ГОСТ Р ИСО 26262-5-2014 Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия

Приложение Е
(справочное)

Пример вычисления метрик архитектуры аппаратных средств: метрики одиночного сбоя и метрики скрытого сбоя

В настоящем приложении приводится пример расчета метрики одиночного сбоя и метрики скрытого сбоя для каждой цели безопасности конкретного устройства в соответствии с требованиями перечисления а) 8.4.7 и 8.4.8.

В рассматриваемом примере система реализует две функции, выполняемые в одном электронном блоке управления, представленном на рисунке Е.1.

Функция 1 имеет один вход (температура, измеренная датчиком R3) и один выход (клапан 2, управляемый I71) и предназначена для того, чтобы открыть клапан 2, когда температура превышает 90°С.

Если через I71 ток не протекает, то клапан 2 открыт.

Соответствующая цель безопасности 1 формулируется следующим образом: "Клапан 2 не должен быть закрыт дольше х мс при температуре выше 100°С". Данной цели безопасности назначается значение УПБА, равное В. Безопасное состояние: клапан 2 открыт.

Значение датчика R3 считывается блоком АЦП микроконтроллера. Значение сопротивления R3 уменьшается при повышении температуры. Данный вход не контролируется. Выходной каскад, управляемый Т71, контролируется аналоговым входом InADC1 (механизм безопасности SM1 в таблицах рисунков Е.2 и Е.3). В данном примере предполагается, что механизм безопасности SM1 может обнаружить определенные виды отказов Т71 с 90%-ным охватом диагностикой, приводящие к нарушению цели безопасности. Если SM1 обнаруживает отказ, то активируется безопасное состояние, но никакая лампа не включается. Таким образом, считается, что охват диагностикой скрытых сбоев составляет только 80% (водитель заметит отказ, так как начнется ухудшение функционирования автомобиля).

У функции 2 два входа (скорость вращения колеса измеряется с помощью датчиков I1 и I2, генерирующих импульсы) и один выход (клапан 1, управляемый I61) и она предназначена, чтобы открыть клапан 1, если скорость автомобиля превышает 90 км/час.

Если через I61 ток не протекает, то клапан 1 открыт.

Соответствующая цель безопасности 2 формулируется следующим образом: "Клапан 1 не должен быть закрыт дольше, чем у мс, если скорость превышает 100 км/час". Данной цели безопасности назначается значение УПБА, равное С. Безопасное состояние: клапан 1 открыт.

Количество сгенерированных датчиками I1 и I2 импульсов считывается микроконтроллером. Скорость вращения колеса вычисляется по среднему значению импульсов, получаемых от датчиков в единицу времени. Механизм безопасности 2 (SM2 в таблицах рисунков Е.2 и Е.З) сравнивает оба входа. Он обнаруживает отказы каждого входа с охватом диагностикой, равным 99%. В случае противоречивости на выходе Out 1 устанавливается значение "0" и клапан 1 открывается (нулевое значение напряжения на базе транзистора закрывает вентиль; нулевое значение напряжения на I61 открывает клапан 1). Таким образом, выявляется 99% сбоев, которые могут нарушить цель безопасности, и выполняется переход в безопасное состояние. При переходе в безопасное состояние включается лампа L1. Таким образом, эти сбои являются на 100% воспринимаемыми. Оставшийся 1% сбоев является остаточными сбоями и не скрытыми сбоями.

Выходной каскад управления Т61 контролируется аналоговым входом lnADC2 (механизм безопасности SM3 в таблицах рисунков Е.2 и Е.3). Скорость вращения колеса вычисляется по среднему значению импульсов, получаемых от датчиков.

Микроконтроллер не имеет внутренней избыточности. Если нет никакой подробной информации о соотношении безопасных сбоев сложной части, то можно предположить консервативное отношение для безопасных сбоев, равное 50%. Также предполагается общий охват, равный 90%, по отношению к нарушению цели безопасности, используя внутреннее самотестирование и внешнюю сторожевую схему (механизм безопасности SM4 в таблицах рисунков Е.2 и Е.3). Сторожевая схема получает прямой сигнал через выход Out 0 микроконтроллера. Если сторожевая схема больше не обновляется, то ее выходное значение будет низким. Обнаружение сбоя механизмом безопасности SM4 (сторожевая схема и самотестирование микроконтроллера) переводит обе функции в их безопасные состояния и включает L1. Таким образом, считается, что охват диагностикой скрытых сбоев будет равен 100%.

L1 представляет собой светодиодный индикатор на приборной панели, он горит при обнаружении множественного отказа, из которых только часть может быть обнаружена, и указывает водителю, что безопасное состояние функции 1 (клапан 1 открыт) было активировано.

Примечания

1 Отказы жгута проводов в данном примере не рассматриваются.

2 Модель сбоя, используемая для данной электронной части, может отличаться в зависимости от применения.

Пример - Модель сбоя резистора зависит от того, где он используется, в схеме цифрового входа (например, R11, R12, R13, ...) или аналогового входа (например, R63). В первом случае моделью сбоя может быть "разрыв/замыкание" тогда, как во втором случае, это может быть "разрыв/замыкание/дрейф".

Примечание - Первая метрика используется только для охвата вида отказов механизмами безопасности, целью которых является предотвращение нарушений цели безопасности. Вторая метрика используется только для охвата вида отказов механизмами безопасности, целью которых является предотвращение скрытых отказов среди этого вида отказов.

Пример - Вид отказов "разрыв" для R21 может нарушить цель безопасности 2 в отсутствии механизма безопасности. Механизм безопасности 3 обнаруживает этот вид отказов с охватом 99% и переводит систему в безопасное состояние. При обнаружении этого вида отказов, будет выдано предупреждение; охват вида отказов в случае скрытых отказов составляет 100%.

Примечание - В данном примере были рассмотрены предположения о распределении вида отказов в элементах аппаратных средств. Если никакое конкретное распределение вида отказов не может быть обосновано или предложено, то можно предположить равномерное распределение видов отказов.     

Рисунок Е.1 - Схема рассматриваемого примера

Обратите внимание на то, что в таблицах рисунков Е.2 и Е.3 охват механизмом безопасности конкретного вида отказов элемента аппаратного средства называют "охватом вида отказов".