База ГОСТовallgosts.ru » 43. ДОРОЖНО-ТРАНСПОРТНАЯ ТЕХНИКА » 43.040. Системы дорожно-транспортных средств

ГОСТ Р ИСО 26262-2-2014 Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности

Обозначение: ГОСТ Р ИСО 26262-2-2014
Наименование: Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности
Статус: Действует

Дата введения: 05/01/2015
Дата отмены: -
Заменен на: -
Код ОКС: 43.040.10
Скачать PDF: ГОСТ Р ИСО 26262-2-2014 Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности.pdf
Скачать Word:ГОСТ Р ИСО 26262-2-2014 Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности.doc


Текст ГОСТ Р ИСО 26262-2-2014 Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности



ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ


гост р исо 26262-22014


НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

ДОРОЖНЫЕ ТРАНСПОРТНЫЕ СРЕДСТВА. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ

Часть 2

Менеджмент функциональной безопасности

ISO 26262-2:2011

Road vehicles — Functional safety — Part 2: Management of functional safety

(IDT)

Издание официальное

Москва

Стенда ртинформ 2015


Предисловие

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Корпоративные электронные системы» и Федеральным государственным учреждением а Консультационно-внедренческая фирма в области международной стандартизации и сертификации — «Фирма «ИНТЕРСТАНДАРТ» на основе собственного аутентичного перевода на русский язык международногостандарта. указа иною в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 58 «Функциональная безопасность»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии России от 10 июня 2014 г. № 521-ст

4    Настоящий стандарт идентичен международному стандарту ИСО 26262-2:2011 «Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности» (ISO 26262-2:2011 «Road vehicles — Functional safety —Part 2: Management of functional safety»).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р1.5 (подраздел 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов и документов соответствующие им национальные стандарты, сведения о которых приведены вдополнитепьиом приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0—2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется е ежегодном (по состоянию на 1 января текущего года) информационном указателе *Национальные стандарты», а официальный текст изменении и поправок — е ежемесячном информационном указателе «Национальные стандарты» . В случае пересмотра (замены^ или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет )

€> Стандартинформ. 2015

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

и

Содержание

6    Управление созданием системы безопасности на стадиях формирования концепции и разработки

Приложение А (справочное) Обзор и последовательность выполняемых работ менеджмента

Приложение Е (справочное) Пример программы оценки функциональной безопасности

(для устройств, цепь системы безопасности которых имеет значение УПБА.

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

in

Введение

Комплекс стандартов ИСО 26262 является адаптацией комплекса стандартов МЭК 61508 и предназначен для применения электрических и/или электронных (Э/Э) систем в дорожно-транспортных средствах.

Эта адаптация распространяется на все виды деятельности в процессе жизненного цикла систем, связанных с безопасностью, включающих электрические, электронные и программные компоненты.

Безопасность является одним из важнейших вопросов в автомобилестроении. Создание новых функциональных возможностей не только в таких системах, как содействие водителю, силовые установки. управление динамикой автомобиля, но и в активных и пассивных системах безопасности тесно связано с деятельностью по проектированию систем безопасности. Разработка и интеграция этих функциональных возможностей повышает необходимость использования процессов разработки систем безопасности и обеспечения доказательств того, что все обоснованные цели системы безопасности выполнены.

С ростом сложности технологий, программного обеспечения и мехатронных устройств увеличиваются риски, связанные с систематическими отказами и случайными отказами оборудования. Чтобы предотвратить эти риски, комплекс стандартов ИСО 26262 включает соответствующие требования и процессы.

Безопасность системы достигается за счет ряда мер безопасности, которые реализуются с применением различных технологий (например, механических, гидравлических, пневматических, электрических. электронных, программируемых электронных) и применяются на различных уровнях процесса разработки. Несмотря на то. что настоящий стандарт касается функциональной безопасности ЭУЭ систем. подход, рассматриваемый в настоящем стандарте, может быть использован для разработки связанных с безопасностью систем, основанных на других технологиях. Настоящий стандарт:

a)    обеспечивает жизненный цикл систем безопасности автомобиля (менеджмент, разработку, производство, эксплуатацию, обслуживание, вывод из эксплуатации) и поддерживает адаптацию необходимых действий для выполнения этих стадий жизненного цикла:

b)    обеспечивает разработанный специально для автотранспорта основанный на риске подход для определения уровней полноты безопасности (уровни полноты безопасности автомобиля (УПБА)]:

c)    использует значения УПБА при спецификации соответствующих требований, чтобы предотвратить неоправданный остаточный риск:

d)    устанавливает требования к мерам проверки соответствия и подтверждения, которые обеспечивают достижение достаточного и приемлемого уровня безопасности.

e)    устанавливает требования к взаимодействию с поставщиками.

На функциональную безопасность ел ияют процессы разработки (в том числе спецификация требований. реализация, внедрение, интеграция, верификация, подтверждение соответствия и управление конфигурацией), процессы производства и обслуживания, а также процессы управления.

Вопросы безопасности тесно связаны с любыми опытно-конструкторскими работами, реализующими функционал и обеспечивающими качество создаваемых изделий, а также с результатами таких работ. Настоящий стандарт рассматривает связанные с безопасностью проблемы, касающиеся опытно-конструкторских работ и их результатов.

На рисунке 1 показана общая структура комплекса ИСО 26262. В нем для различных стадий разработки изделия используется эталонная V-модель процесса. На рисунке 1:

•    залитая область в виде символа «V» представляет взаимосвязь между ИСО 26262-3. ИСО 26262-4. ИСО 26262-5. ИСО 26262-6 и ИСО 26262-7:

•    ссылки на конкретную информацию даны в виде: «ш-п*. где «т» представляет собой номер части настоящего стандарта, а «п» указывает на номер раздела этой части.

Пример — 2-6 ссылается на пункт 6 ИСО 26262-2.

<


2. Управление функциональной безопасностью

2-5 Общее управление системой безопасности

24 Управление системой безопасности на стадиях формировщик концепции и разработки изделия

2-7 Управление системой безопасности после запуска устройства в производство


3. Стадия формирования концепции


1-6 Определено устройства


3-6 Форсированно жюнсююго цикла скст осы безопасности


3*7 Анагмз опасностей и о иена риска


3-8 Концетюия фу ни иона пь ной безопасности


I    4. Разработка изделия на уровне системы

f

4-6 неча/ьиая подстадия разработки надетые ма уровне систешн

4-11 Запуск а проювадстао

4-10 Оиемьа фунаиоиать*о*«

безопасности

4-6 Спецификация технических требоватыи к системе безопасности

4-9 Под»аер*ле>ые соответствия

ое опасности

I 4.7 Просстироещио системы

4-6 Hmeipdiare а тестирование устройства

1 S. Разработка изделия на уровне' аппаратного обеспечения

’ '6. Разработка изделия на уровне' программного обеспечения

5-5 Начальная под стад «я разработки миопия на уровне аппаратного

6-5 Начальная подстадмя разработки программного обослечомте издегыя

обеспечения

5-6 Спесжфикадо требованм*

к anno ратный средствам системы безопасное ги

5-7 лроегтфоааиие аппаратах средств

6-7 проектирование архитектуры программного обоегтвчоюте

6-8 Проектирование и рвали эа<*те модулей греграм много обеспечения

5-8 Определение метрик архитектуры аппаратных средств

6-9 тестирование модуля программного сбаапечемте

5-6 Оценка к«рушем»ы цели безопасности о следствие случайных

6-10 Интеграция и тестироещие программного обеаг*ме»««я

отч&юе аппаратных средств

]

6-11 Вврифисащтя требовании

S-Ю Интеграция и тестирование аппаратных средств

]

1 » 1

к безопасности программного обеспечения


8-6 Интерфейсы внутри распре деле* тых разработок д>Сле«*ф» ^    '    *


7. Производство и эксплуатация

7-S Прсизеедспо


7-в Эксплу<пв1*я о6слуии«еи1е

|(калмтшьи«<й и текущий ремонт) и смятие с эксплуатации


6. Вспомогательные процессы


8-6 Спецификация и управле»ые требоеамняьы безопасноете

8-7 управление конфигурацией    .....

в-в Управление измвметыями


IMSflg


ж каймя


ГЖТ-Тт'та


монтирование


[ё-И Уверенность виспопьзоаанкы имструмщтагьиоте лротраьвыопо обеспечен*»]


жкзциа компонентой программного обеспечите


8-13 Квалификация компонентов аппврапых средств


8-14 Подтвесждвт—е проверкой в эксплуетаьми


9, Анализ уровня полноты безопасности автомобиля и анализ безопасности автомобиля


9*5 Де»омлсоиц>«« требований с распределением УПЬА

9-7 Анализ ззвиегмыж огхаюе

9-6 Критерий совместимости алемеитов

9-8 Дна ли) системы безопасности


10. Руководящие указания по ИСО 26262


Рисунок 1 — Обща пет руст ура ИСО 26262


ГОСТ Р ИСО 26262-2-2014


НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ДОРОЖНЫЕ ТРАНСПОРТНЫЕ СРЕДСТВА. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ

Часть 2

Менеджмент функциональной безопасности Road vehicles — Functional safety — Pan 2: Management of functional safety

Дата введения — 201S—OS—01

1    Область применения

Настоящий стандарт применяется к связанным с безопасностью системам, включающим в себя одну или несколько электрических и/или электронных (Э/Э) систем, которые установлены в серийно производимых легковых автомобилях с максимальной массой (брутто) транспортного средства до 3500 кг. Настоящий стандарт не применяется для уникальных Э/Э систем в транспортных средствах специального назначения, таких как транспортные средства, предназначенные для водителей с ограниченными возможностями.

Системы и их компоненты, находящиеся в производстве или на стадии разработки до даты публикации настоящего стандарта, не входят в его область применения. Если разрабатываемые автомобили или их модификации используют системы и их компоненты, выпущенные до публикации настоящего стандарта, то только модификации этих систем должны быть разработаны в соответствии с настоящим стандартом.

