allgosts.ru43. ДОРОЖНО-ТРАНСПОРТНАЯ ТЕХНИКА43.040. Системы дорожно-транспортных средств

ГОСТ Р ИСО 26262-5-2014 Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия

Обозначение:
ГОСТ Р ИСО 26262-5-2014
Наименование:
Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия
Статус:
Действует
Дата введения:
10/01/2015
Дата отмены:
-
Заменен на:
-
Код ОКС:
43.040.10

Текст ГОСТ Р ИСО 26262-5-2014 Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия



ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ


ГОСТ Р исо 26262-52014


НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

ДОРОЖНЫЕ ТРАНСПОРТНЫЕ СРЕДСТВА. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ

Часть 5

Разработка аппаратных средств изделия

ISO 26262-5:2011

Road vehicles — Functional safety — Part 5: Product development at the hardware

level

(IDT)

Издание официальное

Москва

Стендартм и форм 2015


Предисловие

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Корпоративные электронные системы» и Федеральным государственным учреждением «Консультационно-внедренческая фирма в области международной стандартизации и сертификации — Фирма «ИНТЕРСТАНДАРТ» на основе собственного аутентичного перевода на русский язык международного документа, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 58 «Функциональная безопасность»

3    УТВЕРЖДЕ Н И В ВЕДЕ Н В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии России от 17 ноября 2014 г. N9 1623-ст

4    Настоящий стандарт идентичен международному стандарту ИСО 26262-5:2011 «Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия» (ISO 26262-5:2011 «Road vehicles — Functional safety — Part 5: Product development at the hardware level»).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0—2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация. уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии по стандартизации в сети Интернет )

© Стандартинформ. 2015

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

и

Содержание

in

Приложение А (справочное) Обзор и поток документов стадии разработки аппаратных средств

Приложение Е (справочное) Пример вычисления метрик архитектуры аппаратных средств: метрики

Введение

Комплекс стандартов ИСО 26262 является адаптацией комплекса стандартов МЭК 61508 и предназначен для применения электрических и/или электронных (Э/Э) систем в дорожно-транспортных средствах.

Это адаптация распространяется на асе виды деятельности в процессе жизненного цикла систем, связанных с безопасностью, включающих электрические, электронные и программные компоненты.

Безопасность является одним из важнейших вопросов в автомобилестроении. Создание новых функциональных возможностей не только в таких системах, как содействие водителю, силовые установки. управление динамикой автомобиля, но и в активных и пассивных системах безопасности тесно связано с деятельностью по проектированию систем безопасности. Разработка и интеграция этих функциональных возможностей повышает необходимость использования процессов разработки систем безопасности и обеспечения доказательств того, что все обоснованные цели системы безопасности выполнены.

С ростом сложности технологий, программного обеспечения и мехатроииых устройств увеличиваются риски, связанные с систематическими отказами и случайными отказами оборудования. Чтобы предотвратить эти риски, комплекс стандартов ИСО 26262 включает соответствующие требования и процессы.

Безопасность системы достигается за счет ряда мер безопасности, которые реализуются с применением различных технологий (например, механических, гидравлических, пневматических, электрических. электронных, программируемых электронных) и применяются на различных уровнях процесса разработки. Несмотря на то. что настоящий стандарт касается функциональной безопасности Э/Э систем. подход, рассматриваемый в настоящем стандарте, может быть использован для разработки связанных с безопасностью систем, основанных на других технологиях. Настоящий стандарт:

a)    обеспечивает жизненный цикл систем безопасности автомобиля (менеджмент, разработку, производство, эксплуатацию, обслуживание, вывод из эксплуатации) и поддерживает адаптацию необходимых действий для выполнения этих стадий жизненного цикла:

b)    обеспечивает разработанный специально для автотранспорта основанный на риске подход для определения уровней полноты безопасности [уровни полноты безопасности автомобиля (УПБА)];

c)    использует значения УПБА при спецификации соответствующихтребований. чтобы предотвратить неоправданный остаточный риск:

d)    устанавливает требования к мерам проверки соответствия и подтверждения, которые обеспечивают достижение достаточного и приемлемого уровня безопасности:

e)    устанавливает требования к взаимодействию с поставщиками.

На функциональную безопасность влияют процессы разработки (в том числе спецификация требований. реализация, внедрение, интеграция, верификация, подтверждение соответствия и управление конфигурацией), процессы производства и обслуживания, а также процессы управления.

Вопросы безопасности тесно связаны с любыми опытно-конструкторскими работами, реализующими функционал и обеспечивающими качество создаваемых изделий, а также с результатами таких работ. Настоящий стандарт рассматривает связанные с безопасностью проблемы, касающиеся опытно-конструкторских раб>от и их результатов.

На рисунке 1 показана общая структура комплекса ИСО 26262. В нем для различных стадий разработки изделия используется эталонная V-модель процесса. На рисунке 1:

-    залитая область в виде символа «V» представляет взаимосвязь между ИСО 26262-3. ИСО 26262-4. ИСО 26262-5. ИСО 26262-6 и ИСО 26262-7;

-    ссылки на конкретную информацию даны в виде: «m-п». где «т» представляет собой номер части настоящего стандарта, а «л* указывает на номер раздела этой части.

Пример — 2-6 ссылается на пункт 6 ИСО 26262-2.

1. Словарь

2. Управление функциональной безопасностью

24 ООцдо усравловме смстомсЙ безопасности

24 Угрэвлсино системой6ехпасности ю стадиях форма роазыся еонцовцум и разработки итдолия

2-7 управление с ист о мое бсхпадостмлосло валуе ка устроестаа а про тисаство


4. Разработка изделия на уровне системы


44 наю/ыои подстадия разработки икеали»ю уровня сметам**

4-11 Запуск в производств©

М0Оц»^1 фун1ц*эив/*иоя бохпадости

44 Спац'фицция такмтгаеоих

требовании к система безопасности

е-9 Падтеврмдеиив со от вя? с тая в

божла снести

4-7 Проект» роде ы*е системы

44 Лттогроцяя и тост прокате» устройства


7. Производство и же плу стация

74 Проюоодство

74 Эксплуатация обсл/жиааяио (•апкта/ънмй к текущий ремонты) и смяты с ассплуетацы


ГОСТ Р ИСО 26262-5—2014


3. Стадия формирования

концепции

34 Определение устройства

134 Формирование жиямиюго ци<яа с иста и» бааоласмост»

13-7 Аиагмз опасностей и оцоио рис на_

34 КСИЦЯПЦЯЯ фуч|цММвЛмО|И

безопасности_

5. Разработка изделия ма уровне аппаратного обеспечения 6. Разработка изделия на уровне программою го обеспечения

64Нг«»лв#мя лсд стадия доработки изваляй на уровиа аппоратмхо обеспечения


64 Кз*»ал&нэя годствдм разработки прогро мытого об вспеивиия «одет—

64 Слоцифятащм требоадмкв *аппарат тмяисреоствам спствиы боэоавсмтстм


S-7 проектфовенив елпаретам средств


64 Опрвдалаиде мвгрив адогактуры ытвропад* средств


64 Оценка KipyuMHt цмы 6а» ляс* иости вследствие сл^ймкх откахо ап парат нм средств


6*7 Гротнгяроваи|» ярчлеггуры программного обеспомоияя 64 Гфоапяроваияо и реаляяцйя модупвй ярокуи много сбвсоочоиня в-в тестирование модула програ мытого обоопон имя йствгрмва и тосттроаанко прстра мытого обаоицвий_


6*10 Интеграция и тестирование алпврсттчкк средств


6*11 Верифякдеи» требований « безопасности программного обеспечения


6. вспомогательные процессы

84 кЫторфойсы ан/трн раелрадолымых разработок

В-Ю Деку манта роа»ма

&4 блоцяфиицяя и ул разлом» тро6оаан*яы« безопасности

Ь-11 Уверенность • использования ииструмонта/ънэго программного обоспоиенмя

8-7 Управлении ноифигурацкей

8-12 Каалифмсдцяя помломэнтое протравам аго обососмвюм

84 Управление изменениями

8*13 Кюлифиюцяя компонентов ап поротных средств

84 воряфикдця»

в-14 Подтаорпияы» проверкой в едсплуатафи

9. Анализ уровня полноты безопасности автомобиля и анализ безопасности автомобиля

94 Дмомпоэ**** троооденмй с распродало >*»м УП6А

9-7 Атогмэ зависимее отюхв

94 Критерия соамвстямости элементов

94 Аю/ыэсиствмм бвхпясмсстя

10. Руководящие указания по ИСО 26262

Рисунок 1 — Общая структура ИСО 26262

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ДОРОЖНЫЕ ТРАНСПОРТНЫЕ СРЕДСТВА. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ

Ч а с т ь 5

Разработка аппаратных средств изделия Road vehicles. Functional safety. Pan S. Product development at the hardware level

Дата введения — 2015—10—01

1 Область применения

Настоящий стандарт применяется к связанным с безопасностью системам, включающим в себя одну или несколько электрических и/или электронных (Э/Э) систем, которые установлены в серийно производимых легковых автомобилях с максимальной массой (брутто) транспортного средства до 3500 кг. Настоящий стандарт не применяется для уникальных Э/Э систем в транспортных средствах специального назначения, таких как транспортные средства, предназначенные для водителей с ограниченными возможностями.

Системы и их компоненты, находящиеся в производстве или на стадии разработки до даты публикации настоящего стандарта, не входят в его область применения. Если разрабатываемые автомобили или их модификации используют системы и их компоненты, выпущенные до публикации настоящего стандарта, то только модификации этих систем должны быть разработаны в соответствии с настоящим стандартом.

Настоящий стандарт рассматривает возможные опасности, вызванные некорректным поведением Э/Э связанных с безопасностью систем, а также некорректным взаимодействием этих систем. Настоящий стандарт не рассматривает опасности, связанные с поражением электрическим током, возгоранием, задымлением, перегревом, излучением, токсичностью, воспламеняемостью, химической активностью, коррозией и подобные опасности, если они непосредственно не вызваны некорректным поведением Э/Э связанных с безопасностью систем.

Настоящий стандарт не рассматривает номинальные рабочие характеристики Э/Э систем, даже если для таких систем существуют стандарты, посвященные их функциональным рабочим характеристикам (например, активные и пассивные системы безопасности, тормозные системы, адаптивный круиз-контроль).

Настоящий стандарт устанавливает требования к разработке изделия на уровне аппаратных средств для автомобильной промышленности, в том числе:

•    требования для инициализации разработки изделия на уровне аппаратных средств.

- спецификацию требований к безопасности аппаратных средств.

•    требования к проектированию аппаратных средств.

•    метрики архитектуры аппаратных средств.

-требования к оценке нарушения цели безопасности из-за случайных отказов аппаратных средств, а также интеграции и тестирования аппаратных средств.

Требования настоящего стандарта для элементов аппаратных средств применимы как к непрограммируемым. так и к программируемым элементам, таким как ASIC. FPGA и PLD. Кроме того, для программируемых электронных элементов, применимы требования ИСО 26262-6. а также разделов 11 и 12 ИСО 26262-6:2011.

Издание официальное

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ИСО 26262-1:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 1. Термины и определения (ISO 26262-2:2011. Road vehicles — Functional safety — Part 1: Vocabulary)

ИСО 26262-2:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 2. Управление функциональной безопасностью (ISO 26262-2:2011. Road vehicles — Functional safety — Part 2: Management of functional safety)

ИСО 26262-3:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции (ISO 26262-3:2011. Road vehicles — Functional safety—Part 3: Concept phase)

ИСО 26262-4:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 4. Разработка изделия на уровне системы (ISO 26262-4:2011. Road vehicles — Functional safety — Part 4: Product development at the system level)

ИСО 26262-6:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 6. Разработка программного обеспечения изделия (ISO 26262-6:2011. Road vehicles — Functional safety — Part 6: Product development at the software level)

ИСО 26262-7:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 7. Производство и эксплуатация (ISO 26262-7:2011. Road vehicles — Functional safety — Part 7: Production and operation)

ИСО 26262-6:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 6. вспомогательные процессы (ISO 26262-6:2011. Road vehicles — Functional safety — Part 8: Supporting processes)

ИСО 26262-9:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 9. Анализ уровня полноты безопасности автомобиля и анализ безопасности автомобиля (ISO 26262-9:2011. Road vehicles — Functional safety —Part 9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses)

3 Термины, определения и сокращения

В настоящем стандарте применены термины, определения и сокращения по ИСО 26262-1.

4 Требования соответствия настоящему стандарту

4.1 Общие требования

Для соответствия настоящему стандарту должно быть выполнено каждое его требование, если для этого требования не выполняется одно из следующих условий:

a)    в соответствии с настоящим стандартом предусмотрена настройка действий по обеспечению безопасности, поэтому данное требование не применяется, или

b)    существует обоснование того, что несоблюдение данного требования допустимо, а также показано соответствие этого обоснования настоящему стандарту.

Информация, обозначенная как «примечание» или «пример», должна использоваться только для понимания или для уточнения соответствующего требования, и не должна толковаться как самостоятельное требование или быть для него полной или исчерпывающей.

Результаты действий по обеспечению безопасности представлены как результаты работы, в пунктах «Предварительные требования» перечисляется информация, которая должна быть доступна как результат работы предыдущей стадии. Так как некоторые требования разделов настоящего стандарта зависят от УПБА или могут быть адаптированы, то некоторые результаты работы в качестве предварительных условий могут не понадобиться.

В пунктах «Дополнительная информация» содержится информация, которую можно учитывать, но которой в некоторых случаях настоящий стандарт не требует, чтобы она была результатом работы предыдущей стадии. Такая информация может быть доступна из внешних источников, от лиц или организаций, которые не несут ответственность за деятельность по обеспечению функциональной безопасности.

4.2    Интерпретация таблиц

8 настоящем стандарте используются нормативные или справочные таблицы в зависимости от их контекста. Перечисленные в таблице различные методы вносят вклад в уровень уверенности в достижении соответствия с рассматриваемым требованием. Каедый метод в таблице включен либо в

a)    последовательный список методов (он обозначен порядковым номером в левой колонке, например. 1,2,3)ипи

b)    альтернативный список методов (он обозначен номером с последующей буквой в левом столбце. например. 2а, 2е.2с).

8 случае последовательного списка должны применяться все методы согласно рекомендациям для соответствующего значения УПБА. Если будут применяться другие методы, отличные от перечисленных. то должно быть дано обоснование, что они удовлетворяют соответствующим требованиям.

8 случае альтернативного списка должна применяться подходящая комбинация методов в соответствии с указанным значением УПБА незаеисимоот того, перечислены в таблице эти комбинации или нет. Если перечисленные методы имеют разные степени рекомендуемости их применения для некоторого значения УПБА. то следует отдать предпочтение методам с более высокой степенью рекомендуемости. Должно быть дано обоснование, что выбранная комбинация методов выполняет соответствующее требование.

Примечание — Обоснование, основанное на методах, перечисленных а таблице, является достаточным. Но это не означает, что существует какое-то предубеждение за ипи против применения методов, не перечисленных в таблице.

Для каждого метода степень рекомендуемости его применения зависит от значения УПБА и классифицируется следующим образом:

•    «» ♦» означает, что метод очень рекомендуется для определенного значения УПБА:

-    означает, что метод рекомендуется для определенного значения УПБА;

•    «О» означает, что метод не имеет рекомендации за или против его применения дляолределенного значения УПБА.

4.3    Требования и рекомендации, зависимые от значения УПБА

Требования ипи рекомендации каждого подраздела должны соблюдаться для значений УПБА А. В. С и О.еспи не указано иное. Эти требования и рекомендации саязаны оозначениями УПБА цели безопасности. Если в соответствии с требованиями раздела 5 ИСО 26262-9 декомпозиция УПБА была выполнена на более ранней стадии разработки, то значения УПБА. полученные в результате декомпозиции, должны соблюдаться.

Если в настоящем стандарте значение УПБА дается в круглых скобках, то соответствующий подпункт должен рассматриваться как рекомендация, а не требование для этого значения УПБА. Это не относится к круглым скобкам в нотации, связанной с декомпозицией УПБА.

5 Начальная подстадия разработки аппаратных средств изделия

5.1    Цель

Цель начальной подстадии разработки аппаратных средств изделия заключается в определении и планировании действий по обеспечению функциональной безопасности для отдельных подстадий разработки аппаратных средств. Включены также необходимые вспомогательные процессы, описанные в ИСО 26262-8.

Эти спланированные действия по обеспечению безопасности конкретных аппаратных средств будут включены в план по обеспечению безопасности (см. пункт 6.4.3 ИСО 26262-2 и подраздел 5.4 ИСО 26262-4).

5.2    Общие положения

Следует спланировать действия и процессы, необходимые для разработки аппаратных средств, удовлетворяющих требованиям безопасности. Рисунок 2 иллюстрирует шаги процесса разработки аппаратных средств изделия, необходимые для выполнения требований настоящего стандарта, а также интеграцию этих шагов в контексте настоящегостаидарта.

з

ИС» 26262^ A^pgflcm Е1П«|Ш>« срадстш iwei и*


Примечание — Не рисунке конкретный раздел каждой части настоящего стандарта указан следующим образом: «m-л». где «т> представляет собой номер части и «л» указывает номер раздела, например. «4-7* представляет раздел 7 ИСО 26262-4.

Рисунок 2 — Эталонная модель стадии разработки аппаратных средств изделия


Для разработки аппаратных средств изделия необходимы следующие действия и процессы:

•    реализация технической концепции обеспечения безопасности аппаратных средств:

•    анализ возможных сбоев аппаратных средств и их последствий; а также

•    координация с разработкой программного обеспечения.

В отлич ие от подстадий разработки программного обеспечения. настоя щий стандарт содержит два раздела, описывающие количественные оценки общей архитектуры аппаратных средств устройства.

В разделе 8 описаны две метрики для оценки эффективности архитектуры аппаратных средств устройства и реализованные механизмы безопасности, обрабатывающие случайными отказами аппаратных средств.

В качестве дополнения к разделу 8 в разделе дописываются два альтернативных варианта оценки с помощью глобального вероятностного подхода и с помощью анализа сечений того, является ли достаточно низким остаточный риск нарушения цели безопасности, для определения влияния каждого выявленного сбоя элемента аппаратных средств, нарушающего цели безопасности.

5.3    входная информация

5.3.1    Предварительные требования

Необходима следующая информация:

•    план проекта (уточненный) в соответствии с пунктом 5.5.1 ИСО 26262-4;

•    план по обеспечению безопасности (уточненный) в соответствии с пунктом 5.5.2 ИСО 26262-4;

•    план интеграции и тестирования устройства (уточненный) в соответствии с пунктом 5.5.3 ИСО 26262-4.

5.3.2    Дополнительная информация

Следующая информация может быть учтена:

- отчет о квалификации (компонентов или частей аппаратных средств).

5.4    Требования и рекомендации

5.4.1 План обеспечения безопасности в соответствии с ИСО 26262-2 должен быть достаточно подробным, включая определение соответствующих методов и мер. относящихся к действиям по разработке аппаратных средств изделия, согласованным с планируемыми действиями в ИСО 26262-6.

5.4.2    Процесс разработки аппаратных средств для устройства, включая методы и инструменты, должен быть согласован со всеми подстадиями разработки аппаратных средств и согласован с подстадиями разработки системы и программного обеспечения так. чтобы требования в реализуемой последовательности подстадий сохраняли свою точность и согласованность в процессе разработки аппаратных средств.

5.4.3    Должна быть выполнена настройка действий жизненного цикла системы безопасности для разработки аппаратных средств изделия в соответствии с требованиями пункта 6.4.5 ИСО 26262-2 на основе эталонной модели стадии, приведенной на рисунке 2.

5.4.4    Должно быть определено повторное использование компонентов аппаратных средств или использование квалифицированных компонентов или частей аппаратных средств, а результаты настройки действий по обеспечению безопасности должны быть документально оформлены.

5.5 Результаты работы

5.5.1    План по обеспечению безопасности (уточненный)

8 результате выполнения требований 5.4.1 —5.4.4.

6 Спецификация требований к аппаратным средствам системы безопасности

6.1    Цели

Первой целью настоящего раздела является формирование спецификации требований к аппаратным средствам системы безопасности. Они выводятся из технической концепции обеспечения безопасности и спецификации проекта системы.

Второй целью является верификация согласованности требований к аппаратным средствам системы безопасности с технической концепцией обеспечения безопасности и спецификацией проекта системы.

Третьей целью настоящего раздела является формирование подробной спецификации программно-аппаратного интерфейса, инициированного в разделе 7 ИСО 26262-4.

6.2    Общие положения

Технические требования к системе безопасности распределяются для аппаратных средств и программного обеспечения. Из требований, которые распределяются и для аппаратных средств, и для программного обеспечения, далее выделяются только требования для аппаратных средств системы безопасности. Затем требования к аппаратным средствам системы безопасности детализируются, с учетом ограничений проекта и влияния этих ограничений проекта на аппаратные средства.

6.3    Входная информация

6.3.1    Предварительные требования

Необходима следующая информация:

-    план по обеспечению безопасности (уточненный) в соответствии с 5.5;

•    техническая концепция обеспечения безопасности в соответствии с пунктом 7.5.1 ИСО 26262-4;

-    спецификация проекта системы в соответствии с пунктом 7.5.2 ИСО 26262-4:

•    спецификация программно-технического интерфейса в соответствии с пунктом 7.5.3 ИСО 26262-4.

6.3.2    Дополнительная информация

Следующая информация может быть учтена:

-    спецификация требований к программному обеспечению системы безопасности (см. лунк т 6.5.1 ИСО 26262-6).

6.4    Требования и рекомендации

6.4.1    Спецификация требований к аппаратным средствам системы безопасности для элементов аппаратных средств устройства должна быть получена из технических требований к системе безопасности. распределенных для аппаратных средств.

6.4.2    Спецификация требований к аппаратным средствам системы безопасности должна включать каждое требование к аппаратным средствам, связанное с безопасностью, в том числе:

Примечание — Требований к аппаратным средствам системы безопасности, описанные а перечислений* а). Ь). с), d)включают атрибуты, необходимыедляобеспечения эффективности вышеупомянутых механизмов безопасности.

a)    требования к аппаратным средствам системы безопасности и соответствующие атрибуты механизмов безопасности для управления внутренними отказами элементов аппаратных средств, включая внутренние механизмы безопасности для охвата кратковременных сбоев, когда показано, что они связаны, например, с используемой технологией.

Пример — Атрибуты могут идентифицировать возможности синхронизации и обнаружения для сторожевого устройстве:

b)    требования к аппаратным средствам системы безопасности и соответствующие атрибуты механизмов безопасности, обеспечивающие для элемента устойчивость к внешним по отношению к этому элементу сбоям.

Пример — Функциональное поведение, требуемое для электронного блоке управления, е случае внешнего отказа, такое о как разрыв цели на входе электронного блока управления:

c)    требования к аппаратным средствам системы безопасности и необходимые атрибуты механизмов безопасности, соответствующие требованиям к безопасности других элементов.

Пример — Диагностика датчиков или ислолнительных механизмов:

d)    требования к аппаратным средствам системы безопасности и соответствующие атрибуты механизмов безопасности, обеспечивающие обнаружение внутренних или внешних отказов и формирование сигналов о них.

Примечание — Требования к аппаратным средствам системы безопасности, описанные а перечислении d). относятся и к механизмам безопасности, предотвращающим скрытые отказы.

Пример — Заданное время реакции на отказ аппаратных средств механизма безопасности соответствует интераалу сбоеустойчиаости:

e)    требования к аппаратным средствам системы безопасности, не специфицирующие механизмы безопасности.

Пример — Такими требованиями могут быть:

-    требования к элементам аппаратных средств для обеспечения достижения целевых значений случайных отказов аппаратных средств, как описано в б.4.3 и 6.4.4:

-    требования о предотвращении конкретного поведения (например, ясигнал на аыходе конкретного датчика не должен быть неустойчивым»):

-    требования, распределенные элементам аппаратных средств, реализующим целевую функционально сть;

-    требования, определяющие прааила проектирования жгутов или разъемов.

6.4.3    Данное требование распространяется на значения УПБА (В). С и D цепи безопасности. Должны учитываться целевые значения, установленные в соответствии с разделом 7 ИСО 26262-4 для метрик. представленных в разделе 8 настоящего стандарта, при выводе значений элементов аппаратных средств устройства.

Примечание — Данная деятельность может включать в себя разделение целевых значений в случае распределенной разработки, как указано в разделе S ИСО 26262-в.

6.4.4    Даннов требование распространяется на значения УПБА (В), С и D цепи безопасности. Должны учитываться целевые значения, установленные в соответствии с разделом 7 ИСО 26262-4, для процедур. представленных в разделе 9 настоящего стандарта, при выводе значений элементов аппаратных средств устройства.

Примечание — Данная деятельность может включать в себя разделение целевых значений в случае распределенной разработки, как указано в разделе S ИСО 26262-8.

6.4.5    Требования к аппаратным средствам системы безопасности должны быть определены в соответствии с разделом 6 ИСО 26262-8.

6.4.6    Должны быть определены критерии оценки для верификации проекта аппаратных средств устройства или элемента, в том числе: условия окружающей среды (температура, вибрация, электромагнитные помехи и др.). конкретные условия эксплуатации (напряжение питания, циклограмма и т. д.)и конкретные требования для компонент:

а) для верификации квалификацией компонентов или части аппаратных средств средней сложности критерии должны удовлетворять требованиям раздела 13 ИСО 26262-8:

Ь) для верификации тестированием критерии должны удовлетворять требованиям раздела 10.

6.4.7    Интервал сбоеустойчивости для механизмов безопасности должен удовлетворять требованиям к аппаратным средствам системы безопасности, как определено в пункте 6.4.2.3 ИСО 26262-4.

6.4.8    Интервал обнаружения множественного сбоя должен удовлетворять требованиям к аппаратным средствам системы безопасности, как определено в пункте 6.4.4.3 ИСО 26262-4.

Примечания

1    Если значения УЛБА для целей безопасности равны С и О и если соответствующая концепция обеспечения безопасности не устанавливает конкретного значения, то интервал обнаружения множественного сбоя может быть задан равным или ниже значение времени цикла «включения-выключения» литания устройства.

2    Соответствующее значение интервала обнаружения множественного сбоя также может быть обосновано методом количественного анализа возникновения случайных отказов аппаратных средств (см. раздел 9).

6.4.9    Требования к аппаратным средствам системы безопасности должны быть верифицированы в соответствии с требованиями разделов 6 и 9 ИСО 26262-8. в целях обеспечения доказатепьств их:

a)    согласованности с технической концепцией обеспечения безопасности, спецификацией проекта системы и спецификацией аппаратных средств:

b)    полноты относитепьно технических требований к системе безопасности, распределяемых элементу аппаратных средств.

c)    согласованности с соответствующими требованиями к программному обеспечению системы безопасности:

d)    корректности и точности.

6.4.10    Спецификация программно-аппаратного интерфейса, сформированная в соответствии с требованиями раздела 7 ИСО 26262-4. должна быть в достаточной степени уточнена, чтобы обеспечить правильное управление и использование аппаратных средств программным обеспечением, а также должна описывать каждую связанную с безопасностью зависимость между аппаратными средствами и программным обеспечением.

6.4.11    Лица, ответственные за разработку аппаратных средств и программного обеспечения, несут солидарную ответственность за проверку адекватности уточненной спецификации программно-аппаратного интерфейса.

6.5 Результаты работы

6.5.1    Спецификация требований к аппаратным средствам системы безопасности (включая квалификационные критерии и критерии тестирования)

8 результате выполнения требований 6.4.1 —6.4.8.

6.5.2    Спецификация программно-аппаратного интерфейса (уточненная)

в результате выполнения требований 6.4.10 и 6.4.11.

Примечание — Данный результат работы совпадает с результатом работы по пункту 6.5.2 ИСО 26262-6.

6.5.3    Отчет о верификации требований аппаратных средств системы безопасности

8 результате выполнения требований 6.4.9.

7 Проектирование аппаратных средств

7.1    Цели

Первой целью данного раздела является разработка аппаратных средств в соответствии со спецификацией проекта системы и требованиями к аппаратным средствам системы безопасности.

второй целью данного раздела является проверка проекта аппаратных средств на соответствие спецификации проекта системы и требований к аппаратным средствам системы безопасности.

7.2    Общие положения

Проект аппаратных средств включает в себя проект архитектуры аппаратных средств и детальный проект аппаратных средств. Проект архитектуры аппаратных средств представляет все компоненты аппаратных средств и их взаимодействие друг с другом. Детальный проект аппаратных средств — это проект аппаратных средств на уровне электрических схем, представляющих взаимодействие между частями аппаратных средств, из которых состоят компоненты аппаратных средств.

Для того, чтобы разработать единый проект аппаратного средства, он должен удовлетворять как требованиям к аппаратным средствам системы безопасности, так и всем требованиям, не связанным с безопасностью. Следовательно, на этой подстадии связанные и не связанные с безопасностью требования применяются в одном процессе разработки.

7.3    входная информация

7.3.1    Предварительные требования

Необходима следующая информация:

•    спецификация требований к аппаратным средствам системы безопасности в соответствии с

6.5.1;

•    спецификация программно-аппаратного интерфейса (уточненная) в соответствии с требованиями 6.5.2:

•    спецификация проекта системы в соответствии с пунктом 7.5.2 ИСО 26262-4;

•    план обеспечения безопасности (уточненный) в соответствии с 5.5.

7.3.2    Дополнительная информация

Следующая информация может быть учтена:

•    спецификация требований к программному обеспечению системы безопасности (см. пункт 6.5.1 ИСО 26262-6).

7.4    Требования и рекомендации

7.4.1    Проект архитектуры аппаратных средств

7.4.1.1    Архитектура аппаратных средств должна реализовать требования к аппаратным средствам системы безопасности, определенные в разделе 6.

7.4.1.2    Каждый компонент аппаратных средств должен наследовать наибольшее значение УПБА. специфицированное для требований к аппаратным средствам системы безопасности, которые он реализует.

Примечание — Каждая характеристика компонента аппаратных средств будет наспедоаать наибольшее значение УПБА. специфицированное дпя требований к аппаратным средствам системы безопасности, которые он реапизует.

7.4.1.3    Если в процессе проекта архитектуры аппаратных средств системы безопасности для требований аппаратных средств системы безопасности выполнятся декомпозиция УПБА. то она должна применяться в соответствии с требованиями раздела 5 ИСО 26262-9.

7.4.1.4    Если элемент аппаратного средства выполнен из подэлементов, которые имеют различные распределенные значения УПБА. или подэлементов. которым значения УПБА не назначены, и связанных с безопасностью подэлементов, то каждый из них рассматривается в соответствии с самым высоким значением УПБА. пока не будут выполнены критерии совместимости подэлементов в соответствии с требованиями ИСО 26262-9.

7.4.1.5    Должна поддерживаться прослеживаемость между требованиями аппаратных средств системы безопасности и их реализацией вплоть до компонентов аппаратных средств самого низкого уровня.

Примечание — Прослеживаемость не требуется до уровня детального проектирования аппаратных средств и значения УПБА не назначаются частям аппаратных средств.

7.4.1.6    Для того чтобы предотвратить отказы, вызванные высокой сложностью, проект архитектуры аппаратных средств должен обладать следующими свойствами, используя принципы, перечисленные в таблице 1:

a)    модульность;

b)    адекватный уровень детализации;

c)    простоту.

Таблица 1— Свойства модульного проектирования аппаратных средств

С деисты

УПБА

А

в

с

О

1

Иерархичность проекта

2

Точно определенные интерфейсы связанных с безопасностью компонентов аппаратных средств

* *

♦ t

Окончание таблицы г

УПБА

А

В

С

О

3

Предотвращение излишней сложности интерфейсов

4

Предотвращение излишней сложности компонентов аппаратных средств

5

Ремонтоп ри годность (обспуж иаан ие)

♦ ♦

6

Тестируемость*1

Тестируемость включает а себя тестируемость а процессе разработки и эксплуатации.

7.4.17 В процессе проектирования архитектуры аппаратных средств должны быть рассмотрены нефункциональные причины отказа связанных с безопасностью компонентов аппаратных средств, включая следующие, если такие применимы: температура, вибрация, вода. пыль, электромагнитные помехи, перекрестные помехи, возникающие либо от других аппаратных компонент архитектуры аппаратных средств, либо от их окружения.

7.4.2 Детальное проектирование аппаратных средств

7.4.2.1    Для того, чтобы избежать общих ошибок проектирования, должен применяться соответствующий накопленный опыт согласно требованиям пункта 5.4.27 ИСО 26262-2.

7.4.2.2    В процессе детального проектирования аппаратных средств должны быть рассмотрены нефункциональные причины отказа связанной с безопасностью части аппаратных средств, включая следующие, если такие применимы: температура, вибрация, вода, пыль, электромагнитные помехи, коэффициент шума, перекрестные помехи, возникающие либо от других аппаратных частей компонента аппаратных средств, либо от ее окружения.

7.4.2.3    Условия эксплуатации частей аппаратных средств, используемых в детальном проектировании аппаратных средств, должны соответствовать специфицированным для них диапазонам значений эксплуатационных параметров и параметров окружающей среды.

7.4.2.4    Должны быть рассмотрены надежные принципы проектирования.

Примечание — Надежность принципов проектирования может быть показана с помощью контропьиых карт на основе методов упраапения качеством.

Пример — Консервативная спецификация компонентов.

7.4.3 Анализ безопасности

7.4.3.1 Для выявления причин отказов и их последствий должен выполняться анализ безопасности проекта аппаратных средств в соответствии с таблицей 2 и требованиями раздела в ИСО 26262-9.

Примечания

1    Первоначальной цепью анализе безопасности является поддержка спецификации проекта аппаратных средств. Впоследствии анализ безопасности может быть использован для верификации проекта аппаратных средств (см. 7.4.4).

2    8 цепях поддержки спецификации проекта аппаратных средств может быть уместным и достаточным качественный анализ.

Таблица 2 — Анализ безопасности проекта аппаратных средств

Методы

УПБА

А

в

с

О

1

Дедуктивный анализ**

О

♦ ♦

♦ ♦

2

Индуктивный анализ61

Примечание — Уровень детализации анализа соизмерим с уровнем детализации проекта. Оба метода

могут, а определенных случаях, выполняться на различных уровнях детализации. Типичным дедуктивным методом анализа является FTA.

&) Типичным индуктивным методом анализа является FMEA._

7.4.3.2    Данное требование распространяется на значения УПБА (В). С и D цели безопасности. Для каждого связанного с безопасностью компонента или части аппаратных средств с уметом рассматриваемой цели безопасности анализ безопасности должен определить следующее:

a)    безопасные сбои:

b)    одиночные сбои или остаточные сбои:

c)    множественные сбои (или воспринимаемые, обнаруживаемые, или скрытые).

Примечания

1    В большинстве случаев анализ может быть ограничен двойными сбоями. Но иногда в технической концепции обеспечения безопасности (например, при реализации избыточных механизмов безопасности) могут быть рассмотрены множественные сбои более второго порядка.

2    Идентификация двойных сбоев не требует систематического анализа каждой возможной комбинации из двух сбоев аппаратных средств, но. как минимум, необходимо рассмотреть комбинации, которые следуют из технической концепции обеспечения безопасности (например, комбинацию двух сбоев, где один сбой влияет на связанный с безопасностью элемент, а другой сбой влияет на соответствующий механизм безопасности, предназначенный для достижения или поддержания безопасного состояния).

7.4.3.3    Данное требование распространяется на значения УПБА (В), С и О цепи безопасности. Должно быть обеспечено доказательство эффективности механизмов безопасности, предотвращающих одиночные сбои.

С этой целью:

a)    должно быть обеспечено доказательство способности механизмов безопасности поддерживать безопасное состояние или безопасно перейти в безопасное состояние (е частности, соответствующие возможности смягчения отказа в течении периода сбоеустойчивости) и

b)    должен быть оценен диагностический охват по отношению к остаточным неисправностям.

Примечания

1    Сбой, который может произойти в любое время (например, не только при включении питания)не может рассматриваться. как эффективно охваченный, если значение интервала его диагностических проверок, сложенное со значением времени реакции на сбой соответствующего механизма безопасности, больше, чем соответствующее значение интервала сбоеустойчивости.

2    Если можно показать, что сбой происходит только при включении питания и вероятность его возникновения ничтожно мала во время движения транспортного средства, то для таких сбоев принято выполнять тестирования при пуске после подачи питания.

3    Для структурирования обоснования могут быть использованы такие виды анализа, как FMEA или FTA.

А В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней, оценка может быть выполнена либо с помощью глобального охвата диагностикой элемента аппаратных средств. либо более детальной оценкой охвата вида отказов.

5 Для выполнения начального шага оценки охвата диагностикой, в которой требуемое значение охвата диагностикой поддерживается надлежащим обоснованием, может быть использовано приложение О.

7.4.3.4    Данное требование распространяется на значения УПБА (В). С и О цепи безопасности. Допжно быть обеспечено доказательство эффективности механизмов безопасности, предотвращающих скрытые сбои.

С этой целью:

a)    должны быть обеспечены доказательства обнаружения отказа и возможности уведомить водителя в течение допустимого времени обнаружения множественного сбоя для скрытых сбоев для того, чтобы определить, какие сбои остаются скрытыми и какие сбои являются не скрытыми: и

b)    должен быть оценен диагностический охват для скрытых сбоев.

Примечания

1    Сбой не может рассматриваться как охваченный, если значение интервала его диагностических проверок, сложенное со значением времени реакции на сбой соответствующего механизма безопасности, больше, чем соответствующее значение времени обнаружения множественного сбоя для скрытых сбоев.

2    Для структурирования обоснования могут быть использованы такие виды анализа, как FMEA или FTA.

3    Для выполнения начального шага оценки охвата диагностикой, в которой требуемое значение охвата диагностикой поддерживается надлежащим обоснованием, может быть использовано приложение О.

А В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней, оценка может быть выполнена либо с помощью глобального охвата диагностикой элемента аппаратных средств, либо более детальной оценкой охвата вида отказов.

7.4.3.5    При необходимости на основе анализа зависимых отказов в соответствии с требованиями раздела 7 ИСО 26262-9. должно быть обеспечено доказательство того, что проект аппаратных средств соответствует его требованиям о независимости.

7.4.3.6    Если при проектировании аппаратных средств появляются новые опасности, еще не охваченные существующей целью безопасности, то они должны быть учтены и оценены методом анализа опасностей и оценки рисков в соответствии с требованиями процесса управления изменениями, представленными в ИСО 26262-8.

Примечание — Вновь выявленные опасности, еще не отраженные в существующей цели безопасности. как правило, являются нефункциональными опасностями. Нефункциональные опасности выходят за рамки области применения настоящего стандарта, но они могут быть при анализе опасностей и оценке рисков снабжены следующим пояснением «Данной опасности значение УПБА не назначается, поскольку они выходят за рамки области применения настоящего стандарта». Тем не менее значение УПБА может быть назначено в качестве рекомендации.

7.4.4 Верификация проекта аппаратных средств

7.4.4.1 Проект аппаратных средств должен быть верифицирован в соответствии с требованиями раздела 9 ИСО 262S2-8, на соответствие и полноту по отношению к требованиям к аппаратным средствам системы безопасности. Для достижения этой цели должны быть рассмотрены методы, перечисленные в таблице 3.

ТаблицаЗ — верификация проекта аппаратных средств

Методы

УПБА

А

В

с

о

Сквозной контроль проекта аппаратных средств0*

* ♦

0

О

Осмотр (контроль) проекте аппаратных средств0*

♦ ♦

♦ ♦

♦ ♦

2

Анализ безопасности

В соответствии с 7.4.3

За

Модели роваиие*’

о

ЗЬ

Разработка аппаратных средств прототипированием61

о

*

Примечание — Область применения этого отчета по верификации является техническая корректность проекта аппаратных средств.

а> Методы 1а и 1Ь служат для проверки полноты и правильности выполнения требований к аппаратным средствам системы безопасности для проекта аппаратных средств.

ь‘ Методы За и ЗЬ служат для проверки аппаратных средств в конкретных точках (например, используя метод внесения неисправностей), для которых аналитические методы 1 и 2 считается не достаточными.

7.4.4.2 Если во время проектирования аппаратных средств обнаружено, что выполнение какого либо требования к аппаратным средствам системы безопасности не возможно, то выдается запрос на изменение в соответствии с требованиями процесса управления изменениями, представленными в ИСО 26262-В.

7.4.5 Производство, эксплуатация, обслуживание и вывод из эксплуатации

7.4.5.1    Если анализ безопасности показал важность связанных с безопасностью специальных характеристик, то они должны быть специфицированы. Атрибуты, связанных с безопасностью специальных характеристик, должны включать:

a)    меры верификации в процессе производства и эксплуатации, а также

b)    критерии допустимости этих мер.

Промер — Анализ безопасности проекта аппаратных средств, который опирается на новые сенсорные технологии (например, камера или радарные датчики), может выявить актуальность специальной процедуры установки этих датчиков. В таком случае на этапе производства моаут быть необходимы дополнительные меры верификации для этох компонентов.

7.4.5.2    Должны быть специфицированы инструкции по монтажу, демонтажу и выводу из эксплуатации связанных с безопасностью элементов аппаратных средств, если эти операции могут повлиять на техническую концепцию обеспечения безопасности.

и

7.4.5.3    Должна быть обеспечена прослеживаемость связанных с безопасностью элементов аппаратных средств в соответствии с требованиями пункта 5.4.1.2 ИСО 26262-7.

Примечание — Прослеживаемость может включать е себя адекватную маркировку или другую идентификацию элементов аппаратных средств, чтобы указать, что они связанны с безопасностью

7.4.5.4    Должны быть специфицированы инструкции по эксплуатации связанных с безопасностью элементов аппаратных средств, если процессы эксплуатации могут повлиять на техническую концепцию обеспечения безопасности.

7.S Результаты работы

7.5.1    Спецификация проекта аппаратных средств

В результате выполнения требований 7.4.1 и 7.4.2.

7.5.2    Отчет по анализу безопасности аппаратных средств

В результате выполнения требований 7.4.3.

7.5.3    Отчет о верификации проекта аппаратных средств

В результате выполнения требований 7.4.4.

7.5.4    Спецификация требований к производству, эксплуатации, обслуживанию и выводу из эксплуатации

В результате выполнения требований 7.4.5.

8 Оценка метрик архитектуры аппаратных средств

8.1    Цель

Целью настоящего раздела является оценка архитектуры аппаратных средств устройства на соответствие требованиям с помощью метрик архитектуры аппаратных средств.

8.2    Общие положения

Данный раздел описывает две метрики архитектуры аппаратных средств для оценки эффективности архитектуры устройства из-за случайных отказов аппаратных средств.

Эти метрики и связанные с ними целевые значения применяются ко всем аппаратным средствам устройства и являются дополнением к оценке нарушения цели безопасности из-за случайных отказов аппаратных средств, описанной в разделе 9.

Случайные отказы аппаратных средств, для которых используются эти метрики, ограничены отказами. связанными с безопасностью электрических и электронных частей аппаратных средств устройства. а именно теми, которые могут внести значительный вклад в нарушение или достижение цели безопасности, а также одиночными, остаточными и скрытыми сбоями этих частей. Для электромеханических частей аппаратных средств рассматриваются только виды и интенсивности электрических отказов.

Примечание — Элементы аппаратных средств с множественными сбоями более второго порядка могут быть исключены из расчетов, если нельзя показать, что они имеют отношение к технической концепции обеспечения безопасности.

Метрики архитектуры аппаратных средств могут быть применены многократно во время проектирования архитектуры аппаратных средств и детального проектирования аппаратных средств.

Метрики архитектуры аппаратных средств зависят от всего комплекса аппаратных средств устройства. Выполнение целевых показателей, предписанных для метрик архитектуры аппаратных средств, достигается для каждой цели безопасности, которую реализует устройство.

Такие метрики архитектуры аппаратных средств определяются для достижения следующих цепей:

-    быть объективно оцениваемыми: метрики должны быть верифицируемыми и достаточно точными. чтобы дифференцировать различные архитектуры.

•    выполнять оценку окончательного проекта (выполнение точных расчетов для детального проекта аппаратных средств):

-    сделать возможной оценку архитектуры аппаратных средств по критерию достигнуто/не достигнуто заданное значение УПБА;

•    определить, достаточен ли охват механизмами безопасности, чтобы предотвратить риск от одиночного или остаточного сбоя в архитектуре аппаратных средств (метрика одиночного сбоя);

•    определить, достаточен л и охват механизмами безопасности, чтобы предотвратить риск от скрытых сбоев в архитектуре аппаратных средств (метрика скрытого сбоя);

-    устранять одиночные, остаточные и скрытые сбои;

> обеспечить надежность при неустойчивости интенсивности отказов в аппаратных средствах;

•    рассматривать только элементы, связанные с безопасностью;

•    поддерживать применение для элементов на различных уровнях, например, целевые значения могут быть распределены поставляемым элементам аппаратных средств.

Пример — Для облеачения распределенной разработки, целевые значения моеут быть распределены микроконтроллерам или злектронным блокам управления.

8.3    Входная информация

8.3.1    Предварительные требования

Следующая информация должна быть доступна:

•    спецификация требований к аппаратным средствам системы безопасности в соответствии с

6.5.1.

•    спецификация проекта аппаратных средств в соответствии с 7.S. 1;

•    отчет по анализу безопасности аппаратных средств в соответствии с 7.5.2.

8.3.2    Дополнительная информация

Следующая информация может быть учтена:

•    техническая концепция обеспечения безопасности (см. 7.5.1 ИСО 26262-4);

-    спецификация проекта системы (см. 7.5.2 ИСО 26262-4).

8.4    Требования и рекомендации

8.4.1    Данное требование распространяется на значения УПБА (В). С и D цепи безопасности. Понятия охват диагностикой, метрика одиночного сбоя и метрика скрытого сбоя, рассмотренные в приложении С. применяются к требованиям 8.4.2—8.4.9.

8.4.2    Данное требование распространяется на значения УПБА (В). С и D цели безопасности. Охват диагностикой связанных с безопасностью элементов аппаратных средств механизмами безопасности должен быть оценен по остаточным сбоям и по соответствующим скрытым сбоям.

Примечания

1    Для выполнения начального шага оиенки охвата диагностикой, а которой требуемое значение охвате диагностикой поддерживается надлежащим обоснованием, могут быть использованы таблицы 0.1—0.14.

2    8 зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней, оценка может быть выполнена либо с помощью глобального охвата диагностикой элемента аппаратных средств, либо более детальной оценкой охвата вида отказов.

8.4.3    Данное требование распространяется на значения У ПБА (В). С и D цели безопасности. Должны быть определены, используемые в анализе, расчетные значения интенсивностей отказов частей аппаратных средств:

a)    используя данные об интенсивностях отказов частей аппаратных средств из признанных источников промышленности; или

Пример—Общепризнанными отраслевыми источниками для определения интенсивностей отказов частей аппаратных средств считаются: IEC/7R 62380.IEC 61709. MIL HDBK 217 F notice 2. RIAC HDBK 217 Plus. UTE С80-811. NPRO 95. EN 50129:2003. Annex С. IEC 62061:2005, Annex O. RIAC FMD97 и MIL HDBK 338.

Примечание — Значения интенсивностей отказов, приведенные в этих базах данных, как правило, считается пессимистическими:

b)    используя статистику, основанную на данных, полученных из эксплуатации или испытаний. В этом случае оцененная интенсивность отказов должна иметь достаточный уровень доверия: или

c)    используя экспертную оценку, основанную на инженерном подходе, использующем количественные и качественные методы. В основе экспертной оценки лежат структурированные критерии. Эти критерии должны быть установлены до выполнения оценки интенсивностей отказов.

Примечание — Критериями экспертной оценки могут быть опыт эксплуатации, тестирование, анализ надежности и новизна проекте.

8.4.4    Данное требование распространяется на значения УПБА (В). С и О цели безопасности. Если достаточное доказательство расчетных значений интенсивностей отказов при одиночном или скрытом сбое не может быть выполнено, то должны быть предложены альтернативные средства (например, дополнительные механизмы безопасности для выявления и управления этими сбоями).

Примечание — «Достаточное доказательство» означает, например, что в нем интенсивность отказов должна быть определена с помощью одного из методов, перечисленных а 8.4.3.

8.4.5 Данное требование распространяется на значения УПБА (В). С и D цели безопасности. Для каждой цели безопасности количественное целевое значение метрики одиночного сбоя в соответствии с требованиями 7.4.4.2 ИСО 26262-4 должно быть основано на одном из следующих источников рекомендуемых целевых значений:

a)    полученных из вычисления метрик архитектуры аппаратных средств, для которых применены аналогичные хорошо зарекомендовавшие себя принципы проектирования: или

Примечание — Два аналогичных проекта имеют схожие функциональные возможности и аналогичные цели безопасности с теми же значениями УПБА:

b)    полученных из таблицы 4.

Таблице 4 — Возможный источник для получения целевого значения метрики одиночного сбоя

УПБА В

УПБА С

УПБА D

Метрика одиночного сбоя

2 90%

2 97 %

2 99 %

Примечание — Этот количественный целевой показатель предназначен для обеспечения:

•    руководства проектированием и

•    доказательства того, что проект соответствует целям безопасности.

8.4.6 Данное требование распространяется на значения УПБА (в). (С) и D цели безопасности. Для каждой цели безопасности количественное целевое значение метрики скрытого сбоя в соответствии с требованиями 7.4.4.2 ИСО 26262-4 должно быть основано на одном из следующих источников рекомендуемых целевых значений:

a)    полученных из вычисления метрик архитектуры аппаратных средств, для которых применены аналогичные хорошо зарекомендовавшие себя принципы проектирования: или

Примечание — Два аналогичных проекта имеют схожие функциональные возможности и аналогичные цели безопасности с теми же значениями УПБА:

b)    полученных из таблицы 5.

Таблица 5 — Возможный источник для получения целевого значения метрики скрытого сбоя

УПБА В

УПБА С

УПБА О

Метрика скрытого сбоя

2 60%

2 80 %

2 90%

Примечание — Этот количественный целевой показатель предназначен для обеспечения:

•    руководства проектированием и

•    доказательства того, что проект соответствует целям безопасности.

8.4.7 Данное требование распространяется на значения УПБА (В). С и D цели безопасности. Для каждой цели безопасности комплекс аппаратных средств устройства в целом должен соответствовать одному из следующих вариантов:

a)    достижению целевого значения метрики одиночногосбоя.какописано в 8.4.5: или

b)    достижению соответствующих целей, предусмотренных на уровне элементов аппаратных средств, которые являются достаточными для соответствия целевому значению метрики одиночного сбоя, назначенной для всего комплекса аппаратных средств устройства, согласно требованию 8.4.5. с обоснованием соответствия с этими целями на уровне элементов аппаратных средств.

Примечания

1 Если устройство содержит различные виды элементов аппаратных средств с существенно разными уровнями интенсивности отказов, то существует риск, что для соответствия с метриками архитектуры аппаратных средств рассматриваются только элементы аппаратных средств с наибольшей величиной интенсивности отказов. (Одним из примеров, когда это может произойти, является метрика одиночного сбоя, для которой соответствие может быть достигнуто путем учете интенсивности отказов в лроводииках/предохранителях/раэъемах без учета интенсивности отказов частей аппаратных средств со значительно более низкой интенсивностью отказов). Назначение соответствующих значений иелевых метрик для каждого вида аппаратных средств помогает избежать такую ситуацию.

2    Кратковременные сбои рассматриваются, когда показано, что они актуальны, налример. в связи с используемой технологией. Они могут быть учтены путем спецификации и проверки выделенного для них целевого значения метрики одиночного сбоя (как это указано в примечании 1) или с помощью качественного обоснования, основанного на верификации эффективности внутренних механизмов безопасности, реализованных для охвата этих кратковременных сбоев.

3    бели цель не достигнута, то обоснование того, как достигается цель безопасности, будет оцениваться, как указано в 4.1.

4    некоторые или асе соответствующие цели безопасности можно рассматривать вместе для определения метрики одиночного сбоя, но в этом случае целевой метрикой считается наибольшее для рассматриваемых целей безопасности значение УПБА.

8.4.6 Данное требование распространяется на значения УПБА (В), (С) и О цели безопасности. Для каждой цели безопасности комплекс аппаратных средств всего устройства должен соответствовать одному из следующих вариантов:

a)    достижению целевого значения метрики скрытого сбоя, как описано в 8.4.6; или

b)    достижению соответствующих целей, предусмотренных на уровне элементов аппаратных средств, которые являются достаточными для соответствия целевому значению метрики скрытого сбоя, назначенной для комплекса аппаратных средств всего устройства, согласно требованию 8.4.6. с обоснованием соответствия этим целям на уровне элементов аппаратных средств; или

c)    достижению целевых значений охвата диагностикой скрытых сбоев идентично целевому значению. указанному в 8.4.6 для метрики скрытого сбоя (рассматривается как охват диагностикой), для каждого элемента аппаратных средств со сбоями, которые могут привести к недоступности механизма безопасности (предназначенного для предотвращения сбоев, вызывающих нарушения цели безопасности). Этот вариант применяется, когда каждый механизм безопасности, недоступность которого может способствовать нарушению цели безопасности, предназначен для обнаружения сбоев.

