芯耀
809
1. 标准概述
1.1 背景与意义
GB/T34590.2 - 2022作为GB/T34590系列标准的核心管理模块,于2023年7月1日正式实施,替代GB/T34590.2 - 2017。它修改采用ISO26262 - 2:2018,并结合我国车辆类型术语规范进行了适应性调整。随着道路车辆电气/电子系统的日益复杂,功能安全问题愈发凸显。该标准的出台旨在通过全生命周期安全管理,降低系统性失效和随机硬件失效风险,保障道路车辆的行驶安全,对整个汽车行业的健康发展具有重要意义。
1.2 适用范围与不适用范围
1.2.1 适用范围
适用车辆为除轻便摩托车外的量产道路车辆。在现代交通体系中,这些车辆广泛应用于客运、货运等领域,其功能安全直接关系到众多道路使用者的生命财产安全。适用系统涵盖包含一个或多个电气/电子系统的安全相关系统。如今,车辆的智能化和自动化程度不断提高,这些系统在车辆的运行中起着关键作用。适用阶段贯穿安全生命周期全阶段,包括概念阶段、产品开发阶段、生产/运行/服务/报废阶段。每个阶段都对功能安全有着不同的管理要求,确保车辆在整个生命周期内都能满足安全标准。
1.2.2 不适用范围
特殊用途车辆特定电气/电子系统,如为残疾驾驶者设计的系统,由于其特殊的使用场景和需求,有专门的标准和规范进行管理。已完成生产发布或标准发布前已启动开发的系统,变更时需按标准剪裁安全生命周期活动,以避免对现有生产和开发造成过大的冲击。非电气/电子系统功能异常直接引发的危害,如触电、火灾、毒性等,除非危害由电气/电子系统功能异常直接导致,这类危害通常由其他相关标准和法规进行管控。
2. 规范性引用文件
2.1 引用原则与核心文件
2.1.1 引用原则
注日期引用的文件仅对应日期版本适用,这种引用方式确保了在特定的时间节点,标准的实施有明确的依据。不注日期引用的文件则适用最新版本(含修改单),以保证标准能够及时跟上技术的发展和变化。
2.1.2 核心引用文件
GB/T34590系列标准,包括第1部分(术语)、第3 - 10部分(概念阶段、产品开发各层面、支持过程等)、第12部分(摩托车的适用性)。这些标准相互关联,共同构建了道路车辆功能安全的完整体系。引用文件与ISO 26262对应部分无技术差异,确保了国际标准的本土化适配,使我国的道路车辆功能安全管理能够与国际接轨。
2.2 引用文件的作用
通过引用GB/T34590系列其他部分,构建了“术语 - 概念 - 开发 - 支持 - 评估”的完整标准体系。这避免了重复定义,确保了功能安全管理要求的连贯性和一致性。在实际应用中,引用文件为企业提供了具体的操作指南和技术规范,帮助企业更好地实施功能安全管理,提高产品的安全性和可靠性。
3. 术语和定义
3.1 术语来源与意义
明确界定术语和定义的来源为GB/T34590.1 - 2022《道路车辆 功能安全 第1部分:术语》,未新增额外术语,仅直接沿用该部分的界定。在功能安全管理领域,统一的术语定义至关重要。例如,ASIL等级、相关项、要素、认可措施等核心概念,只有在统一的定义下,各方才能准确理解和执行标准,避免因理解差异而导致的管理漏洞。
3.2 关键术语解读
3.2.1 ASIL等级
ASIL(Automotive Safety Integrity Level)即汽车安全完整性等级,是衡量道路车辆电气/电子系统安全风险的重要指标。它分为A、B、C、D四个等级,从A到D风险逐渐升高。在实际应用中,根据系统的危害分析和风险评估结果,确定相应的ASIL等级,然后针对不同的等级采取不同的安全措施和管理要求,以确保系统的功能安全。
3.2.2 相关项
相关项是指与功能安全相关的系统、子系统或组件。准确识别相关项是实施功能安全管理的基础,只有明确了哪些部分与功能安全相关,才能有针对性地进行管理和控制。
