ГОСТ Р ИСО 26262-3-2020. Национальный стандарт РФ: "Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 14.10.2020 N 843-ст)

Road vehicles. Functional safety. Part 3. Concept phase

ОКС 43.040.10

Дата введения - 1 июня 2021 г.
Взамен ГОСТ Р ИСО 26262-3-2014

Предисловие

1 Подготовлен Федеральным государственным унитарным предприятием "Российский научно-технический центр информации по стандартизации, метрологии и оценке соответствия (ФГУП "СТАНДАРТИНФОРМ") совместно с Обществом с ограниченной ответственностью "Корпоративные электронные системы" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 Внесен Техническим комитетом по стандартизации ТК 058 "Функциональная безопасность"

3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 14 октября 2020 г. N 843-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 26262-3:2018 "Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции" (ISO 26262-3:2018 "Road vehicles - Functional safety - Part 3: Concept phase", IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 Взамен ГОСТ Р ИСО 26262-3-2014

Введение

Комплекс стандартов ИСО 26262 является адаптацией комплекса стандартов МЭК 61508 и предназначен для применения электрических и/или электронных (далее Э/Э) систем в дорожных транспортных средствах.

Данная адаптация распространяется на все виды деятельности в процессе жизненного цикла систем, связанных с безопасностью, включающих электрические, электронные и программные компоненты.

Безопасность является одним из приоритетов современного автомобилестроения. Расширение числа функциональных возможностей транспортных средств вызывает необходимость использования методологии функциональной безопасности и подтверждения достижения целей функциональной безопасности.

С ростом сложности технологий, программного обеспечения и мехатронных устройств увеличиваются риски, связанные с систематическими и случайными отказами аппаратных средств, рассматриваемыми в рамках функциональной безопасности. Комплекс стандартов ИСО 26262 является руководством по снижению этих рисков, в которое включены соответствующие требования и процессы.

Для достижения функциональной безопасности комплекс стандартов ИСО 26262 устанавливает:

a) жизненный цикл системы безопасности транспортного средства и включает перечень действий для стадий этого жизненного цикла (разработка, производство, эксплуатация, обслуживание, вывод из эксплуатации);

b) подход, основанный на оценке риска, разработанный специально для автотранспорта, для определения уровней полноты безопасности [уровни полноты безопасности транспортного средства (УПБТС)];

c) использование значения УПБТС для спецификации требований комплекса стандартов ИСО 26262 с целью предотвращения неоправданного остаточного риска;

d) требования к мерам по выполнению менеджмента функциональной безопасности, проектирования, реализации, верификации, валидации, а также к мерам их подтверждения;

e) требования к взаимодействию между заказчиками и поставщиками.

Комплекс стандартов ИСО 26262 рассматривает функциональную безопасность Э/Э систем, которая достигается с помощью мер по обеспечению безопасности, включая механизмы обеспечения безопасности. Однако он также обеспечивает подход, в рамках которого можно использовать связанные с безопасностью системы, реализуемые на других технологиях (например, механических, гидравлических и пневматических).

На достижение функциональной безопасности влияют процессы разработки (в том числе спецификация требований, проектирование, реализация, интеграция, верификация, валидация и управление конфигурацией), процессы производства и обслуживания, а также процессы управления.

Вопросы безопасности тесно связаны с любыми работами, реализующими функционал и обеспечивающими качество создаваемых изделий, а также с результатами таких работ. Настоящий стандарт рассматривает связанные с безопасностью проблемы, касающиеся этих работ и их результатов.

На рисунке 1 показана общая структура комплекса стандартов ИСО 26263. В нем для различных стадий разработки изделия используется эталонная V-модель процесса. На рисунке 1:

- заштрихованная область в виде символа "V" представляет взаимосвязь между ИСО 26262-3, ИСО 26262-4, ИСО 26262-5, ИСО 26262-6 и ИСО 26262-7;

- для мотоциклов:

ИСО 26262-12:2018, раздел 8, соответствует требованиям ИСО 26262-3;

ИСО 26262-12:2018, разделы 8 и 10, соответствуют требованиям ИСО 26262-4;

- ссылки на конкретную информацию даны в виде: "m-n", где "m" представляет собой номер части настоящего стандарта, а "n" указывает на номер раздела этой части.

Пример - 2-6 ссылается на раздел 6 ИСО 26262-2.

Рисунок 1 - Общая структура ИСО 26262

1 Область применения

Настоящий стандарт применяется к системам, связанным с безопасностью, включающим в себя одну или несколько Э/Э систем, установленным на серийно производимые дорожные транспортные средства, исключая мопеды. Настоящий стандарт не применяется для уникальных Э/Э систем транспортных средств специального назначения, таких как Э/Э системы, предназначенные для водителей с ограниченными возможностями.

Примечание - Существуют другие стандарты по безопасности для специального применения, которые могут дополнить комплекс стандартов ИСО 26262 либо включают комплекс стандартов ИСО 26262.

Системы и их компоненты, находящиеся в производстве или на стадии разработки до даты публикации настоящего стандарта, не входят в его область применения. Настоящий стандарт распространяется на изменения к существующим системам и их компонентам, запущенным в производство до публикации настоящего документа, с целью корректировки жизненного цикла системы безопасности в зависимости от конкретного изменения. Настоящий стандарт распространяется на интеграцию существующих систем, разработанных не в соответствии с настоящим стандартом, и систем, разработанных в соответствии с настоящим стандартом, при корректировке жизненного цикла системы безопасности.

Настоящий стандарт рассматривает возможные опасности, вызванные некорректным функционированием Э/Э систем, связанных с безопасностью, а также некорректным взаимодействием этих систем. Настоящий стандарт не рассматривает опасности, связанные с поражением электрическим током, возгоранием, задымлением, перегревом, излучением, токсичностью, воспламеняемостью, химической активностью, коррозией и подобными опасностями, если они непосредственно не вызваны неправильным функционированием Э/Э систем, связанных с безопасностью.

Настоящий стандарт описывает методологию функциональной безопасности, обеспечивающую разработку Э/Э систем, связанных с безопасностью. Эта методология предназначена для интеграции действий по функциональной безопасности в определенную для компании дисциплину разработки. Некоторые требования имеют ясную техническую направленность на обеспечение функциональной безопасности изделия; другие связаны с процессом разработки и поэтому могут рассматриваться как требования к процессу, чтобы продемонстрировать способность организации реализовать методологию функциональной безопасности.

Настоящий стандарт не рассматривает номинальные характеристики Э/Э систем.

Настоящий стандарт устанавливает требования для стадии формирования концепции изделия для применения на автомобильных транспортных средствах, в том числе:

- к определению устройства;

- анализу опасностей и оценке рисков;

- концепции функциональной безопасности.

В приложении А представлен обзор целей, предпосылок и результатов работы, рассмотренных в настоящем стандарте.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения к нему):

ISO 26262-1:2018, Road vehicles - Functional safety - Part 1: Vocabulary (Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения)

ISO 26262-2:2018, Road vehicles - Functional safety - Part 2: Management of functional safety (Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности)

ISO 26262-4:2018, Road vehicles - Functional safety - Part 4: Product development at the system level (Дорожные транспортные средства. Функциональная безопасность. Часть 4. Разработка изделия на уровне системы)

ISO 26262-8:2018, Road vehicles - Functional safety - Part 8: Supporting processes (Дорожные транспортные средства. Функциональная безопасность. Часть 8. Вспомогательные процессы)

ISO 26262-9:2018, Road vehicles - Functional safety - Part 9: Automotive safety integrity level (ASIL)-oriented and safety-oriented analyses (Дорожные транспортные средства. Функциональная безопасность. Часть 9. Анализ уровня полноты безопасности транспортного средства и анализ безопасности транспортного средства)

3 Термины и определения

В настоящем стандарте применены термины по ИСО 26262-1.

ИСО и МЭК для применения в стандартизации поддерживают терминологические базы данных:

- IEC Electropedia: доступна по адресу http://www.electropedia.org/;

- ИСО, онлайн-платформа: доступна по адресу https://www.iso.org/obp.

4 Требования соответствия настоящему стандарту

4.1 Цель

Настоящий раздел описывает:

a) как обеспечить соответствие требованиям комплекса стандартов ИСО 26262;

b) интерпретировать таблицы, используемые в комплексе стандартов ИСО 26262;

c) интерпретировать применимость каждого раздела в зависимости от соответствующего значения УПБТС.

4.2 Общие требования

Для соответствия комплексу стандартов ИСО 26262 должно быть выполнено каждое его требование, если для этого требования не выполняется одно из следующих условий:

a) в соответствии с ИСО 26262-2 предусмотрена адаптация действий по обеспечению безопасности, которая показывает, что данное требование не применяется;

b) существует обоснование того, что несоблюдение данного требования допустимо, а также показано соответствие этого обоснования ИСО 26262-2.

Справочная информация, включая примечания и примеры, должна использоваться только для понимания или для уточнения соответствующего требования и не должна толковаться как самостоятельное требование или быть для него полной или исчерпывающей.

Результаты действий по обеспечению безопасности представлены как результаты работы. В пунктах "Предварительные требования" перечисляется информация, которая должна быть доступна как результат работы предыдущей стадии. Так как некоторые требования разделов настоящего стандарта зависят от УПБТС или могут быть скорректированы, то некоторые результаты работы в качестве предварительных условий могут не понадобиться.

В пунктах "Дополнительная информация" содержится информация, которую можно учитывать, но в некоторых случаях настоящий стандарт не требует, чтобы она была результатом работы предыдущей стадии. Такая информация может быть доступна из внешних источников, от лиц или организаций, которые не несут ответственность за деятельность по обеспечению функциональной безопасности.

4.3 Интерпретация таблиц

В настоящем стандарте использованы нормативные или справочные таблицы в зависимости от их контекста. Перечисленные в таблице различные методы вносят вклад в уровень уверенности в достижении соответствия рассматриваемому требованию. Каждый метод в таблице включен либо:

а) в последовательный список методов (он обозначен порядковым номером в левой колонке, например 1, 2, 3), или

б) альтернативный список методов (он обозначен номером с последующей буквой в левом столбце, например 2а, 2б, 2в).

В случае последовательного списка для соответствующего значения УПБТС должны применяться все "наиболее рекомендуемые" и "рекомендуемые" методы. Допускается замена "наиболее рекомендуемого" или "рекомендуемого" метода другим, не перечисленным в таблице методом, но в этом случае должно быть дано обоснование, почему он удовлетворяет соответствующему требованию. Если может быть обосновано, что для удовлетворения соответствующему требованию не выбираются никакие методы, то в дальнейшем обоснование пропущенных методов не выполняется.

В случае альтернативного списка должна применяться подходящая комбинация методов в соответствии с указанным значением УПБТС независимо от того, перечислены в таблице эти комбинации или нет. Если перечисленные методы имеют разные степени рекомендуемости их применения для некоторого значения УПБТС, то следует отдать предпочтение методам с более высокой степенью рекомендуемости. Должно быть дано обоснование, что выбранная комбинация методов или даже отдельный выбранный метод выполняет соответствующее требование.

Примечание - Обоснование, основанное на методах, перечисленных в таблице, является достаточным. Но это не означает, что существует какое-то предубеждение за или против применения методов, не перечисленных в таблице.

Для каждого метода степень рекомендуемости его применения зависит от значения УПБТС и классифицируется следующим образом:

- "+ +" означает, что метод является наиболее рекомендуемым для определенного значения УПБТС;

- "+" означает, что метод рекомендован для определенного значения УПБТС;

- "О" означает, что метод не имеет рекомендации за или против его применения для определенного значения УПБТС.

4.4 Требования и рекомендации, зависимые от значения УПБТС

Требования или рекомендации каждого подраздела должны соблюдаться для значений УПБТС А, В, С и D, если не указано иное. Эти требования и рекомендации связаны со значениями УПБТС цели безопасности. Если в соответствии с требованиями раздела 5 ИСО 26262-9 декомпозиция УПБТС была выполнена на более ранней стадии разработки, то должны соблюдаться значения УПБТС, полученные в результате декомпозиции.

Если в настоящем стандарте значение УПБТС дается в круглых скобках, то соответствующий подпункт должен рассматриваться как рекомендация, а не требование для этого значения УПБТС. Это не касается скобочных записей, относящихся к декомпозиции УПБТС.

4.5 Адаптация к мотоциклам

Для устройств или элементов мотоциклов, для которых применимы требования ИСО 26262-12, эти требования могут быть использованы вместо соответствующих требований в настоящем стандарте. Требования настоящего стандарта, которые заменяются требованиями ИСО 26262-12, определены в ИСО 26262-12.

4.6 Адаптация к грузовым транспортным средствам, автобусам, прицепам и полуприцепам

Содержание, предназначенное для спецификации грузовых автомобилей, автобусов, прицепов и полуприцепов, обозначается как (Т&В).

5 Определение устройства

5.1 Цели

Цели настоящего раздела:

a) определить и описать устройство, его функциональные возможности, зависимости и взаимодействие с водителем, средой и другими устройствами на уровне транспортного средства;

b) обеспечить надлежащее понимание функционирования устройства, чтобы могли быть выполнены соответствующие действия на последующих стадиях.

5.2 Общие положения

В данном разделе перечислены требования и рекомендации к формированию определения устройства, учитывая его функциональность, интерфейсы, условия внешней среды, правовые требования, опасности и т.д. Это определение позволит обеспечить достаточным объемом информации об устройстве тех лиц, которые выполняют последующие подстадии: "анализ опасностей и оценка рисков" (см. раздел 6) и "концепция функциональной безопасности" (см. раздел 7).

Примечание - Таблица А.1 содержит обзор целей, предварительных требований и результатов работы стадии формирования концепции.

5.3 Входная информация

5.3.1 Предварительные требования

Не задаются.

5.3.2 Дополнительная информация

Следующая информация может быть учтена:

- любая информация, связанная с устройством, которая уже существует, например идея изделия, эскизный проект, соответствующие патенты, результаты предварительных испытаний, документация от предшествующих устройств, соответствующая информация о других независимых от разрабатываемого устройствах.

5.4 Требования и рекомендации

5.4.1 Для устройства должны быть определены следующие требования:

Примечания

1 Требования могут быть классифицированы как связанные с безопасностью после определения целей безопасности и значений их УПБТС.

2 Если функциональные и нефункциональные требования отсутствуют, то их формирование может быть инициировано требованиями настоящего раздела.

a) правовые требования, национальные и международные стандарты;

b) функциональное поведение на уровне транспортного средства, включая режимы работы или состояния устройства;

c) необходимые качество, характеристики и готовность функциональности, если необходимо;

d) ограничения для устройства, такие как функциональные зависимости, зависимости от других устройств и внешняя среда эксплуатации;

e) возможные последствия из-за некорректного функционирования, включая известные отказы и опасности, если таковые имеются.

Примечание - Могут быть включены известные связанные с безопасностью инциденты в подобных устройствах;

f) возможности исполнительных механизмов или их предполагаемые возможности.

Примечание - Эти значения (например, выходной крутящий момент, тяговое усилие, быстродействие, яркость, громкость) или их оценки необходимы для определения величины воздействия при выполнении анализа опасностей и оценки риска. Величина воздействия учитывается при принятии решения о значениях тяжести последствий и управляемости.

5.4.2 Должны быть определены габариты устройства, его интерфейсы и предположения о его взаимодействии с другими устройствами и элементами, учитывая:

а) элементы устройства.

Примечание - Элементы могут также быть основаны на других технологиях;

b) предположения о влиянии функционирования устройства на транспортное средство;

c) функциональность рассматриваемого устройства, необходимую другим устройствам и элементам;

d) функциональность других устройств и элементов, необходимую рассматриваемому устройству;

e) выделение и распределение функций между включенными в устройство системами и элементами;

f) сценарии работы, которые влияют на функциональность устройства.

Примечания

1 С увеличением сложности функций транспортного средства между устройствами появляются зависимости. Одно устройство может быть реализовано набором систем, которые сами выполняют другие функции уровня транспортного средства, т.е. их можно рассматривать как самостоятельные устройства.

Пример - Комплексный адаптивный круиз-контроль и функция удержания в полосе движения используют тормозную систему, систему рулевого управления и силовую установку. В этом примере тормозную систему, осуществляющую функцию торможения, можно считать самостоятельным устройством.

2 Если областью применения разработки является элемент, а не устройство, то см. 6.4.5.7 ИСО 26262-2.

5.5 Результаты работы

5.5.1 Определение устройства формируется в результате выполнения требований 5.4.

6 Анализ опасностей и оценка рисков

6.1 Цели

Цели настоящего раздела:

a) выявить и классифицировать опасные события, вызванные некорректным функционированием неисправного устройства;

b) сформулировать цели безопасности с соответствующими значениями УПБТС, связанными с предотвращением или ослаблением последствий опасных событий, во избежание необоснованного риска.

6.2 Общие положения

Анализ опасностей, оценка рисков и определение значения УПБТС используются для определения целей безопасности устройства. Для этого оцениваются потенциально опасные события для устройства. Цели безопасности и их значения УПБТС определяются с помощью систематической оценки опасных событий. Значения УПБТС определяются с учетом оценки влияющих факторов, таких как тяжесть последствий, вероятность воздействия и управляемость опасного события. Для этого необходимо знать функциональное поведение устройства, поэтому детальное проектирование устройства выполнять не обязательно.

6.3 Входная информация

6.3.1 Предварительные требования

Следующая информация должна быть доступна:

- определение устройства в соответствии с 5.5.1.

6.3.2 Дополнительная информация

Следующая информация может быть учтена:

- соответствующая информация о других устройствах (из внешнего источника).

6.4 Требования и рекомендации

6.4.1 Запуск процедуры анализа опасностей и оценки рисков

6.4.1.1 Анализ опасностей и оценка рисков должны быть основаны на определении устройства.

6.4.1.2 Анализ опасностей и оценка рисков устройства должны выполняться без его внутренних механизмов безопасности, то есть при анализе опасностей и оценке рисков не должны рассматриваться механизмы безопасности, предназначенные для реализации или которые уже были реализованы в предшествующих устройствах.

Примечания

1 При оценке устройства могут быть полезны доступные и достаточно независимые внешние меры.

Пример - Система динамической стабилизации может смягчить последствия отказов в системах шасси за счет повышения управляемости транспортного средства, если подтверждено, что она доступна и достаточно независима от оцениваемого устройства.

2 Механизмы безопасности устройства, которые предназначены для реализации или уже были реализованы, включены в качестве составной части в функциональную концепцию безопасности.

6.4.2 Анализ ситуации и идентификация опасности

6.4.2.1 Должны быть описаны эксплуатационные ситуации и режимы работы, в которых некорректное функционирование устройства приводит к опасному событию как в случаях регламентированного использования транспортного средства, так и в случаях предсказуемо неправильного использования.

Примечания

1 Эксплуатационные ситуации описывают условия, в которых предполагается, что устройство функционирует безопасно.

2 Опасности, возникающие только в результате функционирования устройства в отсутствие отказа, не входят в область применения настоящего стандарта.

6.4.2.2 Опасности должны определяться систематически на основе возможного функционирования устройства, работающего со сбоями.

Примечания

1 Анализ видов отказов и их последствий (FMEA) и исследования опасности и работоспособности (HAZOP) подходят для идентификации источников опасности на уровне устройства Они могут выполняться такими методами, как мозговой штурм, контрольные листы, картина изменения качества устройства во времени и натурные исследования.

2 Ответственность за установление внешних мер для снижения последствий дополнительных рисков от транспортировки грузов не входит в область применения настоящего стандарта. Поэтому дополнительные риски, связанные с транспортировкой грузов, не являются частью анализа опасностей и оценки риска.

6.4.2.3 Опасности, вызванные функционированием устройства, работающего со сбоями, должны быть определены на уровне транспортного средства.

Примечания

1 В общем случае каждая опасность будет иметь несколько возможных причин, связанных с реализацией устройства, но они не должны рассматриваться в ходе анализа опасностей и оценки рисков функционирования устройства, работающего со сбоями.

2 Рассматриваются только опасности, связанные с функционированием самого устройства, работающего со сбоями, при этом предполагается, что все остальные системы (внешние меры) функционируют правильно, если они достаточно независимы.

6.4.2.4 Если существуют опасности, выявленные в настоящем разделе, которые не входят в область применения настоящего стандарта (см. раздел 1), то эти опасности должны быть рассмотрены согласно конкретным процедурам организации.

Примечание - Поскольку эти опасности не входят в область применения настоящего стандарта, то настоящий стандарт не дает рекомендаций для определения соответствия УПБТС для этих опасностей. Такие опасности классифицируются согласно процедурам применяемой дисциплины безопасности.

6.4.2.5 Должны быть определены соответствующие опасные события.

6.4.2.6 Должны быть определены последствия опасных событий.

Примечание - Если функционирование устройства, работающего со сбоями, вызывает потерю его нескольких функций, то анализ ситуации и процедура выявления опасности рассматривают результирующие опасные события.

Примеры

1 Потеря функциональности тормозной системы (ESC) может привести к одновременному отсутствию нескольких функций помощи водителю.

2 Отказ бортовой системы электропитания может привести к одновременной потере ряда функций, в том числе "крутящего момента двигателя", "гидроусилителя рулевого управления" и "переднего освещения".

6.4.2.7 Должно быть гарантировано, что выбранный уровень детализации списка эксплуатационных ситуаций не приводит к недопустимому снижению значения УПБТС.

Примечание - Очень подробный список эксплуатационных ситуаций (см. 6.4.2.1) для одной опасности, связанных с состоянием транспортного средства, дорожными условиями и условиями окружающей среды, может привести к подробной классификации опасных событий. Это может упростить оценку управляемости и тяжести последствий. Однако большое число различных эксплуатационных ситуаций может привести к последующему сокращению соответствующих классов воздействия и, таким образом, к недопустимому снижению значения УПБТС. Этого можно избежать, объединив аналогичные эксплуатационные ситуации.

6.4.3 Классификация опасных событий

6.4.3.1 Все опасные события, идентифицированные в соответствии с 6.4.2, должны быть классифицированы, кроме тех, которые находятся вне области применения настоящего стандарта.

Примечание - Если классификацию данной опасности по тяжести последствий (S), вероятности воздействия (Е) или управляемости (С) сделать трудно, то она классифицируется консервативно, то есть при наличии обоснованных сомнений выбираются более высокие значения S, Е или С.

6.4.3.2 Тяжесть последствий потенциального вреда должна оцениваться на основе определенного обоснования для каждого опасного события. Тяжесть последствий должна быть отнесена к одному из классов тяжести последствий S0, S1, S2 и S3 в соответствии с таблицей 1.

Примечания

1 Оценка риска опасных событий основывается на возможном причинении вреда каждому человеку, подвергающемуся влиянию опасного события, включая водителя или пассажиров транспортного средства, вызывающего опасное событие, и других лиц, возможно находящихся в опасности, таких как велосипедисты, пешеходы и пассажиры других транспортных средств. Для характеристики степени тяжести последствий может быть использована Краткая шкала повреждений (КШП), представленная в приложении В, с примерами различных ДТП и классов тяжести их последствий.

2 Класс тяжести последствий может быть основан на сочетании травм, что может привести к более высокой оценке тяжести последствий, чем результат простого рассмотрения отдельных травм.

3 Оценка учитывает обоснованную последовательность событий для оцениваемой эксплуатационной ситуации.

4 Классификация тяжести последствий основана на репрезентативной выборке лиц, подвергающихся влиянию опасного события.

Таблица 1 - Классы тяжести последствий

	Класс
	S0	S1	S2	S3
Описание	Повреждения отсутствуют	Легкие и умеренные повреждения	Тяжелые и опасные для жизни повреждения (вероятное выживание)	Опасные для жизни повреждения (сомнительное выживание), повреждения со смертельным исходом

6.4.3.3 Существуют эксплуатационные ситуации, которые приводят к причинению вреда (например, несчастный случай). Последующее функционирование устройства, работающего со сбоями, в такой эксплуатационной ситуации может стать более опасным или не стать менее опасным и привести к причинению вреда. В этом случае классификация серьезности может быть ограничена разделением между серьезностью, вызванной начальной эксплуатационной ситуацией (например, несчастный случай) и функционированием устройства, работающего со сбоями.

Примеры

1 Если происходит несчастный случай, который не связан с функционированием устройства, работающего со сбоями, то полученный в результате вред от этого несчастного случая не рассматривают для классификации серьезности.

2 Рассматриваемое устройство включает функциональность подушки безопасности для снижения вреда, причиненного столкновением. Для несчастного случая, в котором подушка безопасности не раскрывается, может быть определен вред, причиненный столкновением. Если бы раскрывшаяся подушка безопасности уменьшила вред от того же несчастного случая до более низкого класса серьезности, то только такое разделение рассматривают для классификации серьезности.

6.4.3.4 Класс тяжести последствий S0 может быть назначен, если анализ рисков установит, что последствия функционирования устройства, работающего со сбоями, четко ограничены материальным ущербом и не влекут за собой вред людям. Если опасности присваивается класс тяжести последствий S0, то назначение УПБТС не требуется.

6.4.3.5 Вероятность воздействия каждой эксплуатационной ситуации должна быть оценена на основе конкретного обоснования для каждого опасного события. Вероятность воздействия должна быть отнесена к одному из классов вероятности воздействия Е0, Е1, Е2, Е3 и Е4 в соответствии с таблицей 2.

Примечания

1 Для классов от Е1 до Е4 разница в значении вероятности воздействия от одного класса Е до следующего составляет один порядок величины.

2 Определение воздействия основано на репрезентативной выборке эксплуатационных ситуаций для рынков сбыта.

3 Дополнительная информация и примеры, связанные с вероятностью воздействия, содержатся в приложении В.

Таблица 2 - Классы вероятности воздействий эксплуатационных ситуаций

	Класс
	Е0	Е1	Е2	Е3	Е4
Описание	Невероятное	Очень низкая вероятность	Низкая вероятность	Средняя вероятность	Высокая вероятность

6.4.3.6 Количество транспортных средств, оснащенных устройством, не должно учитываться при оценке вероятности воздействия.

Примечание - При выполнении оценки вероятности воздействия предполагается, что каждое транспортное средство оснащено устройством. Это означает, что аргумент "вероятность воздействия может быть уменьшена, потому что устройство не присутствует в каждом транспортном средстве (так как только некоторые транспортные средства оснащены устройством)", является недопустимым.

6.4.3.7 Класс Е0 может быть использован для тех эксплуатационных ситуаций, которые определены во время анализа опасностей и оценки риска, но которые считаются невероятными и, следовательно, не рассматриваются. Должно быть документально оформлено обоснование для исключения таких ситуаций. Если опасности присваивается класс воздействия Е0, то назначения УПБТС не требуется.

Пример - Е0 может быть использован в случае "форс-мажорного" риска (см. В.3).

6.4.3.8 Управляемость каждого опасного события водителем или другими лицами, потенциально находящимися в опасности, должна быть оценена на основе конкретного обоснования для каждого опасного события. Управляемость должна быть отнесена к одному из классов управляемости С0, С1, С2 и С3 в соответствии с таблицей 3.

Примечания

1 Для классов от С1 до С3 разница в значении вероятности от одного класса С до следующего составляет один порядок величины.

2 Под оценкой управляемости понимается оценка вероятности того, что водитель или другие лица, потенциально находящиеся в опасности, смогут получить достаточный контроль над опасным событием таким образом, что они могут избежать конкретного вреда. Для этой цели используется параметр С с классами С1, С2 и С3 для классификации возможности избежать вред. Предполагается, что водитель находится в надлежащем состоянии для управления (например, не устал), имеет соответствующую водительскую подготовку (имеет водительское удостоверение) и соблюдает все правила дорожного движения, в том числе необходимые требования предосторожности, чтобы избежать рисков для других участников дорожного движения. Некоторые примеры, которые служат интерпретацией данных классов, приведены в таблице В.6.

3 Рассматривается разумно предсказуемое неправильное использование, например "обычной манерой вождения является несохранение требуемой дистанции до впереди идущего транспортного средства".

4 Если опасное событие не связано с управлением скоростью и направлением движения транспортного средства, например возможное защемление конечности подвижными деталями, то управляемость может быть оценена вероятностью того, что находящийся в опасности человек в состоянии вывести себя из опасного состояния или может быть выведен из опасной ситуации другими лицами. При рассмотрении управляемости следует отметить, что лицо, находящееся в опасности, может быть не знакомо с работой устройства или может быть не осведомлено о развитии потенциально опасной ситуации.

5 При анализе управляемости в ситуации с несколькими участниками дорожного движения ее оценка может быть основана на управляемости транспортного средства с неисправным устройством и вероятных действиях других участников.

Таблица 3 - Классы управляемости

	Класс
	С0	С1	С2	С3
Описание	Полностью управляемое	Легко управляемое	Обычно управляемое	Трудно управляемое или неконтролируемое

6.4.3.9 Класс С0 может быть использован для опасностей, не охваченных данным устройством, если они не влияют на безопасную эксплуатацию транспортного средства (например, некоторые системы помощи водителю) или если несчастного случая можно избежать с помощью обычных действий водителя. Если опасности присваивается класс управляемости С0, то назначения УПБТС не требуется.

Примеры

1 Если потеря тяги происходит в гараже или паркинге при трогании с места, то может быть выбрано значение С0, поскольку водитель может оставить транспортное средство на месте.

Примечание - Отдельные специализированные документы, которые определяют функциональную работоспособность для рассматриваемого опасного события, можно использовать в качестве частичного обоснования при выборе подходящего класса управляемости, если это применимо, и в качестве подтверждений, например реальным опытом использования.

2 Отдельный специальный документ, охватывающий требования для сертификации системы транспортного средства с точным определением значений мощности или ускорения в случае отказа.

6.4.3.10 Значение УПБТС должно быть определено для каждого опасного события на основе классификации тяжести последствий, вероятности воздействия и управляемости в соответствии с таблицей 4.

Примечания

1 Определены четыре значения УПБТС: УПБТС А, УПБТС В, УПБТС С и УПБТС D, где значение УПБТС, равное А, является самым низким значением уровня полноты безопасности транспортного средства, а значение УПБТС, равное D, - самым высоким.

2 В дополнение к этим четырем значениям УПБТС классу QM (управление качеством) не назначается требование соответствия настоящему стандарту. Тем не менее соответствующее опасное событие может иметь последствия для безопасности, и в этом случае могут быть сформулированы требования безопасности. Классификация QM указывает, что процессов управления качеством достаточно для управления выявленным риском.

Таблица 4 - Определение УПБТС

Классы тяжести последствий	Класс вероятности воздействия	Класс управляемости
		С1	С2	С3
S1	Е1	QM	QM	QM
	Е2	QM	QM	QM
	Е3	QM	QM	А
	Е4	QM	А	В
S2	Е1	QM	QM	QM
	Е2	QM	QM	А
	Е3	QM	А	В
	Е4	А	В	С
S3	Е1	QM	QM	А а)
	Е2	QM	А	В
	Е3	А	В	С
	Е4	В	С	D
а) См. 6.4.3.11.

6.4.3.11 Если объединяются несколько маловероятных ситуаций, что приводит к более низкой вероятности воздействия, чем значение Е1, то при таком объединении может быть обосновано значение QM для S3 и С3.

Примеры

1 В случае неисправности системы высокого напряжения подается неправильное напряжение питания и объединяются следующие эксплуатационные ситуации:

- столкновение, которое раскрывает подушку безопасности;

- на транспортном средстве, лежащем частично в воде;

- система высокого напряжения частично подвергается воздействию, не вызывая внутреннего короткого замыкания.

2 В случае неисправности топливного насоса снабжение бензином нарушается и объединяются следующие эксплуатационные ситуации:

- столкновение, которое раскрывает подушку безопасности;

- система бака до насоса остается полностью функциональной;

- топливопровод после насоса поврежден так, что бензин может капать на горячие детали;

- энергоснабжение насоса полностью функционирует.

6.4.4 Определение целей безопасности

6.4.4.1 Для каждого опасного события должна быть определена цель безопасности со значением УПБТС, оцениваемым при анализе рисков. Если определены похожие цели безопасности, то они могут быть объединены в одну цель безопасности.

Примечание - Цели безопасности являются требованиями безопасности самого высокого уровня для данного устройства. Они приводят к требованиям функциональной безопасности, необходимым для предотвращения необоснованного риска для каждого опасного события. Цели безопасности не выражаются через технологические решения, а формулируются в терминах функциональных задач.

6.4.4.2 Значение УПБТС, определяемое для опасного события, должно быть назначено соответствующей цели безопасности. Если же аналогичные цели безопасности объединяются в одну в соответствии с 6.4.4.3, то такой цели безопасности должно быть назначено наибольшее из значений УПБТС объединяемых целей безопасности.

6.4.4.3 Цели безопасности вместе с их значениями УПБТС должны быть специфицированы в соответствии с требованиями раздела 6 ИСО 26262-8.

Примечание - Цель безопасности может определять интервал сбоеустойчивости или физические характеристики (например, максимальный уровень нежелательного крутящего момента рулевого колеса, максимальный уровень нежелательного ускорения), если они имеют отношение к определению значения УПБТС.

6.4.4.4 Должны быть определены предположения, полученные в результате анализа опасностей и оценки риска или используемые для этого, которые важны для определения УПБТС (если возможно, включая опасные события, классифицированные QM или для которых УПБТС не назначен). Для этих предположений должна быть подтверждена корректность в соответствии с требованиями раздела 8 ИСО 26262-4 для интегрированного устройства.

Примечание - Предположения, если таковые имеются, которые рассматривают во время анализа опасностей и оценки риска, включают предполагаемые действия водителя или лиц, подвергающихся опасности, а также предположения, касающиеся внешних мер.

6.4.5 Управление различиями Т&В при их анализе опасностей и оценке риска

6.4.5.1 Требования 6.4.5 должны применяться только к Т&В.

6.4.5.2 При выполнении анализа опасностей и оценке риска для транспортных средств Т&В необходимо учитывать следующие их различия по:

a) типу основного транспортного средства;

b) конфигурации транспортного средства Т&В;

c) эксплуатации транспортного средства Т&В.

Примечание - Для анализа применимы технические доказательства при выборе типов различия.

Примеры

1 Пробуксовка колеса может быть актуальной только для незагруженных грузовых автомобилей и не характерна для загруженных грузовых автомобилей, что влияет на вероятность ее возникновения.

2 Прикрепленный прицеп в определенных опасных ситуациях может снизить управляемость транспортного средства-тягача в сравнении с отсутствием прицепа.

3 Различные кузова Т&В могут иметь различные свойства безопасности, тем самым влияя на тяжесть последствий.

6.4.5.3 При выполнении анализа опасностей и оценке рисков должен быть рассмотрен каждый соответствующий тип базового транспортного средства.

6.4.5.4 Количество транспортных средств данного типа базового транспортного средства не учитывается при оценке вероятности воздействия.

6.4.5.5 Количество транспортных средств, оборудованных определенной конфигурацией, не учитывается при оценке вероятности воздействия.

6.4.5.6 При выполнении анализа опасностей и оценке рисков должны быть рассмотрены те различия в эксплуатационных ситуациях, которые оказывают влияние на технические параметры.

Примечания

1 Использование транспортного средства является частью рассматриваемой эксплуатационной ситуации и учитывается при оценке вероятности воздействия.

Пример - Управление седельным тягачом без полуприцепа приводит к низкой нагрузке на ведущий мост (технический параметр), что приводит к снижению динамической устойчивости седельного тягача. При оценке вероятности воздействия эксплуатационная ситуация будет, например, такой: "Управление седельным тягачом на дорогах общего пользования без полуприцепа". Данный сценарий можно классифицировать как Е2 (см. таблицу В.4).

2 При выполнении анализа опасностей и оценке рисков применение кузова можно рассматривать как груз. Допускается рассмотрение различных грузов.

Пример - Различные режимы загрузки (полная, частичная, без груза) и положения центра тяжести.

3 Функции кузовного оборудования, особенно функции механизмов, могут относиться к области применения других стандартов по безопасности. Анализ опасностей и оценка рисков для этих функций выполняются в соответствии с конкретными применимыми стандартами безопасности.

4 Для функций транспортного средства, которые связаны с применением специализированного кузова, в ходе анализа опасностей и оценки риска могут быть учтены эксплуатационные ситуации с таким кузовом.

6.4.5.7 При классификации параметров "Тяжесть последствий", "Вероятность воздействия" и "Управляемость" необходимо учитывать соответствующую комбинацию типов различий для устройства.

Примечание - Соответствующая комбинация может быть определена на основе технического доказательства.

6.4.6 Верификация

6.4.6.1 Анализ опасностей и оценка рисков, включая цели безопасности, должны быть верифицированы в соответствии с требованиями раздела 9 ИСО 26262-8, чтобы обеспечить подтверждение:

a) надлежащего выбора эксплуатационных ситуаций и идентификации опасности (и конфигурации транспортных средств Т&В);

b) соответствия с определением устройства;

c) согласованности с соответствующим анализом опасностей и оценкой рисков других устройств;

d) полноты охвата опасных событий;

e) согласованности целей безопасности с назначенными значениями УПБТС и с соответствующими опасными событиями.

6.5 Результаты работы

6.5.1 Отчет об анализе опасностей и оценке рисков

В результате выполнения требований 6.4.1-6.4.5.

6.5.2 Отчет о верификации анализа опасностей и оценки рисков

В результате выполнения требований 6.4.6.

7 Концепция функциональной безопасности

7.1 Цели

Цели настоящего раздела:

а) определить функциональное поведение устройства или функциональное поведение устройства со сниженной производительностью в соответствии с его целями безопасности;

b) определить ограничения, связанные с надлежащим и своевременным обнаружением соответствующих сбоев и управлением этими сбоями в соответствии с целями безопасности;

c) определить стратегии или меры на уровне устройства для достижения требуемой отказоустойчивости или адекватного смягчения последствий соответствующих сбоев самим устройством, водителем или внешними мерами;

d) распределить требования функциональной безопасности проекту архитектуры системы или внешним мерам;

e) верифицировать концепцию функциональной безопасности и определить критерии ее валидации безопасности.

7.2 Общие положения

Для достижения целей безопасности концепция функциональной безопасности должна содержать меры безопасности, в том числе механизмы безопасности, которые должны быть реализованы элементами архитектуры устройства и специфицированы в требованиях функциональной безопасности.

На рисунке 2 представлен иерархический подход, с помощью которого в результате анализа опасностей и оценки рисков определяются цели безопасности. Затем из целей безопасности формируются требования функциональной безопасности, которые распределяются для проекта архитектуры системы.

Использование предварительных архитектурных предположений позволяет скорректировать информацию об архитектуре на ранних стадиях разработки.

Структура и распределение требований безопасности, рассматриваемых в соответствующих частях ИСО 26262, приведены на рисунке 2 ИСО 26262-8.

Примечание - На рисунке конкретный раздел каждой части настоящего стандарта указан следующим образом: "m-n", где "m" представляет собой номер части, а "n" указывает на номер раздела, например, 3-6 представляет раздел 6 ИСО 26262-3.

Рисунок 2 - Иерархия целей безопасности и требований функциональной безопасности

7.3 Входная информация

7.3.1 Предварительные требования

Должна быть доступна следующая информация:

- определение устройства в соответствии с требованиями 5.5.1;

- отчет об анализе опасностей и оценке рисков в соответствии с требованиями 6.5.1;

- проект архитектуры системы (из внешнего источника).

7.3.2 Дополнительная информация

Следующая информация может быть учтена:

Не задается.

7.4 Требования и рекомендации

7.4.1 Общие положения

Требования функциональной безопасности должны быть заданы в соответствии с требованиями раздела 6 ИСО 26262-8.

7.4.2 Формирование требований функциональной безопасности

7.4.2.1 Требования функциональной безопасности должны следовать из целей безопасности с учетом проекта предварительной архитектуры.

7.4.2.2 Для каждой цели безопасности должно быть определено по меньшей мере одно требование функциональной безопасности.

Примечание - Из нескольких целей безопасности может быть сформировано одно требование функциональной безопасности (см. рисунок 2).

7.4.2.3 Требования функциональной безопасности должны определить, если возможно, стратегии для:

a) предотвращения сбоев;

b) обнаружения сбоев и управления сбоями или отклонения от предписанного функционирования;

c) перехода к безопасному состоянию и, если применимо, из безопасного состояния;

d) сбоеустойчивости;

e) процесса снижения функциональности в присутствии сбоя и его связи с требованиями перечислений f) или g).

Пример - Сохранение аварийного режима транспортного средства до тех пор, пока зажигание не было переключено из положения "Вкл." в положение "Выкл.";

f) выдачи водителю предупреждения с целью сокращения времени воздействия риска до приемлемого интервала;

g) предупреждения водителя с целью увеличения контролируемости водителем (например, контрольная лампа аварийного режима работы двигателя, лампа предупреждения о сбое ABS);

h) выполнения временных требований на уровне транспортного средства, т.е. обеспечения соблюдения временного интервала отказоустойчивости с помощью определения временного интервала обработки сбоя;

i) предотвращения или ослабления последствий опасного события из-за неподходящей организации доступа к общей шине в случае нескольких запросов, сформированных различными функциями одновременно.

Примечание - Перечисления с), е), f) и g) могут быть частью стратегии предупреждения и постепенного снижения эффективности.

7.4.2.4 Каждое требование функциональной безопасности при соответствующих условиях должно быть определено с учетом:

a) режимов эксплуатации;

b) временного интервала сбоеустойчивости;

c) безопасных состояний;

d) временного интервала эксплуатации в аварийном режиме;

е) функциональной избыточности (например, сбоеустойчивости).

Примечание - Эта деятельность может быть поддержана анализом безопасности (например, FMEA, FTA, HAZOP) для того, чтобы разработать полный набор эффективных требований функциональной безопасности.

7.4.2.5 Если нарушение цели безопасности может быть предотвращено путем перехода к одному или нескольким безопасным состояниям или его поддержания, то должно быть определено соответствующее безопасное состояние (состояния).

Пример - В случае отказа в течение определенного времени безопасным состоянием может быть: "выключено", "заблокировано", "транспортное средство неподвижно и обслуживается" или "ограниченная функциональность".

7.4.2.6 Если безопасное состояние не может быть достигнуто путем перехода к нему за приемлемый интервал времени, то должен быть определен аварийный режим.

7.4.2.7 Если для предотвращения недостижения цели безопасности делаются предположения о необходимых действиях водителя или других лиц, то применяется следующее:

Примечание - Выполняются те действия, для которых в ходе оценки управляемости было сформировано доверие, а также любые дальнейшие необходимые действия, принятые для достижения целей безопасности после реализации требований безопасности.

Пример - Адаптивный круиз-контроль: адаптивный круиз-контроль отключает торможение, когда водитель нажимает на педаль управления двигателем.

a) такие действия должны быть определены в концепции функциональной безопасности;

b) соответствующие средства и элементы управления, доступные водителю или другим лицам, должны быть определены в концепции функциональной безопасности.

Примечания

1 Может оказаться полезным анализ задач водителя при рассмотрении предотвращения чрезмерной нагрузки водителя, предотвращения неожиданности/паники/шока (потери возможности управления транспортным средством) водителя и режима заблуждения (неверное предположение о режиме работы).

2 Информация, специфицированная в стратегии предупреждения и постепенного снижения эффективности и в необходимых действиях водителя и других лиц, потенциально подвергающихся риску, является исходной для руководства пользователя (см. раздел 5 ИСО 26262-7).

7.4.2.8 Требования функциональной безопасности должны быть распределены по элементам проекта архитектуры системы:

a) в ходе распределения требований значение УПБТС и информация, приведенная в 7.4.2.4, должны быть унаследованы от соответствующей цели безопасности. Если используется декомпозиция УПБТС, то применимы также требования раздела 5 ИСО 26262-9;

b) если в соответствии с требованиями раздела 6 ИСО 26262-9 отсутствие взаимовлияния между элементами, реализующими требования безопасности, не может быть обосновано в проекте архитектуры системы, то такие элементы архитектуры должны быть разработаны в соответствии с самым высоким для этих требований безопасности значением УПБТС;

c) если устройство состоит из более чем одной Э/Э системы, то требования функциональной безопасности для отдельных Э/Э систем и их интерфейсов должны быть заданы с учетом проекта архитектуры системы. Эти требования функциональной безопасности должны быть распределены по Э/Э системам;

d) если устройство состоит из более чем одной Э/Э системы, то соответствующие целевые значения для метрик случайных сбоев аппаратных средств (см. разделы 8 и 9 ИСО 26262-5) могут быть определены и распределены для каждой отдельной Э/Э системы в соответствии с 6.4.5.2 ИСО 26262-4.

Примечание - Спецификация целевых значений Э/Э системы выполняется в соответствии с проектом архитектуры системы и далее уточняется на этапах разработки;

е) если при распределении требований функциональной безопасности выполняется декомпозиция значения УПБТС, то она должна применяться в соответствии с требованиями раздела 5 ИСО 26262-9.

Примечание - Независимость может быть подтверждена результатами анализа зависимых отказов (см. раздел 7 ИСО 26262-9).

7.4.2.9 Если концепция функциональной безопасности предполагает использование элементов, основанных на других технологиях, то применяются следующие положения:

a) требования функциональной безопасности, реализуемые элементами, основанными на других технологиях, должны быть выведены и распределены по соответствующим элементам архитектуры;

b) должны быть заданы требования функциональной безопасности, касающиеся интерфейсов элементов, основанных на других технологиях;

c) реализация требований функциональной безопасности элементами, основанными на других технологиях, должна быть обеспечена путем принятия конкретных мер, требования к которым не входят в область применения настоящего стандарта;

d) значения УПБТС требованиям безопасности, распределенным для таких элементов, не должны назначаться.

Примечания

1 Надлежащий атрибут безопасности может быть назначен требованиям безопасности, выделенным для элементов, основанным на других технологиях; и концепция декомпозиции УПБТС, описанная в разделе 5 ИСО 26262-9, может быть экстраполирована на распределение требований функциональной безопасности для этих элементов. В этом случае соответствующие правила реализации и верификации определяются помимо ИСО 26262.

2 Подтверждение применимости элементов, основанных на других технологиях, показывается в процессе действий по валидации (см. раздел 8 ИСО 26262-4).

7.4.2.10 Если концепция функциональной безопасности предполагает использование внешних мер, то применяются следующие положения:

a) требования функциональной безопасности, реализуемые внешними мерами, должны быть выведены и сообщены;

b) должны быть заданы требования функциональной безопасности для интерфейсов с внешними мерами;

c) если внешние меры реализуются на основе одной или нескольких Э/Э систем, то требования функциональной безопасности должны определяться на основе настоящего стандарта.

Примечание - Подтверждение применимости внешних мер показывается в процессе действий по валидации (см. раздел 8 ИСО 26262-4).

7.4.3 Критерии валидации безопасности

7.4.3.1 Критерии принятия валидации безопасности устройства должны быть заданы на основе требований функциональной безопасности и целей безопасности.

Примечания

1 О дополнительных требованиях к детализации критериев и список валидируемых характеристик см. в разделе 8 ИСО 26262-4.

2 Валидация безопасности целей безопасности рассматривается в правом верхнем углу V-цикла, но включается в мероприятия в ходе разработки, а не только в конце разработки.

7.4.4 Верификация концепции функциональной безопасности

7.4.4.1 Концепция функциональной безопасности должна быть верифицирована в соответствии с требованиями раздела 9 ИСО 26262-8, чтобы представить свидетельства для:

a) согласованности и соответствия целям безопасности;

b) способности смягчать последствия или предотвращать опасные события.

Примечания

1 Верификация способности смягчать последствия или предотвращать опасность может быть выполнена на стадии формирования концепции, чтобы оценить концепцию безопасности и указать, где необходимы улучшения концепции. Верификация может быть основана на тех же методах, которые используются для валидации безопасности. Однако проведенная валидация безопасности (в соответствии с требованиями раздела 8 ИСО 26262-4) не может основываться только на исследованиях концепции (например, на прототипах).

Пример - Способность смягчать последствия или предотвращать опасное событие может быть оценена тестами, испытаниями или экспертной оценкой, используя прототипы, исследования, предметные тесты или моделирование.

2 Верификация способности смягчать последствия или предотвращать опасное событие учитывает характеристики сбоя (например, кратковременный или постоянный).

3 Для верификации может быть использовано подтверждение, основанное на прослеживаемости, например если устройство соответствует требованиям функциональной безопасности, то это устройство соответствует целям безопасности, из которых были получены эти требования.

7.5 Результаты работы

7.5.1 Концепция функциональной безопасности

В результате выполнения требований 7.4.1-7.4.3.

7.5.2 Отчет о верификации концепции функциональной безопасности

В результате выполнения требований 7.4.4.

Библиография

[1]	ISO 26262-12:2018	Road Vehicles - Functional Safety - Part 12: Adaptation of ISO 26262 for motorcycles
[2]	IEC 61508 (all parts)	Functional safety of electrical/electronic/programmable electronic safety-related systems
[3]	Abbreviated injury scale; Association of the advancement of Automotive medicine; Barrington, IL, USA Information is also available at www.aaam.org
[4]	Code of Practice for the design and evaluation of ADAS, EU Project RESPONSE 3: Oct. 2006; https://www.acea.be/publications/article/code-of-practice-for-the-design-and-evaluation-of-adas
[5]	BAKER S.P., O'NEILL В., HADDON W., LONG W.B. The injury severity score: a method for describing patients with multiple injuries and evaluating emergency care, The Journal of Trauma, Vol. 14, No. 3, 1974
[6]	BALOGH Z., OFFNER P.J., MOORE E.E., BIFFL W.L. NISS predicts post injury multiple organ failure better than ISS, The Journal of Trauma, Vol. 48, No. 4, 2000