ISO 26262 - ISO 26262

ISO 26262 , intitolato "Veicoli stradali - Sicurezza funzionale", è uno standard internazionale per la sicurezza funzionale dei sistemi elettrici e/o elettronici installati nei veicoli stradali di serie (esclusi i ciclomotori), definito dall'Organizzazione internazionale per la standardizzazione (ISO) in 2011 e revisionato nel 2018.

Panoramica dello standard

Le caratteristiche di sicurezza funzionale costituiscono parte integrante di ogni fase di sviluppo del prodotto automobilistico , dalla specifica alla progettazione, implementazione, integrazione, verifica, convalida e rilascio in produzione. Lo standard ISO 26262 è un adattamento dello standard di sicurezza funzionale IEC 61508 per i sistemi elettrici/elettronici automobilistici. La norma ISO 26262 definisce la sicurezza funzionale per le apparecchiature automobilistiche applicabile durante l'intero ciclo di vita di tutti i sistemi di sicurezza elettronica ed elettrica per autoveicoli.

La prima edizione (ISO 26262:2011), pubblicata l'11 novembre 2011, era limitata ai sistemi elettrici e/o elettronici installati in "autovetture di serie " con un peso lordo massimo di 3500 kg. La seconda edizione (ISO 26262:2018), pubblicata a dicembre 2018, ha esteso il campo di applicazione dalle autovetture a tutti i veicoli stradali ad eccezione dei ciclomotori .

Lo standard mira ad affrontare i possibili pericoli causati dal comportamento malfunzionante dei sistemi elettronici ed elettrici nei veicoli. Sebbene intitolata "Veicoli stradali – Sicurezza funzionale" la norma si riferisce alla sicurezza funzionale dei sistemi elettrici ed elettronici nonché a quella dei sistemi nel loro insieme o dei loro sottosistemi meccanici.

Come il suo standard principale, IEC 61508 , ISO 26262 è uno standard di sicurezza basato sul rischio, in cui il rischio di situazioni operative pericolose viene valutato qualitativamente e vengono definite misure di sicurezza per evitare o controllare guasti sistematici e per rilevare o controllare guasti hardware casuali, o mitigare loro effetti.

Obiettivi della ISO 26262:

• Fornisce un ciclo di vita della sicurezza automobilistica (gestione, sviluppo, produzione, funzionamento, servizio, smantellamento ) e supporta la personalizzazione delle attività necessarie durante queste fasi del ciclo di vita.
• Copre gli aspetti della sicurezza funzionale dell'intero processo di sviluppo (incluse attività come la specifica dei requisiti, la progettazione, l'implementazione, l'integrazione, la verifica, la convalida e la configurazione).
• Fornisce un approccio basato sul rischio specifico per il settore automobilistico per la determinazione delle classi di rischio ( livelli di integrità della sicurezza automobilistica , ASIL).
• Utilizza gli ASIL per specificare i requisiti di sicurezza necessari dell'articolo per ottenere un rischio residuo accettabile .
• Fornisce i requisiti per le misure di convalida e conferma per garantire il raggiungimento di un livello di sicurezza sufficiente e accettabile.

Parti della ISO 26262

ISO 26262:2018 si compone di dodici parti, dieci parti normative (parti da 1 a 9 e 12) e due linee guida (parti 10 e 11): (Citazione necessaria )

1. Vocabolario
2. Gestione della sicurezza funzionale
3. Fase concettuale
4. Sviluppo del prodotto a livello di sistema
5. Sviluppo del prodotto a livello hardware
6. Sviluppo del prodotto a livello di software
7. Produzione, funzionamento, servizio e smantellamento
8. Processi di supporto
9. Analisi orientata al livello di integrità della sicurezza automobilistica (ASIL) e alla sicurezza
10. Linee guida sulla ISO 26262
11. Linee guida sull'applicazione della ISO 26262 ai semiconduttori
12. Adeguamento della ISO 26262 per i motocicli

In confronto, la ISO 26262:2011 consisteva di sole 10 parti, con nomi leggermente diversi:

• La parte 7 è stata chiamata solo Produzione e funzionamento
• La parte 10 è stata denominata Linee guida... invece di Linee guida...
• Le parti 11 e 12 non esistevano.

Parte 1: Vocabolario

La ISO 26262 specifica un vocabolario (un glossario del progetto ) di termini, definizioni e abbreviazioni per l'applicazione in tutte le parti dello standard. Di particolare importanza è l'attenta definizione di guasto , errore e guasto poiché questi termini sono fondamentali per le definizioni dello standard dei processi di sicurezza funzionale, in particolare nella considerazione che "Un guasto può manifestarsi come un errore ... e l' errore può in definitiva causare un guasto ”. Un malfunzionamento risultante che ha un effetto pericoloso rappresenta una perdita di sicurezza funzionale .

Articolo

All'interno di questo standard, item è un termine chiave. Item è usato per fare riferimento a un sistema specifico (o combinazione di sistemi) a cui è applicato il Safety Life Cycle ISO 26262 , che implementa una funzione (o parte di una funzione) a livello di veicolo. Cioè, l' articolo è l'oggetto più identificato nel processo ed è quindi il punto di partenza per lo sviluppo della sicurezza specifico del prodotto secondo questo standard.

Elemento

O un sistema, un componente (costituito da parti hardware e/o unità software), una singola parte hardware o una singola unità software, in pratica qualsiasi cosa in un sistema che possa essere distintamente identificata e manipolata.

Colpa

Condizione anomala che può causare il guasto di un elemento o di un elemento .

Errore

Discrepanza tra un valore o una condizione calcolato, osservato o misurato e il valore o la condizione vero, specificato o teoricamente corretto.

Fallimento

Cessazione di un comportamento previsto di un elemento o di un elemento a causa di una manifestazione di guasto .

Tolleranza ai guasti

Capacità di fornire una funzionalità specificata in presenza di uno o più guasti specificati .

Comportamento malfunzionante

Guasto o comportamento non intenzionale di un articolo rispetto al suo intento progettuale.

Rischio

Potenziale fonte di danni (lesioni fisiche o danni alla salute) causati da un comportamento non corretto dell'articolo .

Sicurezza funzionale

Assenza di rischio irragionevole dovuto a pericoli causati da comportamenti di malfunzionamento degli impianti Elettrici/Elettronici.

Nota: a differenza di altri standard di sicurezza funzionale e della ISO 26262:2018 aggiornata, la tolleranza ai guasti non è stata definita esplicitamente nella ISO 26262:2011, poiché si presumeva impossibile comprendere tutti i possibili guasti in un sistema.

Nota: ISO 26262 non utilizza il termine IEC 61508 Frazione di guasto sicuro (SFF). Vengono invece utilizzati i termini metrica dei guasti a punto singolo e metrica dei guasti latenti .

Parte 2: Gestione della sicurezza funzionale

ISO 26262 fornisce uno standard per la gestione della sicurezza funzionale per le applicazioni automobilistiche, definendo standard per la gestione complessiva della sicurezza organizzativa, nonché standard per un ciclo di vita di sicurezza per lo sviluppo e la produzione di singoli prodotti automobilistici. Il ciclo di vita della sicurezza ISO 26262 descritto nella sezione successiva opera sui seguenti concetti di gestione della sicurezza:

Evento pericoloso

Un evento pericoloso è una combinazione rilevante di un pericolo a livello del veicolo e di una situazione operativa del veicolo che potrebbe portare a un incidente se non controllata da un'azione tempestiva del conducente.

Obiettivo di sicurezza

Un obiettivo di sicurezza è un requisito di sicurezza di primo livello che viene assegnato a un sistema, con lo scopo di ridurre a un livello tollerabile il rischio di uno o più eventi pericolosi .

Livello di integrità della sicurezza automobilistica

Un livello di integrità della sicurezza automobilistica (ASIL) rappresenta una classificazione basata sul rischio specifica per il settore automobilistico di un obiettivo di sicurezza , nonché le misure di convalida e conferma richieste dallo standard per garantire il raggiungimento di tale obiettivo.

Requisiti di sicurezza

I requisiti di sicurezza includono tutti gli obiettivi di sicurezza e tutti i livelli di requisiti scomposti dagli obiettivi di sicurezza fino al livello più basso di requisiti di sicurezza funzionali e tecnici assegnati ai componenti hardware e software.

