Точный
Статус документа
Статус документа

ГОСТ Р ИСО 26262-10-2014 Дорожно-транспортные средства. Функциональная безопасность. Часть 10. Руководство по ИСО 26262

     8.2 Пример оценки интенсивности остаточных отказов и метрики локального одиночного сбоя

8.2.1 Общие положения

Данный пример демонстрирует способ оценки интенсивности остаточных отказов , интенсивности одиночных отказов и локализованной версии метрики M одиночных сбоев датчика. В данном примере значение датчика сравнивается со значением другого датчика, которые оба измеряют ту же физическую величину и имеют известные допуски. Значения датчика A_Master используются функцией применения. Значения другого датчика, A_Checker, используются исключительно для подтверждения значений датчика A_Master.

Такой контроль выполняется в соответствии с требованиями приложения D ИСО 26262-5, либо как "проверка обоснованности датчика", либо как "сравнение / голосование на входе".

В данном примере классифицируются и оцениваются только сбои датчика A_Master. Отказы датчика A_Checker не рассматриваются.

Так как датчик A_Master имеет определенный механизм безопасности, то все остальные сбои, которые могут нарушить цель безопасности и которые не контролируются (т.е. нарушение цели безопасности не предотвращается), классифицируются как остаточные сбои. Интенсивность одиночных отказов (по определению) равна нулю.

8.2.2 Технические требования обеспечения безопасности для датчика A_Master

Граница безопасной эксплуатации датчика A_Master показана на рисунке 10 и считается заданной в данном примере (ее вывод из цели безопасности здесь не обсуждается). Она может быть выражена с помощью следующих терминов:

,


где C - постоянная величина;

- связанная с безопасностью нижняя граница датчика A_Master;

v - измеряемая физическая величина;

a - постоянная величина.

Связанный с безопасностью отказ датчика происходит, когда

,


где m - значение, получаемое от датчика A_Master.

Требование безопасности заключается в обнаружении и управлении связанным с безопасностью отказом датчика A_Master в течение времени сбоеустойчивости T.

На рисунке 10 по оси X откладывается измеряемое значение реальной физической величины v, а по оси Y значение m, полученное от датчика A_Master. Пунктирная линия показывает возвращаемое значение идеального датчика (т.е. датчик с нулевым допуском) в качестве эталона. Сплошная линия показывает . Если значение m, получаемое от датчика A_Master, находится на или выше сплошной линии, то может произойти нарушение цели безопасности.

     

1 - связанная с безопасностью нижняя граница датчика A_Master; 2 - возвращаемое значение идеального датчика с нулевым допуском (как эталон); 3 - сбои с возможным нарушением цели безопасности

Рисунок 10 - Граница безопасной эксплуатации датчика A_Master

8.2.3 Описание механизма безопасности

Элементами механизмов безопасности являются датчик A_Checker и аппаратный монитор, который состоит из микроконтроллера с встроенным программным обеспечением. Программа сравнивает значения двух датчиков друг с другом, с периодом времени, значение которого меньше времени сбоеустойчивости T. Оценка проводится следующим образом: