agosty.ru43. ДОРОЖНО-ТРАНСПОРТНАЯ ТЕХНИКА43.040. Системы дорожно-транспортных средств

ГОСТ Р ИСО 26262-3-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции

Обозначение:
ГОСТ Р ИСО 26262-3-2020
Наименование:
Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции
Статус:
Действует
Дата введения:
06.01.2021
Дата отмены:
-
Заменен на:
-
Код ОКС:
43.040.10

Текст ГОСТ Р ИСО 26262-3-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции

ГОСТ Р ИСО 26262-3-2020

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ДОРОЖНЫЕ ТРАНСПОРТНЫЕ СРЕДСТВА. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ

Часть 3

Стадия формирования концепции

Road vehicles. Functional safety. Part 3. Concept phase

ОКС 43.040.10

Дата введения 2021-06-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием "Российский научно-технический центр информации по стандартизации, метрологии и оценке соответствия" (ФГУП "") совместно с Обществом с ограниченной ответственностью "Корпоративные электронные системы" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 058 "Функциональная безопасность"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 14 октября 2020 г. N 843-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 26262-3:2018* "Дорожные транспортные средства. Функциональная безопасность. Часть 3. Стадия формирования концепции" (ISO 26262-3:2018 "Road vehicles - Functional safety - Part 3: Concept phase", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - .

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р ИСО 26262-3-2014

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Комплекс стандартов ИСО 26262 является адаптацией комплекса стандартов МЭК 61508 и предназначен для применения электрических и/или электронных (далее - Э/Э) систем в дорожных транспортных средствах.

Данная адаптация распространяется на все виды деятельности в процессе жизненного цикла систем, связанных с безопасностью, включающих электрические, электронные и программные компоненты.

Безопасность является одним из приоритетов современного автомобилестроения. Расширение числа функциональных возможностей транспортных средств вызывает необходимость использования методологии функциональной безопасности и подтверждения достижения целей функциональной безопасности.

С ростом сложности технологий, программного обеспечения и мехатронных устройств увеличиваются риски, связанные с систематическими и случайными отказами аппаратных средств, рассматриваемыми в рамках функциональной безопасности. Комплекс стандартов ИСО 26262 является руководством по снижению этих рисков, в которое включены соответствующие требования и процессы.

Для достижения функциональной безопасности комплекс стандартов ИСО 26262 устанавливает:

a) жизненный цикл системы безопасности транспортного средства и включает перечень действий для стадий этого жизненного цикла (разработка, производство, эксплуатация, обслуживание, вывод из эксплуатации);

b) подход, основанный на оценке риска, разработанный специально для автотранспорта, для определения уровней полноты безопасности [уровни полноты безопасности транспортного средства (УПБТС)];

c) использование значения УПБТС для спецификации требований комплекса стандартов ИСО 26262 с целью предотвращения неоправданного остаточного риска;

d) требования к мерам по выполнению менеджмента функциональной безопасности, проектирования, реализации, верификации, валидации, а также к мерам их подтверждения;

e) требования к взаимодействию между заказчиками и поставщиками.

Комплекс стандартов ИСО 26262 рассматривает функциональную безопасность Э/Э систем, которая достигается с помощью мер по обеспечению безопасности, включая механизмы обеспечения безопасности. Однако он также обеспечивает подход, в рамках которого можно использовать связанные с безопасностью системы, реализуемые на других технологиях (например, механических, гидравлических и пневматических).

На достижение функциональной безопасности влияют процессы разработки (в том числе спецификация требований, проектирование, реализация, интеграция, верификация, валидация и управление конфигурацией), процессы производства и обслуживания, а также процессы управления.

Вопросы безопасности тесно связаны с любыми работами, реализующими функционал и обеспечивающими качество создаваемых изделий, а также с результатами таких работ. Настоящий стандарт рассматривает связанные с безопасностью проблемы, касающиеся этих работ и их результатов.

На рисунке 1 показана общая структура комплекса стандартов ИСО 26263. В нем для различных стадий разработки изделия используется эталонная V-модель процесса. На рисунке 1:

- заштрихованная область в виде символа "V" представляет взаимосвязь между ИСО 26262-3, ИСО 26262-4, ИСО 26262-5, ИСО 26262-6 и ИСО 26262-7;

- для мотоциклов:

ИСО 26262-12:2018, раздел 8, соответствует требованиям ИСО 26262-3;

ИСО 26262-12:2018, разделы 8 и 10, соответствуют требованиям ИСО 26262-4;

- ссылки на конкретную информацию даны в виде: "m-n", где "m" представляет собой номер части настоящего стандарта, а "n" указывает на номер раздела этой части.

Пример - 2-6 ссылается на раздел 6 ИСО 26262-2.

Рисунок 1 - Общая структура ИСО 26262

1 Область применения

Настоящий стандарт применяется к системам, связанным с безопасностью, включающим в себя одну или несколько Э/Э систем, установленным на серийно производимые дорожные транспортные средства, исключая мопеды. Настоящий стандарт не применяется для уникальных Э/Э систем транспортных средств специального назначения, таких как Э/Э системы, предназначенные для водителей с ограниченными возможностями.

Примечание - Существуют другие стандарты по безопасности для специального применения, которые могут дополнить комплекс стандартов ИСО 26262 либо включают комплекс стандартов ИСО 26262.

Системы и их компоненты, находящиеся в производстве или на стадии разработки до даты публикации настоящего стандарта, не входят в его область применения. Настоящий стандарт распространяется на изменения к существующим системам и их компонентам, запущенным в производство до публикации настоящего документа, с целью корректировки жизненного цикла системы безопасности в зависимости от конкретного изменения. Настоящий стандарт распространяется на интеграцию существующих систем, разработанных не в соответствии с настоящим стандартом, и систем, разработанных в соответствии с настоящим стандартом, при корректировке жизненного цикла системы безопасности.

Настоящий стандарт рассматривает возможные опасности, вызванные некорректным функционированием Э/Э систем, связанных с безопасностью, а также некорректным взаимодействием этих систем. Настоящий стандарт не рассматривает опасности, связанные с поражением электрическим током, возгоранием, задымлением, перегревом, излучением, токсичностью, воспламеняемостью, химической активностью, коррозией и подобными опасностями, если они непосредственно не вызваны неправильным функционированием Э/Э систем, связанных с безопасностью.

Настоящий стандарт описывает методологию функциональной безопасности, обеспечивающую разработку Э/Э систем, связанных с безопасностью. Эта методология предназначена для интеграции действий по функциональной безопасности в определенную для компании дисциплину разработки. Некоторые требования имеют ясную техническую направленность на обеспечение функциональной безопасности изделия; другие связаны с процессом разработки и поэтому могут рассматриваться как требования к процессу, чтобы продемонстрировать способность организации реализовать методологию функциональной безопасности.

Настоящий стандарт не рассматривает номинальные характеристики Э/Э систем.

Настоящий стандарт устанавливает требования для стадии формирования концепции изделия для применения на автомобильных транспортных средствах, в том числе:

- к определению устройства;

- анализу опасностей и оценке рисков;

- концепции функциональной безопасности.

В приложении A представлен обзор целей, предпосылок и результатов работы, рассмотренных в настоящем стандарте.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения к нему):

ISO 26262-1:2018, Road vehicles - Functional safety - Part 1: Vocabulary (Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения)

ISO 26262-2:2018, Road vehicles - Functional safety - Part 2: Management of functional safety (Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности)

ISO 26262-4:2018, Road vehicles - Functional safety - Part 4: Product development at the system level (Дорожные транспортные средства. Функциональная безопасность. Часть 4. Разработка изделия на уровне системы)

ISO 26262-8:2018, Road vehicles - Functional safety - Part 8: Supporting processes (Дорожные транспортные средства. Функциональная безопасность. Часть 8. Вспомогательные процессы)

ISO 26262-9:2018, Road vehicles - Functional safety - Part 9: Automotive safety integrity level (ASIL)-oriented and safety-oriented analyses (Дорожные транспортные средства. Функциональная безопасность. Часть 9. Анализ уровня полноты безопасности транспортного средства и анализ безопасности транспортного средства)

3 Термины и определения

В настоящем стандарте применены термины по ИСО 26262-1.

ИСО и МЭК для применения в стандартизации поддерживают терминологические базы данных:

- IEC Electropedia: доступна по адресу //www.electropedia.org/;

- ИСО, онлайн-платформа: доступна по адресу https://www.iso.org/obp.

4 Требования соответствия настоящему стандарту

4.1 Цель

Настоящий раздел описывает:

a) как обеспечить соответствие требованиям комплекса стандартов ИСО 26262;

b) интерпретировать таблицы, используемые в комплексе стандартов ИСО 26262;

c) интерпретировать применимость каждого раздела в зависимости от соответствующего значения УПБТС.

4.2 Общие требования

Для соответствия комплексу стандартов ИСО 26262 должно быть выполнено каждое его требование, если для этого требования не выполняется одно из следующих условий:

a) в соответствии с ИСО 26262-2 предусмотрена адаптация действий по обеспечению безопасности, которая показывает, что данное требование не применяется;

b) существует обоснование того, что несоблюдение данного требования допустимо, а также показано соответствие этого обоснования ИСО 26262-2.

Справочная информация, включая примечания и примеры, должна использоваться только для понимания или для уточнения соответствующего требования и не должна толковаться как самостоятельное требование или быть для него полной или исчерпывающей.

Результаты действий по обеспечению безопасности представлены как результаты работы. В пунктах "Предварительные требования" перечисляется информация, которая должна быть доступна как результат работы предыдущей стадии. Так как некоторые требования разделов настоящего стандарта зависят от УПБТС или могут быть скорректированы, то некоторые результаты работы в качестве предварительных условий могут не понадобиться.

В пунктах "Дополнительная информация" содержится информация, которую можно учитывать, но в некоторых случаях настоящий стандарт не требует, чтобы она была результатом работы предыдущей стадии. Такая информация может быть доступна из внешних источников, от лиц или организаций, которые не несут ответственность за деятельность по обеспечению функциональной безопасности.

4.3 Интерпретация таблиц

В настоящем стандарте использованы нормативные или справочные таблицы в зависимости от их контекста. Перечисленные в таблице различные методы вносят вклад в уровень уверенности в достижении соответствия рассматриваемому требованию. Каждый метод в таблице включен либо:

а) в последовательный список методов (он обозначен порядковым номером в левой колонке, например 1, 2, 3), или

б) альтернативный список методов (он обозначен номером с последующей буквой в левом столбце, например 2а, 2б, 2в).

В случае последовательного списка для соответствующего значения УПБТС должны применяться все "наиболее рекомендуемые" и "рекомендуемые" методы. Допускается замена "наиболее рекомендуемого" или "рекомендуемого" метода другим, не перечисленным в таблице методом, но в этом случае должно быть дано обоснование, почему он удовлетворяет соответствующему требованию. Если может быть обосновано, что для удовлетворения соответствующему требованию не выбираются никакие методы, то в дальнейшем обоснование пропущенных методов не выполняется.

В случае альтернативного списка должна применяться подходящая комбинация методов в соответствии с указанным значением УПБТС независимо от того, перечислены в таблице эти комбинации или нет. Если перечисленные методы имеют разные степени рекомендуемости их применения для некоторого значения УПБТС, то следует отдать предпочтение методам с более высокой степенью рекомендуемости. Должно быть дано обоснование, что выбранная комбинация методов или даже отдельный выбранный метод выполняет соответствующее требование.

Примечание - Обоснование, основанное на методах, перечисленных в таблице, является достаточным. Но это не означает, что существует какое-то предубеждение за или против применения методов, не перечисленных в таблице.

Для каждого метода степень рекомендуемости его применения зависит от значения УПБТС и классифицируется следующим образом:

- "+ +" означает, что метод является наиболее рекомендуемым для определенного значения УПБТС;

- "+" означает, что метод рекомендован для определенного значения УПБТС;

- "О" означает, что метод не имеет рекомендации за или против его применения для определенного значения УПБТС.

4.4 Требования и рекомендации, зависимые от значения УПБТС

Требования или рекомендации каждого подраздела должны соблюдаться для значений УПБТС A, B, C и D, если не указано иное. Эти требования и рекомендации связаны со значениями УПБТС цели безопасности. Если в соответствии с требованиями раздела 5 ИСО 26262-9 декомпозиция УПБТС была выполнена на более ранней стадии разработки, то должны соблюдаться значения УПБТС, полученные в результате декомпозиции.

Если в настоящем стандарте значение УПБТС дается в круглых скобках, то соответствующий подпункт должен рассматриваться как рекомендация, а не требование для этого значения УПБТС. Это не касается скобочных записей, относящихся к декомпозиции УПБТС.

4.5 Адаптация к мотоциклам

Для устройств или элементов мотоциклов, для которых применимы требования ИСО 26262-12, эти требования могут быть использованы вместо соответствующих требований в настоящем стандарте. Требования настоящего стандарта, которые заменяются требованиями ИСО 26262-12, определены в ИСО 26262-12.

4.6 Адаптация к грузовым транспортным средствам, автобусам, прицепам и полуприцепам

Содержание, предназначенное для спецификации грузовых автомобилей, автобусов, прицепов и полуприцепов, обозначается как (T&B).

5 Определение устройства

5.1 Цели

Цели настоящего раздела:

a) определить и описать устройство, его функциональные возможности, зависимости и взаимодействие с водителем, средой и другими устройствами на уровне транспортного средства;

b) обеспечить надлежащее понимание функционирования устройства, чтобы могли быть выполнены соответствующие действия на последующих стадиях.

5.2 Общие положения

В данном разделе перечислены требования и рекомендации к формированию определения устройства, учитывая его функциональность, интерфейсы, условия внешней среды, правовые требования, опасности и т.д. Это определение позволит обеспечить достаточным объемом информации об устройстве тех лиц, которые выполняют последующие подстадии: "анализ опасностей и оценка рисков" (см. раздел 6) и "концепция функциональной безопасности" (см. раздел 7).

Примечание - Таблица А.1 содержит обзор целей, предварительных требований и результатов работы стадии формирования концепции.

5.3 Входная информация

5.3.1 Предварительные требования

Не задаются.

5.3.2 Дополнительная информация

Следующая информация может быть учтена:

- любая информация, связанная с устройством, которая уже существует, например идея изделия, эскизный проект, соответствующие патенты, результаты предварительных испытаний, документация от предшествующих устройств, соответствующая информация о других независимых от разрабатываемого устройствах.

5.4 Требования и рекомендации

5.4.1 Для устройства должны быть определены следующие требования:

Примечания

1 Требования могут быть классифицированы как связанные с безопасностью после определения целей безопасности и значений их УПБТС.

2 Если функциональные и нефункциональные требования отсутствуют, то их формирование может быть инициировано требованиями настоящего раздела.

a) правовые требования, национальные и международные стандарты;

b) функциональное поведение на уровне транспортного средства, включая режимы работы или состояния устройства;

c) необходимые качество, характеристики и готовность функциональности, если необходимо;

d) ограничения для устройства, такие как функциональные зависимости, зависимости от других устройств и внешняя среда эксплуатации;

e) возможные последствия из-за некорректного функционирования, включая известные отказы и опасности, если таковые имеются.

Примечание - Могут быть включены известные связанные с безопасностью инциденты в подобных устройствах;

f) возможности исполнительных механизмов или их предполагаемые возможности.

Примечание - Эти значения (например, выходной крутящий момент, тяговое усилие, быстродействие, яркость, громкость) или их оценки необходимы для определения величины воздействия при выполнении анализа опасностей и оценки риска. Величина воздействия учитывается при принятии решения о значениях тяжести последствий и управляемости.

5.4.2 Должны быть определены габариты устройства, его интерфейсы и предположения о его взаимодействии с другими устройствами и элементами, учитывая:

а) элементы устройства.

Примечание - Элементы могут также быть основаны на других технологиях;

b) предположения о влиянии функционирования устройства на транспортное средство;

c) функциональность рассматриваемого устройства, необходимую другим устройствам и элементам;

d) функциональность других устройств и элементов, необходимую рассматриваемому устройству;

e) выделение и распределение функций между включенными в устройство системами и элементами;

f) сценарии работы, которые влияют на функциональность устройства.

Примечания

1 С увеличением сложности функций транспортного средства между устройствами появляются зависимости. Одно устройство может быть реализовано набором систем, которые сами выполняют другие функции уровня транспортного средства, т.е. их можно рассматривать как самостоятельные устройства.

Пример - Комплексный адаптивный круиз-контроль и функция удержания в полосе движения используют тормозную систему, систему рулевого управления и силовую установку. В этом примере тормозную систему, осуществляющую функцию торможения, можно считать самостоятельным устройством.

2 Если областью применения разработки является элемент, а не устройство, то см. 6.4.5.7 ИСО 26262-2.

5.5 Результаты работы

5.5.1 Определение устройства формируется в результате выполнения требований 5.4.

6 Анализ опасностей и оценка рисков

6.1 Цели

Цели настоящего раздела:

a) выявить и классифицировать опасные события, вызванные некорректным функционированием неисправного устройства;

b) сформулировать цели безопасности с соответствующими значениями УПБТС, связанными с предотвращением или ослаблением последствий опасных событий, во избежание необоснованного риска.

6.2 Общие положения

Анализ опасностей, оценка рисков и определение значения УПБТС используются для определения целей безопасности устройства. Для этого оцениваются потенциально опасные события для устройства. Цели безопасности и их значения УПБТС определяются с помощью систематической оценки опасных событий. Значения УПБТС определяются с учетом оценки влияющих факторов, таких как тяжесть последствий, вероятность воздействия и управляемость опасного события. Для этого необходимо знать функциональное поведение устройства, поэтому детальное проектирование устройства выполнять не обязательно.

6.3 Входная информация

6.3.1 Предварительные требования

Следующая информация должна быть доступна:

- определение устройства в соответствии с 5.5.1.

6.3.2 Дополнительная информация

Следующая информация может быть учтена:

- соответствующая информация о других устройствах (из внешнего источника).

6.4 Требования и рекомендации

6.4.1 Запуск процедуры анализа опасностей и оценки рисков

6.4.1.1 Анализ опасностей и оценка рисков должны быть основаны на определении устройства.

6.4.1.2 Анализ опасностей и оценка рисков устройства должны выполняться без его внутренних механизмов безопасности, то есть при анализе опасностей и оценке рисков не должны рассматриваться механизмы безопасности, предназначенные для реализации или которые уже были реализованы в предшествующих устройствах.

Примечания

1 При оценке устройства могут быть полезны доступные и достаточно независимые внешние меры.

Пример - Система динамической стабилизации может смягчить последствия отказов в системах шасси за счет повышения управляемости транспортного средства, если подтверждено, что она доступна и достаточно независима от оцениваемого устройства.

2 Механизмы безопасности устройства, которые предназначены для реализации или уже были реализованы, включены в качестве составной части в функциональную концепцию безопасности.

6.4.2 Анализ ситуации и идентификация опасности

6.4.2.1 Должны быть описаны эксплуатационные ситуации и режимы работы, в которых некорректное функционирование устройства приводит к опасному событию как в случаях регламентированного использования транспортного средства, так и в случаях предсказуемо неправильного использования.

Примечания

1 Эксплуатационные ситуации описывают условия, в которых предполагается, что устройство функционирует безопасно.

2 Опасности, возникающие только в результате функционирования устройства в отсутствие отказа, не входят в область применения настоящего стандарта.

6.4.2.2 Опасности должны определяться систематически на основе возможного функционирования устройства, работающего со сбоями.

Примечания

1 Анализ видов отказов и их последствий (FMEA) и исследования опасности и работоспособности (HAZOP) подходят для идентификации источников опасности на уровне устройства. Они могут выполняться такими методами, как мозговой штурм, контрольные листы, картина изменения качества устройства во времени и натурные исследования.

2 Ответственность за установление внешних мер для снижения последствий дополнительных рисков от транспортировки грузов не входит в область применения настоящего стандарта. Поэтому дополнительные риски, связанные с транспортировкой грузов, не являются частью анализа опасностей и оценки риска.

6.4.2.3 Опасности, вызванные функционированием устройства, работающего со сбоями, должны быть определены на уровне транспортного средства.

Примечания

1 В общем случае каждая опасность будет иметь несколько возможных причин, связанных с реализацией устройства, но они не должны рассматриваться в ходе анализа опасностей и оценки рисков функционирования устройства, работающего со сбоями.

2 Рассматриваются только опасности, связанные с функционированием самого устройства, работающего со сбоями, при этом предполагается, что все остальные системы (внешние меры) функционируют правильно, если они достаточно независимы.

6.4.2.4 Если существуют опасности, выявленные в настоящем разделе, которые не входят в область применения настоящего стандарта (см. раздел 1), то эти опасности должны быть рассмотрены согласно конкретным процедурам организации.

Примечание - Поскольку эти опасности не входят в область применения настоящего стандарта, то настоящий стандарт не дает рекомендаций для определения соответствия УПБТС для этих опасностей. Такие опасности классифицируются согласно процедурам применяемой дисциплины безопасности.

6.4.2.5 Должны быть определены соответствующие опасные события.

6.4.2.6 Должны быть определены последствия опасных событий.

Примечание - Если функционирование устройства, работающего со сбоями, вызывает потерю его нескольких функций, то анализ ситуации и процедура выявления опасности рассматривают результирующие опасные события.

Примеры

1 Потеря функциональности тормозной системы (ESC) может привести к одновременному отсутствию нескольких функций помощи водителю.

2 Отказ бортовой системы электропитания может привести к одновременной потере ряда функций, в том числе "крутящего момента двигателя", "гидроусилителя рулевого управления" и "переднего освещения".

6.4.2.7 Должно быть гарантировано, что выбранный уровень детализации списка эксплуатационных ситуаций не приводит к недопустимому снижению значения УПБТС.

Примечание - Очень подробный список эксплуатационных ситуаций (см. 6.4.2.1) для одной опасности, связанных с состоянием транспортного средства, дорожными условиями и условиями окружающей среды, может привести к подробной классификации опасных событий. Это может упростить оценку управляемости и тяжести последствий. Однако большое число различных эксплуатационных ситуаций может привести к последующему сокращению соответствующих классов воздействия и, таким образом, к недопустимому снижению значения УПБТС. Этого можно избежать, объединив аналогичные эксплуатационные ситуации.

6.4.3 Классификация опасных событий

6.4.3.1 Все опасные события, идентифицированные в соответствии с 6.4.2, должны быть классифицированы, кроме тех, которые находятся вне области применения настоящего стандарта.

Примечание - Если классификацию данной опасности по тяжести последствий (S), вероятности воздействия (Е) или управляемости (С) сделать трудно, то она классифицируется консервативно, то есть при наличии обоснованных сомнений выбираются более высокие значения S, E или С.

6.4.3.2 Тяжесть последствий потенциального вреда должна оцениваться на основе определенного обоснования для каждого опасного события. Тяжесть последствий должна быть отнесена к одному из классов тяжести последствий S0, S1, S2 и S3 в соответствии с таблицей 1.

Примечания

1 Оценка риска опасных событий основывается на возможном причинении вреда каждому человеку, подвергающемуся влиянию опасного события, включая водителя или пассажиров транспортного средства, вызывающего опасное событие, и других лиц, возможно находящихся в опасности, таких как велосипедисты, пешеходы и пассажиры других транспортных средств. Для характеристики степени тяжести последствий может быть использована Краткая шкала повреждений (КШП), представленная в приложении B, с примерами различных ДТП и классов тяжести их последствий.

2 Класс тяжести последствий может быть основан на сочетании травм, что может привести к более высокой оценке тяжести последствий, чем результат простого рассмотрения отдельных травм.

3 Оценка учитывает обоснованную последовательность событий для оцениваемой эксплуатационной ситуации.

4 Классификация тяжести последствий основана на репрезентативной выборке лиц, подвергающихся влиянию опасного события.

Таблица 1 - Классы тяжести последствий

Класс

S0

S1

S2

S3

Описание

Повреждения отсутствуют

Легкие и умеренные повреждения

Тяжелые и опасные для жизни повреждения (вероятное выживание)

Опасные для жизни повреждения (сомнительное выживание), повреждения со смертельным исходом

6.4.3.3 Существуют эксплуатационные ситуации, которые приводят к причинению вреда (например, несчастный случай). Последующее функционирование устройства, работающего со сбоями, в такой эксплуатационной ситуации может стать более опасным или не стать менее опасным и привести к причинению вреда. В этом случае классификация серьезности может быть ограничена разделением между серьезностью, вызванной начальной эксплуатационной ситуацией (например, несчастный случай) и функционированием устройства, работающего со сбоями.

Примеры

1 Если происходит несчастный случай, который не связан с функционированием устройства, работающего со сбоями, то полученный в результате вред от этого несчастного случая не рассматривают для классификации серьезности.

2 Рассматриваемое устройство включает функциональность подушки безопасности для снижения вреда, причиненного столкновением. Для несчастного случая, в котором подушка безопасности не раскрывается, может быть определен вред, причиненный столкновением. Если бы раскрывшаяся подушка безопасности уменьшила вред от того же несчастного случая до более низкого класса серьезности, то только такое разделение рассматривают для классификации серьезности.

6.4.3.4 Класс тяжести последствий S0 может быть назначен, если анализ рисков установит, что последствия функционирования устройства, работающего со сбоями, четко ограничены материальным ущербом и не влекут за собой вред людям. Если опасности присваивается класс тяжести последствий S0, то назначение УПБТС не требуется.

6.4.3.5 Вероятность воздействия каждой эксплуатационной ситуации должна быть оценена на основе конкретного обоснования для каждого опасного события. Вероятность воздействия должна быть отнесена к одному из классов вероятности воздействия E0, E1, E2, E3 и E4 в соответствии с таблицей 2.

Примечания

1 Для классов от E1 до E4 разница в значении вероятности воздействия от одного класса Е до следующего составляет один порядок величины.

2 Определение воздействия основано на репрезентативной выборке эксплуатационных ситуаций для рынков сбыта.

3 Дополнительная информация и примеры, связанные с вероятностью воздействия, содержатся в приложении B.

Таблица 2 - Классы вероятности воздействий эксплуатационных ситуаций

Класс

Е0

Е1

Е2

Е3

Е4

Описание

Невероятное

Очень низкая вероятность

Низкая вероятность

Средняя вероятность

Высокая вероятность

6.4.3.6 Количество транспортных средств, оснащенных устройством, не должно учитываться при оценке вероятности воздействия.

Примечание - При выполнении оценки вероятности воздействия предполагается, что каждое транспортное средство оснащено устройством. Это означает, что аргумент "вероятность воздействия может быть уменьшена, потому что устройство не присутствует в каждом транспортном средстве (так как только некоторые транспортные средства оснащены устройством)", является недопустимым.

6.4.3.7 Класс E0 может быть использован для тех эксплуатационных ситуаций, которые определены во время анализа опасностей и оценки риска, но которые считаются невероятными и, следовательно, не рассматриваются. Должно быть документально оформлено обоснование для исключения таких ситуаций. Если опасности присваивается класс воздействия E0, то назначения УПБТС не требуется.

Пример - E0 может быть использован в случае "форс-мажорного" риска (см. В.3).

6.4.3.8 Управляемость каждого опасного события водителем или другими лицами, потенциально находящимися в опасности, должна быть оценена на основе конкретного обоснования для каждого опасного события. Управляемость должна быть отнесена к одному из классов управляемости C0, C1, C2 и C3 в соответствии с таблицей 3.

Примечания

1 Для классов от С1 до С3 разница в значении вероятности от одного класса С до следующего составляет один порядок величины.

2 Под оценкой управляемости понимается оценка вероятности того, что водитель или другие лица, потенциально находящиеся в опасности, смогут получить достаточный контроль над опасным событием таким образом, что они могут избежать конкретного вреда. Для этой цели используется параметр С с классами C1, C2 и C3 для классификации возможности избежать вред. Предполагается, что водитель находится в надлежащем состоянии для управления (например, не устал), имеет соответствующую водительскую подготовку (имеет водительское удостоверение) и соблюдает все правила дорожного движения, в том числе необходимые требования предосторожности, чтобы избежать рисков для других участников дорожного движения. Некоторые примеры, которые служат интерпретацией данных классов, приведены в таблице В.6.

3 Рассматривается разумно предсказуемое неправильное использование, например "обычной манерой вождения является несохранение требуемой дистанции до впереди идущего транспортного средства".

4 Если опасное событие не связано с управлением скоростью и направлением движения транспортного средства, например возможное защемление конечности подвижными деталями, то управляемость может быть оценена вероятностью того, что находящийся в опасности человек в состоянии вывести себя из опасного состояния или может быть выведен из опасной ситуации другими лицами. При рассмотрении управляемости следует отметить, что лицо, находящееся в опасности, может быть не знакомо с работой устройства или может быть не осведомлено о развитии потенциально опасной ситуации.

5 При анализе управляемости в ситуации с несколькими участниками дорожного движения ее оценка может быть основана на управляемости транспортного средства с неисправным устройством и вероятных действиях других участников.

Таблица 3 - Классы управляемости

Класс

С0

С1

С2

С3

Описание

Полностью управляемое

Легко управляемое

Обычно управляемое

Трудно управляемое или неконтролируемое

6.4.3.9 Класс C0 может быть использован для опасностей, не охваченных данным устройством, если они не влияют на безопасную эксплуатацию транспортного средства (например, некоторые системы помощи водителю) или если несчастного случая можно избежать с помощью обычных действий водителя. Если опасности присваивается класс управляемости C0, то назначения УПБТС не требуется.

Примеры

1 Если потеря тяги происходит в гараже или паркинге при трогании с места, то может быть выбрано значение С0, поскольку водитель может оставить транспортное средство на месте.

Примечание - Отдельные специализированные документы, которые определяют функциональную работоспособность для рассматриваемого опасного события, можно использовать в качестве частичного обоснования при выборе подходящего класса управляемости, если это применимо, и в качестве подтверждений, например реальным опытом использования.

2 Отдельный специальный документ, охватывающий требования для сертификации системы транспортного средства с точным определением значений мощности или ускорения в случае отказа.

6.4.3.10 Значение УПБТС должно быть определено для каждого опасного события на основе классификации тяжести последствий, вероятности воздействия и управляемости в соответствии с таблицей 4.

Примечания

1 Определены четыре значения УПБТС: УПБТС А, УПБТС B, УПБТС C и УПБТС D, где значение УПБТС, равное А, является самым низким значением уровня полноты безопасности транспортного средства, а значение УПБТС, равное D, - самым высоким.

2 В дополнение к этим четырем значениям УПБТС классу QM (управление качеством) не назначается требование соответствия настоящему стандарту. Тем не менее соответствующее опасное событие может иметь последствия для безопасности, и в этом случае могут быть сформулированы требования безопасности. Классификация QM указывает, что процессов управления качеством достаточно для управления выявленным риском.

Таблица 4 - Определение УПБТС

Классы тяжести

Класс вероятности

Класс управляемости

последствий

воздействия

C1

C2

C3

S1

Е1

QM

QM

QM

Е2

QM

QM

QM

Е3

QM

QM

А

Е4

QM

А

В

S2

Е1

QM

QM

QM

Е2

QM

QM

А

Е3

QM

А

В

Е4

А

В

С

S3

Е1

QM

QM

А

Е2

QM

А

В

Е3

А

В

С

Е4

В

С

D

См. 6.4.3.11.

6.4.3.11 Если объединяются несколько маловероятных ситуаций, что приводит к более низкой вероятности воздействия, чем значение E1, то при таком объединении может быть обосновано значение QM для S3 и C3.

Примеры

1 В случае неисправности системы высокого напряжения подается неправильное напряжение питания и объединяются следующие эксплуатационные ситуации:

- столкновение, которое раскрывает подушку безопасности;

- на транспортном средстве, лежащем частично в воде;

- система высокого напряжения частично подвергается воздействию, не вызывая внутреннего короткого замыкания.

2 В случае неисправности топливного насоса снабжение бензином нарушается и объединяются следующие эксплуатационные ситуации:

- столкновение, которое раскрывает подушку безопасности;

- система бака до насоса остается полностью функциональной;

- топливопровод после насоса поврежден так, что бензин может капать на горячие детали;

- энергоснабжение насоса полностью функционирует.

6.4.4 Определение целей безопасности

6.4.4.1 Для каждого опасного события должна быть определена цель безопасности со значением УПБТС, оцениваемым при анализе рисков. Если определены похожие цели безопасности, то они могут быть объединены в одну цель безопасности.

Примечание - Цели безопасности являются требованиями безопасности самого высокого уровня для данного устройства. Они приводят к требованиям функциональной безопасности, необходимым для предотвращения необоснованного риска для каждого опасного события. Цели безопасности не выражаются через технологические решения, а формулируются в терминах функциональных задач.

6.4.4.2 Значение УПБТС, определяемое для опасного события, должно быть назначено соответствующей цели безопасности. Если же аналогичные цели безопасности объединяются в одну в соответствии с 6.4.4.3, то такой цели безопасности должно быть назначено наибольшее из значений УПБТС объединяемых целей безопасности.

6.4.4.3 Цели безопасности вместе с их значениями УПБТС должны быть специфицированы в соответствии с требованиями раздела 6 ИСО 26262-8.

Примечание - Цель безопасности может определять интервал сбоеустойчивости или физические характеристики (например, максимальный уровень нежелательного крутящего момента рулевого колеса, максимальный уровень нежелательного ускорения), если они имеют отношение к определению значения УПБТС.

6.4.4.4 Должны быть определены предположения, полученные в результате анализа опасностей и оценки риска или используемые для этого, которые важны для определения УПБТС (если возможно, включая опасные события, классифицированные QM или для которых УПБТС не назначен). Для этих предположений должна быть подтверждена корректность в соответствии с требованиями раздела 8 ИСО 26262-4 для интегрированного устройства.

Примечание - Предположения, если таковые имеются, которые рассматривают во время анализа опасностей и оценки риска, включают предполагаемые действия водителя или лиц, подвергающихся опасности, а также предположения, касающиеся внешних мер.

6.4.5 Управление различиями T&B при их анализе опасностей и оценке риска

6.4.5.1 Требования 6.4.5 должны применяться только к T&B.

6.4.5.2 При выполнении анализа опасностей и оценке риска для транспортных средств T&B необходимо учитывать следующие их различия по:

a) типу основного транспортного средства;

b) конфигурации транспортного средства T&B;

c) эксплуатации транспортного средства T&B.

Примечание - Для анализа применимы технические доказательства при выборе типов различия.

Примеры

1 Пробуксовка колеса может быть актуальной только для незагруженных грузовых автомобилей и не характерна для загруженных грузовых автомобилей, что влияет на вероятность ее возникновения.

2 Прикрепленный прицеп в определенных опасных ситуациях может снизить управляемость транспортного средства-тягача в сравнении с отсутствием прицепа.

3 Различные кузова T&B могут иметь различные свойства безопасности, тем самым влияя на тяжесть последствий.

6.4.5.3 При выполнении анализа опасностей и оценке рисков должен быть рассмотрен каждый соответствующий тип базового транспортного средства.

6.4.5.4 Количество транспортных средств данного типа базового транспортного средства не учитывается при оценке вероятности воздействия.

6.4.5.5 Количество транспортных средств, оборудованных определенной конфигурацией, не учитывается при оценке вероятности воздействия.

6.4.5.6 При выполнении анализа опасностей и оценке рисков должны быть рассмотрены те различия в эксплуатационных ситуациях, которые оказывают влияние на технические параметры.

Примечания

1 Использование транспортного средства является частью рассматриваемой эксплуатационной ситуации и учитывается при оценке вероятности воздействия.

Пример - Управление седельным тягачом без полуприцепа приводит к низкой нагрузке на ведущий мост (технический параметр), что приводит к снижению динамической устойчивости седельного тягача. При оценке вероятности воздействия эксплуатационная ситуация будет, например, такой: "Управление седельным тягачом на дорогах общего пользования без полуприцепа". Данный сценарий можно классифицировать как E2 (см. таблицу B.4).

2 При выполнении анализа опасностей и оценке рисков применение кузова можно рассматривать как груз. Допускается рассмотрение различных грузов.

Пример - Различные режимы загрузки (полная, частичная, без груза) и положения центра тяжести.

3 Функции кузовного оборудования, особенно функции механизмов, могут относиться к области применения других стандартов по безопасности. Анализ опасностей и оценка рисков для этих функций выполняются в соответствии с конкретными применимыми стандартами безопасности.

4 Для функций транспортного средства, которые связаны с применением специализированного кузова, в ходе анализа опасностей и оценки риска могут быть учтены эксплуатационные ситуации с таким кузовом.

6.4.5.7 При классификации параметров "Тяжесть последствий", "Вероятность воздействия" и "Управляемость" необходимо учитывать соответствующую комбинацию типов различий для устройства.

Примечание - Соответствующая комбинация может быть определена на основе технического доказательства.

6.4.6 Верификация

6.4.6.1 Анализ опасностей и оценка рисков, включая цели безопасности, должны быть верифицированы в соответствии с требованиями раздела 9 ИСО 26262-8, чтобы обеспечить подтверждение:

a) надлежащего выбора эксплуатационных ситуаций и идентификации опасности (и конфигурации транспортных средств T&B);

b) соответствия с определением устройства;

c) согласованности с соответствующим анализом опасностей и оценкой рисков других устройств;

d) полноты охвата опасных событий;

e) согласованности целей безопасности с назначенными значениями УПБТС и с соответствующими опасными событиями.

6.5 Результаты работы

6.5.1 Отчет об анализе опасностей и оценке рисков

В результате выполнения требований 6.4.1-6.4.5.

6.5.2 Отчет о верификации анализа опасностей и оценки рисков

В результате выполнения требований 6.4.6.

7 Концепция функциональной безопасности

7.1 Цели

Цели настоящего раздела:

a) определить функциональное поведение устройства или функциональное поведение устройства со сниженной производительностью в соответствии с его целями безопасности;

b) определить ограничения, связанные с надлежащим и своевременным обнаружением соответствующих сбоев и управлением этими сбоями в соответствии с целями безопасности;

c) определить стратегии или меры на уровне устройства для достижения требуемой отказоустойчивости или адекватного смягчения последствий соответствующих сбоев самим устройством, водителем или внешними мерами;

d) распределить требования функциональной безопасности проекту архитектуры системы или внешним мерам;

e) верифицировать концепцию функциональной безопасности и определить критерии ее валидации безопасности.

7.2 Общие положения

Для достижения целей безопасности концепция функциональной безопасности должна содержать меры безопасности, в том числе механизмы безопасности, которые должны быть реализованы элементами архитектуры устройства и специфицированы в требованиях функциональной безопасности.

На рисунке 2 представлен иерархический подход, с помощью которого в результате анализа опасностей и оценки рисков определяются цели безопасности. Затем из целей безопасности формируются требования функциональной безопасности, которые распределяются для проекта архитектуры системы.

Использование предварительных архитектурных предположений позволяет скорректировать информацию об архитектуре на ранних стадиях разработки.

Структура и распределение требований безопасности, рассматриваемых в соответствующих частях ИСО 26262, приведены на рисунке 2 ИСО 26262-8.

Примечание - На рисунке конкретный раздел каждой части настоящего стандарта указан следующим образом: "m-n", где "m" представляет собой номер части, а "n" указывает на номер раздела, например, 3-6 представляет раздел 6 ИСО 26262-3.

Рисунок 2 - Иерархия целей безопасности и требований функциональной безопасности

7.3 Входная информация

7.3.1 Предварительные требования

Должна быть доступна следующая информация:

- определение устройства в соответствии с требованиями 5.5.1;

- отчет об анализе опасностей и оценке рисков в соответствии с требованиями 6.5.1;

- проект архитектуры системы (из внешнего источника).

7.3.2 Дополнительная информация

Следующая информация может быть учтена:

Не задается.

7.4 Требования и рекомендации

7.4.1 Общие положения

Требования функциональной безопасности должны быть заданы в соответствии с требованиями раздела 6 ИСО 26262-8.

7.4.2 Формирование требований функциональной безопасности

7.4.2.1 Требования функциональной безопасности должны следовать из целей безопасности с учетом проекта предварительной архитектуры.

7.4.2.2 Для каждой цели безопасности должно быть определено по меньшей мере одно требование функциональной безопасности.

Примечание - Из нескольких целей безопасности может быть сформировано одно требование функциональной безопасности (см. рисунок 2).

7.4.2.3 Требования функциональной безопасности должны определить, если возможно, стратегии для:

a) предотвращения сбоев;

b) обнаружения сбоев и управления сбоями или отклонения от предписанного функционирования;

c) перехода к безопасному состоянию и, если применимо, из безопасного состояния;

d) сбоеустойчивости;

e) процесса снижения функциональности в присутствии сбоя и его связи с требованиями перечислений f) или g).

Пример - Сохранение аварийного режима транспортного средства до тех пор, пока зажигание не было переключено из положения "Вкл." в положение "Выкл.";

f) выдачи водителю предупреждения с целью сокращения времени воздействия риска до приемлемого интервала;

g) предупреждения водителя с целью увеличения контролируемости водителем (например, контрольная лампа аварийного режима работы двигателя, лампа предупреждения о сбое ABS);

h) выполнения временных требований на уровне транспортного средства, т.е. обеспечения соблюдения временного интервала отказоустойчивости с помощью определения временного интервала обработки сбоя;

i) предотвращения или ослабления последствий опасного события из-за неподходящей организации доступа к общей шине в случае нескольких запросов, сформированных различными функциями одновременно.

Примечание - Перечисления c), e), f) и g) могут быть частью стратегии предупреждения и постепенного снижения эффективности.

7.4.2.4 Каждое требование функциональной безопасности при соответствующих условиях должно быть определено с учетом:

a) режимов эксплуатации;

b) временного интервала сбоеустойчивости;

c) безопасных состояний;

d) временного интервала эксплуатации в аварийном режиме;

e) функциональной избыточности (например, сбоеустойчивости).

Примечание - Эта деятельность может быть поддержана анализом безопасности (например, FMEA, FTA, HAZOP) для того, чтобы разработать полный набор эффективных требований функциональной безопасности.

7.4.2.5 Если нарушение цели безопасности может быть предотвращено путем перехода к одному или нескольким безопасным состояниям или его поддержания, то должно быть определено соответствующее безопасное состояние (состояния).

Пример - В случае отказа в течение определенного времени безопасным состоянием может быть: "выключено", "заблокировано", "транспортное средство неподвижно и обслуживается" или "ограниченная функциональность".

7.4.2.6 Если безопасное состояние не может быть достигнуто путем перехода к нему за приемлемый интервал времени, то должен быть определен аварийный режим.

7.4.2.7 Если для предотвращения недостижения цели безопасности делаются предположения о необходимых действиях водителя или других лиц, то применяется следующее:

Примечание - Выполняются те действия, для которых в ходе оценки управляемости было сформировано доверие, а также любые дальнейшие необходимые действия, принятые для достижения целей безопасности после реализации требований безопасности.

Пример - Адаптивный круиз-контроль: адаптивный круиз-контроль отключает торможение, когда водитель нажимает на педаль управления двигателем.

a) такие действия должны быть определены в концепции функциональной безопасности;

b) соответствующие средства и элементы управления, доступные водителю или другим лицам, должны быть определены в концепции функциональной безопасности.

Примечания

1 Может оказаться полезным анализ задач водителя при рассмотрении предотвращения чрезмерной нагрузки водителя, предотвращения неожиданности/паники/шока (потери возможности управления транспортным средством) водителя и режима заблуждения (неверное предположение о режиме работы).

2 Информация, специфицированная в стратегии предупреждения и постепенного снижения эффективности и в необходимых действиях водителя и других лиц, потенциально подвергающихся риску, является исходной для руководства пользователя (см. раздел 5 ИСО 26262-7).

7.4.2.8 Требования функциональной безопасности должны быть распределены по элементам проекта архитектуры системы:

a) в ходе распределения требований значение УПБТС и информация, приведенная в 7.4.2.4, должны быть унаследованы от соответствующей цели безопасности. Если используется декомпозиция УПБТС, то применимы также требования раздела 5 ИСО 26262-9;

b) если в соответствии с требованиями раздела 6 ИСО 26262-9 отсутствие взаимовлияния между элементами, реализующими требования безопасности, не может быть обосновано в проекте архитектуры системы, то такие элементы архитектуры должны быть разработаны в соответствии с самым высоким для этих требований безопасности значением УПБТС;

c) если устройство состоит из более чем одной Э/Э системы, то требования функциональной безопасности для отдельных Э/Э систем и их интерфейсов должны быть заданы с учетом проекта архитектуры системы. Эти требования функциональной безопасности должны быть распределены по Э/Э системам;

d) если устройство состоит из более чем одной Э/Э системы, то соответствующие целевые значения для метрик случайных сбоев аппаратных средств (см. разделы 8 и 9 ИСО 26262-5) могут быть определены и распределены для каждой отдельной Э/Э системы в соответствии с 6.4.5.2 ИСО 26262-4.

Примечание - Спецификация целевых значений Э/Э системы выполняется в соответствии с проектом архитектуры системы и далее уточняется на этапах разработки;

e) если при распределении требований функциональной безопасности выполняется декомпозиция значения УПБТС, то она должна применяться в соответствии с требованиями раздела 5 ИСО 26262-9.

Примечание - Независимость может быть подтверждена результатами анализа зависимых отказов (см. раздел 7 ИСО 26262-9).

7.4.2.9 Если концепция функциональной безопасности предполагает использование элементов, основанных на других технологиях, то применяются следующие положения:

a) требования функциональной безопасности, реализуемые элементами, основанными на других технологиях, должны быть выведены и распределены по соответствующим элементам архитектуры;

b) должны быть заданы требования функциональной безопасности, касающиеся интерфейсов элементов, основанных на других технологиях;

c) реализация требований функциональной безопасности элементами, основанными на других технологиях, должна быть обеспечена путем принятия конкретных мер, требования к которым не входят в область применения настоящего стандарта;

d) значения УПБТС требованиям безопасности, распределенным для таких элементов, не должны назначаться.

Примечания

1 Надлежащий атрибут безопасности может быть назначен требованиям безопасности, выделенным для элементов, основанным на других технологиях; и концепция декомпозиции УПБТС, описанная в разделе 5 ИСО 26262-9, может быть экстраполирована на распределение требований функциональной безопасности для этих элементов. В этом случае соответствующие правила реализации и верификации определяются помимо ИСО 26262.

2 Подтверждение применимости элементов, основанных на других технологиях, показывается в процессе действий по валидации (см. раздел 8 ИСО 26262-4).

7.4.2.10 Если концепция функциональной безопасности предполагает использование внешних мер, то применяются следующие положения:

a) требования функциональной безопасности, реализуемые внешними мерами, должны быть выведены и сообщены;

b) должны быть заданы требования функциональной безопасности для интерфейсов с внешними мерами;

c) если внешние меры реализуются на основе одной или нескольких Э/Э систем, то требования функциональной безопасности должны определяться на основе настоящего стандарта.

Примечание - Подтверждение применимости внешних мер показывается в процессе действий по валидации (см. раздел 8 ИСО 26262-4).

7.4.3 Критерии валидации безопасности

7.4.3.1 Критерии принятия валидации безопасности устройства должны быть заданы на основе требований функциональной безопасности и целей безопасности.

Примечания

1 О дополнительных требованиях к детализации критериев и список валидируемых характеристик см. в разделе 8 ИСО 26262-4.

2 Валидация безопасности целей безопасности рассматривается в правом верхнем углу V-цикла, но включается в мероприятия в ходе разработки, а не только в конце разработки.

7.4.4 Верификация концепции функциональной безопасности

7.4.4.1 Концепция функциональной безопасности должна быть верифицирована в соответствии с требованиями раздела 9 ИСО 26262-8, чтобы представить свидетельства для:

a) согласованности и соответствия целям безопасности;

b) способности смягчать последствия или предотвращать опасные события.

Примечания

1 Верификация способности смягчать последствия или предотвращать опасность может быть выполнена на стадии формирования концепции, чтобы оценить концепцию безопасности и указать, где необходимы улучшения концепции. Верификация может быть основана на тех же методах, которые используются для валидации безопасности. Однако проведенная валидация безопасности (в соответствии с требованиями раздела 8 ИСО 26262-4) не может основываться только на исследованиях концепции (например, на прототипах).

Пример - Способность смягчать последствия или предотвращать опасное событие может быть оценена тестами, испытаниями или экспертной оценкой, используя прототипы, исследования, предметные тесты или моделирование.

2 Верификация способности смягчать последствия или предотвращать опасное событие учитывает характеристики сбоя (например, кратковременный или постоянный).

3 Для верификации может быть использовано подтверждение, основанное на прослеживаемости, например если устройство соответствует требованиям функциональной безопасности, то это устройство соответствует целям безопасности, из которых были получены эти требования.

7.5 Результаты работы

7.5.1 Концепция функциональной безопасности

В результате выполнения требований 7.4.1-7.4.3.

7.5.2 Отчет о верификации концепции функциональной безопасности

В результате выполнения требований 7.4.4.

Приложение А
(справочное)

Обзор и последовательность работ, выполняемых на стадии формирования концепции

Таблица А.1 содержит обзор целей, предварительных требований и результатов работы стадии формирования концепции.

Таблица А.1 - Обзор стадии формирования концепции

Раздел

Цели

Предварительные требования

Результаты работы

5 Определение устройства

Цели настоящего раздела:

a) определить и описать устройство, его функциональные возможности, зависимости и взаимодействие с водителем, средой и другими устройствами на уровне транспортного средства;

b) обеспечить надлежащее понимание устройства, чтобы могли быть выполнены соответствующие действия на последующих стадиях

Не задаются

5.5.1 Определение устройства формируется в результате выполнения требований 5.4

6 Анализ опасностей и оценка рисков

Цели настоящего раздела:

a) выявить и классифицировать опасные события, вызванные некорректным функционированием неисправного устройства;

b) сформулировать цели безопасности с соответствующими значениями УПБТС, связанными с предотвращением или ослаблением последствий опасных событий, во избежание необоснованного риска

Определение устройства в соответствии с 5.5.1

6.5.1 Отчет об анализе опасностей и оценке рисков в результате выполнения требований 6.4.1-6.4.5.

6.5.2 Отчет о верификации анализа опасностей и оценки рисков в результате выполнения требований 6.4.6

7 Концепция функциональной безопасности

Цели настоящего раздела:

a) определить функциональное поведение устройства или функциональное поведение устройства со сниженной производительностью в соответствии с его целями безопасности;

b) определить ограничения, связанные с надлежащим и своевременным обнаружением соответствующих сбоев и управлением этими сбоями в соответствии с целями безопасности;

c) определить стратегии или меры на уровне устройства для достижения требуемой

Определение устройства (см. 5.5.1).

Отчет об анализе опасностей и оценке рисков (см. 5.5.1).

Проект архитектуры системы (из внешнего источника)

7.5.1 Концепция функциональной безопасности в результате выполнения требований 7.4.1-7.4.3.

7.5.2 Отчет о верификации концепции функциональной безопасности в результате выполнения требований 7.4.4

отказоустойчивости или адекватного смягчения последствий соответствующих сбоев самим устройством, водителем или внешними мерами;

d) распределить требования функциональной безопасности проекту архитектуры системы или внешним мерам;

e) верифицировать концепцию функциональной безопасности и определить критерии ее валидации безопасности

Приложение В
(справочное)

Анализ опасностей и оценка рисков

В.1 Общие положения

В настоящем приложении представлен общий подход, реализуемый в методе анализа опасностей и оценки рисков. Примеры, приведенные в B.2 (тяжесть последствий), В.3 (вероятность воздействия) и B.4 (управляемость), являются демонстрационными и не являются исчерпывающими.

В рассматриваемом аналитическом подходе риск R описывается как функция F от частоты появления опасного события f, от способности предотвратить конкретный вред или ущерб путем своевременной реакции причастных лиц или управляемости C и от потенциальной тяжести последствий, полученного вреда или ущерба S:

.

Частота появления события f, в свою очередь, зависит от двух факторов. Одним из рассматриваемых факторов являются частота и длительность нахождения людей в ситуации, когда вышеупомянутое опасное событие может произойти. В настоящем стандарте используется более простая мера - вероятность возникновения эксплуатационной ситуации, в которой может произойти опасное событие (вероятность воздействия, E). Другим фактором является интенсивность возникновения сбоев в устройстве. Это не рассматривается при анализе опасностей и оценке риска. Вместо этого значения УПБТС, которые являются результатом классификации E, S, C во время анализа опасностей и оценки риска, определяют минимальный набор требований к устройству, выполнение которых обеспечивает управление или снижение вероятности случайных отказов аппаратных средств, а также предотвращение систематических ошибок. Интенсивность отказов устройства не считается априорной (при оценке риска), поскольку неоправданный остаточный риск можно избежать путем реализации результирующих требований безопасности.

Подстадия анализа опасностей и оценки рисков состоит из трех представленных ниже шагов.

a) Анализ ситуации и идентификация опасности (см. 6.4.2). Целью анализа ситуации и идентификации опасностей является выявление случаев возможного непреднамеренного функционирования устройства, которые могут привести к опасному событию. Деятельность, связанная с анализом ситуаций и идентификацией опасностей, требует четкого определения устройства, его функциональности и его границ. Она основана на знании функционирования устройства, поэтому наличие подробной информации о конструкции устройства не обязательно.

Пример - Факторы, учитываемые при анализе ситуации и идентификации опасности, могут включать:

- сценарии использования транспортного средства, например вождение с высокой скоростью, вождение в городе, парковка, вождение во внедорожных условиях;

- условия внешней среды, например сцепление с поверхностью дороги, боковой ветер;

- разумно предсказуемое правильное и неправильное использование водителем транспортного средства;

- взаимодействие между действующими системами;

- тип транспортного средства T&B, конфигурация транспортного средства и эксплуатация транспортного средства.

b) Классификация опасных событий (см. 6.4.3). Схема классификации опасности включает в себя определение степени тяжести последствий, вероятности воздействия и управляемости, связанных с опасностями событий устройства. Тяжесть последствий представляет собой оценку потенциального вреда в конкретной ситуации вождения, в то время как вероятность воздействия определяется соответствующей ситуацией. Управляемость оценивает, насколько легко или трудно для водителя или других участников дорожного движения избежать конкретный тип аварии в конкретной эксплуатационной ситуации. Для каждой опасности, в зависимости от количества связанных с ней опасных событий, классификация приводит к одной или более комбинаций из тяжести последствий, вероятности воздействия и управляемости.

c) Определение значения УПБТС (см. 6.4.3). Определение необходимого уровня полноты безопасности транспортного средства.

B.2 Примеры тяжести последствий

B.2.1 Общие положения

Чтобы определить класс тяжести последствий для данной опасности для водителя, пассажиров и лиц вокруг транспортного средства или лиц, находящихся в расположенных рядом транспортных средствах, выполняется оценка возможных травм в результате этого опасного события. Затем, используя эту оценку, определяется соответствующий класс тяжести последствий, например как показано в таблице B.1.

В таблице В.1 приводятся примеры последствий, которые могут возникнуть для данной опасности, и соответствующий класс тяжести для каждого последствия.

Из-за сложности аварий и многообразия возможных вариантов аварийных ситуаций примеры, приведенные в таблице В.1, представляют собой лишь приблизительную оценку последствий аварии. Они представляют собой ожидаемые значения, основанные на результатах предыдущих аварий. Поэтому из этих отдельных описаний не могут быть получены общезначимые (общепринятые) заключения.

Для определения распределения травм, которых можно ожидать для различных типов аварий, может быть использована статистика дорожно-транспортных происшествий.

Упрощенная шкала повреждений (УШП) в таблице B.1 представляет собой классификацию травм, но только для одиночных травм. Вместо УШП могут быть использованы другие классификации, такие как максимально упрощенная шкала повреждений (МУШП), шкала оценки тяжести травмы (ISS) или новая шкала оценки тяжести травмы (NISS).

Использование конкретной шкалы оценки тяжести травм зависит от состояния медицинских исследований во время выполняемого анализа. Таким образом, целесообразность использования различных шкал травм, таких как УШП, ISS и NISS, может со временем меняться [3], [5] и [6].

В.2.2 Описание классов упрощенной шкалы повреждений

Для оценки тяжести последствий используется УШП, представляющая собой классификацию тяжести травм. Она создана Ассоциацией по развитию автомобильной медицины. Метод, использующий УШП, создан для сопоставления степени повреждения на международном уровне. Шкала разделена на семь классов:

УШП 0. Повреждения отсутствуют.

УШП 1. Легкие повреждения, такие как поверхностные раны, боли в мышцах, повреждение мягких тканей шеи и т.д.

УШП 2. Умеренные повреждения, такие как глубокие раны, сотрясение с потерей сознания на 15 минут, переломы трубчатой кости без осложнений, переломы ребра без осложнений и т.д.

УШП 3. Тяжелые повреждения, не угрожающие жизни, такие как перелом основания черепа без травмы головного мозга, вывихи позвонков ниже четвертого шейного позвонка без повреждения спинного мозга, перелом более одного ребра без парадоксального дыхания и т.д.

УШП 4. Тяжелые повреждения (опасные для жизни, вероятное выживание), такие как сотрясение мозга с переломом основания черепа или без него с потерей сознания на 12 часов, парадоксальное дыхание.

УШП 5. Критические повреждения (опасные для жизни, сомнительное выживание), такие как переломы позвонков ниже четвертого шейного позвонка с повреждением спинного мозга, разрывы кишечника, кардиальные разрывы, потеря сознания более чем на 12 часов, включая внутримозговое кровоизлияние.

УШП 6. Чрезвычайно критические или смертельные повреждения, такие как переломы шейного отдела позвоночника выше третьего шейного позвонка с повреждением спинного мозга, открытые раны полостей тела (грудная и брюшная полости) и т.д.

Таблица В.1 - Примеры классификации тяжести последствий

Класс тяжести последствий (см. таблицу 1)

S0

S1

S2

S3

Описание

Повреждения отсутствуют

Легкие и умеренные повреждения

Тяжелые и опасные для жизни повреждения (вероятное выживание)

Опасные для жизни раны (сомнительное выживание), повреждения со смертельным исходом

Ссылка на одиночные повреждения (из шкалы УШП)

- УШП 0 и с вероятностью менее 10% УШП 1-6.

- Повреждения, которые не могут быть классифицированы как связанные с безопасностью

С вероятностью более 10% УШП 1-6 (и не S2 и S3)

С вероятностью более 10% УШП 3-6 (и не S3)

С вероятностью более 10% УШП 5-6

Примеры

- Удары с объектами придорожной инфраструктуры.

- Наезд на придорожные столбы, ограждения и т.д.

- Легкое повреждение при скользящем ударе.

- Повреждение в процессе парковки

- Боковой удар с узким неподвижным объектом, например столкновение легкового транспортного средства с деревом (повреждение в зоне пассажира) с очень низкой скоростью.

- Заднее/переднее столкновение с другим легковым транспортным средством с очень низкой скоростью

- Боковой удар с узким неподвижным объектом, например столкновение легкового транспортного средства с деревом (повреждение в зоне пассажира) с низкой скоростью.

- Заднее/переднее столкновение с другим легковым транспортным средством с низкой скоростью

- Боковой удар с узким неподвижным объектом, например столкновение легкового транспортного средства с деревом (повреждение в зоне пассажира) со средней скоростью.

- Заднее/переднее столкновение с другим транспортным средством со средней скоростью

Ссылка на одиночные повреждения (из шкалы УШП)

Съезд с дороги без столкновения или опрокидывания

Переднее столкновение (например, в заднюю часть впереди идущего транспортного средства, полуприцепа и т.п.) без повреждения пассажирской зоны

Наезд на пешехода/велоси-
педиста с низкой скоростью

Переднее столкновение (например, в заднюю часть впереди идущего транспортного средства, полуприцепа и т.д.) с повреждением пассажирской зоны

Примечание - Информативные примеры, приведенные в настоящей таблице, могут применяться к легковым транспортного* средствам и к Т&B, но рассматриваются в зависимости от конкретного случая.

___________________

* Текст документа соответствует оригиналу. - .

В.3 Примеры и объяснения вероятности воздействия

Оценка вероятности воздействия требует оценки сценариев, в которых оказывают влияние соответствующие факторы внешней среды, способствующие возникновению опасности. Сценарии, которые будут оцениваться, включают в себя широкий спектр процессов вождения или эксплуатационных ситуаций.

Эти оценки при обозначении опасных сценариев попадают в одну из пяти классификаций вероятности воздействия, которые составляют следующий набор: E0 (самый низкий уровень воздействия), E1, E2, E3 и E4 (самый высокий уровень воздействия).

Первый из них, E0, присваивается ситуациям, которые, хоть и выявлены в ходе анализа опасностей и оценки рисков, считаются редкими или невероятными. Оценки опасности, связанные исключительно со сценариями уровня E0, впоследствии могут быть исключены из дальнейшего анализа.

Пример - Типичные примеры сценариев уровня E0 включают:

a) очень редкие или неосуществимые одновременно возникающие обстоятельства, например транспортное средство, попавшее в инцидент с участием самолета, совершавшего посадку на шоссе;

b) стихийные бедствия, например землетрясение, ураган, лесной пожар.

Остальные уровни E1, E2, E3 и E4 предназначены для ситуаций, которые могут стать опасными в зависимости либо от продолжительности ситуации (частичного совпадения во времени) или частоты возникновения ситуации.

Примечание - Классификация может зависеть, например, от географического положения или вида использования (см. 6.4.3.4).

Вероятность воздействия (Е) опасности можно оценить двумя способами. Первый основан на продолжительности ситуации, а второй - на частоте возникновения ситуации. Например, опасность может быть связана с продолжительностью конкретной эксплуатационной ситуации, например со средним временем, затрачиваемым на преодоление транспортных развязок, в то время как другая опасность может быть связана с частотой той же самой эксплуатационной ситуации, например с частотой повторного преодоления транспортным средством транспортных развязок.

В первом случае, когда вероятность воздействия ранжируется на основе продолжительности ситуации, вероятность воздействия обычно оценивают с помощью отношения времени нахождения в рассматриваемой ситуации к общему времени работы, например когда включено зажигание. В некоторых случаях общее время работы может составлять срок службы транспортного средства (включая время, когда включено зажигание). Во втором случае более целесообразно, чтобы оценки вероятности воздействия определялись с использованием частоты возникновения ситуации, связанной с вождением. Примером, где это уместно, является случай, когда ранее существовавший сбой Э/Э системы приводит к опасному событию в течение короткого интервала времени после возникновения этой ситуации.

Примеры ситуаций, связанных с вождением, классифицированные по их длительностям и ранжированные по типичным воздействиям в каждой из них, приведены в таблицах В.2 и В.4, а примеры ситуаций вождения, классифицированные по частоте, приведены в таблицах В.3 и В.5.

Кроме ситуаций, связанных с вождением, рассматривается конкретный контекст рассматриваемой эксплуатационной ситуации. Это необходимо для определения приводящего к опасному событию фактического воздействия более точно по времени и месту воздействия.

Пример - Отказ устройства блокировки открывания двери детьми сам по себе не обязательно приводит к опасному событию, если ребенок недостаточно взрослый, чтобы снять ремень безопасности и покинуть транспортное средство во время его движения, когда в тот же самый момент к нему приближается другое транспортное средство.

Дорожная ситуация характеризуется как продолжительностью, так и частотой, например управление транспортным средством на автостоянке. В таком случае примеры, приведенные в таблицах В.2/В.4 и В.3/В.5, не могут привести к одинаковому классу вероятности воздействия, поэтому выбирается наиболее подходящее ранжирование вероятности воздействия для анализа рассматриваемой эксплуатационной ситуации.

Если период времени, в котором отказ остается скрытым, сопоставим с периодом времени, в течение которого может произойти опасное событие, то для оценки вероятности воздействия рассматривают этот период времени. Обычно это касается устройств, которые должны действовать по запросу, например система управления подушками безопасности.

В этом случае вероятность воздействия оценивается как , где является частотой возникновения эксплуатационной ситуации и Т является длительностью временного периода, в течение которого отказ не воспринимается (возможно, срок службы транспортного средства). Это приближение справедливо, если его значение мало.

Примечание - Что касается длительности рассматриваемого отказа, то следует отметить, что анализ опасностей и оценка рисков не учитывают механизмы безопасности, являющиеся частью устройства (см. 6.4.1.2).

Таблица В.2 - Классы вероятности воздействия в зависимости от продолжительности эксплуатационной ситуации

Класс вероятности воздействия эксплуатационных ситуаций (см. таблицу 2)

Е1

Е2

Е3

Е4

Описание

Очень низкая вероятность

Низкая вероятность

Средняя вероятность

Высокая вероятность

Продолжительность (% от среднего времени работы)

Не задано

<1% среднего времени работы

1%-10% среднего времени работы

>10% среднего времени работы

Примеры для дорог

-

- Пересечение проселочной дороги.

- Шоссейный съезд с эстакады

- Улица с односторонним движением (улица города)

- Шоссе.

- Проселочная дорога

Примеры для дорожных покрытий

-

- Снег и лед на дороге.

- Скользкие листья на дороге

- Мокрая дорога

-

Примеры для транспортных средств в стационарном состоянии

- Транспортное средство во время запуска от внешнего источника.

- В ремонтном гараже

- С прицепом.

- С багажником на крыше.

- Транспортное средство на заправке

- Транспортное средство на уклоне (удержание на уклоне)

-

Примеры маневра

- Движение под уклон с выключенным двигателем (на перевале)

- Движение задним ходом.

- Обгон.

- Парковка с прицепом

- Интенсивное движение (режим старт/стоп)

- Ускорение.

- Замедление.

- Остановка у светофора (на улице города).

- Перестроение (на шоссе)

Таблица В.3 - Классы вероятности воздействия в зависимости от частоты эксплуатационных ситуаций

Класс вероятности воздействия эксплуатационных ситуаций (см. таблицу 2)

Е1

Е2

Е3

Е4

Описание

Очень низкая вероятность

Низкая вероятность

Средняя вероятность

Высокая вероятность

Частота ситуаций

Происходит реже, чем один раз в год для большинства водителей

Происходит несколько раз в год для большинства водителей

Происходит раз в месяц или чаще для среднестатисти-
ческого водителя

Происходит в среднем во время почти каждой поездки

Примеры для дорог

-

- Горный перевал с необустроенным большим уклоном

-

-

Примеры для дорожных покрытий

-

- Снег и лед на дороге

- Мокрая дорога

-

Примеры для транспортных средств в стационарном состоянии

- Автомобиль остановился и требует перезапуска двигателя (на железнодорожном переезде).

- Буксируемое транспортное средство

- С багажником на крыше

- Транспортное средство на заправке.

- Транспортное средство на уклоне (удержание на уклоне)

-

Примеры маневра

- Маневр уклонения, с отклонением от желаемого пути

- Обгон

- Механическое переключение передачи.

- Выполнение поворота (руление).

- Движение по показаниям приборов.

- Движение задним ходом

В таблицах B.4 и B.5 приведены примеры для T&B. В этих таблицах рассматриваются различные типы базовых транспортных средств:

- дальнемагистральные (LH) для перевозки грузов на большие расстояния;

- развозные (DI) для распределения товаров по точкам (потребителям);

- профессионально-технические (VO) для выполнения конкретных рабочих функций, например грузовик-самосвал, автобетономешалка, мусоровоз;

- городской автобус (CB) для городского и пригородного использования;

- междугородный автобус (IB) для междугородного использования;

- междугородный автобус (СО) для межреспубликанского или международного сообщения.

Таблица В.4 - Классы вероятности воздействия в зависимости от длительности эксплуатационных ситуаций для T&B

Класс вероятности воздействия эксплуатационных ситуаций (см. таблицу 2)

Е1

Е2

Е3

Е4

Описание

Очень низкая вероятность

Низкая вероятность

Средняя вероятность

Высокая вероятность

Продолжительность (% от среднего времени работы)

Не задано

<1% среднего времени работы

1%-10% среднего времени работы

>10% среднего времени работы

Примеры

Движение задним ходом

-

LH, CB, CO, IB

Dl, VO

-

Обгон другого грузовика или автобуса с небольшой разницей в скорости (с выездом на встречную полосу)

LH, DI, VO, CO, IB

-

-

-

Вождение с прицепом

-

-

DI, CO, IB

LH, VO

Седельный тягач без прицепа (на дороге общего пользования)

-

LH, Dl, VO

-

-

Движение на строительной площадке (транспортное средство движется непосредственно по строительной площадке, а не только для доставки грузов на строительную площадку)

LH

Dl

-

VO

Крутой склон

LH, CB

DI, CO, IB

VO

-

Нахождение на автобусной остановке

-

-

CO

CB, IB

Въезд/выезд с автобусной остановки

-

CO

CB, IB

-

Примечание - Информативные примеры, приведенные в таблице B.2, могут быть применены к T&B, но рассматриваются в зависимости от конкретного случая. Для ситуаций, описанных в таблицах B.2 и B.4, таблица B.4 считается более подходящей для T&B.

Таблица В.5 - Классы вероятности воздействия в зависимости от частоты эксплуатационных ситуаций для T&B

Класс вероятности воздействия эксплуатационных ситуаций (см. таблицу 2)

Е1

Е2

Е3

Е4

Описание

Очень низкая вероятность

Низкая вероятность

Средняя вероятность

Высокая вероятность

Частота ситуаций

Происходит реже, чем один раз в год для большинства водителей

Происходит несколько раз в год для большинства водителей

Происходит раз в месяц или чаще для средне-
статистичес-
кого водителя

Происходит в среднем во время почти каждой поездки

Примеры

Движение задним ходом

-

-

CB

LH, DI, VO, CO, IB

Обгон другого грузовика или автобуса с небольшой разницей в скорости (с выездом на встречную полосу)

-

-

LH, DI, VO, CO, IB

-

Вождение с прицепом

-

-

DI, CO, IB

LH, VO

Седельный тягач без прицепа (на дороге общего пользования)

-

Dl, VO

LH

-

Движение на строительной площадке (транспортное средство движется непосредственно по строительной площадке, а не только для доставки грузов на строительную площадку)

LH

Dl

-

VO

Крутой склон

LH, CB

DI, CO, IB

-

VO

Нахождение/въезд/выезд с автобусной остановки

-

-

-

CB, CO, IB

Примечание - Информативные примеры, приведенные в таблице B.3, могут быть применены к T&B, но рассматриваются в зависимости от конкретного случая. Для ситуаций, описанных в таблицах B.3 и B.5, таблица B.5 считается более подходящей для T&B.

В.4 Примеры управляемости

Для определения класса управляемости для данной опасности необходимо оценить вероятность того, что среднестатистический водитель сможет сохранить или восстановить контроль над транспортным средством при появлении данной опасности.

Такая оценка вероятности включает рассмотрение вероятности того, что среднестатистические водители смогут сохранить или восстановить контроль над транспортным средством, если опасность произойдет, или вероятности того, что лица, попавшие в ситуацию или находящиеся в непосредственной близости от нее, будут способствовать тому, чтобы предотвратить опасность в результате своих действий. Это допущение основано на предположениях о необходимости управления своими действиями для лиц, участвующих в опасных сценариях, для сохранения или восстановления контроля над ситуацией, а также для поведения среднестатистического водителя, управляющего автомобилем.

Примечания

1 На оценку управляемости может влиять ряд факторов, в том числе специализация водителя для осуществления данной работы, возраст водителя, зрительно-моторная координация, водительский стаж, культурный уровень и т.д.

2 Оценки могут быть выполнены с использованием экспериментальных либо аналитических процедур.

Чтобы помочь таким оценкам, в таблице В.6 приведены примеры дорожных ситуаций, в которые введены нарушения функционирования, и предположения о соответствующем управлении поведением, которое позволило бы избежать вреда. Эти ситуации отображаются в ранжировании управляемости посредством введения уровней 90% и 99% для оценки управляемости участников.

Таблица В.6 - Примеры возможной управляемости опасными событиями для водителей или лиц, потенциально подвергающихся риску

Классы управляемости (см. таблицу 3)

С0

С1

С2

С3

Описание

Полностью управляемое

Легко управляемое

Обычно управляемое

Трудно управляемое или неконтроли-
руемое

Факторы и сценарии водителей

Полностью управляемое

Более 99% всех среднестатис-
тических водителей или других участников дорожного движения в состоянии избежать вреда

От 90% до 99% всех среднеста-
тистических водителей или других участников дорожного движения в состоянии избежать вреда

Менее 90% всех среднеста-
тистических водителей или других участников дорожного движения в состоянии избежать вреда

Примеры ситуаций, которые считаются отвлекающими, например неожиданное увеличение громкости радиосвязи или предупреждающее сообщение о низком уровне топлива

Поддерживать намеченный путь вождения

-

-

-

Пример отсутствия системы помощи водителю, которая не влияет на безопасную эксплуатацию транспортного средства

Поддерживать намеченный путь вождения

-

-

-

Пример непреднамеренного закрытия окна во время вождения

Удалите руку из окна

-

-

Пример блокирования рулевой колонки при трогании с места

Тормозить для замедления/ остановить транспортное средство

Пример отказа АБС при экстренном торможении

Поддерживать намеченный путь вождения

Пример неисправности двигателя при высоких боковых ускорениях

Поддерживать намеченный путь вождения

Пример случайного открытия двери автобуса при движении с пассажиром, стоящим в дверном проеме

Пассажир начинает держаться за поручень для предотвращения выпадения из автобуса

Пример отказа тормозов

Двигаться по траектории движения от объектов

Пример неисправности механизма срабатывания подушки безопасности водителя при движении на высокой скорости

Поддерживать намеченный путь движения, оставаться на полосе движения или тормозить для замедления/ остановки транспортного средства

Пример возникновения курсовых колебаний прицепа (в поперечном направлении относительно направления движения) при экстренном торможении, например при обгоне

Водитель выворачивает руль в сторону заноса и тормозит при попытке сохранить предполагаемый путь движения

Пример функции с высокой автоматизацией, с которой водитель не знаком

Не пытаться сохранить намеченный путь движения

Примечания

1 Для C2 возможный сценарий испытаний, выполненный в соответствии с проектом RESPONSE 3 (см. [4]), принят как адекватный: "Практический опыт тестирования показал, что 20 достоверных наборов данных на сценарий могут обеспечить базовый показатель обоснованности". Если каждый из 20 наборов данных удовлетворяет критериям прохождения теста, то может быть обеспечен уровень управляемости со значением 85% (с уровнем доверия 95%, который, как правило, принимается для тестирования человеческих факторов). Это является надлежащим доказательством подтверждения оценки C2.

2 Для C1 испытание, обеспечивающее обоснование, что 99% водителей прошли тест на конкретном сценарии трафика, может быть невыполнимым, потому что необходимо огромное количество испытуемых для соответствующего доказательства такого обоснования. Решение может быть основано на экспертном заключении.

3 Поскольку управляемость для категории С3 не регламентирована, то нет необходимости иметь соответствующее доказательство обоснования для такой классификации.

4 Информативные примеры, приведенные в таблице B.6, могут быть применены к легковым транспортным средствам и транспортным средствам T&B, но рассматриваются в зависимости от конкретного случая.

Приложение ДА
(справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам

Таблица ДА

Обозначение ссылочного международного стандарта

Степень соответствия

Обозначение и наименование соответствующего национального стандарта

ИСО 26262-1:2018

IDT

ГОСТ Р ИСО 26262-1-2020 "Дорожные транспортные средства. Функциональная безопасность. Часть 1. Термины и определения"

ИСО 26262-2:2018

IDT

ГОСТ Р ИСО 26262-2-2020 "Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности"

ИСО 26262-4:2018

-

*

ИСО 26262-8:2011

-

*

ИСО 26262-9:2011

-

*

* Соответствующий национальный стандарт отсутствует. До его принятия рекомендуется использовать перевод на русский язык данного международного стандарта. Перевод данного международного стандарта находится в Федеральном информационном фонде стандартов.

Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов:

- IDT - идентичные стандарты.

Библиография

[1]

ISO 26262-12:2018

Road Vehicles - Functional Safety - Part 12: Adaptation of ISO 26262 for motorcycles

[2]

IEC 61508 (all parts)

Functional safety of electrical/electronic/programmable electronic safety-related systems

[3]

Abbreviated injury scale; Association of the advancement of Automotive medicine; Barrington, IL, USA Information is also available at www.aaam.org

[4]

Code of Practice for the design and evaluation of ADAS, EU Project RESPONSE 3: Oct. 2006; https: //www.acea.be/publications/article/code-of-practice-for-the-design-and-evaluation-of-adas

[5]

BAKER S.P., O’NEILL B., HADDON W., LONG W.B. The injury severity score: a method for describing patients with multiple injuries and evaluating emergency care, The Journal of Trauma, Vol. 14, No. 3, 1974

[6]

BALOGH Z., OFFNER P.J., MOORE E.E., BIFFL W.L. NISS predicts post injury multiple organ failure better than ISS, The Journal of Trauma, Vol. 48, No. 4, 2000

УДК 62-783:614.8:331.454:006.354

ОКС 43.040.10

Ключевые слова: функциональная безопасность, жизненный цикл систем, транспортные средства, концепция функциональной безопасности, стадии жизненного цикла, стадия формирования концепции, определение устройства безопасности, анализ опасностей и оценка рисков

Электронный текст документа

и сверен по:

, 2020