ГОСТ Р ИСО 26262-5-2021 Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия.

    ГОСТ Р ИСО 26262-5-2021

 

 НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

 

 ДОРОЖНЫЕ ТРАНСПОРТНЫЕ СРЕДСТВА. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ

 

 Часть 5

 

 Разработка аппаратных средств изделия

 

 Road vehicles. Functional safety. Part 5. Product development at the hardware level

ОКС 13.110

Дата введения 2022-06-01

 

 Предисловие

     

1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Российский институт стандартизации" (ФГБУ "РСТ") совместно с Обществом с ограниченной ответственностью "ЭОС Тех" (ООО "ЭОС Тех") и Обществом с ограниченной ответственностью "Корпоративные электронные системы" (ООО "КЭЛС-центр") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 058 "Функциональная безопасность"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 25 октября 2021 г. N 1278-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 26262-5:2018* "Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия" (ISO 26262-5:2018 "Road vehicles - Functional safety - Part 5: Product development at the hardware level", IDT).

 

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р ИСО 26262-5-2014

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

 

 Введение

Серия стандартов ИСО 26262 является адаптацией серии стандартов МЭК 61508 и предназначена для применения электрических и/или электронных (далее - Э/Э) систем в дорожных транспортных средствах.

Данная адаптация распространяется на все виды деятельности в процессе жизненного цикла систем, связанных с безопасностью, включающих электрические, электронные и программные компоненты.

Безопасность является одним из приоритетов современного автомобилестроения. Расширение числа функциональных возможностей транспортных средств вызывает необходимость использования методологии функциональной безопасности и подтверждения достижения целей функциональной безопасности.

С ростом сложности технологий, программного обеспечения и мехатронных устройств увеличиваются риски, связанные с систематическими и случайными отказами аппаратных средств, рассматриваемыми в рамках функциональной безопасности. Серия стандартов ИСО 26262 является руководством по снижению этих рисков, в которое включены соответствующие требования и процессы.

Для достижения функциональной безопасности серия стандартов ИСО 26262 устанавливает:

a) жизненный цикл системы безопасности транспортного средства и включает перечень действий для стадий этого жизненного цикла (разработка, производство, эксплуатация, обслуживание, вывод из эксплуатации);

b) подход, основанный на оценке риска, разработанный специально для автотранспорта, для определения уровней полноты безопасности [уровни полноты безопасности транспортного средства (УПБТС)];

c) использование значения УПБТС для спецификации требований комплекса стандартов ИСО 26262 с целью предотвращения неоправданного остаточного риска;

d) требования к мерам по выполнению менеджмента функциональной безопасности, проектирования, реализации, верификации, валидации, а также к мерам их подтверждения;

e) требования к взаимодействию между заказчиками и поставщиками.

Серия стандартов ИСО 26262 рассматривает функциональную безопасность Э/Э систем, которая достигается с помощью мер по обеспечению безопасности, включая механизмы обеспечения безопасности. Однако он также обеспечивает подход, в рамках которого допускается использовать связанные с безопасностью системы, реализуемые на других технологиях (например, механических, гидравлических и пневматических).

На достижение функциональной безопасности влияют процессы разработки (в том числе спецификация требований, проектирование, реализация, интеграция, верификация, валидация и управление конфигурацией), процессы производства и обслуживания, а также процессы управления.

Вопросы безопасности тесно связаны с опытно-конструкторскими работами, реализующими функционал и обеспечивающими качество создаваемых изделий, а также с результатами таких работ. Настоящий стандарт рассматривает связанные с безопасностью проблемы, касающиеся опытно-конструкторских работ и их результатов.

На рисунке 1 показана общая структура серии стандартов ИСО 26262. В нем для различных стадий разработки изделия используют эталонную V-модель процесса. На рисунке 1:

- заштрихованная область в виде символа "V" представляет взаимосвязь между ИСО 26262-3, ИСО 26262-4, ИСО 26262-5, ИСО 26262-6 и ИСО 26262-7;

- для мотоциклов:

ИСО 26262-12:2018, раздел 8 соответствует требованиям ИСО 26262-3,

ИСО 26262-12:2018, разделы 8 и 10 соответствуют требованиям ИСО 26262-4;

- ссылки на конкретную информацию даны в виде: "m-n", где "m" представляет собой номер части настоящего стандарта, а "n" указывает на номер раздела этой части.

Пример - 2-6 ссылается на раздел 6 ИСО 26262-2.

 

 

 

     Рисунок 1 - Общая структура ИСО 26262

 

      1 Область применения

Настоящий стандарт применяется к системам, связанным с безопасностью, включающим в себя одну или несколько Э/Э систем, которые установлены в серийно производимые дорожные транспортные средства, исключая мопеды. Настоящий стандарт не применяется для уникальных Э/Э систем транспортных средств специального назначения, таких как Э/Э системы, предназначенные для водителей с ограниченными возможностями.

Примечание - Существуют другие стандарты по безопасности для специального применения, которые могут дополнить серию стандартов ИСО 26262 либо включать в себя требования серии стандартов ИСО 26262.

Системы и их компоненты, находящиеся в производстве или на стадии разработки до даты публикации настоящего стандарта, не входят в его область применения. Настоящий стандарт распространяется на изменения к существующим системам и их компонентам, запущенным в производство до публикации настоящего стандарта, корректируя жизненный цикл системы безопасности в зависимости от конкретного изменения. Настоящий стандарт распространяется на интеграцию существующих систем, разработанных не в соответствии с настоящим стандартом, и систем, разработанных в соответствии с настоящим стандартом, при корректировке жизненного цикла системы безопасности.

Настоящий стандарт рассматривает возможные опасности, вызванные некорректным функционированием Э/Э систем, связанных с безопасностью, а также некорректным взаимодействием этих систем. Настоящий стандарт не рассматривает опасности, связанные с поражением электрическим током, возгоранием, задымлением, перегревом, излучением, токсичностью, воспламеняемостью, химической активностью, коррозией и подобными опасностями, если они непосредственно не вызваны некорректным функционированием Э/Э систем, связанных с безопасностью.

Настоящий стандарт описывает методологию функциональной безопасности, обеспечивающую разработку Э/Э систем, связанных с безопасностью. Эта методология предназначена для интеграции действий по функциональной безопасности в определенную для компании дисциплину разработки. Некоторые требования имеют ясную техническую направленность на обеспечение функциональной безопасности изделия; другие связаны с процессом разработки и поэтому могут рассматриваться как требования к процессу, чтобы продемонстрировать способность организации реализовать методологию функциональной безопасности.

Настоящий стандарт не рассматривает номинальные характеристики Э/Э систем.

Настоящий стандарт устанавливает требования к разработке изделия на уровне аппаратных средств для применения на автомобильных транспортных средствах, в том числе:

- общие вопросы по разработке изделия на уровне аппаратных средств;

- спецификацию требований безопасности аппаратных средств;

- проектирование аппаратных средств;

- оценку метрик архитектуры аппаратных средств;

- оценку недостижения цели безопасности из-за случайных отказов аппаратных средств;

- интеграцию и верификацию аппаратных средств.

Требования настоящего стандарта к элементам аппаратных средств применимы как к непрограммируемым, так и к программируемым элементам, таким как ASIC, FPGA и PLD. Дальнейшие рекомендации приведены в ИСО 26262-10 и ИСО 26262-11.

В приложении А представлен обзор целей, предпосылок и результатов работы, рассмотренных в настоящем стандарте.

 

      2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения к нему)]:

ISO 26262-1:2018, Road vehicles - Functional safety - Part 1: Vocabulary (Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения)

ISO 26262-2:2018, Road vehicles - Functional safety - Part 2: Management of functional safety (Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности)

ISO 26262-4:2018, Road vehicles - Functional safety - Part 4: Product development at the system level (Дорожные транспортные средства. Функциональная безопасность. Часть 4. Разработка изделия на уровне системы)

ISO 26262-6:2018, Road vehicles - Functional safety - Part 6: Product development at the software level (Дорожные транспортные средства. Функциональная безопасность. Часть 6. Разработка программного обеспечения изделия)

ISO 26262-7:2018, Road vehicles - Functional safety - Part 7: Production, operation, service and decommissioning (Дорожные транспортные средства. Функциональная безопасность. Часть 7. Производство, эксплуатация, обслуживание и вывод из эксплуатации)

ISO 26262-8:2018, Road vehicles - Functional safety - Part 8: Supporting processes (Дорожные транспортные средства. Функциональная безопасность. Часть 8. Вспомогательные процессы)

ISO 26262-9:2018, Road vehicles - Functional safety - Part 9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses (Дорожные транспортные средства. Функциональная безопасность. Часть 9. Анализ уровня полноты безопасности автомобиля и анализ безопасности автомобиля)

 

      3 Термины и определения

В настоящем стандарте применимы термины по ИСО 26262-1.

ИСО и МЭК для применения в стандартизации поддерживают терминологические базы данных:

- Электропедия МЭК; доступна по адресу: http://www.electropedia.org/

- платформа онлайн-просмотра ИСО; доступна по адресу: https://www.iso.org/obp.

 

      4 Требования соответствия настоящему стандарту

     

 

      4.1 Цель

Настоящий раздел описывает:

a) каким образом обеспечить соответствие требованиям серии стандартов ИСО 26262;

b) каким образом интерпретировать таблицы, используемые в серии стандартов ИСО 26262;

c) каким образом интерпретировать применимость каждого раздела в зависимости от соответствующего значения УПБА.

      4.2 Общие требования

Для соответствия серии стандартов ИСО 26262 должно быть выполнено каждое ее требование, если только для этого требования не выполняется одно из следующих условий:

a) в соответствии с ИСО 26262-2 предусмотрена адаптация действий по обеспечению безопасности, которая показывает, что данное требование не применяется;

b) существует обоснование того, что несоблюдение данного требования допустимо, а также показано соответствие этого обоснования ИСО 26262-2.

Справочная информация, включая примечания и примеры, должна использоваться только для понимания или для уточнения соответствующего требования и не должна толковаться как самостоятельное требование или считаться для него полной или исчерпывающей.

Результаты действий по обеспечению безопасности представлены как результаты работы. В пунктах "Предварительные требования" перечислена информация, которая должна быть доступна как результат работы предыдущей стадии. Так как определенные требования разделов настоящего стандарта зависят от УПБТС или могут быть адаптированы, то некоторые результаты работы в качестве предварительных условий могут не потребоваться.

В пунктах "Дополнительная информация" содержится информация, которую можно учитывать, но в некоторых случаях настоящий стандарт не требует, чтобы она была результатом работы предыдущей стадии. Такая информация может быть доступна из внешних источников, от лиц или организаций, которые не несут ответственность за деятельность по обеспечению функциональной безопасности.

 

      4.3 Интерпретация таблиц

В настоящем стандарте используются нормативные или справочные таблицы в зависимости от их контекста. Перечисленные в таблицах различные методы вносят вклад в уровень уверенности в достижении соответствия с рассматриваемым требованием. Каждый метод в таблицах включен:

a) в последовательный список методов (он обозначен порядковым номером в левой графе, например 1, 2, 3);

b) либо в альтернативный список методов (он обозначен номером с последующей буквой в левой графе, например 2a, 2b, 2c).

В случае последовательного списка для соответствующего значения УПБТС следует применять все наиболее рекомендуемые и рекомендуемые методы. Допускается замена наиболее рекомендуемого или рекомендуемого метода другим, не перечисленным в таблице методом, но в этом случае должно быть приведено обоснование, почему он удовлетворяет соответствующему требованию. Если может быть обосновано, что для удовлетворения соответствующему требованию не выбираются никакие методы, то в дальнейшем обоснование пропущенных методов не выполняют.

В случае альтернативного списка следует применять подходящую комбинацию методов в соответствии с указанным значением УПБТС независимо от того, перечислены в таблице эти комбинации или нет. Если перечисленные методы имеют разные степени рекомендуемости их применения для некоторого значения УПБТС, то следует отдать предпочтение методам с более высокой степенью рекомендуемости. Должно быть приведено обоснование, что выбранная комбинация методов или даже отдельно выбранный метод выполняют соответствующее требование.

Примечание - Обоснование, основанное на методах, перечисленных в таблице, является достаточным. Но это не означает, что существует какое-то предубеждение за или против применения методов, не перечисленных в таблице.

Для каждого метода степень рекомендуемости его применения зависит от значения УПБТС и классифицируется следующим образом:

- "++" - метод является наиболее рекомендуемым для определенного значения УПБТС;

- "+" - метод рекомендуется для определенного значения УПБТС;

- "о" - метод не имеет рекомендации за или против его применения для определенного значения УПБТС.

 

      4.4 Требования и рекомендации, зависимые от значения УПБТС

Требования или рекомендации каждого подраздела необходимо соблюдать для значений УПБТС A, B, C и D, если не указано иное. Эти требования и рекомендации связаны со значениями УПБТС цели безопасности. Если в соответствии с требованиями раздела 5 ИСО 26262-9 декомпозиция УПБТС была выполнена на более ранней стадии разработки, то должны соблюдаться значения УПБТС, полученные в результате декомпозиции.

Если в настоящем стандарте значение УПБТС приведено в круглых скобках, то соответствующий пункт должен рассматриваться как рекомендация, а не требование для этого значения УПБТС. Это не касается приведенных в скобках записей, относящихся к декомпозиции УПБТС.

 

      4.5 Адаптация к мотоциклам

Для устройств или элементов мотоциклов, для которых применимы требования ИСО 26262-12, эти требования могут быть использованы вместо соответствующих требований настоящего стандарта. Требования настоящего стандарта, которые заменяются требованиями ИСО 26262-12, определены в части 12.

