ISO 26262

ISO 26262 , zatytułowana „Pojazdy drogowe – bezpieczeństwo funkcjonalne”, to międzynarodowa norma dotycząca bezpieczeństwa funkcjonalnego systemów elektrycznych i/lub elektronicznych, które są instalowane w seryjnych pojazdach drogowych (z wyłączeniem motorowerów), zdefiniowana przez Międzynarodową Organizację Normalizacyjną (ISO) w 2011 r., poprawione w 2018 r.

Przegląd normy

Funkcje bezpieczeństwa funkcjonalnego stanowią integralną część każdej fazy rozwoju produktu motoryzacyjnego , począwszy od specyfikacji, poprzez projekt, wdrożenie, integrację, weryfikację, walidację i dopuszczenie do produkcji. Norma ISO 26262 jest adaptacją normy bezpieczeństwa funkcjonalnego IEC 61508 dla samochodowych systemów elektrycznych/elektronicznych. Norma ISO 26262 definiuje bezpieczeństwo funkcjonalne wyposażenia samochodowego, które ma zastosowanie przez cały cykl życia wszystkich samochodowych elektronicznych i elektrycznych systemów związanych z bezpieczeństwem.

Pierwsza edycja (ISO 26262:2011), opublikowana 11 listopada 2011 r., ograniczała się do układów elektrycznych i/lub elektronicznych montowanych w „seryjnych samochodach osobowych o maksymalnej masie całkowitej 3500 kg. Druga edycja (ISO 26262:2018), opublikowana w grudniu 2018 r., rozszerzyła zakres z samochodów osobowych na wszystkie pojazdy drogowe z wyjątkiem motorowerów .

Norma ma na celu uwzględnienie możliwych zagrożeń spowodowanych nieprawidłowym działaniem układów elektronicznych i elektrycznych w pojazdach. Chociaż zatytułowana „Pojazdy drogowe – bezpieczeństwo funkcjonalne”, norma dotyczy bezpieczeństwa funkcjonalnego systemów elektrycznych i elektronicznych, a także systemów jako całości lub ich podsystemów mechanicznych.

Podobnie jak jej macierzysta norma, IEC 61508 , ISO 26262 jest normą bezpieczeństwa opartą na ryzyku, w której ryzyko niebezpiecznych sytuacji operacyjnych jest oceniane jakościowo i określane są środki bezpieczeństwa w celu uniknięcia lub kontrolowania systematycznych awarii oraz wykrywania lub kontrolowania przypadkowych awarii sprzętu lub łagodzenia ich efekty.

Cele normy ISO 26262:

  • Zapewnia cykl życia bezpieczeństwa w branży motoryzacyjnej (zarządzanie, rozwój, produkcja, eksploatacja, serwis, wycofanie z eksploatacji ) i wspiera dostosowywanie niezbędnych działań podczas tych faz cyklu życia.
  • Obejmuje aspekty bezpieczeństwa funkcjonalnego całego procesu rozwoju (w tym takie czynności, jak specyfikacja wymagań, projektowanie, implementacja, integracja, weryfikacja, walidacja i konfiguracja).
  • Zapewnia specyficzne dla motoryzacji podejście oparte na ryzyku do określania klas ryzyka ( Automotive Safety Integrity Levels , ASIL).
  • Wykorzystuje ASIL do określenia niezbędnych wymagań bezpieczeństwa przedmiotu w celu osiągnięcia akceptowalnego ryzyka szczątkowego .
  • Zawiera wymagania dotyczące środków walidacji i potwierdzania, aby zapewnić osiągnięcie wystarczającego i akceptowalnego poziomu bezpieczeństwa.

Części ISO 26262

ISO 26262:2018 składa się z dwunastu części, dziesięciu części normatywnych (części od 1 do 9 i 12) oraz dwóch wytycznych (części 10 i 11): [ potrzebne źródło ]

  1. Słownictwo
  2. Zarządzanie bezpieczeństwem funkcjonalnym
  3. Faza koncepcyjna
  4. Rozwój produktu na poziomie systemu
  5. Rozwój produktu na poziomie sprzętu
  6. Rozwój produktu na poziomie oprogramowania
  7. Produkcja, eksploatacja, serwis i likwidacja
  8. Procesy wspomagające
  9. Analiza zorientowana na poziom nienaruszalności bezpieczeństwa w branży motoryzacyjnej (ASIL) i zorientowana na bezpieczeństwo
  10. Wytyczne dotyczące ISO 26262
  11. Wytyczne dotyczące stosowania ISO 26262 do półprzewodników
  12. Adaptacja ISO 26262 dla motocykli

Dla porównania, ISO 26262:2011 składało się z zaledwie 10 części, z nieco innym nazewnictwem:

  • Część 7 nosiła tytuł Produkcja i eksploatacja
  • Część 10 została nazwana Wytycznymi… zamiast Wytycznymi…
  • Części 11 i 12 nie istniały.

Część 1: Słownictwo

ISO 26262 określa słownictwo (glosariusz projektu) terminów, definicji i skrótów do zastosowania we wszystkich częściach normy. Szczególne znaczenie ma staranne zdefiniowanie usterki , błędu i awarii , ponieważ te terminy są kluczowe dla definicji procesów bezpieczeństwa funkcjonalnego zawartych w normie, szczególnie biorąc pod uwagę, że „Usterka może objawiać się jako błąd … a błąd może ostatecznie spowodować awarię ”. Wynikająca z tego awaria , która ma niebezpieczny skutek oznacza utratę bezpieczeństwa funkcjonalnego .

Pozycja
W ramach tego standardu pozycja jest terminem kluczowym. Pozycja odnosi się do określonego systemu (lub kombinacji systemów), do którego stosuje się cykl życia bezpieczeństwa ISO 26262 , który implementuje funkcję (lub część funkcji) na poziomie pojazdu. Oznacza to, że przedmiot jest najwyżej zidentyfikowanym obiektem w procesie i tym samym jest punktem wyjścia do rozwoju bezpieczeństwa specyficznego dla produktu zgodnie z tą normą.
Element
Albo system, albo komponent (składający się z części sprzętu i/lub jednostek oprogramowania), pojedyncza część sprzętu lub pojedyncza jednostka oprogramowania — w rzeczywistości wszystko w systemie, które można wyraźnie zidentyfikować i którym można manipulować.
Usterka
Nienormalny stan, który może spowodować awarię elementu lub elementu .
Błąd
Rozbieżność między obliczoną, zaobserwowaną lub zmierzoną wartością lub warunkiem a prawdziwą, określoną lub teoretycznie poprawną wartością lub warunkiem.
Awaria
Przerwanie zamierzonego zachowania się elementu lub elementu z powodu usterki manifestacja.
Tolerancja na awarie
Zdolność do dostarczenia określonej funkcjonalności w przypadku wystąpienia jednej lub więcej określonych usterek .
Niewłaściwe zachowanie
Awaria lub niezamierzone zachowanie elementu w odniesieniu do jego zamierzeń projektowych.
Zagrożenie
Potencjalne źródło szkód (obrażenia fizyczne lub uszczerbek na zdrowiu) spowodowanych nieprawidłowym działaniem przedmiotu .
Bezpieczeństwo funkcjonalne
Brak nieuzasadnionego ryzyka wynikającego z zagrożeń spowodowane nieprawidłowym działaniem systemów elektrycznych/elektronicznych.

Uwaga: W przeciwieństwie do innych norm bezpieczeństwa funkcjonalnego i zaktualizowanej normy ISO 26262:2018, tolerancja błędów nie została wyraźnie zdefiniowana w normie ISO 26262:2011 – ponieważ założono, że niemożliwe jest zrozumienie wszystkich możliwych usterek w systemie.

Uwaga: ISO 26262 nie używa terminu IEC 61508 odsetek bezpiecznych awarii (SFF). Zamiast tego używane są terminy metryka błędów pojedynczego punktu i metryka błędów ukrytych .

