• Текст документа
  • Статус
Документ в силу не вступил

ГОСТ Р 26262-1-2020


НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ДОРОЖНЫЕ ТРАНСПОРТНЫЕ СРЕДСТВА. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ

Часть 1

Термины и определения

Road vehicles. Functional safety. Part 1. Terms and definitions


ОКС 43.040.10
01.040.43

Дата введения 2021-06-01


Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием "Российский научно-технический центр информации по стандартизации, метрологии и оценке соответствия (ФГУП "СТАНДАРТИНФОРМ") совместно с Обществом с ограниченной ответственностью "Корпоративные электронные системы" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 058 "Функциональная безопасность"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 24 сентября 2020 г. N 675-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 26262-1:2018* "Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения" (ISO 26262-1:2018* "Road vehicles - Functional safety - Part 1: Vocabulary", IDT).
___________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р ИСО 26262-1-2014

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


Комплекс стандартов ИСО 26262 является адаптацией комплекса стандартов МЭК 61508 и предназначен для применения электрических и/или электронных (далее - Э/Э) систем в дорожных транспортных средствах.

Данная адаптация распространяется на все виды деятельности в процессе жизненного цикла систем, связанных с безопасностью, включающих электрические, электронные и программные компоненты.

Безопасность является одним из приоритетов современного автомобилестроения. Расширение числа функциональных возможностей транспортных средств вызывает необходимость использования методологии функциональной безопасности и подтверждения достижения целей функциональной безопасности.

С ростом сложности технологий, программного обеспечения и мехатронных устройств увеличиваются риски, связанные с систематическими и случайными отказами аппаратных средств, рассматриваемыми в рамках функциональной безопасности. Комплекс стандартов ИСО 26262 является руководством по снижению этих рисков, в которое включены соответствующие требования и процессы.

Для достижения функциональной безопасности комплекс стандартов ИСО 26262 устанавливает:

a) жизненный цикл системы безопасности транспортного средства и включает перечень действий для стадий этого жизненного цикла (разработка, производство, эксплуатация, обслуживание, вывод из эксплуатации);

b) подход, основанный на оценке риска, разработанный специально для автотранспорта для определения уровней полноты безопасности [уровни полноты безопасности транспортного средства (УПБТС)];

c) использование значения УПБТС для спецификации требований комплекса стандартов ИСО 26262 с целью предотвращения неоправданного остаточного риска;

d) требования к мерам по выполнению менеджмента функциональной безопасности, проектирования, реализации, верификации, валидации, а также к мерам их подтверждения;

e) требования к взаимодействию между заказчиками и поставщиками.

Комплекс стандартов ИСО 26262 рассматривает функциональную безопасность Э/Э систем, которая достигается с помощью мер по обеспечению безопасности, включая механизмы обеспечения безопасности. Однако он также обеспечивает подход, в рамках которого можно использовать связанные с безопасностью системы, реализуемые на других технологиях (например, механических, гидравлических и пневматических).

На достижение функциональной безопасности влияют процессы разработки (в том числе спецификация требований, проектирование, реализация, интеграция, верификация, валидация и управление конфигурацией), процессы производства и обслуживания, а также процессы управления.

Вопросы безопасности тесно связаны с опытно-конструкторскими работами, реализующими функционал и обеспечивающими качество создаваемых изделий, а также с результатами таких работ. Настоящий стандарт рассматривает связанные с безопасностью проблемы, касающиеся опытно-конструкторских работ и их результатов.

На рисунке 1 показана общая структура комплекса стандартов ИСО 26262. В нем для различных стадий разработки изделия используется эталонная V-модель процесса. На рисунке 1:

- заштрихованная область в виде символа "V" представляет взаимосвязь между ИСО 26262-3, ИСО 26262-4, ИСО 26262-5, ИСО 26262-6 и ИСО 26262-7;

- для мотоциклов:

ИСО 26262-12:2018, раздел 8, соответствует требованиям ИСО 26262-3;

ИСО 26262-12:2018, разделы 8 и 10, соответствуют требованиям ИСО 26262-4;

- ссылки на конкретную информацию даны в виде: "m-n", где "m" представляет собой номер части настоящего стандарта, а "n" указывает на номер раздела этой части.

Пример - 2-6 ссылается на раздел 6 ИСО 26262-2.

ГОСТ Р ИСО 26262-1-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения

Рисунок 1 - Общая структура ИСО 26262


1 Область применения


Настоящий стандарт применяется к системам, связанным с безопасностью, включающим в себя одну или несколько Э/Э систем, которые установлены в серийно производимые дорожные транспортные средства, исключая мопеды. Настоящий стандарт не применяется для уникальных Э/Э систем транспортных средств специального назначения, таких как Э/Э системы, предназначенные для водителей с ограниченными возможностями.

