ГОСТ Р ИСО 26262-5-2021 Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия

ГОСТ Р ИСО 26262-5-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ДОРОЖНЫЕ ТРАНСПОРТНЫЕ СРЕДСТВА. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ

Часть 5

Разработка аппаратных средств изделия

Road vehicles. Functional safety. Part 5. Product development at the hardware level

ОКС 13.110

Дата введения 2022-06-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Российский институт стандартизации" (ФГБУ "РСТ") совместно с Обществом с ограниченной ответственностью "ЭОС Тех" (ООО "ЭОС Тех") и Обществом с ограниченной ответственностью "Корпоративные электронные системы" (ООО "КЭЛС-центр") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 058 "Функциональная безопасность"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 25 октября 2021 г. N 1278-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 26262-5:2018* "Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия" (ISO 26262-5:2018 "Road vehicles - Functional safety - Part 5: Product development at the hardware level", IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р ИСО 26262-5-2014

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Серия стандартов ИСО 26262 является адаптацией серии стандартов МЭК 61508 и предназначена для применения электрических и/или электронных (далее - Э/Э) систем в дорожных транспортных средствах.

Данная адаптация распространяется на все виды деятельности в процессе жизненного цикла систем, связанных с безопасностью, включающих электрические, электронные и программные компоненты.

Безопасность является одним из приоритетов современного автомобилестроения. Расширение числа функциональных возможностей транспортных средств вызывает необходимость использования методологии функциональной безопасности и подтверждения достижения целей функциональной безопасности.

С ростом сложности технологий, программного обеспечения и мехатронных устройств увеличиваются риски, связанные с систематическими и случайными отказами аппаратных средств, рассматриваемыми в рамках функциональной безопасности. Серия стандартов ИСО 26262 является руководством по снижению этих рисков, в которое включены соответствующие требования и процессы.

Для достижения функциональной безопасности серия стандартов ИСО 26262 устанавливает:

a) жизненный цикл системы безопасности транспортного средства и включает перечень действий для стадий этого жизненного цикла (разработка, производство, эксплуатация, обслуживание, вывод из эксплуатации);

b) подход, основанный на оценке риска, разработанный специально для автотранспорта, для определения уровней полноты безопасности [уровни полноты безопасности транспортного средства (УПБТС)];

c) использование значения УПБТС для спецификации требований комплекса стандартов ИСО 26262 с целью предотвращения неоправданного остаточного риска;

d) требования к мерам по выполнению менеджмента функциональной безопасности, проектирования, реализации, верификации, валидации, а также к мерам их подтверждения;

e) требования к взаимодействию между заказчиками и поставщиками.

Серия стандартов ИСО 26262 рассматривает функциональную безопасность Э/Э систем, которая достигается с помощью мер по обеспечению безопасности, включая механизмы обеспечения безопасности. Однако он также обеспечивает подход, в рамках которого допускается использовать связанные с безопасностью системы, реализуемые на других технологиях (например, механических, гидравлических и пневматических).

На достижение функциональной безопасности влияют процессы разработки (в том числе спецификация требований, проектирование, реализация, интеграция, верификация, валидация и управление конфигурацией), процессы производства и обслуживания, а также процессы управления.

Вопросы безопасности тесно связаны с опытно-конструкторскими работами, реализующими функционал и обеспечивающими качество создаваемых изделий, а также с результатами таких работ. Настоящий стандарт рассматривает связанные с безопасностью проблемы, касающиеся опытно-конструкторских работ и их результатов.

На рисунке 1 показана общая структура серии стандартов ИСО 26262. В нем для различных стадий разработки изделия используют эталонную V-модель процесса. На рисунке 1:

- заштрихованная область в виде символа "V" представляет взаимосвязь между ИСО 26262-3, ИСО 26262-4, ИСО 26262-5, ИСО 26262-6 и ИСО 26262-7;

- для мотоциклов:

ИСО 26262-12:2018, раздел 8 соответствует требованиям ИСО 26262-3,

ИСО 26262-12:2018, разделы 8 и 10 соответствуют требованиям ИСО 26262-4;

- ссылки на конкретную информацию даны в виде: "m-n", где "m" представляет собой номер части настоящего стандарта, а "n" указывает на номер раздела этой части.

Пример - 2-6 ссылается на раздел 6 ИСО 26262-2.

Рисунок 1 - Общая структура ИСО 26262

1 Область применения

Настоящий стандарт применяется к системам, связанным с безопасностью, включающим в себя одну или несколько Э/Э систем, которые установлены в серийно производимые дорожные транспортные средства, исключая мопеды. Настоящий стандарт не применяется для уникальных Э/Э систем транспортных средств специального назначения, таких как Э/Э системы, предназначенные для водителей с ограниченными возможностями.

Примечание - Существуют другие стандарты по безопасности для специального применения, которые могут дополнить серию стандартов ИСО 26262 либо включать в себя требования серии стандартов ИСО 26262.

Системы и их компоненты, находящиеся в производстве или на стадии разработки до даты публикации настоящего стандарта, не входят в его область применения. Настоящий стандарт распространяется на изменения к существующим системам и их компонентам, запущенным в производство до публикации настоящего стандарта, корректируя жизненный цикл системы безопасности в зависимости от конкретного изменения. Настоящий стандарт распространяется на интеграцию существующих систем, разработанных не в соответствии с настоящим стандартом, и систем, разработанных в соответствии с настоящим стандартом, при корректировке жизненного цикла системы безопасности.

Настоящий стандарт рассматривает возможные опасности, вызванные некорректным функционированием Э/Э систем, связанных с безопасностью, а также некорректным взаимодействием этих систем. Настоящий стандарт не рассматривает опасности, связанные с поражением электрическим током, возгоранием, задымлением, перегревом, излучением, токсичностью, воспламеняемостью, химической активностью, коррозией и подобными опасностями, если они непосредственно не вызваны некорректным функционированием Э/Э систем, связанных с безопасностью.

Настоящий стандарт описывает методологию функциональной безопасности, обеспечивающую разработку Э/Э систем, связанных с безопасностью. Эта методология предназначена для интеграции действий по функциональной безопасности в определенную для компании дисциплину разработки. Некоторые требования имеют ясную техническую направленность на обеспечение функциональной безопасности изделия; другие связаны с процессом разработки и поэтому могут рассматриваться как требования к процессу, чтобы продемонстрировать способность организации реализовать методологию функциональной безопасности.

Настоящий стандарт не рассматривает номинальные характеристики Э/Э систем.

Настоящий стандарт устанавливает требования к разработке изделия на уровне аппаратных средств для применения на автомобильных транспортных средствах, в том числе:

- общие вопросы по разработке изделия на уровне аппаратных средств;

- спецификацию требований безопасности аппаратных средств;

- проектирование аппаратных средств;

- оценку метрик архитектуры аппаратных средств;

- оценку недостижения цели безопасности из-за случайных отказов аппаратных средств;

- интеграцию и верификацию аппаратных средств.

Требования настоящего стандарта к элементам аппаратных средств применимы как к непрограммируемым, так и к программируемым элементам, таким как ASIC, FPGA и PLD. Дальнейшие рекомендации приведены в ИСО 26262-10 и ИСО 26262-11.

В приложении А представлен обзор целей, предпосылок и результатов работы, рассмотренных в настоящем стандарте.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения к нему)]:

ISO 26262-1:2018, Road vehicles - Functional safety - Part 1: Vocabulary (Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения)

ISO 26262-2:2018, Road vehicles - Functional safety - Part 2: Management of functional safety (Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности)

ISO 26262-4:2018, Road vehicles - Functional safety - Part 4: Product development at the system level (Дорожные транспортные средства. Функциональная безопасность. Часть 4. Разработка изделия на уровне системы)

ISO 26262-6:2018, Road vehicles - Functional safety - Part 6: Product development at the software level (Дорожные транспортные средства. Функциональная безопасность. Часть 6. Разработка программного обеспечения изделия)

ISO 26262-7:2018, Road vehicles - Functional safety - Part 7: Production, operation, service and decommissioning (Дорожные транспортные средства. Функциональная безопасность. Часть 7. Производство, эксплуатация, обслуживание и вывод из эксплуатации)

ISO 26262-8:2018, Road vehicles - Functional safety - Part 8: Supporting processes (Дорожные транспортные средства. Функциональная безопасность. Часть 8. Вспомогательные процессы)

ISO 26262-9:2018, Road vehicles - Functional safety - Part 9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses (Дорожные транспортные средства. Функциональная безопасность. Часть 9. Анализ уровня полноты безопасности автомобиля и анализ безопасности автомобиля)

3 Термины и определения

В настоящем стандарте применимы термины по ИСО 26262-1.

ИСО и МЭК для применения в стандартизации поддерживают терминологические базы данных:

- Электропедия МЭК; доступна по адресу: http://www.electropedia.org/

- платформа онлайн-просмотра ИСО; доступна по адресу: https://www.iso.org/obp.

4 Требования соответствия настоящему стандарту

4.1 Цель

Настоящий раздел описывает:

a) каким образом обеспечить соответствие требованиям серии стандартов ИСО 26262;

b) каким образом интерпретировать таблицы, используемые в серии стандартов ИСО 26262;

c) каким образом интерпретировать применимость каждого раздела в зависимости от соответствующего значения УПБА.

4.2 Общие требования

Для соответствия серии стандартов ИСО 26262 должно быть выполнено каждое ее требование, если только для этого требования не выполняется одно из следующих условий:

a) в соответствии с ИСО 26262-2 предусмотрена адаптация действий по обеспечению безопасности, которая показывает, что данное требование не применяется;

b) существует обоснование того, что несоблюдение данного требования допустимо, а также показано соответствие этого обоснования ИСО 26262-2.

Справочная информация, включая примечания и примеры, должна использоваться только для понимания или для уточнения соответствующего требования и не должна толковаться как самостоятельное требование или считаться для него полной или исчерпывающей.

Результаты действий по обеспечению безопасности представлены как результаты работы. В пунктах "Предварительные требования" перечислена информация, которая должна быть доступна как результат работы предыдущей стадии. Так как определенные требования разделов настоящего стандарта зависят от УПБТС или могут быть адаптированы, то некоторые результаты работы в качестве предварительных условий могут не потребоваться.

В пунктах "Дополнительная информация" содержится информация, которую можно учитывать, но в некоторых случаях настоящий стандарт не требует, чтобы она была результатом работы предыдущей стадии. Такая информация может быть доступна из внешних источников, от лиц или организаций, которые не несут ответственность за деятельность по обеспечению функциональной безопасности.

4.3 Интерпретация таблиц

В настоящем стандарте используются нормативные или справочные таблицы в зависимости от их контекста. Перечисленные в таблицах различные методы вносят вклад в уровень уверенности в достижении соответствия с рассматриваемым требованием. Каждый метод в таблицах включен:

a) в последовательный список методов (он обозначен порядковым номером в левой графе, например 1, 2, 3);

b) либо в альтернативный список методов (он обозначен номером с последующей буквой в левой графе, например 2a, 2b, 2c).

В случае последовательного списка для соответствующего значения УПБТС следует применять все наиболее рекомендуемые и рекомендуемые методы. Допускается замена наиболее рекомендуемого или рекомендуемого метода другим, не перечисленным в таблице методом, но в этом случае должно быть приведено обоснование, почему он удовлетворяет соответствующему требованию. Если может быть обосновано, что для удовлетворения соответствующему требованию не выбираются никакие методы, то в дальнейшем обоснование пропущенных методов не выполняют.

В случае альтернативного списка следует применять подходящую комбинацию методов в соответствии с указанным значением УПБТС независимо от того, перечислены в таблице эти комбинации или нет. Если перечисленные методы имеют разные степени рекомендуемости их применения для некоторого значения УПБТС, то следует отдать предпочтение методам с более высокой степенью рекомендуемости. Должно быть приведено обоснование, что выбранная комбинация методов или даже отдельно выбранный метод выполняют соответствующее требование.

Примечание - Обоснование, основанное на методах, перечисленных в таблице, является достаточным. Но это не означает, что существует какое-то предубеждение за или против применения методов, не перечисленных в таблице.

Для каждого метода степень рекомендуемости его применения зависит от значения УПБТС и классифицируется следующим образом:

- "++" - метод является наиболее рекомендуемым для определенного значения УПБТС;

- "+" - метод рекомендуется для определенного значения УПБТС;

- "о" - метод не имеет рекомендации за или против его применения для определенного значения УПБТС.

4.4 Требования и рекомендации, зависимые от значения УПБТС

Требования или рекомендации каждого подраздела необходимо соблюдать для значений УПБТС A, B, C и D, если не указано иное. Эти требования и рекомендации связаны со значениями УПБТС цели безопасности. Если в соответствии с требованиями раздела 5 ИСО 26262-9 декомпозиция УПБТС была выполнена на более ранней стадии разработки, то должны соблюдаться значения УПБТС, полученные в результате декомпозиции.

Если в настоящем стандарте значение УПБТС приведено в круглых скобках, то соответствующий пункт должен рассматриваться как рекомендация, а не требование для этого значения УПБТС. Это не касается приведенных в скобках записей, относящихся к декомпозиции УПБТС.

4.5 Адаптация к мотоциклам

Для устройств или элементов мотоциклов, для которых применимы требования ИСО 26262-12, эти требования могут быть использованы вместо соответствующих требований настоящего стандарта. Требования настоящего стандарта, которые заменяются требованиями ИСО 26262-12, определены в части 12.

4.6 Адаптация к грузовым транспортным средствам, автобусам, прицепам и полуприцепам

Содержание, которое предназначено для спецификации грузовых автомобилей, автобусов, прицепов и полуприцепов, обозначается как (T&B).

5 Общие вопросы по разработке изделия на уровне аппаратных средств

5.1 Цели

Целью данного раздела является описание действий по обеспечению функциональной безопасности для отдельных подстадий разработки аппаратных средств.

5.2 Общие положения

Действия и процессы, необходимые для разработки аппаратных средств, удовлетворяющих требованиям безопасности, следует планировать в соответствии с 6.4.6 ИСО 26262-2.

Рисунок 2 иллюстрирует шаги процесса разработки аппаратных средств изделия, необходимые для выполнения требований настоящего стандарта, а также интеграцию этих шагов в контексте ИСО 26262.

Примечание - На рисунке конкретный раздел каждой части настоящего стандарта указан следующим образом: "m-n", где "m" представляет собой номер части и "n" указывает номер раздела, например: "4-7" представляет раздел 7 ИСО 26262-4.

Рисунок 2 - Эталонная модель стадии разработки изделия на уровне аппаратных средств

Для разработки изделия на уровне аппаратных средств необходимы следующие действия и процессы:

- реализация концепции технической безопасности аппаратных средств;

- анализ возможных сбоев аппаратных средств и их последствий;

- координация с разработкой программного обеспечения.

В отличие от подстадий разработки программного обеспечения настоящий стандарт содержит два раздела, описывающие количественные оценки всей архитектуры аппаратных средств устройства.

В разделе 8 описаны две метрики для оценки эффективности архитектуры аппаратных средств устройства и применяемые механизмы безопасности, которые предотвращают случайные отказы аппаратных средств.

При определении влияния каждого выявленного сбоя элемента аппаратных средств, приводящего к недостижению цели безопасности, в разделе 9, который дополняет раздел 8, для оценки того, что остаточный риск недостижения целей безопасности является достаточно низким, описываются два альтернативных метода оценки: общий вероятностный подход (метод PMHF, см. 9.4.2) и анализ сечений (метод EEC, см. 9.4.3).

6 Спецификация требований безопасности аппаратных средств

6.1 Цели

Цели настоящего раздела заключаются в следующем:

a) определить требования безопасности аппаратных средств. Они выводятся из концепции технической безопасности и спецификации архитектуры системы;

b) уточнить технические требования к аппаратно-программному интерфейсу (АПИ), разработанные в соответствии с 6.4.7 ИСО 26262-4;

c) проверить соответствие требований безопасности аппаратных средств и технических требований к АПИ концепции технической безопасности и спецификации архитектуры системы.

6.2 Общие положения

Требования технической безопасности распределяются для аппаратных средств и программного обеспечения. Из требований, которые распределяются и для аппаратных средств, и для программного обеспечения, далее выделяются только требования для аппаратных средств. Затем требования безопасности аппаратных средств детализируются с учетом ограничений проекта и влияния этих ограничений проекта на аппаратные средства.

6.3 Входная информация

6.3.1 Предварительные требования

Необходима следующая информация:

- концепция технической безопасности в соответствии с 6.5.2 ИСО 26262-4;

- спецификация архитектуры системы в соответствии с 6.5.3 ИСО 26262-4;

- технические требования к АПИ в соответствии с 6.5.4 ИСО 26262-4.

6.3.2 Дополнительная информация

Может быть учтена следующая информация:

- спецификация требований к программному обеспечению системы безопасности (см. 6.5.1 ИСО 26262-6);

- спецификация аппаратных средств (из внешнего источника).

6.4 Требования и рекомендации

6.4.1 Спецификация требований безопасности аппаратных средств для элементов аппаратных средств устройства должна быть выведена из требований технической безопасности, распределенных для аппаратных средств (см. 6.5.2 ИСО 26262-4).

6.4.2 Спецификация требований безопасности аппаратных средств должна включать в себя каждое требование к аппаратным средствам, связанным с функциональной безопасностью, в том числе:

a) требования безопасности аппаратных средств и соответствующие свойства механизмов безопасности для управления внутренними отказами элемента аппаратных средств, включая внутренние механизмы безопасности для охвата кратковременных сбоев, когда показано, что они связаны, например, с используемой технологией.

Пример - Свойства могут включать в себя временные характеристики и характеристики срабатывания сторожевого устройства;

b) требования безопасности аппаратных средств и соответствующие свойства механизмов безопасности, чтобы обеспечить управление или устойчивость к внешним по отношению к элементу отказам.

Пример - Процедура, которую должен выполнить электронный блок управления в случае внешнего отказа, например разрыва цепи на его входе;

c) требования безопасности аппаратных средств и необходимые свойства механизмов безопасности, соответствующие требованиям безопасности других элементов.

Пример - Диагностика датчиков или исполнительных механизмов;

d) требования безопасности аппаратных средств и соответствующие свойства механизмов безопасности, обеспечивающие обнаружение внутренних или внешних отказов и формирование сигналов о них.

Примечание - Требования безопасности аппаратных средств, описанные в перечислении d), относятся и к механизмам безопасности, предотвращающим возникновение скрытых сбоев.

Пример - Временной интервал реакции на сбой для части аппаратного средства механизма безопасности задается так, чтобы соответствовать временному интервалу сбоеустойчивости;

e) требования безопасности аппаратных средств, не определяющие механизмы безопасности.

Пример - Такими требованиями могут быть:

- требования к элементам аппаратных средств для обеспечения достижения целевых значений случайных отказов аппаратных средств, описанные в 6.4.3 и 6.4.4;

- требования о предотвращении конкретного функционирования (например, "сигнал на выходе конкретного датчика не должен быть неустойчивым");

- требования, распределенные элементам аппаратных средств, реализующим целевую функциональность;

- требования, определяющие правила проектирования жгутов или разъемов.

Примечание - Механизмы безопасности могут быть реализованы аппаратными средствами, программным обеспечением или их сочетанием.

6.4.3 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. При выводе значений для элементов аппаратных средств устройства должны использоваться целевые значения, установленные в соответствии с 6.4.5 ИСО 26262-4, для метрик, представленных в разделе 8 настоящего стандарта.

6.4.4 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. При выводе значений для элементов аппаратных средств устройства должны учитываться целевые значения, установленные в соответствии с 6.4.5 ИСО 26262-4, для процедур, представленных в разделе 9 настоящего стандарта.

Примечание - Данные действия могут включать в себя распределение целевых значений вероятностной метрики случайных отказов аппаратных средств (PMHF) в случае распределенной разработки, как указано в разделе 5 ИСО 26262-8, если не принято решение об использовании оценки каждой причины недостижения цели безопасности, описанной в 9.4.3.

6.4.5 Требования безопасности аппаратных средств должны быть определены в соответствии с требованиями раздела 6 ИСО 26262-8.

6.4.6 Должны быть определены критерии оценки при верификации проекта элементов устройства аппаратных средств, в том числе: условия внешней среды (температура, вибрация, электромагнитные помехи и др.), конкретные условия эксплуатации (напряжение питания, исходные данные эксплуатации и т.д.) и конкретные требования для компонент:

a) при верификации оценкой элементов аппаратных средств критерии должны удовлетворять требованиям раздела 13 ИСО 26262-8;

b) при верификации тестированием критерии должны удовлетворять требованиям раздела 10 настоящего стандарта.

6.4.7 Требованиям безопасности аппаратных средств должно удовлетворять значение временного интервала сбоеустойчивости или максимальное значение временного интервала обработки сбоя механизмов безопасности, как определено в 6.4.2.3 ИСО 26262-4.

Примечание - В проекте аппаратных средств может быть указан механизм, способный управлять сбоем, но который не соответствует временному интервалу сбоеустойчивости или максимальному временному интервалу обработки сбоя. В таком случае его недопустимо рассматривать, используя метрики разделов 8 и 9 настоящего стандарта, и недопустимо учитывать в схеме декомпозиции УПБТС.

6.4.8 Требованиям безопасности аппаратных средств должно удовлетворять значение интервала обнаружения множественного сбоя, как определено в 6.4.2 ИСО 26262-4.

Примечания

1 Если значения УПБТС для целей безопасности равны C и D и если соответствующая концепция обеспечения безопасности не устанавливает конкретного значения, то интервалы обнаружения множественного сбоя могут быть заданы равными или ниже значения времени цикла "включения-выключения" питания устройства.

2 Соответствующие значения интервала обнаружения множественного сбоя также могут быть обоснованы методом количественного анализа возникновения случайных отказов аппаратных средств (см. раздел 9).

6.4.9 Требования безопасности аппаратных средств должны быть верифицированы в соответствии с требованиями раздела 9 ИСО 26262-8 в целях обеспечения доказательств их:

a) согласованности с концепцией технической безопасности, спецификацией проекта системы и спецификацией аппаратных средств;

b) полноты относительно требований технической безопасности, распределяемых элементу аппаратных средств;

c) согласованности с соответствующими требованиями безопасности программного обеспечения;

d) корректности и точности.

6.4.10 Технические требования к аппаратно-программному интерфейсу, сформированные в соответствии с требованиями 6.4.7 ИСО 26262-4, должны быть в достаточной степени уточнены, чтобы обеспечить корректное управление и использование аппаратных средств программным обеспечением, а также должны описывать каждую связанную с безопасностью зависимость между аппаратным средством и программным обеспечением.

6.4.11 Лица, ответственные за разработку аппаратных средств и программного обеспечения, несут совместную ответственность за проверку адекватности уточненных технических требований аппаратно-программного интерфейса.

6.5 Результаты работы

6.5.1 Спецификация требований безопасности аппаратных средств (включая критерии тестирования и оценки)

В результате выполнения требований 6.4.1-6.4.8.

6.5.2 Технические требования к АПИ (уточненные)

В результате выполнения требований 6.4.10.

Примечание - Данный результат работы совпадает с результатом работы, представленным в 6.5.2 ИСО 26262-6.

6.5.3 Отчет о верификации требований безопасности аппаратных средств

В результате выполнения требований 6.4.9 и 6.4.11.

7 Проектирование аппаратных средств

7.1 Цели

Целями настоящего раздела являются:

a) разработка проекта аппаратных средств, который:

- поддерживает анализ безопасности;

- учитывает результаты анализа безопасности;

- соответствует требованиям безопасности аппаратных средств;

- соответствует техническим требованиям АПИ;

- соответствует спецификации архитектуры системы;

- удовлетворяет требуемым свойствам проекта аппаратных средств;

b) определение требований и предоставление информации о функциональной безопасности аппаратных средств для производства, эксплуатации, обслуживания и вывода из эксплуатации;

c) проверка:

- соответствия проекта аппаратных средств требованиям безопасности аппаратных средств и техническим требованиям АПИ;

- обоснованности допущений, использованных при разработке каждого элемента безопасности вне контекста (SEooC), интегрированного в разработанное аппаратное обеспечение;

- пригодности специальных, связанных с безопасностью характеристик для обеспечения функциональной безопасности при производстве и эксплуатации.

7.2 Общие положения

Проект аппаратных средств включает в себя проект архитектуры аппаратных средств и рабочий проект аппаратных средств. Проект архитектуры аппаратных средств представляет все компоненты аппаратных средств и их взаимосвязи друг с другом. Рабочий проект аппаратных средств - это проект аппаратных средств на уровне электрических схем, представляющих взаимодействие между частями аппаратных средств, из которых состоят компоненты аппаратных средств.

Единый проект аппаратных средств должен удовлетворять как требованиям к аппаратным средствам системы безопасности, так и всем требованиям, не связанным с безопасностью. Следовательно, на данной подстадии связанные и не связанные с безопасностью требования применяются в едином процессе разработки.

7.3 Входная информация

7.3.1 Предварительные требования

Необходима следующая информация:

- спецификация требований безопасности аппаратных средств в соответствии с 6.5.1;

- технические требования к АПИ (уточненные) в соответствии с 6.5.2;

- спецификация архитектуры системы в соответствии с 6.5.3 ИСО 26262-4.

7.3.2 Дополнительная информация

Может быть учтена следующая информация:

- спецификация требований безопасности программного обеспечения (см. 6.5.1 ИСО 26262-6);

- спецификация не связанных с безопасностью требований к аппаратным средствам (из внешних источников).

7.4 Требования и рекомендации

7.4.1 Проект архитектуры аппаратных средств

7.4.1.1 Архитектура аппаратных средств должна реализовать требования безопасности аппаратных средств, определенные в разделе 6.

7.4.1.2 Требования безопасности аппаратных средств должны быть распределены элементам аппаратных средств. В результате каждый элемент аппаратных средств должен быть разработан в соответствии с наибольшим значением УПБТС любого из требований, которые ему были распределены.

Примечание - Каждая характеристика элемента аппаратных средств будет наследовать наибольшее значение УПБТС, определенное для требований безопасности аппаратных средств, которые он реализует.

7.4.1.3 Если в процессе проектирования архитектуры аппаратных средств для требований безопасности аппаратных средств выполняется декомпозиция УПБТС, то она должна применяться в соответствии с требованиями раздела 5 ИСО 26262-9.

7.4.1.4 Если элемент аппаратного средства выполнен из подэлементов, которые имеют значения УПБТС меньше, чем значение УПБТС элемента, или их значения УПБТС не установлены, то каждый из них рассматривается в соответствии с самым высоким значением УПБТС, кроме тех случаев, когда будут выполнены критерии совместимости подэлементов в соответствии с требованиями раздела 6 ИСО 26262-9.

7.4.1.5 Должна быть установлена прослеживаемость между требованиями безопасности аппаратных средств и элементами проекта архитектуры вплоть до компонентов аппаратных средств самого низкого уровня.

Примечание - Прослеживаемость требований безопасности аппаратных средств до уровня рабочего проекта аппаратных средств не требуется. Требования безопасности аппаратных средств не назначаются частям аппаратных средств, которые невозможно разделить на подчасти. Например, неразумно и нецелесообразно пытаться установить прослеживаемость для аппаратных средств вплоть до каждого конденсатора и резистора и т.д.

7.4.1.6 Для того, чтобы предотвратить систематические сбои, проект архитектуры аппаратных средств должен обладать следующими свойствами, используя подходы, перечисленные в таблице 1:

a) модульность.

Примечание - Модульность позволяет повторно использовать проект элементов аппаратных средств без изменения (например, блок, реализующий схему определения температуры, блок проверки и исправления ошибок в микроконтроллере);

b) адекватный уровень детализации.

Примечание - Цель состоит в том, чтобы представление архитектуры давало необходимую информацию с необходимым уровнем детализации для демонстрации эффективности механизмов безопасности;

c) простота.

Таблица 1 - Свойства проекта архитектуры аппаратных средств


Свойства		УПБТС
		A	B	C	D
1	Иерархичность проекта	+	+	+	+
2	Точно определенные интерфейсы связанных с безопасностью компонентов аппаратных средств	++	++	++	++
3	Предотвращение излишней сложности интерфейсов	+	+	+	+
4	Предотвращение излишней сложности компонентов аппаратных средств	+	+	+	+
5	Ремонтопригодность (обслуживание)	+	+	++	++
6	Тестируемость	+	+	++	++
Тестируемость включает в себя тестируемость в процессе разработки, изготовления, обслуживания и эксплуатации.

7.4.1.7 В процессе проектирования архитектуры аппаратных средств должны быть рассмотрены нефункциональные причины отказа связанных с безопасностью компонентов аппаратных средств, включая следующие, если такие имеются: температура, вибрация, вода, пыль, электромагнитные помехи, коэффициент шума или перекрестные помехи, возникающие либо от других аппаратных компонентов архитектуры аппаратных средств, либо от их окружения.

7.4.2 Рабочее проектирование аппаратных средств

7.4.2.1 Для того, чтобы избежать общих ошибок проектирования, следует применять соответствующий накопленный опыт согласно требованиям 5.4.2.6 ИСО 26262-2.

7.4.2.2 В процессе рабочего проектирования аппаратных средств должны быть рассмотрены нефункциональные причины отказа связанной с безопасностью части аппаратных средств, включая следующие, если такие имеются: температура, вибрация, вода, пыль, электромагнитные помехи, коэффициент шума, перекрестные помехи, возникающие либо от других аппаратных частей компонента аппаратных средств, либо от их окружения.

7.4.2.3 Чтобы часть аппаратного средства или компонент аппаратных средств эксплуатировались в соответствии с их спецификацией во избежание отказов, связанных с их целевым использованием, должны учитываться исходные данные эксплуатации и условия эксплуатации части аппаратного средства или компонента аппаратных средств в соответствии с рабочим проектом аппаратных средств.

7.4.2.4 Должны быть рассмотрены принципы робастного проектирования.

Примечание - Применение принципов робастного проектирования может быть показано с помощью руководства по проектированию аппаратных средств.

Пример - Консервативная спецификация компонентов, определяющая их робастность в условиях стресс-факторов внешней среды и эксплуатации.

7.4.3 Анализ безопасности

7.4.3.1 Для выявления причин отказов и последствий сбоев необходимо выполнять анализ безопасности проекта аппаратных средств в соответствии с таблицей 2 и требованиями раздела 8 ИСО 26262-9.

Примечания

1 Первоначальной целью анализа безопасности является формирование спецификации проекта аппаратных средств. Впоследствии анализ безопасности может быть использован для верификации проекта аппаратных средств (см. 7.4.4).

2 В целях формирования спецификации проекта аппаратных средств может быть уместным и достаточным качественный анализ.

Таблица 2 - Анализ безопасности проекта аппаратных средств


Методы		УПБТС
		А	В	С	D
1	Дедуктивный анализ	о	+	++	++
2	Индуктивный анализ	++	++	++	++
Типичным дедуктивным методом анализа является FTA. Типичным индуктивным методом анализа является FMEA. Примечание - Уровень детализации анализа соизмерим с уровнем детализации проекта. Оба метода могут, в определенных случаях, выполняться на различных уровнях детализации.

7.4.3.2 Данное требование распространяется на значения УПБТС (B), С и D цели безопасности. Для каждого связанного с безопасностью компонента или части аппаратных средств с учетом рассматриваемой цели безопасности анализ безопасности должен определить следующее:

a) безопасные сбои;

b) одиночные сбои или остаточные сбои;

c) множественные сбои (или воспринимаемые, обнаруживаемые, или скрытые).

Примечания

1 Цель идентификации множественных сбоев не состоит в том, чтобы требовать выполнения систематического анализа для каждой возможной комбинации сбоев аппаратных средств, но, как минимум, необходимо рассмотреть комбинации, которые следуют из концепции технической безопасности (например, комбинацию двух сбоев, где один сбой влияет на связанный с безопасностью элемент, а другой сбой влияет на соответствующий механизм безопасности, предназначенный для достижения или поддержания безопасного состояния).

2 В большинстве случаев анализ может быть ограничен двойными сбоями. Но иногда в концепции технической безопасности (например, при реализации резервированных механизмов безопасности) могут быть рассмотрены множественные сбои более второго порядка.

7.4.3.3 Данное требование распространяется на значения УПБТС (B), С и D цели безопасности. Должно быть обеспечено подтверждение эффективности механизмов безопасности, предотвращающих возникновение сбоев, приводящих к одиночным отказам, или обеспечивающих снижение остаточных сбоев.

С этой целью:

a) должно быть обеспечено подтверждение способности механизмов безопасности безопасно переходить в безопасное состояние и поддерживать безопасное состояние (в частности, соответствующие способности смягчения отказа в течение временного интервала сбоеустойчивости и в течение максимального временного интервала обработки сбоя);

b) должен быть оценен диагностический охват остаточных сбоев, достигаемый механизмами безопасности.

Примечания

1 Сбой, который может произойти в любое время (например, не только при включении питания), не может рассматриваться как эффективно охваченный, если значение временного интервала обнаружения сбоя, сложенное со значением временного интервала реакции на сбой соответствующего механизма безопасности, больше, чем соответствующее значение временного интервала сбоеустойчивости либо определенное максимальное значение временного интервала обработки сбоя.

2 Если можно показать, что конкретный вид отказов происходит только при включении питания и вероятность его возникновения ничтожно мала во время движения транспортного средства, то для таких видов отказов принято выполнять тестирование при пуске после подачи питания.

3 Для структурирования обоснования могут быть использованы такие виды анализа, как FMEA или FTA.

4 В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней оценка может быть выполнена либо с помощью охвата диагностикой элемента аппаратных средств, либо с помощью более детальной оценки охвата вида отказов.

5 В качестве первого шага для определения диагностического охвата, обеспечиваемого запланированными механизмами безопасности, могут использоваться рекомендации, представленные в приложении D. Заявленный диагностический охват обеспечивается надлежащим обоснованием (примеры можно найти в разделе ИСО 26262-10, касающемся оценки интенсивности остаточных отказов, и в приложении А ИСО 26262-11).

6 Данное требование относится к механизмам безопасности, реализованным аппаратными средствами, программным обеспечением или их комбинацией.

7.4.3.4 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Должно быть обеспечено подтверждение эффективности реализованных механизмов безопасности, предотвращающих возникновение скрытых сбоев.

С этой целью:

a) должно быть обеспечено подтверждение способности механизма безопасности обнаруживать отказы, а также безопасно переходить в безопасное состояние и поддерживать безопасное состояние либо сообщать о них водителю в течение допустимого времени обнаружения множественного сбоя (для скрытых сбоев) для того, чтобы определить, какие сбои остаются скрытыми и какие сбои являются обнаруживаемыми;

b) должен быть оценен диагностический охват для скрытых сбоев, достигаемый механизмами безопасности.

Примечания

1 Сбой не может рассматриваться как охваченный, если значение временного интервала обработки сбоя соответствующим механизмом безопасности превышает значение временного интервала обнаружения соответствующего множественного сбоя для скрытых сбоев.

2 Для структурирования обоснования могут быть использованы такие виды анализа, как FMEA или FTA.

3 В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней оценка может быть выполнена либо с помощью охвата диагностикой элемента аппаратных средств, либо с помощью более детальной оценки охвата вида отказов.

4 В качестве начального шага для определения диагностического охвата, обеспечиваемого запланированными механизмами безопасности, допускается использовать рекомендации, представленные в приложении D. Заявленный диагностический охват обеспечивается надлежащим обоснованием (примеры можно найти в разделе ИСО 26262-10, касающемся оценки интенсивности остаточных отказов, и в приложении A ИСО 26262-11).

5 Данное требование относится к механизмам безопасности, реализованным аппаратными средствами, программным обеспечением или их комбинацией.

7.4.3.5 При необходимости на основе анализа зависимых отказов в соответствии с требованиями раздела 7 ИСО 26262-9 должно быть обеспечено подтверждение того, что элементы аппаратных средств в проекте соответствуют их требованиям о независимости.

Примечания

1 См. также приложение С ИСО 26262-9.

2 См. также 4.7 ИСО 26262-11.

7.4.3.6 Если при проектировании аппаратных средств появляются новые опасности, еще не рассмотренные в отчете по анализу опасностей и оценке рисков (HARA), то они должны быть учтены и оценены в соответствии с требованиями процесса управления изменениями, представленными в разделе 8 ИСО 26262-8.

Примечание - Вновь выявленные опасности, еще не отраженные в существующей цели безопасности, как правило, являются нефункциональными опасностями. Нефункциональные опасности выходят за рамки области применения настоящего стандарта, но при анализе опасностей и оценке рисков они могут быть снабжены следующим пояснением: "Данной опасности значение УПБТС не назначается, поскольку она находится вне области применения настоящего стандарта". Тем не менее значение УПБТС может быть назначено в качестве рекомендации.

7.4.4 Верификация проекта аппаратных средств

7.4.4.1 Проект аппаратных средств должен быть верифицирован в соответствии с требованиями раздела 9 ИСО 26262-8, используя методы верификации проекта аппаратных средств, перечисленные в таблице 3, для подтверждения:

a) соответствия требованиям безопасности аппаратных средств;

b) соответствия техническим требованиям АПИ;

c) пригодности специальных, связанных с безопасностью характеристик для обеспечения функциональной безопасности при производстве и эксплуатации.

Таблица 3 - Верификация проекта аппаратных средств


Методы		УПБТС
		A	B	C	D
1a	Сквозной контроль проекта аппаратных средств	++	+	o	o
1b	Ревизия проекта аппаратных средств	+	+	++	++
2	Анализ безопасности	В соответствии с 7.4.3
3a	Имитационное моделирование	о	+	+	+
3b	Разработка прототипов аппаратных средств	о	+	+	+
Методы 1a и 1 b служат для проверки полноты и корректности реализации требований безопасности в проекте аппаратных средств. Методы 3a и 3b служат для проверки проекта аппаратных средств в конкретных точках (например, с использованием метода внесения дефектов, описанного в 4.8 ИСО 26262-11), для которых аналитические методы 1 и 2 считаются недостаточными. Примечание - Областью применения данной верификационной оценки являются техническая корректность и полнота требований безопасности аппаратных средств.

7.4.4.2 Если во время проектирования аппаратных средств обнаружено, что выполнение какого-либо требования безопасности аппаратных средств невозможно, то выдается запрос на изменение в соответствии с требованиями процесса управления изменениями, представленными в разделе 8 ИСО 26262-8.

7.4.4.3 Достоверность допущений, использованных при разработке элементов безопасности вне контекста (SEooC), интегрированных в аппаратные средства, должна проверяться на соответствие требованиям безопасности аппаратных средств и спецификации проекта аппаратных средств.

7.4.5 Производство, эксплуатация, обслуживание и вывод из эксплуатации

7.4.5.1 Если анализ безопасности показал важность связанных с безопасностью специальных характеристик, то они должны быть определены. Определение связанных с безопасностью специальных характеристик должно включать в себя следующее:

a) меры их верификации в процессе производства и эксплуатации;

b) критерии соответствия этим мерам.

Пример - Анализ безопасности проекта аппаратных средств, который использует новые сенсорные технологии (например, камера или радарные датчики), может выявить актуальность особой процедуры установки этих датчиков. В таком случае на этапе производства могут быть необходимы дополнительные меры верификации для этих компонентов.

7.4.5.2 Если некорректная сборка, демонтаж или вывод из эксплуатации связанных с безопасностью элементов оборудования может оказать негативное влияние на достижение или поддержание функциональной безопасности, то информация, необходимая для предотвращения некорректного исполнения, направляется лицам, ответственным за производство, эксплуатацию, обслуживание и вывод из эксплуатации, назначенным в соответствии с требованиями раздела 7 ИСО 26262-2.

7.4.5.3 Должна быть обеспечена прослеживаемость для связанных с безопасностью элементов аппаратных средств в соответствии с требованиями 5.4.1.2 и 5.4.3.3 ИСО 26262-7 в целях:

a) обеспечения эффективного мониторинга в процессе эксплуатации в соответствии с требованиями 7.4.2.3 ИСО 26262-2 и 7.4.1.1 ИСО 26262-7;

b) реализации возможности управления отзывом или заменой.

Примечание - Прослеживаемость может включать в себя адекватную маркировку или другую идентификацию элементов аппаратных средств, чтобы указать, что они связаны с безопасностью.

7.4.5.4 Если некорректное обслуживание может оказать негативное влияние на достижение или поддержание функциональной безопасности, то информация, необходимая для предотвращения таких последствий, направляется лицам, ответственным за производство, эксплуатацию, обслуживание и вывод из эксплуатации, назначенным в соответствии с требованиями раздела 7 ИСО 26262-2.

7.4.5.5 Требования к производству, эксплуатации, обслуживанию и выводу из эксплуатации элементов аппаратных средств, возникающие при проектировании аппаратных средств, должны быть направлены лицам, ответственным за производство, эксплуатацию, обслуживание и вывод из эксплуатации, назначенным в соответствии с требованиями раздела 7 ИСО 26262-2.

7.5 Результаты работы

7.5.1 Спецификация проекта аппаратных средств

В результате выполнения требований 7.4.1 и 7.4.2.

7.5.2 Отчет по анализу безопасности аппаратных средств

В результате выполнения требований 7.4.3.

7.5.3 Отчет о верификации проекта аппаратных средств

В результате выполнения требований 7.4.4.

7.5.4 Спецификация требований к производству, эксплуатации, обслуживанию и выводу из эксплуатации

В результате выполнения требований 7.4.5.

8 Оценка метрик архитектуры аппаратных средств

8.1 Цели

Целью настоящего раздела является подготовка обоснования пригодности проекта архитектуры аппаратных средств устройства с использованием метрики архитектуры аппаратных средств для выявления и управления связанными с безопасностью случайными отказами аппаратных средств.

8.2 Общие положения

Настоящий раздел описывает две метрики архитектуры аппаратных средств для оценки эффективности архитектуры устройства, справляющегося со случайными отказами аппаратных средств.

Эти метрики и связанные с ними целевые значения оцениваются на уровне элемента для элементов аппаратных средств и являются дополнением к оценке недостижения цели безопасности из-за случайных отказов аппаратных средств, описанной в разделе 9.

Случайные отказы аппаратных средств, для которых используются эти метрики, ограничены отказами, связанными с безопасностью электрических и электронных частей аппаратных средств устройства, а именно теми, которые могут внести значительный вклад в недостижение или достижение цели безопасности, а также одиночными, остаточными и скрытыми сбоями этих частей. Для электромеханических частей аппаратных средств рассматриваются только виды и интенсивности электрических отказов.

Примечание - Элементы аппаратных средств с множественными сбоями более второго порядка могут быть исключены из расчетов, если невозможно показать, что они имеют отношение к концепции технической безопасности.

Метрики архитектуры аппаратных средств в процессе проектирования архитектуры аппаратных средств и рабочего проектирования аппаратных средств могут применяться повторно.

Метрики архитектуры аппаратных средств зависят от всего комплекса аппаратных средств устройства. Выполнение целевых показателей, предписанных для метрик архитектуры аппаратных средств, достигается для каждой цели безопасности, которую реализует устройство.

Эти метрики архитектуры аппаратных средств предназначены для достижения следующих целей:

- быть объективно оцениваемыми: метрики должны быть верифицируемыми и достаточно точными, чтобы дифференцировать различные архитектуры;

- выполнять оценку окончательного проекта (т.е. выполнить расчеты на основе выбранного рабочего проекта аппаратных средств);

- обеспечить оценку архитектуры аппаратных средств по критерию "достигнуто/не достигнуто заданное значение УПБТС";

- определить, достаточен ли охват механизмами безопасности, чтобы предотвратить риск от одиночных или остаточных сбоев в архитектуре аппаратных средств (метрика одиночного сбоя);

- определить, достаточен ли охват механизмами безопасности, чтобы предотвратить риск от скрытых сбоев в архитектуре аппаратных средств (метрика скрытого сбоя);

- принять меры в отношении одиночных, остаточных и скрытых сбоев;

- обеспечить робастность при разбросе интенсивностей отказов в аппаратных средствах;

- рассматривать только элементы, связанные с безопасностью;

- обеспечить использование элементов различных уровней; например, целевые значения могут быть назначены поставляемым элементам аппаратных средств.

Пример - Для упрощения распределенной разработки, целевые значения могут быть назначены микросхемам или электронным блокам управления.

Примечание - Устройства со связанными с безопасностью требованиями готовности (т.е. потеря определенной функциональности может привести к опасному событию) подчиняются тем же требованиям и целевым показателям метрик архитектуры аппаратных средств, что и устройства с не связанными с безопасностью требованиями готовности.

8.3 Входная информация

8.3.1 Предварительные требования

Должна быть доступна следующая информация:

- спецификация требований безопасности аппаратных средств в соответствии с 6.5.1;

- спецификация проекта аппаратных средств в соответствии с 7.5.1;

- отчет по анализу безопасности аппаратных средств в соответствии с 7.5.2.

8.3.2 Дополнительная информация

Может быть учтена следующая информация:

- концепция технической безопасности (см. 6.5.2 ИСО 26262-4);

- спецификация архитектуры системы (см. 6.5.3 ИСО 26262-4).

8.4 Требования и рекомендации

8.4.1 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. В требованиях 8.4.2-8.4.9 применяются понятия "охват диагностикой", "метрика одиночного сбоя" и "метрика скрытого сбоя", рассмотренные в приложении C.

8.4.2 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Охват диагностикой связанных с безопасностью элементов аппаратных средств механизмами безопасности должен быть оценен по остаточным сбоям и по соответствующим скрытым сбоям.

Примечания

1 В качестве начального шага для определения диагностического охвата, обеспечиваемого запланированными механизмами безопасности, могут использоваться рекомендации, представленные в приложении D. Заявленный диагностический охват обеспечивается надлежащим обоснованием (примеры можно найти в разделе ИСО 26262-10, касающемся оценки интенсивности остаточных отказов, и в приложении А ИСО 26262-11).

2 В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней оценка может быть выполнена либо с помощью охвата диагностикой элемента аппаратных средств, либо с помощью более детальной оценки охвата вида отказов.

8.4.3 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Должны быть определены используемые в анализе и оцениваемые значения интенсивностей отказов частей аппаратных средств:

а) на основе данных об интенсивностях отказов частей аппаратных средств из признанных отраслевых источников.

Пример - Общепризнанными отраслевыми источниками для определения интенсивностей отказов и распределения видов отказов частей аппаратных средств считаются: SN 29500, IEC 61709, MIL HDBK 217 F notice 2, RIAC HDBK 217 Plus, UTE C80-811, NPRD 2016, EN 50129:2003, Annex C, RIACFMD-2016, MIL HDBK 338 и FIDES 2009 EdA. Допускается использовать распределения видов отказов, например определенные в "Alessandro Birolini - Prospectability Engineering".

Примечания

1 Значения интенсивностей отказов, приведенные в этих базах данных, как правило, считаются пессимистическими.

2 При применении выбранного отраслевого источника, чтобы избежать искусственного снижения вычисленной базовой интенсивности отказа, целесообразно учесть следующее:

- исходные данные эксплуатации;

- применимость видов отказов к условиям эксплуатации;

- единицу измерения интенсивности отказов (за час эксплуатации или за календарный час);

b) на основе статистических данных, полученных из эксплуатации или испытаний. В этом случае оцененная интенсивность отказов должна иметь достаточный уровень доверия - не менее 70%.

Примечания

1 Если уровень доверия для интенсивностей отказа различных частей аппаратных средств, используемых в оценке метрики одиночного сбоя и метрики скрытого сбоя, значительно отличается, то метрики будут необъективными.

2 Может быть необходимо масштабировать эти статистические данные, полученные из эксплуатации или испытаний, прежде чем использовать их вместе со значениями из других источников данных с другими уровнями доверия. См. также примечание 2 к перечислению с).

3 Интенсивности отказов, основанные на данных, полученных из эксплуатации или испытаний, могут быть рассчитаны, как описано в разделе 14 ИСО 26262-8 ("Проверено эксплуатацией");

c) с использованием доказательства эксперта, основанного на инженерном подходе, использующем количественные и качественные методы. В основе доказательства эксперта лежат структурированные критерии. Эти критерии должны быть установлены до выполнения оценки интенсивностей отказов.

Примечания

1 Критериями доказательства эксперта может быть сочетание эвристической информации, формируемое из совокупности данных, полученных из эксплуатации, тестирования, анализа надежности и подходов к моделированию механизмов отказа при рассмотрении новизны в проекте.

2 Допускается использовать справочные ссылки на международные экспертные организации по надежности: SAE J1211 "Robustness Validation" - Analysis, Modelling and Simulation provides physics-of-failure (PoF) based failure mechanism models, JEDEC-JESD89, JEDEC-JESD91, JEDEC-JESD94, JEDEC-JEP143, JEDEC-JESD148.

3 Если интенсивности отказов из нескольких источников данных (перечисленных в 8.4.3) объединяются, например в случае, когда интенсивности отказов различных частей недоступны из одного и того же источника, то интенсивности отказов могут быть масштабированы с использованием коэффициента масштабирования так, чтобы качество прогноза различных интенсивностей отказов было эквивалентно. Это масштабирование допускается использовать, если имеется обоснование для коэффициента масштабирования между двумя источниками интенсивности отказов.

Примеры

1 Интенсивность отказов элемента обнаружена только в одном источнике, в то время как для аналогичного элемента она доступна в этом и другом источнике. Коэффициент масштабирования представляет собой отношение частоты отказов из этих двух источников, использующих одни и те же исходные данные эксплуатации.

2 Интенсивность отказов из справочников данных обычно считается пессимистической. Если выбрано целевое значение случайного отказа аппаратного средства, согласующееся с используемыми данными справочника, то интенсивность отказов, определяемая из эксплуатации, может быть получена путем применения соответствующего коэффициента масштабирования (соответствующего, например, более пессимистическому, чем обычно, уровню доверия).

4 Если подходящий коэффициент масштабирования недоступен, то различным рассматриваемым элементам могут быть назначены отдельные целевые значения, соответствующие требованиям метрики одиночного сбоя и метрики скрытого сбоя (аналогично 8.4.4).

5 Руководящие указания по полупроводникам см. в 4.6 ИСО 26262-11.

8.4.4 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Если для использования значения интенсивности отказов части аппаратных средств предоставленных доказательств недостаточно, то должны быть предложены альтернативные средства (например, дополнительные механизмы безопасности для выявления и управления этими сбоями). Если альтернативные средства состоят исключительно из дополнительных механизмов безопасности, то:

a) диагностический охват этой части аппаратных средств для остаточных сбоев должен быть равен или выше целевого значения метрики одиночного сбоя устройства; и

b) диагностический охват этой части аппаратных средств для скрытых сбоев должен быть равен или выше целевого значения метрики скрытого сбоя устройства.

Примечания

1 "Доказательств достаточно" означает, например, что в представленных доказательствах интенсивность отказов должна быть определена с помощью одного из методов, перечисленных в 8.4.3.

2 При определении охвата механизмов безопасности может учитываться доля безопасных сбоев части аппаратных средств. В этом случае вычисление охвата выполняется аналогично вычислению метрики одиночного сбоя или метрики скрытого сбоя на уровне этой части аппаратных средств, а не на уровне устройства.

8.4.5 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Для каждой цели безопасности количественное целевое значение метрики одиночного сбоя в соответствии с требованиями 6.4.5 ИСО 26262-4 должно быть основано на одном из следующих источников рекомендуемых целевых значений:

a) полученных из вычисления метрик архитектуры аппаратных средств, которое применялось для аналогичного хорошо зарекомендовавшего себя проекта.

Примечание - Два аналогичных проекта имеют схожие функциональные возможности и аналогичные цели безопасности с теми же значениями УПБТС;

b) полученных из таблицы 4.

Таблица 4 - Возможный источник для получения целевого значения метрики одиночного сбоя


	УПБТС B	УПБТС C	УПБТС D
Метрика одиночного сбоя	90%	97%	99%

Примечание - Этот количественный целевой показатель предназначен для обеспечения:

- руководства проектированием; и

- подтверждения того, что проект соответствует целям безопасности.

8.4.6 Данное требование распространяется на значения УПБТС (B), (C) и D цели безопасности. Для каждой цели безопасности количественное целевое значение метрики скрытого сбоя в соответствии с требованиями 6.4.5 ИСО 26262-4 должно быть основано на одном из следующих источников рекомендуемых целевых значений:

b) полученных из таблицы 5.

Таблица 5 - Возможный источник для получения целевого значения метрики скрытого сбоя


	УПБТС B	УПБТС C	УПБТС D
Метрика скрытого сбоя	60%	80%	90%

Примечание - Этот количественный целевой показатель предназначен для обеспечения:

- руководства проектированием; и

- подтверждения того, что проект соответствует целям безопасности.

8.4.7 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Для каждой цели безопасности комплекс аппаратных средств всего устройства в целом должен соответствовать одному из следующих вариантов:

a) достижению целевого значения метрики одиночного сбоя, как описано в 8.4.5; или

b) достижению соответствующих целей, предусмотренных на уровне элементов аппаратных средств, которые являются достаточными для соответствия целевому значению метрики одиночного сбоя, назначенному для всего комплекса аппаратных средств устройства, согласно требованию 8.4.5, с обоснованием соответствия этим целям на уровне элементов аппаратных средств.

Примечания

1 Если устройство содержит различные виды элементов аппаратных средств с существенно разными уровнями интенсивности отказов, то существует риск, что для соответствия с метриками архитектуры аппаратных средств рассматриваются только элементы аппаратных средств с наибольшей величиной интенсивности отказов. Одним из примеров, когда это может произойти, является метрика одиночного сбоя, для которой соответствие может быть достигнуто путем учета интенсивности отказов в проводниках, предохранителях или разъемах без учета интенсивности отказов частей аппаратных средств со значительно более низкой интенсивностью отказов. Назначение соответствующих значений целевых метрик для каждого типа аппаратных средств помогает избежать данной ситуации.

2 Кратковременные сбои рассматриваются, когда показано, что они актуальны, например в связи с используемой технологией. Они могут быть учтены путем спецификации и проверки выделенного для них целевого значения метрики одиночного сбоя (как это указано в примечании 1) или с помощью качественного обоснования, основанного на верификации эффективности внутренних механизмов безопасности, реализованных для охвата этих кратковременных сбоев.

3 Если цель не достигнута, то обоснование того, как достигается цель безопасности, будет оцениваться, как указано в 4.2.

4 Некоторые или все соответствующие цели безопасности допускается рассматривать вместе для определения метрики одиночного сбоя, но в этом случае целевой метрикой считается наибольшее для рассматриваемых целей безопасности значение УПБТС.

Пример - Если устройство состоит из трех элементов аппаратных средств A, B и C с интенсивностью отказов

, а

, то для любой комбинации целевых значений

метрик одиночного сбоя элементов допускается справедливость следующего выражения:

8.4.8 Данное требование распространяется на значения УПБТС (В), (С) и D цели безопасности. Для каждой цели безопасности комплекс аппаратных средств всего устройства в целом должен соответствовать одному из следующих вариантов:

a) достижению целевого значения метрики скрытого сбоя, как описано в 8.4.6;

b) достижению соответствующих целей, предусмотренных на уровне элементов аппаратных средств, которые являются достаточными для соответствия целевому значению метрики скрытого сбоя, назначенному для всего комплекса аппаратных средств устройства, согласно требованию 8.4.6, с обоснованием соответствия этим целям на уровне элементов аппаратных средств;

c) достижению целевых значений охвата диагностикой скрытых сбоев идентично целевому значению, указанному в 8.4.6 для метрики скрытого сбоя (рассматривается как охват диагностикой), для каждого элемента аппаратных средств, сбои которых могут привести к неготовности механизма безопасности (предназначенного для предотвращения сбоев, приводящих к недостижению цели безопасности). Этот альтернативный вариант применяется, когда каждый механизм безопасности, неготовность которого может способствовать недостижению цели безопасности, предназначен для обнаружения сбоев.

Примечания

1 Вариант перечисления c) применяется только в тех случаях, где каждый соответствующий механизм безопасности предназначен для обнаружения сбоев. Предполагается, что в этом случае потенциально скрытые сбои целевой функциональности выявляются путем обнаружения этими механизмами безопасности. В других случаях этот вариант не может быть применен и варианты перечислений a) и b) являются единственно возможными.

Пример - В приложении H приведены примеры различных типов механизмов безопасности, рассматривающие обработку скрытых сбоев.

2 В случае варианта применения перечисления с) метрика не рассчитывается, оценивается только охват элементов аппаратных средств механизмами безопасности скрытых сбоев.

3 Если устройство содержит различные виды элементов аппаратных средств с существенно разными уровнями интенсивности отказов, то существует риск, что для соответствия с метриками архитектуры аппаратных средств рассматриваются только элементы аппаратных средств с наибольшей величиной интенсивности отказов. Одним из примеров, когда это может произойти, является метрика скрытого сбоя, для которой соответствие может быть достигнуто путем учета интенсивности отказов в проводниках, предохранителях или разъемах без учета интенсивности отказов частей аппаратных средств со значительно более низкой интенсивностью отказов. Назначение соответствующих значений целевых метрик для каждого вида аппаратных средств помогает избежать такой ситуации.

4 Если цель не достигнута, то обоснование того, как достигается цель безопасности, будет оцениваться, как указано в 4.2.

5 Некоторые или все соответствующие цели безопасности можно рассматривать вместе для определения метрики скрытого сбоя, но в этом случае целевой метрикой считается наибольшее для рассматриваемых целей безопасности значение УПБТС.

Пример - Если устройство состоит из трех элементов аппаратных средств A, B и C с интенсивностью отказов

, то для любой комбинации целевых значений

метрик скрытого сбоя элементов допускается справедливость следующего выражения:

8.4.9 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. В соответствии с требованиями раздела 9 ИСО 26262-8, чтобы предоставить подтверждение технической корректности и полноты результатов применяемых методов, описанных в 8.4.7 и 8.4.8, должна быть выполнена их верификационная оценка.

Примечание - Верификация метрики одиночного сбоя гарантирует, что учитываются только интенсивности отказов, связанных с безопасностью элементов аппаратных средств, так чтобы метрика не искажалась ненадлежащим образом ненужными, связанными с безопасностью, элементами аппаратных средств, в которых невозможны одиночные или остаточные сбои (например, путем добавления не являющихся необходимыми элементов аппаратных средств в механизм безопасности).

8.5 Результаты работы

8.5.1 Анализ эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств

В результате выполнения требований 8.4.1-8.4.8.

8.5.2 Отчет о верификационной оценке эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств

В результате выполнения требований 8.4.9.

9 Оценка недостижения цели безопасности вследствие случайных отказов аппаратных средств

9.1 Цели

Целью настоящего раздела является формирование подтверждения того, что остаточный риск недостижения цели безопасности из-за случайных отказов аппаратных средств устройства является достаточно низким.

Примечание - "Достаточно низкий" означает "сопоставим с остаточными рисками для устройств, уже находящихся в эксплуатации и, как известно, являющихся безопасными".

9.2 Общие положения

Предлагается два альтернативных метода (см. 9.4) для оценки того, является ли остаточный риск недостижения цели безопасности достаточно низким.

Оба метода оценивают остаточный риск недостижения цели безопасности из-за одиночных, остаточных и возможных двойных сбоев. Могут быть также рассмотрены множественные сбои, если показано, что они соответствуют концепции безопасности. В настоящем анализе будет рассмотрен охват механизмов безопасности для остаточных и двойных сбоев, а также будет рассмотрена продолжительность воздействия для двойных сбоев.

Требования первого метода описаны в 9.4.2. Метод "Вероятностная метрика случайных отказов аппаратных средств" (PMHF) является количественным анализом, выполняющим оценку недостижения рассматриваемой цели безопасности из-за случайных отказов элементов аппаратных средств. Результаты количественного анализа сравниваются с целевым значением.

Требования второго метода представлены в 9.4.3. Метод "Оценка каждой причины недостижения цели безопасности" (EEC) основан на индивидуальной оценке каждой части аппаратных средств и ее вкладе в недостижение рассматриваемой цели безопасности из-за остаточных, одиночных и возможных двойных отказов.

Выбранный метод допускается применять многократно в процессе проектирования архитектуры аппаратных средств и рабочего проектирования аппаратных средств.

Область применения настоящего раздела ограничена случайными отказами аппаратных средств устройства. При выполнении анализа рассматриваются электрические и электронные части аппаратных средств. Для электромеханических частей аппаратных средств рассматриваются только электрические виды отказов и их интенсивности.

9.3 Входная информация

9.3.1 Предварительные требования

Должна быть доступна следующая информация:

- спецификация требований безопасности аппаратных средств в соответствии с 6.5.1;

- спецификация проекта аппаратных средств в соответствии с 7.5.1;

- отчет по анализу безопасности аппаратных средств в соответствии с 7.5.2.

9.3.2 Дополнительная информация

Может быть учтена следующая информация:

- концепция технической безопасности (см. 6.5.2 ИСО 26262-4);

- спецификация архитектуры системы (см. 6.5.3 ИСО 26262-4).

9.4 Требования и рекомендации

9.4.1 Общие положения

9.4.1.1 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Устройство должно соответствовать требованиям 9.4.2 либо 9.4.3.

9.4.1.2 Данное требование распространяется на значения УПБТС C и D цели безопасности. Одиночный сбой части аппаратного средства считается приемлемым только в том случае, если доводы о его достаточно низкой вероятности возникновения предоставляются одним из следующих способов:

a) принимаются специальные меры;

b) для значения УПБТС D цели безопасности должны быть выполнены следующие условия:

- используется консервативный источник данных;

- интенсивность только небольшой части отказов (например, один конкретный вид отказа) может привести к недостижению цели безопасности;

- результирующее значение интенсивности отказов от одиночных сбоев меньше одной десятой значения, соответствующего классу 1 интенсивности отказов (согласно 9.4.3.3);

c) для значения УПБТС С цели безопасности должны быть выполнены следующие условия:

- используется консервативный источник данных;

- результирующее значение интенсивности отказов от одиночных сбоев меньше одной десятой значения, соответствующего классу 2 интенсивности отказов (согласно 9.4.3.3).

Примечания

1 Для данного требования микроконтроллер, специализированная интегральная схема (ASICS) или аналогичная однокристальная система (SoC) могут рассматриваться как части аппаратного средства.

2 Специальные меры могут включать в себя следующее:

a) особенности проекта, такие как проектирование части аппаратного средства с запасом (например, по уровню электрического напряжения или температуры) или физическое разделение (например, шаг контактов на печатной плате);

b) специальный выборочный контроль поступающего материала для снижения риска возникновения такого вида отказа;

c) отбраковочные испытания;

d) специальный механизм управления как часть плана управления;

e) установление связанных с безопасностью специальных характеристик.

9.4.1.3 Данное требование распространяется на значения УПБТС C и D цели безопасности. Остаточный сбой части аппаратного средства с диагностическим охватом (в отношении остаточных сбоев) менее 90% считается приемлемым только в том случае, если доводы о его достаточно низкой вероятности возникновения предоставляются одним из следующих способов:

a) принимаются специальные меры (в примечании 2 к 9.4.1.2 перечислены примеры специальных мер);

b) для значения УПБТС D цели безопасности должны быть выполнены следующие условия:

- используется консервативный источник данных;

- результирующее значение интенсивности отказов от остаточных сбоев менее одной десятой значения, соответствующего классу 1 интенсивности отказов (согласно 9.4.3.3);

c) для значения УПБТС C цели безопасности должны быть выполнены следующие условия:

- используется консервативный источник данных;

- результирующее значение интенсивности отказов от остаточных сбоев менее одной десятой значения, соответствующего классу 2 интенсивности отказов (согласно 9.4.3.3).

Примечания

2 При определении охвата механизмов безопасности может учитываться доля безопасных сбоев части аппаратного средства. В этом случае вычисление охвата выполняется аналогично расчету метрики одиночного сбоя, но на уровне части аппаратного средства, а не на уровне устройства.

9.4.1.4 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Интенсивности отказов для частей аппаратных средств, используемых в анализе, должны оцениваться в соответствии с требованиями 8.4.3.

9.4.2 Оценка вероятностной метрики случайных отказов аппаратных средств (PMHF)

9.4.2.1 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Количественные целевые значения требований 9.4.2.2 или 9.4.2.3 выражаются в терминах средней вероятности в час в течение срока службы устройства.

Примечания

1 Интенсивность отказов и средняя вероятность отказов в час в течение срока службы устройства являются разными величинами, даже если они измеряются в одних и тех же единицах.

2 Срок службы включает в себя только часы эксплуатации.

9.4.2.2 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. В соответствии с требованиями 6.4.5 ИСО 26262-4 количественные целевые значения максимальной вероятности недостижения каждой цели безопасности на уровне устройства из-за случайных отказов аппаратных средств должны быть определены с использованием одного из следующих источников рекомендуемых целевых значений:

a) таблицы 6;

b) эксплуатационных данных устройств, созданных на основе аналогичных хорошо зарекомендовавших себя принципов проектирования;

c) количественных методов анализа, применяемых для аналогичных хорошо зарекомендовавших себя принципов проектирования с использованием значений интенсивности отказов в соответствии с 8.4.3.

Примечания

1 Количественные целевые значения, полученные по перечислениям a), b) или c), не имеют абсолютного значения, но они полезны только для сравнения нового проекта с существующими. Они предназначены обеспечить достижение целей проекта, описанных в 9.1, а также предоставить доказательство того, что проект соответствует целям безопасности.

2 Два проекта аналогичны, если имеют схожие функциональные возможности и аналогичные цели безопасности с теми же значениями УПБТС.

3 Если другой источник, доступный для определения целевого значения случайного отказа аппаратного средства отсутствует, то, как правило, используют таблицу 6.

4 Значения, приведенные в таблице 6, предназначены для устройств, состоящих из одной системы (например, системы управления двигателем, электронной системы контроля устойчивости, системы рулевого управления с электроусилителем, системы управления подушками безопасности).

5 Целевые значения, приведенные в таблице 6, соответствуют справочным данным, которые признаны консервативными. Если оценка недостижения целей безопасности из-за случайных отказов аппаратных средств выполняется на основе статистических данных (например, на основе эксплуатационных данных), то целевые значения, приведенные в таблице 6, могут быть адаптированы, чтобы избежать искусственного упрощения при достижении целевых значений.

Таблица 6 - Возможный источник для вывода целевых значений случайных отказов аппаратных средств


УПБТС	Целевые значения случайных отказов аппаратных средств
D	<10 h
C	<10 h
B	<10 h
Примечание - Количественные целевые значения, представленные в данной таблице, могут быть адаптированы согласно 4.1, чтобы соответствовать конкретному использованию устройства (например, если устройство способно реализовать недостижение цели безопасности за время большее, чем типичное время использования легкового автомобиля).

9.4.2.3 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Если устройство состоит из нескольких систем, то полученное в соответствии с требованиями 9.4.2.2 целевое значение может быть непосредственно назначено каждой системе, входящей в это устройство. Это можно применять до тех пор, пока каждая из этих систем не сможет обеспечить достижение той же цели безопасности и соответствующее целевое значение устройства не увеличится более чем на один порядок.

Примечания

1 Требование, описанное в 9.4.2.3, может быть использовано, например, для традиционных систем, задействованных в новых функциональностях более высокого уровня (например, новых системах помощи водителю, использующих систему управления двигателем, электронную систему контроля устойчивости, систему рулевого управления с электроусилителем, систему управления подушками безопасности) и достигших такой же цели безопасности в предыдущих разработках.

Пример - Если значение УПБТС цели безопасности, равное D, распределяется в устройстве, состоящем из нескольких систем (до десяти), каждая из которых может не обеспечить достижение этой цели безопасности, то целевое значение 10

/ч может быть назначено каждой системе.

2 В приложении G приведен пример назначения значения PMHF в устройстве, состоящем из двух систем.

9.4.2.4 Данное требование распространяется на значения УПБТС (В), С и D цели безопасности. Подтверждение достижения целевых значений согласно требованиям 9.4.2.2 и 9.4.2.3 должен предоставить количественный анализ архитектуры аппаратных средств для одиночного, остаточного и множественного сбоев. Этот количественный анализ должен учитывать:

a) архитектуру устройства;

b) оцененную интенсивность отказов для видов отказов каждой части аппаратного средства, которая может вызвать одиночный или остаточный сбой;

c) оцененную интенсивность отказов для видов отказов каждой части аппаратного средства, которая может вызвать множественный сбой;

d) диагностический охват связанных с безопасностью элементов аппаратных средств механизмами безопасности;

e) продолжительность воздействия в случае множественных сбоев.

Примечания

1 Виды отказов элементов аппаратных средств, которые могут вызвать одновременно отказ связанного с безопасностью элемента аппаратных средств и его механизма безопасности, анализируются количественными методами. Они могут быть одиночными, остаточными или множественными сбоями.

2 Продолжительность воздействия сбоя начинается с момента его возникновения и включает в себя:

- интервал обнаружения множественного сбоя, связанный с каждым механизмом безопасности, или срок службы транспортного средства, если сбой не отображается водителю (скрытый сбой);

- максимальную продолжительность движения (в случае, если водителю предлагается остановиться безопасным способом); и

- средний интервал времени нахождения транспортного средства в автомастерской (в случае, если водитель предупрежден о необходимости ремонта транспортного средства).

Таким образом, продолжительность воздействия зависит от типа используемого мониторинга (например, постоянного мониторинга, периодического самотестирования, водительского мониторинга, отсутствия мониторинга) и вида реакции на обнаруженный сбой. Она может быть равна нескольким миллисекундам в случае непрерывного мониторинга, запускающего переход в безопасное состояние. Она может быть равна сроку службы транспортного средства, если мониторинг отсутствует.

Пример допущений о среднем времени эксплуатации транспортного средства до его ремонта в зависимости от типа сбоя:

- 200 поездок транспортного средства при снижении параметров комфорта;

- 50 поездок транспортного средства при снижении эффективности функций обеспечения вождения;

- 20 поездок транспортного средства при желтом предупреждающем сигнале или при влиянии на функционирование транспортного средства в процессе его вождения;

- одна поездка транспортного средства при красном предупреждающем сигнале.

Время, затраченное на ремонт, как правило, не рассматривается (за исключением оценки опасностей, воздействиям которых может подвергаться обслуживающий персонал).

Среднюю продолжительность поездки транспортного средства можно считать равной:

-1 ч для легковых автомобилей; и

-10 ч для грузовых транспортных средств и автобусов (T&B).

3 В большинстве случаев множественные отказы более второго порядка вносят незначительный количественный вклад в целевые значения. Тем не менее в некоторых конкретных случаях (очень высокая интенсивность отказов или низкий охват диагностикой) необходимо обеспечить два резервных механизма безопасности для достижения цели. Если концепция технической безопасности основана на резервировании механизмов безопасности, то при анализе рассматриваются множественные отказы более второго порядка.

4 В качестве начального шага для определения диагностического охвата, обеспечиваемого запланированными механизмами безопасности, могут использоваться рекомендации, представленные в приложении D. Заявленный диагностический охват обеспечивается надлежащим обоснованием (примеры можно найти в разделе ИСО 26262-10, касающемся оценки интенсивности остаточных отказов, и в приложении А ИСО 26262-11).

5 Как указано в 9.4.2.2, примечание 1, значения PMHF не имеют абсолютного значения, но являются полезными для сравнения нового проекта с существующим.

6 В случае недостижения целевого значения, определенного в 9.4.2.2 или 9.4.2.3, обоснование того, каким образом достигается цель безопасности, будет выполняться в соответствии с 4.2. Это обоснование может основываться:

- на определении факторов, вносящих основной вклад в значение PMHF, и видов отказов, имеющих низкий уровень охвата; и

- обзоре этих факторов, учитывая среди прочих критериев интенсивность отказов, исследования надежности, диагностический охват, охват вида отказов, эксплуатационный опыт, меры по проверке, современный технический уровень и специальные меры (перечень специальных мер см. в 9.4.1.2, примечание 2).

Пример такого обоснования приведен в приложении F.

7 В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней оценка может быть выполнена либо с помощью охвата диагностикой элемента аппаратных средств, либо с помощью более детальной оценки охвата вида отказов.

8 Из-за неопределенностей при вычислении PMHF (например, при вычислении интенсивности отказов, видов отказов, распределения видов отказов, диагностического охвата, отношения безопасных сбоев) его рассчитанное значение может существенно меняться и его интерпретация должна выполняться с особой осторожностью.

9.4.3 Оценка каждой причины недостижения цели безопасности

9.4.3.1 Метод оценки каждой причины недостижения цели безопасности из-за случайных отказов аппаратных средств иллюстрируется блок-схемами на рисунках 3 и 4. Каждый одиночный сбой оценивается с помощью критериев возникновения сбоя. Каждый остаточный сбой оценивается с помощью критериев, объединяющих критерии возникновения сбоя и критерии эффективности механизма безопасности.

На рисунке 4 показана блок-схема процедуры, применяемой для двойных отказов. Сначала оценивается достоверность двойного отказа. Двойной отказ не считается достоверным, если оба сбоя, приводящие к отказу, обнаруживаются или воспринимаются за достаточно короткое время с подходящим охватом. Если двойной отказ является достоверным, то вызывающие его сбои затем оцениваются с использованием критериев, объединяющих возникновение сбоя и охват механизмами безопасности.

Рисунок 3 - Процедура оценки одиночных и остаточных сбоев

Рисунок 4 - Процедура оценки двойных отказов

Если оценка сбоя не соответствует критерию, объединяющему возникновение сбоя и охват механизмами безопасности, то соответствующий двойной отказ может быть оценен по критерию возникновения.

Процедуры оценки, представленные на рисунке 3, применяются на уровне частей аппаратных средств (резисторы, емкости, микропроцессоры и т.д.).

Примечание - Вероятность возникновения двойного отказа оценивают методом количественного анализа (например, FTA, анализ Маркова), описание которого приведено в 9.4.2.4.

9.4.3.2 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Оценка каждого одиночного сбоя, остаточного сбоя и двойного отказа, приводящего к недостижению цели безопасности, должна осуществляться индивидуально на уровне части аппаратного средства. Эта оценка должна предоставить подтверждение, что каждый одиночный сбой, остаточный сбой и двойной отказ, приводящий к недостижению рассматриваемой цели безопасности, является допустимым в соответствии с требованиями 9.4.3.3-9.4.3.13.

Примечания

1 Этот анализ можно рассматривать как анализ сечений, где отсутствие или неполнота охвата рассматривается как сбой.

2 В большинстве случаев множественные отказы более второго порядка вносят незначительный вклад. Тем не менее в некоторых конкретных случаях (очень высокая интенсивность отказов или низкий охват диагностикой) необходимо обеспечить два резервных механизма безопасности. Поэтому если концепция технической безопасности предусматривает резервирование механизмов безопасности, то при анализе необходимо рассмотреть множественные отказы более второго порядка.

3 Если анализ выполняется на уровне подсистемы, то он может учитывать механизмы безопасности системы, реализованные в других подсистемах.

4 Если отсутствует подтверждение о том, что одиночный сбой, остаточный сбой или двойной отказ является допустимым в соответствии с требованиями 9.4.3.3-9.4.3.13, то обоснование достижения цели безопасности будет оцениваться в соответствии с требованиями 4.2. Это обоснование может быть основано на анализе этих сбоев/отказов, учитывая среди прочих критериев интенсивность отказов, результаты анализа надежности, диагностический охват, охват вида отказов, эксплуатационный опыт, меры по верификации, современный технический уровень и специальные меры (перечень специальных мер см. в 9.4.1.2, примечание 2).

Пример такого обоснования приведен в приложении F.

9.4.3.3 Данное требование распространяется на значения УПБТС (В), С и D цели безопасности. Ранжирование классов интенсивности отказов для интенсивности отказов частей аппаратных средств определяется следующим образом:

Примечание - Классы 1, 2 и 3 для интенсивности отказов вводятся для интенсивностей возникновения отказов. Эти классы аналогичны уровням возникновения 1, 2 и 3, используемым в FMEA соответственно, где уровень 1 соответствует видам отказов с самой низкой интенсивностью возникновения.

a) интенсивность отказов, соответствующая интенсивности отказов класса 1, должна быть менее, чем целевое значение УПБТС, равное D, деленное на 100, если не применяются требования 9.4.3.4.

Примечание - Могут быть использованы целевые значения, указанные в таблице 6;

b) интенсивность отказов, соответствующая интенсивности отказов класса 2, должна быть менее или равна увеличенной в 10 раз интенсивности отказов, соответствующей интенсивности отказов класса 1;

c) интенсивность отказов, соответствующая интенсивности отказов класса 3, должна быть менее или равна увеличенной в 100 раз интенсивности отказов, соответствующей интенсивности отказов класса 1; и

d) интенсивность отказов, соответствующая интенсивности отказов класса

>3, должна быть менее или равна увеличенной в 10

раз интенсивности отказов, соответствующей интенсивности отказов класса 1.

Примечания

1 Назначение класса интенсивности отказов основано на интенсивности отказов части аппаратного средства без учета эффективности механизмов безопасности.

2 В случае, когда небольшое число частей (таких, как внутренние полупроводниковые компоненты) имеют интенсивность отказов выше, чем верхний предел интенсивности отказов класса i, то этим частям может быть назначен класс i интенсивности возникновения отказов, если результирующая средняя интенсивность отказов частей, которым назначен класс i, ниже, чем верхний предел интенсивности отказов класса i.

9.4.3.4 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. При ранжировании классов интенсивностей отказов может быть использован делитель, отличный от числа 100, если предоставляется обоснование. В этом случае должна быть обеспечена корректность ранжирования при рассмотрении одиночных сбоев, остаточных сбоев и сечений более высокого уровня.

Пример - Обоснование может быть основано на количестве минимальных сечений либо на количестве связанных с безопасностью элементов технического средства.

9.4.3.5 Данное требование распространяется на значения УПБТС (В), С и D цели безопасности. Одиночный сбой, возникающий в части аппаратного средства, рассматривается допустимым только в том случае, если в результате ранжирования класс интенсивности отказов этой части аппаратного средства удовлетворяет требованиям для целевых значений, приведенных в таблице 7.

Таблица 7 - Целевые значения классов интенсивности отказов частей аппаратных средств для одиночных сбоев


УПБТС цели безопасности	Класс интенсивности отказов
D	Класс 1 интенсивности отказов + специальные меры
C	Класс 2 интенсивности отказов + специальные меры или класс 1 интенсивности отказов
B	Класс 2 интенсивности отказов или класс 1 интенсивности отказов
Примеры специальных мер приведены в требовании 9.4.1.2, примечание 2.

Примечание - При определении класса интенсивности отказов можно рассмотреть долю безопасных сбоев для части аппаратного средства.

9.4.3.6 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Остаточный сбой, возникающий в части аппаратного средства, считается допустимым, если в результате ранжирования класс интенсивности отказов этой части аппаратного средства соответствует целевым значениям, приведенным в таблице 8, при различных значениях охвата диагностикой (для остаточных сбоев).

Примечание - Рассматриваемая интенсивность отказов является интенсивностью отказов части аппаратного средства и не учитывает эффективность механизмов безопасности.

Таблица 8 - Классы максимальной интенсивности отказов для заданного охвата диагностикой части аппаратного средства (остаточные сбои)


УПБТС цели безопасности	Охват диагностикой остаточных сбоев
	99,9%	99%	90%	<90%
D	Класс 4 интенсивности отказов	Класс 3 интенсивности отказов	Класс 2 интенсивности отказов	Класс 1 интенсивности отказов + специальные меры
C	Класс 5 интенсивности отказов	Класс 4 интенсивности отказов	Класс 3 интенсивности отказов	Класс 2 интенсивности отказов + специальные меры
B	Класс 5 интенсивности отказов	Класс 4 интенсивности отказов	Класс 3 интенсивности отказов	Класс 2 интенсивности отказов
Примеры специальных мер приведены в требовании 9.4.1.2, примечание 2.

Примечания

1 Таблица 8 устанавливает связь между классом с максимальной интенсивностью отказов, который позволено задавать целевому значению УПБТС, и охватом диагностикой. Классы с более низкой интенсивностью отказов являются приемлемыми, но не необходимыми.

2 Классы с более низкой интенсивностью отказов означают классы интенсивности отказов с более низким номером. Например, классы с более низкой интенсивностью отказов для класса 3 интенсивности отказов означают классы 2 и 1 интенсивности отказов.

3 Доля безопасных сбоев части аппаратного средства может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики одиночного сбоя, но на уровне части аппаратного средства, а не на уровне устройства.

9.4.3.7 Данное требование распространяется на значения УПБТС (B),CС и D цели безопасности. Для классов интенсивности отказов

>3, остаточный сбой считается допустимым, если охват диагностикой более или равен

% для значения УПБТС, равного D, или более или равен

% для значения УПБТС, равного B и C.

Примечания

1 Рассматриваемая интенсивность отказов является интенсивностью отказов части аппаратного средства и не учитывает эффективность механизмов безопасности.

2 Доля безопасных сбоев части аппаратного средства может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики одиночного сбоя, но на уровне части аппаратного средства, а не на уровне устройства.

9.4.3.8 Данное требование распространяется на значение УПБТС D цели безопасности. Двойной отказ считается правдоподобным, если:

a) одна или обе участвующие части аппаратного средства имеют охват диагностикой (для скрытых сбоев) менее 90%; или

b) один из двойного сбоя, вызывающего двойной отказ, остается скрытым в течение времени, превышающего интервал обнаружения множественного сбоя, как определено в 6.4.8.

Примечание - Доля безопасных сбоев части аппаратного средства может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики скрытого сбоя, но на уровне части аппаратного средства, а не на уровне устройства.

9.4.3.9 Данное требование распространяется на значение УПБТС С цели безопасности. Двойной отказ считается правдоподобным, если:

a) одна или обе участвующие части аппаратного средства имеют охват диагностикой (для скрытых сбоев) менее 80%; или

9.4.3.10 Данное требование распространяется на значения УПБТС C и D цели безопасности. Двойной отказ, который является неправдоподобным, считается соответствующим целевому значению цели безопасности и, следовательно, допустимым.

9.4.3.11 Данное требование распространяется на значения УПБТС C и D цели безопасности. Двойной сбой, возникающий в части аппаратного средства и способствующий возможному двойному отказу, считается допустимым, если полученный в результате ранжирования класс интенсивности отказов для этой части аппаратного средства соответствует целевым значениям и охвату диагностикой (для скрытых сбоев), приведенным в таблице 9.

Примечание - Рассматриваемая интенсивность отказов является интенсивностью отказов части аппаратного средства. Таким образом, она не рассматривает эффективность механизмов безопасности.

Таблица 9 - Целевые значения класса интенсивности отказов и охвата диагностикой части аппаратного средства для двойных сбоев


УПБТС цели безопасности	Охват диагностикой скрытых сбоев
	99%	90%	<90%
D	Класс 4 интенсивности отказов	Класс 3 интенсивности отказов	Класс 2 интенсивности отказов
C	Класс 5 интенсивности отказов	Класс 4 интенсивности отказов	Класс 3 интенсивности отказов

Примечания

1 Таблица 9 устанавливает связь между классами с максимальной интенсивностью отказов, которые позволено задавать целевому значению УПБТС, и достигаемым уровнем охвата диагностикой. Классы с более низкой интенсивностью отказов являются приемлемыми, но не необходимыми.

3 Доля безопасных сбоев части аппаратного средства может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики скрытого сбоя, но на уровне части аппаратного средства, а не на уровне устройства.

4 Настоящее требование применимо, если оба двойных сбоя, способствующих возможному двойному отказу, могут возникнуть в одной и той же части аппаратного средства.

Пример - Механизм безопасности "контроль по четности" находится в части аппаратного средства - в памяти с произвольным доступом (ППД). Поэтому оба двойных сбоя, способствующих возможному двойному отказу, сбой в ячейке ППД и сбой в механизме контроля по четности, находятся в одной части аппаратного средства ППД. Для того, чтобы оба двойных сбоя были признаны допустимыми, аппаратная часть ППД должна соответствовать целевым значениям класса интенсивности отказов и диагностическому охвату, указанным в таблице 9.

9.4.3.12 Данное требование распространяется на значения УПБТС С и D цели безопасности. Для классов интенсивности отказов

>3, двойной сбой, способствующий возможному двойному отказу, считается допустимым, если значение охвата диагностикой более или равно

% для значения УПБТС, равного D, или более или равно

% для значения УПБТС, равного С.

9.4.3.13 Данное требование распространяется назначения УПБТС С и D цели безопасности. Если требования 9.4.3.11 или 9.4.3.12 не могут быть выполнены, то возможный двойной отказ считается допустимым, если вероятность его возникновения, выраженная в терминах средней вероятности в час в течение срока службы устройства, менее или равна:

a) десятой части значения, соответствующего классу 1 интенсивности отказов, для цели безопасности с УПБТС, равным D; и

b) десятой части значения, соответствующего классу 2 интенсивности отказов, для цели безопасности с УПБТС, равным С.

9.4.4 Верификационная оценка

Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Должна быть выполнена верификационная оценка результатов анализа, полученных в соответствии с набором требований 9.4.2 или 9.4.3, для того чтобы предоставить подтверждение его технической корректности и полноты в соответствии с требованиями раздела 9 ИСО 26262-8.

9.5 Результаты работы

9.5.1 Анализ недостижения цели безопасности в результате случайных отказов аппаратных средств

В результате выполнения требований 9.4.2 или 9.4.3.

9.5.2 Спецификация специальных мер для аппаратных средств

При необходимости, в том числе обоснование эффективности специальных мер в результате выполнения требований 9.4.1.2 и 9.4.1.3.

9.5.3 Отчет о верификационной оценке недостижения цели безопасности в результате случайных отказов аппаратных средств

В результате выполнения требований 9.4.4.

10 Интеграция и верификация аппаратных средств

10.1 Цели

Целью настоящего раздела является обеспечение соответствия разработанных аппаратных средств требованиям их безопасности.

10.2 Общие положения

Целью положений, описанных в настоящем разделе, являются интеграция элементов аппаратных средств и верификация соответствия проекта аппаратных средств требованиям их безопасности для соответствующего УПБТС.

Интеграция и верификация аппаратных средств отличаются от деятельности по оценке элементов аппаратных средств, описанной в разделе 13 ИСО 26262-8, которая предоставляет для элементов аппаратных средств подтверждение пригодности их использования в качестве частей устройств, систем или элементов, разработанных в соответствии с ИСО 26262.

10.3 Входная информация

10.3.1 Предварительные требования

Должна быть доступна следующая информация:

- спецификация требований безопасности аппаратных средств в соответствии с 6.5.1;

- спецификация проекта аппаратных средств в соответствии с 7.5.1.

10.3.2 Дополнительная информация

Может быть учтена следующая информация:

- отчет по анализу безопасности аппаратных средств (см. 7.5.2).

10.4 Требования и рекомендации

10.4.1 Действия по интеграции и верификации аппаратных средств должны быть выполнены в соответствии с требованиями раздела 9 ИСО 26262-8.

10.4.2 Интеграция и верификация аппаратных средств должны быть согласованы со спецификацией стратегии интеграции и тестирования, определенной в 7.4.1 ИСО 26262-4.

Примечание - Если в соответствии с требованиями раздела 5 ИСО 26262-9 применяется декомпозиция УПБТС, то перед ней выполняются соответствующие мероприятия по интеграции декомпозируемых элементов, а также определенные последующие действия.

10.4.3 Части аппаратных средств, связанные с безопасностью, подлежат проверке на соответствие установленным процедурам, основанным на международных стандартах качества или эквивалентных стандартах компании.

Пример - Проверка на соответствие электронных частей выполняется согласно ИСО 16750, или AEC-Q100, или AEC-Q200.

10.4.4 Для подтверждения того, что для выбранных интеграционных испытаний аппаратных средств определены соответствующие тестовые сценарии, эти тестовые сценарии должны быть получены с использованием подходящей комбинации методов, перечисленных в таблице 10.

Таблица 10 - Методы получения тестовых сценариев для испытания интеграции аппаратных средств


Методы		УПБТС
		A	B	C	D
1a	Анализ требований	++	++	++	++
1b	Анализ внешних и внутренних интерфейсов	+	++	++	++
1c	Генерация и анализ классов эквивалентности	+	+	++	++
1d	Анализ граничных значений	+	+	++	++
1e	Предугадывание ошибок на основе знаний и опыта	++	++	++	++
1f	Анализ функциональных зависимостей	+	+	++	++
1g	Анализ общих предельных эксплуатационных режимов, последовательностей и источников зависимых отказов	+	+	++	++
1h	Анализ состояния внешней среды и эксплуатационных сценариев использования	+	++	++	++
1i	Стандарты, если существуют	+	+	+	+
1j	Анализ важных вариантов	++	++	++	++
Для того, чтобы эффективно получить необходимые тестовые сценарии, может быть выполнен анализ сходств. Например, значения, приближающиеся к границам и пересекающие границы между определенными значениями, а также значения вне допустимого диапазона. Предугадывание ошибок может быть основано на данных, собранных в процессе обучения, или на экспертной оценке, или на обоих источниках. Допускается использовать FMEA. Существующие стандарты включают в себя ИСО 16750 и ИСО 11452. Анализ важных вариантов включает в себя анализ наихудшего случая.

10.4.5 Действия по интеграции и верификации аппаратных средств должны включать в себя проверку полноты и корректности реализации требований безопасности аппаратных средств. Для достижения этих целей должны быть рассмотрены методы, перечисленные в таблице 11.

Таблица 11 - Интеграционные тесты аппаратных средств для проверки полноты и корректности реализации требований безопасности аппаратных средств


Методы		УПБТС
		A	B	C	D
1	Функциональное тестирование	++	++	++	++
2	Тестирование методом внесения дефектов	+	+	++	++
3	Тестирование электрических параметров	++	++	++	++
Функциональное тестирование направлено на проверку достижения устройством заданных характеристик. На вход устройства подаются данные, которые адекватно характеризуют его предполагаемое предписанное функционирование. Выходные данные сравниваются с приведенными в требованиях. Анализируются отклонения от требований и признаки неполноты требований. Более подробную информацию о методе внесения дефектов для полупроводникового компонента см. в 4.8 ИСО 26262-11. Электрические испытания направлены на проверку соблюдения требований безопасности аппаратных средств внутри заданного (статического и динамического) диапазона напряжений. Существующие стандарты включают в себя ИСО 16750 и ИСО 11452.

10.4.6 Действия по интеграции и верификации аппаратных средств должны включать в себя проверку живучести и надежности аппаратных средств при внешних эксплуатационных негативных воздействиях. Для достижения этих целей должны быть рассмотрены методы, перечисленные в таблице 12.

Таблица 12 - Интеграционные тесты аппаратных средств для проверки живучести, робастности и работы под воздействием внешних негативных воздействий


Методы		УПБТС
		A	B	C	D
1a	Испытания на воздействие внешних условий при выполнении верификации основных функций	++	++	++	++
1b	Расширенное функциональное испытание	о	+	+	++
1c	Статистическое испытание	о	о	+	++
1d	Испытание на наихудший случай	о	о	о	+
1e	Испытание в запредельных условиях	+	+	+	+
1f	Механическое испытание	++	++	++	++
1g	Ускоренное испытание на долговечность	+	+	++	++
1h	Испытание на механическую износостойкости	++	++	++	++
1i	Испытание на электромагнитную совместимость и на устойчивость к электростатическим разрядам	++	++	++	++
1j	Химические испытания	++	++	++	++
Во время испытаний на воздействие внешних условий при выполнении верификации основных функций аппаратные средства помещаются в различные условия внешней среды и оценивается выполнение требований к аппаратным средствам. Может быть применен ИСО 16750-4. Расширенное функциональное испытание проверяет функциональное поведение устройства для редко встречающихся значений входных условий (например, экстремальные значения исходных данных эксплуатации) или находящихся за пределами требований аппаратного средства (например, некорректная команда). В таких ситуациях наблюдаемое функционирование элемента аппаратного средства сравнивается с заданными требованиями. Статистические испытания выполняют проверку элемента аппаратных средств, на вход которого подаются данные, выбранные в соответствии с ожидаемым статистическим распределением реальных исходных данных эксплуатации. Критерии приемлемости определяются тем, что статистическое распределение результатов подтверждает требуемую интенсивность отказов. При испытании на наихудший случай выполняют проверку ситуаций, выявленных в результате анализа на наихудший случай. В таком испытании условия внешней среды меняются до их максимально допустимых предельных значений, определенных в требованиях. Проверяется соответствующая реакция аппаратных средств и сравнивается с заданными требованиями. При испытании в запредельных условиях элементы аппаратных средств проверяются при экологических или функциональных ограничениях, постепенно увеличивающихся до значений более серьезных, чем для них определено, пока они не перестанут функционировать или не разрушатся. Целью этого испытания является определение запаса робастности тестируемых элементов для требуемых рабочих характеристик. Механическое испытание распространяется на механические свойства, такие как прочность на разрыв. Допускается применить ИСО 16750-3. Ускоренное испытание на долговечность направлено на предсказание поведения в процессе эволюции изделия в нормальных условиях эксплуатации. При ускоренном испытании изделие подвергается более высоким нагрузкам, чем ожидалось в течение его срока службы. Ускоренные испытания основаны на аналитической модели ускорения влияния вида отказов. Целью этих испытаний является определение среднего времени до отказа или максимального числа циклов, которое элемент может выдержать. Испытание может выполняться до отказа или получения повреждения. Для испытаний на электромагнитную совместимость могут быть применены ИСО 7637-2, ИСО 7637-3, ИСО 11452-2 и ИСО 11452-4, а на устойчивость к электростатическим разрядам - ИСО 10605. Для химических испытаний может быть применен ИСО 16750-5.

10.5 Результаты работы

10.5.1 Спецификация интеграции и верификации аппаратных средств

В результате выполнения требований 10.4.1-10.4.6.

10.5.2 Отчет по интеграции и верификации аппаратных средств

В результате выполнения требований 10.4.1-10.4.6.

Приложение А

(справочное)

Обзор и последовательность выполняемых работ при разработке изделия на уровне аппаратных средств

Таблица А.1 содержит обзор целей, предварительных условий и результатов работы конкретных стадий разработки изделия на уровне аппаратных средств.

Примечание - ИСО 26262-11 содержит рекомендации по настройке результатов работы для интегральных схем.

Таблица А.1 - Обзор разработки изделия на уровне аппаратных средств


Раздел	Цели	Предварительные требования	Результаты работы
6 Спецификация требований безопасности аппаратных средств	a) Определить требования безопасности аппаратных средств. Они выводятся из концепции технической безопасности и спецификации архитектуры системы; b) уточнить технические требования к аппаратно-программному интерфейсу (АПИ), разработанные в соответствии с 6.4.7 ИСО 26262-4; c) проверить соответствие требований безопасности аппаратных средств и технических требований к АПИ концепции технической безопасности и спецификации архитектуры системы	- Концепция технической безопасности в соответствии с 6.5.2 ИСО 26262-4; - спецификация архитектуры системы в соответствии с 6.5.3 ИСО 26262-4; - технические требования к АПИ в соответствии с 6.5.4 ИСО 26262-4	6.5.1 Спецификация требований безопасности аппаратных средств (включая квалификационные критерии и критерии тестирования) в результате выполнения требований 6.4.1-6.4.8. 6.5.2 Технические требования к АПИ (уточненные) в результате выполнения требований 6.4.10. 6.5.3 Отчет о верификации требований безопасности аппаратных средств в результате выполнения требований 6.4.9 и 6.4.11
7 Проектирование аппаратных средств	a) Разработать проект аппаратных средств, который: - поддерживает анализ безопасности, - учитывает результаты анализа безопасности, - соответствует требованиям безопасности аппаратных средств, - соответствует техническим требованиям АПИ, - соответствует спецификации архитектуры системы, - удовлетворяет требуемым свойствам проекта аппаратных средств; b) определить требования и предоставить информацию о функциональной безопасности аппаратных средств для производства, эксплуатации, обслуживания и вывода из эксплуатации; c) проверить: - что проект аппаратных средств может соответствовать требованиям безопасности аппаратных средств и техническим требованиям АПИ; - обоснованность допущений, использованных при разработке каждого элемента безопасности вне контекста (SEooC), интегрированного в разработанное аппаратное обеспечение; - пригодность специальных связанных с безопасностью характеристик для обеспечения функциональной безопасности при производстве и эксплуатации	- Спецификация требований безопасности аппаратных средств в соответствии с 6.5.1; - технические требования к АПИ (уточненные) в соответствии с 6.5.2; - спецификация архитектуры системы в соответствии с 6.5.3 ИСО 26262-4	7.5.1 Спецификация проекта аппаратных средств в результате выполнения требований 7.4.1 и 7.4.2. 7.5.2 Отчет по анализу безопасности аппаратных средств в результате выполнения требований 7.4.3. 7.5.3 Отчет о верификации проекта аппаратных средств в результате выполнения требований 7.4.4. 7.5.4 Спецификация требований к производству, эксплуатации, обслуживанию и выводу из эксплуатации в результате выполнения требований 7.4.5
8 Оценка метрик архитектуры аппаратных средств	Целью настоящего раздела является подготовка обоснования пригодности проекта архитектуры аппаратных средств устройства с использованием метрики архитектуры аппаратных средств для выявления и управления связанными с безопасностью случайными отказами аппаратных средств	- Спецификация требований безопасности аппаратных средств в соответствии с 6.5.1; - спецификация проекта аппаратных средств в соответствии с 7.5.1; - отчет по анализу безопасности аппаратных средств в соответствии с 7.5.2	8.5.1 Анализ эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств в результате выполнения требований 8.4.1-8.4.8. 8.5.2 Отчет о верификационной оценке эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств в результате выполнения требований 8.4.9
9 Оценка недостижения цели безопасности вследствие случайных отказов аппаратных средств	Сформировать подтверждение того, что остаточный риск недостижения цели безопасности из-за случайных отказов аппаратных средств устройства является достаточно низким	- Спецификация требований безопасности аппаратных средств в соответствии с 6.5.1; - спецификация проекта аппаратных средств в соответствии с 7.5.1; - отчет по анализу безопасности аппаратных средств в соответствии с 7.5.2	9.5.1 Анализ недостижения цели безопасности в результате случайных отказов аппаратных средств в результате выполнения требований 9.4.2 или 9.4.3. 9.5.2 Спецификация специальных мер для аппаратных средств, при необходимости, в том числе обоснование эффективности специальных мер, в результате выполнения требований 9.4.1.2 и 9.4.1.3. 9.5.3 Отчет о верификационной оценке недостижения цели безопасности в результате случайных отказов аппаратных средств в результате выполнения требований 9.4.4
10 Интеграция и верификация аппаратных средств	Обеспечить соответствие разработанных аппаратных средств требованиям их безопасности	- Спецификация требований безопасности аппаратных средств в соответствии с 6.5.1; - спецификация проекта аппаратных средств в соответствии с 7.5.1	10.5.1 Спецификация интеграции и верификации аппаратных средств в результате выполнения требований 10.4.1-10.4.6. 10.5.2 Отчет по интеграции и верификации аппаратных средств в результате выполнения требований 10.4.1-10.4.6

Приложение B

(справочное)

Классификация видов отказов элементов аппаратных средств

Виды отказов элемента аппаратных средств могут быть классифицированы, как показано на рисунке В.1. Блок-схема, представленная на рисунке В.2, описывает, как вид отказа элемента аппаратного средства может попасть в одну из этих классификаций.

Рисунок B.1 - Классификация видов отказов элементов аппаратных средств

АС - аппаратные средства

Рисунок B.2 - Пример классификации видов отказов

Примечания

1 Элементы с отказами, которые несущественно увеличивают вероятность недостижения цели безопасности, могут быть исключены из анализа, и их виды отказов могут быть классифицированы как безопасные сбои; например, для элементов аппаратных средств, сбои которых вносят вклад только во множественные отказы порядка n, при n>2, считаются безопасными сбоями, если только эти элементы аппаратных средств не рассматриваются в концепции технической безопасности.

Пример - Часть вида отказов элемента аппаратного средства, которые могут привести к недостижению цели безопасности при отсутствии механизма безопасности и которые охвачены двумя независимыми механизмами безопасности, могут рассматриваться как множественные отказы порядка 3. Их можно считать безопасными, если не будет показано, что они имеют отношение к концепции обеспечения безопасности.

2 Один и тот же сбой может быть отнесен к различным классам при рассмотрении различных целей безопасности.

Приложение C

(справочное)

Метрики архитектуры аппаратных средств

C.1 Классификация сбоев и их охват диагностикой

C.1.1 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Метрики архитектуры аппаратных средств должны быть определены для аппаратных средств устройства и только для связанных с безопасностью элементов аппаратных средств, у которых существует возможность внести существенный вклад в недостижение цели безопасности.

Пример - Элементы аппаратных средств, множественные сбои которых порядка n, при n>2, могут быть исключены из расчетов, если они не рассматриваются в концепции технической безопасности.

C.1.2 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Каждый сбой, происходящий в связанном с безопасностью элементе аппаратного средства, должен быть классифицирован в соответствии с рисунком B.1 как:

a) одиночный сбой;

b) остаточный сбой.

Пример - Элемент аппаратного средства может иметь сбои "обрыв цепи", "короткое замыкание на массу" и "короткое замыкание на линию высокого напряжения", но только сбои "обрыв цепи" и "короткое замыкание на массу" охватываются механизмами безопасности. Сбой "короткое замыкание на линию высокого напряжения" является остаточным сбоем, так как он не охватывается механизмом безопасности, если он приводит к недостижению заданной цели безопасности;

c) множественный сбой.

Примечание - Классификация множественных сбоев должна различать скрытые, выявляемые и воспринимаемые сбои;

d) безопасный сбой.

Рисунок C.1 дает графическое представление классификации сбоев, связанных с безопасностью элементов аппаратных средств устройства.

Рисунок C.1 - Классификация сбоев, связанных с безопасностью элементов аппаратных средств устройства

В этом графическом представлении:

- расстояние n представляет собой число независимых одновременно присутствующих сбоев, вызывающих недостижение цели безопасности (n=1 для одиночного или остаточного сбоя, n=2 для двойного сбоя и т.д.);

- сбои с расстоянием, равным значению n, расположены в районе между окружностями n и n-1;

- множественные сбои с расстоянием строго более n=2 следует рассматривать как безопасные сбои, если они не рассматриваются в концепции технической безопасности.

Примечание - Кратковременные сбои, для которых механизм безопасности возвращает устройство в исправное состояние, можно рассматривать как выявляемые множественные сбои, даже если водитель никогда не был проинформирован об их существовании.

Пример - В случае использования кода с исправлением ошибок для защиты памяти от кратковременных сбоев устройство будет возвращаться в исправное состояние, если механизм безопасности, кроме передачи корректного значения в ЦП, изменяет значение ошибочного бита на обратное внутри массива памяти (например, путем перезаписи скорректированного значения).

Таким образом, интенсивность отказов

каждого связанного с безопасностью элемента аппаратного средства может быть выражена в соответствии с уравнением C.1 (предполагая, что все сбои независимы и распределены экспоненциально), а именно:

, (C.1)

где

- интенсивность отказов, связанных с одиночными сбоями элемента аппаратного средства;

- интенсивность отказов, связанных с остаточными сбоями элемента аппаратного средства;

- интенсивность отказов, связанных с множественными сбоями элемента аппаратного средства;

- интенсивность отказов, связанных с безопасными сбоями элемента аппаратного средства.

Интенсивность отказов, связанных с множественными сбоями элемента аппаратного средства

, может быть выражена уравнением С.2 следующим образом:

, (C.2)

где

- интенсивность отказов, связанных с воспринимаемыми или выявляемыми множественными сбоями элемента аппаратного средства;

- интенсивность отказов, связанных со скрытыми сбоями элемента аппаратного средства.

Интенсивность отказов, связанных с остаточными сбоями, может быть определена с помощью охвата диагностикой механизмов безопасности, которые предотвращают одиночные сбои элемента аппаратного средства. Уравнение C.3 дает консервативную оценку интенсивности отказов, связанных с остаточными сбоями:

, (С.3)

где

- расчетная интенсивность отказов, связанных с остаточными сбоями;

(также известное как

) - значение охвата диагностикой остаточных сбоев, выраженное в процентах.

Примечание - Если известны распределение вида отказов и охват видов отказов, то значение

может быть вычислено следующим образом:

, (С.4)

где

- интенсивность отказов, связанная с

-м видом отказов связанного с безопасностью элемента аппаратного средства;

- доля сбоев

-го вида отказа, которые считаются безопасными;

- доля сбоев

-го вида отказа, которые способны непосредственно привести к недостижению цели безопасности при отсутствии механизма безопасности;

- охват вида отказов для

-го вида отказов относительно остаточных сбоев.

Интенсивность отказов, связанных со скрытыми сбоями, может быть определена с помощью охвата диагностикой механизмов безопасности, которые предотвращают скрытые сбои элемента аппаратного средства. Уравнение С.5 дает консервативную оценку интенсивности отказов, связанных со скрытыми сбоями:

, (С.5)

где

- расчетная интенсивность отказов, связанных со скрытыми сбоями;

- значение охвата диагностикой скрытых сбоев, выраженное в процентах.

Примечания

1 Если известно распределение видов отказов и охват видов отказов, то значение

может быть вычислено следующим образом:

(С.6)

где

- интенсивность отказов, связанная с

-м видом отказов связанного с безопасностью элемента аппаратного средства;

- доля сбоев

-го вида отказа, которые считаются безопасными;

- доля сбоев

-го вида отказа, которые не считаются безопасными, но которые не способны непосредственно привести к недостижению цели безопасности при отсутствии механизма безопасности;

- охват вида отказов для

-го вида отказов относительно остаточных сбоев;

- охват вида отказов для

-го вида отказов относительно скрытых сбоев.

2 Для данной цели может быть использовано приложение D в качестве основного подхода для расчета заявленного охвата диагностикой и его обеспечения надлежащим обоснованием.

3 Если рассмотренные выше оценки считаются слишком консервативными, то детальный анализ видов отказов элемента аппаратного средства может отнести каждый вид отказов к одному из классов сбоев (одиночные сбои, остаточные сбои, скрытые, выявляемые или воспринимаемые множественные сбои или безопасные сбои) для заданной цели безопасности и определить интенсивности каждого вида отказов. Для классификации сбоев может быть использована блок-схема приложения B.

C.2 Метрика одиночного сбоя

C.2.1 Данная метрика отражает робастность устройства к одиночным и остаточным сбоям, которая реализуется или охватом механизмами безопасности, или в процессе проектирования (в основном допускаются безопасные сбои). Большое значение метрики одиночного сбоя означает, что доля одиночных сбоев и остаточных сбоев в аппаратных средствах устройства является низкой.

C.2.2 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Для вычисления метрики одиночного сбоя необходимо использовать уравнение (C.7):

, (C.7)

где

является суммой значений

, связанных с безопасностью элементов аппаратных средств устройства для рассматриваемых метрик.

Примечания

1 Для данной метрики рассматриваются только связанные с безопасностью элементы аппаратных средств устройства.

Пример - Элементы аппаратного средства, где все сбои безопасны или множественные сбои которых имеют порядок n, при n>2, могут быть исключены из расчетов, если эти сбои не рассматриваются в концепции технической безопасности.

2 Рисунок C.2 дает графическое представление метрики одиночного сбоя.

3 Пример расчета метрики одиночного сбоя приведен в приложении E.

Рисунок C.2 - Графическое представление метрики одиночного сбоя

C.3 Метрика скрытого сбоя

C.3.1 Данная метрика отражает робастность устройства к скрытым сбоям, которая реализуется или охватом сбоев в механизмах безопасности, или самим водителем, признающим наличие неисправности до нарушения цели безопасности, или в процессе проектирования (в основном допускаются безопасные сбои). Большое значение метрики скрытого сбоя означает, что доля скрытых сбоев в аппаратных средствах устройства низка.

C.3.2 Данное требование распространяется на значения УПБТС (B), C и D цели безопасности. Для определения метрики скрытого сбоя необходимо использовать уравнение (C.8):

, (C.8)

где

является суммой значений

, связанных с безопасностью элементов аппаратных средств устройства для рассматриваемых метрик.

Примечания

Пример - Элементы аппаратных средств, где все сбои безопасны или множественные сбои которых имеют порядок n, при n>2, могут быть исключены из расчетов, если эти сбои не рассматриваются в концепции технической безопасности.

2 Рисунок C.3 дает графическое представление метрики скрытого сбоя.

3 Пример расчета метрики скрытого сбоя приведен в приложении E.

4 Для метрик скрытых сбоев устройств, реализующих отказоустойчивость, чтобы обеспечить выполнение относящихся к безопасности требований готовности, может быть важно определить множественные сбои более второго порядка. Это может быть применимо к скрытым сбоям резервной системы, если предполагается работать с резервной системой в течение значительного периода времени после отказа основной системы.

Рисунок C.3 - Графическое представление метрики скрытого сбоя

Приложение D

(справочное)

Оценка охвата диагностикой

D.1 Общие положения

Настоящее приложение применяют:

a) при оценке охвата диагностикой для получения обоснования:

- соответствия с метриками одиночного сбоя и скрытого сбоя, определенными в разделе 8;

- соответствия оценки недостижения цели безопасности из-за случайных отказов аппаратных средств, как это определено в разделе 9;

b) в качестве руководства по выбору соответствующих механизмов безопасности, которые должны быть реализованы в Э/Э архитектуре для обнаружения отказов элементов.

На рисунке D.1 представлена общая структура аппаратных средств встроенной системы. Типичные виды отказов элементов аппаратных средств этой системы приведены в таблице D.1. Каждый элемент из левой колонки связан с одним или более видами отказов, которые рассматриваются в правых от элемента колонках. Перечень не претендует на полноту и может быть дополнен известными видами отказов или связанными с конкретным применением.

На дополнительные требования к механизмам безопасности, связанным с этими сбоями элементов, в каждой строке дается ссылка (на таблицы D.2-D.14). Эффективность этих типовых механизмов безопасности для данных элементов классифицируется в соответствии с их способностью охвата вышеперечисленных сбоев для достижения низкого (60%), среднего (90%) или высокого (99%) охвата диагностикой этого элемента.

Определение для видов сбоев и соответствующих им механизмов безопасности уровней охвата диагностикой может отличаться от представленного в таблице D.1 в зависимости:

a) от разнообразия источников вида сбоя, выявляемого диагностикой;

b) эффективности механизма безопасности;

c) конкретной реализации механизма безопасности;

d) выбора времени выполнения механизма безопасности (периодичности);

e) реализованных в системе технологий аппаратных средств;

f) вероятности видов отказов аппаратных средств системы;

g) результатов более детального анализа видов сбоев и их классификации на ряд подклассов с различными уровнями охвата диагностикой.

Таким образом, таблица D.1 содержит рекомендации, которые могут быть применены на основе анализа элементов системы.

Эти рекомендации не учитывают конкретные ограничения, которые могут быть указаны в концепции безопасности, чтобы избежать недостижения целей безопасности. Эти ограничения, такие, например, как временные аспекты (периодичность диагностики), не учитываются при оценке общего типового охвата диагностикой механизмов безопасности. Они будут рассмотрены при оценке конкретного охвата диагностикой механизмов безопасности, используемых в устройстве, чтобы избежать недостижения их целей безопасности.

Пример - Согласно настоящему приложению механизм безопасности может обеспечить высокое значение общего типового охвата диагностикой, но если используемый интервал диагностических проверок более, чем интервал диагностических проверок, необходимый для обеспечения соответствующего временного интервала сбоеустойчивости, то реальный охват диагностикой для предотвращения недостижения цели безопасности будет значительно ниже.

Поэтому таблицы D.2-D.10 могут быть использованы для начальной оценки охвата диагностикой этих механизмов безопасности, а заявленные значения охвата диагностикой обеспечиваются надлежащим обоснованием (например, методами внесения дефектов или аналитическими расчетами). Кроме того, данная информация предназначена, чтобы помочь определить виды отказов элемента; однако соответствующие виды отказов в конечном счете зависят от применения, в котором используются эти элементы.

Таблицы D.2-D.10 дополняют требования таблицы D.1, давая рекомендации по методам диагностических тестов. Методы и средства, представленные в таблицах D.1-D.10, не являются исчерпывающими. Могут быть использованы и другие методы, если представлены подтверждения, что они обеспечивают необходимый охват диагностикой. Если это оправданно, то можно оценить более высокий охват диагностикой, вплоть до 100% для простых или сложных элементов.

Рисунок D.1 - Общая структура аппаратных средств системы

Таблица D.1 - Анализируемые виды отказов


Элемент	См. таблицы	Анализируемые виды отказов
Общие элементы
Э/Э системы	D.2 Э/Э системы	Общие виды отказов отсутствуют. Необходим детальный анализ
Электрические элементы
Переключатели	D.3 Электрические элементы	Невключение или неотключение. Залипание отдельных контактов
Соединительные жгуты, включая холодную пайку и разъемы		Обрыв цепи. Сопротивление контакта. Короткое замыкание на массу (связь по постоянному току). Короткое замыкание напряжения аккумулятора. Короткое замыкание между соседними контактами. Дрейф сопротивления между контактами
Датчики, включая переключатели сигналов	D.9 Датчики	Необходим детальный анализ. Типичные виды охватываемых отказов: - недопустимые значения; - уходы нуля; - постоянные значения в рабочем диапазоне; - колебания. См. также 5.5 ИСО 26262-11 об интегрированных датчиках и преобразователях
Исполнительные элементы (исполнительные механизмы, сигнальные лампы, звуковые устройства, экраны компьютеров...)	D.10 Исполнительные механизмы	Общие виды отказов отсутствуют. Необходим детальный анализ
Общие полупроводниковые элементы
Источник питания	D.7 Источник питания	Дрейф и колебания. Пониженное и повышенное напряжение. Перепады напряжения. См. также 5.2 ИСО 26262-11
Тактовый генератор	D.8 Контроль последовательности выполнения программы/ тактовый генератор	Некорректная частота. Неустойчивая синхронизация. См. также 5.2 ИСО 26262-11
Постоянная память	ИСО 26262-11, таблица 32	См. 5.1 ИСО 26262-11, таблица 29
Память с произвольным доступом	ИСО 26262-11, таблица 33	См. 5.1 ИСО 26262-11, таблица 29
Цифровое устройство ввода/ вывода	D.5 Аналоговое и цифровое устройство ввода/ вывода	Некорректный сигнал на входе/выходе. См. также 5.1 ИСО 26262-11, таблица 30
Аналоговое устройство ввода/ вывода		Некорректный сигнал на входе/выходе. См. также 5.1 ИСО 26262-11, таблица 36
Устройство обработки	D.4 Устройства обработки/D.8 Контроль последовательности выполнения программы/тактовый генератор	Некорректный сигнал на выходе. См. также 5.1 ИСО 26262-11, таблица 30
Коммуникации
Передача данных (подлежит анализу согласно D.2.4 ИСО 26262-6)	D.6 Коммуникационная шина (последовательная, параллельная)	Отказ коммуникационного узла сети. Повреждение сообщения. Недопустимая задержка сообщения. Потеря сообщения. Непреднамеренное повторение сообщения. Некорректная последовательность сообщений. Внесение сообщения. Нелегальное проникновение сообщения. Некорректная адресация сообщения
Примечания 1 Соответствующие виды отказов и модели сбоев определяются в каждом конкретном случае и, как правило, зависят от используемой технологии и реализации. Подробнее о моделях сбоев в полупроводниках см. в 4.3.1 ИСО 26262-11. Пример - Если элемент имеет виды отказов x, y и z с распределением видов отказов X, Y, Z, то эффективный охват диагностикой вычисляется следующим образом: , где - охват диагностикой элемента аппаратного средства; X - распределение вида отказов x; определяет охват вида отказа x; Y - распределение вида отказов y; определяет охват вида отказа y; Z - распределение вида отказов z; определяет охват вида отказа z; и X+Y+Z = 100%. 2 Для получения подробной информации о взаимосвязи между моделями сбоев, видами отказов и соответствующим распределением для полупроводников см. 4.3 ИСО 26262-11.

Таблица D.2 - Э/Э системы


Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Обнаружение отказов путем мониторинга в режиме онлайн	D.2.1.1	Низкий	Зависит от охвата диагностикой обнаружения отказов
Компаратор	D.2.1.2	Высокий	Зависит от качества сравнения
Схема голосования по мажоритарному принципу	D.2.1.3	Высокий	Зависит от качества устройства голосования
Динамические подходы	D.2.2.1	Средний	Зависит от охвата диагностикой обнаружения отказов
Аналоговый мониторинг цифровых сигналов	D.2.2.2	Низкий	-
Программное самотестирование с перекрестным обменом между двумя независимыми модулями	D.2.3.3	Средний	Зависит от качества самотестирования

Таблица D.3 - Электрические элементы


Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Обнаружение отказов путем мониторинга в режиме онлайн	D.2.1.1	Высокий	Зависит от охвата диагностикой обнаружения отказов
Примечание - В данной таблице рассматриваются только механизмы безопасности, предназначенные для электрических элементов. Общие методы, такие как метод, основанный на сравнении данных (см. D.2.1.2), также способны обнаруживать отказы электрических элементов, но не включены в данную таблицу (включены в таблицу D.2).

Примечание - Следующие таблицы рассматривают механизмы безопасности, применяемые в основном к компонентам на уровне системы. Более подробно механизмы безопасности, которые могли бы быть интегрированы в компонент, описаны в следующих подразделах ИСО 26262-11:

- 5.1 - для цифровых компонентов;

- 5.2 - для аналоговых и смешанных компонентов;

- 5.3 - для программируемых логических устройств;

- 5.4 - для многоядерных компонентов;

- 5.5 - для датчиков и преобразователей.

Таблица D.4 - Устройства обработки


Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Программное самотестирование: ограниченное количество комбинаций (одноканальное)	D.2.3.1	Средний	Зависит от качества самотестирования
Программное самотестирование: с перекрестным обменом между двумя независимыми модулями	D.2.3.3	Средний	Зависит от качества самотестирования
Самотестирование, обеспечиваемое аппаратными средствами (одноканальное)	D.2.3.2	Средний	Зависит от качества самотестирования
Резервирование программного обеспечения с разнообразием (в одном канале аппаратных средств)	D.2.3.4	Высокий	Зависит от качества разнообразия. Отказы общего вида могут уменьшить значение охвата диагностикой
Взаимное сравнение программным обеспечением	D.2.3.5	Высокий	Зависит от качества сравнения
Резервирование аппаратных средств (жесткая двухъядерная конфигурация, асимметричное резервирование, запрограммированная обработка)	D.2.3.6	Высокий	Зависит от качества резервирования. Отказы общего вида могут уменьшить значение охвата диагностикой
Тестирование регистра конфигурации	D.2.3.7	Высокий	Только для регистров конфигурации
Выявление переполнения стека/потери значимости	D.2.3.8	Низкий	Тестирование только границ стека
Интегрированный контроль согласованности аппаратных средств	D.2.3.9	Высокий	Охватывает только недопустимые исключительные состояния аппаратных средств
Примечание - В данной таблице рассматриваются только механизмы безопасности, предназначенные для устройств обработки. Общие методы, такие как метод, основанный на сравнении данных (см. D.2.1.2), также способны обнаруживать отказы электрических элементов, но не включены в данную таблицу (включены в таблицу D.2).

Таблица D.5 - Аналоговые и цифровые устройства ввода/вывода


Механизмы меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Обнаружение отказов путем мониторинга в режиме онлайн (цифровой ввод/вывод)	D.2.1.1	Низкий	Зависит от охвата диагностикой обнаружения отказов
Тестирующая комбинация	D.2.4.1	Высокий	Зависит от типа комбинации
Кодовая защита для цифрового ввода/вывода	D.2.4.2	Средний	Зависит от типа кодирования
Многоканальное параллельное выходное устройство	D.2.4.3	Высокий	-
Средство контроля выходов	D.2.4.4	Высокий	Только если изменяется поток данных во время интервала диагностических проверок
Сравнение/голосование на входе (1оо2, 2оо3 или более высокий уровень резервирования)	D.2.4.5	Высокий	Только если изменяется поток данных во время интервала диагностических проверок
Цифровой ввод/вывод может быть периодическим.

Таблица D.6 - Коммуникационная шина (последовательная, параллельная)


Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Однобитовая избыточность аппаратных средств	D.2.5.1	Низкий	-
Многобитовая избыточность аппаратных средств	D.2.5.2	Средний	-
Повторное считывание отправленного сообщения	D.2.5.9	Средний	-
Полная избыточность аппаратных средств	D.2.5.3	Высокий	Отказы общего вида могут уменьшить значение охвата диагностикой
Анализ с использованием тестирующих комбинаций	D.2.5.4	Высокий	-
Избыточность при передаче	D.2.5.5	Средний	Зависит от типа избыточности. Эффективен только для кратковременных сбоев
Информационная избыточность	D.2.5.6	Средний	Зависит от типа избыточности
Счетчик блоков данных	D.2.5.7	Средний	-
Мониторинг получения блоков данных по времени	D.2.5.8	Средний	-
Сочетание информационной избыточности, счетчика блоков данных и мониторинга получения блоков данных по времени	D.2.5.6, D.2.5.7 и D.2.5.8	Высокий	Для систем без резервирования аппаратных средств или тестирующих комбинаций высокий охват может потребоваться для сочетания этих механизмов безопасности

Таблица D.7 - Источник питания


Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Управление напряжением или током (вход)	D.2.6.1	Низкий	-
Управление напряжением или током (выход)	D.2.6.2	Высокий	-

Таблица D.8 - Контроль последовательности выполнения программ/синхронизация


Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Сторожевое устройство с отдельной временной базой без временного окна	D.2.7.1	Низкий	-
Сторожевое устройство с отдельной временной базой и временным окном	D.2.7.2	Средний	Зависит от временного ограничения для временного окна
Логический контроль последовательности выполнения программ	D.2.7.3	Средний	Эффективен только для отказов синхронизации, если внешние временные события влияют на логический процесс выполнения программы. Обеспечивает охват внутренних отказов технических средств (например, ошибки частоты прерывания), которые могут вызвать нарушение последовательности выполнения программного обеспечения
Сочетание временного и логического контроля последовательности выполнения программ	D.2.7.4	Высокий	-
Сочетание временного и логического контроля последовательности выполнения программ с временной зависимостью	D.2.7.5	Высокий	Обеспечивает охват внутренних отказов технических средств, которые могут вызвать нарушение последовательности выполнения программного обеспечения. При реализации асимметричных проектов обеспечивает охват последовательности коммуникаций между основным устройством и устройством контроля. Примечание - Метод должен быть разработан с учетом неустойчивости синхронизации при выполнении прерываний, загрузки ЦП и т.д.

Таблица D.9 - Датчики


Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Обнаружение отказов путем мониторинга в режиме онлайн	D.2.1.1	Низкий	Зависит от охвата диагностикой обнаружения отказов
Тестирующая комбинация	D.2.4.1	Высокий	-
Сравнение/голосование на входе (1оо2, 2оо3 более высокий уровень резервирования)	D.2.4.5	Высокий	Только если изменяется поток данных во время интервала диагностических проверок
Допустимый диапазон датчика	D.2.8.1	Низкий	Обнаруживает короткие замыкания на массу или на шину питания и некоторые обрывы цепи
Корреляция сигналов датчика	D.2.8.2	Высокий	Обнаруживает отказы в диапазоне работы датчика
Проверка корректности функционирования датчика	D.2.8.3	Средний	-

Таблица D.10 - Исполнительные элементы


Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Обнаружение отказов путем мониторинга в режиме онлайн	D.2.1.1	Низкий	Зависит от охвата диагностикой обнаружения отказов
Тестирующая комбинация	D.2.4.1	Высокий	-
Мониторинг (т.е. согласованность управления)	D.2.9.1	Высокий	Зависит от охвата диагностикой обнаружения отказов

D.2 Обзор методов для встроенного диагностического самотестирования

D.2.1 Электрические устройства

Главная цель. Управление отказами в электромеханических элементах.

D.2.1.1 Обнаружение отказов путем мониторинга в режиме онлайн

Примечание - Ссылка на данный механизм/меру приведена в таблицах D.2, D.3, D.5, D.9 и D.10.

Цель. Обнаружить отказы путем мониторинга функционирования системы в процессе ее установленной эксплуатации (в режиме онлайн).

Описание. При определенных условиях отказы могут быть обнаружены с использованием информации, например, о функционировании системы во времени. Например, если коммутатор нормально активизируется и если при этом коммутатор не изменяет состояния за предполагаемое время, то этот отказ может быть обнаружен. Обычными способами невозможно локализовать такой отказ.

Примечание - В общем случае не существует конкретного элемента аппаратных средств, реализующего план мониторинга в режиме онлайн. Мониторинг в режиме онлайн обнаруживает отличное от предписанного функционирование системы при определенных условиях ее срабатывания. Например, если такой параметр инвертируется, когда скорость транспортного средства отличается от нуля, то обнаружение несоответствия между этим параметром и скоростью транспортного средства приводит к обнаружению отказа.

D.2.1.2 Компаратор

Примечание - Ссылка на данный механизм/меру приведена в таблице D.2.

Цель. Оперативно обнаружить (неодновременные) отказы в независимом программном обеспечении или аппаратных средствах.

Описание. Выходные сигналы независимых аппаратных средств или выходная информация независимого программного обеспечения циклически или непрерывно сравниваются компаратором. Обнаруженные различия формируют информацию для сообщения об отказе. Например, два устройства обработки обмениваются данными (включая результаты, промежуточные результаты и тестовые данные) друг с другом. Сравнение данных осуществляется с использованием программного обеспечения в каждом блоке, и обнаруживаемые различия приводят к сообщению об отказе.

D.2.1.3 Схема голосования по мажоритарному принципу

Примечание - Ссылка на данный механизм/меру приведена в таблице D.2.

Цель. Обнаружить и осуществить реакцию на отказы по меньшей мере в одном из трех аппаратных каналов.

Описание. Для обнаружения и осуществления реакции на отказы используется модуль голосования, реализующий мажоритарный принцип (2 из 3, 3 из 4 или m из n).

Примечание - В отличие от компаратора метод голосования по мажоритарному принципу повышает готовность путем обеспечения функциональных возможностей резервного канала даже после потери одного из каналов.

D.2.2 Электронные элементы

Главная цель. Управлять отказами в полупроводниковых элементах.

D.2.2.1 Динамические подходы

Примечание - Ссылка на данный механизм/меру приведена в таблице D.2.

Цель. Обнаружить статические отказы путем динамической обработки сигналов.

Описание. Принудительное изменение других статических сигналов (генерируемых извне или внутри) помогает обнаруживать статические отказы в элементах. Этот метод часто используется для электромеханических элементов.

D.2.2.2 Аналоговый мониторинг цифровых сигналов

Примечание - Ссылка на данный механизм/меру приведена в таблице D.2.

Цель. Повысить доверие к измеряемым сигналам.

Описание. Двоичный сигнал оценивается на аналоговом уровне для обнаружения недопустимых уровней сигнала.

Пример - Выходной сигнал электронного ключа имеет высокий уровень в закрытом состоянии и низкий уровень в открытом состоянии. Мониторинг определяет, находится ли выходной уровень в указанных диапазонах. Указанные диапазоны выбирают таким образом, чтобы короткое замыкание на землю, короткое замыкание на шину питания и обрыв соединения приводили к недопустимым уровням.

D.2.3 Устройства обработки

Главная цель. Выявлять отказы, которые приводят к некорректным результатам в устройствах обработки.

D.2.3.1 Программное самотестирование

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше с помощью программного обеспечения выявлять отказы в устройстве обработки и в других под элементах, состоящих из физических запоминающих устройств (например, в регистрах), или в функциональных блоках (например, в дешифраторе команд или в шифраторе/дешифраторе устройства обнаружения и коррекции ошибок), или в обоих типах устройств.

Описание. Обнаружение отказа полностью реализуется программным обеспечением, которое выполняет самотестирование, используя комбинацию данных или набор комбинаций данных для проверки физической памяти (например, регистров данных и адреса), или функциональных блоков (например, дешифратора команд), или того и другого.

Примеры

1 Модуль обработки данных проверяется на корректность функционирования посредством использования по меньшей мере одного шаблона на инструкцию. Инструкции, не выполняемые в связанных с безопасностью программах, могут быть исключены из тестирования, но может быть ограничен охват, поскольку не все логические элементы процессора будут проверены. Возможно, что не все выделенные и специальные регистры, основные таймеры и исключительные состояния могут быть охвачены. Может быть ограничен охват зависимостей в последовательности команд, которая реализуется при конвейерной обработке, или видов сбоев, связанных с синхронизацией. Определение фактического охвата тестируемых логических элементов (в отличие от охваченных инструкций), как правило, требует всестороннего моделирования сбоев. Данный тест дает очень ограниченные (или не дает вовсе) возможности оценки охвата исправимых ошибок.

2 В случае подэлементов, таких как шифратор/дешифратор устройства обнаружения и коррекции ошибок (EDC), программное обеспечение может прочитать предварительно написанные специально поврежденные слова для тестирования функционирования логики EDC. Поврежденные слова могут быть написаны с помощью самого программного теста, если EDC и интерфейс памяти имеют аппаратный переключатель для доступа как к данным, так и к битам кода. Охват зависит от количества и разнообразия шаблонов. Данный тест не обеспечивает охват исправимых ошибок.

D.2.3.2 Самотестирование, обеспечиваемое аппаратными средствами (одноканальное)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше выявлять отказы в устройстве обработки и в других подэлементах, используя специальные аппаратные средства, которые увеличивают скорость и расширяют их область применения при обнаружении отказов.

Описание. Дополнительные специальные аппаратные средства обеспечивают функции самотестирования для обнаружения отказов в процессоре и других подэлементах (например, в шифраторе/дешифраторе EDC) на уровне логических элементов. Данный тест может обеспечить высокий охват. Как правило, он запускается в процессе инициализации или отключения процессора вследствие его интрузивной природы (средства тестирования внедряются и влияют на режим работы процессора). Обычно он используется для обнаружения множественного сбоя.

Пример - В случае подэлементов, таких как шифратор/дешифратор EDC, может быть добавлен реализованный на аппаратных средствах и выполняющий встроенное самотестирование логики специальный механизм для генерации входных комбинаций для шифратора/дешифратора и проверки ожидаемых результатов. Как правило, входные данные создаются генератором случайных чисел. Охват данного метода зависит от количества и разнообразия комбинаций, но обычно охват достаточно высок в связи с автоматической генерацией комбинаций. Данный тест не обеспечивает охват исправимых ошибок.

D.2.3.3 Программное самотестирование с перекрестным обменом между двумя независимыми модулями

Примечание - Ссылка на данный механизм/меру приведена в таблицах D.2 и D.4.

Цель. Как можно раньше выявлять отказы в устройстве обработки, состоящем из физических запоминающих устройств (например, в регистрах) и функциональных устройств (например, в дешифраторе команд).

Описание. Обнаружение отказа реализуется только с помощью двух или более устройств обработки, программное обеспечение каждого из которых выполняет дополнительные функции, которые осуществляют самотестирование (например, используя комбинацию блуждающих битов) для проверки физической памяти (регистров данных и адресов) и функциональных устройств (например, дешифраторов команд). Затем устройства обработки обмениваются результатами. Данный тест имеет очень ограниченные (или не имеет вовсе) возможности оценки охвата исправимых ошибок.

D.2.3.4 Резервирование программного обеспечения с разнообразием (в одном канале аппаратных средств)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше выявлять отказы в устройстве обработки динамическим сравнением программного обеспечения.

Описание. Проект состоит из двух резервированных различных реализаций программного обеспечения в одном канале аппаратных средств. В некоторых случаях использование различных ресурсов аппаратных средств (например, использование RAM и ROM различного размера) может увеличить охват диагностикой.

Одна из реализаций называется "Основной путь". Она отвечает за расчеты, ошибка в которых может привести к опасности. Вторая реализация "Резервный путь" несет ответственность за проверку расчетов по основному пути и принимает меры, если сбой обнаружен. Часто резервный путь реализуется с использованием других алгоритмических конструкций и другого кода для обеспечения разнообразия программного обеспечения. После завершения вычисления по обоим путям осуществляется сравнение выходных данных двух резервированных программных реализаций. Выявленные различия приводят к сообщению об отказе (см. рисунок D.2). Проект включает в себя методы для координации двух путей и повторной синхронизации путей для исправимых ошибок.

Рисунок D.2 - Сравнение резервированного программного обеспечения в одном устройстве обработки

В целом сравнение включает в себя некоторый тип гистерезиса и фильтрации, что допускает незначительные различия, связанные с разными путями реализации программного обеспечения. Примером разнообразия алгоритмов являются: A + B = C вместо C - B = A, и при этом один путь использует обычные расчеты, а другой путь - математику дополнительного двоичного кода. Результат резервного пути может быть столь же простым, как проверка величины или предела скорости в расчетах по основному пути.

Примечание - В связи с возможными отказами по общей причине для проверки функционирования основного контроллера с помощью диагностических запросов и ответов (см. [21]) между основным и резервным путями может быть использован дополнительный сторожевой процессор.

Другим вариантом этого механизма безопасности является реализация резервного пути как точной копии основного пути (или реализация основного пути дважды). Такая версия без резервированного программного обеспечения реализует охват только исправимых ошибок. Средний охват может быть достигнут, если код выполняется в третий раз с известными входными значениями, генерируя выходные, которые должны быть проверены сравнением с набором ожидаемых результатов. Результаты этого метода имеют очень четкий критерий "прошел/не прошел" (предполагается, что сравниваемые результаты точно совпадают) и легкую реализацию (резервный канал не разрабатывается). Однако поскольку один и тот же код выполняется несколько раз, то данная концепция требует сохранения предыстории параметров (например, динамических состояний, интеграторов, ограничений скорости и т.д.).

D.2.3.5 Взаимное сравнение программным обеспечением в отдельных устройствах обработки

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Описание. Два устройства обработки взаимно обмениваются данными (включая результаты, промежуточные результаты и тестовые данные). Сравнение данных осуществляется программным обеспечением каждого модуля, и обнаруженные различия приводят к сообщению об отказе (см. рисунок D.3). Такой подход позволяет обеспечить разнообразие для аппаратных средств и программного обеспечения, если используются различные типы процессоров, а также различные алгоритмы, коды и компиляторы. Такой проект включает в себя методы, предотвращающие обнаружение ложных ошибок из-за различий между процессорами (например, неустойчивость цикла синхронизации, коммуникационные задержки, инициализация процессора).

Каналы могут быть реализованы на отдельных ядрах двухъядерного процессора. В этом случае метод включает в себя выполнение анализа видов отказов по общей причине, связанных с общим кристаллом и корпусом этих двух ядер.

Рисунок D.3 - Сравнение резервированного программного обеспечения на различных устройствах обработки

D.2.3.6 Резервирование аппаратных средств (жесткая двухъядерная конфигурация, асимметричное резервирование, запрограммированная обработка)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше выявлять отказы в устройстве обработки последовательным сравнением внутренних или внешних результатов или тех и других, полученных из двух устройств обработки, функционирующих в жесткой конфигурации.

Описание. В одной из версий этого типа диагностического метода - жесткая двухъядерная конфигурация - два симметричных процессора находятся на одном кристалле (см. [22]). Устройства обработки выполняют дублирующие операции в жесткой конфигурации (или с задержкой с установленным периодом), и результаты сравниваются. Любое несоответствие результатов приводит к состоянию ошибки, и затем, как правило, это состояние сбрасывается. Данный механизм очень эффективен для кратковременных ошибок и отказов в арифметико-логическом устройстве. В зависимости от уровня резервирования охват может быть распространен на адресные шины памяти и регистры конфигурации. Преимущество данного метода в том, что для параллельного пути не требуются отдельные коды, а недостаток в том, что имеющиеся два устройства обработки обеспечивают выполнение только одного устройства обработки. В качественных проектах выявляются и устраняются отказы по общей причине (например, отказы из-за общей синхронизации). Такой подход сам по себе не обеспечивает охват диагностикой систематических ошибок.

Возможны другие виды резервирования аппаратных средств, например асимметричное резервирование. В таких архитектурах (например, см. [25]) отличающееся и специализированное устройство обработки тесно связано с основными устройствами обработки посредством интерфейса, позволяющего пошаговое сравнение внутренних и внешних результатов. Такой вид резервирования очень эффективен для вида сбоев постоянного тока и для исправимых ошибок. Кроме того, интерфейс уменьшает сложность и сокращает время обнаружения ошибки, например для сбоев, влияющих на блок регистров устройства обработки. Для параллельного пути не требуется отдельный код, а специализированное устройство обработки может быть менее основного. Разнообразие аппаратных средств обеспечивает эффективный охват отказов по общей причине и систематических отказов. Недостатком данного подхода является необходимость детального анализа для доказательства охвата диагностикой.

Возможна также запрограммированная обработка: устройства обработки могут быть разработаны со специальными методами распознавания отказов или схемами коррекции отказов. Эти подходы могут гарантировать высокий охват для достаточно простых процессоров с ограниченными функциональными возможностями либо они могут быть пригодны для подмодуля процессора, такого как арифметико-логическое устройство [26]. Аппаратные средства и программное обеспечение с запрограммированной обработкой можно совместить с использованием подходов, таких как Vital Coded Processor [27]. Может потребоваться детальный анализ для доказательства охвата диагностикой.

D.2.3.7 Тестирование регистра конфигурации

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше выявлять отказы в регистрах конфигурации устройства обработки. Отказы могут быть связаны с аппаратными средствами (константные значения или исправимая ошибка, вызванная сменой состояний устройства) или с программным обеспечением (неправильно сохраненное значение или повреждение значения регистра в результате ошибки программного обеспечения).

Описание. Установки регистра конфигурации считываются и сравниваются с закодированными ожидаемыми параметрами (например, с маской). Если установки не совпадают, в регистры перезагружают их целевые значения. Если ошибка сохраняется на протяжении заранее определенного числа проверок, то формируется сообщение об ошибке.

D.2.3.8 Выявление переполнения стека/потери значимости

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше выявлять переполнение стека/потерю значимости.

Описание. Границы стека в энергозависимой памяти загружаются с предопределенными значениями. Периодически значения проверяются, и если они изменились, то обнаруживаются потоки записей до или после границы. Тест не требуется, если записи вне границ стека управляются устройством управления памятью.

D.2.3.9 Интегрированный контроль согласованности аппаратных средств

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше выявлять недопустимые условия в устройстве обработки.

Описание. Большинство процессоров снабжены механизмами, которые инициируют исключительные состояния аппаратных средств при обнаружении ошибок (например, деление на ноль, неправильные коды операций). Может быть использована обработка прерываний по этим ошибкам, чтобы такие состояния прерываний изолировали систему от подобных ошибок. Как правило, мониторинг аппаратных средств используется для обнаружения систематических отказов, но он также может быть использован для обнаружения определенных видов случайных сбоев аппаратных средств. Данный метод обеспечивает низкий охват для некоторых ошибок кодирования, но считается "хорошей практикой" при проектировании.

D.2.4 Устройства ввода/вывода и интерфейсы

Главная цель. Обнаружить отказы в устройствах ввода/вывода (цифровых и аналоговых) и предотвратить дальнейшую передачу недопустимых выходных данных.

D.2.4.1 Тестирующая комбинация

Примечание - Ссылки на данный механизм/меру приведены в таблицах D.5, D.9 и D.10.

Цель. Обнаружить статические отказы (константные отказы) и перекрестные помехи.

Описание. Этот метод реализует независимое от потока данных циклическое тестирование входных и выходных элементов. В нем используются определенные тестирующие комбинации для сравнения с соответствующими этим тестирующим комбинациям предполагаемыми значениями. Охват теста зависит от степени независимости между информацией тестирующей комбинации, восприятием и оценкой тестирующей комбинации. При грамотном проектировании тестирующие комбинации не должны неприемлемо влиять на функционирование системы.

D.2.4.2 Кодовая защита

Примечание - Ссылка на данный механизм/меру приведена в таблице D.5.

Цель. Обнаружить случайные отказы аппаратных средств и систематические отказы в потоке данных ввода/вывода.

Описание. Процедура, реализующая кодовую защиту, защищает вводимую и выводимую информацию от систематических и случайных отказов аппаратных средств. Кодовая защита обеспечивает зависимое от потока данных обнаружение отказов входных и выходных модулей, основываясь на избыточности информации и/или временной избыточности. Как правило, избыточная информация налагается на входные и/или выходные данные; тем самым обеспечиваются средства для мониторинга корректности операций входных и выходных схем. Возможно применение нескольких методов - например, сигнал несущей частоты может накладываться на выходной сигнал датчика. После этого логический модуль может проверить наличие несущей частоты, либо на выходе канала могут быть добавлены избыточные кодовые биты для контроля достоверности прохождения сигнала между логическим модулем и оконечным исполнительным механизмом.

D.2.4.3 Многоканальное параллельное выходное устройство

Примечание - Ссылка на данный механизм/меру приведена в таблице D.5.

Цель. Обнаружить случайные отказы аппаратных средств (константные отказы), отказы, обусловленные внешними воздействиями, временные отказы, отказы адресации, постепенные отказы и кратковременные отказы.

Описание. Это зависимое от потока данных многоканальное параллельное выходное устройство с независимыми выходами для обнаружения случайных аппаратных отказов. Обнаружение отказов осуществляется с помощью внешних компараторов. При появлении отказа система может быть непосредственно выключена. Эта мера эффективна только в том случае, если поток данных изменяется в интервале диагностических проверок.

D.2.4.4 Средство контроля выходов

Примечание - Ссылка на данный механизм/меру приведена в таблице D.5.

Цель. Обнаружить отдельные отказы, отказы, обусловленные внешними воздействиями, временные отказы, отказы адресации, постепенные отказы (для аналоговых сигналов) и кратковременные отказы.

Описание. Зависимое от потока данных сравнение выходных данных с независимыми входными данными для обеспечения совместимости с областью их допустимых значений (время, диапазон). Обнаруженный отказ не всегда связан с некорректными выходными данными. Эта мера эффективна только в том случае, если поток данных изменяется в интервале диагностических проверок.

D.2.4.5 Сравнение/голосование входных данных

Примечание - Ссылки на данный механизм/меру приведены в таблицах D.5 и D.9.

Описание. Зависимое от потока данных сравнение независимых входных данных для обеспечения совместимости с областью их допустимых значений (время, диапазон). Реализуемое резервирование может быть 1 из 2, 2 из 3 или более высокого уровня. Эта мера эффективна только в том случае, если поток данных изменяется в интервале диагностических проверок.

D.2.5 Коммуникационные шины

Главная цель. Обнаружить отказы при передаче информации.

D.2.5.1 Однобитовая избыточность аппаратных средств

Примечание - Ссылки на данный механизм/меру приведены в таблице D.6.

Цель. Обнаружить каждый отказ нечетного бита, то есть 50% всех возможных битовых отказов в потоке данных.

Описание. Коммуникационная шина расширяется на одну линию (бит), и эта дополнительная линия (бит) используется для обнаружения отказов путем проверки на четность.

Пример - Бит четности, реализованный в стандартном универсальном асинхронном приемопередатчике.

D.2.5.2 Многобитовая избыточность аппаратных средств

Примечание - Ссылки на данный механизм/меру приведены в таблице D.6.

Цель. Обнаружить отказы в процессе передачи по шине и в последовательных каналах связи.

Описание. Шина расширяется на две или более линий (битов), и эти дополнительные линии (биты) используются для обнаружения отказов с помощью кодов блока (например, кода Хэмминга, кода Рида-Соломона, вычисления контрольной суммы, кода малой плотности с контролем по четности).

D.2.5.3 Полная избыточность аппаратных средств

Примечание - Ссылки на данный механизм/меру приведены в таблице D.6.

Цель. Обнаружить отказы в процессе передачи данных путем сравнения сигналов двух шин. Описание. Шина дублируется, и дополнительные линии используются для обнаружения отказов.

Пример - Двойной канал реализации FlexRay: шина дублирована, и дополнительные линии (биты) используются, чтобы обнаружить отказы.

D.2.5.4 Анализ с использованием тестирующих комбинаций

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружить статические отказы (константные отказы) и перекрестные помехи.

Описание. Осуществляется независимое от потока данных циклическое тестирование маршрутов данных. Используется определенная тестирующая комбинация для сравнения наблюдаемых значений с соответствующими предполагаемыми значениями.

Охват теста зависит от степени независимости между информацией тестирующей комбинации, восприятием и оценкой тестирующей комбинации. При грамотном проектировании тестирующие комбинации не должны неприемлемо влиять на функционирование системы.

D.2.5.5 Избыточность при передаче

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружить кратковременные отказы при обмене по шине.

Описание. Информация передается последовательно несколько раз. Данный метод эффективен только для обнаружения кратковременных отказов.

D.2.5.6 Информационная избыточность

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружение отказов при обмене по шине.

Описание. Данные передаются блоками вместе с вычисленной для каждого блока контрольной суммой или CRC (см. [28] и [29]). После этого приемник повторно вычисляет контрольную сумму полученных данных и сравнивает ее с полученной контрольной суммой. Для CRC охват зависит от длины охватываемых данных, размера CRC (количество битов) и полинома. CRC может быть ориентирован на более вероятные виды коммуникационных отказов базовых технических средств (например, ошибки в линии передачи пакетов данных).

Идентификатор сообщения может быть включен в вычисление контрольной суммы/CRC, чтобы обеспечить охват искажений в этой части сообщения (подмену).

a) Низкий охват диагностикой: расстояние Хэмминга 2 или менее.

Пример - Значение CRC для информации сообщения содержится в сообщении. Размер CRC 5 бит и полином 0x12 обеспечивают расстояние Хэмминга 2 для данных длиной менее 2048 бит. Передающее устройство включает упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC.

b) Средний охват диагностикой видов отказов при передаче данных: расстояние Хэмминга 3 или более.

Примеры

1 Значение CRC для информации сообщения содержится в сообщении. Размер CRC 8 бит и полином 0x97 обеспечивают расстояние Хэмминга 4 для данных длиной менее 119 бит. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC (обычно используется в шинах локальных сетей).

2 Значение CRC для информации сообщения и идентификатор сообщения содержатся в сообщении. Размер CRC 10 бит и полином 0x319 обеспечивают расстояние Хэмминга 4 для данных длиной менее 501 бит. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC.

3 Значение CRC для информации сообщения и идентификатор сообщения содержатся в сообщении. Размер CRC 15 бит и полином 0x4599 обеспечивают расстояние Хэмминга 5 для данных длиной менее 127 бит. Кроме того, могут быть обнаружены пакеты до 15 ошибок. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC [как используется в локальной сети контроллеров (CAN)].

4 Значение CRC для информации сообщения содержится в сообщении. Размер CRC 24 бита и полином 0x5D6DCB обеспечивают расстояние Хэмминга CRC, равное 6, для данных длиной менее или равной 248 байт, и расстояние Хэмминга CRC, равное 4, для данных длиной более 248 байт. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC (как используется во FlexRay для фрейма CRC).

5 Значение CRC для заголовка сообщения, включая идентификатор сообщения, содержится в сообщении. Размер CRC 11 бит и полином 0x385 обеспечивают расстояние Хэмминга 6 для данных длиной менее или равной 20 бит. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC (как используется во FlexRay для CRC заголовка).

Примечания

1 Высокий охват может быть достигнут при искажениях данных и идентификатора, однако общий высокий уровень охвата не может быть достигнут только путем проверки согласованности данных и идентификатора с сигнатурой, независимо от эффективности сигнатуры. В частности, сигнатура не охватывает потерю сообщения или непреднамеренное повторение сообщения.

2 Если алгоритм контрольной суммы имеет расстояние Хэмминга менее 3, то высокий охват при искажениях данных и идентификатора все еще может быть востребован, если существует надлежащее обоснование.

D.2.5.7 Счетчик блоков данных

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружить потери блоков данных. Блоком данных является связный набор данных, передаваемый от одного контроллера к другому(им) контроллеру(ам). Каждый уникальный блок данных имеет идентификатор сообщения.

Описание. Каждый отдельный связанный с безопасностью блок данных включает в себя счетчик как часть сообщения, которое передается по шине. Значение счетчика увеличивается в результате создания каждого последующего передаваемого блока. Приемное устройство в состоянии обнаруживать любую потерю блока данных либо факт неизменности сообщения, если в результате проверки выяснилось, что значение счетчика увеличилось на единицу.

Специальная версия счетчика блоков данных должна включать отдельные сигнальные счетчики, которые связаны с обновлением данных, связанных с безопасностью. В этой ситуации, если блок данных содержит несколько частей, связанных с безопасностью данных, то для каждой части связанных с безопасностью данных обеспечивается свой счетчик.

D.2.5.8 Мониторинг получения блоков данных по времени

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружить потерю данных между передающим узлом и принимающим узлом.

Описание. Приемное устройство отслеживает каждый предполагаемый идентификатор связанного с безопасностью сообщения по времени между получением достоверных блоков данных с этим идентификатором сообщения. Отказ может означать слишком длительное время между сообщениями. Данный метод предназначен для обнаружения потери непрерывности работы канала связи или потери непрерывности передачи одного конкретного сообщения (не получены блоки данных, связанные с конкретным идентификатором сообщения).

D.2.5.9 Повторное считывание отправленного сообщения

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружить отказы в коммуникационной шине.

Описание. Передатчик повторно считывает из коммуникационной шины отправленное им сообщение и сравнивает его с исходным сообщением.

Примечания

1 Данный механизм защиты используется в CAN-протоколе.

2 Высокий охват может быть достигнут при повреждении данных и идентификатора, однако общий высокий уровень охвата не может быть достигнут только путем проверки согласованности данных и идентификатора. Другие виды отказов, такие как непреднамеренное повторение сообщения, не всегда охватываются настоящим механизмом безопасности.

D.2.6 Источник питания

Главная цель. Обнаружить отказы, вызванные дефектами в источнике питания.

D.2.6.1 Управление напряжением или током (вход)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.7.

Цель. Как можно раньше выявлять неправильный характер изменения входных значений тока или напряжения.

Описание. Контроль входного напряжения или тока.

D.2.6.2 Управление напряжением или током (выход)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.7.

Цель. Как можно раньше выявлять неправильный характер изменения выходных значений тока или напряжения.

Описание. Контроль выходного напряжения или тока.

D.2.7 Временной и логический контроль последовательности выполнения программ

Примечание - Ссылки на данную группу механизмов/мер приведены в таблице D.8.

Главная цель. Обнаружить искаженную последовательность программы. Искаженная программная последовательность появляется в том случае, если отдельные элементы программы (например, программные модули, подпрограммы или команды) обрабатываются не в заданной последовательности или в несоответствующий период времени или произошел сбой в тактовом генераторе процессора.

D.2.7.1 Сторожевое устройство с отдельной временной базой без временного окна

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Контролировать выполнение и последовательность выполнения программ.

Описание. Внешние синхронизирующие элементы с отдельной временной базой (например, сторожевые устройства) периодически запускаются для контроля функционирования компьютера и последовательности выполнения программ. Важно, чтобы точки запуска были установлены в программе правильно. Сторожевое устройство не переключается в течение некоторого фиксированного периода, однако задается его максимальный интервал.

D.2.7.2 Сторожевое устройство с отдельной временной базой и временным окном

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Контролировать поведение и последовательность выполнения программ.

Описание. Внешние синхронизирующие элементы с отдельной временной базой (например, сторожевые устройства) периодически запускаются для контроля функционирования компьютера и последовательности выполнения программ. Важно, чтобы точки запуска были установлены в программе правильно (например, не во время выполнения процедуры обработки прерывания). Для сторожевого устройства задаются нижняя и верхняя границы. Если программная последовательность выполняется более или менее ожидаемого времени, то выполняется некоторое действие.

D.2.7.3 Логический контроль последовательности выполнения программ

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Контролировать корректную последовательность выполнения отдельных частей программы.

Описание. Корректная последовательность выполнения отдельных частей программы контролируется программным обеспечением (процедурой подсчета, ключевой процедурой) или внешними средствами контроля (см. [23] и [24]). Важно, чтобы точки проверки располагались в программе так, чтобы контролировались пути, которые могут привести к опасной ситуации, если из-за одиночного или множественного сбоя эти пути не смогут завершиться или последовательность их выполнения будет некорректной. Последовательности могут обновляться между каждой функцией вызова или более тесно связаны с выполнением программы.

D.2.7.4 Сочетание временного и логического контроля последовательности выполнения программ

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Контролировать выполнение и корректность последовательности выполнения отдельных частей программы.

Описание. Средство контроля времени (например, сторожевое устройство), контролирующее программную последовательность, вновь запускается только в случае, если последовательность отдельных частей программы также выполняется корректно. Данный метод является комбинацией методов D.2.7.3 и либо D.2.7.1, либо D.2.7.2.

D.2.7.5 Сочетание временного и логического контроля последовательности выполнения программ с временной зависимостью

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Контролировать выполнение, корректность последовательности и время выполнения отдельных разделов программы.

Описание. Реализуется стратегия контроля выполнения программы, где точки обновления программного обеспечения, как ожидается, находятся внутри временного окна. Результат последовательности контроля выполнения программы и вычисление времени контролируются внешними средствами мониторинга.

D.2.8 Датчики

Главная цель. Контролировать отказы датчиков системы.

D.2.8.1 Допустимый диапазон датчика

Примечание - Ссылка на данный механизм/меру приведена в таблице D.9.

Цель. Обнаружить короткие замыкания датчика на массу или шину питания и некоторые разрывы электрических цепей.

Описание. Область допустимых значений находится в средней части диапазона электрических датчиков (см. рисунок D.4). Если показания датчика находятся в области недопустимых значений, то это указывает на электрические проблемы датчика, например короткое замыкание датчика на массу или шину питания. Как правило, информацию сдатчиков считывает электронный блок управления, используя АЦП.

X - физическое показание датчика, %; Y - измеренное показание датчика, % от опорного напряжения; 1 - верхняя граница допустимого диапазона; 2 - нижняя граница допустимого диапазона

Рисунок D.4 - Датчик с границами области допустимого диапазона его значений

D.2.8.2 Корреляция сигналов датчика

Примечание - Ссылка на данный механизм/меру приведена в таблице D.9.

Цель. Обнаружить в рабочем диапазоне датчика дрейфы, отклонения нуля или другие ошибки, используя резервный датчик.

Описание. Сравнение двух идентичных или аналогичных датчиков для обнаружения отказов в их рабочем диапазоне, таких как дрейфы, отклонения нуля или константные отказы. На рисунке D.5 представлен пример двух одинаковых датчиков наклона, но с противоположными углами характеристик измерения. Следует отметить, что значения границ допустимого диапазона для датчиков различны. Как правило, информацию сдатчиков считывает электронный блок управления, используя АЦП.

В примере, показанном на рисунке D.5, значения датчиков будут преобразованы к одинаковому наклону характеристик измерения, а также будет выполнено сравнение значений датчиков с целью их согласованности в пределах пороговых значений. Пороговые значения выбираются с учетом допуска АЦП и разновидностей электрических элементов. Оба датчика опрашиваются ЭБУ в одно и то же время, насколько это возможно, чтобы избежать ложных отказов из-за динамически изменяющихся показаний датчика.

Методы диагностики, основанные на использовании двух одинаковых датчиков наклона, не обнаруживают ситуации, когда два датчика вместе закорочены, давая близкие показания в точке пересечения, или при отказах по общей причине, когда один компонент, например АЦП, одинаково искажает значения обоих датчиков. Альтернативный подход, основанный на использовании двух датчиков, углы наклона характеристик измерения которых различаются в два раза, приведен на рисунке D.6.

X - физическое показание датчика, %; Y - измеренное показание датчика, % от опорного напряжения;

1 - датчик 1; 2 - датчик 2; 3 - нижняя граница диапазона датчика 1; 4 - нижняя граница диапазона датчика 2; 5 - верхняя граница диапазона датчика 1; 6 - верхняя граница диапазона датчика 2

Рисунок D.5 - Датчики наклона с границами областей допустимых значений, у которых характеристики измерения равны, но имеют противоположный наклон

X - физическое показание датчика, %; Y - измеренное показание датчика, % от опорного напряжения;

1 - датчик 1; 2 - датчик 2; 3 - нижняя граница диапазона датчика 1; 4 - верхняя граница диапазона датчика 1; 5 - нижняя граница диапазона датчика 2; 6 - верхняя граница диапазона датчика 2

Рисунок D.6 - Датчики с границами областей допустимых значений, у которых углы наклона характеристик измерения различаются в два раза

D.2.8.3 Проверка корректности функционирования датчика

Примечание - Ссылка на данный механизм/меру приведена в таблице D.9.

Цель. Обнаружить в рабочем диапазоне датчика дрейфы, уходы нуля или другие ошибки, используя несколько различных датчиков.

Описание. Сравнение двух (или более) датчиков, измеряющих различные свойства, для обнаружения отказов в областях их допустимых значений, таких как дрейфы, уходы нуля или константные отказы. Измерения датчиков преобразуются в эквивалентные значения с использованием модели, обеспечивающей сравнение этих значений.

Пример - Сравнение датчиков позиции дроссельной заслонки бензинового двигателя, давления во всасывающем коллекторе и массы воздушного потока выполняется после преобразования значения каждого из них в значение расхода воздуха. Использование разнообразных датчиков уменьшает проблему систематических ошибок.

D.2.9 Исполнительные элементы

Главная цель. Контролировать отказы в исполнительных элементах системы.

D.2.9.1 Мониторинг

Примечание - Ссылка на данный механизм/меру приведена в таблице D.10.

Цель. Обнаружить некорректную работу исполнительного элемента.

Описание. Исполнительный элемент контролируется в процессе эксплуатации.

Примечание - Мониторинг исполнительного элемента может проводиться на уровне измерений физических параметров (который может иметь высокий охват), а также на уровне системы, рассматривая влияние отказа исполнительного элемента.

Примеры

1 Для вентилятора, охлаждающего радиатор, процедура мониторинга на уровне системы использует данные датчика температуры для обнаружения отказа этого вентилятора. При мониторинге физических параметров измеряется напряжение и/или ток на входах вентилятора охлаждения радиатора.

2 Для перемещения дроссельной заслонки в желаемое положение используется управление с обратной связью. Измеряется ее фактическое положение и сравнивается с ожидаемым положением дроссельной заслонки, определяемым из положения дроссельной заслонки, которое задается командой водителя и моделью желаемого режима работы двигателя. Если эти два значения отличаются друг от друга с учетом гистерезиса, то может быть сформировано сообщение об ошибке.

Приложение E

(справочное)

Пример вычисления метрик архитектуры аппаратных средств. Метрика одиночного сбоя и метрика скрытого сбоя

В настоящем приложении приводится пример расчета метрики одиночного сбоя и метрики скрытого сбоя для каждой цели безопасности конкретного устройства в соответствии с требованиями перечисления a) 8.4.7 и перечисления а) 8.4.8.

В рассматриваемом примере система реализует две функции, выполняемые в одном электронном блоке управления, представленном на рисунке E.1.

Функция 1 имеет один вход (температура, измеренная датчиком R3) и один выход (клапан 2, управляемый I71) и предназначена для того, чтобы открыть клапан 2, когда температура превышает 90°С.

Если через I71 ток не протекает, то клапан 2 открыт.

Соответствующая цель безопасности 1 формулируется следующим образом: при температуре выше 100°С клапан 2 должен быть открыт не позже, чем через 100 мс. Данной цели безопасности назначается значение УПБТС, равное B. Безопасное состояние: клапан 2 открыт.

Значение датчика R3 считывается блоком АЦП микроконтроллера. Значение сопротивления R3 уменьшается при повышении температуры. Данный вход не контролируется. Выходной каскад, управляемый T71, контролируется аналоговым входом InADC1 (механизм безопасности SM1 в таблицах). В данном примере допускается, что механизм безопасности SM1 может с 90%-ным охватом диагностикой обнаружить определенные виды отказов Т71, которые могут сразу привести к недостижению цели безопасности. Если SM1 обнаруживает отказ, то инициируется безопасное состояние, но сигнальная лампа не включается. Таким образом, считается, что охват диагностикой скрытых сбоев составляет только 80% (водитель заметит отказ, так как начнется снижение функциональности транспортного средства).

У функции 2 два входа (скорость вращения колеса измеряется с помощью датчиков I1 и I2, генерирующих импульсы) и один выход (клапан 1, управляемый I61), и она предназначена для того, чтобы открыть клапан 1, если скорость транспортного средства превышает 90 км/ч.

Если через I61 ток не протекает, то клапан 1 открыт.

Соответствующая цель безопасности 2 формулируется следующим образом: при скорости выше 100 км/ч клапан 1 должен быть открыт не позже, чем через 200 мс. Данной цели безопасности назначается значение УПБТС, равное C. Безопасное состояние: клапан 1 открыт.

Количество сгенерированных датчиками I1 и I2 импульсов считывается микроконтроллером. Скорость вращения колеса вычисляется по среднему значению импульсов, получаемых отдатчиков в единицу времени. Механизм безопасности 2 (SM2 в таблицах) сравнивает оба входа. Он обнаруживает отказы каждого входа с охватом диагностикой, равным 99%. В случае расхождения на выходе Out1 устанавливается значение "0" и клапан 1 открывается (нулевое значение напряжения на базе транзистора закрывает вентиль; нулевое значение напряжения на I61 открывает клапан 1). Таким образом, выявляется 99% сбоев, которые могут привести к недостижению цели безопасности, и выполняется переход в безопасное состояние. При переходе в безопасное состояние включается сигнальная лампа L1. Таким образом, эти сбои являются на 100% воспринимаемыми. Оставшийся 1% сбоев является остаточными сбоями и нескрытыми сбоями.

Выходной каскад управления Т61 контролируется аналоговым входом lnADC2 (механизм безопасности SM3 в таблицах).

Микроконтроллер не имеет внутреннего резервирования. В данном примере допускается, что безопасных сбоев 50%. Также допускается общий охват, равный 90%, по отношению к недостижению цели безопасности, если используются внутреннее самотестирование и внешнее сторожевое устройство (механизм безопасности SM4 в таблицах). Сторожевое устройство получает сигнал непосредственно с выхода Out0 микроконтроллера. Если сторожевое устройство больше не обновляется, то его выходное значение будет низким. Обнаружение сбоя механизмом безопасности SM4 (сторожевое устройство и самотестирование микроконтроллера) переводит обе функции в их безопасные состояния и включает L1. Таким образом, считается, что охват диагностикой скрытых сбоев будет равен 100%.

L1 представляет собой светодиодный индикатор на приборной панели, он горит при обнаружении множественного отказа, из которых только часть может быть обнаружена, и указывает водителю, что было активировано безопасное состояние функции 2 (клапан 1 открыт).

Примечания

1 Отказы в жгуте проводов в данном примере не рассматриваются.

2 Модель сбоя, используемая для данной электронной части, может отличаться в зависимости от применения.

Пример - Модель сбоя резистора зависит от того, где он используется, в схеме цифрового входа (например, R11, R12, R13, ...) или аналогового входа (например, R63). В первом случае моделью сбоя может быть "разрыв/замыкание", тогда как во втором случае это может быть "разрыв/замыкание/дрейф".

3 Первая метрика использует охват вида отказов механизмами безопасности, целью которых является только предотвращение нарушений цели безопасности. Вторая метрика использует охват вида отказов механизмами безопасности, целью которых является только предотвращение возникновения скрытых отказов.

Пример - Вид отказов "разрыв" для R21 может привести к недостижению цели безопасности 2 в отсутствие механизма безопасности. Механизм безопасности 2 обнаруживает этот вид отказов с охватом 99% и переводит систему в безопасное состояние. При обнаружении этого вида отказов будет выдано предупреждение; охват этого вида отказов в случае скрытых отказов составляет 100%.

4 В данном примере были рассмотрены допущения о распределении вида отказов в элементах аппаратных средств. Если никакое конкретное распределение вида отказов не может быть обосновано или предложено, то можно предположить равномерное распределение видов отказов.

Рисунок E.1 - Схема рассматриваемого примера

Таблица E.1 - Цель безопасности 1


Наименование компонента	Интен- сивность отказа/ FIT	Учиты- вается ли в расчетах компо- нент, связан- ный с безопас- ностью?	Вид отказа	Распре- деление интенси- вностей отказов	Какой вид отказа может привести к недости- жению цели безопас- ности в отсутс- твие механи- змов безопас- ности?	Имеется (ются) ли механизм (ы) безопас- ности, позво- ляющий (ие) предотв- ратить недости- жение цели безопас- ности?	Охват вида отказов, приво- дящих к недости- жению цели безопас- ности	Интенси- вность остано- вочных или одиноч- ных отказов/ FIT	Может ли данный вид отказов привести к недости- жению цели безопас- ности в сочетании с незави- симым отказом другого компо- нента?	Имеются ли средства обнару- жения? Имеется (ются) ли механизм (ы) безопас- ности, предотв- ращающий (ие) возник- новение скрытых видов отказов?	Охват вида отказов в случае скрытых отказов	Интенси- вность отказов от скрытых множест- венных сбоев/FIT
R3. Примечание 1	3	Да	Разрыв	30%	X	Нет	0%	0,9
			Замыкание	10%
			Дрейф 0,5	30%
			Дрейф 2	30%	X		0%	0,9
R13. Примечания	2	Да	Разрыв	90%	X	Нет	0%	1,8
1, 2 и 6			Замыкание	10%	X		0%	0,2
R23. Примечание	2	Да	Разрыв	90%		Нет
1			Замыкание	10%	X		0%	0,2
C13. Примечания	2	Да	Разрыв	20%	X	Нет	0%	0,4
3 и 6			Замыкание	80%
C23. Примечание	2	Нет	Разрыв	20%
4			Замыкание	80%
Сторожевое устройство (WD)	20	Да	Константная "1" на выходе	50%					X	Нет	0%	10
			Константный "0" на выходе	50%
T71. Примечание 5	5	Да	Вентиль открыт	50%		SM1				SM1
			Вентиль закрыт	50%	X		90%	0,25	X		80%	0,45
R71. Примечания	2	Да	Разрыв	90%						Нет
2 и 6			Замыкание	10%					X		0%	0,2
R72. Примечания	2	Да	Разрыв	90%						Нет
2 и 6			Замыкание	10%					X		0%	0,2
R73. Примечание	2	Нет	Разрыв	90%
4			Замыкание	10%
R74. Примечания	2	Да	Разрыв	90%					X	Нет	0%	1,8
2 и 6			Замыкание	10%					X		0%	0,2
I71. Примечание 4	5	Нет	Разрыв	70%
			Замыкание	20%
C71. Примечание	2	Да	Разрыв	20%					X	Нет		0,4
3			Замыкание	80%
R81. Примечание	2	Нет	Разрыв	90%
4			Замыкание	10%
L1. Примечание 4	10	Нет	Разрыв	90%
			Замыкание	10%
Микроконтроллер	100	Да	Все	50%	X	SM4	90%	5	X	SM4	100%	0
			Все	50%
							9,65				13,25


Общая интенсивность отказов - 163 FIT.
Общее количество связанных с безопасностью отказов - 142 FIT.	Метрика одиночных сбоев = 1 - (9,65/142) = 93,2%.
Общее количество не связанных с безопасностью отказов - 21 FIT.	Метрика скрытых сбоев = 1 - (13,25/(142 - 9,65)) = 90,0%.

Цели безопасности 1 назначено значение УПБТС, равное В, для которого, если используется таблица 4, рекомендуется значение метрики одиночных сбоев

90% и, если используется таблица 5, рекомендуется значение метрики скрытых сбоев

60%. Рассчитанное значение метрики одиночных сбоев 93,2% удовлетворяет рекомендуемому значению метрики, а также рассчитанное значение метрики скрытых сбоев 90% удовлетворяет рекомендуемому значению метрики (см. таблицу F.1).

Примечания

1 Виды отказов "разрыв" на R3 и R13 и "замыкание" на R23 являются одиночными сбоями. Они непосредственно приводят к недостижению цели безопасности, и никакой механизм безопасности не охватывает сбои этих частей аппаратных средств.

2 Целью данной части аппаратного средства является электрическая защита. Вид отказа "замыкание" означает потерю защиты.

3 Целью данной части аппаратного средства является защита от электростатических разрядов. Вид отказа "разрыв" означает потерю защиты.

4 Элементы, отказы которых не могут внести существенный вклад в недостижение цели безопасности, то есть только безопасные виды отказов не учитываются в расчетах, что приводит к более консервативным результатам. Например, элементы L1 и R81 реализуют механизм безопасности для предотвращения возникновения скрытых сбое. Множественные сбои с n>2 считаются безопасными сбоями.

5 Сбои, которые непосредственно приводят к недостижению цели безопасности (одиночные сбои или остаточные сбои), не могут вносить вклад в совокупность скрытых сбоев. Поэтому, например, интенсивность скрытых отказов вида "вентиль закрыт" для T71 вычисляется следующим образом:

6 Классификация видов отказов, вызывающих невыполнение защиты от электростатического разряда или электрической защиты, основана на анализе каждого конкретного случая и учитывает вероятность электростатических разрядов или электрической нагрузки, а также характерные последствия от влияния электростатических разрядов или электрической нагрузки на недостижение цели безопасности. Если, например, в течение срока службы транспортного средства произойдет электростатический разряд и его последствия могут привести к недостижению цели безопасности в отсутствие данной защиты, то вид отказов, вызывающий невыполнение защиты, классифицируется как одиночный сбой. Настоящее приложение является примером обработки таких случаев, используя метрики. На практике электростатические разряды или напряжение электромагнитных помех не имеют такого влияния на типовые разработки, аналогичные рассматриваемой в настоящем примере.

Таблица Е.2 - Цель безопасности 2


Наименование компонента	Интен- сивность отказа/ FIT	Учиты- вается ли в расчетах компо- нент, связан- ный с безопас- ностью?	Вид отказа	Распре- деление интенси- вностей отказов	Какой вид отказа может привести к недости- жению цели безопас- ности в отсутс- твие механи- змов безопас- ности?	Имеется (ются) ли механизм (ы) безопас- ности, позво- ляющий (ие) предотв- ратить недости- жение цели безопас- ности?	Охват вида отказов, приво- дящих к недости- жению цели безопас- ности	Интенси- вность остано- вочных или одиноч- ных отказов/ FIT	Может ли данный вид отказов привести к недости- жению цели безопас- ности в сочетании с незави- симым отказом другого компо- нента?	Имеются ли средства обнару- жения? Имеется (ются) ли механизм (ы) безопас- ности, предотв- ращающий (ие) возник- новение скрытых видов отказов?	Охват вида отказов в случае скрытых отказов	Интенси- вность отказов от скрытых множест- венных сбоев/FIT
R11. Примечания	2	Да	Разрыв	90%	X	SM2	99%	0,018	X	SM2	100%	0
1, 6 и 7			Замыкание	10%	X		99%	0,002	X		100%	0
R12. Примечания	2	Да	Разрыв	90%	X	SM2	99%	0,018	X	SM2	100%	0
1, 6 и 7			Замыкание	10%	X		99%	0,002	X		100%	0
R21. Примечание	2	Да	Разрыв	90%	X	SM2	99%	0,018	X	SM2	100%	0
2			Замыкание	10%	X		99%	0,002	X		100%	0
R22. Примечание	2	Да	Разрыв	90%	X	SM2	99%	0,018	X	SM2	100%	0
2			Замыкание	10%	X		99%	0,002	X		100%	0
C11. Примечания	2	Да	Разрыв	20%	X	SM2	99%	0,004	X	SM2	100%	0
1, 6 и 7			Замыкание	80%	X		99%	0,016	X		100%	0
C12. Примечания	2	Да	Разрыв	20%	X	SM2	99%	0,004	X	SM2	100%	0
1, 6 и 7			Замыкание	80%	X		99%	0,016	X		100%	0
C21	2	Да	Разрыв	20%		SM2				SM2
			Замыкание	80%	X		99%	0,016	X		100%	0
C22	2	Да	Разрыв	20%		SM2				SM2
			Замыкание	80%	X		99%	0,016	X		100%	0
I1	4	Да	Разрыв	70%	X	SM2	99%	0,028	X	SM2	100%	0
			Замыкание	20%	X		99%	0,008	X		100%	0
			Дрейф 0,5	5%	X		99%	0,002	X		100%	0
			Дрейф 2	5%
I2	4	Да	Разрыв	70%	X	SM2	99%	0,028	X	SM2	100%	0
			Замыкание	20%	X		99%	0,008	X		100%	0
			Дрейф 0,5	5%	X		99%	0,002	X		100%	0
			Дрейф 2	5%
Сторожевая схема (WD)	20	Да	Константная "1" на выходе	50%					X	Нет	0%	10
			Константный "0" на выходе	50%
T61	5	Да	Вентиль открыт	50%		SM3				SM3
			Вентиль закрыт	50%	X		90%	0,25	X		100%	0
R61. Примечания	2	Да	Разрыв	90%						Нет
3 и 6			Замыкание	10%					X		0%	0,2
R62. Примечания	2	Да	Разрыв	90%						Нет
3 и 6			Замыкание	10%					X		0%	0,2
R63. Примечание	2	Нет	Разрыв	90%
5			Замыкание	10%
R64. Примечания	2	Да	Разрыв	90%					X	Нет	0%	1,8
1 и 6			Замыкание	10%					X		0%	0,2
I61. Примечание 5	5	Нет	Разрыв	70%
			Замыкание	20%
C61. Примечания	2	Да	Разрыв						X	Нет	0%	0,4
4 и 6			Замыкание	80%
R81. Примечание	2	Нет	Разрыв	90%
5			Замыкание	10%
L1. Примечание 5	10	Нет	Разрыв	90%
			Замыкание	10%
Микроконтроллер	100	Да	Все	50%	X	SM4	90%	5	X	SM4	100%	0
			Все	50%
							5,48				12,80


Общая интенсивность отказов - 176.
Общее количество связанных с безопасностью отказов - 157.	Метрика одиночных сбоев = 1 - (5,48/157) = 96,5%.
Общее количество не связанных с безопасностью отказов - 19.	Метрика скрытых сбоев = 1 - (13,99/(157-5,48)) = 91,6%.

Цели безопасности 2 назначено значение УПБТС, равное C, для которого, если используется таблица 4, рекомендуется значение метрики одиночных сбоев

97% и, если используется таблица 5, рекомендуется значение метрики скрытых сбоев

80%. Рассчитанное значение метрики одиночных сбоев 96,5% не удовлетворяет рекомендуемому значению метрики, а рассчитанное значение метрики скрытых сбоев 91,6% удовлетворяет рекомендуемому значению метрики.

Примечания

1 Целью данной части аппаратного средства является электрическая защита. Один вид отказов приводит к потере электрической защиты. Другой вид отказов может привести к недостижению цели безопасности в отсутствие механизмов безопасности.

2 Оба вида отказов могут привести к недостижению цели безопасности в отсутствие механизмов безопасности, так как в обоих случаях импульсы, измеряющие скорость, не передаются. Это приводит к получению некорректного значения скорости. Датчик является датчиком с открытым коллектором.

3 Целью данной части аппаратного средства является электрическая защита. Вид отказа "замыкание" означает потерю защиты.

4 Целью данной части аппаратного средства является защита от электростатических разрядов. Вид отказа "разрыв" означает потерю защиты.

5 Элементы, отказы которых не могут внести существенный вклад в недостижение цели безопасности, то есть только безопасные виды отказов, не учитываются в расчетах, что приводит к более консервативным результатам. Например, элементы L1 и R81 реализуют механизм безопасности для предотвращения возникновения скрытых сбоев. Множественные сбои с n>2 считаются безопасными сбоями.

6 Классификация видов отказов, вызывающих невыполнение защиты от электростатического разряда или электрической защиты, основана на анализе каждого конкретного случая и учитывает вероятность электростатических разрядов или электрической нагрузки, а также характерные последствия от влияния электростатических разрядов или электрической нагрузки на недостижение цели безопасности. Если, например, в течение срока службы транспортного средства произойдет электростатический разряд и его последствия могут привести к недостижению цели безопасности в отсутствие данной защиты, то вид отказов, вызывающий невыполнение защиты, классифицируется как одиночный сбой. Настоящее приложение является примером обработки таких случаев с использованием метрик. На практике электростатические разряды или напряжение электромагнитных помех не имеют такого влияния на типовые разработки, аналогичные рассматриваемой в настоящем примере. Более того, предполагается, что в данном случае SM4 не охватывает эти виды отказов, даже если они могут привести к некоторому повреждению микроконтроллера.

7 Нарушение электрической защиты вызовет некорректное входное значение, которое будет обнаружено SM2, и, следовательно, не будет считаться скрытым сбоем.

Приложение F

(справочное)

Пример обоснования достижения целей раздела 9 в соответствии с 4.2

F.1 Общие положения

В настоящем приложении приведен пример возможной оценки проекта аппаратных средств, используя результаты анализа безопасности, чтобы доказать, что цели раздела 9 достигнуты. Рассматриваемый пример основан на проекте и анализе аппаратных средств, представленном в приложении Е, для цели безопасности 2 (если скорость превышает 100 км/ч, то клапан 1 должен быть открыт не позже, чем через 200 мс [УПБТС С]). Оценка выполняется в следующей последовательности:

1 анализ безопасности, обеспечивающий оценку PMHF;

2 определение критериев выбора видов сбоев или отказов, подлежащих оценке;

3 применение критериев выбора;

4 оценка соответствия целям, представленным в разделе 9.

F.2 Анализ безопасности, обеспечивающий оценку PMHF

Отправной точкой является анализ безопасности, который был выполнен в приложении Е. Помимо оценок, выполненных в приложении Е, значение PMHF аппроксимируется по формуле

(для получения более подробной информации о том, как оценить значение PMHF, см. раздел ИСО 26262-10, связанный с расчетами PMHF), и для каждого вида отказа рассчитывается вклад в общее значение PMHF в процентах.

Таблица F.1 - Количественные значения FMEA приложения Е для цели безопасности 2


Наименование компонента	Интен- сивность отказа/ FIT	Учиты- вается ли в расчетах компо- нент, связан- ный с безопас- ностью?	Вид отказа	Распре- деление интенси- вностей отказов	Какой вид отказа может привести к недости- жению цели безопас- ности в отсутс- твие механи- змов безопас- ности?	Имеется (ются) ли меха- низм(ы) безопас- ности, позво- ляющий (ие) предотв- ратить недости- жение цели безопас- ности?	Охват вида отказов, приво- дящих к недости- жению цели безопас- ности	Интенси- вность остано- вочных или одиноч- ных отказов/ FIT	Может ли данный вид отказов привести к недости- жению цели безопас- ности в сочетании с незави- симым отказом другого компо- нента?	Имеются ли средства обнару- жения? Имеется (ются) ли меха- низм(ы) безопас- ности, предотв- ращаю- щий(ие) возник- новение скрытых видов отказов?	Охват вида отказов в случае скрытых отказов	Интенси- вность отказов от скрытых множест- венных сбоев/ FIT	DPF_ det	PMHF, %
R11.	2	Да	Разрыв	90%	X	SM2	99%	0,018	X	SM2	100%	0	1,782	0,3%
Примечания 1, 6 и 7			Замыкание	10%	X		99%	0,002	X		100%	0	1,198	0,0%
R12.	2	Да	Разрыв	90%	X	SM2	99%	0,018	X	SM2	100%	0	1,782	0,3%
Примечания 1, 6 и 7			Замыкание	10%	X		99%	0,002	X		100%	0	1,198	0,0%
R21.	2	Да	Разрыв	90%		SM2	99%	0,018	X	SM2	100%	0	1,782	0,3%
Примечание 2			Замыкание	10%	X		99%	0,002	X		100%	0	1,198	0,0%
R22.	2	Да	Разрыв	90%	X	SM2	99%	0,018	X	SM2	100%	0	1,782	0,3%
Примечание 2			Замыкание	10%			99%	0,002	X		100%	0	1,198	0,0%
С11.	2	Да	Разрыв	20%	X	SM2	99%	0,004	X	SM2	100%	0	0,396	0,1%
Примечания 1, 6 и 7			Замыкание	80%	X		99%	0,016	X		100%	0	1,584	0,3%
С12.	2	Да	Разрыв	20%	X	SM2	99%	0,004	X	SM2	100%	0	0,396	0,1%
Примечания 1, 6 и 7			Замыкание	80%	X		99%	0,016	X		100%	0	1,584	0,0%
С21	2	Да	Разрыв	20%		SM2				SM2			0	0,0%
			Замыкание	80%	X		99%	0,016	X		100%	0	1,584	0,3%
С22	2	Да	Разрыв	20%		SM2				SM2			0	0,0%
			Замыкание	80%	X		99%	0,016	X		100%	0	1,584	0,3%
I1	2	Да	Разрыв	70%	X	SM2	99%	0,028	X	SM2	100%	0	2,272	0,5%
			Замыкание	20%	X		99%	0,008	X		100%	0	0,792	0,1%
			Дрейф 0,5	5%	X		99%	0,002	X		100%	0	0,198	0,0%
			Дрейф 2	5%									0	0,0%
I2	4	Да	Разрыв	70%	X	SM2	99%	0,028	X	SM2	100%	0	2,272	0,5%
			Замыкание	20%	X		99%	0,008	X		100%	0	0,792	0,1%
			Дрейф 0,5	5%	X		99%	0,002	X		100%	0	0,198	0,0%
			Дрейф 2	5%									0	0,0%
Сторожевая схема (WD)	20	Да	Константная "1" на выходе	50%					X	Нет	0%	10	0	0,0%
			Константный "0" на выходе	50%									0	0,0%
Т61	5	Да	Вентиль открыт	50%		SM3				SM3			0	0,0%
			Вентиль закрыт	50%	X		90%	0,25	X		100%	0	2,25	4,6%
R61.	2	Да	Разрыв	90%						Нет			0	0,0%
Примечания 3 и 6			Замыкание	10%					X		0%	0,2	0	0,0%
R62.	2	Да	Разрыв	90%						Нет			0	0,0%
Примечания 3 и 6			Замыкание	10%					X		0%	0,2	0	0,0%
R63.	2	Нет	Разрыв	90%									0	0,0%
Примечание 5			Замыкание	10%									0	0,0%
R64.	2	Да	Разрыв	90%					X	Нет	0%	1,8	0	0,0%
Примечания 1 и 6			Замыкание	10%					X		0%	0,2	0	0,0%
161.	5	Нет	Разрыв	90%									0	0,0%
Примечание 5			Замыкание	10%									0	0,0%
С61.	2	Да	Разрыв	20%					X	Нет	0%	0,4	0	0,0%
Примечания 4 и 6			Замыкание	80%									0	0,0%
R81.	2	Нет	Разрыв	90%									0	0,0%
Примечание 5			Замыкание	10%									0	0,0%
L1.	10	Нет	Разрыв	90%									0	0,0%
Примечание 5			Замыкание	10%									0	0,0%
Микро- контроллер	100	Да	Все	50%	X	SM4	90%	5	X	SM4	100%	0	45	91,1%
			Все	50%									0	0,0%
							5,48				12,80		69,822	99,8%

Таблица F.2 - Количественные результаты значений FMEA


	Время эксплуатации (Lifetime)			10000 ч
Общая интенсивность отказов, связанных с безопасностью	157 FIT	PMHF_DPF	0,009 FIT	0,16%
Общая интенсивность отказов, не связанных с безопасностью	19 FIT	PMHF_RF	5,48 FIT	99,84%
Общая интенсивность отказов	176 FIT	PMHF	5,489 FIT	100,00%
Метрика одиночных сбоев = 1 - (5,48/157) = 96,5%
Метрика скрытых сбоев = 1 - [12,8/(157-5,48)] = 91,6%

F.3 Определение критериев выбора оцениваемых отказов или видов отказов

Анализ безопасности сложной системы может быть достаточно объемным. Принцип определения критериев выбора состоит в выполнении оценки наиболее значащих характеристик. В данном примере определены следующие критерии выбора:

1 все виды сбоев или отказов, для которых охват (FMC) остаточных или одиночных видов отказов

90%;

2 все виды сбоев или отказов, вклад которых в общее значение вероятностной метрики случайных отказов аппаратных средств (PMHF)

2%;

3 20 видов сбоев или отказов, внесших наибольший вклад в общее значение PMHF.

Примечание - Критерии выбора определяются на основе результатов анализа безопасности (например, отклонение от целевого значения, разброс значений).

F.4 Применение критериев выбора

Таблица F.3 - Перечень всех видов сбоев или отказов, для которых охват (FMC) остаточных или одиночных отказов

90%


ID	Наиме- нование компо- нента	Интен- сивность отказа/FIT	Учиты- вается ли в расчетах компо- нент, связанный с безопас- ностью?	Вид отказа	Распре- деление интен- сивностей отказов	Меха- низм(ы) безопас- ности, позво- ляющий (ие) предот- вратить недости- жение цели безопас- ности	Охват вида отказов, приво- дящих к недости- жению цели безопа- сности	Вклад в PMHF (FIT)	Вклад в PMHF, %
45	Микро- контроллер	100	Да	Все	0,5	SM4	90,00%	5	91,13%
28	Т61	5	Да	Вентиль открыт	0,5	SM3	90,00%	0,25	4,56%
				Вклад в общее значение PMHF (FIT) и (%)				5,25	95,68%

Таблица F.4 - Перечень всех видов сбоев или отказов, вклад которых в общее значение вероятностной метрики случайных отказов аппаратных средств (PMHF)


ID	Наиме- нование компо- нента	Интен- сивность отказа/FIT	Учиты- вается ли в расчетах компо- нент, связанный с безопас- ностью?	Вид отказа	Распре- деление интен- сивностей отказов	Меха- низм(ы) безопас- ности, позво- ляющий (ие) предот- вратить недости- жение цели безопас- ности	Охват вида отказов, приво- дящих к недости- жению цели безопа- сности	Вклад в PMHF (FIT)	Вклад в PMHF, %
45	Микроконтроллер	100	Да	Все	0,5	SM4	90,00%	5	91,13%
28	Т61	5	Да	Вентиль открыт	0,5	SM3	90,00%	0,25	4,56%
				Вклад в общее значение PMHF (FIT) и (%)				5,25	95,68%

Таблица F.5 - Перечень 20 видов сбоев или отказов, внесших наибольший вклад в общее значение PMHF


Вклад в PMHF	ID	Наиме- нование компо- нента	Интен- сивность отказа/ FIT	Учиты- вается ли в расчетах компо- нент, связан- ный с безопас- ностью?	Вид отказа	Распре- деление интен- сивно- стей отказов	Меха- низм(ы) безопас- ности, позво- ляющий (ие) предот- вратить недости- жение цели безопас- ности	Охват вида отказов, приво- дящих к недости- жению цели безопа- сности	Вклад в PMHF (FIT)	Вклад в PMHF, %
1	45	Микро- контро- ллер	100	Да	Все	0,5	SM4	90,00%	5	91,13%
2	28	Т61	5	Да	Вентиль открыт	0,5	SM3	90,00%	0,25	4,56%
3	21	I2	4	Да	Разрыв	0,7	SM2	99,00%	0,028	0,51%
4	17	I1	4	Да	Разрыв	0,7	SM2	99,00%	0,028	0,51%
5	1	R11	2	Да	Разрыв	0,9	SM2	99,00%	0,028	0,33%
6	3	R12	2	Да	Разрыв	0,9	SM2	99,00%	0,028	0,33%
7	5	R21	2	Да	Разрыв	0,9	SM2	99,00%	0,028	0,33%
8	7	R22	2	Да	Разрыв	0,9	SM2	99,00%	0,028	0,33%
9	10	С11	2	Да	Замы- кание	0,8	SM2	99,00%	0,016	0,29%
10	16	C22	2	Да	Замы- кание	0,8	SM2	99,00%	0,016	0,29%
11	14	C21	2	Да	Замы- кание	0,8	SM2	99,00%	0,016	0,29%
12	12	C12	2	Да	Замы- кание	0,8	SM2	99,00%	0,016	0,29%
13		PMHF_DPF							0,00894	0,16%
14	22	I2	4	Да	Замы- кание	0,2	SM2	99,00%	0,008	0,15%
15	18	I1	4	Да	Замыкание	0,2	SM2	99,00%	0,008	0,15%
16	9	C11	2	Да	Разрыв	0,2	SM2	99,00%	0,004	0,07%
17	11	C12	2	Да	Разрыв	0,2	SM2	99,00%	0,004	0,07%
18	23	I2	4	Да	Дрейф 0,5	0,05	SM2	99,00%	0,002	0,04%
19	8	R22	2	Да	Замы- кание	0,1	SM2	99,00%	0,002	0,04%
20	19	I2	4	Да	Дрейф 0,5	0,05	SM2	99,00%	0,002	0,04%
					Вклад в общее значение PMHF (FIT) и (%)				5,48	99,89%

Примечание - В таблице F.5 PMHF_DPF обозначает вклад двойных отказов в вычисленное значение PMHF, как показано в таблице F.2.

F.5 Оценка соответствия целям раздела 9

Поскольку виды сбоев или отказов, указанные в таблице F.3 и в таблице F.4, составляют более 95% значения PMHF, то достаточно ограничить оценку этими критериями. Для оценки соответствия целям раздела 9 может быть учтено следующее:

- Как уже используемые заслуживающие доверие системы решают эти проблемы?

- Каковы современные достижения в решении этих проблем?

- Каков опыт работы на предприятиях с рассматриваемыми элементами аппаратных средств и их видами сбоев или отказов?

- Каковы результаты оценки безотказности рассматриваемых элементов аппаратных средств и их видов сбоев или отказов?

- Принимаются ли специальные меры (см. 9.4.1.2 и 9.4.1.3) на предприятии для снижения возникающего риска в рассматриваемой области?

Приложение G

(справочное)

Пример определения значения PMHF для устройства, состоящего из двух систем

G.1 Цели

В данном примере описывается процедура распределения значений PMHF для двух систем, которые вносят вклад в достижение одной и той же цели безопасности.

Примечание - В данном примере используются несколько преувеличенные значения характеристик, чтобы подчеркнуть "подводные камни" некоторых процедур.

G.2 Архитектура устройства

Рассматриваемое устройство состоит из двух систем, системы A и системы B (см. рисунок G.1), которые соединены друг с другом через сетевую шину транспортного средства (например, CAN, FlexRay или Ethernet).

Рисунок G.1 - Системная архитектура устройства

Система B состоит из одного электронного блока управления (ЭБУ), ЭБУ В и 10 датчиков (датчики B1-B10). Система A состоит из одного ЭБУ, ЭБУ А, одного датчика A1 и одного исполнительного устройства A.

G.3 Последовательность событий

Датчики В1-В10 передают свои сигналы SigB1-SigB10 в ЭБУ В (см. рисунок G.2). ЭБУ В использует эти сигналы для вычисления новых значений сигналов SigB11-SigB1000. Затем сигналы SigB1-SigB10, принимаемые от датчиков, и сигналы SigB11-SigB1000 ЭБУ В передают в ЭБУ А.

ЭБУ А использует сигналы SigB1-SigB1000 и сигнал SigA1 от датчика A1 для вычисления управляющего значения сигнала CntrIA, который затем подается на исполнительный механизм.

Рисунок G.2 - Последовательность событий

G.4 Условия

Применяются следующие условия:

- цель безопасности SG_A: обеспечить корректное включение исполнительного механизма А за время не более чем 100 мс (УПБТС D);

- каждый сигнал SigA1, SigB1-SigB1000 может привести к недостижению цели безопасности А в случае неверного значения любого из них;

- ЭБУ А не имеет возможности проверять SigB1-SigB1000;

- системе В необходимо проверять корректность SigB1-SigB1000.

G.5 Общее целевое значение PMHF

Согласно 9.4.2.3 общее значение PMHF устройства может быть вычислено в соответствии с количеством систем в нем. В данном случае в недостижение цели безопасности могут вносить вклад две системы и сетевая шина транспортного средства. Для каждой системы назначается значение 10

/ч. Кроме того, для сетевой шины транспортного средства назначается значение 10

/ч (например, на основе количественного анализа, применяемого к аналогичному проекту). В результате общее значение PMHF недостижения цели безопасности SG_A составит 2,01·10

/ч (см. рисунок G.3).

Рисунок G.3 - Назначение целевого значения PMHF

G.6 Определение значений PMHF для системы B

На первом шаге определяются все сигналы, формируемые системой В, которые могут привести к недостижению цели безопасности. Они объединяются в одну группу сигналов, например SigGroup_SG_A = [SigB1, ..., SigB1000].

На следующем шаге распределенное системе В значение PMHF, связанное с недостижением цели безопасности А, распределяется повреждениям одного или нескольких сигналов группы сигналов SigGroup_SG_A.

SafReq_B1: предотвратить выход одного или нескольких некорректных сигналов из группы сигналов SigGroup_SG_A (УПБТС D) с:

- PMHF

/ч;

- SPFM (метрика одиночного сбоя)

99%;

- LFM (метрика остаточного сбоя)

90%;

- сигнал считается некорректным, если отклонение сигнала от предписанного значения равно или превосходит установленное максимальное значение (константа, x%).

Это позволяет поставщику системы В идентифицировать все соответствующие элементы аппаратных средств в рамках одного анализа безопасности и распределять значения интенсивностей отказов по усмотрению поставщика (например, рисунок G.4).

Примечание - Поскольку каждый из 1000 сигналов, подаваемых системой B, может привести к недостижению цели безопасности SG_A и поскольку система A не может проверить корректность этих сигналов, то может возникнуть желание распределить значение PMHF системы В между всеми сигналами поровну, что приведет к значению PMHF 10

/1000/ч = 10

/ч на сигнал. В этом случае требование безопасности, направляемое поставщику системы A, может быть сформулировано следующим образом: "Предотвратить выход некорректного значения сигнала Bx(УПБТС D, PMHF_SigBx

/h, SPFM

99%, LFM

90%) для x = 1, ..., 1000". Однако при вычислении общего значения PMHF для системы В считается, что эти сигналы имеют общие элементы аппаратных средств (например, ЭБУ В), вносящие вклад в их интенсивности отказов, делая эти отказы зависимыми друг от друга. В этом примере на каждый сигнал могут влиять сбои в ЭБУ В. Это означает, что сбои в ЭБУ В могут повредить от 1 до 1000 сигналов. Если интенсивность остаточных отказов каждого сигнала суммируется без учета этого факта, то эта сумма может быть выше, чем базовая интенсивность отказа всей системы В. Поэтому такой подход не может быть использован.

Рисунок G.4 - FTA с учетом элементов аппаратных средств

Приложение H

(справочное)

Пример обработки скрытых сбоев

H.1 Общие положения

Цель настоящего приложения состоит в том, чтобы на двух примерах пояснить, как следует реализовывать различные типы механизмов безопасности, с тем чтобы согласованно оценить метрики аппаратных средств, как это требуется в альтернативном варианте перечисления а) 8.4.8. Механизмы безопасности разделены на две группы: механизмы безопасности, основанные на сочетании обнаружения и управления сбоями (переход в безопасное состояние, в котором даже последующий отказ механизма безопасности не оказывал бы влияния), и механизмы безопасности, основанные только на управлении последствиями сбоя. В настоящем приложении также описана причина применения альтернативного варианта, представленного в перечислении с) 8.4.8, который ограничивается механизмами безопасности, осуществляющими обнаружение и управления сбоями.

H.2 Пример с механизмом безопасности, выполняющим обнаружение и управление сбоями

В первом примере (см. рисунок H.1) система разработана с механизмом безопасности, выполняющим обнаружение и управление сбоями:

WD - сторожевое устройство с временным окном; C1 - компонент 1

Рисунок H.1 - Механизм безопасности, выполняющий обнаружение и управление сбоями

Сторожевое устройство с временным окном представляет собой механизм безопасности, контролирующий микроконтроллер. Диагностический охват остаточных сбоев микроконтроллера (например, проблемы, связанные с тактовым генератором, и т.д.) составляет 60%. Это значение охваченных сбоев, приводящих к недостижению цели безопасности при отсутствии механизма безопасности, рассматривается как выявляемые множественные сбои (в частности, двойные сбои), поскольку сбой выявляется механизмом безопасности с индикацией водителю и предотвращается недостижение цели безопасности (то есть выполняется управление этим сбоем). После того, как сторожевая схема с временным окном обнаружит сбой, система перейдет в безопасное состояние.

Сбой, возникающий в сторожевой схеме с временным окном, может привести к неспособности обнаружения или к ошибке в управлении видами сбоев в микроконтроллере. Если этот сбой не обнаруживается механизмом безопасности (тестирование WD при запуске), не воспринимается водителем (предполагается, что последствия сбоя WD не могут быть восприняты водителем), то он считается скрытым сбоем.

Учитывая рассмотренную классификацию, в таблице Н.1 приводится фрагмент результатов количественного анализа, описывающий оценку метрики аппаратных средств.

Таблица Н.1 - Фрагмент количественного анализа механизмов безопасности, выполняющих обнаружение и управление сбоями


Наиме- нование компо- нента	Вид отказа	Интен- сивно- сть отказа	Ведет ли непос- редст- венно к недос- тиже- нию цели безопа- сности?	Имеется ли меха- низм безопасности, предот- вращающий вид отказа, веду- щий к недос- тижению цели безопасности?	Охват диагно- стикой DC	Интен- сивно- сть отказов от остато- чных сбоев	Возмо- жно ли недос- тиже- ние цели безопа- сности в сочета- нии с другим сбоем?	Есть ли меха- низм безопасности, предот- вращаю- щий возникнове- ние скрытых видов отказов?	Охват меха- низмом безопа- сности скрытых сбоев	Интенсив- ность отказов от скрытых сбоев
Микро- контрол- лер	Проб- лемы, связан- ные с синхро- низа- цией	100 FIT	Да	Сторожевое устройство с временным окном	60%	40 FIT	Да	Сторожевое устройство с временным окном	100%	0
Сторо- жевое устро- йство с времен- ным окном	Отказ	40 FIT	Нет	-	-	-	Да	Тестирование сторожевого устройства при запуске	90%	4 FIT
C1	Отказ	50 FIT	Да	Микроконтроллер	97%	1,5 FIT	Да	Микроконтроллер	100%	0
……

Примечания

1 Альтернативный вариант [перечисление с) 8.4.8] может быть применен к системам, в которых любой механизм безопасности, неготовность которого может приводить к недостижению цели безопасности, основан на обнаружении и управлении сбоями. В данном случае этот альтернативный вариант эффективен, поскольку вид отказа, управляемый механизмом безопасности, не вносит вклад в значение FIT скрытого сбоя. Таким образом, единственный вклад в значение FIT скрытого сбоя вносит сам механизм безопасности.

2 Вид отказов микроконтроллера (проблемы, связанные с тактовым генератором - 100 FIT) может привести к недостижению цели безопасности. Сторожевое устройство с временным окном является механизмом безопасности, установленным для управления этими сбоями. Отказ сторожевого таймера с временным окном в сочетании с другим сбоем может привести к недостижению цели безопасности. Сбои сторожевого таймера с временным окном, которые не были обнаружены в ходе его тестирования при запуске, считаются скрытыми сбоями (4 FIT). Часть вида отказов микроконтроллера, которая благодаря механизму безопасности не привела к недостижению цели безопасности, составляет 60% (60 FIT); следовательно интенсивность отказов, связанных с остаточными сбоями, равна 40 FIT 60% рассматриваемого вида отказов (60 FIT), которые не привели к недостижению цели безопасности, выявляются непосредственно механизмом безопасности (сторожевым таймером с временным окном), который обнаруживает сбой и запускает переход в безопасное состояние. Согласно классификации случайных сбоев аппаратных средств в ИСО 26262-10 сбои, охваченные механизмом безопасности (60 FIT), рассматриваются как обнаруженные множественные сбои и, следовательно, по определению не являются скрытыми сбоями.

3 Сбои в компоненте С1 находятся под управлением микроконтроллера с охватом диагностикой (DC), равным 97%.

Это обоснование справедливо для механизмов безопасности, основанных на обнаружении и управлении сбоями, но несправедливо для механизмов безопасности, выполняющих только управление последствиями сбоев (например, выполнение EDC в RAM без сигнализации об ошибках).

H.3 Пример с механизмом безопасности, выполняющим управление последствиями сбоев

Во втором примере (см. рисунок H.2) система спроектирована с механизмом безопасности, выполняющим управление последствиями сбоев:

Рисунок H.2 - Механизм безопасности, выполняющий управление последствиями сбоев

Требование безопасности формулируется следующим образом: "Система должна сформировать сигнал в соответствии с требованиями к ее электрическим характеристикам". Нарушение требования безопасности может привести к недостижению цели безопасности.

Примечание - Предполагается, что компонент А обеспечивает корректный сигнал в случае отсутствия отказов.

Если в компоненте А возникает сбой и в результате сигнал, получаемый от A, искажен шумом, то для такого сигнала механизмом безопасности (фильтром) выполняется фильтрация. Таким образом, если сигнал постоянно сопровождается шумом, то он всегда будет своевременно восстановлен фильтром, который корректно выполняет свою функцию. Охват вида отказов "зашумленный сигнал" установленным механизмом безопасности составляет 99,9%. Поскольку в данном случае установленный механизм безопасности постоянно и своевременно выполняет восстановление, то сбой, способный привести к недостижению цели безопасности в отсутствие механизма безопасности, находится под управлением, и поэтому он не обнаруживается и не воспринимается. Таким образом, он рассматривается как скрытый сбой.

Если в компоненте A возникает постоянный сбой, то при возникновении сбоя в фильтре реализуется двойной отказ. До этого момента сбой, охваченный в компоненте A, не будет виден на уровне системы.

Примечание - Механизмы безопасности, действующие подобно фильтру в рассматриваемом примере, не выполняют обнаружение сбоя, а только управляют его последствиями. Таким образом, система не способна различать предписанное функционирование и отклонение от него (механизм безопасности выполняет свои функции до тех пор, пока не произойдет отказ самого механизма безопасности).

Таблица H.2 - Фрагмент количественного анализа механизмов безопасности, выполняющих управление последствиями сбоев


Наиме- нование компо- нента	Вид отказа	Интен- сивность отказа	Ведет ли непос- редст- венно к недос- тижению цели безопасности?	Имеется ли механизм безопасности, предот- вращающий вид отказа, ведущий к недостиже- нию цели безопасности?	Охват диагно- стикой DC	Интен- сивность отказов от остаточных сбоев	Возмо- жно ли недос- тиже- ние цели безопа- сности в сочета- нии с другим сбоем?	Есть ли меха- низм безо- пасности, предотвра- щающий возник- новение скрытых видов отказов?	Охват меха- низмом безопа- сности скры- тых сбоев	Интенсив- ность отказов от скры- тых сбоев
A	Зашум- ленный сигнал	100 FIT	Да	Фильтр	99,9%	0,1 FIT	Да	Нет	0%	99,9 FIT
Фильтр	Отказ	40 FIT	Нет	-	-	-	Да	Нет	0%	40 FIT
B	Отказ	20 FIT	Да	-	0%	20 FIT	-	-	-	-
…

Примечание - Альтернативный вариант [перечисление c) 8.4.8] неприменим к этой системе, характеризующейся механизмом безопасности, основанным на управлении последствиями сбоев. Таким образом, в этом случае альтернативы, представленные в перечислениях a) и b) 8.4.8, являются единственно возможными.

Приложение ДА

(справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам

Таблица ДА.1


Обозначение ссылочного международного стандарта	Степень соответствия	Обозначение и наименование соответствующего национального стандарта
ISO 26262-1:2018	IDT	ГОСТ Р ИСО 26262-1:2020 "Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения"
ISO 26262-2:2018	IDT	ГОСТ Р ИСО 26262-2:2020 "Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности"
ISO 26262-4:2018	IDT	ГОСТ Р ИСО 26262-4:2021 "Дорожные транспортные средства. Функциональная безопасность. Часть 4. Разработка изделия на уровне системы"
ISO 26262-6:2018	IDT	ГОСТ Р ИСО 26262-6:2021 "Дорожные транспортные средства. Функциональная безопасность. Часть 6. Разработка программного обеспечения изделия"
ISO 26262-7:2018	-	*
ISO 26262-8:2018	-	*
ISO 26262-9:2018	-	*
*Соответствующий национальный стандарт отсутствует. До его принятия рекомендуется использовать перевод на русский язык данного международного стандарта. Примечание - В настоящей таблице использованы следующие условные обозначения степени соответствия стандартов: - IDT - идентичные стандарты.

Библиография


[1]	ISO 7637-2, Road vehicles - Electrical disturbances from conduction and coupling - Part 2: Electrical transient conduction along supply lines only
[2]	ISO 7637-3, Road vehicles - Electrical disturbances from conduction and coupling - Part 3: Electrical transient transmission by capacitive and inductive coupling via lines other than supply lines
[3]	ISO 10605, Road vehicles - Test methods for electrical disturbances from electrostatic discharge
[4]	ISO 11452-2, Road vehicles - Component test methods for electrical disturbances from narrowband radiated electromagnetic energy - Part 2: Absorber-lined shielded enclosure
[5]	ISO 11452-4, Road vehicles - Component test methods for electrical disturbances from narrowband radiated electromagnetic energy - Part 4: Harness excitation methods
[6]	ISO 16750-2, Road vehicles - Environmental conditions and testing for electrical and electronic equipment - Part 2: Electrical loads
[7]	ISO 16750-4, Road vehicles - Environmental conditions and testing for electrical and electronic equipment - Part 4: Climatic loads
[8]	ISO 16750-5, Road vehicles - Environmental conditions and testing for electrical and electronic equipment - Part 5: Chemical loads
[9]	IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic safety-related systems
[10]	IEC 61709, Electronic components - Reliability - Reference conditions for failure rates and stress models for conversion
[11]	SN 29500 (2004), Siemens AG, Failure Rates of Components - Expected Values, General
[12]	Специально оставлено незаполненным.
[13]	EN 50129:2003, Railway applications - Communication, signalling and processing systems - Safety related electronic systems for signalling
[14]	MIL HDBK 217 F notice 2, Military handbook: Reliability prediction of electronic equipment
[15]	MIL HDBK 338, Military handbook: Electronic reliability design handbook
[16]	NPRD-2016, Non-electronic Parts Reliability Data
[17]	RIAC FMD-2016, Failure Mode / Mechanism Distributions
[18]	RIAC HDBK 217 Plus, Reliability Prediction Models
[19]	LITE C80-811, Reliability methodology for electronic systems
[20]	BIROLINI A. Reliability Engineering, Theory and Practice, 2014
[21]	SUNDARAM P., and D’AMBROSIO, J.G. Controller Integrity in Automotive Failsafe System Architectures, SAE 2006 World Congress, 2006-01-0840
[22]	FRUELINGT. Delphi Secured Microcontroller Architecture, SAE 2000 World Congress, SAE# 2000-01-1052
[23]	MAHMOOD A., and MCCLUSKEY E.J. "Concurrent Error Detection Using Watchdog Processors - A Survey", IEEE Trans. Computers, 37(2), 160-174(1988)
[24]	LEAPHART E., CZERNY B., D’AMBROSIO J. et al. Survey of Software Failsafe Techniques for Safety-Critical Automotive Applications, SAE 2005 World Congress, 2005-01-0779
[25]	MARIANI R., FUHRMANN P., VITTORELLI B. Cost-effective Approach to Error Detection for an Embedded Automotive Platform, 2006-01-0837, SAE 2006 World Congress & Exhibition, April 2006, Detroit, Ml, USA"
[26]	PATEL J., FUNG L. "Concurrent Error Detection in ALU’s by Recomputing with Shifted Operands", IEEE Transactions on Computers, Vol. C-31, pp.417-422, July 1982
[27]	FORIN P. Vital Coded Microprocessor: Principles and Application for various Transit Systems, Proc. IFAC-GCCT, Paris, France, 1989
[28]	RAMABADRAN T.V, Gaitonde S.S. (1988). "Atutorial on CRC computations". IEEE Micro 8 (4): 62-75, 1988
[29]	Koopman, Philip; Chakravarty, Tridib. (2004). Cyclic Redundancy Code (CRC) Polynomial Selection For Embedded Networks The International Conference on Dependable Systems and Networks, DSN-2004, http://www.ece.cmu. edu/~koopman/roses/dsn04/koopman04_crc_poly_embedded.pdf
[30]	FIDES guide 2009 edition A (September 2010), Reliability Methodology for Electronic Systems


УДК 62-783:614.8:331.454:006.354	ОКС 13.110

Ключевые слова: функциональная безопасность, жизненный цикл систем, транспортные средства, электрические компоненты, электронные компоненты, программируемые электронные компоненты и системы, аппаратные средства, разработка

ГОСТ Р ИСО 26262-5-2021 Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия

Текст ГОСТ Р ИСО 26262-5-2021 Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия