ГОСТ Р ИСО 26262-5-2014 Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия.

       

ГОСТ Р ИСО 26262-5-2014

 

Группа Т51

 

 

 НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

      

     

ДОРОЖНЫЕ ТРАНСПОРТНЫЕ СРЕДСТВА. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ

 

      

Часть 5

 

      

Разработка аппаратных средств изделия

 

      

Road vehicles. Functional safety. Part 5. Product development at the hardware level

ОКС 43.040.10

Дата введения 2015-10-01

 

      

     

Предисловие

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Корпоративные электронные системы" и Федеральным государственным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации - Фирма "ИНТЕРСТАНДАРТ" на основе собственного аутентичного перевода на русский язык международного документа, указанного в пункте 4

 

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 58 "Функциональная безопасность"

 

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии России от 17 ноября 2014 г. N 1623-ст

 

4 Настоящий стандарт идентичен международному стандарту ИСО 26262-5:2011* "Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия" (ISO 26262-5:2011 "Road vehicles - Functional safety - Part 5: Product development at the hardware level").

 

 

           

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

 

5 ВВЕДЕН ВПЕРВЫЕ

 

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии по стандартизации в сети Интернет (www.gost.ru)

 

 Введение

Комплекс стандартов ИСО 26262 является адаптацией комплекса стандартов МЭК 61508 и предназначен для применения электрических и/или электронных (Э/Э) систем в дорожно-транспортных средствах.

 

Это адаптация распространяется на все виды деятельности в процессе жизненного цикла систем, связанных с безопасностью, включающих электрические, электронные и программные компоненты.

 

Безопасность является одним из важнейших вопросов в автомобилестроении. Создание новых функциональных возможностей не только в таких системах, как содействие водителю, силовые установки, управление динамикой автомобиля, но и в активных и пассивных системах безопасности тесно связано с деятельностью по проектированию систем безопасности. Разработка и интеграция этих функциональных возможностей повышает необходимость использования процессов разработки систем безопасности и обеспечения доказательств того, что все обоснованные цели системы безопасности выполнены.

 

С ростом сложности технологий, программного обеспечения и мехатронных устройств увеличиваются риски, связанные с систематическими отказами и случайными отказами оборудования. Чтобы предотвратить эти риски, комплекс стандартов ИСО 26262 включает соответствующие требования и процессы.

 

Безопасность системы достигается за счет ряда мер безопасности, которые реализуются с применением различных технологий (например, механических, гидравлических, пневматических, электрических, электронных, программируемых электронных) и применяются на различных уровнях процесса разработки. Несмотря на то, что настоящий стандарт касается функциональной безопасности Э/Э систем, подход, рассматриваемый в настоящем стандарте, может быть использован для разработки связанных с безопасностью систем, основанных на других технологиях. Настоящий стандарт:

 

a) обеспечивает жизненный цикл систем безопасности автомобиля (менеджмент, разработку, производство, эксплуатацию, обслуживание, вывод из эксплуатации) и поддерживает адаптацию необходимых действий для выполнения этих стадий жизненного цикла;

 

b) обеспечивает разработанный специально для автотранспорта основанный на риске подход для определения уровней полноты безопасности [уровни полноты безопасности автомобиля (УПБА)];

 

c) использует значения УПБА при спецификации соответствующих требований, чтобы предотвратить неоправданный остаточный риск;

 

d) устанавливает требования к мерам проверки соответствия и подтверждения, которые обеспечивают достижение достаточного и приемлемого уровня безопасности;

 

e) устанавливает требования к взаимодействию с поставщиками.

 

На функциональную безопасность влияют процессы разработки (в том числе спецификация требований, реализация, внедрение, интеграция, верификация, подтверждение соответствия и управление конфигурацией), процессы производства и обслуживания, а также процессы управления.

 

Вопросы безопасности тесно связаны с любыми опытно-конструкторскими работами, реализующими функционал и обеспечивающими качество создаваемых изделий, а также с результатами таких работ. Настоящий стандарт рассматривает связанные с безопасностью проблемы, касающиеся опытно-конструкторских работ и их результатов.

 

На рисунке 1 показана общая структура комплекса ИСО 26262. В нем для различных стадий разработки изделия используется эталонная V-модель процесса. На рисунке 1:

 

- залитая область в виде символа "V" представляет взаимосвязь между ИСО 26262-3, ИСО 26262-4, ИСО 26262-5, ИСО 26262-6 и ИСО 26262-7;

 

- ссылки на конкретную информацию даны в виде: "m-n", где "m" представляет собой номер части настоящего стандарта, а "n" указывает на номер раздела этой части.

 

Пример - 2-6 ссылается на пункт 6 ИСО 26262-2.     

 

Рисунок 1 - Общая структура ИСО 26262

 

 

      1 Область применения

Настоящий стандарт применяется к связанным с безопасностью системам, включающим в себя одну или несколько электрических и/или электронных (Э/Э) систем, которые установлены в серийно производимых легковых автомобилях с максимальной массой (брутто) транспортного средства до 3500 кг. Настоящий стандарт не применяется для уникальных Э/Э систем в транспортных средствах специального назначения, таких как транспортные средства, предназначенные для водителей с ограниченными возможностями.

 

Системы и их компоненты, находящиеся в производстве или на стадии разработки до даты публикации настоящего стандарта, не входят в его область применения. Если разрабатываемые автомобили или их модификации используют системы и их компоненты, выпущенные до публикации настоящего стандарта, то только модификации этих систем должны быть разработаны в соответствии с настоящим стандартом.

 

Настоящий стандарт рассматривает возможные опасности, вызванные некорректным поведением Э/Э связанных с безопасностью систем, а также некорректным взаимодействием этих систем. Настоящий стандарт не рассматривает опасности, связанные с поражением электрическим током, возгоранием, задымлением, перегревом, излучением, токсичностью, воспламеняемостью, химической активностью, коррозией и подобные опасности, если они непосредственно не вызваны некорректным поведением Э/Э связанных с безопасностью систем.

 

Настоящий стандарт не рассматривает номинальные рабочие характеристики Э/Э систем, даже если для таких систем существуют стандарты, посвященные их функциональным рабочим характеристикам (например, активные и пассивные системы безопасности, тормозные системы, адаптивный круиз-контроль).

 

Настоящий стандарт устанавливает требования к разработке изделия на уровне аппаратных средств для автомобильной промышленности, в том числе:

 

- требования для инициализации разработки изделия на уровне аппаратных средств,

 

- спецификацию требований к безопасности аппаратных средств,

 

- требования к проектированию аппаратных средств,

 

- метрики архитектуры аппаратных средств,

 

- требования к оценке нарушения цели безопасности из-за случайных отказов аппаратных средств, а также интеграции и тестирования аппаратных средств.

 

Требования настоящего стандарта для элементов аппаратных средств применимы как к непрограммируемым, так и к программируемым элементам, таким как ASIC, FPGA и PLD. Кроме того, для программируемых электронных элементов, применимы требования ИСО 26262-6, а также разделов 11 и 12 ИСО 26262-8:2011.

 

 

      2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты*:

 

 

           

ИСО 26262-1:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 1. Термины и определения (ISO 26262-2:2011, Road vehicles - Functional safety - Part 1: Vocabulary)

 

ИСО 26262-2:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 2. Управление функциональной безопасностью (ISO 26262-2:2011, Road vehicles - Functional safety - Part 2: Management of functional safety)

 

ИСО 26262-3:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции (ISO 26262-3:2011, Road vehicles - Functional safety - Part 3: Concept phase)

 

ИСО 26262-4:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 4. Разработка изделия на уровне системы (ISO 26262-4:2011, Road vehicles - Functional safety - Part 4: Product development at the system level)

 

ИСО 26262-6:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 6. Разработка программного обеспечения изделия (ISO 26262-6:2011, Road vehicles - Functional safety - Part 6: Product development at the software level)

 

ИСО 26262-7:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 7. Производство и эксплуатация (ISO 26262-7:2011, Road vehicles - Functional safety - Part 7: Production and operation)

 

ИСО 26262-8:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 8. Вспомогательные процессы (ISO 26262-8:2011, Road vehicles - Functional safety - Part 8: Supporting processes)

 

ИСО 26262-9:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 9. Анализ уровня полноты безопасности автомобиля и анализ безопасности автомобиля (ISO 26262-9:2011, Road vehicles - Functional safety - Part 9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses)

 

      3 Термины, определения и сокращения

В настоящем стандарте применены термины, определения и сокращения по ИСО 26262-1.

 

 

      4 Требования соответствия настоящему стандарту

 

      

 

      4.1 Общие требования

Для соответствия настоящему стандарту должно быть выполнено каждое его требование, если для этого требования не выполняется одно из следующих условий:

 

а) в соответствии с настоящим стандартом предусмотрена настройка действий по обеспечению безопасности, поэтому данное требование не применяется, или

 

b) существует обоснование того, что несоблюдение данного требования допустимо, а также показано соответствие этого обоснования настоящему стандарту.

 

Информация, обозначенная как "примечание" или "пример", должна использоваться только для понимания или для уточнения соответствующего требования, и не должна толковаться как самостоятельное требование или быть для него полной или исчерпывающей.

 

Результаты действий по обеспечению безопасности представлены как результаты работы. В пунктах "Предварительные требования" перечисляется информация, которая должна быть доступна как результат работы предыдущей стадии. Так как некоторые требования разделов настоящего стандарта зависят от УПБА или могут быть адаптированы, то некоторые результаты работы в качестве предварительных условий могут не понадобиться.

 

В пунктах "Дополнительная информация" содержится информация, которую можно учитывать, но которой в некоторых случаях настоящий стандарт не требует, чтобы она была результатом работы предыдущей стадии. Такая информация может быть доступна из внешних источников, от лиц или организаций, которые не несут ответственность за деятельность по обеспечению функциональной безопасности.

 

 

      4.2 Интерпретация таблиц

В настоящем стандарте используются нормативные или справочные таблицы в зависимости от их контекста. Перечисленные в таблице различные методы вносят вклад в уровень уверенности в достижении соответствия с рассматриваемым требованием. Каждый метод в таблице включен либо в

 

a) последовательный список методов (он обозначен порядковым номером в левой колонке, например, 1, 2, 3) или

 

b) альтернативный список методов (он обозначен номером с последующей буквой в левом столбце, например, 2а, 2в, 2с).

 

В случае последовательного списка должны применяться все методы согласно рекомендациям для соответствующего значения УПБА. Если будут применяться другие методы, отличные от перечисленных, то должно быть дано обоснование, что они удовлетворяют соответствующим требованиям.

 

В случае альтернативного списка должна применяться подходящая комбинация методов в соответствии с указанным значением УПБА независимо от того, перечислены в таблице эти комбинации или нет. Если перечисленные методы имеют разные степени рекомендуемости их применения для некоторого значения УПБА, то следует отдать предпочтение методам с более высокой степенью рекомендуемости. Должно быть дано обоснование, что выбранная комбинация методов выполняет соответствующее требование.

 

Примечание - Обоснование, основанное на методах, перечисленных в таблице, является достаточным. Но это не означает, что существует какое-то предубеждение за или против применения методов, не перечисленных в таблице.

 

Для каждого метода степень рекомендуемости его применения зависит от значения УПБА и классифицируется следующим образом:

 

- "++" означает, что метод очень рекомендуется для определенного значения УПБА;

 

- "+" означает, что метод рекомендуется для определенного значения УПБА;

 

- "О" означает, что метод не имеет рекомендации за или против его применения для определенного значения УПБА.

 

 

      4.3 Требования и рекомендации, зависимые от значения УПБА

Требования или рекомендации каждого подраздела должны соблюдаться для значений УПБА А, В, С и D, если не указано иное. Эти требования и рекомендации связаны со значениями УПБА цели безопасности. Если в соответствии с требованиями раздела 5 ИСО 26262-9 декомпозиция УПБА была выполнена на более ранней стадии разработки, то значения УПБА, полученные в результате декомпозиции, должны соблюдаться.

 

Если в настоящем стандарте значение УПБА дается в круглых скобках, то соответствующий подпункт должен рассматриваться как рекомендация, а не требование для этого значения УПБА. Это не относится к круглым скобкам в нотации, связанной с декомпозицией УПБА.

 

 

      5 Начальная подстадия разработки аппаратных средств изделия

 

      

 

      5.1 Цель

Цель начальной подстадии разработки аппаратных средств изделия заключается в определении и планировании действий по обеспечению функциональной безопасности для отдельных подстадий разработки аппаратных средств. Включены также необходимые вспомогательные процессы, описанные в ИСО 26262-8.

 

Эти спланированные действия по обеспечению безопасности конкретных аппаратных средств будут включены в план по обеспечению безопасности (см. пункт 6.4.3 ИСО 26262-2 и подраздел 5.4 ИСО 26262-4).

 

 

      5.2 Общие положения

Следует спланировать действия и процессы, необходимые для разработки аппаратных средств, удовлетворяющих требованиям безопасности. Рисунок 2 иллюстрирует шаги процесса разработки аппаратных средств изделия, необходимые для выполнения требований настоящего стандарта, а также интеграцию этих шагов в контексте настоящего стандарта.     

 

Примечание - На рисунке конкретный раздел каждой части настоящего стандарта указан следующим образом: "m-n", где "m" представляет собой номер части и "n" указывает номер раздела, например, "4-7" представляет раздел 7 ИСО 26262-4.

 

Рисунок 2 - Эталонная модель стадии разработки аппаратных средств изделия

Для разработки аппаратных средств изделия необходимы следующие действия и процессы:

 

- реализация технической концепции обеспечения безопасности аппаратных средств;

 

- анализ возможных сбоев аппаратных средств и их последствий; а также

 

- координация с разработкой программного обеспечения.

 

В отличие от подстадий разработки программного обеспечения, настоящий стандарт содержит два раздела, описывающие количественные оценки общей архитектуры аппаратных средств устройства.

 

В разделе 8 описаны две метрики для оценки эффективности архитектуры аппаратных средств устройства и реализованные механизмы безопасности, обрабатывающие случайными отказами аппаратных средств.

 

В качестве дополнения к разделу 8 в разделе 9 описываются два альтернативных варианта оценки с помощью глобального вероятностного подхода и с помощью анализа сечений того, является ли достаточно низким остаточный риск нарушения цели безопасности, для определения влияния каждого выявленного сбоя элемента аппаратных средств, нарушающего цели безопасности.

 

 

      5.3 Входная информация

5.3.1 Предварительные требования

Необходима следующая информация:

 

- план проекта (уточненный) в соответствии с пунктом 5.5.1 ИСО 26262-4;

 

- план по обеспечению безопасности (уточненный) в соответствии с пунктом 5.5.2 ИСО 26262-4;

 

- план интеграции и тестирования устройства (уточненный) в соответствии с пунктом 5.5.3 ИСО 26262-4.

 

5.3.2 Дополнительная информация

 

Следующая информация может быть учтена:

 

- отчет о квалификации (компонентов или частей аппаратных средств).

 

 

      5.4 Требования и рекомендации

5.4.1 План обеспечения безопасности в соответствии с ИСО 26262-2 должен быть достаточно подробным, включая определение соответствующих методов и мер, относящихся к действиям по разработке аппаратных средств изделия, согласованным с планируемыми действиями в ИСО 26262-6.

 

5.4.2 Процесс разработки аппаратных средств для устройства, включая методы и инструменты, должен быть согласован со всеми подстадиями разработки аппаратных средств и согласован с подстадиями разработки системы и программного обеспечения так, чтобы требования в реализуемой последовательности подстадий сохраняли свою точность и согласованность в процессе разработки аппаратных средств.

 

5.4.3 Должна быть выполнена настройка действий жизненного цикла системы безопасности для разработки аппаратных средств изделия в соответствии с требованиями пункта 6.4.5 ИСО 26262-2 на основе эталонной модели стадии, приведенной на рисунке 2.

 

5.4.4 Должно быть определено повторное использование компонентов аппаратных средств или использование квалифицированных компонентов или частей аппаратных средств, а результаты настройки действий по обеспечению безопасности должны быть документально оформлены.

 

 

      5.5 Результаты работы

5.5.1 План по обеспечению безопасности (уточненный)

 

В результате выполнения требований 5.4.1-5.4.4.

 

 

      6 Спецификация требований к аппаратным средствам системы безопасности

     

 

      6.1 Цели

Первой целью настоящего раздела является формирование спецификации требований к аппаратным средствам системы безопасности. Они выводятся из технической концепции обеспечения безопасности и спецификации проекта системы.

 

Второй целью является верификация согласованности требований к аппаратным средствам системы безопасности с технической концепцией обеспечения безопасности и спецификацией проекта системы.

 

Третьей целью настоящего раздела является формирование подробной спецификации программно-аппаратного интерфейса, инициированного в разделе 7 ИСО 26262-4.

 

      6.2 Общие положения

Технические требования к системе безопасности распределяются для аппаратных средств и программного обеспечения. Из требований, которые распределяются и для аппаратных средств, и для программного обеспечения, далее выделяются только требования для аппаратных средств системы безопасности. Затем требования к аппаратным средствам системы безопасности детализируются, с учетом ограничений проекта и влияния этих ограничений проекта на аппаратные средства.

 

 

      6.3 Входная информация

6.3.1 Предварительные требования

 

Необходима следующая информация:

 

- план по обеспечению безопасности (уточненный) в соответствии с 5.5;

 

- техническая концепция обеспечения безопасности в соответствии с пунктом 7.5.1 ИСО 26262-4;

 

- спецификация проекта системы в соответствии с пунктом 7.5.2 ИСО 26262-4;

 

- спецификация программно-технического интерфейса в соответствии с пунктом 7.5.3 ИСО 26262-4.

 

6.3.2 Дополнительная информация

 

Следующая информация может быть учтена:

 

- спецификация требований к программному обеспечению системы безопасности (см. пункт 6.5.1 ИСО 26262-6).

 

 

      6.4 Требования и рекомендации

6.4.1 Спецификация требований к аппаратным средствам системы безопасности для элементов аппаратных средств устройства должна быть получена из технических требований к системе безопасности, распределенных для аппаратных средств.

 

6.4.2 Спецификация требований к аппаратным средствам системы безопасности должна включать каждое требование к аппаратным средствам, связанное с безопасностью, в том числе:

 

Примечание - Требования к аппаратным средствам системы безопасности, описанные в перечислениях а), b), с), d) включают атрибуты, необходимые для обеспечения эффективности вышеупомянутых механизмов безопасности.

 

a) требования к аппаратным средствам системы безопасности и соответствующие атрибуты механизмов безопасности для управления внутренними отказами элементов аппаратных средств, включая внутренние механизмы безопасности для охвата кратковременных сбоев, когда показано, что они связаны, например, с используемой технологией.

 

Пример - Атрибуты могут идентифицировать возможности синхронизации и обнаружения для сторожевого устройства;

 

b) требования к аппаратным средствам системы безопасности и соответствующие атрибуты механизмов безопасности, обеспечивающие для элемента устойчивость к внешним по отношению к этому элементу сбоям.

 

Пример - Функциональное поведение, требуемое для электронного блока управления, в случае внешнего отказа, такого как разрыв цепи на входе электронного блока управления;

 

c) требования к аппаратным средствам системы безопасности и необходимые атрибуты механизмов безопасности, соответствующие требованиям к безопасности других элементов.

 

Пример - Диагностика датчиков или исполнительных механизмов;

 

d) требования к аппаратным средствам системы безопасности и соответствующие атрибуты механизмов безопасности, обеспечивающие обнаружение внутренних или внешних отказов и формирование сигналов о них.

 

Примечание - Требования к аппаратным средствам системы безопасности, описанные в перечислении d), относятся и к механизмам безопасности, предотвращающим скрытые отказы.

 

Пример - Заданное время реакции на отказ аппаратных средств механизма безопасности соответствует интервалу сбоеустойчивости;

 

e) требования к аппаратным средствам системы безопасности, не специфицирующие механизмы безопасности.

 

Пример - Такими требованиями могут быть:

 

- требования к элементам аппаратных средств для обеспечения достижения целевых значений случайных отказов аппаратных средств, как описано в 6.4.3 и 6.4.4;

 

- требования о предотвращении конкретного поведения (например, "сигнал на выходе конкретного датчика не должен быть неустойчивым");

 

- требования, распределенные элементам аппаратных средств, реализующим целевую функциональность;

 

- требования, определяющие правила проектирования жгутов или разъемов.

 

6.4.3 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Должны учитываться целевые значения, установленные в соответствии с разделом 7 ИСО 26262-4 для метрик, представленных в разделе 8 настоящего стандарта, при выводе значений элементов аппаратных средств устройства.

 

Примечание - Данная деятельность может включать в себя разделение целевых значений в случае распределенной разработки, как указано в разделе 5 ИСО 26262-8.

 

6.4.4 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Должны учитываться целевые значения, установленные в соответствии с разделом 7 ИСО 26262-4, для процедур, представленных в разделе 9 настоящего стандарта, при выводе значений элементов аппаратных средств устройства.

 

Примечание - Данная деятельность может включать в себя разделение целевых значений в случае распределенной разработки, как указано в разделе 5 ИСО 26262-8.

 

6.4.5 Требования к аппаратным средствам системы безопасности должны быть определены в соответствии с разделом 6 ИСО 26262-8.

 

6.4.6 Должны быть определены критерии оценки для верификации проекта аппаратных средств устройства или элемента, в том числе: условия окружающей среды (температура, вибрация, электромагнитные помехи и др.), конкретные условия эксплуатации (напряжение питания, циклограмма и т.д.) и конкретные требования для компонент:

 

а) для верификации квалификацией компонентов или части аппаратных средств средней сложности критерии должны удовлетворять требованиям раздела 13 ИСО 26262-8;

 

b) для верификации тестированием критерии должны удовлетворять требованиям раздела 10.

 

6.4.7 Интервал сбоеустойчивости для механизмов безопасности должен удовлетворять требованиям к аппаратным средствам системы безопасности, как определено в пункте 6.4.2.3 ИСО 26262-4.

 

6.4.8 Интервал обнаружения множественного сбоя должен удовлетворять требованиям к аппаратным средствам системы безопасности, как определено в пункте 6.4.4.3 ИСО 26262-4.

 

Примечания

 

1 Если значения УПБА для целей безопасности равны С и D и если соответствующая концепция обеспечения безопасности не устанавливает конкретного значения, то интервал обнаружения множественного сбоя может быть задан равным или ниже значения времени цикла "включения-выключения" питания устройства.     

 

2 Соответствующее значение интервала обнаружения множественного сбоя также может быть обосновано методом количественного анализа возникновения случайных отказов аппаратных средств (см. раздел 9).

 

6.4.9 Требования к аппаратным средствам системы безопасности должны быть верифицированы в соответствии с требованиями разделов 6 и 9 ИСО 26262-8, в целях обеспечения доказательств их:

 

a) согласованности с технической концепцией обеспечения безопасности, спецификацией проекта системы и спецификацией аппаратных средств;

 

b) полноты относительно технических требований к системе безопасности, распределяемых элементу аппаратных средств;

 

c) согласованности с соответствующими требованиями к программному обеспечению системы безопасности;

 

d) корректности и точности.

 

6.4.10 Спецификация программно-аппаратного интерфейса, сформированная в соответствии с требованиями раздела 7 ИСО 26262-4, должна быть в достаточной степени уточнена, чтобы обеспечить правильное управление и использование аппаратных средств программным обеспечением, а также должна описывать каждую связанную с безопасностью зависимость между аппаратными средствами и программным обеспечением.

 

6.4.11 Лица, ответственные за разработку аппаратных средств и программного обеспечения, несут солидарную ответственность за проверку адекватности уточненной спецификации программно-аппаратного интерфейса.

 

 

      6.5 Результаты работы

6.5.1 Спецификация требований к аппаратным средствам системы безопасности (включая квалификационные критерии и критерии тестирования)

 

В результате выполнения требований 6.4.1-6.4.8.

 

6.5.2 Спецификация программно-аппаратного интерфейса (уточненная)

 

В результате выполнения требований 6.4.10 и 6.4.11.

 

Примечание - Данный результат работы совпадает с результатом работы по пункту 6.5.2 ИСО 26262-6.

 

6.5.3 Отчет о верификации требований аппаратных средств системы безопасности

 

В результате выполнения требований 6.4.9.

 

 

      7 Проектирование аппаратных средств

 

      

 

      7.1 Цели

Первой целью данного раздела является разработка аппаратных средств в соответствии со спецификацией проекта системы и требованиями к аппаратным средствам системы безопасности.

 

Второй целью данного раздела является проверка проекта аппаратных средств на соответствие спецификации проекта системы и требований к аппаратным средствам системы безопасности.

 

 

      7.2 Общие положения

Проект аппаратных средств включает в себя проект архитектуры аппаратных средств и детальный проект аппаратных средств. Проект архитектуры аппаратных средств представляет все компоненты аппаратных средств и их взаимодействие друг с другом. Детальный проект аппаратных средств - это проект аппаратных средств на уровне электрических схем, представляющих взаимодействие между частями аппаратных средств, из которых состоят компоненты аппаратных средств.

 

Для того, чтобы разработать единый проект аппаратного средства, он должен удовлетворять как требованиям к аппаратным средствам системы безопасности, так и всем требованиям, не связанным с безопасностью. Следовательно, на этой подстадии связанные и не связанные с безопасностью требования применяются в одном процессе разработки.

 

 

      7.3 Входная информация

7.3.1 Предварительные требования

 

Необходима следующая информация:

 

- спецификация требований к аппаратным средствам системы безопасности в соответствии с 6.5.1;

 

- спецификация программно-аппаратного интерфейса (уточненная) в соответствии с требованиями 6.5.2;

 

- спецификация проекта системы в соответствии с пунктом 7.5.2 ИСО 26262-4;

 

- план обеспечения безопасности (уточненный) в соответствии с 5.5.

 

7.3.2 Дополнительная информация

 

Следующая информация может быть учтена:

 

- спецификация требований к программному обеспечению системы безопасности (см. пункт 6.5.1 ИСО 26262-6).

 

 

      7.4 Требования и рекомендации

7.4.1 Проект архитектуры аппаратных средств

 

7.4.1.1 Архитектура аппаратных средств должна реализовать требования к аппаратным средствам системы безопасности, определенные в разделе 6.

