ГОСТ Р ИСО 26262-10—2014
Скрытый сбой может привести к неспособности системы обнаружить кратковременный отказ, который вклю
чен в диагностический охват и обычно должен быть обнаружен. Необходимо отметить, что следует учитывать
порядок следования комбинации скрытых/первичных сбоев. Если скрытый сбой механизма безопасности проис
ходит до первичного сбоя, то первичный сбой не может быть обнаружен, и уменьшение опасных последствий не
происходит. Это представлено небольшим блоком L, указывающим, что это событие должно произойти последним в
последовательности с другим событием оператора И.
Блок SM1 построен в соответствии с представленным в таблице А.5 механизмом безопасности и реализует
логику обнаружения и генерацию аварийных сигналов для постоянных сбоев. Кратковременные сбои не включа
ются. поскольку они не вызывают скрытые сбои, так как вероятность того, что они происходят одновременно с
первичным сбоем очень низка и поэтому не учитывается. Это согласуется с примечанием 2 8.4.7 ИСО 26262-5, в
котором кратковременные сбои учитываются только для метрики одиночных сбоев. Логика обнаружения имеет
значение интенсивности отказов г = 0.0029 FIT.
Отказы логики обнаружения далее диагностируются механизмом безопасности SM2 с охватом диагностикой
90 %, соединенным оператором И с блоком SM1, который вычисляет вероятность скрытых сбоев SM1. Механизм
безопасности SM2 выявляет скрытые сбои a SM1 и выполняется при каждом включении ключа зажигания. Соглас
но 9.4.2.3 ИСО 26262-5 среднюю продолжительность поездки автомобиля можно рассматривать равной до одного
часа. Одинчас представлен записью !аи = 1подблоком события DL LATENT1. вероятность которогоумножается на
0.9 (охват диагностикой скрытых сбоев SM2 равен 90%). Доля сбоев генерации аварийных сигналов, не охваченная
SM2. представлена стандартным значением интенсивности отказов события ALARM LATENT, умноженным на 0.1
(10 %= 100 % — охват диагностикой скрытых сбоев SM2).
Ветвь, представляющая постоянные сбои строится аналогичным образом. Подчеркивание блока SM1 треу
гольной формы указывает на то. что это не просто копия существующего блока SM1 для ветви дерева для кратко
временных сбоев, это тот же вид отказов. Это может быть полезно при анализе отказов по общей причине. Напри
мер. на рисунке В.9 операторы И блоков TRANS R0 и PERM R0 содержат общую ветвь.
Пример в таблице А.5 содержит безопасные сбои. При рассмотрении безопасных сбоев, уточняется интен
сивность отказов для базовых событий. Например, для кратковременных сбоевАЛУ (строка 10 в таблице А5. 20%
безопасных сбоев) значение 0.00038 FIT умножается на 0.8 (100% — 20%). в результате имеем 3.8*10’13/ ч * 0.8 =
=3.04 *1013/ч.
В.4 Вероятностный анализ с использованием дерева отказов
Типичными количественными характеристиками отказов компонентов являются интенсивности их отказов.
Для сложного дерева отказов с несколькими операторами И и ИЛИ. отдельные интенсивности отказов не могут
быть объединены в общую интенсивность отказов системы. Например, система, состоящая из двух блоков, кото
рые соединены оператором И и имеютэкспоненциальные распределения, для которых обе интенсивности отказов
X, и Аз очень малы (оба значения X/ очень малы, где f представляет собой время службы системы), будет иметь
приблизительную вероятность отказа равную
X1tX2t
или X,X2R
Если значение ASIL системы равно D и целевые интенсивности отказов используются из таблицы 7
ИСО 26262-5. то вероятность целевых отказов в час составляет < 108/ч, которая относится кдругому временному
периоду, чем
а
,Х2/2. Одним из способов справиться с ситуацией является умножение целевой вероятности
отказов в час 10‘8/ч на время службы системы 10‘8/ч
I
и убедиться, что X ^ f2 s 10*8/ч I или XjX^ s 10’
8/ч. Это требуетданных о сроке службы системы, которые могут быть получены из прошлых профилей
использования или системных требований. Дерево неисправностей в настоящем приложении было создано,
полагая, что произ вольно вьбранное значение срока службы системы равно 5000 ч.
Для ветви R0 TRANSIENT вероятность не выявления отказа в первую очередь связана с недостаточным
охватом диагностикой (Q = 0,6). а не со скрытыми сбоями (Q = 2.175*10-9). Это типично для большинства прак
тических систем, у которых значение охвата диагностикой не равно или не близко к 100 %. Для тех случаев, когда
вероятности скрытых сбоев незначительны, удаление их из анализа FTA значительно упрощает анализ. Тем не
менее метрика скрытых сбоевдокументально оформляется в виде отдельной части обоснования безопасности.
Согласно 9.4.3 ИСО 26262-5 вероятность, связанного с безопасностью сбоя оценивается на уровне части
аппаратного средства. Если этот анализ осуществляется с помощью FTA, то FTAструктурируется таким образом,
чтобы оценка на уровне части аппаратного средства могла быть выполнена.
В данном примере это показано на рисунке В.6. В 9.4.3.5 и 9.4.3.6 ИСО 26262-5 требования приведены в
виде соотношений между интенсивностью отказов класса частей аппаратного средства и их охватом диагности
кой. Если оценка осуществляется с помощью FTA. полезно преобразовать требования, представленные в 9.4.3.5 и
9.4.3.6 ИСО 26262-5, вэффективное требование, связанное с интенсивностью остаточных отказов или
одиночных отказов части аппаратного средства. Если, например, интенсивность отказов класса 1 выбирается,
как целевое значение УПБА. равное D. деленное на 100. а целевое значение УПБА, равное D. выбирается так.
чтобы оно было < 10"8то требование 9.4.3.6 ИСО 26262-5 может быть представлено какагпар cpS
10’10ч’ 1. где ^RF.
4
acmamap.
cv
является интенсивностью остаточных отказов части аппаратного средства. На
рисунке В.6 показа но. что вероятность отказа ЦПУ. который может привести к нарушению цели безопасности в
течение срока службы 5000 ч. будет равна 1.040631*10Это приводит к
соответствующему значению вероятности, равному 2.08*10’10 в час. Поскольку эта величина больше требуемой
интенсивности остаточных отказов, то требования 9.4.3.6 не будут выполнены.
75