3.2.3 要素
要素是构成相关项的基本单元,包括硬件要素、软件要素等。对要素的管理和控制是确保相关项功能安全的关键,需要对要素的设计、开发、测试等环节进行严格的把关。
4. 要求
4.1 目的与一般要求
4.1.1 目的
明确三项核心作用:指导如何符合GB/T34590、诠释标准中的表格、解释基于ASIL等级的章条适用性。这为标准的实施提供了明确的指导方向,使企业能够准确理解和执行标准的要求。
4.1.2 一般要求
合规原则规定,声明符合标准时需满足所有要求,除非已实施安全活动剪裁且证明不适用,或不满足要求的理由可接受并经评估。这确保了标准的严格执行,同时也考虑到了实际情况的多样性。“注”和“示例”仅用于理解,不构成要求本身,避免了因误解而导致的执行偏差。工作成果要求需以上一阶段工作成果为前提(可剪裁的要求除外),保证了工作的连续性和系统性。
4.2 表的诠释
4.2.1 表格类型
表格分为规范性表格和资料性表格。规范性表格强制遵循,是标准实施的重要依据;资料性表格仅供参考,为企业提供了更多的信息和指导。
4.2.2 条目类型
条目类型包括连续条目和选择条目。连续条目按ASIL等级推荐使用,可替代需说明理由;选择条目按ASIL等级组合使用,需说明选择理由。这种规定既保证了标准的灵活性,又确保了选择的合理性。
4.2.3 推荐等级
推荐等级分为“++”(高度推荐)、“+”(推荐)、“o”(不推荐不反对),与ASIL等级挂钩。不同的推荐等级为企业提供了不同的参考,帮助企业根据实际情况做出合适的决策。
4.3 基于ASIL等级的要求和建议
4.3.1 通用规则
默认适用于ASIL A/B/C/D四级,参考安全目标的ASIL等级。这使得标准具有广泛的适用性,能够覆盖不同风险等级的系统。
4.3.2 分解规则
早期完成ASIL等级分解的,遵循分解后的等级(按GB/T34590.9 - 2022第5章)。分解规则为企业在实际操作中提供了更灵活的处理方式,有助于更好地管理复杂系统的功能安全。
4.3.3 推荐性标识
括号内的ASIL等级表示该章条为推荐而非强制,为企业提供了更多的自主选择空间,同时也鼓励企业根据自身情况积极采用更严格的安全措施。
4.4 特殊车辆的适用性
4.4.1 摩托车的适用性
摩托车相关项或要素需遵循GB/T34590.12 - 2022的要求,替代本章相应要求。由于摩托车的结构和使用场景与其他道路车辆有所不同,因此需要专门的标准来规范其功能安全。
4.4.2 载货汽车、客车、专用汽车、挂车的适用性
对该类车辆的特殊规定以“T&B”表示,与GB/T3730.1 - 2022车辆类型术语保持一致。这些特殊规定考虑了不同类型车辆的特点和需求,确保了标准的针对性和有效性。
5. 整体安全管理
5.1 目的与总则
5.1.1 目的
核心目标是建立并维护安全文化、功能安全规章流程、安全异常管理流程、能力管理体系、质量管理体系,作为安全生命周期所有活动的前提。这些体系和流程的建立,为组织的功能安全管理提供了坚实的基础。
5.1.2 总则
安全生命周期覆盖概念阶段、产品开发、生产/运行/服务/报废阶段,核心管理任务为计划、协调、监控安全活动及执行认可措施,支持生命周期剪裁。明确的管理任务和流程,有助于确保安全活动的有效实施。安全生命周期分为整体安全管理、项目相关安全管理、生产/运行/服务/报废安全管理三类要求;开发相关安全活动计划启动于概念阶段,生产等相关计划启动于系统层面开发阶段。清晰的分类和启动阶段规定,使安全管理工作更加有序。明确相关项定义、危害分析和风险评估、功能安全概念、产品开发(系统/硬件/软件层面)、生产/运行/服务/报废等核心阶段及子阶段的定义,为安全管理提供了明确的工作指导。新增认可措施、可控性、外部措施、相关项/要素层面影响分析、其他技术、生产发布等核心概念,丰富了功能安全管理的内涵,使管理更加全面和深入。
5.2 输入与要求建议
5.2.1 本章的输入
前提条件无强制前提,但可参考符合质量管理标准的证据,如IATF16949、ISO9001、ISO/IEC33000等。这些参考证据有助于组织更好地建立和完善自身的管理体系。
5.2.2 要求和建议
安全文化方面,培育支持功能安全的文化,建立跨领域(功能安全、信息安全、机械安全等)沟通渠道,提供必要资源,建立持续改进流程。良好的安全文化能够促进全员参与,提高安全管理的效果。安全异常管理要求建立异常传达、解决流程,明确异常关闭条件(措施有效验证或评估无不合理风险),关闭依据需记录评审,未关闭异常需上报。有效的异常管理能够及时发现和解决潜在的安全问题。能力管理确保执行安全活动的人员技能、能力、资质与职责匹配,需覆盖安全标准、流程等培训。具备专业能力的人员是实施功能安全管理的关键。质量管理体系需符合IATF16949、ISO9001等标准,支持功能安全实现。完善的质量管理体系能够为功能安全提供有力的保障。独立于项目的剪裁允许合并/分解子阶段、调整活动执行阶段等,但需说明理由,以确保剪裁的合理性和可追溯性。
5.3 工作成果
核心产出包括组织专门的功能安全规章和流程、能力管理证据、质量管理体系证据、已识别的安全异常报告(适用时)。这些工作成果是组织功能安全管理的重要体现,为后续项目相关安全管理提供了前提条件。
6. 项目相关的安全管理
6.1 目的与总则
6.1.1 目的
核心目标是定义角色责任、执行影响分析、评估要素复用、剪裁安全活动、计划协调安全活动、规划分布式开发、确保安全活动进程、创建安全档案、执行认可措施、决定生产发布。明确的目标有助于确保项目在整个生命周期内的功能安全可控。
6.1.2 总则
核心要求包括定义分配安全活动角色责任;执行相关项/要素层面影响分析;计划协调安全活动并说明剪裁理由;将安全计划文档化;确保认可措施执行(需满足独立性要求);通过验证活动验证工作成果;基于证据判断生产发布准备情况。这些要求构成了项目相关安全管理的基本框架。认可措施由认可评审、功能安全审核、功能安全评估构成。认可评审评判关键工作成果贡献,功能安全审核评估流程实施情况,功能安全评估判断功能安全实现程度,三者相互配合,确保项目的功能安全。
6.2 输入与要求建议
6.2.1 本章的输入
前提条件为组织的功能安全规章和流程、能力管理证据、质量管理体系证据(即第5章的工作成果)。这些前提条件为项目相关安全管理提供了必要的支持和保障。支持信息包括项目计划、其他安全活动信息、影响分析相关现有信息(如产品概念、修改请求等),有助于项目团队全面了解项目情况,做出合理的决策。
6.2.2 要求和建议
角色和职责方面,启动阶段指定项目经理,赋予其安全活动执行和标准合规的责任权限;项目经理确保资源配置和安全经理任命(安全经理可由项目经理兼任,分布式开发需双方均任命)。明确的角色和职责分工,能够避免责任不清导致的安全问题。相关项层面影响分析在安全生命周期开始时执行,识别相关项为全新/修改/环境变更,评估修改对功能安全的影响并明确需开展的安全活动。及时的影响分析有助于提前发现潜在的安全风险。现有要素的复用需执行要素层面影响分析,评估复用要素在新运行环境下的安全要求适配性,评审相关安全文档。合理的要素复用能够降低成本,但必须确保安全要求得到满足。安全活动的剪裁可省略或调整生命周期活动,但需在安全计划中定义并提供充分理由,需符合ASIL等级要求及相关标准条款(如在用证明、硬件要素评估等)。剪裁的合理性和合规性是确保项目功能安全的重要保障。安全活动的计划和协调由安全经理负责,计划、维护安全计划并监控进度;安全计划需包含剪裁定义、分布式开发接口、认可措施日程等,需逐步更新并保持最新;分布式开发需双方均制定安全计划。