 

7.4.1.2 Каждый компонент аппаратных средств должен наследовать наибольшее значение УПБА, специфицированное для требований к аппаратным средствам системы безопасности, которые он реализует.

 

Примечание - Каждая характеристика компонента аппаратных средств будет наследовать наибольшее значение УПБА, специфицированное для требований к аппаратным средствам системы безопасности, которые он реализует.

 

7.4.1.3 Если в процессе проекта архитектуры аппаратных средств системы безопасности для требований аппаратных средств системы безопасности выполнятся декомпозиция УПБА, то она должна применяться в соответствии с требованиями раздела 5 ИСО 26262-9.

 

7.4.1.4 Если элемент аппаратного средства выполнен из подэлементов, которые имеют различные распределенные значения УПБА, или подэлементов, которым значения УПБА не назначены, и связанных с безопасностью подэлементов, то каждый из них рассматривается в соответствии с самым высоким значением УПБА, пока не будут выполнены критерии совместимости подэлементов в соответствии с требованиями ИСО 26262-9.

 

7.4.1.5 Должна поддерживаться прослеживаемость между требованиями аппаратных средств системы безопасности и их реализацией вплоть до компонентов аппаратных средств самого низкого уровня.

 

Примечание - Прослеживаемость не требуется до уровня детального проектирования аппаратных средств и значения УПБА не назначаются частям аппаратных средств.

 

7.4.1.6 Для того чтобы предотвратить отказы, вызванные высокой сложностью, проект архитектуры аппаратных средств должен обладать следующими свойствами, используя принципы, перечисленные в таблице 1:

 

a) модульность;

 

b) адекватный уровень детализации;

 

c) простоту.

 

Таблица 1 - Свойства модульного проектирования аппаратных средств

 

 

 

 

 

 

 

Свойства

УПБА

 

А

В

С

D

1

Иерархичность проекта

+

+

+

+

2

Точно определенные интерфейсы связанных с безопасностью компонентов аппаратных средств

++

++

++

++

3

Предотвращение излишней сложности интерфейсов

+

+

+

+

4

Предотвращение излишней сложности компонентов аппаратных средств

+

+

+

+

5

Ремонтопригодность (обслуживание)

+

+

++

++

6

Тестируемость
 

+

+

++

++

Тестируемость включает в себя тестируемость в процессе разработки и эксплуатации.
 

 

7.4.1.7 В процессе проектирования архитектуры аппаратных средств должны быть рассмотрены нефункциональные причины отказа связанных с безопасностью компонентов аппаратных средств, включая следующие, если такие применимы: температура, вибрация, вода, пыль, электромагнитные помехи, перекрестные помехи, возникающие либо от других аппаратных компонент архитектуры аппаратных средств, либо от их окружения.

 

7.4.2 Детальное проектирование аппаратных средств

 

7.4.2.1 Для того, чтобы избежать общих ошибок проектирования, должен применяться соответствующий накопленный опыт согласно требованиям пункта 5.4.2.7 ИСО 26262-2.

 

7.4.2.2 В процессе детального проектирования аппаратных средств должны быть рассмотрены нефункциональные причины отказа связанной с безопасностью части аппаратных средств, включая следующие, если такие применимы: температура, вибрация, вода, пыль, электромагнитные помехи, коэффициент шума, перекрестные помехи, возникающие либо от других аппаратных частей компонента аппаратных средств, либо от ее окружения.

 

7.4.2.3 Условия эксплуатации частей аппаратных средств, используемых в детальном проектировании аппаратных средств, должны соответствовать специфицированным для них диапазонам значений эксплуатационных параметров и параметров окружающей среды.

 

7.4.2.4 Должны быть рассмотрены надежные принципы проектирования.

 

Примечание - Надежность принципов проектирования может быть показана с помощью контрольных карт на основе методов управления качеством.

 

Пример - Консервативная спецификация компонентов.

 

7.4.3 Анализ безопасности

7.4.3.1 Для выявления причин отказов и их последствий должен выполняться анализ безопасности проекта аппаратных средств в соответствии с таблицей 2 и требованиями раздела 8 ИСО 26262-9.

 

Примечания

 

1 Первоначальной целью анализа безопасности является поддержка спецификации проекта аппаратных средств. Впоследствии анализ безопасности может быть использован для верификации проекта аппаратных средств (см. 7.4.4).

 

2 В целях поддержки спецификации проекта аппаратных средств может быть уместным и достаточным качественный анализ.

 

Таблица 2 - Анализ безопасности проекта аппаратных средств

 

 

 

 

 

 

 

Методы

УПБА

 

А

В

С

D

1

Дедуктивный анализ
 

о

+

++

++

2

Индуктивный анализ
 

++

++

++

++

Примечание - Уровень детализации анализа соизмерим с уровнем детализации проекта. Оба метода могут, в определенных случаях, выполняться на различных уровнях детализации.

 

 

 

 

 

Типичным дедуктивным методом анализа является FTA.
 
Типичным индуктивным методом анализа является FMEA.
 

 

7.4.3.2 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Для каждого связанного с безопасностью компонента или части аппаратных средств с учетом рассматриваемой цели безопасности анализ безопасности должен определить следующее:

 

a) безопасные сбои;

 

b) одиночные сбои или остаточные сбои;

 

c) множественные сбои (или воспринимаемые, обнаруживаемые, или скрытые).

 

Примечания

 

1 В большинстве случаев анализ может быть ограничен двойными сбоями. Но иногда в технической концепции обеспечения безопасности (например, при реализации избыточных механизмов безопасности) могут быть рассмотрены множественные сбои более второго порядка.

 

2 Идентификация двойных сбоев не требует систематического анализа каждой возможной комбинации из двух сбоев аппаратных средств, но, как минимум, необходимо рассмотреть комбинации, которые следуют из технической концепции обеспечения безопасности (например, комбинацию двух сбоев, где один сбой влияет на связанный с безопасностью элемент, а другой сбой влияет на соответствующий механизм безопасности, предназначенный для достижения или поддержания безопасного состояния).

 

7.4.3.3 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Должно быть обеспечено доказательство эффективности механизмов безопасности, предотвращающих одиночные сбои.

 

С этой целью:

 

a) должно быть обеспечено доказательство способности механизмов безопасности поддерживать безопасное состояние или безопасно перейти в безопасное состояние (в частности, соответствующие возможности смягчения отказа в течении периода сбоеустойчивости) и

 

b) должен быть оценен диагностический охват по отношению к остаточным неисправностям.

 

Примечания

 

1 Сбой, который может произойти в любое время (например, не только при включении питания) не может рассматриваться, как эффективно охваченный, если значение интервала его диагностических проверок, сложенное со значением времени реакции на сбой соответствующего механизма безопасности, больше, чем соответствующее значение интервала сбоеустойчивости.

 

2 Если можно показать, что сбой происходит только при включении питания и вероятность его возникновения ничтожно мала во время движения транспортного средства, то для таких сбоев принято выполнять тестирования при пуске после подачи питания.

 

3 Для структурирования обоснования могут быть использованы такие виды анализа, как FMEA или FTA.

 

4 В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней, оценка может быть выполнена либо с помощью глобального охвата диагностикой элемента аппаратных средств, либо более детальной оценкой охвата вида отказов.

 

5 Для выполнения начального шага оценки охвата диагностикой, в которой требуемое значение охвата диагностикой поддерживается надлежащим обоснованием, может быть использовано приложение D.

 

7.4.3.4 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Должно быть обеспечено доказательство эффективности механизмов безопасности, предотвращающих скрытые сбои.

 

С этой целью:

 

a) должны быть обеспечены доказательства обнаружения отказа и возможности уведомить водителя в течение допустимого времени обнаружения множественного сбоя для скрытых сбоев для того, чтобы определить, какие сбои остаются скрытыми и какие сбои являются не скрытыми; и

 

b) должен быть оценен диагностический охват для скрытых сбоев.

 

Примечания

 

1 Сбой не может рассматриваться как охваченный, если значение интервала его диагностических проверок, сложенное со значением времени реакции на сбой соответствующего механизма безопасности, больше, чем соответствующее значение времени обнаружения множественного сбоя для скрытых сбоев.

 

2 Для структурирования обоснования могут быть использованы такие виды анализа, как FMEA или FTA.

 

3 Для выполнения начального шага оценки охвата диагностикой, в которой требуемое значение охвата диагностикой поддерживается надлежащим обоснованием, может быть использовано приложение D.

 

4 В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней, оценка может быть выполнена либо с помощью глобального охвата диагностикой элемента аппаратных средств, либо более детальной оценкой охвата вида отказов.

 

7.4.3.5 При необходимости на основе анализа зависимых отказов в соответствии с требованиями раздела 7 ИСО 26262-9, должно быть обеспечено доказательство того, что проект аппаратных средств соответствует его требованиям о независимости.

 

7.4.3.6 Если при проектировании аппаратных средств появляются новые опасности, еще не охваченные существующей целью безопасности, то они должны быть учтены и оценены методом анализа опасностей и оценки рисков в соответствии с требованиями процесса управления изменениями, представленными в ИСО 26262-8.

 

Примечание - Вновь выявленные опасности, еще не отраженные в существующей цели безопасности, как правило, являются нефункциональными опасностями. Нефункциональные опасности выходят за рамки области применения настоящего стандарта, но они могут быть при анализе опасностей и оценке рисков снабжены следующим пояснением "Данной опасности значение УПБА не назначается, поскольку они выходят за рамки области применения настоящего стандарта". Тем не менее значение УПБА может быть назначено в качестве рекомендации.

 

7.4.4 Верификация проекта аппаратных средств

 

7.4.4.1 Проект аппаратных средств должен быть верифицирован в соответствии с требованиями раздела 9 ИСО 26262-8, на соответствие и полноту по отношению к требованиям к аппаратным средствам системы безопасности. Для достижения этой цели должны быть рассмотрены методы, перечисленные в таблице 3.

 

Таблица 3 - Верификация проекта аппаратных средств

 

 

 

 

 

 

 

Методы

УПБА

 

А

В

С

D

Сквозной контроль проекта аппаратных средств
 

++

+

о

о

1b

Осмотр (контроль) проекта аппаратных средств
 

+

++

++

++

2

Анализ безопасности

В соответствии с 7.4.3

Моделирование
 

о

+

+

+

3b

Разработка аппаратных средств прототипированием
 

о

+

+

+

Примечание - Область применения этого отчета по верификации является техническая корректность проекта аппаратных средств.

 

 

 

 

 

Методы 1а и 1b служат для проверки полноты и правильности выполнения требований к аппаратным средствам системы безопасности для проекта аппаратных средств.
 
Методы 3а и 3b служат для проверки аппаратных средств в конкретных точках (например, используя метод внесения неисправностей), для которых аналитические методы 1 и 2 считается не достаточными.
 

 

7.4.4.2 Если во время проектирования аппаратных средств обнаружено, что выполнение какого-либо требования к аппаратным средствам системы безопасности не возможно, то выдается запрос на изменение в соответствии с требованиями процесса управления изменениями, представленными в ИСО 26262-8.

 

7.4.5 Производство, эксплуатация, обслуживание и вывод из эксплуатации

 

7.4.5.1 Если анализ безопасности показал важность связанных с безопасностью специальных характеристик, то они должны быть специфицированы. Атрибуты, связанных с безопасностью специальных характеристик, должны включать:

 

а) меры верификации в процессе производства и эксплуатации, а также

 

b) критерии допустимости этих мер.

 

Пример - Анализ безопасности проекта аппаратных средств, который опирается на новые сенсорные технологии (например, камера или радарные датчики), может выявить актуальность специальной процедуры установки этих датчиков. В таком случае на этапе производства могут быть необходимы дополнительные меры верификации для этих компонентов.

 

7.4.5.2 Должны быть специфицированы инструкции по монтажу, демонтажу и выводу из эксплуатации связанных с безопасностью элементов аппаратных средств, если эти операции могут повлиять на техническую концепцию обеспечения безопасности.

 

7.4.5.3 Должна быть обеспечена прослеживаемость связанных с безопасностью элементов аппаратных средств в соответствии с требованиями пункта 5.4.1.2 ИСО 26262-7.

 

Примечание - Прослеживаемость может включать в себя адекватную маркировку или другую идентификацию элементов аппаратных средств, чтобы указать, что они связанны с безопасностью.

 

7.4.5.4 Должны быть специфицированы инструкции по эксплуатации связанных с безопасностью элементов аппаратных средств, если процессы эксплуатации могут повлиять на техническую концепцию обеспечения безопасности.

 

 

      7.5 Результаты работы

7.5.1 Спецификация проекта аппаратных средств

 

В результате выполнения требований 7.4.1 и 7.4.2.

 

7.5.2 Отчет по анализу безопасности аппаратных средств

 

В результате выполнения требований 7.4.3.

 

7.5.3 Отчет о верификации проекта аппаратных средств

 

В результате выполнения требований 7.4.4.

 

7.5.4 Спецификация требований к производству, эксплуатации, обслуживанию и выводу из эксплуатации

 

В результате выполнения требований 7.4.5.

 

 

      8 Оценка метрик архитектуры аппаратных средств

      

 

      8.1 Цель

Целью настоящего раздела является оценка архитектуры аппаратных средств устройства на соответствие требованиям с помощью метрик архитектуры аппаратных средств.