Примечания

1    вариант перечисления с) применяется только а тех случаях, тле каждый соответствующий механизм безопасности предназначен для обнаружения сбоев. Предполагается, что в этом случае потенциально скрытые сбои целевой функциональности выявляются путем обнаружения этими механизмами безопасности. 8 других случаях этот вариант не может быть применен и варианты перечислений а) и Ь) являются единственно возможными.

2    8 случае варианта перечисления с) метрика не рассчитывается, оценивается только охват элементов аппаратных средств механизмами безопасности в отношении скрытых сбоев

3    Если устройство содержит различные виды элементов аппаратных средств с существенно разными уровнями интенсивности отказов, то существует риск, что для соответствия с метриками архитектуры аппаратных средств рассматриваются только элементы аппаратных средств с наибольшей величиной интенсивности отказов. (Одним из примеров, когда это может произойти, является метрика одиночного сбоя, для которой соответствие может быть достигнуто путем учета интенсивности отказов в лроводниках/предохранителях/разъемах без учета интенсивности отказов частей аппаратных средств со значительно более низкой интенсивностью отказов). Назначение соответствующих значений целевых метрик для каждого виде аппаратных средств помогает избежать такую ситуацию.

4    Если цель не достигнута, то обоснование того, как достигается цель безопасности, будет оцениваться, как указано а 4.1.

5    Некоторые или асе соответствующие цели безопасности можно рассматривать вместе для определения метрики скрытого сбоя, но в этом случае целевой метрикой считается наибольшее для рассматриваемых целей безопасности значение УПБА.

8.4.9 Данное требование распространяется на значения УПБА (В). С и D цепи безопасности. Чтобы представить доказательства технической корректности и полноты в соответствии с требованиями раздела 9 ИСО 26262-8 должен быть подготовлен отпето верификации результатов применяемых методов в 8.4.7 и 8.4.8.

Примечание — Тщательная верификация метрики одиночного сбоя гарантирует, что учитывается только интенсивность отказов связанных с безопасностью элементов аппаратных средств, так что метрика не искажается ненадлежащим образом из-за излишних связанных с безопасностью элементов аппаратных средств, в которых невозможны одиночные или остаточные сбои (например, путем добавления излишних элементов аппаратных средств а механизм безопасности).

8.5 Результаты работы

8.5.1    Анализ эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств

В результате выполнения требований 8.4.1 —8.4.8.

8.5.2    Отчет группы экспертов об эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств

В результате выполнения требований 8.4.9.

9 Оценка нарушений цели безопасности вследствие случайных отказов аппаратных средств

9.1    Цель

Целью требований настоящего раздела является формирование применимых критериев для обоснования того, что остаточный риск нарушения цели безопасности из-за случайных отказов аппаратных средств устройства, является достаточно низким.

Примечание — «Достаточно низкий» означает «сопоставим с остаточными рисками для уже находящихся в эксплуатации устройствах».

9.2    Общие положения

Предлагается два альтернативных метода (см. 9.4) для оценки того, насколько остаточный риск нарушений цели безопасности является достаточно низким.

Оба метода оценивают остаточный риск нарушения цели безопасности из-за однократных, остаточных и вероятных двойных сбоев. Могут быть также рассмотрены множественные сбои, если показано. что они охвачены концепцией обеспечения безопасности. В настоящем анализе будет рассмотрен охват механизмами безопасности остаточных и двойных сбоев, а также будет рассмотрена продолжительность воздействия для двойных сбоев.

Первый способ заключается в использовании вероятностной метрики, которая называется «вероятностная метрика случайных отказов аппаратных средств о (PMHF). для оценки нарушения рассматриваемой цели безопасности, используя, например, количественный метод РТА. и сравнение результатов этой количественной оценки с целевым значением.

Второй метод заключается в отдельной оценке каждого остаточного и одиночного сбоя, и каждого двойного сбоя, приводящего к нарушению рассматриваемой цели безопасности. Этот метод анализа также может называться анализом сечений.

Примечание — В контексте анализа надежности, сечение дерева сбоев представляет собой набор базовых событий, чье появление приводит к появлению события на вершине дерева.

Выбранный метод может применяться многократно в процессе проектирования архитектуры аппаратных средств и детального проектирования аппаратных средств.

Область применения настоящего раздела ограничена случайными отказами аппаратных средств данного устройства. При выполнении анализа рассматриваются электрические и электронные части аппаратных средств. Для электромеханических частей аппаратных средств, рассматриваются только электрические виды отказов и интенсивность отказов.

9.3    Входная информация

9.3.1    Предварительные требования

Следующая информация должна быть доступна:

-    спецификация требований к аппаратным средствам системы безопасности в соответствии с

6.5.1:

-    спецификация проекта аппаратных средств в соответствии с 7.5.1:

-    отчет по анализу безопасности аппаратных средств в соответствии с 7.5.2.

9.3.2    Дополнительная информация

Следующая информация может быть учтена:

-    техническая концепция обеспечения безопасности (см. пункт 7.5.1 ИСО 26262-4);

• спецификация проекта системы (см. пункт 7.5.2 ИСО 26262-4).

9.4 Требования и рекомендации

9.4.1    Общие положения

Данное требование распространяется на значения УПБА(В). С и О цели безопасности. Устройство должно удовлетворять требованиям 9.4.2 или 9.4.3.

9.4.2    Оценка вероятностной метрики случайных отказов аппаратных средств (PMHF)

9.4.2.1 Данное требование распространяется на значения УПБА(В). С и О цели безопасности. В соответствии с требованиями 7.4.4.3 ИСО 26262-4 должны быть определены количественные целевые значения максимальной вероятности нарушения каждой цели безопасности из-за случайных отказов аппаратных средств с помощью одного из источников а), Ь) или с) ссылочных целевых значений:

a)    таблицы 6 или

b)    эксплуатационных данных устройств, созданных на основе аналогичных хорошо зарекомендовавших себя принципов проектирования или

c)    количественных методов анализа, применяемых для аналогичных хорошо зарекомендовавших себя принципов проектирования, используя значения интенсивности отказов в соответствии с 8.4.3.

Примечания

1    Абсолютные величины этих количественных целевых значений, полученных из источников в). Ь) или с) не имеют никакого значения, но они полезны только для сравнения нового проекта с существующим. Они предназначены обеспечить выполнение цели проекта, описанной в 9.1. и доступность доказательства того, что проект выполняет цели безопасности.

2    Два проекта аналогичны, если имеют схожие функциональные возможности и аналогичные цели безопасности с теми же значениями УПБА.

Таблица 6 — Возможный источник для вывода целевых значений случайных отказов аппаратных средств

УПБА

Целевые знамения случайных отказов аппаратных средств

D

< 10-* ч-1

С

< 10“7 ч*1

8

< 10“7 ч“*

Примечание — Количественные целевые значения, представленные а данной таблице, могут быть адаптированы, как указано в 4.1. чтобы соответствовать конкретному использованию устройства (например, если устройство способно нарушить цель безопасности за время большее, чем типичное время использования лепюаого автомобиля).

9.4.2.2    Данное требование распространяется на значения УПБА (В). С и D цели безопасности. Количественно целевые значения требований 9.4.2.1 должны быть выражены в терминах средней вероятности в час в течение срока службы устройства.

9.4.2.3    Данное требование распространяется на значения УПБА (В). С и D цели безопасности. Доказательство того, что целевые значения требования 9.4.2.1 были достигнуты, должен предоставить количественный анализ архитектуры аппаратных средств для одиночного, остаточного и двойного сбоя. Этот количественный анализ должен учитывать:

a)    архитектуру устройства:

b)    оцененную интенсивность отказов для видов отказов каждой части аппаратных средств, которая может вызвать одиночный или остаточный сбой:

c)    оцененную интенсивность отказов для видов отказов каждой части аппаратных средств, которая может вызвать двойной сбой:

d)    диагностический охват связанных с безопасностью элементов аппаратных средств механизмами безопасности;

e)    продолжительность воздействия в случае двойных сбоев.

Примечания

1    виды отказов элементов аппаратных средств, которые могут вызвать одновременно отказ связанного с безопасностью элемента аппаратных средств и его механизма безопасности, анализируются количественными методами. Они могут быть одиночными, остаточными или множественными сбоями.

2    Продолжительность воздействия сбоя начинается с момента его возникновения и включает в себя:

а) интервал обнаружения множественного сбоя, связанного с каждым механизмом безопасности, или срок службы автомобиля, если сбой не отображается водителю (скрытый сбой);

b)    максимальную продолжительность поездки (е случае, если водителю предлагается остановиться безопасным способом); и

c)    средний интервал времени нахождения автомобиля а автомастерской (а случае, если водитель предупрежден о необходимости ремонта автомобиля).

Таким образом, продолжительность воздействия зависит от типа используемого мониторинга (например, постоянного мониторинга, периодического самотестирования, водительского мониторинга, отсутствие мониторинга) и вида реакции на обнаруженную неисправность. Она может быть равна нескольким миллисекундам а случае непрерывного мониторинга, запускающего переход а безопасное состояние. Она может быть равна сроку службы автомобиля, если мониторинг отсутствует.

Пример предположений о среднем времени работы до ремонта автомобиля, в зависимости от типа сбоя:

•    200 поездок автомобиля при снижении параметров комфорта;

•    S0 поездок автомобиля при снижении эффективности функций поддержки вождения:

•    20 поездок автомобиля при желтом предупреждающем сигнале или воздействии на поведение автомобиля при его вождении:

•    одна поездка автомобиля при красном предупреждающем сигнале.

Время, затраченное на ремонт, как правило, не рассматривается (за исключением оценки опасности, которой может подвергаться обслуживающий персонал).

Среднюю продолжительность поездки транспортного средства можно считать равной 1 часу.

3    В большинстве случаев множественные отказы более второго порядка, вносят незначительный количественный вклад а достижение целевых значений. Тем не менее, а некоторых конкретных случаях (очень высокая интенсивность отказов или низкий охват диагностикой), необходимо обеспечить два резервных механизма безопасности для достижения цели. Если техническая концепция обеспечения безопасности основана на избыточных механизмах безопасности, то при анализе рассматриваются множественные отказы более второго порядка.

4    При выполнении начального шага оценки охвата диагностикой механизмов безопасности, использующих комплексные диагностики, для обеспечения требуемых значений ОД. поддержанных надлежащим обоснованием, для механизмов безопасности могут быть использованы таблицы D.1—0.14.

5    Ситуации, когда устройство отключено от питания, не включаются при расчете средней вероятности отказов а час. тем самым предотвращая искусственное снижение значения средней вероятности отказов в час. Таким образом, для устройства, которое работает только 1 ч а день, остальные 23 ч не учитываются при расчете этого целевого значения времени эксплуатации.

6    Если цель не достигнута, то обоснование того, как достигается цель безопасности, будет оцениваться, как указано в 4.1.

7    В зависимости от знаний о виде отказов элементов аппаратных средств и их последствий для более высоких уровней, оценка может быть выполнена либо с помощью глобального охвата диагностикой элемента аппаратных средств, либо более детальной оценкой охвата айда отказов.

9.4.2.4    Данное требование распространяется на значения УПБА С и D цели безопасности. Одиночный сбой, происходящий в части аппаратного средства должен считаться допустимым только тогда, когда приняты специальные меры.

Примечание — Специальные меры могут включать:

a)    особенности проекта такие, как проектирование части аппаратного средства с запасом (например, по уровню электрического напряжения или температуры), или такие, как физическое разделение (например, шаг контактов на печатной плате);

b)    типовой тест со специальный входной информацией для уменьшения риска возникновения данного айда отказов.

c)    испытание на отказ;

d)    специальный механизм управления, как часть плана управления; и

e)    установление, связанных с безопасностью особых характеристик.

9.4.2.5    Данное требование распространяется на значения УПБА С и D цели безопасности. Часть аппаратных средств должна рассматриваться специальными мерами (в примечании к 9.4.2.4 приведены примеры специальных мер), если ее охват диагностикой (для остаточных сбоев) ниже, чем 90 %.

Примечание — Доля безопасных сбоев части аппаратных средств может быть учтена при определении охвата механизмами безопасности. В этом случае расчет охвата производится аналогично расчету метрики одиночного сбоя, но на уровне части аппаратных средств, а не на уровне устройства.

9.4.2.6    Данное требование распространяется на значения УПБА (В), С и D цели безопасности. Интенсивности отказов частей аппаратных средств, используемые при анализе. должны быть оценены в соответствии с требованиями 8.4.3.

9.4.27 Данное требование распространяется на значения УПБА (8). С и D цели безопасности. Для того чтобы избежать количественного разночтения при объединении значений интенсивностей отказов из различных источников, они должны быть промасштабироааны с помощью коэффициента масштабирования. что обеспечивает их согласованность. Масштабирование возможно, если существует обоснование коэффициента масштабирования между двумя источниками отказов.

Примечание — В приложении F приводится руководство по применению коэффициентов масштабирования.

9.4.3 Оценка каждой причины нарушения цели безопасности

9.4.3.1 Метод оценки каждой причины нарушения цели безопасности из-за случайных отказов аппаратных средств иллюстрируется блок-схемами на рисунках 3 и 4. Каждый одиночный сбой оценивается с помощью критериев возникновения сбоя. Каждый остаточный сбой оценивается с помощью критериев, объединяющих критерии возникновения сбоя и критерии эффективности механизма безопасности.

Рисунок 3 — Процедура оценки для одиночных и остаточных сбоев

Процедура, применяемая для двойных отказов, показана в виде блок-схемы на рисунке 4. Каждый двойной отказ сначала оценивается на его достоверность. Двойной отказ не считается достоверным, если оба сбоя, приводящие к отказу, обнаруживаются или воспринимаются за достаточно короткое время с достаточным охватом. Если двойной отказ является достоверным, то вызывающие его сбои затем оцениваются с использованием объединенного критерия возникновения сбоев и эффективности механизма безопасности. Процедуры оценки, представленные на рисунках 3 и 4. применяются на уровне частей аппаратных средств (транзисторы и т. д.).

Примечание — Для сложных частей аппаратных средств, например микроконтроллеров, целесообразно применять эту процедуру на более детальном уровне: для процессора. ОЗУ. ПЗУ и т. д.

начало

9.4.3.2    Данное требование распространяется на значения УПБА (В), С и О цели безопасности. Отдельная оценка каждого одиночного сбоя, остаточного сбоя и двойного отказа, нарушающих рассматриваемую цель безопасности, должна осуществляться на уровне части аппаратных средств. Эта оценка должна представить доказательства, что каждый одиночный сбой, остаточный сбой и двойной отказ, нарушающие рассматриваемую цель безопасности. удовлетворяет соответствующим требованиям 9.4.3.3—9.4.3.12.

Примечания

1    Этот анализ можно рассматривать как обзор сечений, где отсутствие или неполнота охвата рассматривается как сбой.

2    В большинстве случаев множественные отказы более второго порядка, вносят незначительный вклад. Тем не менее, а некоторых конкретных случаях (очень высокая интенсивность отказов или низкий охает диагностикой), необходимо обеспечить два резервных механизма безопасности. Если техническая коиделдия обеспечения безопасности основана на избыточных механизмах безопасности, то при анализе рассматриваются множественные отказы более второго порядка.

3    Для сложных частей аппаратных средств, например микроконтроллеров, может быть целесообразно применять эту процедуру на более детальном уровне: для процессора. ОЗУ. ПЗУ и т. д.

9.4.3.3    Данное требование распространяется на значения УПБА (В), С и О цели безопасности. Ранжирование классов интенсивностей отказов для интенсивности отказов частей аппаратных средств определяется следующим образом:

Примечание — Классы 1.2 и 3 для интенсивностей отказов вводятся для интенсивностей возникновения отказов. Эти классы аналогичны уровням возникновения 1. 2 и 3. используемым a FMEA. соответственно, где уровень 1 соответствует видам отказов с самой низкой интенсивностью возникновения.

a)    интенсивность отказов, соответствующая интенсивности отказов класса 1. должна быть меньше. чем целевое значение УПБА. разное D деленное на 100. если не применяются требования 9.4.3.4.

Примечание — Могут быть использованы деловые значения, указанные в таблице 6;

b)    интенсивность отказов, соответствующая интенсивности отказов класса 2, должна быть меньше или равна, увеличенной в 10 раз интенсивности отказов, соответствующей интенсивности отказов класса 1:

c)    интенсивность отказов, соответствующая интенсивности отказов класса 3. должна быть меньше или равна, увеличенной в 100 раз интенсивности отказов, соответствующей интенсивности отказов класса 1 и

d)    интенсивность отказов, соответствующая интенсивности отказов класса К / > 3 должна быть меньше или равна, увеличенной в 10<‘ ~(>раз интенсивности отказов, соответствующей интенсивности отказов класса 1.

Примечания

1    Назначение класса интенсивности отказовоснованона интенсивности отказовчасти апларатныхсредств.

2    8 случае, когда небольшое число частей (таких как микроконтроллер)имеют интенсивность отказов выше, чем верхний предел интенсивности отказов классе К то мим частом может быть назначен класс возникновения К если результирующая средняя интенсивность отказов частей, назначенных для класса К ниже, чем верхний предел интенсивности отказов класса i.

9.4.3.4    При ранжировании классов интенсивностей отказов может быть использован делитель ниже, чем 100. если предоставляется обоснование. В этом случае должна быть обеспечена поддержка корректности ранжирования при совместном рассмотрении одиночных сбоев, остаточных сбоев и сечений более высокого уровня.

Пример — Обоснование может быть основано на количестве минимальных сечений.

9.4.3.5    Данное требование распространяется на значения УПБА (В). С и D цели безопасности. Одиночный сбой, возникающий в части аппаратных средств, считается приемлемым только, если в результате ранжирования интенсивность отказов части аппаратных средств соответствует целевым значениям, приведенным в таблице 7.

Таблица 7 — Целевые значения классов интенсивностей отказов честей аппаратных средств для одиночных сбоев

УПБА цепи безопасности

Класс интенсивностей отказов

О

Класс 1 интенсивностей отказов ♦ специальные меры*1

С

Класс 2 интенсивностей отказов ♦ специальные меры*1 или класс 1 интенсивностей отказов

8

Класс 2 интенсивностей отказов или класс 1 интенсивностей отказов

Примеры специальных мер приведены в примечании требования 9.4.2.4.

Примечание — При оценке класса интенсивностей отказов может быть рассмотрена доля безопасных сбоев для части аппаратных средств.

9.4.3.6 Данное требование распространяется на значения УПБА (В). С и D цели безопасности. Остаточный сбой, возникающий в части аппаратных средств, считается приемлемым, если в результате ранжирования интенсивность отказов соответствует целевым значениям, приведенным в таблице 8 для охвата диагностикой (для остаточных сбоев) соответствующей части аппаратных средств.

Примечание — Рассматриваемая интенсивность отказов является интенсивностью отказов части аппаратных средств и не учитывает эффективность механизмов безопасности.

Таблица 8 — Классы с максимальной интенсивностью отказов для заданного охвата диагностикой части аппаратных средств — остаточные сбои

УПБА цепи безопасности

Охват диагностикой остаточных сбоев

*99 %

i 90 %

<90 %

О

Класс 4 интенсивностей отказов

Класс 3 интенсивностей отказов

Класс 2 интенсивностей отказов

Класс 1 интенсивностей отказов • специальные меры4

С

Класс S интенсивностей отказов

Класс 4 интенсивностей отказов

Класс 3 интенсивностей отказов

Класс 2 интенсивностей отказов ♦ специальные меры4

В

Класс S интенсивностей отказов

Класс 4 интенсивностей отказов

Класс 3 интенсивностей отказов

Класс 2 интенсивностей отказов

Примеры специальных мер приведены в примечании требования 9.4.2.4.

Примечания

1    Таблица в устанавливает связь между классом с максимальной интенсивностью отказов, который позволено задавать целевому значению УПБА, и охватом диагностикой. Классы с более низкой интенсивностью отказов являются приемлемыми, но не требуемыми.

2    «Классы с более низкой интенсивностью отказов* означает классы интенсивностей отказов сболее низким номером. Например. «Классы с более низкой интенсивностью отказов* для класса 3 интенсивностей отказов означает классы 2 и 1 интенсивностей отказов.

3    Доля безопасных сбоев части аппаратных средств может быть учтена при определении охвата механизмами безопасности. 8 этом случае вычисление охвата осуществляется аналогично расчету метрики одиночного сбоя, но на уровне части аппаратных средств, а не на уровне устройства.

9.4.3.7    Данное требование распространяется на значения УПБА С и D цели безопасности. Для классов интенсивностей отказов /, /> 3. остаточный сбой считается приемлемым, если охват диагностикой больше или равно [100 - 10<3 _i)] % для значения УПБА. равного D. или больше или равно [100 - 10<4 -')] % для значения УПБА. равного С.

Примечания

1    Рассматриваемая интенсивность отказов является интенсивностью отказов части аппаратных средств и не учитывает эффективность механизмов безопасности.

2    Доля безопасных сбоев части аппаратных средств может быть учтена при определении охвата механизмами безопасности. 8 этом случае вычисление охвата осуществляется аналогично расчету метрики одиночного сбоя, но на уровне части аппаратных средств, а не на уровне устройства.

9.4.3.8    Данное требование распространяется на значение УПБА D цели безопасности. Двойной отказ считается возможным, если:

a)    одна ипи обе участвующие части аппаратных средств имеют охват диагностикой (для скрытых сбоев) менее 90 %: или

b)    один из двойного сбоя, вызывающего двойной отказ, остается скрыты мв течение времени, превышающего интервал обнаружения множественного сбоя, как определено в требовании 6.4.6.

Прим е ч а и и а — Доля безопасных сбоев части аппаратных средств может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики скрытого сбоя, но на уровне части аппаратных средств, а не на уровне устройства.

9.4.3.9    Данное требование распространяется на значение УПБА С цели безопасности. Двойной отказ считается возможным, если:

a)    одна или обе участвующие части аппаратных средств имеют охват диагностикой (для скрытых сбоев) менее 80 %; или

b)    един из двойного сбоя, вызывающего двойной отказ, остается скрытым в течение времени, превышающего интервал обнаружения множественного сбоя, какопределено в требовании 6.4.8.

Примечание — Доля безопасных сбоев части аппаратных средств может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики скрытого сбоя, но на уровне части аппаратных средств, а не на уровне устройства.

9.4.3.10    Данное требование распространяется на значения УПБА С и D цепи безопасности. Двойной отказ, который не является возможным, должен считаться соответствующим целевому значению цели безопасности и. следовательно, допустимым.

9.4.3.11    Данное требование распространяется на значения УПБА С и D цели безопасности. Двойной сбой, происходящий в части аппаратных средств и способствующий возможному двойному отказу, считается допустимым, если соответствующая часть аппаратных средств соответствует целевым значениям для ранжированного класса интенсивностей отказов и охвата диагностикой (для скрытых сбоев), приведенных в таблице 9.

Примечание — Рассматриваемая интенсивность отказов является интенсивностью отказов части аппаратных средств. Таким образом, она не рассматривает эффективность механизмов безопасности.

Таблица 9 — Целевые значения класса интенсивностей отказов и охвата диагностикой части аппаратных средств для двойных сбоев

УПБА цели

Охват диагностикой скрытых сбоев

безопасности

t 99 %

*90%

<90%

D

Класс 4 интенсивностей

Класс 3 интенсивностей

Класс 2 интенсивностей

отказов

отказов

отказов

С

Класс 5 интенсивностей

Класс 4 интенсивностей

Класс 3 интенсивностей

отказов

отказов

отказов

Примечания

1    Таблица 8 устанавливает связь между классом с максимальной интенсивностью отказов, который позволено задавать целевому значению УПБА. и охватом диагностикой. Классы с более низкой интенсивностью отказов являются приемлемыми, но не требуемыми.

2    «Классы сболее низкой интенсивностью отказов» означает классы интенсивностей отказовс более низким номером. Например. «Классы с более низкой интенсивностью отказов» для класса 3 интенсивностей отказов означает классы 2 и 1 интенсивностей отказов.

3    Доля безопасных сбоев части аппаратных средств может быть учтена при определении охвата механизмами безопасности. В этом случае вычисление охвата осуществляется аналогично расчету метрики скрытого сбоя, но на уровне части аппаратных средств, а не на уровне устройства.

9.4.3.12 Данное требование распространяется на значения УПБА (В). С и D цели безопасности. Ранжированный класс интенсивностей отказов, используемой в анализе интенсивности отказов части аппаратных средств, должен быть обоснован с помощью источников интенсивностей отказов, описанных в 8.4.3. Если в анализе используются интенсивности отказов от нескольких источников данных, то интенсивности должны быть промасштабированы. как описано в 9.4.27.

9.4.4    Отчет по верификации

Данное требование распространяется на значения УПБА (В). С и D цели безопасности. Должен быть подготовлен отчет по верификации анализа, выполняемого в соответствии с набором требований 9.4.2 или 9.4.3 для того, чтобы представить доказательства его технической корректности и полноты в соответствии с требованиями раздела 9 ИСО 26262-8:2011.

9.5 Результаты работы

9.5.1    Анализ нарушений цели безопасности в результате случайных отказов аппаратных средств

8 результате выполнения требований 9.4.2 или 9.4.3.

9.5.2    Спецификация специальных мер для аппаратных средств

При необходимости, в том числе обоснование эффективности специальных мер. в результате выполнения требований

9.4    2.4.9.5.3, 9.4 2.5.9.4.3.S и 9.4.3.6.

9.5.3    Экспертный отчет по оценке нарушений цели безопасности в результате случайных отказов аппаратных средств

В результате выполнения требований 9.4.4.

10 Интеграция и тестирование аппаратных средств

10.1    Цель

Целью настоящего раздела является обеспечение, путем проведения испытаний, соответствия разработанных аппаратных средств требованиям к их безопасности.

Требования 10.4.1—10.4.6 применяются к элементу аппаратных средств.