Настоящий стандарт рассматривает возможные опасности, вызванные некорректным поведением Э/Э связанных с безопасностью систем, а также некорректным взаимодействием этих систем. Настоящий стандарт не рассматривает опасности, связанные с поражением электрическим током, возгоранием, задымлением, перегревом, излучением, токсичностью, воспламеняемостью, химической активностью, коррозией, и подобные опасности, если они непосредственно не вызваны некорректным поведением Э/Э связанных с безопасностью систем.

Настоящий стандарт не рассматривает номинальные рабочие характеристики Э/Э систем, даже если для таких систем существуют стандарты, посвященные их функциональным рабочим характеристикам (например, активные и пассивные системы безопасности, тормозные системы, адаптивный круиз-контроль).

Настоящий стандарт устанавливает требования к управлению функциональной безопасностью для автомобильной промышленности, в том числе следующие:

•    независимые от проекта требования к участвующим органиэациям (общее управление системой безопасности) и

•    связанные с проектом требования к управлению действиями в процессе жизненного цикла системы безопасности (т. е. управление на стадиях формирования концепции и разработки изделия, а также после его запуска в производство).

2    Нормативные ссылки

6 настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ИСО 26262-1:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 1. Термины и определения (ISO 26262-2:2011. Road vehicles — Functional safety — Part 1: Vocabulary)

Издание официальное

ИСО 26262-3:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции (ISO 26262-3:2011. Road vehicles — Functional safety —Pari 3: Concept phase)

ИСО 26262-4:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 4. Разработка изделия на уровне системы (ISO 26262-4:2011. Road vehicles — Functional safety — Part 4: Product development at the system level)

ИСО 26262-5:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 5. Разработка технических средств изделия (ISO 26262-5:2011. Road vehicles — Functional safety — Part 5: Product development at the hardware level)

ИСО 26262-6:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 6. Разработка программного обеспечения изделия (ISO 26262-6:2011, Road vehicles — Functional safety — Part 6: Product development at the software level)

ИСО 26262-7:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 7. Производство и эксплуатация (ISO 26262-7:2011. Road vehicles — Functional safety — Part 7: Production and operation)

ИСО 26262-6:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 8. Вспомогательные процессы (ISO 26262-8:2011. Road vehicles — Functional safety — Part 8: Supporting processes)

ИСО 26262-9:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 9. Анализ уровня полноты безопасности автомобиля и анализ безопасности автомобиля (ISO 26262-9:2011. Road vehicles — Functional safety — Part 9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses)

3    Термины, определения и сокращения

В настоящем стандарте применены термины, определения и сокращения по ИСО 26262-1.

4    Требования соответствия настоящему стандарту

4.1    Общие требования

Для соответствия настоящему стандарту должно быть выполнено каждое его требование, если для этого требования не выполняется одно из следующих условий:

a)    в соответствии с настоящим стандартом предусмотрена настройка действий по обеспечению безопасности, поэтому данное требование не применяется, или

b)    существует обоснование того, что несоблюдение данного требования допустимо, а также показано соответствие этого обоснования настоящему стандарту.

Информация, обозначенная как «примечанием или * пример», должна использоваться только для понимания или для уточнения соответствующего требования, и не должна толковаться как самостоятельное требование или быть для него полной или исчерпывающей.

Результаты действий по обеспечению безопасности представлены как результаты работы. В пунктах «Предварительные требованиям перечисляется информация, которая должна быть доступна как результат работы предыдущей стадии. Так как некоторые требования разделов настоящего стандарта зависят от УПБА или могут быть адаптированы, то некоторые результаты работы в качестве предварительных условий могут не понадобиться.

В пунктах «Дополнительная информациям содержится информация, которую можно учитывать, но которой в некоторых случаях настоящий стандарт не требует, чтобы она была результатом работы предыдущей стадии. Такая информация можетбыть доступна из внешних источников, от лиц илиоргани-эаций. которые не несут ответственность за деятельность по обеспечению функциональной безопасности.

4.2    Интерпретация таблиц

В настоящем стандарте используются нормативные или справочные таблицы в зависимости от их контекста. Перечисленные в таблице различные методы вносят вклад в уровень уверенности в достижении соответствия с рассматриваемым требованием. Каждый метод в таблице включен либо в

а) последовательный список методов (он обозначен порядковым номером в левой колонке, например. 1.2.3). или

Ь) альтернативный список методов (он обозначен номером с последующей буквой в левом столбце. например. 2а. 26.2в).

В случае последовательного списка должны применяться все методы согласно рекомендациям для соответствующего значения УПБА. Если будут применяться другие методы, отличные от перечисленных. то должно быть дано обоснование, что они удовлетворяют соответствующим требованиям.

8 случае альтернативного списка должна применяться подходящая комбинация методов в соответствии с указанным значением УПБА независимоот того, перечислены в таблице эти комбинации или нет. Если перечисленные методы имеют разные степени рекомендуемости их применения для некоторого значения УПБА. то следует отдать предпочтение методам с более высокой степенью рекомендуемости. Должно быть дано обоснование, что выбранная комбинация методов выполняет соответствующее требование.

Примечание — Обоснование, основанное на методах, перечисленных в таблице, валяется достаточным. Но это не означает, что существует какое-то предубеждение за или против применения методов, не перечисленных в таблице.

Для каждого метода степень рекомендуемости его применения зависит от значения УПБА и классифицируется следующим образом:

- в ♦ ♦ * означает, что метод очень рекомендуется для определенного значения УПБА.

•    в ♦» означает, что метод рекомендуется для определенного значения УПБА:

•    вО» означает, что метод не имеет рекомендации за или против его применения для определенного значения УПБА.

4.3 Трвбования и рекомендации, зависимые от значения УПБА

Требования или рекомендации каждого подраздела должны соблюдаться для значений УПБА А. В. С и О. если не указано иное. Эти требования и рекомендации связаны со значениями УПБАцели безопасности. Если в соответствии с требованиями раздела 5 ИСО 26262-S декомпозиция УПБАбыла выполнена на более ранней стадии разработки, то значения УПБА. полученные в результате декомпозиции, должны соблюдаться.

Если в настоящем стандарте значение УПБА дается в круглых скобках, то соответствующий подпункт должен рассматриваться как рекомендация, а не требование для этого значения УПБА. Это не относится к круглым скобкам в нотации, связанной с декомпозицией УПБА.

5 Общие требования к управлению созданием системы безопасности

5.1    Цель

Целью настоящего раздела является определение требований к организациям, которые отвечают за реализацию жизненного цикла систэмы безопасности или которые выполняют мероприятия по обеспечению безопасности на различных стадиях жизненного цикла системы безопасности.

Полученная в соответствии с настоящим разделом информация служит в качестве предварительных требований к действиям, выполняемым на различных стадиях жизненного цикла системы безопасности.

5.2    Общие положения

5.2.1 Краткое описание жизненного цикла системы безопасности

Представленный в настоящем стандарте жизненный цикл системы безопасности (см. рисунок 2) включает в себя основные мероприятия по обеспечению безопасности на стадиях формирования концепции. разработки, производства, эксплуатации, обслуживания и вывода из эксплуатации. Планирование. координация и документирование деятельности по обеспечению безопасности на всех стадиях жизненного цикла систем безопасности являются ключевыми задачами управления.

На рисунке 2 представлена рекомендуемая модель жизненного цикла системы безопасности. Допускается адаптация жизненного цикла системы безопасности, в том числе и итерация между подстадиями.

примечания

1    Действия ив стадиях формирования концепции и разработки изделия, а также после запуске а производство подробно описаны в ИСО 26262-3 (стадия формирования концепции). ИСО 26262-4 (разработка изделия не системном уровне). ИСО 26262-S (разработка технических средств изделия). ИСО 26262-6 (разработка программного обеспечения изделия) и ИСО 26262-7 (производство и эксплуатация).

2    Таблица А.1 содержит обзор целей, предварительных требований и результатов работы конкретных стадий при реализации управления функциональной безопасностью.

Примечание — Не рисунке конкретные разделы каждой части на стояще го с тан да рте указаны следующим образом: «m-ла.где «т» представляет собой номер части настоящего стандарта, а «л» указывает ив номер ее раздела, например. 3-6 представляет раздел 6 ИСО 26262-3.

Рисунок 2 — Жизненный цикл системы безопасности

5.2.2 Пояснения к жизненному циклу системы безопасности

Настоящий стандарт устанавливает требования для конкретных стадий и подстадий жизненного цикла системы безопасности, а также включает в себя требования, которые применяются к нескольким или ко всем стадиям жизненного цикла систем безопасности, такие как требования к управлению функциональной безопасностью.

Основными задачами управления являются планирование, координация и отслеживание деятельности. связанной с функциональной безопасностью. Эти задачи управления распространяются на все стадии жизненного цикла систем безопасности. В настоящем стандарте приведены требования к управлению функциональной безопасностью, которые можно разделить на:

•    общее управление системой безопасности (см. настоящий раздел);

•    управление системой безопасности на стадии формирования концепции и разработки изделия (см. раздел 6);

•    управление системой безопасности после запуска устройства в производство (см. раздел 7).

Ниже дано объяснение определений различных стадий и подстадий жизненного цикла системы

безопасности, а также других ключевых понятий:

а) Подстадия определения устройства.

Для формирования жизненного цикла устройства обеспечения безопасности необходимо разработать описание, включающее его функциональность, интерфейсы, условия окружающей среды, правовые требования, известные опасности и т. д. Кроме того, определяются основные размеры устройства и его интерфейсы, а также предположения, связанные с другими устройствами, элементами, системами и компонентами (см. раздел 5 ИСО 26262-3).

b)    Подстадия формирования жизненного цикла системы безопасности.

На основании определения устройства обеспечения безопасности формируется его жизненный цикл либо для новой разработки такого устройства, либо для модификации существующего устройства.

