GBT 43253.4-2023 道路車輛 功能安全審核及評估方法 第4部分：硬件層面

道路車輛功能安全審核及評估方法第4部分：硬件層面2023-11-27發(fā)布國家標準化管理委員會IGB/T43253.4—2023 Ⅲ 12規(guī)范性引用文件 13術語和定義 14一般要求 15硬件安全要求 2 25.2審核及評估的輸入 25.3審核及評估的要求 26硬件設計 3 36.2審核及評估的輸入 36.3審核及評估的要求 47硬件架構度量的評估 6 67.2審核及評估的輸入 67.3審核及評估的要求 68隨機硬件失效導致違背安全目標的評估 7 78.2審核及評估的輸入 78.3審核及評估的要求 79硬件集成和驗證 8 89.2審核及評估的輸入 89.3審核及評估的要求 910硬件要素評估 10.2審核及評估的輸入 10.3審核及評估的要求 附錄A(資料性)硬件安全要求 附錄B(資料性)硬件設計 附錄C(資料性)硬件架構度量的評估 ⅡGB/T43253.4—2023附錄D(資料性)隨機硬件失效導致違背安全目標的評估 附錄E(資料性)硬件集成和驗證 附錄F(資料性)硬件要素評估 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件是GB/T43253《道路車輛功能安全審核及評估方法》的第4部分。GB/T43253已經(jīng)發(fā)布了以下部分：——第1部分：通用要求；——第2部分：概念階段和系統(tǒng)層面；——第3部分：軟件層面；——第4部分：硬件層面。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由中華人民共和國工業(yè)和信息化部提出。本文件由全國汽車標準化技術委員會(SAC/TC114)歸口。本文件起草單位：中國汽車技術研究中心有限公司、知行汽車科技(蘇州)有限公司、北京地平線機器人技術研發(fā)有限公司、南京芯馳半導體科技有限公司、英飛凌科技資源中心(上海)有限公司、中國第一汽車集團有限公司、中國長安汽車集團有限公司、東軟睿馳汽車技術(上海)有限公司、上海機動車檢測認證技術研究中心有限公司、上海禾賽科技有限公司、深圳市大疆卓見科技有限公司、舍弗勒(中國)有限公司、北京長安汽車工程技術研究有限責任公司、北京國家新能源汽車技術創(chuàng)新中心有限公司。GB/T43253《道路車輛功能安全審核及評估方法》以GB/T34590《道路車輛功能安全》為基礎，適用于道路車輛上安全相關的電氣/電子(E/E)系統(tǒng)在安全生命周期內的審核及評估活動。安全是道路車輛開發(fā)的關鍵問題之一，車輛上包含的電氣、電子和軟件相關功能的數(shù)量不斷增加，強化了對功能安全的需求，以及對提供證據(jù)證明滿足功能安全目標的需求。為了確認電氣/電子(E/E)系統(tǒng)對于功能安全流程及功能安全要求的符合性，GB/T43253:a)提供組織層面開展功能安全審核及評估的通用流程、實施方法及要求；b)提供安全相關的電氣/電子(E/E)系統(tǒng)在概念階段、系統(tǒng)層面、軟件層面、硬件層面的功能安全審核及評估的過程、方法和要求；c)提供功能安全審核及評估的檢查清單和參考示例。GB/T43253由4個部分構成。——第1部分：通用要求。目的是規(guī)定功能安全審核及評估活動在不同階段的通用要求?！?部分：概念階段和系統(tǒng)層面。目的是規(guī)定功能安全審核及評估活動在概念階段及系統(tǒng)層面的要求?！?部分：軟件層面。目的是規(guī)定功能安全審核及評估活動在軟件層面的要求。——第4部分：硬件層面。目的是規(guī)定功能安全審核及評估活動在硬件層面的要求。功能安全審核及評估活動伴隨功能安全開發(fā)過程的迭代，圖1為GB/T43253的整體架構，基于V模型為產(chǎn)品開發(fā)的不同階段、對象和范圍，提供審核及評估參考過程模型。1-5中核及產(chǎn)估氣共要求功能交全管班的宣核和評估概念階數(shù)的審核評信2-5E關頂定義2-6危害分析和風險評估系統(tǒng)層面的審核評估2-8技術安全境念開發(fā)2-9驗證和消認軟件層面的審核評估軟件層面的審核評估4-5碘科安全要采46碘設計3-6栽件實全共求1-7傾外熱溝度量的評估3-7軟件架檢設計規(guī)范3-8軟件單元設計及實兀非3-7軟件架檢設計規(guī)范3-8軟件單元設計及實兀非49原件集成不驗證/:產(chǎn)、送行、服務和報廢的審核評估{.、眼務和報廢3-10軟件集成手驗江3-11能入式軟外澳試3-12聯(lián)件標定和配氣管理支持過程的審核和評估3-13軟件糾件鑒定4-10硬件滅素已信以汽車安全定整性等級為號白和以安全為導向的分析的審核和評估1-67以汽車安全完整性等敘為導向和安全為導向的分析圖1功能安全審核及評估概覽IN1道路車輛功能安全審核及評估方法第4部分：硬件層面1范圍本文件規(guī)定了針對安全相關的電氣/電子(E/E)系統(tǒng)在硬件層面的功能安全相關活動和工作成果，開展功能安全審核及評估的要求和方法，以檢查和判斷開發(fā)過程及工作成果對于功能安全的符合性。本文件適用于安裝在除輕便摩托車外的量產(chǎn)道路車輛上的包含一個或多個電氣/電子(E/E)系統(tǒng)的與安全相關的系統(tǒng)。本文件不適用于特殊用途車輛上特定的電氣/電子(E/E)系統(tǒng)，例如，為殘疾駕駛者設計的車輛系統(tǒng)。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T34590.1～34590.12—2022道路車輛功能安全GB/T43253.1—2023道路車輛功能安全審核及評估方法第1部分：通用要求3術語和定義GB/T34590.1—2022界定的術語和定義適用于本文件。4一般要求GB/T43253.1—2023中定義的審核及評估要求適用于本文件。硬件層面的功能安全審核及評估，主要涉及以下內容：——硬件安全要求的定義；——硬件設計；——硬件架構度量的評估；——隨機硬件失效導致違背安全目標的評估；——硬件集成和驗證；——硬件要素評估。通過審核及評估，基于證據(jù)判斷硬件層面的功能安全開發(fā)，符合：——硬件安全要求是恰當和完整的；——通過設計、驗證保證硬件能實現(xiàn)硬件功能安全要求并滿足軟硬件接口規(guī)范；——提供基于硬件架構度量的證據(jù)，來證明相關項硬件架構設計在安全相關的隨機硬件失效探測和控制方面的適用性；——確保所開發(fā)硬件符合硬件安全要求；——確保硬件要素的功能表現(xiàn)足以滿足分配的安全要求。25硬件安全要求本章的目標是對作為功能安全硬件安全要求的定義文檔進行審核及評估，以檢查其定義是否符合功能安全開發(fā)的需要，提供證據(jù)證明：a)定義了硬件安全要求，這些要求由技術安全概念和系統(tǒng)架構設計規(guī)范導出；b)細化了最初在GB/T34590.4—2022中6.4.7定義的軟硬件接口規(guī)范；c)驗證了硬件安全要求及軟硬件接口規(guī)范與技術安全概念及系統(tǒng)架構設計規(guī)范的一致性。5.2審核及評估的輸入為了開展本章規(guī)定的審核及評估過程，應具備以下輸入：——硬件安全需求規(guī)范(包括測試和認可準則);——軟硬件接口規(guī)范(細化的);——硬件安全要求驗證報告。注：為支持審核及評估，可能需要提供的其他支持材料如下：——技術安全概念；——系統(tǒng)架構設計規(guī)范；——軟硬件接口規(guī)范；——可參考的已有硬件架構設計；——軟件安全要求。5.3審核及評估的要求對于硬件安全要求進行審核及評估，應涵蓋表1、表2、表3的檢查項。表1硬件安全要求的審核及評估檢查清單序號檢查清單1是否定義了硬件安全要求和安全機制控制硬件內部失效(例如：對內核失效的檢測、對存儲失效的監(jiān)控)?2是否定義了對外部失效容錯的硬件安全要求和安全機制(例如：傳感器開路或短路檢測的支撐電路)?3是否為符合其他要素的安全要求定義了硬件安全要求和安全機制的相關屬性?4是否定義了硬件安全要求和安全機制探測內外部失效和發(fā)送失效信息?5對于ASIL(B)、C和D等級，硬件安全要求是否設定了硬件架構度量目標值?6對于ASIL(B)、C和D等級，硬件安全要求是否設定了隨機硬件失效概率度量目標值(如采用EEC方法，該問題不適用)?7硬件安全要求是否包含了非用以定義安全機制的硬件安全要求?8是否定義了相關項或要素的硬件設計驗證準則，包括環(huán)境條件(溫度、振動、EMI等)、特定的運行環(huán)境(供電電壓、任務剖面等)以及特定于組件的要求?9硬件安全要求所對應的安全機制的故障容錯時間間隔或者最大故障處理時間間隔是否符合系統(tǒng)層級的定義?