ГОСТ Р ИСО 26262-10—2014
А.3.6 Пример анализа зависимых отказов
Общие требования и рекомендации, связанные с идентификацией, оценкой и учетом зависимых отказов,
соответственно, определены в ИСО 26262-9.
Анализ зависимых отказов структурирован на следующие этапы:
1) определить части, на которые могут повлиять зависимые отказы.
П ри ме чан ия
1Структуры частей, о которых в концепции обеспечения безопасности микроконтроллера утверждается, что
они независимы друг от друга, могут быть чувствительны к зависимому отказу.
2 Это определение может быть поддержано дедуктивным анализом безопасности. События считаются не
зависимыми. если анализ двойных и множественных отказов дает полезную информацию о частях уязвимых для
зависимых отказов:
2) определить источники возможных зависимых отказов.
Рассматриваются источники, перечисленные в данном приложении, а также другие предсказуемые физи
ческие и логические источники зависимых отказов (общеиспользуемые логические части и сигналы), е том числе
результаты, связанные с сосуществованием функций с различными УПБА;
3) определить механизм Связи между частями, позволяющий возникновение зависимых отказов;
4) качественно описать и оценить меры по предотвращению зависимых отказов:
5) качественно описать и оценить меры, используемые в процессе проектирования, по ограничению влия
ния, вызванного оставшимися зависимыми отказами, на каждую структуру частей, которые определены в пере
числении 1).
П р и м е ч а н и е — Как указано в примечании к 7.4.2 ИСО 26262-9. анализ зависимых отказов выполняет
ся качественно, потому что не существует никакого общего и достаточно надежного метода для количественного
анализа таких отказов.
Как указано в примечании 1 к 7.4.4 ИСО 26262-9, оценка зависимых отказов может быть выполнена при
менением соответствующих таблиц контрольных проверок, например с помощью таблиц контрольных проверок,
полученных из практического опыта. Таблицы контрольных проверок обеспечивают аналитикам характерные при
меры первопричин и факторов связи зависимых отказов, такие как: тот же самый проект, тот же процесс, такой же
компонент, тот же интерфейс и уровень близости.
В таблице А.7 перечислены области (см. 7.4.4 ИСО 26262-9). для которых выполняется оценка зависимых от
казов. В данной таблице также даны краткие примеры источников и механизмов связи, которые могли бы привести к
зависимым отказам, с примерами мер их предотвращения или обнаружения.
П р и м е ч а н и е — Перечисленные меры являются лишь некоторыми из возможных вариантов. Возможны
другие меры по предотвращению или обнаружению зависимых отказов, например, механизмы безопасности на
уровне системы.
Таблица А.7 — Области оценки зависимых отказов, их возможные источники и связанные с ними меры
Области 7.4.4ИСО
26262-9
Примеры возможныхисточниюв имеханизмов
связи
Примеры мер
Случайные отказы аппа
ратных средств
Физические дефекты могут влиять как на
часть, так на ее механизм безопасности та
ким образом, что может произойти нарушение
цели безопасности
Можно устранить с помощью таких
мер. как физическое разделение,
разнообразие,производственные
испытания и тд.
Ошибки разработки
Ошибки разработки могут быть причиной за
висимого отказа, например, перекрестные по
мехи, неправильная реализация функциональ
ности. ошибки спецификации, неправильная
конфигурация микроконтроллера и т.д. (см.
также А.3.7)
Можно устранить с помощью таких
мер. как определение процесса раз
работки. разнообразие, правила про
ектирования. механизмы защиты
конфигурации и т.д.
Сбои производства
Сбои производства могут быть причиной за
висимого отказа, например, сбои, связанные с
несоосностью фотошаблонов
Можно устранить с помощью тща
тельного тестирования производства
микроконтроллеров
Ошибки монтажа
Ошибки монтажа могут быть причиной зависи
мого отказа, например, при установке микро
контроллера на печатной плате, помехи сосед
них частей и т.д.
Можно устранить с помощью завод
ского испытания печатной платы, ру
ководства по монтажу и т.д.
63