GBT 43253.4-2023 道路車輛 功能安全審核及評估方法 第4部分：硬件層面（正式版）

道路車輛功能安全審核及評估方法第4部分：硬件層面2023-11-27發(fā)布國家標(biāo)準(zhǔn)化管理委員會IGB/T43253.4—2023 Ⅲ 12規(guī)范性引用文件 13術(shù)語和定義 14一般要求 15硬件安全要求 2 25.2審核及評估的輸入 25.3審核及評估的要求 26硬件設(shè)計(jì) 3 36.2審核及評估的輸入 36.3審核及評估的要求 47硬件架構(gòu)度量的評估 6 67.2審核及評估的輸入 67.3審核及評估的要求 68隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估 7 78.2審核及評估的輸入 78.3審核及評估的要求 79硬件集成和驗(yàn)證 8 89.2審核及評估的輸入 89.3審核及評估的要求 910硬件要素評估 10.2審核及評估的輸入 10.3審核及評估的要求 附錄A(資料性)硬件安全要求 附錄B(資料性)硬件設(shè)計(jì) 附錄C(資料性)硬件架構(gòu)度量的評估 ⅡGB/T43253.4—2023附錄D(資料性)隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估 附錄E(資料性)硬件集成和驗(yàn)證 附錄F(資料性)硬件要素評估 Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件是GB/T43253《道路車輛功能安全審核及評估方法》的第4部分。GB/T43253已經(jīng)發(fā)布了以下部分：——第1部分：通用要求；——第2部分：概念階段和系統(tǒng)層面；——第3部分：軟件層面；——第4部分：硬件層面。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中華人民共和國工業(yè)和信息化部提出。本文件由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC114)歸口。本文件起草單位：中國汽車技術(shù)研究中心有限公司、知行汽車科技(蘇州)有限公司、北京地平線機(jī)器人技術(shù)研發(fā)有限公司、南京芯馳半導(dǎo)體科技有限公司、英飛凌科技資源中心(上海)有限公司、中國第一汽車集團(tuán)有限公司、中國長安汽車集團(tuán)有限公司、東軟睿馳汽車技術(shù)(上海)有限公司、上海機(jī)動車檢測認(rèn)證技術(shù)研究中心有限公司、上海禾賽科技有限公司、深圳市大疆卓見科技有限公司、舍弗勒(中國)有限公司、北京長安汽車工程技術(shù)研究有限責(zé)任公司、北京國家新能源汽車技術(shù)創(chuàng)新中心有限公司。GB/T43253《道路車輛功能安全審核及評估方法》以GB/T34590《道路車輛功能安全》為基礎(chǔ)，適用于道路車輛上安全相關(guān)的電氣/電子(E/E)系統(tǒng)在安全生命周期內(nèi)的審核及評估活動。安全是道路車輛開發(fā)的關(guān)鍵問題之一，車輛上包含的電氣、電子和軟件相關(guān)功能的數(shù)量不斷增加，強(qiáng)化了對功能安全的需求，以及對提供證據(jù)證明滿足功能安全目標(biāo)的需求。為了確認(rèn)電氣/電子(E/E)系統(tǒng)對于功能安全流程及功能安全要求的符合性，GB/T43253:a)提供組織層面開展功能安全審核及評估的通用流程、實(shí)施方法及要求；b)提供安全相關(guān)的電氣/電子(E/E)系統(tǒng)在概念階段、系統(tǒng)層面、軟件層面、硬件層面的功能安全審核及評估的過程、方法和要求；c)提供功能安全審核及評估的檢查清單和參考示例。GB/T43253由4個部分構(gòu)成?！?部分：通用要求。目的是規(guī)定功能安全審核及評估活動在不同階段的通用要求?！?部分：概念階段和系統(tǒng)層面。目的是規(guī)定功能安全審核及評估活動在概念階段及系統(tǒng)層面的要求。——第3部分：軟件層面。目的是規(guī)定功能安全審核及評估活動在軟件層面的要求?！?部分：硬件層面。目的是規(guī)定功能安全審核及評估活動在硬件層面的要求。功能安全審核及評估活動伴隨功能安全開發(fā)過程的迭代，圖1為GB/T43253的整體架構(gòu)，基于V模型為產(chǎn)品開發(fā)的不同階段、對象和范圍，提供審核及評估參考過程模型。1-5中核及產(chǎn)估氣共要求功能交全管班的宣核和評估概念階數(shù)的審核評信2-5E關(guān)頂定義2-6危害分析和風(fēng)險評估系統(tǒng)層面的審核評估2-8技術(shù)安全境念開發(fā)2-9驗(yàn)證和消認(rèn)軟件層面的審核評估軟件層面的審核評估4-5碘科安全要采46碘設(shè)計(jì)3-6栽件實(shí)全共求1-7傾外熱溝度量的評估3-7軟件架檢設(shè)計(jì)規(guī)范3-8軟件單元設(shè)計(jì)及實(shí)兀非3-7軟件架檢設(shè)計(jì)規(guī)范3-8軟件單元設(shè)計(jì)及實(shí)兀非49原件集成不驗(yàn)證/:產(chǎn)、送行、服務(wù)和報廢的審核評估{.、眼務(wù)和報廢3-10軟件集成手驗(yàn)江3-11能入式軟外澳試3-12聯(lián)件標(biāo)定和配氣管理支持過程的審核和評估3-13軟件糾件鑒定4-10硬件滅素已信以汽車安全定整性等級為號白和以安全為導(dǎo)向的分析的審核和評估1-67以汽車安全完整性等敘為導(dǎo)向和安全為導(dǎo)向的分析圖1功能安全審核及評估概覽IN1道路車輛功能安全審核及評估方法第4部分：硬件層面1范圍本文件規(guī)定了針對安全相關(guān)的電氣/電子(E/E)系統(tǒng)在硬件層面的功能安全相關(guān)活動和工作成果，開展功能安全審核及評估的要求和方法，以檢查和判斷開發(fā)過程及工作成果對于功能安全的符合性。本文件適用于安裝在除輕便摩托車外的量產(chǎn)道路車輛上的包含一個或多個電氣/電子(E/E)系統(tǒng)的與安全相關(guān)的系統(tǒng)。本文件不適用于特殊用途車輛上特定的電氣/電子(E/E)系統(tǒng)，例如，為殘疾駕駛者設(shè)計(jì)的車輛系統(tǒng)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T34590.1～34590.12—2022道路車輛功能安全GB/T43253.1—2023道路車輛功能安全審核及評估方法第1部分：通用要求3術(shù)語和定義GB/T34590.1—2022界定的術(shù)語和定義適用于本文件。4一般要求GB/T43253.1—2023中定義的審核及評估要求適用于本文件。硬件層面的功能安全審核及評估，主要涉及以下內(nèi)容：——硬件安全要求的定義；——硬件設(shè)計(jì)；——硬件架構(gòu)度量的評估；——隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估；——硬件集成和驗(yàn)證；——硬件要素評估。通過審核及評估，基于證據(jù)判斷硬件層面的功能安全開發(fā)，符合：——硬件安全要求是恰當(dāng)和完整的；——通過設(shè)計(jì)、驗(yàn)證保證硬件能實(shí)現(xiàn)硬件功能安全要求并滿足軟硬件接口規(guī)范；——提供基于硬件架構(gòu)度量的證據(jù)，來證明相關(guān)項(xiàng)硬件架構(gòu)設(shè)計(jì)在安全相關(guān)的隨機(jī)硬件失效探測和控制方面的適用性；——確保所開發(fā)硬件符合硬件安全要求；——確保硬件要素的功能表現(xiàn)足以滿足分配的安全要求。25硬件安全要求本章的目標(biāo)是對作為功能安全硬件安全要求的定義文檔進(jìn)行審核及評估，以檢查其定義是否符合功能安全開發(fā)的需要，提供證據(jù)證明：a)定義了硬件安全要求，這些要求由技術(shù)安全概念和系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范導(dǎo)出；b)細(xì)化了最初在GB/T34590.4—2022中6.4.7定義的軟硬件接口規(guī)范；c)驗(yàn)證了硬件安全要求及軟硬件接口規(guī)范與技術(shù)安全概念及系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范的一致性。5.2審核及評估的輸入為了開展本章規(guī)定的審核及評估過程，應(yīng)具備以下輸入：——硬件安全需求規(guī)范(包括測試和認(rèn)可準(zhǔn)則);——軟硬件接口規(guī)范(細(xì)化的);——硬件安全要求驗(yàn)證報告。注：為支持審核及評估，可能需要提供的其他支持材料如下：——技術(shù)安全概念；——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范；——軟硬件接口規(guī)范；——可參考的已有硬件架構(gòu)設(shè)計(jì)；——軟件安全要求。5.3審核及評估的要求對于硬件安全要求進(jìn)行審核及評估，應(yīng)涵蓋表1、表2、表3的檢查項(xiàng)。表1硬件安全要求的審核及評估檢查清單序號檢查清單1是否定義了硬件安全要求和安全機(jī)制控制硬件內(nèi)部失效(例如：對內(nèi)核失效的檢測、對存儲失效的監(jiān)控)?2是否定義了對外部失效容錯的硬件安全要求和安全機(jī)制(例如：傳感器開路或短路檢測的支撐電路)?3是否為符合其他要素的安全要求定義了硬件安全要求和安全機(jī)制的相關(guān)屬性?4是否定義了硬件安全要求和安全機(jī)制探測內(nèi)外部失效和發(fā)送失效信息?5對于ASIL(B)、C和D等級，硬件安全要求是否設(shè)定了硬件架構(gòu)度量目標(biāo)值?6對于ASIL(B)、C和D等級，硬件安全要求是否設(shè)定了隨機(jī)硬件失效概率度量目標(biāo)值(如采用EEC方法，該問題不適用)?7硬件安全要求是否包含了非用以定義安全機(jī)制的硬件安全要求?8是否定義了相關(guān)項(xiàng)或要素的硬件設(shè)計(jì)驗(yàn)證準(zhǔn)則，包括環(huán)境條件(溫度、振動、EMI等)、特定的運(yùn)行環(huán)境(供電電壓、任務(wù)剖面等)以及特定于組件的要求?9硬件安全要求所對應(yīng)的安全機(jī)制的故障容錯時間間隔或者最大故障處理時間間隔是否符合系統(tǒng)層級的定義?硬件安全要求所對應(yīng)的安全機(jī)制的多點(diǎn)故障探測時間間隔要求是否符合系統(tǒng)層級的定義?硬件安全要求是否與技術(shù)安全要求之間保持了追溯性和一致性?