ISO 26262

ISO 26262 под названием «Дорожные транспортные средства - Функциональная безопасность» является международным стандартом для функциональной безопасности электрических и / или электронных систем в серийных дорожных транспортных средствах, определенных Международной организацией по стандартизации (ISO) в 2011 г. и пересмотренными в 2018 г.

• 1 Обзор части 1
• 2 части ISO 26262
  • 2.1 Часть 1: Словарь
  • 2.2 Часть 2: Управление функциональной безопасностью
  • 2.3 Части 3-7: Жизненный цикл безопасности
  • 2.4 Часть 8: Вспомогательные процессы
  • 2.5 Часть 9: Анализ, ориентированный на уровень полноты безопасности автомобилей (ASIL) и безопасность
    • 2.5.1 Обзор оценки ASIL
    • 2.5.2 Процесс оценки ASIL
• 3 См. Также
• 4 Ссылки
• 5 Внешние ссылки

Функции функциональной безопасности являются неотъемлемой частью каждого этапа разработки автомобильной продукции, начиная от спецификации и заканчивая проектированием, внедрением, интеграцией, v эрификация, валидация и выпуск продукции. Стандарт ISO 26262 - это адаптация стандарта функциональной безопасности IEC 61508 для автомобильных электрических / электронных систем. ISO 26262 определяет функциональную безопасность автомобильного оборудования, применимую на протяжении всего жизненного цикла всех автомобильных электронных и электрических систем, связанных с безопасностью.

Первое издание (ISO 26262: 2011), опубликованное 11 ноября 2011 года, ограничивалось электрическими и / или электронными системами, установленными в «серийных легковых легковых автомобилях » с максимальной полной массой. 3500 кг. Второе издание (ISO 26262: 2018), опубликованное в декабре 2018 года, расширило сферу применения с легковых автомобилей на все дорожные транспортные средства, кроме мопедов.

. Стандарт направлен на устранение возможных опасностей, вызванных неисправностью. поведение электронных и электрических систем в транспортных средствах. Хотя этот стандарт называется «Дорожные транспортные средства - Функциональная безопасность», он касается функциональной безопасности электрических и электронных систем, а также систем в целом или их механических подсистем.

Как и его родительский стандарт, IEC 61508, ISO 26262 является стандартом безопасности, основанным на оценке рисков, в котором качественно оценивается риск опасных производственных ситуаций и определяются меры безопасности для предотвращения или контроля систематических отказов и для обнаружения или контроля случайных отказов оборудования или смягчения их последствий.

Цели ISO 26262:

• Обеспечивает жизненный цикл автомобильной безопасности (управление, разработка, производство, эксплуатация, обслуживание, вывод из эксплуатации ) и поддерживает адаптацию необходимых действий на этих этапах жизненного цикла. 104>
• Охватывает аспекты функциональной безопасности всего процесса разработки (включая такие виды деятельности, как спецификация требований, проектирование, реализация, интеграция, верификация, валидация и конфигурация).
• Предоставляет ориентированный на риски для автомобилей подход к определению классов риска (Уровни полноты безопасности автомобилей, УПБА).
• Использует УПБА для определения необходимых требований безопасности к объекту для достижения приемлемого остаточного риска.
• Обеспечивает требования для меры по валидации и подтверждению для обеспечения достаточного и приемлемого уровня безопасности.

ISO 26262: 2018 состоит из двенадцати частей, десяти нормативных частей (части с 1 по 9 и 12) и два руководства (части 10 и 1 1):

1. Словарь
2. Управление функциональной безопасностью
3. Фаза концепции
4. Разработка продукта на системном уровне
5. Разработка продукта на уровне оборудования
6. Разработка продукта на уровне программного обеспечения
7. Производство, эксплуатация, обслуживание и вывод из эксплуатации
8. Вспомогательные процессы
9. Ориентация на уровень полноты безопасности автомобилей (ASIL) и безопасность- ориентированный анализ
10. Руководство по ISO 26262
11. Руководство по применению ISO 26262 к полупроводникам
12. Адаптация ISO 26262 для мотоциклов

Для сравнения, ISO 26262: 2011 состоял из всего 10 частей, с немного другими названиями:

• Часть 7 была названа просто Производство, а операция
• Часть 10 была названа Руководством... вместо Руководства...
• Части 11 и 12 не существует.

