ISO 26262

ISO 26262, mit dem Titel "Road Vehicles - Functional Safety", ist ein internationaler Standard für Funktionssicherheit von elektrischen und/oder elektronischen Systemen, die in seriellen Produktionsfahrzeugen (mit Ausnahme von Mopeds) installiert sind, definiert von der Internationale Standardisierungsorganisation (ISO) im Jahr 2011 und überarbeitet im Jahr 2018.

Überblick über den Standard

Funktionelle Sicherheitsmerkmale sind ein integraler Bestandteil von jedem Automobil Produktentwicklungsphase, von der Spezifikation über Entwurf, Implementierung, Integration, Überprüfung, Validierung und Produktionsfreigabe. Der Standard ISO 26262 ist eine Anpassung des funktionalen Sicherheitsstandards IEC 61508 Für Automobile Elektrik/Elektronische Systeme. ISO 26262 definiert die funktionale Sicherheit für Automobilgeräte, die während des gesamten Lebenszyklus aller elektronischen und elektrischen Sicherheitssysteme des Automobils anwendbar sind.

Die erste Ausgabe (ISO 26262: 2011), die am 11. November 2011 veröffentlicht wurde Autos"Mit einem maximalen Bruttogewicht von 3500 kg. Die zweite Ausgabe (ISO 26262: 2018), die im Dezember 2018 veröffentlicht wurde Fahrzeuge außer Mopeds.[1]

Der Standard zielt darauf ab, mögliche Gefahren durch das fehlerhafte Verhalten elektronischer und elektrischer Systeme in Fahrzeugen zu beheben. Obwohl der Standard mit dem Titel "Straßenfahrzeuge - Funktionssicherheit" bezieht, bezieht sich der Standard auf die funktionelle Sicherheit von elektrischen und elektronischen Systemen sowie die der Systeme als Ganzes oder ihrer mechanischen Subsysteme.

Wie sein Elternstandard, IEC 61508ISO 26262 ist ein risikobasierter Sicherheitsstandard, bei dem das Risiko gefährlicher Betriebssituationen qualitativ bewertet wird und Sicherheitsmaßnahmen definiert werden, um systematische Fehler zu vermeiden oder zu kontrollieren und zufällige Hardwarefehler zu erkennen oder zu steuern oder ihre Auswirkungen zu mildern.

Ziele von ISO 26262:

  • Bietet einen Lebenszyklus für die Automobilsicherheit (Management, Entwicklung, Produktion, Betrieb, Service, Stilllegung) und unterstützt die Anpassung der erforderlichen Aktivitäten in diesen Lebenszyklusphasen.
  • Deckt funktionale Sicherheitsaspekte des gesamten Entwicklungsprozesses ab (einschließlich Aktivitäten wie Anforderungsspezifikation, Design, Implementierung, Integration, Überprüfung, Validierung und Konfiguration).
  • Bietet einen automobilspezifischen risikobasierten Ansatz zur Bestimmung von Risikokassen (Integritätsniveaus für Automobilsicherheit, Asils).
  • Verwendet ASILs, um die erforderlichen Sicherheitsanforderungen des Artikels anzugeben, um eine akzeptable zu erreichen Restrisiko.
  • Bietet Anforderungen an Validierungs- und Bestätigungsmaßnahmen, um sicherzustellen, dass ein ausreichendes und akzeptables Sicherheitsniveau erreicht wird.[2]

Teile von ISO 26262

ISO 26262: 2018 besteht aus zwölf Teilen, zehn normativen Teilen (Teile 1 bis 9 und 12) und zwei Richtlinien (Teile 10 und 11):

  1. Wortschatz
  2. Management der funktionalen Sicherheit
  3. Konzeptphase
  4. Produktentwicklung auf Systemebene
  5. Produktentwicklung auf Hardwareebene
  6. Produktentwicklung auf Softwareebene
  7. Produktion, Betrieb, Service und Stilllegung
  8. Unterstützende Prozesse
  9. ASIL (Automotive Safety Integrity Level) -orientierte und sicherheitsorientierte Analyse
  10. Richtlinien zu ISO 26262
  11. Richtlinien zur Anwendung von ISO 26262 auf Halbleiter
  12. Anpassung von ISO 26262 für Motorräder

Im Vergleich dazu bestand ISO 26262: 2011 aus nur 10 Teilen mit etwas anderer Namen:

  • Teil 7 wurde gerade genannt Produktion und Betrieb
  • Teil 10 wurde benannt Richtlinie ... Anstatt von Richtlinien ...
  • Teile 11 und 12 existierten nicht.

