GB/T.7-英文版
1范围
GB/T的本部分规定了车辆在生产、运行、服务和报废的要求,包括:——生产、运行、服务和报废计划;——生产;——运行、服务和报废。本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子系统的与安全相关的系统。本文件不适用于特殊用途车辆上特定的电气/电子系统,例如为残疾驾驶者设计的车辆。注:其他专用的安全标准可作为本文件的补充,反之亦然。已经完成生产发布的系统及其组件或在本文件发布日期前正在开发的系统及其组件不适用于本文件。对于在本文件发布前完成生产发布的系统及其组件进行变更时,本文件基于这些变更对安全生命周期的活动进行裁剪。未按照本文件开发的系统与按照本文件开发的系统进行集成时,需要按照本文件进行安全生命周期的裁剪。本文件针对由安全相关的电气/电子系统的功能异常表现而引起的可能的危害,包括这些系统相互作用而引起的可能的危害。本文件不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危害和类似的危害,除非危害是直接由安全相关的电气/电子系统的功能异常表现而引起的。本文件提出了安全相关的电气/电子系统进行功能安全开发的框架,该框架旨在将功能安全活动整合到企业特定的开发框架中。本文件规定了为实现产品功能安全的技术开发要求,也规定了组织应具备相应功能安全能力的开发流程要求。文件不针对电气/电子系统的标称性能。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T.1道路车辆功能安全第1部分:术语(ISO-1:,MOD)GB/T.2道路车辆功能安全第2部分:功能安全管理(ISO-2:,MOD)GB/T.道路车辆功能安全第部分:概念阶段(ISO-:,MOD)GB/T.4道路车辆功能安全第4部分:产品开发:系统层面(ISO-4:,MOD)GB/T.5道路车辆功能安全第5部分:产品开发:硬件层面(ISO-5:,MOD)GB/T.8道路车辆功能安全第8部分:支持过程(ISO-8:,MOD)
术语、定义和缩略语
GB/T.1界定的术语、定义和缩略语适用于本文件。
4要求
4.1目的
本章规定了:——如何符合GB/T;——如何解释GB/T中所使用的表格;及——如何解释各章条基于不同的ASIL等级的适用性。
4.2一般要求
如声明满足GB/T要求时,应满足每一个要求,除非有下列情况之一:a)按照GB/TXXXXX.2的要求,安全活动的剪裁已经实施并表明这些要求不适用;或b)不满足要求的理由存在且是可接受的,并且按照GB/TXXXXX.2的要求对该理由进行了评估。标有“注”或“示例”的信息仅用于辅助理解或阐明相关要求,不应作为要求本身且不具备完备性。将安全活动的结果作为工作成果,应具备上一阶段工作成果作为“前提条件”的信息。如果章条的某些要求是依照ASIL定义的或可剪裁的,某些工作成果可不作为前提条件。“支持信息”是可供参考的信息,但在某些情况下,GB/T不要求其作为上一阶段的工作成果,并且可以是由不同于负责功能安全活动的人员或组织等外部资源提供的信息。
4.表的诠释
本文件中的表是规范性或资料性取决于上下文。在满足相关要求时,表中列出的不同方法有助于置信度水平。表中的每个方法是:a)一个连续的条目(在最左侧列以顺序号标明,如1、2、);或b)一个选择的条目(在最左侧列以数字后加字母标明,如2a、2b、2c)。对于连续的条目,高度推荐和推荐的方法按照ASIL等级推荐予以使用。高度推荐或推荐的方法允许用未列入表中的其它方法替代,此种情况下,应给出满足相关要求的理由。如果可以给出不选择所有条目也能符合相应要求的理由,则不需要对缺省方法做进一步解释。对于选择性的条目,应按照指定的ASIL等级对这些方法进行适当的组合,而与这些方法在表中是否列出无关。如果所列出的方法对于一个ASIL等级来说具有不同的推荐等级,宜采用具有较高推荐等级的方法。应给出选择组合方法或选择单一方法满足相应要求的理由。在表中所列出方法的理由是充分的。但是,这并不意味着有倾向性或对未列到表中的方法表示反对。对于每种方法,应用相关方法的推荐等级取决于ASIL等级,分类如下:——“++”表示对于指定的ASIL等级,高度推荐该方法;——“+”表示对于指定的ASIL等级,推荐该方法;——“o”表示对于指定的ASIL等级,不推荐也不反对该方法。
4.4基于ASIL等级的要求和建议
若无其他说明,对于ASILA、B、C和D等级,应满足每一章条的要求或建议。这些要求和建议参照安全目标的ASIL等级。如果在项目开发的早期对ASIL等级完成了分解,按照GB/TXXXXX.9第5章的要求,应遵循分解后的ASIL等级。如果GB/T中ASIL等级在括号中给出,则对于该ASIL等级,相应的章条应被认为是推荐而非要求。这里的括号与ASIL等级分解无关。4.5摩托车的适用性
对于适用于GB/TXXXXX.12要求的摩托车的相关项或要素,GB/TXXXXX.12的要求替代本文件和GB/TXXXXX.2的相应要求。4.6卡车、客车、挂车和半挂车的适用性
对卡车、客车、挂车和半挂车的特殊规定以(TB)来表示。
5生产、运行、服务和报废计划
5.1目的
本章的目的是:a)为拟安装在道路车辆上的安全相关的要素或相关项,开发和维护一个生产过程;及注:该目的可以通过组织符合IATF或等效标准的要求来实现。这与组织所在安全供应链中的位置及其所生产的安全相关要素的复杂度有关。b)为接触安全相关的相关项或要素的用户,开发关于运行、服务(维护和维修)和报废的必要信息,确保在车辆的整个生命周期实现功能安全。5.2总则
本章的要求和建议适用于相关项和要素的生产、运行、服务和报废计划,及其在车辆上的安装。为了实现功能安全,相关项或要素在其生产中,需满足其安全相关的特殊特性。这些特殊特性是在开发阶段被识别出来的。这些安全相关的特殊特性的示例有:特定的过程参数(例如:回流焊的温度范围,或紧固扭矩)、材料特性、制造公差和要素的配置。本章规定了通过将这些安全相关的特殊特性包含在生产计划和生产控制中,以确保在生产过程中实现功能安全的要求。本章还规定了与如下内容相关的要求:——如何描述服务信息和用户信息(包括用户手册);——维护工作的计划、执行和监控;——维修指导说明;——报废指导说明;及——救援服务的指导说明和有关信息。5.本章的输入
5..1前提条件
应具备如下信息:——生产、运行、服务和报废的需求规范,按照GB/T.46.5.5和GB/T.5—XXXX7.5.4;——硬件专用措施的规范,按照GB/T.59.5.2;及——包含在功能安全概念中的报警和降级策略,按照GB/T.7.5.1。
5..2支持信息
可以考虑如下信息:——生产计划(来自外部);——生产控制计划(来自外部);及——在系统、软件或硬件层面的技术规范或设计中的相关内容。
5.4要求和建议
5.4.1生产计划
5.4.1.1应计划相关项及其要素的生产过程,该计划应考虑如下内容:a)对生产的要求;示例1:装配指导说明(例如:传感器的标定和设置);示例2:IPC(印刷电路协会)相关标准的要求。b)安全相关的特殊特性;示例:所选要素的公差;示例4:坡度传感器的下线标定。c)要素的处理和管理条件;示例5:硬件要素的允许存储时间;示例6:ECU软件的正确程序设定。d)产品开发过程中定义的配置;e)从以前发布的生产计划中获得的经验总结;f)涉及安全相关的特殊特性的生产过程、设备、工具和测试设备的适宜性;及g)人员的能力。5.4.1.2生产计划应描述实现相关项或要素的功能安全而要求的生产步骤、顺序和方法。包括:a)生产工艺流程和指导说明;注:生产流程也可包括要素的返工。示例1:有三个或更少引脚的元器件的不良焊接点的返工说明。b)生产工具和设备;c)可追溯性措施的实施;及示例2:对要素使用标签。d)如果适用,专用措施的实施,按照GB/T.59.5.2。5.4.1.应定义一个流程作为生产过程的一部分,以确保正确版本的嵌入式软件及其相关标定数据被写入ECU中。示例1:使用校验和,目的是将下载的可执行数据及标定数据的校验和,与该特定车辆配置的正确校验和相比较。示例2:从下载到ECU中的软件回读零件号,并与物料清单中特定车辆的目标零件号进行对比;同样也回读下载的标定数据并与物料清单中针对该特定车辆的标定数据进行对比。5.4.1.4应识别合理可预见的生产过程失效及其对功能安全的影响,并实施恰当的措施以处理相关过程失效。示例:过程失效模式和影响分析(PFMEA)。5.4.1.5制定生产控制计划时,应考虑对相关项或要素的控制描述(含控制的准则),以及安全相关的特殊特性。5.4.1.6应在生产控制计划中描述控制步骤的顺序和方法,以及必要的测试设备、工具和测试准则。5.4.1.7计划生产时识别的安全要求,应按照GB/T.2第6章,以适当的方式反馈给负责系统、硬件和软件开发的人员。示例:在接插件中增加防错功能(波卡纠偏)以确保在装配中它被正确的插入ECU。5.4.1.8生产、运行、服务和报废的变更,如影响相关项或其要素,应按照GB.8第8章的要求进行管理。5.4.2试生产5.4.2.1试生产过程及其控制措施宜能代表目标批量生产过程。注:试生产是生产发布之前相关项或要素的生产。5.4.2.2在试生产阶段,可以分析试生产过程和目标批量生产过程的差异,以确定是否具备生产过程能力。注1:如果试生产过程和目标批量生产过程相同,可在试生产中获得符合6.4.1.的生产过程能力。注2:差异可包括:生产率、生产或控制步骤的顺序以及方法、测试设备和工具。
