Automotive safety-ISO 26262

Benefici della ISO 26262:

La norma ISO 26262 garantisce un elevato livello di sicurezza integrata nei componenti della vettura fin dall'inizio della propria progettazione. Lo standard può essere utilizzato per stabilire un sistema di gestione della sicurezza basato sulle best practice riconosciute a livello internazionale e con i più moderni approcci per la gestione del rischio, offrendo un vantaggio competitivo. Inoltre le case automobilistiche utilizzeranno la conformità alla norma ISO 26262 come mezzo per verificare la qualità dei componenti proprietari ed elettrico/elettronici (E/E) dei fornitori.

Cos’è la ISO 26262?

La ISO 26262 è un standard che definisce requisiti e provvede a linee guide per il raggiungimento della functional safety nei sistemi E/E dei veicoli stradali. Lo standard ISO 26262 è considerato un quadro di buone pratiche per il raggiungimento delle funzionalità di safety nei veicoli stradali.

 

Lo scopo della ISO 26262:

  • Gestire hardware e software come dispositivi E/E.
  • Fare considerazioni sui componenti o sistemi del veicolo che potrebbero avere significativi impatti sulle vite umane in caso di malfunzionamento/fallimento di determinate azioni.
  • Gestire l’intero ciclo di vita dei prodotti automotive.
La struttura fornita dalla ISO 26262 riguarda la functional safety di:
    • Prodotti: lo standard richiede almeno un caso di sicurezza e una serie di misure conformi da applicare durante il ciclo di vita del prodotto.
    • Processi: lo standard richiede che siano specificati i processi del ciclo di vita implementati all'interno del sistema di gestione della sicurezza ed esso va progettato con un approccio basato sul rischio.
A partire dalle sue primi fasi, la safety è stata un aspetto chiave nell’industria automotive e la sua importanza è diventata maggiore oggigiorno. Tantoché le case automobilistiche mirano alla sicurezza come punto chiave di offerta di vendita per avvantaggiarsi alla concorrenza.
Grazie ad una quantità crescente di contenuti elettronici in una vettura, è opportuno superare l'approccio best practice ed utilizzare linee guida universali ben definite. 
Nasce l’esigenza, tra i produttori del settore automotive, di puntare ad uno standard ed di introdurre la safety come soggetto di varie differenti interpretazioni per le applicazioni riguardanti il mondo automotive e possono essere categorizzate in:

1.     Passive safety: assumendo che un incidente sia inevitabile, lo scopo dei meccanismi della passive safaty consistono di minimizzare la gravità del incidente. Qui troviamo tutti gli elementi di sicurezza passivi presenti all'interno del abitacolo di un veicolo, ovvero le cinture di sicurezza, le zone di deformazione, ecc.

2.     Active safety: corrispondono ai sistemi che riguardano la sicurezza attiva, in base al monitoraggio in tempo reale del veicolo. Servono ad evitare incidenti e qualora ci fossero alla minimizzazione dei danni fisici sui passeggeri. Ne fanno parte i sistemi di pre-tensionamento delle cinture, lo schienale degli airbag, la frenata di emergenza predittiva, i sistemi di frenata antibloccaggio e il controllo della trazione.

3.     Functional safety: si concentra per assicurare che tutti i sistemi E/E (alimentatori, sensori, reti di comunicazione, attuatori, ecc.) compresi, ma non limitati a, tutti i sistemi di sicurezza attiva, funzionino correttamente. La sicurezza funzionale è una prerogativa dallo standard ISO 26262.

La struttura del ISO 26262:
 
 
Quando si parla di functional safety è importante specificare che non significa che non ci sia alcun rischio di malfunzionamento, ma la functional safety implica l’assenza di rischi inaccettabili dovuti ai pericoli causati dal comportamento scorretto dei sistemi elettrici ed elettronici.

Software conforme alla ISO 26262: raggiungimento della functional safety nell'industria automotive.


 

Introduzione: Functional Safety nell’industria automotive

I sistemi elettronici svolgono molte funzioni nelle automobili moderne, ad esempio le funzioni di assistenza alla guida, controllo della dinamica del veicolo e sistemi di sicurezza attiva e/o passiva.
La complessità delle operazioni pilotate elettronicamente, in particolare quelle di safety, sono estremamente difficili da prevedere in modo da garantire la sicurezza richiesta. Inoltre sono necessari ulteriori interventi per ridurre i rischi di guasti causali dai sistema dell'hardware man mano che la complessità delle funzionalità del sistema continua ad aumentare.

