Некоторые части этой статьи (относящиеся к частям 2–9 стандарта) нуждаются в обновлении . ноябрь 2018 г. ) ( |
ISO 26262 под названием «Дорожные транспортные средства - Функциональная безопасность» - это международный стандарт функциональной безопасности электрических и / или электронных систем, устанавливаемых на серийные дорожные транспортные средства (за исключением мопедов), определенный Международной организацией по стандартизации (ISO) в 2011 г. и пересмотрено в 2018 г.
Обзор стандарта [ править ]
Функции функциональной безопасности являются неотъемлемой частью каждого этапа разработки автомобильной продукции, начиная от спецификации и заканчивая проектированием, внедрением, интеграцией, проверкой, валидацией и выпуском продукции. Стандарт ISO 26262 является адаптацией стандарта функциональной безопасности IEC 61508 для автомобильных электрических / электронных систем. ISO 26262 определяет функциональную безопасность автомобильного оборудования, применимую на протяжении всего жизненного цикла всех автомобильных электронных систем и систем, связанных с электрической безопасностью.
Первое издание (ISO 26262: 2011), опубликованное 11 ноября 2011 года, ограничивалось электрическими и / или электронными системами, установленными в «серийных легковых автомобилях » с максимальной полной массой 3500 кг. Второе издание (ISO 26262: 2018), опубликованное в декабре 2018 года, расширило сферу применения с легковых автомобилей на все дорожные транспортные средства, кроме мопедов . [1]
Стандарт направлен на устранение возможных опасностей, вызванных неправильной работой электронных и электрических систем в транспортных средствах. Хотя этот стандарт называется «Дорожные транспортные средства - Функциональная безопасность», он касается функциональной безопасности электрических и электронных систем, а также систем в целом или их механических подсистем.
Как и его родительский стандарт, IEC 61508 , ISO 26262 - это стандарт безопасности, основанный на оценке рисков, в котором качественно оценивается риск опасных эксплуатационных ситуаций и определяются меры безопасности для предотвращения или контроля систематических отказов, а также для обнаружения или контроля случайных отказов оборудования или смягчения их последствий. их эффекты.
Цели ISO 26262:
- Обеспечивает жизненный цикл автомобильной безопасности (управление, разработка, производство, эксплуатация, обслуживание, вывод из эксплуатации ) и поддерживает адаптацию необходимых действий на этих этапах жизненного цикла.
- Охватывает аспекты функциональной безопасности всего процесса разработки (включая такие действия, как спецификация требований, проектирование, реализация, интеграция, верификация, валидация и конфигурация).
- Предоставляет ориентированный на риски автомобильный подход для определения классов риска ( уровни целостности автомобильной безопасности , ASIL).
- Использует УПБА для определения необходимых требований безопасности к объекту для достижения приемлемого остаточного риска .
- Содержит требования к мерам валидации и подтверждения для обеспечения достижения достаточного и приемлемого уровня безопасности. [2]
Части ISO 26262 [ править ]
ISO 26262: 2018 состоит из двенадцати частей, десяти нормативных частей (части с 1 по 9 и 12) и двух руководящих принципов (части 10 и 11): (Требуется ссылка )
- Словарь
- Управление функциональной безопасностью
- Фаза концепции
- Разработка продукта на системном уровне
- Разработка продукта на аппаратном уровне
- Разработка продукта на уровне программного обеспечения
- Производство, эксплуатация, обслуживание и вывод из эксплуатации
- Вспомогательные процессы
- Анализ, ориентированный на уровень полноты безопасности автомобилей (ASIL) и ориентированный на безопасность
- Руководство по ISO 26262
- Руководство по применению ISO 26262 к полупроводникам
- Адаптация ISO 26262 для мотоциклов
Для сравнения, ISO 26262: 2011 состоит всего из 10 частей с немного разными именами:
- Часть 7 получила название « Производство и эксплуатация».
- Часть 10 была названа Руководством ... вместо Руководства ...
- Частей 11 и 12 не существовало.