5.4.运行、服务和报废的计划
5.4..1应制定相关项的运行、服务和报废过程的计划,并考虑以下因素:a)维护和维修的要求;b)为确保车辆安全运行而应具备的用户须知信息的要求(见5.4..4);c)报废的要求;d)紧急救援服务的要求;e)报警和降级策略;f)现场监控流程(见7.4.1.1);g)要素处理的条件;示例1:硬件要素的允许存储时间;示例2:ECU上软件的正确刷写。h)在生产发布文件中定义的配置;及示例:在维修过程中,硬件、软件和软件标定数据允许的配置。i)参与人员的能力。5.4..2服务计划应描述对相关项或要素的维护活动的顺序和方法,包括维护间隔以及需要的工具。5.4..服务指导说明应描述如下内容:a)服务的流程、方法、工作步骤和诊断程序;b)工具和设备;示例1:程序设定、传感器标定和诊断设备。c)用于验证安全相关的特殊特性的控制步骤的顺序和方法,以及控制标准;d)相关项或要素的有关配置,包括可追溯性措施;注:如果在服务中进行重刷软件,刷写软件的工具要具有确保车辆下载了正确版本软件的功能。示例2:对要素使用标签,确保可追溯性。e)车辆允许的相关项或要素的功能关闭,及其所导致的车辆的任何变更;f)当功能关闭和其他变更发生时,需告知驾驶员;及示例:通知驾驶员某项辅助功能已经被关闭。g)备件的供应。5.4..4用户信息,包括用户手册,应提供正确使用相关项或要素的有关指导说明和警告,如果适用,还应提供如下信息:a)相关功能(即预期使用、状态信息或用户交互)及其运行模式的描述;b)当报警和降级策略表明失效发生时,为确保可控性所需的用户行为的描述;c)当报警和降级策略表明失效发生时,对用户所期望的服务活动的描述;d)关于与第三方产品交互所导致的已知危害的警告;及示例1:用户应该被告知,当使用额外第三方的拖载挂车时,泊车辅助将不能检查车辆后方。e)为了防止驾驶员误解或误用,安全相关的整车新功能的正确使用的警告。示例2:相对于手动驻车制动,自动驻车制动的误用可能导致驾驶员没有将驻车制动啮合就离开车辆。5.4..5报废指导说明应描述相关项或其要素在拆卸过程中采用的活动和措施,以确保其安全报废。示例:为避免对报废作业人员造成伤害,在车辆拆卸前对安全气囊进行解除的指导说明。5.4..6在运行、服务和报废的计划过程中识别的安全要求,应按照GB/T.2第6章,以适当的方式反馈给负责系统、硬件和软件开发的人员。示例:ECU中的错误日志功能的软件规范,以便于服务中进行诊断。5.4..7救援服务信息,包括救援指导说明书或紧急救援指南,如果适用,应提供相关指导说明和警告,以避免救援操作时发生危害。示例:防止非期望的气囊点爆或电击伤害的信息。
5.5工作成果
5.5.1生产计划的安全相关内容,由5.4.1.1、5.4.1.2、5.4.1.和5.4.1.4的要求得出。5.5.2生产控制计划(含测试计划)的安全相关内容,由5.4.1.5和5.4.1.6的要求得出。5.5.可生产性需求规范,由5.4.1.7的要求得出。注:此规范可包含在对应阶段的相关文档中。5.5.4生产过程能力报告,由5.4.2.2的要求得出。5.5.5服务计划中安全相关的内容,由5.4..1~5.4..的要求得出。5.5.6服务指导说明中安全相关的内容,由5.4..的要求得出。5.5.7用户须知信息中安全相关的内容,由5.4..4的要求得出。5.5.8报废指导说明中安全相关的内容,由5.4..5的要求得出。5.5.9运行、服务、报废的需求规范,由5.4..6的要求得出。注:此规范可包含在对应阶段的相关文档中。5.5.10救援服务指导说明中安全相关的内容,由5.4..7的要求得出。
6生产
6.1目的
本章的目的是,通过对相关项及其要素的生产过程负责的有关制造商、个人或组织(如车辆制造商、供应商、子供应商等)来确保在生产阶段(产品发布给生产后)实现功能安全。6.2总则
本章的要求和建议适用于相关项及要素的生产,及其在车辆上的安装。
6.本章的输入
6..1前提条件
应具备如下信息:——生产发布报告,按照GB/T.26.5.6;——生产计划中的安全相关内容,按照5.5.1;——生产控制计划(含测试计划)中的安全相关内容,按照5.5.2;——如果适用,可生产性需求和规范,按照5.5.;及——如果适用,生产过程能力报告,按照5.5.4。
6.4要求和建议
6.4.1生产
6.4.1.1生产过程及其控制措施,应按照5.4.1定义的计划进行执行和维护。注:这包括对参与生产的人员进行适当的培训。6.4.1.2应对生产过程,包括安全相关特殊特性的偏差,进行分析,目的是:a)识别过程失效;b)识别由于过程失效导致的对功能安全的潜在影响;c)采取恰当的措施,以确保识别的影响可以被避免或减轻;及注:这类措施可包括:要素的进一步控制措施、整理分类、处理和更换。d)验证采取措施的有效性。6.4.1.针对功能安全,应评估并维护如下几项能力:a)生产过程;b)设备和工具;及c)测试设备。注1:生产过程能力的证据可通过,周期性的过程审核,或者是对每个执行过程步骤的人以及质量管理体系的周期性的资质认证措施来获得。注2:过程能力涵盖了维护安全相关特殊特性的能力。6.4.1.4测试设备应按照所采用的质量管理体系进行控制。示例:IATF中对监控和测量设备的管理要求。6.4.1.5控制应按照生产控制计划来执行。相关的控制报告应包含:控制时间、受控对象的识别和控制结果。注1:整车层面的受控对象的识别,可以是车辆识别号或生产序列号;注2:组件层面的受控对象的识别,可以是零件号或序列号;注:控制结果可以是一个单一状态,如通过或不通过,或者是对采集的数据针对边界条件的评估结果。6.4.1.6只有在生产发布报告中定义的已被批准的配置才能进行生产,如有任何偏差应得到负责人的授权。6.4.1.7在生产阶段发起的生产过程的变更,应按照GB/T.8第8章的要求进行管理。
6.5工作成果
6.5.1控制措施报告,由6.4.1.1,6.4.1.2,6.4.1.5和6.4.1.6的要求得出。6.5.2生产过程能力报告,由6.4.1.和6.4.1.4的要求得出。注:生产过程能力可包含在生产件批准程序(PPAP)文档中。
7运行、服务和报废
7.1目的
本章的目的是,确保在车辆生命周期的运行、服务(维护和维修)以及报废子阶段中实现功能安全。
7.2总则
本章提出了对运行、服务和报废的执行与监控的要求,并考虑了相关项的安全相关的特殊特性。报废过程可分为“拆卸前”、“拆卸中”和“拆卸后”三个子阶段。本章针对“拆卸前”的活动提出要求,还包括对“拆卸中”的活动和措施的指导说明。
7.本章的输入
7..1前提条件
应具备下列信息:——生产发布报告,按照GB/T.2中6.5.6;——服务计划中的安全相关内容,按照5.5.5;——服务指导说明中的安全相关内容,按照5.5.6;——用户须知信息中的安全相关内容,按照5.5.7;——报废指导说明中的安全相关内容,按照5.5.8;——如果适用,运行、服务和报废的需求规范,按照5.5.9,及——如果适用,救援服务指导说明中的安全相关内容,按照5.5.10。
7..2支持信息
可考虑下列信息:——维护计划(来自外部)。
7.4要求和建议
7.4.1运行、服务和报废
7.4.1.1应实施与相关项或其要素相关的潜在安全相关事件的现场监控流程,以便:a)提供能用于分析以探测到功能安全问题存在的现场数据;b)分析现场数据,以探测功能安全问题的存在;及c)启动相关措施,来处理识别到的功能安全问题。注1:现场监控数据可以提供按照GB/T.8第14章的在用证明所需的证据,用于在其他环境中进行相关项或要素的后续发布。注2:安全相关事件的现场监控过程包括一系列的决策程序,定义了遏制和纠正措施,例如:召回,和向利益相关者报告事件。利益相关者可以是组织内部的,如果是分布式开发,也可以是组织外部的。7.4.1.2相关项或其要素的运行、服务和报废应按照服务计划、服务指导说明和报废指导说明来实施和文档化。注1:这包括维修和维护流程的应用,以及此应用的纸质或电子文档的提供;注2:包含TB车辆要素的再制造。注:零件的供应、存储和运输按照5.4..1。7.4.1.相关项或其要素的变更,运行(包括现场监控)、及服务或报废流程的变更,应按照GB/T.8第8章的要求进行管理。注:包含TB车辆的再制造。
7.5工作成果
现场观察指导说明,由7.4.1.1的要求得出。
