ИСО 26262

Международный стандарт безопасности автомобильных электрических и электронных систем.

ISO 26262 , озаглавленный «Дорожные транспортные средства. Функциональная безопасность», представляет собой международный стандарт функциональной безопасности электрических и/или электронных систем, установленных на серийных дорожных транспортных средствах (за исключением мопедов), определенный Международной организацией по стандартизации (ISO) в 2011 г. и пересмотрено в 2018 г.

Обзор стандарта

Функции функциональной безопасности являются неотъемлемой частью каждого этапа разработки автомобильной продукции, начиная от спецификации и заканчивая проектированием, внедрением, интеграцией, проверкой, валидацией и выпуском в производство. Стандарт ISO 26262 является адаптацией стандарта функциональной безопасности IEC 61508 для автомобильных электрических/электронных систем. ISO 26262 определяет функциональную безопасность автомобильного оборудования, применимую на протяжении всего жизненного цикла всех автомобильных электронных и электрических систем, связанных с безопасностью.

Первое издание (ISO 26262:2011), опубликованное 11 ноября 2011 года, ограничивалось электрическими и/или электронными системами, установленными в «серийных легковых автомобилях » с максимальной полной массой 3500 кг. Второе издание (ISO 26262:2018), опубликованное в декабре 2018 года, расширило сферу применения с легковых автомобилей на все дорожные транспортные средства , за исключением мопедов . ^[1]

Целью стандарта является устранение возможных опасностей, вызванных неисправным поведением электронных и электрических систем транспортных средств. Несмотря на то, что стандарт озаглавлен «Дорожные транспортные средства – Функциональная безопасность», он касается функциональной безопасности электрических и электронных систем, а также систем в целом или их механических подсистем.

Как и исходный стандарт IEC 61508 , ISO 26262 представляет собой стандарт безопасности, основанный на риске, в котором качественно оценивается риск опасных эксплуатационных ситуаций и определяются меры безопасности, позволяющие избежать или контролировать систематические отказы, а также обнаруживать или контролировать случайные отказы оборудования или смягчать их последствия. их эффекты.

Цели ISO 26262:

• Обеспечивает жизненный цикл автомобильной безопасности (управление, разработка, производство, эксплуатация, обслуживание, вывод из эксплуатации) и поддерживает адаптацию необходимых действий на этих этапах жизненного цикла.
• Охватывает аспекты функциональной безопасности всего процесса разработки (включая такие действия, как спецификация требований, проектирование, реализация, интеграция, проверка, валидация и конфигурация).
• Обеспечивает подход, основанный на оценке рисков для автомобилей, для определения классов риска ( уровни полноты автомобильной безопасности , ASIL).
• Использует уровни ASIL для определения необходимых требований безопасности к элементу для достижения приемлемого остаточного риска .
• Обеспечивает требования к мерам валидации и подтверждения для обеспечения достижения достаточного и приемлемого уровня безопасности. ^[2]

Части ISO 26262

ISO 26262:2018 состоит из двенадцати частей, десяти нормативных частей (части с 1 по 9 и 12) и двух руководящих принципов (части 10 и 11): ^{[ нужна ссылка ]}

1. Словарный запас
2. Управление функциональной безопасностью
3. Этап концепции
4. Разработка продукта на системном уровне
5. Разработка продукта на аппаратном уровне
6. Разработка продукта на уровне программного обеспечения
7. Производство, эксплуатация, сервис и вывод из эксплуатации
8. Сопровождающие процессы
9. Анализ, ориентированный на уровень полноты автомобильной безопасности (ASIL), и анализ, ориентированный на безопасность
10. Рекомендации по ISO 26262
11. Руководство по применению ISO 26262 к полупроводникам
12. Адаптация ISO 26262 для мотоциклов.

Для сравнения, ISO 26262:2011 состоял всего из 10 частей с немного другими названиями:

• Часть 7 называлась просто Производство и эксплуатация.
• Часть 10 получила название Guideline... вместо Guidelines...
• Частей 11 и 12 не существовало.

