ГОСТ Р ИСО 26262-3-2014. Национальный стандарт РФ: "Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии России от 10.06.2014 N 522-ст) (документ утратил силу)

Национальный стандарт РФ ГОСТ Р ИСО 26262-3-2014
"Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции"
(утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии России от 10 июня 2014 г. N 522-ст)

Road vehicles. Functional safety. Part 3. Concept phase

ОКС 43.040.10

Дата введения - 1 мая 2015 г.
Введен впервые

ГАРАНТ:

Приказом Росстандарта от 14 октября 2020 г. N 843-ст взамен настоящего ГОСТа с 1 июня 2021 г. введен в действие ГОСТ Р ИСО 26262-3-2020

Предисловие

1 Подготовлен Обществом с ограниченной ответственностью "Корпоративные электронные системы" и Федеральным государственным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации - "Фирма "интерстандарт" на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2 Внесен Техническим комитетом по стандартизации ТК 58 "Функциональная безопасность"

3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии России от 10 июня 2014 г. N 522-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 26262-3:2011 "Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции" (ISO 26262-3:2011 "Road vehicles - Functional safety - Part 3: Concept phase").

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов и документов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 Введен впервые

Введение

Комплекс стандартов ИСО 26262 является адаптацией комплекса стандартов МЭК 61508 и предназначен для применения электрических и/или электронных (Э/Э) систем в дорожно-транспортных средствах.

Эта адаптация распространяется на все виды деятельности в процессе жизненного цикла систем, связанных с безопасностью, включающих электрические, электронные и программные компоненты.

Безопасность является одним из важнейших вопросов в автомобилестроении. Создание новых функциональных возможностей не только в таких системах, как содействие водителю, силовые установки, управление динамикой автомобиля, но и в активных и пассивных системах безопасности тесно связано с деятельностью по проектированию систем безопасности. Разработка и интеграция этих функциональных возможностей повышает необходимость использования процессов разработки систем безопасности и обеспечения доказательств того, что все обоснованные цели системы безопасности выполнены.

С ростом сложности технологий, программного обеспечения и мехатронных устройств увеличиваются риски, связанные с систематическими отказами и случайными отказами оборудования. Чтобы предотвратить эти риски, комплекс стандартов ИСО 26262 включает соответствующие требования и процессы.

Безопасность системы достигается за счет ряда мер безопасности, которые реализуются с применением различных технологий (например, механических, гидравлических, пневматических, электрических, электронных, программируемых электронных) и применяются на различных уровнях процесса разработки. Несмотря на то, что настоящий стандарт касается функциональной безопасности Э/Э систем, подход, рассматриваемый в настоящем стандарте, может быть использован для разработки связанных с безопасностью систем, основанных на других технологиях. Настоящий стандарт:

a) обеспечивает жизненный цикл систем безопасности автомобиля (менеджмент, разработку, производство, эксплуатацию, обслуживание, вывод из эксплуатации) и поддерживает адаптацию необходимых действий для выполнения этих стадий жизненного цикла;

b) обеспечивает разработанный специально для автотранспорта основанный на риске подход для определения уровней полноты безопасности [уровни полноты безопасности автомобиля (УПБА)];

c) использует значения УПБА при спецификации соответствующих требований, чтобы предотвратить неоправданный остаточный риск;

d) устанавливает требования к мерам проверки соответствия и подтверждения, которые обеспечивают достижение достаточного и приемлемого уровня безопасности;

e) устанавливает требования к взаимодействию с поставщиками.

На функциональную безопасность влияют процессы разработки (в том числе спецификация требований, реализация, внедрение, интеграция, верификация, подтверждение соответствия и управление конфигурацией), процессы производства и обслуживания, а также процессы управления.

Вопросы безопасности тесно связаны с любыми опытно-конструкторскими работами, реализующими функционал и обеспечивающими качество создаваемых изделий, а также с результатами таких работ. Настоящий стандарт рассматривает связанные с безопасностью проблемы, касающиеся опытно-конструкторских работ и их результатов.

На рисунке 1 показана общая структура комплекса ИСО 26262. В нем для различных стадий разработки изделия используется эталонная V-модель процесса. На рисунке 1:

- залитая область в виде символа "V" представляет взаимосвязь между ИСО 26262-3, ИСО 26262-4, ИСО 26262-5, ИСО 26262-6 и ИСО 26262-7;

- ссылки на конкретную информацию даны в виде: "m-n", где "m" представляет собой номер части настоящего стандарта, а "n" указывает на номер раздела этой части.

Пример - 2-6 ссылается на пункт 6 ИСО 26262-2.

Рисунок 1 - Общая структура ИСО 26262

1 Область применения

Настоящий стандарт применяется к связанным с безопасностью системам, включающим в себя одну или несколько электрических и/или электронных (Э/Э) систем, которые установлены в серийно производимых легковых автомобилях с максимальной массой (брутто) транспортного средства до 3500 кг. Настоящий стандарт не применяется для уникальных Э/Э систем в транспортных средствах специального назначения, таких как транспортные средства, предназначенные для водителей с ограниченными возможностями.

Системы и их компоненты, находящиеся в производстве или на стадии разработки до даты публикации настоящего стандарта, не входят в его область применения. Если разрабатываемые автомобили или их модификации используют системы и их компоненты, выпущенные до публикации настоящего стандарта, то только модификации этих систем должны быть разработаны в соответствии с настоящим стандартом.

Настоящий стандарт рассматривает возможные опасности, вызванные некорректным поведением Э/Э связанных с безопасностью систем, а также некорректным взаимодействием этих систем. Настоящий стандарт не рассматривает опасности, связанные с поражением электрическим током, возгоранием, задымлением, перегревом, излучением, токсичностью, воспламеняемостью, химической активностью, коррозией и подобные опасности, если они непосредственно не вызваны некорректным поведением Э/Э связанных с безопасностью систем.

Настоящий стандарт не рассматривает номинальные рабочие характеристики Э/Э систем, даже если для таких систем существуют стандарты, посвященные их функциональным рабочим характеристикам (например, активные и пассивные системы безопасности, тормозные системы, адаптивный круиз-контроль).

Настоящий стандарт устанавливает требования для стадии формирования концепции изделия для автомобильной промышленности, в том числе к:

- определению устройства;

- подстадии начального формирования жизненного цикла системы безопасности;

- анализу опасностей и оценке рисков;

- концепции функциональной безопасности.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ИСО 26262-1:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 1. Термины и определения (ISO 26262-2:2011, Road vehicles - Functional safety - Part 1: Vocabulary)

ИСО 26262-2:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности (ISO 26262-2:2011, Road vehicles - Functional safety - Part 2: Management of functional safety)

ИСО 26262-4:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 4. Разработка изделия на уровне системы (ISO 26262-4:2011, Road vehicles - Functional safety - Part 4: Product development at the system level)

ИСО 26262-5:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия (ISO 26262-5:2011, Road vehicles - Functional safety - Part 5: Product development at the hardware level)

ИСО 26262-6:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 6. Разработка программного обеспечения изделия (ISO 26262-6:2011, Road vehicles - Functional safety - Part 6: Product development at the software level)

ИСО 26262-7:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 7. Производство и эксплуатация (ISO 26262-7:2011, Road vehicles - Functional safety - Part 7: Production and operation)

ИСО 26262-8:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 8. Вспомогательные процессы (ISO 26262-8:2011, Road vehicles - Functional safety - Part 8: Supporting processes)

ИСО 26262-9:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 9. Анализ уровня полноты безопасности автомобиля и анализ безопасности автомобиля (ISO 26262-9:2011, Road vehicles - Functional safety - Part 9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses)

3 Термины, определения и сокращения

В настоящем стандарте применимы термины, определения и сокращения по ИСО 26262-1:2011.

4 Требования соответствия настоящему стандарту

4.1 Общие требования

Для соответствия настоящему стандарту должно быть выполнено каждое его требование, если для этого требования не выполняется одно из следующих условий:

a) в соответствии с настоящим стандартом предусмотрена настройка действий по обеспечению безопасности, поэтому данное требование не применяется или

b) существует обоснование того, что несоблюдение данного требования допустимо, а также показано соответствие этого обоснования настоящему стандарту.

Информация, обозначенная как "примечание" или "пример", должна использоваться только для понимания или уточнения соответствующего требования и не должна толковаться как самостоятельное требование или быть для него полной или исчерпывающей.

Результаты действий по обеспечению безопасности представлены как результаты работы. В пунктах "Предварительные требования" перечисляется информация, которая должна быть доступна как результат работы предыдущей стадии. Так как некоторые требования разделов настоящего стандарта зависят от УПБА или могут быть адаптированы, то некоторые результаты работы в качестве предварительных условий могут не понадобиться.

В пунктах "Дополнительная информация" содержится информация, которую можно учитывать, но для которой в некоторых случаях настоящий стандарт не требует, чтобы она была результатом работы предыдущей стадии. Такая информация может быть доступна из внешних источников, от лиц или организаций, которые не несут ответственность за деятельность по обеспечению функциональной безопасности.

4.2 Интерпретация таблиц

В настоящем стандарте используются нормативные или справочные таблицы в зависимости от их контекста. Перечисленные в таблице различные методы вносят вклад в уровень уверенности в достижении соответствия с рассматриваемым требованием. Каждый метод в таблице включен либо в

a) последовательный список методов (он обозначен порядковым номером в левой колонке, например, 1, 2, 3) или

b) альтернативный список методов (он обозначен номером с последующей буквой в левом столбце, например, 2а, 2b, 2с).

В случае последовательного списка должны применяться все методы согласно рекомендациям для соответствующего значения УПБА. Если будут применяться другие методы, отличные от перечисленных, то должно быть дано обоснование, что они удовлетворяют соответствующим требованиям.

В случае альтернативного списка должна применяться подходящая комбинация методов в соответствии с указанным значением УПБА независимо от того, перечислены в таблице эти комбинации или нет. Если перечисленные методы имеют разные степени рекомендуемости их применения для некоторого значения УПБА, то следует отдать предпочтение методам с более высокой степенью рекомендуемости. Должно быть дано обоснование, что выбранная комбинация методов выполняет соответствующее требование.

Примечание - Обоснование, основанное на методах, перечисленных в таблице, является достаточным. Но это не означает, что существует какое-то предубеждение за или против применения методов, не перечисленных в таблице.

Для каждого метода степень рекомендуемости его применения зависит от значения УПБА и классифицируется следующим образом:

- "+ +" означает, что метод очень рекомендуется для определенного значения УПБА;

- "+" означает, что метод рекомендуется для определенного значения УПБА;

- "О" означает, что метод не имеет рекомендации за или против его применения для определенного значения УПБА.

4.3 Требования и рекомендации, зависимые от значения УПБА

Требования или рекомендации каждого подраздела должны соблюдаться для значений УПБА А, В, С и D, если не указано иное. Эти требования и рекомендации связаны со значениями УПБА цели безопасности. Если в соответствии с требованиями раздела 5 ИСО 26262-9 декомпозиция УПБА была выполнена на более ранней стадии разработки, то значения УПБА, полученные в результате декомпозиции, должны соблюдаться.

Если в настоящем стандарте значение УПБА дается в круглых скобках, то соответствующий подпункт должен рассматриваться как рекомендация, а не требование для этого значения УПБА. Это не относится к круглым скобкам в нотации, связанной с декомпозицией УПБА.

5 Определение устройства

5.1 Цели

Первой целью настоящего раздела является определение и описание устройства, его зависимостей и взаимодействие с внешней средой и другими устройствами.

Второй целью является поддержка адекватного понимания этого устройства, чтобы могли быть выполнены соответствующие действия на последующих стадиях.

5.2 Общие положения

В данном разделе перечислены требования и рекомендации к формированию определения устройства, учитывая его функциональность, интерфейсы, условия внешней среды, правовые требования, опасности и т.д. Это определение позволит обеспечить достаточным объемом информации об устройстве лиц, выполняющих последующие подстадии: "начальное формирование жизненного цикла системы безопасности" (см. раздел 6), "анализ опасностей и оценка рисков" (см. раздел 7) и "концепция функциональной безопасности" (см. раздел 8).

Примечание - Таблица А.1 содержит обзор целей, предварительных требований и результатов работы стадии формирования концепции.

5.3 Входная информация

5.3.1 Предварительные требования

Не задаются.

5.3.2 Дополнительная информация

Следующая информация может быть учтена:

- любая информация, связанная с устройством, которая уже существует, например, идея изделия, эскизный проект, соответствующие патенты, результаты предварительных испытаний, документация от предшествующих устройств, соответствующая информация о других независимых от разрабатываемого устройствах.

5.4 Требования и рекомендации

5.4.1 Должны быть определены функциональные и нефункциональные требования устройства, а также зависимости между устройством и его окружением.

Примечания

1 Требования могут быть классифицированы как связанные с безопасностью после определения целей безопасности и значений их УПБА.

2 Требуемая информации является необходимым вкладом в определение устройства, хотя она не связана с безопасностью. Если такая информация отсутствует, то ее создание может быть инициировано требованиями настоящего пункта.

Эта информация включает в себя:

a) концепцию выполняемой устройством функции, описание цели и функционального назначения, в том числе режимов работы и состояний устройства;

b) эксплуатационные ограничения и ограничения внешней среды;

c) правовые требования (в частности, законы и постановления), национальные и международные стандарты;

d) описание поведения, реализуемое аналогичными функциями, устройствами или элементами, если таковые имеются;

e) предположения об ожидаемом поведении устройства;

f) возможные последствия вследствие некорректного поведения, включая известные отказы и опасности.

Примечание - Могут быть включены известные, связанные с безопасностью инциденты в подобных устройствах.

5.4.2 Должны быть определены габариты устройства, его интерфейсы и предположения о его взаимодействии с другими устройствами и элементами, учитывая:

a) элементы устройства.

Примечание - Элементы могут также быть основаны на других технологиях;

b) предположения о влиянии поведения устройства на другие устройства или элементы, которые окружают устройство;

c) взаимодействия устройств с другими устройствами или элементами;

d) функциональность, необходимую другим устройствам, элементам и окружающей среде;

e) функциональность, необходимую от других устройств, элементов и окружающей среды;

f) выделение и распределение функций между включенными в устройство системами и элементами;

g) сценарии работы, которые влияют на функциональность устройства.

5.5 Результаты работы

Определение устройства формируется в результате выполнения требований 5.4.

6 Начальное формирование жизненного цикла системы безопасности

6.1 Цели

Первая цель начального формирования жизненного цикла системы безопасности - установить различие между разработкой нового устройства и модификацией существующего устройства (см. рисунок 2 ИСО 26262-2).

Вторая цель заключается в определении действий в процессах жизненного цикла системы безопасности (см. рисунок 2 ИСО 26262-2), которые будут выполняться в случае модификации.

6.2 Общие положения

На основании определения устройства выполняется начальное формирование жизненного цикла системы безопасности либо для разработки нового, либо для модификации существующего устройства. В случае модификации существующего устройства происходит настройка связанных с безопасностью действий.

6.3 Входная информация

6.3.1 Предварительные требования

Следующая информация должна быть доступна:

- определение устройства в соответствии с требованиями 5.5.1.

6.3.2 Дополнительная информация

Следующая информация может быть учтена:

- еще не охваченная определением устройства, любая имеющаяся информация, полезная для выполнения анализа влияния.

Пример - Концепция изделия, запросы на изменение, осуществление планирования, подтверждение проверкой эксплуатацией.

6.4 Требования и рекомендации

6.4.1 Определение вида разработки

6.4.1.1 Должно быть установлено, является ли создание устройства новой разработкой или, если это модификация, то существующего устройства или его внешней среды:

a) в случае новой разработки она должна начинаться с анализа опасностей и оценки рисков в соответствии с разделом 7;

b) в случае модификации устройства или его внешней среды, выполняемые подстадии жизненного цикла и действия на них определяются в соответствии с 6.4.2.

Примечание - При модификации может быть использовано подтверждение проверкой в эксплуатации (см. раздел 14 ИСО 26262-8).

6.4.2 Анализ влияния и возможная настройка жизненного цикла системы безопасности при модификации

6.4.2.1 Должен быть проведен анализ влияния для того, чтобы определить и описать предполагаемое изменение, применяемое к устройству или его окружению, и оценить влияние таких модификаций.

Примечания

1 Модификации устройства включают в себя модификации проекта и модификации реализации устройства. Модификации проекта могут возникнуть в результате изменений требований (например, функциональных или связанных с повышением производительности и оптимизацией затрат). Модификации реализации не влияют на спецификацию или производительность устройства, а только на особенности реализации.

Пример - Модификации реализации могут возникнуть в результате корректировки программного обеспечения или в случае новой разработки или новых средств производства.

2 Модификации данных конфигурации или калибровочных данных рассматриваются как модификации устройства, если они влияют на его функциональное поведение.

3 Модификации внешней среды устройства могут возникнуть в результате установки устройства в новую целевую внешнюю среду (например, другой вариант автомобиля) или в результате модернизации других устройств или элементов, взаимодействующих с (или находящихся в непосредственной близости от) данным устройством.

6.4.2.2 Анализ влияния должен выявить и указать области, на которые повлияли модификации устройства и изменения между предыдущими и будущими условиями использования этого устройства, в том числе:

a) эксплуатационные ситуации и режимы работы;

b) интерфейсы с внешней средой;

c) характеристики установки, такие как расположение в транспортном средстве, конфигурации и варианты транспортного средства;

d) диапазоны значений параметров окружающей среды, например, температуры, высоты над уровнем моря, влажности, вибрации, электромагнитных помех, а также видов топлива.

6.4.2.3 Должно быть идентифицировано и описано значение модификации для функциональной безопасности.

6.4.2.4 Должны быть идентифицированы и описаны результаты работы, на которые модификации оказали влияние и которые должны быть обновлены.

6.4.2.5 Должны быть настроены действия по обеспечению безопасности в соответствии с применяемой стадией жизненного цикла.

6.4.2.6 Настройка должна быть основана на результатах анализа влияния.

6.4.2.7 Результаты настройки должны быть включены в план по обеспечению безопасности в соответствии с 6.4.3 ИСО 26262-2.

6.4.2.8 Результаты работы, на которые модификации оказали влияние, должны быть получены повторно.

Примечание - Результатом работы, на который влияют модификации, является план подтверждения соответствия (см. ИСО 26262-4).

6.4.2.9 В случае потери результатов работы или если результаты работы не соответствуют требованиям настоящего стандарта, должны быть определены необходимые действия для достижения такого соответствия.

6.5 Результаты работы

6.5.1 Анализ влияния

В результате выполнения требований 6.4.2.1-6.4.2.4.

6.5.2 План по обеспечению безопасности (уточненный)

В результате выполнения требований 6.4.2.5-6.4.2.9.

7 Анализ опасностей и оценка рисков

7.1 Цель

Целью анализа опасностей и оценки рисков является идентификация и классификация опасностей, которые могут привести к неправильному функционированию устройства, а также формулирование целей безопасности, связанных с предотвращением или смягчением последствий опасных событий, чтобы избежать необоснованного риска.

7.2 Общие положения

Анализ опасностей, оценки рисков и определение значения УПБА используются для определения целей безопасности для элемента так, чтобы предотвратить неоправданный риск. С этой целью оцениваются потенциально опасные события устройства. Цели безопасности и их значения УПБА определяются систематической оценкой опасных событий. Значения УПБА определяются с учетом оценки влияющих факторов, таких как тяжесть, вероятность воздействия и управляемость опасного события. Для этого необходимо знать функциональное поведение элемента, поэтому детальное проектирование элемента не обязательно должно быть известно.

7.3 Входная информация

7.3.1 Предварительные требования

Следующая информация должна быть доступна:

- определение устройства в соответствии с 5.5.

7.3.2 Дополнительная информация

Следующая информация может быть учтена:

- результаты анализа влияния, если они применимы (см. 6.5.1), и

- соответствующая информация о других независимых устройствах (из внешнего источника).

7.4 Требования и рекомендации

7.4.1 Запуск процедуры анализа опасностей и оценки рисков

7.4.1.1 Анализ опасностей и оценка рисков должны быть основаны на определении устройства.

7.4.1.2 Анализ опасностей и оценка рисков устройства должны выполняться без его внутренних механизмов безопасности, то есть механизмы безопасности, предназначенные для реализации или которые уже были реализованы в предшественнике устройства, не должны рассматриваться при анализе опасностей и оценке рисков.

Примечания

1 При оценке устройства могут быть полезны доступные и достаточно независимые внешние меры.

Пример - Система динамической стабилизации может смягчить последствия отказов в системах шасси, обеспечивая дополнительное управление, если показано, что она доступна и достаточно независима.

2 Механизмы безопасности устройства, которые предназначены для реализации или уже были реализованы, включены в концепцию функциональной безопасности.

7.4.2 Анализ ситуации и идентификация опасности

7.4.2.1 Анализ ситуации

7.4.2.1.1 Должны быть описаны эксплуатационные ситуации и режимы работы, в которых некорректное поведение устройства приводит к опасному событию, как для случаев, когда транспортное средство используется правильно, так и для предсказуемо неправильного использования.

Примечание - Эксплуатационная ситуация предусматривает пределы, в которых устройство должно вести себя безопасным образом. Например, для обычного пассажирского дорожного транспортного средства не предполагается, что оно должно двигаться по пересеченной местности с большой скоростью.

7.4.2.2 Идентификация опасностей

7.4.2.2.1 Опасности должны определяться систематически при использовании соответствующих методов.

Примечание - Для выявления опасности на уровне устройства могут быть использованы такие методы, как мозговой штурм, контрольные листы, картина изменения качества во времени, FMEA и полевые исследования.

7.4.2.2.2 Опасности должны быть определены в терминах условий или поведения, которые можно наблюдать на уровне автомобиля.

Примечания

1 В общем случае каждая опасность будет иметь несколько возможных причин, связанных с реализацией устройства, но они не должны рассматриваться в ходе анализа опасностей и оценки рисков для определения условий или поведения, которые возникают при рассмотрении функционального поведения устройства.

2 Могут рассматриваться только опасности, связанные с самим устройством, все остальные системы (внешние меры), как предполагается, будут функционировать правильно, если они достаточно независимы.

7.4.2.2.3 Должны быть определены опасные события для соответствующих комбинаций эксплуатационных ситуаций и опасностей.

7.4.2.2.4 Должны быть идентифицированы последствия опасных событий.

Примечание - Если отказы на уровне устройства вызывают потерю нескольких функций устройства, то анализ ситуации и процедура выявления опасности рассматривают результирующие опасные события из-за неправильного поведения всего устройства или транспортного средства.

Пример - Отказ бортовой системы электропитания может привести к одновременной потере ряда функций, в том числе "крутящего момента двигателя", "гидроусилителя рулевого управления" и "переднего освещения".

7.4.2.2.5 Если существуют опасности, идентифицированные в соответствии с 7.4.2.2, которые находятся вне области применения настоящего стандарта (см. раздел 1), то должна быть особо отмечена и доведена до сведения ответственных лиц необходимость соответствующих мер по смягчению или управлению этими опасностями.

Примечание - Для таких опасностей, находящихся вне области применения настоящего стандарта, их классификация не является необходимой.

7.4.3 Классификация опасных событий

7.4.3.1 Все опасные события, идентифицированные в соответствии с 7.4.2.3, должны быть классифицированы, кроме тех, которые находятся вне области применения настоящего стандарта.

Примечание - Если классификацию данной опасности по тяжести последствий, вероятности воздействия или управляемости сделать трудно, то она классифицируется консервативно, то есть всякий раз, когда есть сомнения, ей присваивается более высокое значение УПБА, а не низкое.

7.4.3.2 Тяжесть последствий потенциального вреда должна оцениваться на основе определенного обоснования для каждого опасного события. Тяжесть последствий должна быть отнесена к одному из классов тяжести последствий S0, S1, S2 и S3 в соответствии с таблицей 1.

Примечания

1 Оценка риска опасных событий основывается на возможном причинении вреда каждому человеку, подвергающемуся влиянию опасного события, включая водителя или пассажиров транспортного средства, вызывающего опасное событие, и других лиц, потенциально находящихся в опасности, таких как велосипедисты, пешеходы и пассажиры других транспортных средств. Для характеристики степени тяжести последствий может быть использована Краткая Шкала Повреждений (КШП), представленная в приложении В. Примеры различных типов тяжести последствий и аварий см. в приложении В.

2 Класс тяжести последствий может быть основан на сочетании травм и это может привести к более высокой оценке тяжести последствий, чем результат простого рассмотрения отдельных травм.

3 Оценка учитывает обоснованную последовательность событий для оцениваемой ситуации.

4 Определение тяжести последствий основано на репрезентативной выборке лиц из потенциального круга покупателей.

Таблица 1 - Классы тяжести последствий

	Класс
	S0	S1	S2	S3
Описание	Нет травм	Легкие и умеренные травмы	Тяжелые и опасные для жизни травмы (вероятное выживание)	Опасные для жизни раны (сомнительное выживание), травмы со смертельным исходом

7.4.3.3 Класс тяжести последствий S0 может быть назначен, если анализ рисков установит, что последствия ошибочного поведения устройства четко ограничены материальным ущербом и не влекут за собой вред людям. Если опасности присваивается класс тяжести последствий S0, то назначение УПБА не требуется.

7.4.3.4 Вероятность воздействия каждой эксплуатационной ситуации должна быть оценена на основе определенного обоснования для каждого опасного события. Вероятность воздействия должна быть отнесена к одному из классов вероятности воздействия Е0, Е1, Е2, Е3 и Е4 в соответствии с таблицей 2.

Примечания

1 Для классов от Е1 до Е4 разница в значении вероятности воздействия от одного класса Е до следующего составляет один порядок величины.

2 Определение воздействия основано на репрезентативной выборке эксплуатационных ситуаций для рынков сбыта.

3 Для получения дополнительной информации и примеров, связанных с вероятностью воздействия, см. приложение В.

Таблица 2 - Классы вероятности воздействий эксплуатационных ситуаций

	Класс
	Е0	Е1	Е2	Е3	Е4
Описание	Невероятное	Очень низкая вероятность	Низкая вероятность	Средняя вероятность	Высокая вероятность

7.4.3.5 Количество транспортных средств, оснащенных устройством, не должно учитываться при оценке вероятности воздействия.

Примечание - При выполнении оценки вероятности воздействия предполагается, что каждый автомобиль оснащен устройством. Это означает, что аргумент "вероятность воздействия может быть уменьшена, потому что устройство не присутствует в каждом транспортном средстве (так как только некоторые автомобили оснащены устройством)", является недопустимым.

7.4.3.6 Класс Е0 может быть использован для тех ситуаций, которые определены во время анализа опасности и оценки риска и которые считаются крайне необычными или невероятными, и, следовательно, не рассматриваются. Должно быть документально оформлено обоснование для исключения таких ситуаций. Если опасности присваивается класс воздействия Е0, то не требуется назначения УПБА.

Пример - Е0 может быть использован в случае "форс-мажорного" риска (см. В.3).

7.4.3.7 Управляемость каждого опасного события водителем или другими лицами, потенциально находящимися в опасности, должна быть оценена на основе определенного обоснования для каждого опасного события. Управляемость должна быть отнесена к одному из классов управляемости С0, С1, С2 и С3 в соответствии с таблицей 3.

Примечания

1 Для классов от С1 до С3 разница в значении вероятности от одного класса С до следующего составляет один порядок величины.

2 Под оценкой управляемости понимается оценка вероятности того, что водитель или другие лица, потенциально находящиеся в опасности, смогут получить достаточный контроль над опасным событием, таким образом, что они могут избежать конкретного вреда. Для этой цели используется параметр С, с классами С1, С2 и С3 для классификации возможности избежать вреда. Предполагается, что водитель находится в надлежащем состоянии для управления (например, он/она не устала), имеет соответствующую водительскую подготовку (он/она имеет водительское удостоверение) и соблюдает все действующие правила дорожного движения, в том числе необходимые требования предосторожности, чтобы избежать рисков для других участников дорожного движения. Некоторые примеры, которые служат интерпретацией данных классов, приведены в таблице В.4. Учитывается разумно предсказуемое неправильное использование.

3 Если опасное событие не связано с направлением и скоростью движения транспортного средства, например, возможный захват ловушкой нижней конечности, управляемость может быть оценена вероятностью того, что находящийся в опасности человек в состоянии вывести себя из опасного состояния, или был выведен из опасной ситуации другими людьми. При рассмотрении управляемости предполагается, что человек, находящийся в опасности, не должен быть знаком с работой устройства.

4 При анализе управляемости в ситуации с несколькими участниками дорожного движения ее оценка может быть основана на управляемости автомобиля с неисправным устройством и вероятных действиях других участников.

Таблица 3 - Классы управляемости

	Класс
	С0	С1	C2	С3
Описание	Полностью управляемое	Легко управляемое	Обычно управляемое	Трудно управляемое или неконтролируемое

7.4.3.8 Класс С0 может быть использован для опасностей, не охваченных данным устройством, если они не влияют на безопасную эксплуатацию транспортного средства (например, некоторые системы помощи водителю). Класс С0 также может быть назначен, если существуют отдельные специальные документы, определяющие поведение при определенной опасности, и назначение С0 объясняется использованием существующего опыта по достаточной управляемости этой опасностью. Если опасности присваивается класс управляемости С0, то не требуется назначения УПБА.

Пример - Отдельным специальным актом является сертификация системы автомобиля с точным определением значений мощности или ускорения в случае отказа.

7.4.4 Определение значения УПБА и целей безопасности

7.4.4.1 Значение УПБА должно быть определено для каждого опасного события, используя параметры "тяжести последствий", "вероятности воздействия" и "управляемости" в соответствии с таблицей 4.

Примечания

1 Определены четыре значения УПБА: УПБА А, УПБА В, УПБА С и УПБА D, где значение УПБА, равное А, является самым низким значением уровня полноты безопасности автомобиля, а значение УПБА, равное D, - самым высоким.

2 В дополнение к этим четырем значениям УПБА классу QM (управление качеством) не назначается требование соответствия настоящему стандарту.

Таблица 4 - Определение УПБА

Классы тяжести последствий	Класс вероятности воздействия	Класс управляемости
		С1	С2	С3
S1	Е1	QM	QM	QM
	Е2	QM	QM	QM
	Е3	QM	QM	А
	Е4	QM	А	В
S2	Е1	QM	QM	QM
	Е2	QM	QM	А
	Е3	QM	А	В
	Е4	А	В	С
S3	Е1	QM	QM	А
	Е2	QM	А	В
	Е3	А	В	С
	Е4	В	С	D

7.4.4.2 Должно быть обеспечено, что выбранный уровень детализации списка эксплуатационных ситуаций не приведет к несоответствующему снижению УПБА соответствующих целей безопасности.

Примечание - Подробный список эксплуатационных ситуаций (см. 7.4.2.1.1) для одной опасности, связанных с состоянием автомобиля, дорожными условиями и условиями внешней среды, может привести к подробной классификации опасных событий. Это может облегчить оценку управляемости и тяжести последствий. Однако большое количество различных эксплуатационных ситуаций может привести к логически вытекающему сокращению соответствующих классов воздействия и, таким образом, к несоответствующему снижению значения УПБА соответствующих целей безопасности.

7.4.4.3 Для каждого опасного события должна быть определена цель безопасности со значением УПБА, оцениваемым при анализе рисков. Если определены похожие цели безопасности, то они могут быть объединены в одну цель безопасности.

Примечание - Цели безопасности являются требованиями безопасности самого высокого уровня для данного устройства. Они приводят к требованиям функциональной безопасности, необходимым для предотвращения необоснованного риска для каждого опасного события. Цели безопасности не выражаются через технологические решения, а формулируются в терминах функциональных задач.

7.4.4.4 Значение УПБА, определяемое для опасного события, должно быть назначено соответствующей цели безопасности. Если же цели безопасности объединяются в одну, в соответствии с 7.4.4.3, то такой цели безопасности должно быть назначено наибольшее из значений УПБА, объединяемых целей безопасности.

Примечание - Если объединяемые цели безопасности относятся к одной опасности в различных ситуациях, то значение УПБА, результирующей цели безопасности, должно быть наибольшим среди рассматриваемых целей безопасности любой из ситуаций.

7.4.4.5 Если цель безопасности может быть достигнута путем перехода к одному или нескольким безопасным состояниям или их поддержкой, то соответствующее(ие) безопасное(ые) состояние(я) должно быть специфицировано.

Примечание - Безопасные состояния рассматриваются в разделе 8.

Пример - Безопасными состояниями могут быть: отключено, заблокировано, стоящий автомобиль и поддержка функциональности в случае отказа в течение определенного времени.

7.4.4.6 Цели безопасности вместе с их атрибутами (значениями УПБА) должны быть специфицированы в соответствии с требованиями раздела 6 ИСО 26262-8.

Примечание - Цель безопасности может включать в себя такие параметры, как интервал сбоеустойчивости или физические характеристики (например, максимальный уровень нежелательного крутящего момента рулевого колеса, максимальный уровень нежелательного ускорения), если они имеют отношение к определению значения УПБА.

7.4.5 Верификация

7.4.5.1 Анализ опасностей, оценка рисков и цели безопасности должны быть верифицированы в соответствии с требованиями раздела 9 ИСО 26262-8, чтобы показать их:

а) полноту охвата ситуаций (7.4.2.1) и опасностей (7.4.2.2);

b) соответствие с определением устройства;

c) согласованность с соответствующим анализом опасностей и оценками рисков;

d) полноту охвата опасных событий; а также

е) согласованность назначенных значений УПБА с соответствующими опасными событиями.

Примечание - Верификационная оценка проверяет корректность и полноту результатов анализа опасностей и оценки рисков устройства, т.е. рассматриваемых ситуаций, опасностей и результатов оценки параметров (тяжести последствий, вероятности воздействий и управляемости). С другой стороны, оценка подтверждения результатов анализа опасностей и оценки рисков, выполняемая в соответствии с частью 2 настоящего стандарта, проверяет формально, что процедура анализа опасностей и оценки рисков соответствует требованиям раздела 7. Такая оценка подтверждения выполняется лицом или лицами из других отделов или организаций, которые не участвовали в разработке устройства.

7.5 Результаты работы

7.5.1 Анализ опасностей и оценки рисков

В результате выполнения требований 7.4.1.1-7.4.4.2.

7.5.2 Цели безопасности

В результате выполнения требований 7.4.4.3-7.4.4.6.

7.5.3 Протокол верификационной оценки анализа опасностей и оценки рисков и целей безопасности

В результате выполнения требований 7.4.5.

8 Концепция функциональной безопасности

8.1 Цель

Целью концепции функциональной безопасности является получение требований к функциональной безопасности из целей безопасности и их распределение по элементам предварительной архитектуры устройства или по внешним мерам.

8.2 Общие положения

Для выполнения целей безопасности концепция функциональной безопасности должна содержать меры безопасности, в том числе механизмы безопасности, которые должны быть реализованы элементами архитектуры устройства и специфицированы в требованиях функциональной безопасности.

Концепция функциональной безопасности направлена на:

- обнаружение неисправностей и смягчение последствий отказов;

- обеспечение перехода в безопасное состояние;

- создание отказоустойчивых механизмов, в которых неисправность непосредственно не приводит к нарушению цели (целей) безопасности и которые поддерживают устройство в безопасном состоянии (с или без деградации);

- обнаружение неисправностей и предупреждение водителя для того, чтобы сократить время воздействия риска до приемлемого интервала (например, контрольная лампа о неправильной работе двигателя, лампа предупреждения о сбое ABS);

- применение арбитражной логики, чтобы выбрать наиболее подходящий запрос из нескольких запросов, генерируемых одновременно различными функциями.

На рисунке 2 показан иерархический подход, с помощью которого в результате анализа опасностей и оценки рисков определяются цели безопасности. Затем из целей безопасности формируются требования функциональной безопасности.

Структура и распределение требований к системе безопасности между соответствующими частями настоящего стандарта приведены на рисунке 3. Требования функциональной безопасности распределяются элементам предварительной архитектуры.

Примечание - На рисунке конкретный раздел каждой части настоящего стандарта указан следующим образом: "m-n", где "m" представляет собой номер части, а "n" указывает на номер раздела, например, 3-6 представляет раздел 6 ИСО 26262-3.

Рисунок 2 - Иерархия целей системы безопасности и требований функциональной безопасности

8.3 Входная информация

8.3.1 Предварительные требования

Следующая информация должна быть доступна:

- определение устройства в соответствии с требованиями 5.5;

- результаты анализа опасностей и оценки рисков в соответствии с требованиями 7.5.1;

- цели безопасности в соответствии с требованиями 7.5.2.

8.3.2 Дополнительная информация

Следующая информация может быть учтена:

- предположения о предварительной архитектуре (из внешнего источника).

8.4 Требования и рекомендации

8.4.1 Общие положения

Требования функциональной безопасности должны быть заданы в соответствии с требованиями раздела 6 ИСО 26262-8.

8.4.2 Вывод требований функциональной безопасности

8.4.2.1 Требования функциональной безопасности должны быть выведены из целей безопасности и безопасных состояний с учетом предположений о предварительной архитектуре.

8.4.2.2 По крайней мере одно требование функциональной безопасности должно быть определено для каждой цели безопасности.

Примечание - Одно требование функциональной безопасности может быть применимым для нескольких целей безопасности.

8.4.2.3 Каждое требование функциональной безопасности должно быть определено с учетом следующего (если применимо):

a) режима работы;

b) интервала сбоеустойчивости;

c) безопасных состояний;

d) интервала работы в аварийном режиме;

e) функциональной избыточности (например, сбоеустойчивости).

Примечание - Эта деятельность может быть поддержана анализом безопасности (например, FMEA, FTA, HAZOP) для того, чтобы разработать полный набор эффективных требований функциональной безопасности.

Примечание - На рисунке конкретный раздел каждой части настоящего стандарта указан следующим образом: "m-n", где "m" представляет собой номер части, а "n" указывает на номер раздела, например, 3-6 представляет раздел 6 ИСО 26262-3.

Рисунок 3 - Структура требований к системе безопасности

8.4.2.4 Если безопасное состояние не может быть достигнуто путем перехода к нему за приемлемый интервал времени, то должен быть специфицирован аварийный режим.

Пример - Если безопасное состояние не может быть достигнуто путем немедленного отключения системы, то должен быть специфицирован подходящий аварийный режим.

8.4.2.5 Должна быть задана концепция предупреждения и постепенного снижения эффективности в виде требований функциональной безопасности.

Примечание - Переходы в и из безопасного состояния и условия для перехода (переход в безопасное состояние и восстановление из безопасного состояния) описаны в концепции предупреждения и постепенного снижения эффективности.

Примеры

1 При обнаружении неисправности и смягчении последствий отказа выполняется переход в безопасное состояние.

2 При обнаружении неисправности водителю выдается предупреждение для того, чтобы сократить время воздействия риска до приемлемого интервала (например, контрольная лампа о неправильной работе двигателя, лампа предупреждения о сбое ABS).

8.4.2.6 Если в соответствии с целями безопасности водителю или другим лицам, потенциально подвергающимся риску, делаются предложения о необходимых действиях, то следует, чтобы:

a) такие действия были определены в концепции функциональной безопасности и

b) соответствующие средства и элементы управления, доступные водителю или другим лицам, потенциально подвергающимся риску, были определены в концепции функциональной безопасности.

Примечание - Действия включают в себя те, для которых в ходе оценки управляемости было сформировано доверие, а также любые дальнейшие необходимые действия, принятые для выполнения целей безопасности после реализации требований безопасности.

Пример - Адаптивный круиз-контроль: для преодоления торможения водителю предлагается нажать на педаль акселератора.

Примечания

1 Может оказаться полезным анализ задач водителя при рассмотрении предотвращения перегрузки водителя, предотвращения неожиданности/паники/шока (потери возможности управления транспортным средством) водителя, и режима путаницы (неверное предположение о режиме работы).

2 Информация, специфицированная в концепции предупреждения и постепенного снижения эффективности и в необходимых действиях водителя и других лиц, потенциально подвергающихся риску, является исходной для руководства пользователя (см. 6.4.1 ИСО 26262-7).

8.4.3 Распределение требований функциональной безопасности

8.4.3.1 Требования функциональной безопасности должны быть распределены по элементам предположений о предварительной архитектуре.

Примечание - Вопросы резервирования и независимости могут быть проверены путем анализа зависимых отказов (см. раздел 7 ИСО 26262-9):

a) в ходе распределения значение УПБА и информация, приведенная в 8.4.2.3, должны быть унаследованы от соответствующей цели безопасности, или, если значение УПБА декомпозировано, то от более высокого уровня;

b) если несколько требований функциональной безопасности распределены одному элементу архитектуры, то такой элемент архитектуры должен быть разработан в соответствии с самым высоким для этих требований безопасности значением УПБА, если для предварительной архитектуры нельзя обосновать независимость или отсутствие влияния;

c) если устройство состоит более чем из одной системы, то требования функциональной безопасности для отдельных систем и их интерфейсов должны быть заданы с учетом предположений о предварительной архитектуре. Эти требования функциональной безопасности должны быть распределены по системам;

d) если при распределении требований функциональной безопасности выполняется декомпозиция значения УПБА, то она должна применяться в соответствии с требованиями раздела 5 ИСО 26262-9.

8.4.3.2 Если концепция функциональной безопасности предполагает использование элементов, основанных на других технологиях, то применяются следующие положения:

a) требования функциональной безопасности, реализуемые элементами, основанными на других технологиях, должны быть выведены и распределены по соответствующим элементам архитектуры;

b) должны быть заданы требования функциональной безопасности, касающиеся интерфейсов элементов, основанных на других технологиях;

c) реализация требований функциональной безопасности элементами, основанными на других технологиях, должна быть обеспечена путем принятия конкретных мер, требования к которым выходят за область применения настоящего стандарта;

d) для таких элементов не должны назначаться значения УПБА.

Примечание - Адекватность элементов, основанных на других технологиях, показывается в процессе подтверждения соответствия (см. ИСО 26262-4).

8.4.3.3 Если концепция функциональной безопасности предполагает использование внешних мер, то применяются следующие положения:

a) требования функциональной безопасности, реализуемые внешними мерами, должны быть выведены и сообщены;

b) должны быть заданы требования функциональной безопасности для интерфейсов с внешними мерами;

c) если внешние меры реализуются на основе одной или нескольких Э/Э систем, то требования функциональной безопасности должны определяться на основе настоящего стандарта;

d) выполнение требований функциональной безопасности внешними мерами должно быть гарантировано.

Примечание - Адекватность внешних мер показывается в процессе подтверждения соответствия (см. ИСО 26262-4).

8.4.4 Критерии подтверждения соответствия

8.4.4.1 Критерии принятия подтверждения соответствия безопасности устройства должны быть заданы на основе требований функциональной безопасности.

Примечание - О дополнительных требованиях к детализации критериев и список характеристик, необходимых для подтверждения соответствия, см. в пунктах 6.4.6.2 и 9.4.3.2 ИСО 26262-4.

8.4.5 Верификация концепции функциональной безопасности

8.4.5.1 Концепция функциональной безопасности должна быть верифицирована в соответствии с требованиями раздела 9 ИСО 26262-8, чтобы показать ее:

a) согласованность и соответствие целям безопасности и

b) способность смягчать или предотвращать опасные события.

Примечания

1 Верификация способности смягчать или предотвращать опасное событие на стадии формирования концепции может быть основана на тех же методах, которые используются для подтверждения соответствия. Результаты оценки могут указать на улучшение концепции. Однако необходимо иметь в виду, что основной задачей подтверждения соответствия безопасности, осуществляемого в соответствии с требованиями раздела 9 ИСО 26262-8, является создание устройства, разрабатываемого в соответствии с требованиями настоящего стандарта, а не исследования концепции (например, прототипов).

Пример - Способность смягчать или предотвращать опасное событие может быть оценена тестами, испытаниями или экспертом, используя прототипы, исследования, предметные тесты или моделирование.

2 Верификация способности смягчать или предотвращать опасное событие учитывает характеристики сбоя (например, временный или постоянный).

3 Для верификации может быть использовано подтверждение, основанное на прослеживаемости, например, если устройство соответствует требованиям функциональной безопасности, то это устройство соответствует целям безопасности, из которых были получены эти требования.

8.5 Результаты работы

8.5.1 Концепция функциональной безопасности

В результате выполнения требований 8.4.1-8.4.4.

8.5.2 Протокол верификации концепции функциональной безопасности

В результате выполнения требований 8.4.5.

Библиография

[1]	IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic safety-related systems
[2]	Abbreviated injury scale; Association of the advancement of Automotive medicine; Barrington, IL, USA Information is also available at www.carcrash.org or http://www.unfallforensik.de/
[3]	Code of Practice for the design and evaluation of ADAS, EU Project RESPONSE 3: Oct. 2006
[4]	BAKER, S.P., O'NEILL, В., HADDON, W., LONG, W.B., The injury severity score: a method for describing patients with multiple injuries and evaluating emergency care, The Journal of Trauma, Vol. 14, No. 3, 1974
[5]	BALOGH, Z., OFFNER, P.J., MOORE, E.E., BIFFL, W.L., NISS predicts post injury multiple organ failure better than ISS, The Journal of Trauma, Vol. 48, No. 4, 2000