ГОСТ Р ИСО 26262-10-2014. Национальный стандарт РФ: "Дорожные транспортные средства. Функциональная безопасность. Часть 10. Руководящие указания по ИСО 26262" (утв. приказом Федерального агентства по техническому регулированию и метрологии России от 17.11.2014 N 1624-ст)

Road vehicles. Functional safety. Part 10. Guideline on ISO 26262

Дата введения - 1 октября 2015 г.

Введен впервые

Предисловие

1 Подготовлен Обществом с ограниченной ответственностью "Корпоративные электронные системы" и Федеральным государственным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации - "Фирма "Интерстандарт" на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2 Внесен Техническим комитетом по стандартизации ТК 58 "Функциональная безопасность"

3 Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии России от 17 ноября 2014 г. N 1624-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 26262-10:2012 "Дорожные транспортные средства. Функциональная безопасность. Часть 10. Руководящие указания по ИСО 26262" (ISO 26262-10:2012 "Road vehicles - Functional safety - Part 10: Guideline on ISO 26262").

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 Введен впервые

Введение

Комплекс стандартов ИСО 26262 является адаптацией комплекса стандартов МЭК 61508 и предназначен для применения электрических и/или электронных (Э/Э) систем в дорожно-транспортных средствах.

Эта адаптация распространяется на все виды деятельности в процессе жизненного цикла систем, связанных с безопасностью, включающих электрические, электронные и программные компоненты.

Безопасность является одним из важнейших вопросов в автомобилестроении. Создание новых функциональных возможностей не только в таких системах, как содействие водителю, силовые установки, управление динамикой автомобиля, но и в активных и пассивных системах безопасности тесно связано с деятельностью по проектированию систем безопасности. Разработка и интеграция этих функциональных возможностей повышает необходимость использования процессов разработки систем безопасности и обеспечения доказательств того, что все обоснованные цели системы безопасности выполнены.

С ростом сложности технологий, программного обеспечения и мехатронных устройств увеличиваются риски, связанные с систематическими отказами и случайными отказами оборудования. Чтобы предотвратить эти риски, комплекс стандартов ИСО 26262 включает соответствующие требования и процессы.

Безопасность системы достигается за счет ряда мер безопасности, которые реализуются с применением различных технологий (например, механических, гидравлических, пневматических, электрических, электронных, программируемых электронных) и применяются на различных уровнях процесса разработки. Несмотря на то, что настоящий стандарт касается функциональной безопасности Э/Э систем, подход, рассматриваемый в настоящем стандарте, может быть использован для разработки связанных с безопасностью систем, основанных на других технологиях.

Настоящий стандарт:

a) обеспечивает жизненный цикл систем безопасности автомобиля (менеджмент, разработку, производство, эксплуатацию, обслуживание, вывод из эксплуатации) и поддерживает адаптацию необходимых действий для выполнения этих стадий жизненного цикла;

b) обеспечивает разработанный специально для автотранспорта, основанный на риске подход для определения уровней полноты безопасности [уровни полноты безопасности автомобиля (УПБА)];

c) использует значения УПБА при спецификации соответствующих требований, чтобы предотвратить неоправданный остаточный риск;

d) устанавливает требования к мерам проверки соответствия и подтверждения, которые обеспечивают достижение достаточного и приемлемого уровня безопасности;

e) устанавливает требования к взаимодействию с поставщиками.

На функциональную безопасность влияют процессы разработки (в том числе спецификация требований, реализация, внедрение, интеграция, верификация, подтверждение соответствия и управление конфигурацией), процессы производства и обслуживания, а также процессы управления.

Вопросы безопасности тесно связаны с любыми опытно-конструкторскими работами, реализующими функционал и обеспечивающими качество создаваемых изделий, а также с результатами таких работ. Настоящий стандарт рассматривает связанные с безопасностью проблемы, касающиеся опытно-конструкторских работ и их результатов.

На рисунке 1 показана общая структура комплекса ИСО 26262. В нем для различных стадий разработки изделия используется эталонная V-модель процесса. На рисунке 1:

- залитая область в виде символа "V" представляет взаимосвязь между ИСО 26262-3, ИСО 26262-4, ИСО 26262-5, ИСО 26262-6 и ИСО 26262-7;

- ссылки на конкретную информацию даны в виде: "m-n", где "m" представляет собой номер части настоящего стандарта, а "n" указывает на номер раздела этой части.

Пример - 2-6 ссылается на пункт 6 ИСО 26262-2.

Рисунок 1 - Общая структура ИСО 26262

1 Область применения

Настоящий стандарт применяется к связанным с безопасностью системам, включающим в себя одну или несколько электрических и/или электронных (Э/Э) систем, которые установлены в серийно производимых легковых автомобилях с максимальной массой (брутто) транспортного средства до 3500 кг. Настоящий стандарт не применяется для уникальных Э/Э систем в транспортных средствах специального назначения, таких как транспортные средства, предназначенные для водителей с ограниченными возможностями.

Системы и их компоненты, находящиеся в производстве или на стадии разработки до даты публикации настоящего стандарта, не входят в область его применения. Если разрабатываемые автомобили или их модификации используют системы и их компоненты, выпущенные до публикации настоящего стандарта, то только модификации этих систем должны быть разработаны в соответствии с настоящим стандартом.

Настоящий стандарт рассматривает возможные опасности, вызванные некорректным поведением Э/Э связанных с безопасностью систем, а также некорректным взаимодействием этих систем. Настоящий стандарт не рассматривает опасности, связанные с поражением электрическим током, возгоранием, задымлением, перегревом, излучением, токсичностью, воспламеняемостью, химической активностью, коррозией и подобные опасности, если они непосредственно не вызваны некорректным поведением Э/Э связанных с безопасностью систем.

Настоящий стандарт не рассматривает номинальные рабочие характеристики Э/Э систем, даже если для таких систем существуют стандарты, посвященные их функциональным рабочим характеристикам (например, активные и пассивные системы безопасности, тормозные системы, адаптивный круиз-контроль).

В настоящем стандарте сделан краткий обзор комплекса ИСО 26262, а также даны дополнительные объяснения к нему. Настоящий стандарт предназначен для улучшения понимания других частей комплекса ИСО 26262, носит только справочный характер и описывает общие понятия ИСО 26262. Объяснения даются как для общих понятий, так и для их конкретного содержания.

В случае расхождения между требованиями, рекомендациями или данными, используемыми в настоящем стандарте и в другой части комплекса ИСО 26262, применяются требования, рекомендации или данные, определенные в другой части комплекса ИСО 26262.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ИСО 26262-1:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 1. Термины и определения (ISO 26262-2:2011, Road vehicles - Functional safety - Part 1: Vocabulary)

ИСО 26262-2:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 2. Управление функциональной безопасностью (ISO 26262-2:2011, Road vehicles - Functional safety - Part 2: Management of functional safety)

ИСО 26262-3:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции (ISO 26262-3:2011, Road vehicles - Functional safety - Part 3: Concept phase)

ИСО 26262-4:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 4. Разработка изделия на уровне системы ((ISO 26262-4:2011, Road vehicles - Functional safety - Part 4: Product development at the system level)

ИСО 26262-5:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия (ISO 26262-5:2011, Road vehicles - Functional safety - Part 5: Product development at the hardware level)

ИСО 26262-6:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 6. Разработка программного обеспечения изделия (ISO 26262-6:2011, Road vehicles - Functional safety - Part 6: Product development at the software level)

ИСО 26262-7:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 7. Производство и эксплуатация (ISO 26262-7:2011, Road vehicles - Functional safety - Part 7: Production and operation)

ИСО 26262-8:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 8. Вспомогательные процессы (ISO 26262-8:2011, Road vehicles - Functional safety - Part 8: Supporting processes)

ИСО 26262-9:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 9. Анализ уровня полноты безопасности автомобиля и анализ безопасности автомобиля (ISO 26262-9:2011, Road vehicles - Functional safety - Part 9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses)

3 Термины, определения и сокращения

В настоящем стандарте применимы термины, определения и сокращения по ИСО 26262-1:2011.

4 Основные понятия ИСО 26262

4.1 Функциональная безопасность систем транспортного средства (связь с МЭК 61508)

Серия МЭК 61508 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью", является базовым стандартом МЭК в области функциональной безопасности. Это означает, что стандарты по функциональной безопасности, разрабатываемые для других секторов промышленности, будут основываться на требованиях МЭК 61508.

В автомобильной промышленности существует ряд областей, где МЭК 61508 применяется непосредственно. Некоторые из этих областей и их отличия в ИСО 26262 описаны ниже.

МЭК 61508 основывается на модели "управляемого оборудования" (например, промышленное предприятие, имеющее свою систему управления) следующим образом:

a) анализ опасностей идентифицирует опасности в управляемом оборудовании (в том числе в системе управления оборудованием), к которым будут применяться меры по снижению риска. Это может быть достигнуто с помощью Э/Э/ПЭ систем или систем, связанных с безопасностью, основанных на других технологиях (например, предохранительный клапан), или внешних мер по снижению риска (например, физические меры предосторожности предприятия). Настоящий стандарт содержит нормативную схему классификации опасностей транспортного средства в зависимости от их важности, вероятности влияния на них внешнего воздействия и управляемости;

b) снижение рисков, задаваемое Э/Э/ПЭ системам обеспечивается так называемыми функциями безопасности. Эти функции безопасности весте с другими реализуются либо как отдельная система безопасности, либо могут быть включены в систему управления предприятием. Реализовывать отдельные системы безопасности в транспортном средстве не всегда разумно, так как безопасность транспортного средства зависит от поведения самих систем управления.

ИСО 26262 реализует концепцию целей безопасности и концепцию обеспечения безопасности, следующим образом:

- анализ опасностей и оценка рисков определяет опасности и опасные события, которые должны быть предотвращены, смягчены или должны контролироваться;

- цель безопасности формулируется для каждого опасного события;

- уровень полноты безопасности автомобиля (УПБА) связан с каждой целью безопасности;

- концепцией обеспечения функциональной безопасности является описание функциональности системы, связанной с безопасностью, которая необходима для достижения цели(ей) безопасности;

- технической концепцией обеспечения безопасности является положение о том, как эта функциональность реализуется на уровне системы аппаратными средствами и программным обеспечением;

- требования к программному обеспечению системы безопасности и требования к ее аппаратным средствам устанавливают конкретные требования к системе безопасности, которые будут реализованы в процессе проектирования программного обеспечения и аппаратных средств.

Пример - Система подушек безопасности:

- одной из опасностей является непреднамеренное их раскрытие;

- соответствующая цель безопасности заключается в том, что подушка безопасности не раскрывается, если не происходит аварии, требующей ее раскрытия;

- концепция обеспечения функциональной безопасности может определить дополнительную функцию для обнаружения столкновения автомобиля;

- техническая концепция обеспечения безопасности может определить реализацию двух независимых датчиков ускорения по различным осям и двух независимых схем запуска раскрытия. Петарда запускается, если обе схемы срабатывают.

МЭК 61508 предназначен для отдельных систем или систем невысокой сложности. Система создается и тестируется, затем устанавливается на предприятии и после этого для нее выполняется подтверждение соответствия системе безопасности. Для рынка массовых изделий, таких как транспортные средства, подтверждение соответствия системе безопасности выполняется перед началом их массового (серийного) производства. Поэтому порядок действий, выполняемых на стадиях жизненного цикла, описанный в ИСО 26262, иной. Так, например, в ИСО 26262-7 представлены требования к производству, которые в МЭК 61508 отсутствуют.

В МЭК 61508 не рассматриваются конкретные требования к управлению разработкой несколькими организациями и цепочками поставок, в то время как в ИСО 26262 этот вопрос рассматривается подробно, включая и соглашение об интерфейсе разработки (см. раздел 5 26262-8 "Взаимодействие в совместных разработках"), так как автотранспортные системы создаются одним или несколькими поставщиками заказчика, например производителем автотранспортных средств, поставщиком заказчика или заказчиком.

МЭК 61508 не содержит нормативных требований к классификации опасности. ИСО 26262 схему классификации опасностей автомобиля содержит. Данная схема признает, что опасность в системе автомобиля не обязательно приводит к аварии. Это зависит от результатов анализа, выполненного для лиц, подвергающихся риску: действительно ли они подвергаются опасности, если она возникает, и в состоянии ли они принять меры по управлению результатами опасных событий. На рисунке 2 приведен пример такого подхода для отказа, который влияет на управляемость движущегося транспортного средства.

Примечание - Данный подход призван лишь продемонстрировать, что не всегда существует прямая связь между произошедшим отказом и аварией. Это не выявляется в процессе анализа опасностей и оценки рисков, хотя оцениваемые параметры в этом процессе связаны с вероятностями переходов между состояниями, показанными на рисунке 2.

Рисунок 2 - Модель конечного автомата для оценки риска автомобиля

Требования для разработки аппаратных средств (ИСО 26262-5) и программного обеспечения (МСО 26262-6) адаптированы для современного автомобилестроения. В частности, ИСО 26262-6 содержит требования, связанные с разработкой на основе модели; МЭК 61508 предусматривает применения конкретных методов. Применение любого альтернативного метода должно быть подробно обосновано. Для методов, перечисленных в ИСО 26262, предоставляются конкретные цели. Для достижения этих целей могут быть применены предусмотренные методы или предусмотрено обоснование достижения цели альтернативными методами.

Требования к системе безопасности в настоящем стандарте определяется уровнем полноты безопасности автомобиля (УПБА), а не уровнем полноты безопасности (УПБ). Основное различие состоит в том, что УПБ в МЭК 61508 задается в вероятностных терминах (см. таблицу 3 МЭК 61508-1). В МЭК 61508 указано: "Принято считать, что только по отношению к полноте безопасности аппаратных средств возможно дать количественную оценку и использовать надежные методы предсказания при оценке того, будут ли достигнуты планируемые величины отказов. При определении того, будут ли достаточны меры предосторожности для достижения планируемых величин отказов по отношению к полноте безопасности, связанной с систематическими отказами, должны быть использованы качественные методы и обоснования". УПБА основан не на таком вероятностном требовании, касающемся возникновения опасности. Однако существуют вероятностные цели, связанные с соблюдением требований УПБА.

4.2 Устройство, система, элемент, компонент, часть аппаратного средства и модуль программного обеспечения

Термины устройство, система, элемент, компонент, часть аппаратного средства и модуль программного обеспечения определены в ИСО 26262-1. На рисунке 3 представлена взаимосвязь устройства, системы, элемента, компонента, части аппаратного средства и модуля программного обеспечения. На рисунке 4 показано, что может входить в устройство. В устройстве можно выделить систему, подсистему или компонент. Полученный в результате выделения элемент, соответствующий критериям системы, может быть системой или подсистемой. Термин подсистема используется, когда важно подчеркнуть, что элемент является частью более крупной системы. Компонент является логически и технически отдельным элементом не уровня системы. Часто термин компонент применяют к элементу, который состоит только из частей и блоков, но также может быть применен к элементу, состоящему из элементов нижнего уровня конкретной области технологии, например электрической/электронной технологии (см. рисунок 4).

Пример - Для микроконтроллера или СИС может быть использована следующая декомпозиция: весь микроконтроллер является компонентом, блок обработки (например, процессор) является его частью, регистры внутри блока обработки (например, блок регистров процессора) являются подчастью. В случае анализа микроконтроллера может быть необходима декомпозиция с более высоким уровнем детализации. Чтобы помочь в этом, можно декомпозировать часть на подчасти, которые могут быть далее декомпозированы на базовые/элементарные подчасти.

Рисунок 3 - Взаимосвязь устройства, системы, элемента, компонента, части аппаратного средства и модуля программного обеспечения

Рисунок 4 - Пример выделения компонентов в устройстве

4.3 Отношения между сбоями, ошибками и отказами

Термины сбой, ошибка и отказ определяются в ИСО 26262-1. На рисунке 5 представлен процесс последовательного развития сбоя в ошибку и ошибки в отказ для трех различных типов причин их появления, связанных с систематическими проблемами программного обеспечения, случайными проблемами аппаратных средств и систематическими проблемами аппаратных средств. Систематические сбои (см. ИСО 26262-1) обусловлены проблемами на стадиях спецификации и проектирования. К систематическим сбоям относят сбои программного обеспечения и некоторую часть сбоев аппаратных средств. Случайные сбои аппаратных средств (см. ИСО 26262-1) обусловлены физическими процессами, такими как износ, физическая деградация или аномальные внешние условия. На уровне компонентов каждый из различных типов сбоев может привести к различным отказам. Однако отказы на уровне компонента являются сбоями на уровне устройства. Отметим, что в этом примере на уровне автомобиля сбои, связанные с различными причинами, могут привести к одинаковому отказу. Подмножество отказов на уровне устройства будут представлять собой опасности (см. ИСО 26262-1), если дополнительные факторы внешней среды позволяют отказу внести свой вклад в аварийный сценарий.

Пример - Если транспортное средство начинает вести себя неожиданно при пересечении перекрестка, то может произойти авария, например оценивается тяжесть, воздействие и управляемость риска опасного события "транспортное средство "скачет" при пересечении перекрестка" ("скакать" - делать резкие отрывистые движения).

Рисунок 5 - Пример сбоев, приводящих к отказам

5 Отдельные вопросы, связанные с управлением безопасностью

5.1 Результат работы

Данный подраздел описывает термин "результат работы".

Результат работы является результатом выполнения соответствующих требований настоящего стандарта (см. ИСО 26262-1). Таким образом, документально оформленный результат работы может обеспечить доказательство соответствия с этими требованиями безопасности.

Пример - Спецификация требований является результатом работы, который может быть документально оформлен с помощью базы данных требований или в виде текстового файла. Исполняемая модель является результатом работы, которая может быть представлена файлами на языке моделирования, которые могут быть выполнены, например, программными инструментальными средствами для решения задач моделирования.

Документация на результат работы [см. раздел 10 ("Документирование") ИСО 26262-8] является записью выполненных действий по обеспечению безопасности, требований к системе безопасности или связанной информации. Такая документация не ограничивается какой-либо формой или средой.

Пример - Документация на результат работы может быть представлена в виде электронных или бумажных файлов, отдельным документом или набором документов. Она может быть объединена с документацией на другие результаты работы или с документацией, непосредственно не связанной с функциональной безопасностью.

Для того чтобы избежать дублирования информации, могут быть использованы перекрестные ссылки между или внутри документации.

5.2 Меры подтверждения

5.2.1 Общие положения

В настоящем стандарте определенные результаты работы оцениваются во время последующих действий либо частично мерами подтверждения, либо частично действиями по верификации. Данный подраздел описывает различия между мерами верификации и подтверждения.

С одной стороны, действия по верификации выполняются с целью определения полноты и правильности спецификации или реализации требований к системе безопасности. Верификация результатов работы может включать в себя:

- отчеты по верификации спецификации или реализации требований безопасности, полученных из требований безопасности более высокого уровня, в отношении их полноты и правильности, или

- выполнение тестов или проверку результатов тестирования для обеспечения доказательств выполнения установленных требований безопасности устройством или его элементом(ами).

Действия по верификации установлены в ИСО 26262-3, ИСО 26262-4, ИСО 26262-5 и ИСО 26262-6.

Кроме того, общие требования к действиям по верификации в настоящем стандарте установлены в разделе 9 ИСО 26262-8 (Верификация), а в дальнейшем детали, специфичные для верификации требований безопасности, установлены в разделе 6 ИСО 26262-8 (Спецификация и менеджмент требованиями к системе безопасности).

С другой стороны, выполняются меры подтверждения для оценки достижения устройством функциональной безопасности, включая подтверждения:

- надлежащих определения, адаптации и выполнения действий по обеспечению безопасности, выполняемых во время разработки устройства, и реализованных процессов безопасности в соответствии с требованиями настоящего стандарта, а также

- надлежащего содержания результатов работы относительно соответствующих требований настоящего стандарта.

Меры подтверждения установлены в разделе 6 (Управление созданием системы безопасности на стадиях формирования концепции и разработки изделия) ИСО 26262-2.

Пример - Если декомпозиция УПБА применяется на стадии проектирования системы, то:

- верификация полученного проекта системы выполняется в соответствии с технической концепцией системы безопасности (см. 7.4.8 ИСО 26262-4) и

- подтверждение правильности применения декомпозиции УПБА может быть выполнено как часть оценки функциональной безопасности, в соответствии с разделом 5 ИСО 26262-9 (Декомпозиция требований с распределением УПБА), включая подтверждение того, что был выполнен анализ зависимых отказов и он обосновывает выполнение требования достаточной независимости между элементами, которые реализуют соответствующие требования избыточности системы безопасности.

5.2.2 Оценка функциональной безопасности

Если самое большое значение УПБА целей безопасности устройства равно значению С или D, то выполнение оценки функциональной безопасности заключается в оценке достижения устройством функциональной безопасности. В ИСО 26262-2 некоторые аспекты оценки функциональной безопасности рассматриваются отдельно, например аудит функциональной безопасности и отчеты о подтверждении.

Оценка функциональной безопасности включает в себя:

a) рассмотрение вопроса о целесообразности и эффективности реализуемых мер обеспечения безопасности, которые могут быть оценены в процессе разработки устройства;

b) оценку результатов работы, требуемых планом обеспечения безопасности. Рассмотрению отдельных результатов работы придается особое значение. Ими являются отчеты о подтверждении и планы подтверждения соблюдения такими результатами работы соответствующих требований настоящего стандарта; а также

c) один или более аудитов функциональной безопасности для оценки осуществления процессов, необходимых для функциональной безопасности.

Оценка функциональной безопасности может быть выполнена повторно или обновлена.

Примеры

1 Оценка функциональной безопасности обновляется из-за изменения устройства или элемента (элементов) этого устройства, которое определяется технологией управления изменениями, так как оно оказывает влияние на функциональную безопасность устройства [см. раздел 8 ИСО 26262-8 (Управление изменениями)].

2 Повторная оценка функциональной безопасности может быть вызвана информацией об оценке функциональной безопасности, которая включает рекомендации по условному принятию или отклонению функциональной безопасности устройства. В этом случае повторная оценка включает в себя рекомендации, полученные из предыдущей(их) оценки(ок) функциональной безопасности, включая оценку проведенных корректирующих действий, если они применимы.

Если самое большое значение УПБА целей безопасности устройства равно значению В, то оценка функциональной безопасности может не выполняться или может быть выполнена менее строго. Однако, даже если оценка функциональной безопасности не выполняется, то должны быть выполнены другие меры подтверждения, например отчеты о подтверждении оценки опасности и анализа рисков, о плане обеспечения безопасности, о плане интеграции и тестирования устройства, о плане подтверждения соответствия, о подходящем анализе безопасности, о подтверждении проверкой в эксплуатации (если применимо) и о полноте обоснования безопасности (см. таблицу 1 ИСО 26262-2).

Если самое большое значение УПБА целей безопасности устройства равно значению А, то в настоящем стандарте нет никакого требования или рекомендации о проведении или непроведении оценки функциональной безопасности. Однако отчеты о подтверждении анализа опасностей и оценки рисков и о подходящем анализе безопасности по-прежнему выполняются.

В случае распределенной разработки, область применения оценки функциональной безопасности включает в себя полученные результаты работы, а также выполненные процессы и меры обеспечения безопасности заводом-изготовителем транспортного средства и поставщиками в цепочке поставок устройства [см. ИСО 26262-2 и раздел 5 (Взаимодействие в совместных разработках) ИСО 26262-8].

Цель оценки функциональной безопасности заключается в оценке достижения устройством функциональной безопасности, которая возможна только на уровне устройства. Таким образом, оценка функциональной безопасности на территории поставщика (который разрабатывает элементы устройства) выполняется только в ограниченном объеме, результаты которой, по существу, являются исходной информацией для последующих действий по оценке функциональной безопасности (на стороне заказчика). Как конечный потребитель разработанного устройства, изготовитель транспортного средства назначает лицо (несколько лиц) для выполнения оценки функциональной безопасности в полном объеме, чтобы судить о достижении устройством функциональной безопасности. Это обоснование включает в себя рекомендации по принятию, условному принятию или отклонению результатов оценки функциональной безопасности устройства.

Примечание - В случае если поставщик первого Уровня несет ответственность за разработку устройства, включая интеграцию транспортного средства, то такой поставщик берет на себя вышеупомянутую роль изготовителя транспортного средства.

На практике оценка функциональной безопасности при распределенной разработке может быть разделена на выполнение:

- оценки функциональной безопасности в ограниченном объеме на территории поставщика, затрагивая поставщиков в цепочке поставок. Применяется значение УПБА, являющееся самым высоким унаследованным значением УПБА (от целей безопасности устройства), для всех элементов устройства, которые разрабатываются поставщиком (см. также 5.4.5 ИСО 26262-8); и

- окончательной оценки функциональной безопасности, включающей в себя обоснование достижения функциональной безопасности интегрированным устройством, например выполняемой изготовителем транспортного средства. Применяемое значение УПБА является наибольшим значением УПБА целей безопасности устройства (см. также ИСО 26262-2).

Пример - Производитель автомобиля разрабатывает устройство, у которого цель безопасности 1 (ЦБ 1) имеет значение УПБА, равное D, а цель безопасности 2 (ЦБ 2) имеет значение УПБА, равное А, и планирует выполнить оценку функциональной безопасности этого устройства. Вполне возможно, что, например, поставщик второго или третьего Уровня разрабатывает элементы для этого устройства только со значениями УПБА, равными А, то есть только элементы, которые наследуют значение УПБА ЦБ 2, равное А [если, однако, это применимо, см. раздел 6 ИСО 26262-9 (Критерии совместимости элементов)]. В настоящем стандарте не существует требования или рекомендации (ни за, ни против), о выполнении оценки функциональной безопасности на территории такого поставщика для такого разрабатываемого устройства.

Область применения, процедура (например, результаты работы должны быть предоставлены поставщиком, результаты работы должны быть рассмотрены заказчиком) и выполнение оценки функциональной безопасности, касающиеся взаимодействия между заказчиком и поставщиком указываются в соответствующем соглашении об интерфейсе разработки [см. раздел 5 ИСО 26262-8 (Взаимодействие в совместных разработках)].

Пример - Соглашение об интерфейсе разработки между изготовителем транспортного средства (заказчик) и поставщиком первого Уровня. Соглашение об интерфейсе разработки между поставщиком первого Уровня (заказчик) и поставщиком второго Уровня.