Parti 3-7: Ciclo di vita di sicurezza

I processi all'interno del ciclo di vita della sicurezza ISO 26262 identificano e valutano i pericoli (rischi per la sicurezza), stabiliscono requisiti di sicurezza specifici per ridurre tali rischi a livelli accettabili e gestiscono e tracciano tali requisiti di sicurezza per fornire una ragionevole garanzia che siano soddisfatti nel prodotto consegnato. Questi processi rilevanti per la sicurezza possono essere visti come integrati o in esecuzione in parallelo con un ciclo di vita dei requisiti gestiti di un sistema di gestione della qualità convenzionale :

1. Viene identificato un articolo (un particolare prodotto di sistema automobilistico) e vengono definiti i suoi requisiti funzionali di sistema di livello superiore.
2. Per l' articolo viene identificata una serie completa di eventi pericolosi .
3. Ad ogni evento pericoloso viene assegnato un ASIL . (Vedi la parte 9 di seguito)
4. Per ogni evento pericoloso viene determinato un obiettivo di sicurezza , ereditando l'ASIL del pericolo.
5. Un concetto di sicurezza funzionale a livello di veicolo definisce un'architettura di sistema per garantire gli obiettivi di sicurezza .
6. Gli obiettivi di sicurezza vengono raffinati in requisiti di sicurezza di livello inferiore .
   (In generale, ogni requisito di sicurezza eredita l'ASIL del suo requisito/obiettivo di sicurezza padre. Tuttavia, soggetto a vincoli, l'ASIL ereditato può essere ridotto dalla scomposizione di un requisito in requisiti ridondanti implementati da componenti ridondanti sufficientemente indipendenti.)
7. I "requisiti di sicurezza" sono assegnati ai componenti architetturali (sottosistemi, componenti hardware, componenti software)
   (in generale, ogni componente dovrebbe essere sviluppato in conformità con gli standard e i processi suggeriti/richiesti per l'ASIL più alto dei requisiti di sicurezza ad esso assegnati.)
8. I componenti architetturali vengono quindi sviluppati e convalidati in accordo con i requisiti di sicurezza (e funzionali) assegnati.

Parte 8: Processi di supporto

La ISO 26262 definisce gli obiettivi per i processi integrali che supportano i processi del ciclo di vita della sicurezza, ma sono continuamente attivi in ​​tutte le fasi, e definisce anche considerazioni aggiuntive che supportano il raggiungimento degli obiettivi generali del processo.

• Interfacce aziendali controllate per il flusso di obiettivi, requisiti e controlli a tutti i fornitori negli sviluppi distribuiti
• Specificazione esplicita dei requisiti di sicurezza e loro gestione durante l'intero ciclo di vita della sicurezza
• Controllo della configurazione dei prodotti di lavoro, con identificazione formale univoca e riproducibilità delle configurazioni che prevede la tracciabilità tra i prodotti di lavoro dipendenti e l'identificazione di tutte le modifiche alla configurazione
• Gestione formale delle modifiche , inclusa la gestione dell'impatto delle modifiche sui requisiti di sicurezza, al fine di garantire la rimozione dei difetti rilevati nonché per la modifica del prodotto senza introduzione di rischi
• Pianificazione, controllo e reporting della verifica dei prodotti di lavoro, inclusi revisione, analisi e test, con analisi di regressione dei difetti rilevati alla loro fonte
• Identificazione pianificata e gestione di tutta la documentazione (prodotti di lavoro) prodotta attraverso tutte le fasi del Safety Life Cycle per facilitare la gestione continua della sicurezza funzionale e della valutazione della sicurezza
• Fiducia negli strumenti software (qualificazione degli strumenti software per l'uso previsto e effettivo)
• Qualificazione di componenti software e hardware precedentemente sviluppati per l'integrazione nell'articolo ASIL attualmente sviluppato
• Utilizzo di prove della cronologia del servizio per sostenere che un articolo si è dimostrato sufficientemente sicuro nell'uso per l'ASIL . previsto

Parte 9: Analisi orientata al livello di integrità della sicurezza automobilistica (ASIL) e alla sicurezza

Il livello di integrità della sicurezza automobilistica si riferisce a una classificazione astratta del rischio intrinseco per la sicurezza in un sistema automobilistico o elementi di tale sistema. Le classificazioni ASIL sono utilizzate all'interno della ISO 26262 per esprimere il livello di riduzione del rischio richiesto per prevenire un pericolo specifico, con ASIL D che rappresenta il livello di pericolo più alto e ASIL A il più basso. L'ASIL valutato per un dato pericolo viene quindi assegnato all'obiettivo di sicurezza impostato per affrontare quel pericolo ed è quindi ereditato dai requisiti di sicurezza derivati ​​da tale obiettivo.

Panoramica sulla valutazione ASIL

La determinazione dell'ASIL è il risultato dell'analisi dei pericoli e della valutazione dei rischi . Nel contesto della ISO 26262, un pericolo viene valutato sulla base dell'impatto relativo degli effetti pericolosi relativi a un sistema, aggiustato per le probabilità relative che il pericolo manifesti tali effetti. Cioè, ogni evento pericoloso viene valutato in termini di gravità delle possibili lesioni nel contesto del tempo relativo in cui un veicolo è esposto alla possibilità che il pericolo si verifichi, nonché la relativa probabilità che un guidatore tipico possa agire per prevenire il lesione.

