ГОСТ Р ИСО 26262-10— 2014
8.3 Об аппаратных средствах
8.3.1 Применение настоящего стандарта для микроконтроллеров
Микроконтроллеры являются неотъемлемой частью современных Э/Э автомобильных систем. Они
могут быть разработаны в качестве общеислользуемого элемента безопасности (ОЭБ. см. раздел 9).
Сложность их создания преодолевается применением объединенных качественных и количе
ственных методов анализа безопасности частей и подчастей микроконтроллера, выполняемых на соот
ветствующем уровне абстракции, т.е. от блок-схемы до уровня списка соединений и топологии во время
стадий формирования концепции и разработки изделия.
В приложении А представлены руководящие указания и не исчерпывающий перечень примеров
применения настоящего стандарта для микроконтроллеров.
В приложении А описан метод для расчета интенсивности отказов микроконтроллеров, в том чис
ле. как рассматривать постоянные и кратковременные сбои.
Приложение А включает в себя примеры:
- анализа зависимых отказов:
- предотвращения систематических отказов при проектировании микроконтроллера;
- верификации механизмов безопасности микроконтроллера; а также
- выполнения автономного анализа микроконтроллера на уровне системы.
8.3.2 Методы анализа системы безопасности
В приложении В обсуждаются методы анализа видов сбоев системы, включая индуктивный и де
дуктивный анализ, и приведен пример анализа дерева сбоев.
8.3.3 Продолжительность воздействия при расчете вероятностной метрики для
случайных отказов аппаратных средств (PMHF)
Как описано в 9.4.2.3 ИСО 26262-5. количественный анализ представляет свидетельства о том. что
целевые значения требования 9.4.2.1 ИСО 26262-5 были достигнуты. Как показано в 9.4.2.3 ИСО 26262-5,
этот количественный анализ учитывает продолжительность воздействия в случае двойных сбоев.
На основе примечания 2 к 9.4.2.3 ИСО 26262-5 продолжительность воздействия начинается с мо
мента возникновения сбоя и включает в себя:
- интервал обнаружения множественно сбоя, связанный с каждым механизмом безопасности, или
срок службы автомобиля, если сбой не отображается водителю (скрытый сбой);
- максимальную продолжительность поездки (в случае, если водителю предлагается остановить
ся в безопасном режиме); и
- средний интервал времени нахождения автомобиля в автомастерской (в случае, если водитель
предупрежден о необходимости ремонта автомобиля).
Следующий пример демонстрирует один из способов учета продолжительности воздействия. В
данном примере предполагается, что требуемая функциональность (блока задачи «m») контролируется
механизмом безопасности «sm».
Значение вероятностной метрики AfPMHF случайных отказов аппаратных средств, с учетом услов
ной вероятности того, что отказ блока задачи происходит при условии отказа механизма безопасности,
может быть рассчитана по формуле:
WPMHP = P‘m.RFX^Lifetime* *m.OPFX 7L.fclimeX^’®X^‘sm.OPF,laten|X^Ufe!ime+*,*rn.DPF.d*tecledXtSM^Lifetime’
p
где A#
mhf
— значение вероятностной метрики случайных отказов аппаратных средств (PMHF):
XmRF — интенсивность остаточных отказов требуемой функциональности (блока задачи «т»):
d
p
f
— интенсивность двойных отказов блока задачи «т»;
Тиеьте “ СР0К жизни транспортного средства:
Л5П10PFlatenl — интенсивность скрытых двойных отказов механизма безопасности «sm».
^sm OPFdetected — интенсивность обнаруживаемых двойных отказов механизма безопасности «sm»;
tSM— интервал выявления множественных сбоев механизма безопасности «sm».
Если величина термаRF * XsmD
p
f
detected x
tsm
- представляющего вероятность отказа задачи,
в сочетании с отказом соответствующего механизма безопасности в одном tSM, очень мала (например,
если величина
tsw
одного порядка с длительностью одной поездки (даже сХ„, 0PF =DPF Ialenl = 1000
FIT вклад S 10’12 1/ч в данном примере)], то ею можно пренебречь, упростив предыдущую формулу:
4>MHF = ’*RF +0-5х ^VoPF Х ^sm.DPF.Iatenl Х ^UfeUme’
30