Один из возможных способов выполнения оценки функциональной безопасности в случае распределенной разработки заключается в том, что изготовитель транспортного средства и каждый из поставщиков в цепочке поставок решает те вопросы по оценке [см. перечисления а), b) и с) выше], за которые соответствующая сторона несет ответственность, а именно:

- поставщик рассматривает меры обеспечения безопасности, реализованные при разработке элементов, включая их целесообразность и эффективность, чтобы обеспечить соответствие с целями безопасности или требованиями безопасности (предусмотренными заказчиком или разработанными поставщиком), и оценивает свои реализуемые процессы и полученные результаты работы. Поставщик также оценивает возможное влияние разработанных элементов на функциональную безопасность устройства, например выявляет, могут ли реализованные меры по обеспечению безопасности привести к новым опасностям;

- изготовитель транспортного средства оценивает функциональную безопасность интегрированного устройства. Часть оценки может быть основана на результатах работы или информации, предоставленной одним или более поставщиками, включая сообщения об оценках функциональной безопасности, выполненных на территории поставщика.

Примечание - Заказчик может оценить меры обеспечения безопасности, осуществляемые поставщиком, и результаты работы, предоставляемые поставщиком. Заказчик может также оценить процессы, осуществляемые поставщиком на территории поставщика (см. 5.4.4.8 ИСО 26262-8).

5.3 Обоснования безопасности

5.3.1 Объяснение обоснований безопасности

Целью обоснования безопасности является обеспечение четкого, всеобъемлющего и аргументированного объяснения, поддержанного доказательством, что при работе в целевом контексте в устройстве отсутствуют необоснованные риски.

Приведенные ниже руководящие указания даны для области применения настоящего стандарта.

Существуют три основных элемента обоснования безопасности, а именно:

- требования;

- доказательство и

- материалы, подтверждающие безопасность, например результаты работы в соответствии с требованиями настоящего стандарта.

Соотношение между этими тремя элементами в контексте настоящего стандарта представлено на рисунке 6.

Рисунок 6 - Ключевые элементы обоснования безопасности [2]

Доказательство безопасности реализует отношение между материалами, подтверждающими безопасность, и целями. Ролью доказательства безопасности часто пренебрегают. Можно представить многостраничный документ с доказательствами без четкого объяснения, как эти доказательства связаны с целями безопасности. Доказательство и материалы, подтверждающие безопасность, являются важными элементами обоснования безопасности и рассматриваются всегда вместе. Доказательство без материалов, подтверждающих безопасность, является необоснованным и потому неубедительным. Материалы, подтверждающие безопасность, без доказательства являются необъяснимыми, в результате отсутствует ясность в том, как были достигнуты цели безопасности. Обоснования безопасности передаются в виде разработанных и представленных отчетов с обоснованием безопасности. Роль отчета с обоснованием безопасности заключается в объединении доказательства безопасности с соответствующими отчетами о получении материалов, подтверждающих безопасность (например, протоколы испытаний).

Доказательства безопасности, используемые в настоящее время в других отраслях, часто включаются в отчеты с обоснованием безопасности в виде обычного текста. Обычным текстом можно описать, как цель безопасности была интерпретирована, распределена и декомпозирована, в конечном счете, доходя до ссылок на доказательства, которые демонстрируют выполнение заявленных характеристик безопасности для нижнего уровня. Кроме того, становится все более популярным использование графических представлений доказательства безопасности (например, требования - доказательства безопасности - материалы, подтверждающие безопасность, в средстве представления структурирования цели [2]), чтобы явно и наглядно представить отдельные элементы доказательства безопасности (требования, заявленные характеристики, материалы, подтверждающие безопасность, и контекст) и отношения, которые существуют между этими элементами (например, как отдельные требования поддерживаются конкретными заявленными характеристиками безопасности, каким образом заявленные характеристики безопасности поддерживаются материалами, подтверждающими безопасность, и предполагаемым контекстом, который определен для доказательства безопасности).

Доказательство безопасности, которое рассматривает безопасность, непосредственно используя характеристики реализуемого устройства (например, поведение синхронизации сторожевого таймера), часто называют доказательством безопасности изделия. Доказательство безопасности, которое рассматривает безопасность, используя характеристики процесса разработки и оценки (например, представления, принятые при проектировании), часто называют доказательством безопасности процесса.

Оба типа доказательства безопасности могут быть использованы для достижения обоснованного доказательства безопасности устройства, где доказательство безопасности процесса может рассматриваться как обеспечение уверенности в материалах, подтверждающих безопасность, используемых при доказательстве безопасности изделия.

5.3.2 Жизненный цикл разработки обоснования безопасности

Разработку обоснования безопасности можно рассматривать как дополнительную деятельность, которая интегрируется с остальными стадиями разработки жизненного цикла системы безопасности.

Примечание - План обеспечения безопасности может включать в себя планирование дополнительных шагов и предварительных версий обоснования безопасности.

Такой подход формирует промежуточные версии обоснования безопасности основных стадий разработки изделия. Например, предварительная версия обоснования безопасности может быть создана после верификации технических требований системы безопасности; промежуточная версия обоснования безопасности может быть создана после верификации проекта системы и окончательная версия может быть создана непосредственно перед оценкой функциональной безопасности.

Обоснование безопасности оформляется в виде отчета о подтверждении, как указано в 6.4.7 ИСО 26262-2 (Меры подтверждения: виды, независимость и полномочия).

Если устройство модифицируется, то оценивается влияние на обоснование безопасности и, при необходимости, обоснование безопасности обновляется с учетом модификаций.

6 Стадия формирования концепции и разработка системы

6.1 Общие положения

В настоящем разделе представлен обзор принципов, лежащих в основе анализа опасностей и классификации рисков, и рассмотрены упрощенные примеры понятий.

6.2 Пример анализа опасностей и оценки рисков

6.2.1 Общие положения

Рассмотрим пример устройства управления блоком накопления энергии, встроенного в транспортное средство. В данном примере предположим, что накапливаемая энергия должна расходоваться только тогда, когда транспортное средство движется со скоростью, равной или превышающей 15 км/ч. Расход накапливаемой энергии при скорости менее 15 км/ч может привести к перегреву и последующему разрушению блока.

6.2.2 Анализ 1

a) Определение опасности:

- отказ, приводящий к нежелательному расходу энергии блоком, может привести к разрушению блока.

b) Опасное событие:

В данном примере предположим, что дорожная ситуация для анализа опасностей и оценки рисков является следующей:

- движение автомобиля в "пробках" со скоростью менее 15 км/ч.

Происходит нежелательное расходование энергии из-за отказа в устройстве. Блок накопления энергии разрушается, нанося серьезный вред водителю и пассажирам транспортного средства.

c) Классификация выявленного опасного события

Разрушение приводит к опасным для жизни травмам с сомнительным выживанием для людей, находящихся в транспортном средстве, поэтому тяжесть оценивается как S3.

Автомобиль движется в "пробках" со скоростью менее 15 км/ч. На основе статистики трафика для целевого рынка данного транспортного средства воздействие такой ситуации может быть оценено как ЕЗ (происходящее в течение 1% - 10% среднего времени работы автомобиля).

Способность водителя или пассажиров транспортного средства управлять отказом устройства и разрушением блока рассматривается как неправдоподобное событие: в данном случае управляемость может быть оценена как С3 (трудноконтролируемое или неконтролируемое событие).

Применяя таблицу 4 ИСО 26262-3, получим значение УПБА, равное С.

6.2.3 Анализ 2

a) Определение опасности:

- отказ не приводит к расходу энергии блоком.

b) Опасное событие:

- любая ситуация в процессе управления автомобилем.

Отказ устройства происходит, но он не приводит к расходу какой-либо энергии из блока накопления энергии и поэтому никакой вред не наносится.

c) Классификация выявленного опасного события

Поскольку отказ устройства не наносит вреда, тяжесть классифицируется как SO и управляемость не определяется. Поэтому цель безопасности не определяется.

6.3 Замечания о классификации управляемости

Как поясняется в разделе 7 ИСО 26262-3 (Анализ опасностей и оценка рисков), управляемость оценивается вероятностью того, что водитель или другой участник движения могут избежать конкретного вреда.

В простейшем случае рассматривается только один результат для данного опасного события, а управляемость представляет собой оценку вероятности того, что этого результата можно избежать. Тем не менее, могут быть и другие случаи. Например, возможные тяжелые последствия (например, класс тяжести последствий S2) можно относительно легко предотвратить (например, в случае управляемости С1), однако менее тяжелых последствий (например, класс тяжести последствий S1) бывает гораздо труднее избежать (например, в случае управляемости С3). Если предположить, что класс воздействия Е4, то следующий набор полученных значений УПБА, показывает, что необязательно самый высокий класс тяжести последствий приводит к самому высокому значению УПБА:

- Е4, S2, С1 => значение УПБА, равное А;

- Е4, S1, С3 => значение УПБА, равное В.

В данном примере значение УПБА, равное В, представляет собой соответствующую классификацию опасного события.

6.4 Внешние меры

6.4.1 Общие положения

Внешняя мера является отдельной и независимой от устройства мерой, которая снижает или смягчает риски, связанные с отказом данного устройства.

6.4.2 Пример 1 зависимых от транспортного средства внешних мер

Автомобиль А оснащен ручным механизмом привода коробки передач, который можно оставить на любой передаче, в том числе нейтральной, при выключенном зажигании. Транспортное средство В оснащено автоматической коробкой передач, у которой, при выключенном зажигании, включена одна передача и нормально замкнуто сцепление. Оба автомобиля имеют дополнительное устройство, электрический стояночный тормоз (ЕРВ).

Для рассматриваемых транспортных средств анализируется следующий сценарий:

- автомобиль на парковке (зажигание выключено, водитель отсутствует);

- местом парковки является тротуар с наклонным участком, расположенным на территории города с большим населением;

- отказом является внезапная потеря работоспособности ЕРВ.

В этом случае автомобиль А, оставаясь на нейтральной передаче при выключенном зажигании (ситуация, которая соответствует разумно предсказуемому, неправильному использованию), возможно, будет двигаться, если его оставить без присмотра. Оценивая данную ситуацию, можно определить следующие классы: для управляемости - равный С3, тяжести последствий - равный S2 или выше, в зависимости от наличия поблизости лиц, которые могут быть уязвимы, и воздействия - более Е0. В зависимости от диапазона реально назначаемого класса воздействия, диапазон значений УПБА классифицируется между QM и С.

Однако автомобиль В, у которого передача всегда включена, двигаться не будет, поэтому опасность не возникает. Зависимые от транспортного средства внешние меры, включенные в проект этого автомобиля, способствовали ликвидации риска для рассматриваемого сценария, но только если можно показать, что автоматическая коробка передач и ЕРВ достаточно независимы.

6.4.3 Пример 2 зависимых от транспортного средства внешних мер

Автомобиль А оснащен системой динамической стабилизации в дополнение к системе повторного запуска двигателя. Автомобиль В оборудован только системой повторного запуска двигателя.

Для рассматриваемых транспортных средств анализируется следующий сценарий:

- автомобиль движется со скоростью выше средней (50 км/ч < < 90 км/ч);

- дорога мощеная, сухая и проходит в пригородной зоне;

- транспортное средство приближается к среднему значению кривизны в изгибе дороги;

- скорость транспортного средства и кривизна дороги таковы, что боковая составляющая ускорения выше среднего значения;

- отказ системы повторного запуска двигателя, заключающийся в нежелательном выключении двигателя, приводит к внезапной потере тягового усилия во время выполнения сценария.

В результате внезапной потери тягового усилия у транспортного средства появляется момент рыскания, требующий от водителя восстановить управление автомобилем рулевым колесом. Можно показать, что автомобиль В при выполнении этого маневра будет иметь низкую управляемость, что может дать значения для УПБА, равные С или D. С другой стороны, система динамической стабилизации транспортного средства А ограничивает последствия боковой неустойчивости. В результате управляемость для транспортного средства А будет ниже. Таким образом, зависимые от транспортного средства внешние меры, представленные системой динамической стабилизации, способствуют снижению риска для этого сценария. Однако это справедливо лишь в том случае, если можно показать, что рассматриваемый отказ системы повторного запуска двигателя не может повлиять на систему динамической стабилизации и для этих систем данный отказ не является зависимым.

6.5 Пример объединения целей безопасности

6.5.1 Введение

Цели безопасности - это требования к безопасности верхнего уровня для данного устройства. Из них формируются требования к функциональной безопасности, чтобы избежать необоснованного риска опасного события. Цели безопасности определяются на стадии формирования концепции в соответствии с требованиями 7.4.8 ИСО 26262-3. Если цели безопасности похожи или ссылаются на одну и ту же опасность в различных ситуациях, то они могут быть объединены в одну цель безопасности с самыми высокими значением УПБА из объединяемых целей безопасности. Дальнейшая разработка может упроститься с уменьшением количества целей безопасности, которые в то же время должны охватывать все выявленные опасности.

6.5.2 Общие положения

В следующем примере устройство, цели безопасности и классификации значений УПБА используются только для иллюстрации процесса объединения целей безопасности. Данный пример не отражает применения настоящего стандарта для аналогичных реальных проектов. В частности, он не касается идентификации видов отказов, анализа ситуации и оценки воздействия на уровне автомобиля.

Для простоты, данный пример ограничивается композицией двух целей безопасности, но тот же самый подход может быть распространен и на большее количество исходных целей безопасности.

6.5.3 Определение функции

Рассмотрим транспортное средство, оснащенное системой электрического стояночного тормоза (ЕРВ). Система ЕРВ, включенная по конкретному запросу водителя, формирует тормозной момент на задних колесах автомобиля, чтобы предотвратить непреднамеренные движения автомобиля во время его стоянки (функция парковки).

6.5.4 Цели безопасности, применяемые для одной и той же опасности в различных ситуациях

6.5.4.1 Анализ опасностей и оценка рисков

Для упрощения примера рассмотрим следующий вид отказа функции парковки:

- непреднамеренное приведение в действие стояночного тормоза.

Примечание - В данном контексте термин "непреднамеренное приведение в действие" означает срабатывание функции без запроса водителя.

Данный вид отказа может по-разному воздействовать на транспортное средство в зависимости от конкретной сложившейся ситуации в момент возникновения отказа, что отражено в таблице 1.

6.5.4.2 Разработка целей безопасности

Как показано выше, одинаковые цели безопасности и безопасные состояния применимы к обеим ситуациям. Итак, цель безопасности может быть определена следующим образом:

- цель безопасности: предотвратить включение функции парковки без запроса водителя, когда транспортное средство двигается;

- безопасное состояние: ЕРВ не работает;

- значение УПБА: наибольшее значение УПБА, определенное в таблице 1, задается данной цели безопасности.

Таблица 1 - Цели безопасности, полученные для одной и той же опасности в различных ситуациях

Вид отказа	Опасность	Конкретная ситуация	Опасное событие	Возможные последствия	УПБА	Цель безопасности	Безопасное состояние
Непреднамеренное приведение в действие стояночного тормоза	Неожиданное замедление	Высокая скорость, ИЛИ поворот, ИЛИ низкое поверхностное трение	Неожиданное замедление на высокой скорости, ИЛИ поворот, ИЛИ низкое поверхностное трение	Потеря устойчивости автомобиля	Более высокое значение УПБА	Предотвратить включение функции парковки без запроса водителя, когда транспортное средство двигается	ЕРВ не работает
Непреднамеренное приведение в действие стояночного тормоза	Неожиданное замедление	Скорость ниже средней И высокое поверхностное трение	Неожиданное замедление на скорости ниже средней И высокое поверхностное трение	Заднее столкновение со следующим автомобилем	Более низкое значение УПБА	Предотвратить включение функции парковки без запроса водителя, когда транспортное средство двигается	ЕРВ не работает

7 Структура требований к процессу обеспечения безопасности. Последовательность выполнения требований к безопасности

Последовательность разработки и выполнения требований к безопасности в соответствии с настоящим стандартом показаны на рисунках 7 и 8 и описаны ниже. На этих рисунках конкретные разделы настоящего стандарта указаны следующим образом: "m-n", где "m" означает номер части настоящего стандарта, а "n" указывает номер раздела или подраздела в этой части.

Анализ опасностей и оценка риска выполняется для определения рисков и определения целей безопасности для снижения этих рисков. (См. раздел 7 ИСО 26262-3 Анализ опасностей и оценка рисков.)

Затем формируется концепция функциональной безопасности, которая определяет требования функциональной безопасности, обеспечивающие выполнение целей безопасности. Данные требования определяют механизмы обеспечения безопасности и другие меры обеспечения безопасности, которые будут использоваться в данном устройстве. Кроме того, определяются элементы архитектуры системы, которые обеспечивают выполнение этих требований. (См. раздел 8 ИСО 26262-3, Концепция функциональной безопасности.)

Далее формируется техническая концепция обеспечения безопасности, которая определяет технические требования к системе безопасности и их распределение по элементам системы, реализуемым в проекте системы. Эти технические требования к системе безопасности укажут разбиение этих элементов между аппаратными средствами и программным обеспечением. (См. раздел 6 ИСО 26262-4, Спецификация технических требований к системе безопасности.)

Проект системы будет разработан в соответствии с техническими требованиями системы безопасности. Их реализация может быть определена в спецификации проекта системы. (См. раздел 7 ИСО 26262-4, Проект системы.)

Наконец, чтобы выполнить технические требования к системе безопасности и проекту системы, будут указаны требования к аппаратным средствам и программному обеспечению системы безопасности. (См. раздел 6 ИСО 26262-5, Спецификация требований к безопасности аппаратных средств, и раздел 6 ИСО 26262-6, Спецификация требований к безопасности программного обеспечения).

Рисунок 7 иллюстрирует взаимосвязь между стадиями формирования требований и разработки аппаратных средств, которые определены в настоящем стандарте.

Рисунок 7 - Начинающаяся от формирования концепции последовательность разработки требований безопасности, проектирования и тестирования для аппаратных средств

Рисунок 8 иллюстрирует взаимосвязь между подстадиями формирования требований, разработки и тестирования для программного обеспечения, определяемую настоящим стандартом.

Рисунок 8 - Начинающаяся от формирования концепции последовательность разработки требований безопасности, проектирования и тестирования для программного обеспечения

Проектирование системы

Проектирование системы - это непрерывный процесс уточнения от определения устройства (3 - 6) до формирования предположений предварительной архитектуры и проекта системы (4 - 7).

Зависимость между уровнями тестирования

Спецификации тестов и тестовых примеров на каждом уровне в основном зависят от соответствующих требований и проекта. Они не зависят от спецификаций тестов, тестовых примеров и результатов тестов на других уровнях тестирования. Спецификации тестов обычно зависят от среды тестирования.

Зависимость уровней тестирования от уровней требований и проектирования

Спецификации тестов и тестовые примеры формируются из требований и используют информацию о проекте одного и того же уровня проектирования.

Пример - Для выполнения тестирования необходима информация о проекте.

Верификация требований к программному обеспечению системы безопасности

Стадия верификации требований к программному обеспечению системы безопасности (6 - 11) требует интеграции программного обеспечения и аппаратных средств.

Внешние меры и другие технологии

Подтверждение соответствия внешних меры и других технологий выполняется на уровне транспортного средства.

8 Разработка аппаратных средств

8.1 Классификация случайных сбоев аппаратных средств

8.1.1 Общие положения

В общем случае при рассмотрении комбинаций сбоев ограничиваются комбинациями из двух независимых сбоев аппаратных средств, если анализ, выполненный на основе функциональной или технической концепции обеспечения безопасности не показал, что n-кратный сбой с n > 2 являются существенным. Следовательно, для заданной цели безопасности и заданного элемента аппаратных средств, сбой может быть классифицирован в большинстве случаев как:

a) одиночный сбой;

b) остаточный сбой;

c) обнаруживаемый двойной сбой;

d) воспринимаемый двойной сбой;

e) скрытый двойной сбой;

f) безопасный сбой.

Пояснения и примеры различных классов сбоев приведены ниже.

8.1.2 Одиночный сбой

Данный сбой:

- может непосредственно привести к нарушению цели безопасности; и

- является сбоем элемента аппаратного средства, для которого ни один механизм безопасности не предотвращает некоторые из таких сбоев элемента аппаратного средства от нарушения цели безопасности.

Пример - Неконтролируемый резистор, для которого хотя бы один вид отказа (например, обрыв цепи) имеет возможность нарушить цель безопасности.

Примечание - Если часть аппаратного средства имеет, по крайней мере, один механизм безопасности (например, сторожевое устройство микроконтроллера), то ни один сбой этой части не классифицируется как одиночный сбой. Сбои, для которых механизмы безопасности не предотвращают нарушения цели безопасности, классифицируются как остаточные сбои.

8.1.3 Остаточный сбой

Данный сбой:

- может непосредственно привести к нарушению цели безопасности; и

- является сбоем элемента аппаратного средства, для которого, по крайней мере, один механизм безопасности предотвращает некоторые из таких сбоев элемента аппаратного средства от нарушения цели безопасности.

Пример - Если оперативная память (RAM) модуля проверяется только с помощью механизма безопасности, использующего тест шахматного кода, то некоторые виды сбоев типа замыкания не обнаруживаются. Нарушение целей безопасности из-за этих сбоев не предотвращается механизмом безопасности. Такие сбои являются примерами остаточных сбоев.

Примечание - В таком случае значение охвата диагностикой механизма безопасности менее 100%.

8.1.4 Обнаруживаемый двойной сбой

Данный сбой:

- вносит вклад в нарушение цели безопасности;

- может привести к нарушению цели безопасности только в сочетании с другим, отличающимся от него, независимым сбоем аппаратного средства, связанным с этим двойным сбоем; и

- обнаруживается механизмом безопасности, который не позволяет ему быть скрытым.

Примеры

1 Флэш-память защищена контролем по четности. Сбой одного бита, который выявляется и в соответствии с технической концепцией обеспечения безопасности инициируется такая реакция, как отключение устройства и информирование водителя с помощью контрольной лампы.

2 Флэш-память защищена механизмом обнаружения ошибки и исправления кода (EDC). Сбои в логике EDC обнаруживаются тестированием и в соответствии с технической концепцией обеспечения безопасности инициируется реакция такая, как информирование водителя с помощью контрольной лампы.

Если происходит кратковременный сбой и механизм безопасности восстанавливает устройство в состояние без сбоя, то такой сбой можно рассматривать как обнаруживаемый двойной сбой, даже если водитель никогда не будет информирован о его существовании.

Пример - Кратковременное переключение бита, которое корректируется механизмом обнаружения ошибки и исправления кода (EDC) перед передачей данных в центральный процессор и корректируется в дальнейшем, записывая правильное значение. Можно вести журнал, чтобы различать прерывистые сбои от истинных кратковременных сбоев.

8.1.5 Воспринимаемый двойной сбой

Данный сбой:

- вносит вклад в нарушение цели безопасности, но будет приводить к нарушению цели безопасности только в сочетании с другим, отличающимся от него, независимым сбоем аппаратного средства, связанным с этим двойным сбоем и

- воспринимается водителем в течение установленного времени независимо от того был или не был обнаружен данный сбой механизмом безопасности.

Пример - Двойной сбой может быть воспринят водителем, если функциональность значительно и однозначно пострадала от последствия данного сбоя.

Примечание - Если двойной сбой воспринимается водителем, а также выявляется механизмом безопасности, то он может классифицироваться как обнаруживаемый либо воспринимаемый двойной сбой, но не оба одновременно. Это связано с тем, что метрика скрытого сбоя будет рассчитываться неправильно, так как один сбой будет вносить вклад в обнаруживаемые двойные сбои, а также в воспринимаемые двойные сбои, учитывая этот сбой дважды.

8.1.6 Скрытый двойной сбой

Данный сбой:

- вносит вклад в нарушение цели безопасности, но будет приводить к нарушению цели безопасности только в сочетании с другим, отличающимся от него, независимым сбоем и

- не обнаруживается механизмом безопасности и не воспринимается водителем. До появления второго независимого сбоя система все еще действует и водителю об этом сбое не сообщается.

Примеры

1 Флэш-память защищена механизмом EDC. Значение постоянного сбоя в одном разряде корректируется EDC при чтении, но данный сбой не исправляется во флэш-памяти и сигнал о нем водителю не подается. В этом случае данный сбой не может привести к нарушению цели безопасности (так как неисправный бит корректируется), но он не является ни обнаруживаемым (о единичном сбое бита не сообщается), ни воспринимаемым (так как не влияет на функциональность применения). Если в логике EDC происходит дополнительный сбой, то он может привести к потере управления над данным одиночным сбоем бита и возможному нарушению цели безопасности.

2 Флэш-память защищена механизмом EDC. Сбой в логике EDC приводит к неготовности EDC, которая тестом не выявляется.

8.1.7 Безопасный сбой

Безопасными могут быть сбои одной из двух категорий:

a) все n-кратные сбои с n > 2, если концепция обеспечения безопасности не показывает, что они вносят соответствующий вклад в нарушение цели безопасности, или

b) сбои, которые не вносят вклад в нарушение цели безопасности.

Примеры

1 Флэш-память защищена механизмами EDC и циклического контроля избыточности (CRC). Сбой в одном разряде корректируется EDC, но о нем водителю не сообщается. Сбою не дают возможность нарушить цель безопасности, но EDC об этом не сообщает. Если логика EDC выходит из строя, то сбой обнаруживается механизмом CRC и система отключается. И только если во флэш-памяти присутствует сбой в одном разряде, и логика EDC вышла из строя, и в механизме CRC произошли нарушения при вычислении контрольной суммы CRC, то может произойти нарушение цели безопасности (n = 3).

2 Три соединенные последовательно резисторы решают проблему одиночного сбоя типа короткого замыкания, так как короткое замыкание каждого резистора можно считать безопасным сбоем, и для нарушения цели безопасности необходимо, чтобы произошли три независимых коротких замыкания (n = 3).

8.1.8 Блок-схема классификации сбоев и вычисление вклада каждого класса сбоев

Виды отказов элемента аппаратного средства могут быть классифицированы, как показано на рисунке В.1 ИСО 26262-5, и используя блок-схему, описанную на рисунке В.2 ИСО 26262-5. На рисунке 9 представлен расчет интенсивностей различных отказов на основе базовой интенсивности отказов и охвата различных видов отказов (остаточных по сравнению со скрытыми).

Рисунок 9 - Классификация категорий отказов и расчет соответствующих интенсивностей отказов

Рисунок 9, Лист 2

8.1.9 Расчет интенсивности отказов от множественных сбоев, связанных с механизмами безопасности на основе программного обеспечения от случайных отказов аппаратных средств

Хотя систематические сбои программного обеспечения и аппаратных средств в настоящем стандарте количественно не определяются, интенсивность отказов может быть рассчитана для случайных отказов аппаратных средств аппаратных ресурсов, поддерживающих выполнение механизмов безопасности на основе программного обеспечения от случайных отказов аппаратных средств.

Если на этих аппаратных ресурсах совместно реализуются функции, которые могут непосредственно нарушить цель безопасности, то выбираются модели сбоев так, чтобы отразить данную ситуацию и рассмотреть возможные зависимые отказы.

8.2 Пример оценки интенсивности остаточных отказов и метрики локального одиночного сбоя

8.2.1 Общие положения

Данный пример демонстрирует способ оценки интенсивности остаточных отказов , интенсивности одиночных отказов и локализованной версии метрики одиночных сбоев датчика. В данном примере значение датчика сравнивается со значением другого датчика, которые оба измеряют ту же физическую величину и имеют известные допуски. Значения датчика A_Master используются функцией применения. Значения другого датчика, A_Checker, используются исключительно для подтверждения значений датчика A_Master.

Такой контроль выполняется в соответствии с требованиями приложения D ИСО 26262-5, либо как "проверка обоснованности датчика", либо как "сравнение/голосование на входе".

В данном примере классифицируются и оцениваются только сбои датчика A_Master. Отказы датчика A_Checker не рассматриваются.

Так как датчик A_Master имеет определенный механизм безопасности, то все остальные сбои, которые могут нарушить цель безопасности и которые не контролируются (т.е. нарушение цели безопасности не предотвращается), классифицируются как остаточные сбои. Интенсивность одиночных отказов (по определению) равна нулю.

8.2.2 Технические требования обеспечения безопасности для датчика A_Master

Граница безопасной эксплуатации датчика A_Master показана на рисунке 10 и считается заданной в данном примере (ее вывод из цели безопасности здесь не обсуждается). Она может быть выражена с помощью следующих терминов:

,

где - постоянная величина;

- связанная с безопасностью нижняя граница датчика A_Master;

v - измеряемая физическая величина;

а - постоянная величина.

Связанный с безопасностью отказ датчика происходит, когда

,

где - значение, получаемое от датчика A_Master.

Требование безопасности заключается в обнаружении и управлении связанным с безопасностью отказом датчика A_Master в течение времени сбоеустойчивости .

На рисунке 10 по оси X откладывается измеряемое значение реальной физической величины v, а по оси Y значение , полученное от датчика A_Master. Пунктирная линия показывает возвращаемое значение идеального датчика (т.е. датчик с нулевым допуском) в качестве эталона. Сплошная линия показывает . Если значение , получаемое от датчика A_Master, находится на или выше сплошной линии, то может произойти нарушение цели безопасности.

Рисунок 10 - Граница безопасной эксплуатации датчика A_Master

8.2.3 Описание механизма безопасности

Элементами механизмов безопасности являются датчик A_Checker и аппаратный монитор, который состоит из микроконтроллера с встроенным программным обеспечением. Программа сравнивает значения двух датчиков друг с другом, с периодом времени, значение которого меньше времени сбоеустойчивости . Оценка проводится следующим образом:

,

Если , то значение состояния отказа ИСТИНА.

Если значение состояния отказа ИСТИНА, то выполняется переход в безопасное состояние.

В этом алгоритме:

- значение, полученное от датчика A_Master;

- значение, полученное от датчика A_Checker;

- предопределенный константный максимальной порог, использующийся в качестве критерия прохождения/непрохождения.

Предполагается, что датчики имеют следующие известные допуски:

;

,

где - значение, полученное от датчика A_Master;

- значение, полученное от датчика A_Checker;

- постоянная величина, представляющая допуск датчика A_Master;

- постоянная величина, представляющая допуск датчика A_Checker;

v - измеряемая физическая величина.

Значение выбрано так, что отказ датчика A_Master, который может нарушить цель безопасности, обнаруживается. Для предотвращения выявления ложных отказов, выбран с учетом допусков каждого датчика и других допусков, объединенных в , например, связанных с влиянием выполнения измерения в разное время:

,

При таком подходе, наихудшим случаем необнаружения отказа является:

,

где - наихудший случай порога обнаружения, т.е. максимальное значение датчика A_Master, которое не обнаруживается как отказ;

- значение, полученное от датчика A_Checker;

- предопределенный константный максимальной порог, использующийся в качестве критерия прохождения/непрохождения;

v - измеряемая физическая величина.

Каждое значение более классифицируется как отказ датчика.

В зависимости от значений допуска, возможны различные сценарии выявления отказов. Два примера представлены на рисунках 11 и 12.

Рисунок 11 - Пример 1 наихудшего случая порога обнаружения (слишком высокий)

На рисунке 11 указателями показаны три области.

Область 5 - "Обнаруживаемые сбои, не нарушающие цели безопасности". Это сбои, обнаруживаемые механизмом безопасности, так как они находятся выше наихудшего случая порога обнаружения , но само по себе не приводят к нарушению цели безопасности, потому что они ниже связанной с безопасностью нижней границы .

Область 4 - "Двойные обнаруживаемые сбои". Эти сбои могут привести к нарушению цели безопасности, но они обнаруживаются и смягчаются механизмом безопасности. Они находятся выше наихудшего случая порога обнаружения и связанной с безопасностью нижней границы . Природа двойственности таких сбоев объясняется тем, что для возможного нарушения цели безопасности необходимы и отказ механизма безопасности и отказ датчика.

Область 6 - "Остаточные сбои". Это сбои не обнаруживаются механизмом безопасности и могут непосредственно привести к нарушению цели безопасности. Область < для лежит ниже наихудшего случая порога обнаружения , но выше связанной с безопасностью нижней границы .

Рисунок 12 - Пример 2 наихудшего случая порога обнаружения ( = 100%)

В случае, представленном на рисунке 12, худший случай порога обнаружения всегда меньше связанной с безопасностью нижней границы . В данном случае интенсивность остаточных отказов равна нулю, и локальная метрика одиночных сбоев датчика равна 100%.

8.2.4 Оценка примера 1, описанного на рисунке 11

8.2.4.1 Общие положения

Из рисунка 11 видно, что существуют условия, при которых значения наихудшего случая порога

обнаружения выше значений связанной с безопасностью нижней границы датчика A_Master:

для : .

Для определения интенсивности остаточных отказов и в этих условиях необходим дальнейший анализ, пример которого приведен ниже. В приложений D ИСО 26262-5 установлены следующие виды отказов:

Таблица 2 - Пример видов отказов датчика

Элемент	См. таблицы	нализируемые виды отказов для 60/90/99% ОД
		Низкий (60 %)	Средний (90%)	Высокий (99%)
Общие элементы
Датчики, включая переключатели сигналов	D.11	Нет общей модели сбоя. Необходим детальный анализ. Типичные виды охватываемых отказов: - недопустимые значения; - константные в рабочем диапазоне	Нет общей модели сбоя. Необходим детальный анализ. Типичные виды охватываемых отказов: - недопустимые значения; - смещения; - константные в рабочем диапазоне	Нет общей модели сбоя. Необходим детальный анализ. Типичные виды охватываемых отказов: - недопустимые значения; - смещения; - константные в рабочем диапазоне; - колебания

В этом примере оценивается только постоянное значение m константных отказов (в диапазоне). Для полной оценки интенсивности остаточных отказов датчика и необходимо оценить все другие виды отказов.

Для анализа выделяем три различных сценария константных сбоев для датчика (см. рисунок 13):

1) константное значение датчика m>

2) константное значение датчика m<;

3) константное значение датчика m.

Рисунок 13 - Сценарии константных сбоев

Влияние константного сбоя датчика на уровне системы зависит от текущей физической величины v, например, константный сбой со значением может нарушить цель безопасности для физической величины v. Для значений > этот сбой не нарушит цель безопасности. В последующем анализе, вероятность сбоя быть остаточным сбоем оценивается с учетом порогов обнаружения, а также физических величин v и распределения их вероятностей.

8.2.4.2 Сценарий 1. Сбой из-за константного значения датчика при m >

Если v, сбой может нарушить цель безопасности (см. рисунок 14). Отклонение датчика, однако, всегда выше наихудшего случая порога обнаружения , так как связанный с безопасностью отказ датчика обнаруживается и обрабатывается вовремя. Каждый сбой является обнаруживаемым двойным сбоем. Вероятность остаточного сбоя в случае v равна нулю.

Рисунок 14 - Классификация константных сбоев при m > для v

Если v > сбой не всегда может нарушить цель безопасности (см. рисунок 15). Если сбой может нарушить цель безопасности (область 6 на рисунке 15), то он будет выше наихудшего случая порога обнаружения и выявлен вовремя. При этом некоторые сбои (области 4 и 5 на рисунке 15) не могут считаться безопасными, даже если v>, и потому они не могут привести к нарушению цели безопасности, но у них есть возможность нарушить цель безопасности, если v. Некоторые из этих сбоев лежат выше наихудшего случая порога обнаружения и обнаруживаются (область 4 рисунка 15). Вероятность остаточного сбоя в случае v> равна нулю.

Константные сбои при m > могут нарушить цель безопасности, если v , поэтому они не могут считаться безопасными сбоями. Поскольку все сбои обнаруживаются и обрабатываются до того, как они могут привести к нарушению цели безопасности, они являются обнаруживаемыми двойными сбоями, поэтому вероятность остаточного сбоя для константных сбоев при m> равна нулю.

Рисунок 15 - Классификация константных сбоев при m > для v >

8.2.4.3 Сценарий 2. Сбой из-за константного значения датчика при m <

Константный сбой при с m < представлен на рисунке 16. Данные сбои являются безопасными сбоями, так как они не могут привести к связанным с безопасностью отказам, поскольку они всегда ниже наихудшего случая порога обнаружения для всего диапазона физических значений v. Таким образом, результирующая вероятность остаточного сбоя для всего диапазона физической величины v равна нулю.

Рисунок 16 - Классификация константных сбоев при m <

8.2.4.4 Сценарий 3. Сбой из-за константного значения датчика при

Возможное нарушение цели безопасности и обнаружение константного сбоя при зависят от текущего значения физической величины v (см. рисунок 17), то есть вероятность нарушения цели безопасности зависит от текущего значения v в момент сбоя. Вероятность константного остаточного сбой вычисляется для трех различных интервалов значений v в момент возникновения сбоя:

- v < .

- v ; и

- > .

Для каждого из этих условий, вероятность остаточного сбоя вычисляется отдельно. Результирующая вероятность остаточного сбоя рассчитывается с использованием значения этих трех вероятностей.

Рисунок 17 - Классификация константных сбоев при

В зависимости от текущего значения v, сбои могут быть обнаруживаемыми двойными сбоями (область 4), остаточными сбоями (область 6) или не имеющими возможность нарушить цель безопасности (область 5).

,

где - вероятность того, что константное значение m сбоя датчика при проявляется в виде остаточного сбоя;

- вероятность того, что константное значение m сбоя датчика при проявляется в виде остаточного сбоя, если v < в момент сбоя;

- вероятность того, что v< в момент сбоя;

- вероятность того, что константное значение m сбоя датчика при проявляется в виде остаточного сбоя, если v в момент сбоя;

- вероятность того, что v в момент сбоя;

- вероятность того, что константное значение m сбоя датчика при проявляется в виде остаточного сбоя, если v > в момент сбоя;

- вероятность того, что v > в момент сбоя;

.

Если v< , то константные отказы могут нарушить цель безопасность, но обнаруживаются вовремя. Вероятность остаточного сбоя равна нулю.

Если v>, то константные отказы не имеют возможность нарушить цель безопасность, но они не обнаруживаются. Поэтому рано или поздно значение v окажется между и , = .

Если v, то вероятность остаточного сбоя равна нулю.

Задача точного определения вероятности достаточно долгого пребывания в области остаточных сбоев, что может привести к нарушению цели безопасности, является нетривиальной. Она может зависеть от таких параметров, как:

- динамическое поведение физической величины v и ее соответствующее распределение вероятностей, например, значение температуры является скорее статической величиной тогда, как значение углового положения работающего электродвигателя является скорее динамического величиной;

- распределение вероятностей значений v в ;

- время реакции программы наблюдения, например, из-за времен фильтрации. В рассматриваемом примере одиночного события с достаточно для обнаружения отказа датчика и переключения в безопасное состояние. Однако обычно счетчик ошибок реализуется так, что необходимо более одного события для оценки отказа датчика и переключения в безопасное состояние. Восстановление счетчика ошибок, например сброс счетчика ошибок, как только обнаружено одно не связанное с безопасностью событие (в данном примере это будет соответствовать ), может оказать существенное влияние на способность программы наблюдения обнаруживать отказы, которая резко снижается;

- необходимое число измеряемых отклонений связанного с безопасностью датчика, которое может привести к нарушению цели безопасности. Кроме того, может представлять интерес число обоснованных измерений, которые должны быть выполнены между двумя измеряемыми отклонениями связанного с безопасностью датчика, так чтобы цель безопасность больше не нарушалась.

