Приложение Е (справочное). Пример вычисления метрик архитектуры аппаратных средств. Метрика одиночного сбоя и метрика скрытого сбоя. Национальный стандарт РФ ГОСТ Р ИСО 26262-5-2021 "Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 25.10.2021 N 1278-ст)

Приложение Е
(справочное)

Пример
вычисления метрик архитектуры аппаратных средств. Метрика одиночного сбоя и метрика скрытого сбоя

В настоящем приложении приводится пример расчета метрики одиночного сбоя и метрики скрытого сбоя для каждой цели безопасности конкретного устройства в соответствии с требованиями перечисления а) 8.4.7 и перечисления а) 8.4.8.

В рассматриваемом примере система реализует две функции, выполняемые в одном электронном блоке управления, представленном на рисунке Е.1.

Функция 1 имеет один вход (температура, измеренная датчиком R3) и один выход (клапан 2, управляемый I71) и предназначена для того, чтобы открыть клапан 2, когда температура превышает 90 °С.

Если через I71 ток не протекает, то клапан 2 открыт.

Соответствующая цель безопасности 1 формулируется следующим образом: при температуре выше 100 °С клапан 2 должен быть открыт не позже, чем через 100 мс. Данной цели безопасности назначается значение УПБТС, равное В. Безопасное состояние: клапан 2 открыт.

Значение датчика R3 считывается блоком АЦП микроконтроллера. Значение сопротивления R3 уменьшается при повышении температуры. Данный вход не контролируется. Выходной каскад, управляемый Т71, контролируется аналоговым входом InADC1 (механизм безопасности SM1 в таблицах). В данном примере допускается, что механизм безопасности SM1 может с 90 %-ным охватом диагностикой обнаружить определенные виды отказов Т71, которые могут сразу привести к недостижению цели безопасности. Если SM1 обнаруживает отказ, то инициируется безопасное состояние, но сигнальная лампа не включается. Таким образом, считается, что охват диагностикой скрытых сбоев составляет только 80 % (водитель заметит отказ, так как начнется снижение функциональности транспортного средства).

У функции 2 два входа (скорость вращения колеса измеряется с помощью датчиков I1 и I2, генерирующих импульсы) и один выход (клапан 1, управляемый I61), и она предназначена для того, чтобы открыть клапан 1, если скорость транспортного средства превышает 90 км/ч.

Если через I61 ток не протекает, то клапан 1 открыт.

Соответствующая цель безопасности 2 формулируется следующим образом: при скорости выше 100 км/ч клапан 1 должен быть открыт не позже, чем через 200 мс. Данной цели безопасности назначается значение УПБТС, равное С. Безопасное состояние: клапан 1 открыт.

Количество сгенерированных датчиками I1 и I2 импульсов считывается микроконтроллером. Скорость вращения колеса вычисляется по среднему значению импульсов, получаемых от датчиков в единицу времени. Механизм безопасности 2 (SM2 в таблицах) сравнивает оба входа. Он обнаруживает отказы каждого входа с охватом диагностикой, равным 99 %. В случае расхождения на выходе Out1 устанавливается значение "0" и клапан 1 открывается (нулевое значение напряжения на базе транзистора закрывает вентиль; нулевое значение напряжения на I61 открывает клапан 1). Таким образом, выявляется 99 % сбоев, которые могут привести к недостижению цели безопасности, и выполняется переход в безопасное состояние. При переходе в безопасное состояние включается сигнальная лампа L1. Таким образом, эти сбои являются на 100 % воспринимаемыми. Оставшийся 1 % сбоев является остаточными сбоями и нескрытыми сбоями.

Выходной каскад управления Т61 контролируется аналоговым входом InADC2 (механизм безопасности SM3 в таблицах).

Микроконтроллер не имеет внутреннего резервирования. В данном примере допускается, что безопасных сбоев 50 %. Также допускается общий охват, равный 90 %, по отношению к недостижению цели безопасности, если используются внутреннее самотестирование и внешнее сторожевое устройство (механизм безопасности SM4 в таблицах). Сторожевое устройство получает сигнал непосредственно с выхода Out0 микроконтроллера. Если сторожевое устройство больше не обновляется, то его выходное значение будет низким. Обнаружение сбоя механизмом безопасности SM4 (сторожевое устройство и самотестирование микроконтроллера) переводит обе функции в их безопасные состояния и включает L1. Таким образом, считается, что охват диагностикой скрытых сбоев будет равен 100 %.

L1 представляет собой светодиодный индикатор на приборной панели, он горит при обнаружении множественного отказа, из которых только часть может быть обнаружена, и указывает водителю, что было активировано безопасное состояние функции 2 (клапан 1 открыт).

Примечания

1 Отказы в жгуте проводов в данном примере не рассматриваются.

2 Модель сбоя, используемая для данной электронной части, может отличаться в зависимости от применения.

Пример - Модель сбоя резистора зависит от того, где он используется, в схеме цифрового входа (например, R11, R12, R13, ...) или аналогового входа (например, R63). В первом случае моделью сбоя может быть "разрыв/замыкание", тогда как во втором случае это может быть "разрыв/замыкание/дрейф".

3 Первая метрика использует охват вида отказов механизмами безопасности, целью которых является только предотвращение нарушений цели безопасности. Вторая метрика использует охват вида отказов механизмами безопасности, целью которых является только предотвращение возникновения скрытых отказов.

Пример - Вид отказов "разрыв" для R21 может привести к недостижению цели безопасности 2 в отсутствие механизма безопасности. Механизм безопасности 2 обнаруживает этот вид отказов с охватом 99 % и переводит систему в безопасное состояние. При обнаружении этого вида отказов будет выдано предупреждение; охват этого вида отказов в случае скрытых отказов составляет 100 %.

4 В данном примере были рассмотрены допущения о распределении вида отказов в элементах аппаратных средств. Если никакое конкретное распределение вида отказов не может быть обосновано или предложено, то можно предположить равномерное распределение видов отказов.

Рисунок E.1 - Схема рассматриваемого примера

Таблица Е.1 - Цель безопасности 1

Наименование компонента	Интенсивность отказа/FIT	Учитывается ли в расчетах компонент, связанный с безопасностью?	Вид отказа	Распределение интенсивностей отказов	Какой вид отказа может привести к недостижению цели безопасности в отсутствие механизмов безопасности?	Имеется(ются) ли механизм(ы) безопасности, позволяющий(ие) предотвратить недостижение цели безопасности?	Охват вида отказов, приводящих к недостижению цели безопасности	Интенсивность остаточных или одиночных отказов/FIT	Может ли данный вид отказов привести к недостижению цели безопасности в сочетании с независимым отказом другого компонента?	Имеются ли средства обнаружения? Имеется(ются) ли механизм(ы) безопасности, предотвращающий(ие) возникновение скрытых видов отказов?	Охват вида отказов в случае скрытых отказов	Интенсивность отказов от скрытых множественных сбоев/FIT
R3. Примечание 1	3	Да	Разрыв	30 %	X	Нет	0 %	0,9
			Замыкание	10 %
			Дрейф 0,5	30 %
			Дрейф 2	30 %	X		0 %	0,9
R13. Примечания 1, 2 и 6	2	Да	Разрыв	90 %	X	Нет	0 %	1,8
			Замыкание	10 %	X		0 %	0,2
R23. Примечание 1	2	Да	Разрыв	90 %		Нет
			Замыкание	10 %	X		0 %	0,2
С13. Примечания 3 и 6	2	Да	Разрыв	20 %	X	Нет	0 %	0,4
			Замыкание	80 %
С23. Примечание 4	2	Нет	Разрыв	20 %
			Замыкание	80 %
Сторожевое устройство (WD)	20	Да	Константная "1" на выходе	50 %					X	Нет	0 %	10
			Константный "0" на выходе	50 %
Т71. Примечание 5	5	Да	Вентиль открыт	50 %		SM1				SM1
			Вентиль закрыт	50 %	X		90 %	0,25	X		80 %	0,45
R71. Примечания 2 и 6	2	Да	Разрыв	90 %						Нет
			Замыкание	10 %					X		0 %	0,2
R72. Примечания 2 и 6	2	Да	Разрыв	90 %						Нет
			Замыкание	10 %					X		0 %	0,2
R73. Примечание 4	2	Нет	Разрыв	90 %
			Замыкание	10 %
R74. Примечания 2 и 6	2	Да	Разрыв	90 %					X	Нет	0 %	1,8
			Замыкание	10 %					X		0 %	0,2
I71. Примечание 4	5	Нет	Разрыв	70 %
			Замыкание	20 %
С71. Примечание 3	2	Да	Разрыв	20 %					X	Нет		0,4
			Замыкание	80 %
R81. Примечание 4	2	Нет	Разрыв	90 %
			Замыкание	10 %
L1. Примечание 4	10	Нет	Разрыв	90 %
			Замыкание	10 %
Микроконтроллер	100	Да	Все	50 %	X	SM4	90 %	5	X	SM4	100 %	0
			Все	50 %
							= 9,65				= 13,25