 

      4.6 Адаптация к грузовым транспортным средствам, автобусам, прицепам и полуприцепам

Содержание, которое предназначено для спецификации грузовых автомобилей, автобусов, прицепов и полуприцепов, обозначается как (T&B).

 

      5 Общие вопросы по разработке изделия на уровне аппаратных средств

     

 

      5.1 Цели

Целью данного раздела является описание действий по обеспечению функциональной безопасности для отдельных подстадий разработки аппаратных средств.

 

      5.2 Общие положения

Действия и процессы, необходимые для разработки аппаратных средств, удовлетворяющих требованиям безопасности, следует планировать в соответствии с 6.4.6 ИСО 26262-2.

Рисунок 2 иллюстрирует шаги процесса разработки аппаратных средств изделия, необходимые для выполнения требований настоящего стандарта, а также интеграцию этих шагов в контексте ИСО 26262.

 

 

 

Примечание - На рисунке конкретный раздел каждой части настоящего стандарта указан следующим образом: "m-n", где "m" представляет собой номер части и "n" указывает номер раздела, например: "4-7" представляет раздел 7 ИСО 26262-4.

     Рисунок 2 - Эталонная модель стадии разработки изделия на уровне аппаратных средств

Для разработки изделия на уровне аппаратных средств необходимы следующие действия и процессы:

- реализация концепции технической безопасности аппаратных средств;

- анализ возможных сбоев аппаратных средств и их последствий;

- координация с разработкой программного обеспечения.

В отличие от подстадий разработки программного обеспечения настоящий стандарт содержит два раздела, описывающие количественные оценки всей архитектуры аппаратных средств устройства.

В разделе 8 описаны две метрики для оценки эффективности архитектуры аппаратных средств устройства и применяемые механизмы безопасности, которые предотвращают случайные отказы аппаратных средств.

При определении влияния каждого выявленного сбоя элемента аппаратных средств, приводящего к недостижению цели безопасности, в разделе 9, который дополняет раздел 8, для оценки того, что остаточный риск недостижения целей безопасности является достаточно низким, описываются два альтернативных метода оценки: общий вероятностный подход (метод PMHF, см. 9.4.2) и анализ сечений (метод EEC, см. 9.4.3).

 

      6 Спецификация требований безопасности аппаратных средств

     

 

      6.1 Цели

Цели настоящего раздела заключаются в следующем:

a) определить требования безопасности аппаратных средств. Они выводятся из концепции технической безопасности и спецификации архитектуры системы;

b) уточнить технические требования к аппаратно-программному интерфейсу (АПИ), разработанные в соответствии с 6.4.7 ИСО 26262-4;

c) проверить соответствие требований безопасности аппаратных средств и технических требований к АПИ концепции технической безопасности и спецификации архитектуры системы.

 

      6.2 Общие положения

Требования технической безопасности распределяются для аппаратных средств и программного обеспечения. Из требований, которые распределяются и для аппаратных средств, и для программного обеспечения, далее выделяются только требования для аппаратных средств. Затем требования безопасности аппаратных средств детализируются с учетом ограничений проекта и влияния этих ограничений проекта на аппаратные средства.

 

      6.3 Входная информация

6.3.1 Предварительные требования

Необходима следующая информация:

- концепция технической безопасности в соответствии с 6.5.2 ИСО 26262-4;

- спецификация архитектуры системы в соответствии с 6.5.3 ИСО 26262-4;

- технические требования к АПИ в соответствии с 6.5.4 ИСО 26262-4.

6.3.2 Дополнительная информация

Может быть учтена следующая информация:

- спецификация требований к программному обеспечению системы безопасности (см. 6.5.1 ИСО 26262-6);

- спецификация аппаратных средств (из внешнего источника).

 

      6.4 Требования и рекомендации

6.4.1 Спецификация требований безопасности аппаратных средств для элементов аппаратных средств устройства должна быть выведена из требований технической безопасности, распределенных для аппаратных средств (см. 6.5.2 ИСО 26262-4).

6.4.2 Спецификация требований безопасности аппаратных средств должна включать в себя каждое требование к аппаратным средствам, связанным с функциональной безопасностью, в том числе:

a) требования безопасности аппаратных средств и соответствующие свойства механизмов безопасности для управления внутренними отказами элемента аппаратных средств, включая внутренние механизмы безопасности для охвата кратковременных сбоев, когда показано, что они связаны, например, с используемой технологией.

Пример - Свойства могут включать в себя временные характеристики и характеристики срабатывания сторожевого устройства;

b) требования безопасности аппаратных средств и соответствующие свойства механизмов безопасности, чтобы обеспечить управление или устойчивость к внешним по отношению к элементу отказам.

Пример - Процедура, которую должен выполнить электронный блок управления в случае внешнего отказа, например разрыва цепи на его входе;

c) требования безопасности аппаратных средств и необходимые свойства механизмов безопасности, соответствующие требованиям безопасности других элементов.

Пример - Диагностика датчиков или исполнительных механизмов;

d) требования безопасности аппаратных средств и соответствующие свойства механизмов безопасности, обеспечивающие обнаружение внутренних или внешних отказов и формирование сигналов о них.

Примечание - Требования безопасности аппаратных средств, описанные в перечислении d), относятся и к механизмам безопасности, предотвращающим возникновение скрытых сбоев.

Пример - Временной интервал реакции на сбой для части аппаратного средства механизма безопасности задается так, чтобы соответствовать временному интервалу сбоеустойчивости;

e) требования безопасности аппаратных средств, не определяющие механизмы безопасности.

Пример - Такими требованиями могут быть:

- требования к элементам аппаратных средств для обеспечения достижения целевых значений случайных отказов аппаратных средств, описанные в 6.4.3 и 6.4.4;

- требования о предотвращении конкретного функционирования (например, "сигнал на выходе конкретного датчика не должен быть неустойчивым");

- требования, распределенные элементам аппаратных средств, реализующим целевую функциональность;

- требования, определяющие правила проектирования жгутов или разъемов.

Примечание - Механизмы безопасности могут быть реализованы аппаратными средствами, программным обеспечением или их сочетанием.

6.4.3 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. При выводе значений для элементов аппаратных средств устройства должны использоваться целевые значения, установленные в соответствии с 6.4.5 ИСО 26262-4, для метрик, представленных в разделе 8 настоящего стандарта.

6.4.4 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. При выводе значений для элементов аппаратных средств устройства должны учитываться целевые значения, установленные в соответствии с 6.4.5 ИСО 26262-4, для процедур, представленных в разделе 9 настоящего стандарта.

Примечание - Данные действия могут включать в себя распределение целевых значений вероятностной метрики случайных отказов аппаратных средств (PMHF) в случае распределенной разработки, как указано в разделе 5 ИСО 26262-8, если не принято решение об использовании оценки каждой причины недостижения цели безопасности, описанной в 9.4.3.

6.4.5 Требования безопасности аппаратных средств должны быть определены в соответствии с требованиями раздела 6 ИСО 26262-8.

6.4.6 Должны быть определены критерии оценки при верификации проекта элементов устройства аппаратных средств, в том числе: условия внешней среды (температура, вибрация, электромагнитные помехи и др.), конкретные условия эксплуатации (напряжение питания, исходные данные эксплуатации и т.д.) и конкретные требования для компонент:

a) при верификации оценкой элементов аппаратных средств критерии должны удовлетворять требованиям раздела 13 ИСО 26262-8;

b) при верификации тестированием критерии должны удовлетворять требованиям раздела 10 настоящего стандарта.

6.4.7 Требованиям безопасности аппаратных средств должно удовлетворять значение временного интервала сбоеустойчивости или максимальное значение временного интервала обработки сбоя механизмов безопасности, как определено в 6.4.2.3 ИСО 26262-4.

Примечание - В проекте аппаратных средств может быть указан механизм, способный управлять сбоем, но который не соответствует временному интервалу сбоеустойчивости или максимальному временному интервалу обработки сбоя. В таком случае его недопустимо рассматривать, используя метрики разделов 8 и 9 настоящего стандарта, и недопустимо учитывать в схеме декомпозиции УПБТС.

6.4.8 Требованиям безопасности аппаратных средств должно удовлетворять значение интервала обнаружения множественного сбоя, как определено в 6.4.2 ИСО 26262-4.

Примечания

1 Если значения УПБТС для целей безопасности равны C и D и если соответствующая концепция обеспечения безопасности не устанавливает конкретного значения, то интервалы обнаружения множественного сбоя могут быть заданы равными или ниже значения времени цикла "включения-выключения" питания устройства.

2 Соответствующие значения интервала обнаружения множественного сбоя также могут быть обоснованы методом количественного анализа возникновения случайных отказов аппаратных средств (см. раздел 9).

6.4.9 Требования безопасности аппаратных средств должны быть верифицированы в соответствии с требованиями раздела 9 ИСО 26262-8 в целях обеспечения доказательств их:

a) согласованности с концепцией технической безопасности, спецификацией проекта системы и спецификацией аппаратных средств;

b) полноты относительно требований технической безопасности, распределяемых элементу аппаратных средств;

c) согласованности с соответствующими требованиями безопасности программного обеспечения;

d) корректности и точности.

6.4.10 Технические требования к аппаратно-программному интерфейсу, сформированные в соответствии с требованиями 6.4.7 ИСО 26262-4, должны быть в достаточной степени уточнены, чтобы обеспечить корректное управление и использование аппаратных средств программным обеспечением, а также должны описывать каждую связанную с безопасностью зависимость между аппаратным средством и программным обеспечением.

6.4.11 Лица, ответственные за разработку аппаратных средств и программного обеспечения, несут совместную ответственность за проверку адекватности уточненных технических требований аппаратно-программного интерфейса.

 

      6.5 Результаты работы

6.5.1 Спецификация требований безопасности аппаратных средств (включая критерии тестирования и оценки)

В результате выполнения требований 6.4.1-6.4.8.

6.5.2 Технические требования к АПИ (уточненные)

В результате выполнения требований 6.4.10.

Примечание - Данный результат работы совпадает с результатом работы, представленным в 6.5.2 ИСО 26262-6.

6.5.3 Отчет о верификации требований безопасности аппаратных средств

В результате выполнения требований 6.4.9 и 6.4.11.

 

      7 Проектирование аппаратных средств

     

 

      7.1 Цели

Целями настоящего раздела являются:

a) разработка проекта аппаратных средств, который:

- поддерживает анализ безопасности;

- учитывает результаты анализа безопасности;

- соответствует требованиям безопасности аппаратных средств;

- соответствует техническим требованиям АПИ;

- соответствует спецификации архитектуры системы;

- удовлетворяет требуемым свойствам проекта аппаратных средств;

b) определение требований и предоставление информации о функциональной безопасности аппаратных средств для производства, эксплуатации, обслуживания и вывода из эксплуатации;

c) проверка:

- соответствия проекта аппаратных средств требованиям безопасности аппаратных средств и техническим требованиям АПИ;

- обоснованности допущений, использованных при разработке каждого элемента безопасности вне контекста (SEooC), интегрированного в разработанное аппаратное обеспечение;

- пригодности специальных, связанных с безопасностью характеристик для обеспечения функциональной безопасности при производстве и эксплуатации.

 

      7.2 Общие положения

Проект аппаратных средств включает в себя проект архитектуры аппаратных средств и рабочий проект аппаратных средств. Проект архитектуры аппаратных средств представляет все компоненты аппаратных средств и их взаимосвязи друг с другом. Рабочий проект аппаратных средств - это проект аппаратных средств на уровне электрических схем, представляющих взаимодействие между частями аппаратных средств, из которых состоят компоненты аппаратных средств.

Единый проект аппаратных средств должен удовлетворять как требованиям к аппаратным средствам системы безопасности, так и всем требованиям, не связанным с безопасностью. Следовательно, на данной подстадии связанные и не связанные с безопасностью требования применяются в едином процессе разработки.

 

      7.3 Входная информация

7.3.1 Предварительные требования

Необходима следующая информация:

- спецификация требований безопасности аппаратных средств в соответствии с 6.5.1;

- технические требования к АПИ (уточненные) в соответствии с 6.5.2;

- спецификация архитектуры системы в соответствии с 6.5.3 ИСО 26262-4.

7.3.2 Дополнительная информация

Может быть учтена следующая информация:

- спецификация требований безопасности программного обеспечения (см. 6.5.1 ИСО 26262-6);

- спецификация не связанных с безопасностью требований к аппаратным средствам (из внешних источников).

 

      7.4 Требования и рекомендации

7.4.1 Проект архитектуры аппаратных средств

7.4.1.1 Архитектура аппаратных средств должна реализовать требования безопасности аппаратных средств, определенные в разделе 6.

7.4.1.2 Требования безопасности аппаратных средств должны быть распределены элементам аппаратных средств. В результате каждый элемент аппаратных средств должен быть разработан в соответствии с наибольшим значением УПБТС любого из требований, которые ему были распределены.

Примечание - Каждая характеристика элемента аппаратных средств будет наследовать наибольшее значение УПБТС, определенное для требований безопасности аппаратных средств, которые он реализует.

7.4.1.3 Если в процессе проектирования архитектуры аппаратных средств для требований безопасности аппаратных средств выполняется декомпозиция УПБТС, то она должна применяться в соответствии с требованиями раздела 5 ИСО 26262-9.

7.4.1.4 Если элемент аппаратного средства выполнен из подэлементов, которые имеют значения УПБТС меньше, чем значение УПБТС элемента, или их значения УПБТС не установлены, то каждый из них рассматривается в соответствии с самым высоким значением УПБТС, кроме тех случаев, когда будут выполнены критерии совместимости подэлементов в соответствии с требованиями раздела 6 ИСО 26262-9.

7.4.1.5 Должна быть установлена прослеживаемость между требованиями безопасности аппаратных средств и элементами проекта архитектуры вплоть до компонентов аппаратных средств самого низкого уровня.

