База ГОСТовallgosts.ru » 43. ДОРОЖНО-ТРАНСПОРТНАЯ ТЕХНИКА » 43.040. Системы дорожно-транспортных средств

ГОСТ Р ИСО 26262-3-2014 Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции

Обозначение: ГОСТ Р ИСО 26262-3-2014
Наименование: Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции
Статус: Действует

Дата введения: 05/01/2015
Дата отмены: -
Заменен на: -
Код ОКС: 43.040.10
Скачать PDF: ГОСТ Р ИСО 26262-3-2014 Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции.pdf
Скачать Word:ГОСТ Р ИСО 26262-3-2014 Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции.doc


Текст ГОСТ Р ИСО 26262-3-2014 Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции



ФЕДЕРАЛЬНОЕ АГЕНТСТВО

ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ


ГОСТ Р ИСО

26262-3-

2014


НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

ДОРОЖНЫЕ ТРАНСПОРТНЫЕ СРЕДСТВА. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ

Часть 3

Стадия формирования концепции

ISO 26262-3:2011

Road vehicles — Functional safety — Part 3: Concept phase

(IDT)

Издание официальное

Москва

Стенда ртинформ 2016


Предисловие

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Корпоративные электронные системы» и Федеральным государственным учреждением «Консультационно-внедренческая фирма в области международной стандартизации и сертификации — «Фирма «интерстандарт» на основе собственного аутентичного перевода на русский языкмвждународногостандарта.указанногов пункте4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 58 «Функциональная безопасность»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии России от 10 июня 2014 г. N9 522-ст

4    Настоящий стандарт идентичен международному стандарту ИСО 26262-3:2011 «Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции» (ISO 26262-3:2011 «Road vehicles — Functional safety — Part 3: Concept phase»).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов и документов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    8ВЕДЕН ВПЕРВЫЕ

Правила применений настоящего стандарта установлены в ГОСТ Р 1.0—2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты» . В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агвнлктва по техническому регулированию и метрологии е сети Интернет ()

© Стандартинформ.2016

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

и

Содержание

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

in

Введение

Комплекс стандартов ИСО 26262 является адаптацией комплекса стандартов МЭК 61506 и предназначен для применения электрических и/или электронных (Э/Э) систем в дорожно-транспортных средствах.

Эта адаптация распространяется на все виды деятельности в процессе жизненного цикла систем, связанных с безопасностью, включающих электрические, электронные и программные компоненты.

Безопасность является одним из важнейших вопросов в автомобилестроении. Создание новых функциональных возможностей не только в таких системах, как содействие водителю, силовые установки. управление динамикой автомобиля, но и в активных и пассивных системах безопасности тесно связано с деятельностью по проектированию систем безопасности. Разработка и интеграция этих функциональных возможностей повышает необходимость использования процессов разработки систем безопасности и обеспечения доказательств того, что все обоснованные цели системы безопасности выполнены.

С ростом сложности технологий, программного обеспечения и мехатронных устройств увеличиваются риски, связанные с систематическими отказами и случайными отказами оборудования. Чтобы предотвратить эти риски, комплекс стандартов ИСО 26262 включает соответствующие требования и процессы.

Безопасность системы достигается за счет ряда мер безопасности, которые реализуются с применением различных технологий (например, механических, гидравлических, пневматических, электрических, электронных, программируемых электронных) и применяются на различных уровнях процесса разработки. Несмотря на то. что настоящий стандарт касается функциональной безопасности Э/Э систем, подход, рассматриваемый в настоящемстандарте. можетбытьиспользован для разработки связанных с безопасностью систем, основанных на других технологиях. Настоящий стандарт:

a)    обеспечивает жизненный цикл систем безопасности автомобиля (менеджмент, разработку, производство, эксплуатацию, обслуживание, вывод из эксплуатации) и поддерживает адаптацию необходимых действий для выполнения этих стадий жизненного цикла:

b)    обеспечивает разработанный специально для автотранспорта основанный на риске подход для определения уровней полноты безопасности (уровни полноты безопасности автомобиля (УПБА)];

c)    использует значения УПБАпри спецификации соответствующих требований, чтобы предотвратить неоправданный остаточный риск:

d)    устанавливает требования к мерам проверки соответствия и подтверждения, которые обеспечивают достижение достаточного и приемлемого уровня безопасности:

e)    устанавливает требования к взаимодействию с поставщиками.

На функциональную безопасность влияют процессы разработки (в том числе спецификация требований, реализация, внедрение, интеграция, верификация, подтверждение соответствия и управление конфигурацией), процессы производства и обслуживания, а также процессы управления.

Вопросы безопасности тесно связаны с любыми опытно-конструкторскими работами, реализующими функционал и обеспечивающими качество создаваемых изделий, а также с результатами таких работ. Настоящий стандарт рассматривает связанные с безопасностью проблемы, касающиеся опытно-конструкторских работ и их результатов.

На рисунке 1 показана общая структура комплекса ИСО 26262. 8 нем для различных стадий разработки изделия используется эталонная V-модель процесса. На рисунке 1:

•    залитая область в виде символа «V» представляет взаимосвязь между ИСО 26262-3, ИСО 26262-4. ИСО 26262-5. ИСО 26262-6 и ИСО 26262-7:

•    ссылки на конкретную информацию даны ввиде: «m-п», где «т» представляет собой номер части настоящего стандарта, а «п» указывает на номер раздела этой части.

Пример — 2-6 ссыпается на пункт 6 ИСО 262S2-2.

2. Управление функциональной безопасностям

24 Обиде упраапемм системой безопасности

24 /правление системой Сеоопзоости кз стадкяд федомро^ния мэниепиии и раз работе* шоетя

2-7 Итрвапемм сметшей безопасности после «впуска устройстве в производство

3. Стадия формирования 1 концепции


34 Определенно устройстве


з-е Формирование имннедо цикла системы бвэопаоюстм


3-7 Анализ опасностей и оценке риегэ


3-е Кокцепцм функциональной безопасности


4. Разработке изделия на уровне системы

I 44 Начагьная подствдая разработки ' изделия « уровне систем*

4-113алу» в производство

4-10 Оцегета функциогольиой безопасности

44 Специфмсвция татмчососх требований к системе безопасности

44 Подтверждение соответствия

безопасности

I 4-7 Проектирование системы

4-в Иитегрэцу* и таетнро ванна устройства


17. Произаодстао и эксплуатация

7-3 Производство


74 Э«стшуете1*1Я. обспумиеамге

I (капитальный и текуим* ремонт) и снятие с эксплуатации


5. Разработке изделия на уровне' аппаратного обеспечения

3-5 Начальная паостадия разработки морлплп н* уроот аппаратного Об*СГ)МНМ*


'в. Разработка изделия на уровне1 программного обеспечения

3-5 начальная подладив рвфебатч! программного обеслеммм шдетя


34 Спецификация требований к аппаратный средствам системы безопасности    _

3-7 Проектирование аппаратных средств _ _

54 Опреоепеиие метрмс едатекгуры аппаратных средств 54 0цемса нарушений ции беэслес-иости вел ад стене слупЯгьи отказов аппврвпадх средств

3-10 Интеграция и тестирование аппаратных средств _ в-7 проектирование архитектуры

программисте обеелвчектя

34Гфэекгиросыгмо и реегмэвцчя модулой врограмьетого обеспечения

34 тевтмрееание модуля прстращвиго обеспечения_

3-10 Интеграция и тестирование программного обеспечения_

3-11 Верификаций требований к безопасности гротрвыьыого обеспечетя

j_L


8. Вспомогательные процессы


34 интерфейсы внутри оасгтоеламмх овзоаботск

3-10 Документиооеамге

84 Спв1ягФикаиий и управление требованиям безопасности

3-11 Уверенность а использовании инструментального программного обеспечения

3-7 Упоаапемие юивигумиией

3-12 КвагиФяаикя компонентов программного обеспечения

34 УТвевпеиие иэмодеиняии

3*13 Каалифихация компонент ое елпаеетных средств

34 ВеокФиквиия

3-141 ютеесашаиме проеескоП а аиоптаташв!


9. Анализ уровня полноты безопасности автомобиля и анализ безопасности автомобиля

34 зекомпозиии* требований с оэсгоаоегечием У! ЬА

9-7 Анализ аэекммых отказов

34 Комтеоий совместимости элементов

94 Анализ системы безопасности

10. Руководящие указания по ИСО 26262


Рисунок 1 —Общая структуре ИСО 26282


ГОСТ Р ИСО 26262-3—2014


НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ДОРОЖНЫЕ ТРАНСПОРТНЫЕ СРЕДСТВА. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ

Часть 3

Стадия формирования концепции

Road vehicles. Functional safety. Part 3. Concept phase

Дата введения — 2015—OS—01

1    Область применения

Настоящий стандарт применяется к связанным с безопасностью системам, включающим в себя одну или несколько электрических и/или электронных (Э/Э) систем, которые установлены в серийно производимых легковых автомобилях с максимальной массой (брутто) транспортного средства до 3500 кг. Настоящий стандарт не применяется для уникальных Э/Э систем в транспортных средствах специального назначения, таких как транспортные средства, предназначенные для водителей с ограниченными возможностями.

Системы и их компоненты, находящиеся е производстве или на стадии разработки до даты публикации настоящего стандарта, не входят в его область применения. Если разрабатываемые автомобили или их модификации используют системы и их компоненты, выпущенные до публикации настоящего стандарта, то только модификации этих систем должны быть разработаны в соответствии с настоящим стандартом.