ISO 26262:

La ISO 26262 è l’adattamento della IEC 61508 e mira a soddisfare le esigenze specifiche del settore applicativo nei sistemi E/E all'interno dei veicoli stradali. Come già detto, la norma ISO 26262 copre gli aspetti relativi alla functional safety dell'intero processo di sviluppo di un prodotto, ovvero le attività come specifica dei requisiti, di progettazione, d’implementazione, d’integrazione, di verifica, di convalida e configurazione. Lo standard fornisce indicazioni sulle attività del ciclo di vita per la safety automotive e considera i seguenti requisiti:
    •  Gestione della functional safety per applicazioni automotive.
    •  Sviluppo della fase concettuale per applicazioni automotive.
    •  Sviluppo del prodotto, di livello di sistema per applicazioni automotive seguendo una progettazione standardizzata ed architetturale del software.
    •  Sviluppo del prodotto a livello hardware per applicazioni automotive testando le unità software.
    • Sviluppo del prodotto a livello di software per applicazioni automotive.
    •  Processi di supporto per le interfacce interne relative allo sviluppo dei sistemi distribuiti, dei requisiti di gestione della sicurezza, della gestione delle modifiche e delle configurazioni, della verifica, della documentazione, del utilizzo di strumenti di software, della qualificazione di componenti hardware e software ed del collaudo.
    • Analisi orientate alla sicurezza con valutazione del rischio secondo Automotive Safety Integrity Level (ASIL).

Cosa la ISO 26262 non copre: 

  • I sistemi E/E personalizzati in veicoli speciali progettati per i conducenti diversamente abili e/o personalizzati.
  • Pericoli relativi a scosse elettriche, incendi, fumo, calore, radiazioni, tossicità, infiammabilità, reattività, corrosione, rilascio di energia e simili, a patto che non siano direttamente causati dal comportamento scorretto dei sistemi di sicurezza E/E.

Specific Software Development Sections In ISO 26262.

La parte 6 dello standard riguarda lo sviluppo del prodotto per il livello software. I requisiti per le attività di sviluppo sono:
  • Inizializzazione dello sviluppo del prodotto.
  • Specifica dei requisiti di sicurezza del software.
  • Progettazione architetturale del software.
  • Progettazione ed implementazione dell'unità software.
  • Test delle unità software.
  • Integrazione e test del software.
  • Verifica dei requisiti di sicurezza del software.
Cos’è la functional safety secondo i principi della ISO26262?

Sappiamo che la ISO 26262 si concentra sulla functional safety per i sistemi (E/E) nei veicoli. La quale influisce su tutti i sistemi e componenti elettrici, elettronici o eletromeccanici; come ad esempio gli attuatori ai sensori, nonché all’elettronica di controllo. La functional safety riguarda l'assenza di rischi irragionevoli per le persone a bordo di un veicolo causate da potenziali malfunzionamenti dei sistemi E/E ed inoltre è considerata una proprietà di sistema. Infatti, i sistemi di sicurezza attiva e passiva differiscono dal fatto che i primi riguardano principalmente la prevenzione proattiva degli incidenti, attraverso la capacità di guida del conducente del veicolo ma anche di sistemi elettronici come ACC, ABS, ESP, ecc., mentre gli altri, i passivi, riguardano le conseguenze di quando si è già verificato un incidente, e quindi le cinture di sicurezza ma anche sistemi elettronici come airbag, pretensionatori, ecc.
I sistemi elettronici per la sicurezza attiva e passiva devono essere protetti dal punto di vista funzionale in quanto i malfunzionamenti di questi sistemi possono lesioni ai passeggeri del veicolo. Dunque la functional safety si concentra principalmente sui rischi derivanti da errori hardware casuali e/o errori sistematici nella progettazione dell’intero sistema, per lo sviluppo di hardware o software, o nella produzione, fino alla messa in servizio, riparazione e ritiro, del sistema.
A tal fine, la ISO 26262 comprende 10 sezioni con circa 750 clausole spalmate su circa 450 pagine, che trattano della progettazione del sistema, ovvero l'hardware, il software e i processi di sviluppo associati.
Il ciclo di vita della safety regola l'identificazione, la progettazione, il monitoraggio e la valutazione dei vari elementi coinvolti in un modello a V del settore automotive. Il termine "functional safety" non deve essere confuso, o peggio ancora equiparato alle caratteristiche del prodotto, con affidabilità, disponibilità e sicurezza.
  1. Affidabilità: descrive la probabilità che in un sistema sia eseguita la funzione assegnata in un determinato periodo di tempo.
  2. Disponibilità: descrive in percentuale l'intero ciclo di vita di un sistema durante il quale può essere utilizzato per eseguire una determinata funzione assegnata.
La norma ISO 26262 non è uno standard di certificazione e pertanto non contiene clausole che regolano le certificazioni. Dal punto di vista dello standard, non vi è alcun obbligo di certificare sistemi, componenti o processi, tantomeno è direttamente rilevante per la registrazione del veicolo. L'esperienza nell'attuazione della norma ISO 26262 degli esperti del settore ha riportato che la maggior parte di chi provvede all’applicazione dello standard consente di ottenere una valida valutazione esterna e una certificazione. Il contenuto di questi controlli è attualmente in fase di definizione da parte degli organismi di certificazione competenti.
Da un punto di vista normativo la ISO 26262, non comporta alcun cambiamento diretto nella situazione legale per l’omologazione. Difatti continuano ad applicarsi le disposizioni relative alla responsabilità per i prodotti difettosi. Per quanto riguarda gli altri aspetti legali come l'inversione dell'onere della prova, si fa riferimento alle pubblicazioni giuridiche pertinenti. In generale, gli standard professionali sono considerati rilevanti nel valutare lo "stato dell'arte", il che significa che la ISO 26262 ha una importanza legale indiretta.
Lo scopo del Development Interface Agreement (DIA), consiste nel dettagliare l'accordo esplicitato tra le aziende coinvolte per lo sviluppo di sistemi o componenti E/E. Non è sufficiente che un cliente faccia semplicemente una richiesta generale al suo fornitore di lavorare in un "modo conforme a ISO 26262" o semplicemente di indicare una particolare classificazione di sicurezza. Un accordo esplicito a livello tecnico, in particolare sugli obiettivi di sicurezza, sulla classificazione degli obiettivi di sicurezza e sulle misure di sicurezza da attuare, ecc., serve per garantire lo sviluppo di un prodotto rispettando i requisiti di safety al di là dell’obiettivo di vendita.

Come la functional safety viene raggiunta secondo ISO 26262?

Il ciclo di vita della safety inizia con una definizione del sistema da considerare a livello di veicolo. A scopo illustrativo, consideriamo a titolo di esempio un sistema di airbag. Il passo successivo consiste nell'eseguire un'analisi e una valutazione del rischio per il sistema in considerazione. Un potenziale pericolo in un sistema di airbag potrebbe essere che involontariamente si gonfi l'airbag e quindi un obiettivo di sicurezza che deve essere determinato, in questo esempio, è di evitare che l'airbag si gonfi involontariamente. In genere, sono classificati e a mano a mano identificati un numero elevato di obiettivi di sicurezza.
Ogni obiettivo di sicurezza è classificato in conformità con QM o con una delle quattro possibili classi di sicurezza, denominate ASIL (Automotive Safety Integrity Level) nello standard i quattro livelli sono da ASIL-A ad ASIL-D.
Il punteggio "QM" indica che in un sistema di gestione della qualità standard, ad esempio è in conformità con ISO/TS 16949 e l'osservanza di standard stabiliti come Automotive SPICE sono sufficienti per raggiungere l'obiettivo di sicurezza corrispondente e che non devono essere presi ulteriori requisiti dalla ISO 26262 per soddisfare la conformità di classe che deve raggiungere.
Per rendere l’idea, un rating prossimo ad "ASIL-A" in conformità con la ISO 26262 indica che la classificazione di sicurezza più bassa, mentre ad "ASIL D" quella più alta. L'ASIL è determinato per ciascun obiettivo di sicurezza con l'aiuto di una tabella di assegnazione contenuta nello standard. Tre parametri sono valutati in ciascun caso:
  • Esposizione: quanto spesso il veicolo si trova in una situazione in cui le persone coinvolte, ad es. conducente, passeggeri o altri utenti della strada, possono essere messi a rischio e quanto le persone coinvolte possono gestire bene una violazione dell'obiettivo di sicurezza. 
  • Gravità: quantifica la gravità delle conseguenze che potrebbero derivare da una violazione dell'obiettivo di sicurezza.
L'inflazione involontaria dell'airbag è generalmente classificata come "ASIL D."
Gli obiettivi di sicurezza devono essere implementati in accordo con gli ASIL classificati. In altre parole, devono essere implementati processi e metodi adeguati per evitare errori sistematici ed inoltre devono essere applicati i requisiti aggiuntivi corrispondenti al prodotto per correggere i difetti tecnici. Questo viene fatto inizialmente definendo un concetto di sicurezza funzionale. Nel caso in esempio, questo potrebbe essere un concetto di ridondanza comprendente un canale di controllo e di monitoraggio indipendente. L'airbag si gonfia solo se entrambi i canali sono in accordo tra loro. Gli aspetti tecnici vengono quindi illustrati in un concetto di sicurezza tecnica. Nel caso in esempio, un'architettura di sicurezza potrebbe essere definita con un numero sufficiente di sensori indipendenti, cosicché ogni canale deve abilitare il circuito di trigger indipendentemente per il concetto di sicurezza funzionale da realizzare. L'architettura potrebbe anche includere misure di sicurezza implementate al di fuori del sistema E/E, ad esempio utilizzando misure preventive meccaniche. L'attuazione di tali misure, tuttavia, non rientra nell'ambito di applicazione della norma ISO 26262. A tale riguardo occorre tenere conto delle norme corrispondenti. I requisiti di sicurezza hardware e software sono determinati in base al concetto di sicurezza tecnica. Sono degli obiettivi particolarmente importanti da raggiungere o da far mantenere un’indipendenza nelle strutture di sistema ridondanti e per raggiungere metriche specifiche nella valutazione dell'hardware ("metrica di errore a punto singolo", "metrica di errore latente").
L'integrazione di sistema è seguita dalla convalida della sicurezza, dalla valutazione della sicurezza funzionale e dal rilascio per la produzione, in base ai requisiti specifici della norma ISO 26262 sulla base della classificazione ASIL degli obiettivi di sicurezza. L'ambito della norma copre anche la produzione e il funzionamento del sistema fino alla sua disattivazione sul campo. L'airbag è un esempio particolarmente valido che il gonfiaggio non intenzionale dell'airbag deve essere evitato anche alla fine del ciclo di vita del prodotto.

Considerazioni da fare:

ISO26262 può portare a interpretazioni multiple ed errate. In quanto la terminologia ISO26262 viene ancora spesso letta come la IEC61508 che porta a molti fraintendimenti. Un dei quali l’item:
    • su IEC61508: Item è un elemento del sistema di controllo finale
    • su ISO26262: Item è il sistema finale a livello di veicolo
  • Molte società/consulenti sono tuttora ancora molto focalizzati su IEC61508
  • L'industria automobilistica ha diversi vincoli da considerare
  • Spesso i concetti di sicurezza, di robustezza e di affidabilità sono confusi
    • I requisiti tecnici di sicurezza sono mappati agli elementi del sistema che sono basati su hardware su software.
  • Se un componente di sistema non funziona:
  1. Significa che è necessario specificare quale errore rileverà (autocontrollo)
  2. Deve essere presente una reazione che permetta il passaggio del sistema in uno stato sicuro.
  3. Dopo lo sviluppo di hardware e software è presente l'integrazione hardware e software, seguita dall'integrazione del sistema e dall'integrazione del veicolo. Con conseguenti:
    1. Test sperimentali (tempo e costi)
    2. Riconfigurazione di HW e SW
    3. Comportamento del tempo (Analytics)
    4. Indipendenza e interferenze

Commenti

  1. obicri-wa_199025 aprile, 2022 18:05

    Questo commento è stato eliminato da un amministratore del blog.

    RispondiElimina
  2. AcongpuWerha26 agosto, 2022 20:34

    Questo commento è stato eliminato da un amministratore del blog.

    RispondiElimina

Posta un commento

Post popolari in questo blog

AUTOSAR

Immagine
Cos'è AUTOSAR? AUTomotive Open System ARchitecture (AUTOSAR) è un'architettura software open ed è standardizzata congiuntamente dai produttori di vetture, dai fornitori e dai sviluppatori di tool. Lo standard AUTOSTAR abilita l'uso dei componenti basati su una modulazione progettuale del software per i sistemi veicolari. Il model design utilizza componenti del software applicativo, i quali sono indirizzati a componenti astratti chiamati Virtual Funtion Bus . I componenti del software applicativo possono essere visti come i pezzi più piccoli di una applicazione software in cui sono implementate delle specifiche funzionalità e grazie all'integrazione di questi componenti si produce il software di un'applicazione. Avere delle interfacce standardizzate AUTOSAR  per tutti i componenti software rende possibile la gestione delle differenti applicazioni automotive. I virtual function bus connettono i differenti componenti software al modello progettato. I co
Continua a leggere

LIN Local Interconnect Network

Immagine
Il protocollo Local Interconnect Network (LIN) si basa sulla tecnologia Volcano-Lite sviluppata dallo spin-out di proprietà Volvo: Volcano Communications Technology (VCT). Poiché anche altre case automobilistiche erano interessate a un'alternativa più economica a CAN, è stato creato il comitato LIN. A metà del 1999 abbiamo il primo rilascio del protocollo LIN (1.0). Il protocollo è stato aggiornato due volte nel 2000. Nel novembre 2002 è stato rilasciato LIN 1.3 con modifiche principalmente apportate a livello fisico. L'ultima versione LIN 2.0 è stata rilasciata nel 2003.  Con LIN 2.0 sono arrivate alcune importanti modifiche e anche alcune nuove funzionalità come la diagnostica. Le modifiche sono mirate principalmente a semplificare l'uso dei nodi slave standardizzati. Aree di utilizzo Il protocollo LIN è di solito associato ai protocolli CAN e SAE J1850 per applicazioni che non sono critiche in termini di tempo o che non richiedono un'estrema tolleranza agli errori, p
Continua a leggere