有效的计划和协调能够确保安全活动的顺利进行。安全生命周期进程要求缺乏前序阶段信息时,仅在无不合理风险的情况下可启动后续子阶段;工作成果需纳入配置管理、变更管理和文档管理。严格的进程控制和成果管理,有助于保证项目的质量和安全。安全档案按安全计划建立,逐步收录工作成果,支持安全论证;分布式开发下可由客户和供应商档案组合而成。完整的安全档案为项目的安全论证和追溯提供了依据。认可措施基于认可评审、功能安全审核、功能安全评估执行,需满足独立性要求(ASIL等级越高,独立性要求越严格);实施人员需具备信息和工具获取权限。独立、有效的认可措施能够确保项目的功能安全达到标准要求。认可评审为关键工作成果指定负责人,出具贡献判断报告,需在生产发布前完成,可与验证评审合并(满足独立性要求)。认可评审能够及时发现和解决问题,确保工作成果的质量。功能安全审核在ASIL B/C/D级需执行,评估流程实施情况并出具报告,需在生产发布前完成。审核结果为项目的改进提供了方向。功能安全评估在ASIL B/C/D级需执行,最迟在系统级开发之初规划,逐步执行并在生产发布前完成;评估范围覆盖安全计划、流程、安全措施、论证、安全档案等;报告需给出接受/有条件接受/拒绝建议,有条件接受需明确整改要求,拒绝需重新评估。全面的功能安全评估能够确保项目的功能安全得到有效保障。生产发布需提供安全档案和认可措施报告,具备充分功能安全信心证据;发布文档需包含负责人签名、版本、配置、日期等信息;需记录嵌入式软件和硬件基线。严格的生产发布要求,确保了产品在投入市场前的功能安全。
6.3 工作成果
核心产出包括相关项/要素层面影响分析报告、安全计划、安全档案、认可措施报告、生产发布报告。这些工作成果是项目相关安全管理的重要成果,直接支撑生产发布决策。
7. 生产、运行、服务、报废的安全管理
7.1 目的与总则
7.1.1 目的
核心目标是定义该阶段功能安全实现和维护的组织及人员职责,确保在产品的整个生命周期末端,功能安全依然得到有效保障。
7.1.2 总则
沿用第5.2的安全生命周期总则要求,聚焦末端阶段的安全管理落地,使整个安全生命周期的管理要求保持一致。
7.2 输入与要求建议
7.2.1 本章的输入
前提条件为组织的功能安全规章和流程、能力管理证据、质量管理体系证据、生产发布报告(即第5章和第6章的工作成果)。这些前提条件为该阶段的安全管理提供了基础和依据。支持信息无强制支持信息,但在实际操作中,相关的运行数据、服务记录等信息也可能对安全管理起到重要的支持作用。
7.2.2 要求和建议
责任、计划和流程方面,指定具备责任和权限的人员;安全活动需按GB/T34590.7 - 2022计划并执行,计划启动于系统层面开发阶段;建立现场监控等流程;阶段内变更需按生产发布要求调整,符合变更管理规范。明确的责任和流程,有助于确保该阶段的安全管理工作有序进行。
7.3 工作成果
核心产出为生产、运行、服务、报废的安全管理证据。这些证据能够证明该阶段安全管理活动的有效实施,确保产品从生产交付到最终报废的全末端生命周期内,功能安全持续可控。
附录A(资料性):功能安全管理的概览和工作流
A.1 核心目的
汇总功能安全管理各核心阶段(整体安全管理、项目相关安全管理、生产/运行/服务/报废安全管理)的目的、前提条件和工作成果,提供清晰的管理流程概览,简化标准的实际应用流程。
A.2 主要内容
| 管理阶段 | 前提条件 | 核心目的 | 工作成果 |
|---|---|---|---|
| 整体安全管理 | 无强制前提 | 建立组织级功能安全基础能力,为项目级管理提供支撑 | 组织专门的功能安全规章和流程、能力管理证据、质量管理体系证据、已识别的安全异常报告(适用时) |