Настоящий стандарт рассматривает возможные опасности, вызванные некорректным поведением Э/Э связанных с безопасностью систем, а также некорректным взаимодействием этих систем. Настоящий стандарт не рассматривает опасности, связанные с поражением электрическим током, возгоранием, задымлением, перегревом, излучением, токсичностью, воспламеняемостью, химической активностью, коррозией и подобные опасности, если они непосредственно не вызваны некорректным поведением Э/Э связанных с безопасностью систем.

Настоящий стандарт не рассматривает номинальные рабочие характеристики Э/Э систем, даже если для таких систем существуют стандарты, посвященные их функциональным рабочим характеристикам (например, активные и пассивные системы безопасности, тормозные системы, адаптивный круиз-контроль).

Настоящий стандарт устанавливает требования для стадии формирования концепции изделия для автомобильной промышленности, в том числе к:

•    определению устройства;

•    подстадии начального формирования жизненного цикла системы безопасности;

•    анализу опасностей и оценке рисков;

•    концепции функциональной безопасности.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ИСО 26262-1:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 1. Термины и определения (ISO 26262-2:2011. Road vehicles — Functional safety — Part 1: Vocabulary)

Падение официальное

ИСО 26262-2:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности (ISO 26262-2:2011. Road vehicles — Functional safety — Part 2: Management of functional safety)

ИСО 26262-4:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 4. Разработка изделия на уровне системы (ISO 26262-4:2011, Road vehicles — Functional safety — Part 4: Product development at the system level)

ИСО 26262-5:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия (ISO 26262-5:2011. Road vehicles — Functional safety — Part 5: Product development at the hardware level)

ИСО 26262-6:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 6. Разработка программного обеспечения изделия (ISO 26262-6:2011. Road vehicles — Functional safety — Part6: Product developmental the software level)

ИСО 26262-7:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 7. Производство и эксплуатация (ISO 26262-7:2011. Road vehicles — Functional safety — Part 7: Production and operation)

ИСО 26262-8:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 8. Вспомогательные процессы (ISO 26262-8:2011. Road vehicles — Functional safety - Part 8: Supporting processes)

ИСО 26262-9:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 9. Анализ уровня полноты безопасности автомобиля и анализ безопасности автомобиля (ISO 26262-9:2011. Road vehicles — Functional safety —Part 9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses)

3    Термины, определения и сокращения

В настоящем стандарте применимы термины, определения и сокращения по ИСО 26262-1:2011.

4    Требования соответствия настоящему стандарту

4.1    Общие требования

Для соответствия настоящему стандарту должно быть выполнено каждое его требование, если для этого требования не выполняется одно из следующих условий:

a)    в соответствии с настоящим стандартом предусмотрена настройка действий по обеспечению безопасности, поэтому данное требование не применяется или

b)    существует обоснование того, что несоблюдение данного требования допустимо, а также показано соответствие этого обоснования настоящему стандарту.

Информация, обозначенная как «примечание» или «пример», должна использоваться только для понимания или уточнения соответствующего требования и не должна толковаться как самостоятельное требование или быть для него полной или исчерпывающей.

Результаты действий по обеспечению безопасности представлены как результаты работы. В пунктах «Предварительные требования» перечисляется информация, которая должна быть доступна как результат работы предыдущей стадии. Так как некоторые требования разделов настоящего стандарта зависят от УПБА или могут быть адаптированы, то некоторые результаты работы в качестве предварительных условий могут не понадобиться.

В пунктах «Дополнительная информация» содержится информация, которую можно учитывать, но для которой в некоторых случаях настоящий стандарт не требует, чтобы она была результатом работы предыдущей стадии. Такая информация можетбыть доступна из внешних источников, от лиц илиоргани-заций. которые не несут ответственность за деятельность по обеспечению функциональной безопасности.

4.2    Интерпретация таблиц

В настоящем стандарте используются нормативные или справочные таблицы в зависимости от их контекста. Перечисленные в таблице различные методы вносят вклад в уровень уверенности в достижении соответствия с рассматриваемым требованием. Каждый метод в таблице включен либо в

a)    последовательный список методов (он обозначен порядковым номером в левой колонке, например. 1.2.3) или

b)    альтернативный список методов (он обозначен номером с последующей буквой в левом столбце, например. 2а. 2Ь, 2с).

8 случае последовательного списка должны применяться все методы согласно рекомендациям для соответствующего значения УПБА. Если будут применяться другие методы, отличные от перечисленных. то должно быть дано обоснование, что они удовлетворяют соответствующим требованиям.

8 случае альтернативного списка должна применяться подходящая комбинация методов в соответствии с указанным значением УПБА неэависимоот того, перечислены в таблице эти комбинации или нет. Если перечисленные методы имеют разные степени рекомекдуемости их применения для некоторого значения УПБА. то следует отдать предпочтение методам с более высокой степенью рекомен* дуемости. Должно быть дано обоснование, что выбранная комбинация методов выполняет соответствующее требование.

Примечание — Обоснование, основанное не методах, перечисленных в таблице, является достаточным. Но ото не означает. что существует какое-то предубеждение за или против применения методов, не перечисленных в таблице.

Для каждого методе степень рекомендуемости его применения зависит от значения УПБА и классифицируется следующим образом

■ «м« означает, что метод очень рекомендуется для определенного значения УПБА;

•    «♦* означает, что метод рекомендуется для определенного значения УПБА.

•    «О» означает, что метод не имеет рекомендации за или против его применения для определенного значения УПБА.

4.3 Требования и рекомендации, зависимые от значения УПБА

Требования или рекомендации каждого подраздела должны соблюдаться для значений УПБА А. В. СиО.еслинеуказано иное. Этитребованияирекомендациисвязанысозначениями УПБА цели безопасности. Если в соответствии с требованиями раздела 5 ИСО 26262-9 декомпозиция УПБА была выполнена на более ранней стадии разработки, то значения УПБА. полученные в результате декомпозиции, должны соблюдаться.

Если в настоящем стандарте значение УПБА дается в круглых скобках, то соответствующий подпункт должен рассматриваться как рекомендация, а не требование для этого значения УПБА. Это не относится к круглым скобкам в нотации, связанной с декомпозицией УПБА.

5 Определение устройства

5.1    Цели

Первой целью настоящего раздела является определение и описание устройства, его зависимостей и взаимодействие с внешней средой и другими устройствами.

Второй целью является поддержка адекватного понимания этого устройства, чтобы могли быть выполнены соответствующие действия на последующих стадиях.

5.2    Общие положения

8 данном разделе перечислены требования и рекомендации к формированию определения устройства, учитывая его функциональность, интерфейсы, условия внешней среды, правовые требования. опасности и т. д. Это определение позволит обеспечить достаточным объемом информации об устройстве лиц. выполняющих последующие лодстадии: «начальное формирование жизненного цикла системы безопасности» (см. раздел 6). «анализопасностей иоценка рисков» (см. раздел 7) и «концепция функциональной безопасности» (см. разделе).

Примечание — Таблица А.1 содержит обзор целей, предварительных требований и результатов работы стадии формирования концепции.

5.3    Входная информация

5.3.1    Предварительные требования

Не задаются.

5.3.2    Дополнительная информация

Следующая информация может быть учтена:

•    любая информация, связанная сустройством. которая уже существует, например, идея изделия, эскизный проект, соответствующие патенты, результаты предварительных испытаний, документация от предшествующих устройств, соответствующая информация о других независимых от разрабатываемого устройствах.

з

5.4    Требования и рекомендации

5.4.1    Должны быть определены функциональные и нефункциональные требования устройства, а также зависимости между устройством и его окружением.

Примечен и я

1    Требования могут быть классифицированы как связанные с безопасностью после определения целей безопасности и значений их УПБА.

2    Требуемая информации является необходимым вкладом в определение устройства, хотя она не связана с безопасностью. Если такая информация отсутствует, то ее создание может быть инициировано требованиями настоящего пункта.

Эта информация включает в себя:

a)    концвпциювыполняемойустройствомфункции. описание цели и функционального назначения, в том числе режимов работы и состояний устройства:

b)    эксплуатационные ограничения и ограничения внешней среды;

c)    правовые требования (в частности, законы и постановления), национальные и международные стандарты;

d)    описание поведения, реализуемое аналогичными функциями, устройствами или элементами, если таковые имеются.

e)    предположения об ожидаемом поведении устройства:

f)    возможные последствия вследствие некорректного поведения, включая известные отказы и опасности.

Примечание — Могут быть включены известные, связанные с безопасностью инциденты в подобных устройствах.

5.4.2    Должны быть определены габариты устройства, его интерфейсы и предположения о его взаимодействии с другими устройствами и элементами, учитывая:

a)    элементы устройства.

Примечание — Элементы могут также быть основаны на других технологиях:

b)    предположения о влиянии поведения устройства на другие устройства или элементы, которые окружают устройство;

c)    взаимодействия устройств с другими устройствами или элементами;

d)    функциональность, необходимую другим устройствам, элементам и окружающей среде;

e)    функциональность, необходимую от других устройств, элементов и окружающей среды:

f)    выделение и распределение функций между включенными в устройство системами и элементами;

д) сценарии работы, которые влияют на функциональность устройства.

5.5    Результаты работы

Определение устройства формируется в результате выполнения требований 5.4.

6 Начальное формирование жизненного цикла системы безопасности

6.1    Цели

Первая цель начального формирования жизненного цикла системы безопасности — установить различие между разработкой нового устройства и модификацией существующего устройства (см. рисунок 2 ИСО 26262-2).