Часть 1: Словарь [ править ]
ISO 26262 определяет словарь ( Глоссарий проекта ) терминов, определений и сокращений для применения во всех частях стандарта. [1] Особое значение имеет тщательное определение сбоя , ошибки и отказа, поскольку эти термины являются ключевыми для стандартных определений процессов функциональной безопасности [3], особенно с учетом того, что « сбой может проявляться как ошибка ... ... и ошибка в конечном итоге может привести к сбою ". [1] Возникшая неисправность , имеющая опасныйэффект представляет собой потерю функциональной безопасности .
- Предмет
- В рамках этого стандарта товар является ключевым термином. Элемент используется для обозначения конкретной системы (или комбинации систем), к которой применяется жизненный цикл безопасности ISO 26262 , которая реализует функцию (или часть функции) на уровне транспортного средства. То есть элемент является наивысшим идентифицированным объектом в процессе и, таким образом, является отправной точкой для разработки безопасности конкретного продукта в соответствии с этим стандартом.
- Элемент
- Либо система, компонент (состоящий из аппаратных частей и / или программных единиц), отдельная аппаратная часть или единый программный модуль - по сути, все в системе, что можно четко идентифицировать и манипулировать.
- Вина
- Ненормальное состояние, которое может привести к отказу элемента или элемента .
- Ошибка
- Несоответствие между вычисленным, наблюдаемым или измеренным значением или условием и истинным, заданным или теоретически правильным значением или условием.
- Отказ
- Прекращение предполагаемого поведения элемента или предмета из-за проявления неисправности .
- Отказоустойчивость
- Возможность предоставления определенной функциональности при наличии одной или нескольких указанных неисправностей .
- Неисправное поведение
- Отказ или непреднамеренное поведение элемента относительно его конструктивного замысла.
- Опасность
- Потенциальный источник вреда (физическая травма или повреждение здоровья), вызванный неправильной работой объекта .
- Функциональная безопасность
- Отсутствие необоснованного риска из-за опасностей, вызванных неправильной работой электрических / электронных систем.
Примечание. В отличие от других стандартов функциональной безопасности и обновленного стандарта ISO 26262: 2018, отказоустойчивость не была явно определена в ISO 26262: 2011, поскольку предполагалось, что невозможно понять все возможные отказы в системе. [4]
Примечание: ISO 26262 не использует термин IEC 61508 « доля безопасных отказов» (SFF). Термины разломы точечных метрические и скрытые недостатки метрические используются вместо этого. [5]
Часть 2: Управление функциональной безопасностью [ править ]
ISO 26262 обеспечивает стандарт для управления функциональной безопасностью для автомобильных приложений, определяя стандарты для общего управления безопасностью организации, а также стандарты для жизненного цикла безопасности для разработки и производства отдельных автомобильных продуктов. [6] [7] [8] [9] Жизненный цикл безопасности ISO 26262, описанный в следующем разделе, основан на следующих концепциях управления безопасностью: [1]
- Опасное событие
- Опасное событие является важным сочетанием транспортного уровня опасности и оперативной обстановки транспортного средства с потенциалом привести к аварии , если не контролируются своевременными действиями водителя.
- Цель безопасности
- Целью безопасности является требование безопасности верхнего уровня , который присваивается система, с целью снижения риска одного или более опасных событий до приемлемого уровня.
- Уровень целостности автомобильной безопасности
- Automotive Safety Integrity Level (ASIL) представляет собой автомобильные специфичный риск на основе классификации цели безопасности , а также меры , проверки и подтверждения требуемых стандарта для обеспечения достижения этой цели.
- Требование безопасности
- Требования безопасности включают в себя все цели безопасности и все уровни требований, разложенные от целей безопасности до самого низкого уровня функциональных и технических требований безопасности, назначенных аппаратным и программным компонентам.
Части 3-7: Жизненный цикл безопасности [ править ]
Процессы в рамках жизненного цикла безопасности ISO 26262 выявляют и оценивают опасности (риски безопасности), устанавливают конкретные требования безопасности для снижения этих рисков до приемлемых уровней, а также управляют и отслеживают эти требования безопасности, чтобы обеспечить разумную уверенность в том, что они выполняются в поставляемой продукции. Эти относящиеся к безопасности процессы можно рассматривать как интегрированные или работающие параллельно с жизненным циклом управляемых требований традиционной системы менеджмента качества : [10] [11]
- Элемент (конкретная система автомобильной продукции) идентифицируется и его система верхнего уровня функциональные требования определены.
- Исчерпывающий набор опасных событий идентифицируются для пункта .
- ASIL присваивается каждому опасному событию . (См. Часть 9 ниже)
- Цель безопасности определяется для каждого опасного события , наследуя ASİL опасности.
- Концепция функциональной безопасности на уровне транспортного средства определяет архитектуру системы для обеспечения целей безопасности .
- Цели безопасности преобразованы в требования безопасности более низкого уровня .
(В общем, каждое требование безопасности наследует ASIL своего родительского требования / цели безопасности. Однако с учетом ограничений унаследованное ASIL может быть понижено путем декомпозиции требования на избыточные требования, реализуемые достаточно независимыми избыточными компонентами.) - «Требования безопасности» назначаются архитектурным компонентам (подсистемам, аппаратным компонентам, программным компонентам)
(как правило, каждый компонент должен разрабатываться в соответствии со стандартами и процессами, предлагаемыми / необходимыми для наивысшего УПБА из назначенных ему требований безопасности). - Затем архитектурные компоненты разрабатываются и проверяются в соответствии с установленными требованиями безопасности (и функциональными требованиями).
Часть 8: Вспомогательные процессы [ править ]
ISO 26262 определяет цели для интегральных процессов, которые поддерживают процессы жизненного цикла безопасности, но постоянно активны на всех этапах, а также определяет дополнительные соображения, которые поддерживают достижение общих целей процесса.
- Контролируемые корпоративные интерфейсы для передачи целей, требований и средств управления всем поставщикам в распределенных разработках
- Четкое определение требований безопасности и управление ими на протяжении всего жизненного цикла безопасности.
- Контроль конфигурации рабочих продуктов с формальной уникальной идентификацией и воспроизводимостью конфигураций, обеспечивающий прослеживаемость между зависимыми рабочими продуктами и идентификацию всех изменений в конфигурации.
- Формальное управление изменениями , включая управление влиянием изменений на требования безопасности, в целях обеспечения устранения обнаруженных дефектов, а также для изменения продукта без введения опасностей.
- Планирование, контроль и отчетность о проверке рабочих продуктов, включая обзор, анализ и тестирование, с регрессионным анализом обнаруженных дефектов до их источника.
- Планируемая идентификация и управление всей документацией (рабочими продуктами), производимой на всех этапах жизненного цикла безопасности, для облегчения непрерывного управления функциональной безопасностью и оценкой безопасности
- Уверенность в программных средствах (квалификация программных средств для предполагаемого и фактического использования)
- Аттестация ранее разработанных программных и аппаратных компонентов для интеграции в разрабатываемый в настоящее время элемент УПБА
- Использование свидетельства истории обслуживания для доказательства того, что элемент оказался достаточно безопасным в использовании для предполагаемого УПБА.
Часть 9: Анализ, ориентированный на уровень полноты безопасности автомобилей (ASIL) и ориентированный на безопасность [ править ]
Уровень целостности автомобильной безопасности относится к абстрактной классификации рисков, присущих автомобильной системе или элементам такой системы. Классификации ASIL используются в ISO 26262 для выражения уровня снижения риска, необходимого для предотвращения конкретной опасности, при этом ASIL D представляет наивысший уровень опасности, а ASIL A - самый низкий. Затем ASIL, оцененный для данной опасности, назначается цели безопасности, установленной для устранения этой опасности, и затем наследуется требованиями безопасности, вытекающими из этой цели. [12]
Обзор оценки ASIL [ править ]
Определение УПБА является результатом анализа опасностей и оценки рисков . [13] В контексте ISO 26262 опасность оценивается на основе относительного воздействия опасных эффектов, связанных с системой, с поправкой на относительную вероятность опасности, проявляющейся в этих эффектах. То есть каждое опасное событие оценивается с точки зрения серьезности возможных травм в контексте относительного количества времени, в течение которого транспортное средство подвергается возможности возникновения опасности, а также относительной вероятности того, что типичный водитель может предпринять действия для предотвращения травма, повреждение. [14]
Процесс оценки ASIL [ править ]
В начале жизненного цикла безопасности выполняется анализ опасностей и оценка рисков, что приводит к оценке УПБА для всех идентифицированных опасных событий и целей безопасности.
Каждое опасное событие классифицируется в соответствии с серьезностью (S) травм, которые оно может вызвать:
- Классификация серьезности (S):
- S0 Без травм
- S1 Травмы легкой и средней степени тяжести
- S2 Тяжелые или опасные для жизни (вероятные для выживания) травмы
- S3 Опасные для жизни (выживание не определено) до смертельных травм
Управление рисками признает, что рассмотрение серьезности возможной травмы зависит от ее вероятности; то есть для данной опасности опасное событие считается меньшим риском, если вероятность его возникновения меньше. В рамках процесса анализа опасностей и оценки риска настоящего стандарта вероятность причинения вреда дополнительно классифицируется в соответствии с комбинацией следующих факторов:
- воздействие (E) (относительная ожидаемая частота условий эксплуатации, при которых может произойти травма) и
- контроль (C) (относительная вероятность того, что водитель сможет предотвратить травму).
- Классификация воздействия (E):
- E0 Невероятно маловероятно
- E1 Очень низкая вероятность (травма может произойти только в редких условиях эксплуатации)
- E2 Низкая вероятность
- E3 Средняя вероятность
- E4 Высокая вероятность (травма может произойти в большинстве рабочих условий)
- Классификация управляемости (C):
- C0 Управляемый в целом
- C1 Простое управление
- C2 Нормально управляемый (большинство водителей могут действовать, чтобы предотвратить травмы)
- C3 Трудно контролировать или неконтролируемый
С точки зрения этих классификаций, опасное событие уровня D целостности автомобильной техники (сокращенно УПБА D ) определяется как событие, имеющее разумную вероятность причинить опасную для жизни (не определенную выживаемость) или смертельную травму, при этом травма физически возможна в большинстве случаев эксплуатации. условий, и с небольшой вероятностью водитель может сделать что-нибудь, чтобы предотвратить травму. То есть ASIL D представляет собой комбинацию классификаций S3, E4 и C3. Для каждого отдельного сокращения в любой одной из этих классификаций от ее максимального значения ( за исключением уменьшения С1-С0), происходит уменьшение одноуровневый в ASİL от D . [15] [Например, гипотетическая опасность неконтролируемой (C3) смертельной травмы (S3) может быть классифицирована как УПБА A, если опасность имеет очень низкую вероятность (E1).] Уровень УПБА ниже A является самым низким уровнем, QM . QM относится к рассмотрению стандарта ниже ASIL A ; нет никакого отношения к безопасности, и требуются только стандартные процессы управления качеством. [13]
Эти определения серьезности, воздействия и контроля носят информативный, а не предписывающий характер и фактически оставляют место для субъективных различий или усмотрений между различными производителями автомобилей и поставщиками компонентов. [14] [16] В ответ Общество инженеров по безопасности автомобилей (SAE) выпустило документ J2980 «Соображения по классификации опасностей ASIL по ISO26262», чтобы предоставить более подробное руководство по оценке воздействия, серьезности и управляемости для данной опасности. [17]
См. Также [ править ]
- Уровень целостности автомобильной безопасности , сравнение с другими системами уровня безопасности
- ARP4754
- IEC 61508 (Соответствующий стандарт безопасности)
Ссылки [ править ]
- ^ a b c d ISO 26262-1: 2018 (ru) Транспорт дорожный. Функциональная безопасность. Часть 1. Словарь . Международная организация по стандартизации.
- ^ Официальный документ «Соответствие программного обеспечения ISO 26262: достижение функциональной безопасности в автомобильной промышленности» от Parasoft
- ^ ISO 26262-1: 2018 (ru) Транспорт дорожный - Функциональная безопасность - Часть 10: Руководство по ISO 26262 . Международная организация по стандартизации.