硬件安全要求是否與技術(shù)安全概念、系統(tǒng)設(shè)計(jì)規(guī)范和硬件規(guī)范之間保持了一致性?硬件安全要求是否按照GB/T34590.8—2022第6章的要求進(jìn)行定義和管理?3表2軟硬件接口規(guī)范的審核及評估檢查清單序號檢查清單1是否細(xì)化了硬件設(shè)備的相關(guān)運(yùn)行模式和相關(guān)配置參數(shù)(例如：對看門狗的配置)?2是否確保了要素間獨(dú)立性或支持軟件分區(qū)的硬件特征?3是否對硬件資源的共用和專用進(jìn)行了明確定義?4是否對硬件設(shè)備的訪問機(jī)制進(jìn)行了明確定義?5由技術(shù)安全概念得出的時間約束是否在軟硬件接口規(guī)范中進(jìn)行了說明?6是否對硬件的診斷特性進(jìn)行了明確定義?7是否對需要在軟件中實(shí)現(xiàn)的對硬件的診斷特性進(jìn)行了明確定義?8是否明確描述了硬件和軟件之間的每一項(xiàng)安全相關(guān)的關(guān)聯(lián)性?9是否對細(xì)化后的軟硬件接口都定義了對應(yīng)的驗(yàn)證準(zhǔn)則?是否細(xì)化后的軟硬件接口(HSI)規(guī)范的充分性由軟硬件開發(fā)人員進(jìn)行了共同驗(yàn)證?表3硬件安全要求驗(yàn)證報告的審核及評估檢查清單編號檢查清單1硬件安全要求的驗(yàn)證活動是否驗(yàn)證了與技術(shù)安全概念、系統(tǒng)設(shè)計(jì)規(guī)范以及硬件規(guī)范的一致性?2硬件安全要求的驗(yàn)證活動是否說明了技術(shù)安全要求分配給硬件要素的完整性?3硬件安全要求的驗(yàn)證活動是否驗(yàn)證了與相關(guān)軟件安全要求的一致性?4硬件安全要求的驗(yàn)證活動是否驗(yàn)證了硬件安全要求的正確性與準(zhǔn)確性?附錄A提供了針對硬件安全要求開展審核及評估的說明及示例。6硬件設(shè)計(jì)本章的目標(biāo)是對硬件設(shè)計(jì)進(jìn)行審核及評估，以檢查其是否符合功能安全硬件設(shè)計(jì)的需要，提供證據(jù)證明：a)創(chuàng)建了一個硬件設(shè)計(jì)：支持以安全為導(dǎo)向的分析，考慮安全導(dǎo)向分析的結(jié)果，符合硬件安全要求、軟硬件接口規(guī)范和系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范，并滿足所需的硬件設(shè)計(jì)特性；b)定義了在生產(chǎn)、運(yùn)行、服務(wù)和報廢期間的硬件功能安全要求并提供有關(guān)信息；c)驗(yàn)證了硬件設(shè)計(jì)能滿足硬件安全要求和軟硬件接口規(guī)范，假設(shè)的有效性(此假設(shè)用于開發(fā)集成在已開發(fā)硬件中的每個SEooC),以及安全相關(guān)的特殊特性的適用性，以實(shí)現(xiàn)生產(chǎn)和服務(wù)期間的功能安全。6.2審核及評估的輸入為了開展本章規(guī)定的審核及評估過程，應(yīng)具備以下輸入：4——硬件設(shè)計(jì)規(guī)范(包括硬件架構(gòu)設(shè)計(jì)和硬件詳細(xì)設(shè)計(jì));——基于演繹法的硬件安全分析(例如：硬件FTA);——基于歸納法的硬件安全分析(例如：硬件FMEA);——相關(guān)失效分析(DFA)(如適用);——硬件安全分析報告；——硬件設(shè)計(jì)驗(yàn)證報告；——與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的需求規(guī)范。注：為支持審核及評估，可能需要提供的其他支持材料如下：——硬件安全需求規(guī)范；——細(xì)化的軟硬件接口規(guī)范；——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范。6.3審核及評估的要求對于硬件設(shè)計(jì)的審核及評估，應(yīng)涵蓋表4、表5、表6、表7的檢查項(xiàng)。表4硬件設(shè)計(jì)規(guī)范的審核及評估檢查清單序號檢查清單1所定義的硬件安全要求是否與硬件架構(gòu)保持了追溯性和一致性，并保持到硬件組件的最底層?注：對于不能劃分為硬件子要素的硬件元器件，不分配硬件安全要求。例如，電容和電阻。2硬件安全要求是否都分配給了硬件要素及其子要素?每個硬件要素或子要素所定義的ASIL等級是否為分配給它的所有要求中最高的ASIL等級?如果一個硬件要素是由ASIL等級低于要素ASIL等級或沒有指定ASIL等級的子要素組成，該要素是否滿足GB/T34590.9—2022第6章的共存準(zhǔn)則?3硬件架構(gòu)設(shè)計(jì)中如果對硬件安全要求應(yīng)用ASIL等級分解，ASIL等級的分解是否按照GB/T34590.9—2022第5章的要求進(jìn)行?4硬件架構(gòu)設(shè)計(jì)是否按照對應(yīng)的ASIL等級根據(jù)GB/T34590.5—2022中的表1硬件架構(gòu)設(shè)計(jì)原則進(jìn)行設(shè)計(jì)，并使其具有模塊化特性、適當(dāng)?shù)牧６人胶秃唵涡?如未按照ASIL等級要求選取硬件設(shè)計(jì)原則，是否有合理的理由說明?5因素，或來自硬件架構(gòu)的其他硬件組件或其所在環(huán)境的串?dāng)_)?6在進(jìn)行硬件詳細(xì)設(shè)計(jì)時，為避免常見的設(shè)計(jì)缺陷，是否運(yùn)用相關(guān)的經(jīng)驗(yàn)總結(jié)?7聲因素、來自硬件組件的其他硬件元器件或其所在環(huán)境的串?dāng)_)?8硬件詳細(xì)設(shè)計(jì)是否考慮硬件元器件或硬件組件的任務(wù)剖面和運(yùn)行條件?是否保證硬件元器件或硬件組件在其規(guī)格范圍內(nèi)運(yùn)行?9硬件詳細(xì)設(shè)計(jì)是否考慮魯棒性設(shè)計(jì)原則(如適用)?硬件設(shè)計(jì)規(guī)范是否通過驗(yàn)證評審?5表5硬件安全分析的檢查清單序號檢查清單1是否定義了針對不同ASIL等級硬件產(chǎn)品要求的定性的安全分析方法?2對于ASIL(B)、C和D等級，是否用安全分析針對每個安全相關(guān)的硬件組件或元器件識別以下內(nèi)容：a)安全故障；b)單點(diǎn)故障或殘余故障；c)多點(diǎn)故障(無論是可感知的、可探測的或潛伏的)3對于ASIL(B)、C和D等級，對于防止導(dǎo)致單點(diǎn)失效的故障或減少殘余故障而實(shí)施的安全機(jī)制，是否具備證明安全機(jī)制具有實(shí)現(xiàn)和保持安全狀態(tài)的能力(特別是在容錯時間間隔和最大故障處理時間間隔內(nèi)適當(dāng)?shù)氖p輕能力)的證據(jù)?由安全機(jī)制實(shí)現(xiàn)的殘余故障的診斷覆蓋率是否已評估?4對于ASIL(B)、C和D等級，防止?jié)摲收隙鴮?shí)施的安全機(jī)制，是否具備證據(jù)以證明安全機(jī)制在可接受的多點(diǎn)故障探測時間間隔內(nèi)完成潛伏故障的失效探測和實(shí)現(xiàn)或保持安全狀態(tài)及警示駕駛員的能力，以確定哪些故障保持潛伏，哪些故障可被探測到?由安全機(jī)制實(shí)現(xiàn)的潛伏故障的診斷覆蓋率是否已評估?5是否進(jìn)行相關(guān)失效分析以提供證據(jù)證明設(shè)計(jì)中的硬件要素與它們的獨(dú)立性要求相符合?6如果硬件設(shè)計(jì)引入了新危害，且這個危害沒有被現(xiàn)有的HARA報告覆蓋，是否有變更管理流程對它們進(jìn)行引入和評估?7硬件安全分析是否通過驗(yàn)證評審?注：FTA、FMEA、DFA按照GB/T43253.1—2023的檢查清單進(jìn)行檢查。表6硬件設(shè)計(jì)驗(yàn)證的審核及評估檢查清單序號檢查清單1是否按照對應(yīng)的ASIL等級選取GB/T34590.5—2022中表3要求的硬件設(shè)計(jì)驗(yàn)證方法，以驗(yàn)證硬件設(shè)計(jì)滿足硬件安全要求，與軟硬件接口規(guī)范兼容以及用來生產(chǎn)和服務(wù)過程中實(shí)現(xiàn)功能安全的安全相關(guān)特殊特性的適用性?如未按照ASIL等級要求選取方法，是否有合理的理由說明?2是否具有仿真或通過硬件原型的開發(fā)驗(yàn)證方法的驗(yàn)證計(jì)劃、驗(yàn)證規(guī)范以及驗(yàn)證報告(如適用)?這些驗(yàn)證計(jì)劃、驗(yàn)證規(guī)范和驗(yàn)證報告是否通過驗(yàn)證評審?3在硬件設(shè)計(jì)過程中，如果發(fā)現(xiàn)任何硬件安全要求的實(shí)施是不可行的，是否按照GB/T34590.8—2022第8章中的變更管理流程提出變更請求?4是否根據(jù)硬件安全要求和硬件設(shè)計(jì)規(guī)范驗(yàn)證用于開發(fā)集成到硬件中的SEooC的假設(shè)的有效性?表7與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的需求規(guī)范的審核及評估檢查清單序號檢查清單1是否有與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的安全相關(guān)的特殊特性?2是否定義這些安全相關(guān)的特殊特性：——生產(chǎn)和運(yùn)行的驗(yàn)證措施；——這些措施的接受準(zhǔn)則6表7與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的需求規(guī)范的審核及評估檢查清單(續(xù))序號檢查清單3如果安全相關(guān)硬件要素的錯誤組裝、拆卸和報廢可能對實(shí)現(xiàn)或維護(hù)功能安全產(chǎn)生不利影響，是否將避免錯誤執(zhí)行所需的信息告知負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報廢的人員?4安全相關(guān)硬件要素是否具有可追溯性?是否支持可進(jìn)行有效的現(xiàn)場監(jiān)測和可啟用召回或更換管理?5如果錯誤的服務(wù)可能對實(shí)現(xiàn)或維護(hù)功能安全產(chǎn)生不利影響，是否將避免此類影響執(zhí)行所需的信息定義至與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的需求規(guī)范中?是否告知負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報廢的人員?6和報廢的人員?7與生產(chǎn)、運(yùn)行、服務(wù)和報廢的需求規(guī)范是否通過驗(yàn)證評審?附錄B提供了針對硬件設(shè)計(jì)開展審核及評估的說明及示例。7硬件架構(gòu)度量的評估本章的目標(biāo)是通過評估硬件架構(gòu)度量(包括單點(diǎn)故障度量SPFM和潛伏故障度量LFM)是否達(dá)到目標(biāo)值進(jìn)而評估相關(guān)項(xiàng)架構(gòu)或硬件元器件架構(gòu)應(yīng)對隨機(jī)硬件失效的有效性。7.2審核及評估的輸入為了開展本章規(guī)定的審核及評估過程，應(yīng)具備以下輸入：——相關(guān)項(xiàng)架構(gòu)應(yīng)對隨機(jī)硬件失效的有效性的分析；——相關(guān)項(xiàng)架構(gòu)應(yīng)對隨機(jī)硬件失效的有效性評估的評審報告。注1:適用于等級為ASIL(B)、C和D的安全目標(biāo)。評估產(chǎn)品如果為硬件元器件，則審核對象為針對硬件架構(gòu)相關(guān)的工作成果。注2:為支持審核及評估，可能需要提供的其他支持材料如下：——硬件安全需求規(guī)范；——硬件設(shè)計(jì)規(guī)范；——硬件安全分析報告；——硬件相關(guān)失效分析報告；——技術(shù)安全概念(如適用);——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范(如適用)。7.3審核及評估的要求對于硬件架構(gòu)度量的評估的審核及評估，應(yīng)涵蓋表8的檢查項(xiàng)。7表8硬件架構(gòu)度量的評估的審核及評估檢查清單序號檢查清單1對于ASIL(B)、C和D等級，是否為已制定的安全機(jī)制確定了診斷覆蓋率?確定的診斷覆蓋率是否合理?2對于ASIL(B)、C和D等級，硬件元器件預(yù)估失效率的確定是否采用了正確的方法?預(yù)估的失效率是否合理、正確?3對于ASIL(B)、C和D等級，當(dāng)無法提供充足證據(jù)支持硬件元器件的失效率時，是否有相應(yīng)的替代方案?替代方案是否合理?4對于ASIL(B)、C和D等級，是否為每一個安全目標(biāo)都定義了SPFM的目標(biāo)值?5對于ASIL(B)、C和D等級，是否為每一個安全目標(biāo)都定義了LFM的目標(biāo)值?6對于ASIL(B)、C和D等級，進(jìn)行硬件架構(gòu)度量評估時，是否將發(fā)生在安全相關(guān)硬件要素上的每個故障都進(jìn)行了正確的分類?7對于ASIL(B)、C和D等級，是否每一個安全目標(biāo)的SPFM的計(jì)算都采用了正確的計(jì)算公式?8對于ASIL(B)、C和D等級，是否每一個安全目標(biāo)都滿足了已定義的SPFM的目標(biāo)值?9對于ASIL(B)、C和D等級，是否每一個安全目標(biāo)的LFM的計(jì)算都采用了正確的計(jì)算公式?對于ASIL(B)、C和D等級，是否每一個安全目標(biāo)都滿足了已定義的LFM的目標(biāo)值?對于ASIL(B)、C和D等級，每一個安全目標(biāo)SPFM和LFM的結(jié)果是否都通過驗(yàn)證評審?附錄C提供了針對硬件架構(gòu)度量的評估開展審核及評估的說明及示例。8隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估本章的目標(biāo)是通過評估隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)進(jìn)而評估殘余風(fēng)險是否足夠低。8.2審核及評估的輸入為開展本章規(guī)定的審核及評估過程，應(yīng)具備以下輸入：——由隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的分析；——硬件專用措施的定義，如果需要，包括專用措施有效性的依據(jù)；——對隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)進(jìn)行評估的評審報告。注1:適用于等級為ASIL(B)、C和D的安全目標(biāo)。注2:為支持審核及評估，可能需要提供的其他支持材料如下：——硬件安全需求規(guī)范；——硬件安全分析報告；——硬件相關(guān)失效分析報告；——技術(shù)安全概念(如適用);——系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范(如適用)。8.3審核及評估的要求對于隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估的審核及評估，應(yīng)涵蓋表9的檢查項(xiàng)。8表9隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)評估的審核及評估檢查清單序號檢查清單1對于ASIL(B)、C和D等級，隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)評估中用到的硬件元器件預(yù)估失效率的確定是否采用了正確的方法?預(yù)估的失效率是否合理、正確?2對于ASIL(B)、C和D等級，隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估是采用了隨機(jī)硬件失效概率度量(PMHF)的評估方法，還是采用了對違背安全目標(biāo)的每個原因的評估(EEC)的方法?3對于ASILC和D等級，單一硬件元器件單點(diǎn)故障是否存在有效論據(jù)證明其發(fā)生概率足夠低可被接受?4足夠低可被接受?5對于ASIL(B)、C和D等級，PMHF評估的定量目標(biāo)值是否表述為相關(guān)項(xiàng)的整個運(yùn)行生命周期中每小時的平均概率?6對于ASIL(B)、C和D等級，是否為隨機(jī)硬件失效在相關(guān)項(xiàng)層面導(dǎo)致違背每個安全目標(biāo)的最大可能性定義了定量目標(biāo)值?7對于ASIL(B)、C和D等級，PMHF目標(biāo)值的分配是否滿足要求?8對于ASIL(B)、C和D等級，是否有證據(jù)證明PMHF的目標(biāo)值已達(dá)到?9對于ASIL(B)、C和D等級，采用EEC評估時，對違背所考慮的安全目標(biāo)的每個單點(diǎn)故障、殘余故障和雙點(diǎn)失效進(jìn)行的單獨(dú)評估是否在硬件層面執(zhí)行?對于ASIL(B)、C和D等級，采用EEC評估時，是否能按照要求提供證據(jù)證明違背安全目標(biāo)的每個單點(diǎn)故障、殘余故障和雙點(diǎn)失效是可接受的?對于ASIL(B)、C和D等級，采用EEC評估時，是否對硬件元器件失效率進(jìn)行了失效率等級評級?對于ASIL(B)、C和D等級，采用EEC評估時，是否可接受硬件元器件發(fā)生的單點(diǎn)故障?對于ASIL(B)、C和D等級，采用EEC評估時，是否增加對應(yīng)的安全機(jī)制并且可接受硬件元器件發(fā)生的殘余故障?對于ASILC和D等級，采用EEC評估時，是否認(rèn)為雙點(diǎn)失效是可能的?對于ASILC和D等級，采用EEC評估時，是否增加或完善對應(yīng)的安全機(jī)制并且可接受硬件元器件發(fā)生的可導(dǎo)致雙點(diǎn)失效的雙點(diǎn)故障?對于ASIL(B)、C和D等級，對隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)評估的結(jié)果是否通過驗(yàn)證評審?附錄D提供了針對隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估開展審核及評估的說明及示例。9硬件集成和驗(yàn)證本章的目標(biāo)是對硬件集成和驗(yàn)證相關(guān)的活動和結(jié)果進(jìn)行審核及評估，以檢查硬件設(shè)計(jì)是否滿足硬件功能安全要求和相應(yīng)的ASIL等級。9.2審核及評估的輸入為了開展本章規(guī)定的審核及評估過程，應(yīng)具備以下輸入：——硬件集成和驗(yàn)證計(jì)劃；9——硬件集成和驗(yàn)證規(guī)范；——硬件集成和驗(yàn)證報告?！布踩枨笠?guī)范；——硬件設(shè)計(jì)文檔；——硬件安全分析報告。9.3審核及評估的要求對于硬件集成和驗(yàn)證的審核及評估，應(yīng)涵蓋表10、表11、表12的檢查項(xiàng)。表10硬件集成和驗(yàn)證計(jì)劃的審核及評估檢查清單序號檢查清單1是否在硬件集成和驗(yàn)證計(jì)劃中定義了驗(yàn)證對象的信息、驗(yàn)證目的和驗(yàn)證通過準(zhǔn)則?2是否在硬件集成和驗(yàn)證計(jì)劃中定義了符合產(chǎn)品硬件ASIL等級要求的活動與方法?3是否在硬件集成和驗(yàn)證計(jì)劃中定義了符合產(chǎn)品硬件安全等級要求的測試策略?4是否在硬件集成和驗(yàn)證計(jì)劃中定義了驗(yàn)證相關(guān)的依賴項(xiàng)?5是否在硬件集成和驗(yàn)證計(jì)劃中定義了驗(yàn)證失敗的應(yīng)對措施?6是否對硬件集成和驗(yàn)證計(jì)劃變更定義了相應(yīng)的管理和追溯措施?7硬件集成和驗(yàn)證計(jì)劃是否通過驗(yàn)證評審?表11硬件集成和驗(yàn)證規(guī)范的審核及評估檢查清單序號檢查清單1是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的驗(yàn)證對象、驗(yàn)證目的和驗(yàn)證通過準(zhǔn)則?2是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的測試活動和方法?3是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的測試策略?4是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的驗(yàn)證依賴項(xiàng)?5是否在硬件集成和驗(yàn)證規(guī)范中，基于產(chǎn)品的ASIL等級，采用了適當(dāng)?shù)姆椒▉硗茖?dǎo)出測試用例?6是否在硬件集成和驗(yàn)證規(guī)范中確認(rèn)了硬件安全要求與測試用例間的追溯性?7是否在硬件集成和驗(yàn)證規(guī)范中確認(rèn)了測試用例的完整性?8是否在硬件集成和驗(yàn)證規(guī)范中確認(rèn)了測試用例的正確性?9是否在硬件集成和驗(yàn)證規(guī)范中，根據(jù)產(chǎn)品的ASIL等級，定義了硬件在環(huán)境和運(yùn)行應(yīng)力因素下的耐用性和魯棒性測試?