Примечание - Прослеживаемость требований безопасности аппаратных средств до уровня рабочего проекта аппаратных средств не требуется. Требования безопасности аппаратных средств не назначаются частям аппаратных средств, которые невозможно разделить на подчасти. Например, неразумно и нецелесообразно пытаться установить прослеживаемость для аппаратных средств вплоть до каждого конденсатора и резистора и т.д.

7.4.1.6 Для того, чтобы предотвратить систематические сбои, проект архитектуры аппаратных средств должен обладать следующими свойствами, используя подходы, перечисленные в таблице 1:

a) модульность.

Примечание - Модульность позволяет повторно использовать проект элементов аппаратных средств без изменения (например, блок, реализующий схему определения температуры, блок проверки и исправления ошибок в микроконтроллере);

b) адекватный уровень детализации.

Примечание - Цель состоит в том, чтобы представление архитектуры давало необходимую информацию с необходимым уровнем детализации для демонстрации эффективности механизмов безопасности;

c) простота.

Таблица 1 - Свойства проекта архитектуры аппаратных средств

 

 

 

 

 

 

Свойства

УПБТС

 

A

B

C

D

1

Иерархичность проекта

+

+

+

+

2

Точно определенные интерфейсы связанных с безопасностью компонентов аппаратных средств

++

++

++

++

3

Предотвращение излишней сложности интерфейсов

+

+

+

+

4

Предотвращение излишней сложности компонентов аппаратных средств

+

+

+

+

5

Ремонтопригодность (обслуживание)

+

+

++

++

6

Тестируемость
 

+

+

++

++

Тестируемость включает в себя тестируемость в процессе разработки, изготовления, обслуживания и эксплуатации.
 

 

7.4.1.7 В процессе проектирования архитектуры аппаратных средств должны быть рассмотрены нефункциональные причины отказа связанных с безопасностью компонентов аппаратных средств, включая следующие, если такие имеются: температура, вибрация, вода, пыль, электромагнитные помехи, коэффициент шума или перекрестные помехи, возникающие либо от других аппаратных компонентов архитектуры аппаратных средств, либо от их окружения.

7.4.2 Рабочее проектирование аппаратных средств

7.4.2.1 Для того, чтобы избежать общих ошибок проектирования, следует применять соответствующий накопленный опыт согласно требованиям 5.4.2.6 ИСО 26262-2.

7.4.2.2 В процессе рабочего проектирования аппаратных средств должны быть рассмотрены нефункциональные причины отказа связанной с безопасностью части аппаратных средств, включая следующие, если такие имеются: температура, вибрация, вода, пыль, электромагнитные помехи, коэффициент шума, перекрестные помехи, возникающие либо от других аппаратных частей компонента аппаратных средств, либо от их окружения.

7.4.2.3 Чтобы часть аппаратного средства или компонент аппаратных средств эксплуатировались в соответствии с их спецификацией во избежание отказов, связанных с их целевым использованием, должны учитываться исходные данные эксплуатации и условия эксплуатации части аппаратного средства или компонента аппаратных средств в соответствии с рабочим проектом аппаратных средств.

7.4.2.4 Должны быть рассмотрены принципы робастного проектирования.

Примечание - Применение принципов робастного проектирования может быть показано с помощью руководства по проектированию аппаратных средств.

Пример - Консервативная спецификация компонентов, определяющая их робастность в условиях стресс-факторов внешней среды и эксплуатации.

7.4.3 Анализ безопасности

7.4.3.1 Для выявления причин отказов и последствий сбоев необходимо выполнять анализ безопасности проекта аппаратных средств в соответствии с таблицей 2 и требованиями раздела 8 ИСО 26262-9.

Примечания

1 Первоначальной целью анализа безопасности является формирование спецификации проекта аппаратных средств. Впоследствии анализ безопасности может быть использован для верификации проекта аппаратных средств (см. 7.4.4).

2 В целях формирования спецификации проекта аппаратных средств может быть уместным и достаточным качественный анализ.

Таблица 2 - Анализ безопасности проекта аппаратных средств

 

 

 

 

 

 

Методы

УПБТС

 

А

В

С

D

1

Дедуктивный анализ
 

о

+

++

++

2

Индуктивный анализ
 

++

++

++

++

Типичным дедуктивным методом анализа является FTA.
 
Типичным индуктивным методом анализа является FMEA.
 

Примечание - Уровень детализации анализа соизмерим с уровнем детализации проекта. Оба метода могут, в определенных случаях, выполняться на различных уровнях детализации.

 

 

7.4.3.2 Данное требование распространяется на значения УПБТС (B), С и D цели безопасности. Для каждого связанного с безопасностью компонента или части аппаратных средств с учетом рассматриваемой цели безопасности анализ безопасности должен определить следующее:

a) безопасные сбои;

b) одиночные сбои или остаточные сбои;

c) множественные сбои (или воспринимаемые, обнаруживаемые, или скрытые).

Примечания

1 Цель идентификации множественных сбоев не состоит в том, чтобы требовать выполнения систематического анализа для каждой возможной комбинации сбоев аппаратных средств, но, как минимум, необходимо рассмотреть комбинации, которые следуют из концепции технической безопасности (например, комбинацию двух сбоев, где один сбой влияет на связанный с безопасностью элемент, а другой сбой влияет на соответствующий механизм безопасности, предназначенный для достижения или поддержания безопасного состояния).

2 В большинстве случаев анализ может быть ограничен двойными сбоями. Но иногда в концепции технической безопасности (например, при реализации резервированных механизмов безопасности) могут быть рассмотрены множественные сбои более второго порядка.

7.4.3.3 Данное требование распространяется на значения УПБТС (B), С и D цели безопасности. Должно быть обеспечено подтверждение эффективности механизмов безопасности, предотвращающих возникновение сбоев, приводящих к одиночным отказам, или обеспечивающих снижение остаточных сбоев.

С этой целью:

a) должно быть обеспечено подтверждение способности механизмов безопасности безопасно переходить в безопасное состояние и поддерживать безопасное состояние (в частности, соответствующие способности смягчения отказа в течение временного интервала сбоеустойчивости и в течение максимального временного интервала обработки сбоя);

b) должен быть оценен диагностический охват остаточных сбоев, достигаемый механизмами безопасности.

Примечания

1 Сбой, который может произойти в любое время (например, не только при включении питания), не может рассматриваться как эффективно охваченный, если значение временного интервала обнаружения сбоя, сложенное со значением временного интервала реакции на сбой соответствующего механизма безопасности, больше, чем соответствующее значение временного интервала сбоеустойчивости либо определенное максимальное значение временного интервала обработки сбоя.

2 Если можно показать, что конкретный вид отказов происходит только при включении питания и вероятность его возникновения ничтожно мала во время движения транспортного средства, то для таких видов отказов принято выполнять тестирование при пуске после подачи питания.

3 Для структурирования обоснования могут быть использованы такие виды анализа, как FMEA или FTA.

4 В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней оценка может быть выполнена либо с помощью охвата диагностикой элемента аппаратных средств, либо с помощью более детальной оценки охвата вида отказов.

5 В качестве первого шага для определения диагностического охвата, обеспечиваемого запланированными механизмами безопасности, могут использоваться рекомендации, представленные в приложении D. Заявленный диагностический охват обеспечивается надлежащим обоснованием (примеры можно найти в разделе ИСО 26262-10, касающемся оценки интенсивности остаточных отказов, и в приложении А ИСО 26262-11).

6 Данное требование относится к механизмам безопасности, реализованным аппаратными средствами, программным обеспечением или их комбинацией.

7.4.3.4 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Должно быть обеспечено подтверждение эффективности реализованных механизмов безопасности, предотвращающих возникновение скрытых сбоев.

С этой целью:

a) должно быть обеспечено подтверждение способности механизма безопасности обнаруживать отказы, а также безопасно переходить в безопасное состояние и поддерживать безопасное состояние либо сообщать о них водителю в течение допустимого времени обнаружения множественного сбоя (для скрытых сбоев) для того, чтобы определить, какие сбои остаются скрытыми и какие сбои являются обнаруживаемыми;

b) должен быть оценен диагностический охват для скрытых сбоев, достигаемый механизмами безопасности.

Примечания

1 Сбой не может рассматриваться как охваченный, если значение временного интервала обработки сбоя соответствующим механизмом безопасности превышает значение временного интервала обнаружения соответствующего множественного сбоя для скрытых сбоев.

2 Для структурирования обоснования могут быть использованы такие виды анализа, как FMEA или FTA.

3 В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней оценка может быть выполнена либо с помощью охвата диагностикой элемента аппаратных средств, либо с помощью более детальной оценки охвата вида отказов.

4 В качестве начального шага для определения диагностического охвата, обеспечиваемого запланированными механизмами безопасности, допускается использовать рекомендации, представленные в приложении D. Заявленный диагностический охват обеспечивается надлежащим обоснованием (примеры можно найти в разделе ИСО 26262-10, касающемся оценки интенсивности остаточных отказов, и в приложении A ИСО 26262-11).

5 Данное требование относится к механизмам безопасности, реализованным аппаратными средствами, программным обеспечением или их комбинацией.

7.4.3.5 При необходимости на основе анализа зависимых отказов в соответствии с требованиями раздела 7 ИСО 26262-9 должно быть обеспечено подтверждение того, что элементы аппаратных средств в проекте соответствуют их требованиям о независимости.

Примечания

1 См. также приложение С ИСО 26262-9.

2 См. также 4.7 ИСО 26262-11.

7.4.3.6 Если при проектировании аппаратных средств появляются новые опасности, еще не рассмотренные в отчете по анализу опасностей и оценке рисков (HARA), то они должны быть учтены и оценены в соответствии с требованиями процесса управления изменениями, представленными в разделе 8 ИСО 26262-8.

Примечание - Вновь выявленные опасности, еще не отраженные в существующей цели безопасности, как правило, являются нефункциональными опасностями. Нефункциональные опасности выходят за рамки области применения настоящего стандарта, но при анализе опасностей и оценке рисков они могут быть снабжены следующим пояснением: "Данной опасности значение УПБТС не назначается, поскольку она находится вне области применения настоящего стандарта". Тем не менее значение УПБТС может быть назначено в качестве рекомендации.

7.4.4 Верификация проекта аппаратных средств

7.4.4.1 Проект аппаратных средств должен быть верифицирован в соответствии с требованиями раздела 9 ИСО 26262-8, используя методы верификации проекта аппаратных средств, перечисленные в таблице 3, для подтверждения:

a) соответствия требованиям безопасности аппаратных средств;

b) соответствия техническим требованиям АПИ;

c) пригодности специальных, связанных с безопасностью характеристик для обеспечения функциональной безопасности при производстве и эксплуатации.

Таблица 3 - Верификация проекта аппаратных средств

 

 

 

 

 

 

Методы

УПБТС

 

A

B

C

D

1a

Сквозной контроль проекта аппаратных средств
 

++

+

o

o

1b

Ревизия проекта аппаратных средств
 

+

+

++

++

2

Анализ безопасности

В соответствии с 7.4.3

3a

Имитационное моделирование
 

о

+

+

+

3b

Разработка прототипов аппаратных средств
 

о

+

+

+

Методы 1a и 1 b служат для проверки полноты и корректности реализации требований безопасности в проекте аппаратных средств.
 
Методы 3a и 3b служат для проверки проекта аппаратных средств в конкретных точках (например, с использованием метода внесения дефектов, описанного в 4.8 ИСО 26262-11), для которых аналитические методы 1 и 2 считаются недостаточными.
 

Примечание - Областью применения данной верификационной оценки являются техническая корректность и полнота требований безопасности аппаратных средств.

 

 

7.4.4.2 Если во время проектирования аппаратных средств обнаружено, что выполнение какого-либо требования безопасности аппаратных средств невозможно, то выдается запрос на изменение в соответствии с требованиями процесса управления изменениями, представленными в разделе 8 ИСО 26262-8.

7.4.4.3 Достоверность допущений, использованных при разработке элементов безопасности вне контекста (SEooC), интегрированных в аппаратные средства, должна проверяться на соответствие требованиям безопасности аппаратных средств и спецификации проекта аппаратных средств.

7.4.5 Производство, эксплуатация, обслуживание и вывод из эксплуатации

7.4.5.1 Если анализ безопасности показал важность связанных с безопасностью специальных характеристик, то они должны быть определены. Определение связанных с безопасностью специальных характеристик должно включать в себя следующее:

a) меры их верификации в процессе производства и эксплуатации;

b) критерии соответствия этим мерам.

Пример - Анализ безопасности проекта аппаратных средств, который использует новые сенсорные технологии (например, камера или радарные датчики), может выявить актуальность особой процедуры установки этих датчиков. В таком случае на этапе производства могут быть необходимы дополнительные меры верификации для этих компонентов.

7.4.5.2 Если некорректная сборка, демонтаж или вывод из эксплуатации связанных с безопасностью элементов оборудования может оказать негативное влияние на достижение или поддержание функциональной безопасности, то информация, необходимая для предотвращения некорректного исполнения, направляется лицам, ответственным за производство, эксплуатацию, обслуживание и вывод из эксплуатации, назначенным в соответствии с требованиями раздела 7 ИСО 26262-2.

7.4.5.3 Должна быть обеспечена прослеживаемость для связанных с безопасностью элементов аппаратных средств в соответствии с требованиями 5.4.1.2 и 5.4.3.3 ИСО 26262-7 в целях:

a) обеспечения эффективного мониторинга в процессе эксплуатации в соответствии с требованиями 7.4.2.3 ИСО 26262-2 и 7.4.1.1 ИСО 26262-7;

b) реализации возможности управления отзывом или заменой.

