allgosts.ru43.040 Системы дорожно-транспортных средств43 ДОРОЖНО-ТРАНСПОРТНАЯ ТЕХНИКА

ГОСТ Р ИСО 26262-2-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности

Обозначение:
ГОСТ Р ИСО 26262-2-2020
Наименование:
Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности
Статус:
Действует
Дата введения:
06.01.2021
Дата отмены:
-
Заменен на:
-
Код ОКС:
43.040.10

Текст ГОСТ Р ИСО 26262-2-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности

ГОСТ Р ИСО 26262-2-2020

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ДОРОЖНЫЕ ТРАНСПОРТНЫЕ СРЕДСТВА. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ

Часть 2

Менеджмент функциональной безопасности

Road vehicles. Functional safety. Part 2. Management of functional safety

ОКС 43.040.10

Дата введения 2021-06-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием "Российский научно-технический центр информации по стандартизации, метрологии и оценке соответствия (ФГУП "") совместно с Обществом с ограниченной ответственностью "Корпоративные электронные системы" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 058 "Функциональная безопасность"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 октября 2020 г. N 851-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 26262-2:2018* "Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности" (ISO 26262-2:2018 "Road vehicles - Functional safety - Part 2: Management of functional safety", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - .

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р ИСО 26262-2-2014

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Комплекс стандартов ИСО 26262 является адаптацией комплекса стандартов МЭК 61508 и предназначен для применения электрических и/или электронных (далее - Э/Э) систем в дорожных транспортных средствах.

Данная адаптация распространяется на все виды деятельности в процессе жизненного цикла систем, связанных с безопасностью, включающих электрические, электронные и программные компоненты.

Безопасность является одним из приоритетов современного автомобилестроения. Расширение числа функциональных возможностей транспортных средств вызывает необходимость использования методологии функциональной безопасности и подтверждения достижения целей функциональной безопасности.

С ростом сложности технологий, программного обеспечения и мехатронных устройств увеличиваются риски, связанные с систематическими и случайными отказами аппаратных средств, рассматриваемыми в рамках функциональной безопасности. Комплекс стандартов ИСО 26262 является руководством по снижению этих рисков, в которое включены соответствующие требования и процессы.

Для достижения функциональной безопасности комплекс стандартов ИСО 26262 устанавливает:

a) жизненный цикл системы безопасности транспортного средства и включает перечень действий для стадий этого жизненного цикла (разработка, производство, эксплуатация, обслуживание, вывод из эксплуатации);

b) подход, основанный на оценке риска, разработанный специально для автотранспорта для определения уровней полноты безопасности [уровни полноты безопасности транспортного средства (УПБТС)];

c) использование значения УПБТС для спецификации требований комплекса стандартов ИСО 26262 с целью предотвращения неоправданного остаточного риска;

d) требования к мерам по выполнению менеджмента функциональной безопасности, проектирования, реализации, верификации, валидации, а также к мерам их подтверждения;

e) требования к взаимодействию между заказчиками и поставщиками.

Комплекс стандартов ИСО 26262 рассматривает функциональную безопасность Э/Э систем, которая достигается с помощью мер по обеспечению безопасности, включая механизмы обеспечения безопасности. Однако он также обеспечивает подход, в рамках которого можно использовать связанные с безопасностью системы, реализуемые на других технологиях (например, механических, гидравлических и пневматических).

На достижение функциональной безопасности влияют процессы разработки (в том числе спецификация требований, проектирование, реализация, интеграция, верификация, валидация и управление конфигурацией), процессы производства и обслуживания, а также процессы управления.

Вопросы безопасности тесно связаны с опытно-конструкторскими работами, реализующими функционал и обеспечивающими качество создаваемых изделий, а также с результатами таких работ. Настоящий стандарт рассматривает связанные с безопасностью проблемы, касающиеся опытно-конструкторских работ и их результатов.

На рисунке 1 показана общая структура комплекса стандартов ИСО 26262. В нем для различных стадий разработки изделия используется эталонная V-модель процесса. На рисунке 1:

- заштрихованная область в виде символа "V" представляет взаимосвязь между ИСО 26262-3, ИСО 26262-4, ИСО 26262-5, ИСО 26262-6 и ИСО 26262-7;

- для мотоциклов:

ИСО 26262-12:2018, раздел 8, соответствует требованиям ИСО 26262-3;

ИСО 26262-12:2018, разделы 8 и 10, соответствуют требованиям ИСО 26262-4;

- ссылки на конкретную информацию даны в виде: "m-n", где "m" представляет собой номер части настоящего стандарта, а "n" указывает на номер раздела этой части.

Пример - 2-6 ссылается на раздел 6 ИСО 26262-2.

Рисунок 1 - Общая структура ИСО 26262

1 Область применения

Настоящий стандарт применяется к системам, связанным с безопасностью, включающим в себя одну или несколько Э/Э систем, которые установлены в серийно производимые дорожные транспортные средства, исключая мопеды. Настоящий стандарт не применяется для уникальных Э/Э систем транспортных средств специального назначения, таких как Э/Э системы, предназначенные для водителей с ограниченными возможностями.

Примечание - Существуют другие стандарты по безопасности для специального применения, которые могут дополнить комплекс стандартов ИСО 26262 либо включают комплекс стандартов ИСО 26262.

Системы и их компоненты, находящиеся в производстве или на стадии разработки до даты публикации настоящего стандарта, не входят в его область применения. Настоящий стандарт распространяется на изменения к существующим системам и их компонентам, запущенным в производство до публикации настоящего документа, корректируя жизненный цикл системы безопасности в зависимости от конкретного изменения. Настоящий стандарт распространяется на интеграцию существующих систем, разработанных не в соответствии с настоящим стандартом, и систем, разработанных в соответствии с настоящим стандартом, при корректировке жизненного цикла системы безопасности.

Настоящий стандарт рассматривает возможные опасности, вызванные некорректным функционированием Э/Э систем, связанных с безопасностью, а также некорректным взаимодействием этих систем. Настоящий стандарт не рассматривает опасности, связанные с поражением электрическим током, возгоранием, задымлением, перегревом, излучением, токсичностью, воспламеняемостью, химической активностью, коррозией и подобными опасностями, если они непосредственно не вызваны некорректным функционированием Э/Э систем, связанных с безопасностью.

Настоящий стандарт описывает методологию функциональной безопасности, обеспечивающую разработку Э/Э систем, связанных с безопасностью. Эта методология предназначена для интеграции действий по функциональной безопасности в определенную для компании дисциплину разработки. Некоторые требования имеют ясную техническую направленность на обеспечение функциональной безопасности изделия; другие связаны с процессом разработки и поэтому могут рассматриваться как требования к процессу, чтобы продемонстрировать способность организации реализовать методологию функциональной безопасности.

Настоящий стандарт не рассматривает номинальные характеристики Э/Э систем.

Настоящий стандарт устанавливает требования к менеджменту функциональной безопасности для применения к автомобильным транспортным средствам, в том числе следующие:

- независимые от проекта требования к участвующим организациям (менеджмент функциональной безопасности в целом) и

- связанные с проектом требования к управлению действиями в процессе жизненного цикла системы безопасности, т.е. менеджмент на стадиях формирования концепции и разработки изделия (на уровнях системы, аппаратных средств и программного обеспечения), а также производства, эксплуатации, обслуживания и вывода из эксплуатации.

В приложении A представлен обзор целей, предпосылок и результатов работы, рассмотренных в настоящем стандарте.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения к нему):

ISO 26262-1:2018, Road vehicles - Functional safety - Part 1: Vocabulary (Дорожные транспортные средства. Функциональная безопасность. Часть 1. Словарь)

ISO 26262-3:2018, Road vehicles - Functional safety - Part 3: Concept phase (Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции)

ISO 26262-4:2018, Road vehicles - Functional safety - Part 4: Product development at the system level (Дорожные транспортные средства. Функциональная безопасность. Часть 4. Разработка изделия на уровне системы)

ISO 26262-5:2018, Road vehicles - Functional safety - Part 5: Product development at the hardware level (Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка технических средств изделия)

ISO 26262-6:2018, Road vehicles - Functional safety - Part 6: Product development at the software level (Дорожные транспортные средства. Функциональная безопасность. Часть 6. Разработка программного обеспечения изделия)

ISO 26262-7:2018, Road vehicles - Functional safety - Part 7: Production, operation, service and decommissioning (Дорожные транспортные средства. Функциональная безопасность. Часть 7. Производство, эксплуатация, обслуживание и вывод из эксплуатации)

ISO 26262-8:2018, Road vehicles - Functional safety - Part 8: Supporting processes (Дорожные транспортные средства. Функциональная безопасность. Часть 8. Вспомогательные процессы)

ISO 26262-9:2018, Road vehicles - Functional safety - Part 9: Automotive safety integrity level (ASIL)-oriented and safety-oriented analyses (Дорожные транспортные средства. Функциональная безопасность. Часть 9. Анализ уровня полноты безопасности транспортного средства и анализ безопасности транспортного средства)

3 Термины и определения

В настоящем стандарте применены термины по ИСО 26262-1.

ИСО и МЭК для применения в стандартизации поддерживают терминологические базы данных:

- IEC Electropedia: доступна по адресу: http://www.electropedia.org/;

- ИСО онлайн-платформа: доступна по адресу: https://www.iso.org/obp.

4 Требования соответствия настоящему стандарту

4.1 Цель

Настоящий раздел описывает, как:

a) достигнуть соответствия с требованиями комплекса стандартов ИСО 26262;

b) интерпретировать таблицы, используемые в комплексе стандартов ИСО 26262;

c) интерпретировать применимость каждого раздела в зависимости от соответствующего значения УПБТС.

4.2 Общие требования

Для соответствия комплексу стандартов ИСО 26262 должно быть выполнено каждое его требование, если для этого требования не выполняется одно из следующих условий:

a) в соответствии с настоящим стандартом предусмотрена корректировка действий по обеспечению безопасности, поэтому данное требование не применяется,

b) существует обоснование того, что несоблюдение данного требования допустимо, а также показано соответствие этого обоснования настоящему стандарту.

Справочная информация, включая примечания и примеры, должна использоваться только для понимания или для уточнения соответствующего требования и не должна толковаться как самостоятельное требование или быть для него полной или исчерпывающей.

Результаты действий по обеспечению безопасности представлены как результаты работы. В пунктах "Предварительные требования" перечисляется информация, которая должна быть доступна как результат работы предыдущей стадии. Так как некоторые требования разделов настоящего стандарта зависят от УПБТС или могут быть скорректированы, то некоторые результаты работы в качестве предварительных условий могут не понадобиться.

В пунктах "Дополнительная информация" содержится информация, которую можно учитывать, но в некоторых случаях настоящий стандарт не требует, чтобы она была результатом работы предыдущей стадии. Такая информация может быть доступна из внешних источников, от лиц или организаций, которые не несут ответственность за деятельность по обеспечению функциональной безопасности.

4.3 Интерпретация таблиц

В настоящем стандарте использованы нормативные или справочные таблицы в зависимости от их контекста. Перечисленные в таблице различные методы вносят вклад в уровень уверенности в достижении соответствия рассматриваемому требованию. Каждый метод в таблице включен либо:

а) в последовательный список методов (он обозначен порядковым номером в левой колонке, например 1, 2, 3), или

б) альтернативный список методов (он обозначен номером с последующей буквой в левом столбце, например 2а, 2б, 2в).

В случае последовательного списка для соответствующих значений УПБТС должны применяться все "наиболее рекомендуемые" и "рекомендуемые" методы. Допускается замена "наиболее рекомендуемого" или "рекомендуемого" метода другим, не перечисленным в таблице методом, но в этом случае должно быть дано обоснование, почему он удовлетворяет соответствующему требованию. Если может быть обосновано, что для удовлетворения соответствующему требованию не выбираются никакие методы, то в дальнейшем обоснование пропущенных методов не выполняется.

В случае альтернативного списка должна применяться подходящая комбинация методов в соответствии с указанным значением УПБТС независимо от того, перечислены в таблице эти комбинации или нет. Если перечисленные методы имеют разные степени рекомендуемости их применения для некоторого значения УПБТС, то следует отдать предпочтение методам с более высокой степенью рекомендуемости. Должно быть дано обоснование, что выбранная комбинация методов или даже отдельный выбранный метод выполняет соответствующее требование.

Примечание - Обоснование, основанное на методах, перечисленных в таблице, является достаточным. Но это не означает, что существует какое-то предубеждение за или против применения методов, не перечисленных в таблице.

Для каждого метода степень рекомендуемости его применения зависит от значения УПБТС и классифицируется следующим образом:

- "+ +" означает, что метод наиболее рекомендован для определенного значения УПБТС;

- "+" означает, что метод рекомендуется для определенного значения УПБТС;

- "О" означает, что метод не имеет рекомендации за или против его применения для определенного значения УПБТС.

4.4 Требования и рекомендации, зависимые от значения УПБТС

Требования или рекомендации каждого подраздела должны соблюдаться для значений УПБТС A, B, C и D, если не указано иное. Эти требования и рекомендации связаны со значениями УПБТС цели безопасности. Если в соответствии с требованиями раздела 5 ИСО 26262-9 декомпозиция УПБТС была выполнена на более ранней стадии разработки, то должны соблюдаться значения УПБТС, полученные в результате декомпозиции.

Если в настоящем стандарте значение УПБТС дается в круглых скобках, то соответствующий подпункт должен рассматриваться как рекомендация, а не требование для этого значения УПБТС. Это не касается скобочных записей, относящихся к декомпозиции УПБТС.

4.5 Адаптация к мотоциклам

Для устройств или элементов мотоциклов, для которых применимы требования ИСО 26262-12, эти требования могут быть использованы вместо соответствующих требований в настоящем стандарте. Требования настоящего стандарта, которые заменяются требованиями ИСО 26262-12, определены в ИСО 26262-12.

4.6 Адаптация к грузовым транспортным средствам, автобусам, прицепам и полуприцепам

На принадлежность содержания, предназначенного конкретно для грузовых транспортных средств, автобусов, прицепов и полуприцепов (T&B), соответственно указано.

5 Менеджмент функциональной безопасности в целом

5.1 Цели

Назначение настоящего раздела состоит в том, чтобы гарантировать, что организации, участвующие в реализации жизненного цикла системы безопасности, т.е. несущие ответственность за жизненный цикл системы безопасности или выполняющие мероприятия по обеспечению безопасности на различных стадиях жизненного цикла системы безопасности, достигают следующих целей:

a) установить и поддерживать культуру безопасности, которая обеспечивает и содействует эффективному достижению функциональной безопасности и способствует эффективному взаимодействию с другими дисциплинами, связанными с функциональной безопасностью;

b) установить и поддерживать соответствующие определенные для организации правила и процессы для реализации функциональной безопасности;

c) установить и поддержать процессы, гарантирующие адекватное разрешение выявленных нарушений безопасности;

d) установить и поддерживать систему управления компетентностью, чтобы гарантировать соответствие компетентности участвующих лиц их обязанностям;

e) установить и поддерживать систему менеджмента качества для обеспечения функциональной безопасности.

