉(zhuǎn)向可控性的確認(rèn)。是否按照本表檢查清單的要求對(duì)功能安全概念進(jìn)行了充分的驗(yàn)證，且具備相應(yīng)的證據(jù)證明功能安全概念與安全目標(biāo)的一致性和符合性，及功能安全概念減輕或避免危害的能力?a)通過驗(yàn)證，確保功能安全概念與安全目標(biāo)的一致性和符合性；b)通過驗(yàn)證，證明功能安全概念在減輕或避免危害上的能力示例：減輕或避免危害的能力，可通過測(cè)試、試運(yùn)行或?qū)＜遗袛鄟碓u(píng)估，可結(jié)合原型、研究報(bào)告、專項(xiàng)測(cè)試或仿真。(資料性)技術(shù)安全概念技術(shù)安全概念開發(fā)的審核及評(píng)估的說明及示例見表D.1。表D.1技術(shù)安全概念開發(fā)的審核及評(píng)估的說明及示例序號(hào)檢查清單說明及示例1如果存在其他涉及安全的相關(guān)項(xiàng)對(duì)本系統(tǒng)的安全要求，是否作為系統(tǒng)層面開發(fā)階段技術(shù)安全概念的設(shè)計(jì)輸入?例如，LKA相關(guān)項(xiàng)對(duì)EPS相關(guān)項(xiàng)提出了功能安全要求，當(dāng)EPS檢測(cè)到駕駛員的手力矩>3N·m時(shí)，EPS提供超控響應(yīng)功能，即要求EPS退出對(duì)LKA的扭矩請(qǐng)求響應(yīng)。這個(gè)要求也應(yīng)納入EPS的系統(tǒng)層面開發(fā)輸入2是否存在包含系統(tǒng)層面開發(fā)階段的系統(tǒng)架構(gòu)設(shè)計(jì)的系統(tǒng)架構(gòu)規(guī)范?技術(shù)安全概念和該系統(tǒng)架構(gòu)規(guī)范的系統(tǒng)架構(gòu)設(shè)計(jì)描述是否基于相關(guān)項(xiàng)定義、功能安全概念和先前的系統(tǒng)架構(gòu)設(shè)計(jì)?并保持一致?如果存在不一致，是否通過恰當(dāng)?shù)幕顒?dòng)進(jìn)行迭代?應(yīng)對(duì)比和檢查技術(shù)安全概念/系統(tǒng)層面開發(fā)階段的架構(gòu)設(shè)計(jì)/安全架構(gòu)方案與相關(guān)項(xiàng)定義/功能安全概念階段使用的架構(gòu)設(shè)計(jì)的一致性。例如：輸入輸出的接口定義、架構(gòu)要素的描述、工作模式、對(duì)于不一致的地方，是否對(duì)功能安全概念階段的活動(dòng)進(jìn)行了迭代更新?3系統(tǒng)層面開發(fā)階段的系統(tǒng)架構(gòu)設(shè)計(jì)是否能實(shí)現(xiàn)技術(shù)安全要求?應(yīng)具備證據(jù)說明系統(tǒng)架構(gòu)設(shè)計(jì)實(shí)現(xiàn)了技術(shù)安全要求，證據(jù)包括：——系統(tǒng)架構(gòu)設(shè)計(jì)與技術(shù)安全要求的對(duì)應(yīng)關(guān)系；——用于實(shí)現(xiàn)技術(shù)安全要求的軟硬件具備充分的技術(shù)——對(duì)于系統(tǒng)架構(gòu)設(shè)計(jì)實(shí)現(xiàn)的技術(shù)安全要求可被驗(yàn)證，且在系統(tǒng)集成過程中進(jìn)行了測(cè)試4系統(tǒng)架構(gòu)設(shè)計(jì)是否識(shí)別了安全相關(guān)要素及其內(nèi)外部接口?是否具備恰當(dāng)?shù)拇胧┐_保其他要素不會(huì)對(duì)這些安全相關(guān)要素產(chǎn)生不利的安全影響?恰當(dāng)?shù)拇胧?yīng)確保：——對(duì)系統(tǒng)架構(gòu)中所有安全相關(guān)要素進(jìn)行識(shí)別；——對(duì)安全相關(guān)要素，定義其內(nèi)部和外部接口；——考慮其他要素對(duì)安全相關(guān)要素的影響，避免影響安全過程。5如果在系統(tǒng)層面開發(fā)階段的系統(tǒng)架構(gòu)設(shè)計(jì)對(duì)安全要求進(jìn)行ASIL等級(jí)分解，分解的實(shí)施是否符合GB/T43253.1—2023中6.7關(guān)于ASIL等級(jí)分解的檢查清單的要求?如果適用，應(yīng)按照GB/T43253.1—2023中ASIL等級(jí)分解的審核評(píng)估檢查清單執(zhí)行6是否根據(jù)對(duì)應(yīng)的ASIL等級(jí)，按照GB/T34590.4—2022中表1的要求進(jìn)行技術(shù)安全概念階段的系統(tǒng)架構(gòu)設(shè)計(jì)的安全分析?應(yīng)提供證據(jù)證明安全分析開展符合ASIL等級(jí)的要求，安全分析的實(shí)施符合GB/T43253.1—2023中關(guān)于ASIL等級(jí)分解的檢查清單的要求，安全分析的評(píng)審記錄、開口項(xiàng)信息和版本信息，其相關(guān)狀態(tài)信息都應(yīng)在技術(shù)安全概念的工作成果中存在相應(yīng)記錄表D.1技術(shù)安全概念開發(fā)的審核及評(píng)估的說明及示例(續(xù))序號(hào)檢查清單說明及示例7技術(shù)安全概念是否消除已識(shí)別出的引起失效的內(nèi)部原因和外部原因，或在必要時(shí)減輕它們的影響?應(yīng)提供證據(jù)證明對(duì)于在安全分析中發(fā)現(xiàn)的，引起失效的內(nèi)部原因和外部原因都有合適安全機(jī)制或緩解措施8技術(shù)安全概念是否復(fù)用值得信賴的系統(tǒng)設(shè)計(jì)原則?如果復(fù)用，是否對(duì)設(shè)計(jì)原則的適用性進(jìn)行了分析并形成了文檔?值得信賴的系統(tǒng)設(shè)計(jì)原則可能包括：——值得信賴的技術(shù)安全概念的復(fù)用；——值得信賴的要素設(shè)計(jì)的復(fù)用，包括硬件和軟件組件；——值得信賴的探測(cè)和控制失效的機(jī)制的復(fù)用；——值得信賴的或標(biāo)準(zhǔn)化接口的復(fù)用。如果復(fù)用，需要提供設(shè)計(jì)原則的適用性或差異分析報(bào)告，以確保最終產(chǎn)品應(yīng)用的一致性和適用性9系統(tǒng)層面開發(fā)階段的系統(tǒng)架構(gòu)設(shè)計(jì)是否具有以下特征：a)模塊化；b)適當(dāng)?shù)念w粒度水平；架構(gòu)設(shè)計(jì)的模塊化，適當(dāng)?shù)念w粒度水平和簡(jiǎn)單原則可有效的避免系統(tǒng)失效；可通過分層設(shè)計(jì)、精確的接口定義、避免組件和接口的不必要的復(fù)雜性、可維護(hù)性和可驗(yàn)證性之類的設(shè)計(jì)原則實(shí)現(xiàn)在安全分析或系統(tǒng)架構(gòu)設(shè)計(jì)過程中，是否識(shí)別到新的尚未被安全目標(biāo)涵蓋的危害?若有，是否更新到危害分析和風(fēng)險(xiǎn)評(píng)估(HARA)中?