Общая интенсивность отказов - 163 FIT.

Общее количество связанных с безопасностью отказов - 142 FIT.	Метрика одиночных сбоев = 1 - (9,65/142) = 93,2 %.
Общее количество не связанных с безопасностью отказов - 21 FIT.	Метрика скрытых сбоев = 1 - (13,25/(142 - 9,65)) = 90,0 %.

Цели безопасности 1 назначено значение УПБТС, равное В, для которого, если используется таблица 4, рекомендуется значение метрики одиночных сбоев 90 % и, если используется таблица 5, рекомендуется значение метрики скрытых сбоев 60 %. Рассчитанное значение метрики одиночных сбоев 93,2 % удовлетворяет рекомендуемому значению метрики, а также рассчитанное значение метрики скрытых сбоев 90 % удовлетворяет рекомендуемому значению метрики (см. таблицу F.1).

Примечания

1 Виды отказов "разрыв" на R3 и R13 и "замыкание" на R23 являются одиночными сбоями. Они непосредственно приводят к недостижению цели безопасности, и никакой механизм безопасности не охватывает сбои этих частей аппаратных средств.

2 Целью данной части аппаратного средства является электрическая защита. Вид отказа "замыкание" означает потерю защиты.

3 Целью данной части аппаратного средства является защита от электростатических разрядов. Вид отказа "разрыв" означает потерю защиты.

4 Элементы, отказы которых не могут внести существенный вклад в недостижение цели безопасности, то есть только безопасные виды отказов не учитываются в расчетах, что приводит к более консервативным результатам. Например, элементы L1 и R81 реализуют механизм безопасности для предотвращения возникновения скрытых сбоев. Множественные сбои с n > 2 считаются безопасными сбоями.

5 Сбои, которые непосредственно приводят к недостижению цели безопасности (одиночные сбои или остаточные сбои), не могут вносить вклад в совокупность скрытых сбоев. Поэтому, например, интенсивность скрытых отказов вида "вентиль закрыт" для Т71 вычисляется следующим образом:

.

6 Классификация видов отказов, вызывающих невыполнение защиты от электростатического разряда или электрической защиты, основана на анализе каждого конкретного случая и учитывает вероятность электростатических разрядов или электрической нагрузки, а также характерные последствия от влияния электростатических разрядов или электрической нагрузки на недостижение цели безопасности. Если, например, в течение срока службы транспортного средства произойдет электростатический разряд и его последствия могут привести к недостижению цели безопасности в отсутствие данной защиты, то вид отказов, вызывающий невыполнение защиты, классифицируется как одиночный сбой. Настоящее приложение является примером обработки таких случаев, используя метрики. На практике электростатические разряды или напряжение электромагнитных помех не имеют такого влияния на типовые разработки, аналогичные рассматриваемой в настоящем примере.

Таблица E.2 - Цель безопасности 2

Наименование компонента	Интенсивность отказа/FIT	Учитывается ли в расчетах компонент, связанный с безопасностью?	Вид отказа	Распределение интенсивностей отказов	Какой вид отказа может привести к недостижению цели безопасности в отсутствие механизмов безопасности?	Имеется(ются) ли механизм(ы) безопасности, позволяющий(ие) предотвратить недостижение цели безопасности?	Охват вида отказов, приводящих к недостижению цели безопасности	Интенсивность остаточных или одиночных отказов/FIT	Может ли данный вид отказов привести к недостижению цели безопасности в сочетании с независимым отказом другого компонента?	Имеются ли средства обнаружения? Имеется(ются) ли механизм(ы) безопасности, предотвращающий(ие) возникновение скрытых видов отказов?	Охват вида отказов в случае скрытых отказов	Интенсивность отказов от скрытых множественных сбоев/FIT
R11. Примечания 1, 6 и 7	2	Да	Разрыв	90 %	X	SM2	99 %	0,018	X	SM2	100 %	0
			Замыкание	10 %	X		99 %	0,002	X		100 %	0
R12. Примечания 1, 6 и 7	2	Да	Разрыв	90 %	X	SM2	99 %	0,018	X	SM2	100 %	0
			Замыкание	10 %	X		99 %	0,002	X		100 %	0
R21. Примечание 2	2	Да	Разрыв	90 %	X	SM2	99 %	0,018	X	SM2	100 %	0
			Замыкание	10 %	X		99 %	0,002	X		100 %	0
R22. Примечание 2	2	Да	Разрыв	90 %	X	SM2	99 %	0,018	X	SM2	100 %	0
			Замыкание	10 %	X		99 %	0,002	X		100 %	0
С11. Примечания 1, 6 и 7	2	Да	Разрыв	20 %	X	SM2	99 %	0,004	X	SM2	100 %	0
			Замыкание	80 %	X		99 %	0,016	X		100 %	0
С12. Примечания 1, 6 и 7	2	Да	Разрыв	20 %	X	SM2	99 %	0,004	X	SM2	100 %	0
			Замыкание	80 %	X		99 %	0,016	X		100 %	0
С21	2	Да	Разрыв	20 %		SM2				SM2
			Замыкание	80 %	X		99 %	0,016	X		100 %	0
С22	2	Да	Разрыв	20 %		SM2				SM2
			Замыкание	80 %	X		99 %	0,016	X		100 %	0
I1	4	Да	Разрыв	70 %	X	SM2	99 %	0,028	X	SM2	100 %	0
			Замыкание	20 %	X		99 %	0,008	X		100 %	0
			Дрейф 0,5	5 %	X		99 %	0,002	X		100 %	0
			Дрейф 2	5 %
I2	4	Да	Разрыв	70 %	X	SM2	99 %	0,028	X	SM2	100 %	0
			Замыкание	20 %	X		99 %	0,008	X		100 %	0
			Дрейф 0,5	5 %	X		99 %	0,002	X		100 %	0
			Дрейф 2	5 %
Сторожевая схема (WD)	20	Да	Константная "1" на выходе	50 %					X	Нет	0 %	10
			Константный "0" на выходе	50 %
Т61	5	Да	Вентиль открыт	50 %		SM3				SM3
			Вентиль закрыт	50 %	X		90 %	0,25	X		100 %	0
R61. Примечания 3 и 6	2	Да	Разрыв	90 %						Нет
			Замыкание	10 %					X		0 %	0,2
R62. Примечания 3 и 6	2	Да	Разрыв	90 %						Нет
			Замыкание	10 %					X		0 %	0,2
R63. Примечание 5	2	Нет	Разрыв	90 %
			Замыкание	10 %
R64. Примечания 1 и 6	2	Да	Разрыв	90 %					X	Нет	0 %	1,8
			Замыкание	10 %					X		0 %	0,2
I61. Примечание 5	5	Нет	Разрыв	70 %
			Замыкание	20 %
С61. Примечания 4 и 6	2	Да	Разрыв						X	Нет	0 %	0,4
			Замыкание	80 %
R81. Примечание 5	2	Нет	Разрыв	90 %
			Замыкание	10 %
L1. Примечание 5	10	Нет	Разрыв	90 %
			Замыкание	10 %
Микроконтроллер	100	Да	Все	50 %	X	SM4	90 %	5	X	SM4	100 %	0
			Все	50 %
							= 5,48				= 12,80

Общая интенсивность отказов - 176.

Общее количество связанных с безопасностью отказов - 157.	Метрика одиночных сбоев = 1 - (5,48/157) = 96,5 %.
Общее количество не связанных с безопасностью отказов - 19.	Метрика скрытых сбоев = 1 - (13,99/(157 - 5,48)) = 91,6 %.

Цели безопасности 2 назначено значение УПБТС, равное С, для которого, если используется таблица 4, рекомендуется значение метрики одиночных сбоев 97 % и, если используется таблица 5, рекомендуется значение метрики скрытых сбоев 80 %. Рассчитанное значение метрики одиночных сбоев 96,5 % не удовлетворяет рекомендуемому значению метрики, а рассчитанное значение метрики скрытых сбоев 91,6 % удовлетворяет рекомендуемому значению метрики.

Примечания

1 Целью данной части аппаратного средства является электрическая защита. Один вид отказов приводит к потере электрической защиты. Другой вид отказов может привести к недостижению цели безопасности в отсутствие механизмов безопасности.

2 Оба вида отказов могут привести к недостижению цели безопасности в отсутствие механизмов безопасности, так как в обоих случаях импульсы, измеряющие скорость, не передаются. Это приводит к получению некорректного значения скорости. Датчик является датчиком с открытым коллектором.

3 Целью данной части аппаратного средства является электрическая защита. Вид отказа "замыкание" означает потерю защиты.

4 Целью данной части аппаратного средства является защита от электростатических разрядов. Вид отказа "разрыв" означает потерю защиты.

5 Элементы, отказы которых не могут внести существенный вклад в недостижение цели безопасности, то есть только безопасные виды отказов, не учитываются в расчетах, что приводит к более консервативным результатам. Например, элементы L1 и R81 реализуют механизм безопасности для предотвращения возникновения скрытых сбоев. Множественные сбои с n > 2 считаются безопасными сбоями.

6 Классификация видов отказов, вызывающих невыполнение защиты от электростатического разряда или электрической защиты, основана на анализе каждого конкретного случая и учитывает вероятность электростатических разрядов или электрической нагрузки, а также характерные последствия от влияния электростатических разрядов или электрической нагрузки на недостижение цели безопасности. Если, например, в течение срока службы транспортного средства произойдет электростатический разряд и его последствия могут привести к недостижению цели безопасности в отсутствие данной защиты, то вид отказов, вызывающий невыполнение защиты, классифицируется как одиночный сбой. Настоящее приложение является примером обработки таких случаев с использованием метрик. На практике электростатические разряды или напряжение электромагнитных помех не имеют такого влияния на типовые разработки, аналогичные рассматриваемой в настоящем примере. Более того, предполагается, что в данном случае SM4 не охватывает эти виды отказов, даже если они могут привести к некоторому повреждению микроконтроллера.

7 Нарушение электрической защиты вызовет некорректное входное значение, которое будет обнаружено SM2, и, следовательно, не будет считаться скрытым сбоем.