Приложение G (справочное). Пример определения значения PMHF для устройства, состоящего из двух систем. Национальный стандарт РФ ГОСТ Р ИСО 26262-5-2021 "Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 25.10.2021 N 1278-ст)

Приложение G
(справочное)

Пример
определения значения PMHF для устройства, состоящего из двух систем

G.1 Цели

В данном примере описывается процедура распределения значений PMHF для двух систем, которые вносят вклад в достижение одной и той же цели безопасности.

Примечание - В данном примере используются несколько преувеличенные значения характеристик, чтобы подчеркнуть "подводные камни" некоторых процедур.

G.2 Архитектура устройства

Рассматриваемое устройство состоит из двух систем, системы А и системы В (см. рисунок G.1), которые соединены друг с другом через сетевую шину транспортного средства (например, CAN, FlexRay или Ethernet).

Рисунок G.1 - Системная архитектура устройства

Система В состоит из одного электронного блока управления (ЭБУ), ЭБУ В и 10 датчиков (датчики В1-В10). Система А состоит из одного ЭБУ, ЭБУ А, одного датчика А1 и одного исполнительного устройства А.

G.3 Последовательность событий

Датчики В1-В10 передают свои сигналы SigB1-SigB10 в ЭБУ В (см. рисунок G.2). ЭБУ В использует эти сигналы для вычисления новых значений сигналов SigB11-SigB1000. Затем сигналы SigB1-SigB10, принимаемые от датчиков, и сигналы SigB11-SigB1000 ЭБУ В передают в ЭБУ А.

ЭБУ А использует сигналы SigB1-SigB1000 и сигнал SigA1 от датчика А1 для вычисления управляющего значения сигнала CntrIA, который затем подается на исполнительный механизм.

Рисунок G.2 - Последовательность событий

G.4 Условия

Применяются следующие условия:

- цель безопасности SG_A: обеспечить корректное включение исполнительного механизма А за время не более чем 100 мс (УПБТС D);

- каждый сигнал SigA1, SigB1-SigB1000 может привести к недостижению цели безопасности А в случае неверного значения любого из них;

- ЭБУ А не имеет возможности проверять SigB1-SigB1000;

- системе В необходимо проверять корректность SigB1-SigB1000.

G.5 Общее целевое значение PMHF

Согласно 9.4.2.3 общее значение PMHF устройства может быть вычислено в соответствии с количеством систем в нем. В данном случае в недостижение цели безопасности могут вносить вклад две системы и сетевая шина транспортного средства. Для каждой системы назначается значение 10 ^-8/ч. Кроме того, для сетевой шины транспортного средства назначается значение 10 ^-10/ч (например, на основе количественного анализа, применяемого к аналогичному проекту). В результате общее значение PMHF недостижения цели безопасности SG_A составит /ч (см. рисунок G.3).

Рисунок G.3 - Назначение целевого значения PMHF

G.6 Определение значений PMHF для системы В

На первом шаге определяются все сигналы, формируемые системой В, которые могут привести к недостижению цели безопасности. Они объединяются в одну группу сигналов, например SigGroup_SG_A = [SigB1, ..., SigB1000].

На следующем шаге распределенное системой В значение PMHF, связанное с недостижением цели безопасности А, распределяется повреждениям одного или нескольких сигналов группы сигналов SigGroup_SG_A.

SafReq_B1: предотвратить выход одного или нескольких некорректных сигналов из группы сигналов SigGroup_SG_A (УПБТС D) с:

- PMHF 10 ^-8/ч;

- SPFM (метрика одиночного сбоя) 99 %;

- LFM (метрика остаточного сбоя) 90 %;

- сигнал считается некорректным, если отклонение сигнала от предписанного значения равно или превосходит установленное максимальное значение (константа, х%).

Это позволяет поставщику системы В идентифицировать все соответствующие элементы аппаратных средств в рамках одного анализа безопасности и распределять значения интенсивностей отказов по усмотрению поставщика (например, рисунок G.4).

Примечание - Поскольку каждый из 1000 сигналов, подаваемых системой В, может привести к недостижению цели безопасности SG_A и поскольку система А не может проверить корректность этих сигналов, то может возникнуть желание распределить значение PMHF системы В между всеми сигналами поровну, что приведет к значению PMHF 10 ^-8/1000/ч = 10 ^-11/ч на сигнал. В этом случае требование безопасности, направляемое поставщику системы А, может быть сформулировано следующим образом: "Предотвратить выход некорректного значения сигнала Вх(УПБТС D, PMHF_SigBx 10 ^-11/h, SPFM 99 %, LFM 90 %) для x = 1, ..., 1000". Однако при вычислении общего значения PMHF для системы В считается, что эти сигналы имеют общие элементы аппаратных средств (например, ЭБУ В), вносящие вклад в их интенсивности отказов, делая эти отказы зависимыми друг от друга. В этом примере на каждый сигнал могут влиять сбои в ЭБУ В. Это означает, что сбои в ЭБУ В могут повредить от 1 до 1000 сигналов. Если интенсивность остаточных отказов каждого сигнала суммируется без учета этого факта, то эта сумма может быть выше, чем базовая интенсивность отказа всей системы В. Поэтому такой подход не может быть использован.

Рисунок G.4 - FTA с учетом элементов аппаратных средств