Если модифицируется существующее устройство, то используются результаты анализа влияния для адаптации жизненного цикла системы безопасности (см. раздел 6 ИСО 26262-3).

c)    Подстадия анализа опасностей и оценки рисков.

После формирования жизненного цикла системы безопасности выполняется анализ опасностей и оценка рисков, как указано в разделе 7 ISO 26262-3. Во-первых, с помощью метода анализа опасностей и оценки рисков оценивают вероятность воздействия, управляемости и тяжести опасных событий на устройство, все вместе эти параметры определяют значения УПБА опасных событий. Во-вторых, с помощью метода анализа опасностей и оценки рисков определяют цепи безопасности для устройства, которые становятся для устройства требованиями безопасности верхнего уровня. Определенные для опасных событий значения УПБА назначаются соответствующим целям безопасности.

На последующих стадиях и подстадиях из цепей безопасности получают детальные требования безопасности. Эти требования безопасности наследуют значения УПБА соответствующих целей безопасности.

d)    Подстадия формирования концепции функциональной безопасности.

На основе цепей безопасности специфицируется концепция функциональной безопасности (см. раздел 8 ИСО 26262-3) с учетом рассмотрения предварительных предположений архитектуры. Концепция функциональной безопасности определяется функциональными требованиями к системе безопасности. которые распределяются элементам устройства. Концепция функциональной безопасности может также рассматривать устройства, выполненные на основе других технологий, или интерфейсы с внешними мерами, при условии, что для их предполагаемого поведения может быть выполнено подтверждение соответствия (см. раздел 9 ИСО 26262-4). Реализация устройств, выполненных на основе других технологий, не входит в область применения настоящего стандарта, а осуществление внешних мер не входит в область применения разработки устройства.

e)    Стадия разработки изделия на уровне системы.

Как указано в ИСО 26262-4. после появления специфицированной концепции функциональной безопасности устройство разрабатывается на уровне системы. Процесс разработки на уровне системы основан на концепции V-модели со спецификацией технических требований обеспечения безопасности. разработкой архитектуры системы, разработкой и реализацией системы на левой ветви V-модели и с интеграцией, верификацией и подтверждением соответствия на правой ветви V-модели.

На данной стадии также специфицируется аппаратно-программный интерфейс.

На рисунке 1 представлен обзор подстадий разработки изделия на уровне системы.

Разработка изделия на уровне системы включает в себя задачи подтверждения соответствия действий, выполняемых на других стадиях жизненного цикла системы безопасности, в том числе:

•    подтверждение соответствия аспектов концепции функциональной безопасности, которые реализуются на основе других технологий;

•    подтверждение соответствия предположений об эффективности и производительности внешних

мери

- подтверждение соответствия предположений о реакции человека, включая управляемость и задачи эксплуатации.

Запуск в производство является последней подстадией разработки изделия иобеспечивает запуск устройства в серийное производство (см. раздел 11 ИСО 26262-4).

0 Подстадия разработки аппаратных средств изделия.

На основании спецификации проектирования системы разрабатываются аппаратные средства устройства (см. ИСО 26262-5). Процесс разработки аппаратных средств основан на концепции V-модели. в которой спецификация требований к аппаратным средствам, проектирование аппаратных средств и их реализация принадлежат левой ветви V-модели. а интеграция аппаратных средств и их тестирование — правой ветви V-модели.

На рисунке 1 представлен обзор подстадий разработки аппаратных средств изделия.

д) Подстадия разработки программного обеспечения изделия.

На основании спецификации проектирования системы разрабатывается программное обеспечение устройства (см. ИСО 26262-6). Процесс разработки программного обеспечения основан на концепции V-модели. в которой спецификация требований к программному обеспечению, проектирование программного обеспечения и его реализация принадлежат левой ветви V-модели. а интеграция программного обеспечения, его тестирование и верификация — правой ветви V-модели.

На рисунке 1 представлен обзор подстадий разработки программного обеспечения изделия.

h)    Планирование производства и эксплуатации.

Планирование производства и эксплуатации, а также спецификация соответствующих требований начинается во время разработки изделия на уровне системы (см. ИСО 26262-4). Требования к производству и эксплуатации приведены в разделах Б и 6 ИСО 26262-7.

i)    Стадия производства и эксплуатации, обслуживания и вывода из эксплуатации.

На этой стадии рассматриваются производственные процессы, имеющие значение для целей функциональной безопасности устройства, то есть связанные с безопасностью специальные характеристики. а также разработка и администрирование инструкций по обслуживанию, ремонту и утилизации устройств для обеспечения функциональной безопасности после запуска устройства в производство (см. разделы 5 и 6 ИСО 26262-7).

j)    Управляемость.

При анализе опасностей и оценке рисков (см. раздел 7 ИСО 26262-3) может быть учтена способность водителя или других лиц. подвергающихся риску, контролировать опасные ситуации. Предположения. касающиеся управляемости, в анализе опасностей и оценке рисков и в концепции обеспечения функциональной и технической безопасности проходят процедуру подтверждения соответствия вовремя выполнения для системы подтверждения соответствия безопасности (см. рисунок 2 и раздел 9 ИСО 26262-4).

Примечание — воздействие и тяжесть являются факторами, которые зависят от сценария, Возможная управляемость а результате вмешательстве человеке зависит от конструкции устройства и. следовательно, оценивается во время подтверждения соответствия (см. 94.3.2 ИСО 262624).

k)    Внешние меры.

К внешним мерам относятся меры вне устройства, как специфицировано в определении устройства (см. рисунок 2 и раздел 5 ИСО 26262-3). которые снижают или смягчают риски, связанные с устройством. К внешним мерам можно отнести не только другие устройства в автомобиле, такие как контроллеры динамической устойчивости или противопрокольное устройство для шин. но и внешние к автомобилю устройства, такие как оградительные барьеры, системы пожаротушения в туннелях.

Предположения о внешних мерах е определении устройства, в анализе опасностей и оценке рисков и в концепции функциональной и технической безопасности проходят процедуру подтверждения соответствия во время выпопнения для системы подтверждения соответствия безопасности (см. рисунок 2 и раздел 9 ИСО 26262-4).

Внешние меры могут быть рассмотрены при анализе опасностей и оценке рисков. Однако, если потенциал внешней меры учтен при анализе опасностей и оценке рисков, то внешняя мера не может рассматриваться для снижения риска в концепции обеспечения функциональной безопасности.

Настоящий стандарт распространяется на те внешние меры, которые находятся в области его применения.

l)    Другие технологии.

Применение устройств, основанных на других технологиях, например, механических и гидравлических. которые отличаются от электрических и/или электронных технологий, находится в области применения настоящего стандарта. Они могут быть рассмотрены в спецификации концепции функциональной безопасности (см. рисунок 2 и раздел 6 ИСО 26262-3). при распределении требований безопасности (см. ИСО 26262-3 и ИСО 26262-4) или как внешняя мера.

Примечание — Если устройство, рее лизованное на яругой технологии, олределяется как внешняя мере. то может быть полезно ловторить анализ опасностей и оценку рисков, чтобы рассмотреть соответствующее снижение риске, которое может привести к снижению значения УЛБА соответствующей цели безопасности.

5.3 Входная информация

5.3.1    Предварительные требования

Не задаются.

5.3.2    Дополнительная информация

Может быть рассмотрена следующая информация.

Существующее подтверждение системы менеджмента качества о соответствии стандартам управления качеством, таким как ИСО/ТС16949. ИСО 9001 или эквивалентным.

5.4 Требования и рекомендации

5.4.1    Общие положения

Организации, участвующие в реализации жизненного цикла системы безопасности, должны соответствовать требованиям 5.4.2—5.4.5.

5.4.2    Культура реализации системы безопасности

5.4.2.1    Организация должна создать, развивать и поддерживать культуру безопасности, которая поощряет эффективное достижение функциональной безопасности.

Пример — Примеры оценки культуры реализации системы безопасности приведены в приложении В.

5.4.2.2    Организация должна устанавливать, выполнять и поддерживать специальные для организации правила и процессы в соответствии с требованиями настоящего стандарта.

Примечание — Такие специальные для организации правила и процессы могут включать е себя создание и поддержку общего плана обеспечения безопасности и описание процесса его выполнения.

5.4.2.3    Организация должна устанавливать, выполнять и поддерживать процессы, гарантирующие. что выявленные аномалии функциональной безопасности напрямую доведены до сведения соответствующего менеджера(ов) по безопасности и других ответственных лиц.

Пример — Менеджер по безопасности клиента и менеджер по безопасности поставщика, менеджер по разработке системы безопасности соответствующего устройства.

5.4.2.4    Организация должна устанавливать, выполнять и поддерживать процесс разрешения аномалий безопасности для того, чтобы анализ, оценка, разрешение и устранение аномалий функциональной безопасности выполнялись своевременно и эффективно.

Примечание — Процесс разрешения аномалии может включать а себя анализ ее основной причины, что в дальнейшем приведет к корректирующему действию.

5.4.2.5    Во время реализации жизненного цикла системы безопасности организация должна выполнять необходимые мероприятия по обеспечению функциональной безопасности, в том числе работы по созданию необходимой документации и управлению ею в соответствии с требованиями раздела 10 ИСО 26262-8.

5.4.2.6    Организация должна предоставлять ресурсы, необходимые для достижения функциональной безопасности.

Примечание — Ресурсы включают а себя человеческие ресурсы, инструментальные средства, базы данных и шаблоны

5.4.27 Организация должна устанавливать, выполнять и поддерживать непрерывный процесс совершенствования, основанный на:

- изучении опыта, накопленного в ходе реализации жизненного цикла систем безопасности других устройств, в том числе практического опыта и

•    применении полученных усовершенствований в последующих устройствах.

5.4.2.8 Организация должна гарантировать, чтобы лицам, выполняющим или поддерживающим деятельность по обеспечению безопасности, были даны достаточные полномочия для выло л пени я своих обязанностей.

5.4.3 Компетентность руководства

5.4.3.1 Организация должна гарантировать, чтобы лица, участвующие в реализации жизненного цикла систем безопасности, имели достаточный уровень навыков, компетенции и квалификации, соответствующих их обязанностям.

Примечания

1    Одним из возможных средств для достижения достаточного уровня навыков и компетенций а разработке является программа подготовки и повышения квалификации, которая охватывает следующие области знаний:

•    основные понятия, технологии и методы проектирования систем безопасности:

•    настоящий стандарт и. при необходимости, дополнительные стандарты а области безопасности:

•    специальные для организации правила по функциональной безопасности:

•    установленные в организации процессы по функциональной безопасности.

2    Чтобы оценить навыки, компетенцию и квалификацию для осуществления деятельности а соответствии с настоящим стандартом, можно учесть опыт предыдущей профессиональной деятельности, например:

•    знания об устройстве:

•    знания об окружающей среде устройства:

•    управленческий опыт.

5.4.4    Управление качеством в течение жизненного цикла систем безопасности

5.4.4.1    Организации, участвующие в реализации жизненного цикла системы безопасности, должны иметь действующую систему управления качеством, соответствующую стандартам управления качеством, таким какИСО/ТС 16949. ИСО 9001 или эквивалентным.

5.4.5    Независимая от проекта настройка жизненного цикла системы безопасности

5.4.5.1    Организация может настраивать жизненный цикл системы безоласности для его применения при разработках устройств, т. е. применять независимую от проекта настройку, но если онаограничи-еается применением одной или нескольких из следующих процедур настройки:

a)    подстадии, действия или задачи могут быть объединены или разделены или

Примечание — Отдельные полетал ии могут быть объел ииены. если используемый метод не обеспечивает четкое разграничение между отдельными подстад иями. например, автоматизированные средства разработки могут поддерживать действие нескольких подстадий не одном шаге процесса.

b)    действия или задачи могут быть выполнены на другой стадии или подегадии. или

c)    действия или задачи могут быть выполнены на дополнительной стадии или подстадии или

d)    стадии или подстадии могут использоваться итеративно.

5.5    Результаты работы

5.5.1    Специальные для организации правила и процедуры для функциональной безопасности

Результат 5.4.2 и 5.4.5.

5.5.2    Подтверждение компетентности

Результат 5.4.3.

5.5.3    Подтверждение менеджмента качества

Результат 5.4.4.

6 Управление созданием системы безопасности на стадиях формирования концепции и разработки изделия

6.1    Цели

Первая цель данного раздела состоит в определении ролей и обязанностей при управлении созданием системы безопасности на стадиях формирования концепции и разработки ее жизненного цикла (см. рисунок 1 и рисунок 2).

Вторая цель данного раздела состоит в определении требований к управлению созданием системы безопасности на стадиях формирования концепции и разработки, в том числе к планированию и координации действий по обеспечению безопасности, к выполнению жизненного цикла системы безопасности, к созданию обоснования безопасности и выполнению мер подтверждения.

6.2    Общие положения

Управление созданием системы безопасности включает в себя ответственность за обеспечение выполнения мер подтверждения. В зависимости от применяемого значения УПБА. некоторые меры подтверждения требуют независимости от ресурсов, управления и определения полномочий (см. 6.4.7).

Меры подтверждения включают в себя оценки подтверждения, аудиты функциональной безопасности и оценки функциональной безопасности:

-    оценки подтверждения предназначены для проверки соответствия отдельных результатов работы соответствующим требованиям настоящего стандарта:

• аудит функциональный безопасности оценивает выполнение процессов, необходимых для деятельности в области функциональной безопасности;

-    оценка функциональной безоласности оценивает функциональную безопасность, достигаемую устройством.

Кроме мер подтверждения, выполняются верификационные оценки. Они требуются в других частях настоящего стандарта и предназначены для проверки того, что соответствующие результаты работ удовлетворяют требованиям проекта и техническим требованиям для случаев их применения и видов отказов.

В таблице 1 перечислены необходимые меры подтверждения. В приложении О перечислены верификационные оценки и ссылки на соответствующие части настоящего стандарта.

Управление системой безопасности включает в себя ответственность за описание и обоснование любых специальных действий по обеспечению безопасности (см. 6.4.5).

в

6.3    Входная информация

6.3.1    Предварительные требования

Необходима следующая информация:

-    специальные для организации правила и процедуры по функциональной безопасности в соответствии с требованиями 5.5.1:

-    подтверждение компетентности в соответствии с требованиями 5.5.2:

•    подтверждение реализации менеджмента качества в соответствии с требованиями 5.5.3.

6.3.2    Дополнительная информация

Следующая информация может быть учтена, если она доступна:

•    план проекта (из внешнего источника);

•    зависимости от других видов деятельности, включая другие мероприятия по обеспечению безо, пасности.

6.4    Требования и рекомендации

6.4.1    Общие положения

Организации, участвующие в реализации жизненного цикла системы безопасности, должны соответствовать требованиям 6.4.2—6.4.9 для устройств, которые имеют, по крайней мере, одну цель безопасности с УПБА равным А. В. С или D. если не указано иное.

6.4.2    Роли и ответственности при управлении созданием системы безопасности

6.4.2.1    Менеджер проекта должен быть назначен в начале разработки устройства.

6.4.2.2    На менеджера проекта должна быть возложена ответственность и даны полномочия в соответствии с требованиями 5.4.2.8. с тем чтобы:

a)    выполнялись связанные с безопасностью мероприятия, необходимые для достижения функциональной безопасности, и

b)    было достигнуто соответствие требованиям настоящего стандарта.

6.4.2.3    Менеджер проекта должен убедиться. что орган изация предоставила нвобходи мые ресурсы для выполнения действий по функциональной безопасности в соответствии с требованиями 5.4.2.6.

Примечание — Оценка, определение и выделение достаточных ресурсов, как правило, выполняются на стадии планирования.

6.4.2.4    Менеджер проекта должен гарантировать, что менеджер по системе безопасности назначен в соответствии с требованиями 5.4.3.

Примечания

1    Роль менеджере ло системе безопасности может выполнять менеджер проекта.

2    Термин «менеджер по системе безопасности * определяется как рол ь (см. ИСО 26262-1). его функции могут быть разделены между различными лицами в организации.

6.4.3 Планирование и координация деятельности по обеспечению безопасности

6.4.3.1    Менеджер по системе безопасности несет ответственность за планирование и координацию деятельности по функциональной безопасности на стадиях разработки жизненного цикла системы безопасности в соответствии с требованиями 5.4.2.8.

Примечания

1    Менеджер по системе безопасности может делегировать полномочия лицам, которые обладают необходимыми навыками, компетенцией и квалификацией (см. 5.4.3).

2    Планирование деятельности по обеспечению безопасности включено в план обеспечения безопасности (см. 6.4.3.5). Некоторые запланированные мероприятия по обеспечению безопасности более подробно представлены в результатах работы других частей настоящего стандарта (см. 6.4.3.3).

3    В зависимости от того, разрабатывается ли новое устройство или оно является модификацией уже существующего устройства (см. раздел 6 ИСО 26262-3). объем работ по обеспечению безопасности и их планирование могут меняться.

6.4.3.2    Менеджер по системе безопасности несет ответственность за выполнение плана по обеспечению безопасности, а также контролирует процесс деятельности по обеспечению безопасности е соответствии с планом по обеспечению безопасности.

6.4.3.3    В соответствии с требованиями 5.4.2.8 и 5.4.3 а перечисленных ниже планах, которые передаются в организации, должны быть определены обязанности, связанные с конкретизацией и координацией деятельности по обеспечению безопасности:

•    план интеграции и тестирования устройства в соответствии с требованиями ИСО 26262-4;

•    план подтверждения соответствия в соответствии с требованиями ИСО 26262-4:

•    план верификации программного обеспечения е соответствии с требованиями ИСО 26262-6;

•    план оценки функциональной безопасности в соответствии с требованиями 6.4.9.

Лицо, которому была назначена такая ответственность, должно также нести ответственность за выполнение соответствующего плана и контролировать выполнение работ в соответствии с планом.

6.4.3.4    План по обеспечению безопасности должен быть либо

a)    планом, на который имеется ссылка в плане проекта, либо

b)    включен в план проекта так. чтобы мероприятия по обеспечению безопасности были представлены в проекте.

Примечание — План по обеспечению безопасности может включать перекрестные ссылки на другую информацию при управлении конфигурацией (см. раздел 7 ИСО 26262-8). Перекрестные ссылки, как правило, предпочтительнее параллельному описанию действий в различных результатах работ или а других документах, управляемых конфигурацией.

6.4.3.5    План по обеспечению безопасности должен включать:

a)    планирование действий и процедур для достижения функциональной безопасности.

b)    реализацию независимых от проекта действий в области безопасности в соответствии с требованиями раздела 5 в управление созданием системы безопасности конкретного проекта:

c)    определение адаптации действий по обеспечению безопасности в соответствии с требованиями 6.4.5, если это применимо;

d)    планирование анализа опасностей и оценку рисков в соответствии с требованиями раздела 7 ИСО 26262-3:

e)    планирование действий по разработке, включая разработку и реализацию концепции функциональной безопасности в соответствии с требованиями раздела 8 ИСО 26262-3, разработку изделия на системном уровне в соответствии с требованиями ИСО 26262-4, разработку аппаратных средств изделия в соответствии с требованиями ИСО 26262-5 и разработку программного обеспечения изделия в соответствии с требованиями ИСО 26262-6:

f)    планирование соглашения об интерфейсе разработки (СИР) в соответствии с требованиями раздела 5 ИСО 26262-8. если применимо;

9) планирование вспомогательных процессов в соответствии с требованиями ИСО 26262-8:

h)    планирование действий по верификации в соответствии с требованиями ИСО 26262-3. ИСО 26262-4. ИСО 26262-5. ИСО 26262-6 и раздела 9 ИСО 26262-6:2011. а также планирование мероприятий по подтверждению соответствия безопасности в соответствии с требованиями раздела 9 ИСО 26262-4.

Примечание — Действия по верификации подробно описаны а плене интеграции и тестирования устройстве (см. ИСО 26262-4) и в плане верификации программного обеспечения (см. ИСО 26262-6). Действия по подтверждению соответствия подробно описаны в плене подтверждения соответствия (см. ИСО 26262-4). См. также 6.4.3.3;

i)    планирование выполнения оценок подтверждения, аудита(ов) функциональной безопасности и оценки функциональной безопасности в соответствии с требованиями 6.4.7 до 6.4.9.

Примечание— Уровень независимости, приведенный в 6.4.7. а также квалификация, приведенная в 5.4.3. лиц. осуществляющих меры подтверждения, указываются в плана по обеспечению безопасности;

j)    планирование анализа зависимых отказов в соответствии с требованиями раздела 7 ИСО 26262-9. если это применимо, и анализов системы безопасности в соответствии с требованиями раздела 8 ИСО 26262-9;

k)    обеспечение подтверждений проверкой в эксплуатации кандидатов в соответствии с требованиями раздела 14 ИСО 26262-6. если это применимо: и

l)    обеспечение уверенности в использовании инструментальных средств программного обеспечения в соответствии с требованиями раздела 11 ИСО 26262-6. если это применимо.

6.4.3.6    Планирование деятельности по обеспечению безопасности должно включать описание:

a)    цели;

b)    зависимостей от других видов действий или информации:

c)    ресурсов, отвечающих за выполнение деятельности:

d)    ресурсов, необходимых для осуществления деятельности.

e)    даты начала и длительности, а также

f)    идентификации соответствующего результата работы.

6.4.3.7    Данное требование должно быть выполнено для устройств, которые имеют, по крайней мере, одну цепь безопасности со значением УПБА. равным В. С или D. План обеспечения безопасности в

ю

соответствии с требованиями 6.4.3.1 до 6.4.3.6 должен быть утвержден уполномоченным лицом, которое должно рассмотреть оценку подтверждения плана обеспечения безопасности в соответствии с требованиями 6.4.7.

6.4.3.8 Выявленные аномалии системы безопасности должны быть доведены до сведения менеджера по безопасности и других ответственных пиц в соответствии с требованиями 5.4.2.3.

Примечание — Изменений, появившиеся в результате устранения аномалий а системе безопасности, поступают на вход промесса управления изменениями (см. раздел в ИСО 26262-8).

6.4.4    Выполнение жизненного цикла систем безопасности

6.4.4.1    Действия по обеспечению безопасности на следующей подстадии жизненного цикла системы безопасности должно начинаться только при наличии достаточной информации от имеющих отношение к ней подстадий.

Примечание — Информадия может рассматриваться сак достаточная, если ее отсутствие не вызывает неприемлемый риск достижения устройством иели безопасности.

6.4.4.2    Результаты работы, требуемые планом пообеслечению безопасности, должны быть обеспечены управлением конфигурацией, управлением изменениями и документально оформлены в соответствии с требованиями разделов 7.8 и 10 ИСО 26262-8. соответственно, не позднее начала стадии «разработки изделия на уровне системы» (см. рисунок 1).

6.4.5    Настройка действий по обеспечению безопасности

6.4.5.1    Деятельность по обеспечению безопасности с учетом специфики разрабатываемого устройства может быть настроена, т. е. что-то может быть исключено или что-то добавлено. Если деятельность по обеспечению безопасности настраивается, то:

a)    ее настройка должна быть определена в плане обеспечения безопасности (см. перечисление с) п. 6.4.3.5) и

b)    должно быть доступно обоснование того, почему такая настройка является адекватной и достаточной для достижения функциональной безопасности.

Примечания

1    Обоснование учитывает значения УПБА соответствующих требований.

2    Обоснование настройки включается а план обеспечения безопасности и рассматривается в ходе оценки подтверждения плана обеспечения безопасности (см. 6.4.7) или во время оценки функциональной безопасности (см. 6.4.9).

3    Данное требование распространяется на настройку, которая применяется для конкретного устройства. Если выполняется настройка жизненного цикла системы безопасности, применяемого в рамках организации для разработки устройств, то применяются только требования п. 5.4.5.

6.4.5.2    Если деятельность по обеспечению безопасности настраивается в соответствии с 6.4.5.1 в результате изменения существующего устройства, то должны соблюдаться требования раздела 6 ИСО 26262-3.

6.4.5.3    Если деятельность по обеспечению безопасности настраивается в соответствии с 6.4.5.1 в результате имеющегося подтверждения проверкой в эксплуатации, то должны соблюдаться требования раздела 14 ИСО 26262-3.

6.4.5.4    Если деятельность по обеспечению безопасности настраивается в соответствии с 6.4.5.1 в результате декомпозиции УПБА. то должны соблюдаться требования раздела 5 ИСО 26262-9.

6.4.5.5    Если деятельность по обеспечению безопасности настраивается в соответствии с 6.4.5.1 на базе обоснования, которое рассматривает уверенность в использовании инструментального программного обеспечения, то должны соблюдаться требования раздела 11 ИСО 26262-8.

6.4.5.6    Если деятельность по обеспечению безопасности настраивается в соответствии с 6.4.5.1 из-за того, что элемент разработан отдельно от устройства, то:

a)    разработка элемента отдельно от устройства должна быть основана на спецификации требований. которая выводится из предположений о целевом применении и контексте элемента, включая его внешние интерфейсы, а также

b)    должна быть установлена обоснованность предположений о целевом применении и контексте элемента, разработанного отдельно от устройства.

Примечание — Настоящий стандарт а целом не может быть применен к элементу, разработанному отдельно от устройства, так как функциональная безопасность не является свойством элемента (однако, элемент устройства может быть идентифицирован как связанный с безопасностью). Функциональная безопасность является свойством устройства и может быть оценена средствами оценки функциональной безопасности.

Пример — Микроконтроллер разработан отдельно от устродстаа.

6.4.6    Обоснование безопасности

6.4.6.1    В соответствии с планом по обеспечению безопасности должно быть разработано обоснование безопасности. Данное требование должно быть выполнено для устройств, которые имеют, по крайней мере, одну цепь безопасности со значением УПБА. равным (А). В. С или О.

6.4.6.2    Для формирования обоснования безопасности следует постепенно собирать результаты работы, которые создаются в течение жизненного цикла системы безопасности.

6.4.7    Меры подтверждения: виды, независимость и полномочие

6.4.7.1 Меры подтверждения, указанные в таблице 1. должны быть выполнены в соответствии с требуемым уровнем независимости (см. таблицу 2. перечисление i) 6 4.3.5.6.4.6 и 6.4.9).

Примечания

1    Оценка подтверждения выполняется для тех результатов работ, которые указаны а таблице 1 и требуются планом обеспечения базопасности.

2    Оценка подтверждения включает в себя проверку правильности соблюдения установленных норм и правил. содержания, адекватности и полноты относительно требований настоящего стандарта.

3    Таблица 1 включает в себя меры подтверждения. Анализ верификационных оценок приводится в приложении D.

4    Отчет, который формируется а результате выполнения меры подтверждения, включает в себя имя и номер версии проанализированных документов о результатах работы или процессах (см. 10.4.5 ИСО 26262-8).

5    Если после завершения выполнения оценки подтверждения или оценки функциональной безопасности следуют изменения а устройстве, то эти процедуры должны быть выполнены повторно или добавлены (см. в.4.5.2 ИСО 26262-8).

6    Цели каждой меры подтверждения приведены в приложении С.

7    Такие меры подтверждения, как оценки подтверждения и аудиты функциональной безопасности, могут быть объединены и в сочетании с оценкой функциональной безопасности могут быть использованы при создании сопоставимых вариантов устройства.

Таблица 1 — Требуемые меры подтверждения с учетом требуемого уровня независимости

Меры подтверждения

Степень иеэевмсимостм*1 применятся к УПБА

Область применения

А

В

с

О

Оценка подтверждения анализа опасностей и оценки рисков устройства (разделы S и 7 ИСО 26262-3 и. если применимо, п. S ИСО 26262-8).

Выполняется независимо от разработчиков устройства, управления проектом и авторов результатов работы

13

13

13

13

Область применения данной оценки должна включать правильность определения значений УПБА и правильность определения оценок опасных событий для устройства, выявленных системой менеджмента качества (ОМ), а также оценку целей безопасности

Оценка подтверждения плана по обеспечению безопасности (6.S.1).

Выполняется независимо от разработчиков устройства, управления проектом и авторов результатов работы

11

12

13

Применяется к цепи безопасности устройства с самым высоким значением УПБА

Оценка подтверждения плана по интеграции и тестированию устройства (ИСО 26262-4).

Выполняется независимо от разработчиков устройства. управления проектом и авторов результатов работы

10

11

12

12

Применяется к цепи безопасности устройства с самым высоким значением УПБА

Оценка подтверждения плана подтверждения соответствия (ИСО 26262-4). Выполняется независимо от разработчиков устройства, управления проектом и авторов результатов работы

10

11

12

12

Применяется к цепи безопасности устройства с самым высоким значением УПБА

Окончание таблицы 1

Меры подтверждения

Сгепень независимости-’ применятся к УПБА

Область применения

А

в

с

D

Оценка подтверждения видов анализа системы безопасности (раздел в ИСО 26262-9).

выполняется независимо от разработчиков устройства, управления проектом и авторов результатов работы

11

и

12

I3

Применяется к цели безопасности устройства с самым высоким значением УПБА

Оценка подтверждения отчета о критериях оценки инструментального программного обеспечения и отчета о квалификации6* инструментального программного обеспечения (раздел 11 ИСО 26262-8). выполняется независимо от персонала. выполняющего квалифицированна инструментального программного обеспечения

10

11

11

Применяется к требованиям, имеющим самое высокое значение УПБА. которые могут быть нарушены используемым инструментальным программным обеспечением

Оценка подтверждения проверкой эксплуатацией (видов анализа, данных и доверия) кандидатов (раздел 14 ИСО 26262-8). выполняется независимо от автора подтверждения

I0

и

I2

I3

Применяется к УПБА цепи безопасности. либо к требованию, относящемуся к рассматриваемому поведению, либо функции кандидата

Оценка подтверждения полноты обоснования безопасности (6.5.3). выполняется независимо от автора обоснования безопасности

10

и

I2

I3

Применяется к цепи безопасности устройства с самым высоким значением УПБА

Аудит функциональной безопасности в соответствии с 6.4.8.

выполняется независимо от разработчиков устройств и управления проектом

10

I2

I3

Применяется к цепи безопасности устройства с самым высоким значением УПБА

Оценка функциональной безопасности в соответствии с 6.4.9

выполняется независимо от разработчиков устройств и управления проектом

10

I2

I3

Применяется к цепи безопасности устройства с самым высоким значением УПБА


•' Обозначения определены следующим образом:

--требования или рекомендации за или против данной меры подтверждения отсутствуют.

I0 — мера подтверждения должна быть выполнена: однако, если данная мера подтверждения осуществляется. то она должна быть выполнена другим лицом.

И — мера подтверждения должна быть выполнена другим лицом.

12    — мера подтверждения выполняется лицом из другой команды, то есть не подчиняющимся тому же самому непосредственному начальнику:

13    — мера подтверждения выполняется лицом из другого отдела или организации, т. е. лицом, независимым от департамента, отвечающего за рассматриваемые результаты работы, организацию их выполнения, используемые ресурсы и определение полномочий.

Разработка инструментальных средств программного обеспечения выполняется вне рамок жизненного цикла системы безопасности, реализуемой устройством, но квалификация таких инструментальных средств является деятельностью. выполняемой на жизненном цикле разрабатываемой системы безопасности.


Таблица 2 — Требования к процедурам, реализующим меры подтеерхдения

Тема

Оценка подтверждения

Аудит функциональной безопасности

безопасности

Предмет оценки

Результат работы

Осуществление процессов, необходимых для функциональной безопасности

Оценка устройства согласно его определению, представленному а соответствии с требованиями раздела 5 ИСО 26262-3

Результат

Отчет об оценке подтверждения

Отчет*' об аудите функциональной безопасности а соответствии с 6.4.8

Отчет об оценке функциональной безопасности в соответствии с 6.4.9

Обязанность людей, выполняющих меру подтверждения

Оценка соответствия результата работы с соответствующими требованиями настоящего стандарта

Оценка выполнения требуемых процессов

Оценка достигнутой функциональной безопасности. Предоставление рекомендаций для принятия, условное принятие или отказ в соответствии с 6.4.9.6

Временная привязка к процессам жизненного цикла системы безопасности

После завершения соответствующей деятельности по обеспечению безопасности. Завершение перед запуском в производство

Во время выполнения необходимых процессов

Постепенно а процессе разработки или для отдельного блока.

Завершение перед запуском в производство

Область применения и глубина

В соответствии с планом по обеспечению безопасности

Выполнение процессов соответствующих определениям действий, на которые есть ссыпке или которые определены а плане по обеспечению безопасности

Результаты работы, задаваемые планом по обеспечению безопасности, реализация требуемых процессов и оценка реализованных мер безопасности, которые могут быть оценены а ходе разработки устройства

в> Данный отчет может быть включен в отчет об оценке функциональной безопасности.

6.47.2    Лица, осуществляющие меры подтверждения, должны и меть доступ к лицам и подразделениям организации (а также должны быть поддержаны ими), которые осуществляют мероприятия по обеспечению безопасности во время разработки устройства.

6.47.3    Лица, осуществляющие меры подтверждения, должны иметь доступ к соответствующей информации и инструментальным средствам.

6.4.8 Аудит функциональной безопасности

6.4.8.1    Аудит функциональной безопасности для устройств, у которых наибольшее значение УПБА их целей безопасности равно (В). С или D. должен быть выполнен в соответствии с 6.4.7, перечислением i) 6.4.3.5 и 6.4.8.2.

6.4.8.2    Одно или несколько лиц назначаются для выполнения одного или более аудитов функциональной безопасности в соответствии с 5.4.3. Назначенные лица должны представить отчет, содержащий оценку выполнения процессов, необходимых для функциональной безопасности.

Примечания

1    Если аудит функциональной безопасности осуществляется акспертом SPICE (Software Process Improvement and Capability Determination), то этот аудит функциональной безопасности и оценка SPICE (см. ИСО/МЭК 15504) могут быть выполнены одновременно. Содержательно настоящий стандарт и SPICE имеют достаточно много общего, поэтому можно запланировать их синхронное выполнение. Если синхронизацию удалось запланировать, то эксперт SPICE может обеспечить обратную связь аудитору функциональной безопасности. Однако SPlCE-оценка может быть синхронизирована с проверкой некоторого вспомогательного процесса, специфицированного в ИСО 26262-8. но ее недостаточно для выполнения оценки функциональной безопасности (см. 6.4.9).

2    Определения процессов организации можно найти сразу в нескольких стандартах, например, в настоящем стандарте и SPICE-требования к процессу управления конфигурацией. Такая координация процессов может помочь избежать дублирования работ или несоответствий процесса. Для таких скоординированных процессов может быть создан специальный для организации процесс перекрестных ссылок к требованиям настоящего стандарта и SPICE.

6.4.9 Оценка функциональной безопасности

6.4.9.1    Оценка функциональной безопасности для устройств, у которых наибольшее значение УПБА их целей безопасности равно (В). С или D. должна выполняться в соответствии с 6.4.7 и 6.4.9.2—6.4.98.

6.4.9.2    Оценка функциональной безопасности должна планироваться в соответствии с 6.4.3.3 и перечислением i) 6.4.3.5.

Пример — Проарашша для оценки функциональной безопасности приведена в приложении £.

6.4.9.3    В соответствии с 5.4.3 для выполнения оценки функциональной безопасности назначается одно или несколько лиц. Назначенные лица должны представить отчет, содержащий заключение о достижении функциональной безопасности.

6.4.9.4    Область при ме нения оценки функциональной безопасности должна вкл ючать:

-    результаты работы, требуемые планом по обеспечению безопасности;

• процессы, необходимые для функциональной безопасности.

Примечание — Оценка выполняемых процессов может быть основана на результатах аудита(ов) функциональной безопасности:

-    рассмотрение целесообразности и эффективности выполняемых мер безопасности, которые могут быть оценены в ходе разработки устройства.

Примечание — Меры безопасности, которые должны быть реализованы е процессе подстадии производства. но которые не могут быть оценены в ходе разработки устройства, оцениваются а сочетании с возможностями производственного процесса (см. пункт S.4.2.2 ИСО 26262-7).

6.4.9.5    Оценка функциональной безопасности должна рассматривать следующие вопросы:

a)    планирование других мер подтверждения [см. перечисление i) 6.4.3.5]:

b)    результаты оценок подтверждения и аудита(ов) функциональной безопасности и

c)    рекомендацию(и). получеиную(ых) в результате предыдущей их) оцеики(ок) функциональной безопасности, если применимо (см. пункты 6.4.9.7.6.4.9.8 и 8.4.5.2 ИСО 26262-8).

6.4.9.6    Отчет об оценке функциональной безопасности в соответствии с 6.4.9.3 должен включать в себя рекомендации по принятию, условному принятию или отказу в достижении функциональной безопасности устройством. 8 случае условного принятия.

a)    условное принятие должно быть дано только в том случае, если функциональная безопасность устройства считается очевидной, несмотря на выявленные открытые вопросы и

b)    рекомендация для условного принятия будет включать отклонения от критериев оценки функциональной безопасности и обоснования, почему эти конкретные отклонения считаются приемлемыми.

6.4.9.7    Если рекомендацией, содержащейся в отчете об оценке функциональной безопасности в соответствии с 6.4.9.6, является условное принятие достигнутой функциональной безопасности, то должны быть выполнены корректирующие действия, предусмотренные в отчете об оценке функциональной безопасности.

6.4.9.8    Если рекомендацией, содержащейся в отчете об оценке функциональной безопасности в соответствии с 6.4.9.6. является отказ в достижении функциональной безопасности, то:

a)    должны быть запущены адекватные корректирующие действия и

b)    оценка функциональной безопасности должна быть выполнена повторно.

6.5 Результаты работы

6.5.1    План по обеспечению безопасности

Результат 6.4.3—6.4.5.

6.5.2    План проекта (уточненный)

Результат 6.4.3.4.

6.5.3    Обоснование безопасности

Результат 6.4.6.

6.5.4    План оценки Функциональной безопасности

Результат 6.4.9.

6.5.5    Отчеты о мерах подтверждения

Результат 6.4.7—6.4.9

7 Управление созданием системы безопасности после запуска устройства в производство

7.1    Цель

Целью настоящего раздела является определение ответственности организаций и лиц. ответственных за функциональную безопасность после запуска устройства в производство. Это относится к общим действиям для обеспечения требуемой функциональной безопасности данного устройства в течение подстадий жизненного цикла после запуска его в производство.

7.2    Общие положения

См. 5.2.

7.3    Входная информация

7.3.1    Предварительные требования

Следующая информация должна быть доступна:

• подтверждение менеджмента качества в соответствии с требованиями 5.5.3.

7.3.2    Дополнительная информация

Не задается.

7.4    Требования и рекомендации

7.4.1    Общие положения

Организации, участвующие в выполнении жизненного цикла системы безопасности, должны соответствовать требованиям 7.4.2 для устройств, которые имеют, по крайней мере, одну цель безопасности со значением УПБА. равным А, В. С или D.