 

 

      8.2 Общие положения

Данный раздел описывает две метрики архитектуры аппаратных средств для оценки эффективности архитектуры устройства из-за случайных отказов аппаратных средств.

 

Эти метрики и связанные с ними целевые значения применяются ко всем аппаратным средствам устройства и являются дополнением к оценке нарушения цели безопасности из-за случайных отказов аппаратных средств, описанной в разделе 9.

 

Случайные отказы аппаратных средств, для которых используются эти метрики, ограничены отказами, связанными с безопасностью электрических и электронных частей аппаратных средств устройства, а именно теми, которые могут внести значительный вклад в нарушение или достижение цели безопасности, а также одиночными, остаточными и скрытыми сбоями этих частей. Для электромеханических частей аппаратных средств рассматриваются только виды и интенсивности электрических отказов.

 

Примечание - Элементы аппаратных средств с множественными сбоями более второго порядка могут быть исключены из расчетов, если нельзя показать, что они имеют отношение к технической концепции обеспечения безопасности.

 

Метрики архитектуры аппаратных средств могут быть применены многократно во время проектирования архитектуры аппаратных средств и детального проектирования аппаратных средств.

 

Метрики архитектуры аппаратных средств зависят от всего комплекса аппаратных средств устройства. Выполнение целевых показателей, предписанных для метрик архитектуры аппаратных средств, достигается для каждой цели безопасности, которую реализует устройство.

 

Такие метрики архитектуры аппаратных средств определяются для достижения следующих целей:

 

- быть объективно оцениваемыми: метрики должны быть верифицируемыми и достаточно точными, чтобы дифференцировать различные архитектуры;

 

- выполнять оценку окончательного проекта (выполнен неточных расчетов для детального проекта аппаратных средств);

 

- сделать возможной оценку архитектуры аппаратных средств по критерию достигнуто/не достигнуто заданное значение УПБА;

 

- определить, достаточен ли охват механизмами безопасности, чтобы предотвратить риск от одиночного или остаточного сбоя в архитектуре аппаратных средств (метрика одиночного сбоя);

 

- определить, достаточен ли охват механизмами безопасности, чтобы предотвратить риск от скрытых сбоев в архитектуре аппаратных средств (метрика скрытого сбоя);

 

- устранять одиночные, остаточные и скрытые сбои;

 

- обеспечить надежность при неустойчивости интенсивности отказов в аппаратных средствах;

 

- рассматривать только элементы, связанные с безопасностью;

 

- поддерживать применение для элементов на различных уровнях, например, целевые значения могут быть распределены поставляемым элементам аппаратных средств.

 

Пример - Для облегчения распределенной разработки, целевые значения могут быть распределены микроконтроллерам или электронным блокам управления.

 

      8.3 Входная информация

8.3.1 Предварительные требования

 

Следующая информация должна быть доступна:

 

- спецификация требований к аппаратным средствам системы безопасности в соответствии с 6.5.1;

 

- спецификация проекта аппаратных средств в соответствии с 7.5.1;

 

- отчет по анализу безопасности аппаратных средств в соответствии с 7.5.2.

 

8.3.2 Дополнительная информация

 

Следующая информация может быть учтена:

 

- техническая концепция обеспечения безопасности (см. 7.5.1 ИСО 26262-4);

 

- спецификация проекта системы (см. 7.5.2 ИСО 26262-4).

 

 

      8.4 Требования и рекомендации

8.4.1 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Понятия охват диагностикой, метрика одиночного сбоя и метрика скрытого сбоя, рассмотренные в приложении С, применяются к требованиям 8.4.2-8.4.9.

 

8.4.2 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Охват диагностикой связанных с безопасностью элементов аппаратных средств механизмами безопасности должен быть оценен по остаточным сбоям и по соответствующим скрытым сбоям.

 

Примечания

 

1 Для выполнения начального шага оценки охвата диагностикой, в которой требуемое значение охвата диагностикой поддерживается надлежащим обоснованием, могут быть использованы таблицы D.1-D.14.

 

2 В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней, оценка может быть выполнена либо с помощью глобального охвата диагностикой элемента аппаратных средств, либо более детальной оценкой охвата вида отказов.

 

8.4.3 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Должны быть определены, используемые в анализе, расчетные значения интенсивностей отказов частей аппаратных средств:

 

a) используя данные об интенсивностях отказов частей аппаратных средств из признанных источников промышленности; или

 

Пример - Общепризнанными отраслевыми источниками для определения интенсивностей отказов частей аппаратных средств считаются: IEC/TR 62380, IEC 61709, MIL HDBK 217 F notice 2, RIAC HDBK 217 Plus, UTE C80-811, NPRD 95, EN 50129:2003, Annex C, IEC 62061:2005, Annex D, RIAC FMD97 и MIL HDBK 338.

 

Примечание - Значения интенсивностей отказов, приведенные в этих базах данных, как правило, считается пессимистическими;

 

b) используя статистику, основанную на данных, полученных из эксплуатации или испытаний. В этом случае оцененная интенсивность отказов должна иметь достаточный уровень доверия; или

 

c) используя экспертную оценку, основанную на инженерном подходе, использующем количественные и качественные методы. В основе экспертной оценки лежат структурированные критерии. Эти критерии должны быть установлены до выполнения оценки интенсивностей отказов.

 

Примечание - Критериями экспертной оценки могут быть опыт эксплуатации, тестирование, анализ надежности и новизна проекта.

 

8.4.4 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Если достаточное доказательство расчетных значений интенсивностей отказов при одиночном или скрытом сбое не может быть выполнено, то должны быть предложены альтернативные средства (например, дополнительные механизмы безопасности для выявления и управления этими сбоями).

 

Примечание - "Достаточное доказательство" означает, например, что в нем интенсивность отказов должна быть определена с помощью одного из методов, перечисленных в 8.4.3.

 

8.4.5 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Для каждой цели безопасности количественное целевое значение метрики одиночного сбоя в соответствии с требованиями 7.4.4.2 ИСО 26262-4 должно быть основано на одном из следующих источников рекомендуемых целевых значений:

 

a) полученных из вычисления метрик архитектуры аппаратных средств, для которых применены аналогичные хорошо зарекомендовавшие себя принципы проектирования; или

 

Примечание - Два аналогичных проекта имеют схожие функциональные возможности и аналогичные цели безопасности с теми же значениями УПБА;

 

b) полученных из таблицы 4.

 

Таблица 4 - Возможный источник для получения целевого значения метрики одиночного сбоя

 

 

 

 

 

 

УПБА В

УПБА С

УПБА D

Метрика одиночного сбоя

90%
 
97%
 
99%
 

 

Примечание - Этот количественный целевой показатель предназначен для обеспечения:

 

- руководства проектированием и

 

- доказательства того, что проект соответствует целям безопасности.

 

8.4.6 Данное требование распространяется на значения УПБА (В), (С) и D цели безопасности. Для каждой цели безопасности количественное целевое значение метрики скрытого сбоя в соответствии с требованиями 7.4.4.2 ИСО 26262-4 должно быть основано на одном из следующих источников рекомендуемых целевых значений:

 

a) полученных из вычисления метрик архитектуры аппаратных средств, для которых применены аналогичные хорошо зарекомендовавшие себя принципы проектирования; или

 

Примечание - Два аналогичных проекта имеют схожие функциональные возможности и аналогичные цели безопасности с теми же значениями УПБА;

 

b) полученных из таблицы 5.

 

Таблица 5 - Возможный источник для получения целевого значения метрики скрытого сбоя

 

 

 

 

 

 

УПБА В

УПБА С

УПБА D

Метрика скрытого сбоя

60%
 
80%
 
90%
 

 

Примечание - Этот количественный целевой показатель предназначен для обеспечения:

 

- руководства проектированием и

 

- доказательства того, что проект соответствует целям безопасности.

 

8.4.7 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Для каждой цели безопасности комплекс аппаратных средств устройства в целом должен соответствовать одному из следующих вариантов:

 

a) достижению целевого значения метрики одиночного сбоя, как описано в 8.4.5; или

 

b) достижению соответствующих целей, предусмотренных на уровне элементов аппаратных средств, которые являются достаточными для соответствия целевому значению метрики одиночного сбоя, назначенной для всего комплекса аппаратных средств устройства, согласно требованию 8.4.5, с обоснованием соответствия с этими целями на уровне элементов аппаратных средств.

 

Примечания

 

1 Если устройство содержит различные виды элементов аппаратных средств с существенно разными уровнями интенсивности отказов, то существует риск, что для соответствия с метриками архитектуры аппаратных средств рассматриваются только элементы аппаратных средств с наибольшей величиной интенсивности отказов. (Одним из примеров, когда это может произойти, является метрика одиночного сбоя, для которой соответствие может быть достигнуто путем учета интенсивности отказов в проводниках/предохранителях/разъемах без учета интенсивности отказов частей аппаратных средств со значительно более низкой интенсивностью отказов). Назначение соответствующих значений целевых метрик для каждого вида аппаратных средств помогает избежать такую ситуацию.

 

2 Кратковременные сбои рассматриваются, когда показано, что они актуальны, например, в связи с используемой технологией. Они могут быть учтены путем спецификации и проверки выделенного для них целевого значения метрики одиночного сбоя (как это указано в примечании 1) или с помощью качественного обоснования, основанного на верификации эффективности внутренних механизмов безопасности, реализованных для охвата этих кратковременных сбоев.

 

3 Если цель не достигнута, то обоснование того, как достигается цель безопасности, будет оцениваться, как указано в 4.1.

 

4 Некоторые или все соответствующие цели безопасности можно рассматривать вместе для определения метрики одиночного сбоя, но в этом случае целевой метрикой считается наибольшее для рассматриваемых целей безопасности значение УПБА.

 

8.4.8 Данное требование распространяется на значения УПБА (В), (С) и D цели безопасности. Для каждой цели безопасности комплекс аппаратных средств всего устройства должен соответствовать одному из следующих вариантов:

 

a) достижению целевого значения метрики скрытого сбоя, как описано в 8.4.6; или

 

b) достижению соответствующих целей, предусмотренных на уровне элементов аппаратных средств, которые являются достаточными для соответствия целевому значению метрики скрытого сбоя, назначенной для комплекса аппаратных средств всего устройства, согласно требованию 8.4.6, с обоснованием соответствия этим целям на уровне элементов аппаратных средств; или

 

c) достижению целевых значений охвата диагностикой скрытых сбоев идентично целевому значению, указанному в 8.4.6 для метрики скрытого сбоя (рассматривается как охват диагностикой), для каждого элемента аппаратных средств со сбоями, которые могут привести к недоступности механизма безопасности (предназначенного для предотвращения сбоев, вызывающих нарушения цели безопасности). Этот вариант применяется, когда каждый механизм безопасности, недоступность которого может способствовать нарушению цели безопасности, предназначен для обнаружения сбоев.

 

Примечания

 

1 Вариант перечисления с) применяется только в тех случаях, где каждый соответствующий механизм безопасности предназначен для обнаружения сбоев. Предполагается, что в этом случае потенциально скрытые сбои целевой функциональности выявляются путем обнаружения этими механизмами безопасности. В других случаях этот вариант не может быть применен и варианты перечислений а) и b) являются единственно возможными.

 

2 В случае варианта перечисления с) метрика не рассчитывается, оценивается только охват элементов аппаратных средств механизмами безопасности в отношении скрытых сбоев.

 

3 Если устройство содержит различные виды элементов аппаратных средств с существенно разными уровнями интенсивности отказов, то существует риск, что для соответствия с метриками архитектуры аппаратных средств рассматриваются только элементы аппаратных средств с наибольшей величиной интенсивности отказов. (Одним из примеров, когда это может произойти, является метрика одиночного сбоя, для которой соответствие может быть достигнуто путем учета интенсивности отказов в проводниках/предохранителях/разъемах без учета интенсивности отказов частей аппаратных средств со значительно более низкой интенсивностью отказов). Назначение соответствующих значений целевых метрик для каждого вида аппаратных средств помогает избежать такую ситуацию.

 

4 Если цель не достигнута, то обоснование того, как достигается цель безопасности, будет оцениваться, как указано в 4.1.

 

5 Некоторые или все соответствующие цели безопасности можно рассматривать вместе для определения метрики скрытого сбоя, но в этом случае целевой метрикой считается наибольшее для рассматриваемых целей безопасности значение УПБА.

 

8.4.9 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Чтобы представить доказательства технической корректности и полноты в соответствии с требованиями раздела 9 ИСО 26262-8 должен быть подготовлен отчет о верификации результатов применяемых методов в 8.4.7 и 8.4.8.

 

Примечание - Тщательная верификация метрики одиночного сбоя гарантирует, что учитывается только интенсивность отказов связанных с безопасностью элементов аппаратных средств, так что метрика не искажается ненадлежащим образом из-за излишних связанных с безопасностью элементов аппаратных средств, в которых невозможны одиночные или остаточные сбои (например, путем добавления излишних элементов аппаратных средств в механизм безопасности).

 

 

      8.5 Результаты работы

8.5.1 Анализ эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств

 

В результате выполнения требований 8.4.1-8.4.8.

 

8.5.2 Отчет группы экспертов об эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств

 

В результате выполнения требований 8.4.9.