硬件安全要求所對應的安全機制的多點故障探測時間間隔要求是否符合系統(tǒng)層級的定義?硬件安全要求是否與技術安全要求之間保持了追溯性和一致性?硬件安全要求是否與技術安全概念、系統(tǒng)設計規(guī)范和硬件規(guī)范之間保持了一致性?硬件安全要求是否按照GB/T34590.8—2022第6章的要求進行定義和管理?3表2軟硬件接口規(guī)范的審核及評估檢查清單序號檢查清單1是否細化了硬件設備的相關運行模式和相關配置參數(shù)(例如：對看門狗的配置)?2是否確保了要素間獨立性或支持軟件分區(qū)的硬件特征?3是否對硬件資源的共用和專用進行了明確定義?4是否對硬件設備的訪問機制進行了明確定義?5由技術安全概念得出的時間約束是否在軟硬件接口規(guī)范中進行了說明?6是否對硬件的診斷特性進行了明確定義?7是否對需要在軟件中實現(xiàn)的對硬件的診斷特性進行了明確定義?8是否明確描述了硬件和軟件之間的每一項安全相關的關聯(lián)性?9是否對細化后的軟硬件接口都定義了對應的驗證準則?是否細化后的軟硬件接口(HSI)規(guī)范的充分性由軟硬件開發(fā)人員進行了共同驗證?表3硬件安全要求驗證報告的審核及評估檢查清單編號檢查清單1硬件安全要求的驗證活動是否驗證了與技術安全概念、系統(tǒng)設計規(guī)范以及硬件規(guī)范的一致性?2硬件安全要求的驗證活動是否說明了技術安全要求分配給硬件要素的完整性?3硬件安全要求的驗證活動是否驗證了與相關軟件安全要求的一致性?4硬件安全要求的驗證活動是否驗證了硬件安全要求的正確性與準確性?附錄A提供了針對硬件安全要求開展審核及評估的說明及示例。6硬件設計本章的目標是對硬件設計進行審核及評估，以檢查其是否符合功能安全硬件設計的需要，提供證據(jù)證明：a)創(chuàng)建了一個硬件設計：支持以安全為導向的分析，考慮安全導向分析的結果，符合硬件安全要求、軟硬件接口規(guī)范和系統(tǒng)架構設計規(guī)范，并滿足所需的硬件設計特性；b)定義了在生產(chǎn)、運行、服務和報廢期間的硬件功能安全要求并提供有關信息；c)驗證了硬件設計能滿足硬件安全要求和軟硬件接口規(guī)范，假設的有效性(此假設用于開發(fā)集成在已開發(fā)硬件中的每個SEooC),以及安全相關的特殊特性的適用性，以實現(xiàn)生產(chǎn)和服務期間的功能安全。6.2審核及評估的輸入為了開展本章規(guī)定的審核及評估過程，應具備以下輸入：4——硬件設計規(guī)范(包括硬件架構設計和硬件詳細設計);——基于演繹法的硬件安全分析(例如：硬件FTA);——基于歸納法的硬件安全分析(例如：硬件FMEA);——相關失效分析(DFA)(如適用);——硬件安全分析報告；——硬件設計驗證報告；——與生產(chǎn)、運行、服務和報廢相關的需求規(guī)范。注：為支持審核及評估，可能需要提供的其他支持材料如下：——硬件安全需求規(guī)范；——細化的軟硬件接口規(guī)范；——系統(tǒng)架構設計規(guī)范。6.3審核及評估的要求對于硬件設計的審核及評估，應涵蓋表4、表5、表6、表7的檢查項。表4硬件設計規(guī)范的審核及評估檢查清單序號檢查清單1所定義的硬件安全要求是否與硬件架構保持了追溯性和一致性，并保持到硬件組件的最底層?注：對于不能劃分為硬件子要素的硬件元器件，不分配硬件安全要求。例如，電容和電阻。2硬件安全要求是否都分配給了硬件要素及其子要素?每個硬件要素或子要素所定義的ASIL等級是否為分配給它的所有要求中最高的ASIL等級?如果一個硬件要素是由ASIL等級低于要素ASIL等級或沒有指定ASIL等級的子要素組成，該要素是否滿足GB/T34590.9—2022第6章的共存準則?3硬件架構設計中如果對硬件安全要求應用ASIL等級分解，ASIL等級的分解是否按照GB/T34590.9—2022第5章的要求進行?4硬件架構設計是否按照對應的ASIL等級根據(jù)GB/T34590.5—2022中的表1硬件架構設計原則進行設計，并使其具有模塊化特性、適當?shù)牧６人胶秃唵涡?如未按照ASIL等級要求選取硬件設計原則，是否有合理的理由說明?5因素，或來自硬件架構的其他硬件組件或其所在環(huán)境的串擾)?6在進行硬件詳細設計時，為避免常見的設計缺陷，是否運用相關的經(jīng)驗總結?7聲因素、來自硬件組件的其他硬件元器件或其所在環(huán)境的串擾)?8硬件詳細設計是否考慮硬件元器件或硬件組件的任務剖面和運行條件?是否保證硬件元器件或硬件組件在其規(guī)格范圍內運行?9硬件詳細設計是否考慮魯棒性設計原則(如適用)?硬件設計規(guī)范是否通過驗證評審?5表5硬件安全分析的檢查清單序號檢查清單1是否定義了針對不同ASIL等級硬件產(chǎn)品要求的定性的安全分析方法?2對于ASIL(B)、C和D等級，是否用安全分析針對每個安全相關的硬件組件或元器件識別以下內容：a)安全故障；b)單點故障或殘余故障；c)多點故障(無論是可感知的、可探測的或潛伏的)3對于ASIL(B)、C和D等級，對于防止導致單點失效的故障或減少殘余故障而實施的安全機制，是否具備證明安全機制具有實現(xiàn)和保持安全狀態(tài)的能力(特別是在容錯時間間隔和最大故障處理時間間隔內適當?shù)氖p輕能力)的證據(jù)?由安全機制實現(xiàn)的殘余故障的診斷覆蓋率是否已評估?4對于ASIL(B)、C和D等級，防止?jié)摲收隙鴮嵤┑陌踩珯C制，是否具備證據(jù)以證明安全機制在可接受的多點故障探測時間間隔內完成潛伏故障的失效探測和實現(xiàn)或保持安全狀態(tài)及警示駕駛員的能力，以確定哪些故障保持潛伏，哪些故障可被探測到?由安全機制實現(xiàn)的潛伏故障的診斷覆蓋率是否已評估?5是否進行相關失效分析以提供證據(jù)證明設計中的硬件要素與它們的獨立性要求相符合?6如果硬件設計引入了新危害，且這個危害沒有被現(xiàn)有的HARA報告覆蓋，是否有變更管理流程對它們進行引入和評估?7硬件安全分析是否通過驗證評審?注：FTA、FMEA、DFA按照GB/T43253.1—2023的檢查清單進行檢查。表6硬件設計驗證的審核及評估檢查清單序號檢查清單1是否按照對應的ASIL等級選取GB/T34590.5—2022中表3要求的硬件設計驗證方法，以驗證硬件設計滿足硬件安全要求，與軟硬件接口規(guī)范兼容以及用來生產(chǎn)和服務過程中實現(xiàn)功能安全的安全相關特殊特性的適用性?如未按照ASIL等級要求選取方法，是否有合理的理由說明?2是否具有仿真或通過硬件原型的開發(fā)驗證方法的驗證計劃、驗證規(guī)范以及驗證報告(如適用)?這些驗證計劃、驗證規(guī)范和驗證報告是否通過驗證評審?3在硬件設計過程中，如果發(fā)現(xiàn)任何硬件安全要求的實施是不可行的，是否按照GB/T34590.8—2022第8章中的變更管理流程提出變更請求?4是否根據(jù)硬件安全要求和硬件設計規(guī)范驗證用于開發(fā)集成到硬件中的SEooC的假設的有效性?表7與生產(chǎn)、運行、服務和報廢相關的需求規(guī)范的審核及評估檢查清單序號檢查清單1是否有與生產(chǎn)、運行、服務和報廢相關的安全相關的特殊特性?2是否定義這些安全相關的特殊特性：——生產(chǎn)和運行的驗證措施；——這些措施的接受準則6表7與生產(chǎn)、運行、服務和報廢相關的需求規(guī)范的審核及評估檢查清單(續(xù))序號檢查清單3如果安全相關硬件要素的錯誤組裝、拆卸和報廢可能對實現(xiàn)或維護功能安全產(chǎn)生不利影響，是否將避免錯誤執(zhí)行所需的信息告知負責生產(chǎn)、運行、服務和報廢的人員?4安全相關硬件要素是否具有可追溯性?是否支持可進行有效的現(xiàn)場監(jiān)測和可啟用召回或更換管理?5如果錯誤的服務可能對實現(xiàn)或維護功能安全產(chǎn)生不利影響，是否將避免此類影響執(zhí)行所需的信息定義至與生產(chǎn)、運行、服務和報廢相關的需求規(guī)范中?