Teil 1: Wortschatz

ISO 26262 Gibt ein Vokabular (ein Projektglossar) von Begriffen, Definitionen und Abkürzungen für die Anwendung in allen Teilen des Standards an.[1] Von besonderer Bedeutung ist die sorgfältige Definition von Fehler, Error, und Versagen Da diese Begriffe der Schlüssel zu den Definitionen der funktionalen Sicherheitsprozesse des Standards sind, sind[3] besonders in der Überlegung, dass "a Fehler kann sich als eine manifestieren Error ... und die Error kann letztendlich a verursachen Versagen".[1] Ein resultierender Fehlfunktion das hat a gefährlich Effekt stellt einen Verlust von dar Funktionssicherheit.

Artikel
Innerhalb dieses Standards, Artikel ist ein Schlüsselbegriff. Artikel wird verwendet, um sich auf ein bestimmtes System (oder eine Kombination von Systemen) zu beziehen, auf das der ISO 26262 Sicherheitslebenszyklus wird angewendet, das eine Funktion (oder einen Teil einer Funktion) auf Fahrzeugebene implementiert. Das heißt, das Artikel ist das am höchsten identifizierte Objekt im Prozess und dadurch der Ausgangspunkt für die produktspezifische Sicherheitsentwicklung nach diesem Standard.
Element
Entweder ein System, a Komponente (bestehend aus Hardware -Teilen und/oder Softwareeinheiten), einem einzelnen Hardware -Teil oder einer einzelnen Softwareeinheit - effektiv alles in einem System, das eindeutig identifiziert und manipuliert werden kann.
Fehler
Abnormaler Zustand, der eine verursachen kann Element oder an Artikel Versagen.
Fehler
Diskrepanz zwischen einem berechneten, beobachteten oder gemessenen Wert oder Zustand und dem wahren, angegebenen oder theoretisch korrekten Wert oder Zustand.
Versagen
Beendigung eines beabsichtigten Verhaltens eines Element oder an Artikel Aufgrund eines Fehler Manifestation.
Fehlertoleranz
Fähigkeit, eine bestimmte Funktionalität in Gegenwart eines oder mehrerer spezifizierter Funktionen zu liefern Fehler.
Fehlfunktionen Verhalten
Versagen oder unbeabsichtigtes Verhalten von a Artikel in Bezug auf seine Entwurfsabsicht.
Gefahr
Potenzielle Quelle von Schaden (Körperverletzung oder gesundheitliche Schäden) verursacht durch fehlerhaftes Verhalten der Artikel.
Funktionssicherheit
Fehlen eines unangemessenen Risikos durch Gefahren verursacht durch fehlerhaftes Verhalten von elektrischen/elektronischen Systemen.

Notiz: Im Gegensatz zu anderen Funktionssicherheit Standards und die aktualisierten ISO 26262: 2018, Fehlertoleranz wurde in ISO 26262: 2011 nicht explizit definiert - da es unmöglich wurde, alle möglichen Fehler in einem System zu verstehen.[4]

Notiz: ISO 26262 verwendet die nicht IEC 61508 Begriff Sicherer Versagen (SFF). Die Begriffe Einzelpunktfehler metrisch und latente Fehler metrisch werden stattdessen verwendet.[5]

Teil 2: Management der funktionalen Sicherheit

ISO 26262 bietet einen Standard für Funktionssicherheit Management für Automobilanwendungen, Definieren von Standards für das gesamte organisatorische Sicherheitsmanagement sowie Standards für a Sicherheitslebenszyklus Für die Entwicklung und Produktion einzelner Automobilprodukte.[6][7][8][9] Der im nächsten Abschnitt beschriebene ISO 26262 -Sicherheitslebenszyklus betrifft die folgenden Sicherheitsmanagementkonzepte:[1]