是否對硬件集成和驗(yàn)證規(guī)范的變更定義了相應(yīng)的管理和追溯措施?硬件集成和驗(yàn)證規(guī)范是否通過驗(yàn)證評審?表12硬件集成和驗(yàn)證報告的審核及評估檢查清單序號檢查清單1是否在硬件集成和驗(yàn)證報告中覆蓋了所有的測試用例?2是否在硬件集成和驗(yàn)證報告中記錄了完整的測試數(shù)據(jù)?3是否在硬件集成和驗(yàn)證報告中體現(xiàn)了測試用例完成狀態(tài)?4是否在硬件集成和驗(yàn)證報告中體現(xiàn)了測試結(jié)果(每條測試用例)?5是否對硬件集成和驗(yàn)證報告中的測試偏離項(xiàng)提供解釋說明或建議改進(jìn)措施?6是否在硬件集成和驗(yàn)證報告中明確了測試結(jié)論(通過或者失敗原因)?7硬件集成和驗(yàn)證報告是否通過驗(yàn)證評審?附錄E提供了針對硬件集成和驗(yàn)證開展審核及評估的說明及示例。10硬件要素評估本章的目標(biāo)是對硬件要素評估計(jì)劃、硬件要素測試計(jì)劃以及硬件要素評估報告等相關(guān)工作成果進(jìn)行審核及評估，以提供證據(jù)，證明硬件要素的功能表現(xiàn)足以滿足分配的安全要求，從而保證由于硬件要素的系統(tǒng)性故障而違背安全目標(biāo)或安全要求的風(fēng)險是足夠低的。10.2審核及評估的輸入為開展本章規(guī)定的審核及評估過程，應(yīng)具備以下輸入：——硬件要素評估計(jì)劃；——硬件要素測試計(jì)劃(如適用);——硬件要素評估報告。注：為支持審核及評估，可能需要提供的其他支持材料如下：——硬件要素相關(guān)的安全要求；——鑒定準(zhǔn)則(分析和測試),按照GB/T34590.5—2022中的6.4.6;——制造商的硬件要素規(guī)范，如無法提供，則提供硬件要素定義的假設(shè)。10.3審核及評估的要求對于硬件要素評估的審核及評估，應(yīng)涵蓋表13、表14、表15的檢查項(xiàng)。表13硬件要素評估計(jì)劃的審核及評估檢查清單序號檢查清單1是否在硬件要素評估計(jì)劃中定義了被評估硬件要素的范圍的確認(rèn)?2是否在硬件要素評估計(jì)劃中定義了被評估硬件要素的相關(guān)的基本信息?3是否在硬件要素評估計(jì)劃中定義了被評估硬件要素類別的識別?4是否在硬件要素評估計(jì)劃中定義了被評估硬件要素的相關(guān)要求?表13硬件要素評估計(jì)劃的審核及評估檢查清單(續(xù))序號檢查清單5是否在硬件要素評估計(jì)劃中定義了被評估硬件要素失效模式和故障，及其隨機(jī)故障的分布的識別?6是否在硬件要素評估計(jì)劃中定義了被評估硬件要素的失效模式或故障安全相關(guān)性的分析與識別?7是否在硬件要素評估計(jì)劃中定義了符合被評估硬件要素類別的評估策略?8是否在硬件要素評估計(jì)劃中定義了符合被評估硬件要素類別的評估論證?9是否在硬件要素評估計(jì)劃中定義了被評估硬件要素的依賴項(xiàng)?是否在硬件要素評估計(jì)劃中定義了被評估硬件要素的責(zé)任方?是否在硬件要素評估計(jì)劃中定義了硬件要素評估通過或不通過的準(zhǔn)則?是否對硬件要素評估計(jì)劃變更定義了相應(yīng)的管理和追溯措施?硬件要素評估計(jì)劃進(jìn)行是否通過驗(yàn)證評審?表14硬件要素測試計(jì)劃的審核及評估檢查清單序號檢查清單1是否在硬件要素測試計(jì)劃中定義了被測硬件要素的基本信息(如適用)?2是否在硬件要素測試計(jì)劃中定義了符合集成了被測硬件要素的要素或系統(tǒng)的ASIL等級要求的硬件測試活動與方法(如適用)?3是否在硬件要素測試計(jì)劃中定義了分配給被測硬件要素的安全要求(如適用)?4是否在硬件要素測試計(jì)劃中定義了需要參考的測試規(guī)范和測試順序(如適用)?5是否在硬件要素測試計(jì)劃中體現(xiàn)了測試與安全要求之間的追溯性(如適用)?6是否在硬件要素測試計(jì)劃中定義了組裝和連接的需求(如適用)?7是否在硬件要素測試計(jì)劃中定義了測試的依賴項(xiàng)(如適用)?8是否在硬件要素測試計(jì)劃中定義了被測硬件要素數(shù)量(如適用)?9是否在硬件要素測試計(jì)劃中定義了測試通過或不通過的準(zhǔn)則(如適用)?是否對硬件要素測試計(jì)劃變更定義了相應(yīng)的管理和追溯措施(如適用)?硬件要素測試計(jì)劃是否通過驗(yàn)證評審(如適用)?表15硬件要素評估報告的審核及評估檢查清單序號檢查清單1是否在硬件要素評估報告中體現(xiàn)了被評估硬件要素的范圍?2是否在硬件要素評估報告中體現(xiàn)了分配給被評估硬件要素的相關(guān)的基本信息?3是否在硬件要素評估報告中體現(xiàn)了分配給被評估硬件要素的安全要求?4是否在硬件要素評估報告中體現(xiàn)了被評估硬件要素的類別?5是否在硬件要素評估報告中體現(xiàn)了被評估硬件要素失效模式或故障，及其隨機(jī)硬件故障的分布信息?6是否在硬件要素評估報告中體現(xiàn)了被評估硬件要素失效模式或故障的安全相關(guān)性?表15硬件要素評估報告的審核及評估檢查清單(續(xù))序號檢查清單7是否在硬件要素評估報告中體現(xiàn)了符合被評估硬件要素類別的評估策略?8是否在硬件要素評估報告中體現(xiàn)了符合被評估硬件要素類別的評估論證?9是否在硬件要素評估報告中體現(xiàn)了對被評估硬件要素相關(guān)的評估論證的評估?是否對硬件要素評估報告中的偏離項(xiàng)提供了解釋說明或建議改進(jìn)措施?是否在硬件要素評估報告中明確了評估結(jié)論(通過或失敗)?硬件要素評估報告是否通過驗(yàn)證評審?附錄F提供了針對硬件要素評估開展審核及評估的說明及示例。(資料性)硬件安全要求硬件安全要求的審核及評估的說明及示例見表A.1。表A.1硬件安全要求的審核及評估的說明及示例序號檢查清單說明及示例1是否定義了硬件安全要求和安全機(jī)制控制硬件內(nèi)部失效(例如：對內(nèi)核失效的檢測、對存儲失效的監(jiān)控)?可檢查是否根據(jù)硬件內(nèi)部失效分析(DFMEA等)的結(jié)果定義了相關(guān)要求示例1:根據(jù)DFMEA的分析結(jié)果，如果內(nèi)核失效，可能造成程序跑飛，需要檢查是否有定義看門狗的定時和探測能力的要求。示例2:根據(jù)DFMEA的分析結(jié)果，如果存儲區(qū)域失效，會造成數(shù)據(jù)丟失，需要檢查是否有存儲區(qū)域的校驗(yàn)要求。2是否定義了對外部失效容錯的硬件安全要求和安全機(jī)制(例如：傳感器開路或短路檢測的支撐電路)?可檢查是否根據(jù)外部接口失效分析(DFMEA等)的結(jié)果定義了相關(guān)要求3是否為符合其他要素的安全要求定義了硬件安全要求和安全機(jī)制的相關(guān)屬性?可檢查是否有硬件安全要求滿足根據(jù)來自其他系統(tǒng)的安全要求定義4是否定義了硬件安全要求和安全機(jī)制探測內(nèi)外部失效和發(fā)送失效信息?可檢查是否有對應(yīng)發(fā)送失效信息的硬件安全要求5對于ASIL(B)、C和D等級，硬件安全要求是否設(shè)定了硬件架構(gòu)度量目標(biāo)值?可檢查定義的硬件度量設(shè)定目標(biāo)值是否符合單點(diǎn)故障度量和潛伏故障度量指標(biāo)的要求(GB/T34590.5—2022中表4和表5)。如涉及ASIL分解，則可檢查硬件度量設(shè)定目標(biāo)值是否按照分解前的ASIL等級設(shè)置6對于ASIL(B)、C和D等級，硬件安全要求是否設(shè)定了隨機(jī)硬件失效概率度量目標(biāo)值(如采用EEC方法，該問題不適用)?可檢查定義的硬件隨機(jī)失效設(shè)定目標(biāo)值是否滿足隨機(jī)硬件失效目標(biāo)值(PMHF)或者對違背安全目標(biāo)的每個原因的評估(EEC)方法的定義。a)隨機(jī)硬件失效目標(biāo)值(PMHF見GB/T34590.5—2022中的表6)。b)違背安全目標(biāo)的每個原因的評估(EEC):——針對單點(diǎn)故障的硬件元器件失效率等級目標(biāo)(見GB/T34590.5—2022中的表7和表8);——針對雙點(diǎn)故障的硬件元器件失效率等級和覆蓋率的目標(biāo)(見GB/T34590.5—2022中的表9)。如果采用對違背安全目標(biāo)的每個原因的評估(EEC)方法，則可檢查是否需要定義專用措施。專用措施可能包括：——設(shè)計(jì)特征，如硬件元器件過設(shè)計(jì)(例如電氣或熱應(yīng)力等級)或者物理隔離(例如印刷電路板上的觸點(diǎn)間隔);——專門的來料抽樣測試，以降低此失效模式發(fā)生的風(fēng)險；——老化測試；——作為控制計(jì)劃一部分的專用控制設(shè)備；——安全相關(guān)的特殊特性的分配表A.1硬件安全要求的審核及評估的說明及示例(續(xù))序號檢查清單說明及示例7硬件安全要求是否包含了非用以定義安全機(jī)制的硬件安全要求?可檢查是否有相關(guān)定義，例如：線束屏蔽EMC干擾的硬件安全要求、接插件插拔防呆的硬件安全要求8是否定義了相關(guān)項(xiàng)或要素的硬件設(shè)計(jì)驗(yàn)證準(zhǔn)則，包括環(huán)境條件(溫度、振動、EMI等)、特定的運(yùn)行環(huán)境(供電電壓、任務(wù)剖面等)以及特定于組件的要求?可檢查是否有針對每條硬件安全要求都定義了硬件設(shè)計(jì)驗(yàn)證準(zhǔn)則(設(shè)計(jì)評審或測試驗(yàn)證都可作為驗(yàn)證準(zhǔn)則)。-—硬件安全要求：×××的電源接口應(yīng)提供3.3V的電壓給×××傳——驗(yàn)證準(zhǔn)則：設(shè)計(jì)評審。9硬件安全要求所對應(yīng)的安全機(jī)制的故障容錯時間間隔或者最大故障處理時間間隔是否符合系統(tǒng)層級的定義?如果為單點(diǎn)故障，可檢查是否與所關(guān)聯(lián)的技術(shù)安全要求的故障容錯時間間隔或者最大故障處理時間間隔要求保持一致硬件安全要求所對應(yīng)的安全機(jī)制的多點(diǎn)故障探測時間間隔要求是否符合系統(tǒng)層級的定義?如果為多點(diǎn)故障，對于ASIL等級為ASILC和ASILD的安全目標(biāo)來說：a)如果對應(yīng)的安全概念沒有描述明確的量值，可檢查是否參照安全概念的定義；b)如果對應(yīng)的安全概念沒有描述明確的量值，可檢查多點(diǎn)故障探測時間間隔是否等于或小于該相關(guān)項(xiàng)從上電到下電的周期。如通過對隨機(jī)硬件失效的發(fā)生概率的定量分析來確定，可檢查是否符合MTTF的合理性硬件安全要求是否與技術(shù)安全要求之間保持了追溯性和一致性?