Примечание - Прослеживаемость может включать в себя адекватную маркировку или другую идентификацию элементов аппаратных средств, чтобы указать, что они связаны с безопасностью.

7.4.5.4 Если некорректное обслуживание может оказать негативное влияние на достижение или поддержание функциональной безопасности, то информация, необходимая для предотвращения таких последствий, направляется лицам, ответственным за производство, эксплуатацию, обслуживание и вывод из эксплуатации, назначенным в соответствии с требованиями раздела 7 ИСО 26262-2.

7.4.5.5 Требования к производству, эксплуатации, обслуживанию и выводу из эксплуатации элементов аппаратных средств, возникающие при проектировании аппаратных средств, должны быть направлены лицам, ответственным за производство, эксплуатацию, обслуживание и вывод из эксплуатации, назначенным в соответствии с требованиями раздела 7 ИСО 26262-2.

 

      7.5 Результаты работы

7.5.1 Спецификация проекта аппаратных средств

В результате выполнения требований 7.4.1 и 7.4.2.

7.5.2 Отчет по анализу безопасности аппаратных средств

В результате выполнения требований 7.4.3.

7.5.3 Отчет о верификации проекта аппаратных средств

В результате выполнения требований 7.4.4.

7.5.4 Спецификация требований к производству, эксплуатации, обслуживанию и выводу из эксплуатации

В результате выполнения требований 7.4.5.

 

      8 Оценка метрик архитектуры аппаратных средств

     

 

      8.1 Цели

Целью настоящего раздела является подготовка обоснования пригодности проекта архитектуры аппаратных средств устройства с использованием метрики архитектуры аппаратных средств для выявления и управления связанными с безопасностью случайными отказами аппаратных средств.

 

      8.2 Общие положения

Настоящий раздел описывает две метрики архитектуры аппаратных средств для оценки эффективности архитектуры устройства, справляющегося со случайными отказами аппаратных средств.

Эти метрики и связанные с ними целевые значения оцениваются на уровне элемента для элементов аппаратных средств и являются дополнением к оценке недостижения цели безопасности из-за случайных отказов аппаратных средств, описанной в разделе 9.

Случайные отказы аппаратных средств, для которых используются эти метрики, ограничены отказами, связанными с безопасностью электрических и электронных частей аппаратных средств устройства, а именно теми, которые могут внести значительный вклад в недостижение или достижение цели безопасности, а также одиночными, остаточными и скрытыми сбоями этих частей. Для электромеханических частей аппаратных средств рассматриваются только виды и интенсивности электрических отказов.

Примечание - Элементы аппаратных средств с множественными сбоями более второго порядка могут быть исключены из расчетов, если невозможно показать, что они имеют отношение к концепции технической безопасности.

Метрики архитектуры аппаратных средств в процессе проектирования архитектуры аппаратных средств и рабочего проектирования аппаратных средств могут применяться повторно.

Метрики архитектуры аппаратных средств зависят от всего комплекса аппаратных средств устройства. Выполнение целевых показателей, предписанных для метрик архитектуры аппаратных средств, достигается для каждой цели безопасности, которую реализует устройство.

Эти метрики архитектуры аппаратных средств предназначены для достижения следующих целей:

- быть объективно оцениваемыми: метрики должны быть верифицируемыми и достаточно точными, чтобы дифференцировать различные архитектуры;

- выполнять оценку окончательного проекта (т.е. выполнить расчеты на основе выбранного рабочего проекта аппаратных средств);

- обеспечить оценку архитектуры аппаратных средств по критерию "достигнуто/не достигнуто заданное значение УПБТС";

- определить, достаточен ли охват механизмами безопасности, чтобы предотвратить риск от одиночных или остаточных сбоев в архитектуре аппаратных средств (метрика одиночного сбоя);

- определить, достаточен ли охват механизмами безопасности, чтобы предотвратить риск от скрытых сбоев в архитектуре аппаратных средств (метрика скрытого сбоя);

- принять меры в отношении одиночных, остаточных и скрытых сбоев;

- обеспечить робастность при разбросе интенсивностей отказов в аппаратных средствах;

- рассматривать только элементы, связанные с безопасностью;

- обеспечить использование элементов различных уровней; например, целевые значения могут быть назначены поставляемым элементам аппаратных средств.

Пример - Для упрощения распределенной разработки, целевые значения могут быть назначены микросхемам или электронным блокам управления.

Примечание - Устройства со связанными с безопасностью требованиями готовности (т.е. потеря определенной функциональности может привести к опасному событию) подчиняются тем же требованиям и целевым показателям метрик архитектуры аппаратных средств, что и устройства с не связанными с безопасностью требованиями готовности.

 

      8.3 Входная информация

8.3.1 Предварительные требования

Должна быть доступна следующая информация:

- спецификация требований безопасности аппаратных средств в соответствии с 6.5.1;

- спецификация проекта аппаратных средств в соответствии с 7.5.1;

- отчет по анализу безопасности аппаратных средств в соответствии с 7.5.2.

8.3.2 Дополнительная информация

Может быть учтена следующая информация:

- концепция технической безопасности (см. 6.5.2 ИСО 26262-4);

- спецификация архитектуры системы (см. 6.5.3 ИСО 26262-4).

 

      8.4 Требования и рекомендации

8.4.1 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. В требованиях 8.4.2-8.4.9 применяются понятия "охват диагностикой", "метрика одиночного сбоя" и "метрика скрытого сбоя", рассмотренные в приложении C.

8.4.2 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Охват диагностикой связанных с безопасностью элементов аппаратных средств механизмами безопасности должен быть оценен по остаточным сбоям и по соответствующим скрытым сбоям.

Примечания

1 В качестве начального шага для определения диагностического охвата, обеспечиваемого запланированными механизмами безопасности, могут использоваться рекомендации, представленные в приложении D. Заявленный диагностический охват обеспечивается надлежащим обоснованием (примеры можно найти в разделе ИСО 26262-10, касающемся оценки интенсивности остаточных отказов, и в приложении А ИСО 26262-11).

2 В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней оценка может быть выполнена либо с помощью охвата диагностикой элемента аппаратных средств, либо с помощью более детальной оценки охвата вида отказов.

8.4.3 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Должны быть определены используемые в анализе и оцениваемые значения интенсивностей отказов частей аппаратных средств:

а) на основе данных об интенсивностях отказов частей аппаратных средств из признанных отраслевых источников.

Пример - Общепризнанными отраслевыми источниками для определения интенсивностей отказов и распределения видов отказов частей аппаратных средств считаются: SN 29500, IEC 61709, MIL HDBK 217 F notice 2, RIAC HDBK 217 Plus, UTE C80-811, NPRD 2016, EN 50129:2003, Annex C, RIACFMD-2016, MIL HDBK 338 и FIDES 2009 EdA. Допускается использовать распределения видов отказов, например определенные в "Alessandro Birolini - Prospectability Engineering".

Примечания

1 Значения интенсивностей отказов, приведенные в этих базах данных, как правило, считаются пессимистическими.

2 При применении выбранного отраслевого источника, чтобы избежать искусственного снижения вычисленной базовой интенсивности отказа, целесообразно учесть следующее:

- исходные данные эксплуатации;

- применимость видов отказов к условиям эксплуатации;

- единицу измерения интенсивности отказов (за час эксплуатации или за календарный час);

b) на основе статистических данных, полученных из эксплуатации или испытаний. В этом случае оцененная интенсивность отказов должна иметь достаточный уровень доверия - не менее 70%.

Примечания

1 Если уровень доверия для интенсивностей отказа различных частей аппаратных средств, используемых в оценке метрики одиночного сбоя и метрики скрытого сбоя, значительно отличается, то метрики будут необъективными.

2 Может быть необходимо масштабировать эти статистические данные, полученные из эксплуатации или испытаний, прежде чем использовать их вместе со значениями из других источников данных с другими уровнями доверия. См. также примечание 2 к перечислению с).

3 Интенсивности отказов, основанные на данных, полученных из эксплуатации или испытаний, могут быть рассчитаны, как описано в разделе 14 ИСО 26262-8 ("Проверено эксплуатацией");

c) с использованием доказательства эксперта, основанного на инженерном подходе, использующем количественные и качественные методы. В основе доказательства эксперта лежат структурированные критерии. Эти критерии должны быть установлены до выполнения оценки интенсивностей отказов.

Примечания

1 Критериями доказательства эксперта может быть сочетание эвристической информации, формируемое из совокупности данных, полученных из эксплуатации, тестирования, анализа надежности и подходов к моделированию механизмов отказа при рассмотрении новизны в проекте.

2 Допускается использовать справочные ссылки на международные экспертные организации по надежности: SAE J1211 "Robustness Validation" - Analysis, Modelling and Simulation provides physics-of-failure (PoF) based failure mechanism models, JEDEC-JESD89, JEDEC-JESD91, JEDEC-JESD94, JEDEC-JEP143, JEDEC-JESD148.

3 Если интенсивности отказов из нескольких источников данных (перечисленных в 8.4.3) объединяются, например в случае, когда интенсивности отказов различных частей недоступны из одного и того же источника, то интенсивности отказов могут быть масштабированы с использованием коэффициента масштабирования так, чтобы качество прогноза различных интенсивностей отказов было эквивалентно. Это масштабирование допускается использовать, если имеется обоснование для коэффициента масштабирования между двумя источниками интенсивности отказов.

Примеры

1 Интенсивность отказов элемента обнаружена только в одном источнике, в то время как для аналогичного элемента она доступна в этом и другом источнике. Коэффициент масштабирования представляет собой отношение частоты отказов из этих двух источников, использующих одни и те же исходные данные эксплуатации.

2 Интенсивность отказов из справочников данных обычно считается пессимистической. Если выбрано целевое значение случайного отказа аппаратного средства, согласующееся с используемыми данными справочника, то интенсивность отказов, определяемая из эксплуатации, может быть получена путем применения соответствующего коэффициента масштабирования (соответствующего, например, более пессимистическому, чем обычно, уровню доверия).

4 Если подходящий коэффициент масштабирования недоступен, то различным рассматриваемым элементам могут быть назначены отдельные целевые значения, соответствующие требованиям метрики одиночного сбоя и метрики скрытого сбоя (аналогично 8.4.4).

5 Руководящие указания по полупроводникам см. в 4.6 ИСО 26262-11.

8.4.4 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Если для использования значения интенсивности отказов части аппаратных средств предоставленных доказательств недостаточно, то должны быть предложены альтернативные средства (например, дополнительные механизмы безопасности для выявления и управления этими сбоями). Если альтернативные средства состоят исключительно из дополнительных механизмов безопасности, то:

a) диагностический охват этой части аппаратных средств для остаточных сбоев должен быть равен или выше целевого значения метрики одиночного сбоя устройства; и

b) диагностический охват этой части аппаратных средств для скрытых сбоев должен быть равен или выше целевого значения метрики скрытого сбоя устройства.

Примечания

1 "Доказательств достаточно" означает, например, что в представленных доказательствах интенсивность отказов должна быть определена с помощью одного из методов, перечисленных в 8.4.3.

2 При определении охвата механизмов безопасности может учитываться доля безопасных сбоев части аппаратных средств. В этом случае вычисление охвата выполняется аналогично вычислению метрики одиночного сбоя или метрики скрытого сбоя на уровне этой части аппаратных средств, а не на уровне устройства.

8.4.5 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Для каждой цели безопасности количественное целевое значение метрики одиночного сбоя в соответствии с требованиями 6.4.5 ИСО 26262-4 должно быть основано на одном из следующих источников рекомендуемых целевых значений:

a) полученных из вычисления метрик архитектуры аппаратных средств, которое применялось для аналогичного хорошо зарекомендовавшего себя проекта.

Примечание - Два аналогичных проекта имеют схожие функциональные возможности и аналогичные цели безопасности с теми же значениями УПБТС;

b) полученных из таблицы 4.

Таблица 4 - Возможный источник для получения целевого значения метрики одиночного сбоя

 

 

 

 

 

УПБТС B

УПБТС C

УПБТС D

Метрика одиночного сбоя

90%
 
97%
 
99%
 

 

Примечание - Этот количественный целевой показатель предназначен для обеспечения:

- руководства проектированием; и

- подтверждения того, что проект соответствует целям безопасности.

8.4.6 Данное требование распространяется на значения УПБТС (B), (C) и D цели безопасности. Для каждой цели безопасности количественное целевое значение метрики скрытого сбоя в соответствии с требованиями 6.4.5 ИСО 26262-4 должно быть основано на одном из следующих источников рекомендуемых целевых значений:

a) полученных из вычисления метрик архитектуры аппаратных средств, которое применялось для аналогичного хорошо зарекомендовавшего себя проекта.

Примечание - Два аналогичных проекта имеют схожие функциональные возможности и аналогичные цели безопасности с теми же значениями УПБТС;

b) полученных из таблицы 5.

Таблица 5 - Возможный источник для получения целевого значения метрики скрытого сбоя

 

 

 

 

 

УПБТС B

УПБТС C

УПБТС D

Метрика скрытого сбоя

60%
 
80%
 
90%
 

 

Примечание - Этот количественный целевой показатель предназначен для обеспечения:

- руководства проектированием; и

- подтверждения того, что проект соответствует целям безопасности.

8.4.7 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Для каждой цели безопасности комплекс аппаратных средств всего устройства в целом должен соответствовать одному из следующих вариантов:

a) достижению целевого значения метрики одиночного сбоя, как описано в 8.4.5; или

b) достижению соответствующих целей, предусмотренных на уровне элементов аппаратных средств, которые являются достаточными для соответствия целевому значению метрики одиночного сбоя, назначенному для всего комплекса аппаратных средств устройства, согласно требованию 8.4.5, с обоснованием соответствия этим целям на уровне элементов аппаратных средств.

