Приложение С (справочное). Метрики архитектуры аппаратных средств. Национальный стандарт РФ ГОСТ Р ИСО 26262-5-2021 "Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 25.10.2021 N 1278-ст)

Приложение С
(справочное)

Метрики архитектуры аппаратных средств

С.1 Классификация сбоев и их охват диагностикой

С.1.1 Данное требование распространяется на значения УПБТС (В), С и D цели безопасности. Метрики архитектуры аппаратных средств должны быть определены для аппаратных средств устройства и только для связанных с безопасностью элементов аппаратных средств, у которых существует возможность внести существенный вклад в недостижение цели безопасности.

Пример - Элементы аппаратных средств, множественные сбои которых порядка n, при n > 2, могут быть исключены из расчетов, если они не рассматриваются в концепции технической безопасности.

С.1.2 Данное требование распространяется на значения УПБТС (В), С и D цели безопасности. Каждый сбой, происходящий в связанном с безопасностью элементе аппаратного средства, должен быть классифицирован в соответствии с рисунком В.1 как:

a) одиночный сбой;

b) остаточный сбой.

Пример - Элемент аппаратного средства может иметь сбои "обрыв цепи", "короткое замыкание на массу" и "короткое замыкание на линию высокого напряжения", но только сбои "обрыв цепи" и "короткое замыкание на массу" охватываются механизмами безопасности. Сбой "короткое замыкание на линию высокого напряжения" является остаточным сбоем, так как он не охватывается механизмом безопасности, если он приводит к недостижению заданной цели безопасности;

c) множественный сбой.

Примечание - Классификация множественных сбоев должна различать скрытые, выявляемые и воспринимаемые сбои;

d) безопасный сбой.

Рисунок С.1 дает графическое представление классификации сбоев, связанных с безопасностью элементов аппаратных средств устройства.

Рисунок С.1 - Классификация сбоев, связанных с безопасностью элементов аппаратных средств устройства

В этом графическом представлении:

- расстояние n представляет собой число независимых одновременно присутствующих сбоев, вызывающих недостижение цели безопасности (n = 1 для одиночного или остаточного сбоя, n = 2 для двойного сбоя и т.д.);

- сбои с расстоянием, равным значению n, расположены в районе между окружностями n и n - 1;

- множественные сбои с расстоянием строго более n = 2 следует рассматривать как безопасные сбои, если они не рассматриваются в концепции технической безопасности.

Примечание - Кратковременные сбои, для которых механизм безопасности возвращает устройство в исправное состояние, можно рассматривать как выявляемые множественные сбои, даже если водитель никогда не был проинформирован об их существовании.

Пример - В случае использования кода с исправлением ошибок для защиты памяти от кратковременных сбоев устройство будет возвращаться в исправное состояние, если механизм безопасности, кроме передачи корректного значения в ЦП, изменяет значение ошибочного бита на обратное внутри массива памяти (например, путем перезаписи скорректированного значения).

Таким образом, интенсивность отказов каждого связанного с безопасностью элемента аппаратного средства может быть выражена в соответствии с уравнением С.1 (предполагая, что все сбои независимы и распределены экспоненциально), а именно:

,

(С.1)

где - интенсивность отказов, связанных с одиночными сбоями элемента аппаратного средства;

- интенсивность отказов, связанных с остаточными сбоями элемента аппаратного средства;

- интенсивность отказов, связанных с множественными сбоями элемента аппаратного средства;

- интенсивность отказов, связанных с безопасными сбоями элемента аппаратного средства.

Интенсивность отказов, связанных с множественными сбоями элемента аппаратного средства , может быть выражена уравнением С.2 следующим образом:

,

(С.2)

где - интенсивность отказов, связанных с воспринимаемыми или выявляемыми множественными сбоями элемента аппаратного средства;

- интенсивность отказов, связанных со скрытыми сбоями элемента аппаратного средства.

Интенсивность отказов, связанных с остаточными сбоями, может быть определена с помощью охвата диагностикой механизмов безопасности, которые предотвращают одиночные сбои элемента аппаратного средства. Уравнение С.3 дает консервативную оценку интенсивности отказов, связанных с остаточными сбоями:

,

(С.3)

где - расчетная интенсивность отказов, связанных с остаточными сбоями;

K _{DC, RF} (также известное как DC _RF) - значение охвата диагностикой остаточных сбоев, выраженное в процентах.

Примечание - Если известны распределение вида отказов и охват видов отказов, то значение может быть вычислено следующим образом:

,

(C.4)

где - интенсивность отказов, связанная с i-м видом отказов связанного с безопасностью элемента аппаратного средства;

F _FMi,safe - доля сбоев i-го вида отказа, которые считаются безопасными;

- доля сбоев i-го вида отказа, которые способны непосредственно привести к недостижению цели безопасности при отсутствии механизма безопасности;

K _FMCi,RF - охват вида отказов для i-го вида отказов относительно остаточных сбоев.

Интенсивность отказов, связанных со скрытыми сбоями, может быть определена с помощью охвата диагностикой механизмов безопасности, которые предотвращают скрытые сбои элемента аппаратного средства. Уравнение С.5 дает консервативную оценку интенсивности отказов, связанных со скрытыми сбоями:

,

(C.5)

где - расчетная интенсивность отказов, связанных со скрытыми сбоями;

K _{DC, MPF, L} - значение охвата диагностикой скрытых сбоев, выраженное в процентах.

Примечания

1 Если известно распределение видов отказов и охват видов отказов, то значение может быть вычислено следующим образом:

,

(C.6)

где - интенсивность отказов, связанная с i-м видом отказов связанного с безопасностью элемента аппаратного средства;

F _FMi,safe - доля сбоев i-го вида отказа, которые считаются безопасными;

- доля сбоев i-го вида отказа, которые способны непосредственно привести к недостижению цели безопасности при отсутствии механизма безопасности;

- доля сбоев i-го вида отказа, которые не считаются безопасными, но которые не способны непосредственно привести к недостижению цели безопасности при отсутствии механизма безопасности;

K _FMCi,RF - охват вида отказов для i-го вида отказов относительно остаточных сбоев;

K _FMCi,MPF - охват вида отказов для i-го вида отказов относительно скрытых сбоев.

2 Для данной цели может быть использовано приложение D в качестве основного подхода для расчета заявленного охвата диагностикой и его обеспечения надлежащим обоснованием.

3 Если рассмотренные выше оценки считаются слишком консервативными, то детальный анализ видов отказов элемента аппаратного средства может отнести каждый вид отказов к одному из классов сбоев (одиночные сбои, остаточные сбои, скрытые, выявляемые или воспринимаемые множественные сбои или безопасные сбои) для заданной цели безопасности и определить интенсивности каждого вида отказов. Для классификации сбоев может быть использована блок-схема приложения В.

С.2 Метрика одиночного сбоя

С.2.1 Данная метрика отражает робастность устройства к одиночным и остаточным сбоям, которая реализуется или охватом механизмами безопасности, или в процессе проектирования (в основном допускаются безопасные сбои). Большое значение метрики одиночного сбоя означает, что доля одиночных сбоев и остаточных сбоев в аппаратных средствах устройства является низкой.

С.2.2 Данное требование распространяется на значения УПБТС (В), С и D цели безопасности. Для вычисления метрики одиночного сбоя необходимо использовать уравнение (С.7):

,

(С.7)

где является суммой значений , связанных с безопасностью элементов аппаратных средств устройства для рассматриваемых метрик.

Примечания

1 Для данной метрики рассматриваются только связанные с безопасностью элементы аппаратных средств устройства.

Пример - Элементы аппаратного средства, где все сбои безопасны или множественные сбои которых имеют порядок n, при n > 2, могут быть исключены из расчетов, если эти сбои не рассматриваются в концепции технической безопасности.

2 Рисунок С.2 дает графическое представление метрики одиночного сбоя.

3 Пример расчета метрики одиночного сбоя приведен в приложении Е.

Рисунок С.2 - Графическое представление метрики одиночного сбоя

С.3 Метрика скрытого сбоя

С.3.1 Данная метрика отражает робастность устройства к скрытым сбоям, которая реализуется или охватом сбоев в механизмах безопасности, или самим водителем, признающим наличие неисправности до нарушения цели безопасности, или в процессе проектирования (в основном допускаются безопасные сбои). Большое значение метрики скрытого сбоя означает, что доля скрытых сбоев в аппаратных средствах устройства низка.

С.3.2 Данное требование распространяется на значения УПБТС (В), С и D цели безопасности. Для определения метрики скрытого сбоя необходимо использовать уравнение (С.8):

,

(C.8)

где является суммой значений , связанных с безопасностью элементов аппаратных средств устройства для рассматриваемых метрик.

Примечания

1 Для данной метрики рассматриваются только связанные с безопасностью элементы аппаратных средств устройства.

Пример - Элементы аппаратных средств, где все сбои безопасны или множественные сбои которых имеют порядок n при n > 2, могут быть исключены из расчетов, если эти сбои не рассматриваются в концепции технической безопасности.

2 Рисунок С.3 дает графическое представление метрики скрытого сбоя.

3 Пример расчета метрики скрытого сбоя приведен в приложении Е.

4 Для метрик скрытых сбоев устройств, реализующих отказоустойчивость, чтобы обеспечить выполнение относящихся к безопасности требований готовности, может быть важно определить множественные сбои более второго порядка. Это может быть применимо к скрытым сбоям резервной системы, если предполагается работать с резервной системой в течение значительного периода времени после отказа основной системы.

Рисунок С.3 - Графическое представление метрики скрытого сбоя