Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение G
(справочное)
Пример
определения значения PMHF для устройства, состоящего из двух систем
G.1 Цели
В данном примере описывается процедура распределения значений PMHF для двух систем, которые вносят вклад в достижение одной и той же цели безопасности.
Примечание - В данном примере используются несколько преувеличенные значения характеристик, чтобы подчеркнуть "подводные камни" некоторых процедур.
G.2 Архитектура устройства
Рассматриваемое устройство состоит из двух систем, системы А и системы В (см. рисунок G.1), которые соединены друг с другом через сетевую шину транспортного средства (например, CAN, FlexRay или Ethernet).
Рисунок G.1 - Системная архитектура устройства
Система В состоит из одного электронного блока управления (ЭБУ), ЭБУ В и 10 датчиков (датчики В1-В10). Система А состоит из одного ЭБУ, ЭБУ А, одного датчика А1 и одного исполнительного устройства А.
G.3 Последовательность событий
Датчики В1-В10 передают свои сигналы SigB1-SigB10 в ЭБУ В (см. рисунок G.2). ЭБУ В использует эти сигналы для вычисления новых значений сигналов SigB11-SigB1000. Затем сигналы SigB1-SigB10, принимаемые от датчиков, и сигналы SigB11-SigB1000 ЭБУ В передают в ЭБУ А.
ЭБУ А использует сигналы SigB1-SigB1000 и сигнал SigA1 от датчика А1 для вычисления управляющего значения сигнала CntrIA, который затем подается на исполнительный механизм.
Рисунок G.2 - Последовательность событий
G.4 Условия
Применяются следующие условия:
- цель безопасности SG_A: обеспечить корректное включение исполнительного механизма А за время не более чем 100 мс (УПБТС D);
- каждый сигнал SigA1, SigB1-SigB1000 может привести к недостижению цели безопасности А в случае неверного значения любого из них;
- ЭБУ А не имеет возможности проверять SigB1-SigB1000;
- системе В необходимо проверять корректность SigB1-SigB1000.
G.5 Общее целевое значение PMHF
Согласно 9.4.2.3 общее значение PMHF устройства может быть вычислено в соответствии с количеством систем в нем. В данном случае в недостижение цели безопасности могут вносить вклад две системы и сетевая шина транспортного средства. Для каждой системы назначается значение 10 -8/ч. Кроме того, для сетевой шины транспортного средства назначается значение 10 -10/ч (например, на основе количественного анализа, применяемого к аналогичному проекту). В результате общее значение PMHF недостижения цели безопасности SG_A составит /ч (см. рисунок G.3).
Рисунок G.3 - Назначение целевого значения PMHF
G.6 Определение значений PMHF для системы В
На первом шаге определяются все сигналы, формируемые системой В, которые могут привести к недостижению цели безопасности. Они объединяются в одну группу сигналов, например SigGroup_SG_A = [SigB1, ..., SigB1000].
На следующем шаге распределенное системой В значение PMHF, связанное с недостижением цели безопасности А, распределяется повреждениям одного или нескольких сигналов группы сигналов SigGroup_SG_A.
SafReq_B1: предотвратить выход одного или нескольких некорректных сигналов из группы сигналов SigGroup_SG_A (УПБТС D) с:
- PMHF 10 -8/ч;
- SPFM (метрика одиночного сбоя) 99 %;
- LFM (метрика остаточного сбоя) 90 %;
- сигнал считается некорректным, если отклонение сигнала от предписанного значения равно или превосходит установленное максимальное значение (к
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.