10.2    Общие положения

Цепью действий, описанных в настоящем разделе, является интеграция элементов аппаратных средств и тестирование проекта аппаратных средств, чтобы проверить его соответствие требованиям к безопасности аппаратных средств для соответствующего УПБА

Интеграция и тестирование аппаратных средств отличается от деятепьности по квалификации компонентов аппаратных средств, описанной в разделе 13 ИСО 26262-8:2011. которая свидетельствует для компонентов и частей аппаратных средств на промежуточном уровне о пригодности их использования в качестве частей устройств, систем или элементов, разработанных в соответствии с настоящим стандартом.

10.3    Входная информация

10.3.1    Предварительные требования

Следующая информация должна быть доступна:

-    план по обеспечению безопасности (уточненный) в соответствии с 5.5;

•    план тестирования и интеграции устройства (уточненный) в соответствии с пунктом 5.5.3 ИСО 26262-4;

-    спецификация требований к безопасности аппаратных средств в соответствии с 6.5.1:

•    спецификация проекта аппаратных средств в соответствии с 7.5.1.

10.3.2    Дополнительная информация

•    план проекта (уточненный) (см. пункт 5.5.1 ИСО 26262-4);

•    отчет по анализу безопасности аппаратных средств (см. 7.5.2).

10.4    Требсвания и рекомендации

10.4.1    Действия по интеграции и тестированию аппаратных средств должны быть выполнены в соответствии с требованиями раздела 9 ИСО 26262-8.

10.4.2    Действия по интеграции и тестированию аппаратных средств должны быть согласованы с планом интеграции и тестирования устройства, приведенным в пункте 5.5.5 ИСО 26262-4.

Примечание — Если применяется декомпозиция У ПБА. как определено в разделе 5 ИСО 26262-9. то до декомпозиции к УЛБАприменяются соответствующиемероприятияпоиитеграциидекомпозироваииыхэлемеитов. а также дополнительные действия.

10.4.3    Испытательное оборудование должно быть под контролем системы мониторинга качества.

10.4.4    Чтобы сформировать необходимые тестовые примеры для выбранных тестов интеграции аппаратных средств, необходимо использовать подходящую комбинацию методов, перечисленных в таблице 10.

Таблицею — Методы получения тестовых примеров для тестирования интеграции аппаратных средств

Методы

У ЛБА

А

В

с

D

Анализ требований

♦ ♦

Анализ внешних и внутренних интерфейсов

♦ ♦

♦ ♦

Генерация и анализ классов эквивалентности61

t*

♦ ♦

10

Анализ граничных значений6*

♦ ♦

♦ ♦

Ошибки, предполагаемые на основе знаний и опыта0

♦ ♦

11

Анализ функциональных зависимостей

♦ ♦

19

Анализ общих предельных условий, последовательностей и источников зависимых отказов

♦ ♦

♦ ♦

Анализ состояния окружающей среды и прецедентов эксплуатации

t*

♦ ♦

1i

Стандарты, если существуют**

11

Анализ значимых вариантов0*

♦ ♦

♦ ♦

♦ ♦

•* Для того чтобы эффективно получить необходимые тесты, может быть выполнен внелиз сходств. ь* Например, значения, приближающиеся к границам и пересекающие границы между указанными значениями. и значения извне диапазона указанных значений.

с| «Тесты, предполагаемых ошибок» могут быть основаны на данных, собранных в процессе обучения, или из экспертной оценки, или иэ обоих источников. Может быть использован FMEA. d) Существующие стандарты включают ИСО 16750 и ИСО 11452.

*> Анализ значимых вариантов включает в себя анализ на наихудший случай.

10.4.5 Действия по интеграции и тестированию аппаратных средств должны включать проверку полноты и корректности реализации механизмов безопасности в соответствии с требованиями к безопасности аппаратных средств.
Для достижения этих целей, должны быть рассмотрены методы, перечисленные в таблице 11.

Таблица 11 — Тесты интеграции аппаратных средств для проверки полноты и корректности реализации механизмов безопасности в соответствии с требованиями к безопасности аппаратных средств

Me годы

УПБА

А

В

С

О

1

Функциональное тестирование41

♦ ♦

♦ ♦

♦ ♦

2

Тестирование с введением неисправности**

♦ ♦

3

Тестирование электрических параметров0

♦ ♦

Ф Ф

♦ ♦

•* Функциональное тестирование направлено на проверку достижения устройством специфицированных характеристик. На вход устройства подаются данные, которые адекватно характеризует его предполагаемую нормальную работу, выходные данные сравниваются с приведенными в спецификации. Отклонения от спецификации и признаки неполноты спецификации анализируются.

Ь) Тестирование с введением неисправности основано на включении сбоев в аппаратные изделия и на анализе полученной реакции. Это тестирование применяется, когда определен механизм безопасности. Применимо также моделирование введения сбоя (например, введение сбоя в модель логической схемы на основе списка соединений) особенно, когда тестирование с введением сбоя очень трудно выполнить для реального аппаратного изделия. Например, демонстрацию реакции механизмов безопасности на кратковременные сбои а частях аппаратных средств, таких как микроконтроллер, очень трудно реализовать введением сбоев в аппаратные средства на уроне изделия, так как это требует тесты с облучением.

с> Электрические испытания направлены на проверку соблюдения требований к безопасности аппаратных средств внутри специфицированного (статического и динамического) диапазона напряжений._

10.4.6 Действия по интеграции и тестированию аппаратных средств должны включать проверку надежности аппаратных средств при внешних стрессовых воздействиях.
Для достижения этих целей, должны быть рассмотрены методы, перечисленные в таблице 12.

Таблица 12 — Тесты интеграции аппаратных средств для проверки надежности и работы под воздействием внешних стрессовых воздействиях

Методы

УПБА

А

В

С

О

Испытания на воздействие окружающих условий при выполнении проверки основных функций4*

♦ ♦

Ф *

♦♦

Расширенное функциональное испытание0*

♦ ♦

♦ ♦

1C

Статистический тест6*

«

♦ ♦

id

Тестирование на иаихудший случай01

♦ ♦

♦ ♦

♦ ♦

16

Тестирование в запредельных условиях41

♦ ♦

и

Механическое испытание0

♦ ♦

Ускоренное испытание на долговечность?*

♦ ♦

1h

Испытание на механическую износостойкость0*

• ♦

♦ ♦

11

Испытание на электромагнитную совместимость и на устойчивость к электростатическим разрядам0

1J

Химические испытания**

♦ ♦

♦ ♦

♦ ♦

** Во время испытаний на воздействие окружающих условий при выполнении проверки основных функций аппаратные средства помещаются а различные условия окружающей среды и оценивается выполнение требований к аппаратным средствам. Может быть применен ИСО 16750-4.

Окончание таблицы 12

ь> Расширенное функциональное тестирование проверяет функциональное поведение устройства для редко встречающихся значений входных условий (например, экстремальные значения циклограммы), или находящихся за пределами спецификации аппаратного средства (например, неправильная команда). 8 таких ситуациях, наблюдаемое поведение элементе аппаратных средств сравнивается со специфицированными требованиями.

с| Статистические тесты выполняют проверку элемента аппаратных средств, на вход которого подаются данные. выбранные в соответствии с ожидаемым статистическим распределением реальной циклограммы. Критерии приемлемости определяются тем. что статистическое распределение результатов подтверждает требуемую интенсивность отказов.

Тестирование на наихудший случай выполняют проверку ситуаций, выявленных а результате анализа на наихудший случай. В таком тесте, условия окружающей среды меняются до их максимально допустимых предельных значений, определенных а спецификации. Проверяется соответствующая реакция аппаратных средств и сравнивается со специфицированными требованиями.

°> При тестировании а запредельных условиях элементы аппаратных средств проверяются при экологических или функциональных ограничениях, постепенно увеличивающихся до значений более серьезных, чем для них специфицировано, пока они не перестают работать, или они будут разрушены. Целью этого теста является определение запаса прочности тестируемых элементов, относительно требуемых показателей работы. г> Механическое испытание распространяется на механические свойства, такие как прочность на разрыв.

Ускоренное испытание на долговечность направлено на предсказание поведения в процессе эволюции изделия в нормальных условиях эксплуатации. При ускоренном испытании изделие подвергая его более высоким нагрузкам, чем ожидалось в течение его срока службы. Ускоренные испытания основаны на аналитической модели ускорения влияния вида отказов.

Целью этих испытаний является определение среднего времени до отказа или максимального числа циклов. которое элемент может выдержать. Тест может выполняться до отказа или получения повреждения.

(>Для испытаний на электромагнитную совместимость могут быть применены ИСО 7637-2. ИСО 7637-3. ИСО 10605, ИСО 11452-2 и ИСО 11452-4. а на устойчивость к электростатическим разрядам — ИСО 16750-2.

Для химических испытаний может быть применен ИСО 16750-5.

10.5 Результаты работы
10.5.1 Отчет по интеграции и тестированию аппаратных средств В результате выполнения требований 10.4.1—10.4.6.

Таблица А. 1 содержит обзор целей, предварительных условий и результатов работы конкретных стадий разработки аппаратных средств изделий.

Таблица А.1 — Обзор разработки аппаратных средств изделия

Раздел

Цели

Предел ригельные требования

Результаты работы

6 Инициирование разработки аппаратных средств изделия

Цепь инициирования разработки аппаратных средств изделия заключается в определении и планировании действий по обеспечению функциональной безопасности для отдельных подстадий разработки аппаратных средств. Кроме того, необходимо включить вспомогательные процессы, описанные в ИСО 26262-в.

Эти спланированные действия по обеспечению безопасности конкретных аппаратных средств будут включены а план по обеспечению безопасности (см. 6.4.3 ИСО 26262-2 и 5.4 ИСО 26262-4)

План проекта (уточненный) (см. S.S.1 ИСО 26262-4).

План по обеспечению безопасности (уточненный) (см. S.S.2 ИСО 26262-4).

План интеграции и тестирования устройства (уточненный) (см. 5.5.3 ИСО 26262-4)

S.6.1 План по обеспечению безопасности (уточненный)

6 Спецификация требований к аппаратным средствам системы безопасности

Первой целью настоящего раздела является формирование спецификации требований к аппаратным средствам системы безопасности. Они выводятся из технической концепции обеспечения безопасности и спецификации проекта системы.

Второй целью является проверка согласованности требований к аппаратным средствам системы безопасности с технической концепцией обеспечения безопасности и спецификацией проекта системы.

Третьей целью настоящего раздела является формирование подробной спецификации программно-аппаратного интерфейса, инициированного в разделе 7 ИСО 26262-4

План по обеспечению безопасности (уточненный) (см. S.S).

Техническая концепция обеспечения безопасности (см. 7.6.1 ИСО 26262-4).

Спецификация проекта системы (см. 7.6.2 ИСО 26262-4).

Спецификация программно-аппаратного интерфейса (см. 7.6.3 ИСО 26262-4)

6.6.1    Спецификация требований к аппаратным средствам системы безопасности (включая квалификационные критерии и критерии тестирования).

6.6.2    Спецификация программно-аппаратного интерфейса (уточненная).

6.6.3    Отчет о верификации требований аппаратных средств системы безопасности

7 Проектирование аппаратных средств

Первой целью данного раздела является разработке аппаратных средств а соответствии со спецификацией проекта системы и требованиями к аппаратным средствам системы безопасности.

Второй целью данного раздела является проверка проекта аппаратных средств на соответствие спецификации проекта системы и требований к аппаратным средствам системы безопасности

Спецификация требований к аппаратным средствам системы безопасности (см. 6.6.1).

Спецификация программно-аппаратного интерфейса (уточненная) (см. 6.S.2).

Спецификация проекта системы см. 7.6.2 ИСО 26262-4).

План по обеспечению безопасности (уточненный) (см. 6.S)

7.6.1    Спецификация проекта аппаратных средств.

7.6.2    Отчет по анализу безопасности аппаратных средств.

7.6.3    Отчет о верификации проекта аппаратных средств.

7.6.4    Спецификация требований к производству.

эксплуатации, обслуживанию и выводу из эксплуатации

Окончание таблицы А. 1

Раздел

Цепи

требования

Результаты работы

в Оценка метрик архитектуры вп-паратных средств

Цепью настоящего раздела является оценка архитектуры аппаратных средств устройства на соответствие требованиям к обработке сбоев с помощью метрик архитектуры аппаратных средств

Спецификация требований к аппаратным средствам системы безопасности (см. 6.5.1).

Спецификация проекта аппаратных средств (см. 7.5.1).

Отчет по анализу безопасности аппаратных средств (см. 7.5.2)

6.5.1    Анализ эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств.

6.5.2    Отчет группы экспертов об эффективности архитектуры устройства по предотвращению случайных отказов аппаратных средств

9 Оценка нарушений цели безопасности из-за случайных отказов аппаратных средств

Целью требований настоящего раздела является формирование доступных критериев для обоснования того, что остаточный риск нарушения цели безопасности из-за случайных отказов аппаратных средств устройства. является достаточно низким

Спецификация требований к аппаратным средствам системы безопасности (см. 6.5.1).

Спецификация проекта аппаратных средств (см. 7.5.1).

Отчет по анализу безопасности аппаратных средств (см. 7.5.2)

9.5.1    Анализ нарушений цепи безопасности в результате случайных отказов аппаратных средств.

9.5.2    Спецификация специальных мер для аппаратных средств.

9.5.3    Экспертный отчет по оценке нарушений цепи безопасности в результате случайных отказов аппаратных средств

10 Интеграция и тестирование аппаратных средств

Целью настоящего раздела является обеспечение, путем проведения испытаний, соответствия разработанных аппаратных средств требованиям к их безопасности

План по обеспечению безопасности (уточненный) (см. 5.5).

План тестирования и интеграции устройства (уточненный) (см. 5.5.3 ИСО 26262-4).

Спецификация требований к безопасности аппаратных средств (см. 6.5.1).

Спецификация проекта аппаратных средств (см. 7.5.1)

10.5.1 Отчет по интеграции и тестированию аппаратных средств

Виды отказов элементов аппаратных средств могут быть классифицированы, как показано на рисунке В.1. Блок-схема. представленная на рисунке 8.2. описывает, как вид отказа элемента аппаратных средств может попасть а одну из этих классификаций.

Рисунок В.1 — Классификация видов отказов элементов аппаратных средств


_ _

^5-

л

Гнц |(|| г **


а> Элементы с отказами, которые несущественно увеличивают вероятность нарушений цель безопасности, могут быть исключены из анализа и их виды отказов могут быть классифицированы как безопасные отказы, например. элементы аппаратных средств, сбои которых вносят вклад только а множественные отказы с л > 2. если только они не рассматриваются а технической концепции обеспечения безоласности.

MPF означает множественный сбой.

Примечания

1    Множественные сбои с л > 2 считаются безопасными сбоями, если они не рассматриваются а технической концепции обеспечения безоласности.

2    Один и тот же сбой может быть отнесен к различным классам, если рассматриваются различные цели безоласности.

Рисунок 8.2 — Пример классификации видов отказов

С.1 Классификация и охват диагностикой сбоев

С. 1.1 Данное требование распространяется назначения УПБА (В).С и О цели безопасности. Метрики архитектуры аппаратных средств должны бытьопределеиы для аппаратных средствустройстаа и только для связанных с безопасностью элементов аппаратных средств, у которых существует возможность внести существенный вклад в нарушение цепи безопасности.

Промер — .Элементы аппаратных средств, множественные сбои которых имеют п > 2, моеут быть исключены из расчетов, если они не рассматриеаютсл е технической концепции обеспечение безопасности.

С.1.2 Данное требование распространяется на значения УПБА (В). С и D цели безопасности. Каждый сбой, происходящий в связанном с безопасностью элементе аппаратных средств, должен быть классифицирован в соответствии с рисунком В. 1. как:

a)    одиночный сбой:

b)    остаточный сбой.

Пример — Элемент аппаратных средств может иметь сбои «обрыв цепи». «короткое замыкание на массу», и «короткое замыкание на пинию еысокоао напряжение», но только сбои «обрыв цепи» и «короткое замыкание на массу» охеатыеаютсе механизмами безопасности. Сбой «короткое замыкание на линию еысокоао напрежение» еелеетсе остаточным сбоем, тая как он не охеатыеаетсе механизмом безопасности, если он приводит к нарушению заданной цели безопасности;

c)    множественный сбой:

d)    безопасный сбой.

Рисунок С.1 дает графическое представление классификации сбоев связанных с безопасностью элементов аппаратных средств устройства.

Рисунок С.1 — Классификация сбоев связанных с безопасностью элементов аппаратных средств устройства

В этом графическом представлении:

•    расстояние л представляет собой число независимых одновременно присутствующих сбоев, вызывающих нарушение цели безопасности (л * 1 для одиночного или остаточного сбоя, л ■ 2 для двойного сбоя и т. д.);

•    сбои с расстоянием, равным до значения л. расположены в районе между окружностями л ил-1;

•    множественные сбои с расстоянием строго больше л » 2 следует рассматривать как безопасные сбои, если они не рассматриваются в технической концепции обеспечения безопасности.

Примечание — Кратковременные сбои, для которых механизм безопасности возвращает устройство а состояние без сбоя, можно рассматривать как выявляемые множественные сбои, даже если водитель никогда не сообщал об их существовании.

Пример — В случае использования коде коррекции ошибок для защиты памяти от кратковременных сбоев, устройство будет возвращаться в состояние без сбоя, если механизм безопасности, кроме передачи коррвктноео значения в ЦП. изменяет зна чение ошибочноао бита на обратное внутри массива памяти (например, путем перезаписи с корректор о в а* ново значения).

Интенсивность отказов X каждого связанного с безопасностью элемента аппаратных средств может быть поэтому выражена е соответствии с уравнением (С.1) (предполагая, что асе сбои независимы и распределены экспоненциально), а именно:

k * k SPf * kRP * kMPP * kS•

где kspf — интенсивность отказов, связанных с одиночными сбоями элемента аппаратных средств;

).nf — интенсивность отказов, связанных с остаточными сбоями элемента аппаратных средств;

\ирр — интенсивность отказов, связанных с множественными сбоями элемента аппаратных средств;

>.s — интенсивность отказов, связанных с безопасными сбоями элемента аппаратных средств.

Интенсивность отказов, связанных с множественными сбоями элемента аппаратных средств может быть выражена уравнением (С.2)следующим образом:

kMPP * kMPP, OP * kMPP. i*

где kUPF OP— интенсивность отказов, связанных с воспринимаемыми или выявляемыми множественными сбоями элемента аппаратных средств:

мрр I ~ интенсивность отказов, связанных со скрытыми сбоями элемента аппаратных средств.

Интенсивность отказов, связанных с остаточными сбоями, может быть определена с помощью охвата диагностикой механизмов безопасности, которые предотвращают множественные сбои элемента аппаратных средств. Уравнение (С.З) дает консервативную оценку интенсивности отказов, связанных с остаточными сбоями:

kRP * kRP. Oit а k *    “ *DC.

где    — расчетная интенсивность отказов, связанных с остаточными сбоями;

KDC rp — значение охвата диагностикой остаточных сбоев, выраженное в процентах.

Интенсивность отказов, связанных со скрытыми сбоями, может быть определена с помощью охвата диагностикой механизмов безопасности, которые предотвращают скрытые сбои элемента аппаратных средств. Уравнение (С.4)дает консервативную оценку интенсивности отказов, связанных со скрытыми сбоями:

КОС. MPP.L * И “ kUPP, i.    * 10°*

kMPf.L* kMPf. си т k *0 ” кос. МРР.    (С-4)

где *.ЫРР L oat — расчетная интенсивность отказов, связанных со скрытыми сбоями.

KDC MPf L — значение охвата диагностикой скрытых сбоев, выраженное в про иен тех.

Примечания

1    Для данной цепи может быть использовано приложение D в качестве основного подхода для расчета заявленного охвата диагностикой и его поддержки надлежащим обоснованием.

2    Если рассмотренные выше оценки считаются слишком консервативными, то детальный анализ видов отказов элемента аппаратных средств может отнести каждый вид отказов к одному из классов сбоев (одиночные сбои, остаточные сбои, скрытые, выявляемые или воспринимаемые множественные сбои или безопасные сбои) для заданной цели безопасности и определить интенсивности каждого вида отказов. Для классификации сбоев может быть использована блок-схема приложения В.

С.2 Метрика одиночного сбоя

С.2.1 Данная метрика отражает устойчивость устройства к одиночным и остаточным сбоям, которая реализуется или охватом механизмами безопасности или в процессе проектирования (а основном допускаются безопасные сбои). Большое значение метрики одиночного сбоя означает, что отношение одиночных сбоев к оста точным сбоям а аппаратных средствах устройства является низким.

С.2.2 Данное требование распространяется на значения УЛБА (6). С и О дели безопасности. Для определения метрики одиночного сбоя необходимо использовать уравнение (С.5):

к SPf ♦ kRF )

- SR.HW__SftHW_

‘ I* = I* *

SR IV    SR HIV

где    является суммой значений Хд.саязанныхс безопасностью элементов аппаратных средств устройства

SR.HIV

для рассматриваемых метрик.

Примечания

1    Для данной метрики рассматриваются только связанные с безопасностью элементы аппаратных средств устройства, отказы которых могут внести существенный вклад в нарушение дели безопасности.

/Гример — Элементы аппаратным средств, множественные сбои которых имеют п > 2. моеут быть исключены из расчетов. если эти сбои на рассматриваются в технической концепции обеспечения безопасности.

2    Рисунок С.2 дает графическое представление метрики одиночного сбоя.

3    Пример расчета метрики скрытого сбоя приведен в приложении Е.

Рисунок С.2 — Графическое представление метрики одиночного сбоя С.З Метрика скрытого сбоя

С.3.1 Данная метрика отражает устойчивость устройства к скрытым сбоям, которая реализуется или охватом сбоев механизмами безопасности или самим водителем, понимающим, что перед нарушением дели безопасности происходит сбой, или в процессе проектирования (в основном допускаются безопасные сбои). Большое значение метрики скрытого сбоя означает, что часть скрытых сбоев в аппаратных средствах устройства низка.

С.3.2 Данное требование распространяется на значения УПБА (В). С и D цепи безопасности. Дпя определения метрики скрытого сбоя необходимо использовать уравнение (С.6):

к lOftl ) I<    4)    (C.6)

1 _ SP.*tV_^SRMW_

SR.HW    SR.HW

где £ кж является суммой значений Хд. связанных с безопасностью элементов аппаратных средств устройства

SR. HW

для рассматриваемых метрик.

Примечания

1 Для данной метрики рассматриваются только связанные с безопасностью элементы аппаратных средств устройства, отказы которых могут внести существенный вклад в нарушение цели безопасности.

Промер — Элементы аппаратных средств, множественные сбои которых имеют п > 2, могут быть исключены из расчетов, если эти сбои не рассматриваются в технической концепции обеспечения безопасности.

2    Рисунок С.З дает графическое представление метрики скрытого сбоя.

3    Пример расчета метрики скрытого сбоя приведен в приложении Е.

Рисунок С.З — Графическое представление метрики скрытого сбоя

Оценка охвата диагностикой

0.1 Общие положений

Ленное припожеиие предназначено для использования.

a)    при оценке охвата диагностикой дпя получения обоснования:

1)    соответствия с метриками одиночного сбоя и скрытого сбоя, определенными е разделе в.

2)    соответствия оценки нарушения цепи безопасности из-за случайных отказов аппаратных средств, как это определено в разделе 9;

b)    а качестве руководства по выбору соответствующих механизмов безопасности, которые должны быть реализованы а 3/3 архитектуре для обнаружения отказов элементов.

На рисунке 0.1 представлена общая структура аппаратных средств встроенной системы. Типичные сбои или отказы элементов аппаратных средств этой системы приведены а таблице 0.1. которая также включает рекомендации для охвата диагностикой. Каждый элемент из левой колонки связан с одним или более сбоями, которые рассматриваются а правых от элемента колонках. Перечень не претендует на полноту и может быть дополнен известными сбоями или связанными с конкретным применением.

На дополнительные подробности о механизмах безопасности, связанных с этими сбоями элементов, а каждой строке дается ссыпка (на таблицы 0.2—0.14). Эффективность этих типовых механизмов безопасности дпя данных элементов категоризируется а соответствии с их способностью охвата вышеперечисленных сбоев дпя достижения низкого (60%). среднего (90%) или высокого (99%) охвата диагностикой этого элемента.

Определение дпя сбоев и соответствующих им механизмов безопасности уровней охвата диагностикой может отличаться от представленного а таблице 0.1 а зависимости от:

c)    разнообразия источников вида сбоя, выявляемого диагностикой;

d)    эффективности механизма безопасности:

e)    конкретной реализации механизма безопасности.

f)    выполнения во времени механизма безопасности (периодичности);

д) реализованных а системе технологий аппаратных средств:

h) вероятности видов отказов аппаратных средств системы.

I) результатов более детального анализа сбоев и их классификации на ряд подклассов с различными уровнями охвата диагностикой.

Таким образом, таблица 0.1 содержит рекомендации, которые могут быть адаптированы а результате анализа элементов системы.

Эти рекомендации не учитывают конкретные ограничения, которые могут быть указаны а концепции безопасности ао избежание нарушения цепей безопасности. Зти ограничения, такие как временные аспекты (периодичность диагностики), например, не учитываются при оценке общего типового охвата диагностикой механизмом безопасности. Они будут рассмотрены при оценке конкретного охвата диагностикой механизмом безопасности, используемым а устройстве, чтобы избежать нарушения его целей безопасности.

Промер — Механизм безопасности может обеспечить высокое значение общего типового охвата диагностикой а настоящей приношении, но если используемый интервал диагностических проверок больше, чем интервал диагностических проверок, необходимый для обеспечения соответствующего интервала сбоеустойчиеости, то конкретный охват диагностикой по отношению к предотвращению нарушения цели безопасности, будет значительно ниже.

Поэтому таблицы D.1—0.14 могут быть использованы для начальной оценки охвата диагностикой этими механизмами безопасности с заявленными значениями охвата диагностикой, поддерживаемыми надлежащими обоснованиями. Кроме того, данная информация предназначена, чтобы помочь определить виды сбоев или отказов элемента; однако соответствующие виды отказов а конечном счете зависят от применения, а котором используются эти элементы.

Э? ЭЗ Синими

Рисунок D.1 — Общая структура аппаратных средств системы

Табпицы 0.2—0.14 поддерживают информацией табпицу 0.1, давая рекомендации по методам диагностических тестоа. Методы и средства, предстаапеиные в табпицах 0.1—0.14. не явпяются исчерпывающими. Могут быть использованы и другие методы, если представлены свидетельства, что они поддерживают необходимый охват диагностикой. Еспи это обосновано, то можно оценить бопее высокий охват диагностикой, до 100 % дпя простых ипи спожных элементов.

