ГОСТ Р ИСО 26262-10—2014
1
/
Если V, s
V
s /2. то вероятность pRF stucfc@rnc(m1.m2].v1SvSv2 остаточного сбоя равна нулю.
Задача точного определения вероятности достаточно долгого пребывания в области остаточных
сбоев, что может привести к нарушению цели безопасности, является нетривиальной. Она может за
висеть от таких параметров, как:
- динамическое поведение физической величины
v
и ее соответствующее распределение вероят
ностей. например, значение температуры является скорее статической величиной тогда, как значение
углового положения работающего электродвигателя является скорее динамического величиной:
- распределение вероятностей значений
i b v e
[v,,
v2).
- время реакции программы наблюдения, например, из-за времен фильтрации. В рассматривае
мом примере одиночного события с ДА г дМах достаточно для обнаружения отказа датчика и переклю
чения в безопасное состояние. Однако обычно счетчик ошибок реализуется так. что необходимо
более одного события для оценки отказа датчика и переключения в безопасное состояние.
Восстановление счетчика ошибок, например сброс счетчика ошибок, как только обнаружено одно не
связанное с безо пасностью событие (в данном примере это будет соответствовать Дд < Дп,ах). может
оказать существен ное влияние на способность программы наблюдения обнаруживать отказы, которая
резко снижается;
- необходимое число измеряемых отклонений связанного с безопасностью датчика, которое мо
жет привести к нарушению цели безопасности. Кроме того, может представлять интерес число обо
снованных измерений, которые должны быть выполнены между двумя измеряемыми отклонениями
связанного с безопасностью датчика, так чтобы цель безопасность больше не нарушалась.
Если точная подробная информация о каждом влияющем параметре недоступна, то есть все ос
нования использовать экспертную оценку и инженерные практики (например, используя равномерное
распределение для неизвестных распределений вероятностей) для получения консервативной оценки.
Оценив вероятности PRF.stuck@m>rn2. PRF.sluck@m<m1 и PRF.stuck(gmclmn.m2). может быть рассчитана
вероятность pRFs)uck@m константного остаточного сбоя датчика:
^RF,sluck@m " ^RF stuck@m<m1
*
Pm<m1 + ^RF,stuck<§;mc[m1.m2l ХAm1Smsm2 * ^RF.stuck@m>m2 X
Рщ>т2.
где: Pm<m1 — вероятность константного отказа"при
m
< m,:
Pmisms m
2
~ вероятность константного отказа при m , s m s
Pm>m
2
— вероятность константного отказа при
т > т2:
Рт’-ггИ
*
Р misms m2 + Pm>m2 “ ^-
8.2.4.5 Окончательная оценка интенсивности остаточных отказов
Если каждый соответствующий вид отказа FM, оценивать так же. как описано выше, то общая
вероятность ^ RFSensor сбоя датчика, проявляющегося как остаточный сбой, может быть вычислено по
формуле:
P u t Н а г а я л
X
Р *
m
j
х А»мм,
где: pFM | — вероятность вида отказа FM.;
P
r
p
.
fm
I— вероятность этого вида отказа FM,, проявляющегося как остаточный сбой,
2 > м . “ 1.
Зная эту вероятность, можно оценить интенсивность остаточных отказов, как:
^■RF.Sensof - ^RF.Sensor Х ^Sensor •
а также значение MSPFM Sensor
MSPFM.Sonsor = 1^RRSensor Censor = 1 — ^RFSensof
8.2.4.6 Улучшение SPFMSensor
Эффективным способом снижения остаточной интенсивности отказов датчика является снижение
величины ДМах. Снижение ДМах может быть выполнено без значительного увеличения ложного обнару
жения отказов при следующих условиях:
- распределение вероятностей допусков может показать, что оцениваемый сценарий наихудшего
случая крайне маловероятен. Таким образом, вероятность ложной тревоги достаточно низка, и поэтому
допустима;
- повторное проектирование системы может привести к улучшению значения допуска.
Следует отметить, что в данном примере оцениваются только сбои датчика, но не сбои в остав
шейся части канала с датчиком. Неисправность разделяемых ресурсов аппаратных средств, которая
может привести к неисправной работе обоих датчиков или которая могла бы исказить значения обоих
датчиков, например, АЦП микроконтроллера, оценивается отдельно. Кроме того, выполняется анализ
зависимых отказов, как указано в разделе 7 ИСО 26262-9 (Анализ зависимых отказов).
29