Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО 26262-10-2014 "Дорожные транспортные средства. Функциональная безопасность. Часть 10. Руководящие указания по ИСО 26262" (утв. приказом Федерального агентства по техническому регулированию и метрологии России от 17 ноября 2014 г. N 1624-ст)
- Приложение В (справочное). Формирование и применение дерева неисправностей
Приложение В (справочное). Формирование и применение дерева неисправностей
Приложение В
(справочное)
Формирование и применение дерева неисправностей
В.1 Общие положения
FTA и FMEA - два наиболее распространенных метода анализа сбоев и отказов устройства и элементов. FMEA является индуктивным ("снизу-вверх", см. рисунок В.1) подходом, рассматривающим отказы отдельных частей системы и влияние этих отказов на всю систему. FTA является дедуктивным ( "сверху-вниз", см. рисунок В.2) подходом, начинающим анализ с нежелательного поведения системы и определяющим возможные причины такого поведения.
Рисунок В.1 - Иллюстрация метода FMEA ("сверху-вниз")
Рисунок В.2 - Иллюстрация метода FTA ("сверху-вниз")
Эти подходы дополняют друг друга, как указано в примечании таблицы 2 подпункта 7.4.3.1 ИСО 26262-5: "Уровень детализации анализа соизмерим с уровнем детализации проекта. Оба метода, в некоторых случаях, могут осуществляться на различных уровнях детализации". Овалы "Сх" на рисунках В.1 и В.2 представляют собой компоненты либо технических средств, либо программного обеспечения. Обычно для анализа опасностей вплоть до уровня компонентов используется FTA. Затем с помощью FMEA снизу вверх анализируются отказы компонентов, чтобы установить их виды и определить механизмы безопасности, для устранения неисправностей на нижнем уровне дерева неисправностей. Желательно избегать дублирования работы, которое возникает на пересечении между FTA моделированием и FMEA. Для серийно выпускаемых частей системы результаты FMEA в модели дерева отказов предпочтительно рассматривать как интенсивности отказов базовых событий.
Примечание - Как указано в 7.4.2.1 ИСО 26262-9, вклад зависимых отказов оценивается качественно, потому что не существует никакого общего и достаточно надежного метода для количественной оценки таких отказов. Таким образом, количественный метод, представленный в настоящем приложении, относится только к определяемым количественно зависимым отказам, таким, как показанный на рисунке В.9 вклад по общей причине от постоянного сбоя SM1 в сечениях дерева отказов как для кратковременного сбоя, так и постоянного сбоя регистра R0.
В.2 Объединение FTA и FMEA
Системы состоят из многих частей и подчастей. FTA и FMEA могут быть объединены для выполнения анализа безопасности с необходимым балансом подходов сверху вниз и снизу вверх. На рисунке В.3 показан возможный способ объединения FTA и FMEA. На данном рисунке базовые события получены из FMEA для различных отказов (обозначенных FMEA A-E в данном примере), который выполняется на более низком уровне абстракции (например, на уровне подчасти, части или компонента). В этом примере FMEA В не влияет на базовые события 1 и 2, а FMEA D влияет на оба.
Рисунок В.3 - Объединение FTA и FMEA
В.3 Пример дерева неисправностей
В.3.1 Общие положения
Для микроконтроллера, описанного в примере приложения А, может быть построено дерево неисправностей. Данный пример не является примером интеграции FMEA и FTA, но демонстрирует построение дерева неисправностей.
Дерево неисправностей построено для каждой строки таблицы А.5, преобразуя ее в ветвь дерева. Полное дерево неисправностей представлено на рисунках В.6 - В.21. Пример дерева неисправностей используется для иллюстрации двух методов оценки, является ли остаточный риск нарушений цели безопасности достаточно низким. Вероятность нарушения цели безопасности оценивается для каждой ветви дерева неисправностей. Поэтому вероятность нарушения цели безопасности на верхнем уровне не рассчитывается.
Дерево неисправностей не используется для определения диагностического охвата или метрик одиночного и скрытого сбоев. Если диагностический охват определяется, например с помощью FMEA, то его результаты могут быть использованы в дереве неисправностей, поэтому может быть рассчитана вероятность отказа системы в течение ее срока службы.
На рисунке В.4 представлены в общем виде примеры FТА для одиночного, остаточного и двойного сбоев.
Рисунок В.4 - Примеры РТА для одиночного, остаточного и двойного сбоев
В.З.2 Пример создания ветви дерева неисправностей
В качестве примера подробно описано создание одной ветви - ветви дерева неисправностей для регистра R0. На рисунке В.9 показано, что первые две строки таблицы А.5 объединены оператором ИЛИ. Это предполагает, что постоянные и кратковременные отказы регистра R0 являются независимыми видами отказов. Поскольку интенсивности кратковременных отказов и диагностический охват известны, то кратковременные сбои включены в дерево неисправностей таким же образом, как постоянные сбои. Если интенсивности отказов и диагностический охват не известны, то кратковременные сбои могут быть обработаны отдельно, как описано в примечании 2 к 8.4.7 ИСО 26262-5.
Примечание - В рассматриваемом примере показан способ объединения постоянных и кратковременных сбоев. Согласно примечанию 2 к 8.4.7 ИСО 26262-5 если показано, что кратковременные сбои актуальны, то они включаются в анализ. Так как для данного примера кратковременные сбои актуальны и оцениваются количественно, то они включены в дерево неисправностей аналогичным образом, как и постоянные сбои.
Сначала рассматривается построение ветви для кратковременных сбоев, которая состоит из события, представляющего кратковременные сбои с интенсивностью отказов, равной 0,032005 FIT (/ч работы), соединенного со входом оператора И. Второй вход этого оператора И связан с выходом оператора или, на входе которого два события: связанное с охватом отказов данного вида с фиксированной вероятностью 60% (1 - охват вида отказов, связанных с нарушением цели безопасности), и связанное с вероятностью отказа механизма безопасности SM1 от скрытых сбоев. Символ r под блоком события представляет значение интенсивности отказов в час, а символ Q представляет значение вероятности отказа данного блока или ветви в течение ожидаемого срока службы системы.
Примечание - Событие с фиксированной вероятностью доминирует над событием, описываемым ветвью, представляющей диагностический охват и скрытые отказы механизма безопасности SM1. На практике значением диагностического охвата вместе с интенсивностью скрытых отказов механизма безопасности SM1 (выход оператора 19 на рисунке В.9) можно пренебречь, упрощая дерево. Тем не менее, метрика скрытых сбоев оценивается и проверяется на соответствие.
Скрытый сбой может привести к неспособности системы обнаружить кратковременный отказ, который включен в диагностический охват и обычно должен быть обнаружен. Необходимо отметить, что следует учитывать порядок следования комбинации скрытых/первичных сбоев. Если скрытый сбой механизма безопасности происходит до первичного сбоя, то первичный сбой не может быть обнаружен, и уменьшение опасных последствий не происходит. Это представлено небольшим блоком L, указывающим, что это событие должно произойти последним в последовательности с другим событием оператора И.
Блок SM1 построен в соответствии с представленным в таблице А.5 механизмом безопасности и реализует логику обнаружения и генерацию аварийных сигналов для постоянных сбоев. Кратковременные сбои не включаются, поскольку они не вызывают скрытые сбои, так как вероятность того, что они происходят одновременно с первичным сбоем очень низка и поэтому не учитывается. Это согласуется с примечанием 2 8.4.7 ИСО 26262-5, в котором кратковременные сбои учитываются только для метрики одиночных сбоев. Логика обнаружения имеет значение интенсивности отказов r = 0,0029 FIT.
