1、電動汽車功安全技術規范管理制度1.2 功能安全本部分的功能安全是指電池系統和充電系（相關內容參見后繼章節以的功 能安全。1.2.1 整車功能安全開發流程功能安全開發流程符合GB/T34590-2017道路車輛功能安全相關規定要求。 1.2.2 概念開發階段應基于 GB/T34590.3-2017 相關規定完成概念發，并得出相關項定、安全目標和 功能安全要求，作系統開發的必要輸入1.2.2.1 相關項定義為了充分理解相關后續階段的安全活提供支持相關項的功能素、 接口環境條件相關法規要求和危害方面考慮詳細定義相關的功能性和非功能 要求。1.2.2.2 危害分析與風險評估危害分析與風險評的目的是識別

2、相關項因故障而引起的危害對危害進行歸類， 制定相應的安全目，以避免不合理的風。其中，應基于相關的功能行為，來分析潛在的危害事件。再危害 -事件的嚴重 程度露概率控三個方面對相關項行系統性的評估而確定安全目標及應的 ASIL等級。1.2.2.3 功能安全概念功能安全概念主要為了從安全目標中得功能安全要求其分配給相關項的架 構要素或外部措施定義功能安全要求應從相關項的運行式故障容錯時間間安全狀態、緊急 運行時間間隔及功冗余等方面進行考慮用安全分方 法 ，使制定的功安全要求更加完善功能安全概念還應照 GB/T34590.9-2017 的要求進行驗證以表明與安全目標 一致性和符合性，減輕或避免危害事件

3、能力。1.2.3 系統功能安全開發進行正式系統開發，應基于 GB/T34590.4-2017 相關規定，定系統層面產品開 的安全活動計劃包括確定設計和集成程中適當的方法措施、 測及驗證計劃功能 安全評估計劃等。1.2.3.1 系統安全要求設計技術安全要求是實功能安全概念必要的術要求是將相關項層面功能安全 要求細化到系統層的技術安全要求。應基于 GB/T34590.4-2017 相關規定，根據功安全概念、相關項的步架構設想、 外部接口、限制條等系統特性來制定技安全要求。技術安全要求應從障探測指示/控制措施全狀態障容錯時間間隔方面考 慮，定義必要的安機制。1.2.3.2 系統設計系統設計應基于功概

4、念相關項的初步構設想和技術安全求在實現技術安全 要求相關的內容時驗證系統設計能力硬件設計技術能力行統測試的能 力等方面考慮系統計。為避免系統性失效系統設進行安全分析以識系統性失效的原因和統性故 障的影響。為降低系統運行過中隨機硬件失效造成影響應在統設計中定義探測制或 減輕隨機硬件失效措施。系統設計中定義軟件接口規范，并在后硬件開發和軟件開發程中進行細化。 1.2.3.3 系統集成與測試基于GB/T34590.4-2017相規定分別進行軟硬件系統整車層級集成和測試， 驗證每一條功能和術安全要求是否滿足范系統設計在整個相關上是否得到正 確實施。為發現系統集成過中的系統性故障，在定測試方法時，應從下

5、幾個方面考慮： （1）功能和技要求在系統層面是否正確執行；（2）安全機制系統層面是否被正確執行；（3）外部接口內部接口在系統層面行的一致性和正確；（4）安全機制系統層面的失效覆蓋的有效性；（5）系統層面魯棒性水平。1.2.3.4 安全目標確認應基于 GB/T34590.4-2017 中的規定，通過檢和測試等方式，確認全目標是否在 整車層面是正確、整并得到完全實現。確認安全目標前可從確認流程測試用例環境條件等方面慮并制定詳細的確 認計劃。應根據安全目標、能安全要求和預期用，按計劃執行整車層的安全目標確認。 具體確認方法可考詳細定義的可重復性試安全分長期測試戶抽測評審形 式。1.2.4 電控單元硬

6、件開發電控單元硬件開發程應滿足 GB/T 34590.5-2017 的要求，行規定的安全活動 輸出規定的交付內。1.2.4.1 電控單元硬件安全要基于GB/T 34590.5-2017相關定，將技術安全概，技術安全要求系統設計說明 落實到硬件層級，計完整且詳細的硬件全要求。為保證硬件安全要的完整性，在設計時考慮包含以下內容：（1）安全機制其屬性；（2）驗證的標；（3）硬件度量目標值；（4）FTTI；（5）其它與安相關的要求。為保證硬件安全要的質量，應按照 GB/T 34590.8-2017 中第 6 章的要求進行硬 件安全要求的設計驗證和管理。為使硬件被軟件正地控制和使用，應對硬件接口（ ）進

7、行充分的細化，并 描述出硬件和軟件間的每一項安全相關關聯性。1.2.4.2 電控單元硬件設計基于GB/T 34590.5-2017相關定，進行硬件架構計和硬件詳細設，并進行硬件 安全分析，以滿足統設計說明和硬件安需求的要求。為避免硬件的系統風險，一般應進行硬架構設計，然后進行件詳細設計。在硬件架構設計時應確保每個硬件組件承了正確的 ASIL 等級，并可追溯與之 相關的硬件安全要。在硬件設計時應運用相關經驗總結并考慮安全相硬件組件失效的非能性原 因，如果適用，可含以下因素：溫度，動，水，灰塵， EMI，來硬件架構的其他組 件或其所在環境的擾。為提高設計的可靠，應遵循 34590.5-2017 中

8、的“模塊的硬件設計原則”和 “魯棒性設計原則設計、壞情況分析等。為識別硬件失效的因和故障的影響，應 GB/T 34590.5-2017 中的要求，根據 同的 ASIL 等，使用“演繹分 FTA）“歸納分）的方法進行安分 析。如果安全分析表明產、行服務和報廢與安相關，則應定義其安全相關的特 殊特性并輸出說明文件。為驗證硬件設計與件安全要求的一致性完整性，應按 GB/T 34590.5-2017 中的 要求，對硬件設計行驗證。1.2.4.3電控單元硬件組件鑒定基于 GB/T 34590.8-2017 關規定，對其中復的硬件組件及元件應進行硬件組件 的鑒定，確保硬件件合規使用并為FMEDA分析提供基

9、礎數據1.2.4.4 電控單元硬件架構度的評估基于 34590.5-2017 相關規定，進行件架構度量的評估并將評估結果和優化 建議反饋到系統設件設計件設計環節以優化產品設計最終的“單點障度 量”和“潛伏故障量”滿足對應ASIL的求。1.2.4.5 隨機電控單元硬件失導致違背安全目標的評估基于 GB/T 34590.5-2017 相關規定，進行 評估或割分析評估，閉環優使相關 安全目標沒有由于機硬件失效帶來的不接受的風險。1.2.4.6 電控單元硬件集成和試基于 GB/T 34590.5-2017 相關規定，進行硬件集成測試，通過測試保所開發的 硬件符合硬件安全求。硬件集成測試用例生成應考慮G

10、B/T 34590.5-2017的表10中所列的方法。為了驗證安全機制完整性和正確性，件集成測試應考以下方法功能測試故 障注入測試和電氣試。為了驗證硬件在外應力下的魯棒性，硬集成測試應考慮B/T 的表 12中所列方法。1.2.5 電控單元軟件設計1.2.5.1 軟件安全需求分析軟件安全需求分析的是依據安全技術規以及系統設計說明書定軟件安全需求， 同時驗證軟件安全求與安全技術規范及統設計說明書是否一軟件安全需求分階 段需滿足完整性、測試性、可追溯性要。軟件安全需求分析應從如下方面考慮分識別失效會違安全技術要求的軟 功能需來源于安技術要求和系統設方案應識別軟件與件之間所有安全相的屬 性含足夠的硬運

11、行資源效安全相關等信息的認硬件口說明書應是確認 有效的；測試驗證法應是安全有效的。1.2.5.2 軟件安全架構設計軟件安全監控架構計目的在于開發一個以滿足并實現軟件安需求的軟件架構。 軟件安全監控架構計需結合功能安全相軟件需求和非功能安相關軟件需求，局考 慮軟件的架構設計并進行軟件安全分析軟件安全監控架構計時從如下方面考慮該是可配置可實施于測試和可 維護的遵循模塊化高類聚低耦合復雜度的要求細化到足夠支持細設計； 應具備靜態和動態性；應滿足獨立性的求；應覆蓋軟件安全求等。1.2.5.3 軟件失效分析與詳細計軟件失效分析與軟詳細設計目的是基于件架構設計及軟件安需求對軟件功 能模塊進行詳細設，同時根

12、據建模及編指導書進行模型或源碼設計。軟件詳細設計時應從如方面考慮包含足夠的必要信以便于允許后續活動 展詳細描述其功能特滿足可測性維護復雜度讀性和健壯性等要； 詳細設計應滿足與件安全需求架構準則設計說明書等一致性的求。 1.2.5.4 軟件安全算法測試軟件算法測試用于明軟件單元模塊符合件詳細設計說明書要，該要求包括 件功能要求的符合，接口要求的一致性算法的健壯與高效等軟件算法測試案例計時需按照軟件詳細設說明書，軟失效分析報告要采 用需求分析、等價劃分、邊界值分析、誤猜想等方法。軟件算法測試活動要做好詳細設計、失分析報告、測試案例測試數據、測試缺陷的雙向可追溯性過程的完整性。軟件算法測試同時需要度量驗證軟件算質量括單覆蓋 句覆蓋度，分支覆度，修正判定條件覆度等編碼規則，以及其他 靜態度量指標（如圈復雜度等參見GB/T34590.6-2017相關要。 1.2.5.5 軟件集成與架構符合測試軟件集成與架構符性測試主要用于驗證件組件集成功能軟件 組建之間的接口是符合軟件架構設計文要求。軟件集成通常可分增殖式集成與一次性成同的集成方應的 集成測試策略也不。常用到的測試方法括：基于需求的測試接口測試， 故