是否告知負責生產(chǎn)、運行、服務和報廢的人員?6和報廢的人員?7與生產(chǎn)、運行、服務和報廢的需求規(guī)范是否通過驗證評審?附錄B提供了針對硬件設計開展審核及評估的說明及示例。7硬件架構度量的評估本章的目標是通過評估硬件架構度量(包括單點故障度量SPFM和潛伏故障度量LFM)是否達到目標值進而評估相關項架構或硬件元器件架構應對隨機硬件失效的有效性。7.2審核及評估的輸入為了開展本章規(guī)定的審核及評估過程，應具備以下輸入：——相關項架構應對隨機硬件失效的有效性的分析；——相關項架構應對隨機硬件失效的有效性評估的評審報告。注1:適用于等級為ASIL(B)、C和D的安全目標。評估產(chǎn)品如果為硬件元器件，則審核對象為針對硬件架構相關的工作成果。注2:為支持審核及評估，可能需要提供的其他支持材料如下：——硬件安全需求規(guī)范；——硬件設計規(guī)范；——硬件安全分析報告；——硬件相關失效分析報告；——技術安全概念(如適用);——系統(tǒng)架構設計規(guī)范(如適用)。7.3審核及評估的要求對于硬件架構度量的評估的審核及評估，應涵蓋表8的檢查項。7表8硬件架構度量的評估的審核及評估檢查清單序號檢查清單1對于ASIL(B)、C和D等級，是否為已制定的安全機制確定了診斷覆蓋率?確定的診斷覆蓋率是否合理?2對于ASIL(B)、C和D等級，硬件元器件預估失效率的確定是否采用了正確的方法?預估的失效率是否合理、正確?3對于ASIL(B)、C和D等級，當無法提供充足證據(jù)支持硬件元器件的失效率時，是否有相應的替代方案?替代方案是否合理?4對于ASIL(B)、C和D等級，是否為每一個安全目標都定義了SPFM的目標值?5對于ASIL(B)、C和D等級，是否為每一個安全目標都定義了LFM的目標值?6對于ASIL(B)、C和D等級，進行硬件架構度量評估時，是否將發(fā)生在安全相關硬件要素上的每個故障都進行了正確的分類?7對于ASIL(B)、C和D等級，是否每一個安全目標的SPFM的計算都采用了正確的計算公式?8對于ASIL(B)、C和D等級，是否每一個安全目標都滿足了已定義的SPFM的目標值?9對于ASIL(B)、C和D等級，是否每一個安全目標的LFM的計算都采用了正確的計算公式?對于ASIL(B)、C和D等級，是否每一個安全目標都滿足了已定義的LFM的目標值?對于ASIL(B)、C和D等級，每一個安全目標SPFM和LFM的結果是否都通過驗證評審?附錄C提供了針對硬件架構度量的評估開展審核及評估的說明及示例。8隨機硬件失效導致違背安全目標的評估本章的目標是通過評估隨機硬件失效導致違背安全目標進而評估殘余風險是否足夠低。8.2審核及評估的輸入為開展本章規(guī)定的審核及評估過程，應具備以下輸入：——由隨機硬件失效導致違背安全目標的分析；——硬件專用措施的定義，如果需要，包括專用措施有效性的依據(jù)；——對隨機硬件失效導致違背安全目標進行評估的評審報告。注1:適用于等級為ASIL(B)、C和D的安全目標。注2:為支持審核及評估，可能需要提供的其他支持材料如下：——硬件安全需求規(guī)范；——硬件安全分析報告；——硬件相關失效分析報告；——技術安全概念(如適用);——系統(tǒng)架構設計規(guī)范(如適用)。8.3審核及評估的要求對于隨機硬件失效導致違背安全目標的評估的審核及評估，應涵蓋表9的檢查項。8表9隨機硬件失效導致違背安全目標評估的審核及評估檢查清單序號檢查清單1對于ASIL(B)、C和D等級，隨機硬件失效導致違背安全目標評估中用到的硬件元器件預估失效率的確定是否采用了正確的方法?預估的失效率是否合理、正確?2對于ASIL(B)、C和D等級，隨機硬件失效導致違背安全目標的評估是采用了隨機硬件失效概率度量(PMHF)的評估方法，還是采用了對違背安全目標的每個原因的評估(EEC)的方法?3對于ASILC和D等級，單一硬件元器件單點故障是否存在有效論據(jù)證明其發(fā)生概率足夠低可被接受?4足夠低可被接受?5對于ASIL(B)、C和D等級，PMHF評估的定量目標值是否表述為相關項的整個運行生命周期中每小時的平均概率?6對于ASIL(B)、C和D等級，是否為隨機硬件失效在相關項層面導致違背每個安全目標的最大可能性定義了定量目標值?7對于ASIL(B)、C和D等級，PMHF目標值的分配是否滿足要求?8對于ASIL(B)、C和D等級，是否有證據(jù)證明PMHF的目標值已達到?9對于ASIL(B)、C和D等級，采用EEC評估時，對違背所考慮的安全目標的每個單點故障、殘余故障和雙點失效進行的單獨評估是否在硬件層面執(zhí)行?對于ASIL(B)、C和D等級，采用EEC評估時，是否能按照要求提供證據(jù)證明違背安全目標的每個單點故障、殘余故障和雙點失效是可接受的?對于ASIL(B)、C和D等級，采用EEC評估時，是否對硬件元器件失效率進行了失效率等級評級?對于ASIL(B)、C和D等級，采用EEC評估時，是否可接受硬件元器件發(fā)生的單點故障?對于ASIL(B)、C和D等級，采用EEC評估時，是否增加對應的安全機制并且可接受硬件元器件發(fā)生的殘余故障?對于ASILC和D等級，采用EEC評估時，是否認為雙點失效是可能的?對于ASILC和D等級，采用EEC評估時，是否增加或完善對應的安全機制并且可接受硬件元器件發(fā)生的可導致雙點失效的雙點故障?對于ASIL(B)、C和D等級，對隨機硬件失效導致違背安全目標評估的結果是否通過驗證評審?附錄D提供了針對隨機硬件失效導致違背安全目標的評估開展審核及評估的說明及示例。9硬件集成和驗證本章的目標是對硬件集成和驗證相關的活動和結果進行審核及評估，以檢查硬件設計是否滿足硬件功能安全要求和相應的ASIL等級。9.2審核及評估的輸入為了開展本章規(guī)定的審核及評估過程，應具備以下輸入：——硬件集成和驗證計劃；9——硬件集成和驗證規(guī)范；——硬件集成和驗證報告。——硬件安全需求規(guī)范；——硬件設計文檔；——硬件安全分析報告。9.3審核及評估的要求對于硬件集成和驗證的審核及評估，應涵蓋表10、表11、表12的檢查項。表10硬件集成和驗證計劃的審核及評估檢查清單序號檢查清單1是否在硬件集成和驗證計劃中定義了驗證對象的信息、驗證目的和驗證通過準則?2是否在硬件集成和驗證計劃中定義了符合產(chǎn)品硬件ASIL等級要求的活動與方法?3是否在硬件集成和驗證計劃中定義了符合產(chǎn)品硬件安全等級要求的測試策略?4是否在硬件集成和驗證計劃中定義了驗證相關的依賴項?5是否在硬件集成和驗證計劃中定義了驗證失敗的應對措施?6是否對硬件集成和驗證計劃變更定義了相應的管理和追溯措施?7硬件集成和驗證計劃是否通過驗證評審?表11硬件集成和驗證規(guī)范的審核及評估檢查清單序號檢查清單1是否在硬件集成和驗證規(guī)范中遵循了硬件集成和驗證計劃中定義的驗證對象、驗證目的和驗證通過準則?2是否在硬件集成和驗證規(guī)范中遵循了硬件集成和驗證計劃中定義的測試活動和方法?3是否在硬件集成和驗證規(guī)范中遵循了硬件集成和驗證計劃中定義的測試策略?4是否在硬件集成和驗證規(guī)范中遵循了硬件集成和驗證計劃中定義的驗證依賴項?5是否在硬件集成和驗證規(guī)范中，基于產(chǎn)品的ASIL等級，采用了適當?shù)姆椒▉硗茖С鰷y試用例?6是否在硬件集成和驗證規(guī)范中確認了硬件安全要求與測試用例間的追溯性?7是否在硬件集成和驗證規(guī)范中確認了測試用例的完整性?8是否在硬件集成和驗證規(guī)范中確認了測試用例的正確性?9是否在硬件集成和驗證規(guī)范中，根據(jù)產(chǎn)品的ASIL等級，定義了硬件在環(huán)境和運行應力因素下的耐用性和魯棒性測試?是否對硬件集成和驗證規(guī)范的變更定義了相應的管理和追溯措施?硬件集成和驗證規(guī)范是否通過驗證評審?表12硬件集成和驗證報告的審核及評估檢查清單序號檢查清單1是否在硬件集成和驗證報告中覆蓋了所有的測試用例?2是否在硬件集成和驗證報告中記錄了完整的測試數(shù)據(jù)?3是否在硬件集成和驗證報告中體現(xiàn)了測試用例完成狀態(tài)?4是否在硬件集成和驗證報告中體現(xiàn)了測試結果(每條測試用例)?5是否對硬件集成和驗證報告中的測試偏離項提供解釋說明或建議改進措施?6是否在硬件集成和驗證報告中明確了測試結論(通過或者失敗原因)?7硬件集成和驗證報告是否通過驗證評審?