Часть 1: Словарь

ISO 26262 определяет словарь (Глоссарий проекта) терминов, определений и сокращений для применения во всех частях стандарта. ^[1] Особое значение имеет тщательное определение отказов , ошибок и отказов , поскольку эти термины являются ключевыми для стандартных определений процессов функциональной безопасности, ^[3] особенно с учетом того, что « неисправность может проявляться как ошибка … . и ошибка может в конечном итоге привести к сбою ». ^[1] Возникшая в результате неисправность , имеющая опасные последствия, представляет собой потерю функциональной безопасности .

Элемент

В рамках настоящего стандарта элемент является ключевым термином. Позиция используется для обозначения конкретной системы (или комбинации систем), к которой применяется жизненный цикл безопасности ISO 26262, которая реализует функцию (или часть функции) на уровне транспортного средства. То есть объект является наиболее идентифицируемым объектом в процессе и, таким образом, является отправной точкой для разработки безопасности конкретного продукта в соответствии с этим стандартом.

Элемент

Либо система, либо компонент (состоящий из аппаратных частей и/или программных модулей), либо отдельная аппаратная часть, либо один программный модуль — по сути, все в системе, что можно четко идентифицировать и манипулировать.

Вина

Аномальное состояние, которое может привести к выходу из строя элемента или предмета .

Ошибка

Несоответствие между вычисленным, наблюдаемым или измеренным значением или состоянием и истинным, заданным или теоретически правильным значением или условием.

Отказ

Прекращение запланированного поведения элемента или изделия из -за проявления неисправности .

Отказоустойчивость

Способность предоставлять заданную функциональность при наличии одной или нескольких указанных неисправностей .

Неправильное поведение

Отказ или непреднамеренное поведение объекта по отношению к его проектному замыслу.

Опасность

Потенциальный источник вреда (физическая травма или ущерб здоровью), вызванный неправильным поведением изделия .

Функциональная безопасность

Отсутствие необоснованного риска, связанного с опасностями , вызванными неисправным поведением электрических/электронных систем.

Примечание. В отличие от других стандартов функциональной безопасности и обновленного стандарта ISO 26262:2018, отказоустойчивость не была четко определена в ISO 26262:2011, поскольку считалось невозможным охватить все возможные неисправности в системе. ^[4]

Примечание. В стандарте ISO 26262 не используется термин IEC 61508, доля безопасных отказов (SFF). Вместо этого используются термины «метрика одиночных ошибок» и «метрика скрытых ошибок» . ^[5]

Часть 2: Управление функциональной безопасностью

ISO 26262 представляет собой стандарт управления функциональной безопасностью автомобильных приложений, определяющий стандарты общего управления безопасностью организации, а также стандарты жизненного цикла безопасности при разработке и производстве отдельных автомобильных продуктов. ^{[6] [7] [8] [9]} Жизненный цикл безопасности ISO 26262, описанный в следующем разделе, основан на следующих концепциях управления безопасностью: ^[1]

Опасное событие

Опасное событие – это соответствующая комбинация опасности на уровне транспортного средства и эксплуатационной ситуации транспортного средства, которая может привести к дорожно-транспортному происшествию, если не будет контролироваться своевременными действиями водителя.

Цель безопасности

Цель безопасности — это требование безопасности высшего уровня, которое назначается системе с целью снижения риска одного или нескольких опасных событий до допустимого уровня.

Уровень целостности автомобильной безопасности

Уровень полноты автомобильной безопасности (ASIL) представляет собой классификацию целей безопасности , основанную на конкретных автомобильных рисках, а также меры проверки и подтверждения, требуемые стандартом для обеспечения достижения этой цели.

Требование безопасности

Требования безопасности включают в себя все цели безопасности и все уровни требований, разложенные от целей безопасности до самого низкого уровня функциональных и технических требований безопасности, относящихся к аппаратным и программным компонентам.

Части 3–7: Жизненный цикл безопасности

Процессы в рамках жизненного цикла безопасности ISO 26262 выявляют и оценивают опасности (риски безопасности), устанавливают конкретные требования безопасности для снижения этих рисков до приемлемых уровней, а также управляют и отслеживают эти требования безопасности, чтобы обеспечить разумную уверенность в том, что они выполняются в поставляемом продукте. Эти процессы, связанные с безопасностью, можно рассматривать как интегрированные или выполняемые параллельно с жизненным циклом управляемых требований традиционной системы менеджмента качества : ^{[10] [11]}

1. Идентифицируется элемент (конкретный продукт автомобильной системы) и определяются функциональные требования к его системе верхнего уровня .
2. Для данного объекта определен полный набор опасных событий .
3. Каждому опасному событию присваивается УПБА .
4. Цель безопасности определяется для каждого опасного события , наследуя УПБА опасности.
5. Концепция функциональной безопасности на уровне транспортного средства определяет архитектуру системы для достижения целей безопасности .
6. Цели безопасности уточняются до требований безопасности более низкого уровня .
   (В общем, каждое требование безопасности наследует уровень ASIL своего родительского требования/цели безопасности. Однако, с учетом ограничений, унаследованный уровень ASIL может быть снижен путем разложения требования на избыточные требования, реализуемые достаточно независимыми избыточными компонентами.)
7. «Требования безопасности» распределяются по архитектурным компонентам (подсистемам, компонентам аппаратного обеспечения, компонентам программного обеспечения)
   (как правило, каждый компонент должен разрабатываться в соответствии со стандартами и процессами, предлагаемыми/требуемыми для самого высокого значения УПБА из требований безопасности, назначенных для него.)
8. Затем архитектурные компоненты разрабатываются и проверяются в соответствии с установленными требованиями безопасности (и функциональности).

Часть 8: Поддержка процессов

ISO 26262 определяет цели для целостных процессов, которые поддерживают процессы жизненного цикла безопасности, но постоянно активны на всех этапах, а также определяет дополнительные соображения, которые способствуют достижению общих целей процесса.

• Контролируемые корпоративные интерфейсы для передачи целей, требований и средств контроля всем поставщикам в распределенных разработках.
• Четкая спецификация требований безопасности и управление ими на протяжении всего жизненного цикла безопасности.
• Контроль конфигурации рабочих продуктов с формальной уникальной идентификацией и воспроизводимостью конфигураций, что обеспечивает прослеживаемость между зависимыми рабочими продуктами и идентификацию всех изменений в конфигурации.
• Формальное управление изменениями , включая управление влиянием изменений на требования безопасности, в целях обеспечения устранения обнаруженных дефектов, а также для изменения продукции без внесения опасностей.
• Планирование, контроль и отчетность о проверке рабочих продуктов, включая проверку, анализ и тестирование, с регрессионным анализом обнаруженных дефектов к их источнику.
• Плановая идентификация и управление всей документацией (рабочими продуктами), созданной на всех этапах жизненного цикла безопасности, для облегчения непрерывного управления функциональной безопасностью и оценкой безопасности.
• Уверенность в программных инструментах (квалификация программных инструментов для предполагаемого и фактического использования)
• Квалификация ранее разработанных программных и аппаратных компонентов для интеграции в разрабатываемый в настоящее время элемент УПБА.
• Использование свидетельств истории эксплуатации для подтверждения того, что элемент оказался достаточно безопасным в использовании для предполагаемого значения УПБА.

Часть 9. Анализ, ориентированный на уровень полноты автомобильной безопасности (ASIL), и анализ, ориентированный на безопасность.

Уровень полноты автомобильной безопасности относится к абстрактной классификации рисков безопасности, присущих автомобильной системе или элементам такой системы. Классификации ASIL используются в ISO 26262 для выражения уровня снижения риска, необходимого для предотвращения конкретной опасности, при этом ASIL D представляет самый высокий уровень опасности, а ASIL A — самый низкий. УПБА, оцененный для данной опасности, затем присваивается цели безопасности, установленной для устранения этой опасности, а затем наследуется требованиями безопасности, вытекающими из этой цели. ^[12]

Обзор оценки ASIL

Определение УПБА является результатом анализа опасностей и оценки рисков . ^[13] В контексте ISO 26262 опасность оценивается на основе относительного воздействия опасных эффектов, связанных с системой, с поправкой на относительную вероятность опасности, проявляющей эти эффекты. То есть каждое опасное событие оценивается с точки зрения серьезности возможных травм в контексте относительного времени, в течение которого транспортное средство подвергается возможности возникновения опасности, а также относительной вероятности того, что типичный водитель сможет принять меры для предотвращения опасности. рана. ^[14]

Процесс оценки ASIL

В начале жизненного цикла безопасности выполняется анализ опасностей и оценка рисков, в результате чего оценивается УПБА для всех выявленных опасных событий и целей безопасности.

Каждое опасное событие классифицируется в зависимости от тяжести (S) травм , которые оно может вызвать:

Классификации серьезности (S):

S0 Травм нет

S1 Травмы легкой и средней степени тяжести

S2 Тяжелые и опасные для жизни (вероятность выживания) травмы

S3 Опасные для жизни (выживание сомнительно) до смертельных травм

Управление рисками признает, что рассмотрение серьезности возможной травмы зависит от того, насколько вероятно, что травма произойдет; то есть для данной опасности опасное событие считается более низким риском, если его возникновение менее вероятно. В рамках процесса анализа опасностей и оценки риска, предусмотренного настоящим стандартом, вероятность причинения вреда дополнительно классифицируется в соответствии с комбинацией признаков:

воздействие (E) (относительная ожидаемая частота условий эксплуатации, при которых может произойти травма) и

контроль (C) (относительная вероятность того, что водитель сможет принять меры для предотвращения травмы).

Классификация воздействия (E):

E0 невероятно маловероятно

E1 Очень низкая вероятность (травмы могут произойти только в редких условиях эксплуатации)

E2 Низкая вероятность

E3 Средняя вероятность

E4 Высокая вероятность (травма может произойти в большинстве условий эксплуатации)

Классификации управляемости (С):

C0 В целом управляемый

C1 Просто управляемый

C2 Обычно поддается контролю (большинство водителей могут принять меры для предотвращения травм)

C3 Трудно контролировать или неконтролируемый

В рамках этих классификаций опасное событие уровня D полноты автомобильной безопасности (сокращенно УПБА D ) определяется как событие, имеющее разумную возможность причинить опасную для жизни (выживание неясно) или смертельную травму, при этом травма физически возможна в большинстве эксплуатационных систем. условиях, и с небольшой вероятностью водитель сможет что-то сделать, чтобы предотвратить травму. То есть УПБА D представляет собой комбинацию классификаций S3, E4 и C3. Для каждого отдельного снижения по любой из этих классификаций от максимального значения (исключая снижение C1 до C0) происходит одноуровневое снижение УПБА от D. ^[15] [Например, гипотетическая неконтролируемая (C3) опасность со смертельным исходом (S3) может быть классифицирована как УПБА А , если опасность имеет очень низкую вероятность (Е1).] Уровень УПБА ниже А является самым низким уровнем, QM . QM относится к стандарту, который ниже ASIL A ; здесь нет никакого отношения к безопасности, и требуются только стандартные процессы управления качеством. ^[13]

Эти определения серьезности, воздействия и контроля носят информативный, а не предписывающий характер и фактически оставляют некоторое пространство для субъективных различий или усмотрения между различными автопроизводителями и поставщиками компонентов. ^{[14] [16]} В ответ Общество инженеров по автомобильной безопасности (SAE) выпустило документ J2980 «Соображения по классификации опасностей ISO26262 ASIL» , чтобы предоставить более четкие рекомендации по оценке воздействия, серьезности и управляемости для данной опасности. ^[17]

Смотрите также

• Уровень полноты автомобильной безопасности , сравнение с другими системами уровня безопасности.
• ARP4754 (Руководство по разработке гражданских самолетов и систем)
• DO-178C (Аэрокосмическая промышленность)
• IEC 61508 (промышленный/общий, ISO 26262 представляет собой адаптацию ^[18] с небольшими отличиями ^[19] )
• ISO 60730 ^[20] (Бытовое хозяйство)

Рекомендации

1. ISO 26262-1:2018(ru) Транспорт дорожный. Функциональная безопасность. Часть 1. Словарь. Международная организация по стандартизации.
2. «Соответствие программного обеспечения ISO 26262: достижение функциональной безопасности в автомобильной промышленности» от Parasoft
3. ISO 26262-1:2018(ru) Транспорт дорожный. Функциональная безопасность. Часть 10. Руководящие указания по ISO 26262. Международная организация по стандартизации.
4. Греб, Карл; Сили, Энтони (2009). Проектирование микроконтроллеров для критически важных операций с точки зрения безопасности (ключевые отличия ISO 26262 от IEC 61508) (PDF) . АРМтехкон. Архивировано из оригинала (PDF) 6 сентября 2015 г.
5. Боерсок, Дж.; Шварц, М.; Углеса, Э.; Голуб, П.; Хайек, А. (2011). Концепция контроллера высокой готовности для систем рулевого управления: разлагаемый контроллер безопасности (PDF) . Последние исследования в области схем, систем, коммуникаций и компьютеров. ВСЕАС. стр. 222–228 . Проверено 17 апреля 2016 г.
6. ISO 26262-2:2011, «Менеджмент функциональной безопасности» (Аннотация)
7. Греб, Карл (2012). Функциональная безопасность и ISO 26262 (PDF) . Конференция и выставка прикладной силовой электроники, отраслевые сессии. АТЭС. п. 9.^{[ мертвая ссылка ]}
8. Бланкар, Жан-Поль; Астрюк, Жан-Марк; Бофретон, Филипп; Буланже, Жан-Луи; Дельсени, Эрве; Гассино, Жан; Ладье, Жерар; Ледино, Эммануэль; Лиман, Мишель; Махрух, Джозеф; Кере, Филипп; Рик, Бертран (2012). Категории критичности по стандартам безопасности в разных областях (PDF) . Конгресс ERTS2. Встроенное программное обеспечение и системы реального времени. стр. 3–4. Архивировано из оригинала (PDF) 17 апреля 2016 г.
9. ISO 26262-10:2012(E), «Руководство по ISO 26262», стр. 2-3.
10. Мин Ку Ли; Сон Хун Хон; Донг-Чун Ким; Хёк Му Квон (2012). «Включение процесса разработки ISO 26262 в DFSS» (PDF) . Материалы Азиатско-Тихоокеанской конференции по промышленной инженерии и системам управления : 1128 (рис. 2). Архивировано из оригинала (PDF) 15 сентября 2013 г. Проверено 1 августа 2013 г.
11. Юрген Белц (28 июля 2011 г.). Жизненный цикл безопасности ISO 26262. Архивировано из оригинала 23 февраля 2014 г.
12. Глоссарий, V2.5.0 (PDF) . АВТОСАР. п. 19. Архивировано из оригинала (PDF) 22 февраля 2014 г. Проверено 16 февраля 2014 г.
13. ISO 26262-3:2011(en) Транспорт дорожный. Функциональная безопасность. Часть 3. Фаза концепции. Международная организация по стандартизации.
14. Хоббс, Крис; Ли, Патрик (9 июля 2013 г.). Понимание ASIL ISO 26262. Встроенные технологии. Группа Пентон Электроникс. {{cite book}}: |magazine=игнорируется ( помощь )
15. Мартинес Л.Х., Хуршид С., Редди С.М. Генерация LFSR для высокого охвата тестов и низких затрат на оборудование. IET Компьютеры и цифровая техника. 21 августа 2019 г. Репозиторий UoL
16. Ван Эйкема Хоммес, доктор Ци (2012). Оценка стандарта ISO 26262 «Дорожные транспортные средства – функциональная безопасность» (PDF) . Встреча правительства и промышленности SAE 2012. Центр национальной транспортной системы Джона А. Вольпе: SAE. п. 9.
17. J2980 - Соображения по классификации опасностей ASIL по ISO 26262. САЭ Интернешнл. Архивировано из оригинала 26 октября 2018 г.
18. «Связь между ISO 26262 и IEC 61508». ez.analog.com . Проверено 11 апреля 2021 г.
19. «Автомобильная и промышленная функциональная безопасность». ez.analog.com . Проверено 11 апреля 2021 г.
20. «IEC 60730-1: 2013 + AMD1: 2015 + AMD2: 2020 CSV | Интернет-магазин IEC» . webstore.iec.ch . Проверено 11 апреля 2021 г.

Внешние ссылки

• ISO 26262-1:2011(ru) (Транспорт дорожный. Функциональная безопасность. Часть 1. Словарь) на платформе онлайн-просмотра ISO (OBP)
• ISO 26262-1:2018(ru) (Транспорт дорожный. Функциональная безопасность. Часть 1: Словарь) на платформе онлайн-просмотра ISO (OBP)