Примечание - Существуют другие стандарты по безопасности для специального применения, которые могут дополнить комплекс стандартов ИСО 26262 либо включающие комплекс стандартов ИСО 26262.

Системы и их компоненты, находящиеся в производстве или на стадии разработки до даты публикации настоящего стандарта, не входят в его область применения. Настоящий стандарт распространяется на изменения к существующим системам и их компонентам, запущенным в производство до публикации настоящего документа, корректируя жизненный цикл системы безопасности в зависимости от конкретного изменения. Настоящий стандарт распространяется на интеграцию существующих систем, разработанных не в соответствии с настоящим стандартом, и систем, разработанных в соответствии с настоящим стандартом, при корректировке жизненного цикла системы безопасности.

Настоящий стандарт рассматривает возможные опасности, вызванные некорректным функционированием Э/Э систем, связанных с безопасностью, а также некорректным взаимодействием этих систем. Настоящий стандарт не рассматривает опасности, связанные с поражением электрическим током, возгоранием, задымлением, перегревом, излучением, токсичностью, воспламеняемостью, химической активностью, коррозией и подобными опасностями, если они непосредственно не вызваны некорректным функционированием Э/Э систем, связанных с безопасностью.

Настоящий стандарт описывает методологию функциональной безопасности, обеспечивающую разработку Э/Э систем, связанных с безопасностью. Эта методология предназначена для интеграции действий по функциональной безопасности в определенную для компании дисциплину разработки. Некоторые требования имеют ясную техническую направленность на обеспечение функциональной безопасности изделия; другие связаны с процессом разработки и поэтому могут рассматриваться как требования к процессу, чтобы продемонстрировать способность организации реализовать методологию функциональной безопасности.

Настоящий стандарт определяет термины, определения и сокращения, применяемые во всех частях комплекса стандартов ИСО 26262.

2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения к нему):

ISO 26262 (all parts), Road vehicles - Functional safety (Дорожные транспортные средства. Функциональная безопасность)

3 Термины и определения


В целях настоящего стандарта применены следующие термины и определения, используемые в ИСО 26262 (все части).

ИСО и МЭК поддерживают терминологические базы данных для использования в стандартизации по следующим адресам:

- https://www.iso.org/obp (ИСО онлайн-платформа);

- http://www.electropedia.org/ (МЭК Энциклопедия).

3.1 архитектура (architecture): Представление структуры из устройств (3.84) или элементов (3.41), которое позволяет идентифицировать блоки, из которых строится архитектура, их границы и интерфейсы, а также включает в себя распределение требований к этим блокам.

3.2 соответствие УПБТС (ASIL capability): Способность устройства (3.84) или элемента (3.41) соответствовать предполагаемым требованиям безопасности (3.132), назначенным при задании УПБТС (3.6).

Примечание - Достижение соответствующих целевых случайных значений метрик сбоев аппаратных средств (см. ИСО 26262-5:2018, разделы 8 и 9), распределенных элементу (3.41), включается в требования безопасности аппаратных средств в случае необходимости.

3.3 декомпозиция УПБТС (ASIL decomposition): Выполняемое при резервировании распределение требований безопасности (3.132) между элементами (3.41), которые в достаточной степени являются независимыми (3.78) и реализуют ту же цель безопасности (3.139), для снижения значений УПБТС (3.6) резервированных требований безопасности (3.132), распределяемых соответствующим элементам (3.41).

Примечания

1 Декомпозиция УПБТС является основой для методов уточнения значений УПБТС (3.6) во время процесса проектирования [определенного в ИСО 26262-9 как декомпозиция требований с уточнением значений УПБТС (3.6)].

2 Декомпозиция УПБТС согласно ИСО 26262-9 не применяется для требований к случайным отказам аппаратных средств.

3 Снижение УПБТС (3.6) требований безопасности (3.132) при резервировании имеет некоторые исключения, например значение УПБТС (3.6) мер подтверждения (3.23) остается на уровне цели безопасности (3.139).

3.4 оценка (assessment): Проверка достижения характеристиками устройства (3.84) или элемента (3.41) целей ИСО 26262.

3.5 аудит (audit): Экспертиза реализованного процесса, касающаяся выполнения его целей.

3.6 уровень полноты безопасности транспортного средства; УПБТС (Automotive Safety Integrity Level; ASIL): Один из четырех уровней, используемый для задания необходимых для устройства (3.84) или элемента (3.41) требований настоящего стандарта и мер безопасности (3.141), чтобы предотвратить неоправданный риск (3.176), для которого значение УПБТС, равное D, является наиболее строгим уровнем, а значение УПБТС, равное А, - наименее строгим.

3.7 готовность (availability): Способность изделия выполнять установленную для него функцию в случае ее запроса, в заданных условиях на протяжении срока его службы.

3.8 базовая интенсивность отказов (base failure rate, BFR): Интенсивность отказов (3.53) элемента (3.41) аппаратных средств в рассматриваемом применении, используемая в качестве исходного значения для анализа безопасности (3.132).

3.9 базовое транспортное средство (base vehicle): Конфигурация транспортного средства T&B (3.175) изготовителя подлинного оборудования до установки на него кузовного оборудования (3.12).

Примечание - Кузовное оборудование (3.12) может быть установлено на базовом транспортном средстве и включать все соответствующие системы (3.163), необходимые для движения и управления (двигатель, трансмиссия, шасси, рулевое управление, тормозная система, кабина и комбинация приборов).

Пример - Шасси с трансмиссией и кабиной грузового транспортного средства (3.174), заготовка шасси с трансмиссией.

3.10 базовая конфигурация (baseline): Версия набора из одного или нескольких готовых изделий (3.185), устройств (3.84) или элементов (3.41), которая используется в качестве основы для дальнейшего изменения.

Примечания

1 См. раздел 8 ИСО 26262-8.

2 Базовая конфигурация, как правило, поддерживается управлением конфигурацией.

3 Базовая конфигурация используется в качестве основы для ее дальнейшего развития в процессе управления изменениями на протяжении жизненного цикла (3.86).

3.11 кузовостроительная компания (body builder, BB): Организация, которая на базовое транспортное средство (3.9) устанавливает кузова, средства для перевозки грузов или оборудование при изготовлении грузовых транспортных средств (3.174), автобусов (3.14), прицепов (3.171) и полуприцепов (3.151) (T&B).

Примечания

1 Кузова T&B включают кабины грузовых транспортных средств (3.174), автобусные (3.14) кузова, кузова легких фургонов и т.д.

2 Средства для перевозки грузов включают емкости для перевозки грузов, безбортовые платформы, кузова-платформы с решетчатыми бортами и т.д.

3 Устанавливаемое оборудование включает профессиональные устройства и механизмы, такие как бетоносмесители, механизм поднятия кузова самосвала, нож снегоочистителя, подъемные механизмы и т.д.

3.12 кузовное оборудование (body builder equipment): Машина, кузов или средство для перевозки грузов, установленное на базовом транспортном средстве (3.9) T&B.

3.13 покрытие ветвей (branch coverage): Процент ветвей потока управления компьютерной программы, выполненный во время тестирования.

Примечания

1 100%-ное покрытие ветвей предполагает 100%-ный охват операторов (3.160).

2 Оператор ЕСЛИ всегда имеет две ветви - условие истинно и условие ложно - независимо от наличия оператора в ветви ИНАЧЕ.

3.14 автобус (bus): Транспортное средство, которое в соответствии с его проектным решением и внутренней отделкой кузова предназначено для перевозки людей и багажа и имеет более девяти сидячих мест, включая место водителяГОСТ Р ИСО 26262-1-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения.
________________
ГОСТ Р ИСО 26262-1-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения Примечание переводчика - Содержание понятия "автобус" в данном определении с точностью до формулировок не отличается от объединения содержания определений транспортных средств двух категорий - М2 и М3, представленных в пунктах 3.2 и 3.3 ГОСТ Р 52051-2003 (т.е. задано одинаковое число существенных признаков, присущих всем объектам данного понятия), а соответственно, объемы этого понятия в обоих случаях одинаковы, т.е. определяется равное множество объектов (автобусов). Следовательно, можно считать, что данное определение эквивалентно двум определениям транспортных средств категорий М2 и М3 по ГОСТ Р 52051-2003.

Примечание - Автобус может иметь один или два этажа и может также буксировать прицеп (3.171).

3.15 калибровочные данные (calibration data): Данные, которые будут использоваться в качестве значений параметров программного обеспечения после его создания в процессе разработки.

Пример - Параметры (например, значение низких оборотов холостого хода, диаграммы характеристик двигателя); конкретные параметры транспортного средства (значения настроек, например ограничителя хода дроссельной заслонки); различные коды (например, код страны, левостороннее или правостороннее рулевое управление).

Примечание - Калибровочные данные не содержат исполняемый или интерпретируемый код.

3.16 кандидат (candidate): Устройство (3.84) или элемент (3.41), технические характеристики и условия применения которого идентичны или имеют очень высокую степень унификации с устройством (3.84) или элементом (3.41), который уже был выпущен и находится в эксплуатации.

Примечание - Это определение применяется, если кандидат используется в контексте подтверждения проверкой эксплуатацией (3.115).

3.17 каскадный отказ (cascading failure): Отказ (3.50) элемента (3.41) устройства (3.84) в результате исходной причины [внутри или вне элемента (3.41)], приводящий к отказу (3.50) другого элемента (3.41) или элементов (3.41) того же или другого устройства (3.84).

Примечание - Каскадные отказы являются зависимыми отказами (3.29), которые могут быть одной из возможных причин отказов по общей причине (3.18). См. рисунок 2.

ГОСТ Р ИСО 26262-1-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения

Рисунок 2 - Каскадный отказ

3.18 отказ по общей причине; ООП (common cause failure; CCF): Отказ (3.50) двух или более элементов (3.41) устройства (3.84) в результате одного конкретного события или исходной причины, которая для всех этих элементов (3.41) является внешней либо внутренней.

Примечание - Отказы по общей причине являются зависимыми отказами (3.29), но не являются каскадными отказами (3.17). См. рисунок 3.

ГОСТ Р ИСО 26262-1-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения

Рисунок 3 - Отказ по общей причине

3.19 отказ общего вида; ООВ (common mode failure; CMF): Случай ООП (3.18), в котором в нескольких элементах (3.41) происходит сбой одинакового вида.

Примечание - Появление отказов (3.50) одинакового вида не обязательно означает, что они происходят от одного и того же сбоя. Насколько близки должны быть виды отказов (3.51) для того, чтобы их классифицировать как отказы общего вида, зависит от контекста.

Примеры

1 Система (3.163) имеет два датчика температуры, показания которых сравниваются друг с другом. Если различие между ними превышает или равно 5°C, то это распознается как сбой (3.54), и система (3.163) переходит в безопасное состояние (3.131). При отказе общего вида оба датчика температуры выходят из строя так, что различие между их показаниями меньше 5°C, и поэтому отказ не обнаруживается.

2 Для центрального процессора с жестко регламентированной архитектурой (3.1) в случае, когда сигналы двух центральных процессоров сравниваются от цикла к циклу, сбой в обоих центральных процессорах должен произойти в том же порядке, чтобы отказ (3.50) оказался необнаруженным. В этом контексте отказ общего вида реализуется в том случае, когда в обоих центральных процессорах сбои происходят в том же самом порядке.

3 Отказ (3.50), при котором большое количество комплектующих перестают выполнять свои функции в результате повышенного напряжения, является отказом общего вида.

3.20 комплектное транспортное средство (complete vehicle): Полностью собранное базовое транспортное средство (3.9) T&B с его кузовным оборудованием (3.12).

Пример - Мусоровоз, самосвал (3.174).

3.21 компонент (component): Элемент (3.41), имеющий уровень, отличный от уровня системы, который логически или технически отделим от другого элемента и состоит из нескольких частей аппаратных средств (3.71) или одного или более модулей программного обеспечения (3.159).

Пример - Микроконтроллер.

Примечание - Компонент является частью системы (3.163).

3.22 данные конфигурации (configuration data): Данные, присвоенные во время создания элемента и управляющие процессом создания элемента.

Примеры

1 Параметры настройки переменной препроцессора, которые используются для получения вариантов времени компиляции исходного кода.

2 Файлы XML для управления встроенными инструментальными средствами или набором инструментальных средств.

Примечания

1 Данные конфигурации управляют созданием программного обеспечения. Данные конфигурации используются для выбора кода из существующих вариантов кода, уже определенных в базе исходных кодов. Функциональность выбранного варианта кода будет включена в исполняемый код.

2 Так как данные конфигурации используются только для того, чтобы выбрать варианты кода, то они не включают код, который выполняется или интерпретируется во время использования устройства (3.84).

3.23 мера подтверждения (confirmation measure): Оценка подтверждения (3.24), аудит (3.5) или оценка (3.4), касающиеся функциональной безопасности (3.67).

3.24 оценка подтверждения (confirmation review): Подтверждение того, что результаты работы (3.185) представляют достаточные свидетельства и убедительное доказательство их вклада в достижение функциональной безопасности (3.67), учитывая соответствующие цели и требования ИСО 26262.

Примечания

1 Полный список оценок подтверждения приведен в ИСО 26262-3.

2 Целью оценки подтверждения является обеспечение соответствия требованиям комплекса стандартов ИСО 26262.

3.25 управляемость (controllability): Способность предотвратить конкретный вред (3.74) или повреждение путем своевременной реакции заинтересованных лиц, возможно, при поддержке внешних мер (3.49).

Примечания

1 Заинтересованными лицами могут быть: водитель, пассажир или лица, находящиеся в непосредственной близости от транспортного средства.

2 Управляемость в анализе опасности и оценке риска (3.76) описывается параметром C.

3.26 факторы взаимовлияния (coupling factors): Общая характеристика или взаимоотношения элементов (3.41), которые приводят к зависимости их отказов (3.50).

3.27 предназначенная мера (dedicated measure): Мера, гарантирующая интенсивность отказов (3.53), требуемую при оценке вероятности недостижения целей безопасности (3.139).

Пример - Характеристики проектирования (задание с "запасом" параметров проектирования) частей аппаратных средств (3.71) (например, диапазона значений электрических или температурных параметров) или физическое разделение (например, расстояние между контактами на печатной плате); специальный выборочный входной контроль материала для снижения риска (3.128) возникновения видов отказов (3.51), которые способствуют недостижению целей безопасности (3.139); отбраковочные испытания; специальный план управления.

3.28 снижение эффективности (degradation): Состояние или переход к состоянию устройства (3.84) или элемента (3.41) с ограниченной функциональностью и/или сниженной производительностью.

3.29 зависимые отказы (dependent failures): Отказы (3.50), которые не являются статистически независимыми, т.е. вероятность одновременного возникновения которых не может быть представлена как произведение вероятностей возникновения всех рассматриваемых независимых отказов (3.50).

Примечания

1 Зависимые отказы могут появляться одновременно или в достаточно коротком интервале времени, поэтому считаются одновременными отказами (3.50).

2 Зависимые отказы включают отказы по общей причине (3.18) и каскадные отказы (3.17).

3 Является ли данный отказ (3.50) каскадным отказом (3.17) или отказом по общей причине (3.18), может зависеть от иерархической структуры элементов (3.41).

4 Является ли данный отказ (3.50) каскадным отказом (3.17) или отказом по общей причине (3.18), может зависеть от функционирования элементов (3.41) во времени.

5 Зависимые отказы могут включать отказы (3.50) программного обеспечения, даже если вероятность этих отказов (3.50) не вычислена.

3.30 причина зависимого отказа (dependent failure initiator; DFI): Единственная первопричина, которая вызывает сбой нескольких элементов (3.41), используя факторы взаимовлияния (3.26).

Примечания

1 Факторы взаимовлияния (3.26), которые могут реализовать зависимости, выявляются во время анализа зависимости отказов (DFA).

2 Отказы (3.50) элементов (3.41) могут происходить одновременно или последовательно.

Примеры

1 Фактор взаимовлияния (3.26). Два модуля программного обеспечения, использующие одну и ту же RAM. Первопричина: один модуль программного обеспечения неумышленно искажает данные, используемые вторым модулем программного обеспечения.

2 Фактор взаимовлияния (3.26). Два электронных управляющих блока работают в одном отсеке транспортного средства. Первопричина: нежелательное/неожиданное попадание воды в этот отсек приводит к затоплению и к отказу (3.50) их обоих.

3 Фактор взаимовлияния (3.26). Два микроконтроллера используют один и тот же источник питания 3,3 V. Первопричина: повышенное напряжение на источнике питания 3,3 V ведет к повреждению обоих микроконтроллеров.

3.31 обнаруженный сбой (detected fault): Сбой (3.54), наличие которого обнаруживается в течение заданного времени механизмом безопасности (3.142).

Примечание - Заданное время может быть временным интервалом обнаружения сбоя (3.55) или временным интервалом обнаружения множественного сбоя (3.98).

3.32 соглашение о разработке (development interface agreement; DIA): Соглашение между заказчиком и поставщиком, в котором определяются ответственность за выполняемые действия, подтверждения, подлежащие рассмотрению, или результаты работы (3.185), которыми обмениваются стороны при разработке устройств (3.84) или элементов (3.41).

Примечание - Если соглашение о разработке относится к стадии разработки, то договор на поставку (3.162) относится к производству.

3.33 охват диагностикой (diagnostic coverage): Доля интенсивности отказов (3.53) элемента (3.41) аппаратных средств или доля интенсивности отказов (3.53) вида отказов (3.51) элемента (3.41) аппаратных средств, обнаруженных или находящихся под контролем реализованного механизма безопасности (3.142).

Примечания

1 Охват диагностикой может быть оценен с помощью остаточных сбоев (3.125) или с помощью невыявленных множественных сбоев (3.97), которые могут произойти в элементе (3.41) аппаратных средств.

2 Механизмы безопасности (3.142) могут быть реализованы на разных уровнях архитектуры (3.1).

3 При определении охвата диагностикой механизмом безопасности (3.142) связанного с безопасностью элемента (3.41) аппаратных средств, доля безопасных сбоев (3.130) не рассматривается, кроме тех случаев, когда на это явно указано.

3.34 точки диагностики (diagnostic points): Выходные сигналы элемента (3.41), в которых наблюдается появление сбоев (3.54) или их коррекция.

Примечание - Точками диагностики также называют "аварийные сигналы" или "признаки ошибок" (3.46) или "признаки коррекции ошибок".

Пример - Информация обратного считывания.

3.35 временной интервал диагностических проверок (diagnostic test time interval): Интервал времени между неавтономными диагностическими тестами, выполняемыми механизмом безопасности (3.111), включая продолжительность выполнения самого теста.

Примечание - См. рисунок 5.

3.36 совместная разработка (distributed development): Разработка устройства (3.84) или элемента (3.41) с разделением ответственности между заказчиком и поставщиком(ами) для всего устройства (3.84) или элемента (3.41).

Примечание - Заказчик и поставщик - это роли сотрудничающих сторон.

3.37 разнообразие (diversity): Применение различных подходов с целью получения независимых (3.78) решений, удовлетворяющих одинаковым требованиям.

Примечания

1 Разнообразие не гарантирует независимости (3.78), но устраняет некоторые типы отказов по общей причине (3.18).

2 Разнообразие может быть техническим решением [применение разнообразных компонент (3.21) аппаратных средств, разнообразных компонент (3.21) программного обеспечения или технических средств (например, различные компиляторы)].

3 Разнообразие - один из способов реализации резервирования (3.122).

Пример - Различные методы разработки программ, различные технические средства.

3.38 двойной отказ (dual-point failure): Отказ (3.50), произошедший в результате комбинации двух независимых сбоев (3.54) аппаратных средств, который непосредственно вызывает недостижение цели безопасности (3.139).

Примечания

1 Двойной отказ является множественным отказом (3.76) второго порядка.

2 Двойные отказы, которые рассматриваются в настоящем стандарте, включают отказы, в которых один сбой (3.54) влияет на связанный с безопасностью элемент (3.144), а другой сбой (3.54) влияет на соответствующий механизм безопасности (3.142), предназначенный для достижения или поддержания безопасного состояния (3.131).

3.39 двойной сбой (dual-point fault): Отдельный сбой (3.54), который в сочетании с другим независимым сбоем (3.54) приводит к двойному отказу (3.38).

Примечания

1 Двойным сбой может быть признан только после идентификации двойного отказа (3.38), например в результате анализа сечений дерева отказов.

2 См. также множественный сбой (3.97).

3.40 электрическая и/или электронная система; Э/Э система (electrical and/or electronic system; E/E system): Система (3.163), которая состоит из электрических и/или электронных элементов (3.41), включая программируемые электронные элементы (3.41).

Примечание - Элемент (3.41) Э/Э системы также может быть другой Э/Э системой.

Пример - Источник питания, датчик или другое входное устройство; магистраль данных; исполнительное устройство или другое устройство вывода.

3.41 элемент (element): Система (3.163), компоненты (3.21) (аппаратные средства или программное обеспечение), части аппаратных средств (3.71) или модули программного обеспечения (3.159).

Примечание - Элементом также может быть SEooC (3.138).

3.42 встроенное программное обеспечение (embedded software): Полностью интегрированное программное обеспечение, выполняемое в элементе обработки данных (3.113).

3.43 аварийный режим (emergency operation): Режим функционирования (3.102) устройства (3.84), обеспечивающего безопасность (3.132), в период времени от реагирования на сбой (3.54) до достижения безопасного состояния (3.131).

Примечания

1 См. рисунки 4 и 5.

2 Если безопасное состояние (3.131) не может быть непосредственно достигнуто, или не может быть достигнуто своевременно, или не может сохраняться после обнаружения сбоя (3.54), то механизм безопасности (3.142) может перевести устройство (3.84) в аварийный режим для обеспечения безопасности (3.132), пока не достигнуто и не поддерживается безопасное состояние (3.131).

3 Аварийный режим и связанный с ним допустимый временной интервал аварийного режима (3.45) описаны в стратегии предупреждения и постепенного снижения эффективности (3.183).

4 Снижение эффективности (3.28) может быть одним из результатов аварийного режима.

Пример - Аварийный режим может быть определен как часть реакции на ошибку (3.46) отказоустойчивого устройства (3.84).

3.44 временной интервал аварийного режима (emergency operation time interval; EOTI): Промежуток времени, во время которого поддерживается аварийный режим (3.43).

Примечания

1 См. рисунки 4 и 5.

2 Аварийный режим (3.43) и связанный с ним допустимый временной интервал аварийного режима (3.45) описаны в стратегии предупреждения и постепенного снижения эффективности (3.183).

3 Аварийный режим (3.43) временно поддерживается для обеспечения безопасности (3.132), пока не завершен переход к безопасному состоянию (3.131).

3.45 допустимый временной интервал аварийного режима (emergency operation tolerance time interval; EOTTI): Заданный промежуток времени, в течение которого аварийный режим (3.43) может сохраняться без неоправданного уровня риска (3.128).

Примечания

1 См. рисунок 5.

2 Допустимый временной интервал аварийного режима равен максимальному значению временного интервала аварийного режима (3.44).

3 Аварийный режим (3.43) можно считать безопасным из-за ограниченного времени его выполнения, как определено в допустимом временном интервале аварийного режима.

ГОСТ Р ИСО 26262-1-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения

Рисунок 4 - Допустимый временной интервал аварийного режима

3.46 ошибка (error): Расхождение между вычисленным, наблюдаемым или измеренным значением или условием и истинным, специфицированным или теоретически правильным значением или условием.

Примечание - Ошибка может возникнуть в результате сбоя (3.54) в рассматриваемой системе (3.163) или компоненте (3.21)

3.47 эксперт-мотоциклист (expert rider): Роль, исполняемая людьми, способными к оценке классификаций управляемости (3.25) при эксплуатации реальных мотоциклов (3.93).

Примечания

1 Эксперт-мотоциклист является таким водителем мотоцикла, который обладает:

- умением оценивать его управляемость (3.25), а также знаниями для такой оценки;

- способностью выполнять испытания транспортного средства;

- знанием для оценки характеристик управляемости (3.25) мотоцикла (3.93), если водитель мотоцикла владеет типовыми приемами вождения.

2 См. ИСО 26262-12:2018, приложение C, для получения информации, связанной с использованием экспертов-мотоциклистов.

3.48 воздействие (exposure): Состояние в процессе эксплуатации (3.104), которое может быть опасным, если оно совпадает с анализируемым видом отказа (3.51).

Примечание - Параметр "E" в анализе опасностей и оценке риска (3.76) представляет возможное воздействие на процесс эксплуатации (3.104).

3.49 внешняя мера (external measure): Отдельная не связанная с устройством (3.84) мера, которая снижает или ослабляет риски (3.128), появившиеся в устройстве.

3.50 отказ (failure): Прекращение предписанного функционирования элемента (3.41) или устройства (3.84) из-за обнаружения сбоя (3.54).

Примечание - Прекращение может быть постоянным или временным.

3.51 вид отказа (failure mode): Способ отказа элемента (3.41) или устройства (3.84), вызывающего отклонение от предписанного функционирования.

3.52 охват вида отказа (failure mode coverage; FMC): Доля интенсивности отказов (3.53) вида отказа (3.51) элемента (3.41) аппаратных средств, которая выявляется или управляется реализованным механизмом безопасности (3.142).

3.53 интенсивность отказов (failure rate): Плотность вероятности отказа (3.50), деленная на вероятность сохранения работоспособности элемента (3.41) аппаратных средств.

Примечание - Интенсивность отказов предполагается постоянной, и ее обычно обозначают как ГОСТ Р ИСО 26262-1-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения.

3.54 сбой (fault): Функционирование элемента (3.41) или устройства (3.84), отличное от предписанного, способное вызвать их отказ.

Примечания

1 Различают постоянные, неустойчивые и кратковременные сбои (3.173) (в частности, исправимые ошибки).

2 Если подсистема находится в состоянии "ошибка" (3.46), то это может привести к сбою системы (3.163).

3 Неустойчивым является сбой, который появляется несколько раз, а затем исчезает. Этот тип сбоя может происходить, когда компонент (3.21) находится на грани выхода из строя или, например, из-за помехи в коммутаторе. Некоторые систематические сбои (3.165) (например, небольшие изменения длительности сигналов синхронизации) могут привести к неустойчивым сбоям.

3.55 временной интервал обнаружения сбоя (fault detection time interval; FDTI): Промежуток времени от момента возникновения сбоя (3.54) до момента его обнаружения.

Примечания

1 См. рисунок 5.

2 Временной интервал обнаружения сбоя определяется независимо от временного интервала диагностических проверок (3.35).

Пример - Временной интервал обнаружения сбоя диагностическим тестом может быть более длительным, чем временной интервал диагностических проверок (3.35), из-за реализованных счетчиков ошибок (3.46), т.е. сбой (3.54) должен быть обнаружен диагностическим тестом несколько раз, прежде чем будет запущена реакция на ошибку (3.46).

3 Временной интервал обнаружения сбоя, временной интервал диагностических проверок (3.35) и временной интервал реакции на сбой (3.59) являются соответствующими характеристиками механизма безопасности (3.142), выполняющего обнаружение сбоев (3.54).

4 Сбой (3.54) своевременно охватывается соответствующим механизмом безопасности (3.142), если сумма временного интервала обнаружения сбоя и временного интервала реакции на сбой (3.59) меньше, чем соответствующий временной интервал сбоеустойчивости (3.61).

3.56 временной интервал обработки сбоя (fault handling time interval; FHTI): Сумма временного интервала обнаружения сбоя (3.55) и временного интервала реакции на сбой (3.59).

Примечания

1 FHTI является характеристикой механизма безопасности (3.142).

2 См. рисунок 5.

3.57 внесение дефектов (fault injection): Метод оценки влияния сбоя (3.54) в элементе (3.41), состоящий во внесении в него сбоев (3.54), ошибок (3.46) или отказов (3.50) и наблюдении реакции в точках контроля (3.101).

Примечание - Внесение сбоев может быть выполнено на различных уровнях абстракции, включая уровень устройства (3.84) или элемента (3.41), в зависимости от области применения, возможности реализации, наблюдаемости и уровня требуемой детализации. В зависимости от цели внесение сбоев может быть выполнено на различных стадиях жизненного цикла системы безопасности с анализом различных моделей сбоев (3.58).

Примеры

1 Внесение сбоев (3.54) в процессе эксплуатации для проверки того, что механизм безопасности (3.142) работает правильно, является частью стратегии обнаружения скрытых сбоев (3.85).

2 Внесение сбоев (3.54) во время выполнения интеграционного теста через порты отладки аппаратных средств или через специальные команды программного обеспечения, чтобы проверить аппаратно-программный интерфейс (HSI).

3 Моделирование постоянных сбоев (3.54) или кратковременных сбоев на уровне компонента аппаратных средств, чтобы проверить диагностический охват (3.33) механизма безопасности (3.142) или определить сбои (3.54), которые могут привести к ошибкам (3.46) или отказам (3.50).

3.58 модель сбоя (fault model): Представление видов отказов (3.51), произошедших в результате сбоев (3.54).

Примечание - Модели сбоя используются для оценки последствий конкретных сбоев (3.54).

3.59 временной интервал реакции на сбой (fault reaction time interval): Промежуток времени между обнаружением сбоя (3.54) и моментом времени достижения безопасного состояния (3.131).

Примечание - См. рисунки 4 и 5.

ГОСТ Р ИСО 26262-1-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения

Рисунок 5 - Соответствующие временные интервалы системы безопасности

3.60 сбоеустойчивость (fault tolerance): Способность обеспечить заданную функциональность при наличии одного или нескольких заданных сбоев (3.54).

Примечание - Заданная функциональность может быть целевой функциональностью (3.83).

3.61 временной интервал сбоеустойчивости (fault tolerant time interval; FTTI): Минимальный промежуток времени от возникновения сбоя (3.54) в устройстве (3.84) до возможного возникновения опасного события (3.77), если механизмы обеспечения безопасности (3.142) не активированы.

Примечания

1 См. рисунок 5.

2 Минимальный промежуток времени должен быть оценен для всех опасных событий (3.77). Он может зависеть от характеристики опасностей (3.75).

3 FTTI связан с опасностью (3.75), вызванной отклонением от предписанного функционирования (3.88) устройства (3.84). FTTI является соответствующей характеристикой целей безопасности (3.139), полученной для этой опасности (3.75).

4 Механизм безопасности (3.142) своевременно реагирует на сбой (3.54), если устройство (3.84) поддерживается в безопасном состоянии (3.131) или переходит к безопасному состоянию (3.131) или в аварийный режим (3.43) в течение соответствующего временного интервала сбоеустойчивости.

5 Возникновение опасного события (3.77) зависит от наличия сбоя (3.54) и состояния транспортного средства, в котором этот сбой (3.54) нарушает предписанное функционирование транспортного средства.

Пример - Отказ (3.50) в тормозной системе (3.163) может не привести к опасному событию (3.77) до ее приведения в действие.

6 Если FTTI определен только на уровне устройства (3.84), то на уровне элемента (3.41) могут быть определены максимальный временной интервал обработки сбоя (3.56) и состояние, которое будет достигнуто после того, как сбой обработан, что обеспечивает соответствие функциональной концепции безопасности (3.68).

7 Временной интервал обнаружения сбоя (3.55) может включать несколько временных интервалов диагностических проверок (3.35), чтобы устранить ложные ошибки (3.46), если временной интервал диагностических проверок (3.35) существенно короче, чем временной интервал обнаружения сбоя (3.55).

3.62 полевые данные (field data): Данные, полученные в результате применения устройства (3.84) или элемента (3.41), включая накопленное число часов их работы, все отказы (3.50) и нарушения безопасности

Доступ к полной версии этого документа ограничен

Ознакомиться с документом вы можете, заказав бесплатную демонстрацию систем «Кодекс» и «Техэксперт».

Что вы получите:

После завершения процесса оплаты вы получите доступ к полному тексту документа, возможность сохранить его в формате .pdf, а также копию документа на свой e-mail. На мобильный телефон придет подтверждение оплаты.

При возникновении проблем свяжитесь с нами по адресу spp@kodeks.ru

ГОСТ Р ИСО 26262-1-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения

Название документа: ГОСТ Р ИСО 26262-1-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения

Номер документа: ИСО 26262-1-2020

Вид документа: ГОСТ Р

Принявший орган: Росстандарт

Статус: Документ в силу не вступил

Опубликован: Официальное издание. М.: Стандартинформ, 2020
Дата принятия: 24 сентября 2020

Дата начала действия: 01 июня 2021