标准编号:	GB/T 34590.2-2017
中文名称:	道路车辆 功能安全 第2部分：功能安全管理
英文名称:	Road vehicles - Functional safety - Part 2: Management of functional safety
中标分类:	T35    车用电子、电气设备与仪表综合
行业分类:	GB    国家标准
ICS分类:	43.040 43.040    道路车辆装置 43.040
发布机构:	中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
发布日期:	2017-10-14
实施日期:	2018-5-1
标准状态:	被替代
被新标准替代:	GB/T 34590.2-2022 道路车辆 功能安全 第2部分：功能安全管理
被替代日期:	2023-7-1
翻译语言:	英文
文件格式:	PDF
中文字符数:	29000 字
翻译价格(元):	520.00 元
交付时间:	付款后 1 个工作日

Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative.



GB/T 34590 consists of the following parts under the general title Road Vehicles - Functional Safety:



——Part 1: Vocabulary;



——Part 2: Management of Functional Safety;



——Part 3: Concept Phase;



——Part 4: Product Development at the System Level;



——Part 5: Product Development at the Hardware Level;



——Part 6: Product Development at the Software Level;



——Part 7: Production and Operation;



——Part 8: Supporting Processes;



——Part 9: Automotive Safety Integrity Level (ASIL)-oriented and Safety-oriented Analyses;



——Part 10: Guideline.



This part is Part 2 of GB/T 34590.



This part is developed in accordance with the rules given in GB/T 1.1-2009.



This part has been redrafted and modified in relation to ISO 26262-2:2011 Road Vehicles - Functional Safety - Part 2: Management of Functional Safety.



There are technical deviations between this part and ISO 26262-2:2011. The technical deviations, together with their justifications, are as follows:



——The application scope of this part is modified from "ISO 26262 is intended to be applied to safety-related systems that include one or more electrical and/or electronic (E/E) systems and that are installed in series production passenger cars with a maximum gross vehicle mass up to 3.5t" to "This standard is intended to be applied to safety-related systems that include one or more electrical and/or electronic (E/E) systems and that are installed in series production passenger cars.";



——the contents of 5.4.2.3 are added, the sequence of corresponding chapter and clause numbers is adjusted, and 5.4.2.4~5.4.2.9 of this part corresponds to 5.4.2.3~5.4.2.8 of international standard respectively;



 ISO 26262-1:2011 is replaced with GB/T 34590.1-2017 which is modified in relation to international standard;



 ISO 26262-3:2011 is replaced with GB/T 34590.3-2017 which is modified in relation to international standard;



 ISO 26262-4:2011 is replaced with GB/T 34590.4-2017 which is modified in relation to international standard;



 ISO 26262-5:2011 is replaced with GB/T 34590.5-2017 which is modified in relation to international standard;



 ISO 26262-6:2011 is replaced with GB/T 34590.6-2017 which is modified in relation to international standard;



 ISO 26262-7:2011 is replaced with GB/T 34590.7-2017 which is modified in relation to international standard;



 ISO 26262-8:2011 is replaced with GB/T 34590.8-2017 which is modified in relation to international standard;



 ISO 26262-9:2011 is replaced with GB/T 34590.9-2017 which is modified in relation to international standard.



The following editorial changes present in this part:



——the introduction and its expression as well as Figure 1 of international standard are modified.



This part was proposed by and is under the jurisdiction of National Technical Committee on Automobiles of Standardization Administration of China (SAC/TC 114).

 

Introduction



ISO 26262 is prepared based on IEC 61508 to comply with needs specific to the application sector of electrical and/or electronic (E/E) systems within road vehicles.



GB/T 34590 is the adaptation of ISO 26262 and applies to all activities during the safety lifecycle of safety-related systems comprised of electrical, electronic and software components.



Safety is one of the key issues of future automobile development. New functionalities not only in areas such as driver assistance, propulsion, in vehicle dynamics control and active and passive safety systems increasingly touch the domain of system safety engineering. Development and integration of these functionalities will strengthen the need for safe system development processes and the need to provide evidence that all reasonable system safety objectives are satisfied.



With the trend of increasing technological complexity, software content and mechatronic implementation, there are increasing risks from systematic failures and random hardware failures. GB/T 34590 includes guidance to avoid these risks by providing appropriate requirements and processes.



System safety is achieved through a number of safety measures, which are implemented in a variety of technologies (e.g. mechanical, hydraulic, pneumatic, electrical, electronic, programmable electronic) and applied at the various levels of the development process. Although GB/T 34590 is concerned with functional safety of E/E systems, it provides a framework within which safety-related systems based on other technologies may be considered. GB/T 34590:



a) provides an automotive safety lifecycle (management, development, production, operation, service, decommissioning) and supports tailoring the necessary activities during these lifecycle phases;



b) provides an automotive-specific risk-based approach to determine automotive safety integrity levels (ASIL);



c) uses ASILs to specify applicable requirements of GB/T 34590 so as to avoid unreasonable residual risk;



d) provides requirements for validation and confirmation measures to ensure a sufficient and acceptable level of safety being achieved;



e) provides requirements for relations with suppliers.



Functional safety is influenced by the development process (including such activities as requirements specification, design, implementation, integration, verification, validation and configuration), the production and service processes and by the management processes.



Safety issues are intertwined with common function-oriented and quality-oriented development activities and work products. GB/T 34590 addresses the safety-related aspects of development activities and work products.



Figure 1 shows the overall structure of this edition of GB/T 34590. GB/T 34590 is based upon a V-model as a reference process model for the different phases of product development. Within the figure:



——the shaded “V”s represent the interconnection between GB/T 34590.3-2017, GB/T 34590.4-2017, GB/T 34590.5-2017, GB/T 34590.6-2017 and GB/T 34590.7-2017;



——the specific Chapters are indicated in the following manner: “m-n”, where “m” represents the number of the particular part and “n” indicates the number of the Chapter within that part.



Example: “2-6” represents Chapter 6 of GB/T 34590.2-2017.







Figure 1 Overview of GB/T 34590-2017



Road Vehicles - Functional Safety -

Part 2: Management of Functional Safety



1 Scope



This part of GB/T 34590 specifies the requirements for functional safety management for automotive applications, including the following:



——project-independent requirements with regard to the organizations involved (overall safety management); and



——project-specific requirements with regard to the management activities in the safety lifecycle (i.e. management during the concept phase and product development, and after the release for production).



This standard is intended to be applied to safety-related systems that include one or more electrical and/or electronic (E/E) systems and that are installed in series production passenger cars.



This standard does not address unique E/E systems in special purpose vehicles such as vehicles designed for drivers with disabilities.



Systems and their components released for production, or systems and their components already under development prior to the publication date of this standard, are exempted from the scope. For further development or alterations based on systems and their components released for production prior to the publication of this standard, only the modifications will be developed in accordance with this standard.



This standard addresses possible hazards caused by malfunctioning behaviour of E/E safety-related systems, including interaction of these systems. It does not address hazards related to electric shock, fire, smoke, heat, radiation, toxicity, flammability, reactivity, corrosion, release of energy and similar hazards, unless directly caused by malfunctioning behavior of E/E safety-related systems.



This standard does not address the nominal performance of E/E systems, even if dedicated functional performance standards exist for these systems (e.g. active and passive safety systems, brake systems, Adaptive Cruise Control).



2 Normative References



The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.

GB/T 34590.1-2017 Road Vehicles-Functional Safety- Part 1: Vocabulary (ISO 26262-1:2011, MOD)

GB/T 34590.3-2017 Road Vehicles - Functional Safety - Part 3: Concept Phase (ISO 26262-3:2011, MOD)

GB/T 34590.4-2017 Road Vehicles - Functional Safety - Part 4: Product Development at the System Level (ISO 26262-4:2011, MOD)

GB/T 34590.5-2017 Road Vehicles - Functional Safety - Part 5:Product Development at the Hardware Level (ISO 26262-5:2011, MOD)

GB/T 34590.6-2017 Road Vehicles - Functional Safety - Part 6: Product Development at the Software Level (ISO 26262-6:2011, MOD)

GB/T 34590.7-2017 Road Vehicles - Functional Safety - Part 7: Production and Operation (ISO 26262-7:2011, MOD)

GB/T 34590.8-2017 Road Vehicles - Functional Safety - Part 8: Supporting Processes (ISO 26262-8: 2011, MOD)

GB/T 34590.9-2017 Road Vehicles - Functional Safety - Part 9: Automotive Safety Integrity Level(ASIL)-oriented and Safety-oriented Analyses (ISO 26262-9:2011, MOD)



3 Terms, Definitions and Abbreviated Terms



For the purposes of this document, the terms, definitions and abbreviated terms given in GB/T 34590.1-2017 apply.



4 Requirements for Compliance



4.1 General Requirements



When claiming compliance with GB/T 34590-2017, each requirement shall be complied with, unless one of the following applies:



a) tailoring of the safety activities in accordance with this part of has been planned and shows that the requirement does not apply; or



b) rationale is available that the non-compliance is acceptable and the rationale has been assessed in accordance with this part.



Information marked as a “Note:” or “Example” is only for guidance in understanding, or for clarification of the associated requirement, and shall not be interpreted as a requirement itself or as complete or exhaustive.



The results of safety activities are given as work products. “Prerequisites” are information which shall be available as work products of a previous phase. Given that certain requirements of a Chapter are ASIL-dependent or may be tailored, certain work products may not be needed as prerequisites.



“Further supporting information” is information that may be considered, but which in some cases is not required by GB/T 34590-2017 as a work product of a previous phase and which may be made available by external sources that are different from the persons or organizations responsible for the functional safety activities.



4.2 Interpretations of Tables



Tables are normative or informative depending on their context. The different methods listed in a table contribute to the level of confidence in achieving compliance with the corresponding requirement. Each method in a table is either



a) a consecutive entry (marked by a sequence number in the leftmost column, e.g. 1, 2, 3); or



b) an alternative entry (marked by a number followed by a letter in the leftmost column, e.g. 2a, 2b, 2c).



For consecutive entries, all methods shall be applied as recommended in accordance with the ASIL. If methods other than those listed are to be applied, a rationale shall be given that these fulfill the corresponding requirement.



For alternative entries, an appropriate combination of methods shall be applied in accordance with the ASIL indicated, independent of whether they are listed in the table or not. If methods are listed with different degrees of recommendation for an ASIL, the methods with the higher recommendation should be preferred. A rationale shall be given that the selected combination of methods complies with the corresponding requirement.



Note: a rationale based on the methods listed in the table is sufficient. However, this does not imply a bias for or against methods not listed in the table.



For each method, the degree of recommendation to use the corresponding method depends on the ASIL and is categorized as follows:



——“++” indicates that the method is highly recommended for the identified ASIL;



——“+” indicates that the method is recommended for the identified ASIL;



——“o” indicates that the method has no recommendation for or against its usage for the identified ASIL.



4.3 ASIL-dependent Requirements and Recommendations



The requirements or recommendations of each subclause shall be complied with for ASIL A, B, C and D, if not stated otherwise. These requirements and recommendations refer to the ASIL of the safety goal. If ASIL decomposition has been performed at an earlier stage of development, in accordance with GB/T 34590.9-2017, Chapter 5, the ASIL resulting from the decomposition shall be complied with.



If an ASIL is given in parentheses in GB/T 34590-2017, the corresponding subclause shall be considered as a recommendation rather than a requirement for this ASIL. This has no link with the parenthesis notation related to ASIL decomposition.

Foreword i
Introduction iii
1 Scope
2 Normative References
3 Terms, Definitions and Abbreviated Terms
4 Requirements for Compliance
4.1 General Requirements
4.2 Interpretations of Tables
4.3 ASIL-dependent Requirements and Recommendations
5 Overall Safety Management
5.1 Objectives
5.2 General
5.3 Inputs to This Chapter
5.4 Requirements and Recommendations
5.5 Work Products
6 Safety Management During the Concept Phase and the Product Development
6.1 Objectivess
6.2 General
6.3 Inputs to This Chapter
6.4 Requirements and Recommendations
6.5 Work Products
7 Safety Management after the Item's Release for Production
7.1 Objectives
7.2 General
7.3 Inputs to This Chapter
7.4 Requirements and Recommendations
7.5 Work Products
Annex A (Informative) Overview of and Workflow of Functional Safety Management
Annex B (Informative) Examples for Evaluating a Safety Culture
Annex C (Informative) Aim of the Confirmation Measures
Annex D (Informative) Overview of the Verification Reviews
Annex E (Informative) Example of a Functional Safety Assessment Agenda (for Items That Have an ASIL D Safety Goal)
Bibliography

道路车辆 功能安全 第2部分：功能安全管理

1 范围
GB/T 34590的本部分规定了应用于汽车领域的功能安全管理的要求，包括：
——独立于项目的关于所涉及组织的要求（整体安全管理）；及
——项目特定的在安全生命周期内关于管理活动的要求（例如在概念阶段、产品开发阶段以及生产发布后的管理）。
本标准适用于安装在量产乘用车上的包含了一个或多个电子电气系统的与安全相关的系统。
本标准不适用于特殊用途车辆上特定的电子电气系统，例如，为残疾驾驶者设计的车辆。
本标准不适用于已经完成生产发布的系统及其组件或在本标准发布日期前开发的系统及其组件。对于在本标准发布前完成生产发布的系统及其组件进一步的开发或变更时，仅修改的部分需要按照本标准开发。
本标准针对由电子电气安全相关系统的故障行为而引起的可能的危害，包括这些系统相互作用而引起的可能的危害。本标准不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危害和类似的危害，除非危害是直接由电子电气安全相关系统的故障行为而引起的。
本标准不针对电子电气系统的标称性能，即使这些系统（例如主动和被动安全系统、制动系统、自适应巡航控制系统）有专用的功能性能标准。

2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 34590.1-2017 Road vehicles-Functional safety- Part 1:Vocabulary (ISO 26262-1:2011, MOD)
GB/T 34590.3-2017 Road vehicles-Functional safety-Part 3:Concept phase (ISO 26262-3:2011, MOD)
GB/T 34590.4-2017 Road vehicles-Functional safety- Part 4:Product development at the system level (ISO 26262-4:2011, MOD)
GB/T 34590.5-2017 Road vehicles-Functional safety-Part 5:Product development at the hardware level (ISO 26262-5:2011, MOD)
GB/T 34590.6-2017 Road vehicles-Functional safety- Part 6:Product development at the software level (ISO 26262-6:2011, MOD)
GB/T 34590.7-2017 Road vehicles-Functional safety- Part 7:Production and operation (ISO 26262-7:2011, MOD)
GB/T 34590.8-2017 Road vehicles-Functional safety- Part 8:Supporting processes (ISO 26262-8:2011, MOD)
GB/T 34590.9-2017 Road vehicles-Functional safety-Part 9:Automotive Safety Integrity Level(ASIL)-oriented and safety-oriented analyses (ISO 26262-9:2011, MOD)

3 术语、定义和缩略语
GB/T 34590.1-2017界定的术语、定义和缩略语适用于本文件。

4 要求
4.1 一般要求
如声明满足GB/T 34590-2017的要求时，应满足每一个要求，除非有下列情况之一：
a） 按照本部分的要求，已经计划了安全活动的剪裁并表明这些要求不适用；或
b） 不满足要求的理由存在且是可接受的，并且按照本部分对该理由进行了评估。
标有“注”或“示例”的信息仅用于辅助理解或阐明相关要求，不应作为要求本身且不具备完备性。
将安全活动的结果作为工作结果。应具备上一阶段工作成果作为“前提条件”的信息。如果章条的某些要求是依照ASIL定义的或可剪裁的，某些工作成果可不作为前提条件。
“支持信息”是可供参考的信息，但在某些情况下，GB/T 34590-2017不要求其作为上一阶段的工作成果，并且可以是由不同于负责功能安全活动的人员或组织等外部资源提供的信息。
4.2 表的诠释
表属于规范表还是资料性表取决于上下文。在实现满足相关要求时，表中列出的不同方法有助于置信度水平。表中的每个方法是：
a） 一个连续的条目（在最左侧列以顺序号标明，如1，2，3）；或
b） 一个选择的条目（在最左侧列以数字后加字母标明，如2a，2b，2c）。
对于连续的条目，全部方法应按照ASIL等级推荐予以使用。除了所列出的方法外，如果应用所列出方法以外的其他方法，应给出满足相关要求的理由。
对于选择性的条目，应按照指定的ASIL等级，对这些方法进行适当的组合，不依赖于这些方法是否在表中列出。如果所列出的方法对于一个ASIL等级来说具有不同的推荐等级，宜采用具有较高推荐等级的方法。应给出所选的方法组合满足相关要求的理由。
注：表中所列出的方法的理由是充分的。但是，这并不意味着倾向性或对未列到表中的方法表示反对。
对于每种方法，应用相关方法的推荐等级取决于ASIL等级，分类如下：
——“++”表示对于指定的ASIL等级，高度推荐该方法；
——“+”表示对于指定的ASIL等级，推荐该方法；
——“o”表示对于指定的ASIL等级，不推荐也不反对该方法。
4.3 基于ASIL等级的要求和建议
若无其他说明，对于ASIL A、B、C和D等级，应满足每一子章条的要求或建议。这些要求和建议参照安全目标的ASIL等级。如果在项目开发的早期对ASIL等级完成了分解，应按照GB/T 34590.9-2017第5章，遵循分解后的ASIL等级。
如果GB/T 34590-2017中ASIL等级在括号中给出，则对于该ASIL等级，相应的子章条应被认为是推荐而非要求。这里的括号与ASIL等级分解无关。

5 整体安全管理
5.1 目的
本章的目的是定义负责安全生命周期或在安全生命周期内执行安全活动的组织的要求。
本章是GB/T 34590安全生命周期内所有活动的前提条件。
5.2 总则
5.2.1 安全生命周期概述
GB/T 34590安全生命周期（见图2）包含了在概念阶段、产品开发、生产、运行、服务和报废期间的主要安全活动。计划、协调和记录安全生命周期所有阶段的安全活动是关键的管理任务。
图2描述了安全生命周期的参考模型，允许进行安全生命周期的剪裁，包括子阶段选代。
注1：GB/T 34590.3-2017（概念阶段）、GB/T 34590-4-2017（产品开发：系统层面）、GB/T 34590.5-2017（产品开发：硬件层面）、GB/T 34590.6-2017（产品开发：软件层面）和GB/T 34590.7-2017（生产和运行）分别详细描述了在概念阶段、产品开发过程和生产发布后的安全活动。
注2：附录A中表A.1概括了功能安全管理特定阶段的目的、前提条件和工作成果。



注：在图中，GB/T 34590-2017各部分中的具体条款用以下方式表示：“m-n”，m代表部分的数值，n代表章的数值。例如：3-6代表GB/T 34590.3-2017的第6章。
图2 安全生命周期
5.2.2 安全生命周期的解释说明
GB/T 34590-2017不仅定义了针对安全生命周期内特定阶段和特定子阶段的要求，同时也定义了适用于安全生命周期中多个或全部阶段的要求，例如功能安全管理要求。
关键的管理任务是计划、协调和追踪与功能安全相关的活动。这些管理任务适用于安全生命周期的所有阶段。本部分给出了功能安全管理的要求，分别是：
——整体安全管理（见本章）；
——概念阶段和产品开发阶段的安全管理（见第6章）；
——相关项生产发布后的安全管理（见第7章）。
安全生命周期中不同阶段和子阶段的定义以及其他关键概念的解释描述如下：
a） 子阶段：相关项定义
安全生命周期的初始任务是对相关项的功能、接口、环境条件、法规要求、已知危害等进行描述。确定相关项的边界及其接口，以及与其他相关项、要素、系统和组件相关的假设（参见GB/T 34590.3-2017第5章）。
b） 子阶段：安全生命周期启动
在完成相关项定义的基础上，通过确定所开发的相关项是一个全新的开发还是对现有相关项的修改来启动安全生命周期。
如果是对现有相关项的修改，对其所做的影响分析的结果可用于剪裁安全生命周期（参见GB/T 34590.3-2017第6章）。
c） 子阶段：危害分析和风险评估
安全生命周期启动后，应按照GB/T 34590.3-2017第7章的要求进行危害分析和风险评估。首先，通过危害分析和风险评估预测与相关项相关的危害事件所处工况的暴露概率、危害事件的可控件和严重度，这些参数共同决定了危害事件的汽车安全完整性等级（ASIL）。然后，通过危害分析和风险评估确定相关项的安全目标，安全目标是相关项的最高层面的安全要求。将所确定的危害事件的ASIL等级分配给相应的安全目标。
后续阶段和子阶段中详细的安全要求来自安全目标，这些安全要求继承了相应安全目标的ASIL等级。
d） 子阶段：功能安全概念
基于安全目标，同时考虑初步的构架设想以定义功能安全概念（参见GB/T 34590.3-2017第8章）。功能安全概念是通过分配给相关项要素的功能安全要求定义的。如果能够对涉及的其他技术或与外部措施接口的期望行为进行确认，功能安全概念可包括其他技术或与外部措施的（参见GB/T 34590.4-2017第9章）。其他技术的实施不在本标准范围内，且外部措施的实施不在相关项开发范围内。
e） 阶段：产品开发：系统层面
在定义了功能安全概念后，应按照GB/T 34590.4-2017，从系统层面进行相关的开发。系统开发流程基于V模型概念，V模型左侧包含技术安全要求的定义、系统架构、系统设计和实现，V模型右侧包含集成、验证、确认和功能安全评估。
在本阶段定义了软硬件接口。
图1为系统层面产品开发各个子阶段概览。
系统层面产品开发包括对发生在安全生命周期内其他阶段活动的确认任务：
——对通过其他技术实现功能安全概念的确认；
——对外部措施有效性的假设的确认和对性能的假设的确认；及
——对人员反应所做假设的确认，包括可控性的操作任务。
生产发布是产品开发的最后子阶段，并提供相关项量产发布（参见GB/T 34590.4-2017第11章）。
f） 阶段：产品开发：硬件层面
基于系统设计规范，从硬件层面进行相关项的开发（参见GB/T 34590.5-2017）。硬件开发流程基于V模型概念，V模型左侧包含硬件要求的定义、硬件设计和实现，V模型右侧包含硬件集成和测试。
图1提供了硬件层面产品开发的概览。
g） 阶段：产品开发：软件层面
基于系统设计规范，从软件层面进行相关项的开发（参见GB/T 34590.6-2017）。软件开发流程基于V模型概念，V模型左侧包含软件要求的定义、软件架构设计和实现，V模型右侧包含软件集成、测试和软件要求验证。
图1提供了软件层面产品开发的概览。
h） 生产计划和运行计划
生产计划和运行计划以及相关要求的定义在系统层面产品开发过程中启动（参见GB/T 34590.4-2017）。GB/T 34590.7-2017第5章和第6章中给出了生产和运行的要求。
i） 阶段：生产和运行，服务和报废
该阶段描述了与相关项的功能安全目标相关的生产过程，即与安全相关的特殊特性，以及对相关项的维护、维修、报废的指导说明的开发和管理，以确保相关项在生产发布后的功能安全（参见GB/T 34590.7-2017第5和第6章）。
j） 可控性
在危害分析和风险评估中（参见GB/T 34590.3-2017第7章），驾驶员或其他涉险人员控制危害情况能力的可信度。在安全确认过程中，需要确认在危害分析和风险评估、功能安全概念和技术安全概念中关于可控件的假设（参见图2和GB/T 34590.4-2017第9章）。
注：暴露概率和严重度依赖于场景，通过人为干预的最终可控性受相关项设计的影响，因此，在确认过程中进行评估（参见GB/T 34590.4-2017的9.4.3.2）。
k） 外部措施
外部措施指相关项外部的措施，在相关项定义里对其进行了规定（参见图2和GB/T 34590.3-2017第5章），用于减少或减轻来自相关项的风险。外部措施不仅包括附加的车载装置如动态稳定控制器或防爆轮胎，而且也可包括车辆以外的装置如防撞栏或隧道消防系统。
在安全确认过程中，需要确认在相关项定义、危害分析和风险评估、功能安全概念和技术安全概念中关于外部措施的假设（参见图2和GB/T 34590.4-2017第9章）。
可在危害分析和风险评估过程中考虑外部措施，然而，如果可信度来自危害分析和风险评估过程中的外部措施，则在功能安全概念中不能认为此外部措施是一个减少风险的途径。
GB/T 34590-2017同样适用于其范围内的那些外部措施。
l） 其他技术
其他技术，如机械和液压技术，不同于本标准适用范围内的电子电气技术。这些技术可在功能安全概念制定中（参见图2及GB/T 34590.3-2017第8章）、安全要求分配中（参见GB/T 34590.3及GB/T 34590.4-2017）或作为外部措施被考虑。
注：如果其他技术被定义为外部措施，则考虑到降低相关风险而重新进行危害分析和风险评估是有益的，这样做可能会降低相关安全目标的ASIL等级。
5.3 本章的输入
5.3.1 前提条件
无。
5.3.2 支持信息
可考虑如下信息：
质量管理体系符合质量管理标准（如：ISO/TS 16949、ISO 9001或等同要求）的证据。
5.4 要求和建议
5.4.1 总则
执行安全生命周期活动的组织应满足5.4.2~5.4.5。
5.4.2 安全文件
5.4.2.1 组织应创造、培育并保持一种安全文化，以支持并鼓励有效地实现功能安全。
示例：附录B中给出了评估安全文化的例子。
5.4.2.2 组织应建立、执行并维护专门的规章和流程，以符合GB/T 34590-2017的要求。
注：组织的专门的规章和流程可包括创建并维护通用的安全计划和流程描述。
5.4.2.3 组织应建立并维护功能安全领域与功能安全相关的其他领域之间的有效沟通渠道。
示例1：建立功能安全与信息安全之间的沟通渠道，以便于两者交互相关信息，例如，功能安全危害分析和风险评估的结果、信息安全威胁分析和风险评估的结果、功能安全目标、信息安全目标、功能安全概念、信息安全策略等。
注：功能安全针对的是由电子电气系统的内部故障行为导致的问题，而信息安全针对的是外部恶意事件（攻击）导致的问题。在开发过程中，一些功能安全活动和信息安全活动是相类似的。为了达到产品的整体安全，功能安全和信息安全之间是有协作的，功能安全活动的输出可关系到或影响到信息安全活动，反之亦然。两者之间的交互和融合能促进产品更好的达到整体上的安全性。
示例2：建立功能安全与机械安全之间的信息沟通渠道。
5.4.2.4 组织应建立、执行并维护流程以确保识别出的功能安全异常能够明确地通报给安全经理和其他责任者。
示例：安全经理和其他责任者可以是客户安全经理、供应商安全经理，以及与相关项开发相关的安全经理。
5.4.2.5 组织应建立、执行并维护解决安全异常的流程，以确保及时、有效地对功能安全异常进行分析、评估、解决和处理。
注：功能安全异常的解决流程可包括根本原因分析，由该根本原因分析得出对以后的修正行动。
5.4.2.6 在安全生命周期内，组织应执行所需的功能安全活动，包括相关文档的生成和管理（按照GB/T 34590.8-2017第10章的说明）。
5.4.2.7 组织应为功能安全的实现提供所需的资源。
注：人力资源、工具、数据库和模板。
5.4.2.8 基于以下几点，组织应建立、执行并维护持续改进的流程：
——从其他相关项安全生命周期的执行过程中学习经验，包括现场经验；
——将获得的改进应用于后续相关项。
5.4.2.9 组织应确保给予执行或支持安全活动的人员以足够的权限来履行他们的职责。
5.4.3 能力管理
组织应确保执行安全生命周期活动的人员具有与其职责相匹配的技能水平、能力和资质。
注1：在开发过程中，达到足够的技能水平和能力的方法之一是考虑以下知识领域的培训和资质培养；
——常规的安全实践、概念和设计；
——GB/T 34590-2017和其他适用的安全标准；
——用于功能安全组织的专门规则；
——组织所建立的功能安全流程。
注2：为了评估执行满足GB/T 34590-2017的活动所需的技能、能力和资质，可以考量以往的专业活动经验，如：
——相关项专业领域的知识；
——相关项相关领域的专业知识；
——管理经验。
5.4.4 安全生命周期中的质量管理
执行安全生命周期活动的组织应具有满足质量标准如ISO/TS 16949、ISO 9001或等同标准的质量管理体系。
5.4.5 独立于项目的安全生命周期剪裁
组织可剪裁安全生命周期，应用于各相关项的开发，即独立于项目的剪裁，但仅限于以下的一种或多种方式：
a） 合并或分解子阶段、活动或任务；或
注：如果所用的方法难以清晰地区分单独的子阶段，则可以合并单独的子阶段。例如：计算机辅助开发工具能在一个步骤中支持多个子阶段的活动。
b） 同一活动或任务可在不同的阶段或子阶段中执行；或
c） 同一活动或任务可在新增的阶段或子阶段中执行；或
d） 反复进行某个阶段或子阶段。
5.5 工作成果
5.5.1 组织的专门的功能安全规章和流程，由5.4.2和5.4.5得出。
5.5.2 能力证据，由5.4.3得出。
5.5.3 质量管理证据，由5.4.4得出。

