Если «железо» не разработано согласно ИСО 26262, то в проект с требованиями безопасности оно попадет только после прохождения процедуры квалификации.
Квалификация проводится в контексте проекта, то есть один и тот же элемент подойдет в одном проекте и не подойдет в другом.
Не все устройства равны
Стандарт ИСО 26262 предлагает разделить «небезопасные» аппаратные средства на три класса:
Класс I. Несложные устройства, поведение которых отдается анализу и тестированию, даже если внутренняя структура неизвестна. У них мало возможных состояний и нет внутренних механизмов безопасности. К устройствам «первого класса» относятся базовые элементы (диоды, резисторы, транзисторы и т.п.), а также кварцевые генераторы, резонаторы и подобные вещи.
Класс II. Это устройства посложнее, спроектированные для конкретных задач. Тем не менее, они поддаются анализу безопасности, даже без знания нутренней структуры и производственных процессов. У них также нет внутренних механизмов безопасности – или на них не назначаются требования безопасности, полученные в проекте. Сюда относятся датчики и МЭМ-устройства (датчики температуры, давления, ускорения и т.п.)
Класс III. В этом классе – остальные аппаратные средства, сколь угодно сложные и дорогие, включающие в себя механизмы безопасности. Это микроконтроллеры, память, GPU и другое современное «железо»
Необходимая информация
Перед тем, как квалифицировать «железо», собираем такую информацию:
- Идентификационный номер, название, назначение
- Спецификацию (datasheet)
- Принадлежность к классу I, II или III по ИСО 26262.
- Требования к разрабатываемой аппаратуре со стороны проекта
Квалификация
«Железо» класса I не нуждается в квалификации.
«Железо» класса III анализируются напрмяую по требованиям ИСО 26262. Тут без производителя не разберешься. Производители “железа” об этом знают и предоставляют инструкцию по безопасной разработке. Там результаты анализа безопасности, который провел производитель, и другая необходимую информацию.
Остается «железо» класса II.
“Оценка” аппаратных средств
Железо класса II – элементы средней сложности, не разработанные по стандартам безопасности – перед интеграцией в безопасный контекст проходят шаг, называемый оценкой. Такая оценка проводится по плану. Содержание плана оценки:
- Спецификация окружения, в котором предполагается использовать аппаратное средство
- Стратегия оценки, включающая в себя анализ и тестирование
- Необходимые для проведения оценки инструменты
- Кто оценивает (Tier 1, Tier 2 или кто-то еще)
- Критерии прохождения
Аналитическая часть оценки готовит компонент к анализу метрик случайных отказов по такой схеме:
- Сначала определяют интенсивность отказов. Ее узнают у производителя (предпочтительный вариант) или по специальным каталогам (например, IEC TR 62380).
- Выявляют функции элемента и режимы отказов.
- Полную интенсивность отказов «делят» между режимами, используя информацию из каталогов или предположения.
Аппаратные средства класса II проходят такие тесты:
- Функциональное тестирование по требованиям проекта
- ЭМС
- Тестирование устойчивости
- Нагрузочное тестирование
- Испытания на долговечность (редко)
На испытаниях к интегрируемому элементу предъявляются те же требования, что и к устройству.
По результатам оценки составляется отчет – и «небезопасный» элемент готов к интеграции в безопасную систему!
Роль SafetyConsult
Инженеры SafetyConsult помогают.
- Проведем анализ аппаратных средств
- Посчитаем метрики случайных отказов (SPFM/LFM) и дадим рекомендации по их улучшению
- Разработаем процессы управления требованиями
- Поможем в работе с требованиями
- Спланируем испытания аппаратных средств
