适用于功能安全设计的T

软件可靠性和安全性设计指南（仅供内部使用）请在这里输入公司名称版权所有不得复制软件可靠性和安全性设计指南1范围1 .1主题内容［此处加入主题内容］1.2适用范围［此处加入适用范围］2引用标准GBxxxx 信息处理一一数据流程图、程序流程图、系统流程图、程序网络图和系统资源图的文件编制符号及约定。

GB/Txxx 软件工程术语GB/Txxxxxx 计算机软件质量保证计划规范GB/T xxxxx 计算机软件配置管理计划规范GB/T xxxxx 信息处理一一程序构造及其表示的约定GJBxxxx系统安全性通用大纲GJBxxxxx 系统电磁兼容性要求GBxxxx电能质量标准大纲GBxxxxx 电能质量标准术语3定义［此处加入定义］3 .1失效容限［此处加入失效容限］3 .2扇入［此处加入扇入］3 .3扇岀［此处加入扇岀］3 .4安全关键信息［此处加入安全关键信息］3 .5安全关键功能［此处加入安全关键功能］3 .6软件安全性［此处加入软件安全性］4设计准则和要求4 .1对计算机应用系统设计的有关要求4 .1.1 硬件软件功能的分配原则［此处加入硬件软件功能的分配原则］4 .1.2 硬件软件可靠性指标的分配原则［此处加入硬件软件可靠性指标的分配原则］4 .1.3 容错设计［此处加入容错设计］4 .1.4 安全关键功能的人工确认［此处加入安全关键功能的人工确认］4 .1.5 设计安全性内核［此处加入设计安全性内核］4 .1.6 记录系统故障［此处加入记录系统故障］4 .1.7 禁止回避检测岀的不安全状态［此处加入禁止回避检测岀的不安全状态］4 .1.8 安全性关键软件的标识原则［此处加入安全性关键软件的标识原则］4 .1.9 分离安全关键功能［此处加入分离安全关键功能］4 .2 对硬件设计的有关要求［此处加入对硬件设计的有关要求］4 .3软件需求分析4 .3.1 一般要求［此处加入一般要求］4 .3.2 功能需求［此处加入功能需求］4.3.2.1输入［此处加入输入］4.3.2.2处理［此处加入处理］432.3 输出［此处加入输岀］4.3.2.4 特殊要求［此处加入特殊要求］4 .3.3 性能需求［此处加入性能需求］4.3.3.1精度［此处加入精度］4.3.3.2容量［此处加入容量］4.3.3.3时间特性［此处加入时间特性］4.3.3.4灵活性［此处加入灵活性］4 .3.4 接口需求［此处加入接口需求］4.3.4.1与外部设备的接口［此处加入与外部设备的接口］4.3.4.2与其它系统的接口［此处加入与其它系统的接口］4.3.4.3人机接口［此处加入人机接口］4 .3.5 数据需求［此处加入数据需求］4 .3.6 环境需求［此处加入环境需求］4.3.6.1硬件［此处加入硬件］4.3.6.2软件［此处加入软件］4 .3.7 软件可靠性和安全性需求［此处加入软件可靠性和安全性需求］4 .3.8 其它需求［此处加入其它需求］4 .3.9 采样的确定原则［此处加入采样的确定原则］4 .4 软件设计4 .4.1 一般要求［此处加入一般要求］4 .4.2 功能设计与分配［此处加入功能设计与分配］4 43 控制流与数据流［此处加入控制流与数据流］4 .4.4 资源分配及余量［此处加入资源分配及余量］4 .4.5 设计限制［此处加入设计限制］4 .4.6 安全关键功能的设计［此处加入安全关键功能的设计］4 .4.7 冗余设计4.4.7.1恢复块［此处加入恢复块］4.4.7.2信息冗余［此处加入信息冗余］4 .4.8 接口设计4.4.8.1一般要求［此处加入一般要求］4.4.8.2人机界面设计［此处加入人机界面设计］4.4.8.3报警设计［此处加入报警设计］4.4.8.4软件接口设计［此处加入软件接口设计］4 .4.9 软件健壮性设计4.4.9.1电源失效处理4.4.9.2系统不稳定的处理［此处加入系统不稳定的处理］4.4.9.3接口故障处理［此处加入接口故障处理］4.4.9.4错误操作处理［此处加入错误操作处理］4 .4.10 简化设计4.4.10.1模块的单入口和单岀口［此处加入模块的单入口和单岀口］4.4.10.2模块的独立性［此处加入模块的独立性］4.4.10.3模块的扇入扇岀［此处加入模块的扇入扇岀］4.4.10.4模块的耦合方式［此处加入模块的耦合方式］4.4.10.5模块的内聚方式［此处加入模块的内聚方式］4 .4.11 数据设计4.4.11.1属性控制［此处加入属性控制］4.4.11.2数值运算范围控制［此处加入数值运算范围控制］4.4.11.3精度控制［此处加入精度控制］4.4.11.4合理性检查［此处加入合理性检查］4.4.11.5特殊问题［此处加入特殊问题］4 .5软件实现4 .5.1 语言要求［此处加入语言要求］4 .5.2 McCabe 指数McCabe指数为8。

