Приложение G (справочное). Пример определения значения PMHF для устройства, состоящего из двух систем. Национальный стандарт РФ ГОСТ Р ИСО 26262-5-2021 "Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 25.10.2021 N 1278-ст)

Приложение G
(справочное)

Пример
определения значения PMHF для устройства, состоящего из двух систем

G.1 Цели

В данном примере описывается процедура распределения значений PMHF для двух систем, которые вносят вклад в достижение одной и той же цели безопасности.

Примечание - В данном примере используются несколько преувеличенные значения характеристик, чтобы подчеркнуть "подводные камни" некоторых процедур.

G.2 Архитектура устройства

Рассматриваемое устройство состоит из двух систем, системы А и системы В (см. рисунок G.1), которые соединены друг с другом через сетевую шину транспортного средства (например, CAN, FlexRay или Ethernet).

Рисунок G.1 - Системная архитектура устройства

Система В состоит из одного электронного блока управления (ЭБУ), ЭБУ В и 10 датчиков (датчики В1-В10). Система А состоит из одного ЭБУ, ЭБУ А, одного датчика А1 и одного исполнительного устройства А.

G.3 Последовательность событий

Датчики В1-В10 передают свои сигналы SigB1-SigB10 в ЭБУ В (см. рисунок G.2). ЭБУ В использует эти сигналы для вычисления новых значений сигналов SigB11-SigB1000. Затем сигналы SigB1-SigB10, принимаемые от датчиков, и сигналы SigB11-SigB1000 ЭБУ В передают в ЭБУ А.

ЭБУ А использует сигналы SigB1-SigB1000 и сигнал SigA1 от датчика А1 для вычисления управляющего значения сигнала CntrIA, который затем подается на исполнительный механизм.

Рисунок G.2 - Последовательность событий

G.4 Условия

Применяются следующие условия:

- цель безопасности SG_A: обеспечить корректное включение исполнительного механизма А за время не более чем 100 мс (УПБТС D);

- каждый сигнал SigA1, SigB1-SigB1000 может привести к недостижению цели безопасности А в случае неверного значения любого из них;

- ЭБУ А не имеет возможности проверять SigB1-SigB1000;

- системе В необходимо проверять корректность SigB1-SigB1000.

G.5 Общее целевое значение PMHF

Согласно 9.4.2.3 общее значение PMHF устройства может быть вычислено в соответствии с количеством систем в нем. В данном случае в недостижение цели безопасности могут вносить вклад две системы и сетевая шина транспортного средства. Для каждой системы назначается значение 10 ^-8/ч. Кроме того, для сетевой шины транспортного средства назначается значение 10 ^-10/ч (например, на основе количественного анализа, применяемого к аналогичному проекту). В результате общее значение PMHF недостижения цели безопасности SG_A составит /ч (см. рисунок G.3).

Рисунок G.3 - Назначение целевого значения PMHF

G.6 Определение значений PMHF для системы В

На первом шаге определяются все сигналы, формируемые системой В, которые могут привести к недостижению цели безопасности. Они объединяются в одну группу сигналов, например SigGroup_SG_A = [SigB1, ..., SigB1000].

На следующем шаге распределенное системой В значение PMHF, связанное с недостижением цели безопасности А, распределяется повреждениям одного или нескольких сигналов группы сигналов SigGroup_SG_A.

SafReq_B1: предотвратить выход одного или нескольких некорректных сигналов из группы сигналов SigGroup_SG_A (УПБТС D) с:

- PMHF 10 ^-8/ч;

- SPFM (метрика одиночного сбоя) 99 %;

- LFM (метрика остаточного сбоя) 90 %;

- сигнал считается некорректным, если отклонение сигнала от предписанного значения равно или превосходит установленное максимальное значение (к