Отказы логики обнаружения далее диагностируются механизмом безопасности SM2 с охватом диагностикой 90%, соединенным оператором И с блоком SM1, который вычисляет вероятность скрытых сбоев SM1. Механизм безопасности SM2 выявляет скрытые сбои в SM1 и выполняется при каждом включении ключа зажигания. Согласно 9.4.2.3 ИСО 26262-5 среднюю продолжительность поездки автомобиля можно рассматривать равной до одного часа. Один час представлен записью tau = 1 под блоком события DL LATENT1, вероятность которого умножается на 0,9 (охват диагностикой скрытых сбоев SM2 равен 90%). Доля сбоев генерации аварийных сигналов, не охваченная SM2, представлена стандартным значением интенсивности отказов события ALARM LATENT, умноженным на 0,1 (10% = 100% - охват диагностикой скрытых сбоев SM2).
Ветвь, представляющая постоянные сбои строится аналогичным образом. Подчеркивание блока SM1 треугольной формы указывает на то, что это не просто копия существующего блока SM1 для ветви дерева для кратковременных сбоев, это тот же вид отказов. Это может быть полезно при анализе отказов по общей причине. Например, на рисунке В.9 операторы И блоков TRANS R0 и PERM R0 содержат общую ветвь.
Пример в таблице А.5 содержит безопасные сбои. При рассмотрении безопасных сбоев, уточняется интенсивность отказов для базовых событий. Например, для кратковременных сбоев АЛУ (строка 10 в таблице А.5, 20% безопасных сбоев) значение 0,00038 FIT умножается на 0,8 (100% - 20%), в результате имеем /ч х 0,8 =
/ч.
В.4 Вероятностный анализ с использованием дерева отказов
Типичными количественными характеристиками отказов компонентов являются интенсивности их отказов. Для сложного дерева отказов с несколькими операторами И и ИЛИ, отдельные интенсивности отказов не могут быть объединены в общую интенсивность отказов системы. Например, система, состоящая из двух блоков, которые соединены оператором И и имеют экспоненциальные распределения, для которых обе интенсивности отказов и
очень малы (оба значения
очень малы, где t представляет собой время службы системы), будет иметь приблизительную вероятность отказа равную
или
.
Если значение ASIL системы равно D и целевые интенсивности отказов используются из таблицы 7 ИСО 26262-5, то вероятность целевых отказов в час составляет < /ч, которая относится к другому временному периоду, чем
. Одним из способов справиться с ситуацией является умножение целевой вероятности отказов в час
на время службы системы
/ч t и убедиться, что
/ч t или
/ч. Это требует данных о сроке службы системы, которые могут быть получены из прошлых профилей использования или системных требований. Дерево неисправностей в настоящем приложении было создано, полагая, что произвольно выбранное значение срока службы системы равно 5000 ч.
Для ветви R0 TRANSIENT вероятность не выявления отказа в первую очередь связана с недостаточным охватом диагностикой (Q = 0,6), а не со скрытыми сбоями (Q = 2,175). Это типично для большинства практических систем, у которых значение охвата диагностикой не равно или не близко к 100%. Для тех случаев, когда вероятности скрытых сбоев незначительны, удаление их из анализа FTA значительно упрощает анализ. Тем не менее метрика скрытых сбоев документально оформляется в виде отдельной части обоснования безопасности.
Согласно 9.4.3 ИСО 26262-5 вероятность, связанного с безопасностью сбоя оценивается на уровне части аппаратного средства. Если этот анализ осуществляется с помощью FTA, то FTA структурируется таким образом, чтобы оценка на уровне части аппаратного средства могла быть выполнена.