硬件安全要求是否與技術(shù)安全概念、系統(tǒng)設(shè)計(jì)規(guī)范和硬件規(guī)范之間保持了一致性?可檢查是否有驗(yàn)證報告可表現(xiàn)有對追溯性和一致性的檢查，是否可提供工具統(tǒng)計(jì)的硬件安全要求與技術(shù)安全要求的覆蓋度報告或類似證據(jù)，并對實(shí)際交付物進(jìn)行抽查，例如：硬件安全要求和技術(shù)安全要求的要求是否都有唯一的標(biāo)識號，標(biāo)識號之間是否可互相追溯，上下級要求之間描述是否一致GB/T34590.8—2022第6章的要求進(jìn)行定義和管理?可檢查硬件安全要求是否按照GB/T34590.8—2022中表1定義安全要求的方法進(jìn)行定義；是否具備明確的安全要求的屬性和特性；是否按照安全要求的管理要求進(jìn)行管理；是否運(yùn)用GB/T34590.8—2022中表2所列方法的恰當(dāng)組合進(jìn)行安全要求的驗(yàn)證軟硬件接口規(guī)范的審核及評估的說明及示例見表A.2。表A.2軟硬件接口規(guī)范的審核及評估的說明及示例序號檢查清單說明及示例1是否細(xì)化了硬件設(shè)備的相關(guān)運(yùn)行模式和相關(guān)配置參數(shù)(例如：對看門狗的配置)?檢查對應(yīng)參數(shù)是否有配置，例如：看門狗的時間窗口設(shè)置2是否確保了要素間獨(dú)立性或支持軟件分區(qū)的硬件特征?可結(jié)合DFA分析的結(jié)果檢查是否對系統(tǒng)層面的軟硬件接口規(guī)劃進(jìn)行了細(xì)化，例如：對多核MCU的核內(nèi)資源分配3是否對硬件資源的共用和專用進(jìn)行了明確定義?了細(xì)化表A.2軟硬件接口規(guī)范的審核及評估的說明及示例(續(xù))序號檢查清單說明及示例4是否對硬件設(shè)備的訪問機(jī)制進(jìn)行了明確定義?可檢查例如：是否對硬件設(shè)備間的主從、串并關(guān)系進(jìn)行了細(xì)化5由技術(shù)安全概念得出的時間約束是否在軟硬件接口規(guī)范中進(jìn)行了說明?可檢查軟件和硬件的響應(yīng)時間之和是否滿足技術(shù)安全概念得出的時間約束6是否對硬件的診斷特性進(jìn)行了明確定義?可檢查例如：是否定義了硬件的過流過壓過溫閾值，并在對應(yīng)的硬件安全要求中進(jìn)行了描述7是否對需要在軟件中實(shí)現(xiàn)的對硬件的診斷特性進(jìn)行了明確定義?可檢查例如：軟硬件接口規(guī)范中所定義的硬件過流、過壓、過溫的閾值，是否在關(guān)聯(lián)的軟件安全要求里定義了相應(yīng)的診斷要求8是否明確描述了硬件和軟件之間的每一項(xiàng)安全相關(guān)的關(guān)聯(lián)性?可根據(jù)例如：硬件FMEA和軟件FMEA的分析結(jié)果檢查是否都進(jìn)行了明確描述9是否細(xì)化后的軟硬件接口都定義了對應(yīng)的驗(yàn)證準(zhǔn)則?可檢查每一條接口對應(yīng)的要求定義是否有關(guān)聯(lián)驗(yàn)證準(zhǔn)則(設(shè)計(jì)評審或測試驗(yàn)證都可作為驗(yàn)證準(zhǔn)則),如需軟件實(shí)現(xiàn)的診斷特性，則檢查軟件安全要求是否有關(guān)聯(lián)驗(yàn)證準(zhǔn)則。驗(yàn)證可為評審或測試是否細(xì)化后的軟硬件接口(HSI)規(guī)范的充分性由軟硬件開發(fā)人員進(jìn)行了共同驗(yàn)證?可檢查設(shè)計(jì)評審及測試驗(yàn)證的參與人員是否包含軟件和硬件開發(fā)人員硬件安全要求驗(yàn)證報告的審核及評估的說明及示例見表A.3。表A.3硬件安全要求驗(yàn)證報告的審核及評估的說明及示例序號檢查清單說明及示例1硬件安全要求的驗(yàn)證活動是否驗(yàn)證了與技術(shù)安全概念、系統(tǒng)設(shè)計(jì)規(guī)范以及硬件規(guī)范的一致性?可檢查是否有記錄體現(xiàn)硬件安全要求與技術(shù)安全概念、系統(tǒng)設(shè)計(jì)規(guī)范以及硬件規(guī)范的一致性的證據(jù)2硬件安全要求的驗(yàn)證活動是否說明了技術(shù)安全要求分配給硬件要素的完整性?可檢查是否有記錄體現(xiàn)技術(shù)安全要求分配給硬件要素的完整性的證據(jù)3硬件安全要求的驗(yàn)證活動是否驗(yàn)證了與相關(guān)軟件安全要求的一致性?可檢查是否有記錄體現(xiàn)硬件安全要求與相關(guān)軟件安全要求的一致性的證據(jù)4硬件安全要求的驗(yàn)證活動是否驗(yàn)證了硬件安全要求的正確性與準(zhǔn)確性?可檢查是否有記錄體現(xiàn)硬件安全要求的正確性和準(zhǔn)確性的證據(jù)，例如：檢查硬件安全要求的評審記錄和測試記錄，確認(rèn)其結(jié)果與硬件安全要求的驗(yàn)證準(zhǔn)則一致(資料性)硬件設(shè)計(jì)的審核及評估的說明及示例見表B.1。表B.1硬件設(shè)計(jì)的審核及評估的說明及示例序號檢查清單說明及示例1所定義的硬件安全要求是否與硬件架構(gòu)保持了追溯性和一致性，并保持到硬件組件的最底層?注：對于不能劃分為硬件子要素的硬件元器件，不分配硬件安全要求。例如，電容和電阻?？蓹z查是否有驗(yàn)證報告表示所定義的硬件安全要求與硬件架構(gòu)(甚至到硬件組件的最底層)保持了追溯性和一致性，是否有工具統(tǒng)計(jì)的硬件架構(gòu)與硬件安全要求的覆蓋度報告或類似證據(jù)。對實(shí)際交付物進(jìn)行抽查，例如：硬件安全要求是否有獨(dú)立的ID,硬件架構(gòu)描述是否有獨(dú)立的ID,ID之間是否可相互追溯，相互之間的描述是否一致注：硬件安全要求的可追溯性不要求深入到硬件詳細(xì)設(shè)計(jì)。對于不能劃分為硬件子元素的硬件元器件，不分配硬件安全要求。例如，試圖建立每個電容和電阻等硬件的可追溯性既沒有意義，也沒有益處。2硬件安全要求是否都分配給了硬件要素及其子要素?每個硬件要素或子要素所定義的ASIL等級是否為分配給它的所有要求中最高的ASIL等級?如果一個硬件要素是由ASIL等級低于ASIL等級的子要素組成，該要素是否滿足GB/T34590.9—2022第6章的共存準(zhǔn)則?可檢查是否有驗(yàn)證報告表示硬件要求都分配給了硬件要素及其子要素，且每個硬件要素或子要素所定義的ASIL等級為分配給它的所有要求中最高的ASIL等級，并對交付物進(jìn)行抽查。如果一個硬件要素是由ASIL等級低于要素ASIL等級或沒有指定ASIL等級的子要素組成，需要檢查DFA中基于硬件架構(gòu)對于ASIL等級低于要素ASIL等級或沒有指定ASIL等級的子要素分析的完整性和正確性，證明其不存在干擾示例1:硬件要素1含有兩個子要素，分別為硬件子要素1.1和硬件子要素1.2,如果一個ASILB要求被分配給硬件要素1,那么硬件子要素1.1和硬件子要素1.2都要繼承ASILB。硬件子要素1.2僅在滿足以下條件時在較低的ASIL等級下開發(fā)：a)硬件要素1的至少一個子要素能夠滿足硬件要素1在ASILB下的要求(例如：硬件子要素1.1);b)硬件子要素1.2不能違反硬件要素1的安全要求；c)滿足共存的準(zhǔn)則：從硬件子要素1.2到硬件子要素1.1沒有級聯(lián)失效(免于干擾)。示例2:如果將ASILD的要求分配給一個ECU,其可在獨(dú)立并且冗余的硬件要素1和硬件要素2之間進(jìn)行分解。分解需要滿足以下要求：——使用GB/T34590.9—2022第5章的ASIL等級的分解方案，如ASILD→ASILB(D)+ASILB(D);——硬件要素1本身滿足ASILB(D)的ECU的安全要求；——硬件要素2本身滿足ASILB(D)的ECU的安全要求。3硬件架構(gòu)設(shè)計(jì)中如果對硬件安全要求應(yīng)用ASIL等級分解，GB/T34590.9—2022第5章的要求進(jìn)行?可檢查硬件架構(gòu)設(shè)計(jì)中硬件安全要求ASIL等級的分解的方案，分解方案滿足GB/T34590.9—2022第5章的要求示例：分配給電源ASILD要求可分解為兩路不同源的電源輸入，并且兩路的電源都使用監(jiān)控輸出的電壓或電流的安全機(jī)制，那么這兩路電源的ASIL等級可都為ASILB(D)。表B.1硬件設(shè)計(jì)的審核及評估的說明及示例(續(xù))序號檢查清單說明及示例4硬件架構(gòu)設(shè)計(jì)是否按照對應(yīng)的ASIL等級根據(jù)GB/T34590.5—2022中的表1硬件架構(gòu)設(shè)計(jì)原則進(jìn)行設(shè)計(jì)，并使其具有模塊化特性、適當(dāng)?shù)牧６人胶秃唵涡?如未按照ASIL等級要求選取硬件設(shè)計(jì)原則，是否有合理的理由說明?可根據(jù)GB/T34590.5—2022中表1按照對應(yīng)ASIL等級的要求檢查硬件架構(gòu)框圖是否具有對應(yīng)的設(shè)計(jì)原則。如未按照ASIL等級要求選取硬件設(shè)計(jì)原則，確認(rèn)是否有合理的理由說明。確認(rèn)硬件架構(gòu)中的硬件要素的設(shè)計(jì)是否無需修改就可重復(fù)使用。例如：溫度探測電路模塊、微控制器中的ECC模塊。確認(rèn)硬件架構(gòu)是否在必要的詳細(xì)程度上體現(xiàn)必要的信息，來顯示安全機(jī)制的有效性。確認(rèn)硬件架構(gòu)是否避免不必要的接口復(fù)雜性并且避免不必要的硬件組件復(fù)雜性5在硬件架構(gòu)設(shè)計(jì)時，是否考慮安全相關(guān)硬件組件失效的非功能件架構(gòu)的其他硬件組件或其所在環(huán)境的串?dāng)_)?可檢查是否定義了安全相關(guān)硬件組件失效的非功能性原因示例：功能性需求為×××的溫度工作范圍為(一40℃,125℃)。6在進(jìn)行硬件詳細(xì)設(shè)計(jì)時，為避免常見的設(shè)計(jì)缺陷，是否運(yùn)用相關(guān)的經(jīng)驗(yàn)總結(jié)?可檢查例如FMEA中的相關(guān)經(jīng)驗(yàn)總結(jié)，之前項(xiàng)目的經(jīng)驗(yàn)總結(jié)等是否被運(yùn)用到實(shí)際的硬件詳細(xì)設(shè)計(jì)中?？沙椴橄嚓P(guān)設(shè)計(jì)FMEA中的預(yù)防措施是否被運(yùn)用，以及之前項(xiàng)目經(jīng)驗(yàn)總結(jié)相關(guān)的措施是否被運(yùn)用7在硬件詳細(xì)設(shè)計(jì)時，是否考慮安全相關(guān)硬件元器件失效的非功能性原因(如溫度、振動、水、灰件組件的其他硬件元器件或其所在環(huán)境的串?dāng)_)?