 

 

      9 Оценка нарушений цели безопасности вследствие случайных отказов аппаратных средств

 

      

 

      9.1 Цель

Целью требований настоящего раздела является формирование применимых критериев для обоснования того, что остаточный риск нарушения цели безопасности из-за случайных отказов аппаратных средств устройства, является достаточно низким.

 

Примечание - "Достаточно низкий" означает "сопоставим с остаточными рисками для уже находящихся в эксплуатации устройствах".

 

 

      9.2 Общие положения

Предлагается два альтернативных метода (см. 9.4) для оценки того, насколько остаточный риск нарушений цели безопасности является достаточно низким.

 

Оба метода оценивают остаточный риск нарушения цели безопасности из-за однократных, остаточных и вероятных двойных сбоев. Могут быть также рассмотрены множественные сбои, если показано, что они охвачены концепцией обеспечения безопасности. В настоящем анализе будет рассмотрен охват механизмами безопасности остаточных и двойных сбоев, а также будет рассмотрена продолжительность воздействия для двойных сбоев.

 

Первый способ заключается в использовании вероятностной метрики, которая называется "вероятностная метрика случайных отказов аппаратных средств" (PMHF), для оценки нарушения рассматриваемой цели безопасности, используя, например, количественный метод FTA, и сравнение результатов этой количественной оценки с целевым значением.

 

Второй метод заключается в отдельной оценке каждого остаточного и одиночного сбоя, и каждого двойного сбоя, приводящего к нарушению рассматриваемой цели безопасности. Этот метод анализа также может называться анализом сечений.

 

Примечание - В контексте анализа надежности, сечение дерева сбоев представляет собой набор базовых событий, чье появление приводит к появлению события на вершине дерева.

 

Выбранный метод может применяться многократно в процессе проектирования архитектуры аппаратных средств и детального проектирования аппаратных средств.

 

Область применения настоящего раздела ограничена случайными отказами аппаратных средств данного устройства. При выполнении анализа рассматриваются электрические и электронные части аппаратных средств. Для электромеханических частей аппаратных средств, рассматриваются только электрические виды отказов и интенсивность отказов.

 

 

      9.3 Входная информация

9.3.1 Предварительные требования

 

Следующая информация должна быть доступна:

 

- спецификация требований к аппаратным средствам системы безопасности в соответствии с 6.5.1;

 

- спецификация проекта аппаратных средств в соответствии с 7.5.1;

 

- отчет по анализу безопасности аппаратных средств в соответствии с 7.5.2.

 

9.3.2 Дополнительная информация

 

Следующая информация может быть учтена:

 

- техническая концепция обеспечения безопасности (см. пункт 7.5.1 ИСО 26262-4);

 

- спецификация проекта системы (см. пункт 7.5.2 ИСО 26262-4).

 

 

      9.4 Требования и рекомендации

9.4.1 Общие положения

 

Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Устройство должно удовлетворять требованиям 9.4.2 или 9.4.3.

 

9.4.2 Оценка вероятностной метрики случайных отказов аппаратных средств (PMHF)

 

9.4.2.1 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. В соответствии с требованиями 7.4.4.3 ИСО 26262-4 должны быть определены количественные целевые значения максимальной вероятности нарушения каждой цели безопасности из-за случайных отказов аппаратных средств с помощью одного из источников а), b) или с) ссылочных целевых значений:

 

a) таблицы 6 или

 

b) эксплуатационных данных устройств, созданных на основе аналогичных хорошо зарекомендовавших себя принципов проектирования или

 

c) количественных методов анализа, применяемых для аналогичных хорошо зарекомендовавших себя принципов проектирования, используя значения интенсивности отказов в соответствии с 8.4.3.

 

Примечания

 

1 Абсолютные величины этих количественных целевых значений, полученных из источников а), b) или с) не имеют никакого значения, но они полезны только для сравнения нового проекта с существующим. Они предназначены обеспечить выполнение цели проекта, описанной в 9.1, и доступность доказательства того, что проект выполняет цели безопасности.

 

2 Два проекта аналогичны, если имеют схожие функциональные возможности и аналогичные цели безопасности с теми же значениями УПБА.

 

Таблица 6 - Возможный источник для вывода целевых значений случайных отказов аппаратных средств

 

 

 

УПБА

Целевые значения случайных отказов аппаратных средств

D

<10
ч
 

С

<10
ч
 

В

<10
ч
 

Примечание - Количественные целевые значения, представленные в данной таблице, могут быть адаптированы, как указано в 4.1, чтобы соответствовать конкретному использованию устройства (например, если устройство способно нарушить цель безопасности за время большее, чем типичное время использования легкового автомобиля).

 

 

 

 

9.4.2.2 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Количественно целевые значения требований 9.4.2.1 должны быть выражены в терминах средней вероятности в час в течение срока службы устройства.

 

9.4.2.3 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Доказательство того, что целевые значения требования 9.4.2.1 были достигнуты, должен предоставить количественный анализ архитектуры аппаратных средств для одиночного, остаточного и двойного сбоя. Этот количественный анализ должен учитывать:

 

a) архитектуру устройства;

 

b) оцененную интенсивность отказов для видов отказов каждой части аппаратных средств, которая может вызвать одиночный или остаточный сбой;

 

c) оцененную интенсивность отказов для видов отказов каждой части аппаратных средств, которая может вызвать двойной сбой;

 

d) диагностический охват связанных с безопасностью элементов аппаратных средств механизмами безопасности;

 

e) продолжительность воздействия в случае двойных сбоев.

 

Примечания

 

1 Виды отказов элементов аппаратных средств, которые могут вызвать одновременно отказ связанного с безопасностью элемента аппаратных средств и его механизма безопасности, анализируются количественными методами. Они могут быть одиночными, остаточными или множественными сбоями.

 

2 Продолжительность воздействия сбоя начинается с момента его возникновения и включает в себя:

 

а) интервал обнаружения множественного сбоя, связанного с каждым механизмом безопасности, или срок службы автомобиля, если сбой не отображается водителю (скрытый сбой);

 

b) максимальную продолжительность поездки (в случае, если водителю предлагается остановиться безопасным способом); и

 

c) средний интервал времени нахождения автомобиля в автомастерской (в случае, если водитель предупрежден о необходимости ремонта автомобиля).

 

Таким образом, продолжительность воздействия зависит от типа используемого мониторинга (например, постоянного мониторинга, периодического самотестирования, водительского мониторинга, отсутствие мониторинга) и вида реакции на обнаруженную неисправность. Она может быть равна нескольким миллисекундам в случае непрерывного мониторинга, запускающего переход в безопасное состояние. Она может быть равна сроку службы автомобиля, если мониторинг отсутствует.

 

Пример предположений о среднем времени работы до ремонта автомобиля, в зависимости от типа сбоя:

 

- 200 поездок автомобиля при снижении параметров комфорта;

 

- 50 поездок автомобиля при снижении эффективности функций поддержки вождения;

 

- 20 поездок автомобиля при желтом предупреждающем сигнале или воздействии на поведение автомобиля при его вождении;

 

- одна поездка автомобиля при красном предупреждающем сигнале.

 

Время, затраченное на ремонт, как правило, не рассматривается (за исключением оценки опасности, которой может подвергаться обслуживающий персонал).

 

Среднюю продолжительность поездки транспортного средства можно считать равной 1 часу.

 

3 В большинстве случаев множественные отказы более второго порядка, вносят незначительный количественный вклад в достижение целевых значений. Тем не менее, в некоторых конкретных случаях (очень высокая интенсивность отказов или низкий охват диагностикой), необходимо обеспечить два резервных механизма безопасности для достижения цели. Если техническая концепция обеспечения безопасности основана на избыточных механизмах безопасности, то при анализе рассматриваются множественные отказы более второго порядка.

 

4 При выполнении начального шага оценки охвата диагностикой механизмов безопасности, использующих комплексные диагностики, для обеспечения требуемых значений ОД, поддержанных надлежащим обоснованием, для механизмов безопасности могут быть использованы таблицы D.1-D.14.

 

5 Ситуации, когда устройство отключено от питания, не включаются при расчете средней вероятности отказов в час, тем самым предотвращая искусственное снижение значения средней вероятности отказов в час. Таким образом, для устройства, которое работает только 1 ч в день, остальные 23 ч не учитываются при расчете этого целевого значения времени эксплуатации.

 

6 Если цель не достигнута, то обоснование того, как достигается цель безопасности, будет оцениваться, как указано в 4.1.

 

7 В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней, оценка может быть выполнена либо с помощью глобального охвата диагностикой элемента аппаратных средств, либо более детальной оценкой охвата вида отказов.

 

9.4.2.4 Данное требование распространяется на значения УПБА С и D цели безопасности. Одиночный сбой, происходящий в части аппаратного средства должен считаться допустимым только тогда, когда приняты специальные меры.

 

Примечание - Специальные меры могут включать:

 

a) особенности проекта такие, как проектирование части аппаратного средства с запасом (например, по уровню электрического напряжения или температуры), или такие, как физическое разделение (например, шаг контактов на печатной плате);

 

b) типовой тест со специальный входной информацией для уменьшения риска возникновения данного вида отказов;

 

c) испытание на отказ;

 

d) специальный механизм управления, как часть плана управления; и

 

e) установление, связанных с безопасностью особых характеристик.

 

9.4.2.5 Данное требование распространяется на значения УПБА С и D цели безопасности. Часть аппаратных средств должна рассматриваться специальными мерами (в примечании к 9.4.2.4 приведены примеры специальных мер), если ее охват диагностикой (для остаточных сбоев) ниже, чем 90%.

 

Примечание - Доля безопасных сбоев части аппаратных средств может быть учтена при определении охвата механизмами безопасности. В этом случае расчет охвата производится аналогично расчету метрики одиночного сбоя, но на уровне части аппаратных средств, а не на уровне устройства.

 

9.4.2.6 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Интенсивности отказов частей аппаратных средств, используемые при анализе, должны быть оценены в соответствии с требованиями 8.4.3.

 

9.4.2.7 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Для того чтобы избежать количественного разночтения при объединении значений интенсивностей отказов из различных источников, они должны быть промасштабированы с помощью коэффициента масштабирования, что обеспечивает их согласованность. Масштабирование возможно, если существует обоснование коэффициента масштабирования между двумя источниками отказов.

 

Примечание - В приложении F приводится руководство по применению коэффициентов масштабирования.

 

9.4.3 Оценка каждой причины нарушения цели безопасности

 

9.4.3.1 Метод оценки каждой причины нарушения цели безопасности из-за случайных отказов аппаратных средств иллюстрируется блок-схемами на рисунках 3 и 4. Каждый одиночный сбой оценивается с помощью критериев возникновения сбоя. Каждый остаточный сбой оценивается с помощью критериев, объединяющих критерии возникновения сбоя и критерии эффективности механизма безопасности.     

 

Рисунок 3 - Процедура оценки для одиночных и остаточных сбоев

Процедура, применяемая для двойных отказов, показана в виде блок-схемы на рисунке 4. Каждый двойной отказ сначала оценивается на его достоверность. Двойной отказ не считается достоверным, если оба сбоя, приводящие к отказу, обнаруживаются или воспринимаются за достаточно короткое время с достаточным охватом. Если двойной отказ является достоверным, то вызывающие его сбои затем оцениваются с использованием объединенного критерия возникновения сбоев и эффективности механизма безопасности. Процедуры оценки, представленные на рисунках 3 и 4, применяются на уровне частей аппаратных средств (транзисторы и т.д.).

 

Примечание - Для сложных частей аппаратных средств, например микроконтроллеров, целесообразно применять эту процедуру на более детальном уровне: для процессора, ОЗУ, ПЗУ и т.д.     

 

Рисунок 4 - Процедура оценки двойных отказов

9.4.3.2 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Отдельная оценка каждого одиночного сбоя, остаточного сбоя и двойного отказа, нарушающих рассматриваемую цель безопасности, должна осуществляться на уровне части аппаратных средств. Эта оценка должна представить доказательства, что каждый одиночный сбой, остаточный сбой и двойной отказ, нарушающие рассматриваемую цель безопасности, удовлетворяет соответствующим требованиям 9.4.3.3-9.4.3.12.

 

Примечания

 

1 Этот анализ можно рассматривать как обзор сечений, где отсутствие или неполнота охвата рассматривается как сбой.

 

2 В большинстве случаев множественные отказы более второго порядка, вносят незначительный вклад. Тем не менее, в некоторых конкретных случаях (очень высокая интенсивность отказов или низкий охват диагностикой), необходимо обеспечить два резервных механизма безопасности. Если техническая концепция обеспечения безопасности основана на избыточных механизмах безопасности, то при анализе рассматриваются множественные отказы более второго порядка.

 

3 Для сложных частей аппаратных средств, например микроконтроллеров, может быть целесообразно применять эту процедуру на более детальном уровне: для процессора, ОЗУ, ПЗУ и т.д.

 

9.4.3.3 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Ранжирование классов интенсивностей отказов для интенсивности отказов частей аппаратных средств определяется следующим образом:

 

Примечание - Классы 1, 2 и 3 для интенсивностей отказов вводятся для интенсивностей возникновения отказов. Эти классы аналогичны уровням возникновения 1, 2 и 3, используемым в FMEA, соответственно, где уровень 1 соответствует видам отказов с самой низкой интенсивностью возникновения.