附錄E提供了針對硬件集成和驗證開展審核及評估的說明及示例。10硬件要素評估本章的目標是對硬件要素評估計劃、硬件要素測試計劃以及硬件要素評估報告等相關工作成果進行審核及評估，以提供證據(jù)，證明硬件要素的功能表現(xiàn)足以滿足分配的安全要求，從而保證由于硬件要素的系統(tǒng)性故障而違背安全目標或安全要求的風險是足夠低的。10.2審核及評估的輸入為開展本章規(guī)定的審核及評估過程，應具備以下輸入：——硬件要素評估計劃；——硬件要素測試計劃(如適用);——硬件要素評估報告。注：為支持審核及評估，可能需要提供的其他支持材料如下：——硬件要素相關的安全要求；——鑒定準則(分析和測試),按照GB/T34590.5—2022中的6.4.6;——制造商的硬件要素規(guī)范，如無法提供，則提供硬件要素定義的假設。10.3審核及評估的要求對于硬件要素評估的審核及評估，應涵蓋表13、表14、表15的檢查項。表13硬件要素評估計劃的審核及評估檢查清單序號檢查清單1是否在硬件要素評估計劃中定義了被評估硬件要素的范圍的確認?2是否在硬件要素評估計劃中定義了被評估硬件要素的相關的基本信息?3是否在硬件要素評估計劃中定義了被評估硬件要素類別的識別?4是否在硬件要素評估計劃中定義了被評估硬件要素的相關要求?表13硬件要素評估計劃的審核及評估檢查清單(續(xù))序號檢查清單5是否在硬件要素評估計劃中定義了被評估硬件要素失效模式和故障，及其隨機故障的分布的識別?6是否在硬件要素評估計劃中定義了被評估硬件要素的失效模式或故障安全相關性的分析與識別?7是否在硬件要素評估計劃中定義了符合被評估硬件要素類別的評估策略?8是否在硬件要素評估計劃中定義了符合被評估硬件要素類別的評估論證?9是否在硬件要素評估計劃中定義了被評估硬件要素的依賴項?是否在硬件要素評估計劃中定義了被評估硬件要素的責任方?是否在硬件要素評估計劃中定義了硬件要素評估通過或不通過的準則?是否對硬件要素評估計劃變更定義了相應的管理和追溯措施?硬件要素評估計劃進行是否通過驗證評審?表14硬件要素測試計劃的審核及評估檢查清單序號檢查清單1是否在硬件要素測試計劃中定義了被測硬件要素的基本信息(如適用)?2是否在硬件要素測試計劃中定義了符合集成了被測硬件要素的要素或系統(tǒng)的ASIL等級要求的硬件測試活動與方法(如適用)?3是否在硬件要素測試計劃中定義了分配給被測硬件要素的安全要求(如適用)?4是否在硬件要素測試計劃中定義了需要參考的測試規(guī)范和測試順序(如適用)?5是否在硬件要素測試計劃中體現(xiàn)了測試與安全要求之間的追溯性(如適用)?6是否在硬件要素測試計劃中定義了組裝和連接的需求(如適用)?7是否在硬件要素測試計劃中定義了測試的依賴項(如適用)?8是否在硬件要素測試計劃中定義了被測硬件要素數(shù)量(如適用)?9是否在硬件要素測試計劃中定義了測試通過或不通過的準則(如適用)?是否對硬件要素測試計劃變更定義了相應的管理和追溯措施(如適用)?硬件要素測試計劃是否通過驗證評審(如適用)?表15硬件要素評估報告的審核及評估檢查清單序號檢查清單1是否在硬件要素評估報告中體現(xiàn)了被評估硬件要素的范圍?2是否在硬件要素評估報告中體現(xiàn)了分配給被評估硬件要素的相關的基本信息?3是否在硬件要素評估報告中體現(xiàn)了分配給被評估硬件要素的安全要求?4是否在硬件要素評估報告中體現(xiàn)了被評估硬件要素的類別?5是否在硬件要素評估報告中體現(xiàn)了被評估硬件要素失效模式或故障，及其隨機硬件故障的分布信息?6是否在硬件要素評估報告中體現(xiàn)了被評估硬件要素失效模式或故障的安全相關性?表15硬件要素評估報告的審核及評估檢查清單(續(xù))序號檢查清單7是否在硬件要素評估報告中體現(xiàn)了符合被評估硬件要素類別的評估策略?8是否在硬件要素評估報告中體現(xiàn)了符合被評估硬件要素類別的評估論證?9是否在硬件要素評估報告中體現(xiàn)了對被評估硬件要素相關的評估論證的評估?是否對硬件要素評估報告中的偏離項提供了解釋說明或建議改進措施?是否在硬件要素評估報告中明確了評估結論(通過或失敗)?硬件要素評估報告是否通過驗證評審?附錄F提供了針對硬件要素評估開展審核及評估的說明及示例。(資料性)硬件安全要求硬件安全要求的審核及評估的說明及示例見表A.1。表A.1硬件安全要求的審核及評估的說明及示例序號檢查清單說明及示例1是否定義了硬件安全要求和安全機制控制硬件內部失效(例如：對內核失效的檢測、對存儲失效的監(jiān)控)?可檢查是否根據(jù)硬件內部失效分析(DFMEA等)的結果定義了相關要求示例1:根據(jù)DFMEA的分析結果，如果內核失效，可能造成程序跑飛，需要檢查是否有定義看門狗的定時和探測能力的要求。示例2:根據(jù)DFMEA的分析結果，如果存儲區(qū)域失效，會造成數(shù)據(jù)丟失，需要檢查是否有存儲區(qū)域的校驗要求。2是否定義了對外部失效容錯的硬件安全要求和安全機制(例如：傳感器開路或短路檢測的支撐電路)?可檢查是否根據(jù)外部接口失效分析(DFMEA等)的結果定義了相關要求3是否為符合其他要素的安全要求定義了硬件安全要求和安全機制的相關屬性?可檢查是否有硬件安全要求滿足根據(jù)來自其他系統(tǒng)的安全要求定義4是否定義了硬件安全要求和安全機制探測內外部失效和發(fā)送失效信息?可檢查是否有對應發(fā)送失效信息的硬件安全要求5對于ASIL(B)、C和D等級，硬件安全要求是否設定了硬件架構度量目標值?可檢查定義的硬件度量設定目標值是否符合單點故障度量和潛伏故障度量指標的要求(GB/T34590.5—2022中表4和表5)。如涉及ASIL分解，則可檢查硬件度量設定目標值是否按照分解前的ASIL等級設置6對于ASIL(B)、C和D等級，硬件安全要求是否設定了隨機硬件失效概率度量目標值(如采用EEC方法，該問題不適用)?可檢查定義的硬件隨機失效設定目標值是否滿足隨機硬件失效目標值(PMHF)或者對違背安全目標的每個原因的評估(EEC)方法的定義。a)隨機硬件失效目標值(PMHF見GB/T34590.5—2022中的表6)。b)違背安全目標的每個原因的評估(EEC):——針對單點故障的硬件元器件失效率等級目標(見GB/T34590.5—2022中的表7和表8);——針對雙點故障的硬件元器件失效率等級和覆蓋率的目標(見GB/T34590.5—2022中的表9)。如果采用對違背安全目標的每個原因的評估(EEC)方法，則可檢查是否需要定義專用措施。專用措施可能包括：——設計特征，如硬件元器件過設計(例如電氣或熱應力等級)或者物理隔離(例如印刷電路板上的觸點間隔);——專門的來料抽樣測試，以降低此失效模式發(fā)生的風險；——老化測試；——作為控制計劃一部分的專用控制設備；——安全相關的特殊特性的分配表A.1硬件安全要求的審核及評估的說明及示例(續(xù))序號檢查清單說明及示例7硬件安全要求是否包含了非用以定義安全機制的硬件安全要求?可檢查是否有相關定義，例如：線束屏蔽EMC干擾的硬件安全要求、接插件插拔防呆的硬件安全要求8是否定義了相關項或要素的硬件設計驗證準則，包括環(huán)境條件(溫度、振動、EMI等)、特定的運行環(huán)境(供電電壓、任務剖面等)以及特定于組件的要求?可檢查是否有針對每條硬件安全要求都定義了硬件設計驗證準則(設計評審或測試驗證都可作為驗證準則)。-—硬件安全要求：×××的電源接口應提供3.3V的電壓給×××傳——驗證準則：設計評審。9硬件安全要求所對應的安全機制的故障容錯時間間隔或者最大故障處理時間間隔是否符合系統(tǒng)層級的定義?如果為單點故障，可檢查是否與所關聯(lián)的技術安全要求的故障容錯時間間隔或者最大故障處理時間間隔要求保持一致硬件安全要求所對應的安全機制的多點故障探測時間間隔要求是否符合系統(tǒng)層級的定義?如果為多點故障，對于ASIL等級為ASILC和ASILD的安全目標來說：a)如果對應的安全概念沒有描述明確的量值，可檢查是否參照安全概念的定義；b)如果對應的安全概念沒有描述明確的量值，可檢查多點故障探測時間間隔是否等于或小于該相關項從上電到下電的周期。