Примечания

1 Если устройство содержит различные виды элементов аппаратных средств с существенно разными уровнями интенсивности отказов, то существует риск, что для соответствия с метриками архитектуры аппаратных средств рассматриваются только элементы аппаратных средств с наибольшей величиной интенсивности отказов. Одним из примеров, когда это может произойти, является метрика одиночного сбоя, для которой соответствие может быть достигнуто путем учета интенсивности отказов в проводниках, предохранителях или разъемах без учета интенсивности отказов частей аппаратных средств со значительно более низкой интенсивностью отказов. Назначение соответствующих значений целевых метрик для каждого типа аппаратных средств помогает избежать данной ситуации.

2 Кратковременные сбои рассматриваются, когда показано, что они актуальны, например в связи с используемой технологией. Они могут быть учтены путем спецификации и проверки выделенного для них целевого значения метрики одиночного сбоя (как это указано в примечании 1) или с помощью качественного обоснования, основанного на верификации эффективности внутренних механизмов безопасности, реализованных для охвата этих кратковременных сбоев.

3 Если цель не достигнута, то обоснование того, как достигается цель безопасности, будет оцениваться, как указано в 4.2.

4 Некоторые или все соответствующие цели безопасности допускается рассматривать вместе для определения метрики одиночного сбоя, но в этом случае целевой метрикой считается наибольшее для рассматриваемых целей безопасности значение УПБТС.

Пример - Если устройство состоит из трех элементов аппаратных средств A, B и C с интенсивностью отказов
,
,
, а
, то для любой комбинации целевых значений
метрик одиночного сбоя элементов допускается справедливость следующего выражения:
 
     
 

8.4.8 Данное требование распространяется на значения УПБТС (В), (С) и D цели безопасности. Для каждой цели безопасности комплекс аппаратных средств всего устройства в целом должен соответствовать одному из следующих вариантов:

a) достижению целевого значения метрики скрытого сбоя, как описано в 8.4.6;

b) достижению соответствующих целей, предусмотренных на уровне элементов аппаратных средств, которые являются достаточными для соответствия целевому значению метрики скрытого сбоя, назначенному для всего комплекса аппаратных средств устройства, согласно требованию 8.4.6, с обоснованием соответствия этим целям на уровне элементов аппаратных средств;

c) достижению целевых значений охвата диагностикой скрытых сбоев идентично целевому значению, указанному в 8.4.6 для метрики скрытого сбоя (рассматривается как охват диагностикой), для каждого элемента аппаратных средств, сбои которых могут привести к неготовности механизма безопасности (предназначенного для предотвращения сбоев, приводящих к недостижению цели безопасности). Этот альтернативный вариант применяется, когда каждый механизм безопасности, неготовность которого может способствовать недостижению цели безопасности, предназначен для обнаружения сбоев.

Примечания

1 Вариант перечисления c) применяется только в тех случаях, где каждый соответствующий механизм безопасности предназначен для обнаружения сбоев. Предполагается, что в этом случае потенциально скрытые сбои целевой функциональности выявляются путем обнаружения этими механизмами безопасности. В других случаях этот вариант не может быть применен и варианты перечислений a) и b) являются единственно возможными.

Пример - В приложении H приведены примеры различных типов механизмов безопасности, рассматривающие обработку скрытых сбоев.

2 В случае варианта применения перечисления с) метрика не рассчитывается, оценивается только охват элементов аппаратных средств механизмами безопасности скрытых сбоев.

3 Если устройство содержит различные виды элементов аппаратных средств с существенно разными уровнями интенсивности отказов, то существует риск, что для соответствия с метриками архитектуры аппаратных средств рассматриваются только элементы аппаратных средств с наибольшей величиной интенсивности отказов. Одним из примеров, когда это может произойти, является метрика скрытого сбоя, для которой соответствие может быть достигнуто путем учета интенсивности отказов в проводниках, предохранителях или разъемах без учета интенсивности отказов частей аппаратных средств со значительно более низкой интенсивностью отказов. Назначение соответствующих значений целевых метрик для каждого вида аппаратных средств помогает избежать такой ситуации.

4 Если цель не достигнута, то обоснование того, как достигается цель безопасности, будет оцениваться, как указано в 4.2.

5 Некоторые или все соответствующие цели безопасности можно рассматривать вместе для определения метрики скрытого сбоя, но в этом случае целевой метрикой считается наибольшее для рассматриваемых целей безопасности значение УПБТС.

Пример - Если устройство состоит из трех элементов аппаратных средств A, B и C с интенсивностью отказов
,
,
и
, то для любой комбинации целевых значений
метрик скрытого сбоя элементов допускается справедливость следующего выражения:
 
     
 

8.4.9 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. В соответствии с требованиями раздела 9 ИСО 26262-8, чтобы предоставить подтверждение технической корректности и полноты результатов применяемых методов, описанных в 8.4.7 и 8.4.8, должна быть выполнена их верификационная оценка.

Примечание - Верификация метрики одиночного сбоя гарантирует, что учитываются только интенсивности отказов, связанных с безопасностью элементов аппаратных средств, так чтобы метрика не искажалась ненадлежащим образом ненужными, связанными с безопасностью, элементами аппаратных средств, в которых невозможны одиночные или остаточные сбои (например, путем добавления не являющихся необходимыми элементов аппаратных средств в механизм безопасности).

 

      8.5 Результаты работы

8.5.1 Анализ эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств

В результате выполнения требований 8.4.1-8.4.8.

8.5.2 Отчет о верификационной оценке эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств

В результате выполнения требований 8.4.9.

 

      9 Оценка недостижения цели безопасности вследствие случайных отказов аппаратных средств

     

 

      9.1 Цели

Целью настоящего раздела является формирование подтверждения того, что остаточный риск недостижения цели безопасности из-за случайных отказов аппаратных средств устройства является достаточно низким.

Примечание - "Достаточно низкий" означает "сопоставим с остаточными рисками для устройств, уже находящихся в эксплуатации и, как известно, являющихся безопасными".

 

      9.2 Общие положения

Предлагается два альтернативных метода (см. 9.4) для оценки того, является ли остаточный риск недостижения цели безопасности достаточно низким.

Оба метода оценивают остаточный риск недостижения цели безопасности из-за одиночных, остаточных и возможных двойных сбоев. Могут быть также рассмотрены множественные сбои, если показано, что они соответствуют концепции безопасности. В настоящем анализе будет рассмотрен охват механизмов безопасности для остаточных и двойных сбоев, а также будет рассмотрена продолжительность воздействия для двойных сбоев.

Требования первого метода описаны в 9.4.2. Метод "Вероятностная метрика случайных отказов аппаратных средств" (PMHF) является количественным анализом, выполняющим оценку недостижения рассматриваемой цели безопасности из-за случайных отказов элементов аппаратных средств. Результаты количественного анализа сравниваются с целевым значением.

Требования второго метода представлены в 9.4.3. Метод "Оценка каждой причины недостижения цели безопасности" (EEC) основан на индивидуальной оценке каждой части аппаратных средств и ее вкладе в недостижение рассматриваемой цели безопасности из-за остаточных, одиночных и возможных двойных отказов.

Выбранный метод допускается применять многократно в процессе проектирования архитектуры аппаратных средств и рабочего проектирования аппаратных средств.

Область применения настоящего раздела ограничена случайными отказами аппаратных средств устройства. При выполнении анализа рассматриваются электрические и электронные части аппаратных средств. Для электромеханических частей аппаратных средств рассматриваются только электрические виды отказов и их интенсивности.

 

      9.3 Входная информация

9.3.1 Предварительные требования

Должна быть доступна следующая информация:

- спецификация требований безопасности аппаратных средств в соответствии с 6.5.1;

- спецификация проекта аппаратных средств в соответствии с 7.5.1;

- отчет по анализу безопасности аппаратных средств в соответствии с 7.5.2.

9.3.2 Дополнительная информация

Может быть учтена следующая информация:

- концепция технической безопасности (см. 6.5.2 ИСО 26262-4);

- спецификация архитектуры системы (см. 6.5.3 ИСО 26262-4).

 

      9.4 Требования и рекомендации

9.4.1 Общие положения

9.4.1.1 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Устройство должно соответствовать требованиям 9.4.2 либо 9.4.3.

9.4.1.2 Данное требование распространяется на значения УПБТС C и D цели безопасности. Одиночный сбой части аппаратного средства считается приемлемым только в том случае, если доводы о его достаточно низкой вероятности возникновения предоставляются одним из следующих способов:

a) принимаются специальные меры;

b) для значения УПБТС D цели безопасности должны быть выполнены следующие условия:

- используется консервативный источник данных;

- интенсивность только небольшой части отказов (например, один конкретный вид отказа) может привести к недостижению цели безопасности;

- результирующее значение интенсивности отказов от одиночных сбоев меньше одной десятой значения, соответствующего классу 1 интенсивности отказов (согласно 9.4.3.3);

c) для значения УПБТС С цели безопасности должны быть выполнены следующие условия:

- используется консервативный источник данных;

- интенсивность только небольшой части отказов (например, один конкретный вид отказа) может привести к недостижению цели безопасности;

- результирующее значение интенсивности отказов от одиночных сбоев меньше одной десятой значения, соответствующего классу 2 интенсивности отказов (согласно 9.4.3.3).

Примечания

1 Для данного требования микроконтроллер, специализированная интегральная схема (ASICS) или аналогичная однокристальная система (SoC) могут рассматриваться как части аппаратного средства.

2 Специальные меры могут включать в себя следующее:

a) особенности проекта, такие как проектирование части аппаратного средства с запасом (например, по уровню электрического напряжения или температуры) или физическое разделение (например, шаг контактов на печатной плате);

b) специальный выборочный контроль поступающего материала для снижения риска возникновения такого вида отказа;

c) отбраковочные испытания;

d) специальный механизм управления как часть плана управления;

e) установление связанных с безопасностью специальных характеристик.

9.4.1.3 Данное требование распространяется на значения УПБТС C и D цели безопасности. Остаточный сбой части аппаратного средства с диагностическим охватом (в отношении остаточных сбоев) менее 90% считается приемлемым только в том случае, если доводы о его достаточно низкой вероятности возникновения предоставляются одним из следующих способов:

a) принимаются специальные меры (в примечании 2 к 9.4.1.2 перечислены примеры специальных мер);

b) для значения УПБТС D цели безопасности должны быть выполнены следующие условия:

- используется консервативный источник данных;

- интенсивность только небольшой части отказов (например, один конкретный вид отказа) может привести к недостижению цели безопасности;

- результирующее значение интенсивности отказов от остаточных сбоев менее одной десятой значения, соответствующего классу 1 интенсивности отказов (согласно 9.4.3.3);

c) для значения УПБТС C цели безопасности должны быть выполнены следующие условия:

- используется консервативный источник данных;

- интенсивность только небольшой части отказов (например, один конкретный вид отказа) может привести к недостижению цели безопасности;

- результирующее значение интенсивности отказов от остаточных сбоев менее одной десятой значения, соответствующего классу 2 интенсивности отказов (согласно 9.4.3.3).

Примечания

1 Для данного требования микроконтроллер, специализированная интегральная схема (ASICS) или аналогичная однокристальная система (SoC) могут рассматриваться как части аппаратного средства.

2 При определении охвата механизмов безопасности может учитываться доля безопасных сбоев части аппаратного средства. В этом случае вычисление охвата выполняется аналогично расчету метрики одиночного сбоя, но на уровне части аппаратного средства, а не на уровне устройства.

9.4.1.4 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Интенсивности отказов для частей аппаратных средств, используемых в анализе, должны оцениваться в соответствии с требованиями 8.4.3.

9.4.2 Оценка вероятностной метрики случайных отказов аппаратных средств (PMHF)

9.4.2.1 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Количественные целевые значения требований 9.4.2.2 или 9.4.2.3 выражаются в терминах средней вероятности в час в течение срока службы устройства.

Примечания

1 Интенсивность отказов и средняя вероятность отказов в час в течение срока службы устройства являются разными величинами, даже если они измеряются в одних и тех же единицах.

2 Срок службы включает в себя только часы эксплуатации.

9.4.2.2 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. В соответствии с требованиями 6.4.5 ИСО 26262-4 количественные целевые значения максимальной вероятности недостижения каждой цели безопасности на уровне устройства из-за случайных отказов аппаратных средств должны быть определены с использованием одного из следующих источников рекомендуемых целевых значений:

a) таблицы 6;

b) эксплуатационных данных устройств, созданных на основе аналогичных хорошо зарекомендовавших себя принципов проектирования;

c) количественных методов анализа, применяемых для аналогичных хорошо зарекомендовавших себя принципов проектирования с использованием значений интенсивности отказов в соответствии с 8.4.3.

Примечания

1 Количественные целевые значения, полученные по перечислениям a), b) или c), не имеют абсолютного значения, но они полезны только для сравнения нового проекта с существующими. Они предназначены обеспечить достижение целей проекта, описанных в 9.1, а также предоставить доказательство того, что проект соответствует целям безопасности.

2 Два проекта аналогичны, если имеют схожие функциональные возможности и аналогичные цели безопасности с теми же значениями УПБТС.

3 Если другой источник, доступный для определения целевого значения случайного отказа аппаратного средства отсутствует, то, как правило, используют таблицу 6.

4 Значения, приведенные в таблице 6, предназначены для устройств, состоящих из одной системы (например, системы управления двигателем, электронной системы контроля устойчивости, системы рулевого управления с электроусилителем, системы управления подушками безопасности).

5 Целевые значения, приведенные в таблице 6, соответствуют справочным данным, которые признаны консервативными. Если оценка недостижения целей безопасности из-за случайных отказов аппаратных средств выполняется на основе статистических данных (например, на основе эксплуатационных данных), то целевые значения, приведенные в таблице 6, могут быть адаптированы, чтобы избежать искусственного упрощения при достижении целевых значений.

Таблица 6 - Возможный источник для вывода целевых значений случайных отказов аппаратных средств

 

 

УПБТС

Целевые значения случайных отказов аппаратных средств

D

<10
h
 

C

<10
h
 

B

<10
h
 

Примечание - Количественные целевые значения, представленные в данной таблице, могут быть адаптированы согласно 4.1, чтобы соответствовать конкретному использованию устройства (например, если устройство способно реализовать недостижение цели безопасности за время большее, чем типичное время использования легкового автомобиля).

 

 

9.4.2.3 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Если устройство состоит из нескольких систем, то полученное в соответствии с требованиями 9.4.2.2 целевое значение может быть непосредственно назначено каждой системе, входящей в это устройство. Это можно применять до тех пор, пока каждая из этих систем не сможет обеспечить достижение той же цели безопасности и соответствующее целевое значение устройства не увеличится более чем на один порядок.

Примечания

1 Требование, описанное в 9.4.2.3, может быть использовано, например, для традиционных систем, задействованных в новых функциональностях более высокого уровня (например, новых системах помощи водителю, использующих систему управления двигателем, электронную систему контроля устойчивости, систему рулевого управления с электроусилителем, систему управления подушками безопасности) и достигших такой же цели безопасности в предыдущих разработках.

Пример - Если значение УПБТС цели безопасности, равное D, распределяется в устройстве, состоящем из нескольких систем (до десяти), каждая из которых может не обеспечить достижение этой цели безопасности, то целевое значение 10
/ч может быть назначено каждой системе.
 

2 В приложении G приведен пример назначения значения PMHF в устройстве, состоящем из двух систем.

9.4.2.4 Данное требование распространяется на значения УПБТС (В), С и D цели безопасности. Подтверждение достижения целевых значений согласно требованиям 9.4.2.2 и 9.4.2.3 должен предоставить количественный анализ архитектуры аппаратных средств для одиночного, остаточного и множественного сбоев. Этот количественный анализ должен учитывать:

a) архитектуру устройства;

b) оцененную интенсивность отказов для видов отказов каждой части аппаратного средства, которая может вызвать одиночный или остаточный сбой;

c) оцененную интенсивность отказов для видов отказов каждой части аппаратного средства, которая может вызвать множественный сбой;

d) диагностический охват связанных с безопасностью элементов аппаратных средств механизмами безопасности;

e) продолжительность воздействия в случае множественных сбоев.

Примечания

1 Виды отказов элементов аппаратных средств, которые могут вызвать одновременно отказ связанного с безопасностью элемента аппаратных средств и его механизма безопасности, анализируются количественными методами. Они могут быть одиночными, остаточными или множественными сбоями.

2 Продолжительность воздействия сбоя начинается с момента его возникновения и включает в себя:

- интервал обнаружения множественного сбоя, связанный с каждым механизмом безопасности, или срок службы транспортного средства, если сбой не отображается водителю (скрытый сбой);

- максимальную продолжительность движения (в случае, если водителю предлагается остановиться безопасным способом); и

- средний интервал времени нахождения транспортного средства в автомастерской (в случае, если водитель предупрежден о необходимости ремонта транспортного средства).

Таким образом, продолжительность воздействия зависит от типа используемого мониторинга (например, постоянного мониторинга, периодического самотестирования, водительского мониторинга, отсутствия мониторинга) и вида реакции на обнаруженный сбой. Она может быть равна нескольким миллисекундам в случае непрерывного мониторинга, запускающего переход в безопасное состояние. Она может быть равна сроку службы транспортного средства, если мониторинг отсутствует.

Пример допущений о среднем времени эксплуатации транспортного средства до его ремонта в зависимости от типа сбоя:

- 200 поездок транспортного средства при снижении параметров комфорта;

- 50 поездок транспортного средства при снижении эффективности функций обеспечения вождения;

- 20 поездок транспортного средства при желтом предупреждающем сигнале или при влиянии на функционирование транспортного средства в процессе его вождения;

- одна поездка транспортного средства при красном предупреждающем сигнале.

Время, затраченное на ремонт, как правило, не рассматривается (за исключением оценки опасностей, воздействиям которых может подвергаться обслуживающий персонал).

Среднюю продолжительность поездки транспортного средства можно считать равной:

-1 ч для легковых автомобилей; и

-10 ч для грузовых транспортных средств и автобусов (T&B).

3 В большинстве случаев множественные отказы более второго порядка вносят незначительный количественный вклад в целевые значения. Тем не менее в некоторых конкретных случаях (очень высокая интенсивность отказов или низкий охват диагностикой) необходимо обеспечить два резервных механизма безопасности для достижения цели. Если концепция технической безопасности основана на резервировании механизмов безопасности, то при анализе рассматриваются множественные отказы более второго порядка.

4 В качестве начального шага для определения диагностического охвата, обеспечиваемого запланированными механизмами безопасности, могут использоваться рекомендации, представленные в приложении D. Заявленный диагностический охват обеспечивается надлежащим обоснованием (примеры можно найти в разделе ИСО 26262-10, касающемся оценки интенсивности остаточных отказов, и в приложении А ИСО 26262-11).

5 Как указано в 9.4.2.2, примечание 1, значения PMHF не имеют абсолютного значения, но являются полезными для сравнения нового проекта с существующим.

6 В случае недостижения целевого значения, определенного в 9.4.2.2 или 9.4.2.3, обоснование того, каким образом достигается цель безопасности, будет выполняться в соответствии с 4.2. Это обоснование может основываться:

- на определении факторов, вносящих основной вклад в значение PMHF, и видов отказов, имеющих низкий уровень охвата; и

- обзоре этих факторов, учитывая среди прочих критериев интенсивность отказов, исследования надежности, диагностический охват, охват вида отказов, эксплуатационный опыт, меры по проверке, современный технический уровень и специальные меры (перечень специальных мер см. в 9.4.1.2, примечание 2).

Пример такого обоснования приведен в приложении F.

7 В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней оценка может быть выполнена либо с помощью охвата диагностикой элемента аппаратных средств, либо с помощью более детальной оценки охвата вида отказов.

8 Из-за неопределенностей при вычислении PMHF (например, при вычислении интенсивности отказов, видов отказов, распределения видов отказов, диагностического охвата, отношения безопасных сбоев) его рассчитанное значение может существенно меняться и его интерпретация должна выполняться с особой осторожностью.

9.4.3 Оценка каждой причины недостижения цели безопасности

9.4.3.1 Метод оценки каждой причины недостижения цели безопасности из-за случайных отказов аппаратных средств иллюстрируется блок-схемами на рисунках 3 и 4. Каждый одиночный сбой оценивается с помощью критериев возникновения сбоя. Каждый остаточный сбой оценивается с помощью критериев, объединяющих критерии возникновения сбоя и критерии эффективности механизма безопасности.

На рисунке 4 показана блок-схема процедуры, применяемой для двойных отказов. Сначала оценивается достоверность двойного отказа. Двойной отказ не считается достоверным, если оба сбоя, приводящие к отказу, обнаруживаются или воспринимаются за достаточно короткое время с подходящим охватом. Если двойной отказ является достоверным, то вызывающие его сбои затем оцениваются с использованием критериев, объединяющих возникновение сбоя и охват механизмами безопасности.

 

 

 

     Рисунок 3 - Процедура оценки одиночных и остаточных сбоев

 

 

 

     

Рисунок 4 - Процедура оценки двойных отказов

Если оценка сбоя не соответствует критерию, объединяющему возникновение сбоя и охват механизмами безопасности, то соответствующий двойной отказ может быть оценен по критерию возникновения.

Процедуры оценки, представленные на рисунке 3, применяются на уровне частей аппаратных средств (резисторы, емкости, микропроцессоры и т.д.).

Примечание - Вероятность возникновения двойного отказа оценивают методом количественного анализа (например, FTA, анализ Маркова), описание которого приведено в 9.4.2.4.

9.4.3.2 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Оценка каждого одиночного сбоя, остаточного сбоя и двойного отказа, приводящего к недостижению цели безопасности, должна осуществляться индивидуально на уровне части аппаратного средства. Эта оценка должна предоставить подтверждение, что каждый одиночный сбой, остаточный сбой и двойной отказ, приводящий к недостижению рассматриваемой цели безопасности, является допустимым в соответствии с требованиями 9.4.3.3-9.4.3.13.

Примечания

1 Этот анализ можно рассматривать как анализ сечений, где отсутствие или неполнота охвата рассматривается как сбой.

2 В большинстве случаев множественные отказы более второго порядка вносят незначительный вклад. Тем не менее в некоторых конкретных случаях (очень высокая интенсивность отказов или низкий охват диагностикой) необходимо обеспечить два резервных механизма безопасности. Поэтому если концепция технической безопасности предусматривает резервирование механизмов безопасности, то при анализе необходимо рассмотреть множественные отказы более второго порядка.

3 Если анализ выполняется на уровне подсистемы, то он может учитывать механизмы безопасности системы, реализованные в других подсистемах.

4 Если отсутствует подтверждение о том, что одиночный сбой, остаточный сбой или двойной отказ является допустимым в соответствии с требованиями 9.4.3.3-9.4.3.13, то обоснование достижения цели безопасности будет оцениваться в соответствии с требованиями 4.2. Это обоснование может быть основано на анализе этих сбоев/отказов, учитывая среди прочих критериев интенсивность отказов, результаты анализа надежности, диагностический охват, охват вида отказов, эксплуатационный опыт, меры по верификации, современный технический уровень и специальные меры (перечень специальных мер см. в 9.4.1.2, примечание 2).

Пример такого обоснования приведен в приложении F.

9.4.3.3 Данное требование распространяется на значения УПБТС (В), С и D цели безопасности. Ранжирование классов интенсивности отказов для интенсивности отказов частей аппаратных средств определяется следующим образом:

Примечание - Классы 1, 2 и 3 для интенсивности отказов вводятся для интенсивностей возникновения отказов. Эти классы аналогичны уровням возникновения 1, 2 и 3, используемым в FMEA соответственно, где уровень 1 соответствует видам отказов с самой низкой интенсивностью возникновения.

a) интенсивность отказов, соответствующая интенсивности отказов класса 1, должна быть менее, чем целевое значение УПБТС, равное D, деленное на 100, если не применяются требования 9.4.3.4.

Примечание - Могут быть использованы целевые значения, указанные в таблице 6;

b) интенсивность отказов, соответствующая интенсивности отказов класса 2, должна быть менее или равна увеличенной в 10 раз интенсивности отказов, соответствующей интенсивности отказов класса 1;

c) интенсивность отказов, соответствующая интенсивности отказов класса 3, должна быть менее или равна увеличенной в 100 раз интенсивности отказов, соответствующей интенсивности отказов класса 1; и

d) интенсивность отказов, соответствующая интенсивности отказов класса
i
,
i
>3, должна быть менее или равна увеличенной в 10
раз интенсивности отказов, соответствующей интенсивности отказов класса 1.
 

Примечания

1 Назначение класса интенсивности отказов основано на интенсивности отказов части аппаратного средства без учета эффективности механизмов безопасности.

2 В случае, когда небольшое число частей (таких, как внутренние полупроводниковые компоненты) имеют интенсивность отказов выше, чем верхний предел интенсивности отказов класса i, то этим частям может быть назначен класс i интенсивности возникновения отказов, если результирующая средняя интенсивность отказов частей, которым назначен класс i, ниже, чем верхний предел интенсивности отказов класса i.

9.4.3.4 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. При ранжировании классов интенсивностей отказов может быть использован делитель, отличный от числа 100, если предоставляется обоснование. В этом случае должна быть обеспечена корректность ранжирования при рассмотрении одиночных сбоев, остаточных сбоев и сечений более высокого уровня.

Пример - Обоснование может быть основано на количестве минимальных сечений либо на количестве связанных с безопасностью элементов технического средства.

9.4.3.5 Данное требование распространяется на значения УПБТС (В), С и D цели безопасности. Одиночный сбой, возникающий в части аппаратного средства, рассматривается допустимым только в том случае, если в результате ранжирования класс интенсивности отказов этой части аппаратного средства удовлетворяет требованиям для целевых значений, приведенных в таблице 7.

Таблица 7 - Целевые значения классов интенсивности отказов частей аппаратных средств для одиночных сбоев

 

 

УПБТС цели безопасности

Класс интенсивности отказов

D

Класс 1 интенсивности отказов + специальные меры
 

C

Класс 2 интенсивности отказов + специальные меры
или класс 1 интенсивности отказов
 

B

Класс 2 интенсивности отказов или класс 1 интенсивности отказов

Примеры специальных мер приведены в требовании 9.4.1.2, примечание 2.
 

 

Примечание - При определении класса интенсивности отказов можно рассмотреть долю безопасных сбоев для части аппаратного средства.

9.4.3.6 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Остаточный сбой, возникающий в части аппаратного средства, считается допустимым, если в результате ранжирования класс интенсивности отказов этой части аппаратного средства соответствует целевым значениям, приведенным в таблице 8, при различных значениях охвата диагностикой (для остаточных сбоев).

Примечание - Рассматриваемая интенсивность отказов является интенсивностью отказов части аппаратного средства и не учитывает эффективность механизмов безопасности.

Таблица 8 - Классы максимальной интенсивности отказов для заданного охвата диагностикой части аппаратного средства (остаточные сбои)

 

 

 

 

 

УПБТС цели безопасности

Охват диагностикой остаточных сбоев

 

99,9%
 
99%
 
90%
 

<90%

D

Класс 4 интенсивности отказов

Класс 3 интенсивности отказов

Класс 2 интенсивности отказов

Класс 1 интенсивности отказов + специальные меры
 

C

Класс 5 интенсивности отказов

Класс 4 интенсивности отказов

Класс 3 интенсивности отказов

Класс 2 интенсивности отказов + специальные меры
 

B

Класс 5 интенсивности отказов

Класс 4 интенсивности отказов

Класс 3 интенсивности отказов

Класс 2 интенсивности отказов

Примеры специальных мер приведены в требовании 9.4.1.2, примечание 2.
 