Вторая цель заключается в определении действий в процессах жизненного цикла системы безопасности (см. рисунок2 ИСО 26262-2), которые будут выполняться в случае модификации.

6.2    Общие положения

На основании определения устройства выполняется начальное формирование жизненного цикла системы безопасности либо для разработки нового, либо для модификации существующего устройства. В случае модификации существующего устройства происходит настройка связанных с безопасностью действий.

6.3    входная информация

6.3.1    Предварительные требования

Следующая информация должна быть доступна:

•    определение устройства в соответствии с требованиями 5.5.1.

6.3.2    Дополнительная информация

Следующая информация может быть учтена:

•    еще не охваченная определением устройства, любая имеющаяся информация, полезная для выполнения анализа влияния.

Пример — Концепция изделия, запросы на изменение, осуществление планирования, подтверждение проверкой эксплуатацией.

6.4    Требования и рекомендации

6.4.1    Определение вида разработки

6.4.1.1    Должно быть установлено, является ли создание устройства новой разработкой или. если это модификация, то существующего устройства или его внешней среды:

a)    в случае новой разработки она должна начинаться с анализа опасностей и оценки рисков в соответствии с разделом 7:

b)    в случае модификации устройства или его внешней среды, выполняемые подстадии жизненного цикла и действия на них определяются в соответствии с 6.4.2.

Примечание — При модификации может быть использовано подтверждение проверкой в эксплуатации {см. раздел Ы ИСО 26262-8).

6.4.2 Анализ влияния и возможная настройка жизненного цикла системы безопасности при модификации

6.4.2.1    Должен быть проведен анализ влияния для того, чтобы определить и описать предполагаемое изменение, применяемое к устройству или его окружению, и оценить влияние таких модификаций.

Примечания

1    Модификации устройства включают в себя модификации проекта и модификации реализации устройства. Модификации проекта могут возникнуть в результате изменений требований (например, функциональных или связанных с повышением производительности и оптимизацией затрат). Модификации реализации не влияют на спецификацию или производительность устройства, а только на особенности реализации.

Пример — Модификации реализации моаут возникнуть в результате корректировки программного обеспечения или в случае новой разработки или новых средств производства.

2    Модификации данных конфигурации или калибровочных данных рассматриваются квк модификации устройства, если они влияют на его функциональное поведение.

3    Модификации внешней среды устройства могут возникнуть в результате установки устройства в новую целевую внешнюю среду (например, другой вариант автомобиля) или в результате модернизации других устройств или элементов, взаимодействующих с (или находящихся в непосредственной близости от) данным устройством.

6.4.2.2    Анализ влияния должен выявить и указать области, на которые повлияли модификации устройства и изменения между предыдущими и будущими условиями использования этого устройства, в том числе:

a)    эксплуатационные ситуации и режимы работы:

b)    интерфейсы с внешней средой:

c)    характеристики установки, такие как расположение в транспортном средстве, конфигурации и варианты транслортного средства:

d)    диапазоны значений параметров окружающей среды, например, температуры, высоты над уровнем моря, влажности, вибрации, электромагнитных помех, а также видов топлива.

6.4.2.3    Должно быть идентифицировано и описано значение модификации для функциональной безопасности.

6.4.2.4    Должны быть идентифицированы иописаны результаты работы, на которые модификации оказали влияние и которые должны быть обновлены.

6.4.2.5    Должны быть настроены действия по обеспечению безопасности в соответствии с применяемой стадией жизненного цикла.

6.4.2.6    Настройка должна быть основана на результатах анализа влияния.

s

6.4.2.7    Результаты настройки должны быть включены е план по обеспечению безопасности в соответствии сб.4,3 ИСО 26262-2.

6.4.2.8    Результаты работы, на которые модификации оказали влияние, должны быть получены повторно.

Примечание — Результатом работы, на который влияют модификации, является план подтверждения соответствия (см. ИСО 26262-4).

6.4.2.9    8 случае потери результатов работы или если результаты работы не соответствуют требованиям настоящего стандарта, должны быть определены необходимые действия для достижения такого соответствия.

6.5 Результаты работы

6.5.1    Анализ влияния

В результате выполнения требований 6.4.2.1—6.4.2.4.

6.5.2    План по обеспечению безопасности (уточненный)

В результате выполнения требований 6.4.2.5-6.4.2.Э.

7 Анализ опасностей и оценка рисков

7.1    Цель

Целью анализа опасностей и оценки рисков является идентификация и классификация опасностей. которые могут привести к неправильному функционированию устройства, а также формулирование целей безопасности, связанных с предотвращением или смягчением последствий опасных событий, чтобы избежать необоснованного риска.

7.2    Общие положения

Анализ опасностей, оценки рисков и определение значения УПБА используются для определения целей безопасности для элемента так, чтобы предотвратить неоправданный риск. С этой целью оцениваются потенциально опасные события устройства. Цели безопасности и их значения УПБА определяются систематической оценкой опасных событий. Значения УПБА определяются с учетом оценки влияющих факторов, таких как тяжесть, вероятность воздействия и управляемость опасного события. Для этого необходимо знать функциональное поведение элемента, поэтому детальное проектирование элемента не обязательно должно быть известно.

7.3    входная информация

7.3.1    Предварительные требования

Следующая информация должна быть доступна:

-    определение устройства в соответствии с 5.5.

7.3.2    Дополнительная информация

Следующая информация может быть учтена:

-    результаты анализа влияния, если они применимы (см. 6.5.1), и

-    соответствующая информация о других независимых устройствах (из внешнего источника).

7.4    Требования и рекомендации

7.4.1    Запуск процедуры анализа опасностей и оценки рисков

7.4.1.1    Анализ опасностей и оценка рисков должны быть основаны на определении устройства.

7.4.1.2    Анализ опасностей и оценка рисков устройства должны выполняться без его внутренних механизмов безопасности, то есть механизмы безопасности, предназначенные для реализации или которые уже были реализованы в предшественнике устройства, не должны рассматриваться при анализе опасностей и оценке рисков.

Примечания

1    При оценка устройства могут быть полезны доступные и достаточно независимые внешние меры.

Пример — Система динамической стабилизации может смяечить последствия отказов е системах шасси, обеспечивая дополнительное управление, если показано, что она доступна и достаточно независима.

2    Механизмы безопасности устройства, которые предназначены для реализации или уже были реализованы. включены в концепцию функциональной безопасности.

7.4.2 Анализ ситуации и идентификация опасности

7.4.2.1    Анализ ситуации

7.4.2.1.1    Должны быть описаны эксплуатационные ситуации и режимы работы, а которых некорректное поведение устройства приводит к опасному событию, как для случаев, когда транспортное средство используется правильно, так и для предсказуемо неправильного использования.

Примечание — Эксплуатационная ситуация предусматривает пределы, а которых устройство должно вести себя безопасным образом, например, для обычного пассажирского дорожного транспортного средства не предполагается, что оно должно двигаться по пересеченной местности с большой скоростью.

7.4.2.2 Идентификация опасностей

7.4.2.2.1    Опасности должны определяться систематически при использовании соответствующих методов.

Примечание — Для выявления опасности на уровне устройства могут быть использованы такие методы, как мозговой штурм, контрольные листы, картина изменения качества во времени. FMEA и полевые исследования.

7.4.2.2.2    Опасности должны бытьопределены в терминах условий или поведения, которые можно наблюдать на уровне автомобиля.

Примечания

1    8 общем случае каждая опасность будет иметь несколько возможных причин, связанных с реализацией устройства, но они не должны рассматриваться в ходе анализа опасностей и оценки рисков для определения условий или поведения, которые возникают при рассмотрении функционального поведения устройства.

2    Могут рассматриваться только опасности, связанные с самим устройством, все остальные системы (внешние меры), как предполагается, будут функционировать правильно, если они достаточно независимы.

7.4.2.2.3    Должны быть определены опасные события для соответствующих комбинаций эксплуатационных ситуаций и опасностей.

7.4.2.2.4    Должны быть идентифицированы последствия опасных событий.

Примечание — Если отказы на уровне устройства вызывают потерю нескольких функций устройства, то анализ ситуации и процедура выявления опасности рассматривают результирующие опасные события из-за неправильного поведения всего устройства или транспортного средства.

Пример — Отказ бортовое системы електропитения может привести к одновременной потере ряде функций, в том числе «крутящеео моменте деиеетеля», «еидроусилителя рулееоео управления» и «переднего освещения».

7.4.2.2.5    Если существуют опасности, идентифицированные в соответствии с 7.4.2.2. которые находятся вне области применения настоящего стандарта (см. раздел 1}, то должна быть особо отмечена и доведена до сведения ответственных лиц необходимость соответствующих мер по смягчению или управлению этими опасностями.

Примечание — Для таких опасностей, находящихся вне области применения настоящего стандарта, их классификация не является необходимой.

7.4.3 Классификация опасных событий

7.4.3.1    Всеопаснывсобыгия. идентифицированныев соотввтствиис7.4.2.3. должны бытькласси-фицироеаны, кроме тех. которые находятся вне области применения настоящего стандарта.

Примечание — Если классификацию данной опасности по тяжести последствий, вероятности воздействия или управляемости сделать трудно, то она классифицируется консервативно, то есть всякий раз. когда есть сомнения, ей присваивается более высокое знвчение УЛБА. в не низкое.

7.4.3.2    Тяжесть последствий потенциального вреда должна оцениваться на основе определенного обоснования для каждого опасного события. Тяжесть последствий должна быть отнесена к одному из классов тяжести последствий SO. S1. S2 и S3 в соответствии с таблицей 1.

Примечания

1 Оценка риска опвсных событий основывается на возможном причинении вреда каждому человеку, подвергающемуся влиянию опасного события, включая водителя или пассажиров транспортного средства, вызывающего опасное событие, и других лиц. потенциально находящихся в опасности, таких как велосипедисты, пешеходы и пассажиры другихтранспортных средств. Для характеристики степени тяжести последствий может бытьислользованв Краткая Шкала Повреждений (КШП). представленная в приложении в. Примеры различных типов тяжести последствий и аварий см.в приложении В.

2    Класс тяжести последствий может быть основан не сочетании травм и это может привести к более высокой оценке тяжести последствий, чем результат простого рассмотрения отдельных травм.

3    Оценка учитывает обоснованную последовательность событий для оцениваемой ситуации.

А Определение тяжести последствий основано на репрезентативной выборке лиц из потенциального круга покупателей.

Таблица 1 — Классы тяжести последствий

Класс

SO

S1

S2

S3

Описание

Нет траам

Легкие и умеренные травмы

Тяжелые и опасные для жизни травмы (вероятное выживание)

Опасные для жизни раны (сомнительное выживание). травмы со смертельным исходом

7.4.3.3    Класс тяжести последствий SO может быть назначен, если анализ рисков установит, что последствия ошибочного поведения устройства четко ограничены материальным ущербом и не влекут за собой вред людям. Если опасности присваивается класс тяжести последствий SO. то назначение УПБА не требуется.

7.4.3.4    Вероятность воздействия каждой эксплуатационной ситуации должна быть оценена на основе определенного обоснования для каждого опасного события. Вероятность воздействия должна быть отнесена к одному из классов вероятности воздействия ЕО. Е1. Е2. ЕЗ и Е4 в соответствии с таблицей 2.

Примечания

1    Для классов от Е1 до Е4 разница а значении вероятности воздействия от одного класса Е до следующего составляет один порядок величины.

2    Определение воздействия основано на репрезентативной выборке эксплуатационных ситуаций для рынковсбытв.

3    Для получения дополнительной информации и примеров, связанных с вероятностью воздействия, см. приложение В.

Таблице 2 — Классы вероятности воздействий эксплуатационных ситуаций

Класс

ЕО

Е!

Е2

ЕЗ

Е4

Описание

Невероятное

Очень низкая вероятность

Низкая вероятность

Средняя вероятность

высокая вероятность

7.4.3.5    Количество транспортных средств, оснащенных устройством, не должно учитываться при оценке вероятности воздействия.

Примечание — При выполнении оценки вероятности воздействия предполагается, что каждый автомобиль оснащен устройством. Это означает, что аргумент «вероятность воздействия может быть уменьшена, потому что устройство не присутствует а каждом транспортном средстве (так как только некоторые автомобили оснащены устройством}», является недопустимым.

7.4.3.6    Класс ЕО может быть использован для тех ситуаций, которые определены во время анализа опасности и оценки риска и которые считаются крайне необычными или невероятными, и. следовательно. не рассматриваются. Должно быть документально оформлено обоснование для исключения таких ситуаций. Еслиопасностилрисваивается класс воздействия ЕО. тоне требуется назначения УПБА.

Пример — ЕО может быть использован в случав •форсчиажорноео» риска (си. В.З).

7.4.3.7    Управляемость каждого опасного события водителем или другими лицами, потенциально находящимися в опасности, должна быть оценена на основе определенного обоснования для каждого опасного события. Управляемость должна быть отнесена к одному из классов управляемости СО. С1. С2 и СЗ в соответствии с таблицей 3.

Примечания

1    Для классов от С1 до СЗ разница в значении вероятности от одного класса С до следующего составляет один порядок величины.

2    Под оценкой управляемости понимается оценка вероятности того, что водитель или другие лица, потенциально находящиеся в опасности, смогут получить достаточный контроль над опасным событием, таким образом, что они могут избежать конкретного вреда. Для этой цели используется параметр С. с классами С1. С2 и СЗ для классификации возможности избежать вреда. Предполагается, что водитель находится в надлежащем состоянии для управления (например, ок/ока не устала), имеет соответствующую водительскую подготовку (он / она имеет водительское удостоверение) и соблюдает все действующие правила дорожного движения, в том числе необходимые требования предосторожности, чтобы избежать рисков для других участников дорожного движения. Некоторые примеры, которые служат интерпретацией данных классов, приведены в таблице 8.4. Учитывается рвзумно предсказуемое неправильное использование.

3    вели опасное событие не связано с направлением и скоростью движения транспортного средства, например. возможный захват ловушкой нижней конечности, управляемость может быть оценена вероятностью того, что находящийся в опасности человек в состоянии вывести себя из опвсного состояния, или был выведен из опасной ситуации другими людьми. При рассмотрении управляемости предполагается, что человек, находящийся в опасности, не должен быть знаком с работой устройства

4    При анализе управляемости в ситуации с несколькими участниками дорожного движения ее оценка может быть основана на управляемости автомобиля с неисправным устройством и вероятных действиях других участников.

Таблица 3 — Классы управляемости

Класс

со

С1

С2

СЗ

Описание

Полностью управляемое

Легко управляемое

Обычно управляемое

Трудно управляемое или неконтролируемое

7.4.3.8 Класс СО может быть использован для опасностей, не охваченных данным устройством, если они не влияют на безопасную эксплуатацию транспортного средства (например, некоторые системы помощи водителю). Класс СО также может быть назначен, если существуют отдельные специальные документы, определяющие поведение при определенной опасности, и назначение СО объясняется использованием существующего опыта по достаточной управляемости этой опасностью. Если опасности присваивается класс управляемости СО. то не требуется назначения УПБА.

Пример — Отдельным специальным актом является сертификация системы автомобиля с точным определением значений мощности или ускорения в случае отказа.

7.4.4 Определение значения УПБА и целей безопасности

7.4.4.1 Значение УПБА должно быть определено для каждого опасного события, используя параметры «тяжести последствий», «вероятности воздействия» и «управляемости» в соответствии с таблицей 4.

Примечания

1    Определены четыре значения УПБА. УПБА А. УПБА 8. УПБА С и УПБА О. где значение УПБА. равное А. является самым низким значением уровня полноты безопасности автомобиля, а значение УПБА. равное О. — самым высоким.

2    8 дополнение к этим четырем значениям УПБА классу ОМ (управление качеством) не назначается требование соответствия нестоящему стандарту.

Таблица 4 — Определение УПБА

Классы тяжести последствий

Класс вероятности воздействия

Класс улравляеиости

С1

С2

СЗ

S1

£1

ОМ

ОМ

ОМ

62

ОМ

ОМ

ОМ

£3

ОМ

ОМ

А

£4

ОМ

А

В

Окончание таблицы 4

Классы тяжести последствий

Класс вероятности воздействия

Класс управляемости

С1

С2

сэ

S2

Е1

ОМ

ОМ

ОМ

Е2

ОМ

ОМ

А

ЕЭ

QM

А

8

Е4

А

8

С

S3

Е1

QM

ОМ

А

Е2

ОМ

А

8

ЕЗ

А

в

С

Е4

в

С

О

7.4.4.2    Должно быть обеспечено, что выбранный уровень детализации списка эксплуатационных ситуаций не приведет к несоответствующему снижению У ПБА соответствующих целей безопасности.

Примечание — Подробный список эксплуатационных ситуаций (см. 7.4.2.1.1) для одной опасности, связанных с состоянием автомобиля, дорожными условиями и условиями внешней среды, может привести к подробной классификации опасных событий. Это может облегчить оценку управляемости и тяжести последствий. Однако большое количество различных эксплуатационных ситуаций может привести к логически вытекающему сокращению соответствующих классов воздействия и. таким образом, к несоответствующему снижению значения УПБА соответствующих целей безопасности.

7.4.4.3    Для каждого опасного события должна быть определена цель безопасности со значением УПБА. оцениваемым при анализе рисков. Если определены похожие цели безопасности, то они могут быть объединены в одну цель безопасности.

Примечание — Цели безопасности являются требованиями безопасности самого высокого уровня для данного устройства. Они приводят к требованиям функциональной безопасности, необходимым для предотвращения необоснованного риска для каждого опасного события. Цели безопасности не выражаются через технологические решения, в формулируются в терминах функциональных задач.

7.4.4.4    Значение УПБА. определяемое для опасного события, должно быть назначено соответствующей цели безопасности. Если же цели безопасности объединяются в одну, в соответствии с 7.4.4.3. то такой цели безопасности должно быть назначено наибольшее из значений УПБА. объединяемых целей безопасности.

Примечание — Если объединяемые цели безопасности относятся к одной опасности в различных ситуациях. то значение УПБА. результирующей цели безопасности, должно быть наибольшим среди рассматриваемых целей безопасности любой из ситуаций.

7.4.4.5    Если цель безопасности может быть достигнута путем перехода к одному или нескольким безопасным состояниям или их поддержкой, тосоответствующее(ие) безопасное(ые)состояние(я) должно быть специфицировано.

Примечание — Безопасные состояния рассматриваются а разделе в.

Пример — Безопасными состояниями моеут быть: отключено, заблокировано, стоящий автомобиль и поддержка функциональности в случае отказа в течение олределенноао времени.

7.4.4.6    Цели безопасности вместе с их атрибутами (значениями УПБА) должны быть специфицированы е соответствии с требованиями раздела 6 ИСО 26262-6.

Примечание — Цель безопасности может включать в себя такие параметры, как интервал сбоеустой-чивости или физические характеристики (например, максимальный уровень нежелательного крутящего момента рулевого колеса, максимальный уровень нежелательного ускорения), если они имеют отношение к определению значения УПБА.

7.4.5 верификация

7.4.5.1 Анализ опасностей, оценка рисков и цели безопасности должны быть верифицированы в соответствии с требованиями раздела 9 ИСО 26262-6. чтобы показать их:

а) полноту охвата ситуаций (7.4.2.1) и опасностей (7.4.2.2);

b)    соответствие с определением устройства:

c)    согласованность с соответствующим анализом опасностей и оценками рисков:

d)    полноту охвата опасных событий: а также

e)    согласованность назначенных значений УПБА с соответствующими опасными событиями.

Примечание — верификационная оценка проверяет корректность и полноту результатов анализа опасностей и оценки рисков устройства, т. е. рассматриваемых ситуаций, опасностей и результатов оценки параметров (тяжести последствий, вероятности воздействий и управляемости). С другой стороны, оценка подтверждения результатов анализа опасностей и оценки рисков, выполняемая а соответствии с частью 2 настоящего стандарта, проверяет формально, что процедура анализа опасностей и оценки рисков соответствует требованиям раздела 7. Такая оценка подтверждения выполняется лицом или лицами из других отделов или организаций, которые не участвовали в разработке устройства.

7.5 Результаты работы

7.5.1    Анализ опасностей и оценки рисков

8 результате выполнения требований 7.4.1.1—7.4.4.2.

7.5.2    Цели безопасности

8 результате выполнения требований 7.4.4.3—7.4.4.6.

7.5.3    Протокол верификационной оценки анализа опасностей и оценки рисков и целей безопасности

8 результате выполнения требований 7.4.5.

8 Концепция функциональной безопасности

8.1    Цель

Целью концепции функциональной безопасности является получение требований к функциональной безопасности из целей безопасности и их распределение по элементам предварительной архитектуры устройства или по внешним мерам.

8.2    Общие положения

Для выполнения целей безопасности концепция функциональной безопасности должна содержать меры безопасности, е том числе механизмы безопасности, которые должны быть реализованы элементами архитектуры устройства и специфицированы в требованиях функциональной безопасности.

Концепция функциональной безопасности направлена на:

•    обнаружение неисправностей и смягчение последствий отказов;

•    обеспечение перехода в безопасное состояние:

•    создание отказоустойчивых механизмов, в которых неисправность непосредственно не приводит к нарушению цели (целей) безопасности и которые поддерживают устройство в безопасном состоянии (с или без деградации):

- обнаружение неисправностей и предупреждение водителя для того, чтобы сократить время воздействия риска до приемлемого интервала (например, контрольная лампа о неправильной работе двигателя, лампа предупреждения о сбое ABS);

•    применение арбитражной логики, чтобы выбрать наиболее подходящий запрос из нескольких запросов, генерируемых одновременно различными функциями.

На рисунке 2 показан иерархический подход, с помощью которого в результате анализа опасностей и оценки рисков определяются цели безопасности. Затем из целей безопасности формируются требования функциональной безопасности.

Структура и распределение требований к системе безопасности между соответствующими частями настоящего стандарта приведены на рисунке 3. Требования функциональной безопасности распределяются элементам предварительной архитектуры.

Применение — На рисунке конкретный раздел каждой части настоящего стандарта указан следующим образом: «т-п», где «т» представляет собой номер части, а «п» указывает на номер раздела, например. 3-6 представляет рвздел 6 ИСО 26262-3.

Рисунок 2 — Иерархия целей системы безопасности и требований функциональной безопасности

8.3    входная информация

8.3.1    Предварительные требования

Следующая информация должна быть доступна:

-    определение устройства в соответствии с требованиями 5.5;

-    результаты анализа опасностей и оценки рисков в соответствии с требованиями 7.5.1;

*    цели безопасности в соответствии стребованиями 7.5.2.

8.3.2    Дополнительная информация

Следующая информация может быть учтена:

•    предположения о предварительной архитектуре (из внешнего источника).

8.4    Требования и рекомендации

8.4.1    Общие положения

Требования функциональной безопасности должны быть заданы в соответствии с требованиями раздела 6 ИСО 26262-8.

8.4.2    Вывод требований функциональной безопасности

8.4.2.1    Требования функциональной безопасности должны быть выведены из целей безопасности и безопасных состояний с учетом предположений о предварительной архитектуре.

8.4.2.2    По крайней мере одно требование функциональной безопасности должно быть определено для каждой цели безопасности.

Примечание — Одно требование функциональной безопасности может быть применимым для нескольких целей безопасности.

8.4.2.3    Каждое требование функциональной безопасности должно быть определено с учетом следующего (если применимо):

a)    режима работы;

b)    интервала сбоеустойчивости;

c)    безопасных состояний;

0) интервала работы в аварийном режиме.

е) функциональной избыточности (например, сбоеустойчивости).

Примечание — Эта деятельность может быть поддержана анализом безопасности (например. FMEA. FTA. НА20Р) для того, чтобы разработать полный набор эффективных требований функциональной безопасности.

Примечание — На рисунке конкретный раздел каждой части настоящего стандарта указан следующим образом: «m-л», где «т* представляет собой номер части, а «л» указывает на номер раздела, например. 3-6 представляет раздел 6 ИСО 26262-3.

Рисунок 3 — Структура требований к системе безопасности

8.4.2.4    Если безопасное состояние не может быть достигнуто путем перехода к нему за приемлемый интервал времени, то должен быть специфицирован аварийный режим.

Пример — Если безопасное состояние не может быть достигнуто путем немедленного отключения системы, то должен быть специфицирован подходящий аварийный режим.

8.4.2.5    Должна бытьэадана концепция предупреждения и постеленного снижения эффективности в виде требований функциональной безопасности.

Примечание — Переходы в и из безопасного состояния и условия для перехода (переход в безопасное состояние и восстановление из безопасного состояния) описаны в концепции предупреждения и постепенного снижения эффективности.

Примеры

1    При обнаружении неисправности и смяечении последствий отказе выполняется переход в безопасное состояние.

2    При обнаружении неисправности водителю выдается предупреждение для тоео. чтобы сократить время воздействия риска до приемлемоао интервала (например, контрольная лампа о неправильной работе двиеателя. лампа предупреждения о сбое ABS)

8.4.2.6 Если в соответствии с целями безопасности водителю или другим лицам, потенциально подвергающимся риску, делаются предложения о необходимых действиях, то следует, чтобы:

a)    такие действия были определены в концепции функциональной безопасности и

b)    соответствующие средства и элементы управления, доступные водителю или другим лицам, потенциально подвергающимся риску, были определены в концепции функциональной безопасности.

Примечание — Действия включают а себя те. для которых в ходе оценки управляемости было сформировано доверие, а также любые дальнейшие необходимые действия, принятые для выполнения целей безопасности после реализации требований безопасности.

Пример — Адаптивный круиз-контроль: для преодоления торможения водителю лредлвееется нажать на педаль акселераторе.

Примечания

1    Может оказаться полезным анализ задач водителя при рассмотрении предотвращения перегрузки водителя. предотвращения неожиданности/паники/шока(потери возможности управления транспортным средством) водителя, и режима путаницы (неверное предположение о режиме рябо гы)

2    Информация, специфицированная в концепции предупреждения и постепенного снижения эффективности и в необходимых действиях водителя и других лиц. потенциально подвергающихся риску, является исходной для руководства пользователя (см. 6.4.1 ИСО 26262-7).

8.4.3 Распределение требований функциональной безопасности

8.4.3.1    Требования функциональной безопасности должны быть распределены по элементам предположений о предварительной архитектуре.

Примечание—Вопросы резервирования и независимости могут быть проверены путем анализа зависимых отказов (см. раздел 7 ИСО 26262-9):

a)    в ходе распределения значение УПБА и информация, приведенная в 8.4.2.3. должны быть унаследованы от соответствующей цели безопасности, или. если значение УПБА декомпозировано, то от более высокого уровня:

b)    если несколько требований функциональной безопасности распределены одному элементу архитектуры, то такой элемент архитектуры должен быть разработан в соответствии с самым высоким для этих требований безопасности значением УПБА. если для предварительной архитектуры нельзя обосновать независимость или отсутствие влияния;

c)    если устройствосостоит более чем из одной системы, то требования функциональной безопасности для отдельных систем и их интерфейсов должны быть заданы с учетом предположений о предварительной архитектуре. Эти требования функциональной безопасности должны быть распределены по системам;

d} если при распределении требований функциональной безопасности выполняется декомпозиция значения УПБА. то она должна применяться в соответствии с требованиями раздела 5 ИСО 26262-9.

8.4.3.2    Если концепция функциональной безопасности предполагает использование элементов, основанных на других технологиях, то применяются следующие положения:

a)    требования функциональной безопасности, реализуемые элементами, основанными на других технологиях, должны быть выведены и распределены по соответствующим элементам архитектуры;

b)    должны быть заданы требования функциональной безопасности, касающиеся интерфейсов элементов, основанных на других технологиях.

c)    реализация требований функциональной безопасности элементами, основанными на других технологиях, должна быть обеспечена путем принятия конкретных мер. требования к которым выходят за область применения настоящего стандарта;

d)    для таких элементов не должны назначаться значения УПБА.

Примечание — Адекватность элементов, основанных на других технологиях, поквзыввется в процессе подтверждения соответствия (см. ИСО 26262-4).

8.4.3.3 Если концепция функциональной безопасности предполагает использование внешних мер. то применяются следующие положения:

a)    требования функциональной безопасности, реализуемые внешними мерами, должны быть выведены и сообщены;

b)    должны быть заданы требования функциональной безопасности для интерфейсовсвнешними мерами:

c)    если внешние меры реализуются на основе одной или нескольких Э/Э систем, то требования функциональной безопасности должны определяться на основе настоящего стандарта;

d)    выполнение требований функциональной безопасности внешними мерами должно быть гарантировано.

Примечание — Адекватность внешних мер показывается а процессе подтверждения соответствия {см. ИСО 26262*4).

8.4.4    Критерии подтверждения соответствия

8.4.4.1    Критерии принятия подтверждения соответствия безопасности устройства должны быть заданы на основе требований функциональной безопасности.

Примечание — О дополнительных требованиях к детапизации критериев и список характеристик, необходимых для подтверждения соответствия, см. в пунктах 6.4.6.2 и 9.4,3.2 ИСО 26262*4.

8.4.5    верификация концепции функциональной безопасности

8.4.5.1    Концепция функциональной безопасности должна быть верифицирована в соответствии с требованиями раздела 9 ИСО 26262*8. чтобы показать ее:

a)    согласованность и соответствие целям безопасности и

b)    способность смягчать или предотвращать опасные события.

Примечания

1    верификация способности смягчать или предотвращать опасное событие на стадии формирования концепции может быть основана на тех же методах, которые используются для подтверждения соответствия. Результаты оценки могут указать на улучшение концепции. Однако необходимо иметь а виду, что основной задачей подтверждения соответствия безопасности, осуществляемого в соответствии с требованиями раздела 9 ИСО 26262*8. является создание устройстве, разрабатываемого в соответствии с требованиями настоящего стандарта, а не исследования концепции (например, прототипов).

Пример — Способность смяечать или предотвращать опасное событие может быть оценена тестами, испытаниями или экспертом, используя прототипы, исследования, предметные тесты или моделирование.

2    верификация способности смягчать или предотвращать опасное событие учитывает характеристики сбоя (например, временный или постоянный).

3    Для верификации может быть использовано подтверждение, основанное на прослеживаемости, например. если устройство соответствует требованиям функциональной безопасности, то ото устройство соответствует целям безопасности, из которых были получены зти требования.

8.5    Результаты работы

8.5.1    Концепция функциональной безопасности

8 результате выполнения требований 8.4.1—8.4.4.

8.5.2    Протокол верификации концепции функциональной безопасности

8 результате выполнения требований 8.4.5.

Приложение А (справочное)

Обзор и поток документов стадии формирования концепции

Таблице А.1 содержит обзор целей, предварительных требований и результатов рвботы стадии формирования концепции.

Таблица А.1 — Обзор стадии формирования концепции

Раздел

Цели

Предварительные

требования

Результаты работы

5 Определение устройства

Первой целью настоящего раздела является определение и описание устройства, его зависимостей от и взаимодействие с внешней средой и другими устройствами. Второй целью является поддержка адекватного понимания этого устройства, чтобы могли быть выполнены соответствующие действия на последующих стадиях

Не задаются

S.S Определение устройства

6 Начальное формирование жизненного цикла системы безопасности

Первая цель начального формирования жизненного цикла системы безопасности — установить различие между разработкой нового устройства и модификацией существующего устройства (см. рисунок 2 ИСО 26262-2).

Вторая цель заключается в определении действий в процессах жизненного цикла системы безопасности (см. рисунок 2 ИСО 26262-2). которые будут выполняться в случае модификации

Определение устройства

6.5.1    Анализ влияния.

6.5.2    План по обеспечению безопасности (уточненный)

7 Анализ опасностей и оценка рисков

Целью анализа опасностей и оценки рисков является идентификация и классификация опасностей. которые могут привести к неправильному функционированию устройства, а также формулирование целей безопасности, связанных с предотвращением или смягчением последствий опасных событий, чтобы избежать необоснованный риск

Определение устройства

7.5.1    Анализ опасностей и оценка рисков.

7.5.2    Цели безопасности.

7.5.3    Протокол верификационной оценки анализа опасностей и оценки рисков и целей безопасности

6 Концепция функциональной безопасности

Целью концепции функциональной безопасности является получение требований к функциональной безопасности из целей безопасности и их распределение по элементам предварительной архитектуры устройства или по внешним мерам

Определение устройства.

Анализ опасностей и оценка рисков.

Цели безопасности

8.5.1    Концепция функциональной безопасности.

8.5.2    Протокол верификации концепции функциональной безопасности

Приложение В (справочное)

Анализ опасностей и оценка рисков

8.1 Общие положения

В настоящем приложении представлен общий подход, реализуемый в методе анализа опасностей и оценки рисков. Примеры, приведенные в В.2 (тяжесть последствий). 8.3 (вероятность воздействия) и В.4 (управляемость), являются демонстрационными и не являются исчерпывающими.

В рассматриваемом аналитическом подходе риск Пописывается квкфункцияЯотчастоты появленияопасно-го события 1. от способности предотвратить конкретный вред или ущерб путем своевременной реакции причастных лиц или управляемости С и от потенциальной тяжести последствий, полученного вреда или ущерба S.

R « Я (С. С. S).

Частота появления опасного события Л в свою очередь, зависит от нескольких факторов. Одними из рассматриваемых факторов являются частота и длительность нахождения людей в ситуации, когда вышеупомянутое опасное событие может произойти, в настоящем стандарте используется более простая мера — вероятностьсценария вождения, в котором может произойти опасное событие (называется — воздействие и обозначается Е). Еще одним фактором является интенсивность отказов устройства, которые могут привести к опасному событию (частота отказов, а). Частоте отказов характеризуется опасными случайными отказами технических средств и систематическими ошибками, которые остались в системе:

f*E*k.

Метод анализа опасностей и оценки рисков используется для установления требований к устройству с целью предотвращения неоправданного риска.

Значения УПБА. полученные в результате анализа опасностей и оценки рисков, определяют минимальный набор требований кустройству. выполнение которых обеспечивает управление или снижение вероятности случайных отказов аппаратных средств, а также предотвращение систематических ошибок. Интенсивность отказов устройства не считается априорной (при оценке риска), поскольку неоправданный остаточный риск можно избежать путем реализации результирующих требований безопасности.

Подстадия анализа опасностей и оценки рисков состоит из трех представленных ниже шагов.

в) Анализ ситуации и идентификация опасности (см. 7.4.2). Целью анализа ситуации и идентификации опасностей является выявление случаев возможного непреднамеренного поведения устройстве, которые могут привести к опасному событию. Деятельность, связанная с анализом ситуаций и идентификацией опасностей, требует четкого определения устройства, его функциональности и его границ. Она основана на знании поведения устройства, поэтому информация о детальном проекте устройства не обязательно должна быть известна.

Пример— Факторы, учитываемы* при анализе ситуации и идентификации опасности, моеут включать в себя:

•    сценарии использования транспортного средства, например, вождение с высокой скоростью. вождение в городе, парковка, вождение во внедорожных условиях:

•    условия внешней среды, например, сцепление с поверхностью дороеи. боковой ветер:

•    разумно предсказуемое правильное и неправильное использование водителем автомобиля: а также

•    взаимодействие между действующими системами.

b)    Классификация опасных событий (см. 7.4.3). Схема классификации опасности включает в себя определение степени тяжести последствий, вероятности воздействия и управляемости, связанных с опасностями событий устройства. Тяжесть последствий представляет собой оценку потенциального вреда в конкретной ситуации вождения. е то время как вероятность воздействия определяется соответствующей ситуацией. Управляемость оценивает. насколько легко или трудно для водителя или других участников дорожного движения избежать конкретный тип аварии в конкретной оперативной обстановке. Для каждой опасности, в зависимости от количества сеязвнныхс ней опасных событий, классификация приведет к одной или более комбинации из тяжести последствий, вероятности воздействия и управляемости.

c)    Определение значения УПБА (см. 7.4.4). Определение необходимого уровня полноты безопасности автомобиля.

В.2 Примеры тяжести последствий

в.2.1 Общие положения

Возможные травмы в результате опасного события оцениваются для водителя, пассажиров и людей вокруг автомобиля или лиц. находящихся вблизи автомобиля, чтобы определить класс тяжести последствий для данной опасности. Звтем. используя эту оценку, определяется соответствующий класс тяжести последствий, например, как показано в таблице 8.1.

Таблица 01 — Примеры классификации тяжести последствий

Класс тяжести последствий (см. таблицу 1 >

SO

S1

S2

S3

Ссылка на одиночные травмы {из шкалы УШП>

УШП 0 и с вероятностью манвв Ю %УШП 1—в;

Повреждения, которые не могут быть классифицированы как связанные с беэоласностыо

С вероятность*» болев Ю % УШП 1—6 {И не S2 и S3)

С вероятностью болев 10% УШП 3-6 (И не S3}

С вероятностью болов Ю % УШП 5—6

Примеры

•    Удары с объектами придорожной инфраструктуры.

-    Наезд на придорожные столбы, ограждения и т. д

-    Легкое столкновение

-    Легкое повреждение при скользящем ударе.

•    Поереждете а процессе парковки.

•    Съезд с дороги без столкновения или опрокидывания

- Боковой удар с у жим неподвижным объектом, например, столкновение с деревом (повреждение в зоне пассажира} с очв»* низкой скоростью.

•    Боковое столкновение с легковым автомобилем (например, повреждение в зоне салона автомобиля )с очень тмзкой скоростью.

•    Заднее/переднее столкновение с другим Лесковым автомобилем сочень низкой скоростью

•    Столкновение с взаимным минимальным проникновением {10%— 20 %} транспортных средств. Переднее столкновение (например. а задмою честь впереди идущего автомобиля, полуприцепа грузового автомобиля и т. п.)без повреждения пассажирской зоны

-    Боковой удар с узким неподвижным объектом, например, столкновение с деревом (повреждение в зоне пассажира) с низкой скоростью.

-    Боковое столкновение с легковым автомобилем (например, повреждение в зоне салона авто-ыобиля)с низкой скоростью.

•    Зад нее/перед нее столкновение с другим легковым автомобилем с низкой скоростью

•    Наезд на пешеход а/велосипедиста при совершеши поворота {на перекрестках и улицах города)

-    Боковой удар с ужим неподвижна м объектом, например столкновение с деревом (повреждение в зоне пассажира) со средней скоростью.

•    Боковое столююеение с лелевым автомобилем (например, повреждение в зоне салона автомобиля) со средоей скоростью.

-    Заднее/лереднеестолкноаениес другим легковым автомобилем со средней скоростью

•    Наезд на пешехода/велосипедиста (например, на 2-х полосной дороге).

•    Переднее столкновение (например. а задмою часть впереди идущего автомобиля полупрщепа грузового автомобиля итд)сп» вреждемием пассажтфской зоны


ГОСТ Р ИСО 26262-3—2014


В таблице В.1 приводятся примеры последствий, которые могут возникнуть для данной опасности и соответствующий класс тяжести для каждого последствия.

Из-за сложности аварий и многообразия возможных вариантов аварийных ситуаций примеры, приведенные в таблице В.1. представляют собой лишь приблизительную оценку последствий аварии. Они представляют собой ожидаемые значения, основанные на предыдущих результатах аварий. Поэтому из этих отдельных описаний не могут быть получены общезначимые (общепринятые) заключения.

Для определения распределения травм, которые можно ожидать для различных типов аварий, может быть использована статистика несчастных случаев.

В таблице 8.1 упрощенная шкала повреждений (УШП) представляет собой классификацию классов травм, но только для единичных травм. Вместо УШП могут быть использованы другие классификации, такие как максимально упрощенная шкале повреждений (МУШП) и классификация тяжести повреждения (ISS).

Использование конкретной шкалы повреждений зависит от состояния медицинских исследований во время выполняемого анализа. Таким образом, целесообразность использования различных шкал травм, таких как УШП. ISS и NISS. может со временем меняться (2). |4]и |5).

В.2.2 Описание классов УШП

Для оценки тяжести последствий используется УШП. представляющая собой классификацию тяжести травм. Она создана Ассоциацией по развитию автомобильной медицины (АААМ) (2). Метод, использующий УШП. создан для сопоставления степени повреждения на международном уровне. Шкала разделена на семь классов:

УШП 0. Нет повреждений.

УШП 1. Легкие повреждения, такие как поверхностные раны, боли в мышцах, повреждение мягких тканей шеи

ит.д.

УШП 2. Умеренные повреждения, такие как глубокие раны, сотрясение с лотерей сознания на 1S минут, переломы трубчатой кости без осложнений, переломы ребра без осложнений и т. д.

УШП 3. Тяжелые повреждения, не угрожающие жизни, такие как перелом основания черепа без травмы головного мозга, вывихи позвонков ниже четвертого шейного позвонка без повреждения спинного мозга, перелом более одного ребра без парадоксального дыхания и т. д.

УШП 4. Тяжелые повреждения (опасные для жизни, вероятное выживание), такие как сотрясение мозга с или без перелома основания черепа с потерей сознания на 12 часов, парадоксальное дыхание

УШП S. Критические повреждения (опасные для жизни, сомнительное выживание), такие как переломы позвонков ниже четвертого шейного позвонка с повреждением спинного мозга, разрывы кишечника, кардиальные разрывы, потеря сознания более чем не 12 часов, включая внутримозговое кровоизлияние.

УШП 6. чрезвычвйно критические или смертельные повреждения, такие как переломы шейного отдела позвоночника выше третьего шейного позвонка с повреждением спинного мозга, открытые раны полостей тела (грудная и брюшная полости) и т. д.

В.З Примеры и объяснения вероятности воздействия

Оценка вероятности воздействия требует оценки сценариев, в которых оказывают влияние соответствующие факторы внешней среды, способствующие возникновению опасности. Сценарии, которые будут оцениваться, включают в себя широкий спектр процессов вождения или эксплуатационных ситуаций.

Эти оценки при обозначении опасных сценариев попадают в одну из пяти классификаций вероятности воздействия, которые составляют следующий набор. ЕО (самый низкий уровень воздействия). El. Е2. ЕЭ и Е4 (самый высокий уровень воздействия).

Первый из них. ЕО. присваивается ситуациям, которые, хоть и выявлены в ходе анализа опасностей и рисков, считаются необычными или невероятными. После оценки опасности, связанные исключительно со сценариями уровня ЕО. могут быть исключены из дальнейшего анализа.

Пример — Типичные примеры сценариев уровня ЕО екточают е себя:

a)    очень необычные или неосуществимые, одновременновозниквтщие обстоятельстве, например,

•    транспортное средство, лопавшее в ДТП с участием друеоео транспортного средства, кото-рое перевозит опасные материалы (необходимо заметить, что это не распространяется на транспортное средство, которое предназначено для перевозки таково материала);

•    транспортное средство, попавшее в инцидент, в котором участвует самолет, совершающий посадку на шоссе;

b)    стихийные бедствия, например, землетрясение, урааан. лесной пожар.

Остальные Е1.Е2.ЕЭ и Е4 уровни предназначены для ситуаций, которые могут стать опасными либо в зависимости от продолжительности ситуации (частичного совпадения во времени) или частоты возникновения ситуации.

Примечание — Классификация может зависеть, например, от географического положения или вида использования (см. 7.4.3.4).

Если воздействие ранжируется на основе продолжительности ситуации, то вероятность воздействия можно оценить с помощью отношения времени нахождения в рассматриваемой ситуации к общему времени работы (когда включено зажигание). 8 особых случаях общее время работы может быть сроком службы транспортного средства (в том числе, когда включено зажигание). В таблице В.2 приведены примеры классификаций по длительностям этих ситуаций и ранжирование типичных воздействий в каждой из них.

Примечание — Опасность может быть связана с продолжительностью денного сценария (нвлример. среднее время преодоления транспортных развязок), в то время как другая опасность может быть связана с частотой этого же сценария (например, частота повторного преодоления автомобилем транспортных развязок).

Кроме того, некоторые оценки воздействия могут быть определены более точно, если использовать частоту возникновения ситуации, связанной с вождением. В этих условиях уже существующие сбои системы приводят к опасному событию в течение короткого интервала после возникновения такой ситуации. Примеры такихдорожных ситуаций и ранжирование типичных воздействий на них приведены в таблице 6.3.

Таблице 8.2 — Классы вероятности воздействия в зависимости от продолжительности эксплуатационной ситуации

Класс вероятности воздействия о эксплуатационных ситуациях

Е1

Е2

ЕЗ

Е4

Продолжительность <44 от среднего времени работы)

Не задано

< 1 44 среднею времени работы

1 44—-10 44 среднего времени работы

>10 4 среднего времени работы

Примеры

Дороги

•    Горный перевал с не-обустроенным большим уклоном.

•    Пересечение проселочной дороги.

•    Шоссейный въезд не зстаквду.

•    Шоссейный съезд с эстакады

- Улице с односторонним движением

-    Шоссе.

• Второстепенная дороге.

-    Проселочная дороге

Дорожное

покрытие

•    Снег и лед на дороге.

•    Скользкие листья не дороге

• Мокрая дорога

Близле

жащие

элементы

- Потерянный груз или препятствие в полосе движения (на шоссе)

•    В евтомойке.

•    Приближение к концу пробки(на шоссе)

• В туннеле.

- Пробки не дорогах

Автомобиль в стационарном состоянии

• Автомобиль во время запуска от внешнего источника.

- В ремонтном гараже (не кеткоеом стенде)

•    С трейлером на прицепе.

•    С багажником не крыше.

•    Транспортное средство не заправке.

•    В ремонтном гараже (во время диагностики или ремонте.

•    На подъемнике

• Автомобиль на уклоне (удержание на уклоне)

Маневр

- Движение под уклон с выключенным двигателем (на перевале)

•    Движение задним ходом (с парковки).

•    Движение задним ходом (по улице городе).

•    Обгон.

•    Парковка (со спящим человеком в автомобиле).

•    Парковке (с трейлером на прицепе)

• Интенсивное движение (режим стерт стол)

-    Ускорение.

-    Замедление.

-    Выполнение поворота (руление).

-    Парковка (на стоянка).

-    Перестроение (не улице города).

-    Остановка у светофора (на улице города).

• Перестроение (не шоссе)

Обзор

(Види

мость)

• Неосвещенные ночью дороги

Т в б л и ц а В.З — Классы вероятности воздействия в зависимости от частоты эксплуатационных ситуаций

Класс вероятности воздействия в эксплуатационных ситуациях (см. таблицу 2)

Е1

Е2

ЕЗ

Е4

Частота ситуации

Происходит реже, чем один раз о год дли большинства водителей

Происходит несколько раз в год для большинства водителей

Происходит раз а месяц или чаше для среднестатистического водителя

Происходит «о время ломти каждой повадки о средней

Примеры

Дороги

• Горный перевал с необустро-внным большим уклоном

Дорожное покрытие

• Снег и лед не дороге

- Мокрая дорога

Близлежащие

элементы

-    В туннеле.

-    8 автомойке.

• Пробки на дорогах

Автомобиль в стационарном состоянии

- Автомобиль остановился и требует перезапуска двигателя (не железнодорожном переезде).

•    Автомобиль на буксире.

•    Автомобиль во время запуска от внешнего источника

•    С трейлером не прицепе.

•    С багажником на крыше

-    Транспортное средство на заправке.

-    Автомобиль на уклоне (удержание не уклоне)

Маневр

• Маневр уклонения. с отклонением от желаемого пути

- Обгон

•    Трогание с места.

•    Механическое переключение передачи.

•    Ускорение.

-    Замедление.

-    Выполнение поворота (руление).

•    Движение по показаниям приборов.

•    Маневрирование автомобиля в парковочное положение.

•    Движение задним ходом

Дорожная ситуация характеризуется как продолжительностью, так и частотой, например вождение автомобиля на автостоянке. В таком случае примеры, приведенные в таблицах В.2 и В.З. не могут привести кодинвковой категории воздействия, поэтому выбирается наиболее подходящий класс вероятности воздействия для анализа рассматриваемого сценария вождения.

Если период времени, в котором отказ остается скрытым, сопоставим с периодом времени, в течение которого может произойти опасное событие, то для оценки вероятности воздействия рассматривают этот период времени. Обычно это касается устройств, которые должны действовать по запросу, например, система упрввпения подушками безопасности.

В этом случае вероятность воздействия оценивается как о * Т, где о является частотой возникновения опасных событий и 7 является длительностью временного периода, в течение которого отказ не воспринимается (возможно, срок службы автомобиля). Это приближение в* ^справедливо, если его значение мало.

Примечание — Что касается продолжительности рассматриваемого отказа, то следует отметить, что анализ опасностей и оценка рисков не учитывает механизмов безопасности, являющихся частью устройства (ем. 7.4.1.2).

В.4 Примеры управляемости (возможности избежать вреда)

Для определения класса управляемости для данной опасности необходимо оценить вероятность того, что среднестатистический водитель сможет сохранить или восстановить контроль над транспортным средством при появлении данной опасности.

Такая оценка вероятности включает рассмотрение вероятности того, что среднестатистические водители смогут сохранить или восстановить контроль над транспортным средством, если опасность должна была произойти. или вероятности того, что люди, попавшие а ситуацию или находящиеся в непосредственной близости от нее. будут способствовать тому, чтобы предотвратить опасность в результате своих действий. Это соображение основано на предположениях о необходимости управления своими действиями для лиц. участвующих в опасных сценариях для сохранения или восстановления контроля над ситуацией, а также для поведения среднестатистического водителя, управляющегоавтомобилем (которое может быть связано с потенциальным кругом покупателей, возрастом физического лица, координацией глаз-рука, опытом вождения, культурой, и т. д.).

Примечание — На оценку управляемости может влиять ряд факторов, а том числе культурный фон аналитиков. потенциальный круг покупателей транспортных средств или профили водителя для потенциального круга покупателей.

в таблице В.4 приведены примеры дорожных ситуаций, в которых введены сбои, и предположения о соответствующем управлении поведением, которое позволило бы избежать вреда. Эти ситуации отображаются в ранжировании управляемости посредством введения уровней 90 % и 99 % для оценки управляемости участников.

Таблице В.4 — Примеры возможной управляемости опасными событиями для водителей или лиц. потенциально подвергающихся риску

Факторы и сценарии вождения

Классы управляемости (см. таблицу 3)

СО

С1

С2

а

Полная

«и 1 ро лиру ем ост а

99 % или более всех водителей или других участников дорожного движения, как правило, в состоянии избежать вреде

90 % или более всех водителей или других участников

ДОРОЖНОГО Д8ИЖС’

ния. хек правило, в состоянии избежать вреда

Менее 90 % всех водителей или других участников дорожного движе* ния. «ак правило, в состоянии или едвв могут избежать вреда

Примеры

Ситуации, которые

Поддерживать

считаются отеле-

намеченный

кающими

путь вождения

Неожиданное уве-

Поддерживать

личвние громкости

намеченный

радио

путь вождения

Предупрежде-

Поддерживать

ние — низкий уро-

намеченный

вень газа

путь вождения

Недоступность

Поддерживать

системы оказания

намеченный

помощи водителю

путь вождения

Неисправность ре-

Торможение для

гулироеки положа-

эвмедления/оста-

ния сиденья во

новки транспор-

время движения

тного средства

Заблокированная

Торможение для

рулевая колонка

эемедления/оста-

при запуске авто-

новки транспорт-

мобиля

кого средства

Продолжение таблицы В.4

Классы управляемости (см. таблицу 3)

СО

С1

С2

СЭ

Факторы и сценарии вождении

Полная

ком т рол и руемост ь

99 % или более всех водителей или других участников дорожного движения, квх правило, в состоянии избежать вреда

90 % или более всех водителей или других участников дорожного движения. как правило, в состоянии избежать вреда

Мснве 90 % осях водителей или других учес?инков дорожного движения. как правило, а состоянии или едва uoryt избежать вреда

Примеры

Выход из строя A8S ео время экстренного торможения

Поддерживать намеченный путь вождения

Сбой в фарах при вождении ночью на срвдкей/высо-кой скорости не неосвещенной дороге

Свернуть на обочину и/или затормозить. чтобы остановиться

Неисправность двигателя при высоких боковых ускорениях (выезд из автострады)

Поддерживать намеченный путь вождения

Отказ ABS при торможении на поверхности с низким коэффициентом трения дороги во время выполнения поворота

Поддерживать намеченный путь вождения, остаться в полосе

Отказ тормозов

Тормозить для замедления/ остановки транспортного средства

Неправильный угол поворота при высокой угповой скорости на средней или высокой скорости движения автомобиля (изменение угле поворота рулевого колеса не соответствуют намерению водителя)

Поддерживать намеченный путь вождения, остаться в полосе

Неисправность механизма срабатывания подушки безопасности водителя при движении на высокой скорости

Поддерживать намеченный путь вождения, остаться в полосе.

Тормозить для замедления/ остановки транспортного средства

Окончание таблицы 8.4


Примечания

1    Для С2 возможный сценарий испытаний, выполненный в соответствии с проектом RESPONSE 3 [3]. принят как адекватный: «Практический опыт тестирования поквзал. что 20 действительных наборов данных на сценарий могут обеспечить базовый показатель обоснованности». Если каждый из 20 наборов данных удовлетворяет критериям прохождения тесте, то уровень управляемости со значением 85 % (с уровнем доверия 95 %. который, как правило, принимается для тестирования человеческих факторов) может быть обеспечен. Это является надлежащим доказательством обоснования оценки С2.

2    Для С1 проверка, обеспечивающая обоснование, что 99 % водителей «прошли» тест на конкретном сценарии трафика, может быть невыполнимой, потому что необходимо огромное количество испытуемых для соответствующего доказательства такого обоснования.

3    Поскольку никакая управляемость не принята для категории СЗ. то нет необходимости иметь соответствующее доказательство обоснования для такой классификации.


Приложение ДА (справочное)


Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации


Таблице ДА.1

Обозначение ссылочного

Степень

Обозначение и наименование соответствующею национальною

международного стандарта

соответствия

стандарта

ИСО 26262-1:2011

ИСО 26262-2:2011

ИСО 26262-4:2011

ИСО 26262-5:2011

ИСО 26262-6:2011

ИСО 26262-7:2011

ИСО 26262-8:2011

ИСО 26262-9:2011

* Соответствующий национальный стандарт отсутствует. До его утверждения рекомендуется использовать перевод на русский язык данного международного стандарте. Перевод данного международного стандарта находится в Федеральном информационном фонде технических регламентов и стандартов.


Библиография

(1)    IEC 61506 (all parts). Functional safety of eiectncal/eiectromc/programmabie electronic safety-related systems

(2)    Abbreviated injury scale: Association of the advancement of Automotive medicine: Barnngton. IL. USA Information is also available at or

(3)    Code of Practice for the design and evaluation of AOAS. EU Project RESPONSE 3: Oct. 2006

(4)    8AKER. S.P.. O'NEILL. B.. HADOON. W.. LONG, W.8., The Injury seventy score: a method for describing patients with multiple Injuries and evaluating emergency care. The Journal of Trauma. Vol. 14. No. 3, 1974

(5)    8ALOGH. 2.. OFFNER. P.J.. MOORE. E.E., BIFFL. W.L.. NlSS predicts post injury multiple organ failure better than ISS. The Journal of Trauma. Vol. 48. No. 4. 2000

УДК 62-783:614.8:331.454:006.354    ОКС 43.040.10

Ключевые слова: функциональная безопасность; жизненный цикл систем; транспортные средства: концепция функциональной безопасности; стадии жизненного цикла; стадия формирования концепции; определение устройства безопасности; анализ опасностей и оценка рисков

Редактор Т.С. Никифорова Технический редактор 6.Ю. Фотиеоа Корректор И.А Королева Компьютерная верстка И.А Налейкомой

Сдано е набор 06.03.201в.    Подписано а печать 24.03.2010. Формат 00 « 04 Гарнитура Ариал

Уел. печ. л. 3.72. Уч.-иад. л. 3.30. Тираж 32 из. Зак 043.

Издано и отпечатано ео ФГУП «СТАНДАРТИМФОРМ». 123665 Москва, Гранатный пер.. 4.