电动汽车功能安全技术规范管理制度1.2功能安全本部分的功能安全，是指除电池系统和充电系统（相关内容参见后继章节）以外的功能安全。

1.2.1 整车功能安全开发流程功能安全开发流程应符合《GB/T34590-2017 道路车辆功能安全》相关规定要求。

1.2.2 概念开发阶段应基于GB/T34590.3-2017 相关规定完成概念开发，并得出相关项定义、安全目标和功能安全要求，作为系统开发的必要输入。

1.2.2.1 相关项定义为了充分理解相关项，并为后续阶段的安全活动提供支持，应从相关项的功能、要素、接口、环境条件、相关法规要求和危害等方面考虑，详细定义相关项的功能性和非功能性要求。

1.2.2.2 危害分析与风险评估危害分析与风险评估的目的是识别相关项中因故障而引起的危害并对危害进行归类，制定相应的安全目标，以避免不合理的风险。

其中，应基于相关项的功能行为，来分析其潜在的危害事件。

再从危害-事件的严重程度、暴露概率、可控性三个方面对相关项进行系统性的评估，从而确定安全目标及相应的ASIL 等级。

1.2.2.3 功能安全概念功能安全概念主要是为了从安全目标中得出功能安全要求，并将其分配给相关项的架构要素或外部措施。

定义功能安全要求时，应从相关项的运行模式、故障容错时间间隔、安全状态、紧急F TA、H AZOP）的方同时可以使用安全分析（例如F MEA、运行时间间隔及功能冗余等方面进行考虑，法，使制定的功能安全要求更加完善。

功能安全概念还应按照GB/T34590.9-2017 中的要求进行验证，以表明与安全目标的一致性和符合性，及减轻或避免危害事件的能力。

1.2.3 系统功能安全开发进行正式系统开发前，应基于 GB/T34590.4-2017 相关规定，指定系统层面产品开发的安全活动计划，包括确定设计和集成过程中适当的方法和措施、测试及验证计划、功能安全评估计划等。