可檢查是否定義了安全相關(guān)硬件元器件失效的非功能性原因8硬件詳細(xì)設(shè)計(jì)是否考慮硬件元器件或硬件組件的任務(wù)剖面和運(yùn)行條件?是否保證硬件元器件或硬件組件在其規(guī)格范圍內(nèi)運(yùn)行?可檢查定義的硬件元器件或硬件組件的運(yùn)行條件是否在硬件元器件或硬件組件的任務(wù)剖面和運(yùn)行條件范圍內(nèi)示例：選擇硬件元器件時，預(yù)期適用溫度范圍為(一40℃,125℃),則選擇的硬件元器件的工作溫度需要覆蓋此范圍。9硬件詳細(xì)設(shè)計(jì)是否考慮魯棒性設(shè)計(jì)原則(如適用)?可檢查硬件詳細(xì)設(shè)計(jì)是否遵循其魯棒性設(shè)計(jì)原則注：關(guān)于硬件組件設(shè)計(jì)，可遵循企業(yè)內(nèi)部的關(guān)于硬件組件應(yīng)對環(huán)境和運(yùn)行應(yīng)力因素魯棒性方面的規(guī)范。硬件設(shè)計(jì)規(guī)范是否通過驗(yàn)證評審?可檢查對應(yīng)的硬件設(shè)計(jì)規(guī)范驗(yàn)證評審報告是否存在，并且驗(yàn)證評審報告中的檢查項(xiàng)要求都滿足硬件安全分析的審核及評估的說明及示例見表B.2。表B.2硬件安全分析的審核及評估的說明及示例序號檢查清單說明及示例1是否定義了針對不同ASIL等級硬件產(chǎn)品要求的定性的安全分析方法?可檢查對不同ASIL等級硬件產(chǎn)品要求的定性的安全分析方法?如演繹硬件安全分析(例如FTA)、歸納安全分析(例如FMEA)、相關(guān)失效分析(例如DFA)等2對于ASIL(B)、C和D等級，是否用安全分析針對每個安全相關(guān)的硬件組件或元器件識別以下內(nèi)容：a)安全故障；b)單點(diǎn)故障或殘余故障；c)多點(diǎn)故障(無論是可感知的、可探測的或潛伏的)可檢查FMEA、FMEDA或FTA中失效是否為安全相關(guān)，并且對安全相關(guān)失效故障進(jìn)行分類。硬件要素的短路故障，若其不會導(dǎo)致違反安全目標(biāo)，則其為安全故障，若其導(dǎo)致直接違反安全目標(biāo)且沒有安全機(jī)制存在，則其為單點(diǎn)故障，若有安全機(jī)制覆蓋，那么安全機(jī)制未覆蓋到的部分為殘余故障，若該硬件要素的短路故障需要與另一的失效故障一起發(fā)生才會導(dǎo)致違反安全目標(biāo)，則其為多點(diǎn)故障3對于ASIL(B)、C和D等級，對于防止導(dǎo)致單點(diǎn)失效的故障或減少殘余故障而實(shí)施的安全機(jī)制，是否具備證明安全機(jī)制具有實(shí)現(xiàn)和保持安全狀態(tài)的能力(特別是在容錯時間間隔和最大故障處理時間間隔內(nèi)適當(dāng)?shù)氖p輕能力)的證據(jù)?由安全機(jī)制實(shí)現(xiàn)的殘余故障的診斷覆蓋率是否已評估?可檢查對于防止導(dǎo)致單點(diǎn)失效的故障或減少殘余故障的而實(shí)施的安全機(jī)制對于偵測到故障到安全機(jī)制作動的時間是否能滿足FTTI進(jìn)行評估或測試的證據(jù)。安全機(jī)制的診斷覆蓋率的評估方法，如：a)參考標(biāo)準(zhǔn)：GB/T34590.5—2022附錄D和GB/T34590.11—2022第b)深入分析：故障注入測試、數(shù)學(xué)分析、仿真等；4對于ASIL(B)、C和D等級，防止?jié)摲收隙鴮?shí)施的安全機(jī)制，是否具備證據(jù)以證明安全機(jī)制在可接受的多點(diǎn)故障探測時間間隔內(nèi)完成潛伏故障的失效探測和實(shí)現(xiàn)或保持安全狀態(tài)及警示駕駛員的能力，以確定哪些故障保持潛伏，哪些故障可被探測到?由安全機(jī)制實(shí)現(xiàn)的潛伏故障的診斷覆蓋率是否已評估?可檢查對于防止?jié)摲收隙鴮?shí)施的安全機(jī)制對于偵測到多點(diǎn)故障發(fā)生到安全機(jī)制作動的時間是否能滿足多點(diǎn)故障探測時間間隔進(jìn)行評估或測試的證據(jù)。安全機(jī)制的診斷覆蓋率的評估方法，如：a)參考標(biāo)準(zhǔn)：GB/T34590.5—2022附錄D和GB/T34590.11—2022第b)深入分析：故障注入測試、數(shù)學(xué)分析、仿真等；5是否進(jìn)行相關(guān)失效分析以提供證據(jù)證明設(shè)計(jì)中的硬件要素與它們的獨(dú)立性要求相符合?可檢查對于硬件要素的DFA的必要性和充分性?？蓹z查不同的耦合因素(如共享資源，共享信息輸入，環(huán)境抗干擾能力不間的相關(guān)失效影響，這些要素之間不存在級聯(lián)失效和共因失效6如果硬件設(shè)計(jì)引入了新危害，且這個危害沒有被現(xiàn)有的HARA報告覆蓋，是否有變更管理流程對它們進(jìn)行引入和評估?可檢查FMEA中該新危害是否被記錄，是否有相應(yīng)的變更申請，變更影響分析和變更需求計(jì)劃以及變更報告7硬件安全分析是否通過驗(yàn)證評審?可檢查對應(yīng)的硬件安全分析的驗(yàn)證評審報告是否存在，并且驗(yàn)證評審報告中的檢查項(xiàng)要求都滿足硬件設(shè)計(jì)驗(yàn)證的審核及評估的說明及示例見表B.3。表B.3硬件設(shè)計(jì)驗(yàn)證的審核及評估的說明及示例序號檢查清單說明及示例是否按照對應(yīng)的ASIL等級選取GB/T34590.5—2022中表3要求的硬件設(shè)計(jì)驗(yàn)證方法，以驗(yàn)證硬件設(shè)計(jì)滿足硬件安全要求，與軟硬件接口規(guī)范兼容以及用來生產(chǎn)和服務(wù)過程中實(shí)現(xiàn)功能安全的安全相關(guān)特殊特性的適用性?如未按照ASIL等級要求選取方法，是否有合理的理由說明?可按照ASIL等級檢查GB/T34590.5—2022中表3的驗(yàn)證方法是否被使用，可檢查硬件設(shè)計(jì)走查會議記錄、硬件設(shè)計(jì)檢查報告、安全分析報告、仿真報告以及通過硬件原型的開發(fā)記錄和報告等，說明硬件設(shè)計(jì)滿足硬件安全的要求、硬件設(shè)計(jì)與軟硬件接口規(guī)范兼容且能證明硬件設(shè)計(jì)用來在生產(chǎn)和服務(wù)過程中實(shí)現(xiàn)功能安全的安全相關(guān)特殊特性的適用性。如未按照ASIL等級要求選取方法，確認(rèn)是否有合理的理由并且能夠滿足硬件設(shè)計(jì)驗(yàn)證目的2是否具有仿真或通過硬件原型的開發(fā)驗(yàn)證方法的驗(yàn)證計(jì)劃、驗(yàn)證規(guī)范以及驗(yàn)證報告，如適用?這些驗(yàn)證計(jì)劃、驗(yàn)證規(guī)范和驗(yàn)證報告是否通過驗(yàn)證評審?可檢查仿真或通過硬件原型的開發(fā)驗(yàn)證是否按照GB/T34590.8—2022第9章要求來進(jìn)行，具有對應(yīng)的驗(yàn)證計(jì)劃、驗(yàn)證規(guī)范以及驗(yàn)證報告。檢查驗(yàn)證計(jì)劃，驗(yàn)證規(guī)范以及驗(yàn)證報告對應(yīng)的驗(yàn)證評審報告是否存在，并且驗(yàn)證評審報告中的檢查項(xiàng)要求都滿足3在硬件設(shè)計(jì)過程中，如果發(fā)現(xiàn)任何硬件安全要求的實(shí)施是不可行的，是否按照GB/T34590.8—2022第8章中的變更管理流程提出變更請求?可檢查是否有相應(yīng)的變更申請，變更影響分析和變更需求計(jì)劃以及變更報告4是否根據(jù)硬件安全要求和硬件設(shè)計(jì)規(guī)范驗(yàn)證用于開發(fā)集成到效性?可檢查是否有驗(yàn)證報告可表現(xiàn)集成到硬件中的SEooC的假設(shè)被硬件安全要求和硬件設(shè)計(jì)規(guī)范覆蓋，并且證明其是有效的與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的需求規(guī)范的審核及評估的說明及示例見表表B.4與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的需求規(guī)范的審核及評估的說明及示例序號檢查清單說明及示例1是否有與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的安全相關(guān)的特殊特性?可檢查是否有與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的安全相關(guān)要求，這些安全相關(guān)的要求需要定義特殊特性?？蓹z查產(chǎn)品特殊特性清單示例：當(dāng)報廢帶有安全氣囊的汽車或轉(zhuǎn)向盤總成(內(nèi)含安全氣囊組件)時，應(yīng)引爆安全氣囊，以防安全氣囊誤爆引起的事故。2是否定義這些安全相關(guān)的特殊特性：——生產(chǎn)和運(yùn)行的驗(yàn)證措施；——這些措施的接受準(zhǔn)則可檢查與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的特殊特性清單以及硬件安全需求中定義的這些特殊特性的生產(chǎn)和運(yùn)行的驗(yàn)證措施和這些措施的接受準(zhǔn)則示例：對一種依賴于新的傳感器技術(shù)的硬件設(shè)計(jì)的安全分析(如攝像頭或雷達(dá)傳感器),能揭示出這些傳感器與特殊安裝流程的關(guān)系。則在生產(chǎn)階段對這些組件的必要的額外驗(yàn)證措施需要被定義在硬件需求中。序號檢查清單說明及示例3如果安全相關(guān)硬件要素的錯誤組裝、拆卸和報廢可能對實(shí)現(xiàn)或維護(hù)功能安全產(chǎn)生不利影響，是否將避免錯誤執(zhí)行所需的信息告知負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報廢的人員?可檢查為避免安全相關(guān)硬件要素的錯誤組裝、拆卸和報廢可能對實(shí)現(xiàn)或維護(hù)功能安全產(chǎn)生不利影響執(zhí)行所需的信息。負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報廢的人員是否參與了與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的需求規(guī)范的評審并認(rèn)可4安全相關(guān)硬件要素是否具有可追溯性?是否支持可進(jìn)行有效的現(xiàn)場監(jiān)測和可啟用召回或更換管理?