7.4.2    Обязанности, планирование и необходимые процессы

7.4.2.1    Организация должна назначить лиц. возлагая на них обязанности и предоставляя им соответствующие полномочия в соответствии с требованиями 5.4.2.8, для обеспечения функциональной безопасности устройства после его запуска в производство.

7.4.2.2    Мероприятия по обеспечению функциональной безопасности устройства после его запуска в производство должны планироваться в соответствии с требованиями ИСО 26262-7 и должны быть инициированы в процессе разработки изделия на уровне системы в соответствии с требованиями ИСО 26262-4.

7.4.2.3    Организация должна устанавливать, выполнять и поддерживать процессы в целях поддержания функциональной безопасности устройства на стадиях его жизненного цикла после запуска в производство.

7.4.2.4    Организация должна устанавливать, выполнять и поддерживать контроль функциональной безопасности устройства в процессе его эксплуатации.

Примечаний

1    Процесс контроля системы безопасности за инцидентами в процессе ее эксплуатации акпючает в себя предоставпение отчетов об инцидентах, меры по их исправлению, например, возврат, равно как и другие соответствующие промессы принятия решений.

2    Собранные а результате контроля а промессе эксплуатации данные могут быть использованы для подтверждения проверкой в эксплуатации (см. раздел 14 ИСО 26262-8).

7.4.2.5    Если в устройстве произошли изменения после его запуска в производство, то в соответствии с требованиями раздела 11 ИСО 26262-4 запуск его в производство необходимо повторить.

Примечание — Эти изменения выполняются процедурой управления изменениями (см. раздел 8 ИСО 26262-8)

7.5    Результаты работы

7.5.1 Подтверждение контроля в процессе эксплуатации

Результат 7.4.2.4.

Обзор и последовательность выполняемых работ менеджмента функциональной безопасностью

Таблице А.1 содержит обзор целей, предварительных требований и результатов работы конкретных стадий менеджмента функциональной безопасностью.

Таблица А.1 — Менеджмент функциональной безопасности: обзор

Раздел

Цели

Предварительные

требования

Результаты работы

5 Общие требования к управлению созданием системы безопасности

Целью раздела 5 является определение требований к организациям, которые отвечают за реализацию жизненного цикла системы безопасности или которые выполняют мероприятия по обеспечению безопасности на различных стадиях жизненного цикла системы безопасности. Полученная а соответствии с разделом 5 информация служит а качестве предварительных требований к действиям. выполняемым на различных стадиях представленного а настоящем стандарте жизненного цикла системы безопасности

Не задаются

5.3.1    Специальные для организации правила и процедуры для функциональной безопасности.

5.5.2    Подтверждение компетентности.

5.5.3    Подтверждение менеджмента качества

6 Управление созданием системы безопасности на стадиях формирования концепции и разработки изделия

Первая цель раздела 6 состоит а определении ролей и обязанностей при управлении созданием системы безопасности на стадиях формирования концепции и разработки изделия ее жизненного цикла.

Вторая цель раздела 6 состоит а определении требований к управлению созданием системы безопасности на стадиях формирования концепции и разработки, в том числе к планированию и координации деятельности по обеспечению безопасности. к выполнению жизненного цикла системы безопасности, к созданию обоснования безопасности и к выполнению мер подтверждения

Специальные для организации правила и процедуры по функциональной безопасности (см. S.5.1). Подтверждение компетентности (см. S.S.2). Подтверждение реализации менеджмента качества (см. S.5.3)

6.5.1    План по обеспечению безопасности.

6.5.2    План проекта (уточненный).

6.5.3    Обоснование безопасности.

6.3.4    План оценки функциональной безопасности.

6.5.5    Отчеты о мерах подтверждения

7 Управление созданием системы безопасности после запуска устройства а производство

Целью раздела 7 является определение ответственности организаций и лиц. ответственных за функциональную безопасность после запуска устройства а производство. Это относится к общим действиям для обеспечения требуемой функциональной безопасности данного устройства а течение подстадий жизненного цикла после запуска его в производство

Подтверждение менеджмента качества (см. S.S.3)

7.S.1 Подтверждение контроля в процессе эксплуатации

Примеры оценки культуры реализации системы безопасности

Таблице В.1 — Примеры оценки культуры реализации системы безопасности

Примеры, свидетельствующие о инэмой культуре

Примеры, свидетельствующие о высокой «упьтуре реализации

реализации системы безопасности

системы безопасности

Ответственность не прослеживается

Процесс гарантирует, что ответственность за решения, связанные с функциональной безопасностью, прослеживается

Стоимость и график работ всегда имеет преимущество перед безопасностью и качеством

Безопасность является главным приоритетом

Система вознаграждения отдает предпочтение стоимости и графику работ, а не безопасности и качеству

Системы вознаграждения поддерживают и мотивируют эффективное достижение функциональной безопасности. Системы вознаграждения наказывает тех. кто обходит вопросы, которые ставят под угрозу безопасность или качество

Персонал, выполняющий оценку безопасности, качества и управление этими процессами, находится под чрезмерным влиянием лица, ответственного за выполнение процессов

Процесс обеспечивает адекватную систему сдержек и противовесов. например, соответствующий уровень независимости в интегральных процессах (безопасности, качества, подтверждения соответствия, верификации и управления конфигурацией)

Пассивное отношение к безопасности, например:

-    сильная зависимость от тестирования в конце цикла разработки изделия:

-    менеджмент реагирует только тогда, когда есть проблемы при эксплуатации

Активное отношение к безопасности, например, проблемы безопасности и качества выявляются и исправляются на самом раннем этапа жизненного цикла изделия

Необходимые ресурсы не планируются или не выделяются своевременно

необходимые ресурсы раслределяются.

Квалификация персонала имеет компетенцию, соответствующую порученной деятельности

«Групповое мышление».

•Подтасовывание карт» при формировании групп для оценки.

Несогласные подвергаются остракизму или помечаются как «некомандный игрок».

Инакомыслие негативно отражается на оценках работы.

Лицо из «инакомыслящего меньшинства» отмечается или рассматривается как «нарушитель спокойствия». «некомандный игрок» или «осведомитель».

Обеспокоенные сотрудники боятся последствий

Процесс использует преимущества разнообразия:

-    интеллектуальное разнообразие ищут, ценят и включают ао все процессы;

-    поведение, мешающее использованию разнообразия, не приветствуется и наказывается.

Существуют каналы поддержки коммуникации и принятия решений и менеджмент поощряет их использование:

• рекомендуется свободное общение;

-    обнародование полученных кем-либо результатов поощряется;

-    процесс получения результатов и решения проблем продолжается при эксплуатации

Не систематизированы процессы непрерывного совершенствования, учебные циклы или другие формы «извлеченных уроков»

Непрерывное совершенствование является неотъемлемой частью всех процессов

Процессы «для данного случая» или неявные

Определенные, прослеживаемые и управляемые процессы выполняются на всех уровнях, включая процессы:

-    управления;

-    технические;

•    разработки интерфейсов:

•    верификации;

•    подтверждения соответствия;

-    аудита функциональной безопасности.

-    оценки функциональной безопасности

Цель мер подтверждения

С.1 Оценка плана по обеспечению безопасности

С.1.1 Оценка соответствий плане по обеспечению безопасности жизненному циклу системы безопасности, представленному в настоящем стандарте. Если это применимо, то оценка настройки действий по обеспечению безопасности, т. е. сравнение действий по обеспечению безопасности, которые пропущены или выполнены другим способом, с базовым жизненным циклом системы безопасности, включая соответствующие обоснования (см. 6.4.5).

С.1.2 Оценка соответствия плана по обеспечению безопасности требованиям настоящего стандарта по планированию деятельности по обеспечению безопасности (см. 6.4.3—6.4.5).

С.2 Оценка полноты обоснования безопасности (см. 6.S.3)

С.2.1 Подтверждение того, что результаты работы, указанные а обосновании безопасности, доступны и настолько полны, что достижение устройством функциональной безопасности может быть правильно оценено.

Примечание — Эти указанные результаты работы могут быть результатами работы, которые определены как имеющие отношение к поддержке обоснования безопасности.

С.2.2 Подтверждение того, что результаты работы, указанные в обосновании безопасности:

•    прослеживаются от одного к другому:

•    не имеют никаких противоречий внутри или между результатами работы;

- либо не имеют нерешенных вопросов, которые могут привести к нарушению цепи безопасности, либо имеют только такие нерешенные вопросы, которые находятся под контролем и существует план для их решения.

С.З Аудит функциональной безопасности (см. 6.4.8 и 6.5.5)

Оценка выполнения процессов, связанных сфункциоиа льиой безопасностью, во время выполнения этих про-цессовотносительно определенийдействий. на которые имеется ссылка или которые указаны в плане по обеспечению безопасности.

С.4 Оценка функциональной безопасности (см. 6.4.9 и 6.5.5)

С.4.1 Оценка соответствия результатов работы, задаваемых планом по обеспечению безопасности, требованиям настоящетостандарта. включая (но не ограничиваясь) результаты работы, для которых необходима оценка подтверждения. Для последних результатов работы результаты оценок подтверждения также учитываются.

С.4.2 Оценка выполнения процессов, обеспечивающих функциональную безопасность, с учетом результатов проведенного аудита(ов)фуикциоиальнойбезопасности (см. 6.4.8).

С.4.3 Рассмотрение целесообразности и эффективности реализованных мер безопасности, которые могут быть оценены в ходе разработки устройства.

С.4.4 Следование рекомендациям, вытекающим из результатов предыдущих о цепок функц иона льн ой безопасности. включая любые выполненные корректирующие действия, если они применимы (см. 6.4.9.7 и 6.4.9.8).

C.S Оценка результатов анализа опасности и оценки рисков (см. раздел 7 ИСО 26262-3, и. если применим. раздел S ИСО 26262-8)

Оценка полноты результатов анализа опасности и оценки рисков, а также правильности определения УПБА (включая оценку качества) и целей безопасности, учитывая процедуру анализа опасности и оценки риска, рассматриваемую в настоящем стандарте.

