Приложение С (справочное). Определение диагностического охвата (DC). Межгосударственный стандарт ГОСТ EN 16590-2-2018 "Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 2. Этап разработки концепции" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.08.2021 N 745-ст)

Приложение С
(справочное)

Определение диагностического охвата (DC)

С.1 Общие положения

Требуемый DC может быть оценен с помощью таблиц, приведенных ниже, или рассчитан по формуле, приведенной в EN 16590-1:2014 (подраздел 3.1).

Для архитектур с резервированием (избыточными каналами) DC каждого канала должен соответствовать требуемому для AgPL _r.

Очень важно рассмотреть каждый компонент, влияющий на функцию, связанную с обеспечением безопасности.

С.2 Оценка требуемого DC

Приведенная в таблицах С.1-С.7 информация показывает, как достичь требуемого DC. Для каналов без микроконтроллеров используется таблица С.1. Для каналов с микроконтроллерами используется таблица С.2. В других случаях эффективность механизма обнаружения неисправностей должна быть проверена. Использование других методов (например, других стандартов) также допускается при условии подробного документирования.

Для каждого SRP требуется только один метод, а оцененный DC канала ограничивается самым низким уровнем DC, выбранным из таблиц С.1-С.7 (см. пример в таблице С.3).

Таблица С.1 - Электрические подсистемы (без микроконтроллера)

Аппаратура/метод	Рекомендуемая максимальная степень диагностического охвата	Пример
Обнаружение отказа посредством интерактивного (on-line) мониторинга	Средняя	Индикаторная лампа сигнала поворота
Мониторинг контактов реле	Средняя	Индикаторная лампа механического привода передних колес (MFWD)
Компактор	Средняя	Индикаторная лампа системы заряда
Переключатель принудительного действия	Высокая	Переключатель с механической блокировкой

Таблица С.2 - Электрические подсистемы (с микроконтроллером)

Аппаратура/метод	Рекомендуемая максимальная степень диагностического охвата	Пример
Обнаружение отказа посредством интерактивного (on-line) мониторинга (аналоговый или цифровой сигнал)	Средняя	Мониторинг сигнала обратной связи (в пределах диапазона)
Мажоритарная схема	Высокая	Сопоставление резервных (избыточных) сигналов
Тестирование резервными аппаратными средствами	Средняя (при периодическом тестировании) Высокая (при постоянном тестировании)	Тестирование при пуске (средняя) Система-наблюдатель (высокая)
Динамические принципы	Средняя	Испытательное воздействие (см. категорию 2)
Избыточный контроль	Высокая	Резервные микроконтроллеры

Таблица С.3 - Обрабатывающие блоки

Аппаратура/метод	Рекомендуемая максимальная степень диагностического охвата	Пример
Компаратор	Высокая	Сравнение выходного сигнала и/или синхронизированных детерминированных промежуточных данных резервных (избыточных) процессоров (см. категории 2, 3 и 4)
Самотестирование посредством программного обеспечения: ограниченное число схем (один канал)	Высокая	"Блуждающая единица" или "блуждающий ноль"
Самотестирование посредством программного обеспечения (один канал)	Низкая	Внутренняя система-наблюдатель
Самотестирование аппаратными средствами (один канал)	Средняя	Внешняя система-наблюдатель

Таблица С.4 - Память постоянного объема

Аппаратура/метод	Рекомендуемая максимальная степень диагностического охвата	Пример
Сохранение многобитного резерва слов	Средняя	Частичное резервирование байта
Изменение контрольной суммы	Низкая	Контрольная сумма модуля памяти
Сигнатура одного слова (8 бит)	Средняя	Модуль памяти CRC (8 бит)
Сигнатура двух слов (16 бит)	Высокая	Модуль памяти CRC (16 бит)
Репликация модуля	Высокая	Двойная память (зеркальная)

Таблица С.5 - Память переменного объема

Аппаратура/метод	Рекомендуемая максимальная степень диагностического охвата	Пример
Самотестирование посредством программного обеспечения (один канал)	Средняя	Внутренняя система-наблюдатель
RAM-тест (при пуске или периодический)	Средняя	Тесты: "шахматный код" или "марш". "Обходной маршрут". Контрольный разряд четности
Двойной RAM-тест	Высокая	Сравнение аппаратного или программного обеспечения и тест на считывание/запись
Резервный (избыточный) канал	Высокая	См. категории 2, 3 и 4