可檢查安全相關(guān)硬件要素是否有適當(dāng)?shù)臉?biāo)簽或其他的硬件要素識別方法，來表示它們是與安全相關(guān)的5如果錯誤的服務(wù)可能對實(shí)現(xiàn)或維護(hù)功能安全產(chǎn)生不利影響，是否將避免此類影響執(zhí)行所需的信息定義至與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的需求規(guī)范中?是否告知負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報廢的人員?可檢查與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的需求規(guī)范中是否定義了避免錯誤的服務(wù)可能對實(shí)現(xiàn)或維護(hù)功能安全產(chǎn)生不利影響執(zhí)行所需的信息。負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報廢的人員是否參與了與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的需求規(guī)范的評審并認(rèn)可6硬件設(shè)計(jì)過程中產(chǎn)生的硬件要素的生產(chǎn)、運(yùn)行、服務(wù)和報廢要求，是否通過某種方式告知負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報廢的人員?可檢查負(fù)責(zé)生產(chǎn)、運(yùn)行、服務(wù)和報廢的人員是否參與了與生產(chǎn)、運(yùn)行、服務(wù)和報廢相關(guān)的需求規(guī)范的評審并認(rèn)可7與生產(chǎn)、運(yùn)行、服務(wù)和報廢的需求規(guī)范是否通過驗(yàn)證評審?可檢查與生產(chǎn)、運(yùn)行、服務(wù)和報廢的需求規(guī)范的驗(yàn)證報告，說明與生產(chǎn)、運(yùn)行、服務(wù)和報廢的需求規(guī)范通過驗(yàn)證評審(資料性)硬件架構(gòu)度量的評估硬件架構(gòu)度量的評估的審核及評估的說明及示例見表C.1。表C.1硬件架構(gòu)度量的評估的審核及評估的說明及示例序號檢查清單說明及示例1對于ASIL(B)、C和D等級，是否為已制定的安全機(jī)制確定了診斷覆蓋率?確定的診斷覆蓋率是否合理?可檢查所制定的安全機(jī)制是否考慮了殘余故障和相關(guān)的潛伏故障，及聲明的診斷覆蓋率有合適的理由支持。殘余故障及潛伏故障可參考GB/T34590.5—2022附錄B。診斷覆蓋率可參考GB/T34590.10—2022參與失效率評估條款和GB/T34590.11—2022附錄A中的示例2對于ASIL(B)、C和D等級，硬件元器件預(yù)估失效率的確定是否采用了正確的方法?預(yù)估的失效率是否合理、正確?可檢查預(yù)估失效率的確定方法是否為以下三種情況之一：a)使用業(yè)界公認(rèn)的數(shù)據(jù)庫，例如SN29500、IEC61709等；b)使用現(xiàn)場反饋的數(shù)據(jù)；c)采用專家判斷，例如SAEJ1211、JEDEC-JEDS89等。還可檢查確定過的預(yù)估失效率的合理性，比如：——對于采用業(yè)界公認(rèn)的數(shù)據(jù)庫的方法時，使用實(shí)際的任務(wù)剖面，以便得到合理的基礎(chǔ)失效率；——對于使用現(xiàn)場反饋的數(shù)據(jù)的方法，有70%以上的置信度3對于ASIL(B)、C和D等級，當(dāng)無法提供充足證據(jù)支持硬件元器件的失效率時，是否有相應(yīng)的替代方案?替代方案是否合理?可檢查替代方案的合理性。例如，增加的安全機(jī)制是否帶來更高的診斷覆蓋率4對于ASIL(B)、C和D等級，是否為每一個安全目標(biāo)都定義了SPFM的目標(biāo)值?可檢查已定義SPFM目標(biāo)值的合理性。如采用本表中序號2中的方法a)來確定SPFM目標(biāo)值，提供足夠的證據(jù)證明參考設(shè)計(jì)的可信賴性和相似性。如采用本表中序號2中的方法b)來確定SPFM目標(biāo)值，確保是否與安全目標(biāo)的ASIL等級相一致。SPFM目標(biāo)值可體現(xiàn)在相關(guān)工作產(chǎn)出物中，例如安全計(jì)劃、FMEDA等5對于ASIL(B)、C和D等級，是否為每一個安全目標(biāo)都定義了LFM的目標(biāo)值?可檢查已定義SPFM目標(biāo)值的合理性。如采用本表中序號2中的方法a)來確定LFM目標(biāo)值，提供足夠的證據(jù)證明參考設(shè)計(jì)的可信賴性和相似性。如采用本表中序號2中的方法b)來確定LFM目標(biāo)值，確保是否與安全目標(biāo)的ASIL等級相一致。LFM目標(biāo)值可體現(xiàn)在相關(guān)工作產(chǎn)出物中，例如安全計(jì)劃、FMEDA等6對于ASIL(B)、C和D等級，進(jìn)行硬件架構(gòu)度量評估時，是否將發(fā)生在安全相關(guān)硬件要素上的每個故障都進(jìn)行了正確的分類?故障歸類為：a)單點(diǎn)故障；b)殘余故障；c)多點(diǎn)故障；d)安全故障。故障的分類方法可參照GB/T34590.10—2022中的8.1表C.1硬件架構(gòu)度量的評估的審核及評估的說明及示例(續(xù))序號檢查清單說明及示例7對于ASIL(B)、C和D等級，是否每一個安全目標(biāo)的SPFM的計(jì)算都采用了正確的計(jì)算公式?SPFM的計(jì)算采用GB/T34590.5—2022中C.7的公式8對于ASIL(B)、C和D等級，是否每一個安全目標(biāo)都滿足了已定義的SPFM的目標(biāo)值?可檢查：——如果相關(guān)項(xiàng)包含失效率等級有顯著差異的不同種類的硬件要素，每一類硬件要素的度量目標(biāo)是否都具有合理的SPFM值；——如適用，可考慮瞬態(tài)故障相關(guān)的SPFM;——是否結(jié)合多個安全目標(biāo)確定SPFM,并且采用最高ASIL等級的安全目標(biāo)的度量目標(biāo)。如果未滿足SPFM目標(biāo)值，按照GB/T34590.5—2022中的4.2對給出的如何實(shí)現(xiàn)安全目標(biāo)的論據(jù)進(jìn)行評估9對于ASIL(B)、C和D等級，是否每一個安全目標(biāo)的LFM的計(jì)算都采用了正確的計(jì)算公式?LFM的計(jì)算采用GB/T34590.5—2022中C.8的公式對于ASIL(B)、C和D等級，是否每一個安全目標(biāo)都滿足了已定義的LFM的目標(biāo)值?可檢查：——如果相關(guān)項(xiàng)包含失效率等級有顯著差異的不同種類的硬件要素，每一類硬件要素的度量目標(biāo)是否都具有合理的LFM值；——如適用，可考慮瞬態(tài)故障相關(guān)的LFM;——是否結(jié)合多個安全目標(biāo)確定LFM,并且采用最高ASIL等級的安全目標(biāo)的度量目標(biāo)。如果未滿足LFM目標(biāo)值，按照GB/T34590.5—2022中的4.2對給出的如何實(shí)現(xiàn)安全目標(biāo)的論據(jù)進(jìn)行評估對于ASIL(B)、C和D等級，每一個安全目標(biāo)SPFM和LFM的結(jié)果是否通過驗(yàn)證評審?可檢查是否采用了GB/T34590.8—2022第9章的要求對SPFM和LFM結(jié)果進(jìn)行了驗(yàn)證評審，及驗(yàn)證評審相關(guān)的證據(jù)。評審報告及相應(yīng)的計(jì)算過程通常體現(xiàn)在FMEDA中(資料性)隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估的審核及評估說明見表D.1。表D.1隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估的審核及評估說明序號檢查清單示例及說明1對于ASIL(B)、C和D等級，隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)評估中用到的硬件元器件預(yù)估失效率的確定是否采用了正確的方法?預(yù)估的失效率是否合理、正確?可檢查預(yù)估失效率的確定方法是否為以下三種情況之一：a)使用業(yè)界公認(rèn)的數(shù)據(jù)庫，例如SN29500、IEC61709等；b)使用現(xiàn)場反饋的數(shù)據(jù)；c)采用專家判斷，例如SAEJ1211、JEDEC-JEDS89等。還可檢查確定過的預(yù)估失效率的合理性，例如：——對于采用業(yè)界公認(rèn)的數(shù)據(jù)庫的方法時，使用實(shí)際的任務(wù)剖面，以便得到合理的基礎(chǔ)失效率；——對于使用現(xiàn)場反饋的數(shù)據(jù)的方法，有70%以上的置信度2對于ASIL(B)、C和D等級，隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估是采用了隨機(jī)硬件失效法，還是采用了對違背安全目標(biāo)的每個原因的評估(EEC)的方法?可檢查是采用了PMHF的評估方式還是EEC的評估方式。如采用PMHF,則采用本表中序號3～序號8的檢查清單。如采用EEC,則采用本表中序號9～序號15的檢查清單。另外，無論采用哪種評估方式，本表中序號1和序號16檢查清單均適用3對于ASILC和D等級，單一硬件元器件單點(diǎn)故障是否存在有效論據(jù)證明其發(fā)生概率足夠低可被接受?此檢查清單針對ASILC和D的安全目標(biāo)，可檢查可接受單點(diǎn)故障足夠低的論據(jù)的有效性。如采用專用措施，可能的方法包括硬件過設(shè)計(jì)、物理隔離、老化測試等4件元器件的殘余故障診斷覆蓋率低于90%是否存在有效論據(jù)證明其發(fā)生概率足夠低可被接受?此檢查清單針對ASILC和D的安全目標(biāo)，可檢查可接受殘余故障診斷覆蓋率足夠低論據(jù)的有效性5對于ASIL(B)、C和D等級，PMHF評估的定量目標(biāo)值是否表述為相關(guān)項(xiàng)的整個運(yùn)行生命周期中每小時的平均概率?可檢查PMHF評估過程中所使用的單位為相關(guān)項(xiàng)的整個運(yùn)行生命周期中每小時的平均概率，而不是失效率的單位6對于ASIL(B)、C和D等級，是否為隨機(jī)硬件失效在相關(guān)項(xiàng)層面導(dǎo)致違背每個安全目標(biāo)的最大可能性定義了定量目標(biāo)值?如參考目標(biāo)值來自于本表中序號1中的方法a),確保是否與安全目標(biāo)的ASIL等級相一致。如參考目標(biāo)值來自于本表中序號1中的方法b)或方法c),提供證據(jù)證明設(shè)計(jì)的可信賴性和相似性。