Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО 26262-5-2014 "Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия" (утв. приказом Федерального агентства по техническому регулированию и метрологии России от 17 ноября 2014 г. N 1623-ст) (документ утратил силу)
- Приложение Е (справочное). Пример вычисления метрик архитектуры аппаратных средств: метрики одиночного сбоя и метрики скрытого сбоя
Приложение Е (справочное). Пример вычисления метрик архитектуры аппаратных средств: метрики одиночного сбоя и метрики скрытого сбоя
Приложение Е
(справочное)
Пример вычисления метрик архитектуры аппаратных средств: метрики одиночного сбоя и метрики скрытого сбоя
В настоящем приложении приводится пример расчета метрики одиночного сбоя и метрики скрытого сбоя для каждой цели безопасности конкретного устройства в соответствии с требованиями перечисления а) 8.4.7 и 8.4.8.
В рассматриваемом примере система реализует две функции, выполняемые в одном электронном блоке управления, представленном на рисунке Е.1.
Функция 1 имеет один вход (температура, измеренная датчиком R3) и один выход (клапан 2, управляемый I71) и предназначена для того, чтобы открыть клапан 2, когда температура превышает 90°С.
Если через I71 ток не протекает, то клапан 2 открыт.
Соответствующая цель безопасности 1 формулируется следующим образом: "Клапан 2 не должен быть закрыт дольше х мс при температуре выше 100°С". Данной цели безопасности назначается значение УПБА, равное В. Безопасное состояние: клапан 2 открыт.
Значение датчика R3 считывается блоком АЦП микроконтроллера. Значение сопротивления R3 уменьшается при повышении температуры. Данный вход не контролируется. Выходной каскад, управляемый Т71, контролируется аналоговым входом InADCI (механизм безопасности SM1 в таблицах рисунков Е.2 и Е.3). В данном примере предполагается, что механизм безопасности SM1 может обнаружить определенные виды отказов Т71 с 90%-ным охватом диагностикой, приводящие к нарушению цели безопасности. Если SM1 обнаруживает отказ, то активируется безопасное состояние, но никакая лампа не включается. Таким образом, считается, что охват диагностикой скрытых сбоев составляет только 80% (водитель заметит отказ, так как начнется ухудшение функционирования автомобиля).
У функции 2 два входа (скорость вращения колеса измеряется с помощью датчиков I1 и I2, генерирующих импульсы) и один выход (клапан 1, управляемый I61) и она предназначена, чтобы открыть клапан 1, если скорость автомобиля превышает 90 км/час.
Если через I61 ток не протекает, то клапан 1 открыт.
Соответствующая цель безопасности 2 формулируется следующим образом: "Клапан 1 не должен быть закрыт дольше, чем уме, если скорость превышает 100 км/час". Данной цели безопасности назначается значение УПБА, равное С. Безопасное состояние: клапан 1 открыт.
Количество сгенерированных датчиками I1 и I2 импульсов считывается микроконтроллером. Скорость вращения колеса вычисляется по среднему значению импульсов, получаемых отдатчиков в единицу времени. Механизм безопасности 2 (SM2 в таблицах рисунков Е.2 и Е.3) сравнивает оба входа. Он обнаруживает отказы каждого входа с охватом диагностикой, равным 99%. В случае противоречивости на выходе Out 1 устанавливается значение "0" и клапан 1 открывается (нулевое значение напряжения на базе транзистора закрывает вентиль; нулевое значение напряжения на I61 открывает клапан 1). Таким образом, выявляется 99% сбоев, которые могут нарушить цель безопасности, и выполняется переход в безопасное состояние. При переходе в безопасное состояние включается лампа L1. Таким образом, эти сбои являются на 100% воспринимаемыми. Оставшийся 1% сбоев является остаточными сбоями и не скрытыми сбоями.
Выходной каскад управления Т61 контролируется аналоговым входом lnADC2 (механизм безопасности SIM3 в таблицах рисунков Е.2 и Е.3). Скорость вращения колеса вычисляется по среднему значению импульсов, получаемых от датчиков.
Микроконтроллер не имеет внутренней избыточности. Если нет никакой подробной информации о соотношении безопасных сбоев сложной части, то можно предположить консервативное отношение для безопасных сбоев, равное 50%. Также предполагается общий охват, равный 90%, по отношению к нарушению цели безопасности, используя внутреннее самотестирование и внешнюю сторожевую схему (механизм безопасности SM4 в таблицах рисунков Е.2 и Е.3). Сторожевая схема получает прямой сигнал через выход Out 0 микроконтроллера. Если сторожевая схема больше не обновляется, то ее выходное значение будет низки м. Обнаружение сбоя механизмом безопасности SM4 (сторожевая схема и самотестирование микроконтроллера) переводит обе функции в их безопасные состояния и включает L1. Таким образом, считается, что охват диагностикой скрытых сбоев будет равен 100%.
L1 представляет собой светодиодный индикатор на приборной панели, он горит при обнаружении множественного отказа, из которых только часть может быть обнаружена, и указывает водителю, что безопасное состояние функци