Automotive safety-ISO 26262
Benefici della ISO 26262:
La norma ISO 26262 garantisce un elevato livello di sicurezza integrata nei componenti della vettura fin dall'inizio della propria progettazione. Lo standard può essere utilizzato per stabilire un sistema di gestione della sicurezza basato sulle best practice riconosciute a livello internazionale e con i più moderni approcci per la gestione del rischio, offrendo un vantaggio competitivo. Inoltre le case automobilistiche utilizzeranno la conformità alla norma ISO 26262 come mezzo per verificare la qualità dei componenti proprietari ed elettrico/elettronici (E/E) dei fornitori.
Cos’è la ISO 26262?
La ISO 26262 è un standard che definisce requisiti e provvede a linee guide per il raggiungimento della functional safety nei sistemi E/E dei veicoli stradali. Lo standard ISO 26262 è considerato un quadro di buone pratiche per il raggiungimento delle funzionalità di safety nei veicoli stradali.
Lo scopo della
ISO 26262:
- Gestire hardware e software come dispositivi E/E.
- Fare considerazioni sui componenti o sistemi del veicolo che potrebbero avere significativi impatti sulle vite umane in caso di malfunzionamento/fallimento di determinate azioni.
- Gestire l’intero ciclo di vita dei prodotti automotive.
- Prodotti: lo standard richiede almeno un caso di sicurezza e una serie di misure conformi da applicare durante il ciclo di vita del prodotto.
- Processi: lo standard richiede che siano specificati i processi del ciclo di vita implementati all'interno del sistema di gestione della sicurezza ed esso va progettato con un approccio basato sul rischio.
A partire dalle sue primi fasi, la safety è stata un aspetto chiave nell’industria automotive e la sua importanza è diventata maggiore oggigiorno. Tantoché le case automobilistiche mirano alla sicurezza come punto chiave di offerta di vendita per avvantaggiarsi alla concorrenza.
Grazie ad una quantità crescente di contenuti elettronici in una vettura, è opportuno superare l'approccio best practice ed utilizzare linee guida universali ben definite.
Nasce l’esigenza, tra i produttori del settore automotive, di puntare ad uno standard ed di introdurre la safety come soggetto di varie differenti interpretazioni per le applicazioni riguardanti il mondo automotive e possono essere categorizzate in:
1. Passive safety: assumendo che un incidente sia inevitabile, lo scopo dei meccanismi della passive safaty consistono di minimizzare la gravità del incidente. Qui troviamo tutti gli elementi di sicurezza passivi presenti all'interno del abitacolo di un veicolo, ovvero le cinture di sicurezza, le zone di deformazione, ecc.
2. Active safety: corrispondono ai sistemi che riguardano la sicurezza attiva, in base al monitoraggio in tempo reale del veicolo. Servono ad evitare incidenti e qualora ci fossero alla minimizzazione dei danni fisici sui passeggeri. Ne fanno parte i sistemi di pre-tensionamento delle cinture, lo schienale degli airbag, la frenata di emergenza predittiva, i sistemi di frenata antibloccaggio e il controllo della trazione.
3. Functional safety: si concentra per assicurare che tutti i sistemi E/E (alimentatori, sensori, reti di comunicazione, attuatori, ecc.) compresi, ma non limitati a, tutti i sistemi di sicurezza attiva, funzionino correttamente. La sicurezza funzionale è una prerogativa dallo standard ISO 26262.
La struttura del ISO
26262:
Quando si parla di functional safety è importante specificare che non significa che non ci sia alcun rischio di malfunzionamento, ma la functional safety implica l’assenza di rischi inaccettabili dovuti ai pericoli causati dal comportamento scorretto dei sistemi elettrici ed elettronici.
Software conforme alla ISO 26262: raggiungimento della functional safety nell'industria automotive.
Introduzione: Functional Safety nell’industria automotive
I sistemi elettronici svolgono molte funzioni nelle automobili moderne, ad esempio le funzioni di assistenza alla guida, controllo della dinamica del veicolo e sistemi di sicurezza attiva e/o passiva.
La complessità delle operazioni pilotate elettronicamente, in particolare quelle di safety, sono estremamente difficili da prevedere in modo da garantire la sicurezza richiesta. Inoltre sono necessari ulteriori interventi per ridurre i rischi di guasti causali dai sistema dell'hardware man mano che la complessità delle funzionalità del sistema continua ad aumentare.
La complessità delle operazioni pilotate elettronicamente, in particolare quelle di safety, sono estremamente difficili da prevedere in modo da garantire la sicurezza richiesta. Inoltre sono necessari ulteriori interventi per ridurre i rischi di guasti causali dai sistema dell'hardware man mano che la complessità delle funzionalità del sistema continua ad aumentare.
ISO 26262:
La ISO 26262 è l’adattamento della IEC 61508 e mira a soddisfare le esigenze specifiche del settore applicativo nei sistemi E/E all'interno dei veicoli stradali. Come già detto, la norma ISO 26262 copre gli aspetti relativi alla functional safety dell'intero processo di sviluppo di un prodotto, ovvero le attività come specifica dei requisiti, di progettazione, d’implementazione, d’integrazione, di verifica, di convalida e configurazione. Lo standard fornisce indicazioni sulle attività del ciclo di vita per la safety automotive e considera i seguenti requisiti:
- Gestione della functional safety per applicazioni automotive.
- Sviluppo della fase concettuale per applicazioni automotive.
- Sviluppo del prodotto, di livello di sistema per applicazioni automotive seguendo una progettazione standardizzata ed architetturale del software.
- Sviluppo del prodotto a livello hardware per applicazioni automotive testando le unità software.
- Sviluppo del prodotto a livello di software per applicazioni automotive.
- Processi di supporto per le interfacce interne relative allo sviluppo dei sistemi distribuiti, dei requisiti di gestione della sicurezza, della gestione delle modifiche e delle configurazioni, della verifica, della documentazione, del utilizzo di strumenti di software, della qualificazione di componenti hardware e software ed del collaudo.
- Analisi orientate alla sicurezza con valutazione del rischio secondo Automotive Safety Integrity Level (ASIL).
Cosa la ISO 26262 non copre:
- I sistemi E/E personalizzati in veicoli speciali progettati per i conducenti diversamente abili e/o personalizzati.
- Pericoli relativi a scosse elettriche, incendi, fumo, calore, radiazioni, tossicità, infiammabilità, reattività, corrosione, rilascio di energia e simili, a patto che non siano direttamente causati dal comportamento scorretto dei sistemi di sicurezza E/E.
Specific Software Development Sections In ISO 26262.
La parte 6 dello standard riguarda lo sviluppo del prodotto per il livello software. I requisiti per le attività di sviluppo sono:
- Inizializzazione dello sviluppo del prodotto.
- Specifica dei requisiti di sicurezza del software.
- Progettazione architetturale del software.
- Progettazione ed implementazione dell'unità software.
- Test delle unità software.
- Integrazione e test del software.
- Verifica dei requisiti di sicurezza del software.
Sappiamo che la ISO 26262 si concentra sulla functional safety per i sistemi (E/E) nei veicoli. La quale influisce su tutti i sistemi e componenti elettrici, elettronici o eletromeccanici; come ad esempio gli attuatori ai sensori, nonché all’elettronica di controllo. La functional safety riguarda l'assenza di rischi irragionevoli per le persone a bordo di un veicolo causate da potenziali malfunzionamenti dei sistemi E/E ed inoltre è considerata una proprietà di sistema. Infatti, i sistemi di sicurezza attiva e passiva differiscono dal fatto che i primi riguardano principalmente la prevenzione proattiva degli incidenti, attraverso la capacità di guida del conducente del veicolo ma anche di sistemi elettronici come ACC, ABS, ESP, ecc., mentre gli altri, i passivi, riguardano le conseguenze di quando si è già verificato un incidente, e quindi le cinture di sicurezza ma anche sistemi elettronici come airbag, pretensionatori, ecc.
I sistemi elettronici per la sicurezza attiva e passiva devono essere protetti dal punto di vista funzionale in quanto i malfunzionamenti di questi sistemi possono lesioni ai passeggeri del veicolo. Dunque la functional safety si concentra principalmente sui rischi derivanti da errori hardware casuali e/o errori sistematici nella progettazione dell’intero sistema, per lo sviluppo di hardware o software, o nella produzione, fino alla messa in servizio, riparazione e ritiro, del sistema.
A tal fine, la ISO 26262 comprende 10 sezioni con circa 750 clausole spalmate su circa 450 pagine, che trattano della progettazione del sistema, ovvero l'hardware, il software e i processi di sviluppo associati.
Come la functional safety viene raggiunta secondo ISO 26262?
Il ciclo di vita della safety regola l'identificazione, la progettazione, il monitoraggio e la valutazione dei vari elementi coinvolti in un modello a V del settore automotive. Il termine "functional safety" non deve essere confuso, o peggio ancora equiparato alle caratteristiche del prodotto, con affidabilità, disponibilità e sicurezza.
- Affidabilità: descrive la probabilità che in un sistema sia eseguita la funzione assegnata in un determinato periodo di tempo.
- Disponibilità: descrive in percentuale l'intero ciclo di vita di un sistema durante il quale può essere utilizzato per eseguire una determinata funzione assegnata.
La norma ISO 26262 non è uno standard di certificazione e pertanto non contiene clausole che regolano le certificazioni. Dal punto di vista dello standard, non vi è alcun obbligo di certificare sistemi, componenti o processi, tantomeno è direttamente rilevante per la registrazione del veicolo. L'esperienza nell'attuazione della norma ISO 26262 degli esperti del settore ha riportato che la maggior parte di chi provvede all’applicazione dello standard consente di ottenere una valida valutazione esterna e una certificazione. Il contenuto di questi controlli è attualmente in fase di definizione da parte degli organismi di certificazione competenti.
Da un punto di vista normativo la ISO 26262, non comporta alcun cambiamento diretto nella situazione legale per l’omologazione. Difatti continuano ad applicarsi le disposizioni relative alla responsabilità per i prodotti difettosi. Per quanto riguarda gli altri aspetti legali come l'inversione dell'onere della prova, si fa riferimento alle pubblicazioni giuridiche pertinenti. In generale, gli standard professionali sono considerati rilevanti nel valutare lo "stato dell'arte", il che significa che la ISO 26262 ha una importanza legale indiretta.
Lo scopo del Development Interface Agreement (DIA), consiste nel dettagliare l'accordo esplicitato tra le aziende coinvolte per lo sviluppo di sistemi o componenti E/E. Non è sufficiente che un cliente faccia semplicemente una richiesta generale al suo fornitore di lavorare in un "modo conforme a ISO 26262" o semplicemente di indicare una particolare classificazione di sicurezza. Un accordo esplicito a livello tecnico, in particolare sugli obiettivi di sicurezza, sulla classificazione degli obiettivi di sicurezza e sulle misure di sicurezza da attuare, ecc., serve per garantire lo sviluppo di un prodotto rispettando i requisiti di safety al di là dell’obiettivo di vendita.
Il ciclo di vita della safety inizia con una definizione del sistema da considerare a livello di veicolo. A scopo illustrativo, consideriamo a titolo di esempio un sistema di airbag. Il passo successivo consiste nell'eseguire un'analisi e una valutazione del rischio per il sistema in considerazione. Un potenziale pericolo in un sistema di airbag potrebbe essere che involontariamente si gonfi l'airbag e quindi un obiettivo di sicurezza che deve essere determinato, in questo esempio, è di evitare che l'airbag si gonfi involontariamente. In genere, sono classificati e a mano a mano identificati un numero elevato di obiettivi di sicurezza.
Ogni obiettivo di sicurezza è classificato in conformità con QM o con una delle quattro possibili classi di sicurezza, denominate ASIL (Automotive Safety Integrity Level) nello standard i quattro livelli sono da ASIL-A ad ASIL-D.
Il punteggio "QM" indica che in un sistema di gestione della qualità standard, ad esempio è in conformità con ISO/TS 16949 e l'osservanza di standard stabiliti come Automotive SPICE sono sufficienti per raggiungere l'obiettivo di sicurezza corrispondente e che non devono essere presi ulteriori requisiti dalla ISO 26262 per soddisfare la conformità di classe che deve raggiungere.
Per rendere l’idea, un rating prossimo ad "ASIL-A" in conformità con la ISO 26262 indica che la classificazione di sicurezza più bassa, mentre ad "ASIL D" quella più alta. L'ASIL è determinato per ciascun obiettivo di sicurezza con l'aiuto di una tabella di assegnazione contenuta nello standard. Tre parametri sono valutati in ciascun caso:
- Esposizione: quanto spesso il veicolo si trova in una situazione in cui le persone coinvolte, ad es. conducente, passeggeri o altri utenti della strada, possono essere messi a rischio e quanto le persone coinvolte possono gestire bene una violazione dell'obiettivo di sicurezza.
- Gravità: quantifica la gravità delle conseguenze che potrebbero derivare da una violazione dell'obiettivo di sicurezza.
L'inflazione involontaria dell'airbag è generalmente classificata come "ASIL D."
Gli obiettivi di sicurezza devono essere implementati in accordo con gli ASIL classificati. In altre parole, devono essere implementati processi e metodi adeguati per evitare errori sistematici ed inoltre devono essere applicati i requisiti aggiuntivi corrispondenti al prodotto per correggere i difetti tecnici. Questo viene fatto inizialmente definendo un concetto di sicurezza funzionale. Nel caso in esempio, questo potrebbe essere un concetto di ridondanza comprendente un canale di controllo e di monitoraggio indipendente. L'airbag si gonfia solo se entrambi i canali sono in accordo tra loro. Gli aspetti tecnici vengono quindi illustrati in un concetto di sicurezza tecnica. Nel caso in esempio, un'architettura di sicurezza potrebbe essere definita con un numero sufficiente di sensori indipendenti, cosicché ogni canale deve abilitare il circuito di trigger indipendentemente per il concetto di sicurezza funzionale da realizzare. L'architettura potrebbe anche includere misure di sicurezza implementate al di fuori del sistema E/E, ad esempio utilizzando misure preventive meccaniche. L'attuazione di tali misure, tuttavia, non rientra nell'ambito di applicazione della norma ISO 26262. A tale riguardo occorre tenere conto delle norme corrispondenti. I requisiti di sicurezza hardware e software sono determinati in base al concetto di sicurezza tecnica. Sono degli obiettivi particolarmente importanti da raggiungere o da far mantenere un’indipendenza nelle strutture di sistema ridondanti e per raggiungere metriche specifiche nella valutazione dell'hardware ("metrica di errore a punto singolo", "metrica di errore latente").
L'integrazione di sistema è seguita dalla convalida della sicurezza, dalla valutazione della sicurezza funzionale e dal rilascio per la produzione, in base ai requisiti specifici della norma ISO 26262 sulla base della classificazione ASIL degli obiettivi di sicurezza. L'ambito della norma copre anche la produzione e il funzionamento del sistema fino alla sua disattivazione sul campo. L'airbag è un esempio particolarmente valido che il gonfiaggio non intenzionale dell'airbag deve essere evitato anche alla fine del ciclo di vita del prodotto.
Gli obiettivi di sicurezza devono essere implementati in accordo con gli ASIL classificati. In altre parole, devono essere implementati processi e metodi adeguati per evitare errori sistematici ed inoltre devono essere applicati i requisiti aggiuntivi corrispondenti al prodotto per correggere i difetti tecnici. Questo viene fatto inizialmente definendo un concetto di sicurezza funzionale. Nel caso in esempio, questo potrebbe essere un concetto di ridondanza comprendente un canale di controllo e di monitoraggio indipendente. L'airbag si gonfia solo se entrambi i canali sono in accordo tra loro. Gli aspetti tecnici vengono quindi illustrati in un concetto di sicurezza tecnica. Nel caso in esempio, un'architettura di sicurezza potrebbe essere definita con un numero sufficiente di sensori indipendenti, cosicché ogni canale deve abilitare il circuito di trigger indipendentemente per il concetto di sicurezza funzionale da realizzare. L'architettura potrebbe anche includere misure di sicurezza implementate al di fuori del sistema E/E, ad esempio utilizzando misure preventive meccaniche. L'attuazione di tali misure, tuttavia, non rientra nell'ambito di applicazione della norma ISO 26262. A tale riguardo occorre tenere conto delle norme corrispondenti. I requisiti di sicurezza hardware e software sono determinati in base al concetto di sicurezza tecnica. Sono degli obiettivi particolarmente importanti da raggiungere o da far mantenere un’indipendenza nelle strutture di sistema ridondanti e per raggiungere metriche specifiche nella valutazione dell'hardware ("metrica di errore a punto singolo", "metrica di errore latente").
L'integrazione di sistema è seguita dalla convalida della sicurezza, dalla valutazione della sicurezza funzionale e dal rilascio per la produzione, in base ai requisiti specifici della norma ISO 26262 sulla base della classificazione ASIL degli obiettivi di sicurezza. L'ambito della norma copre anche la produzione e il funzionamento del sistema fino alla sua disattivazione sul campo. L'airbag è un esempio particolarmente valido che il gonfiaggio non intenzionale dell'airbag deve essere evitato anche alla fine del ciclo di vita del prodotto.
Considerazioni da fare:
ISO26262 può portare a interpretazioni multiple ed errate. In quanto la terminologia ISO26262 viene ancora spesso letta come la IEC61508 che porta a molti fraintendimenti. Un dei quali l’item:
- su IEC61508: Item è un elemento del sistema di controllo finale
- su ISO26262: Item è il sistema finale a livello di veicolo
- Molte società/consulenti sono tuttora ancora molto focalizzati su IEC61508
- L'industria automobilistica ha diversi vincoli da considerare
- Spesso i concetti di sicurezza, di robustezza e di affidabilità sono confusi
- I requisiti tecnici di sicurezza sono mappati agli elementi del sistema che sono basati su hardware su software.
- Se un componente di sistema non funziona:
- Significa che è necessario specificare quale errore rileverà (autocontrollo)
- Deve essere presente una reazione che permetta il passaggio del sistema in uno stato sicuro.
- Dopo lo sviluppo di hardware e software è presente l'integrazione hardware e software, seguita dall'integrazione del sistema e dall'integrazione del veicolo. Con conseguenti:
- Test sperimentali (tempo e costi)
- Riconfigurazione di HW e SW
- Comportamento del tempo (Analytics)
- Indipendenza e interferenze
Questo commento è stato eliminato da un amministratore del blog.
RispondiEliminaQuesto commento è stato eliminato da un amministratore del blog.
RispondiElimina