目標(biāo)參考值應(yīng)體現(xiàn)在相關(guān)工作產(chǎn)出物中，例如安全計(jì)劃、FMEDA等表D.1隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估的審核及評估說明(續(xù))序號檢查清單示例及說明7PMHF目標(biāo)值的分配是否滿足要求?可檢查構(gòu)成相關(guān)項(xiàng)的每個系統(tǒng)的目標(biāo)值之和是否超過了原有相關(guān)項(xiàng)目標(biāo)值一個數(shù)量級。例如，如果一個等級為ASILD的安全目標(biāo)分配給由多個系統(tǒng)(最多10個)組成的相關(guān)項(xiàng)，其中每個系統(tǒng)都有可能違背該安全目標(biāo)，則能將目標(biāo)值10-8h分配給組成該相關(guān)項(xiàng)的每個系統(tǒng)8對于ASIL(B)、C和D等級，是否有證據(jù)證明PMHF的目標(biāo)值已達(dá)到?PMHF值不具有絕對意義，但有助于比較新設(shè)計(jì)與現(xiàn)有設(shè)計(jì)。如果未滿足PMHF目標(biāo)值，按照GB/T34590.5—2022中4.2對給出的如何實(shí)現(xiàn)安全目標(biāo)的論據(jù)進(jìn)行評估9對于ASIL(B)、C和D等級，采用EEC評估時，對違背所考慮的安全目標(biāo)的每個單點(diǎn)故障、殘余故障和雙點(diǎn)失效進(jìn)行的單獨(dú)評估是否在硬件層面執(zhí)行?可檢查評估應(yīng)用的層級是否為硬件對于ASIL(B)、C和D等級，采用EEC評估時，是否能按照要求提供證據(jù)證明違背安全目標(biāo)的每個單點(diǎn)故障、殘余故障和雙點(diǎn)失效是可接受的?如果不能按照要求提供證據(jù)證明每個單點(diǎn)故障、殘余故障和雙點(diǎn)故障是可接受的，可按照GB/T34590.5—2022中4.2對給出的如何實(shí)現(xiàn)安全目標(biāo)的論據(jù)進(jìn)行評估對于ASIL(B)、C和D等級，采用EEC評估時，是否對硬件元器件失效率進(jìn)行了失效率等級評級?可檢查失效率的等級評級是否滿足GB/T34590.5—2022中9.4.3.3的要求。如果失效率等級評級可除以不等于100的數(shù)字，需要提供理由，并確?？紤]了單點(diǎn)故障、殘余故障?？蓹z查是否失效率等級分配是基于不考慮安全機(jī)制有效性的硬件元器件失效率對于ASIL(B)、C和D等級，采用EEC評估時，是否可接受硬件元器件發(fā)生的單點(diǎn)故障?可檢查是否滿足GB/T34590.5—2022中的表7。專用措施可能包括硬件過設(shè)計(jì)、物理隔離、老化測試等對于ASIL(B)、C和D等級，采用EEC評估時，是否增加對應(yīng)的安全機(jī)制并且可接受硬件元器件發(fā)生的殘余故障?可檢查接受條件是否滿足GB/T34590.5—2022中9.4.3.6和9.4.3.7的要求。所考慮的失效率是硬件元器件失效率，不考慮安全機(jī)制的有效性EEC評估時，是否認(rèn)為雙點(diǎn)失效是可能的?此項(xiàng)適用于ASILC和D的安全目標(biāo)。如果認(rèn)為一個雙點(diǎn)失效是不可能的，則可認(rèn)為是與安全目標(biāo)相符合EEC評估時，是否增加或完善對應(yīng)的安全機(jī)制并且可接受硬件元器件發(fā)生的可導(dǎo)致雙點(diǎn)失效的雙點(diǎn)故障?此項(xiàng)適用于ASILC和D的安全目標(biāo)。所考慮的失效率是硬件元器件失效率，不考慮安全機(jī)制的有效性對于ASIL(B)、C和D等級，對隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)評估的結(jié)果是否通過驗(yàn)證評審?可檢查是否采用了GB/T34590.8—2022第9章的要求對PMHF或EEC結(jié)果進(jìn)行了驗(yàn)證評審，及驗(yàn)證評審相關(guān)的證據(jù)。PMHF的評審一般通過FMEDA體現(xiàn)(資料性)硬件集成和驗(yàn)證硬件集成和驗(yàn)證計(jì)劃的審核及評估的說明及示例見表E.1。表E.1硬件集成和驗(yàn)證計(jì)劃的審核及評估的說明及示例序號檢查清單說明及示例1是否在硬件集成和驗(yàn)證計(jì)劃中定義了驗(yàn)證對象的信息、驗(yàn)證目的和驗(yàn)證通過準(zhǔn)則?可檢查是否在計(jì)劃中根據(jù)項(xiàng)目開發(fā)進(jìn)度和測試需求明確了驗(yàn)證對象信息，例如樣品級別和產(chǎn)品零件號，與產(chǎn)品生命周期內(nèi)不同階段的驗(yàn)證目的和驗(yàn)證通過準(zhǔn)則2是否在硬件集成和驗(yàn)證計(jì)劃中定義了符合產(chǎn)品硬件ASIL等級要求的活動與方法?可檢查硬件集成和驗(yàn)證計(jì)劃中：a)是否明確了符合產(chǎn)品ASIL等級的硬件集成和驗(yàn)證活動，包括產(chǎn)品設(shè)計(jì)和生產(chǎn)階段；b)是否制定了符合產(chǎn)品ASIL等級的硬件集成和驗(yàn)證方法3是否在硬件集成和驗(yàn)證計(jì)劃中定義了符合產(chǎn)品硬件安全等級要求的測試策略?可檢查是否在計(jì)劃中制定了符合產(chǎn)品實(shí)際開發(fā)情況和ASIL等級的硬件集成和驗(yàn)證策略，例如完整的硬件集成和驗(yàn)證測試或回歸硬件集成和驗(yàn)證測試4是否在硬件集成和驗(yàn)證計(jì)劃中定義了驗(yàn)證相關(guān)的依賴項(xiàng)?可檢查是否在計(jì)劃中定義了硬件集成和測試所需環(huán)境、設(shè)備、工具等資源5是否在硬件集成和驗(yàn)證計(jì)劃定義了驗(yàn)證失敗的應(yīng)對措施?可檢查是否在計(jì)劃中明確了測試偏離或失敗可接受的條件，建議的改進(jìn)措施等6是否對硬件集成和驗(yàn)證計(jì)劃的變更定義了相應(yīng)的管理和追溯措施?見GB/T43253.1—2023中的變更管理的要求7硬件集成和驗(yàn)證計(jì)劃是否通過驗(yàn)證評審?可檢查是否有交付物進(jìn)行相關(guān)定義，驗(yàn)證評審可采用走查或?qū)彶榈姆绞接布珊万?yàn)證規(guī)范的審核及評估的說明及示例見表E.2。表E.2硬件集成和驗(yàn)證規(guī)范的審核及評估的說明及示例序號檢查清單說明及示例1是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的驗(yàn)證對象、驗(yàn)證目的和驗(yàn)證通過準(zhǔn)則?可檢查硬件集成和驗(yàn)證規(guī)范中定義的驗(yàn)證對象、驗(yàn)證目的和驗(yàn)證通過準(zhǔn)則是否與計(jì)劃中一致2是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的測試活動和方法?可檢查硬件集成和驗(yàn)證規(guī)范中定義的測試活動與方法是否與計(jì)劃中一致表E.2硬件集成和驗(yàn)證規(guī)范的審核及評估的說明及示例(續(xù))序號檢查清單說明及示例3是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的測試策略?可檢查硬件集成和驗(yàn)證規(guī)范中定義的測試策略是否與計(jì)劃中一致4是否在硬件集成和驗(yàn)證規(guī)范中遵循了硬件集成和驗(yàn)證計(jì)劃中定義的驗(yàn)證依賴項(xiàng)?可檢查是否在硬件和驗(yàn)證規(guī)范中定義的依賴項(xiàng)是否與計(jì)劃定義一致5是否在硬件集成和驗(yàn)證規(guī)范中，基于產(chǎn)品的ASIL等級，采用了適當(dāng)?shù)姆椒▉硗茖?dǎo)出測試用例?可檢查是否在硬件集成和驗(yàn)證規(guī)范中是否按照GB/T34590.5—2022中的表10導(dǎo)出硬件集成測試案例的方法進(jìn)行了測試用例的創(chuàng)建6是否在硬件集成和驗(yàn)證規(guī)范中確認(rèn)了硬件安全要求與測試用例間的追溯性?可檢查是否在硬件集成和驗(yàn)證規(guī)范中確保了硬件功能安全要求與測試用例之間的對應(yīng)關(guān)系，通?？赏ㄟ^需求管理工具分析7是否在硬件集成和驗(yàn)證規(guī)范中確認(rèn)了硬件安全要求與測試用例間的完整性?可檢查是否在硬件集成和驗(yàn)證規(guī)范中按照GB/T34590.8—2022中的9.4.2.2、9.4.2.3定義了測試范例8是否在硬件集成和驗(yàn)證規(guī)范中確認(rèn)了硬件安全要求與測試用例間的正確性?可檢查是否在硬件集成和驗(yàn)證規(guī)范中是否按照GB/T34590.5—2022中的表11進(jìn)行了測試用例的類型定義(不同類型測試對應(yīng)的需求類型應(yīng)匹配)9是否在硬件集成和驗(yàn)證規(guī)范中，根據(jù)產(chǎn)品的ASIL等級，定義了硬件在環(huán)境和運(yùn)行應(yīng)力因素下的耐用性和魯棒性測試?可檢查是否在硬件集成和驗(yàn)證規(guī)范中是否按照GB/T34590.5—2022中的表12定義了耐用性和魯棒性測試，并鏈接了相關(guān)測試材料是否對硬件集成和驗(yàn)證規(guī)范的變更定義了相應(yīng)的管理和追溯措施?見GB/T43253.1—2023中的變更管理的要求硬件集成和驗(yàn)證規(guī)范是否通過驗(yàn)證評審?硬件集成和驗(yàn)證規(guī)范的驗(yàn)證評審可采用走查或?qū)彶榈姆绞接布珊万?yàn)證報告的審核及評估的說明及示例見表E.3。表E.3硬件集成和驗(yàn)證報告的審核及評估的說明及示例序號檢查清單說明及示例1是否在硬件集成和驗(yàn)證報告中體現(xiàn)了集成和驗(yàn)證計(jì)劃與規(guī)范的執(zhí)行?可檢查硬件集成和驗(yàn)證報告中測試的執(zhí)行是否符合計(jì)劃所定義的階段與責(zé)任方，測試的策略、方法、步驟、依賴項(xiàng)等是否與所參考的硬件集成和驗(yàn)證規(guī)范保持一致2是否在硬件集成和驗(yàn)證報告中記錄了測試數(shù)據(jù)或現(xiàn)象?可檢查硬件集成和驗(yàn)證報告中是否提供每個測試用例所對應(yīng)的數(shù)據(jù)記錄或現(xiàn)象表E.3硬件集成和驗(yàn)證報告的審核及評估的說明及示例(續(xù))序號檢查清單說明及示例3是否在硬件集成和驗(yàn)證報告中體現(xiàn)了測試完成