Processo di valutazione ASIL

All'inizio del ciclo di vita della sicurezza , vengono eseguite l'analisi dei pericoli e la valutazione dei rischi, con conseguente valutazione dell'ASIL per tutti gli eventi pericolosi identificati e gli obiettivi di sicurezza.

Ogni evento pericoloso è classificato in base alla gravità (S) delle lesioni che ci si può aspettare che provochi:

Classificazioni di gravità (S):

S0 Nessun infortunio

S1 Lesioni da leggere a moderate

S2 Lesioni da gravi a pericolose per la vita (probabile sopravvivenza)

S3 Da pericolo di vita (sopravvivenza incerta) a lesioni mortali

Il Risk Management riconosce che la considerazione della gravità di una possibile lesione è modificata dalla probabilità che la lesione si verifichi; cioè, per un dato pericolo, un evento pericoloso è considerato un rischio minore se è meno probabile che si verifichi. All'interno dell'analisi dei pericoli e del processo di valutazione del rischio di questo standard, la probabilità di un pericolo dannoso è ulteriormente classificata in base a una combinazione di

esposizione (E) (la frequenza relativa prevista delle condizioni operative in cui l'infortunio può eventualmente verificarsi) e

controllo (C) (la probabilità relativa che il conducente possa agire per prevenire la lesione).

Classificazioni di esposizione (E):

E0 Incredibilmente improbabile

E1 Probabilità molto bassa (l'infortunio potrebbe verificarsi solo in rare condizioni operative)

E2 Bassa probabilità

E3 Media probabilità

E4 Alta probabilità (l'infortunio potrebbe verificarsi nella maggior parte delle condizioni operative)

Classificazioni di controllabilità (C):

C0 Controllabile in generale

C1 Semplicemente controllabile

C2 Normalmente controllabile (la maggior parte dei conducenti potrebbe agire per prevenire lesioni)

C3 Difficile da controllare o incontrollabile

In termini di queste classificazioni, un evento pericoloso Automotive Safety Integrity Level D (abbreviato ASIL D ) è definito come un evento che ha una ragionevole possibilità di causare un infortunio mortale (sopravvivenza incerta) o mortale, con l'infortunio fisicamente possibile nella maggior parte delle operazioni condizioni, e con poche possibilità il conducente può fare qualcosa per prevenire l'infortunio. Cioè, ASIL D è la combinazione delle classificazioni S3, E4 e C3. Per ogni singola riduzione di una qualsiasi di queste classificazioni dal suo valore massimo (esclusa la riduzione da C1 a C0), si ha una riduzione di un livello dell'ASIL da D . [Ad esempio, un ipotetico pericolo di lesioni mortali incontrollabili (C3) (S3) potrebbe essere classificato come ASIL A se il pericolo ha una probabilità molto bassa (E1).] Il livello ASIL inferiore ad A è il livello più basso, QM . QM si riferisce alla considerazione dello standard che sotto ASIL A ; non vi è alcuna rilevanza per la sicurezza e sono richiesti solo processi standard di gestione della qualità.

Queste definizioni di gravità, esposizione e controllo sono informative, non prescrittive e lasciano effettivamente spazio a variazioni o discrezionalità soggettive tra le varie case automobilistiche e fornitori di componenti. In risposta, la Society for Automotive Safety Engineers (SAE) ha emesso J2980 - Considerazioni per la classificazione dei rischi ASIL ISO26262 per fornire una guida più esplicita per la valutazione dell'esposizione, della gravità e della controllabilità per un determinato pericolo.

Guarda anche

• Livello di integrità della sicurezza automobilistica , confronto con altri sistemi di livello di sicurezza
• ARP4754 (Linee guida per lo sviluppo di aeromobili e sistemi civili)
• DO-178C (Aerospaziale)
• IEC 61508 (Industriale/Generale, ISO 26262 è un adattamento con piccole differenze)
• ISO 60730 (famiglia)

Riferimenti

link esterno

• ISO 26262-1: 2011 (en) (Veicoli stradali - Sicurezza funzionale - Parte 1: Vocabolario) presso la piattaforma di navigazione online ISO (OBP)
• ISO 26262-1:2018(en) (Veicoli stradali — Sicurezza funzionale — Parte 1: Vocabolario) presso la piattaforma di navigazione online ISO (OBP)