- ^ Греб, Карл; Сили, Энтони (2009). Проектирование микроконтроллеров для критически важных для безопасности операций (основные отличия ISO 26262 от IEC 61508) (PDF) . ARMtechcon. Архивировано из оригинального (PDF) 06.09.2015.
- ^ Boercsoek, J .; Schwarz, M .; Ugljesa, E .; Голуб, П .; Хайек, А. (2011). Концепция контроллера высокой готовности для систем рулевого управления: разлагаемый контроллер безопасности (PDF) . Недавние исследования в схемах, системах, коммуникациях и компьютерах. WSEAS. С. 222–228 . Проверено 17 апреля 2016 .
- ^ ISO 26262-2: 2011, «Менеджмент функциональной безопасности» (Аннотация)
- ^ Greb, Карл (2012). Функциональная безопасность и ISO 26262 (PDF) . Конференция и выставка прикладной силовой электроники, отраслевые секции. АТЭС. п. 9. [ мертвая ссылка ]
- ^ Blanquart, Жан-Поль; Астрюк, Жан-Марк; Бауфретон, Филипп; Буланже, Жан-Луи; Дельсени, Эрве; Гассино, Жан; Ладье, Жерар; Лединот, Эммануэль; Лиман, Мишель; Махру, Джозеф; Кере, Филипп; Рик, Бертран (2012). Категории критичности в стандартах безопасности в разных областях (PDF) . ERTS2 Конгресс. Встроенное программное обеспечение и системы реального времени. С. 3–4. Архивировано из оригинального (PDF) 17 апреля 2016 года.
- ^ ISO 26262-10: 2012 (E), "Руководство по ISO 26262", стр 2-3..
- ↑ Мин Ку Ли; Сон Хун Хонг; Донг-Чун Ким; Хёк Му Квон (2012). «Включение процесса разработки ISO 26262 в DFSS» (PDF) . Труды Азиатско-Тихоокеанской конференции по промышленному проектированию и системам управления : 1128 (Рисунок 2). Архивировано из оригинального (PDF) 15 сентября 2013 года . Проверено 1 августа 2013 .
- ↑ Юрген Белц (28 июля 2011 г.). Жизненный цикл безопасности ISO 26262 . Архивировано из оригинала на 2014-02-23.
- ^ Глоссарий, V2.5.0 (PDF) . АВТОСАР. п. 19. Архивировано из оригинального (PDF) 22 февраля 2014 года . Проверено 16 февраля 2014 .
- ^ a b ISO 26262-3: 2011 (ru) Транспорт дорожный - Функциональная безопасность - Часть 3: Фаза концепции . Международная организация по стандартизации.
- ^ а б Хоббс, Крис; Ли, Патрик (09.07.2013). Понимание ASIL ISO 26262 . Электронный дизайн . Встроенные технологии. Группа Пентон Электроникс.
- ^ Мартинеса LH, Хуршид S, Reddy SM. Генерация LFSR для большого тестового покрытия и низких накладных расходов на оборудование. ИЭПП «Компьютеры и цифровые технологии». 2019 21 августа. Репозиторий UoL
- ^ Ван Eikema Hommes, доктор Ци (2012). Оценка стандарта ISO 26262 «Дорожные транспортные средства - функциональная безопасность» (PDF) . SAE 2012 Правительство / отраслевое совещание. Центр национальной транспортной системы Джона А. Вольпе: SAE. п. 9.
- ^ J2980 - Соображения по классификации опасности ISO 26262 ASIL . SAE International. Архивировано 26 октября 2018 года.
Внешние ссылки [ править ]
- ISO 26262-1: 2011 (en) (Транспорт дорожный - Функциональная безопасность - Часть 1: Словарь) на платформе просмотра онлайн (OBP) ISO
- ISO 26262-1: 2018 (en) (Транспорт дорожный - Функциональная безопасность - Часть 1: Словарь) на платформе просмотра онлайн (OBP) ISO