Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО 26262-5-2021 "Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 25 октября 2021 г. N 1278-ст)
- Приложение Н (справочное). Пример обработки скрытых сбоев
Приложение Н (справочное). Пример обработки скрытых сбоев
Приложение Н
(справочное)
Пример
обработки скрытых сбоев
Н.1 Общие положения
Цель настоящего приложения состоит в том, чтобы на двух примерах пояснить, как следует реализовывать различные типы механизмов безопасности, с тем чтобы согласованно оценить метрики аппаратных средств, как это требуется в альтернативном варианте перечисления а) 8.4.8. Механизмы безопасности разделены на две группы: механизмы безопасности, основанные на сочетании обнаружения и управления сбоями (переход в безопасное состояние, в котором даже последующий отказ механизма безопасности не оказывал бы влияния), и механизмы безопасности, основанные только на управлении последствиями сбоя. В настоящем приложении также описана причина применения альтернативного варианта, представленного в перечислении с) 8.4.8, который ограничивается механизмами безопасности, осуществляющими обнаружение и управление сбоями.
Н.2 Пример с механизмом безопасности, выполняющим обнаружение и управление сбоями
В первом примере (см. рисунок Н.1) система разработана с механизмом безопасности, выполняющим обнаружение и управление сбоями:
WD - сторожевое устройство с временным окном; С1 - компонент 1
Рисунок Н.1 - Механизм безопасности, выполняющий обнаружение и управление сбоями
Сторожевое устройство с временным окном представляет собой механизм безопасности, контролирующий микроконтроллер. Диагностический охват остаточных сбоев микроконтроллера (например, проблемы, связанные с тактовым генератором, и т.д.) составляет 60 %. Это значение охваченных сбоев, приводящих к недостижению цели безопасности при отсутствии механизма безопасности, рассматривается как выявляемые множественные сбои (в частности, двойные сбои), поскольку сбой выявляется механизмом безопасности с индикацией водителю и предотвращается недостижение цели безопасности (то есть выполняется управление этим сбоем). После того, как сторожевая схема с временным окном обнаружит сбой, система перейдет в безопасное состояние.
Сбой, возникающий в сторожевой схеме с временным окном, может привести к неспособности обнаружения или к ошибке в управлении видами сбоев в микроконтроллере. Если этот сбой не обнаруживается механизмом безопасности (тестирование WD при запуске), не воспринимается водителем (предполагается, что последствия сбоя WD не могут быть восприняты водителем), то он считается скрытым сбоем.
Учитывая рассмотренную классификацию, в таблице Н.1 приводится фрагмент результатов количественного анализа, описывающий оценку метрики аппаратных средств.
Таблица Н.1 - Фрагмент количественного анализа механизмов безопасности, выполняющих обнаружение и управление сбоями
|
Наименование компонента |
Вид отказов |
Интенсивность отказа |
Ведет ли непосредственно к недостижению цели безопасности? |
Имеется ли механизм безопасности, предотвращающий вид отказа, ведущий к недостижению цели безопасности? |
Охват диагностикой DC |
Интенсивность отказов от остаточных сбоев |
Возможно ли недостижение цели безопасности в сочетании с другим сбоем? |
Есть ли механизм безопасности, предотвращающий возникновение скрытых видов отказов? |
Охват механизмом безопасности скрытых сбоев |
Интенсивность отказов от скрытых сбоев |
|
Микроконтроллер |
Проблемы, связанные с синхронизацией |
100 FIT |
Да |
Сторожевое устройство с временным окном |
60 % |
40 FIT |
Да |
Сторожевое устройство с временным окном |
100 % |
0 |
|
Сторожевое устройство с временным окном |
Отказ |
40 FIT |
Нет |
- |
- |
- |
Да |
Тестирование сторожевого устройства при запуске |
90 % |
4 FIT |
|
С1 |
Отказ |
50 FIT |
Да |
Микроконтроллер |
97 % |
1,5 FIT |
Да |
Микроконтроллер |
100 % |
0 |
|
... |
|
|
|
|
|
|
|
|
|
|
Примечания
1 Альтернативный вариант [перечисление с) 8.4.8] может быть применен к системам, в которых любой механизм безопасности, неготовность которого может приводить к недостижению цели безопасности, основан на обнаружении и управлении сбоями. В данном случае этот альтернативный вариант эффективен, поскольку вид отказа, управляемый механизмом безопасности, не вносит вклад в значение FIT скрытого сбоя. Таким образом, единственный вклад в значение FIT скрытого сбоя вносит сам механизм безопасности.
2 Вид отказов микроконтроллера (проблемы, связанные с тактовым генератором - 100 FIT) может привести к недостижению цели безопасности. Сторожевое устройство с временным окном является механизмом безопасности, установленным для управления этими сбоями. Отказ сторожевого таймера с временным окном в сочетании с другим сбоем может привести к недостижению цели безопасности. Сбои сторожевого таймера с временным окном, которые не были обнаружены в ходе его тестирования при запуске, считаются скрытыми сбоями (4 FIT). Часть вида отказов микроконтроллера, которая благодаря механизму безопасности не привела к недостижению цели безопасности, составляет 60 % (60 FIT); следовательно интенсивность отказов, связанных с остаточными сбоями, равна 40 FIT. 60 % рассматриваемого вида отказов (60 FIT), которые не привели к недостижению цели безопасности, выявляются непосредственно механизмом безопасности (сторожевым таймером с временным окном), который обнаруживает сбой и запускает переход в безопасное состояние. Согласно классификации случайных сбоев аппаратных средств в ИСО 26262-10 сбои, охваченные механизмом безопасности (60 FIT), рассматриваются как обнаруженные множественные сбои и, следовательно, по определению не являются скрытыми сбоями.
3 Сбои в компоненте С1 находятся под управлением микроконтроллера с охватом диагностикой (DC), равным 97 %.
Это обоснование справедливо для механизмов безопасности, основанных на обнаружении и управлении сбоями, но несправедливо для механизмов безопасности, выполняющих только управление последствиями сбоев (например, выполнение EDC в RAM без сигнализации об ошибках).
Н.3 Пример с механизмом безопасности, выполняющим управление последствиями сбоев
Во втором примере (см. рисунок Н.2) система спроектирована с механизмом безопасности, выполняющим управление последствиями сбоев:
Рисунок Н.2 - Механизм безопасности, выполняющий управление последствиями сбоев
Требование безопасности формулируется следующим образом: "Система должна сформировать сигнал в соответствии с требованиями к ее электрическим характеристикам". Нарушение требования безопасности может привести к недостижению цели безопасности.
Примечание - Предполагается, что компонент А обеспечивает корректный сигнал в случае отсутствия отказов.
Если в компоненте А возникает сбой и в результате сигнал, получаемый от А, искажен шумом, то для такого сигнала механизмом безопасности (фильтром) выполняется фильтрация. Таким образом, если сигнал постоянно сопровождается шумом, то он всегда будет своевременно восстановлен фильтром, который корректно выполняет свою функцию. Охват вида отказов "зашумленный сигнал" установленным механизмом безопасности составляет 99,9 %. Поскольку в данном случае установленный механизм безопасности постоянно и своевременно выполняет восстановление, то сбой, способный привести к недостижению цели безопасности в отсутствие механизма безопасности, находится под управлением, и поэтому он не обнаруживается и не воспринимается. Таким образом, он рассматривается как скрытый сбой.
Если в компоненте А возникает постоянный сбой, то при возникновении сбоя в фильтре реализуется двойной отказ. До этого момента сбой, охваченный в компоненте А, не будет виден на уровне системы.
Примечание - Механизмы безопасности, действующие подобно фильтру в рассматриваемом примере, не выполняют обнаружение сбоя, а только управляют его последствиями. Таким образом, система не способна различать предписанное функционирование и отклонение от него (механизм безопасности выполняет свои функции до тех пор, пока не произойдет отказ самого механизма безопасности).
Таблица Н.2 - Фрагмент количественного анализа механизмов безопасности, выполняющих управление последствиями сбоев
|
Наименование компонента |
Вид отказов |
Интенсивность отказа |
Ведет ли непосредственно к недостижению цели безопасности? |
Имеется ли механизм безопасности, предотвращающий вид отказа, ведущий к недостижению цели безопасности? |
Охват диагностикой DC |
Интенсивность отказов от остаточных сбоев |
Возможно ли недостижение цели безопасности в сочетании с другим сбоем? |
Есть ли механизм безопасности, предотвращающий возникновение скрытых видов отказов? |
Охват механизмом безопасности скрытых сбоев |
Интенсивность отказов от скрытых сбоев |
|
А |
Зашумленный сигнал |
100 FIT |
Да |
Фильтр |
99,9 % |
0,1 FIT |
Да |
Нет |
0 % |
99,9 FIT |
|
Фильтр |
Отказ |
40 FIT |
Нет |
- |
- |
- |
Да |
Нет |
0 % |
40 FIT |
|
В |
Отказ |
20 FIT |
Да |
- |
0 % |
20 FIT |
- |
- |
- |
- |
|
... |
|
|
|
|
|
|
|
|
|
|
Примечание - Альтернативный вариант [перечисление с) 8.4.8] неприменим к этой системе, характеризующейся механизмом безопасности, основанным на управлении последствиями сбоев. Таким образом, в этом случае альтернативы, представленные в перечислениях а) и b) 8.4.8, являются единственно возможными.