Полученная в соответствии с настоящим разделом информация служит в качестве предварительных требований к действиям, выполняемым на различных стадиях жизненного цикла системы безопасности.

5.2 Общие положения

5.2.1 Краткое описание жизненного цикла системы безопасности

Представленный в комплексе стандартов ИСО 26262 жизненный цикл системы безопасности включает в себя основные мероприятия по обеспечению безопасности на стадиях формирования концепции, разработки, производства, эксплуатации, обслуживания и вывода из эксплуатации. Планирование, координация и контроль выполнения действий по обеспечению безопасности, а также ответственность за выполнение этих действий, гарантирующих, что меры подтверждения выполнены, являются ключевыми задачами менеджмента и выполняются на протяжении всего жизненного цикла. Такой жизненный цикл системы безопасности может быть скорректирован (см. раздел 6).

Примечания

1 Действия по обеспечению безопасности на стадиях формирования концепции, разработки, производства, эксплуатации, обслуживания и вывода из эксплуатации изделия подробно описаны в ИСО 26262-3, ИСО 26262-4, ИСО 26262-5, ИСО 26262-6 и ИСО 26262-7.

2 Таблица А.1 содержит обзор целей, предварительных требований и результатов работы при реализации менеджмента функциональной безопасности.

Рисунок 2 иллюстрирует действия менеджмента на протяжении жизненного цикла системы безопасности.

Примечания

1 На рисунке конкретные разделы каждой части настоящего стандарта указаны следующим образом: "m-n", где "m" представляет собой номер части настоящего стандарта, а "n" указывает на номер ее раздела, например 3-6 представляет раздел 6 ИСО 26262-3:2018.

2 Подстадия разработки изделия на уровне системы показана в ИСО 26262-4:2018, рисунок 2.

3 Подстадия разработки изделия на уровне аппаратных средств показана в ИСО 26262-5:2018, рисунок 2.

4 Подстадия разработки изделия на уровне программного обеспечения показана в ИСО 26262-6:2018, рисунок 2.

Рисунок 2 - Действия менеджмента на протяжении жизненного цикла системы безопасности

5.2.2 Пояснения к жизненному циклу системы безопасности

5.2.2.1 Общие положения

Настоящий стандарт устанавливает требования для конкретных стадий и подстадий жизненного цикла системы безопасности, а также включает в себя требования, которые применяются к нескольким или ко всем стадиям жизненного цикла систем безопасности, такие как требования к менеджменту функциональной безопасности.

Основными задачами менеджмента являются планирование, координация и отслеживание деятельности, связанной с функциональной безопасностью. Эти задачи менеджмента распространяются на все стадии жизненного цикла системы безопасности. В настоящем стандарте приведены требования к менеджменту функциональной безопасности, которые можно разделить на:

- общее управление безопасностью (см. настоящий раздел);

- зависящий от проекта менеджмент системы безопасности на стадии формирования концепции и на стадиях разработки изделия на уровне системы, аппаратных средств и программного обеспечения (см. раздел 6);

- менеджмент системы безопасности на стадиях производства, эксплуатации, обслуживания и вывода из эксплуатации (см. раздел 7).

Планирование мероприятий по обеспечению безопасности в процессе разработки начинается на стадии разработки концепции и при необходимости уточняется на стадиях разработки изделия (на уровнях системы, аппаратных средств и программного обеспечения) до принятия решения о выпуске устройства или элемента в производство. Планирование мероприятий по обеспечению безопасности на стадиях производства, эксплуатации, обслуживания и вывода из эксплуатации начинается в ходе разработки изделия на уровне системы.

В 5.2.2.2 даны определения различных стадий и подстадий жизненного цикла системы безопасности. Другие ключевые понятия, рассматриваемые в рамках жизненного цикла системы безопасности, объясняются в 5.2.2.3.

5.2.2.2 Стадии и подстадии жизненного цикла системы безопасности

a) Определение устройства (подстадия стадии формирования концепции)

Для формирования жизненного цикла устройства обеспечения безопасности необходимо разработать описание этого устройства, включающее его функциональность, интерфейсы, внешние условия, правовые требования, известные вредные воздействия и т.д. Кроме того, определяются основные размеры устройства и его крепление, а также характеристики, связанные с другими устройствами, элементами или внешними мерами (см. раздел 5 ГОСТ Р ИСО 26262-3).

b) Анализ опасностей и оценка риска (подстадия стадии формирования концепции)

Анализ опасностей и оценка риска выполняется в соответствии с ГОСТ Р ИСО 26262-3, раздел 6. Вначале с помощью метода анализа опасностей и оценки рисков оценивают вероятность воздействия, управляемость и тяжесть последствий опасных событий для устройства. В совокупности эти параметры определяют значения УПБТС опасных событий. Затем с помощью метода анализа опасностей и оценки рисков определяют цели безопасности для устройства, которые становятся для него требованиями безопасности верхнего уровня. Определенные для опасных событий значения УПБТС назначаются соответствующим целям безопасности. При этом допущения, связанные с поведением человека, включая управляемость и реакцию человека, обосновываются при анализе опасностей и оценке рисков при формировании концепции функциональной безопасности и концепции технической безопасности, а также обосновываются технические допущения, важные для классификации УПБТС (см. разделы 6 и 7 ГОСТ Р ИСО 26262-3 и раздел 8 ИСО 26262-4).

На последующих стадиях и подстадиях на основе целей безопасности получают детальные требования безопасности. Требование безопасности наследует значение УПБТС соответствующей цели безопасности или получает значение УПБТС в результате декомпозиции при выполнении декомпозиции требований с уточнением УПБТС (см. раздел 5 ИСО 26262-9).

c) Концепция функциональной безопасности (подстадия стадии формирования концепции)

На основе целей безопасности разрабатывается концепция функциональной безопасности (см. раздел 7 ГОСТ Р ИСО 26262-3) с учетом рассмотрения предварительных предположений об архитектуре. Концепция функциональной безопасности формируется при получении требований функциональной безопасности из целей безопасности и при распределении этих требований функциональной безопасности элементам устройства. Концепция функциональной безопасности может также рассматривать устройства, выполненные на основе других технологий, или основываться на внешних мерах (см. раздел 7 ГОСТ Р ИСО 26262-3). В таких случаях соответствующие допущения или ожидаемое функционирование проходят валидацию (см. раздел 8 ИСО 26262-4). Реализация устройств, выполненных на основе других технологий, не входит в область применения настоящего стандарта, а осуществление внешних мер не входит в область применения разработки устройства.

d) Стадия разработки изделия на уровне системы

Как указано в ИСО 26262-4, после появления концепции функциональной безопасности устройство разрабатывается на уровне системы. Процесс разработки системы основан на концепции V-модели, в которой спецификация требований технической безопасности, разработка архитектуры системы, разработка и реализация системы принадлежат левой ветви V-модели, а интеграция, верификация и ва-лидация - правой ветви V-модели.

На данной стадии также специфицируется аппаратно-программный интерфейс. Интерфейсы между аппаратными средствами и программным обеспечением обновляются во время разработки аппаратных средств и программного обеспечения.

На рисунке 2 ИСО 26262-4 представлен обзор подстадий разработки системы.

Разработка системы включает в себя задачи валидации безопасности действий, выполняемых на других стадиях жизненного цикла системы безопасности, в том числе:

- технических допущений, важных для классификации УПБТС;

- валидации допущений о поведении человека, включая управляемость и реакцию человека;

- валидации аспектов концепции функциональной безопасности, которые реализуются на основе других технологий;

- валидации допущений об эффективности и производительности внешних мер.

e) Разработка изделия на уровне аппаратных средств

На основании спецификации проектирования системы разрабатываются аппаратные средства (см. ИСО 26262-5). Процесс разработки аппаратных средств основан на концепции V-модели, в которой спецификация требований к аппаратным средствам, проектирование аппаратных средств и их реализация принадлежат левой ветви V-модели, а интеграция аппаратных средств и их верификация - правой ветви V-модели.

На рисунке 2 ИСО 26262-5 представлен обзор подстадий разработки аппаратных средств.

f) Разработка изделия на уровне программного обеспечения

Программное обеспечение разрабатывается на основании спецификации проектирования системы (см. ИСО 26262-6). Процесс разработки программного обеспечения основан на концепции V-модели, в которой спецификация требований к программному обеспечению, а также проектирование и реализация архитектуры программного обеспечения принадлежат левой ветви V-модели, а интеграция программного обеспечения и его верификация - правой ветви V-модели.

На рисунке 2 ИСО 26262-6 представлен обзор подстадий разработки программного обеспечения.

g) Производство, эксплуатация, обслуживание и вывод из эксплуатации

Планирование этой стадии (см. раздел 5 ИСО 26262-7), а также спецификация соответствующих требований начинается во время разработки изделия на уровне системы (см. ИСО 26262-4) и происходит параллельно с разработкой системы, аппаратных средств и программного обеспечения. Такое планирование можно выполнить путем обмена информацией или требованиями, например специальными характеристиками, связанными с безопасностью, или требованиями, повышающими производственные возможности изделия.

Данная стадия связана с процессами, средствами и инструкциями, обеспечивающими функциональную безопасность для производства, эксплуатации, обслуживания и вывода из эксплуатации устройства или элемента. На ней рассматривают связанные с безопасностью специальные характеристики, а также разработку и менеджмент инструкций для производства, эксплуатации, обслуживания (технической поддержки и ремонта) и вывода из эксплуатации устройства или элемента (см. разделы 6 и 7 ИСО 26262-7).

5.2.2.3 Другие основные понятия

a) Меры подтверждения

Меры подтверждения (см. раздел 6) выполняются, чтобы решить вопрос о достижении функциональной безопасности устройством или о его вкладе в достижение функциональной безопасности, например при разработке элементов.

b) Управляемость

При анализе опасностей и оценке рисков (см. раздел 6 ГОСТ Р ИСО 26262-3) может быть учтена способность водителя или других лиц, подвергающихся риску (например, пешеходов, велосипедистов, пассажиров, водителей других транспортных средств), избежать указанный вред, возможно, с помощью внешних мер. Допущения, касающиеся управляемости, в анализе опасностей и оценке рисков и в концепциях функциональной и технической безопасности проходят процедуру валидации (см. разделы 6 и 7 ГОСТ Р ИСО 26262-3 и раздел 8 ИСО 26262-4).

Примечание - Воздействие и тяжесть являются факторами, которые зависят от сценария. Возможная управляемость в результате вмешательства человека зависит от конструкции устройства и, следовательно, оценивается во время валидации системы безопасности (см. раздел 8 ИСО 26262-4).

c) Внешние меры

К внешним мерам относятся меры, не связанные с устройством (см. раздел 5 ГОСТ Р ИСО 26262-3), которые снижают или смягчают возможные опасности, связанные с отклонением от предписанного функционирования устройства. К внешним мерам можно отнести не только меры, относящиеся к другим средствам на борту транспортного средства, таким как контроллеры динамической устойчивости или возможность движения в условиях потери давления в шине, но и внешние для транспортного средства, такие как оградительные барьеры и системы пожаротушения в туннелях.

Допущения о внешних мерах в определении устройства, в анализе опасностей и оценке рисков, а также в функциональной и технической безопасности проходят процедуру валидации (см. раздел 8 ИСО 26262-4).

Внешние меры могут быть рассмотрены при анализе опасностей и оценке рисков (см. раздел 6 ГОСТ Р ИСО 26262-3). Однако если потенциал внешней меры учтен при анализе опасностей и оценке рисков, например для снижения значения УПБТС цели безопасности, то такая внешняя мера не может рассматриваться для снижения риска в концепции функциональной безопасности.

Настоящий стандарт распространяется на те внешние меры, которые находятся в области его применения.

Внешняя мера может быть вне области применения настоящего комплекса стандартов (например, если внешняя мера реализована на основе другой технологии или реализована вне транспортного средства) или может быть в области применения настоящего комплекса стандартов (например, если внешняя мера реализована Э/Э системой, не относящейся к устройству).

d) Анализ влияния на уровне устройства

Анализ влияния (см. 6.4.3) выполняется на уровне устройства, чтобы определить, является ли это устройство новой разработкой, модификацией существующего устройства или существующим устройством с измененной внешней средой. Если существует одна или несколько модификаций устройства, то анализируется возможное влияние каждой из этих модификаций на функциональную безопасность.

e) Анализ влияния на уровне элемента

Анализ влияния выполняется на уровне элемента, когда существующий элемент использован повторно (см. 6.4.4), чтобы оценить, в состоянии ли повторно используемый элемент выполнить требования безопасности, распределенные этому элементу, с учетом эксплуатационного контекста, в котором этот элемент повторно используется.

f) Другие технологии

Другие технологии (например, механические и гидравлические) отличаются от электрических и электронных технологий. Их можно рассмотреть в спецификации и при распределении требований безопасности (см. раздел 7 ГОСТ Р ИСО 26262-3 и ИСО 26262-4) или как внешнюю меру. Другими словами, элемент, реализованный на основе другой технологии, может быть внутри устройства либо может быть определен как внешняя мера.

g) Запуск в производство

Запуск в производство (см. 6.4.13) придает официальный статус решению о начале производства устройства или элемента с учетом рассмотрения результатов жизненного цикла системы безопасности и применяемых мер подтверждения.

5.3 Входная информация

5.3.1 Предварительные требования

Не задаются.

5.3.2 Дополнительная информация

Может быть рассмотрена следующая информация:

- существующее подтверждение соответствия стандартам на системы менеджмента качества.

Примеры

1 Стандарт Международной целевой группы автомобильной промышленности IATF 16949 совместно с ИСО 9001, рассматривающие менеджмент качества на всех стадиях жизненного цикла системы безопасности.

2 Комплекс стандартов ИСО/МЭК 33000, Интегрированная модель зрелости процессов программного обеспечения (CMMI), или комплекс стандартов Automotive SPICE, рассматривающие разработку нового изделия.

________________

CMMI и Automotive SPICE - примеры коммерчески доступных подходящих документов. Данные примеры представлены для удобства пользователей и не являются рекламой данной продукции.

5.4 Требования и рекомендации

5.4.1 Общие положения

Организации, участвующие в реализации жизненного цикла системы безопасности, должны соответствовать требованиям 5.4.2-5.4.6.

5.4.2 Культура реализации системы безопасности

5.4.2.1 Организация должна создать, поощрять и подтверждать культуру безопасности, которая поддерживает и содействует эффективному достижению функциональной безопасности.

Пример - В приложении В предоставлена более подробная информация о том, из чего может состоять культура безопасности.

5.4.2.2 Организация должна устанавливать, выполнять и поддерживать специальные для организации правила и процессы для достижения и поддержки функциональной безопасности, а также для соответствия требованиям настоящего комплекса стандартов.

Примечание - Такие специальные для организации правила и процессы могут включать в себя создание и поддержку общих планов (например, общего плана обеспечения безопасности) или описаний общих процессов.

5.4.2.3 Организация должна устанавливать и поддерживать эффективную взаимосвязь между функциональной безопасностью, информационной безопасностью и другими дисциплинами, которые связаны с достижением функциональной безопасности.