Таблица 0.1— Виды сбоев и отказов, которые подлежат рассмотрению при определении охвата диагностикой

Элемент

См. табпииы

Анализируемые виды отказов для охвата диагностикой 60 %. 90 % и 99 %

Низкий (60%)

Средний (60 %}

Высокий (99 %)

Общие элементы

Э/Э системы

0.2

Нет общей модели сбоя. Необходим детальный анализ

Нет общей модели сбоя.

Необходим детальный анализ

Нет общей модели сбоя.

Необходим детальный анализ

Электрические элементы

Реле

0.3

Не включение или не отключение.

Приаарениые контакты

Не включение или не отключение.

Отдельные приваренные контакты

Не включение или не отключение. Отдельные приваренные контакты.

Соединительные жгуты, включая холодную пайку и разъемы

Обрыв цепи.

Короткое замыкание на массу

Обрыв цепи.

Короткое замыкание на массу (связь по постоянному току).

Короткое замыкание напряжения аккумулятора.

Короткое замыкание между соседними контактами

Обрыв цепи. Короткое замыкание не массу (связь по постоянному току). Короткое замыкание напряжения аккумулятора.

Короткое замыкание между соседними контактами.

Дрейф сопротивления между контактами

Продолжение таблицы D. f

Элемент

См таблицы

Анализируемые виры отказов для охвата диагностикой 60 %. 90 % и 99 %

Низкий <60 %)

Средний (90 %)

Высокий <99 %)

Датчики, включая переключатели сигналов

D.11

Нет общей модели сбоя. Необходим детальный анализ. Типичные виды охватываемых отказов:

- константные в рабочем диапазоне

Нет общей модели сбоя. Необходим детальный анализ. Типичные виды охватываемых отказов.

•    недопустимые значения:

•    смещения:

•    константные а рабочем диапазоне

Нет общей модели сбоя, необходим детальный анализ. Типичные виды охватываемых отказов:

•    недопустимые значения.

•    смещения:

•    константные а рабочем диапазоне.

•    колебания

Исполнительные элементы (исполнительсигнальные лампы, звуковое устройство, дисплей компьютера)

D.12

нет общей модели сбоя. Необходим детальный анализ

Нет общей модели сбоя. Необходим детальный анализ

Нет общей модели сбоя. Необходим детальный анализ

Общие полупроводниковые элементы

Источник питания

D.9

Пониженное и повышенное напряжение

Лрейф.

Пониженное и повышенное напряжение

Лрейф и колебания. Пониженное и повышенное напряжение. Перепады напряжения

Устройство синхронизации

D.10

Константные отказы**

Сбои при постоянном токе6*

Модель сбоя при постоянном токе6*. Некорректная частота.

Периодическая неустойчивость синхронизации

Постоянная память

D.S

Константные отказы** в данных и адресах, а также в интерфейсах управления, шинах управления и управляющей логике

Сбои при постоянном токе6* в данных и адресах (включая адресные шины в том же блоке), а также а интерфейсах управления. шинах управления и управляющей логике

Модель сбоя при постоянном токе6* в данных и адресах (включая адресные шины в том же блоке). а также в интерфейсах управления, шинах управления и управляющей логике

Память с произвольным доступом

<

D.6

Константные отказы** в данных и адресах, а также в интерфейсах управления, шинах управления и управляющей логике

Сбои при постоянном токе61 в данных и адресах (включая адресные шины в том же блоке и неспособность записать а ячейку), а также в интерфейсах управления. шинах управления и управляющей логике. Исправимая ошибкаодноразрядного регистра

Модель сбоя при постоянном токе6* в данных и адресах (включая адресные шины а том же блоке и неспособность записать в ячейку), а также а интерфейсах управления, шинах управления и управляющей логике. Исправимая ошибка0 одноразрядного регистра

Продолжение таблицы 0.1

Элемент

См. таблицы

Анализируемые о иды отказов для охоата диагностикой 60 %. 90 % и 99 %

Низкий (60 %)

Средний (00 %)

Высокий (69%)

Цифровое устройство ввода/аывода

D.7

Константные отказы4' (включая внешние для микроконтроллера сигнальные линии)

Сбои при постоянном токе6' (включая внешние для микроконтроллера сигнальные линии)

Модель сбоя при постоянном токе6'(включая внешние для микроконтроллера сигнальные линии). Дрейф и колебания

Аналоговое устройство ввода/аывода

Константные отказы*' (включая внешние для микроконтроллере сигнальные линии)

Сбои при постоянном токе6' (включая внешние для микроконтроллера сигнальные линии). Дрейф и колебания

Сбои при ПОСТОЯННОМ токе6' (включая внешние для микроконтроллера сигнальные линии)

Дрейф и колебания

ж

W

О

О

а

о

о

ж

с

ст

о

5

АЛ У — мнфор-меиионные каналы

D.4/D.13

Константные отказы*1

Константные отказы*' на уровне логического элемента

Модель сбоя при постоянном токе6'. Исправимая ошибкас' (для последовательностных схем)

Регистры (блок регистров общего назначения, регистры DMA), внутреннее ЗУ

D.4

Константные отказы*1

Константные отказы*' на уровне логического элемента. Исправимая ошибка^ (для последовательностных схем)

Модель сбоя при постоянном токе6', включая отсутствие, неверную или множественную адресацию.

Исправимая ошибкаС|

Вычисление адреса (блок загрузки и хранения, логика адресации ОМА. память и тины интерфейсов)

D.4/D.S/

D.6

Константные отказы*1

Константные отказы*' не уровне логического элемента

Модель сбоя при постоянном токе6', включая отсутствие, неверную или множественную адресацию. Исправимая ошибка(для последовательностных схем)

Устройство обработки прорываний

D.4/D.10

Пропуск прерывания или непрерывные прерывания

Пропуск прерывания или непрерывные прерывания. Некорректное выполнение прерывания

Пропуск прерывания или непрерывные прерывания.

Некорректное выполнение прерывания. Неверный приоритет. Медленное или подверженное влиянию помех устройство обработки прерываний вызывает пропуски или задержки а обслуживании прерываний

Управляющая логика (контроллер последовательности, логика кодирования и выполнения. включая управление регистром признаков и стеком)

D.4/D.10

Нет выполнения кода. Выполнение очень медленное.

Переполнение стека/ло-теря значимости

Неправильный код или нет выполнения. Выполнение очень медленное. Переполнение ста-ка/потеря значимости

Неправильный код или нет выполнения. Некорректное выполнение.

Выполнение очень быстрое или очень медленное. Переполнение сте-ка/потеря значимости

Продолжение таблицы D. f

ЭЛОМОИ1

См. таб< пицы

Анализируемые виды отказов для oxaata диагностикой 60 %, 90 % и 96 %

Ними* (60%)

Средний |90 %)

Высокий (99 %)

Регистры кон-

Неправильное зна

Искажение данных а ре

X

фигурации

чение константного

гистрах (исправимые

£

о

0.4

отказа*1

ошибки).

%

Модель сбоя при кон

$

стантном отказе41

X

С

Другие лодэле-

Константные отказы**

Константные отка

Модель сбоя при посто

«Т

менты, не при-

зы^ на уровне ло

янном токе6*.

О

2

надлежащие

D.4/D.13

гического элемента

Модель исправимой

предыдущим

ошибкис} (для последо

классам

вательностных схем)

Коммуникация

Константные отказы4* (в

Модель сбоя при

Модель сбоя при посто

на кристалле.

сигналах данных, управ

постоянном токе6*

янном токене сигналах

включая управ

ления. адреса и разре

(а сигналах дан

адреса, управления, ад

ление доступом

шения конфликтов)

ных. управления.

реса и разрешения кон

к шине

адреса и разреше

фликтов).

ния конфликтов).

Блокировки по времени.

0.14

Блокировки по вре

Арбитраж не выполня

а

X

мени.

ется или выполняется

ч

Арбитраж не вы

непрерывно или непра

I

полняется или вы

вильно.

Z

>.

полняется

Исправимые ошибки

3

я

непрерывно

(для последователь

о

'ЗС

ностных схем)

Передача дан

Отказ однорангового

Предыдущие и по

Предыдущие и неле

ных (должна

коммуникационного узла

вторное упорядо

гальное проникновение

быть проанали

сети.

чивание.

зирована с при

Повреждение сообще

Введение сообще

ложением 0

0.8

ния.

ния

ИСО 26262-6)

Задержка сообщения.

Потеря сообщения.

Непреднамеренное по

вторение сообщения


Примечания

1    Более высокое значение охвате диагностикой может быть заявлено на основе анализа. Аналогично, будет получено более низкое значение охвата, если доминирующий вид отказов в списке отсутствует.

2    Кратковременные сбои рассматриваются, когда показано, что это актуально, например в случае использования микроэлектронной технологии.

3    Виды отказов для устройств обработки могут быть сведены к моделям сбоям при переменном токе таким, как сбои переходных процессов (замедленное повышение и уменьшение напряжения а узлах на используемой частоте) и задержки в линиях связи. Сбои такого типа, как ожидается, будут возрастать с уменьшением геометрических размеров, реализуемых используемой технологией. Обычно тесты для этих типов сбоев выполняются при включении или выключении питания, или в обоих случаях, в связи с их интрузивной природой (влияние тестов на режимы работы а процессе тестирования) и их способностью рано выявлять отказы при тестах в пределах рабочего режима. Так как они трудно поддаются количественной оценке, эти виды отказов, как правило, не включают в расчет интенсивности отказов.

4    Если должным образом реализовать, то методы, полученные моделированием константных отказов (например. тестирование N-Detect) и выполненные в условиях применения, как известно, являются эффективными для моделей сбоев при постоянном токе, а также для моделей переходных процессов.

«Константный» — это вид отказа, который может быть описан всеми нулями («О») или единицами («1») на выводах элемента. Это справедливо только для элементов, у которых интерфейсы выводятся на контакты элемента.


Окончание таблицы D.1

ь> «Модель сбоев при постоянном токе» включает а себя следующие модели отказов: константные отказы, константные неисправности типа обрыв, обрыв или высокое сопротивление выходов, а также короткие замыкания между сигнальными линиями. В данном случае не предполагается требовать исчерпывающего анализа, например требовать исчерпывающего анализа неисправностей типа короткое замыкание, которые могут влиять на любую теоретическую комбинацию любого сигнала внутри микроконтроллера или в многослойной печатной плате. Анализируются основные сигнальные линии или сильно связанные соединения, выявленные с помощью анализа на уровне топологии.

с| «Модели исправимых ошибок» (например, изменение состояния бита) являются результатом кратковременных сбоев, вызванные альфа-частицами, образовавшимися е результате процесса распада, нейтронами и т. д. Эти кратковременные сбои также включают а себя нарушение а результате единичного сбоя и нарушение в результате единичного кратковременного сбоя.

Таблица D.2 — Системы

Мехаиизмы/меры

безопасности

См. обзор методов

рассматриваемый охват диагностикой

Примечания

Обнаружение отказов путем мониторинга в режиме он-лайн

0.2.1.1

Низкий

Зависит от охвата диагностикой обнаружения отказов

Компаратор

0.2.1.2

Высокий

Зависит от качества сравнения

Схема голосования по мажоритарному принципу

0.2.1.3

Высокий

Зависит от качества устройства голосования

Принципы динамического управления

D.2.2.1

Средний

Зависит от охвата диагностикой обнаружения отказов

Мониторинг аналогового сигнала предпочтительнее мониторинга цифровых состояний включения— выключения

0.2.2.2

Низкий

Программное самотестирование с перекрестным обменом между двумя независимыми модулями

0.2.3.3

Средний

Зависит от качества самопроверки

Таблица 0.3 — Электрические элементы

Механиэмы/моры безопасности

См. обзор методов

рассматриваемый охват диагностикой

Примечания

Обнаружение отказов путем мониторинга в режиме он-лайн

D.2.1.1

высокий

Зависит от охвата диагностикой обнаружения отказов

Примечание — 8 данной таблице рассматриваются только механизмы безопасности, предназначен-иые для электрических элементов. Общие методы, такие как метод, основанный на сравнении данных (см. D-2.1.2). также способны обнаруживать отказы электрических элементов, но не включены в данную таблицу (они включены в таблицу D.2).

Таблица 0.4 — Модули обработки

Механиэмы/меры безопасности

См обзор методов

Максимально достижимый рассматриваемый охват диагностикой

Примечания

Программное самотестирование: предельное количество комбинаций (одноканальное)

D.2.3.1

Средний

Зависит от качества самопроверки

Программное самотестирование с перекрестным обменом между двумя независимыми модулями

0.2.3.3

Средний

Зависит от качества самопроверки

Окончание твбпииы 0.4

Си. обзор методов

Махсимально достижимый рассматриваемый охват диагностикой

Примечания

Самотестирование, обеспечиваемое аппаратными средствами (одноканальное)

0.2.3.2

Средний

Зависит от качества самопроверки

Программное обеспечение с разнообразной избыточностью (один канал аппаратных средств)

D.2.3.4

высокий

Зависит от качества разнообразия. Отказы по общей причине могут уменьшить значение охвата диагностикой

взаимное сравнение программным обеспечением

0.2.3.5

высокий

Зависит от качества сравнения

Избыточность аппаратных средств (жесткая двухядериая конфигурация, ассиметричная избыточность. запрограммированная обработка)

0.2.3.6

высокий

Зависит от качества избыточности. Отказы по общей причине могут уменьшить значение охвата диагностикой

Тестирование регистра конфигурации

0.2.3.7

высокий

Только для регистров конфигурации

выявление переполнения сте-ка/потери значимости

0.2.3.8

Низкий

Тестирование только границ стека

Интегрированный контроль непротиворечивости аппаратных средств

0.2.3.9

высокий

Охватывает только недопустимые исключительные состояния аппаратных средств

Примечание — в данной таблице рассматриваются только механизмы безопасности, предназначенные для модулей обработки. Общие методы, такие как метод, основанный на сравнении данных (см. 0 2.1.2). также способны обнаруживать отказы электрических элементов, но не включены в данную таблицу (они включены в таблицу 0.2).

Таблица O.S — Постоянная память

МехаииэмыГмеры безопасности

См. обзор методов

Махсимальио достижимый рассматриваемый охват

Примечания

Бит четности

D.2.S.2

НИЗКИЙ

Контроль памяти, используя коды обнаружения и исправления ошибок (EDC)

D.2.4.1

высокий

Эффективность зависит от числа избыточных битов. Может быть использован для коррекции ошибок

Модифицируемая контрольная сумма

D.2.4.2

Низкий

Зависит от числа и битовых ошибок в тестируемой области

Сигнатура памяти

D.2.4.3

высокий

Дублирование блоков

0.2.4.4

высокий

Таблица 0.6 — Память с произвольным доступом

См. обзор методов

Максимально достижимый рассматриваемый охват диатиостикой

Примечания

Тестирующая комбинация для памяти с произвольным доступом

D.2.S.1

Средний

высокий охввт для константных отказов. Не охватывает связанные отказы. Может подходить для работы при защите прерываний

Окончание таблицы 0.6

Механизмы/меры безопасное гм

См обзор методов

Максимально достижимый рассматриваемый охват

Примечания

Тесты чмарш»для памяти с произвольным доступом

0 2.5.3

Высокий

Зависит от порядка чтения записи для охвата связанной ячейки. Тест обычно не реализуется во время выполнения

Бит четности

0.2.5.2

Низкий

Контроль памяти, используя коды обнаружения и исправления ошибок (БОС)

0.2.4.1

Высокий

Эффективность зависит от числа избыточных битов. Может быть использован для коррекции ошибок

Дублирование блоков

0.2.4.4

Высокий

Отказы по общей причине могут уменьшить значение охвата диагностикой

Выполнение контрольной суммы _I

0.2.5.4

I_

Высокий

Эффективность сигнатуры зависит полиномиально от длины блока информации, который должен быть защищен. Необходимо внимательно следить, чтобы значения. используемые для определения контрольных сумм, не изменялись во время вычисления контрольной суммы, вероятность равна единице, деленной на максимальное значение контрольной суммы, если возвращается случайный код

Таблице D.7 — Аналоговые и цифровые устройства ввода/выеода

Мехамиэмы/меры безопасности

См. обзор методов

Максимально достижимый рассматриваемый охват

Примечание

Обнаружение отказов путем мониторинга а режиме он-лайн (цифровой ваод/выаод)*1

0.2.1.1

Средний

Зависит от охвата диагностикой обнаружения отказов

Тестирующая комбинация

0.2.6.1

Высокий

Зависит от типа комбинации

Кодовая защита для цифрового вводв/аывода

0.2.6.2

Низкий

Зависит от типа кодирования

Многоканальное параллельное выходное устройство

0.2.6.3

Высокий

Средство контроля выходов

0.2.6.4

Высокий

Только если поток данных изменяется во время диагностического тестового интервала

Сравнение/голосование на входе (1оо2. 2ооЗ или более высокая избыточность)

0.2.6.5

Высокий

Только если поток данных изменяется во время диагностического тестового интервала

Цифровой ваод/вывод может быть периодическим.

Таблица 0.8 — Коммуникационные шины (последовательные, параллельные)

Мехаиизмы/меры безопасности

См. обзор мегодоо

Максимально достижимый рассматриваемый охват диатиостикой

Примечания

Однобитовая избыточность аппаратных средств

D.2.7.1

Низкий

Миогобигоаая избыточность аппаратных средств

D.2.7.2

Средний

Повторное считывание отправленного сообщения

D.2.7.9

Средний

Полная избыточность аппаратных средств

D.2.7.3

Высокий

Отказы по общей причине могут уменьшить значение охвата диагностикой

Анализ с использованием тестирующих комбинаций

D.2.7.4

Высокий

Избыточность при передаче

D.2.7.5

Средний

Зависит от типа избыточности. Эффективен только для кратковременных сбоев

Информационная избыточность

D.2.7.6

Средний

Зависит от типа избыточности

Счетчик блоков денных

D.2.7.7

Средний

Мониторинг получения блоков данных по времени

D.2.7.8

Средний

Комбинация информационной избыточности. счетчика блоков данных и мониторинга получения блоков данных по времени

0.2.7.6. D.2.7.7 и D.2.7.8

Высокий

Для систем без аппаратного резервирования или тестирующих комбинаций, высокий охват может требоваться для комбинации этих механизмов безопасности

Таблица 0.9 — Источник литания

См. обзор мегодоо

Максимально достижимый рассматриваемый охват диатиостикой

Примечания

Управление напряжением или током (вход)

0.2.8.1

Низкий

Управление напряжением или током (выход)

D.2.8.2

Высокий

Таблица 0.10 — Контроль последовательности выполнения про грамм/синхронизация

См. обзор методов

Максимально достижимый рассматриваемый охват диагностикой

Примечания

Контрольный датчик времени с отдельной временной базой без временного окна

0.2.9.1

НИЗКИЙ

Контрольный датчик времени с отдельной временной базой и временным окном

D.2.9.2

Средний

Зависит от временного ограничения для временного окна

Логический контроль последовательности выполнения программ

0.2.9.3

Средний

Эффективен только для отказов синхронизации, если внешние временные события влияют не логический процесс выполнения программы. Обеспечивает охват внутренних отказов технических средств (например, ошибки частоты прерывания), которые могут вызвать нарушение последовательности выполнения программного обеспечения

Окончание таблицы D.10

Механизмы/моры безопасности

См. обзор методов

Максимально достижимый рассматриваемый охват диагностикой

Примечание

Комбинаций временного и логического контроля последовательности выполнения программ

0.2.9.4

высокий

Зависимая от времени комбинация временного и логического контроля последовательности выполнения программ

0.2.9.5

высокий

Обеспечивает охает внутренних отказов технических средств, которые могут вызвать нарушение последовательности выполнения программного обеспечения.

При реализации асимметричных проектов обеспечивает охват последовательности коммуникаций между основным устройством и устройством контроля.

Примечание — Метод должен быть разработан с учетом неустойчивости синхронизации при выполнении прерываний, загрузки ЦП. и т. д.

Т а б л и и в 0.11 — Датчики

Механизмы/моры безопасности

См обзор методов

Максимально достижимый рассматриваемый охват диагностикой

Примечания

Обнаружение отказов путем мониторинга е режиме он-лайн

0.2.1.1

Низкий

Зависит от охвата диагностикой обнаружения отказов

Тестирующая комбинация

D.2.6.1

высокий

Сравнение/голосование на входе (1оо2.2ооЗ или более высокая избыточность)

0 2.6.5

высокий

Только если поток данных изменяется во время диагностического тестового интервала

Допустимый диапазон датчика

0.2.10.1

Низкий

Обнаруживает короткие замыкания на массу или на линию высокого напряжения и некоторые обрывы цепи

Корреляция датчика

0.2.10.2

высокий

Обнаруживает отказы в диапазоне работы датчика

Проверка обоснованности датчика

0.2.10.3

Средний

Таблица D.12— Исполнительные элементы

Механизмы/моры безопасности

См обзор методов

Максимально достижимый рассматриваемый охват диагностикой

Примечания

Обнаружение отказов путем мониторинга в режиме он-лайн

0.2.1.1

Низкий

Зависит от охвата диагностикой обнаружения отказов

Тестирующая комбинация

0.2.6.1

высокий

Мониторинг (т. е. согласованность управления)

0.2.11.1

высокий

Зависит от охвата диагностикой обнаружения отказов

Таблица 0.13 — Комбинаторная и последовательностная логика

См. обзор методов

Максимально достижимый диагностикой

Примечании

Программное самотестирование:

D.2.3.1

Средний

Самотестирование, обеспечиваемое аппаратными средствами (одноканальное)

0.2.3.2

Высокий

Эффективность зависит от типа самопроверки. Наиболее подходящим уровнем для этого теста является уровень логическо-

Таблица 0.14 — Коммуникации на кристалле

См. обзор методов

Максимально достижимый диагностикой

Однобитовая аппаратная избыточность

0.2.7.1

НИЗКИЙ

Многобитоаая аппаратная избыточность

D.2.7.2

Средний

Многобитоаая избыточность может обеспечить высокий охват надлежащим чередованием денных. адресов и линий управления, и если она объединена с некоторым полным резервированием, например, для схемы разрешения конфликтов

Полная аппаратная избыточность

D.2.7.3

Высокий

Отказы по общей причине могут уменьшить значение охвата диагностикой

Тестирующая комбинация

D.2.6.1

Высокий

Зависит от типа комбинации

Примечание — Данная таблица рассматривает охват для коммуникационных шин внутри микропроцессора.

0.2 Обзор методов для встроенных самодиагностических тестов 0.2.1 Электрические устройства

Главная цель. Управление отказами в электромеханических элементах.

D.2.1.1 Обнаружение отказов путем мониторинга в режиме он-лайн

Примечание — Ссылка на данный мехвнизм/м еру приведена в таблицах 0.2.0.3.0.7. 0.11 и 0.12.

Цель. Обнаружение отказов путем мониторинга поведения системы во время ее нормальной работы (в режиме он-лайн).

Описание. При определенных условиях, отказы могут быть обнаружены с помощью информации (например)о поведении системы во времени. Например, если коммутатор нормально активизируется и если при этом коммутатор не изменяет состояния за предполагаемое время, то этот отказ может быть обнаружен. Обычными способами невозможно локализовать такой отказ.

Примечание — В общем случае не существует конкретных элементом аппаратных средств для реализации схемы мониторинга в режиме он-лайн. Мониторинг в режиме он-лайн обнаруживает аномальное поведение системы по отношению к определенным условиям ее активизации. Например, если такой параметр инвертируется, когда скорость автомобиля отличается от нуля, то обнаружение несоответствия между этим параметром и скоростью транспортного средства приводит к обнаружению отказа.

D.2.1.2 Компаратор

Примечание — Ссылка на данный мехенизм/меру приведена в таблице D.2.

Цель. Оперативное обнаружение (не одновременное) отказов в независимых программном обеспечении и аппаратных средствах.

Описание. Выходные сигналы независимых аппаратных средств или выходная информамия независимого программного обеспечения сравнивают цихлинески или непрерывно компаратором. Сам компаратор может быть внешне тестируемым или же может использовать сам окон троп ируемую технологию. Обнаруживаемые различия а поведении формируют информацию для сообщений об отказах. Например, два блока обработки обмениваются данными (включая результаты, промежуточные результаты и тестовые данные) друг с другом. Сравнение данных осуществляется с использованием программного обеспечения в каждом блоке и обнаруживаемые различия приводят к сообщению об отказе.

0.2.1.3 Схема голосования по мажоритарному принципу

Примечание — Ссылка на данный механизм/меру приведена в таблице 0.2.

Цель. Обнаружение и парирование отказов, по меньшей мере, в одном из трех аппаратных каналов.

Описание. Модуль голосования, использующий мажоритарный принцип (2 из 3. Э из 4 или m из п). используется для обнаружения и парирования отказов.

Примечание—В отличие от компаратора, метод голосования по мажоритарному принципу повышает готовность путем обеспечения функциональных возможностей резервного канала даже после потери одного из каналов.

0.2.2 Электрические элементы

Примечание — Ссылка на данный механизм/меру приведена а таблице 0.2.

Главная цель. Управление отказами а полупроводниковых элементах.

0.2.2.1 Принципы динамического управления

Примечание — Ссылка на данный механизм/меру приведена а таблице 0.2.

Цель. Обнаружение статических отказов путем динамической обработки сигналов.

Описание. Принудительное изменение других статических сигналов (генерируемых извне или внутри) помогает обнаруживать статические отказы в элементах. Этот метод часто ассоциируется с электромеханическими элементами.

0.2.2.2 Мониторинг аналогового сигнала предпочтительнее мониторинга цифровых состояний включения — выключения

Примечание — Ссылка на данный механизм/меру приведена а таблице 0.2.

Цель. Повышение уверенности в измеряемых сигналах.

Описание. Везде, где есть выбор, используются аналоговые сигналы вместо цифровых состояний включения — выключения. Например, текущие или безопасные состояния представлены уровнями аналогового сигнала, как правил о. с контролем уровня допуска сигнала. В случае цифрового сигнале, его можно контролировать при аналоговом входе. Этот метод обеспечивает непрерывность мониторинга и более высокий уровень доверия к устройству передачи, снижая необходимую частоту периодического тестирования, выполняемого для выявления отказов передаваемой функции датчика.

0.2.3 Модули обработки

Главная Цель. Распознавать отказы, которые приводят к неправильным результатам а модулях обработки.