1.2.3.1 系统安全要求设计技术安全要求是实现功能安全概念必要的技术要求，目的是将相关项层面的功能安全要求细化到系统层面的技术安全要求。

电气设备安全设计导则1 适用范围本标准适用于各类电气设备。

本标准不适用于不能独立使用的半成品。

本标准是各类电气设备安全标准的基础。

其规定在有关各类标准中再具体化。

电气设备的设计应符合本标准的有关规定，以保证安全。

2 名词术语2.1 电气设备包括发电、变电、输电、配电或用电的器件，例如电机、电器、变压器、测量仪表、保护装置、电气用具(以下简称设备)。

2.2 危险对人的生命和健康可能造成的各种危害，包括由于触电、噪声、辐射、高频、过热，起火、弧光、污染和其它影响所造成的危害。

2.3 按规定使用按照设备制造厂给出的条件使用。

保持预定的运行和维护条件也属按规定使用。

2.4 安全技术措施所有为了避免危险而采取的结构上和说明性的措施。

可以分为直接的、间接的和提示性的安全技术措施。

2.5 特殊安全技术措施只具有改进和保证安全使用设备的目的而不带其他功能的装置。

2.6 使用人员2.6.1 专业人员受过专业教育、具有专业知识和经验，能够识别出其所操作和使用的设备可能出现的危险的人员。

2.6.2 受过初级训练的人员受过与其所承担的任务有关的专业技术和安全技术训练，对不按规程操作可能发生危险有足够了解的人员。

2.6.3 外行非专业人员，又未受过初级训练的人员。

2.7 电气操作场所主要用于电气设备运行，且只允许有关专业人员或受过初级训练的人员进入的房间或场所。

如开关室、控制室、试验室、发电机房、隔离开的配电设备、隔离开的试验场等。

2.8 锁闭的电气操作场所锁闭起来的用于电气设备运行的房间或场所(例如锁闭的开关和配电设备，变压器房和电梯驱动室等)。

只有受权的有关专业人员和受过有关初级训练的人员可以开锁进入。

2.9 带电部分处于正常使用电压的导体或导电部分。

2.10 导电部分能导电，但并不一定承载工作电流的部分。

2.11 外露导电部分易触及的导电部分和虽不是带电部分但在故障情况下可变为带电的部分。

2.12 直接接触防护所有防止人接触电气设备带电部分而遭受危害的措施。

GBT18384-3GBT -3GB/T .3-2001（2001-07-12批准，2001-12-01实施）前言本标准等效采用ISO/DIS6469.3：2000《电动道路车辆安全要求第3部分：人员触电防护》。

本标准与ISO/DIS 6469.3：2000的不同点：1.本标准的适用范围由ISO/DIS 6469中的适用于车载电路的最大下作电压低于1000 V（AC）或1500 V（DC）的电动乘用车和最大设计总质量不超过3500 kg的电动商用车辆，依据GB 156《标准电压》将1000 V（AC）修改为660 V （AC），将1500 V（DC）修改为100OV（DC）。

2.引用标准相应改为国家标准，并在ISO/DIS 6469.1的基础上增加了引用标准GB 156..1和GB/T .2的定义。

本标准的附录A、附录B都是提示的附录。

本标准由XXX提出。

本标准由XXX归口。

本标准起草单元：XXX、XXX。

本标准主要起草人：XXX、XXX、XXX、XXX、XXX。

中华人民共和国国家标准电动汽车安全要求第3部分：人员触电防护GB/T .3-2001Electric vehicle-Safety n Part 3:n of persons against electrichazards1范围本标准划定了电动汽车在没有与外部供电电源相连时职员触电防护的要求。

电动汽车与外部供电电源毗连时的要求在GB/T .2中做了划定。

本标准适用于车载电路的最大工作电压低于660 V（AC）或1000 V（DC）（按GB 156划定）的电动乘用车和最大设想总质量不超过3500 kg的电动商用汽车。

最大设想总质量超过3500 kg的电动汽车可参照执行。

本标准不适用于指导电动汽车的装配、维护和修理。

2引用标准下列标准所包含的条文，通过在本标准中引用而构成为本标准的条文。

本标准出版时，所示版本均为有效。

所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

功能安全功能安全是指确保系统在正常操作、故障和故障恢复期间，能够保持运行的安全性。

在许多行业中，功能安全是非常重要的，特别是在涉及人员生命安全或财产损失的领域。

功能安全的概念和实践已经存在了很长时间，但它在现代信息技术和自动化系统中的重要性越来越突出。

许多行业都引入了功能安全标准和规范，以确保系统的设计和运行能够满足特定的安全要求。

在功能安全的概念中，有几个重要的方面需要考虑。

首先是系统的可靠性和可用性。

系统必须设计成能够在故障情况下继续正常运行，避免停机和数据丢失。

其次是系统的安全性和完整性。

系统必须能够防止未经授权的访问和数据篡改，并确保系统的数据完整性。

最后是系统的故障恢复能力。

系统必须能够自动检测和纠正故障，以避免系统崩溃。

为了确保功能安全，必须采取一系列的措施和方法。

首先是系统的设计。

在设计阶段，必须考虑到所有可能的故障和故障恢复情况，以确保系统能够在面对故障时正确操作。

其次是系统的测试和验证。

在开发和部署系统之前，必须进行全面的测试和验证，以确保系统达到预期的功能安全要求。

最后是系统的监控和维护。

一旦系统投入运行，必须进行定期的监控和维护，以确保系统能够持续满足功能安全要求。

在不同的行业中，有许多不同的功能安全标准和规范。

例如，在汽车行业中，ISO 26262是一种用于功能安全的国际标准，要求设计和开发具有功能安全性能的电子和电气系统。

在医疗行业中，IEC 60601是一种用于医疗电气设备的国际标准，要求这些设备具有高度的功能安全性。

在核电行业中，IEC 61508是一种适用于电气、电子和可编程电子系统的国际标准，要求这些系统具有可靠的功能安全性能。

功能安全的实现还需要考虑到人因因素。

人操作错误是导致许多故障和事故的主要原因。

因此，在设计和开发功能安全系统时，必须考虑到人工因素，并采取适当的措施来减少因为人的错误而导致的故障。

总之，功能安全是确保系统在正常操作、故障和故障恢复期间能够保持运行的安全性。