Примеры

1 Взаимосвязь между функциональной безопасностью и кибербезопасностью для обмена соответствующей информацией (например, в конкретном случае определено, что решение проблемы кибербезопасности может привести к недостижению цели или требований безопасности, или в случае, когда требование кибербезопасности вступает в противоречие с требованием безопасности).

2 Взаимосвязь между системой функциональной безопасности и системой безопасности, реализованной на основе другой технологии, такой как система механической безопасности.

3 Взаимосвязь между функциональной безопасностью и качеством.

Примечание - Указания о возможном взаимодействии функциональной безопасности с кибербезопасностью даны в приложении E.

5.4.2.4 Во время реализации жизненного цикла системы безопасности организация должна выполнять необходимые мероприятия по обеспечению функциональной безопасности, в том числе работы по созданию и управлению необходимой документацией в соответствии с требованиями раздела 10 ИСО 26262-8.

5.4.2.5 Организация должна предоставлять ресурсы, необходимые для достижения функциональной безопасности.

Примечание - Ресурсы включают в себя человеческие ресурсы, инструментальные средства, базы данных, руководства и рабочие инструкции.

5.4.2.6 Организация должна устанавливать, выполнять и поддерживать непрерывный процесс совершенствования, основанный на:

- изучении опыта, накопленного в ходе реализации жизненного цикла систем безопасности других устройств, в том числе практического опыта;

- применении полученных усовершенствований в последующих устройствах.

5.4.2.7 Организация должна гарантировать, чтобы лицам, ответственным за достижение и поддержку функциональной безопасности, за выполнение или поддержку деятельности по обеспечению безопасности, были предоставлены достаточные полномочия для выполнения своих обязанностей.

5.4.3 Менеджмент нарушений безопасности, связанных с функциональной безопасностью

5.4.3.1 Организация должна устанавливать, выполнять и поддерживать процессы, гарантирующие, что выявленные нарушения безопасности непосредственно доводятся до сведения лиц, ответственных за достижение и поддержку функциональной безопасности, на протяжении всего жизненного цикла системы безопасности.

Примечание - В зависимости от нарушения безопасности среди ответственных лиц могут быть соответствующий менеджер по безопасности клиента, соответствующий менеджер по безопасности поставщика, менеджер по безопасности разработки соответствующего устройства или лица, ответственные за достижение и поддержку функциональной безопасности процессов производства, эксплуатации, обслуживания и вывода из эксплуатации.

5.4.3.2 Организация должна устанавливать, выполнять и поддерживать процесс устранения нарушений безопасности, чтобы гарантировать, что выявленные нарушения проанализированы, оценены, по ним принято решение и их удалось устранить своевременно и эффективно.

Примечания

1 Процесс принятия решения по нарушению безопасности может включать в себя анализ его основной причины, что в дальнейшем приведет к корректирующему действию.

2 Если принятие решения по нарушению безопасности приводит к изменению, то это изменение включается в процесс управления изменениями в соответствии с ИСО 26262-8, раздел 8.

3 Менеджер по безопасности может назначить лицо, ответственное за принятие решения по устранению нарушения требований безопасности.

4 Процесс принятия решения по устранению нарушения безопасности может быть объединен с процессами принятия решения по устранению нарушений, выявленных системой менеджмента качества (см. также 5.4.5).

5.4.3.3 Нарушение безопасности должно считаться устраненным, если:

a) выполнены соответствующие меры по обеспечению безопасности, способствующие устранению нарушений безопасности, на основе обоснования и эффективность этих мер по обеспечению безопасности проверена.

Примечания

1 В случае принятия решения по устранению нарушения безопасности, связанного с изменением конструкции, в качестве обоснования может быть предоставлен соответствующий анализ влияния, выполненный согласно требованиям раздела 8 ИСО 26262-8.

2 Нарушения безопасности могут быть устранены мерами, реализованными на применении других технологий, или внешними мерами (например мерами, не входящими в область применения комплекса стандартов ИСО 26262);

b) нарушение безопасности оценивается как не образующее неоправданный риск и далее не рассматривается при наличии обоснования таких действий.

Примечание - При отсутствии обоснования нарушение безопасности устранению не подлежит.

5.4.3.4 Обоснование для устранения нарушения безопасности в соответствии с 5.4.3.3 должно быть документально оформлено и должно быть проверено.

Пример - Обоснование может быть проверено в процессе оценки функциональной безопасности (см. 6.4.12).

5.4.3.5 Информация о нарушениях безопасности, которые не устраняются, должна быть передана лицам, ответственным за функциональную безопасность, таким как менеджер проекта, в случае если нарушение безопасности связано с разработкой нового изделия.

Примечание - Если нарушение требований безопасности выявляется в процессе разработки, во время которой его не удалось устранить, и выполняется оценка функциональной безопасности, то одним из специалистов, которому конкретно сообщается информация о нарушении безопасности, является лицо, ответственное за оценку функциональной безопасности.

5.4.4 Управление компетентностью

5.4.4.1 Организация должна гарантировать, чтобы лица, участвующие в реализации жизненного цикла систем безопасности, имели достаточный уровень навыков, компетенции и квалификации, соответствующий их обязанностям.

Примечания

1 Одним из возможных средств для достижения достаточного уровня навыков и компетенций является программа подготовки и повышения квалификации, которая охватывает следующие области знаний:

- установившиеся практики, концепции, методы проектирования в области безопасности;

- настоящий комплекс стандартов и при необходимости дополнительные стандарты в области безопасности;

- специальные для организации правила по реализации функциональной безопасности;

- специальные для организации правила для направлений работ, которые связаны с функциональной безопасностью;

- установленные в организации процессы по функциональной безопасности.

2 Чтобы оценить навыки, компетенцию и квалификацию для осуществления деятельности в соответствии с требованиями настоящего комплекса стандартов, можно учесть опыт предыдущей профессиональной деятельности, например:

- знания об устройстве;

- опыт работы с внешней средой устройства;

- управленческий опыт;

- опыт в производстве, эксплуатации, обслуживании и выводе из эксплуатации устройства.

3 Организация может определить критерии, касающиеся достаточности соответствующих навыков, компетентности и квалификации.

Пример - Критерии, данные в документе Исполнительного комитета по вопросам охраны труда и безопасности Соединенного Королевства "Управление компетентностью для связанных с безопасностью систем".

5.4.5 Система менеджмента качества

5.4.5.1 Организации должны иметь систему менеджмента качества, которая поддерживает достижение функциональной безопасности и соответствует стандартам на менеджмент качества, таким как IATF 16949 совместно с ИСО 9001 или эквивалентным.

5.4.6 Независимая от проекта корректировка жизненного цикла системы безопасности

5.4.6.1 Организация может корректировать жизненный цикл системы безопасности для его применения при разработках устройств или элементов, т.е. применять независимую от проекта корректировку, если она ограничивается применением следующих процедур:

a) объединение или разделение подстадий, действий или задач.

Примечание - Отдельные подстадии могут быть объединены, если используемый метод не обеспечивает четкое разграничение между отдельными подстадиями (например, автоматизированные средства разработки могут поддерживать действия нескольких подстадий на одном шаге процесса);

b) выполнение действия или задачи на другой стадии или подстадии;

c) выполнение действия или задачи на дополнительной стадии или подстадии;

d) итеративное использование стадии или подстадии;

e) выполнение действий по обеспечению безопасности одновременно с действиями по обеспечению безопасности других стадий или подстадий при условии, что выполнены требования 6.4.7.1;

f) обоснованное исключение стадии или подстадии, которая неприменима в организации.

5.5 Результаты работы

5.5.1 Специальные для организации правила и процедуры для обеспечения функциональной безопасности

Результат 5.4.2-5.4.6.

5.5.2 Подтверждение управлением компетентностью

Результат 5.4.4.

5.5.3 Подтверждение реализации системы менеджмента качества

Результат 5.4.5 и 5.4.6.

5.5.4 Отчеты о выявленных нарушениях безопасности

Результат 5.4.3 при необходимости.

6 Менеджмент функциональной безопасности, зависящий от проекта

6.1 Цели

Назначение настоящего раздела состоит в том, чтобы гарантировать, что организации, выполняющие стадию разработки концепции системы безопасности или стадии разработки системы безопасности на уровнях системы, аппаратных средств или программного обеспечения, достигают следующих целей:

a) определить и назначить роли и ответственности, связанные с действиями по обеспечению безопасности;

b) выполнить анализ влияния на уровне устройства, чтобы определить, является ли это устройство новым, модификацией существующего устройства или существующим устройством в измененной внешней среде; при наличии одной или нескольких модификаций проанализировать влияние этих модификаций на функциональную безопасность;

c) выполнить анализ влияния на уровне элемента в случае, если существующий элемент используется повторно, чтобы оценить, в состоянии ли повторно используемый элемент выполнить требования безопасности, распределенные этому элементу, учитывая эксплуатационный контекст, в котором этот элемент используется повторно.

Примечание - Анализ влияния на уровне устройства или элемента может поддержать планирование действий по обеспечению безопасности (см. 6.4.6.7).

d) определить действия по корректировке системы безопасности с целью обеспечения соответствующих обоснований и выполнения анализа полученного обоснования;

e) запланировать действия по обеспечению безопасности;

f) скоординировать и отследить выполнение действий по обеспечению безопасности в соответствии с планом обеспечения безопасности;

g) запланировать распределенную разработку (см. раздел 5 ИСО 26262-8);

h) гарантировать установленную последовательность выполнения действий по обеспечению безопасности на всем жизненном цикле системы безопасности;

i) разработать декларацию безопасности производственного объекта для формирования доводов для достижения целей функциональной безопасности;

j) оценить, достигает ли устройство требуемый уровень функциональной безопасности (т.е. выполнить оценку функциональной безопасности), или оценить вклад в достижение функциональной безопасности элемента (т.е. выполнить оценку функциональной безопасности действий, выполненных поставщиком) или результат работы (например, оценку подтверждения);

k) по окончании разработки - принять решение о запуске устройства или элемента(ов) в производство на основе подтверждения, которое обеспечивает доверие достигнутой функциональной безопасности.

6.2 Общие положения

В проекте определяются и назначаются роли и ответственности, связанные с действиями по обеспечению безопасности.

Выполняется анализ влияния на уровне устройства, чтобы определить, является ли это устройство новым, модификацией существующего устройства или существующим устройством в измененной внешней среде. В случае модификации выполняется анализ ее влияния на функциональную безопасность.

Выполняется анализ влияния на уровне элемента в случае, если существующий элемент повторно используется, учитывая его эксплуатационный контекст.

Менеджмент системы безопасности включает определение ответственности за планирование и координацию действий по обеспечению безопасности, за отслеживание выполнения этих действий в соответствии с планируемыми, а также за описание и обоснование действия по корректировке системы безопасности.

Планирование безопасности оформляется документально, и этот документ ссылается на соглашения о разработке (см. ИСО 26262-8, раздел 5), которые определяют взаимодействия с планами обеспечения безопасности других сторон при распределенной разработке.

Менеджмент системы безопасности также включает в себя определение ответственности за обеспечение выполнения мер подтверждения. В зависимости от применяемого значения УПБТС некоторые меры подтверждения выполняются достаточно независимо относительно ресурсов, управления и выдачи полномочий.

Меры подтверждения включают в себя оценки подтверждения, аудит функциональной безопасности и оценку функциональной безопасности:

- оценки подтверждения предназначены для того, чтобы решить, представляют ли основные результаты работы (см. таблицу 1) достаточные свидетельства и убедительное подтверждение их вклада в достижение функциональной безопасности;

- аудит функциональной безопасности при необходимости оценивает выполнение процессов, необходимых для действий по обеспечению безопасности;

- оценка функциональной безопасности при необходимости обосновывает, достигает ли устройство требуемый уровень функциональной безопасности, или обосновывает вклад в достижение функциональной безопасности, связанный, например, с элементами.

В таблице 1 перечислены меры подтверждения.

Кроме мер подтверждения, выполняются действия по верификации. Они соответствуют требованиям других частей комплекса стандартов ИСО 26262 и предназначены для проверки того, что соответствующие результаты работ удовлетворяют требованиям конструкторской документации и техническим требованиям, в частности для вариантов их использования и видов отказов.

В таблице 1 перечислены необходимые меры подтверждения. В приложении D перечислены верификационные оценки и ссылки на соответствующие части настоящего стандарта.

Наконец, лицо, ответственное за выпуск устройства или элементов этого устройства, решает о том, что это устройство или элемент(ы) готов(ы) для серийного выпуска или эксплуатации на основе подтверждения, которое обеспечивает уверенность в достигнутой функциональной безопасности.

6.3 Входная информация

6.3.1 Предварительные требования

Необходима следующая информация:

- специальные для организации правила и процедуры для соответствия требованиям функциональной безопасности, представленные в 5.5.1;

- подтверждение управлением компетентностью в соответствии с требованиями 5.5.2;

- подтверждение реализации системы менеджмента качества в соответствии с требованиями 5.5.3.

6.3.2 Дополнительная информация

Может быть учтена следующая информация, если она доступна:

- план проекта (из внешнего источника);

- зависимости от других действий, включая другие мероприятия по обеспечению безопасности;

- другая существующая информация, полезная для проведения анализа влияния (см. 6.4.3 и 6.4.4).

Пример - Концепция изделия, запросы на модификации, планирование внедрения или обоснование проверкой в эксплуатации.

6.4 Требования и рекомендации

6.4.1 Общие положения

Пункты 6.4.2-6.4.13 применяются к организациям, участвующим в реализации стадии разработки концепции или стадий разработки (системы, аппаратных средств или программного обеспечения) устройства нового изделия или одного или более элементов устройства.

Пример - Поставщик, разрабатывающий элемент, работы по интеграции которого будет выполнять заказчик (см. раздел 5 ИСО 26262-8), реализует одно или несколько требований безопасности со значениями УПБТС, равными A, B, C или D, в соответствии с 4.4.

6.4.2 Роли и ответственности в менеджменте функциональной безопасности

6.4.2.1 Должен быть назначен менеджер проекта при запуске разработки нового изделия, включающего устройство.

Примечание - В случае распределенной разработки (см. раздел 5 ИСО 26262-8) менеджеры проектов назначаются у заказчика и у поставщиков, которые разрабатывают один или несколько элементов, предназначенных для интеграции в устройство.

6.4.2.2 На менеджера проекта должна быть возложена ответственность и даны полномочия в соответствии с требованиями 5.4.2.8 для обеспечения:

a) выполнения связанных с безопасностью мероприятий, необходимых для достижения функциональной безопасности;

b) достижения соответствия требованиям настоящего стандарта.

6.4.2.3 Менеджер проекта должен убедиться, что организация предоставила необходимые ресурсы для выполнения действий по функциональной безопасности в соответствии с требованиями 5.4.2.6.

Примечание - Оценка, определение и выделение достаточных ресурсов выполняются на стадии планирования.

6.4.2.4 Менеджер проекта должен гарантировать, что менеджер по безопасности назначен в соответствии с требованиями 5.4.3.

Примечания

1 Роль менеджера по безопасности может выполнять менеджер проекта.

2 Термин "менеджер по безопасности" определяется как роль (см. ГОСТ Р ИСО 26262-1), его функции могут быть разделены между различными лицами в организации.

3 В случае распределенной разработки (см. раздел 5 ИСО 26262-8) менеджеры по безопасности назначаются у заказчика и у поставщиков, которые разрабатывают один или несколько элементов, предназначенных для интеграции в устройство.

6.4.3 Анализ влияния на уровне устройства

6.4.3.1 В начале жизненного цикла системы безопасности должен быть выполнен анализ влияния на уровне устройства, чтобы определить, является ли это устройство новой разработкой, модификацией существующего устройства или существующим устройством в измененной внешней среде.

Примечание - При модификации может использоваться обоснование проверкой в эксплуатации (см. раздел 14 ИСО 26262-8).

6.4.3.2 В случае модификации устройства или его внешней среды анализ влияния на уровне устройства, выполняемый в соответствии с 6.4.3.1, должен определить и описать модификации, связанные с устройством, включая:

Примечание - Анализ влияния, который рассматривается в настоящем разделе, касается модификаций устройства, рассматриваемых на стадии планирования. Модификации устройства, рассматриваемые в процессе выполнения разработки, реализуются в процессе управления изменениями (см. раздел 8 ИСО 26262-8).

a) модификации проекта.

Примечания

1 Модификация проекта может произойти из-за модификации требований.

2 Модификация проекта может повлиять на функционирование устройства.

Примеры

1 Модификация проекта вызвана модификацией данных о калибровке.

2 Модификация проекта вызвана изменениями в рабочих режимах устройства;

b) модификации при реализации.

Примечания

1 Модификации при реализации не должны влиять на спецификацию или рабочую характеристику устройства.

2 Модификации при реализации устройства могут повлиять на функционирование устройства.

3 Модификации при реализации могут произойти в результате изменений в программном обеспечении;

c) модификации, связанные с внешней средой.

Пример - Температура, высота, влажность, вибрация, электромагнитные помехи ("EMI") и виды топлива.

Примечание - Модификации включают:

- установку устройства в измененной внешней среде (например, другой вариант транспортного средства);

- изменение условий эксплуатации;

- изменение расположения устройства в транспортном средстве.

6.4.3.3 Анализ влияния на уровне изделия в соответствии с 6.4.3.2 должен:

a) оценить влияние различных модификаций на функциональную безопасность;

b) определить и описать действия по обеспечению безопасности, которые будут выполнены по результатам анализа влияния модификаций.

6.4.4 Повторное использование существующего элемента

Если существующий элемент используется повторно, то необходимо выполнить анализ влияния на уровне элемента, который должен:

a) определить модификации для контекста эксплуатации, учитывая имеющиеся модификации элемента;

b) оценить, в состоянии ли повторно используемый элемент, прошедший или не прошедший модификации, удовлетворять распределенным требованиям безопасности, из которых сформированы требования для устройства или элемента, в который должен быть интегрирован рассматриваемый элемент.

Примечание - Существующие элементы могут быть повторно использованы без модификаций или с запланированными для них модификациями. Модификации элемента могут быть запланированы, например, для обеспечения интеграции с существующим элементом;

c) определить действия по обеспечению безопасности, которые будут выполнены по результатам оценки последствий модификаций, включая влияние на правомерность ранее сделанных допущений;

d) оценить, обеспечивает ли существующая связанная с безопасностью документация на повторно используемый элемент его интеграцию в устройство или элемент, в который должен быть интегрирован рассматриваемый элемент.

Примечания

1 Анализ влияния, рассматриваемый в настоящем пункте, касается модификаций эксплуатационного контекста элемента, который рассматривается на стадии планирования. Модификации проекта, которые рассматривают в процессе разработки, выполняются в рамках процесса управления изменениями (см. раздел 8 ИСО 26262-8).

2 Существующий элемент может быть повторно использован:

a) на основе оценки элементов аппаратных средств (см. раздел 13 ИСО 26262-8);

b) на основе квалификации компонентов программного обеспечения (см. раздел 12 ИСО 26262-8);

c) на основе подтверждения проверкой эксплуатацией (см. раздел 14 ИСО 26262-8);

d) как универсальный элемент безопасности (см. ИСО 26262-10).

6.4.5 Корректировка действий по обеспечению безопасности

6.4.5.1 Деятельность по обеспечению безопасности с учетом специфики разрабатываемого устройства может быть скорректирована, т.е. что-то может быть исключено или что-то может быть выполнено другим способом, в отличие от предписанного в ИСО 26262 жизненного цикла. Если деятельность по обеспечению безопасности корректируется, то:

a) корректировка должна быть определена в плане обеспечения безопасности [см. перечисление b) 6.4.6.5];

b) должно быть предоставлено обоснование адекватности и достаточности такой корректировки для достижения целей функциональной безопасности.

Примечания

1 Обоснование корректировки учитывает значения УПБТС соответствующих требований.

2 Обоснование корректировки включается в план обеспечения безопасности и рассматривается в ходе оценки подтверждения плана обеспечения безопасности (см. 6.4.9) или во время оценки функциональной безопасности (см. 6.4.12).

3 Данное требование распространяется на корректировку, которая применяется для конкретного устройства. Если выполняется корректировка жизненного цикла системы безопасности, применяемого в рамках организации для разработки устройств, то применяются только требования 5.4.6.

6.4.5.2 Если деятельность по обеспечению безопасности корректируется в соответствии с 6.4.5.1 по результатам анализа влияния, выполненного в соответствии с 6.4.3 и 6.4.4, то корректировка должна соответствовать требованиям 6.4.6.7.

6.4.5.3 Если деятельность по обеспечению безопасности корректируется в соответствии с 6.4.5.1 в результате имеющегося подтверждения проверкой эксплуатацией, то корректировка должна соответствовать требованиям раздела 14 ИСО 26262-8.

6.4.5.4 Если деятельность по обеспечению безопасности корректируется в соответствии с 6.4.5.1 из-за оценки элементов аппаратных средств, то корректировка должна соответствовать требованиям раздела 13 ИСО 26262-8.

6.4.5.5 Если деятельность по обеспечению безопасности корректируется в соответствии с 6.4.5.1 из-за квалификации компонентов программного обеспечения, то корректировка должна соответствовать требованиям раздела 12 ИСО 26262-8.

6.4.5.6 Если деятельность по обеспечению безопасности корректируется в соответствии с 6.4.5.1 на базе обоснования, которое рассматривает уверенность в использовании инструментального программного обеспечения, то корректировка должна соответствовать требованиям раздела 11 ИСО 26262-8.

6.4.5.7 Если действия по обеспечению безопасности корректируются в соответствии с 6.4.5.1 из-за того, что элемент разработан как универсальный элемент безопасности, то:

a) разработка универсального элемента безопасности должна быть основана на спецификации требований, которая выводится из допущений о целевом применении и контексте элемента, включая его внешние интерфейсы;

b) допущения о целевом применении и контексте универсального элемента безопасности должны быть проверены, если этот элемент интегрируется в целевое применение.

Примечание - Настоящий комплекс стандартов в целом не может быть применен к универсальному элементу безопасности, так как функциональная безопасность не является свойством элемента (однако элемент устройства может быть идентифицирован как связанный с безопасностью). Функциональная безопасность является свойством устройства и может быть оценена средствами оценки функциональной безопасности.

Пример - Микроконтроллер разработан как универсальный элемент безопасности.

Примечание - Более подробную информацию о разработке универсального элемента безопасности см. в ИСО 26262-10.

6.4.5.8 Настоящее требование применяется к разработкам изделий для T&B. Если применение, которое не входит в область применения комплекса стандартов ИСО 26262, взаимодействует с основным транспортным средством или устройством, которое было разработано в соответствии с настоящим комплексом стандартов, то в соответствии с требованиями раздела 15 ИСО 26262-8 должна быть выполнена корректировка соответствующих действий по обеспечению безопасности.

6.4.5.9 Настоящее требование применяется к разработкам изделий для T&B. Если действия по обеспечению безопасности, выполненные для достижения уверенности в том, что система или компонент, не разработанные в соответствии с комплексом стандартов ИСО 26262, удовлетворяют требуемому уровню функциональной безопасности, необходимому для интеграции в устройство, разработанное в соответствии с настоящим комплексом стандартов, то корректировка соответствующих действий по обеспечению безопасности должна быть выполнена в соответствии с требованиями раздела 16 ИСО 26262-8.

6.4.6 Планирование и координация действий по обеспечению безопасности

6.4.6.1 Менеджер по безопасности несет ответственность за планирование и координацию деятельности по безопасности, которая выполняется в организации, в соответствии с требованиями 5.4.2.7.

Примечания

1 Менеджер по безопасности может делегировать задачи лицам, которые обладают необходимыми навыками, компетенцией и квалификацией (см. 5.4.3).

2 В зависимости от того, разрабатывается ли новое устройство или оно является модификацией уже существующего устройства, или оно является устройством в измененной внешней среде (см. 6.4.3), либо является новым или повторно используемым элементом (см. 6.4.4), объем действий по обеспечению безопасности и их планирование могут соответственно меняться.

6.4.6.2 Менеджер по безопасности несет ответственность за выполнение плана обеспечения безопасности, а также за контроль деятельности по обеспечению безопасности в соответствии с планом обеспечения безопасности.

6.4.6.3 Обязанности, связанные с выполнением действий по обеспечению безопасности, должны быть возложены на конкретное лицо, и об этом должно быть известно в организации в соответствии с 5.4.2.7 и 5.4.4.

Примечание - Менеджер по безопасности несет ответственность за планирование и координацию действий по обеспечению безопасности. Другие лица могут нести ответственность за детальное планирование (см. также 6.4.6.8) или выполнять конкретные действия по обеспечению безопасности (например, планирование или выполнение интеграции и верификации, а также управление конфигурацией).

6.4.6.4 План обеспечения безопасности должен быть:

a) планом, на который имеется ссылка в плане проекта, либо

b) включен в план проекта так, чтобы мероприятия по обеспечению безопасности были представлены в проекте.

Примечание - План обеспечения безопасности может включать перекрестные ссылки на другую информацию, используемую при управлении конфигурацией (см. раздел 7 ИСО 26262-8). Перекрестные ссылки, как правило, предпочтительнее параллельному описанию действий в различных рабочих документах или в других документах, управляемых конфигурацией.

6.4.6.5 План обеспечения безопасности должен определить планирование действий и процедур достижения целей функциональной безопасности, включая:

a) реализацию независимых от проекта действий в области безопасности в соответствии с требованиями раздела 5 в конкретном для проекта менеджменте безопасности;

b) определение корректировки действий по обеспечению безопасности в соответствии с требованиями 6.4.5, если это применимо.

Примечание - Например, корректировка по результатам анализа влияния на уровне устройства (см. 6.4.3) или на уровне элемента (см. 6.4.4). См. также 6.4.6.7;

c) планирование действий по обеспечению безопасности для выполнения требований ГОСТ Р ИСО 26262-3, ИСО 26262-4, ИСО 26262-5 и ИСО 26262-6;

d) планирование вспомогательных процессов, в соответствии с требованиями ИСО 26262-8, включая, если это возможно, ссылку на соглашения о разработке ("DIAs"), которые определяют взаимодействия с планами обеспечения безопасности других сторон при распределенной разработке, в соответствии с требованиями раздела 5 ИСО 26262-8;

e) планирование действий по интеграции и верификации для выполнения требований ГОСТ Р ИСО 26262-3, ИСО 26262-4, ИСО 26262-5, ИСО 26262-6 и раздела 9 ИСО 26262-8, а также планирование мероприятий по валидации безопасности в соответствии с требованиями раздела 9 ИСО 26262-4.

Примечание - Рабочий документ "План обеспечения безопасности" включает подробное планирование интеграции, верификации и валидации безопасности, однако такое планирование может быть в других документах (см. раздел 10 ИСО 26262-8);

f) планирование оценок подтверждения, аудита функциональной безопасности и оценки функциональной безопасности выполняется в соответствии с 6.4.9-6.4.12.

Примечания

1 В плане обеспечения безопасности, согласно 6.4.9, определяется уровень независимости лица, выполняющего меру подтверждения.

2 Менеджер по безопасности несет ответственность за планирование мер подтверждения. Детали меры подтверждения планируются лицом, ответственным за эту меру подтверждения;

g) планирование анализа зависимых отказов, если это применимо, и выполнения анализов системы безопасности для выполнения требований ГОСТ Р ИСО 26262-3, ИСО 26262-4, ИСО 26262-5, ИСО 26262-6 и разделов 7 и 8 ИСО 26262-9.

Примечание - Цели и область применения каждого анализа системы безопасности определяются во время его планирования и зависят от соответствующей подстадии и контекста;

h) обеспечение подтверждений проверкой в эксплуатации кандидатов в соответствии с требованиями раздела 14 ИСО 26262-8, если это применимо;

i) обеспечение уверенности в использовании инструментальных средств программного обеспечения в соответствии с требованиями раздела 11 ИСО 26262-8, если это применимо.

6.4.6.6 Планирование деятельности по обеспечению безопасности должно включать:

a) цель;

b) зависимости от других действий или информации;

c) лицо, отвечающее за выполнение этой деятельности;

d) ресурсы, необходимые для осуществления этой деятельности;

e) дату начала или окончания и длительность;

f) идентификацию соответствующего результата работы.

6.4.6.7 В случае модификации устройства, изменения внешней среды существующего устройства в соответствии с 6.4.3 или в случае повторно используемого элемента в соответствии с 6.4.4:

a) жизненный цикл системы безопасности, рассматриваемый в комплексе стандартов ИСО 26262, должен быть скорректирован по результатам соответствующего анализа влияния.

Примечание - Корректировки действий по безопасности определяются в плане обеспечения безопасности, при рассмотрении применяемых стадий и подстадий жизненного цикла (см. 6.4.5);

b) должны быть определены затрагиваемые рабочие документы, которые должны создаваться или обновляться соответствующим образом.

Примечание - Должны быть определены затрагиваемые рабочие документы, которые должны создаваться или обновляться соответствующим образом (см. раздел 8 ИСО 26262-4);

c) если документация по системе безопасности не удовлетворяет требованиям комплекса стандартов ИСО 26262, то должны быть определены необходимые действия по обеспечению выполнения соответствующих требований этого комплекса стандартов.

Примеры

1 Элемент, разработанный в соответствии со стандартом по безопасности, отличающимся от комплекса стандартов ИСО 26262, с соответствующей документацией по безопасности, которая является неполной, не соответствует требованиям ИСО 26262.

2 Устаревший элемент, у которого документация по безопасности отсутствует или ее недостаточно, чтобы судить о соответствии требованиям ИСО 26262.

6.4.6.8 План обеспечения безопасности должен постоянно обновляться, как минимум в начале каждой стадии.

Примечание - По меньшей мере в начале каждой стадии план обеспечения безопасности обновляется для того, чтобы выполнить детальное планирование действий по обеспечению безопасности на этой стадии. План обеспечения безопасности может быть далее детализирован для подстадии.

6.4.6.9 Рабочие документы, необходимые для плана обеспечения безопасности, должны своевременно обновляться во время стадий разработки, чтобы поддерживать адекватное представление устройства или элемента до запуска в производство и во время него.