Część 2: Zarządzanie bezpieczeństwem funkcjonalnym

ISO 26262 zapewnia standard zarządzania bezpieczeństwem funkcjonalnym w zastosowaniach motoryzacyjnych, określający standardy ogólnego zarządzania bezpieczeństwem w organizacji, a także standardy dotyczące cyklu życia bezpieczeństwa w zakresie rozwoju i produkcji poszczególnych produktów motoryzacyjnych. Cykl życia bezpieczeństwa ISO 26262 opisany w następnej sekcji opiera się na następujących koncepcjach zarządzania bezpieczeństwem:

Zdarzenie niebezpieczne
Zdarzenie niebezpieczne jest odpowiednią kombinacją zagrożenia na poziomie pojazdu i sytuacji eksploatacyjnej pojazdu, która może doprowadzić do wypadku, jeśli nie zostanie opanowana przez kierowcę w porę.
Cel bezpieczeństwa
Cel bezpieczeństwa to nadrzędne wymaganie bezpieczeństwa przypisane do systemu w celu zmniejszenia ryzyka wystąpienia jednego lub więcej niebezpiecznych zdarzeń do akceptowalnego poziomu.
Poziom nienaruszalności bezpieczeństwa samochodowego
Poziom nienaruszalności bezpieczeństwa samochodowego (ASIL) reprezentuje specyficzną dla branży motoryzacyjnej, opartą na ryzyku klasyfikację celu bezpieczeństwa, jak również środki walidacji i potwierdzenia wymagane przez normę, aby zapewnić osiągnięcie tego celu. Wymagania
bezpieczeństwa
Wymagania bezpieczeństwa obejmują wszystkie cele bezpieczeństwa i wszystkie poziomy wymagań zdekomponowane od celów bezpieczeństwa do najniższego poziomu funkcjonalnych i technicznych wymagań bezpieczeństwa przypisanych komponentom sprzętowym i programowym.

Części 3-7: Cykl życia bezpieczeństwa

cyklu życia bezpieczeństwa ISO 26262 identyfikują i oceniają zagrożenia (ryzyko bezpieczeństwa), ustanawiają określone wymagania bezpieczeństwa w celu zmniejszenia tego ryzyka do akceptowalnego poziomu oraz zarządzają i śledzą te wymagania bezpieczeństwa, aby uzyskać wystarczającą pewność, że są one spełnione w dostarczonym produkcie. Te procesy związane z bezpieczeństwem można postrzegać jako zintegrowane lub działające równolegle z zarządzanym cyklem życia wymagań konwencjonalnego systemu zarządzania jakością :

  1. Element (konkretny produkt systemu samochodowego) jest identyfikowany i określane są wymagania funkcjonalne systemu najwyższego poziomu .
  2. elementu identyfikowany jest kompleksowy zestaw niebezpiecznych zdarzeń .
  3. Każdemu niebezpiecznemu zdarzeniu przypisany jest ASIL .
  4. Cel bezpieczeństwa jest określany dla każdego niebezpiecznego zdarzenia , dziedzicząc ASIL zagrożenia.
  5. Koncepcja bezpieczeństwa funkcjonalnego na poziomie pojazdu definiuje architekturę systemu , aby zapewnić cele bezpieczeństwa .

  6. Cele bezpieczeństwa są uszczegółowione w wymaganiach bezpieczeństwa niższego poziomu . (Ogólnie rzecz biorąc, każdy wymóg bezpieczeństwa dziedziczy ASIL swojego nadrzędnego wymagania/celu bezpieczeństwa. Jednakże, z zastrzeżeniem ograniczeń, odziedziczony ASIL może zostać obniżony przez rozkład wymagania na nadmiarowe wymagania zaimplementowane przez wystarczająco niezależne nadmiarowe komponenty.)

  7. „Wymogi bezpieczeństwa” są przypisane do komponentów architektury (podsystemów, komponentów sprzętowych, komponentów oprogramowania) (Ogólnie rzecz biorąc, każdy komponent powinien być opracowany zgodnie ze standardami i procesami sugerowanymi/wymaganymi dla najwyższego ASIL z przypisanych mu wymagań bezpieczeństwa).
  8. Elementy architektoniczne są następnie opracowywane i zatwierdzane zgodnie z przypisanymi wymaganiami dotyczącymi bezpieczeństwa (i funkcjonalności).

Część 8: Procesy wspierające

ISO 26262 definiuje cele dla integralnych procesów, które wspierają procesy cyklu życia bezpieczeństwa, ale są stale aktywne we wszystkich fazach, a także definiuje dodatkowe kwestie, które wspierają realizację ogólnych celów procesu.

  • Kontrolowane interfejsy korporacyjne umożliwiające przepływ celów, wymagań i kontroli do wszystkich dostawców w rozproszonych projektach
  • Jasna specyfikacja wymagań bezpieczeństwa i zarządzanie nimi w całym cyklu życia bezpieczeństwa
  • Kontrola konfiguracji produktów pracy, z formalną jednoznaczną identyfikacją i odtwarzalnością konfiguracji, która zapewnia identyfikowalność między zależnymi produktami pracy i identyfikację wszystkich zmian w konfiguracji
  • Zarządzanie zmianami formalnymi , w tym zarządzanie wpływem zmian na wymagania bezpieczeństwa, w celu zapewnienia usunięcia wykrytych wad oraz zmiany produktu bez wprowadzania zagrożeń
  • Planowanie, kontrola i raportowanie weryfikacji produktów pracy, w tym przegląd, analiza i testowanie, wraz z analizą regresji wykrytych defektów do ich źródła
  • Planowana identyfikacja i zarządzanie całą dokumentacją (produktami pracy) tworzonymi przez wszystkie fazy cyklu życia bezpieczeństwa w celu ułatwienia ciągłego zarządzania bezpieczeństwem funkcjonalnym i oceną bezpieczeństwa
  • Zaufanie do narzędzi programowych (kwalifikacja narzędzi programowych do zamierzonego i faktycznego zastosowania)
  • Kwalifikacja wcześniej opracowanego oprogramowania i komponentów sprzętowych do integracji w aktualnie rozwijanej pozycji ASIL
  • Wykorzystanie dowodów z historii usług, aby argumentować, że przedmiot okazał się wystarczająco bezpieczny w użyciu dla zamierzonego ASIL

Część 9: Analiza zorientowana na poziom nienaruszalności bezpieczeństwa w branży motoryzacyjnej (ASIL) i zorientowana na bezpieczeństwo

Główny artykuł: Poziom nienaruszalności bezpieczeństwa w branży motoryzacyjnej
Zobacz też: Porównanie ASIL z innymi standardami poziomu zagrożenia

Automotive Safety Integrity Level odnosi się do abstrakcyjnej klasyfikacji nieodłącznego ryzyka bezpieczeństwa w systemie motoryzacyjnym lub elementach takiego systemu. Klasyfikacje ASIL są używane w normie ISO 26262 do wyrażania poziomu redukcji ryzyka wymaganego do zapobieżenia określonemu zagrożeniu, przy czym ASIL D reprezentuje najwyższy poziom zagrożenia, a ASIL A najniższy. ASIL oceniany dla danego zagrożenia jest następnie przypisywany do celu bezpieczeństwa ustawionego w celu uwzględnienia tego zagrożenia, a następnie jest dziedziczony przez wymagania bezpieczeństwa wywodzące się z tego celu.

Przegląd oceny ASIL

Określenie ASIL jest wynikiem analizy zagrożeń i oceny ryzyka . W kontekście ISO 26262 zagrożenie jest oceniane na podstawie względnego wpływu niebezpiecznych skutków związanych z systemem, skorygowanego o względne prawdopodobieństwo manifestacji zagrożenia przez te skutki. Oznacza to, że każde niebezpieczne zdarzenie jest oceniane pod kątem ciężkości możliwych obrażeń w kontekście względnej ilości czasu, przez jaki pojazd jest narażony na możliwość wystąpienia zagrożenia, jak również względnego prawdopodobieństwa, że ​​typowy kierowca może podjąć działania, aby zapobiec obrażenia.

Proces oceny ASIL

Na początku cyklu życia bezpieczeństwa przeprowadzana jest analiza zagrożeń i ocena ryzyka, czego wynikiem jest ocena ASIL pod kątem wszystkich zidentyfikowanych niebezpiecznych zdarzeń i celów bezpieczeństwa.

Każde niebezpieczne zdarzenie jest klasyfikowane zgodnie z ciężkością (S) obrażeń , których można się spodziewać:

Klasyfikacja ciężkości (S):
S0 Brak obrażeń
S1 Obrażenia lekkie do umiarkowanych
S2 Obrażenia ciężkie do zagrażających życiu (prawdopodobne przeżycie)
S3 Obrażenia zagrażające życiu (przeżycie niepewne) do obrażeń śmiertelnych

Dział Zarządzania Ryzykiem uznaje, że rozważenie ciężkości możliwego urazu jest modyfikowane przez prawdopodobieństwo wystąpienia urazu; to znaczy, dla danego zagrożenia, niebezpieczne zdarzenie jest uważane za mniejsze ryzyko, jeśli jest mniej prawdopodobne. W ramach analizy zagrożeń i oceny ryzyka w niniejszej normie, prawdopodobieństwo wystąpienia szkodliwego zagrożenia jest dalej klasyfikowane zgodnie z kombinacją

narażenie (E) (względna oczekiwana częstotliwość warunków operacyjnych, w których może dojść do urazu) i
kontrola (C) (względne prawdopodobieństwo, że kierowca może podjąć działania, aby zapobiec obrażeniom).
Klasyfikacja narażenia (E):
E0 Niewiarygodnie nieprawdopodobne
E1 Bardzo niskie prawdopodobieństwo (uraz może wystąpić tylko w rzadkich warunkach pracy)
E2 Niskie prawdopodobieństwo
E3 Średnie prawdopodobieństwo
E4 Wysokie prawdopodobieństwo (uraz może wystąpić w większości warunków pracy)
Klasyfikacja sterowalności (C):
C0 Ogólnie możliwy do kontrolowania
C1 Łatwy do kontrolowania
C2 Normalny do kontrolowania (większość kierowców może działać, aby zapobiec obrażeniom)
C3 Trudny do kontrolowania lub niekontrolowany

Zgodnie z tymi klasyfikacjami, niebezpieczne zdarzenie Automotive Safety Integrity Level D (w skrócie ASIL D ) definiuje się jako zdarzenie, które ma uzasadnione prawdopodobieństwo spowodowania obrażeń zagrażających życiu (przeżycie niepewne) lub śmiertelnych, przy czym obrażenia są fizycznie możliwe w większości warunkach i przy niewielkich szansach kierowca może coś zrobić, aby zapobiec obrażeniom. czyli ASIL D jest kombinacją klasyfikacji S3, E4 i C3. Dla każdego pojedynczego obniżenia którejkolwiek z tych klasyfikacji od jego maksymalnej wartości (z wyłączeniem redukcji C1 do C0), następuje jednopoziomowa redukcja ASIL z D . [Na przykład hipotetyczne niekontrolowane (C3) zagrożenie śmiertelnym urazem (S3) można sklasyfikować jako ASIL A , jeśli prawdopodobieństwo tego zagrożenia jest bardzo niskie (E1).] Poziom ASIL poniżej A jest najniższym poziomem, QM . QM odnosi się do uwzględnienia w normie, że poniżej ASIL A ; nie ma znaczenia dla bezpieczeństwa i wymagane są tylko standardowe procesy zarządzania jakością.

Te definicje dotkliwości, narażenia i kontroli mają charakter informacyjny, a nie nakazowy, i faktycznie pozostawiają pewne miejsce na subiektywne różnice lub dyskrecję między różnymi producentami samochodów i dostawcami części. W odpowiedzi Towarzystwo Inżynierów Bezpieczeństwa Motoryzacyjnego (SAE) wydało J2980 – Uwagi dotyczące klasyfikacji zagrożeń ASIL ISO26262, aby zapewnić bardziej wyraźne wytyczne dotyczące oceny narażenia, dotkliwości i możliwości kontrolowania danego zagrożenia.

Zobacz też

Linki zewnętrzne

Pobrano z „ https://en.wikipedia.org/w/index.php?title=ISO_26262&oldid=1093920005