如通過對隨機硬件失效的發(fā)生概率的定量分析來確定，可檢查是否符合MTTF的合理性硬件安全要求是否與技術安全要求之間保持了追溯性和一致性?硬件安全要求是否與技術安全概念、系統(tǒng)設計規(guī)范和硬件規(guī)范之間保持了一致性?可檢查是否有驗證報告可表現(xiàn)有對追溯性和一致性的檢查，是否可提供工具統(tǒng)計的硬件安全要求與技術安全要求的覆蓋度報告或類似證據(jù)，并對實際交付物進行抽查，例如：硬件安全要求和技術安全要求的要求是否都有唯一的標識號，標識號之間是否可互相追溯，上下級要求之間描述是否一致GB/T34590.8—2022第6章的要求進行定義和管理?可檢查硬件安全要求是否按照GB/T34590.8—2022中表1定義安全要求的方法進行定義；是否具備明確的安全要求的屬性和特性；是否按照安全要求的管理要求進行管理；是否運用GB/T34590.8—2022中表2所列方法的恰當組合進行安全要求的驗證軟硬件接口規(guī)范的審核及評估的說明及示例見表A.2。表A.2軟硬件接口規(guī)范的審核及評估的說明及示例序號檢查清單說明及示例1是否細化了硬件設備的相關運行模式和相關配置參數(shù)(例如：對看門狗的配置)?檢查對應參數(shù)是否有配置，例如：看門狗的時間窗口設置2是否確保了要素間獨立性或支持軟件分區(qū)的硬件特征?可結合DFA分析的結果檢查是否對系統(tǒng)層面的軟硬件接口規(guī)劃進行了細化，例如：對多核MCU的核內資源分配3是否對硬件資源的共用和專用進行了明確定義?了細化表A.2軟硬件接口規(guī)范的審核及評估的說明及示例(續(xù))序號檢查清單說明及示例4是否對硬件設備的訪問機制進行了明確定義?可檢查例如：是否對硬件設備間的主從、串并關系進行了細化5由技術安全概念得出的時間約束是否在軟硬件接口規(guī)范中進行了說明?可檢查軟件和硬件的響應時間之和是否滿足技術安全概念得出的時間約束6是否對硬件的診斷特性進行了明確定義?可檢查例如：是否定義了硬件的過流過壓過溫閾值，并在對應的硬件安全要求中進行了描述7是否對需要在軟件中實現(xiàn)的對硬件的診斷特性進行了明確定義?可檢查例如：軟硬件接口規(guī)范中所定義的硬件過流、過壓、過溫的閾值，是否在關聯(lián)的軟件安全要求里定義了相應的診斷要求8是否明確描述了硬件和軟件之間的每一項安全相關的關聯(lián)性?可根據(jù)例如：硬件FMEA和軟件FMEA的分析結果檢查是否都進行了明確描述9是否細化后的軟硬件接口都定義了對應的驗證準則?可檢查每一條接口對應的要求定義是否有關聯(lián)驗證準則(設計評審或測試驗證都可作為驗證準則),如需軟件實現(xiàn)的診斷特性，則檢查軟件安全要求是否有關聯(lián)驗證準則。驗證可為評審或測試是否細化后的軟硬件接口(HSI)規(guī)范的充分性由軟硬件開發(fā)人員進行了共同驗證?可檢查設計評審及測試驗證的參與人員是否包含軟件和硬件開發(fā)人員硬件安全要求驗證報告的審核及評估的說明及示例見表A.3。表A.3硬件安全要求驗證報告的審核及評估的說明及示例序號檢查清單說明及示例1硬件安全要求的驗證活動是否驗證了與技術安全概念、系統(tǒng)設計規(guī)范以及硬件規(guī)范的一致性?可檢查是否有記錄體現(xiàn)硬件安全要求與技術安全概念、系統(tǒng)設計規(guī)范以及硬件規(guī)范的一致性的證據(jù)2硬件安全要求的驗證活動是否說明了技術安全要求分配給硬件要素的完整性?可檢查是否有記錄體現(xiàn)技術安全要求分配給硬件要素的完整性的證據(jù)3硬件安全要求的驗證活動是否驗證了與相關軟件安全要求的一致性?可檢查是否有記錄體現(xiàn)硬件安全要求與相關軟件安全要求的一致性的證據(jù)4硬件安全要求的驗證活動是否驗證了硬件安全要求的正確性與準確性?可檢查是否有記錄體現(xiàn)硬件安全要求的正確性和準確性的證據(jù)，例如：檢查硬件安全要求的評審記錄和測試記錄，確認其結果與硬件安全要求的驗證準則一致(資料性)硬件設計的審核及評估的說明及示例見表B.1。表B.1硬件設計的審核及評估的說明及示例序號檢查清單說明及示例1所定義的硬件安全要求是否與硬件架構保持了追溯性和一致性，并保持到硬件組件的最底層?注：對于不能劃分為硬件子要素的硬件元器件，不分配硬件安全要求。例如，電容和電阻。可檢查是否有驗證報告表示所定義的硬件安全要求與硬件架構(甚至到硬件組件的最底層)保持了追溯性和一致性，是否有工具統(tǒng)計的硬件架構與硬件安全要求的覆蓋度報告或類似證據(jù)。對實際交付物進行抽查，例如：硬件安全要求是否有獨立的ID,硬件架構描述是否有獨立的ID,ID之間是否可相互追溯，相互之間的描述是否一致注：硬件安全要求的可追溯性不要求深入到硬件詳細設計。對于不能劃分為硬件子元素的硬件元器件，不分配硬件安全要求。例如，試圖建立每個電容和電阻等硬件的可追溯性既沒有意義，也沒有益處。2硬件安全要求是否都分配給了硬件要素及其子要素?每個硬件要素或子要素所定義的ASIL等級是否為分配給它的所有要求中最高的ASIL等級?如果一個硬件要素是由ASIL等級低于ASIL等級的子要素組成，該要素是否滿足GB/T34590.9—2022第6章的共存準則?可檢查是否有驗證報告表示硬件要求都分配給了硬件要素及其子要素，且每個硬件要素或子要素所定義的ASIL等級為分配給它的所有要求中最高的ASIL等級，并對交付物進行抽查。如果一個硬件要素是由ASIL等級低于要素ASIL等級或沒有指定ASIL等級的子要素組成，需要檢查DFA中基于硬件架構對于ASIL等級低于要素ASIL等級或沒有指定ASIL等級的子要素分析的完整性和正確性，證明其不存在干擾示例1:硬件要素1含有兩個子要素，分別為硬件子要素1.1和硬件子要素1.2,如果一個ASILB要求被分配給硬件要素1,那么硬件子要素1.1和硬件子要素1.2都要繼承ASILB。硬件子要素1.2僅在滿足以下條件時在較低的ASIL等級下開發(fā)：a)硬件要素1的至少一個子要素能夠滿足硬件要素1在ASILB下的要求(例如：硬件子要素1.1);b)硬件子要素1.2不能違反硬件要素1的安全要求；c)滿足共存的準則：從硬件子要素1.2到硬件子要素1.1沒有級聯(lián)失效(免于干擾)。示例2:如果將ASILD的要求分配給一個ECU,其可在獨立并且冗余的硬件要素1和硬件要素2之間進行分解。分解需要滿足以下要求：——使用GB/T34590.9—2022第5章的ASIL等級的分解方案，如ASILD→ASILB(D)+ASILB(D);——硬件要素1本身滿足ASILB(D)的ECU的安全要求；——硬件要素2本身滿足ASILB(D)的ECU的安全要求。3硬件架構設計中如果對硬件安全要求應用ASIL等級分解，GB/T34590.9—2022第5章的要求進行?可檢查硬件架構設計中硬件安全要求ASIL等級的分解的方案，分解方案滿足GB/T34590.9—2022第5章的要求示例：分配給電源ASILD要求可分解為兩路不同源的電源輸入，并且兩路的電源都使用監(jiān)控輸出的電壓或電流的安全機制，那么這兩路電源的ASIL等級可都為ASILB(D)。表B.1硬件設計的審核及評估的說明及示例(續(xù))序號檢查清單說明及示例4硬件架構設計是否按照對應的ASIL等級根據(jù)GB/T34590.5—2022中的表1硬件架構設計原則進行設計，并使其具有模塊化特性、適當?shù)牧６人胶秃唵涡?如未按照ASIL等級要求選取硬件設計原則，是否有合理的理由說明?可根據(jù)GB/T34590.5—2022中表1按照對應ASIL等級的要求檢查硬件架構框圖是否具有對應的設計原則。如未按照ASIL等級要求選取硬件設計原則，確認是否有合理的理由說明。確認硬件架構中的硬件要素的設計是否無需修改就可重復使用。例如：溫度探測電路模塊、微控制器中的ECC模塊。確認硬件架構是否在必要的詳細程度上體現(xiàn)必要的信息，來顯示安全機制的有效性。確認硬件架構是否避免不必要的接口復雜性并且避免不必要的硬件組件復雜性5在硬件架構設計時，是否考慮安全相關硬件組件失效的非功能件架構的其他硬件組件或其所在環(huán)境的串擾)?可檢查是否定義了安全相關硬件組件失效的非功能性原因示例：功能性需求為×××的溫度工作范圍為(一40℃,125℃)。6在進行硬件詳細設計時，為避免常見的設計缺陷，是否運用相關的經(jīng)驗總結?可檢查例如FMEA中的相關經(jīng)驗總結，之前項目的經(jīng)驗總結等是否被運用到實際的硬件詳細設計中?？沙椴橄嚓P設計FMEA中的預防措施是否被運用，以及之前項目經(jīng)驗總結相關的措施是否被運用7在硬件詳細設計時，是否考慮安全相關硬件元器件失效的非功能性原因(如溫度、振動、水、灰件組件的其他硬件元器件或其所在環(huán)境的串擾)?可檢查是否定義了安全相關硬件元器件失效的非功能性原因8硬件詳細設計是否考慮硬件元器件或硬件組件的任務剖面和運行條件?是否保證硬件元器件或硬件組件在其規(guī)格范圍內運行?可檢查定義的硬件元器件或硬件組件的運行條件是否在硬件元器件或硬件組件的任務剖面和運行條件范圍內示例：選擇硬件元器件時，預期適用溫度范圍為(一40℃,125℃),則選擇的硬件元器件的工作溫度需要覆蓋此范圍。9硬件詳細設計是否考慮魯棒性設計原則(如適用)?可檢查硬件詳細設計是否遵循其魯棒性設計原則注：關于硬件組件設計，可遵循企業(yè)內部的關于硬件組件應對環(huán)境和運行應力因素魯棒性方面的規(guī)范。硬件設計規(guī)范是否通過驗證評審?可檢查對應的硬件設計規(guī)范驗證評審報告是否存在，并且驗證評審報告中的檢查項要求都滿足硬件安全分析的審核及評估的說明及示例見表B.2。表B.2硬件安全分析的審核及評估的說明及示例序號檢查清單說明及示例1是否定義了針對不同ASIL等級硬件產(chǎn)品要求的定性的安全分析方法?可檢查對不同ASIL等級硬件產(chǎn)品要求的定性的安全分析方法?如演繹硬件安全分析(例如FTA)、歸納安全分析(例如FMEA)、相關失效分析(例如DFA)等2對于ASIL(B)、C和D等級，是否用安全分析針對每個安全相關的硬件組件或元器件識別以下內容：a)安全故障；b)單點故障或殘余故障；c)多點故障(無論是可感知的、可探測的或潛伏的)可檢查FMEA、FMEDA或FTA中失效是否為安全相關，并且對安全相關失效故障進行分類。硬件要素的短路故障，若其不會導致違反安全目標，則其為安全故障，若其導致直接違反安全目標且沒有安全機制存在，則其為單點故障，若有安全機制覆蓋，那么安全機制未覆蓋到的部分為殘余故障，若該硬件要素的短路故障需要與另一的失效故障一起發(fā)生才會導致違反安全目標，則其為多點故障3對于ASIL(B)、C和D等級，對于防止導致單點失效的故障或減少殘余故障而實施的安全機制，是否具備證明安全機制具有實現(xiàn)和保持安全狀態(tài)的能力(特別是在容錯時間間隔和最大故障處理時間間隔內適當?shù)氖p輕能力)的證據(jù)?由安全機制實現(xiàn)的殘余故障的診斷覆蓋率是否已評估?可檢查對于防止導致單點失效的故障或減少殘余故障的而實施的安全機制對于偵測到故障到安全機制作動的時間是否能滿足FTTI進行評估或測試的證據(jù)。安全機制的診斷覆蓋率的評估方法，如：a)參考標準：GB/T34590.5—2022附錄D和GB/T34590.11—2022第b)深入分析：故障注入測試、數(shù)學分析、仿真等；4對于ASIL(B)、C和D等級，防止?jié)摲收隙鴮嵤┑陌踩珯C制，是否具備證據(jù)以證明安全機制在可接受的多點故障探測時間間隔內完成潛伏故障的失效探測和實現(xiàn)或保持安全狀態(tài)及警示駕駛員的能力，以確定哪些故障保持潛伏，哪些故障可被探測到?由安全機制實現(xiàn)的潛伏故障的診斷覆蓋率是否已評估?可檢查對于防止?jié)摲收隙鴮嵤┑陌踩珯C制對于偵測到多點故障發(fā)生到安全機制作動的時間是否能滿足多點故障探測時間間隔進行評估或測試的證據(jù)。安全機制的診斷覆蓋率的評估方法，如：a)參考標準：GB/T34590.5—2022附錄D和GB/T34590.11—2022第b)深入分析：故障注入測試、數(shù)學分析、仿真等；5是否進行相關失效分析以提供證據(jù)證明設計中的硬件要素與它們的獨立性要求相符合?可檢查對于硬件要素的DFA的必要性和充分性?？蓹z查不同的耦合因素(如共享資源，共享信息輸入，環(huán)境抗干擾能力不間的相關失效影響，這些要素之間不存在級聯(lián)失效和共因失效6如果硬件設計引入了新危害，且這個危害沒有被現(xiàn)有的HARA報告覆蓋，是否有變更管理流程對它們進行引入和評估?可檢查FMEA中該新危害是否被記錄，是否有相應的變更申請，變更影響分析和變更需求計劃以及變更報告7硬件安全分析是否通過驗證評審?可檢查對應的硬件安全分析的驗證評審報告是否存在，并且驗證評審報告中的檢查項要求都滿足硬件設計驗證的審核及評估的說明及示例見表B.3。表B.3硬件設計驗證的審核及評估的說明及示例序號檢查清單說明及示例是否按照對應的ASIL等級選取GB/T34590.5—2022中表3要求的硬件設計驗證方法，以驗證硬件設計滿足硬件安全要求，與軟硬件接口規(guī)范兼容以及用來生產(chǎn)和服務過程中實現(xiàn)功能安全的安全相關特殊特性的適用性?如未按照ASIL等級要求選取方法，是否有合理的理由說明?可按照ASIL等級檢查GB/T34590.5—2022中表3的驗證方法是否被使用，可檢查硬件設計走查會議記錄、硬件設計檢查報告、安全分析報告、仿真報告以及通過硬件原型的開發(fā)記錄和報告等，說明硬件設計滿足硬件安全的要求、硬件設計與軟硬件接口規(guī)范兼容且能證明硬件設計用來在生產(chǎn)和服務過程中實現(xiàn)功能安全的安全相關特殊特性的適用性。如未按照ASIL等級要求選取方法，確認是否有合理的理由并且能夠滿足硬件設計驗證目的2是否具有仿真或通過硬件原型的開發(fā)驗證方法的驗證計劃、驗證規(guī)范以及驗證報告，如適用?這些驗證計劃、驗證規(guī)范和驗證報告是否通過驗證評審?可檢查仿真或通過硬件原型的開發(fā)驗證是否按照GB/T34590.8—2022第9章要求來進行，具有對應的驗證計劃、驗證規(guī)范以及驗證報告。檢查驗證計劃，驗證規(guī)范以及驗證報告對應的驗證評審報告是否存在，并且驗證評審報告中的檢查項要求都滿足3在硬件設計過程中，如果發(fā)現(xiàn)任何硬件安全要求的實施是不可行的，是否按照GB/T34590.8—2022第8章中的變更管理流程提出變更請求?可檢查是否有相應的變更申請，變更影響分析和變更需求計劃以及變更報告4是否根據(jù)硬件安全要求和硬件設計規(guī)范驗證用于開發(fā)集成到效性?可檢查是否有驗證報告可表現(xiàn)集成到硬件中的SEooC的假設被硬件安全要求和硬件設計規(guī)范覆蓋，并且證明其是有效的與生產(chǎn)、運行、服務和報廢相關的需求規(guī)范的審核及評估的說明及示例見表表B.4與生產(chǎn)、運行、服務和報廢相關的需求規(guī)范的審核及評估的說明及示例序號檢查清單說明及示例1是否有與生產(chǎn)、運行、服務和報廢相關的安全相關的特殊特性?可檢查是否有與生產(chǎn)、運行、服務和報廢相關的安全相關要求，這些安全相關的要求需要定義特殊特性。可檢查產(chǎn)品特殊特性清單示例：當報廢帶有安全氣囊的汽車或轉向盤總成(內含安全氣囊組件)時，應引爆安全氣囊，以防安全氣囊誤爆引起的事故。2是否定義這些安全相關的特殊特性：——生產(chǎn)和運行的驗證措施；——這些措施的接受準則可檢查與生產(chǎn)、運行、服務和報廢相關的特殊特性清單以及硬件安全需求中定義的這些特殊特性的生產(chǎn)和運行的驗證措施和這些措施的接受準則示例：對一種依賴于新的傳感器技術的硬件設計的安全分析(如攝像頭或雷達傳感器),能揭示出這些傳感器與特殊安裝流程的關系。則在生產(chǎn)階段對這些組件的必要的額外驗證措施需要被定義在硬件需求中。序號檢查清單說明及示例3如果安全相關硬件要素的錯誤組裝、拆卸和報廢可能對實現(xiàn)或維護功能安全產(chǎn)生不利影響，是否將避免錯誤執(zhí)行所需的信息告知負責生產(chǎn)、運行、服務和報廢的人員?可檢查為避免安全相關硬件要素的錯誤組裝、拆卸和報廢可能對實現(xiàn)或維護功能安全產(chǎn)生不利影響執(zhí)行所需的信息。負責生產(chǎn)、運行、服務和報廢的人員是否參與了與生產(chǎn)、運行、服務和報廢相關的需求規(guī)范的評審并認可4安全相關硬件要素是否具有可追溯性?是否支持可進行有效的現(xiàn)場監(jiān)測和可啟用召回或更換管理?可檢查安全相關硬件要素是否有適當?shù)臉撕灮蚱渌挠布刈R別方法，來表示它們是與安全相關的5如果錯誤的服務可能對實現(xiàn)或維護功能安全產(chǎn)生不利影響，是否將避免此類影響執(zhí)行所需的信息定義至與生產(chǎn)、運行、服務和報廢相關的需求規(guī)范中?是否告知負責生產(chǎn)、運行、服務和報廢的人員?可檢查與生產(chǎn)、運行、服務和報廢相關的需求規(guī)范中是否定義了避免錯誤的服務可能對實現(xiàn)或維護功能安全產(chǎn)生不利影響執(zhí)行所需的信息。負責生產(chǎn)、運行、服務和報廢的人員是否參與了與生產(chǎn)、運行、服務和報廢相關的需求規(guī)范的評審并認可6硬件設計過程中產(chǎn)生的硬件要素的生產(chǎn)、運行、服務和報廢要求，是否通過某種方式告知負責生產(chǎn)、運行、服務和報廢的人員?可檢查負責生產(chǎn)、運行、服務和報廢的人員是否參與了與生產(chǎn)、運行、服務和報廢相關的需求規(guī)范的評審并認可7與生產(chǎn)、運行、服務和報廢的需求規(guī)范是否通過驗證評審?可檢查與生產(chǎn)、運行、服務和報廢的需求規(guī)范的驗證報告，說明與生產(chǎn)、運行、服務和報廢的需求規(guī)范通過驗證評審(資料性)硬件架構度量的評估硬件架構度量的評估的審核及評估的說明及示例見表C.1。表C.1硬件架構度量的評估的審核及評估的說明及示例序號檢查清單說明及示例1對于ASIL(B)、C和D等級，是否為已制定的安全機制確定了診斷覆蓋率?確定的診斷覆蓋率是否合理?可檢查所制定的安全機制是否考慮了殘余故障和相關的潛伏故障，及聲明的診斷覆蓋率有合適的理由支持。殘余故障及潛伏故障可參考GB/T34590.5—2022附錄B。診斷覆蓋率可參考GB/T34590.10—2022參與失效率評估條款和GB/T34590.11—2022附錄A中的示例2對于ASIL(B)、C和D等級，硬件元器件預估失效率的確定是否采用了正確的方法?預估的失效率是否合理、正確?可檢查預估失效率的確定方法是否為以下三種情況之一：a)使用業(yè)界公認的數(shù)據(jù)庫，例如SN29500、IEC61709等；b)使用現(xiàn)場反饋的數(shù)據(jù)；c)采用專家判斷，例如SAEJ1211、JEDEC-JEDS89等。還可檢查確定過的預估失效率的合理性，比如：——對于采用業(yè)界公認的數(shù)據(jù)庫的方法時，使用實際的任務剖面，以便得到合理的基礎失效率；——對于使用現(xiàn)場反饋的數(shù)據(jù)的方法，有70%以上的置信度3對于ASIL(B)、C和D等級，當無法提供充足證據(jù)支持硬件元器件的失效率時，是否有相應的替代方案?替代方案是否合理?可檢查替代方案的合理性。例如，增加的安全機制是否帶來更高的診斷覆蓋率4對于ASIL(B)、C和D等級，是否為每一個安全目標都定義了SPFM的目標值?可檢查已定義SPFM目標值的合理性。如采用本表中序號2中的方法a)來確定SPFM目標值，提供足夠的證據(jù)證明參考設計的可信賴性和相似性。如采用本表中序號2中的方法b)來確定SPFM目標值，確保是否與安全目標的ASIL等級相一致。SPFM目標值可體現(xiàn)在相關工作產(chǎn)出物中，例如安全計劃、FMEDA等5對于ASIL(B)、C和D等級，是否為每一個安全目標都定義了LFM的目標值?可檢查已定義SPFM目標值的合理性。如采用本表中序號2中的方法a)來確定LFM目標值，提供足夠的證據(jù)證明參考設計的可信賴性和相似性。如采用本表中序號2中的方法b)來確定LFM目標值，確保是否與安全目標的ASIL等級相一致。LFM目標值可體現(xiàn)在相關工作產(chǎn)出物中，例如安全計劃、FMEDA等6對于ASIL(B)、C和D等級，進行硬件架構度量評估時，是否將發(fā)生在安全相關硬件要素上的每個故障都進行了正確的分類?故障歸類為：a)單點故障；b)殘余故障；c)多點故障；d)安全故障。故障的分類方法可參照GB/T34590.10—2022中的8.1表C.1硬件架構度量的評估的審核及評估的說明及示例(續(xù))序號檢查清單說明及示例7對于ASIL(B)、C和D等級，是否每一個安全目標的SPFM的計算都采用了正確的計算公式?SPFM的計算采用GB/T34590.5—2022中C.7的公式8對于ASIL(B)、C和D等級，是否每一個安全目標都滿足了已定義的SPFM的目標值?可檢查：——如果相關項包含失效率等級有顯著差異的不同種類的硬件要素，每一類硬件要素的度量目標是否都具有合理的SPFM值；——如適用，可考慮瞬態(tài)故障相關的SPFM;——是否結合多個安全目標確定SPFM,并且采用最高ASIL等級的安全目標的度量目標。如果未滿足SPFM目標值，按照GB/T34590.5—2022中的4.2對給出的如何實現(xiàn)安全目標的論據(jù)進行評估9對于ASIL(B)、C和D等級，是否每一個安全目標的LFM的計算都采用了正確的計算公式?LFM的計算采用GB/T34590.5—2022中C.8的公式對于ASIL(B)、C和D等級，是否每一個安全目標都滿足了已定義的LFM的目標值?可檢查：——如果相關項包含失效率等級有顯著差異的不同種類的硬件要素，每一類硬件要素的度量目標是否都具有合理的LFM值；——如適用，可考慮瞬態(tài)故障相關的LFM;——是否結合多個安全目標確定LFM,并且采用最高ASIL等級的安全目標的度量目標。如果未滿足LFM目標值，按照GB/T34590.5—2022中的4.2對給出的如何實現(xiàn)安全目標的論據(jù)進行評估對于ASIL(B)、C和D等級，每一個安全目標SPFM和LFM的結果是否通過驗證評審?可檢查是否采用了GB/T34590.8—2022第9章的要求對SPFM和LFM結果進行了驗證評審，及驗證評審相關的證據(jù)。評審報告及相應的計算過程通常體現(xiàn)在FMEDA中(資料性)隨機硬件失效導致違背安全目標的評估隨機硬件失效導致違背安全目標的評估的審核及評估說明見表D.1。表D.1隨機硬件失效導致違背安全目標的評估的審核及評估說明序號檢查清單示例及說明1對于ASIL(B)、C和D等級，隨機硬件失效導致違背安全目標評估中用到的硬件元器件預估失效率的確定是否采用了正確的方法?預估的失效率是否合理、正確?可檢查預估失效率的確定方法是否為以下三種情況之一：a)使用業(yè)界公認的數(shù)據(jù)庫，例如SN29500、IEC61709等；b)使用現(xiàn)場反饋的數(shù)據(jù)；c)采用專家判斷，例如SAEJ1211、JEDEC-JEDS89等。還可檢查確定過的預估失效率的合理性，例如：——對于采用業(yè)界公認的數(shù)據(jù)庫的方法時，使用實際的任務剖面，以便得到合理的基礎失效率；——對于使用現(xiàn)場反饋的數(shù)據(jù)的方法，有70%以上的置信度2對于ASIL(B)、C和D等級，隨機硬件失效導致違背安全目標的評估是采用了隨機硬件失效法，還是采用了對違背安全目標的每個原因的評估(EEC)的方法?可檢查是采用了PMHF的評估方式還是EEC的評估方式。如采用PMHF,則采用本表中序號3～序號8的檢查清單。如采用EEC,則采用本表中序號9～序號15的檢查清單。另外，無論采用哪種評估方式，本表中序號1和序號16檢查清單均適用3對于ASILC和D等級，單一硬件元器件單點故障是否存在有效論據(jù)證明其發(fā)生概率足夠低可被接受?此檢查清單針對ASILC和D的安全目標，可檢查可接受單點故障足夠低的論據(jù)的有效性。如采用專用措施，可能的方法包括硬件過設計、物理隔離、老化測試等4件元器件的殘余故障診斷覆蓋率低于90%是否存在有效論據(jù)證明其發(fā)生概率足夠低可被接受?此檢查清單針對ASILC和D的安全目標，可檢查可接受殘余故障診斷覆蓋率足夠低論據(jù)的有效性5對于ASIL(B)、C和D等級，PMHF評估的定量目標值是否表述為相關項的整個運行生命周期中每小時的平均概率?可檢查PMHF評估過程中所使用的單位為相關項的整個運行生命周期中每小時的平均概率，而不是失效率的單位6對于ASIL(B)、C和D等級，是否為隨機硬件失效在相關項層面導致違背每個安全目標的最大可能性定義了定量目標值?如參考目標值來自于本表中序號1中的方法a),確保是否與安全目標的ASIL等級相一致。如參考目標值來自于本表中序號1中的方法b)或方法c),提供證據(jù)證明設計的可信賴性和相似性。目標參考值應體現(xiàn)在相關工作產(chǎn)出物中，例如安全計劃、FMEDA等表D.1隨機硬件失效導致違背安全目標的評估的審核及評估說明(續(xù))序號檢查清單示例及說明7PMHF目標值的分配是否滿足要求?可檢查構成相關項的每個系統(tǒng)的目標值之和是否超過了原有相關項目標值一個數(shù)量級。例如，如果一個等級為ASILD的安全目標分配給由多個系統(tǒng)(最多10個)組成的相關項，其中每個系統(tǒng)都有可能違背該安全目標，則能將目標值10-8h分配給組成該相關項的每個系統(tǒng)8對于ASIL(B)、C和D等級，是否有證據(jù)證明PMHF的目標值已達到?PMHF值不具有絕對意義，但有助于比較新設計與現(xiàn)有設計。如果未滿足PMHF目標值，按照GB/T34590.5—2022中4.2對給出的如何實現(xiàn)安全目標的論據(jù)進行評估9對于ASIL(B)、C和D等級，采用EEC評估時，對違背所考慮的安全目標的每個單點故障、殘余故障和雙點失效進行的單獨評估是否在硬件層面執(zhí)行?可檢查評估應用的層級是否為硬件對于ASIL(B)、C和D等級，采用EEC評估時，是否能按照要求提供證據(jù)證明違背安全目標的每個單點故障、殘余故障和雙點失效是可接受的?如果不能按照要求提供證據(jù)證明每個單點故障、殘余故障和雙點故障是可接受的，可按照GB/T34590.5—2022中4.2對給出的如何實現(xiàn)安全目標的論據(jù)進行評估對于ASIL(B)、C和D等級，采用EEC評估時，是否對硬件元器件失效率進行了失效率等級評級?可檢查失效率的等級評級是否滿足GB/T34590.5—2022中9.4.3.3的要求。如果失效率等級評級可除以不等于100的數(shù)字，需要提供理由，并確?？紤]了單點故障、殘余故障?？蓹z查是否失效率等級分配是基于不考慮安全機制有效性的硬件元器件失效率對于ASIL(B)、C和D等級，采用EEC評估時，是否可接受硬件元器件發(fā)生的單點故障?可檢查是否滿足GB/T34590.5—2022中的表7。專用措施可能包括硬件過設計、物理隔離、老化測試等對于ASIL(B)、C和D等級，采用EEC評估時，是否增加對應的安全機制并且可接受硬件元器件發(fā)生的殘余故障?可檢查接受條件是否滿足GB/T34590.5—2022中9.4.3.6和9.4.3.7的要求。所考慮的失效率是硬件元器件失效率，不考慮安全機制的有效性EEC評估時，是否認為雙點失效是可能的?此項適用于ASILC和D的安全目標。如果認為一個雙點失效是不可能的，則可認為是與安全目標相符合EEC評估時，是否增加或完善對應的安全機制并且可接受硬件元器件發(fā)生的可導致雙點失效的雙點故障?此項適用于ASILC和D的安全目標。所考慮的失效率是硬件元器件失效率，不考慮安全機制的有效性對于ASIL(B)、C和D等級，對隨機硬件失效導致違背安全目標評估的結果是否通過驗證評審?可檢查是否采用了GB/T34590.8—2022第9章的要求對PMHF或EEC結果進行了驗證評審，及驗證評審相關的證據(jù)。PMHF的評審一般通過FMEDA體現(xiàn)(資料性)硬件集成和驗證硬件集成和驗證計劃的審核及評估的說明及示例見表E.1。表E.1硬件集成和驗證計劃的審核及評估的說明及示例序號檢查清單說明及示例1是否在硬件集成和驗證計劃中定義了驗證對象的信息、驗證目的和驗證通過準則?可檢查是否在計劃中根據(jù)項目開發(fā)進度和測試需求明確了驗證對象信息，例如樣品級別和產(chǎn)品零件號，與產(chǎn)品生命周期內不同階段的驗證目的和驗證通過準則2是否在硬件集成和驗證計劃中定義了符合產(chǎn)品硬件ASIL等級要求的活動與方法?可檢查硬件集成和驗證計劃中：a)是否明確了符合產(chǎn)品ASIL等級的硬件集成和驗證活動，包括產(chǎn)品設計和生產(chǎn)階段；b)是否制定了符合產(chǎn)品ASIL等級的硬件集成和驗證方法3是否在硬件集成和驗證計劃中定義了符合產(chǎn)品硬件安全等級要求的測試策略?可檢查是否在計劃中制定了符合產(chǎn)品實際開發(fā)情況和ASIL等級的硬件集成和驗證策略，例如完整的硬件集成和驗證測試或回歸硬件集成和驗證測試4是否在硬件集成和驗證計劃中定義了驗證相關的依賴項?可檢查是否在計劃中定義了硬件集成和測試所需環(huán)境、設備、工具等資源5是否在硬件集成和驗證計劃定義了驗證失敗的應對措施?可檢查是否在計劃中明確了測試偏離或失敗可接受的條件，建議的改進措施等6是否對硬件集成和驗證計劃的變更定義了相應的管理和追溯措施?見GB/T43253.1—2023中的變更管理的要求7硬件集成和驗證計劃是否通過驗證評審?可檢查是否有交付物進行相關定義，驗證評審可采用走查或審查的方式硬件集成和驗證規(guī)范的審核及評估的說明及示例見表E.2。表E.2硬件集成和驗證規(guī)范的審核及評估的說明及示例序號檢查清單說明及示例1是否在硬件集成和驗證規(guī)范中遵循了硬件集成和驗證計劃中定義的驗證對象、驗證目的和驗證通過準則?可檢查硬件集成和驗證規(guī)范中定義的驗證對象、驗證目的和驗證通過準則是否與計劃中一致2是否在硬件集成和驗證規(guī)范中遵循了硬件集成和驗證計劃中定義的測試活動和方法?可檢查硬件集成和驗證規(guī)范中定義的測試活動與方法是否與計劃中一致表E.2硬件集成和驗證規(guī)范的審核及評估的說明及示例(續(xù))序號檢查清單說明及示例3是否在硬件集成和驗證規(guī)范中遵循了硬件集成和驗證計劃中定義的測試策略?可檢查硬件集成和驗證規(guī)范中定義的測試策略是否與計劃中一致4是否在硬件集成和驗證規(guī)范中遵循了硬件集成和驗證計劃中定義的驗證依賴項?可檢查是否在硬件和驗證規(guī)范中定義的依賴項是否與計劃定義一致5是否在硬件集成和驗證規(guī)范中，基于產(chǎn)品的ASIL等級，采用了適當?shù)姆椒▉硗茖С鰷y試用例?可檢查是否在硬件集成和驗證規(guī)范中是否按照GB/T34590.5—2022中的表10導出硬件集成測試案例的方法進行了測試用例的創(chuàng)建6是否在硬件集成和驗證規(guī)范中確認了硬件安全要求與測試用例間的追溯性?可檢查是否在硬件集成和驗證規(guī)范中確保了硬件功能安全要求與測試用例之間的對應關系，通?？赏ㄟ^需求管理工具分析7是否在硬件集成和驗證規(guī)范中確認了硬件安全要求與測試用例間的完整性?可檢查是否在硬件集成和驗證規(guī)范中按照GB/T34590.8—2022中的9.4.2.2、9.4.2.3定義了測試范例8是否在硬件集成和驗證規(guī)范中確認了硬件安全要求與測試用例間的正確性?可檢查是否在硬件集成和驗證規(guī)范中是否按照GB/T34590.5—2022中的表11進行了測試用例的類型定義(不同類型測試對應的需求類型應匹配)9是否在硬件集成和驗證規(guī)范中，根據(jù)產(chǎn)品的ASIL等級，定義了硬件在環(huán)境和運行應力因素下的耐用性和魯棒性測試?可檢查是否在硬件集成和驗證規(guī)范中是否按照GB/T34590.5—2022中的表12定義了耐用性和魯棒性測試，并鏈接了相關測試材料是否對硬件集成和驗證規(guī)范的變更定義了相應的管理和追溯措施?見GB/T43253.1—2023中的變更管理的要求硬件集成和驗證規(guī)范是否通過驗證評審?硬件集成和驗證規(guī)范的驗證評審可采用走查或審查的方式硬件集成和驗證報告的審核及評估的說明及示例見表E.3。表E.3硬件集成和驗證報告的審核及評估的說明及示例序號檢查清單說明及示例1是否在硬件集成和驗證報告中體現(xiàn)了集成和驗證計劃與規(guī)范的執(zhí)行?可檢查硬件集成和驗證報告中測試的執(zhí)行是否符合計劃所定義的階段與責任方，測試的策略、方法、步驟、依賴項等是否與所參考的硬件集成和驗證規(guī)范保持一致2是否在硬件集成和驗證報告中記錄了測試數(shù)據(jù)或現(xiàn)象?可檢查硬件集成和驗證報告中是否提供每個測試用例所對應的數(shù)據(jù)記錄或現(xiàn)象表E.3硬件集成和驗證報告的審核及評估的說明及示例(續(xù))序號檢查清單說明及示例3是否在硬件集成和驗證報告中體現(xiàn)了測試完成