6 概念阶段和产品开发过程中的安全管理
6.1 目的
本章的第一个目的是定义关于安全生命周期（见图1和图2）内，概念阶段和开发阶段的安全管理角色和职责。
本章的第二个目的是定义在概念阶段和开发阶段中的安全管理要求，包括安全活动的计划和协调、安全生命周期的推进、安全档案的创建和认可措施的执行。
6.2 总则
安全管理有责任确保认可措施得到执行。根据适当的ASIL等级，一些认可措施要求在资源、管理和发布权限上有独立性（参见6.4.7）。
认可措施包括认可评审、功能安全审核和功能安全评估：
——认可评估的目的是核查工作成果是否符合GB/T 34590-2017的要求；
——功能安全审核的目的是评价功能安全活动所需要的流程的执行情况；
——功能安全评估的目的是评价相关项是否实现了功能安全。
除了认可措施外，还需进行验证评审。GB/T 34590-2017的其他部分也要求这些评审，目的是验证相关的工作成果满足项目的要求，以及与应用安全和失效模式相关的技术要求。
表1列出了所需的认可措施。附录D列出了关于验证的评审，及所参考的本标准的适用部分。
安全管理有责任对所有剪裁的安全活动（参见6.4.5）进行描述和理由说明。
6.3 本章的输入
6.3.1 前提条件
应具备如下信息：
——组织的专门的功能安全规章和流程，按照5.5.1；
——能力证据，按照5.5.2；
——质量管理证据，按照5.5.3。
6.3.2 支持信息
如果有，可以考虑如下信息：
——项目计划（来自外部）；
——其他活动，包括其他安全活动。
6.4 要求和建议
6.4.1 总则
对于至少有一个安全目标为ASIL A、B、C或D的相关项，执行安全生命周期活动的组织应满足6.4.2~6.4.9的要求，除非有其他说明。
6.4.2 安全管理的角色和职责
6.4.2.1 在相关项开发的启动阶段应指定一名项目经理。
6.4.2.2 应赋予项目经理责任和权限，按照5.4.2.9的要求，确保：
a） 执行实现功能安全所需的安全活动；
b） 满足GB/T 34590-2017的要求。
6.4.2.3 项目经理应确认组织提供了符合5.4.2.7要求的功能安全活动所需的资源。
注：通常在计划阶段对足够的资源进行预估、确定和分配。
6.4.2.4 项目经理应确保已指定了符合5.4.3要求的安全经理。
注1：安全经理的角色可以由项目经理承担。
注2：GB/T 34590.1-2017定义了“安全经理”，在矩阵式组织里，安全经理的任务可以分配给不同的人。
6.4.3 安全活动的计划和协调
6.4.3.1 按照5.4.2.9的要求，在安全生命周期的开发阶段，安全经理应负责计划和协调功能安全活动。
注1：安全经理可将任务分配给具有所需技术、能力和资质的人员。
注2：安全活动的计划包含在安全计划（参见6.4.3.5）中。某些已纳入安全计划中的安全活动在GB/T 34590-2017的其他工作成果（参见6.4.3.3）中进一步细化。
注3：基于相关项是一个全新开发还是一个对既有相关项的修改（参见GB/T 34590.3-2017第6章），安全活动可以不同，并据此计划相应的安全活动。
6.4.3.2 安全经理应负责维护安全计划并监督安全活动的进度是否按照安全计划进行。
6.4.3.3 在组织内部应按照5.4.2.9和5.4.3的要求，分配并通报关于细化和协调如下计划中安全活动的责任：
——相关项的集成和测试计划，按照GB/T 34590.4-2017；
——确认计划，按照GB/T 34590.4-2017；
——软件验证计划，按照GB/T 34590.6-2017；及
——功能安全评估计划，按照6.4.9。
责任人应负责维护各自的安全计划并监督安全活动的进度是否按照各自的安全计划进行。
6.4.3.4 安全计划应：
a） 在项目计划中被引用；或
b） 包含在项目计划中，并使安全活动是可区分的。
注：在配置管理下，安全计划可交叉引用其他信息（参见GB/T 34590.8-2017第7章），交叉引用通常优于在不同工作成果或在配置管理下的其他文档里对活动的重复描述。
6.4.3.5 安全计划应包括；
a） 实现功能安全的活动计划和流程计划；
b） 将独立于项目的安全活动应用到项目特定的安全管理中，按照第5章；
c） 如果适用，所剪裁的安全活动的定义，按照6.4.5；
d） 危害分析和风险评估计划，按照GB/T 34590.3-2017第7章；
e） 开发活动计划，包括按照GB/T 34590.3-2017第8章进行功能安全概念的开发和实施、按照GB8T 34590.4-2017进行产品系统层面的开发和实施、按照GB/T 34590.5-2017进行产品硬件层面的开发和实施、按照GB/T 34590.6-2017进行产品软件层面的开发和实施；
f） 如果适用，开发接口协议计划，按照GB/T 34590.8-2017第5章；
g） 支持过程计划，按照GB/T 34590.8-2017；
h） 验证活动计划，按照GB/T 34590.3-2017、GB/T 34590.4-2017、GB/T 34590.5-2017、GB/T 34590.6-2017和GB/T 34590.8-2017 第9章；安全确认活动计划，按照GB/T 34590.4-2017第9章；
