ГОСТ Р ИСО 26262-9—2014
П р и м е ч а н и я
1 Декомпозиция значения УПБА является средством обеспечения заданных значений УПБА, которое
может быть применено к функциональным, техническим требованиям безопасности, а также к требованиям
безопасности аппаратных средств или программного обеспечения устройства или элемента.
2 Основное правило применения декомпозиции УПБА требует, чтобы требования к безопасности,
распределяемые элементам архитектуры, которые являются достаточно независимыми, были избыточными.
3 В случае использования однородной избыточности (например, дублирующее устройство или
дублирующее программное обеспечение) и при рассмотрении систематических отказов аппаратных средств и
программного обеспечения значение УПБА не может быть уменьшено, пока анализ зависимости отказов не
предоставит доказательство того, что они достаточно независимы или. что возможная общая причина приведет к
безопасному состоянию. Таким образом, однородная избыточность в общем случае не является достаточной
для снижения значения УПБА из-за отсутствия независимости между элементами.
4 В общем случае декомпозиция значения УПБА не распространяется на элементы, обеспечивающие
выбор или переключение канала в проектах с многоканальной архитектурой.
В общем случае декомпозиция
требования к системе безопасности
значения УПБА позволяет распределить значение УПБА
между несколькими элементами, которые обеспечивают
соответствие этому требованию к безопасности и реализуют ту же цель безопасности. Декомпозиция
значения УПБА между заданной функциональностьюи ее соответствующим механизмом
обеспечения безопасности допускается при определенных условиях (см. 5.4.7).
Конкретные требования к случайным отказам аппаратных средств, в том числе к оценке метрик
архитектуры аппаратных средств и оценке нарушения цели безопасности из-за случайных отказов
аппаратных средств (см. ИСО 26262-5) остаются неизменными при декомпозиции значения УПБА.
5.3 Входная информация
5.3.1 Предварительные требования
Необходима следующая информация:
требования к безопасности на уровне, на котором должна применяться декомпозиция
УПБА: на уровне системы, на уровне аппаратных средств или на уровне программного обеспечения в
соответствии с 8.5.1 ИСО 26262-3. или 6.5.1 ИСО 26262-4. или 6.5.1 ИСО 26262-5, или 6.5.1 ИСО
26262-6. и
информация об архитектуре на уровне, на котором должна применяться декомпозиция
УПБА: на уровне системы, на уровне аппаратных средств или на уровне программного обеспечения в
соответствии с 7.5.2 ИСО 26262-4, или 7.5.1 ИСО 26262-5. или 7.5.1 ИСО 26262-6.
5.3.2 Дополнительная информация
Следующая информация может быть учтена:
определение устройства (см. 5.5 ИСО 26262-3):
цели безопасности (см. 7.5.2 ИСО 26262-3).
5.4 Требования и рекомендации
5.4.1 Если применяется декомпозиция значения УПБА. то должны соблюдаться все требования,
содержащиеся в настоящем разделе.
5.4.2 Декомпозиция значения УПБА должна осуществляться отдельно для каждого исходного
требования к безопасности.
П р и м е ч а н и е - В результате декомпозиций значений УПБА различных исходных требований к
безопасности некоторые из этих требований могут быть распределены одним и тем же независимым элементам.
5.4.3 Исходные требования к безопасности должны быть декомпозированы на избыточные
требования к безопасности, реализуемые достаточно независимыми элементами.
5.4.4 Каждое полученное в результате декомпозиции требование к безопасности само по себе
допжно соответствовать исходному требованию безопасности.
П р и м е ч а н и е - Даннов требование обеспечивает избыточность по определению.
5.4.5 Требования к оценке метрик архитектуры аппаратных средств и оценке нарушений целей
безопасности из-за случайных отказов аппаратных средств должны оставаться неизменными при
декомпозиции значения УПБА в соответствии с требованиями ИСО 26262-5.
5.4.6 Если декомпозиция значения УПБА применяется для программного обеспечения, то на
4