0.2.3.1 Программное самотестирование

Примечание — Ссылка на данный механизм/меру приведена в таблицах 0.4 и 0.13.

Цель. Выполняемое программным обеспечением оперативное обнаружение отказов в модулях обработки и других подэлемеитах. состоящих из физических устройств памяти (например, регистры) или функциональных блоков (на пример, дешифратор команд или шифратор/дешифратор устройства обнаружения и коррекции ошибок) или обоих типов устройств.

Описание: Обнаружение отказа полностью реализуется программным обеспечением, которое выполняет самотестирование, используя комбинацию данных или набор комбинаций данных для проверки физической памяти (например, регистров данных и адреса) или функциональных блоков (например, дешифратор команд) или обоих.

Примеры

1 Модуль обработки данных проверяется на корректность функционирования посредством использования, по меньшей мере, одноао шаблона на инструкцию. Если инструкция не выполняется в связанных с безопасностью программах, то он мотет быть исключена из тестирования, но может быть ограничен охват, поскольку не вселоаические злементы процессора будут проверены. В общем, возможно, что не все выделенные и специальные регистры, основные таймеры и исключения могут быть охвачены. Охват зависимостей в последовательности команд, такой как реализуется при конвейерной обработке или вызывающей виды сбоев, связанные с синхронизацией, может быть ограничен. Определение фактическое о охаете тестируемых лоеических злементоа (в отличие от охееченмых инструкций) обычно требует серьезного моделирования сбоев. Данный тест дает очень оераниченные (или не дает вовсе) возможности оценки охвата исправимых ошибок.

2 В случае подзпементоа. таких как шифратор/дешифратор EDC. проараммное обеспечение может прочитать предварительно написанные специально поврежденные слове для тестирования поведения лоаики EDC. Поврежденные слова могут быть написаны с помощью самого программного тесте, если EDC и интерфейс памяти имеют аппаратный переключатель для доступа как к данным, так и к битам коде. Охват зависит от количества и •богатстве• шаблонов. Данный тест не обеспечи» веет охват исправимых ошибок.

D.2.3.2 Самотестирование, обеспечиваемое аппаратными средствами (одноканальное)

Примечание — Ссыпка на данный мехеииэм/меру приведена а таблицах 0.4 и 0.13.

Цель. Оперативное обнаружение отказов в процессоре и других подэпементах с использованием специальных аппаратных средств, которые увеличивают скорость и расширяют область обнаружения отказов

Описание. Дополнительные специальные аппаратные средства обеспечивают функции самотестирования для обнаружения отказов в процессоре и других подэпементах (например, шифратор/дешифратор БОС) на уровне логических элементов. Данный тест может обеспечить высокий охват. Обычно он запускается а процессе инициализации или отключения процессора вследствие его интрузивной природы (средства тестирования влияют на режим работы процессора). Обычно используется для обнаружения множественных сбоев.

Пример — В случае подзлементов, таких как шифратор/дешифратор EDC. специальный механизм аппаратных средств, такой как встроенное самотестирование логики, может быть добавлен для генерации входных комбинаций для шифратора/дешифратора и проверки ожидаемых результатов. Обычно входные денные создаются генератором случайных чисел. Охват данного методе зависит от количестве и «богатстве» комбинаций — но обычно охват достаточно высок в связи с автоматической генерацией комбинаций. Данный тест не обеспечивает охват исправимых ошибок.

D.2.3.3 Программное самотестирование с перекрестным обменом между двумя независимыми модулями

Примечание — Ссыпка на данный механизм/меру приведена в таблицах D.2 и 0.4.

Цель. Выполняемое программным обеспечением оперативное обнаружение отказов а модулях обработки, состоящих из физических устройств памяти (например, регистры) и функциональных блоков (например, дешифратор команд).

Описание Обнаружение отказа осуществляется только с помощью двух или более модулей обработки, программное обеспечение каждого из которых выполняет дополнительные функции, которые реализуют самотестирование (например, используя комбинацию блуждающих битов) для проверки физической памяти (регистры данных и адреса) и функциональных блоков (например дешифратор команд). Затем модули обработки обмениваются результатами. Данный тест дает очень ограниченные (или не дает вовсе) возможности оценки охвата исправимых ошибок.

D.2.3.4 Программное обеспечение с разнообразной избыточностью (в одном канапе аппаратных средств)

Примечание — Ссыпка на данный механизм/меру приведена а таблице D.4.

Цель. Оперативное обнаружение отказов в модулях обработки динамическим сравнением программного обеспечения.

Описание. Проект состоит из двух избыточных различных реализаций программного обеспечения а одном канапе аппаратных средств. В некоторых случаях использование различных ресурсов аппаратных средств (например. RAM и ROM памяти различного размера) может увеличить охват диагностикой.

Одна из реализаций, называется основной путь, отвечает за расчеты, которые, если вычислены с ошибкой, могут привести к опасности. Вторая реализация, называется резервный путь, несет ответственность за проверку расчетов по основному пути и принимать меры, если обнаружен сбой. Часто резервный путь реализуется с использованием других алгоритмических конструкций и другого кода для обеспечения разнообразия программного обеспечения. После завершения вычисления по обоим путям осуществляется сравнение выходных данных двух избыточных программных реализаций. Обнаруженные различия приводят к сообщению об отказе (см. рисунок 0.2). Проект включает а себя методы для координации двух путей и повторной синхронизации путей для исправимых ошибок.

Вообще сравнение включает в себя некоторый тип гистерезиса и фильтрации, что допускает незначительные различия, связанные с различными путями реализации программного обеспечения. Примером разнообразия алгоритмов являются: А ♦ В * С вместо С - В * А и при этом один путь использует обычные расчеты, а другой путь — математику дополнительного двоичного кода. Результат резервного пути может быть столь же простым, как проверка величины или ограничений скорости а расчетах по основному пути.

Примечание—В связи с возможными отказами по общей причине между основным и резервным путями для проверки работы основного контроллера с помощью диагностических запросов и ответов (см. (21)) может быть использован дополнительный сторожевой процессор.

Другим вариантом этого механизма защиты является реализация резервного пути, какточной копии основного пути (или реализовать основной путь дважды). Такая версия без избыточного программного обеспечения обеспечивает толькоохаатисправимыхошибок. Средний охает может быть достигнут, если код выполняется а третий разе известными входами, генерирующими выходы, которые должны быть проверены сравнением с набором ожидаемых результатов. Результаты этого метода имеет очень легкий критерий прошел/не прошел (предполагается, что сравниваемые результаты точно совпадут) и легкую реализацию (резервный канал не разрабатывается), поданный подход включает а себя необходимость сохранения истории параметров (например, динамических состояний, интеграторов, ограничений скорости и т.д.).

Рисунок 0.2 — Сравнение избыточного программного обеспечения а одном модуле обработки


0.2.3.5 Взаимное сравнение программным обеспечением в отдельных модулях обработки

Примечание — Ссылка на данный механизм/меру приведена а таблице 0.4.

Цель. Оперативное обнаружение отказов а модуле обработки динамическим сравнением программного обеспечения.

Описание. Два модуля обработки взаимно обмениваются данными (включая результаты, промежуточные результаты и тестовые данные). Сравнение данных осуществляется программным обеспечением каждого модул я и обнаруженные различия приводят к сообщению об отказе (см. рисунок D.3). Такой подход обеспечивает разнообразие аппаратных средств и программного обеспечения, если используются различные типы процессоров, а также отдельные алгоритмы, коды и компиляторы. Такой проект включает а себя методы, предотвращающие ложные обнаружения ошибок из-за различий между процессорами (например, неустойчивость цикла синхронизации, коммуникационные задержки, инициализация процессора).

Пути могут быть реализованы на отдельных ядрах двух ьядерног о процессора. В этом случае метод включает а себя анализ, позволяющий понять виды отказов по общей причине, связанные с общим кристаллом и корпусом этих двух ядер.

двйстш»

Рисунок D.3 — Сравнение избыточного программного обеспечения на различных модулях обработки


D.2.3.6 Избыточность аппаратных средств (жесткая двухядерная конфигурация, ассиметричиая избыточность. запрограммированная обработка)

Примечание — Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Оперативное обнаружение отказов в модулях обработки последовательным сравнением внутренних или внешних результатов или тех и других, полученных из двух модулей обработки, работающих а жесткой конфигурации (на одном кристалле многопроцессорной системы).

Описание 8 одной из версий этого типа диагностического метода — жесткая двухядерная конфигурация — даа симметричных процессора находятся на одном кристалле (см. (22)). Модули обработки выполняют дублирующие операции в жесткой конфигурации (или с задержкой с установленным периодом) и результаты сравниваются. Любое несоответствие результатов приводит к состоянию ошибки и затем обычно выполняется сброс этого состояния. Этот механизм очень эффективен для кратковременных ошибок и отказов в арифметико-логическом устройстве. В зависимости от уровня избыточности, охват может быть распространен на адресные шины памяти и регистры конфигурации. Преимущестеодаииогометода а том. что для параллельных путей не требуются отдельные коды, а недостаток в том. что имеющиеся два модуля обработки обеспечивают выполнение только одного модуля обработки. В хороших проектах выявляются и устраняются отказы по общей причине (например, отказы из-за обшей синхронизации). Такой подход, сем по себе, не обеспечивает охват диагностикой систематические ошибки.

Возможны другие виды избыточности аппаратных средств, например, асимметричная избыточность. 8 таких архитектурах (например, см. (25)). отличающийся и специализированный блок обработки тесно связан с главными модулями обработки посредством интерфейса, позволяющего пошаговое сравнение внутренних и внешних результатов. Такой вид избыточности очень эффективен для сбоев при постоянном токе и для исправимых ошибок. Кроме того, интерфейс уменьшает сложность и сокращает задержку обнаружения ошибок, например, на для сбоев, влияющих на блок регистров модуля обработки. Для параллельного пути и специализированного блока обработки, который может быть меньше основного, не требуется отдельный код. Разнообразие аппаратных средств обеспечивает эффективный охват отказов по общей причине и систематических отказов. Недостатком данного подхода является необходимость детального анализа для доказательства охвата диагностикой.

Возможна также запрограммированная обработке: модули обработки могут быть разработаны со специальными методами распознавания отказов или схемами коррекции отказов. Эти подходы могут гарантировать высокий охват для очень маленьких процессоров с ограниченными функциональными возможностями или они могут быть пригодны для подмодуля процессора, такого как арифметико-логическое устройство |26|. Аппаратные средства и программное обеспечение с запрограммированной обработкой можно совместить с использованием подходов, таких как Vital Coded Processor (27J. Может быть необходим детальный анализ для доказательства охвата диагностикой.

D.2.3.7 Тестирование регистра конфигурации

Примечание — Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Оперативное обнаружение отказов в регистрах конфигурации модуля обработки. Отказы могут быть связаны с аппаратными средствами (константные значения или ошибки, вызванные сменой состояний устройства) или с программным обеспечением (неправильно сохраненное значение или повреждение значения регистра в результате ошибки программного обеспечения).

Описание. Установки регистра конфигурации считываются и сравниваются с закодированными ожидаемыми параметрами (например, маски). Если установки не совпадают, в регистры перезагружают их целевые значения. Если ошибка сохраняется на протяжении заранее определенного числа проверок, то формируется сообщение об ошибке.

D.2.3.8 Выявление переполнения стека/потери значимости

Примечание — Ссылка на данный механизм/меру приведена в таблице D 4.

Цель. Оперативное обнаружение переполнения стека/потери значимости.

Описание. Границы стека а энергозависимой памяти загружаются с предопределенными значениями. Периодически значения проверяются, и если они изменились, то обнаруживаются потоки записей до или после границы Тест не нужен, если записи вне границ стека управляются блоком управления памятью.

D.2.3.9 Интегрированный контроль непротиворечивости аппаратных средств

Примечание — Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Оперативное обнаружение недопустимых условий е модуле обработки.

Описание. Большинство процессоров снабжены механизмами, которые возбуждают исключительные состояния аппаратных средств при обнаружении ошибок (например, деление на ноль, неправильные коды операций).

Чтобы захватить такие условия и изолировать систему от подобных ошибок, может быть использована обработке прерываний по этим ошибкам. Как правило, для обнаружения систематических отказов используется контроль аппаратных средств, но он также может быть использован для обнаружения определенных видов случайных сбоев аппаратных средств. Данный метод обеспечивает низкий охват для некоторых ошибок кодирования и считается € хорошей практикой» при проектировании.

D.2.4 Постоянная память

Главная Цель. Выявить модификации информации в постоянной памяти.

Примечание — В зависимости от типа реализации памяти одиночный сбой может повлиять на несколько ячеек памяти. Например, обрыв шины выборки строки ячеек памяти не позволит прочитать вскз строку ячеек памяти. Этот тип отказа может быть легче обнаружить, если тестируется несколько ячеек памяти.

0.2.4.1 Контроль памяти, используя коды обнаружения и исправления ошибок (EDC)

Примечание — Ссылки на данный механизм/меру приведены в таблицах 0.5 и 0.6.

Цель. Обнаружить каждый однобитовый отказ, каждый даухбитоаый отказ, некоторые трехбитоаые отказы и некоторые многобитовые отказы а слове (как правило. 32.64 или 128 бит).

Описание. Каждое слово в памяти расширяется несколькими избыточными битами для выработки модифицированного кода Хэмминга с расстоянием Хэмминга, равным, по меньшей мере. 4. При каждом считывании слоев проверка избыточных битое может указывать, произошпо ли искажение. При обнаружении различий выдается сообщение об отказе.

Данная процедура может быть также использована для обнаружения отказов адресации при вычислении избыточных битое при объединении слова данных с его адресом. С другой стороны, для отказов адресации вероятность обнаружения зависит от количества битов ЕОС для случайных возвращаемых данных (например, разрыв адресной шины или короткое замыкание одной адресной шины на другукз так. что возвращается среднее значение двух ячеек). Охват равен 0 %, если ошибке адресации приводит к совершенно другой выбранной ячейке.

Для отказа разрешения записи ячейки в памяти с произвольным доступом ЕОС может обеспечить высокий охват.если ячейка не можетбытьииициалиэироеаиа.ОхватравенО%.если отказраэрешения записи ячейки влияет на вскз ячейку после ее инициализации.

Примечание — Данную технологию часто называют ЕСС (Error Correcting Code — Код коррекции ошибок).

0.2.4.2 Модифицируемая контрольная сумма

Примечание — Ссылка на данный механизм/меру приведена в таблицах 0.5.

Цель. Обнаружить каждый однобитовый отказ.

Описание. Контрольная сумма блока памяти образуется соответствующим алгоритмом, который обрабатывает все слова в блоке памяти. Эта контрольная сумма может храниться как дополнительное слово а постоянной памяти, либо может быть добавлена как дополнительное слово в блок памяти для того, чтобы алгоритм контрольной суммы выработал заранее заданное значение. При последующем тестировании памяти контрольная сумма создается снова с использованием того же алгоритма, и результат сравнивается с запомненным или заданным значением. При обнаружении различий вырабатывается сообщение об ошибке (20). Вероятность пропущенного обнаружения составляет 1/(2*’,Лмв""в »©и»ропкмоа сумыи^ еспи возвращается случайный результат. Если конкретные нарушения данных являются более вероятными, то некоторые контрольные суммы могут обеспечить лучшую выяв-ляемость. чем для случайных результатов.

0.2.4.3 Сигнатура памяти

Примечание — Ссылке не данный механиэм/меру приведена а таблице 0.5.

Цель. Обнаружить каждый однобитовый отказ и большинство многобитовых отказов.

Описание. Содержимое блока памяти «сжимается* (с использованием аппаратных или программных средств) в один или более байтов с использованием алгоритма контроля с помощью избыточного циклического кода (CRC). Типичный алгоритм CRC рассматривает все содержимое блока памяти как побайтовый или побитовый последовательный поток данных, в котором выполняется непрерывное полиномиальное деление с использованием полиномиального генератора. Остаток отделения сохраняется и представляет собой сжатое содержимое памяти — «сигнатуру» памяти. Сигнатуре вычисляется каждый раз при последующем тестировании и сравнивается с уже запомненным значением. При обнаружении различий выдается сообщение об ошибке.

CRC являются особенно эффективным для обнаружения пакетных ошибок. Эффективность сигнатуры зависит от отношения значения многочлена к длине блока защищаемой информации. Вероятность пропущенного обнаружения равна единице, деленной на удвоенное значение контрольной суммы, если возвращается случайный результат (20).

Примечание — 8-Ситовая сигнатура CRC обычно не используется для современной памяти размером более 4К.

D.2.4.4 Дублирование блоков (например, двойная память с аппаратным или программным сравнением)

Примечание — Ссыпки на данный мехаиизм/меру приведены в таблицах 0.5 и D.6.

Цепь. Обнаружить каждый битовый отказ.

Описание Адресное пространство дублируется в двух областях памяти. Первая область памяти функционирует е нормальном режиме. Вторая область па мят и содержит ту же самую информацию и имеет параллельный доступ к первой. Их выходы сравниваются, и при обнаружении различий выдается сообщение об ошибке. 8 зависимости от проекта подсистемы памяти хранение инвертированных данных в одной из двух областей может повысить охват диагностикой Охват может быть снижен, если существуют виды отказов (например, общие шины адреса, отсутствие запрете на запись), которые являются общими для обоих блоков, или если в результате физического размещения ячеек памяти логически не связанные ячейки расположены близкодруг к другу.

0.2.5 Память с произвольным доступом

Главная Цель. Обнаружить отказы во время адресации, записи, запоминания и считывания.

Примечание — В зависимости от типа реализации памяти одиночный сбой может повлиять на несколько ячеек памяти. Например.обрыв шины выборки строки ячеек памяти не позволит прочитвтьвсю строку ячеек памяти. Этот тип отказе может быть легче обнаружить, если тестируется несколько ячеек памяти.

D. 2.5.1 Тестирующая комбинация для памяти с произвольным доступом

Примечание — Ссыпка на данный мехаиизм/меру приведена в таблице D.6.

Цепь. Обнаружить преимущественно статические битовые отказы.

Описание Комбинация битов, за которой следует дополнение этой комбинации битов, записывается в ячейки памяти.

Ячейки ОЗУ обычно тестируются индивидуально. Содержимое ячейки сохраняется, а затем в ячейку записываются все «О». Содержимое ячейки затем проверяется считыванием нулевых значений. Процедуре повторяется, но а ячейку записываются все *1* и выполняется считывание их содержимого обратно. Если вызывает озабоченность вид отказов при переходе от «1» к «О», то могут быть выполнены дополнительные запись и чтение всех «О». Затем восстанавливается первоначальное содержимое ячейки (см. (20). раздел 4.2.1). Тест эффективен при обнаружении константных отказов и кратковременных отказов, но не может выявить большинство исправимых ошибок, сбоев адреса и сбоев связанных ячеек.

Примечания

1    Тест часто реализуется в фоновом режиме с блокировкой прерываний во время испытания каждой отдельной ячейки.

2    Поскольку реализация тесте включает в себя считывание только что записанное значение, то оптимизирующие компиляторы имеют тенденцию оптимизировать тест. Если используется оптимизирующий компилятор, то хорошей практикой является проверка тестового кода на уровне ассемблера.

3    В некоторых ОЗУ возможен сбой, связанный с тем. что последняя операция доступа к памяти выполняется как чтение. Если это возможный вид отказа, то диагностика может проверить две ячейки вместе, сначала записав «О» вместо в 1» и • 1 * в следующую ячейку, а затем проверить, считывается «О» из первой ячейки.

D.2.5.2 Бит четности

Примечание — Ссыпка на данный мехаиизм/меру приведена в таблице О 6.

Цепь. Обиаружитьотказы из-за единственного поврежденногобита или нечетного числа поврежденных битов в одном слове (обычно вбит. 16 бит. 32 бита. 65 битв или 126 бит).

Описание Каждое слово в памяти расширяется иа один бит (бит четности), который дополняет каждое слово до четного или нечетного числа логических единиц. Четность слова данных проверяется при каждом чтении При обнаружении ложногочислв единиц выдается сообщениеоботказе. Выбор четности или нечетности должен осуществляться так, чтобы всякий раз а случае отказа не выдаевлосьничего. кроме нулевого (0) или единичного (1)слова, вырабатывалось уведомление о том. что это слово неправильно закодировано

Данная процедура также может быть использована для обнаружения отказов адресации, если четность определяется для объединения слова данных с его адресом. С другой стороны, для отказов адресации существует 50 %-ная вероятность обнаружения случайных возвращаемых данных (например, разрыв адресной шины или короткое замыкание одной адресной шины на другую так. что возвращается среднее значения двух ячеек). Охват равен 0 %. если ошибка адресации приводит к совершенно другой выбранной ячейке.

При отказах разрешения записи а ячейку памяти с произвольным доступом данный метод может обнаружить SO % отказов, если ячейка не может бытьииициализироааив. Охват равен 0 %. если отказ разрешения записи е ячейку влияет на аскз ячейку после ее инициализации.

D.2.S.3 Тесты «марш» для памяти с произвольным доступом

Примечание — Ссылка на данный механизм/меру приведена а таблице 0.6.

Цель. Обнаружить преимущественно устойчивые битовые отказы, отказы от переходных процессов в битах, отказы адресации и отказы связанных ячеек.

Описание. Комбинация из «0» и «1» записывается а ячейки памяти по определенной схеме и а определенном порядке проверяется.

«Маршевый» тест состоит из конечной последовательности «маршевых» элементов, а «маршевый» элемент является конечной последовательностью операций, применяемых последовательно к каждой ячейке а матрице памяти. Так. например, операция может состоять из записи «0» а ячейку, записи «1» а ячейку, чтение ожидаемого «0» из ячейки, и чтение ожидаемой «1» из ячейки. Если ожидаемая «1» не считывается, то обнаруживается отказ. Уровень охвата для связанных ячеек зависит от порядка записи/чтеиия.

В главе А |20) описан ряд различных «маршевых» тестов, предназначенных для обнаружения различных видов отказов памяти с произвольным доступом: константных сбоев, кратковременных сбоев (неспособность перейти от единичного состояния к нулевому состоянию или от нулевого состояния к единичному состоянию, но не для обоих переходов), сбоев адресации и сбоев связанных ячеек. Тесты такого типа не являются эффективными для обнаружения исправимых ошибок.

Примечание — Эти тесты, как правило, запускаются только при инициализации или отключении

D.2.S.4 Выполнение контрольной сум мы /контроля циклическим избыточным кодом (CRC)

Примечание — Ссылка не данный механизм/меру приведена а таблице 0.6.

Цель. Обнаружить однобитовые и несколько миогобитоеых отказов а памяти с произвольным доступом

Описание. Контрольная сумма/CRC создается подходящим алгоритмом, который использует каждое слово а блоке памяти. Контрольная сумма сохраняется а качестве дополнительного слова а памяти с произвольным доступом. Так как блокпамяти обновляется, то контрольная сумма памяти с произвольным доступом/CRC также обновляется. удаляя старое значение данных и добавляя новое значение данных, которое будет храниться а памяти. Периодически контрольная сумма/CRC вычисляются для блока данных и сравниваются с сохраненной контрольной суммой/CRC. Если будет обнаружено различие, то формируется сообщение об отказе. Вероятность пропущенного обнаружения равна единицы, деленной на размер контрольной суммы/CRC. если возвращается случайный результат. Охват диагностикой может уменьшаться при увеличении объема памяти.

0.2.6 Устройства ваода/выаода и интерфейсы

Главная Цель. Обнаружение отказов а устройствах евода/аыаода (цифровых и аналоговых) и предотвращение дальнейшей передачи недопустимых выходных данных.

0.2.6.1 Тестирующая комбинация

Примечание — Ссылки на данный механизм/меру приведены а таблицах 0.7.0.11.0.12 и 0.14.

Цель. Обнаружить статические отказы (константные отказы) и перекрестные помехи.

Описание. Этот метод реализует независимое от потока данных циклическое тестирование входных и выходных элементов 8 нем используются определенные тестирующие комбинации для сравнения с соответствующими этим тестирующим комбинациям предполагаемыми значениями. Охват теста зависит от степени независимости между информацией тестирующей комбинации, восприятием и оценкой тестирующей комбинации. В хорошем проекте тестирующие комбинации не должны неблагоприятно влиять на функциональное поведение системы

0.2.6.2 Кодовая защита

Примечание — Ссылка на данный механизм/меру приведена а таблице 0.7.

Цель. Обнаружить случайные отказы аппаратных средств и систематические отказы а потоке данных ввода/вывода.

Описание. Процедура, реализующая кодовую защиту, защищает вводимую и выводимую информацию от систематических и случайных отказов апларатиыхсредсте. Кодовая защита обеспечивает зависимое от потока данных обнаружение отказов входных и выходных модулей, основываясь на избыточности информации и/или временной избыточности. Обычно избыточная информация налагается на входные и/или выходные данные; тем самым обеспечиваются средства для мониторинга правильности операций входных и выходных схем. Возможно применение многих методов — например, сигнал несущей частоты может налагаться на выходной сигнал датчика. После этого логический модуль может проверить наличие несущей частоты, либо на выходе канала могут быть добавлены избыточные кодовые биты для контроля достоверности прохождения сигнала между логическим модулем и оконечным исполнительным механизмом.

D.2.6.3 Многоканальное параллельное выходное устройство

Примечание — Ссылка на данный механизм/меру приведена в таблице D.7.

Цель. Обнаружить случайные отказы аппаратных средств (константные отказы), отказы, обусловленные внешними воздействиями, временные отказы, отказы адресации, постеленные отказы и кратковременные отказы.

Описание. Это зависимое от потока данных многоканальное параллельное выходное устройство с независимыми выходами для обнаружения случайных аппаратных отказов. Обнаружение отказов осуществляется с помощью внешних компараторов. При появлении отказа система может быть непосредственно выключена. Это устройство эффективно только в том случае.если логокданиых изменяется в интервале диагностических проверок.

D.2.6.4 Средство контроля выходов

Примечание — Ссылка на данный механиэм/меру приведена в таблице D.7.

Цель. Обнаружить отдельные отказы, отказы, обусловленных внешними воздействиями, временные отказы, отказы адресации, постепенные отказы (для аналоговых сигналов) и кратковременные отказы.

Описание. Это устройство, зависимое от потока данных, сравнивает выходные данные сиезависиыыми входными данными для обеспечения совместимости с областью их допустимых значений (время, диапазон). Обнаруженный отказ не всегда относится к неправильному выходному сигналу. Это устройство эффективно только в том случае, если поток данных изменяется в интервале диагностических проверок.