如果適用，提供更新的相關(guān)證據(jù)技術(shù)安全要求中定義的安全機(jī)制是否充分，以探測(cè)故障并防止或減輕出現(xiàn)在系統(tǒng)輸出端的、導(dǎo)致違反功能安全要求的失效?a)如果適用，在定義安全機(jī)制時(shí)，應(yīng)包含：——與系統(tǒng)自身故障相關(guān)的安全機(jī)制；——與本系統(tǒng)有相互影響的其他外部要素中所發(fā)生故障的安全機(jī)制；——使系統(tǒng)實(shí)現(xiàn)或者維持在相關(guān)項(xiàng)的安全狀態(tài)的安全——定義和執(zhí)行報(bào)警和降級(jí)策略的安全機(jī)制；——防止故障處于潛伏狀態(tài)的安全機(jī)制。b)如果適用，在定義每一個(gè)安全機(jī)制時(shí)，宜考慮如下方面：——故障的探測(cè)，可定義探測(cè)何種故障，采用何種方法進(jìn)行故障探測(cè)；-—故障的指示，描述當(dāng)出現(xiàn)何種現(xiàn)象時(shí)，認(rèn)為故障發(fā)生，包含對(duì)時(shí)間、周期等的描述；——故障的控制，當(dāng)確認(rèn)故障發(fā)生后，系統(tǒng)應(yīng)如何響應(yīng)以避免違背安全目標(biāo)；——故障的恢復(fù)條件，定義在什么條件下，可認(rèn)為故障恢復(fù)；——安全機(jī)制的有效性評(píng)估表D.1技術(shù)安全概念開發(fā)的審核及評(píng)估的說明及示例(續(xù))序號(hào)檢查清單說明及示例對(duì)于使相關(guān)項(xiàng)實(shí)現(xiàn)或維持安全狀態(tài)的每個(gè)安全機(jī)制的定義，是否完整?定義應(yīng)包括：a)相關(guān)項(xiàng)可能所處的狀態(tài)與安全狀態(tài)間的轉(zhuǎn)換的定義，包括轉(zhuǎn)換過程中對(duì)執(zhí)行器的如何控制的要求；常的安全機(jī)制明確定義當(dāng)監(jiān)測(cè)到激光發(fā)射功率超出安全標(biāo)準(zhǔn)時(shí)，激光LiDAR從正常工作狀態(tài)切換到錯(cuò)誤工作狀態(tài)，而錯(cuò)誤工作狀態(tài)也明確定義了會(huì)關(guān)閉激光發(fā)射。b)故障處理時(shí)間間隔的定義，該定義宜考慮架構(gòu)層面的時(shí)間約束要求，以確保滿足相關(guān)安全目標(biāo)的FTTI;c)若不能在FTTI允許的時(shí)間內(nèi)進(jìn)入相關(guān)項(xiàng)的安全狀態(tài)，則應(yīng)定義緊急運(yùn)行容錯(cuò)時(shí)間間隔。該定義可基于整車測(cè)試或試驗(yàn)示例1:進(jìn)入安全狀態(tài)之前的降級(jí)運(yùn)行持續(xù)時(shí)間。示例2:線控制動(dòng)的供電安全機(jī)制，定義了備用電源或儲(chǔ)能設(shè)備，及其電能容量、啟動(dòng)所需的時(shí)間、運(yùn)行能持續(xù)的時(shí)間等。對(duì)于ASIL(A)、(B)、C和D等級(jí)，如果適用，是否定義了充分的安全機(jī)制，以防止隨機(jī)硬件故障的多點(diǎn)故障變?yōu)闈摲收?機(jī)制，用于驗(yàn)證組件在不同運(yùn)行模式(例如上電、下電、運(yùn)行或額外的自檢模式)下的狀態(tài)。對(duì)于ASIL(A)、(B)、C和D等級(jí)，為了避免多點(diǎn)失效，用于探測(cè)多點(diǎn)故障的安全機(jī)制的診斷測(cè)試策略是否合理?用于探測(cè)多點(diǎn)故障的安全機(jī)制的針對(duì)測(cè)試策略宜考慮：a)診斷測(cè)試策略與被探測(cè)硬件組件的可靠性要求、該硬件組件在架構(gòu)中的角色、其對(duì)多點(diǎn)失效的貢獻(xiàn)是否匹配?b)是否符合GB/T34590—2022第9章隨機(jī)硬件失效度量目標(biāo)值的要求?c)與分配的ASIL等級(jí)(來自安全目標(biāo)或上一級(jí)的安全要求)是否匹配?d)是否小于多點(diǎn)故障探測(cè)時(shí)間間隔?示例1:診斷測(cè)試策略可為時(shí)間驅(qū)動(dòng)(例如使用診斷測(cè)試時(shí)間間隔)或者事件驅(qū)動(dòng)(例如啟動(dòng)測(cè)試)。示例2:系統(tǒng)或要素在運(yùn)行過程中的周期性測(cè)試；要素在上下電時(shí)的自檢；系統(tǒng)或要素在維護(hù)時(shí)的測(cè)試。對(duì)于ASIL(A)、(B)、C和D等級(jí)，專門用于防止雙點(diǎn)故障變成潛伏故障的安全機(jī)制的開發(fā)是否符合要求?對(duì)于分配為ASILD等級(jí)的技術(shù)安全要求，為了防止雙點(diǎn)故障變成潛伏故障而實(shí)施的安全機(jī)制至少為ASILB等級(jí)。對(duì)于分配為ASILB等級(jí)和ASILC等級(jí)的技術(shù)安全要求，為了防止雙點(diǎn)故障變成潛伏故障而實(shí)施的安全機(jī)制至少為ASILA等級(jí)。對(duì)于分配為ASILA等級(jí)的技術(shù)安全要求了防止雙點(diǎn)故障變成潛伏故障而實(shí)施的安全機(jī)制至為QM等級(jí)求為ASILB等級(jí)。為了防止雙點(diǎn)故障變成潛伏故障，開發(fā)了專門用于測(cè)試該奇偶校驗(yàn)機(jī)制在探測(cè)和指示內(nèi)存故障的能力的自檢測(cè)試，對(duì)于該自檢測(cè)試的開發(fā)應(yīng)至少滿足ASILA的要求。表D.1技術(shù)安全概念開發(fā)的審核及評(píng)估的說明及示例(續(xù))序號(hào)檢查清單說明及示例是否根據(jù)系統(tǒng)架構(gòu)設(shè)計(jì)，定義了充分地探測(cè)、控制或減輕隨機(jī)硬件失效的措施?基于定量分析(例如FMEDA、FTA等),確定已定義的措施是否充分示例1:這些措施可能是硬件的診斷特性，通過軟件對(duì)其的使用來探測(cè)隨機(jī)硬件失效。示例2:隨機(jī)硬件失效發(fā)生時(shí)，不需要探測(cè)即可進(jìn)入安全狀態(tài)的硬件設(shè)計(jì)(即：失效一安全的硬件設(shè)計(jì))。對(duì)于ASIL(B)、C和D等級(jí)，針對(duì)隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的可能性是否定義了明確的目標(biāo)值?是否按照GB/T34590.5—2022第9章的要求，使用備選分析方法中的一個(gè)方法進(jìn)行了評(píng)估?GB/T34590.5—2022中表6隨機(jī)硬件失效目標(biāo)值中選取。還宜考慮其他相關(guān)項(xiàng)對(duì)本相關(guān)項(xiàng)的隨機(jī)失效目標(biāo)要求。例如：ADAS相關(guān)項(xiàng)對(duì)EPS相關(guān)項(xiàng)的轉(zhuǎn)向失效目標(biāo)值要求，可能與EPS自身安全目標(biāo)要求不同。潛在分析方法包括：隨機(jī)硬件失效概率度量(PMHF)的評(píng)估和通過對(duì)違背安全目標(biāo)的每個(gè)原因