6.4.6.10 В случае распределенной разработки и клиент, и поставщик должны определить план обеспечения безопасности, рассматривающий соответствующие действия по обеспечению безопасности.

Примечание - Соответствующее соглашение о разработке определяется согласно требованиям раздела 5 ИСО 26262-8.

6.4.7 Выполнение жизненного цикла систем безопасности

6.4.7.1 Если отсутствует информация от соответствующих предыдущих подстадий, то последующая подстадия должна начаться только при условии, что отсутствие информации не вызовет неоправданный риск, связанный с невыполнением требований функциональной безопасности.

Примечание - Для случаев, при которых отсутствие информации может подвергнуть опасности проект, проблема обостряется.

6.4.7.2 Результаты работы, требуемые планом обеспечения безопасности, должны формироваться под управлением конфигурацией, управлением изменениями и должны быть документально оформлены в соответствии с требованиями разделов 7, 8 и 10 ИСО 26262-8 соответственно не позднее начала стадии "Разработка изделия на уровне системы" (см. ИСО 26262-4).

6.4.8 Обоснование безопасности

6.4.8.1 Для обеспечения доказательства достижения функциональной безопасности, в соответствии с планом обеспечения безопасности, должно быть разработано обоснование безопасности.

6.4.8.2 В обосновании безопасности должны постепенно накапливаться результаты работы, формируемые в процессе жизненного цикла системы безопасности, для обеспечения доказательства безопасности.

Примечания

1 В случае распределенной разработки обоснованием безопасности устройства может быть комбинация обоснований безопасности клиента и поставщиков, которая ссылается на подтверждение из результатов работы, полученных соответствующими сторонами. В таком случае полное доказательство безопасности устройства обеспечивается доказательствами безопасности от всех сторон. Взаимоотношения между клиентом и поставщиком определяются в соглашении о разработке (см. раздел 5 ИСО 26262-8).

2 Чтобы поддержать планирование безопасности согласно 6.4.6, намеченные доказательства безопасности могут быть определены до появления результатов работы. Чтобы поддержать текущие оценки функциональной безопасности согласно 6.4.12.3, обоснование безопасности может формироваться по мере получения результатов работы для обеспечения подтверждения доказательств безопасности.

6.4.9 Меры подтверждения

6.4.9.1 Функциональная безопасность устройства и его элементов должна быть подтверждена на основе:

a) оценок подтверждения, позволяющих решить, представляют ли основные результаты работы, т.е. включенные в таблицу 1, достаточные свидетельства и убедительное подтверждение их вклада в достижение функциональной безопасности, учитывая соответствующие цели и требования комплекса стандартов ИСО 26262, в соответствии с таблицей 1 и 6.4.10.

Примечание - Оценка подтверждения выполняется для тех результатов работ, которые указаны в таблице 1 и требуются планом обеспечения безопасности;

b) аудита функциональной безопасности, позволяющего оценить выполнение процессов, необходимых для обеспечения функциональной безопасности, в соответствии с таблицей 1 и 6.4.11.

Примечание - Основные процессы, необходимые для функциональной безопасности, определены в комплексе стандартов ИСО 26262. Процессы, имеющие отношение к устройству или элементу, определяются посредством действий, на которые делаются ссылки, или они непосредственно указываются в плане обеспечения безопасности;

c) оценки функциональной безопасности, позволяющей принять решение о достигаемой функциональной безопасности устройством или о вкладе в достижение функциональной безопасности разрабатываемыми элементами, в соответствии с таблицей 1 и 6.4.12.

Примечания

1 Цель независимости, определенной в таблице 1, состоит в том, чтобы гарантировать объективную, беспристрастную точку зрения и избегать конфликта интересов. Использование термина "независимость" в настоящем стандарте касается организационной независимости.

2 Руководство по мерам подтверждения представлено в приложении C.

3 Отчет, который формируется в результате выполнения меры подтверждения, включает в себя имя и номер версии проанализированных документов о результатах работы или процессах (см. раздел 10 ИСО 26262-8).

4 Если после завершения выполнения мер подтверждения происходят изменения в устройстве, то надлежащие меры подтверждения должны быть выполнены повторно или дополнительно (см. 8.4.5.2 ИСО 26262-8).

5 Такие меры подтверждения, как оценки подтверждения и аудиты функциональной безопасности, могут быть объединены и в сочетании с оценкой функциональной безопасности могут быть использованы при создании сопоставимых вариантов устройства.

Таблица 1 - Требуемые меры подтверждения с учетом требуемого уровня независимости

Меры подтверждения

Степень независимости применятся к

Область применения

QM

УПБТС А

УПБТС В

УПБТС С

УПБТС D

Оценка подтверждения анализа влияния на уровне устройства (см. 6.5.1).

Выполняется независимо от автора анализа влияния и управления проектом

I3

I3

I3

I3

I3

Обоснование, выполняемое в ходе анализа влияния в соответствии с 6.4.3, правильности определения устройства как новой разработки, как модификации существующего устройства или как существующего устройства в измененной внешней среде.

Обоснование, выполняемое в ходе анализа влияния в соответствии с 6.4.3, надлежащего определения последствий для функциональной безопасности, вызванных модификацией(ями), и действий по обеспечению безопасности, которые должны быть выполнены

Оценка подтверждения анализа опасностей и оценки рисков (см. раздел 6 ГОСТ Р ИСО 26262-3).

Выполняется независимо от разработчиков устройства, управления проектом и авторов результатов работы

I3

I3

I3

I3

I3

Обоснование соответствующего выбора эксплуатационных ситуаций, подходящих для опасных событий, и соответствующих определений опасных событий.

Обоснование правильности определения значений УПБТС, оценок управления качеством (QM) выявленных опасных событий для устройств и параметров, для которых значение УПБТС не назначено, например C0/S0/E0. Обоснование охвата выявленных опасных событий указанными целями безопасности

Оценка подтверждения плана обеспечения безопасности (6.5.3).

Выполняется независимо от разработчиков устройства, управления проектом и авторов результатов работы.

Примечания

1 Оценка подтверждения плана обеспечения безопасности включает обзор анализов влияния на уровне элемента, выполняемый из-за повторного использования существующих элементов (см. 6.5.2).

-

I1

I1

I2

I3

Применяется к требованиям безопасности с самым высоким значением УПБТС

2 План обеспечения безопасности включает подтверждения проверкой в эксплуатации (анализ, данные и доверие), проверенных эксплуатацией кандидатов и соответствующую корректировку, если применима (см. 6.4.6 и раздел 14 ИСО 26262-8).

3 План обеспечения безопасности включает настройку вследствие использования программных средств, если применима (см. 6.4.6 и раздел 11 ИСО 26262-8)

Оценка подтверждения концепции технической безопасности (см. раздел 6 ИСО 26262-4), поддержанной результатами соответствующего анализа безопасности и анализом зависимых отказов (см. раздел 8 ИСО 26262-9 и раздел 7 ИСО 26262-9 соответственно).

Выполняется независимо от разработчиков устройства, управления проектом и авторов результатов работы

-

I1

I1

I2

I3

Применяется к требованиям функциональной безопасности с самым высоким значением УПБТС, из которых получены требования технической безопасности.

Если для концепции функциональной безопасности была применена декомпозиция УПБТС, то далее может быть рассмотрено значение УПБА, полученное в результате декомпозиции

Оценка подтверждения стратегии интеграции и тестирования (см. раздел 7 ИСО 26262-4).

Выполняется независимо от разработчиков устройства, управления проектом и авторов результатов работы

-

I0

I1

I2

I2

Применяется к требованиям безопасности с самым высоким значением УПБТС

Оценка подтверждения спецификации валидации безопасности (см. раздел 8 ИСО 26262-4).

Выполняется независимо от разработчиков устройства, управления проектом и авторов результатов работы

-

I0

I1

I2

I2

Применяется к требованиям безопасности с самым высоким значением УПБТС

Оценка подтверждения анализов безопасности и анализа зависимых отказов (см. раздел 8 ИСО 26262-9 и раздел 7 ИСО 26262-9 соответственно).

Выполняется независимо от разработчиков устройства, управления проектом и авторов результатов работы

-

I1

I1

I2

I3

Применяется к требованиям безопасности с самым высоким значением УПБТС

Оценка подтверждения обоснования безопасности (см. 6.5.4).

Выполняется независимо от авторов обоснования безопасности

-

I1

I1

I2

I3

Применяется к требованиям безопасности с самым высоким значением УПБТС

Аудит функциональной безопасности в соответствии с 6.4.11.

Выполняется независимо от разработчиков устройств и управления проектом

-

-

I0

I2

I3

Применяется к требованиям безопасности с самым высоким значением УПБТС

Оценка функциональной безопасности в соответствии с 6.4.12.

Выполняется независимо от разработчиков устройств и управления проектом

-

-

I0

I2

I3

Применяется к требованиям безопасности с самым высоким значением УПБТС

Обозначения определены следующим образом:

- - требования или рекомендации за или против данной меры подтверждения отсутствуют;

I0 - мера подтверждения должна быть выполнена; однако если данная мера подтверждения осуществляется, то она должна быть выполнена лицом, отличным от лиц(а), ответственных(ого) за создание рассматриваемого(ых) результата(ов) работы;

I1 - мера подтверждения должна быть выполнена лицом, отличным от лиц(а), ответственных(ого) за создание рассматриваемого(ых) результата(ов) работы;

I2 - мера подтверждения должна быть выполнена лицом, не входящим в авторский коллектив, ответственный за создание рассматриваемого(ых) результата(ов) работы, то есть не подчиняющимся тому же непосредственному начальнику;

I3 - мера подтверждения должна быть выполнена лицом, независимым от отдела, отвечающего за рассматриваемые результаты работы, от организации их выполнения, используемых ресурсов и определения полномочий.

6.4.9.2 Лица, осуществляющие меры подтверждения, должны иметь доступ к лицам и подразделениям организации (а также должны быть поддержаны ими), которые осуществляют мероприятия по обеспечению безопасности во время разработки устройства.

6.4.9.3 Лица, осуществляющие меры подтверждения, должны иметь доступ к соответствующей информации и инструментальным средствам.

6.4.10 Оценки подтверждения

6.4.10.1 Лицо, ответственное за выполнение оценки подтверждения, должно быть назначено, в соответствии с 5.4.4 и 5.4.2.7, для каждой оценки подтверждения, которая включена в таблицу 1 и требуется планом обеспечения безопасности. Это лицо должно предоставить отчет, содержащий обоснование достигнутого вклада в функциональную безопасность конкретным результатом работы.

6.4.10.2 Оценки подтверждения должны быть завершены перед запуском в производство.

6.4.10.3 Оценка подтверждения может быть основана на выполнении обоснования того, достигнуты ли соответствующие цели комплекса стандартов ИСО 26262.

Примечание - Для повышения уверенности в достижении целей оценки выполняющий оценку специалист проверяет правильность, полноту, согласованность, соответствие и содержание определенного результата работы на соответствие требованиям комплекса стандартов ИСО 26262.

6.4.10.4 Для выполнения оценки подтверждения в соответствии с 6.4.9.2 и 5.4.4 могут быть назначены один или несколько помощников. Такие лица могут оказаться недостаточно независимыми от разработчиков соответствующего устройства, элементов или результатов работы, но их независимость должна соответствовать как минимум I1, как определено в таблице 1, а выполняющий оценку специалист должен дать оценку их привлечения, чтобы гарантировать беспристрастность результирующего мнения.

Примечание - Поскольку оценки подтверждения выполняются для оценки функциональной безопасности, то назначение помощников и их оценки могут также быть использованы при осуществлении оценки функциональной безопасности, если применимо.

6.4.10.5 Оценка подтверждения и верификационная оценка могут быть объединены, если оценка выполняется достаточно независимо в соответствии с таблицей 1.

6.4.11 Аудит функциональной безопасности

6.4.11.1 Для устройств и элементов, у которых наибольшее значение УПБТС их требований безопасности равно (B), C или D, аудит функциональной безопасности должен быть выполнен в соответствии с 6.4.9 и должен быть завершен перед запуском в производство.

6.4.11.2 Лицо, ответственное за выполнение аудита функциональной безопасности, должно быть назначено в соответствии с 5.4.4 и 5.4.2.7.

6.4.11.3 Аудит функциональной безопасности может быть основан на обосновании того, достигнуты ли связанные с процессом цели комплекса стандартов ИСО 26262.

Примечание - Достижение цели комплекса стандартов ИСО 26262 рассматривается как выполнение соответствующих требований этих стандартов.

Пример - Цели требований раздела 6 определены в 6.1.

6.4.11.4 Лицо, ответственное за выполнение аудита функциональной безопасности, должно предоставить отчет, который содержит обоснование выполнения процессов, необходимых для обеспечения функциональной безопасности, на основе:

a) оценки выполнения процессов на соответствие определений действий, на которые делаются ссылки или которые непосредственно указываются в плане обеспечения безопасности;

b) оценки положений плана обеспечения безопасности на соответствие определенным для организации правилам и процессам (см. 5.5.1);

c) оценки доказательств, при наличии того, почему связанные с процессом цели комплекса стандартов ИСО 26262 достигнуты.

Примечания

1 Лица, ответственные за действия по безопасности, могут обеспечить доказательство достижения соответствующих целей комплекса стандартов ИСО 26262 для содействия аудиту функциональной безопасности, учитывая 6.4.11.3.

2 Выполнение всех соответствующих требований ИСО 26262 является достаточным обоснованием того, что цели ИСО 26262 достигнуты;

d) оценки того, доступны ли результаты работы, требуемые планом обеспечения безопасности;

e) оценки того, удовлетворяют ли результаты работы, требуемые планом обеспечения безопасности, требованиям 10.4.3 ИСО 26262-8 и согласованы ли они между собой;

f) рекомендаций по усовершенствованию согласно 5.4.2.6, если возможно, например в случае несоответствий.

Примечания

1 Аудит функциональной безопасности может быть выполнен вместе или синхронизирован с оценкой SPICE (Software Process Improvement and Capability Determination) для транспортных средств (см. также комплекс стандартов ИСО/МЭК 33000). Однако оценки SPICE недостаточно, чтобы выполнить оценку функциональной безопасности в соответствии с 6.4.12.

________________

SPICE - пример коммерчески доступного продукта в автомобильной промышленности. Данный пример приведен для удобства пользователей настоящего стандарта и не является фактом одобрения ИСО данной продукции.

2 Определения процессов организации можно найти сразу в нескольких стандартах, например требования к процессу управления конфигурацией можно найти в настоящем комплексе стандартов и SPICE. Эта координация процессов может помочь избежать дублирования работ или несоответствий процесса. Для таких скоординированных процессов могут быть сформированы специальные для организации перекрестные ссылки процесса к требованиям настоящего комплекса стандартов и SPICE для транспортных средств.

3 Аудит функциональной безопасности целесообразно выполнять на ранней стадии проекта, так как это позволяет определить слабые места в процессах.

6.4.12 Оценка функциональной безопасности

6.4.12.1 Для устройств и элементов, у которых наибольшее значение УПБТС их требований безопасности равно (B), C или D, оценка функциональной безопасности должна быть выполнена в соответствии с 6.4.9, чтобы оценить достигаемую устройством функциональную безопасность или вклад в достижение функциональной безопасности, осуществляющийся разрабатываемыми элементами.

6.4.12.2 Оценка функциональной безопасности может быть основана на выполнении обоснования того, достигнуты ли цели комплекса стандартов ИСО 26262.

Примечание - Достижение цели комплекса стандартов ИСО 26262 рассматривается как выполнение во время разработки соответствующих требований этих стандартов с учетом современного состояния применяемых технических решений и используемых технических знаний в рассматриваемой предметной области.

Пример - Цели требований раздела 6 определены в 6.1.

6.4.12.3 Оценка функциональной безопасности:

a) должна быть запланирована в соответствии с 6.4.6.5, перечисление f);

b) должна быть запланирована не позднее начала разработки нового изделия на уровне системы;

c) должна выполняться постепенно в процессе разработки нового изделия;

d) должна быть завершена перед запуском в производство.

Пример - Программа для оценки функциональной безопасности приведена в приложении D.

6.4.12.4 В соответствии с 5.4.2.7 и 5.4.4 для выполнения оценки функциональной безопасности должно быть назначено одно или несколько лиц. Назначенные лица должны предоставить отчет, содержащий заключение о достижении функциональной безопасности.

6.4.12.5 Лицам, ответственным за выполнение оценки функциональной безопасности, должны быть предоставлены полномочия на выполнение оценки функциональной безопасности с правом действовать по своему усмотрению, включая рассмотрение:

a) широты и глубины, с которыми оцениваются действия по безопасности и их результаты, находящиеся в области применения оценки функциональной безопасности в соответствии с 6.4.12.7;

b) информации, которая будет доступна в соответствии с 6.4.9.3;

c) признанной необходимой поддержки для выполнения оценки функциональной безопасности в соответствии с 6.4.9.2, такой как доступ к лицам, ответственным за соответствующий результат работы.

6.4.12.6 Для выполнения оценки функциональной безопасности в соответствии с 6.4.9.2 и 5.4.4 эксперт по функциональной безопасности может назначить одного или несколько помощников. Такие лица могут оказаться недостаточно независимыми от разработчиков соответствующего устройства, элементов или результатов работы, но их независимость должна быть по меньшей мере соответствовать I1, как определено в таблице 1, а эксперт должен предоставить обоснование их привлечения, чтобы гарантировать беспристрастность результирующего мнения.

Примечание - Эксперт по функциональной безопасности остается ответственным за результаты оценки функциональной безопасности.

6.4.12.7 Область применения оценки функциональной безопасности должна включать:

a) план обеспечения безопасности и результаты работы, которые будут получены в соответствии с этим планом.

Примечания

1 Эксперт по функциональный безопасности может установить уровень детализации, с которым рассматривается конкретный результат работы. Однако результаты работы, которые требуются планом обеспечения безопасности и перечислены в таблице 1, заслуживают особого внимания.

2 Эксперт по функциональной безопасности рассматривает, адекватно ли реализовано управление требованиями (см. раздел 6 ИСО 26262-8), включая прямую и обратную прослеживаемость.

3 Экспертиза соответствующих результатов работы включает подтверждение достижения цели ИСО 26262 (см. 6.4.12.2);

b) процессы, необходимые для обеспечения функциональной безопасности.

Примечание - Оценка выполняемых процессов может быть основана на результатах аудита функциональной безопасности и, если таковые имеются, необходимых корректирующих действиях;

c) рассмотрение целесообразности и эффективности выполненных или реализованных мер безопасности, которые могут быть оценены в ходе разработки устройства или элемента.

Примечание - Оценка функциональной безопасности проверяет пригодность требований, связанных с производством, эксплуатацией, обслуживанием и выводом из эксплуатации. Для производства корректное применение таких требований проверяется во время анализа возможностей производственного процесса (см. 5.4.2.2 ИСО 26262-7 и 6.4.1.3 ИСО 26262-7);

d) доказательства, при наличии того, почему достигается функциональная безопасность при достижении соответствующих целей комплекса стандартов ИСО 26262.

Примечания

1 Лица, ответственные за создание результатов работы, могут обеспечить доказательство того, почему соответствующие цели комплекса стандартов ИСО 26262 достигнуты, чтобы содействовать оценке функциональный безопасности, учитывая 6.4.12.2.

2 Выполнение всех соответствующих требований ИСО 26262 является достаточным обоснованием того, что цели ИСО 26262 достигнуты;

e) доказательство, приведенное в обосновании безопасности;

f) обоснование для устранения нарушения безопасности в соответствии с 5.4.3.

Примечание - В случае распределенной разработки действия по оценке функциональной безопасности выполняются заказчиком и его поставщиками (см. раздел 5 ИСО 26262-8). Оценка функциональной безопасности поставщика обосновывает, выполнены ли требования безопасности у поставщика и вклад в достижение функциональной безопасности разрабатываемыми элементами или результатами работы. Поставщик предоставляет отчеты об оценке функциональной безопасности заказчику для основных этапов в форме, определенной в соглашении о разработке (см. 5.4.5 ИСО 26262-8). Оценка функциональной безопасности у заказчика выполняется рассмотрением его отчетов об оценке безопасности (см. 6.4.12.8). Наконец, если заказчик является производителем транспортных средств, то оценка функциональной безопасности включает доказательство о достигнутой функциональной безопасности устройства, интегрированного в целевое транспортное средство.

6.4.12.8 Оценка функциональной безопасности должна рассматривать:

a) планирование других мер подтверждения [см. 6.4.6.5, перечисление f)];

b) результаты оценок подтверждения и аудита функциональной безопасности;

c) рекомендации, полученные в результате предыдущих оценок функциональной безопасности и выполненных корректирующих действий, если необходимо (см. 6.4.12.9, 6.4.12.13 и 8.4.5.2 ИСО 26262-8);

d) результаты действий по оценке функциональной безопасности для элементов или результатов работы, разрабатываемых поставщиками, на основе соглашения о разработке в соответствии с требованиями раздела 5 ИСО 26262-8, при необходимости.

6.4.12.9 Отчет об оценке функциональной безопасности должен включать в себя рекомендации по принятию, условному принятию или отказу в достижении функциональной безопасности устройством или вкладу в функциональную безопасность устройства разрабатываемых элементов или результатов работы.

6.4.12.10 Отчет об оценке функциональной безопасности в соответствии с 6.4.12.9 может включать в себя рекомендацию по условному принятию в том случае, если достигается функциональная безопасность устройства или достигается необходимый вклад в функциональную безопасность разрабатываемыми элементами или результатами работы, а также требование по обязательному выполнению определенных условий для принятия.

Примечание - В случае распределенной разработки (см. раздел 5 ИСО 26262-8) отчет об оценке функциональной безопасности поставщика включает в себя такую рекомендацию для принятия, условного принятия или отказа для разрабатываемых элементов или результатов работы.

6.4.12.11 В случае рекомендации для условного принятия в соответствии с 6.4.12.10 отчет об оценке функциональной безопасности должен включать в себя условия для принятия.

6.4.12.12 Если рекомендацией, содержащейся в отчете об оценке функциональной безопасности согласно 6.4.12.10, является условное принятие достигнутой функциональной безопасности, то должны быть выполнены корректирующие действия, необходимые для решения проблем, связанных с условиями для принятия, которые были документально оформлены в отчете об оценке функциональной безопасности.

6.4.12.13 Если рекомендацией, содержащейся в отчете об оценке функциональной безопасности в соответствии с 6.4.12.9, является отказ в достижении функциональной безопасности, то:

a) должны быть выполнены адекватные корректирующие действия и

b) оценка функциональной безопасности должна быть выполнена повторно.

6.4.13 Запуск в производство

6.4.13.1 Обоснование безопасности в соответствии с 6.4.8 должно быть выполнено до запуска в производство.

6.4.13.2 Необходимые отчеты о мерах подтверждения в соответствии с 6.4.9-6.4.12 должны быть доступны до запуска в производство.

6.4.13.3 Запуск в производство устройства или элементов должен быть одобрен только при наличии подтвержденной уверенности в достижении функциональной безопасности.

Примечание - Подтверждение уверенности в достижении функциональной безопасности может быть представлено:

- результатами мер подтверждения, в частности рекомендацией, включенной в отчет об оценке функциональный безопасности, при наличии оснований в соответствии с 6.4.12.9; и

- обоснованием безопасности.

6.4.13.4 Документация по функциональной безопасности для запуска в производство должна включать следующую информацию:

a) имя и подпись лица, ответственного за запуск;

b) версии запускаемого устройства или элементов;

c) конфигурация запускаемого устройства или элементов;

d) дата запуска.

6.4.13.5 При запуске в производство должны быть разработаны и документально оформлены базовая версия встроенного программного обеспечения, включая данные о калибровке, и базовая конфигурация аппаратных средств в соответствии с требованиями раздела 10 ИСО 26262-8.

6.5 Результаты работы

6.5.1 Анализ влияния на уровне устройства

Результат 6.4.3.

6.5.2 Анализ влияния на уровне элемента, если необходимо

Результат 6.4.4.

6.5.3 План обеспечения безопасности

Результат 6.4.5-6.4.13.

6.5.4 Обоснование безопасности

Результат 6.4.8.

6.5.5 Отчеты о мерах подтверждения

Результат 6.4.9-6.4.12.

6.5.6 Отчет о запуске в производство

Результат 6.4.13.

7 Менеджмент функциональной безопасности на стадиях производства, эксплуатации, обслуживания и вывода из эксплуатации

7.1 Цель

Целью настоящего раздела является определение ответственности организаций и лиц, отвечающих за достижение и поддержку функциональной безопасности на стадиях производства, эксплуатации, обслуживания и вывода из эксплуатации.

7.2 Общие положения

См. 5.2.

7.3 Входная информация

7.3.1 Предварительные требования

Должна быть доступна следующая информация:

- определенные для организации правила и процессы для реализации функциональной безопасности в соответствии с 5.5.1;

- подтверждение управления компетентностью в соответствии с 5.5.2;

- подтверждение системы менеджмента качества в соответствии с требованиями 5.5.3;

- отчет о запуске в производство в соответствии с 6.5.6.

7.3.2 Дополнительная информация

Не задается.

7.4 Требования и рекомендации

7.4.1 Общие положения

Требования 7.4.2 применяются к организациям, участвующим в производстве, эксплуатации, обслуживании и выводе из эксплуатации устройств или элементов устройств.

7.4.2 Обязанности, планирование и необходимые процессы

7.4.2.1 Организация должна назначить лиц, возлагая на них обязанности и предоставляя им соответствующие полномочия в соответствии с требованиями 5.4.2.8, для достижения и поддержки функциональной безопасности устройства в процессе его производства, эксплуатации, обслуживания и вывода из эксплуатации.

7.4.2.2 Мероприятия по обеспечению функциональной безопасности устройства и его элементов на стадиях производства, эксплуатации, обслуживания и вывода из эксплуатации необходимо:

a) запланировать в соответствии с требованиями раздела 5 ИСО 26262-7;

b) инициировать во время разработки изделия на уровне системы в соответствии с ИСО 26262-4;

c) выполнить в соответствии с требованиями разделов 6 и 7 ИСО 26262-7.

7.4.2.3 Организация должна устанавливать, выполнять и поддерживать соответствующие процессы в целях достижения и поддержки функциональной безопасности устройства на стадиях его производства, эксплуатации, обслуживания и вывода из эксплуатации.

Примечание - Эти процессы включают процесс полевого мониторинга функциональной безопасности устройства. См. ИСО 26262-7.

7.4.2.4 Если в устройстве произошли изменения во время производства, эксплуатации, обслуживания и вывода из эксплуатации, то в соответствии с 6.4.13 его запуск в производство должен быть соответственно обновлен.

Примечание - Эти изменения выполняются процедурой управления изменениями (см. раздел 8 ИСО 26262-8).

7.5 Результаты работы

7.5.1 Подтверждение менеджмента функциональной безопасности на стадиях производства, эксплуатации, обслуживания и вывода из эксплуатации

Результат 7.4.2.

Приложение А
(справочное)

Обзор и последовательность выполняемых работ для обеспечения менеджмента функциональной безопасности

Таблица А.1 содержит обзор целей, предварительных требований и результатов работы конкретных стадий менеджмента функциональной безопасности.

Таблица А.1 - Менеджмент функциональной безопасности: обзор

Раздел

Цели

Предварительные требования

Результаты работы

5 Менеджмент функциональной безопасности в целом

Назначение настоящего раздела состоит в том, чтобы гарантировать, что организации, участвующие в реализации жизненного цикла системы безопасности, т.е. те, которые несут ответственность за жизненный цикл системы безопасности или выполняют мероприятия по обеспечению безопасности на различных стадиях жизненного цикла системы безопасности, достигают следующих целей:

a) установить и поддерживать культуру безопасности, которая обеспечивает и содействует эффективному достижению функциональной безопасности и способствует эффективному взаимодействию с другими дисциплинами, связанными с функциональной безопасностью;

b) установить и поддерживать соответствующие определенные для организации правила и процессы для реализации функциональной безопасности;

Не задаются

5.5.1 Специальные для организации правила и процедуры для обеспечения функциональной безопасности.

5.5.2 Подтверждение управлением компетентностью

5.5.3 Подтверждение реализации системы менеджмента качества.

5.5.4 Отчеты о выявленных нарушениях безопасности

c) установить и поддерживать процессы, гарантирующие адекватное разрешение выявленных нарушений безопасности;

d) установить и поддерживать систему управления компетентностью, чтобы гарантировать соответствие компетентности участвующих лиц их обязанностям;

e) установить и поддерживать систему менеджмента качества для обеспечения функциональной безопасности.

Результаты настоящего раздела служат в качестве предварительных требований ИСО 26262 к действиям, выполняемым на стадиях жизненного цикла системы безопасности

6 Менеджмент функциональной безопасности, зависимый от проекта

Назначение настоящего раздела состоит в том, чтобы гарантировать, что организации, выполняющие стадию разработки концепции системы безопасности или стадии разработки системы безопасности на уровнях системы, аппаратных средств или программного обеспечения, достигают следующих целей:

a) определить и назначить роли и ответственности, связанные с действиями по обеспечению безопасности;

b) выполнить анализ влияния на уровне устройства, чтобы определить, является ли это устройство новым, модификацией существующего устройства или существующим устройством в измененной внешней среде; и при наличии одной или

Специальные для организации правила и процедуры для соответствия требованиям функциональной безопасности (см. 5.5.1).

Подтверждение управлением компетентностью (см. 5.5.2).

Подтверждение реализации системы менеджмента качества (см. 5.5.3)

6.5.1 Анализ влияния на уровне устройства.

6.5.2 Анализ влияния на уровне элемента, если необходимо.

6.5.3 План обеспечения безопасности. 6.5.3 Обоснование безопасности.

6.5.5 Отчеты о мерах подтверждения.

нескольких модификаций проанализировать их влияние на функциональную безопасность;

c) выполнить анализ влияния на уровне элемента в случае, если существующий элемент повторно используется, чтобы оценить, в состоянии ли повторно используемый элемент выполнить требования безопасности, распределенные этому элементу, учитывая эксплуатационный контекст, в котором этот элемент повторно используется;

d) определить действия по корректировке системы безопасности, обеспечить соответствующие обоснования таких действий и выполнить анализ полученного обоснования;

e) запланировать действия по обеспечению безопасности;

f) скоординировать и отследить выполнение действий по обеспечению безопасности в соответствии с планом обеспечения безопасности;

g) запланировать распределенную разработку (см. раздел 5 ИСО 26262-8);

6.5.6 Отчет о запуске в производство

h) гарантировать установленную последовательность выполнения действий по обеспечению безопасности на всем жизненном цикле системы безопасности;

i) разработать декларацию безопасности производственного объекта для формирования доводов в пользу достижения функциональной безопасности;

j) оценить, достигает ли устройство требуемый уровень функциональной безопасности (т.е. выполнить оценку функциональной безопасности), или оценить вклад в достижение функциональной безопасности элемента (т.е. выполнить оценку функциональной безопасности действий, выполненных поставщиком) или результат работы (например, оценки подтверждения);

k) по окончании разработки - принять решение о запуске устройства или элемента(ов) в производство на основе подтверждения, которое обеспечивает доверие достигнутой функциональной безопасности

7 Менеджмент функциональной безопасности на стадиях производства, эксплуатации, обслуживания и вывода из эксплуатации

Целью настоящего раздела является определение ответственности организаций и лиц, отвечающих за достижение и поддержку функциональной безопасности на стадиях производства, эксплуатации, обслуживания и вывода из эксплуатации

Определенные для организации правила и процессы для реализации функциональной безопасности (см. 5.5.1).

Подтверждение управления компетентностью (см. 5.5.2).

Подтверждение системы менеджмента качества (см. 5.5.3).

Отчет о запуске в производство (см. 6.5.6)

7.5.1 Подтверждение менеджмента функциональной безопасности на стадиях производства, эксплуатации, обслуживания и вывода из эксплуатации

Приложение В
(справочное)

Культура безопасности

Культура безопасности включает:

a) личную преданность и добросовестность лиц, ответственных за достижение или поддержку функциональной безопасности, а также лиц, выполняющих или поддерживающих действия по обеспечению безопасности в организации;

b) психологию безопасности во всей организации, обеспечивающую критическое отношение, предотвращающее самоуверенность, и стремление к передовому опыту, способствующую возложению на себя ответственности и реализующую корпоративное саморегулирование в вопросах безопасности.

Примечание - См. серию изданий по безопасности N 75-INSAG-4, Международное агентство по атомной энергии, Вена, 1991.

Таблица В.1 - Примеры оценки культуры безопасности

Примеры, свидетельствующие о низкой культуре безопасности

Примеры, свидетельствующие о высокой культуре безопасности

Ответственность не прослеживается

Процесс гарантирует, что ответственность за решения, связанные с функциональной безопасностью, прослеживается

Стоимость и график работ всегда имеют преимущество перед безопасностью и качеством

Безопасность является главным приоритетом

Система вознаграждения отдает предпочтение снижению себестоимости и соблюдению графика работ, а не безопасности и качеству

Системы вознаграждения поддерживают и мотивируют эффективное достижение функциональной безопасности.

Системы вознаграждения наказывают тех, кто игнорирует вопросы, которые ставят под угрозу безопасность или качество

Персонал, выполняющий оценку безопасности, качества и управление этими процессами, находится под чрезмерным влиянием лица, ответственного за выполнение процессов

Процесс обеспечивает адекватную систему сдержек и противовесов, например соответствующий уровень независимости во внутренних процессах (безопасности, качества, валидации, верификации и управления конфигурацией)

Пассивное отношение к безопасности, например:

- высокая зависимость от тестирования в конце цикла разработки изделия;

- менеджмент реагирует только тогда, когда есть проблема при эксплуатации

Активное отношение к безопасности, например проблемы безопасности и качества выявляются и исправляются на самой ранней стадии жизненного цикла изделия

Необходимые ресурсы не планируются или не выделяются своевременно

Необходимые ресурсы распределяются. Квалификация персонала соответствует порученной деятельности

"Групповое мышление".

"Подтасовывание карт" при формировании групп для оценки.

Несогласные подвергаются остракизму или помечаются как "некомандный игрок".

Инакомыслие негативно отражается на оценках работы. Лицо из "инакомыслящего меньшинства" отмечается или рассматривается как "нарушитель спокойствия", "некомандный игрок" или "осведомитель". Неравнодушные сотрудники опасаются последствий

Поощряется разнообразие точек зрения:

- интеллектуальное разнообразие ищут, ценят и включают во все процессы;

- поведение, мешающее использованию разнообразия, не приветствуется и наказывается. Существуют каналы поддержки коммуникации и принятия решений, и менеджмент поощряет их использование:

- рекомендуется свободное общение;

- обнародование полученных кем-либо результатов поощряется;

- процесс получения результатов и решения проблем продолжается при эксплуатации

Не систематизированы процессы непрерывного совершенствования, учебные циклы или другие формы "извлечения уроков"

Непрерывное совершенствование является неотъемлемой частью всех процессов

Процессы "для данного случая" или неявные

Определенные, прослеживаемые и управляемые процессы выполняются на всех уровнях, включая процессы:

- управления;

- технические;

- разработки интерфейсов;

- верификации;

- валидации безопасности;

- аудита функциональной безопасности;

- оценки функциональной безопасности

Приложение С
(справочное)

Руководство по мерам подтверждения

С.1 Общие положения

Настоящее приложение включает руководство по мерам подтверждения, которые могут использоваться в качестве основы для оценки ожидаемого вклада в функциональную безопасность соответствующих результатов работы.

C.2 Оценка подтверждения анализа влияния на уровне устройства (см. 6.5.1)

Цель состоит в том, чтобы оценить, определяет ли анализ влияния правильно и полностью модификации и оценивает ли их воздействие на функциональную безопасность.

C.3 Оценка подтверждения анализа опасностей и оценки риска (см. раздел 6 ИСО 26262-3)

C.3.1 Цель состоит в том, чтобы оценить, убедительны ли и поддержаны ли обоснованиями результаты анализа опасностей и оценки риска и используемые методы, а также оценить, охватывают ли цели безопасности все выявленные опасные события, которые классифицированы с AУПБ. Это доказательство может быть основано на выполнении C.3.2-C.3.7.

C.3.2 Оценка анализа ситуации, чтобы гарантировать, что выбор эксплуатационных ситуаций отвечает требованиям и соответствует ИСО 26262-3, 6.4.2.7.

C.3.3 Оценка идентификации опасностей, чтобы гарантировать, что выявленные опасные события отвечают требованиям и соответствуют ИСО 26262-3, 6.4.2.

C.3.4 Оценка обоснований определяемых параметров E, C, S (включая E0, C0 и S0 и тех, которые приводят к QM), чтобы гарантировать, что обоснования надежны.

C.3.5 Оценка того, подтверждены ли документально допущения, сделанные при анализе опасностей и оценке риска (например, рассмотрение надлежащего использования, контекста транспортного средства и внешних мер), чтобы гарантировать, что пропущенные или некорректные допущения отсутствуют.

Примечание - Документально оформленные допущения упрощают валидацию безопасности.

C.3.6 Оценка согласованности сопоставимых опасных событий среди устройств, включая значения УПБТС, независимо от неисправности, чтобы гарантировать согласованную оценку риска для всех устройств в организации.

C.3.7 Оценка того, предотвращает ли набор целей безопасности неоправданный риск для всех выявленных опасных событий.

C.4 Оценка подтверждения плана обеспечения безопасности (см. 6.5.3)

C.4.1 Цель заключается в том, чтобы оценить, являются ли мероприятия по обеспечению безопасности четко определенными, достаточными и адекватными для достижения функциональной безопасности. Это доказательство может быть основано на выполнении C.4.2-C.4.5.

C.4.2 Оценка соответствия планирования обеспечения безопасности с результатами анализа влияния.

C.4.3 Оценка соответствия плана обеспечения безопасности с планом проекта и планом распределения ресурсов, гарантирующая, что в проект включены необходимые действия по обеспечению безопасности.

C.4.4 Если необходимо, оценка применяемой корректировки (т.е. исключение или выполнение действий по обеспечению безопасности другим способом по сравнению с жизненным циклом системы безопасности, рассматриваемом в настоящем стандарте), включая соответствующие обоснования (см. 6.4.5), чтобы гарантировать, что необходимые действия по обеспечению безопасности включены в проект правильно.

Если корректировка была применена на основе подтверждения проверкой в эксплуатации (см. раздел 14 ИСО 26262-8), то выполняются:

a) оценка того, подтверждают ли результаты анализа проверок в эксплуатации заявленные возможности проверенных в эксплуатации кандидатов при рассмотрении любых связанных с корректировкой действий по обеспечению безопасности, чтобы гарантировать правильность подтверждения проверкой в эксплуатации;

b) оценка эффективности процесса полевого мониторинга (см. ИСО 26262-7), чтобы гарантировать уверенность в передаваемых данных;

c) оценка изменений, подтвержденных проверкой в эксплуатации кандидатов, чтобы гарантировать, что эти изменения не влияют на способность кандидата достигнуть функциональную безопасность.

C.4.5 В случае распределенной разработки оценка распределения ответственности, действий по обеспечению безопасности и результатов определяется в соглашении о разработке (см. раздел 5 ИСО 26262-8), чтобы гарантировать, что необходимые действия по обеспечению безопасности включены в проект корректно.

C.5 Оценка подтверждения концепции функциональной безопасности

(см. раздел 7 ГОСТ Р ИСО 26262-3)

C.5.1 Цель заключается в том, чтобы оценить, представляет ли концепция функциональной безопасности достаточные свидетельства и убедительное подтверждение того, что требования функциональной безопасности обеспечивают выполнение целей безопасности, учитывая предварительную архитектуру. Это доказательство может быть основано на выполнении C.5.2-C.5.9.

C.5.2 Оценка выполнимости концепции функциональной безопасности, чтобы гарантировать, что концепция функциональная безопасности обоснована и может быть реализована.

C.5.3 Оценка того, учитывает ли концепция функциональной безопасности рассмотрение результатов анализа безопасности (см. раздел 8 ИСО 26262-9) и анализа зависимых отказов (см. раздел 7 ИСО 26262-9), полученных с элементами предварительной архитектуры, чтобы гарантировать уверенность в эффективности и полноте требований функциональной безопасности.

C.5.4 Оценка того, должным ли образом указанные механизмы безопасности учитывают неисправности с учетом элементов предварительной архитектуры для обеспечения того, чтобы механизмы безопасности в достаточной степени охватывали неисправности.

C.5.5 Оценка того, адекватно ли реагируют заданные механизмы безопасности на сбои, чтобы гарантировать соответствующее ослабление влияния отказов.

C.5.6 Оценка стратегии предупреждения и постепенного снижения эффективности, чтобы инициировать соответствующее вмешательство человека, чтобы гарантировать его вовлечение и управляемость транспортного средства в режимах ограниченной эффективности.

C.5.7 Оценка обоснованности декомпозиций применяемых значений УПБТС, чтобы гарантировать:

- корректность и резервирование декомпозируемых требований функциональной безопасности;

- реализуемость необходимой независимости;

- соответствие полученных значений УПБТС требованиям раздела 5 ИСО 26262-9.

C.5.8 Оценка того, подтверждены ли документально допущения, сделанные в концепции функциональной безопасности (например, рассмотрение контекста транспортного средства), чтобы гарантировать, что пропущенные, неявно определенные или некорректные допущения отсутствуют.

Примечание - Документально оформленные допущения упрощают валидацию безопасности.

C.5.9 Оценка полноты распределения требований функциональной безопасности предполагаемым элементам предварительной архитектуры, включая элементы, основанные на других технологиях, или внешним мерам, чтобы гарантировать, что не пропущено ни одно требование функциональной безопасности.

C.6 Оценка подтверждения концепции технической безопасности (см. раздел 6 ИСО 26262-4)

C.6.1 Цель заключается в том, чтобы оценить, представляет ли концепция технической безопасности достаточные свидетельства и убедительное подтверждение того, что требования технической безопасности обеспечивают выполнение требований функциональной безопасности, учитывая элементы проекта системы. Это доказательство может быть основано на выполнении C.6.2-C.6.9.

C.6.2 Оценка выполнимости концепции технической безопасности, чтобы гарантировать, что концепция технической безопасности может быть реализована в проекте системы.

C.6.3 Оценка того, учитывает ли концепция технической безопасности рассмотрение результатов анализа безопасности (см. раздел 8 ИСО 26262-9) и анализа зависимых отказов (см. раздел 7 ИСО 26262-9), полученных с элементами проекта системы, чтобы гарантировать уверенность в эффективности и полноте требований технической безопасности.

C.6.4 Оценка того, должным ли образом рассматривают заданные механизмы безопасности функционирование элементов предварительной архитектуры в случае их сбоя, чтобы гарантировать, что механизмы безопасности в достаточной мере охватывают сбои.

C.6.5 Оценка того, адекватно ли реагируют заданные механизмы безопасности на сбои, чтобы гарантировать соответствующее ослабление последствий отказов.

C.6.6 Оценка того, согласуется ли реализация стратегии предупреждения и постепенного снижения эффективности с концепцией функциональной безопасности.

C.6.7 Оценка обоснованности декомпозиций применяемых значений УПБТС, чтобы гарантировать:

- корректность и резервирование декомпозируемых требований технической безопасности;

- реализуемость необходимой независимости;

- соответствие полученных значений УПБТС требованиям раздела 5 ИСО 26262-9.

C.6.8 Оценка того, подтверждены ли документально допущения, сделанные в концепции технической безопасности (например, рассмотрение контекста транспортного средства), чтобы гарантировать отсутствие пропущенных, неявно определенных или некорректных допущений.

Примечание - Документально оформленные допущения упрощают валидацию безопасности.

C.6.9 Оценка полноты распределения требований технической безопасности элементам проекта системы, чтобы гарантировать, что не пропущено ни одно требование технической безопасности.

C.7 Оценка подтверждения стратегии интеграции и испытания (см. раздел 7 ИСО 26262-4)

C.7.1 Цель заключается в том, чтобы оценить, в состоянии ли действия по интеграции и испытанию, методы и технологии, описанные в стратегии интеграции и испытаний, представить достаточные свидетельства о том, что устройство или элементы отвечают требованиям проекта системы и соответствующим требованиям безопасности. Оценка может быть основана на выполнении C.7.2-C.7.4.

C.7.2 Оценка стратегии интеграции и испытаний, рассматривающая контекст разрабатываемого проекта, прикладные специфические особенности, предметные области изделия, а также распределенные разработки и обязанности, гарантирует убедительный план для вопросов верификации, имеющих отношение к безопасности.

C.7.3 Оценка стратегии интеграции и испытаний, рассматривающая прикладные методы и существующий опыт, гарантирует обоснованный выбор методов верификации.

C.7.4 Если применимо, дается оценка обоснований, доказывающих, почему определенные методы и технологии верификации достаточны для достижения соответствующих целей или требований комплекса стандартов ИСО 26262.