В данном примере это показано на рисунке В.6. В 9.4.3.5 и 9.4.3.6 ИСО 26262-5 требования приведены в виде соотношений между интенсивностью отказов класса частей аппаратного средства и их охватом диагностикой. Если оценка осуществляется с помощью FTA, полезно преобразовать требования, представленные в 9.4.3.5 и 9.4.3.6 ИСО 26262-5, в эффективное требование, связанное с интенсивностью остаточных отказов или одиночных отказов части аппаратного средства. Если, например, интенсивность отказов класса 1 выбирается, как целевое значение УПБА, равное D, деленное на 100, а целевое значение УПБА, равное D, выбирается так, чтобы оно было < , то требование 9.4.3.6 ИСО 26262-5 может быть представлено как
, где
является интенсивностью остаточных отказов части аппаратного средства. На рисунке В.6 показано, что вероятность отказа ЦПУ, который может привести к нарушению цели безопасности в течение срока службы 5000 ч, будет равна
. Это приводит к соответствующему значению вероятности, равному
в час. Поскольку эта величина больше требуемой интенсивности остаточных отказов, то требования 9.4.3.6 не будут выполнены.
Применение FTA, как описано для оценки выполнения 9.4.3.5 или 9.4.3.6 ИСО 26262-5, является консервативным, поскольку эффективные требования относятся к интенсивности остаточных отказов или одиночных отказов части аппаратного средства. Однако FTA предоставляет вероятность, включая также сценарии с двойными отказами.
Поскольку FTA не рассматривает требования 9.4.3.11 ИСО 26262-5, то необходим дополнительный анализ для получения доказательств, что соответствующие требования, касающиеся сценариев с двойными отказами, выполнены.
При ранжировании классов интенсивностей отказов может быть использован делитель ниже, чем 100, если предоставляется обоснование. В этом случае должна быть обеспечена поддержка корректности ранжирования при совместном рассмотрении одиночных сбоев, остаточных сбоев и сечений более высокого уровня.
В.5 Пример дерева отказов
Рисунок В.5 - Краткое описание символов FTA
Рисунок В.6 - Верхний уровень дерева неисправностей
Рисунок В.7 - Ветвь, представляющая CPU, дерева неисправностей верхнего уровня
Рисунок B.8 - Ветвь, представляющая блок регистров CPU, дерева неисправностей верхнего уровня
Рисунок В.9 - Ветвь дерева неисправностей для регистра R0
За исключением значений охвата диагностикой на рисунке В.9 представлено типичное дерево отказов, которое можно использовать для любого регистра, поэтому конкретные деревья отказа для регистров 1, 2 и 3 не показаны.
Рисунок В.10 - Ветвь, представляющая ЦПУ-АЛУ дерева неисправностей верхнего уровня
Рисунок В.11 - Ветвь дерева неисправностей, представляющая АЛУ
За исключением значений охвата диагностикой и интенсивностей FIT на рисунке В.11 представлено типичное дерево отказов, которое можно использовать для блока умножения, блока деления, устройства конвейерной обработки, секвенсера, устройства управления стэком, устройства формирования адресов, устройств загрузки и хранения, поэтому конкретные ветви дерева отказов для этих устройств не показаны.
Рисунок В.12 - Ветвь дерева неисправностей верхнего уровня, представляющая устройство управления
Рисунок В.13 - Ветвь дерева неисправностей верхнего уровня, представляющая блок загрузки и хранения
Рисунок В.14 - Ветвь дерева неисправностей, представляющая отладчик
Рисунок В.15 - Охват скрытых сбоев механизмом безопасности SM2
Рисунок В.16 - Ветвь дерева неисправностей верхнего уровня, представляющая энергозависимую память
Рисунок В.17 - Ветвь дерева неисправностей, представляющая механизм безопасности SM3. Верхний уровень
Рисунок B.18 - Ветвь дерева неисправностей, представляющая кодировщик механизма EDC
Рисунок В.19 - Ветвь дерева неисправностей, представляющая скрытые сбои битов EDC в ОЗУ
За исключением значений охвата диагностикой на рисунке В.19 представлено типичное дерево неисправностей, которое можно использовать для декодера механизма EDC, поэтому конкретные деревья неисправностей для этой ветви не показаны.
Рисунок В.20 - Ветвь дерева неисправностей, представляющая скрытые сбои в генераторе аварийных сигналов
Рисунок В.21 - Ветвь дерева неисправностей SM3, представляющая отказы, которые непосредственно способствуют опасности на высоком уровне