Часть 1: Словарь

ISO 26262 определяет словарь (а) терминов, определений и сокращений для применения во всех частях стандарта. Особое значение имеет тщательное определение сбоя, ошибки и сбоя, поскольку эти термины являются ключевыми для стандартных определений процессов функциональной безопасности, особенно с учетом того, что «сбой может проявляться как ошибка... и ошибка может в конечном итоге вызвать отказ ». Возникающая в результате неисправность, которая имеет опасные последствия, представляет собой потерю функциональной безопасности.

Элемент

В этом стандарте элемент является ключевым термином. Элемент используется для обозначения конкретной системы (или комбинации систем), к которой применяется ISO 26262 Жизненный цикл безопасности, которая реализует функцию (или часть функции) на уровне транспортного средства. То есть элемент является наивысшим идентифицированным объектом в процессе и, таким образом, является отправной точкой для разработки безопасности конкретного продукта в соответствии с этим стандартом.

Элемент

Либо система, либо компонент (состоящий из частей оборудования и / или программных единиц), отдельной аппаратной части или единственной программной единицы - по сути, всего в системе, что можно четко идентифицировать и управлять.

Ошибка

Ненормальное состояние, которое может привести к отказу элемента или элемента.

Ошибка

Несоответствие между вычисленным, наблюдаемым или измеренным значением или условием и истинным, заданным или теоретически правильным значением или условием.

Отказ

Прекращение предполагаемого поведения элемента или объекта из-за проявления сбоя.

Отказоустойчивость

Способность предоставлять указанную функциональность при наличии одной или нескольких указанных ошибок.

Неисправное поведение

Отказ или непреднамеренное поведение элемента в соответствии с его конструктивным замыслом.

Опасность

Потенциальный источник вреда (физическая травма или повреждение здоровья), вызванный неправильным поведением элемента.

Функциональная безопасность

Отсутствие необоснованного риска из-за опасностей, вызванных неправильным поведением электрических / электронных систем.

Примечание: в отличие от других стандартов функциональной безопасности и обновленного стандарта ISO 26262: 2018, отказоустойчивость не была явно определена в ISO 26262: 2011 - поскольку предполагалось, что невозможно понять все возможные отказы в системе.

Примечание: ISO 26262 не использует термин IEC 61508 доля безопасных отказов (SFF). Вместо этого используются термины метрическая система единичных сбоев и метрика скрытых сбоев.

Часть 2: Управление функциональной безопасностью

ISO 26262 обеспечивает стандарт для управления функциональной безопасностью для автомобилей. приложения, определяющие стандарты для общего управления безопасностью организации, а также стандарты для жизненного цикла безопасности для разработки и производства отдельных автомобильных продуктов. Жизненный цикл безопасности ISO 26262, описанный в следующем разделе, основан на следующих концепциях управления безопасностью:

Опасное событие

Опасное событие - это соответствующая комбинация опасности на уровне транспортного средства и эксплуатационной ситуации транспортного средства с возможностью привести к аварии, если не контролировать своевременные действия водителя.

Цель безопасности

Цель безопасности - это требование безопасности верхнего уровня, которое назначается системе с целью снижения риска одного или нескольких опасных событий до приемлемого уровня.

Уровень целостности автомобильной безопасности

Уровень целостности автомобильной безопасности (УПБА) представляет собой классификацию цели безопасности, основанную на рисках для конкретного автомобиля, а также меры проверки и подтверждения, требуемые стандартом для обеспечения достижение этой цели.

Требование безопасности

Требования безопасности включают все цели безопасности и все уровни требований, разложенных от целей безопасности до самого низкого уровня функциональных и технических технические требования безопасности, относящиеся к аппаратным и программным компонентам.

Части 3-7: Жизненный цикл безопасности

Процессы в рамках жизненного цикла безопасности ISO 26262 выявляют и оценивают опасности (риски безопасности), устанавливают особые требования безопасности для снижения эти риски до приемлемого уровня, а также управлять и отслеживать эти требования безопасности, чтобы обеспечить разумную уверенность в том, что они выполнены в поставляемой продукции. Эти относящиеся к безопасности процессы можно рассматривать как интегрированные или работающие параллельно с жизненным циклом управляемых требований традиционной системы менеджмента качества :

1. Идентифицирован элемент (конкретный продукт автомобильной системы) и его система верхнего уровня функционирует. определены требования.
2. Для элемента идентифицируется исчерпывающий набор опасных событий.
3. Каждому опасному событию назначается УПБА. (См. Часть 9 ниже)
4. Цель безопасности определяется для каждого опасного события, наследуя УПБА опасности.
5. Концепция функциональной безопасности на уровне транспортного средства определяет архитектуру системы для обеспечения целей безопасности.
6. Цели безопасности преобразуются в требования безопасности более низкого уровня.. (В общем, каждое требование безопасности наследует ASIL своего родительского требования / цели безопасности. Однако с учетом ограничений унаследованный ASIL может быть снижается путем декомпозиции требования на избыточные требования, реализуемые достаточно независимыми избыточными компонентами.)
7. «Требования безопасности» назначаются архитектурным компонентам (подсистемам, аппаратным компонентам, программным компонентам). (В общем, каждый компонент должны разрабатываться в соответствии со стандартами и процессами, предлагаемыми / требуемыми для наивысшего УПБА из установленных требований безопасности.)
8. Затем архитектурные компоненты разрабатываются и проверяются в соответствии с назначенной безопасностью (и функциями

Часть 8: Вспомогательные процессы

ISO 26262 определяет цели для интегральных процессов, поддерживающих процессы жизненного цикла безопасности, но постоянно действующих на всех этапах, а также определяет дополнительные соображения, поддерживающие достижение общих целей процесса.

• Контролируемые корпоративные интерфейсы для передачи целей, требований и средств управления всем поставщикам в распределенных разработках
• Явная спецификация требований безопасности и их управление на протяжении всего жизненного цикла безопасности
• Управление конфигурацией рабочие продукты с формальной уникальной идентификацией и воспроизводимостью конфигураций, что обеспечивает прослеживаемость между зависимыми рабочими продуктами и идентификацию всех изменений в конфигурации
• Формальное управление изменениями, включая управление влиянием изменений на требования безопасности в целях обеспечения устранения обнаруженных дефектов, а также замены продукта без внесения опасностей
• Планирование, контроль и составление отчетов о проверке рабочих продуктов, включая обзор, анализ и испытания, с регрессионным анализом обнаруженных дефектов до их источника
• Плановая идентификация и управление всей документацией (рабочими продуктами), производимой на всех этапах жизненного цикла безопасности для обеспечения непрерывного управления функциональной безопасностью и оценкой безопасности
• Уверенность в программных инструментах (квалификация программных инструментов для предполагаемого и фактического использования)
• Квалификация ранее разработанного программного обеспечения и аппаратные компоненты для интеграции в разрабатываемый в настоящее время элемент УПБА
• Использование свидетельства истории обслуживания для доказательства того, что элемент оказался достаточно безопасным в использовании для предполагаемого УПБА

Часть 9: Уровень полноты безопасности в автомобильной промышленности (УПБА) - ориентированный и ориентированный на безопасность анализ

Уровень полноты безопасности автомобилей - это абстрактная классификация рисков, присущих автомобильной системе или элементам такой системы. Классификации ASIL используются в ISO 26262 для выражения уровня снижения риска, необходимого для предотвращения конкретной опасности, при этом ASIL D представляет наивысший уровень опасности, а ASIL A - самый низкий. Затем значение УПБА, оцененное для данной опасности, назначается цели безопасности, установленной для устранения этой опасности, и затем наследуется требованиями безопасности, вытекающими из этой цели.

Обзор оценки УПБА

Определение УПБА ASIL - это результат анализа опасностей и оценки рисков. В контексте ISO 26262 опасность оценивается на основе относительного воздействия опасных эффектов, связанных с системой, с поправкой на относительную вероятность опасности, проявляющей эти эффекты. То есть каждое опасное событие оценивается с точки зрения тяжести возможных травм в контексте относительного количества времени, в течение которого транспортное средство подвергается возможности возникновения опасности, а также относительной вероятности того, что типичный водитель может предпринять действия для предотвращения

Процесс оценки УПБА

В начале жизненного цикла безопасности выполняется анализ опасностей и оценка рисков, что приводит к оценке УПБА для всех идентифицированных опасных событий и цели безопасности.

Каждое опасное событие классифицируется в соответствии с серьезностью (S) травм, которые оно может вызвать:

Классификация серьезности (S):

S0Нет травм

S1Легкие и средние травмы

S2Травмы от тяжелых до опасных для жизни (вероятная выживаемость)

S3От опасных для жизни (неопределенность выживания) до смертельных травм

Управление рисками признает, что оценка серьезности возможной травмы зависит от вероятности травмы произойдет; то есть для данной опасности опасное событие считается меньшим риском, если вероятность его возникновения меньше. В рамках процесса анализа опасностей и оценки риска согласно настоящему стандарту вероятность травмирующей опасности дополнительно классифицируется в соответствии с комбинацией

воздействия (E) (относительная ожидаемая частота рабочих условий, при которых может произойти травма) и

контроль (C) (относительная вероятность того, что водитель может действовать, чтобы предотвратить травму).

Классификация воздействия (E):

E0Невероятно маловероятно

E1Очень низкая вероятность (может произойти травма только в редких рабочих условиях)

E2Низкая вероятность

E3Средняя вероятность

E4Высокая вероятность (травма может произойти в большинстве рабочих условий)

Классификация управляемости (C):

C0Управляемость в целом

C1Простая управляемость

C2Нормально контролируемое (большинство водителей могут действовать, чтобы предотвратить травмы)

C3Трудно контролировать или неконтролируемый

В терминах этих классификаций опасное событие уровня безопасности автомобильной техники D (сокращенно УПБА D) определяется как событие, имеющее разумный p возможность причинить опасную для жизни (не определенную выживаемость) или смертельную травму, при этом травма физически возможна в большинстве рабочих условий и с небольшими шансами, что водитель может что-то предпринять для предотвращения травмы. То есть ASIL D - это комбинация классификаций S3, E4 и C3. Для каждого отдельного снижения в любой из этих классификаций от максимального значения (исключая уменьшение C1 до C0), существует одноуровневое снижение УПБА от D. [Например, гипотетическая неконтролируемая (C3) смертельная травма (S3) опасность может быть классифицирована как УПБА A, если опасность имеет очень низкую вероятность (E1).] Уровень УПБА ниже A является самым низким уровнем QM. QM относится к рассмотрению стандарта ниже ASIL A; нет никакого отношения к безопасности, и требуются только стандартные процессы управления качеством.

Эти определения уровня серьезности, воздействия и контроля являются информативными, а не предписывающими и фактически оставляют место для субъективных различий или усмотрений между различными автопроизводителями и поставщиками компонентов. В ответ Общество инженеров по безопасности автомобилей (SAE) выпустило J2980 - Соображения по классификации опасностей ASIL ISO26262, чтобы предоставить более подробные рекомендации по оценке воздействия, серьезности и управляемости для данной опасности.

• Уровень полноты безопасности автомобилей, сравнение с другими системами уровней безопасности
• ARP4754
• IEC 61508 (Соответствующий стандарт безопасности)

• ISO 26262-1: 2011 (en) (Дорожные транспортные средства - Функциональная безопасность - Часть 1: Словарь) на платформе просмотра ISO в Интернете (OBP)
• ISO 26262-1: 2018 (en) (Дорожные транспортные средства - Функциональная безопасность - Часть 1: Словарь) на платформе просмотра онлайн (OBP) ISO