Национальный стандарт РФ ГОСТ Р ИСО 26262-10-2014
"ДОРОЖНЫЕ ТРАНСПОРТНЫЕ СРЕДСТВА. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ. ЧАСТЬ 10. РУКОВОДЯЩИЕ УКАЗАНИЯ ПО ИСО 26262"
(утв. приказом Федерального агентства по техническому регулированию и метрологии России от 17 ноября 2014 г. N 1624-ст)
Road vehicles. Functional safety. Part 10. Guideline on ISO 26262
Дата введения - 1 октября 2015 г.
Введен впервые
Предисловие
1 Подготовлен Обществом с ограниченной ответственностью "Корпоративные электронные системы" и Федеральным государственным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации - "Фирма "Интерстандарт" на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4
2 Внесен Техническим комитетом по стандартизации ТК 58 "Функциональная безопасность"
3 Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии России от 17 ноября 2014 г. N 1624-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 26262-10:2012 "Дорожные транспортные средства. Функциональная безопасность. Часть 10. Руководящие указания по ИСО 26262" (ISO 26262-10:2012 "Road vehicles - Functional safety - Part 10: Guideline on ISO 26262").
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 Введен впервые
Введение
Комплекс стандартов ИСО 26262 является адаптацией комплекса стандартов МЭК 61508 и предназначен для применения электрических и/или электронных (Э/Э) систем в дорожно-транспортных средствах.
Эта адаптация распространяется на все виды деятельности в процессе жизненного цикла систем, связанных с безопасностью, включающих электрические, электронные и программные компоненты.
Безопасность является одним из важнейших вопросов в автомобилестроении. Создание новых функциональных возможностей не только в таких системах, как содействие водителю, силовые установки, управление динамикой автомобиля, но и в активных и пассивных системах безопасности тесно связано с деятельностью по проектированию систем безопасности. Разработка и интеграция этих функциональных возможностей повышает необходимость использования процессов разработки систем безопасности и обеспечения доказательств того, что все обоснованные цели системы безопасности выполнены.
С ростом сложности технологий, программного обеспечения и мехатронных устройств увеличиваются риски, связанные с систематическими отказами и случайными отказами оборудования. Чтобы предотвратить эти риски, комплекс стандартов ИСО 26262 включает соответствующие требования и процессы.
Безопасность системы достигается за счет ряда мер безопасности, которые реализуются с применением различных технологий (например, механических, гидравлических, пневматических, электрических, электронных, программируемых электронных) и применяются на различных уровнях процесса разработки. Несмотря на то, что настоящий стандарт касается функциональной безопасности Э/Э систем, подход, рассматриваемый в настоящем стандарте, может быть использован для разработки связанных с безопасностью систем, основанных на других технологиях.
Настоящий стандарт:
a) обеспечивает жизненный цикл систем безопасности автомобиля (менеджмент, разработку, производство, эксплуатацию, обслуживание, вывод из эксплуатации) и поддерживает адаптацию необходимых действий для выполнения этих стадий жизненного цикла;
b) обеспечивает разработанный специально для автотранспорта, основанный на риске подход для определения уровней полноты безопасности [уровни полноты безопасности автомобиля (УПБА)];
c) использует значения УПБА при спецификации соответствующих требований, чтобы предотвратить неоправданный остаточный риск;
d) устанавливает требования к мерам проверки соответствия и подтверждения, которые обеспечивают достижение достаточного и приемлемого уровня безопасности;
e) устанавливает требования к взаимодействию с поставщиками.
На функциональную безопасность влияют процессы разработки (в том числе спецификация требований, реализация, внедрение, интеграция, верификация, подтверждение соответствия и управление конфигурацией), процессы производства и обслуживания, а также процессы управления.
Вопросы безопасности тесно связаны с любыми опытно-конструкторскими работами, реализующими функционал и обеспечивающими качество создаваемых изделий, а также с результатами таких работ. Настоящий стандарт рассматривает связанные с безопасностью проблемы, касающиеся опытно-конструкторских работ и их результатов.
На рисунке 1 показана общая структура комплекса ИСО 26262. В нем для различных стадий разработки изделия используется эталонная V-модель процесса. На рисунке 1:
- залитая область в виде символа "V" представляет взаимосвязь между ИСО 26262-3, ИСО 26262-4, ИСО 26262-5, ИСО 26262-6 и ИСО 26262-7;
- ссылки на конкретную информацию даны в виде: "m-n", где "m" представляет собой номер части настоящего стандарта, а "n" указывает на номер раздела этой части.
Пример - 2-6 ссылается на пункт 6 ИСО 26262-2.
Рисунок 1 - Общая структура ИСО 26262
1 Область применения
Настоящий стандарт применяется к связанным с безопасностью системам, включающим в себя одну или несколько электрических и/или электронных (Э/Э) систем, которые установлены в серийно производимых легковых автомобилях с максимальной массой (брутто) транспортного средства до 3500 кг. Настоящий стандарт не применяется для уникальных Э/Э систем в транспортных средствах специального назначения, таких как транспортные средства, предназначенные для водителей с ограниченными возможностями.
Системы и их компоненты, находящиеся в производстве или на стадии разработки до даты публикации настоящего стандарта, не входят в область его применения. Если разрабатываемые автомобили или их модификации используют системы и их компоненты, выпущенные до публикации настоящего стандарта, то только модификации этих систем должны быть разработаны в соответствии с настоящим стандартом.
Настоящий стандарт рассматривает возможные опасности, вызванные некорректным поведением Э/Э связанных с безопасностью систем, а также некорректным взаимодействием этих систем. Настоящий стандарт не рассматривает опасности, связанные с поражением электрическим током, возгоранием, задымлением, перегревом, излучением, токсичностью, воспламеняемостью, химической активностью, коррозией и подобные опасности, если они непосредственно не вызваны некорректным поведением Э/Э связанных с безопасностью систем.
Настоящий стандарт не рассматривает номинальные рабочие характеристики Э/Э систем, даже если для таких систем существуют стандарты, посвященные их функциональным рабочим характеристикам (например, активные и пассивные системы безопасности, тормозные системы, адаптивный круиз-контроль).
В настоящем стандарте сделан краткий обзор комплекса ИСО 26262, а также даны дополнительные объяснения к нему. Настоящий стандарт предназначен для улучшения понимания других частей комплекса ИСО 26262, носит только справочный характер и описывает общие понятия ИСО 26262. Объяснения даются как для общих понятий, так и для их конкретного содержания.
В случае расхождения между требованиями, рекомендациями или данными, используемыми в настоящем стандарте и в другой части комплекса ИСО 26262, применяются требования, рекомендации или данные, определенные в другой части комплекса ИСО 26262.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ИСО 26262-1:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 1. Терминыиопределения (ISO 26262-2:2011, Road vehicles - Functional safety - Part 1: Vocabulary)
ИСО 26262-2:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 2. Управлениефункциональнойбезопасностью (ISO 26262-2:2011, Road vehicles - Functional safety - Part 2: Management of functional safety)
ИСО 26262-3:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 3. Стадияформированияконцепции (ISO 26262-3:2011, Road vehicles - Functional safety - Part 3: Concept phase)
ИСО 26262-4:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 4. Разработкаизделиянауровнесистемы ((ISO 26262-4:2011, Road vehicles - Functional safety - Part 4: Product development at the system level)
ИСО 26262-5:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 5. Разработкааппаратныхсредствизделия (ISO 26262-5:2011, Road vehicles - Functional safety - Part 5: Product development at the hardware level)
ИСО 26262-6:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 6. Разработкапрограммногообеспеченияизделия (ISO 26262-6:2011, Road vehicles - Functional safety - Part 6: Product development at the software level)
ИСО 26262-7:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 7. Производствоиэксплуатация (ISO 26262-7:2011, Road vehicles - Functional safety - Part 7: Production and operation)
ИСО 26262-8:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 8. Вспомогательныепроцессы (ISO 26262-8:2011, Road vehicles - Functional safety - Part 8: Supporting processes)
ИСО 26262-9:2011 Дорожно-транспортные средства. Функциональная безопасность. Часть 9. Анализ уровня полноты безопасности автомобиля и анализ безопасности автомобиля (ISO 26262-9:2011, Road vehicles - Functional safety - Part 9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses)
3 Термины, определения и сокращения
В настоящем стандарте применимы термины, определения и сокращения по ИСО 26262-1:2011.