С.6 Оценка плана интеграции и тестирования устройства (см. ИСО 26262-4)

Оценка соответствия плана интеграции и тестирования устройства требованиям к интеграции и тестированию настоящего стандарта.

С.7 Оценка плана подтверждения соответствия (см. ИСО 26262-4)

Оценка соответствия плана подтверждения соответствия требованиям настоящего стандарта к мероприятиям по подтверждению соответствия безопасности системы.

С.8 Оценке подтверждений проверкой эксплуатацией кандидатов (см. раздал 14 ИСО 26262*8), если это применимо

С.8.1 Оценка, определяющей, обосновываются ли заявленные значения доверия проверке эксплуатацией кандидатов результатами выполненных для них различных видов анализа (с учетом любых действий по обеспечению безопасности, связанных с настройкой).

С.8.2 Оценка эффективности контроля а процессе эксплуатации.

С.8.3 Оценка изменений кандидата, которые рассматриваются при подтверждении проверкой эксплуатацией.

С.9 Оценка доклада по оценке критериев инструментальных средств программного обеспечения и доклада о квалификации инструментальных средств программного обеспечения (см. раздел 11 ИСО 26262-8)

С.9.1 Подтверждение правильной оценки требуемого уровня уверенности в инструментальном(ых) средстве^) программного обеспечения, используемых для разработки устройства или связанного с безопасностью элемента.

С.9.2 Оценка квалификации ииструмеитальиых(ого) средста(а) программного обеспечения с учетом требуемого уровня уверенности в соответствующих инструментальных средствах программного обеспечения.

С.10 Оценка аидоа анализа системы безопасности (см. раздел 8 ИСО 26262-9)

Оценка правильности выполнения различных видов анализе системы безопасности, идентифицирующих сбои или неадекватные механизмы системы безопасности, которые могут привести к нарушению цели безопасности.

Обзор верификационных оценок

Таблице 0.1 содержит перечень верификационных оценок, которые требуются а других частях ИСО 26262 (см. также раздел 9 ИСО 26262-6).

Таблица 0.1 — Необходимые верификационные оценки

Тема верификационной оценки

Наибольшее значение УПБА. характориэуюшее цепи безопасности устройства

Раздел, о котором рекомендуется отчет

А

В

С

0

Анализ опасностей и оценка рисков устройства (см. разделы 5 и 7 ИСО 26262-3, и. если применимо, раздел S ИСО 26262-6)

Требуется"

Раздел 7 ИСО 26262-3

Цели системы безопасности

Требуется

Раздел 7 ИСО 26262-3

Концепция функциональной безопасности

Требуется

Раздел 8 ИСО 26262-3

Спецификация технических требований системы безопасности

Требуется

Раздел 6 ИСО 26262-4

Проектирование на уровне системы

Требуется

Раздел 7 ИСО 26262-4

Требования к техническим средствам системы безопасности

Требуется

Раздел 6 ИСО 26262-5

Проектирование технических средств

Требуется

Раздел 7 ИСО 26262-5

Результаты прикладных методов для оценки метрик архитектуры аппаратных средств

Ь)

Рекомен

дуется

Требуется

Требуется

Раздел 8 ИСО 26262-5

Анализ возможных нарушений цели системы безопасности из-за случайных отказов аппаратных средств, с учетом применяемого метода оценки

Ь)

Рекомен

дуется

Требуется

Требуется

Раздел 9 ИСО 26262-5

Требования к программному обеспечению системы безопасности и к уточненному программно-аппаратному интерфейсу

Требуется

Разделы 6 и 11

ИСО 26262-6

Проектирование архитектуры программного обеспечения

Требуется

Раздел 7 ИСО 26262-6

Проектирование и реализация модуля программного обеспечения

Требуется

Раздел 8 ИСО 26262-6

Протокол о квалификации компонента программного обеспечения

Требуется для квалифицируемых компонентов программного обеспечения

Раздел 12 ИСО 26262-8

Протокол о квалификации компонента технических средств

Требуется для квалифицируемых компонентов технических средств

Раздел 13 ИСО 26262-8

Различные виды анализа системы безопасности

Требуется

Раздел 8 ИСО 26262-9

•* Область применения данного отчета включает также опасные события, оцененные как ОМ. Ь| Никаких требований и рекомендаций ни за. ни против.

Пример программы оценки функциональной безопасности (для устройств» цель системы безопасности которых имеет значение УПБА, равное D)

Е.1 Менеджмент системы безопасности

Е.1.1 Применение а организации культуры безопасности и вспомогательных процессов при оценке проекта. Е.1.2 Применение управления компетенцией и практикой непрерывного совершенствования при оценке проекта.

Е.1.3 Роли и ответственность при оценке проекта.

Е.1.4 План по обеспечению безопасности оцениваемого проекта и планирование распределенной разработки.

Е.1 .S Настройка жизненного цикла системы безопасности, а том числе подтверждение проверкой а эксплуатации кандидатов оцениваемого проекта.

Е.1.6 Аудиты функциональной безопасности, обоснование безопасности и доступные документы.

Е.2 Действия по обеспечению безопасности на стадии формирования концепции

£ 2.1 Определение устройства.

Е.2.2 Анализ опасностей и оценка рисков.

Е.2.3 Концепция функциональной безопасности.

Е.2.4 Зависимости устройства и его концепции безопасности от других систем или функций.

E.2.S Распределение требований функциональной безопасности между:

•    Э/Э элементами:

•    элементами, основанными на других технологиях;

•    интерфейсами с внешними мерами.

Е.2.6 Верификация концепции функциональной безопасности.

Е.З Действия по обеспечению безопасности иа стадии разработки системы

Е.3.1 Планирование разработки, интеграции и подтверждение соответствия системы.

Е.З.2 Техническая концепция системы безопасности и ее верификация.

Е.3.3 Проектирование системы и предотвращение систематических отказов.

Е.3.4 Распределение технических требований к безопасности элементов аппаратных средств и программного обеспечения и оценка программно-аппаратного интерфейса.

Е.З.5 Верификация проекта системы.

Е.4 Разработка аппаратных средств

Е.4.1 Планирование разработки, квалификации и интеграции аппаратных средств.

Е .4.2 Требования кбезопасности аппаратных средств, проектирование и верификация аппаратных средств. £ 4.3 Ограничения архитектуры аппаратных средств.

Е.4.4 Оценка вероятности нарушения целей безопасности случайными отказами аппаратных средсга.

£ 4.5 Интеграция и тестирование аппаратных средств.

E.S Разработка программного обеспечения

E.S.1 Планирование разработки, квалификации и интеграции программного обеспечения.

E.S.2 Требования к безопасности программного обеспечения, проектирование архитектуры программного обеспечения, разработка и реализация модулей программного обеспечения.

E.S.3 Тестирование модулей программного обеспечения.

E.S.4 Тестирование и интеграция программного обеспечения.

Е.5.5 Верификация требований к безопасности программного обеспечения.

Е.6 Интеграция устройства

£.6.1 Планирование интеграционных тестов.

Е.6.2 Интеграция аппаратных средств и программного обеспечения и их тестирование.

Е.6.3 Интеграция системы/устройстеа.

£.6.4 Интеграция в автотранспортное средство.

Е.7 Подтверждение соответствия безопасности системы и запуск а производство Е.7.1 Действия по подтверждению соответствия.

Е.7.2 Документаций по подтверждению соответствий и запуск в производство.

Е.8 Планирование производстве и обслуживания

Е.8.1 Связанные с безопасностью специальные характеристики производства.

Е.8.2 Связанные с безопасностью специальные характеристики эксплуатации, обслуживания и вывода из эксплуатации.

Е.9 Результат

Документация по оценке функциональной безопасности, рекомендации и действия, которые должны быть выполнены после оценки функциональной безопасности.

Сведения о соответствии ссылочных международных стандартов и документов национальным стандартам Российской Федерации

Таблице ДА.1

Обозначение ссылочного международного

Степей»

Обозначение и наименование соответствующего

стандарта, документа

соответствия

национального стандарта

ИСО 26262-1:2011

е

ИСО 26262-3 2011

е

ИСО 26262-4:2011

ИСО 26262-5 2011

е

ИСО 26262-6.2011

е

ИСО 26262-7:2011

ИСО 26262-8:2011

9

ИСО 26262-9:2011

9

* Соответствующий национальный стандарт отсутствует. До его утверждения рекомендуется использовать перевод ив русский язык данного международного стандарта. Перевод денного международного стандарта находится в Федеральном информационном фонде технических регламентов и стандартов.

Библиография

f 1) ISO 9001. Quality management systems — Requirements

(2)    iSOrrS 16949. Quality management systems — Particular requirements for the application of ISO 9001:2006 for automotive production end relevant service partorganl2atlons

(3)    ISO/IEC 15504 (all parts). Information technology — Process assessment

(4)    IEC61506 (all pads). Functional safety of electricel/eiectronic/programmable electronic safety-related systems

УДК 62-783:614.8:331.454:006.354    ОКС 43.040.10

Ключевые слова: функциональная безопасность: жизненный цикл систем: транспортные средства: электрические компоненты, электронные компоненты; программируемые электронные компоненты и системы, менеджмент функциональной безопасности: требования к жизненному циклу: оценка функциональной безопасности

Редактор ГС. Никифорова Технический редакторе И. Прусокосо Корректор И. А. Коро леев Компьютерная оерстка И.А Нопойноиои

Сдано в набор 04.09.2015. Подписано а печать 05.10.2015. Формат вО « 64 Гарнитура Ариап. Уел. пен. п. 3,72. Уч -иад. п. 3,35. Тиран 30 эка Зек. 3196.

Издано и отпечатано ео ФГУП кСТАНДАРТИНФОРМ». 123995 Москва. Гранатный пер . 4. www Qosbnlo.ru