ISO 26262
Author
Albert FloresISO 26262 je standard funkční bezpečnosti definující pravidla pro bezpečnost elektrických a elektronických systémů ve vozidlech. Je adaptací standardu ISO 61508 pro podmínky vozidel. ISO standard je dílem Mezinárodní organizace pro normalizaci.
O standardu
S tím, jak elektronika přebírá stále větší podíl na chování vozu, roste i její vliv na bezpečnost vozu a dopravy obecně. Standard funkční bezpečnosti tak reaguje na potřebu zajistit spolehlivost elektronických systémů napříč vozem i napříč celým výrobním řetězcem. +more Standard současně přebírá praxi ostatních standardů kvality a bezpečnosti, které staví do popředí kvalitu vývoje a návrhu výrobku, bezpečnostní analýzy hrozeb a následnou kontinuální kvalitu ve výrobě.
Historie standardu
Standard vzešel ze standardu ISO 61508, který se zabývá funkční bezpečností pro stroje a zařízení. Tento standard byl ideovým základem, ale ISO 26262 má od samého počátku komplexnější strukturu, takže rozhodně není možné považovat ISO 61508 za alternativu. +more ISO 26262 převzalo i koncept dalších standardů, např. Automotive SPICE. Významných podkladem pro standard byly již existující závazné standardy automobilových výrobců, kteří byli do přípravy standardu aktivně zapojeni.
První edice standardu byla vydána v roce 2011, která byla určena pro vývoj elektroniky pro osobní automobily. Omezení na tento segment umožňovalo zohlednit dva klíčové aspekty tohoto segmentu: masovou produkci a většinou nepříliš zkušenou obsluhu finálního výrobku (řidiče), která nemá řízení jako svou profesi.
v roce 2018 byla vydána 2 verze. Zásadní změnou z hlediska aplikace normy bylo rozšíření její platnosti na autobusy, nákladní auta a motocykly. +more Změna nemá významný vliv na obsah normy, ale sjednotila pravidla pro vývoj elektroniky napříč celým automobilovým segmentem. Vnitřně norma "uzrála", protože odstranila řadu nejasností, které nastaly poté, co používání normy vstoupilo praxe firem. Přibyla řada doporučení a upřesnění, mj. i celá nová část 11. Cílem upřesnění bylo omezit různost výkladů normy různými týmy, což vedlo i k zásadním neshodám v hodnocení potřebné úrovně bezpečnosti některých součástek.
Hlavní koncepty standardu
===== Úrovně ASIL ===== Základním konceptem standardu je klasifikace potřebné úrovně bezpečnosti každé elektronické jednotky z hlediska jejího vlivu na bezpečnost provozu vozu. Klasifikace vytváří úrovně ASIL (Automotive Safety Integrity Level) - Stupně automobilové bezpečnosti. +more Každá elektronická jednotka ve voze je hodnocena vzhledem k jejímu vlivu na bezpečnost a pokud je vliv vyhodnocen jako nezanedbatelný, je jí přiřazena úroveň ASIL A - ASIL D. Standard pro každou z úrovní stanovuje jiná pravidla pro vývoj a výrobu.
Koncept bezpečnosti
Pro každou elektronickou součástku vyvíjenou dle standardu musí být definován koncept bezpečnosti - způsoby, jak zajistit, aby byla bezpečná a to i v případě, že se sama porouchá, nebo se porouchá něco jiného, kvůli čemu sama nemůže fungovat. Koncept bezpečnosti definuje způsoby, jak bezpečnost zajistit a typicky zahrnuje různá opatření, např. +more redundanci funkcionality, omezení funkcí vozidla a většinou i varování řidiče. Protože tyto bezpečnostní opatření většinou vyžadují součinnost jiných elektronických prvků (např. varování řidiče vyžaduje funkci panelu na řídící desce), vyžaduje zajištění celkové bezpečnosti spolehlivost všech prvků a globální koncept bezpečnosti pro celý vůz. Koncept bezpečnosti pak např. vyžaduje, aby některá elektronická jednotka byla použita výhradně s jinou jednotkou, která je nezbytná pro zajištění celkové funkční bezpečnosti (např. automatická převodovka může vyžadovat elektronickou parkovací brzdu, jejíž funkce slouží jako bezpečnostní funkce pro automatickou převodovku a jsou aktivovány ve chvíli, kdy řidič opouští vozidlo a nepřepnul automatickou převodovku do parkovacího režimu).
Vazby na jiné standardy
ISO 26262 nenahrazuje, ale doplňuje jiné standardy bezpečnosti. V prvé řadě předpokládá, že organizace má vybudován systém řízení jakosti, nejčastěji podle standardu ISO 9000 nebo QS 9000. +more ISO 26262 je nad těmito standardy nadstavbou. Pro oblast vývoje software předpokládá standard Automotive SPICE. Další standardy jsou doporučovány např. pro výpočet spolehlivosti elektronických komponent.
ISO 26262 se nezabývá spolehlivostí automatického řízení, tuto problematiku řeší standard ISO 25197, který se zabývá otázkou funkční spolehlivosti řízení a navazuje tak na ISO 26262, ze které pro tuto oblast zůstává relevantní oblast konceptu bezpečnosti vývoje.
Dostupnost standardu v Česku
Standard není veřejně dostupný, je možné jej zakoupit. Neexistuje jeho oficiální překlad do češtiny a není součástí standardů dostupných formou elektronického předplatného ČSN.
Části standardu
Vzhledem k rozsáhlosti problematiky vývoje elektroniky je standard ISO 26262 technicky členěn na 11 dílčích standardů, které dohromady tvoří celek. Všechny dílčí standardy jsou vzájemně provázány a i z hlediska plnění je ISO 26262 bráno jako jeden standard.
Část 1 - Slovník
Slovník definuje rozsáhlý pojmoslovný aparát termínů, které standard používá (téměř 200 pojmů). Kromě výš uvedeného konceptu bezpečnosti jsou klíčové pojmy
Jednotka (Item)
Jednotkou se pro potřeby standardu rozumí samostatná funkční jednotka, která obsahuje vlastní rozhodovací logiku, kterou řídí své chování. Jednotkou je např. +more modul stěračů spolu s čidlem na základě kterého řídí rychlost pohybu stěračů. Jednotkou naopak není elektronický ventil, který ovládá průtok paliva. Ventil je součástí jednotky, která bude zahrnovat i řídící jednotku zasílající pokyny do ventilu. Z logiky definice vyplývá, že jednotku se lze v dnešní době jen obtížně představit bez toho, aby obsahovala i kus software.
Odolnost proti selhání (Fault Tolerance)
Schopnost zařízení fungovat i v případě, když selže část systému nebo něco v jeho okolí. Příkladem zajištění funkční bezpečnosti je schopnost nahradit přesné hodnoty z kontrolního čidla přibližnými hodnotami z jiných informací a dopočítání hodnot, přechod do režimu omezené funkcionality apod.
Bezpečnostní režim (Safety mode)
Režim, ve kterém jsou poskytovány nezbytné funkce pro zajištění bezpečného chování vozu. Bezpečnostní režim jednotky aktivují, pokud není možný plnohodnotný nebo omezený režim a poskytují nezbytné funkce. +more Příkladem je nastavení potkávacích světel do nejnižší možné polohy, když je detekována porucha automatického nastavení světla.
Slovník je díky své vnitřní logické struktuře dokumentu z velké části dostupný online
Část 2 - Řízení funkční bezpečnosti
Druhá část normy definuje pravidla a postupy pro řízení funkční bezpečnosti v celé organizaci, Nezabývá se vývojem nebo výrobou samotného výrobku, ale budováním kultury bezpečnosti v organizaci. Je nadstavbou nad systémem řízení jakosti pro organizace, které vyvíjejí nebo vyrábějí jakékoli výrobky s vlivem na bezpečnost.
Oddíl buduje koncept péče o bezpečnost výrobků na procesní úrovni organizace a vytváří tak procesní rámec, který spojuje požadavky všech dalších částí a je nezbytný např. pro přenos všech bezpečnostních požadavků z vývoje do výroby (každou z těchto částí se celého životního cyklu výrobku se pak věnuje samostatná část).
Část 3 - Koncepce funkční bezpečnosti
Třetí část normy definuje postupy vytvoření konceptu bezpečnosti nového prvku. Základní částí je posouzení hrozeb, které může vyvíjený prvek způsobit a jejich analýza.
Třetí část je nejkratší součástí standardu, ale rozhodně nikoli podružnou. Je základem pro rozhodování o tom, jaké procesy dalšího vývoje je třeba zvolit s ohledem na nutnou úroveň bezpečnosti. +more V případě podcenění této části vývoje hrozí, že se bude nutné v průběhu vývoje vrátit zpět na začátek, protože nevhodný koncept bezpečnosti může znemožnit použití jinak funkčního výrobku ve voze pro jeho nedostatečnou bezpečnost.
Části 4 - 6 - Vývoj prvku
Tři části normy 4., 5. a 6. stanovují postupy, jak vyvíjet v souladu s konceptem bezpečnosti jednotlivé části prvku:
* Část 4 se věnuje vývoji na systémové úrovni - Stanovuje postupy pro systémovou analýzu a následnou integraci a ověřování celého systému * Část 5 definuje postupy pro design, vývoj a ověřování hardware. * Část 6 definuje postupy pro vývoj, testování a integraci software
Všechny tří částí mají podobnou vnitřní strukturu, ale svými požadavky směřují na jiné činnosti. Všechny také předpokládají vodopádový životní cyklus. +more I když není agilní vývoj apriori nedovolený, logikou standardu je nepodporovaný, protože všechny 3 standardy předpokládají, že jednotlivé kroky procesu na sebe navazují.
Část 7 - Výroba, provoz a stažení výrobku
Standard ISO 26262 sleduje celý životní cyklus výrobku. Bezpečnost nevyplývá jenom ze spolehlivé výroby, ale také správné montáže, dodržení provozních podmínek i servisních požadavků. +more Výrobek nesmí vytvářet nebezpeční ani po skončení své životnosti a i na tuto část životního cyklu je třeba pamatovat nejenom normou, ale i ve vývoji.
Plánování do výroby zahrnuje potřebu přenést všechny požadavky na kvalitu výroby, výstupní kontroly, skladování výrobků a jejich značení.
Část 8 - Podpůrné procesy
Část má blízko k obecným standardům kvality tím, že definuje procesy, které jsou zahrnuty např. i v ISO 9000. +more ISO 26262 ale požaduje více detailů a přidává i procesy zcela nové. Dále jsou uvedeny příklady nových procesů.
Kvalifikace softwarových komponent
Kvalifikace je způsob prověření, že všechny technologie, které jsou při vývoji software požity, jsou skutečně dostatečně spolehlivé, aby jim bylo možné vývoj bezpečného software svěřit. Komponentami jsou v prvé řadě kompilátory, použité knihovny, ale obecně jakýkoli software, který je pro vývoj a výrobu použit.
Prokázání spolehlivosti použitím
Důležitým procesem je možnost prokázat spolehlivost výrobku tím, že už je dlouho používán a jeho spolehlivost je díky tomu prověřena už předtím, než vznikla tato norma. Proces měl zásadní význam v prvních letech používání normy, protože de facto schvaloval kvalitu starších výrobků, i když nebyly vyvinuty v souladu s tímto standardem. +more Vytvořil tak přechodné období dané tím, že je možné pro vývoj nových výrobků použít i prověřené starší technologie.
Část 9 - Analýza bezpečnosti podle ASIL
Část se zabývá postupy a pravidly analýzy, která má pomoci odhalit všechny možné scénáře, při kterých by došlo k selhání bezpečnosti, ať už z důvodu závady některé součástky (random failure), posupného selhání více součástek (latent fault) nebo obecně chybného konceptu bezpečnosti a tím vzniku nebezpečí i bez selhání.
Místem možného vzniku neošetřených a nedomyšlených situací jsou procesy, kde jednotky vyvinuté podle ISO 26262 sice fungují správně, ale spolupracují částmi, které podle ISO 26262 vyvinuté nebyly (typicky z historických důvodů) a jejich chování je proto (normou vnímáno) méně předvídatelné. Této oblasti se věnuje jedna z kapitol části.
Důležitou součástí jsou i přílohy, které jsou sice informativní, ale velmi důležité, protože ukazují, jak standard v praxi naplnit.
Část 10 - praktické návody
Nejobsáhlejší díl normy obsahuje řadu příkladů a návodů, jak normu implementovat. Není ucelenou metodikou ani souhrnem důležitých bodů, ale v jednotlivých kapitolách se věnuje obtížným a klíčovým oblastem normy a přidává dodatečné informativní návody a příklady. +more Důležitými body, kterým se věnuje, jsou:.
* Příklady analýzy rizik nebezpečný situací * Příklady konceptu bezpečnosti * Příklady klasifikace jednotky podle ASIL
Část 11 - doporučení aplikace normy na elektronické součástky
Jedna z oblasti, kterou první verze normy řešila pouze odkazem na použití jiných standardů, byla otázka spolehlivosti hardwarových součástek a z nich vytvořené elektroniky. Pro oblast výpočtu spolehlivosti existuje řada starších standardů, jejich obecným problémem ale je poměrně rychlé zastarávání s ohledem na rozvoj elektroniky a její složitosti (např. +more výpočet spolehlivosti podle počtu součástek a jejich spolehlivosti z přelomu tisíciletí není aplikovatelný na současné elektronické obvody). Nedostatkem starších standardů je absence pohledu na nové technologie, např. čidel. Norma ISO 26262 z r 2018 proto přišla s informativní, ale důležitou částí 11, která dává doporučení, jak spolehlivost počítat zejména pro nové elektronické prvky:.
* Složité moderní elektronické součástky jak např. vícejaderné procesory * Zařízení kombinující analogovou a digitální část, typicky senzory * Jak aplikovat analýzu na důležité procesy, které mohou vést k nebezpečné situaci, typicky kaskádovité selhání propojených zařízení
Aplikace normy v praxi
Norma svým rozsahem zásadně ovlivňuje nejenom všechny interní procesy výroby a vývoje ve firmách, ale i dodavatelsko-odběratelské vztahy v celém automobilovém průmyslu. Definuje požadavky související i s kontrolou všech dodavatelů a kvality jejich produkce, což se následně promítá do nových povinností i oddělení, které nemají přímý vliv na vyráběné součástky, jako např. +more nákupní oddělení. zavedení normy tak v praxi vyžaduje zásah v podstatě do všech procesů a dokumentů systému řízení kvality.
Z důvodu systémových dopadů normy na procesy firmy je důležité, aby se s normou seznámil širší okruh lidí. Zavedení normy by proto mělo provázet školení nejenom manažera kvality, jak je obvyklé u jiných standardů, ale co nejširší skupiny osob.
Z hlediska interní praxe jsou zásadními požadavky normy:
* Osobní odpovědnost zejména klíčových pracovníků (manažera bezpečnosti) * Pečlivá dokumentace * Ověřování všech výstupů * Sledovatelnost zpracování požadavků (traceability)
Tyto požadavky jsou zahrnuty i v jiných normách, ale zdaleka ne tak důrazně a v celém procesu od prvních kroků - konceptu bezpečnosti až do samého konce - analýzu závad výrobků v provozu. V praxi je nemožné požadavky normy pokrýt bez její systémové podpory, protože jinak by zajištění sledovatelnosti všech kroků neúměrně zatížilo všechny pracovníky. +more Proto se pro řízení vývoje a výroby v souladu s normou používají nástroje systémové podpory normy, např. AyMINE .