4 Основные понятия ИСО 26262
4.1 Функциональная безопасность систем транспортного средства (связь с МЭК 61508)
Серия МЭК 61508 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью", является базовым стандартом МЭК в области функциональной безопасности. Это означает, что стандарты по функциональной безопасности, разрабатываемые для других секторов промышленности, будут основываться на требованиях МЭК 61508.
В автомобильной промышленности существует ряд областей, где МЭК 61508 применяется непосредственно. Некоторые из этих областей и их отличия в ИСО 26262 описаны ниже.
МЭК 61508 основывается на модели "управляемого оборудования" (например, промышленное предприятие, имеющее свою систему управления) следующим образом:
a) анализ опасностей идентифицирует опасности в управляемом оборудовании (в том числе в системе управления оборудованием), к которым будут применяться меры по снижению риска. Это может быть достигнуто с помощью Э/Э/ПЭ систем или систем, связанных с безопасностью, основанных на других технологиях (например, предохранительный клапан), или внешних мер по снижению риска (например, физические меры предосторожности предприятия). Настоящий стандарт содержит нормативную схему классификации опасностей транспортного средства в зависимости от их важности, вероятности влияния на них внешнего воздействия и управляемости;
b) снижение рисков, задаваемое Э/Э/ПЭ системам обеспечивается так называемыми функциями безопасности. Эти функции безопасности весте с другими реализуются либо как отдельная система безопасности, либо могут быть включены в систему управления предприятием. Реализовывать отдельные системы безопасности в транспортном средстве не всегда разумно, так как безопасность транспортного средства зависит от поведения самих систем управления.
ИСО 26262 реализует концепцию целей безопасности и концепцию обеспечения безопасности, следующим образом:
- анализ опасностей и оценка рисков определяет опасности и опасные события, которые должны быть предотвращены, смягчены или должны контролироваться;
- цель безопасности формулируется для каждого опасного события;
- уровень полноты безопасности автомобиля (УПБА) связан с каждой целью безопасности;
- концепцией обеспечения функциональной безопасности является описание функциональности системы, связанной с безопасностью, которая необходима для достижения цели(ей) безопасности;
- технической концепцией обеспечения безопасности является положение о том, как эта функциональность реализуется на уровне системы аппаратными средствами и программным обеспечением;
- требования к программному обеспечению системы безопасности и требования к ее аппаратным средствам устанавливают конкретные требования к системе безопасности, которые будут реализованы в процессе проектирования программного обеспечения и аппаратных средств.
Пример - Система подушек безопасности:
- одной из опасностей является непреднамеренное их раскрытие;
- соответствующая цель безопасности заключается в том, что подушка безопасности не раскрывается, если не происходит аварии, требующей ее раскрытия;
- концепция обеспечения функциональной безопасности может определить дополнительную функцию для обнаружения столкновения автомобиля;
- техническая концепция обеспечения безопасности может определить реализацию двух независимых датчиков ускорения по различным осям и двух независимых схем запуска раскрытия. Петарда запускается, если обе схемы срабатывают.
МЭК 61508 предназначен для отдельных систем или систем невысокой сложности. Система создается и тестируется, затем устанавливается на предприятии и после этого для нее выполняется подтверждение соответствия системе безопасности. Для рынка массовых изделий, таких как транспортные средства, подтверждение соответствия системе безопасности выполняется перед началом их массового (серийного) производства. Поэтому порядок действий, выполняемых на стадиях жизненного цикла, описанный в ИСО 26262, иной. Так, например, в ИСО 26262-7 представлены требования к производству, которые в МЭК 61508 отсутствуют.
В МЭК 61508 не рассматриваются конкретные требования к управлению разработкой несколькими организациями и цепочками поставок, в то время как в ИСО 26262 этот вопрос рассматривается подробно, включая и соглашение об интерфейсе разработки (см. раздел 5 26262-8 "Взаимодействие в совместных разработках"), так как автотранспортные системы создаются одним или несколькими поставщиками заказчика, например производителем автотранспортных средств, поставщиком заказчика или заказчиком.
МЭК 61508 не содержит нормативных требований к классификации опасности. ИСО 26262 схему классификации опасностей автомобиля содержит. Данная схема признает, что опасность в системе автомобиля не обязательно приводит к аварии. Это зависит от результатов анализа, выполненного для лиц, подвергающихся риску: действительно ли они подвергаются опасности, если она возникает, и в состоянии ли они принять меры по управлению результатами опасных событий. На рисунке 2 приведен пример такого подхода для отказа, который влияет на управляемость движущегося транспортного средства.
Примечание - Данный подход призван лишь продемонстрировать, что не всегда существует прямая связь между произошедшим отказом и аварией. Это не выявляется в процессе анализа опасностей и оценки рисков, хотя оцениваемые параметры в этом процессе связаны с вероятностями переходов между состояниями, показанными на рисунке 2.
Рисунок 2 - Модель конечного автомата для оценки риска автомобиля
Требования для разработки аппаратных средств (ИСО 26262-5) и программного обеспечения (МСО 26262-6) адаптированы для современного автомобилестроения. В частности, ИСО 26262-6 содержит требования, связанные с разработкой на основе модели; МЭК 61508 предусматривает применения конкретных методов. Применение любого альтернативного метода должно быть подробно обосновано. Для методов, перечисленных в ИСО 26262, предоставляются конкретные цели. Для достижения этих целей могут быть применены предусмотренные методы или предусмотрено обоснование достижения цели альтернативными методами.
Требования к системе безопасности в настоящем стандарте определяется уровнем полноты безопасности автомобиля (УПБА), а не уровнем полноты безопасности (УПБ). Основное различие состоит в том, что УПБ в МЭК 61508 задается в вероятностных терминах (см. таблицу 3 МЭК 61508-1). В МЭК 61508 указано: "Принято считать, что только по отношению к полноте безопасности аппаратных средств возможно дать количественную оценку и использовать надежные методы предсказания при оценке того, будут ли достигнуты планируемые величины отказов. При определении того, будут ли достаточны меры предосторожности для достижения планируемых величин отказов по отношению к полноте безопасности, связанной с систематическими отказами, должны быть использованы качественные методы и обоснования". УПБА основан не на таком вероятностном требовании, касающемся возникновения опасности. Однако существуют вероятностные цели, связанные с соблюдением требований УПБА.
4.2 Устройство, система, элемент, компонент, часть аппаратного средства и модуль программного обеспечения
Термины устройство, система, элемент, компонент, часть аппаратного средства и модуль программного обеспечения определены в ИСО 26262-1. На рисунке 3 представлена взаимосвязь устройства, системы, элемента, компонента, части аппаратного средства и модуля программного обеспечения. На рисунке 4 показано, что может входить в устройство. В устройстве можно выделить систему, подсистему или компонент. Полученный в результате выделения элемент, соответствующий критериям системы, может быть системой или подсистемой. Термин подсистема используется, когда важно подчеркнуть, что элемент является частью более крупной системы. Компонент является логически и технически отдельным элементом не уровня системы. Часто термин компонент применяют к элементу, который состоит только из частей и блоков, но также может быть применен к элементу, состоящему из элементов нижнего уровня конкретной области технологии, например электрической/электронной технологии (см. рисунок 4).
Пример - Для микроконтроллера или СИС может быть использована следующая декомпозиция: весь микроконтроллер является компонентом, блок обработки (например, процессор) является его частью, регистры внутри блока обработки (например, блок регистров процессора) являются подчастью. В случае анализа микроконтроллера может быть необходима декомпозиция с более высоким уровнем детализации. Чтобы помочь в этом, можно декомпозировать часть на подчасти, которые могут быть далее декомпозированы на базовые/элементарные подчасти.
Рисунок 3 - Взаимосвязь устройства, системы, элемента, компонента, части аппаратного средства и модуля программного обеспечения
Рисунок 4 - Пример выделения компонентов в устройстве
4.3 Отношения между сбоями, ошибками и отказами
Термины сбой, ошибка и отказ определяются в ИСО 26262-1. На рисунке 5 представлен процесс последовательного развития сбоя в ошибку и ошибки в отказ для трех различных типов причин их появления, связанных с систематическими проблемами программного обеспечения, случайными проблемами аппаратных средств и систематическими проблемами аппаратных средств. Систематические сбои (см. ИСО 26262-1) обусловлены проблемами на стадиях спецификации и проектирования. К систематическим сбоям относят сбои программного обеспечения и некоторую часть сбоев аппаратных средств. Случайные сбои аппаратных средств (см. ИСО 26262-1) обусловлены физическими процессами, такими как износ, физическая деградация или аномальные внешние условия. На уровне компонентов каждый из различных типов сбоев может привести к различным отказам. Однако отказы на уровне компонента являются сбоями на уровне устройства. Отметим, что в этом примере на уровне автомобиля сбои, связанные с различными причинами, могут привести к одинаковому отказу. Подмножество отказов на уровне устройства будут представлять собой опасности (см. ИСО 26262-1), если дополнительные факторы внешней среды позволяют отказу внести свой вклад в аварийный сценарий.
Пример - Если транспортное средство начинает вести себя неожиданно при пересечении перекрестка, то может произойти авария, например оценивается тяжесть, воздействие и управляемость риска опасного события "транспортное средство "скачет" при пересечении перекрестка" ("скакать" - делать резкие отрывистые движения).
Рисунок 5 - Пример сбоев, приводящих к отказам
5 Отдельные вопросы, связанные с управлением безопасностью
5.1 Результат работы
Данный подраздел описывает термин "результат работы".
Результат работы является результатом выполнения соответствующих требований настоящего стандарта (см. ИСО 26262-1). Таким образом, документально оформленный результат работы может обеспечить доказательство соответствия с этими требованиями безопасности.
Пример - Спецификация требований является результатом работы, который может быть документально оформлен с помощью базы данных требований или в виде текстового файла. Исполняемая модель является результатом работы, которая может быть представлена файлами на языке моделирования, которые могут быть выполнены, например, программными инструментальными средствами для решения задач моделирования.
Документация на результат работы [см. раздел 10 ("Документирование") ИСО 26262-8] является записью выполненных действий по обеспечению безопасности, требований к системе безопасности или связанной информации. Такая документация не ограничивается какой-либо формой или средой.
Пример - Документация на результат работы может быть представлена в виде электронных или бумажных файлов, отдельным документом или набором документов. Она может быть объединена с документацией на другие результаты работы или с документацией, непосредственно не связанной с функциональной безопасностью.
Для того чтобы избежать дублирования информации, могут быть использованы перекрестные ссылки между или внутри документации.
5.2 Меры подтверждения
5.2.1 Общие положения
В настоящем стандарте определенные результаты работы оцениваются во время последующих действий либо частично мерами подтверждения, либо частично действиями по верификации. Данный подраздел описывает различия между мерами верификации и подтверждения.
С одной стороны, действия по верификации выполняются с целью определения полноты и правильности спецификации или реализации требований к системе безопасности. Верификация результатов работы может включать в себя:
- отчеты по верификации спецификации или реализации требований безопасности, полученных из требований безопасности более высокого уровня, в отношении их полноты и правильности, или
- выполнение тестов или проверку результатов тестирования для обеспечения доказательств выполнения установленных требований безопасности устройством или его элементом(ами).
Действия по верификации установлены в ИСО 26262-3, ИСО 26262-4, ИСО 26262-5 и ИСО 26262-6.
Кроме того, общие требования к действиям по верификации в настоящем стандарте установлены в разделе 9 ИСО 26262-8 (Верификация), а в дальнейшем детали, специфичные для верификации требований безопасности, установлены в разделе 6 ИСО 26262-8 (Спецификация и менеджмент требованиями к системе безопасности).
С другой стороны, выполняются меры подтверждения для оценки достижения устройством функциональной безопасности, включая подтверждения:
- надлежащих определения, адаптации и выполнения действий по обеспечению безопасности, выполняемых во время разработки устройства, и реализованных процессов безопасности в соответствии с требованиями настоящего стандарта, а также
- надлежащего содержания результатов работы относительно соответствующих требований настоящего стандарта.
Меры подтверждения установлены в разделе 6 (Управление созданием системы безопасности на стадиях формирования концепции и разработки изделия) ИСО 26262-2.
Пример - Если декомпозиция УПБА применяется на стадии проектирования системы, то:
- верификация полученного проекта системы выполняется в соответствии с технической концепцией системы безопасности (см. 7.4.8 ИСО 26262-4) и
- подтверждение правильности применения декомпозиции УПБА может быть выполнено как часть оценки функциональной безопасности, в соответствии с разделом 5 ИСО 26262-9 (Декомпозиция требований с распределением УПБА), включая подтверждение того, что был выполнен анализ зависимых отказов и он обосновывает выполнение требования достаточной независимости между элементами, которые реализуют соответствующие требования избыточности системы безопасности.
5.2.2 Оценка функциональной безопасности
Если самое большое значение УПБА целей безопасности устройства равно значению С или D, то выполнение оценки функциональной безопасности заключается в оценке достижения устройством функциональной безопасности. В ИСО 26262-2 некоторые аспекты оценки функциональной безопасности рассматриваются отдельно, например аудит функциональной безопасности и отчеты о подтверждении.
Оценка функциональной безопасности включает в себя:
a) рассмотрение вопроса о целесообразности и эффективности реализуемых мер обеспечения безопасности, которые могут быть оценены в процессе разработки устройства;
b) оценку результатов работы, требуемых планом обеспечения безопасности. Рассмотрению отдельных результатов работы придается особое значение. Ими являются отчеты о подтверждении и планы подтверждения соблюдения такими результатами работы соответствующих требований настоящего стандарта; а также
c) один или более аудитов функциональной безопасности для оценки осуществления процессов, необходимых для функциональной безопасности.
Оценка функциональной безопасности может быть выполнена повторно или обновлена.
Примеры
1 Оценка функциональной безопасности обновляется из-за изменения устройства или элемента (элементов) этого устройства, которое определяется технологией управления изменениями, так как оно оказывает влияние на функциональную безопасность устройства [см. раздел 8 ИСО 26262-8 (Управление изменениями)].
2 Повторная оценка функциональной безопасности может быть вызвана информацией об оценке функциональной безопасности, которая включает рекомендации по условному принятию или отклонению функциональной безопасности устройства. В этом случае повторная оценка включает в себя рекомендации, полученные из предыдущей(их) оценки(ок) функциональной безопасности, включая оценку проведенных корректирующих действий, если они применимы.
Если самое большое значение УПБА целей безопасности устройства равно значению В, то оценка функциональной безопасности может не выполняться или может быть выполнена менее строго. Однако, даже если оценка функциональной безопасности не выполняется, то должны быть выполнены другие меры подтверждения, например отчеты о подтверждении оценки опасности и анализа рисков, о плане обеспечения безопасности, о плане интеграции и тестирования устройства, о плане подтверждения соответствия, о подходящем анализе безопасности, о подтверждении проверкой в эксплуатации (если применимо) и о полноте обоснования безопасности (см. таблицу 1 ИСО 26262-2).
Если самое большое значение УПБА целей безопасности устройства равно значению А, то в настоящем стандарте нет никакого требования или рекомендации о проведении или непроведении оценки функциональной безопасности. Однако отчеты о подтверждении анализа опасностей и оценки рисков и о подходящем анализе безопасности по-прежнему выполняются.
В случае распределенной разработки, область применения оценки функциональной безопасности включает в себя полученные результаты работы, а также выполненные процессы и меры обеспечения безопасности заводом-изготовителем транспортного средства и поставщиками в цепочке поставок устройства [см. ИСО 26262-2 и раздел 5 (Взаимодействие в совместных разработках) ИСО 26262-8].
Цель оценки функциональной безопасности заключается в оценке достижения устройством функциональной безопасности, которая возможна только на уровне устройства. Таким образом, оценка функциональной безопасности на территории поставщика (который разрабатывает элементы устройства) выполняется только в ограниченном объеме, результаты которой, по существу, являются исходной информацией для последующих действий по оценке функциональной безопасности (на стороне заказчика). Как конечный потребитель разработанного устройства, изготовитель транспортного средства назначает лицо (несколько лиц) для выполнения оценки функциональной безопасности в полном объеме, чтобы судить о достижении устройством функциональной безопасности. Это обоснование включает в себя рекомендации по принятию, условному принятию или отклонению результатов оценки функциональной безопасности устройства.
Примечание - В случае если поставщик первого Уровня несет ответственность за разработку устройства, включая интеграцию транспортного средства, то такой поставщик берет на себя вышеупомянутую роль изготовителя транспортного средства.
На практике оценка функциональной безопасности при распределенной разработке может быть разделена на выполнение:
- оценки функциональной безопасности в ограниченном объеме на территории поставщика, затрагивая поставщиков в цепочке поставок. Применяется значение УПБА, являющееся самым высоким унаследованным значением УПБА (от целей безопасности устройства), для всех элементов устройства, которые разрабатываются поставщиком (см. также 5.4.5 ИСО 26262-8); и
- окончательной оценки функциональной безопасности, включающей в себя обоснование достижения функциональной безопасности интегрированным устройством, например выполняемой изготовителем транспортного средства. Применяемое значение УПБА является наибольшим значением УПБА целей безопасности устройства (см. также ИСО 26262-2).
Пример - Производитель автомобиля разрабатывает устройство, у которого цель безопасности 1 (ЦБ 1) имеет значение УПБА, равное D, а цель безопасности 2 (ЦБ 2) имеет значение УПБА, равное А, и планирует выполнить оценку функциональной безопасности этого устройства. Вполне возможно, что, например, поставщик второго или третьего Уровня разрабатывает элементы для этого устройства только со значениями УПБА, равными А, то есть только элементы, которые наследуют значение УПБА ЦБ 2, равное А [если, однако, это применимо, см. раздел 6 ИСО 26262-9 (Критерии совместимости элементов)]. В настоящем стандарте не существует требования или рекомендации (ни за, ни против), о выполнении оценки функциональной безопасности на территории такого поставщика для такого разрабатываемого устройства.
Область применения, процедура (например, результаты работы должны быть предоставлены поставщиком, результаты работы должны быть рассмотрены заказчиком) и выполнение оценки функциональной безопасности, касающиеся взаимодействия между заказчиком и поставщиком указываются в соответствующем соглашении об интерфейсе разработки [см. раздел 5 ИСО 26262-8 (Взаимодействие в совместных разработках)].
Пример - Соглашение об интерфейсе разработки между изготовителем транспортного средства (заказчик) и поставщиком первого Уровня. Соглашение об интерфейсе разработки между поставщиком первого Уровня (заказчик) и поставщиком второго Уровня.
Один из возможных способов выполнения оценки функциональной безопасности в случае распределенной разработки заключается в том, что изготовитель транспортного средства и каждый из поставщиков в цепочке поставок решает те вопросы по оценке [см. перечисления а),b) и с) выше], за которые соответствующая сторона несет ответственность, а именно:
- поставщик рассматривает меры обеспечения безопасности, реализованные при разработке элементов, включая их целесообразность и эффективность, чтобы обеспечить соответствие с целями безопасности или требованиями безопасности (предусмотренными заказчиком или разработанными поставщиком), и оценивает свои реализуемые процессы и полученные результаты работы. Поставщик также оценивает возможное влияние разработанных элементов на функциональную безопасность устройства, например выявляет, могут ли реализованные меры по обеспечению безопасности привести к новым опасностям;
- изготовитель транспортного средства оценивает функциональную безопасность интегрированного устройства. Часть оценки может быть основана на результатах работы или информации, предоставленной одним или более поставщиками, включая сообщения об оценках функциональной безопасности, выполненных на территории поставщика.
Примечание - Заказчик может оценить меры обеспечения безопасности, осуществляемые поставщиком, и результаты работы, предоставляемые поставщиком. Заказчик может также оценить процессы, осуществляемые поставщиком на территории поставщика (см. 5.4.4.8 ИСО 26262-8).
5.3 Обоснования безопасности
5.3.1 Объяснение обоснований безопасности
Целью обоснования безопасности является обеспечение четкого, всеобъемлющего и аргументированного объяснения, поддержанного доказательством, что при работе в целевом контексте в устройстве отсутствуют необоснованные риски.
Приведенные ниже руководящие указания даны для области применения настоящего стандарта.
Существуют три основных элемента обоснования безопасности, а именно:
- требования;
- доказательство и
- материалы, подтверждающие безопасность, например результаты работы в соответствии с требованиями настоящего стандарта.
Соотношение между этими тремя элементами в контексте настоящего стандарта представлено на рисунке 6.
Рисунок 6 - Ключевые элементы обоснования безопасности [2]
Доказательство безопасности реализует отношение между материалами, подтверждающими безопасность, и целями. Ролью доказательства безопасности часто пренебрегают. Можно представить многостраничный документ с доказательствами без четкого объяснения, как эти доказательства связаны с целями безопасности. Доказательство и материалы, подтверждающие безопасность, являются важными элементами обоснования безопасности и рассматриваются всегда вместе. Доказательство без материалов, подтверждающих безопасность, является необоснованным и потому неубедительным. Материалы, подтверждающие безопасность, без доказательства являются необъяснимыми, в результате отсутствует ясность в том, как были достигнуты цели безопасности. Обоснования безопасности передаются в виде разработанных и представленных отчетов с обоснованием безопасности. Роль отчета с обоснованием безопасности заключается в объединении доказательства безопасности с соответствующими отчетами о получении материалов, подтверждающих безопасность (например, протоколы испытаний).
Доказательства безопасности, используемые в настоящее время в других отраслях, часто включаются в отчеты с обоснованием безопасности в виде обычного текста. Обычным текстом можно описать, как цель безопасности была интерпретирована, распределена и декомпозирована, в конечном счете, доходя до ссылок на доказательства, которые демонстрируют выполнение заявленных характеристик безопасности для нижнего уровня. Кроме того, становится все более популярным использование графических представлений доказательства безопасности (например, требования - доказательства безопасности - материалы, подтверждающие безопасность, в средстве представления структурирования цели [2]), чтобы явно и наглядно представить отдельные элементы доказательства безопасности (требования, заявленные характеристики, материалы, подтверждающие безопасность, и контекст) и отношения, которые существуют между этими элементами (например, как отдельные требования поддерживаются конкретными заявленными характеристиками безопасности, каким образом заявленные характеристики безопасности поддерживаются материалами, подтверждающими безопасность, и предполагаемым контекстом, который определен для доказательства безопасности).
Доказательство безопасности, которое рассматривает безопасность, непосредственно используя характеристики реализуемого устройства (например, поведение синхронизации сторожевого таймера), часто называют доказательством безопасности изделия. Доказательство безопасности, которое рассматривает безопасность, используя характеристики процесса разработки и оценки (например, представления, принятые при проектировании), часто называют доказательством безопасности процесса.
Оба типа доказательства безопасности могут быть использованы для достижения обоснованного доказательства безопасности устройства, где доказательство безопасности процесса может рассматриваться как обеспечение уверенности в материалах, подтверждающих безопасность, используемых при доказательстве безопасности изделия.
5.3.2 Жизненный цикл разработки обоснования безопасности
Разработку обоснования безопасности можно рассматривать как дополнительную деятельность, которая интегрируется с остальными стадиями разработки жизненного цикла системы безопасности.
Примечание - План обеспечения безопасности может включать в себя планирование дополнительных шагов и предварительных версий обоснования безопасности.
Такой подход формирует промежуточные версии обоснования безопасности основных стадий разработки изделия. Например, предварительная версия обоснования безопасности может быть создана после верификации технических требований системы безопасности; промежуточная версия обоснования безопасности может быть создана после верификации проекта системы и окончательная версия может быть создана непосредственно перед оценкой функциональной безопасности.
Обоснование безопасности оформляется в виде отчета о подтверждении, как указано в 6.4.7 ИСО 26262-2 (Меры подтверждения: виды, независимость и полномочия).
Если устройство модифицируется, то оценивается влияние на обоснование безопасности и, при необходимости, обоснование безопасности обновляется с учетом модификаций.
6 Стадия формирования концепции и разработка системы
— Все документы — ГОСТы — ГОСТ Р ИСО 26262-10-2014 ДОРОЖНЫЕ ТРАНСПОРТНЫЕ СРЕДСТВА. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ. ЧАСТЬ 10. РУКОВОДЯЩИЕ УКАЗАНИЯ ПО ИСО 26262
Городом с самыми дешевыми квартирами в новостройках оказался Воронеж
Аналитик Гутман: период с мая по июль является лучшим периодом для продажи дачи
«МК»: в России не отменят льготную ипотеку
Аренда квартир в Москве подешевела на 10 %
Вице-премьер Хуснуллин: ставка по ипотеке должна быть пять процентов