 

Примечания

1 Таблица 8 устанавливает связь между классом с максимальной интенсивностью отказов, который позволено задавать целевому значению УПБТС, и охватом диагностикой. Классы с более низкой интенсивностью отказов являются приемлемыми, но не необходимыми.

2 Классы с более низкой интенсивностью отказов означают классы интенсивности отказов с более низким номером. Например, классы с более низкой интенсивностью отказов для класса 3 интенсивности отказов означают классы 2 и 1 интенсивности отказов.

3 Доля безопасных сбоев части аппаратного средства может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики одиночного сбоя, но на уровне части аппаратного средства, а не на уровне устройства.

9.4.3.7 Данное требование распространяется на значения УПБТС (B),CС и D цели безопасности. Для классов интенсивности отказов
i
,
i
>3, остаточный сбой считается допустимым, если охват диагностикой более или равен
% для значения УПБТС, равного D, или более или равен
% для значения УПБТС, равного B и C.
 

Примечания

1 Рассматриваемая интенсивность отказов является интенсивностью отказов части аппаратного средства и не учитывает эффективность механизмов безопасности.

2 Доля безопасных сбоев части аппаратного средства может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики одиночного сбоя, но на уровне части аппаратного средства, а не на уровне устройства.

9.4.3.8 Данное требование распространяется на значение УПБТС D цели безопасности. Двойной отказ считается правдоподобным, если:

a) одна или обе участвующие части аппаратного средства имеют охват диагностикой (для скрытых сбоев) менее 90%; или

b) один из двойного сбоя, вызывающего двойной отказ, остается скрытым в течение времени, превышающего интервал обнаружения множественного сбоя, как определено в 6.4.8.

Примечание - Доля безопасных сбоев части аппаратного средства может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики скрытого сбоя, но на уровне части аппаратного средства, а не на уровне устройства.

9.4.3.9 Данное требование распространяется на значение УПБТС С цели безопасности. Двойной отказ считается правдоподобным, если:

a) одна или обе участвующие части аппаратного средства имеют охват диагностикой (для скрытых сбоев) менее 80%; или

b) один из двойного сбоя, вызывающего двойной отказ, остается скрытым в течение времени, превышающего интервал обнаружения множественного сбоя, как определено в 6.4.8.

Примечание - Доля безопасных сбоев части аппаратного средства может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики скрытого сбоя, но на уровне части аппаратного средства, а не на уровне устройства.

9.4.3.10 Данное требование распространяется на значения УПБТС C и D цели безопасности. Двойной отказ, который является неправдоподобным, считается соответствующим целевому значению цели безопасности и, следовательно, допустимым.

9.4.3.11 Данное требование распространяется на значения УПБТС C и D цели безопасности. Двойной сбой, возникающий в части аппаратного средства и способствующий возможному двойному отказу, считается допустимым, если полученный в результате ранжирования класс интенсивности отказов для этой части аппаратного средства соответствует целевым значениям и охвату диагностикой (для скрытых сбоев), приведенным в таблице 9.

Примечание - Рассматриваемая интенсивность отказов является интенсивностью отказов части аппаратного средства. Таким образом, она не рассматривает эффективность механизмов безопасности.

Таблица 9 - Целевые значения класса интенсивности отказов и охвата диагностикой части аппаратного средства для двойных сбоев

 

 

 

 

УПБТС цели безопасности

Охват диагностикой скрытых сбоев

 

99%
 
90%
 

<90%

D

Класс 4 интенсивности отказов

Класс 3 интенсивности отказов

Класс 2 интенсивности отказов

C

Класс 5 интенсивности отказов

Класс 4 интенсивности отказов

Класс 3 интенсивности отказов

 

Примечания

1 Таблица 9 устанавливает связь между классами с максимальной интенсивностью отказов, которые позволено задавать целевому значению УПБТС, и достигаемым уровнем охвата диагностикой. Классы с более низкой интенсивностью отказов являются приемлемыми, но не необходимыми.

2 Классы с более низкой интенсивностью отказов означают классы интенсивности отказов с более низким номером. Например, классы с более низкой интенсивностью отказов для класса 3 интенсивности отказов означают классы 2 и 1 интенсивности отказов.

3 Доля безопасных сбоев части аппаратного средства может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики скрытого сбоя, но на уровне части аппаратного средства, а не на уровне устройства.

4 Настоящее требование применимо, если оба двойных сбоя, способствующих возможному двойному отказу, могут возникнуть в одной и той же части аппаратного средства.

Пример - Механизм безопасности "контроль по четности" находится в части аппаратного средства - в памяти с произвольным доступом (ППД). Поэтому оба двойных сбоя, способствующих возможному двойному отказу, сбой в ячейке ППД и сбой в механизме контроля по четности, находятся в одной части аппаратного средства ППД. Для того, чтобы оба двойных сбоя были признаны допустимыми, аппаратная часть ППД должна соответствовать целевым значениям класса интенсивности отказов и диагностическому охвату, указанным в таблице 9.

9.4.3.12 Данное требование распространяется на значения УПБТС С и D цели безопасности. Для классов интенсивности отказов
i
,
i
>3, двойной сбой, способствующий возможному двойному отказу, считается допустимым, если значение охвата диагностикой более или равно
% для значения УПБТС, равного D, или более или равно
% для значения УПБТС, равного С.
 

9.4.3.13 Данное требование распространяется назначения УПБТС С и D цели безопасности. Если требования 9.4.3.11 или 9.4.3.12 не могут быть выполнены, то возможный двойной отказ считается допустимым, если вероятность его возникновения, выраженная в терминах средней вероятности в час в течение срока службы устройства, менее или равна:

a) десятой части значения, соответствующего классу 1 интенсивности отказов, для цели безопасности с УПБТС, равным D; и

b) десятой части значения, соответствующего классу 2 интенсивности отказов, для цели безопасности с УПБТС, равным С.

9.4.4 Верификационная оценка

Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Должна быть выполнена верификационная оценка результатов анализа, полученных в соответствии с набором требований 9.4.2 или 9.4.3, для того чтобы предоставить подтверждение его технической корректности и полноты в соответствии с требованиями раздела 9 ИСО 26262-8.

 

      9.5 Результаты работы

9.5.1 Анализ недостижения цели безопасности в результате случайных отказов аппаратных средств

В результате выполнения требований 9.4.2 или 9.4.3.

9.5.2 Спецификация специальных мер для аппаратных средств

При необходимости, в том числе обоснование эффективности специальных мер в результате выполнения требований 9.4.1.2 и 9.4.1.3.

9.5.3 Отчет о верификационной оценке недостижения цели безопасности в результате случайных отказов аппаратных средств

В результате выполнения требований 9.4.4.

 

      10 Интеграция и верификация аппаратных средств

     

 

      10.1 Цели

Целью настоящего раздела является обеспечение соответствия разработанных аппаратных средств требованиям их безопасности.

 

      10.2 Общие положения

Целью положений, описанных в настоящем разделе, являются интеграция элементов аппаратных средств и верификация соответствия проекта аппаратных средств требованиям их безопасности для соответствующего УПБТС.

Интеграция и верификация аппаратных средств отличаются от деятельности по оценке элементов аппаратных средств, описанной в разделе 13 ИСО 26262-8, которая предоставляет для элементов аппаратных средств подтверждение пригодности их использования в качестве частей устройств, систем или элементов, разработанных в соответствии с ИСО 26262.

 

      10.3 Входная информация

10.3.1 Предварительные требования

Должна быть доступна следующая информация:

- спецификация требований безопасности аппаратных средств в соответствии с 6.5.1;

- спецификация проекта аппаратных средств в соответствии с 7.5.1.

10.3.2 Дополнительная информация

Может быть учтена следующая информация:

- отчет по анализу безопасности аппаратных средств (см. 7.5.2).

 

      10.4 Требования и рекомендации

10.4.1 Действия по интеграции и верификации аппаратных средств должны быть выполнены в соответствии с требованиями раздела 9 ИСО 26262-8.

10.4.2 Интеграция и верификация аппаратных средств должны быть согласованы со спецификацией стратегии интеграции и тестирования, определенной в 7.4.1 ИСО 26262-4.

Примечание - Если в соответствии с требованиями раздела 5 ИСО 26262-9 применяется декомпозиция УПБТС, то перед ней выполняются соответствующие мероприятия по интеграции декомпозируемых элементов, а также определенные последующие действия.

10.4.3 Части аппаратных средств, связанные с безопасностью, подлежат проверке на соответствие установленным процедурам, основанным на международных стандартах качества или эквивалентных стандартах компании.

Пример - Проверка на соответствие электронных частей выполняется согласно ИСО 16750, или AEC-Q100, или AEC-Q200.

10.4.4 Для подтверждения того, что для выбранных интеграционных испытаний аппаратных средств определены соответствующие тестовые сценарии, эти тестовые сценарии должны быть получены с использованием подходящей комбинации методов, перечисленных в таблице 10.

Таблица 10 - Методы получения тестовых сценариев для испытания интеграции аппаратных средств

 

 

 

 

 

 

Методы

УПБТС

 

A

B

C

D

1a

Анализ требований

++

++

++

++

1b

Анализ внешних и внутренних интерфейсов

+

++

++

++

1c

Генерация и анализ классов эквивалентности
 

+

+

++

++

1d

Анализ граничных значений
 

+

+

++

++

1e

Предугадывание ошибок на основе знаний и опыта
 

++

++

++

++

1f

Анализ функциональных зависимостей

+

+

++

++

1g

Анализ общих предельных эксплуатационных режимов, последовательностей и источников зависимых отказов

+

+

++

++

1h

Анализ состояния внешней среды и эксплуатационных сценариев использования

+

++

++

++

1i

Стандарты, если существуют
 

+

+

+

+

1j

Анализ важных вариантов
 

++

++

++

++

Для того, чтобы эффективно получить необходимые тестовые сценарии, может быть выполнен анализ сходств.
 
Например, значения, приближающиеся к границам и пересекающие границы между определенными значениями, а также значения вне допустимого диапазона.
 
Предугадывание ошибок может быть основано на данных, собранных в процессе обучения, или на экспертной оценке, или на обоих источниках. Допускается использовать FMEA.
 
Существующие стандарты включают в себя ИСО 16750 и ИСО 11452.
 
Анализ важных вариантов включает в себя анализ наихудшего случая.
 

 

10.4.5 Действия по интеграции и верификации аппаратных средств должны включать в себя проверку полноты и корректности реализации требований безопасности аппаратных средств. Для достижения этих целей должны быть рассмотрены методы, перечисленные в таблице 11.

Таблица 11 - Интеграционные тесты аппаратных средств для проверки полноты и корректности реализации требований безопасности аппаратных средств

 

 

 

 

 

 

Методы

УПБТС

 

A

B

C

D

1

Функциональное тестирование
 

++

++

++

++

2

Тестирование методом внесения дефектов
 

+

+

++

++

3

Тестирование электрических параметров
 

++

++

++

++

Функциональное тестирование направлено на проверку достижения устройством заданных характеристик. На вход устройства подаются данные, которые адекватно характеризуют его предполагаемое предписанное функционирование. Выходные данные сравниваются с приведенными в требованиях. Анализируются отклонения от требований и признаки неполноты требований.
 
Более подробную информацию о методе внесения дефектов для полупроводникового компонента см. в 4.8 ИСО 26262-11.
 
Электрические испытания направлены на проверку соблюдения требований безопасности аппаратных средств внутри заданного (статического и динамического) диапазона напряжений. Существующие стандарты включают в себя ИСО 16750 и ИСО 11452.
 

 

10.4.6 Действия по интеграции и верификации аппаратных средств должны включать в себя проверку живучести и надежности аппаратных средств при внешних эксплуатационных негативных воздействиях. Для достижения этих целей должны быть рассмотрены методы, перечисленные в таблице 12.

Таблица 12 - Интеграционные тесты аппаратных средств для проверки живучести, робастности и работы под воздействием внешних негативных воздействий

 

 

 

 

 

 

Методы

УПБТС

 

A

B

C

D

1a

Испытания на воздействие внешних условий при выполнении верификации основных функций
 

++

++

++

++

1b

Расширенное функциональное испытание
 

о

+

+

++

1c

Статистическое испытание
 

о

о

+

++

1d

Испытание на наихудший случай
 

о

о

о

+

1e

Испытание в запредельных условиях
 

+

+

+

+

1f

Механическое испытание
 

++

++

++

++

1g

Ускоренное испытание на долговечность
 

+

+

++

++

1h

Испытание на механическую износостойкости
 

++

++

++

++

1i

Испытание на электромагнитную совместимость и на устойчивость к электростатическим разрядам
 

++

++

++

++

1j

Химические испытания
 

++

++

++

++

Во время испытаний на воздействие внешних условий при выполнении верификации основных функций аппаратные средства помещаются в различные условия внешней среды и оценивается выполнение требований к аппаратным средствам. Может быть применен ИСО 16750-4.
 
Расширенное функциональное испытание проверяет функциональное поведение устройства для редко встречающихся значений входных условий (например, экстремальные значения исходных данных эксплуатации) или находящихся за пределами требований аппаратного средства (например, некорректная команда). В таких ситуациях наблюдаемое функционирование элемента аппаратного средства сравнивается с заданными требованиями.
 
Статистические испытания выполняют проверку элемента аппаратных средств, на вход которого подаются данные, выбранные в соответствии с ожидаемым статистическим распределением реальных исходных данных эксплуатации. Критерии приемлемости определяются тем, что статистическое распределение результатов подтверждает требуемую интенсивность отказов.
 
При испытании на наихудший случай выполняют проверку ситуаций, выявленных в результате анализа на наихудший случай. В таком испытании условия внешней среды меняются до их максимально допустимых предельных значений, определенных в требованиях. Проверяется соответствующая реакция аппаратных средств и сравнивается с заданными требованиями.
 
При испытании в запредельных условиях элементы аппаратных средств проверяются при экологических или функциональных ограничениях, постепенно увеличивающихся до значений более серьезных, чем для них определено, пока они не перестанут функционировать или не разрушатся. Целью этого испытания является определение запаса робастности тестируемых элементов для требуемых рабочих характеристик.
 
Механическое испытание распространяется на механические свойства, такие как прочность на разрыв. Допускается применить ИСО 16750-3.
 
Ускоренное испытание на долговечность направлено на предсказание поведения в процессе эволюции изделия в нормальных условиях эксплуатации. При ускоренном испытании изделие подвергается более высоким нагрузкам, чем ожидалось в течение его срока службы. Ускоренные испытания основаны на аналитической модели ускорения влияния вида отказов.
 
Целью этих испытаний является определение среднего времени до отказа или максимального числа циклов, которое элемент может выдержать. Испытание может выполняться до отказа или получения повреждения.
 
Для испытаний на электромагнитную совместимость могут быть применены ИСО 7637-2, ИСО 7637-3, ИСО 11452-2 и ИСО 11452-4, а на устойчивость к электростатическим разрядам - ИСО 10605.
 
Для химических испытаний может быть применен ИСО 16750-5.
 

 

 

      10.5 Результаты работы

10.5.1 Спецификация интеграции и верификации аппаратных средств

В результате выполнения требований 10.4.1-10.4.6.

10.5.2 Отчет по интеграции и верификации аппаратных средств

В результате выполнения требований 10.4.1-10.4.6.

Приложение А

(справочное)

 

 Обзор и последовательность выполняемых работ при разработке изделия на уровне аппаратных средств

Таблица А.1 содержит обзор целей, предварительных условий и результатов работы конкретных стадий разработки изделия на уровне аппаратных средств.

Примечание - ИСО 26262-11 содержит рекомендации по настройке результатов работы для интегральных схем.

Таблица А.1 - Обзор разработки изделия на уровне аппаратных средств

 

 

 

 

Раздел

Цели

Предварительные требования

Результаты работы

6 Спецификация требований безопасности аппаратных средств

a) Определить требования безопасности аппаратных средств. Они выводятся из концепции технической безопасности и спецификации архитектуры системы;

 

b) уточнить технические требования к аппаратно-программному интерфейсу (АПИ), разработанные в соответствии с 6.4.7 ИСО 26262-4;

 

c) проверить соответствие требований безопасности аппаратных средств и технических требований к АПИ концепции технической безопасности и спецификации архитектуры системы

- Концепция технической безопасности в соответствии с 6.5.2 ИСО 26262-4;

 

- спецификация архитектуры системы в соответствии с 6.5.3 ИСО 26262-4;

 

- технические требования к АПИ в соответствии с 6.5.4 ИСО 26262-4

6.5.1 Спецификация требований безопасности аппаратных средств (включая квалификационные критерии и критерии тестирования) в результате выполнения требований 6.4.1-6.4.8.

 

6.5.2 Технические требования к АПИ (уточненные) в результате выполнения требований 6.4.10.

 

6.5.3 Отчет о верификации требований безопасности аппаратных средств в результате выполнения требований 6.4.9 и 6.4.11

7 Проектирование аппаратных средств

a) Разработать проект аппаратных средств, который:

 

- поддерживает анализ безопасности,

 

- учитывает результаты анализа безопасности,

 

- соответствует требованиям безопасности аппаратных средств,

 

- соответствует техническим требованиям АПИ,

 

- соответствует спецификации архитектуры системы,

 

- удовлетворяет требуемым свойствам проекта аппаратных средств;

 

b) определить требования и предоставить информацию о функциональной безопасности аппаратных средств для производства, эксплуатации, обслуживания и вывода из эксплуатации;

 

c) проверить:

 

- что проект аппаратных средств может соответствовать требованиям безопасности аппаратных средств и техническим требованиям АПИ;

 

- обоснованность допущений, использованных при разработке каждого элемента безопасности вне контекста (SEooC), интегрированного в разработанное аппаратное обеспечение;

 

- пригодность специальных связанных с безопасностью характеристик для обеспечения функциональной безопасности при производстве и эксплуатации

- Спецификация требований безопасности аппаратных средств в соответствии с 6.5.1;

 

- технические требования к АПИ (уточненные) в соответствии с 6.5.2;

 

- спецификация архитектуры системы в соответствии с 6.5.3 ИСО 26262-4

7.5.1 Спецификация проекта аппаратных средств в результате выполнения требований 7.4.1 и 7.4.2.

 

7.5.2 Отчет по анализу безопасности аппаратных средств в результате выполнения требований 7.4.3.

 

7.5.3 Отчет о верификации проекта аппаратных средств в результате выполнения требований 7.4.4.

 

7.5.4 Спецификация требований к производству, эксплуатации, обслуживанию и выводу из эксплуатации в результате выполнения требований 7.4.5

8 Оценка метрик архитектуры аппаратных средств

Целью настоящего раздела является подготовка обоснования пригодности проекта архитектуры аппаратных средств устройства с использованием метрики архитектуры аппаратных средств для выявления и управления связанными с безопасностью случайными отказами аппаратных средств

- Спецификация требований безопасности аппаратных средств в соответствии с 6.5.1;

 

- спецификация проекта аппаратных средств в соответствии с 7.5.1;

 

- отчет по анализу безопасности аппаратных средств в соответствии с 7.5.2

8.5.1 Анализ эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств в результате выполнения требований 8.4.1-8.4.8.

 

8.5.2 Отчет о верификационной оценке эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств в результате выполнения требований 8.4.9

9 Оценка недостижения цели безопасности вследствие случайных отказов аппаратных средств

Сформировать подтверждение того, что остаточный риск недостижения цели безопасности из-за случайных отказов аппаратных средств устройства является достаточно низким

- Спецификация требований безопасности аппаратных средств в соответствии с 6.5.1;

 

- спецификация проекта аппаратных средств в соответствии с 7.5.1;

 

- отчет по анализу безопасности аппаратных средств в соответствии с 7.5.2

9.5.1 Анализ недостижения цели безопасности в результате случайных отказов аппаратных средств в результате выполнения требований 9.4.2 или 9.4.3.

 

9.5.2 Спецификация специальных мер для аппаратных средств, при необходимости, в том числе обоснование эффективности специальных мер, в результате выполнения требований 9.4.1.2 и 9.4.1.3.

 

9.5.3 Отчет о верификационной оценке недостижения цели безопасности в результате случайных отказов аппаратных средств в результате выполнения требований 9.4.4

10 Интеграция и верификация аппаратных средств

Обеспечить соответствие разработанных аппаратных средств требованиям их безопасности

- Спецификация требований безопасности аппаратных средств в соответствии с 6.5.1;

 

- спецификация проекта аппаратных средств в соответствии с 7.5.1

10.5.1 Спецификация интеграции и верификации аппаратных средств в результате выполнения требований 10.4.1-10.4.6.

 

10.5.2 Отчет по интеграции и верификации аппаратных средств в результате выполнения требований 10.4.1-10.4.6

 

Приложение B

(справочное)

 

 Классификация видов отказов элементов аппаратных средств

Виды отказов элемента аппаратных средств могут быть классифицированы, как показано на рисунке В.1. Блок-схема, представленная на рисунке В.2, описывает, как вид отказа элемента аппаратного средства может попасть в одну из этих классификаций.

 

 

 

     Рисунок B.1 - Классификация видов отказов элементов аппаратных средств

 

 

 

     АС - аппаратные средства

     

     Рисунок B.2 - Пример классификации видов отказов

Примечания

1 Элементы с отказами, которые несущественно увеличивают вероятность недостижения цели безопасности, могут быть исключены из анализа, и их виды отказов могут быть классифицированы как безопасные сбои; например, для элементов аппаратных средств, сбои которых вносят вклад только во множественные отказы порядка n, при n>2, считаются безопасными сбоями, если только эти элементы аппаратных средств не рассматриваются в концепции технической безопасности.

Пример - Часть вида отказов элемента аппаратного средства, которые могут привести к недостижению цели безопасности при отсутствии механизма безопасности и которые охвачены двумя независимыми механизмами безопасности, могут рассматриваться как множественные отказы порядка 3. Их можно считать безопасными, если не будет показано, что они имеют отношение к концепции обеспечения безопасности.

2 Один и тот же сбой может быть отнесен к различным классам при рассмотрении различных целей безопасности.

Приложение C

(справочное)

 

 Метрики архитектуры аппаратных средств

     

C.1 Классификация сбоев и их охват диагностикой

C.1.1 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Метрики архитектуры аппаратных средств должны быть определены для аппаратных средств устройства и только для связанных с безопасностью элементов аппаратных средств, у которых существует возможность внести существенный вклад в недостижение цели безопасности.

Пример - Элементы аппаратных средств, множественные сбои которых порядка n, при n>2, могут быть исключены из расчетов, если они не рассматриваются в концепции технической безопасности.

C.1.2 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Каждый сбой, происходящий в связанном с безопасностью элементе аппаратного средства, должен быть классифицирован в соответствии с рисунком B.1 как:

a) одиночный сбой;

b) остаточный сбой.

Пример - Элемент аппаратного средства может иметь сбои "обрыв цепи", "короткое замыкание на массу" и "короткое замыкание на линию высокого напряжения", но только сбои "обрыв цепи" и "короткое замыкание на массу" охватываются механизмами безопасности. Сбой "короткое замыкание на линию высокого напряжения" является остаточным сбоем, так как он не охватывается механизмом безопасности, если он приводит к недостижению заданной цели безопасности;

c) множественный сбой.

Примечание - Классификация множественных сбоев должна различать скрытые, выявляемые и воспринимаемые сбои;

d) безопасный сбой.

Рисунок C.1 дает графическое представление классификации сбоев, связанных с безопасностью элементов аппаратных средств устройства.

 

 

 

     Рисунок C.1 - Классификация сбоев, связанных с безопасностью элементов аппаратных средств устройства

В этом графическом представлении:

- расстояние n представляет собой число независимых одновременно присутствующих сбоев, вызывающих недостижение цели безопасности (n=1 для одиночного или остаточного сбоя, n=2 для двойного сбоя и т.д.);

- сбои с расстоянием, равным значению n, расположены в районе между окружностями n и n-1;

- множественные сбои с расстоянием строго более n=2 следует рассматривать как безопасные сбои, если они не рассматриваются в концепции технической безопасности.

Примечание - Кратковременные сбои, для которых механизм безопасности возвращает устройство в исправное состояние, можно рассматривать как выявляемые множественные сбои, даже если водитель никогда не был проинформирован об их существовании.

Пример - В случае использования кода с исправлением ошибок для защиты памяти от кратковременных сбоев устройство будет возвращаться в исправное состояние, если механизм безопасности, кроме передачи корректного значения в ЦП, изменяет значение ошибочного бита на обратное внутри массива памяти (например, путем перезаписи скорректированного значения).

Таким образом, интенсивность отказов
каждого связанного с безопасностью элемента аппаратного средства может быть выражена в соответствии с уравнением C.1 (предполагая, что все сбои независимы и распределены экспоненциально), а именно:
 
,                                               (C.1)
 
где
- интенсивность отказов, связанных с одиночными сбоями элемента аппаратного средства;
 
- интенсивность отказов, связанных с остаточными сбоями элемента аппаратного средства;
 
- интенсивность отказов, связанных с множественными сбоями элемента аппаратного средства;
 
- интенсивность отказов, связанных с безопасными сбоями элемента аппаратного средства.
 
Интенсивность отказов, связанных с множественными сбоями элемента аппаратного средства
, может быть выражена уравнением С.2 следующим образом:
 
,                                                (C.2)
 
где
- интенсивность отказов, связанных с воспринимаемыми или выявляемыми множественными сбоями элемента аппаратного средства;
 
- интенсивность отказов, связанных со скрытыми сбоями элемента аппаратного средства.
 

Интенсивность отказов, связанных с остаточными сбоями, может быть определена с помощью охвата диагностикой механизмов безопасности, которые предотвращают одиночные сбои элемента аппаратного средства. Уравнение C.3 дает консервативную оценку интенсивности отказов, связанных с остаточными сбоями:

,                                  (С.3)
 
где
- расчетная интенсивность отказов, связанных с остаточными сбоями;
 
(также известное как
) - значение охвата диагностикой остаточных сбоев, выраженное в процентах.
 
Примечание - Если известны распределение вида отказов и охват видов отказов, то значение
может быть вычислено следующим образом:
 
,             (С.4)
 
где
- интенсивность отказов, связанная с
i
-м видом отказов связанного с безопасностью элемента аппаратного средства;
 
- доля сбоев
i
-го вида отказа, которые считаются безопасными;
 
- доля сбоев
i
-го вида отказа, которые способны непосредственно привести к недостижению цели безопасности при отсутствии механизма безопасности;
 
- охват вида отказов для
i
-го вида отказов относительно остаточных сбоев.
 

Интенсивность отказов, связанных со скрытыми сбоями, может быть определена с помощью охвата диагностикой механизмов безопасности, которые предотвращают скрытые сбои элемента аппаратного средства. Уравнение С.5 дает консервативную оценку интенсивности отказов, связанных со скрытыми сбоями: