В первой части стандарта вводятся термины и определения, которые активно используются в дальнейшем. Стандарт, наряду с заимствованными терминами из IEC 61508, имеет некоторые весьма характерные и местами специфичные для автомобилестроительной индустрии термины и понятия, понимание которых критически важно для качественного прочтения последующих глав.
Функциональная безопасность – отсутствие неприемлемого уровня риска, связанного с опасностями, вызванными некорректным функциональным поведением электронных/электрических систем.
Рассмотрим в качестве примера такой системы контроллер управления тягой автомобиля. Одной из функций такого контроллера будет расчет значения крутящего момента в зависимости от различных параметров, вроде скорости автомобиля и величины нажатия педали газа. Эта функция может работать некорректно, а именно при нулевой скорости автомобиля и отсутствии нажатия на педаль газа может создаваться непроизвольный крутящий момент. Такое поведение контроллера управления тягой и является некорректным функциональным поведением. При возникновении такого некорректного функционального поведения возникает опасность – непреднамеренное ускорение и эта опасность, в сочетании с различными рабочими условиями и окружением, например нахождением транспортного средства в пешеходной зоне в неподвижном состоянии, способна приводить к возникновению опасных событий (иногда именуемых факторами риска). Одним из таких опасных событий может быть нанесение серьезных травм пешеходам вследствие фронтального столкновения автомобиля с ними. Для такого опасного события оценивается величина серьезности данного опасного события, называемая риском. Если величина риска является приемлемой в рамках проекта, то считается, что функциональная безопасность системы обеспечена в отношении данного опасного события. Если нет, то требуется дальнейшая проработка данного опасного события с целью определения защитных механизмов безопасности для снижения величины его риска до приемлемого уровня и обеспечения функциональной безопасности. В предложенном примере таким защитным механизмом безопасности может быть проверка факта нажатия педали газа и в случае отсутствия нажатия – игнорирование любого исходящего запроса на крутящий момент.
Данная концепция функциональной безопасности повторяет идеи, заложенные в стандарте IEC 61508, который считается “материнским” стандартом по отношению к ISO 26262, то есть при создании последнего во многом базировались на существовавший тогда IEC 61508.
Одним из центральных терминов также является понятие автомобильного уровня полноты безопасности (ASIL). Данный уровень необходим для корректного определения требований безопасности и защитных механизмов разрабатываемой системы с снижения уровня риска до приемлемого и варьируется от ASIL A до ASIL D, где последний считается самым высоким. Уровень ASIL присваивается требованиям безопасности различных уровней и составным частям систем, реализующим эти требования и определяется в ходе оценки рисков (3 часть стандарта). Кроме того, от уровня ASIL в дальнейшем также зависит набор применяемых при разработке системы методов. В качестве примера можно рассмотреть таблицу 1, представленную в части 4 стандарта, с возможными методами анализа надежности и безопасности высокоуровневой архитектуры системы.
Из таблицы видно, что при разных уровнях ASIL, для анализа архитектуры системы используются различные подходы и их сочетания. Так, в случае с дедуктивным анализом, например анализом древа неисправностей, применение этого метода настоятельно рекомендуется только при уровнях ASIL C и ASIL D, в отличие от индуктивного анализа, скажем анализа видов и последствий отказов, который настоятельно рекомендуется применять при любом значении ASIL.
Объектом исследования/разработки в ISO 26262, как уже было отмечено выше, являются электрические и/или электронные системы, имеющие отношение к выполнению функций, связанных с безопасностью. Такие системы для простоты именуются в стандарте устройствами (item). Согласно словарю терминов и определений “устройство” – это система, или совокупность систем, в отношении которых применяется стандарт ISO 26262, и которые полностью или частично реализуют функции транспортного средства. К таким функциям, например, может относиться функция движения транспортного средства, где расчет значения крутящего момента в зависимости от различных параметров является ее частью и реализуется контроллером управления тягой, который в свою очередь и является устройством
Для полного понимания идеи устройства приведена архитектурная диаграмма части транспортного средства с обозначением на ней устройств, их функций и функции движения транспортного средства и их взаимосвязь.
Как уже было отмечено, ASIL определяется по результатам оценки рисков и присваивается требованиям безопасности различных уровней иерархии. Самым высоким уровнем иерархии требований по безопасности являются цели безопасности (safety goals). Не смотря на название цели безопасности представляют собой высокоуровневые требования безопасности, выполнение которых гарантирует безопасность рассматриваемого устройства. Цели безопасности определяются на основе анализа всех опасных ситуаций, которые может создать некорректное функциональное поведение устройства, и, довольно часто (но не всегда), представляют собой утверждения, противоположные опасностям, которые порождают опасные события. В рассмотренном выше примере опасностью было “непреднамеренное ускорение”, а значит цель безопасности может звучать как “транспортное средство не должно непреднамеренно ускоряться с ускорением более 1 м/с2 в течение более чем 100 мс”. Стоит обратить внимание на то, что в данном примере цель безопасности также отражает и пороговые значения для самопроизвольного ускорения и длительности такого ускорения.
На основе целей безопасности в дальнейшем формируются функциональные требования по безопасности, а затем и технические требования по безопасности. Первые отвечают на вопрос “что нужно сделать, чтобы предотвратить нарушение целей безопасности?”, или с учетом рассматриваемого нами примера – “что нужно сделать, чтобы транспортное средство не ускорялось непреднамеренно с ускорением более 1 м/с2 в течение более чем 100 мс?”, а вторые – “как должны быть реализованы функциональные требования по безопасности?”. Есть множество техник определения функциональных и технических требований по безопасности, одна из них – анализ древа неисправностей, где корневым событием является нарушение цели безопасности. Результатом применения технических требований по безопасности является, как правило, создание защитных механизмов безопасности.
Защитные механизмы безопасности подразделяются на 3 категории – предохранительные механизмы, механизмы обнаружения и механизмы смягчения. Первые используются для того, чтобы полностью предотвратить возникновение отказов, способных привести к опасностям и опасным событиям и, тогда как остальные, работая в связке, позволяют обнаружить возникновение таких отказов и уменьшить их последствия так, что уровень риска останется приемлемым. Примером предохранительных механизмов может служить резервирование, механизмов обнаружения – периодическое автоматическое тестирование, а механизмов смягчения – алгоритмы подавления самопроизвольно возникающего крутящего момента. Фактически, механизмы безопасности позволяют бороться со случайными и систематическими отказами аппаратной части и с систематическими отказами программной части, а также с их последствиями.
Предметом интереса в рамках исследования функциональной безопасности аппаратной части устройства являются сбои (faults), приводящие к нарушениям целей безопасности. Одиночным сбоем называется сбой, не охваченный защитным механизмом безопасности, который непосредственно приводит к нарушению цели безопасности. Двойной сбой – это сбой, который в сочетании с другим независимым сбоем приводит к нарушению цели безопасности. Обобщенной версией двойного сбоя является множественный сбой, однако множественные сбои 3 и больших уровней считаются, согласно ISO 26262, маловероятными, а значит – безопасными. Скрытый сбой – это множественный сбой, наличие которого не выявляется защитным механизмом безопасности и не воспринимается водителем. Допускается, что при применении различных защитных механизмов безопасности, останутся так называемые остаточные сбои, то есть сбои, не охваченные защитными механизмами безопасности и приводящие к нарушению целей безопасности. Однако, для разных ASIL процент остаточных сбоев не должен превышать заданной в стандарте величины.
В ходе разработки устройства, с учетом выявленных для него требований по безопасности, требования, архитектура устройства и его составляющих узлов с защитными механизмами безопасности, результаты тестов и испытаний, отчеты и прочие результаты работ (work products) должны быть собраны в виде обоснования безопасности (safety case). Обоснование безопасности, как правило, является отдельным документом, в котором указываются все требования безопасности (цели безопасности, функциональные и технические требования безопасности, требования безопасности аппаратной и программной части) и все результаты разработки и испытаний, подтверждающие полное покрытие этих требований (называемые аргументами). Зачастую для формирования обоснования безопасности используется структурированный граф взаимозависимости требований и аргументов, где показано какие аргументы подтверждают покрытие каждого конкретного требования.
Завершающей частью разработки устройства является проведение аудита и оценки функциональной безопасности. При аудите функциональной безопасности проводится экспертиза того, насколько процессы разработки электрических и/или электронных систем, имеющих отношение к выполнению функций, связанных с безопасностью, соответствует стандарту ISO 26262 в части описанных в нем процессов разработки. При оценке функциональной безопасности проверяется полнота и качество обоснования безопасности, созданного для разрабатываемого устройства.