Таблица С.6 - Блоки входа/выхода и интерфейс (внешние коммуникации)

Аппаратура/метод	Рекомендуемая максимальная степень диагностического охвата	Пример
Обнаружение отказа посредством интерактивного (on-line) мониторинга (аналоговый или цифровой входной сигнал; аналоговый или цифровой выходной сигнал)	Средняя	Мониторинг сигнала обратной связи (в пределах диапазона)
Компаратор	Высокая	Сравнение выходного сигнала и/или синхронизированных детерминированных промежуточных данных резервных (избыточных) процессоров (см. категории 2, 3 и 4)
Защита сообщений	Средняя	1. Контрольная сумма или выбранные байты данных сообщения
	Средняя	2. Учет сообщений (счетчик приращений)
	Низкая	3. Верификация частоты отправки
	Высокая	4. Комбинация 1-3
Стандартный датчик	Высокая	Измерение установленного сигнала для контроля ADC и/или ECU
Мажоритарная схема	Высокая	Сопоставление резервных (избыточных) сигналов
Отделение электрических линий питания от информационных линий	Высокая
Пространственное разделение множественных линий передачи данных	Высокая
Повышение помехоустойчивости	Высокая	Экранирование и/или витая пара

Таблица С.7 - Источник питания (применительно к системам с микроконтроллером или без него)

Аппаратура/метод	Рекомендуемая максимальная степень диагностического охвата	Пример
Защита от перенапряжения	Низкая	Защита сбросом нагрузки на генераторе переменного тока
Контроль напряжения питания	Высокая	Мониторинг напряжения и переключение на генератор переменного тока источника питания, при необходимости (достижение рабочего предела)
Контроль падения мощности	Средняя	Мониторинг пускового переключателя (ключ зажигания) напряжения и инициация выключения ECU, сохранение данных в памяти. Отключение системы, когда напряжение в системе падает

С.3 Оценка DC канала

В таблице С.8 приведен пример для оценки DC канала. В этом примере результирующая степень DC канала - низкая.

Таблица С.8 - Оценка DC

Описание	Степень DC	Метод	Ссылка на таблицу
Вход/выход (все)	Средняя	Мониторинг сигнала обратной связи	Таблица С.2
Процессор	Низкая	Внутренняя система-наблюдатель	Таблица С.3
Память постоянного объема	Средняя	Сохранение резерва слов	Таблица С.4
Память переменного объема	Высокая	Двойной RAM-тест	Таблица С.5
Коммуникации	Средняя	Контрольная сумма	Таблица С.6
Источник питания	Средняя	Контроль отключения питания	Таблица С.7

С.4 Расчет DC канала

Во многих системах может использоваться несколько мер для обнаружения отказов. Однако для данного канала рассчитывается только DC. В соответствии с определением DC (см. EN 16590-1:2014 (статья 3.10)) средний DC рассчитывается по формуле

,

(6)

где - вероятность обнаружения опасных отказов;

- общее число опасных отказов. В данном случае все компоненты канала, используемые при расчете MTTF _dC, следует рассмотреть и суммировать. Только элементы с обнаруженными отказами вносятся в числитель приведенной выше формулы

С.5 Расчет DC

В таблице С.9 приведен пример расчета DC канала. В этом примере реализованный для канала DC равен 86 %.

Таблица С.9 - Расчет DC

Номер элемента	Компонент	MTTF d, год	, 1/MTTF d, 1/год	Обнаружены Да/Нет	Как реализовано обнаружение	, 1/год	DC, , %
1	Резистор 1	11 416	0,000 09	Да	Резервное аппаратное обеспечение	8,75964 Е-05
2	Резистор 2	11 416	0,000 09	Нет		0
3	Транзистор 1	1 142	0,00088	Да	Мониторинг сигнала обратной связи	8,756 57 Е-4
4	Микропроцессор 1	900	0,001 11	Да	Внешняя система-наблюдатель	1,111 111 Е-3
5	Конденсатор 1	5 708	0,000 18	Да	Резервное аппаратное обеспечение	1,751 93 Е-4
6	Конденсатор 2	5 708	0,000 18	Нет		0
7	Конденсатор 1	200	0,005 00	Нет		0
8	Контактор 2	32	0,031 25	Да	Мониторинг сигнала обратной связи	3,125 Е-2
			0,038 76			0,033 5	0,86