注：在相关项集成和测试计划（参见GB/T 34590.4-2017）、软件验证计划（参见GB/T 34590.6-2017）中详细说明了验证活动。在确认计划（参见GB/T 34590.4-2017）中详细说明了确认活动。同时参见6.4.3.3。
i） 认可评审的计划、功能安全审核的启动和功能安全评估的启动，按照6.4.7~6.4.9。
注：在安全计划中规定了认可措施的人员的独立性级别（参见6.4.7）和资质（参见5.4.3）。
j） 相关失效分析的计划，如果适用，按照GB/T 34590.9-2017第7章；以及安全分析计划，按照GB/T 34590.9-2017第8章；
k） 如果适用，提供候选项的在用证明，按照GB/T 34590.8-2017第14章；及
l） 如果适用，提供软件工具的可信度，按照GB/T 34590.8-2017第11章。
6.4.3.6 安全活动的计划应包括：
a） 目的；
b） 对其他活动或信息的依赖性；
c） 负责执行活动的资源；
d） 执行活动所需的资源；
e） 起点时间和持续时间；及
f） 相应工作成果的识别。
6.4.3.7 对于至少有一个安全目标为ASIL B、C或D的相关项，应满足如下要求：按照6.4.3.1~6.4.3.6的要求制定的安全计划，应由授权人批准，该授权人应考虑按照6.4.7的要求对安全计划进行认可评审。
6.4.3.8 按照5.4.2.4的要求，对识别出的安全异常应向安全经理以及其他责任人员汇报。
注：安全异常解决方案导致的变更应纳入变更管理流程（参见GB/T 34590.8-2017第8章）。
6.4.4 安全生命周期进程
6.4.4.1 只有来自相关子阶段的信息足够充分时，才应启动安全生命周期后续子阶段的安全活动。
注：对于相关项安全目标的实现来说，如果缺失的信息不会导致不可接受的风险，则信息可以被认为是充分的。
6.4.4.2 按照GB/T 34590.8-2017第7章、第8章和第10章的要求，每一项安全计划所要求的工作成果应分别服从配置管理、变更管理以及文档化管理，且纳入管理的时间不迟于“产品开发：系统层面”阶段的启动时间（参见图1 ）。
6.4.5 安全活动剪裁
6.4.5.1 可以对特定相关项开发的安全活动进行剪裁，如省略或以不同的方式执行。如果对安全活动进行剪裁，则：
a） 应在安全计划中定义该剪裁[参见6.4.3.5c]；及
b） 应给出理由说明为什么剪裁对于实现功能安全来说是恰当且充分的。
注1：该理由应考虑相关要求的ASIL等级。
注2：剪裁的理由包含在安全计划中且在安全计划认可评审（参见6.4.7）或功能安全评估（参见6.4.9）过程中进行评审。
注3：该要求适用于特定相关的安全活动的剪裁。关于组织层面相关项开发的安全生命周期的剪裁，仅5.4.5适用。
6.4.5.2 如果是因为对现有相关的修改而按照6.4.5.1对某一安全活动进行剪裁，应满足GB/T 34590.3-2017第6章的要求。
6.4.5.3 如果存在在用证明而按照6.4.5.1对某一安全活动进行剪裁时，则应满足GB/T 34590.8-2017第14章的要求。
6.4.5.4 如果由于ASIL分解而按照6.4.5.1的要求不采用某一安全活动，则应满足GB/T 34590.9-2017第5章的要求。
6.4.5.5 如果是基于考虑所使用软件工具的置信度而按照6.4.5.1对某一安全活动进行剪裁，则应满足GB/T 34590.8-2017第11章的要求。
6.4.5.6 如果是因为要素独立于相关项开发而按照6.4.5.1的要求对安全活动进行剪裁，则：
a） 独立于相关项的要素的开发应基于一个需求规范，该需求规范来自对预期用途和应用环境的假设，包括其外部接口；及
b） 应确认独立于相关项而开发的要素的预期用途和应用环境的假设的有效性。
注：本标准作为一个整体不能应用于独立于相关项的要素开发，因为功能安全不是一个要素的属性（然而一个相关项中的某一个要素可以认为是与安全相关的）。功能安全是一个可以用功能安全评估方法来评价的相关项的属性。
示例：微控制器独立于相关项开发。
6.4.6 安全档案
6.4.6.1 对于至少有一个安全目标为ASIL（A）、B、C或D的相关项：应按照安全计划建立安全档案。
6.4.6.2 安全档案宜逐步收录安全生命周期内的工作成果。
6.4.7 认可措施：类型、独立性和权限
6.4.7.1 应按照所要求的独立性等级、表2、6.4.3.5i）、6.4.8和6.4.9的要求，执行表1所定义的认可措施。
注1：对表1中定义的且被安全计划所要求的工作成果进行认可评审。
注2：认可评审包括按照本标准对形式、内容、充分性、完整性方面的要求进行正确性检查。
注3：表1包括认可措施，附录D中给出了验证评审的概述。
注4：认可措施的结果报告包括已分析的工作成果或流程文档的名称和版本号（参见GB/T 34590.8-2017的10.4.5）。
注5：如果在认可评审或功能安全评估完成后，还有相关项的变更，则需要重复或补充所有这些工作。
注6：在附录C中给出了每个认可措施的目标。
注7：认可措施，如果认可评审和功能安全审核，可以与功能安全评估合并、联合，以支持相关项类似变型的处理。