Если точная подробная информация о каждом влияющем параметре не доступна, то есть все основания использовать экспертную оценку и инженерные практики (например, используя равномерное распределение для неизвестных распределений вероятностей) для получения консервативной оценки.

Оценив вероятности , и , может быть рассчитана вероятность константного остаточного сбоя датчика:

8.2.4.5 Окончательная оценка интенсивности остаточных отказов

Если каждый соответствующий вид отказа оценивать так же, как описано выше, то общая вероятность сбоя датчика, проявляющегося как остаточный сбой, может быть вычислено по формуле:

,

где: - вероятность вида отказа ;

- вероятность этого вида отказа , проявляющегося как остаточный сбой;

= 1.

Зная эту вероятность, можно оценить интенсивность остаточных отказов, как:

,

а также значение

.

8.2.4.6 Улучшение

Эффективным способом снижения остаточной интенсивности отказов датчика является снижение величины . Снижение может быть выполнено без значительного увеличения ложного обнаружения отказов при следующих условиях:

- распределение вероятностей допусков может показать, что оцениваемый сценарий наихудшего случая крайне маловероятен. Таким образом, вероятность ложной тревоги достаточно низка, и поэтому допустима;

- повторное проектирование системы может привести к улучшению значения допуска.

Следует отметить, что в данном примере оцениваются только сбои датчика, но не сбои в оставшейся части канала с датчиком. Неисправность разделяемых ресурсов аппаратных средств, которая может привести к неисправной работе обоих датчиков или которая могла бы исказить значения обоих датчиков, например, АЦП микроконтроллера, оценивается отдельно. Кроме того, выполняется анализ зависимых отказов, как указано в разделе 7 ИСО 26262-9 (Анализ зависимых отказов).

8.3 Об аппаратных средствах

8.3.1 Применение настоящего стандарта для микроконтроллеров

Микроконтроллеры являются неотъемлемой частью современных Э/Э автомобильных систем. Они могут быть разработаны в качестве общеиспользуемого элемента безопасности (ОЭБ, см. раздел 9).

Сложность их создания преодолевается применением объединенных качественных и количественных методов анализа безопасности частей и подчастей микроконтроллера, выполняемых на соответствующем уровне абстракции, т.е. от блок-схемы до уровня списка соединений и топологии во время стадий формирования концепции и разработки изделия.

В приложении А представлены руководящие указания и не исчерпывающий перечень примеров применения настоящего стандарта для микроконтроллеров.

В приложении А описан метод для расчета интенсивности отказов микроконтроллеров, в том числе, как рассматривать постоянные и кратковременные сбои.

Приложение А включает в себя примеры:

- анализа зависимых отказов;

- предотвращения систематических отказов при проектировании микроконтроллера;

- верификации механизмов безопасности микроконтроллера; а также

- выполнения автономного анализа микроконтроллера на уровне системы.

8.3.2 Методы анализа системы безопасности

В приложении В обсуждаются методы анализа видов сбоев системы, включая индуктивный и дедуктивный анализ, и приведен пример анализа дерева сбоев.

8.3.3 Продолжительность воздействия при расчете вероятностной метрики для случайных отказов аппаратных средств (PMHF)

Как описано в 9.4.2.3 ИСО 26262-5, количественный анализ представляет свидетельства о том, что целевые значения требования 9.4.2.1 ИСО 26262-5 были достигнуты. Как показано в 9.4.2.3 ИСО 26262-5, этот количественный анализ учитывает продолжительность воздействия в случае двойных сбоев.

На основе примечания 2 к 9.4.2.3 ИСО 26262-5 продолжительность воздействия начинается с момента возникновения сбоя и включает в себя:

- интервал обнаружения множественно сбоя, связанный с каждым механизмом безопасности, или срок службы автомобиля, если сбой не отображается водителю (скрытый сбой);

- максимальную продолжительность поездки (в случае, если водителю предлагается остановиться в безопасном режиме); и

- средний интервал времени нахождения автомобиля в автомастерской (в случае, если водитель предупрежден о необходимости ремонта автомобиля).

Следующий пример демонстрирует один из способов учета продолжительности воздействия. В данном примере предполагается, что требуемая функциональность (блока задачи "m") контролируется механизмом безопасности "sm".

Значение вероятностной метрики случайных отказов аппаратных средств, с учетом условной вероятности того, что отказ блока задачи происходит при условии отказа механизма безопасности, может быть рассчитана по формуле:

,

где - значение вероятностной метрики случайных отказов аппаратных средств (PMHF);

- интенсивность остаточных отказов требуемой функциональности (блока задачи "m");

- интенсивность двойных отказов блока задачи "m";

- срок жизни транспортного средства;

- интенсивность скрытых двойных отказов механизма безопасности "sm";

- интенсивность обнаруживаемых двойных отказов механизма безопасности "sm";

- интервал выявления множественных сбоев механизма безопасности "sm".

Если величина терма , представляющего вероятность отказа задачи, в сочетании с отказом соответствующего механизма безопасности в одном , очень мала [например, если величина одного порядка с длительностью одной поездки (даже с FIT вклад 1/ч в данном примере)], то ею можно пренебречь, упростив предыдущую формулу:

.

Если условная вероятность не применяется, например порядок отказа не имеет значения, то формула упрощается до:

.

9 Общеиспользуемый элемент безопасности

9.1 Разработка общеиспользуемого элемента безопасности

В автомобильной промышленности разрабатываются общеиспользуемые элементы для различных применений и для различных заказчиков. Эти общие элементы могут разрабатываться независимо различными организациями. В таких случаях формируются предположения о требованиях и проекте, включая требования к системе безопасности, которые определяются для элемента на более высоких уровнях проектирования и внешним по отношению к элементу проектом.

Разработанный таким образом элемент называют общеиспользуемым элементом безопасности (ОЭБ). ОЭБ является связанным с безопасностью элементом, который не разрабатывается для конкретного устройства. Это означает, что он не разрабатывается для конкретного транспортного средства.

ОЭБ может быть системой, множеством систем, подсистемой, компонентом программного обеспечения, компонентом аппаратных средств или частью. Примеры ОЭБ включают: системные контроллеры, электронные блоки управления, микроконтроллеры, программное обеспечение, реализующее коммуникационный протокол, или компонент программного обеспечения AUTOSAR.

ОЭБ не может быть устройством, так как разработка устройства всегда выполняется для конкретного транспортного средства, предназначенного для серийного производства. Если ОЭБ является системой, то эта система не разрабатывается для конкретного транспортного средства и поэтому не является устройством.

ОЭБ отличаются от квалифицированных компонентов, описанных в разделе 12 ИСО 26262-8 (Квалификация компонентов программного обеспечения) и раздела 13 ИСО 26262-8 (Квалификация компонентов аппаратных средств), следующим:

- ОЭБ разрабатывается на основе предположений в соответствии с настоящим стандартом. Он предназначен для использования в ряде различных устройств, если в процессе интеграции ОЭБ может быть установлено подтверждение соответствия сформированных для него предположений;

- квалификация компонентов программного обеспечения и аппаратных средств рассматривает вопрос об использовании уже существующих элементов для устройства, разрабатываемого в соответствии с настоящим стандартом. Эти компоненты не обязательно предназначены для повторного использования либо разработаны в соответствии с настоящим стандартом.

Таблица 3 описывает предполагаемое использование квалификации, ОЭБ и подтверждение проверкой в эксплуатации для различных элементов программного обеспечения.

Классификация компонентов программного обеспечения в таблице 3 выполнена в соответствии с требованиями, описанными в 7.4.6 ИСО-26262-6.

Таблица 3 - Классификация компонентов программного обеспечения

Классификация компонентов программного обеспечения	Часть 6 для устройства	Часть 8, раздел 12. Квалификация компонента программного обеспечения	Часть 6 для ОЭБ	Часть 8, раздел 14. Подтверждение проверкой в эксплуатации
Вновь разработанный	Используется	Не используется	Используется	Не используется
Повторно используемый с изменениями	Используется	Не используется	Используется	Используется(а)
Повторно используемый без изменений	Не используется	Используется	Используется (если разрабатывается как ОЭБ)	Используется
(а) см. 14.4.4 ИСО 26262-8.

При разработке ОЭБ применяемые действия по обеспечению безопасности настраиваются, как описано в 6.4.5.6 ИСО 26262-2. Такая настройка разработки ОЭБ не означает, что какая-либо стадия жизненного цикла системы безопасности может быть опущена. Если некоторые стадии не выполняются при разработке ОЭБ, то они будут выполнены в процессе разработки устройства.

УПБА для ОЭБ означает способность ОЭБ соответствовать предполагаемым требованиям безопасности, определенным для данного значения УПБА. Следовательно, УПБА определяет требования настоящего стандарта, которые применяются для разработки этого ОЭБ.

Таким образом, разработка ОЭБ выполняется на основе предположений, требуемой функциональности и используемого контекста, включающего в себя внешние интерфейсы. Эти предположения устанавливаются таким образом, чтобы охватить наибольшее множество элементов так, чтобы ОЭБ мог в дальнейшем использоваться во многих различных, но похожих устройствах. Если некоторые стадии не выполняются при разработке ОЭБ, то они будут выполнены в процессе разработки устройства.

Подтверждение соответствия этих предположений устанавливается в контексте самого устройства в процессе интеграции ОЭБ.

Можно построить устройство из множества ОЭБ, непосредственно взаимодействующих друг с другом. В этом случае обоснованность выполнения предположений одного ОЭБ устанавливается с учетом его взаимодействий.

Если подтверждение соответствия предположений, лежащих в основе разработки ОЭБ, не может быть установлена во время интеграции ОЭБ в устройство, то должны быть сделаны изменения либо в ОЭБ, либо в устройстве в соответствии с требованиями раздела 8 ИСО 26262-8 (Управление изменениями).

9.2 Сценарии использования

9.2.1 Общие положения

Разработка ОЭБ включает формирование предположений для предварительных условий соответствующей стадии разработки изделия, например, для компонента программного обеспечения, который представляет собой часть проекта архитектуры программного обеспечения, такой стадией является подстадия, описанная в разделе 7 ИСО 26262-6. Нет необходимости формировать предположения для всех предварительных условий, например, для плана обеспечения безопасности.

На рисунке 18 показана связь между предположениями и разработкой ОЭБ. Разработка ОЭБ может начинаться на определенном иерархическом уровне требований и проекта. Каждая часть информации о требованиях или предварительных условиях проекта предварительно определяется со статусом "предполагаемая".

Корректная реализация требований к ОЭБ (полученных из предполагаемых требований более высокого уровня и предположений о внешнем по отношению к ОЭБ проекте) будет верифицирована в процессе разработки ОЭБ.

Рисунок 18 - Связь между предположениями и разработкой ОЭБ

Корректная реализация требований к ОЭБ (полученных из предполагаемых требований более высокого уровня и предположений о внешнем по отношению к ОЭБ проекте) будет верифицирована в процессе разработки ОЭБ.

Корректная реализация требований к ОЭБ (выведенных из предполагаемых требований более высокого уровня и предположений внешнего по отношению к ОЭБ проекта) будут верифицированы в ходе разработки ОЭБ. Подтверждение соответствия этих требований и предположений в таком случае устанавливается в процессе разработки устройства.

Аналогично, действия по верификации демонстрируют, что разработанный ОЭБ, на любом уровне, согласуется с требованиями контекста, где они используются. Например, если используется компонент программного обеспечения, разработанный как общеиспользуемый, то верификация спецификации программного обеспечения может продемонстрировать, что требования спецификации проектирования архитектуры программного обеспечения выполнены. Такой акт о проверке может быть получен, если разработка ОЭБ завершена, а разработка устройства достигает стадии, на которой формулируются требования к элементу системы безопасности.

Некоторые типичные примеры ОЭБ приведены ниже, а именно: система, компонент аппаратных средств и компонент программного обеспечения.

9.2.2 Разработка системы как общеиспользуемого элемента безопасности

В настоящем пункте показано, как настройка концепции ОЭБ применяется к новой Э/Э системе, которая может быть интегрирована разными производителями транспортных средств.

Пусть для данного примера система реализует следующую функциональность: по соответствующим запросам водитель при определенных состояниях автомобиля может как активизировать некоторую функцию, так и отключать ее. Последовательность операций приведена на рисунке 19.

Рисунок 19 - Разработка системы как ОЭБ

Шаг 1а. Определение области применения ОЭБ

На основе предположений разработчик ОЭБ определяет цель, функционал и внешние интерфейсы ОЭБ.

Примерами таких предположений об области применения ОЭБ могут быть:

- система предназначена для автомобилей с полной массой до 1800 кг;

- система предназначена для переднеприводных автомобилей;

- система предназначена для максимального наклона дороги на 32%;

- система имеет интерфейсы с другими внешними системами, чтобы получить необходимую информацию об автомобиле;

- функциональные требования:

- система активизирует функцию по запросу водителя при определенных состояниях автомобиля;

- система отключает функцию по запросу водителя.

Шаг 1b. Предположения о требованиях безопасности к ОЭБ

Для разработки ОЭБ необходимо сделать предположения по определению устройства, целям безопасности устройства и соответствующим требованиям функциональной безопасности, связанным с функциональностью ОЭБ, для того, чтобы определить технические требования безопасности ОЭБ.

Примерами предположений о требованиях к функциональной безопасности, определяемых для ОЭБ могут быть:

- система не активизирует функцию при высокой скорости автомобиля (УПБА х);

- система не отключает функцию, если запрос водителя не обнаружен (УПБА у).

Для достижения предполагаемых целей безопасности определяются конкретные предположения о контексте.

Примерами предположений о контексте ОЭБ могут быть:

- внешний источник будет предоставлять информацию для требуемого УПБА, позволяющую системе обнаруживать надлежащее состояние транспортного средства (УПБА х);

- внешний источник будет предоставлять информацию о запросе водителя для требуемого УПБА (УПБА у).

Шаг 2. Разработка ОЭБ

Если технические требования безопасности сформированы из предполагаемых требований к функциональной безопасности устройства, то ОЭБ разрабатывается в соответствии с требованиями настоящего стандарта.

Шаг 3. Результаты работы

В конце разработки ОЭБ должны быть получены результаты, которые показывают, что сформированные технические требования безопасности выполняются. Вся необходимая информация о результатах работы затем поступает к интегратору устройства, в том числе требования к безопасности ОЭБ и предположения, сделанные о контексте.

Шаг 4. Интеграция ОЭБ в устройство

В процессе разработки устройства определяются цели безопасности и требования функциональной безопасности. Требования функциональной безопасности устройства согласовываются с требованиями функциональной безопасности, предполагаемыми для ОЭБ, чтобы установить их обоснованность.

В случае несоответствия предположения для ОЭБ, начиная с анализа влияния, реализуется технология управления изменениями в соответствии с требованиями раздела 8 ИСО 26262-8 (Управление изменениями). Возможные результаты включают в себя:

- несоответствие может считаться приемлемым в связи с достижением цели безопасности, и никакие действия не предпринимаются;

- несоответствие может оказать влияние на достижение цели безопасности и привести к необходимости изменения определения устройства либо концепции функциональной безопасности;

- несоответствие может оказать влияние на цель безопасности и привести к необходимости изменения в общем компоненте безопасности (включая, возможно, изменение самого компонента).

9.2.3 Разработка компонента аппаратных средств как общеиспользуемого элемента безопасности

9.2.3.1 Общие положения

В настоящем пункте пример микроконтроллера, представленного в приложении А, используется в качестве примера компонента аппаратных средств, разрабатываемого как ОЭБ. Последовательность действий процесса разработки приведена на рисунке 20.

Рисунок 20 - Разработка компонента аппаратных средств как ОЭБ

9.2.3.2 Шаг 1. Предположения на уровне системы

Разработка микроконтроллера (см. рисунок 20), как ОЭБ, начинается (шаг 1) с предположения атрибутов и требований на уровне системы в соответствии с 6.4.5.6 ИСО 26262-2.

Данная стадия может быть разбита на две подстадии (1а и 1b) на основе анализа некоторых справочных приложений. Эти требования являются предполагаемыми для предварительных условий при разработке изделия аппаратных средств (таблица А.1 ИСО 26262-5); примеры см. ниже.

9.2.3.3 Шаг 1а. Предположения о технических требованиях безопасности

Ниже приведены некоторые примеры предполагаемых технических требований безопасности, созданные для рассматриваемого примера микроконтроллера.

Предположения о технических требованиях безопасности (шаг 1а):

a) отказы памяти команд процессора ослабляются механизмом(ами) безопасности аппаратного средства, по крайней мере, до целевого значения (например, 90%), определенного для метрики одиночного сбоя на уровне части аппаратного средства (может быть также выражено в терминах требуемого ОД);

b) вклад микроконтроллера в суммарную вероятность нарушения цели безопасности составляет не более 10% от допустимой вероятности для соответствующего УПБА;

c) микроконтроллер реализует безопасное состояние, определяемое как включение низкого уровня на все выходы управления вводом-выводом, когда запускается сброс;

d) любые реализованные механизмы безопасности, связанные с выполняемой функцией, завершают ее менее чем за 10 миллисекунд (задаваемая часть времени сбоеустойчивости);

e) интерфейсы отладки микроконтроллера не используются во время связанной с безопасностью эксплуатации. Таким образом, любые сбои в логике отладки будут считаться безопасными сбоями;

f) присутствует модуль защиты памяти, чтобы обеспечить возможность разделения запрограммированных задач с различными значениями УПБА.

Значение УПБА задается на данном шаге.

9.2.3.4 Шаг 1b. Предположения о проектировании на уровне системы

Ниже представлены некоторые примеры внешних по отношению к ОЭБ предположений о проектировании на уровне системы:

a) система будет реализовывать механизм безопасности для источника питания микроконтроллера для обнаружения видов отказов, связанных с повышенным и пониженным напряжениями;

b) система будет реализовывать механизм безопасности на основе обрабатываемого методом окна сторожевого устройства, внешнего по отношению к микроконтроллеру, для обнаружения отказов синхронизации или последовательности программы микроконтроллера;

c) будет выполняться программно реализованный тест для обнаружения скрытых сбоев в механизме безопасности микроконтроллера, реализующем обнаружение и коррекцию ошибок (SM4);

d) тест на основе программного обеспечения (SM2) выполняется при включении зажигания для проверки отсутствия скрытых сбоев при логическом контроле последовательности программы процессора (SM1).

9.2.3.5 Шаг 2. Разработка аппаратных средств

На основании этих решений (предполагаемые технические требования к системе безопасности и предположения, связанные с внешним проектом по отношению к ОЭБ) в соответствии с требованиями ИСО 26262-5 разрабатывается ОЭБ (шаг 2) и формируются все соответствующие результаты работы. Например, оценка нарушения цели безопасности из-за случайных отказов аппаратных средств (см. результат работы, представленный в 9.5.1 ИСО 26262-5) осуществляется рассмотрением предположений ОЭБ, включающих любые значения интенсивности отказов во времени (FIT), найденные в предполагаемых технических требованиях к системе безопасности. На основе предположений ОЭБ в соответствии с ИСО 26262-9 выполняется анализ безопасности и анализ зависимых отказов внутренних по отношению к микроконтроллеру.

Для микроконтроллера в примере А.3.5 требование безопасности а) выполняется, потому что метрика одиночного сбоя памяти превышает целевое значение 90%, определенное на уровне части аппаратного средства (99,8%, постоянные сбои и 99,69% кратковременные сбои). Предположение с) о проекте системы реализуется механизмом безопасности SM4.

9.2.3.6 Шаг 3. Результаты работы

В конце разработки микроконтроллера (шаг 3) системному интегратору предоставляется необходимая информация о результатах работы, которая включает следующие документы: предполагаемые требования, предположения, связанные с внешним проектом по отношению к ОЭБ и соответствующие результаты, полученные в соответствии с настоящим стандартом (например, отчет о вероятности нарушения цели безопасности из-за случайных отказов аппаратных средств).

9.2.3.7 Шаг 4. Интеграция ОЭБ в устройство

Если разработанный как ОЭБ микроконтроллер рассматривается в контексте стадии разработки аппаратных средств устройства, то выполняется обоснованность выполнения всех предположений для ОЭБ, включая предполагаемые технические требования к системе безопасности ОЭБ и предположения, связанные с внешним проектом по отношению к ОЭБ (этап 4). Вполне вероятно, что будут возникать несоответствия между предположениями для ОЭБ и требованиями к системе. Например, разработчик устройства может принять решение не применять предполагаемый внешний компонент. Как следствие, оценка нарушения цели безопасности из-за случайных отказов аппаратных средств, выполненная разработчиком ОЭБ, не может больше соответствовать устройству.

В случае несоответствия предположения для ОЭБ, начиная с анализа влияния, выполняется технология управления изменениями в соответствии с требованиями раздела 8 ИСО 26262-8 (Управление изменениями). Возможные результаты включают в себя:

- несоответствие может считаться приемлемым в связи с достижением цели безопасности, и никакие действия не предпринимаются;

- несоответствие может оказать влияние на достижение цели безопасности и привести к необходимости изменения концепции функциональной безопасности либо технических требований к системе безопасности;

- несоответствие может оказать влияние на достижение цели безопасности и привести к необходимости изменения в общем компоненте безопасности (включая, возможно, изменение самого компонента);

- несоответствие может оказать влияние на достижение цели безопасности, поэтому пересчитываются метрики безопасности, и если пересчитанные метрики показывают, что проект отвечает целям системы, то в изменениях нет необходимости.

9.2.4 Разработка компонента программного обеспечения как общеиспользуемого элемента безопасности

9.2.4.1 Общие положения

В настоящем пункте представлены различные шаги применения концепции ОЭБ для новых среднего или низкого уровня компонент программного обеспечения. Последовательность действий процесса разработки приведена на рисунке 21.

Рисунок 21 - Разработка компонента программного обеспечения как ОЭБ

9.2.4.2 Шаг 1а. Предположения об области применения компонента программного обеспечения как ОЭБ

На данном шаге устанавливаются соответствующие предположения о цели компонента программного обеспечения, его границах, окружении и функциональных возможностях.

Примерами таких предположений являются:

- программный компонент интегрируется в заданную многоуровневую архитектуру программного обеспечения;

- любые возможные взаимовлияния, вызванные компонентом программного обеспечения, обнаруживаются и обрабатываются его окружением;

- компонент программного обеспечения обеспечивает выполнение функций, представленных в списке функциональных требований программного обеспечения.

9.2.4.3 Шаг 1b. Предположения о требованиях к безопасности для компонента программного обеспечения

На шаге 1b формируются предположения на основе требований к безопасности более высокого уровня, которые могут влиять на программный компонент, чтобы для него вывести требования к безопасности. Например, если заданный набор данных, обрабатываемый компонентом программного обеспечения, характеризуется высоким уровнем полноты безопасности (УПБА х), то в результате требованиями к безопасности программного обеспечения, задаваемыми для ОЭБ, могут быть:

- компонент программного обеспечения должен обнаруживать любые повреждения следующих входных данных: список входных данных (УПБА х);

- компонент программного обеспечения должен предупреждать о следующих состояниях ошибок: список состояний ошибок (УПБА х);

- для любого обнаруженного состояния ошибки по умолчанию должно возвращаться значение статуса сбоя (УПБА х);

- компонент программного обеспечения должен возвращать получаемые результаты контроля циклическим избыточным кодом и статус (УПБА х).

9.2.4.4 Шаг 2. Разработка компонента программного обеспечения

Как только необходимые предположения о компоненте программного обеспечения явно установлены, то в соответствии с требованиями ИСО 26262-6 разрабатывается ОЭБ для его значения УПБА (УПБА х в данном примере). Формируются все соответствующие результаты работы для последующей интеграции в различных контекстах, в том числе результаты работы, связанные с верификацией предполагаемых требований к безопасности программного обеспечения.

9.2.4.5 Шаг 3. Интеграция компонента программного обеспечения в новом конкретном контексте

Перед интеграцией компонента программного обеспечения с другими компонентами программного обеспечения в новом конкретном контексте выполняется подтверждение соответствия всех предположений для этого ОЭБ в рассматриваемом контексте. Такое подтверждение соответствия выполняется для предполагаемых требований безопасности программного обеспечения с их значениями УПБА и для всех предположений, сделанные о цели, границах, окружении и функциональных возможностях компонента программного обеспечения (см. 9.2.4.2 и 9.2.4.3).

В случае, если некоторые предположения рассматриваемого компонента программного обеспечения не соответствуют этому новому контексту, то инициируется анализ влияния в соответствии с требованиями раздела 8 ИСО 26262-8 (Управление изменениями). Возможные результаты анализа влияния включают в себя:

- несоответствия являются приемлемыми для достижения требований безопасности, применяемых на уровне проектирования архитектуры программного обеспечения, и никаких дальнейших действий не предпринимается;

- несоответствия влияют на достижение требований безопасности, применяемых на уровне проектирования архитектуры программного обеспечения. В зависимости от конкретного случая применяется технология управления изменениями в соответствии с требованиями раздела 8 ИСО 26262-8 (Управление изменениями) либо для компонента программного обеспечения, либо для требований к безопасности, применяемых на уровне проектирования архитектуры программного обеспечения.

Примечание - В случае если интеграция компонента программного обеспечения в конкретный проект архитектуры программного обеспечения приводит к проблеме совместимости связанных с безопасностью элементов программного обеспечения, для которых определены различные значения УПБА, то должны быть выполнены критерии совместимости элементов в соответствии с требованиями раздела 6 ИСО 26262-9 (Критерии совместимости элементов) или, в противном случае, элементам с низкими значениями УПБА будут определены более высокие значения УПБА.

10 Пример подтверждения проверкой эксплуатацией

10.1 Общие положения

В данном разделе в качестве примера описаны устройство и требования к нему. Цель безопасности, его значение УПБА и последующие требования приведены для иллюстрации подтверждения проверкой эксплуатацией, определенной в разделе 14 ИСО 26262-8 (подтверждение проверкой эксплуатацией). Данный пример не отражает применение настоящего стандарта для аналогичного реального примера.

10.2 Определение устройства и определение кандидата, проверенного эксплуатацией

Изготовитель транспортного средства хочет интегрировать новую функциональность в новый автомобиль. В рассматриваемом примере устройство, реализующее эту функциональность, состоит из датчиков, одного электронного блока управления, включающего в себя готовые аппаратные средства и программное обеспечение, необходимые для реализации функциональности, и один исполнительный механизм.

Некорректность выполнения функциональности оценивается изготовителем транспортного средства значением УПБА, равным С. Соответствующая цель безопасности, из которой получаем в качестве требования функциональной безопасности значение УПБА, равное С, которое определяется для электронного блока управления.

Поставщик электронного блока управления предлагает использовать уже существующий электронный блок управления.

Анализируются различия между предыдущим использованием электронного блока управления и его предполагаемым использованием в новом применении. Анализ показывает, что программное обеспечение должно быть модифицировано для реализации новых функциональных возможностей изменением данных калибровки, но аппаратные средства электронного блока управления могут быть использованы без изменений. Поставщик намерен для аппаратных средств электронного блока управления заменить демонстрацию соответствия требованиям ИСО 26262-5 подтверждением проверкой эксплуатацией. Поэтому аппаратные средства электронного блока управления становятся кандидатом, проверяемым эксплуатацией.

10.3 Анализ изменений

Для установления доверия проверке эксплуатацией, поставщик выполняет анализ изменений проверенного эксплуатацией кандидата.

Этот анализ показывает, что не было никаких изменений, которые могли бы оказать влияние на безопасность поведения проверенного эксплуатацией кандидата, с самого начала его производства.

Более того, анализ показывает, что различия между предыдущим использованием проверенного эксплуатацией кандидата и его целевым использованием не имеют никакого влияния на безопасность, так как:

- граничные значений параметров кандидата находятся внутри заданных пределов;

- предыдущее окружение интеграции требует такого же поведения техники; и

- причина и следствия на границе кандидата одинаковы в предыдущем и будущем окружении интеграции.

10.4 Целевые значения для проверки эксплуатацией

Чтобы установить доверие к подтверждению проверкой эксплуатацией, поставщик оценивает общее количество часов работы проверенного эксплуатацией кандидата. Поставщик также анализирует эксплуатационные данные за период технического обслуживания для любого связанного с безопасностью события, то есть любое сообщение о событии, которое могло бы вызвать или способствовать нарушению цели безопасности, или требование безопасности, относящееся к целевому использованию кандидата в новом устройстве.

Выполняется оценка всей истории обслуживания с учетом количества произведенных транспортных средств со встроенным, проверенным эксплуатацией кандидатом, датой производства и данных о типичном использовании транспортного средства в данном сегменте рынка (количество часов вождения автомобиля в год).

История обслуживания включает информацию о возвращении в процессе эксплуатации различных транспортных средств, оснащенных проверяемым эксплуатацией кандидатом, связанную с:

- гарантийными претензиями;

- анализами дефектов в процессе эксплуатации; или

- возвращением бракованных частей от производителей транспортных средств.

На дату начала разработки аппаратных средств устройства, результаты такого анализа показывают, что связанных с безопасностью событий в процессе эксплуатации не происходило. Общее количество часов вождения, по оценкам, меньше целевого значения, определенного для статуса "проверен эксплуатацией" для значения УПБА, равного С, но удовлетворяет интервалу периода технического обслуживания, определенному в 14.4.5.2.5 ИСО 26262-8.

Выводы:

- разработчики устройства могут далее взять на себя ответственность, что для аппаратных средств электронного блока управления результаты проверкой эксплуатацией можно предварительно предсказать;

- для получения статуса "проверен в эксплуатации" необходимо постоянно собирать информацию в процессе эксплуатации (см. 14.4.5.2.5 ИСО 26262-8 и 14.4.5.2.6 ИСО 26262-8).

11 О декомпозиции значений УПБА

11.1 Цель декомпозиции значений УПБА

Целью декомпозиции УПБА является применение избыточности, чтобы соответствовать цели безопасности для систематических отказов. Декомпозиция УПБА может привести к избыточным требованиям и к реализации этих соответствующих декомпозированных значений УПБА достаточно независимыми элементами.

11.2 Описание декомпозиции значений УПБА

Декомпозиция значений УПБА связана с распределением избыточных требований безопасности для достаточно независимых элементов устройства. Избыточность в данном контексте не обязательно подразумевает классическое модульное резервирование (см. 2.94 ИСО 26262-1).

Пример - Центральный процессор электронного блока управления может контролироваться избыточным контрольным процессором, оба из которых независимо друг от друга способны инициировать заданное безопасное состояние, даже если контрольный процессор не может выполнять функциональные требования, определенные для электронного блока управления.

Декомпозицию значений УПБА можно рассматривать только в контексте систематических отказов, то есть в рамках методов и мер, применяемых для снижения вероятности таких отказов. При декомпозиции значений УПБА требования к оценке метрик архитектуры аппаратных средств и оценке нарушения цели безопасности из-за случайных отказов аппаратных средств остаются неизменными (см. 5.4.5 ИСО 26262-9).

Пример - Декомпозиция со значением УПБА B(D) не означает, что целевое значение УПБА, равное D, для оценки метрик архитектуры аппаратных средств декомпозируется на отдельные целевые значения УПБА, равные В, для каждого элемента аппаратных средств. Как указано в 8.2 ИСО 26262-5, целевые значения могут быть распределены элементам аппаратных средств, но такие целевые значения назначаются индивидуально на основе анализа, начинающегося на уровне аппаратных средств всего устройства. На уровне устройства целевая метрика применяется в соответствии с целью безопасности.

В декомпозированной таким образом архитектуре соответствующая цель безопасности нарушается только тогда, когда оба элемента одновременно нарушают декомпозированные для них требованиям безопасности.

Допустимые настоящим стандартом декомпозиции описаны в разделе 5 ИСО 26262-9 (Декомпозиция требований с распределением УПБА).

11.3 Пример декомпозиции значений УПБА

11.3.1 Общие положения

Устройство и требования к нему, описанные в данном подразделе, используются в качестве примера. Цель безопасности, ее значение УПБА и следующие за ними требования предназначены только для иллюстрации процесса декомпозиции значения УПБА. Данный пример не отражает применение настоящего стандарта для аналогичного реального примера.

11.3.2 Определение устройства

Рассмотрим пример системы с исполнительным механизмом, который срабатывает по запросу водителя с помощью переключателя на приборной панели. В данном примере исполнительный механизм выполняет некоторую функцию для удобства водителя, если транспортное средство не двигается, но может привести к опасным событиям, если автомобиль двигается со скоростью более 15 км/час.

Для данного примера исходная архитектура устройства может быть описана следующим образом:

- входной сигнал переключателя на приборной панели считывается специальным электронным блоком управления (именуемым в данном примере "электронный блок управления исполнительным механизмом (ЭБУИМ)"), который подает питание на исполнительный механизм по выделенной линии питания;

- транспортное средство оборудовано устройством также с электронным блоком управления, которое способно обеспечить информацию о скорости транспортного средства. Для данного примера предполагается, что электронный блок управления предоставляет информацию о том, что скорость транспортного средства превышает 15 км/ч, и значение УПБА для этого требования равно С. В дальнейшем этот электронный блок управления будем называть "электронным блоком, управляемым скоростью (ЭБУС).

11.3.3 Анализ опасностей и оценка рисков

Опасным событием, рассматриваемым в анализе, является включение - водителем или без его запроса - исполнительного механизма во время движения автомобиля со скоростью выше 15 км/ч.

Для рассматриваемого примера УПБА, связанный с этим опасным событием, классифицируется, как УПБА, равный С.

11.3.4 Соответствующая цель безопасности

Цель безопасности 1. Предотвратить включение исполнительного механизма при движении транспортного средства со скоростью более 15 км/ч. Значение УПБА равно С.

11.3.5 Предварительная архитектура и концепция обеспечения безопасности

11.3.5.1 Общая структура системы с исполнительным механизмом

Рисунок 22 - Границы устройства

11.3.5.2 Цель элементов (первоначальная архитектура):

- ЭБУС передает в ЭБУИМ значение скорости транспортного средства;

- ЭБУИМ отслеживает запросы водителя, проверяет, не превысила ли скорость автомобиля значение, равное 15 км/ч, и если скорость не превышена, то при запросе водителя выдается команда исполнительному механизму;

- исполнительный механизм выполняет свои функции, если на него подается питание.

11.3.6 Концепция функциональной безопасности

11.3.6.1 Общие положения

Настоящий пример концепции функциональной безопасности используется только в качестве иллюстрации декомпозиции значения УПБА, он не является исчерпывающим и не включает в себя все требования функциональной безопасности.

Требование А1. ЭБУС посылает точную информацию о скорости транспортного средства в ЭБУИМ. => Значение УПБА равно С.

Требование А2. ЭБУИМ не подает питание на исполнительный механизм, если скорость автомобиля превышает 15 км/ч. => Значение УПБА равно С.

Требование A3. Исполнительный механизм приводится в действие только при подаче на него питания от ЭБУИМ. => Значение УПБА равно С.

11.3.6.2 Усовершенствованная концепция безопасности устройства

Разработчики имеют возможность ввести дополнительный (избыточный) элемент, аварийный выключатель, как показано на рисунке 23. Вводя этот избыточный элемент, ЭБУИМ разрабатывается со значением УПБА, равным или ниже значения УПБА, равного С, в соответствии с результатами декомпозиции значения УПБА.

Рисунок 23 - Вторая итерация проекта устройства

Цель элементов (усовершенствованная архитектура) на рисунке 23:

- ЭБУС передает в ЭБУИМ значение скорости транспортного средства;

- ЭБУИМ отслеживает запросы водителя, проверяет, не превысила ли скорость автомобиля значение, равное 15 км/ч, и если скорость не превышена, то при запросе водителя выдается команда исполнительному механизму;

- на шине питания между ЭБУИМ и исполнительным механизмом находится дополнительный выключатель. Он включается, если скорость транспортного средства меньше или равна 15 км/ч, и выключается, когда скорость превышает 15 км/ч. Он делает это независимо от состояния шины питания (его источник питания не зависит от источника питания исполнительного механизма).

Требования функциональной безопасности для усовершенствованной архитектуры представлены ниже.

Требование В1. ЭБУС посылает точную информацию о скорости транспортного средства в ЭБУИМ. => Значение УПБА равно С.

Альтернатива. Предотвращается некорректная передача информации о том, что скорость транспортного средства меньше или равна 15 км/ч. => Значение УПБА равно С.

Требование В2. ЭБУИМ не подает питание на исполнительный механизм, если скорость автомобиля превышает 15 км/ч. => Значение УПБА равно Х(С) (см. таблицу 4).

Требование В3. ЭБУС посылает точную информацию о скорости транспортного средства в аварийный выключатель. => Значение УПБА равно С.

Требование В4. Аварийный выключатель находится в разомкнутом состоянии, если скорость транспортного средства превышает 15 км/ч. => Значение УПБА равно Y(C) (см. таблицу 4).

Требование В5. Исполнительный механизм приводится в действие только при подаче на него питания от ЭБУИМ и аварийный выключатель находится в замкнутом состоянии. => Значение УПБА равно С.

Чтобы позволить декомпозицию значения УПБА, разработчики добавляют требование независимости в случае необходимости:

Требование В6. Показана достаточная независимость ЭБУИМ и аварийного выключателя. => Значение УПБА равно С.

Первоначальное требование А2 было заменено дополнительными требованиями В2 и В4, оба из которых удовлетворяют цели безопасности, и поэтому декомпозиция значения УПБА может быть применена.

Таблица 4 - Возможные декомпозиции

	Требование В2. УПБА равно Х(С)	Требование В4. УПБА равно Y(C)
Возможность 1	УПБА равно С(С) для требований	УПБА равно QM(C) для требований
Возможность 2	УПБА равно В(С) для требований	УПБА равно А(С) для требований
Возможность 3	УПБА равно А(С) для требований	УПБА равно В(С) для требований
Возможность 4	УПБА равно QM(C) для требований	УПБА равно С(С) для требований

Библиография

[1]	IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic safety-related systems
[2]	Kelly, T.P., Arguing Safety - A Systematic Approach to Safety Case Management, DPhil Thesis, Department of Computer Science, University of York, UK, 1998
[3]	Enamul Amyeen, M., et al., "Evaluation of the Quality of N-Detect Scan ATPG Patterns on a Processor", Proceedings of the International Test Conference 2004, ITC'04, p. 669 - 678
[4]	Benware, В., et al., "Impact of Multiple-Detect Test Patterns on Product Quality", Proc. of the International Test Conference 2003, ITC'03, pp. 1031 - 1040
[5]	Patel, J. H.,"Stuck-At Fault: A Fault Model forthe Next Millennium?", Proceedings of the International Test Conference 1998, ITC'98, pp. 1166
[6]	Siemens AG, "Failure Rates of Components - Expected Values, General", SN 29500 (2004)
[7]	Paschalis, A., and Gizopoulos, D., Effective Software-Based Self-Test Strategies for On-Line Periodic Testing of Embedded Processors. IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems, 24, 1 (Jan. 2005), 88 - 99
[8]	IЕС/TR 62380:2004, Reliability data handbook - Universal model for reliability prediction of electronics components, PCBs and equipment
[9]	The International Technology Roadmap For Semiconductors (ITRS), 2009 Edition
[10]	IEC 61709, Electric components - Reliability - Reference conditions for failure rates and stress models for conversion
[11]	IEC 61784 (all parts), Industrial communication networks - Profiles