 

a) интенсивность отказов, соответствующая интенсивности отказов класса 1, должна быть меньше, чем целевое значение УПБА, равное D деленное на 100, если не применяются требования 9.4.3.4.

 

Примечание - Могут быть использованы целевые значения, указанные в таблице 6;

 

b) интенсивность отказов, соответствующая интенсивности отказов класса 2, должна быть меньше или равна, увеличенной в 10 раз интенсивности отказов, соответствующей интенсивности отказов класса 1;

 

c) интенсивность отказов, соответствующая интенсивности отказов класса 3, должна быть меньше или равна, увеличенной в 100 раз интенсивности отказов, соответствующей интенсивности отказов класса 1 и

 

d) интенсивность отказов, соответствующая интенсивности отказов класса
i
,
i
>3 должна быть меньше или равна, увеличенной в 10
раз интенсивности отказов, соответствующей интенсивности отказов класса 1.
 

Примечания

 

1 Назначение класса интенсивности отказов основано на интенсивности отказов части аппаратных средств.

 

2 В случае, когда небольшое число частей (таких как микроконтроллер) имеют интенсивность отказов выше, чем верхний предел интенсивности отказов класса i, то этим частям может быть назначен класс возникновения i, если результирующая средняя интенсивность отказов частей, назначенных для класса i, ниже, чем верхний предел интенсивности отказов класса i.

 

9.4.3.4 При ранжировании классов интенсивностей отказов может быть использован делитель ниже, чем 100, если предоставляется обоснование. В этом случае должна быть обеспечена поддержка корректности ранжирования при совместном рассмотрении одиночных сбоев, остаточных сбоев и сечений более высокого уровня.

 

Пример - Обоснование может быть основано на количестве минимальных сечений.

 

9.4.3.5 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Одиночный сбой, возникающий в части аппаратных средств, считается приемлемым только, если в результате ранжирования интенсивность отказов части аппаратных средств соответствует целевым значениям, приведенным в таблице 7.

 

Таблица 7 - Целевые значения классов интенсивностей отказов частей аппаратных средств для одиночных сбоев

 

 

 

УПБА цели безопасности

Класс интенсивностей отказов

D

Класс 1 интенсивностей отказов +специальные меры
 

С

Класс 2 интенсивностей отказов +специальные меры
или класс 1 интенсивностей отказов
 

В

Класс 2 интенсивностей отказов или класс 1 интенсивностей отказов

Примеры специальных мер приведены в примечании требования 9.4.2.4.
 

 

Примечание - При оценке класса интенсивностей отказов может быть рассмотрена доля безопасных сбоев для части аппаратных средств.

 

9.4.3.6 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Остаточный сбой, возникающий в части аппаратных средств, считается приемлемым, если в результате ранжирования интенсивность отказов соответствует целевым значениям, приведенным в таблице 8 для охвата диагностикой (для остаточных сбоев) соответствующей части аппаратных средств.

 

Примечание - Рассматриваемая интенсивность отказов является интенсивностью отказов части аппаратных средств и не учитывает эффективность механизмов безопасности.

 

Таблица 8 - Классы с максимальной интенсивностью отказов для заданного охвата диагностикой части аппаратных средств - остаточные сбои

 

 

 

 

 

 

УПБА цели безопасности

Охват диагностикой остаточных сбоев

 

99,9%
 
99%
 
90%
 

<90%

D

Класс 4 интенсивностей отказов

Класс 3 интенсивностей отказов

Класс 2 интенсивностей отказов

Класс 1 интенсивностей отказов +специальные меры
 

С

Класс 5 интенсивностей отказов

Класс 4 интенсивностей отказов

Класс 3 интенсивностей отказов

Класс 2 интенсивностей отказов +специальные меры
 

В

Класс 5 интенсивностей отказов

Класс 4 интенсивностей отказов

Класс 3 интенсивностей отказов

Класс 2 интенсивностей отказов

Примеры специальных мер приведены в примечании требования 9.4.2.4.
 

 

Примечания

 

1 Таблица 8 устанавливает связь между классом с максимальной интенсивностью отказов, который позволено задавать целевому значению УПБА, и охватом диагностикой. Классы с более низкой интенсивностью отказов являются приемлемыми, но не требуемыми.

 

2 "Классы с более низкой интенсивностью отказов" означает классы интенсивностей отказов с более низким номером. Например, "Классы с более низкой интенсивностью отказов" для класса 3 интенсивностей отказов означает классы 2 и 1 интенсивностей отказов.

 

3 Доля безопасных сбоев части аппаратных средств может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики одиночного сбоя, но на уровне части аппаратных средств, а не на уровне устройства.

 

9.4.3.7 Данное требование распространяется на значения УПБА С и D цели безопасности. Для классов интенсивностей отказов
i
,
i
>3, остаточный сбой считается приемлемым, если охват диагностикой больше или равно [100-10
]% для значения УПБА, равного D, или больше или равно [100-10
]% для значения УПБА, равного С.
 

Примечания

 

1 Рассматриваемая интенсивность отказов является интенсивностью отказов части аппаратных средств и не учитывает эффективность механизмов безопасности.

 

2 Доля безопасных сбоев части аппаратных средств может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики одиночного сбоя, но на уровне части аппаратных средств, а не на уровне устройства.

 

9.4.3.8 Данное требование распространяется на значение УПБА D цели безопасности. Двойной отказ считается возможным, если:

a) одна или обе участвующие части аппаратных средств имеют охват диагностикой (для скрытых сбоев) менее 90%; или

 

b) один из двойного сбоя, вызывающего двойной отказ, остается скрытым в течение времени, превышающего интервал обнаружения множественного сбоя, как определено в требовании 6.4.8.

 

Примечание - Доля безопасных сбоев части аппаратных средств может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики скрытого сбоя, но на уровне части аппаратных средств, а не на уровне устройства.

 

9.4.3.9 Данное требование распространяется на значение УПБА С цели безопасности. Двойной отказ считается возможным, если:

 

a) одна или обе участвующие части аппаратных средств имеют охват диагностикой (для скрытых сбоев) менее 80%; или

 

b) один из двойного сбоя, вызывающего двойной отказ, остается скрытым в течение времени, превышающего интервал обнаружения множественного сбоя, как определено в требовании 6.4.8.

 

Примечание - Доля безопасных сбоев части аппаратных средств может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики скрытого сбоя, но на уровне части аппаратных средств, а не на уровне устройства.

 

9.4.3.10 Данное требование распространяется на значения УПБА С и D цели безопасности. Двойной отказ, который не является возможным, должен считаться соответствующим целевому значению цели безопасности и, следовательно, допустимым.

 

9.4.3.11 Данное требование распространяется на значения УПБА С и D цели безопасности. Двойной сбой, происходящий в части аппаратных средств и способствующий возможному двойному отказу, считается допустимым, если соответствующая часть аппаратных средств соответствует целевым значениям для ранжированного класса интенсивностей отказов и охвата диагностикой (для скрытых сбоев), приведенных в таблице 9.

 

Примечание - Рассматриваемая интенсивность отказов является интенсивностью отказов части аппаратных средств. Таким образом, она не рассматривает эффективность механизмов безопасности.

 

Таблица 9 - Целевые значения класса интенсивностей отказов и охвата диагностикой части аппаратных средств для двойных сбоев

 

 

 

 

 

УПБА цели безопасности

Охват диагностикой скрытых сбоев

 

99%
 
90%
 

<90%

D

Класс 4 интенсивностей отказов

Класс 3 интенсивностей отказов

Класс 2 интенсивностей отказов

С

Класс 5 интенсивностей отказов

Класс 4 интенсивностей отказов

Класс 3 интенсивностей отказов

 

Примечания

 

1 Таблица 8 устанавливает связь между классом с максимальной интенсивностью отказов, который позволено задавать целевому значению УПБА, и охватом диагностикой. Классы с более низкой интенсивностью отказов являются приемлемыми, но не требуемыми.

 

2 "Классы с более низкой интенсивностью отказов" означает классы интенсивностей отказов с более низким номером. Например, "Классы с более низкой интенсивностью отказов" для класса 3 интенсивностей отказов означает классы 2 и 1 интенсивностей отказов.

 

3 Доля безопасных сбоев части аппаратных средств может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики скрытого сбоя, но на уровне части аппаратных средств, а не на уровне устройства.

 

9.4.3.12 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Ранжированный класс интенсивностей отказов, используемой в анализе интенсивности отказов части аппаратных средств, должен быть обоснован с помощью источников интенсивностей отказов, описанных в 8.4.3. Если в анализе используются интенсивности отказов от нескольких источников данных, то интенсивности должны быть промасштабированы, как описано в 9.4.2.7.

 

9.4.4 Отчет по верификации

 

Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Должен быть подготовлен отчет по верификации анализа, выполняемого в соответствии с набором требований 9.4.2 или 9.4.3 для того, чтобы представить доказательства его технической корректности и полноты в соответствии с требованиями раздела 9 ИСО 26262-8:2011.

 

      9.5 Результаты работы

9.5.1 Анализ нарушений цели безопасности в результате случайных отказов аппаратных средств

 

В результате выполнения требований 9.4.2 или 9.4.3.

 

9.5.2 Спецификация специальных мер для аппаратных средств

 

При необходимости, в том числе обоснование эффективности специальных мер, в результате выполнения требований 9.4.2.4, 9.5.3, 9.4.2.5, 9.4.3.5 и 9.4.3.6.

 

9.5.3 Экспертный отчет по оценке нарушений цели безопасности в результате случайных отказов аппаратных средств

 

В результате выполнения требований 9.4.4.

 

 

      10 Интеграция и тестирование аппаратных средств

 

      

 

      10.1 Цель

Целью настоящего раздела является обеспечение, путем проведения испытаний, соответствия разработанных аппаратных средств требованиям к их безопасности.

 

Требования 10.4.1-10.4.6 применяются к элементу аппаратных средств.

 

 

      10.2 Общие положения

Целью действий, описанных в настоящем разделе, является интеграция элементов аппаратных средств и тестирование проекта аппаратных средств, чтобы проверить его соответствие требованиям к безопасности аппаратных средств для соответствующего УПБА.

 

Интеграция и тестирование аппаратных средств отличается от деятельности по квалификации компонентов аппаратных средств, описанной в разделе 13 ИСО 26262-8:2011, которая свидетельствует для компонентов и частей аппаратных средств на промежуточном уровне о пригодности их использования в качестве частей устройств, систем или элементов, разработанных в соответствии с настоящим стандартом.

 

 

      10.3 Входная информация

10.3.1 Предварительные требования

 

Следующая информация должна быть доступна:

 

- план по обеспечению безопасности (уточненный) в соответствии с 5.5;

 

- план тестирования и интеграции устройства (уточненный) в соответствии с пунктом 5.5.3 ИСО 26262-4;

 

- спецификация требований к безопасности аппаратных средств в соответствии с 6.5.1;

- спецификация проекта аппаратных средств в соответствии с 7.5.1.

 

10.3.2 Дополнительная информация

 

- план проекта (уточненный) (см. пункт 5.5.1 ИСО 26262-4);

 

- отчет по анализу безопасности аппаратных средств (см. 7.5.2).

 

 

      10.4 Требования и рекомендации

10.4.1 Действия по интеграции и тестированию аппаратных средств должны быть выполнены в соответствии с требованиями раздела 9 ИСО 26262-8.

 

10.4.2 Действия по интеграции и тестированию аппаратных средств должны быть согласованы с планом интеграции и тестирования устройства, приведенным в пункте 5.5.5 ИСО 26262-4.

 

Примечание - Если применяется декомпозиция УПБА, как определено в разделе 5 ИСО 26262-9, то до декомпозиции к УПБА применяются соответствующие мероприятия по интеграции декомпозированных элементов, а также дополнительные действия.

 

10.4.3 Испытательное оборудование должно быть под контролем системы мониторинга качества.

 

10.4.4 Чтобы сформировать необходимые тестовые примеры для выбранных тестов интеграции аппаратных средств, необходимо использовать подходящую комбинацию методов, перечисленных в таблице 10.

 

Таблица 10 - Методы получения тестовых примеров для тестирования интеграции аппаратных средств

 

 

 

 

 

 

 

Методы

УПБА

 

А

В

С

D

Анализ требований

++

++

++

++

1b

Анализ внешних и внутренних интерфейсов

+

++

++

++

Генерация и анализ классов эквивалентности
 

+

+

++

++

1d

Анализ граничных значений
 

++

++

++

++

Ошибки, предполагаемые на основе знаний и опыта
 

+

+

++

++

1f

Анализ функциональных зависимостей

+

+

++

++

1g

Анализ общих предельных условий, последовательностей и источников зависимых отказов

+

+

++

++

1h

Анализ состояния окружающей среды и прецедентов эксплуатации

+

++

++

++

1i

Стандарты, если существуют
 

+

+

+

+

1j

Анализ значимых вариантов
 

++

++

++

++

Для того чтобы эффективно получить необходимые тесты, может быть выполнен анализ сходств.
 
Например, значения, приближающиеся к границам и пересекающие границы между указанными значениями, и значения извне диапазона указанных значений.
 