C.8 Оценка подтверждения спецификации валидации безопасности с учетом описания валидации безопасности внешней среды (см. раздел 8 ИСО 26262-4)

C.8.1 Цель заключается в том, чтобы оценить, в состоянии ли действия, описанные в спецификации валидации безопасности, представить достаточные свидетельства и убедительное доказательство, что цели безопасности и концепция функциональной безопасности соответственны, правильны, полны и полностью достигаются на уровне транспортного средства. Доказательство может быть основано на выполнении C.8.2-C.8.4.

C.8.2 Оценка способности определенных действий по валидации безопасности проверить достоверность сделанных при анализе опасностей и оценке риска допущений в концепции функциональной безопасности, а также при разработке системы, аппаратных средств и программного обеспечения.

C.8.3 Оценка способности определенных действий по валидации безопасности представить подтверждение соответствующего ослабления последствий отказа, с учетом эффективности осуществленных мер по обеспечению безопасности, соответствующих внешних мер и соответствующих элементов, основанных на других технологиях.

C.8.4 Оценка способности определенных действий по валидации безопасности представить подтверждение ожидаемого предотвращения вреда водителем или другими лицами, возможно, находящимися в опасности (т.е. управляемость).

C.9 Оценка подтверждения анализа безопасности и анализа зависимых отказов

(см. разделы 7 и 8 ИСО 26262-9)

Цель заключается в том, чтобы оценить, правильно ли выполнены анализ безопасности и анализ зависимых отказов, чтобы гарантировать, что для соответствующих выявленных сбоев были подготовлены достаточные меры по обеспечению безопасности.

C.10 Оценка подтверждения обоснования безопасности (см. 6.5.4)

C.10.1 Цель заключается в том, чтобы оценить, убедительна ли аргументация, представленная в обосновании безопасности. Это доказательство может быть основано на выполнении C.10.2-C.10.4.

C.10.2 Оценка того, достоверна ли аргументация, представленная в обосновании безопасности, и достаточна ли она, чтобы доказать, что функциональная безопасность достигнута.

C.10.3 Подтверждение того, что результаты работы, указанные в обосновании безопасности, доступны и настолько полны, что достижение функциональной безопасности может быть соответствующим образом доказано.

C.10.4 Подтверждение того, что результаты работы, на которые дается ссылка в обосновании безопасности:

- обеспечивают прослеживаемость друг к другу;

- не имеют никаких противоречий внутри или между результатами работы;

- либо не имеют нерешенных вопросов, которые могут привести к нарушению цели безопасности, либо имеют только такие нерешенные вопросы, которые находятся под контролем, и существует план для их решения.

C.11 Аудит функциональной безопасности (см. 6.4.11)

Цель заключается в том, чтобы оценить, достигает ли реализация процессов, требуемых для функциональной безопасности, с учетом определения действий, на которые имеется ссылка или которые указаны в плане обеспечения безопасности, связанных с процессом целей, представленных в комплексе стандартов ИСО 26262.

C.12 Оценка функциональной безопасности (см. 6.4.12)

C.12.1 Цель заключается в том, чтобы оценить, достигнута ли функциональная безопасность устройства или достигнут ли ожидаемый вклад в функциональную безопасность разрабатываемых элементов, и предоставлять рекомендацию для принятия, условного принятия или отклонения достигнутой функциональной безопасности. Это доказательство может быть основано на выполнении C.12.2-C.12.8.

C.12.2 Оценка плана обеспечения безопасности и всех результатов работы, задаваемых планом обеспечения безопасности, на соответствие целям комплекса стандартов ИСО 26262, учитывая соответствующие требования этих стандартов, чтобы оценить, представляют ли результаты работы достаточные свидетельства и убедительное доказательство их вклада в достижение функциональной безопасности. Для результатов работы, для которых требуется оценка подтверждения (см. таблицу 1), рассматривают результаты оценок подтверждения.

C.12.3 Оценка реализации процессов, обеспечивающих функциональную безопасность, рассматривая результаты выполненного аудита (аудитов) функциональной безопасности (см. 6.4.11), чтобы оценить, достигнуты ли связанные с процессом аспекты целей комплекса стандартов ИСО 26262.

C.12.4 Оценка реализации мер по обеспечению безопасности, которые могут быть проанализированы в ходе разработки устройства, чтобы оценить целесообразность и эффективность этих мер.

C.12.5 Если представлены доказательства относительно того, почему достигается функциональная безопасность при рассмотрении достижения целей комплекса стандартов ИСО 26262, то обоснованное решение о том, являются ли эти доказательства весомыми при рассмотрении соответствующих требований этих стандартов.

C.12.6 Оценка доказательства, представленного в обосновании безопасности, для оценки его убедительности при рассмотрении оценки подтверждения обоснования безопасности.

С.12.7 Оценка обоснования по устранению нарушения безопасности в соответствии с 5.4.3 для оценки его убедительности.

C.12.8 Следование рекомендациям, вытекающим из результатов предыдущих оценок функциональной безопасности, включая любые выполненные корректирующие действия, если они применимы (см. 6.4.12.9-6.4.12.13).

Приложение D
(справочное)

Пример программы оценки функциональной безопасности (для устройств, цель системы безопасности которых имеет значение УПБТС, равное D)

D.1 Менеджмент системы функциональной безопасности

D.1.1 Применение в организации культуры безопасности и вспомогательных процессов при оценке проекта.

D.1.2 Применение управления компетенцией и практики непрерывного совершенствования при оценке проекта.

D.1.3 Роли и ответственности при оценке проекта.

D.1.4 План обеспечения безопасности оцениваемого проекта и планирование распределенной разработки.

D.1.5 Корректировка жизненного цикла системы безопасности, в том числе подтверждение проверкой в эксплуатации кандидатов оцениваемого проекта.

D.1.6 Аудиты функциональной безопасности, обоснование безопасности и доступные документы.

D.2 Действия по обеспечению функциональной безопасности на стадии формирования концепции

D.2.1 Разработка определения устройства.

D.2.2 Анализ опасностей и оценка рисков.

D.2.3 Концепция функциональной безопасности.

D.2.4 Зависимости устройства и его концепции безопасности от других систем или функций.

D.2.5 Распределение требований функциональной безопасности между:

- Э/Э элементами;

- элементами, основанными на других технологиях;

- интерфейсами с внешними мерами.

D.2.6 Верификация концепции функциональной безопасности.

D.3 Действия по обеспечению функциональной безопасности на стадии разработки системы

D.3.1 Планирование разработки, интеграции и валидации системы.

D.3.2 Концепция технической безопасности и ее верификация.

D.3.3 Проектирование системы и предотвращение систематических отказов.

D.3.4 Распределение требований технической безопасности элементов аппаратных средств и программного обеспечения и оценка программно-аппаратного интерфейса.

D.3.5 Верификация проекта системы.

D.4 Разработка аппаратных средств

D.4.1 Планирование разработки, квалификации и интеграции аппаратных средств.

D.4.2 Требования к безопасности аппаратных средств, проектирование и верификация аппаратных средств.

D.4.3 Ограничения архитектуры аппаратных средств.

D.4.4 Оценка вероятности недостижения целей безопасности в результате случайных отказов аппаратных средств.

D.4.5 Интеграция и тестирование аппаратных средств.

D.5 Разработка программного обеспечения

D.5.1 Планирование разработки, квалификации и интеграции программного обеспечения.

D.5.2 Требования к безопасности программного обеспечения, проектирование архитектуры программного обеспечения, разработка и реализация модулей программного обеспечения.

D.5.3 Тестирование модулей программного обеспечения.

D.5.4 Тестирование и интеграция программного обеспечения.

D.5.5 Верификация требований к безопасности программного обеспечения.

D.6 Интеграция устройства

D.6.1 Планирование интеграционных тестов.

D.6.2 Интеграция аппаратных средств и программного обеспечения и их тестирование.

D.6.3 Интеграция системы/устройства.

D.6.4 Интеграция в автотранспортное средство и тестирование.

D.7 Валидация системы безопасности

D.7.1 Выполнение действий по валидации системы безопасности.

D.7.2 Формирование документации по валидации системы безопасности.

D.8 Оценка функциональной безопасности поставщика(ов)

D.8.1 Анализ отчетов об оценке функциональной безопасности поставщика(ов).

D.9 Планирование производства и обслуживания

D.9.1 Специальные характеристики, связанные с безопасностью, для стадии производства.

D.9.2 Специальные характеристики, связанные с безопасностью, для стадий эксплуатации, обслуживания и вывода из эксплуатации.

D.10 Результат

Документация по оценке функциональной безопасности, рекомендации и действия, которые должны быть выполнены после оценки функциональной безопасности.

Приложение Е
(справочное)

Руководящие указания о возможном взаимодействии функциональной безопасности с кибербезопасностью

E.1 Цели

Чтобы рассмотреть возможное неблагоприятное воздействие кибербезопасности на достижение функциональной безопасности, настоящее приложение дает представление о возможных взаимодействиях между действиями по функциональной безопасности и кибербезопасности, которые вместе способствуют суммарному достижению безопасности для Э/Э систем.

Цель состоит в том, чтобы раскрыть эту проблему с точки зрения функциональной безопасности, а не дать представление о достижении кибербезопасности. Взаимодействие между процессами разработки функциональной безопасности и кибербезопасности зависит от организации и области применения проекта, поэтому методы реализации или техническое содержание такого взаимодействия не рассматриваются. Разработчики могут определить наиболее подходящий подход для реализации этого взаимодействия.

E.2 Общие положения

В рамках функциональной безопасности рассматриваются систематические и случайные сбои, которые приводят к некорректному функционированию Э/Э систем, однако кибербезопасность решает проблемы, связанные с преднамеренным несанкционированным внешним воздействием на Э/Э систему.

Для достижения функциональной безопасности представляет большой интерес соответствующая информация от кибербезопасности, которая может отрицательно повлиять на функциональную безопасность или может поддержать достижение функциональной безопасности.

Примечание - См. также SAE J3061, ИСО/МЭК 27001 и ИСО/МЭК 15408.

E.3 Возможное взаимодействие между функциональной безопасностью и кибербезопасностью

E.3.1 Менеджмент функциональной безопасности

Взаимодействие менеджмента функциональной безопасности с менеджментом кибербезопасности может включать:

- планы и этапы реализации кибербезопасности, чтобы рассмотреть зависимости, которые могут влиять на планирование действий по обеспечению безопасности, например для разработки программного обеспечения, выбора инструментальных средств, языков программирования и рекомендаций;

- координацию менеджмента действий по контролю в процессе эксплуатации для кибербезопасности и функциональной безопасности, включая отчетность об инцидентах, их отслеживание и принятие решения по ним, чтобы дать возможность передавать информацию о связанных с безопасностью инцидентах в области кибербезопасности системам функциональной безопасности.

E.3.2 Этап разработки концепции

На этапе разработки концепции взаимодействие может включать:

- рассмотрение угроз кибербезопасности в качестве угроз для функциональной безопасности для обеспечения полноты анализа опасностей и оценки рисков, а также достижения целей безопасности;

- функциональная безопасность может предоставить информацию об опасностях и связанных с ними рисках, чтобы идентифицировать угрозы для кибербезопасности;

- стратегии безопасности в киберпространстве или контрмеры, связанные с функционированием Э/Э систем, в случае обнаружения нарушения защиты, чтобы определить возможное влияние на достижение цели безопасности или на концепцию безопасности.

E.3.3 Разработка нового изделия

При разработке нового изделия взаимодействие может включать:

- техническую информацию, связанную с разработкой и реализацией стратегий безопасности в киберпространстве или контрмер для Э/Э систем, чтобы определить возможные влияния на концепцию технической безопасности и проектирование системы;

- информацию о разработке кибербезопасности в части программного обеспечения и аппаратных средств, чтобы определить возможные влияния на достижение требований безопасности программного обеспечения и аппаратных средств, а также на ограничения проекта, такие как независимость;

- предоставленную от разработчиков систем функциональной безопасности информацию, связанную с разработкой и реализацией мер по обеспечению безопасности, чтобы передать ограничения функциональной безопасности, которые могут относиться к кибербезопасности;

- согласование действий по безопасности и кибербезопасности для анализа возможного влияния кибербезопасности на функциональную безопасность. Анализ безопасности может также учесть влияние стратегий кибербезопасности и контрмер;

- контрмеры кибербезопасности, определенные для снижения систематических отказов, чтобы определить их возможное влияние на функциональную безопасность, например на методы, необходимые для разработки мер по обеспечению безопасности, которые также используются и для кибербезопасности.

E.3.4 Производство и эксплуатация

На этапах производства и эксплуатации взаимодействие может включать:

- стратегии разрешения инцидентов при реализации кибербезопасности для рассмотрения их возможного влияния на функциональную безопасность вследствие изменений проекта, являющихся реакцией на инциденты кибербезопасности.

Приложение ДА
(справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам

Таблица ДА

Обозначение ссылочного международного стандарта

Степень соответствия

Обозначение и наименование соответствующего национального стандарта

ISO 26262-1:2018

IDT

ГОСТ Р ИСО 26262-1-2020 "Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения"

ISO 26262-3:2018

IDT

ГОСТ Р ИСО 26262-3-2020 "Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции"

ISO 26262-4:2018

-

*

ISO 26262-5:2018

-

*

ISO 26262-6:2018

-

*

ISO 26262-7:2018

-

*

ISO 26262-8:2018

-

*

ISO 26262-9:2018

-

*

* Соответствующий национальный стандарт отсутствует. До его принятия рекомендуется использовать перевод на русский язык данного международного стандарта. Перевод данного международного стандарта находится в Федеральном информационном фонде стандартов.


Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов:

- IDT - идентичные стандарты.

Библиография

[1]

ISO 26262-10

Guidelines on ISO 26262

[2]

ISO 26262-12

Adaptation of ISO 26262 for motorcycles

[3]

ISO 9001

Quality management systems - Requirements

[4]

IATF 16949

Quality management system requirements for automotive production and relevant service parts organizations

[5]

ISO/IEC 33000 (all parts)

Information technology - Process assessment

[6]

IEC 61508 (all parts)

Functional safety of electrical/electronic/programmable electronic safety-related systems

[7]

ISO/IEC 27001

Information technology - Security techniques - Information security management systems - Requirements

[8]

ISO/IEC 15408 (all parts)

Information technology - Security techniques - Evaluation criteria for IT security

[9]

SAE J3061

Cybersecurity Guidebook for Cyber-Physical vehicle Systems

[10]

No S.S. 75-INSAG-4 International Atomic Energy Agency, Vienna, 1991

[11]

United Kingdom Health and Safety Executive. Managing competence for safety-related systems, 2007

[12]

Automotive SPICE [viewed 2017-10-11]. Доступно на: http://www.automotivespice.com

[13]

CMMI for Development [viewed 2017-10-11]. Доступно на: http://www.cmmiinstitute.com/resources

УДК 62-783:614.8:331.454:006.354

ОКС 43.040.10

Ключевые слова: функциональная безопасность, жизненный цикл систем, транспортные средства, электрические компоненты, электронные компоненты, программируемые электронные компоненты и системы, менеджмент функциональной безопасности, требования к жизненному циклу, оценка функциональной безопасности

Электронный текст документа

и сверен по:

, 2020