ISO 26262 под названием «Дорожные транспортные средства - Функциональная безопасность» является международным стандартом для функциональной безопасности электрических и / или электронных систем в серийных дорожных транспортных средствах, определенных Международной организацией по стандартизации (ISO) в 2011 г. и пересмотренными в 2018 г.
Содержание
- 1 Обзор части 1
- 2 части ISO 26262
- 2.1 Часть 1: Словарь
- 2.2 Часть 2: Управление функциональной безопасностью
- 2.3 Части 3-7: Жизненный цикл безопасности
- 2.4 Часть 8: Вспомогательные процессы
- 2.5 Часть 9: Анализ, ориентированный на уровень полноты безопасности автомобилей (ASIL) и безопасность
- 2.5.1 Обзор оценки ASIL
- 2.5.2 Процесс оценки ASIL
- 3 См. Также
- 4 Ссылки
- 5 Внешние ссылки
Обзор части 1
Функции функциональной безопасности являются неотъемлемой частью каждого этапа разработки автомобильной продукции, начиная от спецификации и заканчивая проектированием, внедрением, интеграцией, v эрификация, валидация и выпуск продукции. Стандарт ISO 26262 - это адаптация стандарта функциональной безопасности IEC 61508 для автомобильных электрических / электронных систем. ISO 26262 определяет функциональную безопасность автомобильного оборудования, применимую на протяжении всего жизненного цикла всех автомобильных электронных и электрических систем, связанных с безопасностью.
Первое издание (ISO 26262: 2011), опубликованное 11 ноября 2011 года, ограничивалось электрическими и / или электронными системами, установленными в «серийных легковых легковых автомобилях » с максимальной полной массой. 3500 кг. Второе издание (ISO 26262: 2018), опубликованное в декабре 2018 года, расширило сферу применения с легковых автомобилей на все дорожные транспортные средства, кроме мопедов.
. Стандарт направлен на устранение возможных опасностей, вызванных неисправностью. поведение электронных и электрических систем в транспортных средствах. Хотя этот стандарт называется «Дорожные транспортные средства - Функциональная безопасность», он касается функциональной безопасности электрических и электронных систем, а также систем в целом или их механических подсистем.
Как и его родительский стандарт, IEC 61508, ISO 26262 является стандартом безопасности, основанным на оценке рисков, в котором качественно оценивается риск опасных производственных ситуаций и определяются меры безопасности для предотвращения или контроля систематических отказов и для обнаружения или контроля случайных отказов оборудования или смягчения их последствий.
Цели ISO 26262:
- Обеспечивает жизненный цикл автомобильной безопасности (управление, разработка, производство, эксплуатация, обслуживание, вывод из эксплуатации ) и поддерживает адаптацию необходимых действий на этих этапах жизненного цикла. 104>
- Охватывает аспекты функциональной безопасности всего процесса разработки (включая такие виды деятельности, как спецификация требований, проектирование, реализация, интеграция, верификация, валидация и конфигурация).
- Предоставляет ориентированный на риски для автомобилей подход к определению классов риска (Уровни полноты безопасности автомобилей, УПБА).
- Использует УПБА для определения необходимых требований безопасности к объекту для достижения приемлемого остаточного риска.
- Обеспечивает требования для меры по валидации и подтверждению для обеспечения достаточного и приемлемого уровня безопасности.
Части ISO 26262
ISO 26262: 2018 состоит из двенадцати частей, десяти нормативных частей (части с 1 по 9 и 12) и два руководства (части 10 и 1 1):
- Словарь
- Управление функциональной безопасностью
- Фаза концепции
- Разработка продукта на системном уровне
- Разработка продукта на уровне оборудования
- Разработка продукта на уровне программного обеспечения
- Производство, эксплуатация, обслуживание и вывод из эксплуатации
- Вспомогательные процессы
- Ориентация на уровень полноты безопасности автомобилей (ASIL) и безопасность- ориентированный анализ
- Руководство по ISO 26262
- Руководство по применению ISO 26262 к полупроводникам
- Адаптация ISO 26262 для мотоциклов
Для сравнения, ISO 26262: 2011 состоял из всего 10 частей, с немного другими названиями:
- Часть 7 была названа просто Производство, а операция
- Часть 10 была названа Руководством... вместо Руководства...
- Части 11 и 12 не существует.
Часть 1: Словарь
ISO 26262 определяет словарь (а) терминов, определений и сокращений для применения во всех частях стандарта. Особое значение имеет тщательное определение сбоя, ошибки и сбоя, поскольку эти термины являются ключевыми для стандартных определений процессов функциональной безопасности, особенно с учетом того, что «сбой может проявляться как ошибка... и ошибка может в конечном итоге вызвать отказ ». Возникающая в результате неисправность, которая имеет опасные последствия, представляет собой потерю функциональной безопасности.
- Элемент
- В этом стандарте элемент является ключевым термином. Элемент используется для обозначения конкретной системы (или комбинации систем), к которой применяется ISO 26262 Жизненный цикл безопасности, которая реализует функцию (или часть функции) на уровне транспортного средства. То есть элемент является наивысшим идентифицированным объектом в процессе и, таким образом, является отправной точкой для разработки безопасности конкретного продукта в соответствии с этим стандартом.
- Элемент
- Либо система, либо компонент (состоящий из частей оборудования и / или программных единиц), отдельной аппаратной части или единственной программной единицы - по сути, всего в системе, что можно четко идентифицировать и управлять.
- Ошибка
- Ненормальное состояние, которое может привести к отказу элемента или элемента.
- Ошибка
- Несоответствие между вычисленным, наблюдаемым или измеренным значением или условием и истинным, заданным или теоретически правильным значением или условием.
- Отказ
- Прекращение предполагаемого поведения элемента или объекта из-за проявления сбоя.
- Отказоустойчивость
- Способность предоставлять указанную функциональность при наличии одной или нескольких указанных ошибок.
- Неисправное поведение
- Отказ или непреднамеренное поведение элемента в соответствии с его конструктивным замыслом.
- Опасность
- Потенциальный источник вреда (физическая травма или повреждение здоровья), вызванный неправильным поведением элемента.
- Функциональная безопасность
- Отсутствие необоснованного риска из-за опасностей, вызванных неправильным поведением электрических / электронных систем.
Примечание: в отличие от других стандартов функциональной безопасности и обновленного стандарта ISO 26262: 2018, отказоустойчивость не была явно определена в ISO 26262: 2011 - поскольку предполагалось, что невозможно понять все возможные отказы в системе.
Примечание: ISO 26262 не использует термин IEC 61508 доля безопасных отказов (SFF). Вместо этого используются термины метрическая система единичных сбоев и метрика скрытых сбоев.
Часть 2: Управление функциональной безопасностью
ISO 26262 обеспечивает стандарт для управления функциональной безопасностью для автомобилей. приложения, определяющие стандарты для общего управления безопасностью организации, а также стандарты для жизненного цикла безопасности для разработки и производства отдельных автомобильных продуктов. Жизненный цикл безопасности ISO 26262, описанный в следующем разделе, основан на следующих концепциях управления безопасностью:
- Опасное событие
- Опасное событие - это соответствующая комбинация опасности на уровне транспортного средства и эксплуатационной ситуации транспортного средства с возможностью привести к аварии, если не контролировать своевременные действия водителя.
- Цель безопасности
- Цель безопасности - это требование безопасности верхнего уровня, которое назначается системе с целью снижения риска одного или нескольких опасных событий до приемлемого уровня.
- Уровень целостности автомобильной безопасности
- Уровень целостности автомобильной безопасности (УПБА) представляет собой классификацию цели безопасности, основанную на рисках для конкретного автомобиля, а также меры проверки и подтверждения, требуемые стандартом для обеспечения достижение этой цели.
- Требование безопасности
- Требования безопасности включают все цели безопасности и все уровни требований, разложенных от целей безопасности до самого низкого уровня функциональных и технических технические требования безопасности, относящиеся к аппаратным и программным компонентам.
Части 3-7: Жизненный цикл безопасности
Процессы в рамках жизненного цикла безопасности ISO 26262 выявляют и оценивают опасности (риски безопасности), устанавливают особые требования безопасности для снижения эти риски до приемлемого уровня, а также управлять и отслеживать эти требования безопасности, чтобы обеспечить разумную уверенность в том, что они выполнены в поставляемой продукции. Эти относящиеся к безопасности процессы можно рассматривать как интегрированные или работающие параллельно с жизненным циклом управляемых требований традиционной системы менеджмента качества :
- Идентифицирован элемент (конкретный продукт автомобильной системы) и его система верхнего уровня функционирует. определены требования.
- Для элемента идентифицируется исчерпывающий набор опасных событий.
- Каждому опасному событию назначается УПБА. (См. Часть 9 ниже)
- Цель безопасности определяется для каждого опасного события, наследуя УПБА опасности.
- Концепция функциональной безопасности на уровне транспортного средства определяет архитектуру системы для обеспечения целей безопасности.
- Цели безопасности преобразуются в требования безопасности более низкого уровня.. (В общем, каждое требование безопасности наследует ASIL своего родительского требования / цели безопасности. Однако с учетом ограничений унаследованный ASIL может быть снижается путем декомпозиции требования на избыточные требования, реализуемые достаточно независимыми избыточными компонентами.)
- «Требования безопасности» назначаются архитектурным компонентам (подсистемам, аппаратным компонентам, программным компонентам). (В общем, каждый компонент должны разрабатываться в соответствии со стандартами и процессами, предлагаемыми / требуемыми для наивысшего УПБА из установленных требований безопасности.)
- Затем архитектурные компоненты разрабатываются и проверяются в соответствии с назначенной безопасностью (и функциями
Часть 8: Вспомогательные процессы
ISO 26262 определяет цели для интегральных процессов, поддерживающих процессы жизненного цикла безопасности, но постоянно действующих на всех этапах, а также определяет дополнительные соображения, поддерживающие достижение общих целей процесса.
- Контролируемые корпоративные интерфейсы для передачи целей, требований и средств управления всем поставщикам в распределенных разработках
- Явная спецификация требований безопасности и их управление на протяжении всего жизненного цикла безопасности
- Управление конфигурацией рабочие продукты с формальной уникальной идентификацией и воспроизводимостью конфигураций, что обеспечивает прослеживаемость между зависимыми рабочими продуктами и идентификацию всех изменений в конфигурации
- Формальное управление изменениями, включая управление влиянием изменений на требования безопасности в целях обеспечения устранения обнаруженных дефектов, а также замены продукта без внесения опасностей
- Планирование, контроль и составление отчетов о проверке рабочих продуктов, включая обзор, анализ и испытания, с регрессионным анализом обнаруженных дефектов до их источника
- Плановая идентификация и управление всей документацией (рабочими продуктами), производимой на всех этапах жизненного цикла безопасности для обеспечения непрерывного управления функциональной безопасностью и оценкой безопасности
- Уверенность в программных инструментах (квалификация программных инструментов для предполагаемого и фактического использования)
- Квалификация ранее разработанного программного обеспечения и аппаратные компоненты для интеграции в разрабатываемый в настоящее время элемент УПБА
- Использование свидетельства истории обслуживания для доказательства того, что элемент оказался достаточно безопасным в использовании для предполагаемого УПБА
Часть 9: Уровень полноты безопасности в автомобильной промышленности (УПБА) - ориентированный и ориентированный на безопасность анализ
Уровень полноты безопасности автомобилей - это абстрактная классификация рисков, присущих автомобильной системе или элементам такой системы. Классификации ASIL используются в ISO 26262 для выражения уровня снижения риска, необходимого для предотвращения конкретной опасности, при этом ASIL D представляет наивысший уровень опасности, а ASIL A - самый низкий. Затем значение УПБА, оцененное для данной опасности, назначается цели безопасности, установленной для устранения этой опасности, и затем наследуется требованиями безопасности, вытекающими из этой цели.
Обзор оценки УПБА
Определение УПБА ASIL - это результат анализа опасностей и оценки рисков. В контексте ISO 26262 опасность оценивается на основе относительного воздействия опасных эффектов, связанных с системой, с поправкой на относительную вероятность опасности, проявляющей эти эффекты. То есть каждое опасное событие оценивается с точки зрения тяжести возможных травм в контексте относительного количества времени, в течение которого транспортное средство подвергается возможности возникновения опасности, а также относительной вероятности того, что типичный водитель может предпринять действия для предотвращения
Процесс оценки УПБА
В начале жизненного цикла безопасности выполняется анализ опасностей и оценка рисков, что приводит к оценке УПБА для всех идентифицированных опасных событий и цели безопасности.
Каждое опасное событие классифицируется в соответствии с серьезностью (S) травм, которые оно может вызвать:
- Классификация серьезности (S):
- S0Нет травм
- S1Легкие и средние травмы
- S2Травмы от тяжелых до опасных для жизни (вероятная выживаемость)
- S3От опасных для жизни (неопределенность выживания) до смертельных травм
Управление рисками признает, что оценка серьезности возможной травмы зависит от вероятности травмы произойдет; то есть для данной опасности опасное событие считается меньшим риском, если вероятность его возникновения меньше. В рамках процесса анализа опасностей и оценки риска согласно настоящему стандарту вероятность травмирующей опасности дополнительно классифицируется в соответствии с комбинацией
- воздействия (E) (относительная ожидаемая частота рабочих условий, при которых может произойти травма) и
- контроль (C) (относительная вероятность того, что водитель может действовать, чтобы предотвратить травму).
- Классификация воздействия (E):
- E0Невероятно маловероятно
- E1Очень низкая вероятность (может произойти травма только в редких рабочих условиях)
- E2Низкая вероятность
- E3Средняя вероятность
- E4Высокая вероятность (травма может произойти в большинстве рабочих условий)
- Классификация управляемости (C):
- C0Управляемость в целом
- C1Простая управляемость
- C2Нормально контролируемое (большинство водителей могут действовать, чтобы предотвратить травмы)
- C3Трудно контролировать или неконтролируемый
В терминах этих классификаций опасное событие уровня безопасности автомобильной техники D (сокращенно УПБА D) определяется как событие, имеющее разумный p возможность причинить опасную для жизни (не определенную выживаемость) или смертельную травму, при этом травма физически возможна в большинстве рабочих условий и с небольшими шансами, что водитель может что-то предпринять для предотвращения травмы. То есть ASIL D - это комбинация классификаций S3, E4 и C3. Для каждого отдельного снижения в любой из этих классификаций от максимального значения (исключая уменьшение C1 до C0), существует одноуровневое снижение УПБА от D. [Например, гипотетическая неконтролируемая (C3) смертельная травма (S3) опасность может быть классифицирована как УПБА A, если опасность имеет очень низкую вероятность (E1).] Уровень УПБА ниже A является самым низким уровнем QM. QM относится к рассмотрению стандарта ниже ASIL A; нет никакого отношения к безопасности, и требуются только стандартные процессы управления качеством.
Эти определения уровня серьезности, воздействия и контроля являются информативными, а не предписывающими и фактически оставляют место для субъективных различий или усмотрений между различными автопроизводителями и поставщиками компонентов. В ответ Общество инженеров по безопасности автомобилей (SAE) выпустило J2980 - Соображения по классификации опасностей ASIL ISO26262, чтобы предоставить более подробные рекомендации по оценке воздействия, серьезности и управляемости для данной опасности.
См. Также
- Уровень полноты безопасности автомобилей, сравнение с другими системами уровней безопасности
- ARP4754
- IEC 61508 (Соответствующий стандарт безопасности)
Ссылки
Внешние ссылки