D.2.6.S Сравнение/голосоаание входных данных

Примечание — Ссылки на данный механизм/меру приведены в таблицах 0.7 и 0.11.

Цель. Обнаружить отдельные отказы, отказы, обусловленных внешними воздействиями, временные отказы, отказов адресации, постепенные отказы (для аналоговых сигналов) и кратковременные отказы.

Описание. Это устройство, зависимое от потока данных, сравнивает независимые входные данные для обеспечения совместимости с областью их допустимых значений (время, диапазон). Реализуемая избыточность может быть 1 из2.2 из 3 или более лучшая. Это устройство эффективно только в том случае, если поток данных изменяется в интервале диагностических проверок.

D.2.7 Коммуникационные шины

Главная Цель. Обнаружить отказы, обусловленные искажениями при передаче информации.

D.2.7.1 Однобитовая избыточность аппаратных средств

Примечание — Ссылки на данный механизм/меру приведены в таблицах 0.8 и 0.14

Цель. Обнаружить каждый отказ нечетного бита, то есть 50 % всех возможных битовых отказов в потоке данных.

Описание. Коммуникационная шина расширяется на одну линию (бит) и эта дополнительная линия (бит) используется для обнаружения отказов путем проверки на четность.

D.2.7.2 Многобитовая избыточность аппаратных средств

Примечание — Ссылки на данный механизм/меру приведены в таблицах 0.6 и 0.14.

Цель Обнаружить отказы в процессе передачи по шине и в последовательных каналах связи.

Описание. Шина расширяется на две или более линий (битов) и эти дополнительные линии (биты) используются для обнаружения отказов методом кода Хэмминга.

D.2.7.3 Полная избыточность аппаратных средств

Примечание — Ссылки на данный механизм/меру приведены а таблицах 0.6 и 0.14.

Цель Обнаружить отказы в процессе передачи данных путем сравнения сигналов двух шин

Описание. Шина дублируется и дополнительные линии (биты) используются для обнаружения отказов.

Промер — ДвойноО немал реализации FtexRay: шина дублирована, и дополнительные линии (биты) используются, чтобы обнаружить отназы.

0.2.7.4 Анализ с использованием тестирующих комбинаций

Примечание — Ссылка на данный механизм/меру приведена в таблице 0.8.

Цель. Обнаружить статические отказы (константные отказы) и перекрестные помехи.

Описание. Осуществляется независимое от потоке данных циклическое тестирование маршрутов данных. Используется определенная тестирующая комбинация для сравнения наблюдаемых значений с соответствующими предполагаемыми значениями.

Охает теста зависит от степени независимости между информацией тестирующей комбинации, восприятием и оценкой тестирующей комбинации. В качественном проекте тестирующие комбинации не должны неблагоприятно влиять на функциональное поведение системы.

0.2.7.5 Избыточность при передаче

Примечание - Ссылка на данный механизм/меру приведена а таблице 0.8.

Цель. Обнаружить кратковременные отказы при обмене по шине.

Описание. Информация передается последовательно несколько раз. Данный метод эффективен только для обнаружения кратковременных отказов.

0.2.7.6 Информационная избыточность

Примечание — Ссыпка на данный механизм/меру приведена а таблице 0.8.

Цель. Обнаружение отказов при обмене по шине.

Описание. Данные передаются блоками вместе с вычисленными контрольной суммой nnnCRC (см. (28J и (29]) для каждого блока. После этого приемник повторно вычисляет контрольную сумму полученных данных. Результат сравнивается с полученной контрольной суммой. Для CRC охват зависит от длины охватываемых данных, размера CRC (количество бит) и полинома. CRC может быть ориентирован на более вероятные виды коммуникационных отказов базовых технических средств (например ошибки а пинии передачи пакетов данных).

Идентификатор сообщения может быть включен а вычисление контрольной суммы/CRC. чтобы обеспечить охват искажений а этой части сообщения (подмену).

а) Низкий охват диагностикой, расстояние Хэмминга 2 или меньше.

Пример — Значение CRCдля информации сообщения содержится в сообщении. Размер CRC 5 вит и полином 0x12 обеспечивает расстояние Хзмминаа 2 для данных длиной менее 2048 бит. Передающее устройство ехлю чает в себя упомянутое значение CRC. а проемное устройство подтеерждает данные после вычисления и сравнения значения CRC.

0) Средний охват диагностикой: расстояние Хэмминга 3 или более.

Примеры

1    Значение CRC для информации сообщения содержится в сообщении. Размер CRC 8 бит и полином 0x97 обеспечивает расстояние Хзмминаа 4 для данных длиной менее 119 бит. Передающее устройство включает а себя упомянутое значение CRC. а приемное устройство подтеерждает данные после вычисления и сравнения значения CRC (обычно используется а шинах локальных сетей).

2    Значение CRC для информации сообщения и идентификатор сообщения содержатся а сообщении. Размер CRC 10 бит и полином 0x319 обеспечивает расстояние Хзмминаа 4 для данных длиной менее 501 бит. Передающее устройство включает а себя упомянутое значение CRC. а приемное устройство подтеерждает данные после вычисления и сравнения значения CRC.

3    Значение CRC для информации сообщения и идентификатор сообщения содержатся в сообщении. Размер CRC 15 бит и полином 0x4599 обеспечивает расстояние Хзмминаа S для данных длиной менее 127 бит. Хроме того, моаут быть обнаружены пакеты до 15 ошибок. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтеерждает данные после вычисления и сравнения значения CRC (как используется в локальной сети контроллеров (CAN)).

4    Значение CRC для информации сообщения содержится а сообщении. Размер CRC 24 бита и полином 0x5D6DCB обеспечивает расстояние Хзмминаа CRC. равное 6. для данных длиной менее или равной 248 байт, и расстояние Хзмминаа CRC. равное 4. для данных длиной больше 248 байт. Передающее устройстеовключает а себя упомянутое значение CRC. а приемное устройство подтеерждает данные после вычисления и сравнения значения CRC (как используется во Р/ехИаудля фрейма CRC).

5    Значение CRC для зааолоека сообщения, включая идентификатор сообщения содержатся в сообщении. Размер CRC 11 бит и полином 0x385 обеспечивает расстояние Хзмминаа б для данных длиной менее или равной 20 бит. Передающее устройство включает в себя упомянутое значение CRC. а приемное устройство подтверждает данные после вычисления и сравнения значения CRC (как используется во FlexRay для заеолоека CRC).

Примечания

1 Высокий охват может быть достигнут для искажений данных и идентификатора, однако, общий высокий уроаеньохаата не может быть достигнут только путем проверки согласованности данных и идентификатора с сигнатурой, независимо от эффективности сигнатуры. 8 частности, сигнатура не охватывает потерю сообщений или непреднамеренное повторение сообщения.

2 Если алгоритм контрольной суммы имеет расстояние Хэмминга менее 3. то высокий охват при искажениях данных и идентификатора асе еще может быть востребован, если существует надлежащее обоснование.

D.2.7.7 Счетчик блоков данных

Примечание — Ссылка на данный мехаииэм/меру приведена в таблице 0.8.

Цель. Обнаружить лотери блоков данных. Блоком данных является связный набор данных, передаваемый от одного контроллера на другой коитроллер(ы). Каждый уникальный блок данных имеет идентификатор сообщения.

Описание: Каждый отдельный связанный с безопасностью блок данных включает в себя счетчик как часть сообщения, который лередается ло шине. Счетчик увеличивается в результате создания каждого последующего передаваемого блока. Приемное устройство в состоянии обнаруживать любую лотерю блока данных или его не обновление, если в результате проверки выяснилось, что значение счетчика увеличилось на единицу.

Слециальная версия счетчика блоков данных должна включать отдельные сигнальные счетчики, которые связаны с обновлением данных, связанных с безопасностью. 8 этой ситуации, если блок данных содержит несколько частей связанных с безопасностью данных, то для каждой части связанных с безопасностью данных обеспечивается свой счетчик.

D.2.7.8 Мониторинг получения блоков данных во времени

Примечание — Ссылка на данный мехаииэм/меру приведена в таблице D.8.

Цель Обнаружить потерю данных между передающим узлом и принимающим узлом.

Описание. Приемное устройство отслеживает каждый предполагаемый идентификатор связанного с безопасностью сообщения ло времени между получением достоверных блоков данных с этим идентификатором сообщения. Отказ может означать слишком длительное время между сообщениями. Данный метод предназначен для обнаружения потери непрерывности работы канала связи или потери непрерывности передачи одного конкретного сообщения (не получены блоки данных, связанные с конкретным идентификатором сообщения).

D.2.7.0 Повторное считывание отправленного сообщения

Примечание — Ссылка на данный мехаииэм/меру приведена в таблице D.8.

Цель. Обнаружить отказы в коммуникационной шине.

Описание Передатчик повторно считывает из коммуникационной шины отправленное им сообщение и сравнивает его с исходным сообщением.

Примечания

1    Данный механизм защиты используется в CAN-протоколе.

2    Высокий охват может быть достигнут при повреждении данных и идентификатора, однако, общий высокий уровень охвата не может быть достигнут только путем проверки согласованности данных и идентификатора. Другие виды отказов, такие как непреднамеренное повторение сообщения, не всегда охватываются настоящим механизмом безопасности.

0.2.8 Источник литания

Главная цель. Обнаружить отказы, вызванные дефектами в источнике питания.

D.2.6.1 Управление напряжением или током (вход)

Примечание — Ссылка на данный мехаииэм/меру приведена в таблице D.O.

Цель Оперативное обнаружение неправильного поведения входных значений тока или напряжения.

Описание. Контроль входного напряжения или тока.

D.2.8.2 Управление напряжением или током (на выходе)

Примечание — Ссылка на данный мехаииэм/меру приведена в таблице D.O.

Цель. Оперативное обнаружение неправильного поведения выходных значений тока или напряжения.

Описание. Контроль выходного напряжения или тока.

0.2.8 Временной и логический контроль последовательности выполнения программ

Примечание — Ссылки на данную группу механизмов/мер приведены в таблице 0.10.

Главная Цель. Обнаружить искаженную последовательность программы. Искаженная программная последовательность появляется в том случае, если отдельные элементы программы (например, программные модули, подпрограммы или команды)обрабатываются а неправильной последовательности, или в несоответствующий период времени, или если сбилась тактовая частота процессора.

0.2.0.1 Контрольный датчик времени с отдельной временной базой без временного окне

Примечание — Ссылка на данный мехвнизм/меру приведена а таблице D.10.

Цель. Контролировать поведение и последовательность выполнения программ.

Описание. Внешние средства определения времени с отдельной базой времени (например, контрольный датчик времени) периодически переключаются для контрол я поведения компьютера и последовательности выполнения программ. Важно, чтобы точки запуска были правильно установлены а программе. Контрольный датчик времени не переключается с некоторым фиксированным периодом, однако задается его максимальный интервал.

0.2.0.2 Контрольный датчик времени с отдельной временной базой и временным окном

Примечание — Ссылка на данный механизм/меру приведена а таблице 0.10.

Цель. Контролировать поведение и последовательность выполнения программ.

Описание. Внешние средства определения времени с отдельной базой времени (например, контрольный датчик времени) периодически переключаются для контроля поведения компьютера и последовательности выполнения программ. Важно, чтобы точки запуска были правильно установлены а программе (например, не во время выполнения процедуры обработки прерывания). Для контрольного датчике времени задаются нижняя и верхняя границы. Если программная последовательность выполняются больше или меньше ожидаемого времени, то выполняется некоторое действие

0.2.9.3 Логический контроль последовательности выполнения программ

Примечание — Ссылка на данный механизм/меру приведена а таблице 0.10.

Цель. Контролировать правильную последовательность выполнения отдельных частей программы.

Описание. Правильная последовательность выполнения отдельных частей программы контролируется программным обеспечением (процедура подсчета, ключевая процедура) или внешними средствами контроля (см. (23) и (24)). Важно, чтобы точки проверки располагались а программе так. чтобы контролировались пути, которые могут привести к опасной ситуации, если из-за одиночного или множественного сбоя зти пути не смогут завершиться или последовательность их выполнения будет неправильной. Последовательности могут обновляться между каждой функцией вызова или более тесно связаны с выполнением программы.

0.2.9.4 Комбинация временного и логического контроля последовательности выполнения программ

Примечание — Ссылка на данный механизм/меру приведена а таблице 0.10.

Цель. Контролировать поведение и корректность последовательности выполнения отдельных частей программы.

Описание. Средство контроля времени (например, контрольный датчик времени), контролирующее программную последовательность, вновь запускается только а случае, если последовательность модулей программы выполняется правильно. Данный метод является комбинацией методов 0.2.9.3 и 0.2.9.1 или D.2.9.2.

0.2.9.5 Комбинация временного и логического контроля последовательности выполнения программ с временной зависимостью

Примечание — Ссылка на данный механизм/меру приведена а таблице 0.10.

Цель. Контролировать поведение, корректность последовательности и время выполнения отдельных разделов программы.

Описание. Реализуется стратегия контроля выполнения программы, где точки обновления программного обеспечения, как ожидается, находятся внутри относительного временного окна. Результат последовательности контроля выполнения программы и вычисление времени контролируется внешними средствами мониторинга.

0.2.10 Датчики

Главная Цель. Управлять отказами датчиков системы.

0.2.10.1 Допустимый диапазон датчика

Примечание — Ссылка на данный механизм/меру приведена а таблице 0.11.

Цель. Обнаружить короткие замыкания датчика на массу или шину питания и некоторые разрывы электрических цепей.

Описание: Область допустимых значений находится а средней части диапазона электрических датчиков (см. рисунок 0.4). Если показания датчика находится а области недопустимых значений, то это указывает на электрические проблемы датчика, например, короткое замыкание датчика на массу или шину питания. Обычно информацию с датчиков считывает электронный блок управления, используя АЦП.

X — физическое показание датчика в %: Y — измеренное показание датчика о % от опорного на пряжение: ) — оерхияя граница

допустимого диапазона. 2 — нижняя граница допустимою диапазона

Рисунок 0.4 — Латнике границами области допустимого диапазона его значений

0.2.10.2 Корреляций датчика

Примечание — Ссылка на данный механизм/меру приведена в таблице 0.11.

Цель. Обнаружить дрейфы датчика а его рабочем диапазоне, смещения или другие ошибки, используя избыточный датчик.

Описание. Сравнение двух идентичных или аналогичных датчиков для обнаружения отказов а их рабочем диапазоне, таких как дрейфы, смещения или константные отказы. На рисунке 0.5 представлен пример двух одинаковых датчиков, но с противоположным наклоном измеряемой характеристики. Заметим, что значения границ допустимого диапазона для датчиков различны. Обычно информацию с датчиков считывает электронный блок управления, используя АЦП.

В примере, показанном на рисунке D.S. значения датчиков будут преобразованы к одинаковому наклону измеряемой характеристики. а также будет выполнено сравнение значений датчиков с целью их согласованности в пределах пороговых значений. Пороговые значения выбирается с учетом допуска АЦП и разновидностей электрических элементов. Оба датчика опрашиваются ЭБУ а одно и то же время, насколько это возможно, чтобы избежать ложных отказов из-за динамически изменяющихся показаний датчика.

Методы диагностики, основанные не равенстве углов наклона характеристик измерения датчиков, не обнаруживают ситуации. когда два датчика вместе закорочены, давая коррелированные показания а точке пересечения, или при отказах по общей причине, когда один компонент, например АЦП. одинаково повреждает значения обоих датчиков. Альтернативный подход, основанный на одном полном и одном половинном углах наклона характеристик измерения датчиков, приведен на рисунке 0.6.

X — физическое показание датчика а %; Y — измеренное показание датчика а % от опорного напряжения, f — датчик t;

2 — датчик 2: 3 — нижняя граница диапазона датчика 1.4» нижняя граница диапазона датчика 2: 5 — верхняя граница диапазона датчика 1;6— верхняя граница диапазона датчика 2


Рисунок 0.5 — Датчики с границами областей допустимых значений, у которых рааны. но имеют противоположный наклон характеристики измерения


0.2.10.3 Проверка обоснованности датчика

Примечание — Ссылка на данный механизм/меру приведена а таблице 0.11.

Цель. Обнаружить дрейфы датчика а диапазоне, уходы нуля или другие ошибки, используя несколько различных датчиков.

Описание. Сравнение двух (или более) датчиков, измеряющих различные свойства, для обнаружения отказов в областях их допустимых значений таких, как дрейфы, уходы нуля или константные отказы. Измерения датчиков преобразуются а эквивалентные значения с использованием модели, обеспечивающей сравнение.

X — физическое показание датчика а %:

Y — измеренное показа ни е датчика в % от опорно-

to

напряжения; ) — датчик 1; 2

2;

3 -

нижняя

граница

диапазона

датчика

1:

4 -

верхняя

граница

диапазона

датчика

1;

5-

нижняя

граница

диапазона

датчика

2;

6 — верхняя граница диапазона датчика 2

Рисунок 0.6 — Датчики с границами областей допустимых значений, у которых углы наклона характеристик измерения различаются а два раза

При и ер — Сравнение датчиков позиции дроссельной заслонки бензиновою двигателя, давления во всасывающем коллекторе и массы воздушного потока выполняется после преобразование значения каждого из ник в значение расхода воздуха. Ислользованиерезнообраэных датчиков уменьшает пробле-му систематических ошибок.

0.2.11 Исполнительные элементы

Главная Цель. Управлять отказами в исполнительных элементах системы.

0.2.11.1 Мониторинг

Примечание — Ссылка на данный механиэм/меру приведена в таблице D.12.

Цель. Обнаружить неверную работу исполнительного элемента.

Описание Работа исполнительного элемента контролируется.

Примечание — Мониторинг исполнительного элемента может производиться на уровне физических измерений параметров (который может иметь высокий охват), а так же на уровне системы, рассматривая влияние отказа исполнительного элемента.

Примеры

1    Для вентилятора охлаждающего радиатор, процедура мониторинга на уровне системы исполь-зует датчик температуры для обнаружения отказа вентилятора охлаждающего радиатор. При мониторинге физических параметров измеряется напряжение ипи ток или оба вместе на входах вентилятора охлаждения радиатора.

2    Для перемещения дроссельной заслонки в желаемое положение используется управление с обратной связью. Фактическое положение измеряется и сравнивается с ожидаемым положением дроссельной заслонки, определяемым из положения дроссельной заслонки, которое задается командой водителя. и модели желаемой характеристики работы двигателя. Если эти два значения различаются друг от друга с учетом гистерезиса, то может быть сформировано сообщение об ошибке.

Приложение Е (справочное)

Пример вычисления метрик архитектуры аппаратных средств: метрики одиночного сбоя и метрики скрытого сбоя

в нестоящем приложении приводится пример расчете метрики одиночного сбоя и метрики скрытого сбоя для каждой цели безопасности конкретного устройства а соответствии с требованиями перечисления а)8.4.7 и 8.4.8.

В рассматриваемом примере система реализует две функции, выполняемые а одном электронном блоке управления, представленном на рисунке Е.1.

Функция 1 имеет один вход (температура, измереииаядатчиком Р3)и один выход (клапан 2. управляемый 171) и предназначена для того, чтобы открыть клапан 2. когда температура превышает 90 ''С.

Если через 171 ток не протекает, то клапан 2 открыт.

Соответствующая цель безопасности 1 формулируется следующим образом: «Клапан 2 не должен быть закрыт дольше х мс при температуре выше 100 *С ». Данной цели безопасности назначается значение УПБА. равное В. Безопасное состояние: клапан 2 открыт.

Значение датчика ЛЗсчитываетсаблоком АЦП микроконтроллера. Значение сопротивления R3 уменьшается при повышении температуры. Данный вход не контролируется. Выходной каскад, управляемый Т71. контролируется аналоговым входом ШАОС1 (механизм безопасности SM1 а табл ицахрисункоа Е.2 и Е.З). В данном примере предполагается. что механизм безопасности SM1 может обнаружить определенные виды отказов Т71 с 90 4-ным охватом диагностикой, приводящие к нарушению цели безопасности. Если SM 1 обнаруживает отказ, то активируется безопасное состояние, но никакая лампа не включается. Таким образом, считается.чтоохаат диагностикой скрытых сбоев составляет только 80 4 (водитель заметит отказ, так как начнется ухудшение функционирования автомобиля).

У функции 2 два входа (скорость вращения колеса измеряется с помощью датчиков 11 и 12. генерирующих импульсы) и один выход (клапан 1. управляемый 161) иона предназначена, чтобы открыть клапан 1. если скорость автомобиля превышает 90 км/час.

Если через 161 ток не протекает, то клапан 1 открыт.

Соответствующая мель безопасности 2 формулируется следующим образом: «Клапан 1 не должен быть закрыт дольше, чем у мс. если скорость превышает 100 км/час». Данной мели безопасности назначается значение УПБА. равное С. Безопасное состояние: клапан 1 открыт.

Количество сгенерированных датчиками И и 12 импульсов считывается микроконтроллером. Скорость вращения колеса вычисляется по среднему значению импульсов, получаемых от датчиков а единицу времени. Механизм безопасности 2 (SM2 а таблицах рисунков Е.2 и Е.З) сравнивает оба входа. Он обнаруживает отказы каждого входа сохаатом диагностикой, равным 994. В случае противоречивости на выходе Out 1 устанавливается значение «0* и клапан 1 открывается (нулевое значение напряжения на базе транзистора закрывает вентиль; нулевое значение напряжения на 161 открывает клапан 1). Таким образом, выявляется 99 4 сбоев, которые могут нарушить цель безопасности, и выполняется переход а безопасное состояние. При переходе а безопасное состояние включается лампа L1. Таким образом, эти сбои являются не 100 4 воспринимаемыми. Оставшийся 1 4 сбоев является остаточными сбоями и не скрытыми сбоями.

выходной каскад управления Т61 контролируется аналоговым входом I лАОС2 (механизм безопасности SM3 а таблицах рисунков Е.2 и Е.З). Скорость вращения колеса вычисляется по среднему значению импульсов, получаемых от датчиков.

Микроконтроллер не имеет внутренней избыточности. Если нет никакой подробной информации о соотношении безопасных сбоев сложной части, то можно предположить консервативное отношение для безопасных сбоев, рваное 50 4. Также предполагается общий охает, равный 90 %. по отношению к нарушению цели безопасности, используя внутреннее самотестирование и внешнюю сторожевую схему (механизм безопасности SM4 а таблицах рисунков Е .2 и Е .3). Сторожевая схема получает прямой сигнал через выход Out 0 микроконтроллера. Если сторожевая схеме больше не обновляется, тоее выходное значение будет низким. Обнаружение сбоя механизмом безопасности SM4 (сторожевая схема и самотестирование микроконтроллере) переводит обе функции а их безопасные состояния и включает L1. Таким образом, считается, что охает диагностикой скрытых сбоев будет равен 100 4.

L1 представляет собой светодиодный индикатор не приборной панели, он горит при обнаружении множественного отказа, из которых только часть может быть обнаружена, и указывает водителю, что безопасное состояние функции 1 (клапан 1 открыт) было активировано

Примечания

1 Отказы жгута проводов а данном примере не рассматриваются.

2 Модель сбое, используемая для денной электронной части, может отличаться а зависимости от применения.

Пример — Модель сбоя резистора зависит от тою, еде ом используется, в схеме цифрового входа (мапример. R11. R12. R13,...) или амалоеовоао входа (например. R63). В первом случае моделью сбоя может быть празрыв/замыкамие* тогда, как во втором случав, это может быть •разрыв/замыкание/дрейф».

Примечание — Первая метрика используется только для охвата вида отказов механизмами безопасности. далью которых является предотвращение нарушений дели безопасности, вторая метрика используется только для охвата вида отказов механизмами безопасности, далью которых является предотвращение скрытых отказов среди этого айда отказов.

Пример — Вид отказов «разрыв» для R21 может нарушить цель безопасности 2 в отсутствии механизма безопасности. Механизм безопасности 3 обнаруживает этот вид отказов с охватом 99% и переводит систему в безопасное состояние. При обнаружении этого вида отказов, будет выдано предупреждение: охват вида отказов в случае скрытых отказов составляет 100 %.

Примечание — В данном примере были рассмотрены предположения о распределении айда отказов а элементах аппаратных средств. Если никакое конкретное распределение вида отказов не может быть обосновано или предложено, то можно предположить равномерное распределение видов отказов.

171


Рисунок Е.1 — Схема рассматриваемого примера

Обратите внимание на то. что в таблицах рисунков Е.2 и Е.З охват механизмом безопасности конкретного вида отказов элемента аппаратного средства называют «охватом айда отказов».

о>

N>

Нвименое»«ио

НОМПОИЮТТв

Интенсивное г ь огне-за/РГТ

учитывается ли е расчетах связанный с безопасностью компонент?

Вид огазв

Рас л род о-

теисионос-той отказов

Какой вид о таза может нарушить цель безопасности в отсутствие механизмов безо-

пвсност И?

Имеется ли мехв»мэм(ы) безопасности, позволявший предотвратить нарушение иели безопасности?

Охват вида отказов. нарушавшего иель безопасности

Интенсивность остаточных от в-зов для одиночных сбоее^ГТ

Может ли вид отказов привести к нарушению иели безопасности е сочетании с независимым отказом другого компонента?

Есть ли средстве обнаружения? Есть ли механизм^) безопасности, предотвращающий скрытые Отказы среди этого виде отказов?

Охват виде от-«8 зо в е случае

СфЫГЫХ

отказов

Интенсивность отказов от скрытых множественных Сбобб^ГТ

R3. Прммеча-мме 1

3

Да

Разрыв

30%

X

Нет

0%

0.9

Замыкание

10%

Дрейф 0.5

30%

Дрейф 2

30%

X

0%

0.9

R13. Примечание 1. 2 и 7

2

Да

Разрыв

90%

X

Нет

0%

1.8

Замыкание

10%

X

0%

0.2

R23. Примечете 1

2

Да

Разрыв

90%

Нет

Замыкание

10%

X

0%

0.2

С13. Примечания 3 и 7

2

Да

Разрыв

20%

X

Нет

0%

0.4

Замыкание

60%

С23

2

Нет

Разрыв

20%

Замыкание

80%

Сторожевая схеме (WO)

20

Да

Константная к 1» на еыд

50%

X

Нет

0%

10

Константный к0» на вых.

50%

Т71

5

Да

Вентиль

откр.

50%

SM1

SM1

Вентиль

эакр.

50%

X

90%

025

X

80%

0/45


ГОСТ Р ИСО 26262-5—2014

Рисунок Е 2 — Цель безопасности 1


а ! н 1 •

8 5 5 || *D82?e3S

X g О J X

<M

О

СМ

О

00

см

о

О

О

я

СО*

II

X

. ь о « J а

1|Ш1

*

о

/

О

*

О

/

о

а*

8

llllllliili

* 11с 1? I«S § |

►-

41

z

X

*-

Z

►-

X

2

<0

ca^rtOJolo*-• "s^cSan.*

g?ii!l22|*

20«3J«xOc

к

X

X

X

X

X

b|&§h

s$s> sH

in

£

в»

II

И

S if 111 5 fill?

*

8

I Ig « g «Л £

«ПИНЧ*

: 5 6 g I § e f s2 III: is1J

5

<0

iitlihif1

i<*53c*5x52

!2 f г a g s*; ! 3gS3<S*’s|

X

III i s

S ll 6 s г г г °

*

8

*

о

*

8

*

о

а*

8

*

О

*

8

*

О

*

8

*

8

*

8

с

8

*

8

*

О

*

8

/

о

а*

8

а*

8

3

в

к

О

*t

X

ffi

о

г

a

0.

!

3

3

<5

в

г

3

a

X

*

ш

2

1

со

В

5

3

a

!

3

I

<?

в

4

3

a

41

1

2

}

4

СО

ш

2

3

a

$

2

$

4

СО

В

2

3

a

1

3

I

Д

В

&

3

0.

1

2

i

4

СО

в

2

3

a

4>

1

2

3

4 СО

«

и

0

8

0

*;Шм*

® ^ в I о *■ E r t * 2 fl « * о Soop«oo S

•I t: 2 2 v * *

> ♦ « 8 о

4

4

X

4

С*

к

41

X

4

X

*•

о

X

5

| 8 ? 5 я

ГМ

СМ

гм

О)

СМ

см

о

W*

8

i „

I 2

i •

1 -

i >

* ° <8 * X

J-

a

5 1

t-

ос

г *

«1

со

Гч

a

2 5 «?

£

ь

0 I

00

-J

1

К

2

3 е

1 = s &

Рмсуио* Е.2. лист2

Общая юч тенейвиость отказов — 163

Общее количество связанных с безопасностью отказов — 142 Общее количество несвязанных с безопасностью отказов —21 Метрика одиночных сбоев = 1 - (9.65/142) = 932 %

Метрика скрытых сбоев = 1 - (13.25/(142 - 9.65» = 90.0%

Цели безопасности 1 означено значение У ПБА. равное В. для которого, если ислользуетсятабл»ща4.рекомечдуетсязиечеииеметрикиодииочиыхсбоев 2 90 % и. если ис пользуется таблица 5. рекомендуется хачеиие метрики скрытых сбоев 260%. Рассчитаючое значение мет pm и одиночны х сбоев 93.2 % удовлетворяет рекомендуемому значамю метрики, а т«же рассчитало© значение метрики скрытых сбоев 90% удовлетворяет рекомендуемому качению метри-

Примечания

1    Виды отказов «разрыв» на R3h R1 Зи «замыкание» на R23 являются од ином юлю* сбоями Они не посредстве ю*о приводят киарушеючю цели безопасности и никакой мехатом безопасности ие охватывает сбои зт их частей ап паратых средств

2    Целью данной части аппаратного средства является злектрическая защита. Вид отказа «замыкание» означает потерю защиты.

3    Целью данной части аппаратного средства является защитаот электростатических разрядов Вид отказа «разрыв • означает потерю защиты.

4    Целью даю* ой части аппаратного средства является электрическая защита. Один вид отказов приводит к потере электрической защиты. Другой вид отказов может нарушить цель безопасности в отсутствие механизмов безопасности

5    Элементы, отказы которых не могут внести существенный в клад в нарушение цели безопасности, не учитываются в расчетах. Элементы L1 и R81 реализуют механизм безопасности для предотвращения скрытых сбоев среди двойных сбоев. Множестве нчяче сбои с п > 2 считаются безопасными сбоям*

6    Сбои, которые не посредстве доведут к на рушен мо цели безопасности (одиночные сбои и ли оста точные сбои), не могут больше вносить вклад в совокупность скрыты х сбоев. Поэтому, нвпример. интенсивность скрытых отказов вида «вентиль закрыт • для т 71 аычисляется следующим образом:

W I " и '-гм ■ Р«спр«Явпе>«*_"«тесл«>сгей_от*»»<*..11ъ ,w,> - >г,,р,1«<1 - O.MitIRir(„_ominc,). 1(5 «0.1 >- 0.05J .(1 - 0.8> ■ 0.09.

7    Классификация видое отказов вследствие электростатических разрядов или нарушения электрической защиты основа на на анализе каждого конкретного случая и учитывает вероятность электростатических разрядов или электрической нагрузки и характерные последствия от влияния электростатических разрядов и гы электрической натру* и на цель безопасности. Если, например, в течение срока службы автомобиля произойдет электростатический разряд и его последствия могут привестнкиарушеюпо цели безопасности в отсутствие даимойэащиты. товидотказов. ведущий к потере защиты, классифицируется как одиночный сбой . Настоящее приложение является приме ром обработки таких случаев а метриках. На практике зле простатические разряды или на пряже ючеэлек-тромагючтных помех не имеют такого влияю* я на типовые проепы. аналогичные рассматриваемому а настоящем примере.

РисунокЕ.2. лист 3

ГОСТ Р ИСО 26262-5—2014


Наименование

юмпоиеита

Интен

сив

ность

отка

зами

Учитывается ли а расчетах

связанней

с безопасностью «оппонент?

Вид отказа

Распределение ж-?е нелепостей отказов

какой %4й отказа может нарушить ив ль безопасности в отсутствие механизмов безопасности?

Имеется ли мехам* эм<ы) безопасности. позволяющий

предотвратить нфу-шение цели безопасности?

О «в вт

еда отказов. нарушающего ивль безопасности

Интенсивность остаточных отказов для оди-иожым сбоаеМгт

Может ли еид отказов привести к нарушению ив ли безопасности в сочетании с независимым отказом другого компонента?

Есть ли средства обнаружения? Есть ли моз> низм(ы» безопасности, предотвращающий скрытые отказы среди зтого вида отказов?

Охват еда отказов в случае скрытых отказов

Интенсивность отказов от скрытых множест-ватных обо-евРПТ

1

2

3

4

5

6

7

8

9

10

11

12

13

R11. Приложена 1, 6 и 7

2

Да

Разрыв

904

X

SM2

99%

0.016

X

SM2

100%

0

Замыкана

10%

X

99%

0.002

X

100%

0

R12. Приложения 1. 6 и 7

2

Да

Разрыв

90%

X

SM2

99%

0.016

X

SM2

100%

0

Замывание

10%

X

99%

0.002

X

100%

0

R21. Приложение 2

2

Да

Разрыв

90%

X

SM2

99 %

0.018

X

SM2

100%

0

Замыкание

10%

X

99%

0.002

X

100%

0

R22 Приложение 2

2

Да

Разрыв

90%

X

SM2

99%

0.016

X

SM2

100%

0

Замыкаие

10%

X

99%

0.002

X

100%

0

С11. Приложения 1. 6 и 7

2

Да

Разрыв

20%

X

SM2

99%

0.004

X

SМ2

100%

0

Замыкана

60%

X

99%

0,016

X

100%

0

С12. Приложения 1. 6 и 7

2

Да

Разрыв

20%

X

SM2

99%

0.004

X

SM2

100%

0

Замыкание

60%

X

99%

0.016

X

100%

0

С21

2

Да

Разрыв

20%

SM2

SM2

Замыкание

60%

X

99 %

0.016

X

100%

0

С22

2

Да

Разрыв

20%

SM2

SM2

Замыкана

80%

X

99%

0.016

X

100%

0

И

4

Да

Разрыв

70%

X

SM2

99%

0.026

X

SM2

100%

0

Замыкана

20%

X

99%

0.008

X

100%

0

Дрейф 0.5

5%

X

99 %

0,002

X

100%

0

Дрейф 2

5%

о»    Рисунок Е.З — Цель безопасности 2

ГОСТ Р ИСО 26262-5—2014


и»

о>

о>


компоненте

Интен

сив

ность

ОГНв-

3B/FIT

У^ты веется ли в рас че тех связанный с безопасное гыо «ом no-ней г?

вид отказа

Распреде-

теней в постой отказов

Какой вид

жег порушить ие ль без опасности е отсутствие механизмов безопасности?

безопаспоо-ти. позволяющий Предотвратить нарушение иол И безопасности?

Охает ыда отказов. неру-швюие'о

иель безопасности

Интенсивность остагои-«х отказов для

ОДИНОЧНЫХ

сбоев/pit

Может ли вид от «зов привести х нарушению цели безопасности в сочетании с

независимым отказом другого компонента?

Есть ли средстве Обнаружения? Есть ли меха-низм(ы) безопасности, предо таре шлющий скрытые отказы среди этого вида отказов?

Охват вида отказов а случае скрытых отказов

Интенсивность отказов от скрытых множественных сбоев^ ГГ

I2

4

Да

Разрыв

70%

X

SM2

99%

0.028

X

SM2

100%

0

Замыкала

20%

X

99%

0.008

X

100%

0

Дрейф 0.5

5%

X

99 %

0.002

X

100%

0

Дрейф 2

5%

Стороже вея схеме (WO)

20

Да

Константная «1 ь на вых.

50%

X

Нет

0%

10

Константой «о» на

ВЫХ.

50%

Т61

5

Да

Вентиль

отхр.

50%

SM3

SM3

Вентиль

эакр

50%

X

90%

0.25

X

100%

0

R61. Приложения 3 и 6

2

Да

Разрыв

90%

Нет

Замыкание

10%

X

0%

02

R62. Приложения 3 и 6

2

Да

Разрыв

90%

Нет

Замыкаюте

10%

X

0%

02

R63

2

Нет

Разрыв

90%

Замыкала

10%

R64 Приложения 1 и 6

2

Да

Разрыв

90%

X

Нет

0%

13

Замыкание

10%

X

0%

02

Рисунок Е .3. Лист 2


ГОСТ Р ИСО 26262-5—2014

Наименование ком попейте

Интен

сив

ность

отха-

за/ПТ

Учитывается ли е расчетам сводим** с безопасностью компа -нент?

вид отказа

Распре деление интенсивностей отказов

какой м отказа может нарушить цель безопасности е отсутствие мехенш-мое безопасности?

имеется ли моканизм(ы) безопасности. позволяющий

предотвратить нарушение цели безопасности?

Охват айда о тазов. нарушающего цель безопасности

Интенсивность остаточных отказов для одиночны х сбое е^ ГГ

Может ли м отказов привести ■ мару-шнию цели безопасности в сочетании с независимым отказом другого компоненте?

Есть л и сред -стае обнаружения? Есть ли мехе-низм(ы) безопасности, пред отвращающий отрытые отказы среди этого атдв отказов?

Охват айда отказов в

случае

отрытых

отказов

Интенсивность отказе в от скрытых множественных обо-etfFiT

161

5

Нет

Разрыв

70%

Замыкание

20%

С61. Приложены я 4 и 6

2

Да

Разрыв

X

Нет

0%

0.4

Замыкание

60%

R81

2

Нет

Разрыв

90%

Замыкание

10%

И

10

Нет

Разрыв

90%

Замыкание

10%

Мюсро контрол лер

100

Да

Все

50%

X

SM4

90%

5

X

SM4

100%

0

Все

50%

I = 5.46

I = 1280

Общая интенсивность от сазов — 176.

Общее количество связа»ыых с безопасностью отказов — 157.

ГОСТ Р ИСО 26262-5—2014


Общее количество не связанмах с безопасностью отказов —19.

Метрисаодюючиыхсбоев ■ 1 - <5.46/157) ■ 96.5%

Метрикаскрытыхсбоев ■ 1 - (13.99^(157 - 548» * 91.6%

Цели безопасности 2 назначено значение У ПБ А. равное С. для которого, если используется таблица 4. рекомендуется значение мет рмкиодточ^х сбоев 297 % и. если используется таблица 5. рекомендуется значение метрики скрытых сбоев 280%. Рассчитан мое значение метржи одиночных сбоев 963 % не удовлетворяет рекомендуемому зкачен мо метрики, а рассчита^ое значение метрики скрытых сбоев 91.6% удовлетворяет рекомендуемому змачеюпометри-

РисунокЕ.З. лист 3

а>    Примечания

1    Целыо дажой части аппаратного средства является электрическая защита. Од»™ вид отказов приводит с потере электрической защиты Другой вид отказов может нарушить цель безопасности в отсутствие механизмов безопасности

2    Оба вида отказов могут нарушить цель безопасности в отсутствие механизмов безопасности, так как в обоих случаях импульсы. измеряющие скорость, не передаются. Это приводит кполучеиюо неправильного значения скорости Датчик является датч жом с открытым коллектором

3    Целью данной части аппаратного средства является электрическая защита. Вид отказа «замыкала» охачает потерю защиты.

4    Целью данной части аппаратного средства является защитаот электростатических разрядов. Вид отказа «разрыв» означает потерю защиты.

5    Элементы, отказы которых не могут внести существенный вклада нарушение цели безопасности, не учитывается в расчетах. 11 и R81 являются эле* ментами, которые реализуют механизм безопасностидля пре дот вращения скрытых сбое в среди двоймнх сбоев Множествен»*^ сбои с />> 2 считаю тс я безо* пасами сбоями.

6    Классификация видов отказов вследствие электростатических разрядов или нарушения электрической защиты основана на анализе каждого кожрет* ною случая и учитывает вероятность электростатических разрядов и ли электрической нагруби и характерные последствия от влияния электростатических раз* рядов или электрической нагрузки на цель безопасности. Если, например, в течение срока службы автомобиля произойдет э лектростат»*еский разряд и его последствия могут привести к на рушен мо цели безопасности в отсутствие дхной защиты, товид отказов, ведущий к потере защиты, классифмдируется как од и* иоч»*ч йсбой. Настоящее приложение является примером обработки такихс лучаев в метриках, на практике электростатические разряды или напряжение электромагнитных помех не имеют та кого в л ия ни я на типовые проекты, аналогично рассматриваемому в настоящем примере Более того, предполагается, что в данном случае SM4 не охватывает эти виды от сазов, да же если они могут привести к некоторому повреждению микроконтроллера

7    Потеря электрической защиты вызовет нал рае ильное входное значение, которое будет обнаружено SM2. и, следовательно, ие будет считаться скрытым сбоем.

Рисунок £3. листе

ГОСТ Р ИСО 26262-5—2014


Приложение F (справочное)

Применение коэффициентов масштабирования

Коэффициент масштабирования является фактором, который используется для объединения отказов из нескольких источников а расчетах вероятностных метрик для случайных отказов аппаратных средств (PMHF).

Целевые значения, определенные а 9.4.2.1 .для PMHF для каждой цели безопасности могут быть получены из одного из трех источников:

•    таблицы 6: или

•    полевых данных устройств, использовавших подобные хорошо зарекомендовавшие себя принципы разработки: или

•    результатов количественных методов анализа, применявшихся при аналогичных хорошо зарекомендовавших себя принципах разработки, для интенсивностей отказов, источники которых указаны а 8.4.3.

Чтобы убедиться, что проект аппаратных средств соответствует заданным целевым значениям, интенсивности отказов рассчитываются для частей аппаратных средств. Интенсивность отказов частей аппаратных средств может быть оценена на основе одного из трех источников, описанных а 8.4.3:

a)    данных об интенсивностях отказоачастей аппаратных средств из признанных источников промышленности: или

b)    статистических данных, полученных из эксплуатации или испытаний (с достаточным уровнем доверия):

или

с) экспертной оценки, основанной на инженерном подходе, испольэуюшем количественные и качественные методы.

Таким образом, а расчетах для различных частей аппаратных средств устройства могут быть использованы различные источники интенсивностей отказоа.

Пусть Тл, 70 и Ге — три возможных источника для определения целевых значений PMHF. а также Ял. F0 и Яс — три возможных источника для оценки интенсивности отказоачастей аппаратных средств. Пусть    будет

коэффициентом масштабирования между источниками Я;и Ff Данный коэффициент может быть использован для масштабирования интенсивности отказов чести аппаратного средства на основе источника Я-относительно интенсивности отказов не основе источника Я^ как определено а формуле (F.1):

(Я.1)


kft

k.F.


где кА f — интенсивность отказов части аппаратного средства, полученная из источнике ff

а, / — интенсивность отказов той же части аппаратного средства, полученная из источника Я,

В этом случае, зная соотаетстауюший коэффициент масштабирования, можно для аналогичной части аппаратного средства из интенсивности отказов, полученной из источника Я,, вычислить интенсивность отказов, полученную источника Я,, по формуле (F.2):

^'к Ff " KFt * kk.Ft-    (^*2)

В таблице F.1 перечислены возможные сочетания целевых значений и интенсивностей отказов.

Примечания

1    Целевые значения а таблице 6 основаны на расчетах с использованием справочных данных, предполагая, что эти справочные данные очень пессимистичны.

2    Если источник целевых данных и интенсивностей отказов части аппаратного средства одинаков, то масштабирование не выполняется.

Таблица F.1 — Возможные сочетания источников целевых значений и интенсивностей отказов, обеслечиваю-шие согласование интенсивностей отказов а расчетах

Источник данных дпя интенсивностей отказов частей аппаратных средств

Таблица в. Перечисление а) 9.4.2.1

Перечисление Ь) 9.4.2.1

Количественный анализ. Перечисление е) 9.4.2.1

Накопленные базы данных. Перечисление а) 8.4.3

Ь)

Окончание таблицы F.1

Источник ванных для интенсивностей отказов частей аппаратных средств

Источник данных для целевых значений

Таблица в. Перечисление а) 9.4.2.1

Полевые данные. Перечисление Ь) 9.4.2.1

лиз. Перечислен ние с) 9.4.2.1

Статистические данные. Перечисление Ь) 8.4.3

* х*ь~г. *"ь

ь>

Экспертная оценка. Перечисление с) 8.4.3

Kh.Fm9 xFt+Fm * Ч Ft

ь>


** Для некоторых типов частей аппаратных средств различные справочники могут дать различные оценки интенсивности отказов для одного и того же типа частей аппаратных средств. Таким образом, коэффициент масштабирования может быть использован для масштабирования интенсивностей отказов части аппаратного средства, используя различные слравочники.

Ь) При согласованном подходе, интенсивности отказов имеют тот же источник, что и интенсивности отказов, используемые при расчете целевого значения.


Масштабирование возможно, если имеются достаточные доказательства, что существует коэффициент между двумя возможными источниками целевых значений.

Например, если существуют достаточные данные о системе « предшественнице ». то ее интенсивность отказов можно считать ожидаемой для системы, реализуемой рассматриваемым устройством.

Промер — Мот но помазать, что 1<Г9/ч с 99 %-ным уровнем уверенно cm о аналоаично 10~9/ч с 70 %-ным уровнем уверенности. Таким образом, интенсивности отказов на основе признанных отраслевых источников с 99 %-ныы уровнем уверенности можно масштабировать для отказов на основе статистических данных с 70 %-ным уровнем уверенности, используя коэффициент масштабирования (10~9/ч)/(1~в/ч) • 1/10. или наоборот.

Примечание — Опираясь на опыт. 99 %-ный уровень уверенности можно применять для интенсивностей отказов на основе признанных отраслевых источников, упомянутых в 8.4.3.

Пример — Из предыдущеао проекта были получены интенсивности отказов, рассчитанные из данных справочника, и данные аарантийноао обслуживания. В результате было получено:

^c/ipMOvwi/i1    Я    (^‘3)

еде ' спрмочтиш — интенсивности отказов. рассчитанные из данных справочника:

' лкалятик — интенсивности отказов, рассчитанные из данных аарантийноао обслуживания: tFb^Fi — полученный козффицивнт масштабирования.

Если в новом проекте используются справочные данные для определения интенсивностей отказов за исключением одной части алларвтиоео средства (часть 1 аппаратное о средства), для которой имеются только данные еарантийноео обслуживания, то с помощью масштабирования можно определить справочные данные для этой части аппаратною средства:

* 1. скрлоочяиа 9    * Ч алрвнтив*    (F-4)

еде >.| срдеочии, — интенсивности отказов части 1 аппаратноао средства, рассчитанные из данных справочника:

).} 1ЛР4Ятия — интенсивности отказов части 1 аппаратноао средства, рассчитанные из данных аарантийноао обслуживания.

Например, если >., <орлштив "9“ 107ч, то может быть рассчитано значение

Ч <лр«ооу»у« ■ (9 ш 1 (Г9) X 10 ■ (9 * 10 в)/ч.

Используя полученное значение    с*рёйоы*иг может быть выполнена соаласованная оценка нару

шения цели безопасности из-за случайных отказов аппаратных средств.

Приложение ДА (справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам
Российской Федерации

Таблица ДА.1

Обозначение ссылочное о международного стандарта

Степень соответствия

Обозначение и наименование соответствующего национального стандарта

ИСО 26262-1:2011

ИСО 26262-2:2011

ИСО 26262-3:2011

ИСО 26262-4:2011

ИСО 26262-6:2011

ИСО 26262-7:2011

ИСО 26262-8:2011

ИСО 26262-9:2011

* Соответствующий национальный стандарт отсутствует. До его утверждения рекомендуется использовать перевод на русский язык данного международного стандарта. Перевод данного международного стандарта находится в Федеральном информационном фонде технических регламентов и стандартов.

Библиография

[1]    ISO 7637-2. Road vehicles — Electrical disturbances from conduction and coupling — Part 2: Electrical transient conduction along supply lines only

[2]    ISO 7637-3. Road vehicles — Electrical disturbances from conduction and coupling — Part 3: Electrical transient transmission by capacitive and inductive coupling via lines other than supply lines

[3]    ISO 10605. Road vehicles — Test methods for electrical disturbances from electrostatic discharge

[4]    ISO 11452-2, Road vehicles — Component test methods for electrical disturbances from narrowband radiated electromagnetic energy — Part 2: Absorber-lmed shielded enclosure

[5]    ISO 11452-4, Road vehicles — Component test methods for electrical disturbances from narrowband radiated electromagnetic energy — Part 4: Harness excitation methods

[6]    ISO    16750-2.    Road    vehicles —    Environmental    conditions    and    testing    for    electrical    and    electronic

equipment — Pari 2: Electncal loads

[7]    ISO    16750-4.    Road    vehicles —    Environmental    conditions    and    testing    for    electrical    and    electronic

equipment — Pan 4: Climatic loads

[8]    ISO    16750-5,    Road    vehicles—Environmental    conditions    and    testing    for    electrical    and    electronic

equipment — Pan 5: Chemical loads

[9]    IEC61508 (all parts). F unctlonal safety of eiectrical/eiectronic/programm able electro me safety-re la ted systems

[10]    IEC 61709, Electronic components — Reliability — Reference conditions for failure rates and stress models for conversion

[11]    IEC 62061:200s, Safety of machinery — Functional safety of safety-re la ted electrical, electronic and programmable electronic control systems

[12]    IEC/TR 62380. Reliability data handbook — Universal model for reliability prediction of electronics components. PCBs and equipment

[13]    EN 50129:2003. Railway applications — Communication, signalling and processing systems — Safety related electronic systems for signalling

[14]    MIL HDBK 217 F notice 2. Military handbook. Reliability prediction of electronic equipment

[15]    MIL HDBK 338. Military handbook: Electronic reliability design handbook

[16]    NPRD 95. Non-elect/onic Parts Reliability Oata

[17]    RIAC FM0 97, Failure Mode/Mechamsm Distributions

[18]    RIAC H08K 217 Plus. Reliability Prediction Models

[19]    UTE C80-611. Reliability methodology for electronic systems

[20]    VAN DE GOOR. A. J.: Testing Semiconductor Devices. Theory and Practice. A.J. van de Goor/ComTex Publishing, 1999

[21]    SUNDARAM. P. and DAMBROSlO. J.G.. Controller Integrity m Automotive Failsafe System Architectures. SAE 2006 World Congress. 2006-01 -0840

[22]    FRUELING, T.. Delphi Secured Microcontroller Architecture. SAE 2000 World Congress. SAE92000-01 -1052

[23]    MAHMOOD. A. and MCCLUSKEY, E.J.. «Concurrent Error Detection Using Watchdog Processors — A Survey», IEEE Trans. Computers. 37(2). 160—174 (1988)

[24]    LEAPHART. E.. CZERNY. B.. D AMBROSlO. J.. et el. Survey of Software Failsafe Techniques for Safety-Critical Automotive Applications, SAE 2005 World Congress. 2005-01-0779

[25]    MARIANI. R.. FUHRMANN, P . VlTTORELLI. 8.. Cost-effective Approach to Error Detection for an Embedded Automotive Platform. 2006-01-0637. SAE 2006 World Congress & Exhibition. April 2006. Detroit. Ml. USA

[26]    PATEL. J.. FUNG. L. «Concurrent Error Detection in ALU‘s by Recomputing with Shifted Operands». IEEE Transactions on Computers. Vol.C-31. pp.417—422. Juty 1982

[27]    FORIN. P.. Vital Coded Microprocessor: Principles and Application for venous Transit Systems. Proc. IFAC-GCCT, Pahs. France. 1989

[28]    RAM ABADRAN. T.V.. Gaitonde. S.S. (1988). « A tutorial on CRC computations». IEEE Micro 8 (4): 62—75.1988

[29]    Koopman, Philip: Chakravarty, Thdib (2004). Cyclic Redundancy Code (CRC) Polynomial Selection For Embedded Networks The International Conference on Dependable Systems and Networks. DSN-2004, 

УДК 62-783:614.8:331.454:006.354    ОКС 43.040.10    Т51
Ключевые слова: функциональная безопасность: жизненный цикл систем; транспортные средства; электрические компоненты: электронные компоненты; программируемые электронные компоненты и системы; аппаратные средства, разработка

Редактор А Ф. Колыин Техническим редактор 8.Н. Прусаяоаа Корректор С.В. Смирнова Компьютерная еорстяа A.N. Зопотарааой

Сдано о набор 20.08.2015. Подписано а печать 26.103015. Формат 60 к 64^    Гарнитура Ариел.

Уел. печ. л. 6.64. Уч.чод. п. 7.05. Тирам 32 эо. Зак. 3344.

Издано и отпечатано ао ФГУП «СТАНДЛРТИНФОРМ». 123995 Мосива. Гранатный пер.. 4.     info@gos ltnfo.ru