ГОСТ Р ИСО 26262-9-2014 Дорожные транспортные средства. Функциональная безопасность. Часть 9. Анализ уровня полноты безопасности автомобиля и анализ безопасности автомобиля

     7 Анализ зависимых отказов

7.1 Цель

Анализ зависимых отказов направлен на выявление отдельных событий или отдельных оснований, которые могли бы не учитывать или считать необоснованной требуемую независимость или отсутствие влияния между данными элементами и таким образом нарушить требование безопасности или цель безопасности.

7.2 Общие положения

Анализ зависимых отказов рассматривает следующие характеристики архитектуры:

- схожесть и несхожесть элементов, реализующих резервирование;

- различные функции, реализуемые одинаковыми элементами программного обеспечения или аппаратных средств;

- функции и их соответствующие механизмы безопасности;

- разбиения функций или элементов программного обеспечения;

- физическое расстояние между элементами аппаратных средств с установленными или неустановленными защитными экранами;

- общие внешние ресурсы.

В соответствии с определениями, приведенными в ИСО 26262-1, независимость может быть нарушена отказами по общей причине и каскадными отказами, в то время как отсутствие влияния может быть нарушено только каскадными отказами.

Пример - Электромагнитное поле с высокой напряженностью, которое вызывает отказ различных электронных устройств, что в известном смысле зависит от их конструкции и применения, является примером отказа по общей причине. Необъективная информация о скорости автомобиля, что влияет на поведение одной или нескольких функций автомобиля, является примером каскадных сбоев.

Зависимые отказы могут проявляться одновременно либо в достаточно короткий промежуток времени, что приводит к эффекту одновременных отказов.

Пример - Монитор, предназначенный для обнаружения аномального поведения функции, может быть выведен из строя за некоторое время до отказа контролируемой функции, если и монитор и контролируемая функция подвергаются влиянию одного и того же события или причины.

7.3 Входная информация

7.3.1 Предварительные требования

Необходима следующая информация:

- требования независимости на уровне, на котором они применяются: на уровне системы, на уровне аппаратных средств или на уровне программного обеспечения в соответствии с 8.5.1 ИСО 26262-3, или 6.5.1 ИСО 26262-4, или 6.5.1 ИСО 26262-5, или 6.5.1 ИСО 26262-6;

- требования отсутствия влияния на уровне, на котором они применяются: на уровне системы, на уровне аппаратных средств или на уровне программного обеспечения в соответствии с 8.5.1 ИСО 26262-3, или 6.5.1 ИСО 26262-4, или 6.5.1 ИСО 26262-5, или 6.5.1 ИСО 26262-6;

- информация об архитектуре на уровне, на котором независимость и отсутствие влияния должны быть применены: на уровне системы, на уровне аппаратных средств или на уровне программного обеспечения в соответствии с 7.5.2 ИСО 26262-4, или 7.5.1 ИСО 26262-5, или 7.5.1 ИСО 26262-6.

Примечание - Информация об архитектуре используется для определения границ анализ зависимых отказов.

7.3.2 Дополнительная информация

Не используется.

7.4 Требования и рекомендации

7.4.1 Возможность появления зависимых отказов должна быть определена в результате анализа системы безопасности в соответствии с требованиями раздела 8.

Примечания

1 Как систематические отказы, так и случайные отказы аппаратных средств могут быть зависимыми отказами.

2 Для выявления возможности появления зависимых отказов может быть использован дедуктивный анализ: исследование сечений или повторяющихся идентичных событий в процессе анализа дерева отказов может указывать на возможность появления зависимых отказов.