Gefährliche Ereignis
A gefährliche Ereignis ist eine relevante Kombination aus Fahrzeugebene Gefahr und eine operative Situation des Fahrzeugs mit Potenzial, zu einem Unfall zu führen, wenn er nicht von der rechtzeitigen Fahreraktion kontrolliert wird.
Sicherheitsziel
A Sicherheitsziel ist eine Sicherheitsanforderung auf höchster Ebene, die einem System zugeordnet ist, um das Risiko eines oder mehrerer zu verringern gefährliche Ereignisse auf ein tolerierbares Niveau.
Integritätsniveau der Automobilsicherheit
Ein Integritätsniveau der Automobilsicherheit (ASIL) stellt eine Automobil-spezifische risikobasierte Klassifizierung von a dar Sicherheitsziel sowie die vom Standard erforderlichen Validierungs- und Bestätigungsmaßnahmen, um die Erreichung dieses Ziels zu gewährleisten.
Sicherheitsanforderung
Sicherheitsanforderungen alles inklusive Sicherheitsziele und alle Anforderungen, die von den Sicherheitszielen bis hin zu den niedrigsten Maßstäben für funktionale und technische Sicherheitsanforderungen, die Hardware- und Softwarekomponenten zugewiesen wurden, zerlegt werden.

Teile 3-7: Sicherheitslebenszyklus

Prozesse innerhalb der ISO 26262 Sicherheitslebenszyklus Identifizieren und bewerten Sie die Gefahren (Sicherheitsrisiken), stellen Sie spezifische Sicherheitsanforderungen fest, um diese Risiken auf akzeptable Niveaus zu reduzieren, und verwalten und verfolgen Sie diese Sicherheitsanforderungen, um eine angemessene Gewissheit zu erzeugen, dass sie im gelieferten Produkt erreicht werden. Diese sicherheitsrelevanten Prozesse können als integriert oder parallel zu einem verwalteten Anforderungen Lebenszyklus eines konventionellen Anforderungen angesehen werden Qualitätsmanagementsystem:[10][11]

  1. Ein Artikel (Ein bestimmtes Produkt des Automobilsystems) wird identifiziert und seine Funktionsanforderungen auf höchster Ebene sind definiert.
  2. Eine umfassende Reihe von gefährliche Ereignisse werden für die identifiziert Artikel.
  3. Ein ASIL wird jedem zugeordnet gefährliche Ereignis.
  4. A Sicherheitsziel wird für jeden bestimmt gefährliche Ereignis, Erben des ASIL der Gefahr.
  5. Eine Fahrzeugebene Funktionales Sicherheitskonzept definiert a Systemarchitektur um die zu gewährleisten Sicherheitsziele.
  6. Sicherheitsziele werden in niedrigerer Ebene verfeinert Sicherheitsanforderungen.
    (Im Allgemeinen erbt jede Sicherheitsanforderung die ASIL der Sicherheitsanforderung/des Ziels der Eltern. Vorbehaltlich von Einschränkungen kann der ererbte ASIL durch Zerlegung einer Anforderung in redundante Anforderungen gesenkt werden, die durch ausreichend unabhängige redundante Komponenten implementiert werden.)
  7. "Sicherheitsanforderungen" werden zugewiesen Architekturkomponenten (Subsysteme, Hardwarekomponenten, Softwarekomponenten)
    (Im Allgemeinen sollte jede Komponente in Übereinstimmung mit den vorgeschlagenen Standards und Prozessen entwickelt werden, die für den höchsten ASIL der ihm zugewiesenen Sicherheitsanforderungen erforderlich sind.)
  8. Die architektonischen Komponenten sind dann aufgetreten und bestätigt in Übereinstimmung mit den zugewiesenen Sicherheitsanforderungen (und funktional).

Teil 8: Unterstützungsprozesse

ISO 26262 definiert Ziele für integrale Prozesse, die für die Sicherheitslebenszyklusprozesse unterstützt werden, jedoch in allen Phasen kontinuierlich aktiv sind, und definiert auch zusätzliche Überlegungen, die die Erreichung allgemeiner Prozessziele unterstützen.

  • Kontrollierte Unternehmensoberflächen für den Fluss von Zielen, Anforderungen und Steuerelementen an alle Lieferanten in Verteilte Entwicklungen
  • Explizite Spezifikation der Sicherheitsanforderungen und ihres Managements während des gesamten Sicherheitslebenszyklus
  • Konfigurationssteuerung von Arbeitsprodukten mit einer formalen eindeutigen Identifizierung und Reproduzierbarkeit der Konfigurationen, die Rückverfolgbarkeit zwischen abhängigen Arbeitsprodukten und Identifizierung aller Änderungen der Konfiguration ermöglichen
  • Formell Änderungsmanagement, einschließlich der Verwaltung der Auswirkungen von Änderungen auf die Sicherheitsanforderungen, zum Zwecke der Gewissheit der Entfernung erkannter Mängel sowie zur Produktänderung ohne Einführung von Gefahren
  • Planung, Kontrolle und Berichterstattung über die Überprüfung von Arbeitsprodukten, einschließlich Überprüfung, Analyse und Tests, mit Regressionsanalyse von erkannten Defekten an ihrer Quelle
  • Geplante Identifizierung und Verwaltung aller Dokumentation (Arbeitsprodukte), die in allen Phasen des Sicherheitslebenszyklus erstellt wurden, um das kontinuierliche Management der funktionalen Sicherheits- und Sicherheitsbewertung zu erleichtern
  • Vertrauen in Softwaretools (Qualifikation von Softwaretools für die beabsichtigte und tatsächliche Verwendung)
  • Qualifikation zuvor entwickelter Software- und Hardwarekomponenten zur Integration in das derzeit entwickelte ASIL -Element
  • Nutzung von Service -History -Beweisen, um zu argumentieren, dass sich ein Artikel für den beabsichtigten ASIL ausreichend sicher erwiesen hat

Teil 9: Automobilsicherheitsintegritätsniveau (ASIL) -orientierte und sicherheitsorientierte Analyse

Integritätsniveau der Automobilsicherheit Bezieht sich auf eine abstrakte Klassifizierung des inhärenten Sicherheitsrisikos in einem Automobilsystem oder Elemente eines solchen Systems. ASIL -Klassifizierungen werden innerhalb von ISO 26262 verwendet, um das zur Verhinderung eines spezifische Gefahrens erforderliche Risikominderung auszudrücken, wobei ASIL D den höchsten Gefahrenniveau und ASIL A am niedrigsten darstellt. Der für eine bestimmte Gefahr beurteilte ASIL wird dann dem Sicherheitsziel zugeordnet, um diese Gefahr zu erreichen, und wird dann durch die Sicherheitsanforderungen vererbt, die aus diesem Ziel abgeleitet wurden.[12]

Übersicht über ASIL Assessment

Die Bestimmung von Asil ist das Ergebnis von Gefahrenanalyse und Risikobewertung.[13] Im Kontext von ISO 26262 wird eine Gefahr basierend auf den relativen Auswirkungen gefährlicher Effekte im Zusammenhang mit einem System bewertet, die an relative Wahrscheinlichkeiten der Gefahr angepasst sind, die diese Effekte manifestiert. Das heißt, jedes gefährliche Ereignis wird im Hinblick auf die Schwere möglicher Verletzungen im Rahmen der relativen Zeitspanne bewertet Verletzung.[14]

ASIL -Bewertungsprozess

Zu Beginn der SicherheitslebenszyklusEs erfolgt die Gefahrenanalyse und die Risikobewertung, was zu einer Bewertung von ASIL an allen identifizierten gefährlichen Ereignissen und Sicherheitszielen führt.

Jeder gefährliche Ereignis wird nach dem klassifiziert Schwere (S) von Verletzungen Es ist zu erwarten, dass es verursacht wird:

Schweregradklassifikationen (en):
S0 Keine Verletzungen
S1 Leichte bis mittelschwere Verletzungen
S2 Schwere bis lebensbedrohliche (Überlebensvorschriften) Verletzungen
S3 Lebensbedrohlich (Überleben unsicher) zu tödlichen Verletzungen

Risikomanagement Erkennt an, dass die Berücksichtigung der Schwere einer möglichen Verletzung durch die Wahrscheinlichkeit geändert wird, wie wahrscheinlich die Verletzung geschehen soll. Das heißt, für ein bestimmtes Gefahren wird ein gefährliches Ereignis als geringeres Risiko angesehen, wenn es weniger wahrscheinlich ist. Innerhalb der Gefahrenanalyse und Risikobewertung Prozess dieses Standards, die Wahrscheinlichkeit einer schädlichen Gefahr wird nach einer Kombination von weiter klassifiziert

Exposition (E) (die relativ erwartete Häufigkeit der Betriebsbedingungen, unter denen die Verletzung möglicherweise auftreten kann) und
Kontrolle (C) (die relative Wahrscheinlichkeit, dass der Fahrer handeln kann, um die Verletzung zu verhindern).
Expositionsklassifikationen (e):
E0 Unglaublich unwahrscheinlich
E1 Sehr geringe Wahrscheinlichkeit (Verletzungen könnten nur unter seltenen Betriebsbedingungen auftreten)
E2 Geringe Wahrscheinlichkeit
E3 Mittlere Wahrscheinlichkeit
E4 Hohe Wahrscheinlichkeit (Verletzungen könnten unter den meisten Betriebsbedingungen auftreten)
Kontrollierbarkeit Klassifizierungen (c):
C0 Steuerbar im Allgemeinen
C1 Einfach steuerbar
C2 Normalerweise kontrollierbar (die meisten Fahrer könnten wirken, um eine Verletzung zu verhindern)
C3 Schwer zu kontrollieren oder unkontrollierbar

In Bezug auf diese Klassifizierungen ein Integrität der Automobilsicherheit D. gefährliche Ereignis (abgekürzt ASIL d) ist definiert als ein Ereignis, das eine vernünftige Möglichkeit hat, eine lebensbedrohliche (Überlebens ungewiss) oder tödliche Verletzungen zu verursachen, wobei die Verletzung unter den meisten Betriebsbedingungen physisch möglich ist, und mit wenig Wahrscheinlichkeit kann der Fahrer etwas tun, um die Verletzung zu verhindern. Das ist, ASIL d ist die Kombination von S3-, E4- und C3 -Klassifikationen. Für jede einzelne Verringerung einer dieser Klassifizierungen von ihrem Maximalwert (ohne Reduktion von C1 auf C0) gibt es eine einstufige Verringerung des ASIL von einer einstufigen Verringerung von D.[15] [Zum Beispiel könnte ein hypothetisches unkontrollierbares (C3) -Stödlicher Verletzungsgefahren (S3) als klassifiziert werden ASIL a Wenn die Gefahr eine sehr geringe Wahrscheinlichkeit hat (E1).] Der ASIL -Wert unten A ist die niedrigste Ebene, QM. QM bezieht sich auf die Überlegung des Standards, dies unten ASIL a; Es gibt keine Sicherheitsrelevanz und es sind nur Standard -Qualitätsmanagementprozesse erforderlich.[13]

Diese Schweregrad-, Expositions- und Kontrolldefinitionen sind informativ, nicht vorschreibend und lassen einen gewissen Raum für subjektive Variationen oder Diskretion zwischen verschiedenen Autoherstellern und Komponentenlieferanten.[14][16] Als Antwort auf die Society for Automotive Safety Engineers (SAE) hat ausgegeben J2980 - Überlegungen zur ISO26262 ASIL Hazard -Klassifizierung Um explizitere Leitlinien für die Bewertung von Exposition, Schweregrad und Kontrollierbarkeit für eine bestimmte Gefahr zu erhalten.[17]

Siehe auch

Verweise

  1. ^ a b c d ISO 26262-1: 2018 (EN) Straßenfahrzeuge-Funktionssicherheit-Teil 1: Wortschatz. Internationale Standardisierungsorganisation.
  2. ^ "ISO 26262 Software Compliance: Erreichen funktionaler Sicherheit in der Automobilindustrie" Weißes Papier von Parasoft
  3. ^ ISO 26262-1: 2018 (EN) Straßenfahrzeuge-Funktionssicherheit-Teil 10: Richtlinien zu ISO 26262. Internationale Standardisierungsorganisation.
  4. ^ Greb, Karl; Seely, Anthony (2009). Entwurf von Mikrocontrollern für sicherheitskritischen Betrieb (ISO 26262 Schlüsselunterschiede von IEC 61508) (PDF). Armtechcon. Archiviert von das Original (PDF) Am 2015-09-06.
  5. ^ Boercsoek, J.; Schwarz, M.; Ugljesa, e.; Holub, P.; Hayek, A. (2011). Konzept des Hochverfügbarkeits-Controller für Lenksysteme: Der abbaubare Sicherheitscontroller (PDF). Jüngste Forschungen in Schaltkreisen, Systemen, Kommunikation und Computern. WSEAS. S. 222–228. Abgerufen 2016-04-17.
  6. ^ ISO 26262-2: 2011, "Management der Funktionssicherheit" (Zusammenfassung)
  7. ^ Greb, Karl (2012). Funktionelle Sicherheit und ISO 26262 (PDF). Die Konferenz und Ausstellung angewandten Strome Elektronik, Branchensitzungen. Apec. p. 9.[Dead Link]
  8. ^ Blanquart, Jean-Paul; Astruc, Jean-Marc; BAUFRETON, Philippe; Boulanger, Jean-Louis; Delseny, Hervé; Gassino, Jean; Damen, Gérard; Ledinot, Emmanuel; Leeman, Michel; Machrouh, Joseph; Quéré, Philippe; Ricque, Bertrand (2012). Kritikalitätskategorien über Sicherheitsstandards in verschiedenen Bereichen hinweg (PDF). ERTS2 Kongress. Eingebettete Echtzeit -Software und -Systeme. S. 3–4. Archiviert von das Original (PDF) am 2016-04-17.
  9. ^ ISO 26262-10: 2012 (E), "Richtlinie zu ISO 26262", S. 2-3.
  10. ^ Min Koo Lee; Sung-hoon Hong; Dong-Chun Kim; Hyuck Moo Kwon (2012). "Einbeziehung des ISO 26262 -Entwicklungsprozesses in DFSS" (PDF). Proceedings der Konferenz der Asien -Pazifik -Industrie- und Managementsysteme für Systeme und Managementsysteme: 1128 (Abbildung 2). Archiviert von das Original (PDF) 2013-09-15. Abgerufen 2013-08-01.
  11. ^ Juergen Belz (2011-07-28). Der ISO 26262 Sicherheitslebenszyklus. Archiviert von das Original Am 2014-02-23.
  12. ^ Glossar, v2.5.0 (PDF). Autosar. p. 19. archiviert von das Original (PDF) Am 2014-02-22. Abgerufen 2014-02-16.
  13. ^ a b ISO 26262-3: 2011 (EN) Straßenfahrzeuge-Funktionssicherheit-Teil 3: Konzeptphase. Internationale Standardisierungsorganisation.
  14. ^ a b Hobbs, Chris; Lee, Patrick (2013-07-09). ISO 26262 ASILS verstehen. Elektronisches Design. Eingebettete Technologien. Penton Electronics Group.
  15. ^ Martínez LH, Khursheed S., Reddy SM. LFSR -Erzeugung für hohe Testabdeckung und Low -Hardware -Overhead. IET -Computer und digitale Techniken. 2019 21. August.UOL -Repository
  16. ^ Van Eikema Hommes, Dr. Qi (2012). Bewertung des ISO 26262 -Standards "Straßenfahrzeuge - funktionale Sicherheit" (PDF). SAE 2012 Government/Industry Meeting. John A. Volpe National Transportation System Center: SAE. p. 9.
  17. ^ J2980 - Überlegungen zur ISO 26262 ASIL Hazard -Klassifizierung. SAE International. Archiviert vom Original am 2018-10-26.
  18. ^ "Beziehung zwischen ISO 26262 und IEC 61508". ez.analog.com. Abgerufen 2021-04-11.
  19. ^ "Automotive gegen industrielle funktionale Sicherheit". ez.analog.com. Abgerufen 2021-04-11.
  20. ^ "IEC 60730-1: 2013+AMD1: 2015+AMD2: 2020 CSV | IEC Webstore". webstore.iec.ch. Abgerufen 2021-04-11.

Externe Links