| 项目相关的安全管理 | 组织层面的功能安全规章和流程、能力管理证据、质量管理体系证据 | 确保具体项目全流程功能安全可控,支撑生产发布决策 | 相关项/要素层面影响分析报告、安全计划、安全档案、认可措施报告、生产发布报告 |
| 生产、运行、服务、报废的安全管理 | 组织层面成果及生产发布报告 | 保障产品末端生命周期功能安全持续可控 | 生产、运行、服务、报废的安全管理证据 |
A.3 关键总结
本附录为资料性参考,通过结构化的表格汇总,清晰呈现了各管理阶段的输入输出关系,帮助使用者快速理清功能安全管理的核心脉络,降低标准应用难度。
附录B(资料性):安全文化
B.1 核心目的
明确安全文化的定义、核心要素及评估标准,为组织培育支持功能安全的文化提供可落地的指导依据,支撑第5章整体安全管理中安全文化培育的要求。
B.2 主要内容
B.2.1 安全文化定义
安全文化是组织层面支撑功能安全实现的核心软实力,包含人员正直奉献、组织安全思维、允许质疑、追求卓越、鼓励担当和自律等核心要素,贯穿于所有安全活动的全流程。
B.2.2 安全文化评估示例
通过“缺乏安全文化”与“良好安全文化”的场景对比,明确可落地的评估维度,具体如下:责任追溯性:缺乏文化场景下,安全问题出现后推诿扯皮;良好文化场景下,主动认领责任并推动问题解决。安全优先级:缺乏文化场景下,为赶进度、降成本牺牲安全要求;良好文化场景下,安全要求优先于进度和成本。奖励制度:缺乏文化场景下,仅奖励生产效率相关成果;良好文化场景下,对发现安全隐患、推动安全改进的行为予以奖励。沟通氛围:缺乏文化场景下,员工不敢质疑安全问题;良好文化场景下,鼓励公开讨论安全隐患,建立无责备的沟通环境。
B.3 关键总结
本附录通过场景化的对比示例,将抽象的“安全文化”要求转化为可观察、可评估的具体表现,使组织能够清晰识别自身安全文化短板,有针对性地开展培育工作。
附录C(资料性):功能安全与信息安全的潜在交互作用指南
C.1 核心目的
指导组织处理功能安全与信息安全的跨领域交互关系,明确两者协同配合的核心逻辑和关键场景要求,避免信息安全问题对功能安全产生不利影响,确保安全管理的全面性。
C.2 主要内容
C.2.1 交互核心逻辑
功能安全聚焦于电气/电子系统的系统性失效和随机硬件失效带来的安全风险,信息安全聚焦于外部恶意意图导致的安全问题,两者虽管控对象不同,但均服务于车辆整体安全,需建立协同机制。
C.2.2 交互场景指导
功能安全管理阶段:建立跨领域沟通渠道,在安全计划制定、现场监控等环节同步考虑信息安全需求。概念阶段:在危害分析和风险评估中共享威胁分析信息,确保安全目标覆盖两者交叉风险。产品开发阶段:在系统、硬件、软件设计中纳入信息安全约束,协调开展分析活动,避免设计冲突。生产运行阶段:在变更管理中同步评估对功能安全和信息安全的双重影响,确保变更后整体安全可控。
C.3 关键总结
本附录为跨领域安全管理提供了具体的场景化指导,帮助组织打破功能安全与信息安全的管理壁垒,实现两者协同管控,全面覆盖车辆安全风险。
附录D(资料性):认可措施指南
D.1 核心目的
为认可措施的三大构成部分(认可评审、功能安全审核、功能安全评估)提供具体的执行指南,明确各措施的目标、依据、范围和执行要求,确保第6章项目相关安全管理中认可措施的有效落地。
D.2 主要内容
D.2.1 认可评审指南
核心目标:评判相关项影响分析、危害分析和风险评估、安全计划等关键工作成果对功能安全的贡献程度。评审依据:组织功能安全规章流程、项目安全计划、相关阶段工作成果文档。
D.2.2 功能安全审核指南
核心目标:评估项目功能安全管理流程的实施情况,判断流程是否达到标准要求。审核依据:GB/T34590系列标准要求、组织功能安全流程、项目安全计划及执行记录。