"Тесты, предполагаемых ошибок" могут быть основаны на данных, собранных в процессе обучения, или из экспертной оценки, или из обоих источников. Может быть использован FMEA.
 
Существующие стандарты включают ИСО 16750 и ИСО 11452.
 
Анализ значимых вариантов включает в себя анализ на наихудший случай.
 

 

10.4.5 Действия по интеграции и тестированию аппаратных средств должны включать проверку полноты и корректности реализации механизмов безопасности в соответствии с требованиями к безопасности аппаратных средств.

 

Для достижения этих целей, должны быть рассмотрены методы, перечисленные в таблице 11.

 

Таблица 11 - Тесты интеграции аппаратных средств для проверки полноты и корректности реализации механизмов безопасности в соответствии с требованиями к безопасности аппаратных средств

 

 

 

 

 

 

 

Методы

УПБА

 

А

В

С

D

1

Функциональное тестирование
 

++

++

++

++

2

Тестирование с введением неисправности
 

+

+

++

++

3

Тестирование электрических параметров
 

++

++

++

++

Функциональное тестирование направлено на проверку достижения устройством специфицированных характеристик. На вход устройства подаются данные, которые адекватно характеризуют его предполагаемую нормальную работу. Выходные данные сравниваются с приведенными в спецификации. Отклонения от спецификации и признаки неполноты спецификации анализируются.
 
Тестирование с введением неисправности основано на включении сбоев в аппаратные изделия и на анализе полученной реакции. Это тестирование применяется, когда определен механизм безопасности. Применимо также моделирование введения сбоя (например, введение сбоя в модель логической схемы на основе списка соединений) особенно, когда тестирование с введением сбоя очень трудно выполнить для реального аппаратного изделия. Например, демонстрацию реакции механизмов безопасности на кратковременные сбои в частях аппаратных средств, таких как микроконтроллер, очень трудно реализовать введением сбоев в аппаратные средства на уроне изделия, так как это требует тесты с облучением.
 
Электрические испытания направлены на проверку соблюдения требований к безопасности аппаратных средств внутри специфицированного (статического и динамического) диапазона напряжений.
 

 

10.4.6 Действия по интеграции и тестированию аппаратных средств должны включать проверку надежности аппаратных средств при внешних стрессовых воздействиях.

 

Для достижения этих целей, должны быть рассмотрены методы, перечисленные в таблице 12.

 

Таблица 12 - Тесты интеграции аппаратных средств для проверки надежности и работы под воздействием внешних стрессовых воздействиях

 

 

 

 

 

 

 

Методы

УПБА

 

А

В

С

D

Испытания на воздействие окружающих условий при выполнении проверки основных функций
 

++

++

++

++

1b

Расширенное функциональное испытание
 

+

++

++

++

Статистический тест
 

+

+

++

++

1d

Тестирование на наихудший случай
 

++

++

++

++

Тестирование в запредельных условиях
 

+

+

++

++

1f

Механическое испытание
 

+

+

++

++

1g

Ускоренное испытание на долговечность
 

+

+

++

++

1h

Испытание на механическую износостойкость
 

+

++

++

++

1i

Испытание на электромагнитную совместимость и на устойчивость к электростатическим разрядам
 

+

+

+

+

1j

Химические испытания
 

++

++

++

++

Во время испытаний на воздействие окружающих условий при выполнении проверки основных функций аппаратные средства помещаются в различные условия окружающей среды и оценивается выполнение требований к аппаратным средствам. Может быть применен ИСО 16750-4.
 
Расширенное функциональное тестирование проверяет функциональное поведение устройства для редко встречающихся значений входных условий (например, экстремальные значения циклограммы), или находящихся за пределами спецификации аппаратного средства (например, неправильная команда). В таких ситуациях, наблюдаемое поведение элемента аппаратных средств сравнивается со специфицированными требованиями.
 
Статистические тесты выполняют проверку элемента аппаратных средств, на вход которого подаются данные, выбранные в соответствии с ожидаемым статистическим распределением реальной циклограммы. Критерии приемлемости определяются тем, что статистическое распределение результатов подтверждает требуемую интенсивность отказов.
 
Тестирование на наихудший случай выполняют проверку ситуаций, выявленных в результате анализа на наихудший случай. В таком тесте, условия окружающей среды меняются до их максимально допустимых предельных значений, определенных в спецификации. Проверяется соответствующая реакция аппаратных средств и сравнивается со специфицированными требованиями.
 
При тестировании в запредельных условиях элементы аппаратных средств проверяются при экологических или функциональных ограничениях, постепенно увеличивающихся до значений более серьезных, чем для них специфицировано, пока они не перестают работать, или они будут разрушены. Целью этого теста является определение запаса прочности тестируемых элементов, относительно требуемых показателей работы.
 
Механическое испытание распространяется на механические свойства, такие как прочность на разрыв.
 
Ускоренное испытание на долговечность направлено на предсказание поведения в процессе эволюции изделия в нормальных условиях эксплуатации. При ускоренном испытании изделие подвергая его более высоким нагрузкам, чем ожидалось в течение его срока службы. Ускоренные испытания основаны на аналитической модели ускорения влияния вида отказов.
 
Целью этих испытаний является определение среднего времени до отказа или максимального числа циклов, которое элемент может выдержать. Тест может выполняться до отказа или получения повреждения.
 
Для испытаний на электромагнитную совместимость могут быть применены ИСО 7637-2, ИСО 7637-3, ИСО 10605, ИСО 11452-2 и ИСО 11452-4, а на устойчивость к электростатическим разрядам - ИСО 16750-2.
 
Для химических испытаний может быть применен ИСО 16750-5.
 

 

 

      

     

 

      10.5 Результаты работы

10.5.1 Отчет по интеграции и тестированию аппаратных средств

 

В результате выполнения требований 10.4.1-10.4.6.

 

Приложение А

(справочное)

 Обзор и поток документов стадии разработки аппаратных средств изделия

Таблица А.1 содержит обзор целей, предварительных условий и результатов работы конкретных стадий разработки аппаратных средств изделия.

 

Таблица А.1 - Обзор разработки аппаратных средств изделия

 

 

 

 

 

Раздел

Цели

Предварительные требования

Результаты работы

5 Инициирование разработки аппаратных средств изделия

Цель инициирования разработки аппаратных средств изделия заключается в определении и планировании действий по обеспечению функциональной безопасности для отдельных подстадий разработки аппаратных средств. Кроме того, необходимо включить вспомогательные процессы, описанные в ИСО 26262-8.

 

Эти спланированные действия по обеспечению безопасности конкретных аппаратных средств будут включены в план по обеспечению безопасности (см. 6.4.3 ИСО 26262-2 и 5.4 ИСО 26262-4)

План проекта (уточненный) (см. 5.5.1 ИСО 26262-4).

 

План по обеспечению безопасности (уточненный) (см. 5.5.2 ИСО 26262-4).

 

План интеграции и тестирования устройства (уточненный) (см. 5.5.3 ИСО 26262-4)

5.5.1 План по обеспечению безопасности (уточненный)

6 Спецификация требований к аппаратным средствам системы безопасности

Первой целью настоящего раздела является формирование спецификации требований к аппаратным средствам системы безопасности. Они выводятся из технической концепции обеспечения безопасности и спецификации проекта системы.

 

Второй целью является проверка согласованности требований к аппаратным средствам системы безопасности с технической концепцией обеспечения безопасности и спецификацией проекта системы.

 

Третьей целью настоящего раздела является формирование подробной спецификации программно-аппаратного интерфейса, инициированного в разделе 7 ИСО 26262-4

План по обеспечению безопасности (уточненный) (см. 5.5).

 

Техническая концепция обеспечения безопасности (см. 7.5.1 ИСО 26262-4).

 

Спецификация проекта системы (см. 7.5.2 ИСО 26262-4).

 

Спецификация программно-аппаратного интерфейса (см. 7.5.3 ИСО 26262-4)

6.5.1 Спецификация требований к аппаратным средствам системы безопасности (включая квалификационные критерии и критерии тестирования).

 

6.5.2 Спецификация программно-аппаратного интерфейса (уточненная).

 

6.5.3 Отчет о верификации требований аппаратных средств системы безопасности

7 Проектирование аппаратных средств

Первой целью данного раздела является разработка аппаратных средств в соответствии со спецификацией проекта системы и требованиями к аппаратным средствам системы безопасности.

 

Второй целью данного раздела является проверка проекта аппаратных средств на соответствие спецификации проекта системы и требований к аппаратным средствам системы безопасности

Спецификация требований к аппаратным средствам системы безопасности (см. 6.5.1).

 

Спецификация программно-аппаратного интерфейса (уточненная) (см. 6.5.2).

 

Спецификация проекта системы (см. 7.5.2 ИСО 26262-4).

 

План по обеспечению безопасности (уточненный) (см. 5.5)

     

7.5.1 Спецификация проекта аппаратных средств.

 

7.5.2 Отчет по анализу безопасности аппаратных средств.

 

7.5.3 Отчет о верификации проекта аппаратных средств.

 

7.5.4 Спецификация требований к производству, эксплуатации, обслуживанию и выводу из эксплуатации

8 Оценка метрик архитектуры аппаратных средств

Целью настоящего раздела является оценка архитектуры аппаратных средств устройства на соответствие требованиям к обработке сбоев с помощью метрик архитектуры аппаратных средств

Спецификация требований к аппаратным средствам системы безопасности (см. 6.5.1).

 

Спецификация проекта аппаратных средств (см. 7.5.1).

 

Отчет по анализу безопасности аппаратных средств (см. 7.5.2)

     

8.5.1 Анализ эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств.

 

8.5.2 Отчет группы экспертов об эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств

9 Оценка нарушений цели безопасности из-за случайных отказов аппаратных средств

Целью требований настоящего раздела является формирование доступных критериев для обоснования того, что остаточный риск нарушения цели безопасности из-за случайных отказов аппаратных средств устройства, является достаточно низким

Спецификация требований к аппаратным средствам системы безопасности (см. 6.5.1).

 

Спецификация проекта аппаратных средств (см. 7.5.1).

 

Отчет по анализу безопасности аппаратных средств (см. 7.5.2)

9.5.1 Анализ нарушений цели безопасности в результате случайных отказов аппаратных средств.

 

9.5.2 Спецификация специальных мер для аппаратных средств.

 

9.5.3 Экспертный отчет по оценке нарушений цели безопасности в результате случайных отказов аппаратных средств

10 Интеграция и тестирование аппаратных средств

Целью настоящего раздела является обеспечение, путем проведения испытаний, соответствия разработанных аппаратных средств требованиям к их безопасности

План по обеспечению безопасности (уточненный) (см. 5.5).

 

План тестирования и интеграции устройства (уточненный) (см. 5.5.3 ИСО 26262-4).

 

Спецификация требований к безопасности аппаратных средств (см. 6.5.1).

 

Спецификация проекта аппаратных средств (см. 7.5.1)

10.5.1 Отчет по интеграции и тестированию аппаратных средств

 

Приложение В

(справочное)

 

 Классификация видов отказов элементов аппаратных средств

Виды отказов элементов аппаратных средств могут быть классифицированы, как показано на рисунке В.1. Блок-схема, представленная на рисунке В.2, описывает, как вид отказа элемента аппаратных средств может попасть в одну из этих классификаций.     

 

Рисунок В.1 - Классификация видов отказов элементов аппаратных средств

 

 
       
     Элементы с отказами, которые несущественно увеличивают вероятность нарушения цель безопасности, могут быть исключены из анализа и их виды отказов могут быть классифицированы как безопасные отказы, например, элементы аппаратных средств, сбои которых вносят вклад только в множественные отказы с
n
>2, если только они не рассматриваются в технической концепции обеспечения безопасности.
 
MPF означает множественный сбой.
 

Примечания

 

1 Множественные сбои с n>2 считаются безопасными сбоями, если они не рассматриваются в технической концепции обеспечения безопасности.

 

2 Один и тот же сбой может быть отнесен к различным классам, если рассматриваются различные цели безопасности.

 

 

Рисунок В.2 - Пример классификации видов отказов

 

Приложение C

(справочное)

 

      

Метрики архитектуры аппаратных средств

С.1 Классификация и охват диагностикой сбоев

 

С.1.1 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Метрики архитектуры аппаратных средств должны быть определены для аппаратных средств устройства и только для связанных с безопасностью элементов аппаратных средств, у которых существует возможность внести существенный вклад в нарушение цели безопасности.

 

Пример - Элементы аппаратных средств, множественные сбои которых имеют n>2, могут быть исключены из расчетов, если они не рассматриваются в технической концепции обеспечения безопасности.

 

С.1.2 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Каждый сбой, происходящий в связанном с безопасностью элементе аппаратных средств, должен быть классифицирован в соответствии с рисунком В.1, как:

 

a) одиночный сбой;

 

b) остаточный сбой.

 

Пример - Элемент аппаратных средств может иметь сбои "обрыв цепи", "короткое замыкание на массу", и "короткое замыкание на линию высокого напряжения", но только сбои "обрыв цепи" и "короткое замыкание на массу" охватываются механизмами безопасности. Сбой "короткое замыкание на линию высокого напряжения" является остаточным сбоем, так как он не охватывается механизмом безопасности, если он приводит к нарушению заданной цели безопасности;

 

c) множественный сбой;

 

d) безопасный сбой.

 

Рисунок С.1 дает графическое представление классификации сбоев связанных с безопасностью элементов аппаратных средств устройства.     

 

Рисунок С.1 - Классификация сбоев связанных с безопасностью элементов аппаратных средств устройства

В этом графическом представлении:

 

- расстояние n представляет собой число независимых одновременно присутствующих сбоев, вызывающих нарушение цели безопасности (n=1 для одиночного или остаточного сбоя, n=2 для двойного сбоя и т.д.);

 

- сбои с расстоянием, равным до значения n, расположены в районе между окружностями n и n-1;

 

- множественные сбои с расстоянием строго больше n=2 следует рассматривать как безопасные сбои, если они не рассматриваются в технической концепции обеспечения безопасности.

 

Примечание - Кратковременные сбои, для которых механизм безопасности возвращает устройство в состояние без сбоя, можно рассматривать как выявляемые множественные сбои, даже если водитель никогда не сообщал об их существовании.

 

Пример - В случае использования кода коррекции ошибок для защиты памяти от кратковременных сбоев, устройство будет возвращаться в состояние без сбоя, если механизм безопасности, кроме передачи корректного значения в ЦП, изменяет значение ошибочного бита на обратное внутри массива памяти (например, путем перезаписи скорректированного значения).

 

Интенсивность отказов
каждого связанного с безопасностью элемента аппаратных средств может быть поэтому выражена в соответствии с уравнением (С.1) (предполагая, что все сбои независимы и распределены экспоненциально), а именно:
 
,                                                      (С.1)
 
где
- интенсивность отказов, связанных с одиночными сбоями элемента аппаратных средств;
 
- интенсивность отказов, связанных с остаточными сбоями элемента аппаратных средств;
 
- интенсивность отказов, связанных с множественными сбоями элемента аппаратных средств;
 
- интенсивность отказов, связанных с безопасными сбоями элемента аппаратных средств.
 
Интенсивность отказов, связанных с множественными сбоями элемента аппаратных средств
, может быть выражена уравнением (С.2) следующим образом:
 
,                                                    (С.2)
 
где
- интенсивность отказов, связанных с воспринимаемыми или выявляемыми множественными сбоями элемента аппаратных средств;
 
- интенсивность отказов, связанных со скрытыми сбоями элемента аппаратных средств.
 

Интенсивность отказов, связанных с остаточными сбоями, может быть определена с помощью охвата диагностикой механизмов безопасности, которые предотвращают множественные сбои элемента аппаратных средств. Уравнение (С.3) дает консервативную оценку интенсивности отказов, связанных с остаточными сбоями:

 

,
 
,                                          (С.3)
 
где
- расчетная интенсивность отказов, связанных с остаточными сбоями;
 
K
- значение охвата диагностикой остаточных сбоев, выраженное в процентах.
 

Интенсивность отказов, связанных со скрытыми сбоями, может быть определена с помощью охвата диагностикой механизмов безопасности, которые предотвращают скрытые сбои элемента аппаратных средств. Уравнение (С.4) дает консервативную оценку интенсивности отказов, связанных со скрытыми сбоями:

 

,
 
,                                    (С.4)
 
где
- расчетная интенсивность отказов, связанных со скрытыми сбоями;
 
K
- значение охвата диагностикой скрытых сбоев, выраженное в процентах.
 

Примечания

 

1 Для данной цели может быть использовано приложение D в качестве основного подхода для расчета заявленного охвата диагностикой и его поддержки надлежащим обоснованием.

 

2 Если рассмотренные выше оценки считаются слишком консервативными, то детальный анализ видов отказов элемента аппаратных средств может отнести каждый вид отказов к одному из классов сбоев (одиночные сбои, остаточные сбои, скрытые, выявляемые или воспринимаемые множественные сбои или безопасные сбои) для заданной цели безопасности и определить интенсивности каждого вида отказов. Для классификации сбоев может быть использована блок-схема приложения В.

 

С.2 Метрика одиночного сбоя

 

С.2.1 Данная метрика отражает устойчивость устройства к одиночным и остаточным сбоям, которая реализуется или охватом механизмами безопасности или в процессе проектирования (в основном допускаются безопасные сбои). Большое значение метрики одиночного сбоя означает, что отношение одиночных сбоев к остаточным сбоям в аппаратных средствах устройства является низким.

 

С.2.2 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Для определения метрики одиночного сбоя необходимо использовать уравнение (С.5):

 

,                                          (С.5)
 
где
является суммой значений
, связанных с безопасностью элементов аппаратных средств устройства для рассматриваемых метрик.
 

Примечания

 

1 Для данной метрики рассматриваются только связанные с безопасностью элементы аппаратных средств устройства, отказы которых могут внести существенный вклад в нарушение цели безопасности.

 

Пример - Элементы аппаратных средств, множественные сбои которых имеют n>2, могут быть исключены из расчетов, если эти сбои не рассматриваются в технической концепции обеспечения безопасности.

 

2 Рисунок С.2 дает графическое представление метрики одиночного сбоя.

 

3 Пример расчета метрики скрытого сбоя приведен в приложении Е.     

 

Рисунок С.2 - Графическое представление метрики одиночного сбоя

С.3 Метрика скрытого сбоя

 

С.3.1 Данная метрика отражает устойчивость устройства к скрытым сбоям, которая реализуется или охватом сбоев механизмами безопасности или самим водителем, понимающим, что перед нарушением цели безопасности происходит сбой, или в процессе проектирования (в основном допускаются безопасные сбои). Большое значение метрики скрытого сбоя означает, что часть скрытых сбоев в аппаратных средствах устройства низка.

 

С.3.2 Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Для определения метрики одиночного сбоя необходимо использовать уравнение (С.6):

 

,                     (С.6)
 
где
является суммой значений
, связанных с безопасностью элементов аппаратных средств устройства для рассматриваемых метрик.
 

Примечания

 

1 Для данной метрики рассматриваются только связанные с безопасностью элементы аппаратных средств устройства, отказы которых могут внести существенный вклад в нарушение цели безопасности.

 

Пример - Элементы аппаратных средств, множественные сбои которых имеют n>2, могут быть исключены из расчетов, если эти сбои не рассматриваются в технической концепции обеспечения безопасности.

 

2 Рисунок С.3 дает графическое представление метрики скрытого сбоя.

 

3 Пример расчета метрики скрытого сбоя приведен в приложении Е.     

 

Рисунок С.3 - Графическое представление метрики скрытого сбоя

 

Приложение D

(справочное)

 

 Оценка охвата диагностикой

D.1 Общие положения

 

Данное приложение предназначено для использования:

 

a) при оценке охвата диагностикой для получения обоснования:

 

1) соответствия с метриками одиночного сбоя и скрытого сбоя, определенными в разделе 8;

 

2) соответствия оценки нарушения цели безопасности из-за случайных отказов аппаратных средств, как это определено в разделе 9;

 

b) в качестве руководства по выбору соответствующих механизмов безопасности, которые должны быть реализованы в Э/Э архитектуре для обнаружения отказов элементов.

 

На рисунке D.1 представлена общая структура аппаратных средств встроенной системы. Типичные сбои или отказы элементов аппаратных средств этой системы приведены в таблице D.1, которая также включает рекомендации для охвата диагностикой. Каждый элемент из левой колонки связан с одним или более сбоями, которые рассматриваются в правых от элемента колонках. Перечень не претендует на полноту и может быть дополнен известными сбоями или связанными с конкретным применением.

 

На дополнительные подробности о механизмах безопасности, связанных с этими сбоями элементов, в каждой строке дается ссылка (на таблицы D.2-D.14). Эффективность этих типовых механизмов безопасности для данных элементов категоризируется в соответствии с их способностью охвата вышеперечисленных сбоев для достижения низкого (60%), среднего (90%) или высокого (99%) охвата диагностикой этого элемента.

 

Определение для сбоев и соответствующих им механизмов безопасности уровней охвата диагностикой может отличаться от представленного в таблице D.1 в зависимости от:

 

c) разнообразия источников вида сбоя, выявляемого диагностикой;

 

d) эффективности механизма безопасности,

 

e) конкретной реализации механизма безопасности:

 

f) выполнения во времени механизма безопасности (периодичности);

 

g) реализованных в системе технологий аппаратных средств;

 

h) вероятности видов отказов аппаратных средств системы;

 

i) результатов более детального анализа сбоев и их классификации на ряд подклассов с различными уровнями охвата диагностикой.

 

Таким образом, таблица D.1 содержит рекомендации, которые могут быть адаптированы в результате анализа элементов системы.

 

Эти рекомендации не учитывают конкретные ограничения, которые могут быть указаны в концепции безопасности во избежание нарушения целей безопасности. Эти ограничения, такие как временные аспекты (периодичность диагностики), например, не учитываются при оценке общего типового охвата диагностикой механизмом безопасности. Они будут рассмотрены при оценке конкретного охвата диагностикой механизмом безопасности, используемым в устройстве, чтобы избежать нарушения его целей безопасности.

 

Пример - Механизм безопасности может обеспечить высокое значение общего типового охвата диагностикой в настоящем приложении, но если используемый интервал диагностических проверок больше, чем интервал диагностических проверок, необходимый для обеспечения соответствующего интервала сбоеустойчивости, то конкретный охват диагностикой по отношению к предотвращению нарушения цели безопасности, будет значительно ниже.

 

Поэтому таблицы D.1-D.14 могут быть использованы для начальной оценки охвата диагностикой этими механизмами безопасности с заявленными значениями охвата диагностикой, поддерживаемыми надлежащими обоснованиями. Кроме того, данная информация предназначена, чтобы помочь определить виды сбоев или отказов элемента; однако соответствующие виды отказов в конечном счете зависят от применения, в котором используются эти элементы.     

 

Рисунок D.1 - Общая структура аппаратных средств системы

Таблицы D.2-D.14 поддерживают информацией таблицу D.1, давая рекомендации по методам диагностических тестов. Методы и средства, представленные в таблицах D.1-D.14, не являются исчерпывающими. Могут быть использованы и другие методы, если представлены свидетельства, что они поддерживают необходимый охват диагностикой. Если это обосновано, то можно оценить более высокий охват диагностикой, до 100% для простых или сложных элементов.

 

Таблица D.1 - Виды сбоев и отказов, которые подлежат рассмотрению при определении охвата диагностикой

 

 

 

 

 

 

 

Элемент

См. таблицы

Анализируемые виды отказов для охвата диагностикой 60%, 90% и 99%

 

 

Низкий (60%)

Средний (90%)

Высокий (99%)

Общие элементы

Э/Э системы

D.2

Нет общей модели сбоя.

 

Необходим детальный анализ

     

Нет общей модели сбоя.

 

Необходим детальный анализ

Нет общей модели сбоя.

 

Необходим детальный анализ

Электрические элементы

Реле

D.3

Не включение или не отключение.

 

Приваренные контакты

Не включение или не отключение.

 

Отдельные приваренные контакты

Не включение или не отключение.

 

Отдельные приваренные контакты.

Соединительные жгуты, включая холодную пайку и разъемы

 

Обрыв цепи.

 

Короткое замыкание на массу

Обрыв цепи.

 

Короткое замыкание на массу (связь по постоянному току).

 

Короткое замыкание напряжения аккумулятора.

 

Короткое замыкание между соседними контактами

Обрыв цепи.

 

Короткое замыкание на массу (связь по постоянному току).

 

Короткое замыкание напряжения аккумулятора.

 

Короткое замыкание между соседними контактами.

 

Дрейф сопротивления между контактами

Датчики, включая переключатели сигналов

D.11

Нет общей модели сбоя. Необходим детальный анализ. Типичные виды охватываемых отказов:

 

- недопустимые значения;

 

- константные в рабочем диапазоне

Нет общей модели сбоя. Необходим детальный анализ. Типичные виды охватываемых отказов:

 

- недопустимые значения;

 

- смещения;

 

- константные в рабочем диапазоне

Нет общей модели сбоя. Необходим детальный анализ. Типичные виды охватываемых отказов:

 

- недопустимые значения;

 

- смещения;

 

- константные в рабочем диапазоне;

 

- колебания

Исполнительные элементы (исполнительный механизм, сигнальные лампы, звуковое устройство, дисплей компьютера)

D.12

Нет общей модели сбоя. Необходим детальный анализ

Нет общей модели сбоя. Необходим детальный анализ

Нет общей модели сбоя. Необходим детальный анализ

Общие полупроводниковые элементы

Источник питания

D.9

Пониженное и повышенное напряжение

Дрейф.

 

Пониженное и повышенное напряжение

Дрейф и колебания. Пониженное и повышенное напряжение. Перепады напряжения

Устройство синхронизации

D.10

Константные отказы
 
Сбои при постоянном токе
 
Модель сбоя при постоянном токе
. Некорректная частота.
 

Периодическая неустойчивость синхронизации

Постоянная память

D.5

Константные отказы
в данных и адресах, а также в интерфейсах управления, шинах управления и управляющей логике
 
Сбои при постоянном токе
в данных и адресах (включая адресные шины в том же блоке), а также в интерфейсах управления, шинах управления и управляющей логике
 
Модель сбоя при постоянном токе
в данных и адресах (включая адресные шины в том же блоке), а также в интерфейсах управления, шинах управления и управляющей логике
 

Память с произвольным доступом