D.2.3 功能安全评估指南
核心目标:全面判断项目功能安全的实现程度,为生产发布提供关键依据。评估范围:覆盖项目安全计划、管理流程、安全措施、安全论证过程、安全档案等全维度内容。
D.3 关键总结
本附录通过明确三类认可措施的执行细节,为项目级认可措施的落地提供了清晰指引,确保认可措施能够客观、有效地评判功能安全管理成效,保障项目功能安全目标实现。
附录E(资料性):功能安全评估安排举例
E.1 核心目的
以ASIL D等级安全目标的相关项为例,提供功能安全评估的具体议程和核心评估要点,为高ASIL等级项目的评估执行提供可直接参考的模板,降低评估实施复杂度。
E.2 主要内容
评估安排围绕10个核心模块展开,明确各模块的评估要点,具体如下:安全管理:评估项目安全计划的完整性、执行情况,角色责任分配的合理性。概念阶段安全活动:评估危害分析和风险评估的充分性、安全目标制定的合理性、功能安全概念的可行性。系统开发:评估技术安全要求的完整性、系统架构设计的安全性、系统集成测试的有效性。硬件开发:评估硬件安全要求的合理性、硬件设计的安全性、硬件失效风险的控制措施有效性。软件开发:评估软件安全要求的完整性、软件架构设计的安全性、软件测试的充分性。相关项集成:评估相关项集成过程的安全性、集成测试的有效性。安全确认:评估安全验证活动的充分性,验证结果对安全目标实现的支撑程度。供应商评估:评估供应商功能安全能力,及供应商提供要素的安全符合性。安全相关特殊特性:评估安全相关特殊特性的识别、管控措施的有效性。总结:综合判断项目功能安全实现程度,给出评估结论及整改建议(如有)。
E.3 关键总结
本附录为高风险(ASIL D级)项目的功能安全评估提供了具象化的执行模板,覆盖了评估全流程的核心环节,帮助评估人员精准把握评估重点,确保评估工作全面、高效开展。
标准整体核心逻辑总结
一、核心框架层级
GB/T34590.2-2022以“组织能力为基础、项目执行为核心、生命周期为脉络”构建功能安全管理体系,形成清晰的层级递进关系:1. 组织级层面(第5章):聚焦独立于项目的组织能力建设,通过安全文化、流程、人员、质量体系的全方位构建,为项目级管理提供基础支撑,是整个管理体系的“基石”。2. 项目级层面(第6章):以组织级能力为前提,针对具体项目全流程制定管理要求,确保项目从概念到生产发布的功能安全可控,是管理体系的“核心执行层”。3. 末端生命周期层面(第7章):以组织级成果和项目级成果为基础,保障产品从生产到报废的功能安全持续可控,是管理体系的“末端保障层”。
二、核心管控机制
标准通过三大核心机制平衡安全要求的刚性与应用的灵活性,确保功能安全目标实现:1. ASIL等级适配机制:根据安全目标的ASIL等级(A-D级),差异化设定管理要求和推荐措施,实现风险与管控力度的精准匹配。2. 剪裁管理机制:允许组织和项目根据实际情况对安全生命周期活动进行合理剪裁,但需提供充分理由并记录,兼顾标准的通用性和应用的灵活性。3. 认可措施机制:通过认可评审、功能安全审核、功能安全评估三类独立的认可措施,全面评判功能安全管理成效,为安全决策提供有力证据。
三、相较于旧版的关键变化
1. 扩展适用范围:从“量产乘用车”扩展至“除轻便摩托车外的量产道路车辆”,覆盖更多车辆类型。2. 新增特殊车辆要求:补充摩托车及载货汽车、客车、专用汽车、挂车(T&B)的适用性要求,适配我国车辆产业发展实际。3. 强化跨领域协同:新增功能安全与信息安全等跨领域沟通要求,完善安全文化培育的具体指引。4. 细化异常管理:明确安全异常的关闭条件、依据评审要求,强化异常管理的闭环控制。5. 完善认可措施:细化认可评审、审核、评估的执行要求,新增生产发布的条件和要求,强化项目闭环管理。
