شهادة السلامة الوظيفية ISO 26262 لمصنعي إلكترونيات السيارات
معيار ISO 26262 لإلكترونيات السيارات من الصين: مستويات ASIL A–D، تحليل HARA، مقاييس PMHF/SPFM، تكاليف الاعتماد، وتقييم ادعاءات المورّدين الصينيين.
ISO 26262 هو معيار السلامة الوظيفية لصناعة السيارات الخاص بالأنظمة الكهربائية والإلكترونية في المركبات على الطرق. يحدد إطارًا لإدارة مخاطر أن يؤدي عطل في العتاد أو البرمجيات الكهربائية/الإلكترونية إلى المساهمة في حادث مروري. بالنسبة للمشترين الذين يستوردون إلكترونيات السيارات من الصين، فإن فهم ما يعنيه الامتثال لمعيار ISO 26262 فعليًا — وما لا يعنيه بشكل قاطع — أمر بالغ الأهمية قبل تقديم أي طلب لمكوّن يؤثر على السلامة.
نظرة عامة
ISO 26262:2018 (الإصدار الثاني، 12 جزءًا) مشتق من IEC 61508، المعيار العام للسلامة الوظيفية للأنظمة الكهربائية/الإلكترونية/القابلة للبرمجة. يضيف الإصدار الخاص بالسيارات متطلبات خاصة بالمركبات: منهجية تحليل المخاطر وتقييمها (HARA)، ومستويات سلامة السيارات (ASIL من A إلى D)، ومقاييس معمارية العتاد المرتبطة باحتمالات الأعطال العشوائية، وعمليات تطوير البرمجيات.
الفارق الجوهري: ISO 26262 هو معيار عمليات وتطوير، وليس علامة اعتماد للمنتج. لا توجد “علامة ISO 26262” يمكن ختمها على شريحة أو وحدة. يمكن تطوير مكوّن وفقًا لمعيار ISO 26262 (تصميم موثّق، تحليل، أدلة اختبار)، لكن تحديد ASIL النهائي ينطبق دائمًا على الوظيفة في سياق النظام — وليس على المكوّن بمعزل عنه.
كثيرًا ما يحرّف المورّدون الصينيون هذا الفارق، حيث يدّعون أن منتجهم “معتمد من ISO 26262” بينما يقصدون فقط أن لديهم شهادة إدارة جودة (عادةً IATF 16949) أو أن مختبرًا خارجيًا أجرى بعض الاختبارات. كلا الأمرين ليس مكافئًا.
مستويات ASIL
يصنّف ASIL (مستوى سلامة السيارات) مقدار تقليل المخاطر المطلوب لهدف سلامة معين. يتم تحديده أثناء HARA بتقييم ثلاث معاملات:
| المعامل | القيم | الوصف |
|---|---|---|
| الخطورة (S) | S0–S3 | أسوأ إصابة محتملة لمستخدمي الطريق (S3 = وفيات محتملة) |
| التعرّض (E) | E0–E4 | احتمالية حدوث السيناريو الخطِر |
| قابلية التحكم (C) | C0–C3 | احتمالية عدم قدرة السائق على تجنّب الحادث |
ينتج عن اجتماع S وE وC تعيين لمستوى ASIL أو “QM” (إدارة الجودة — لا تتطلب إجراءات سلامة خاصة):
| S1 | S2 | S3 | |
|---|---|---|---|
| E2, C3 | ASIL A | ASIL B | ASIL C |
| E3, C3 | ASIL B | ASIL C | ASIL D |
| E4, C3 | ASIL C | ASIL D | ASIL D |
ASIL D هو أعلى مستوى، مطلوب لوظائف مثل التوجيه الكهربائي، والفرامل بالسلك، ونشر الوسائد الهوائية. ينطبق ASIL A على وظائف أقل خطورة مثل التحكم في المرايا المسخّنة.
يسمح تحليل ASIL بتقسيم متطلب ASIL D إلى قناتين مستقلتين ASIL B (تُكتب ASIL B(D))، وهي استراتيجية معمارية شائعة لتجنب تكلفة عتاد ASIL D الكامل على كلا المسارين.
المتطلبات التقنية الرئيسية
HARA (تحليل المخاطر وتقييمها)
يتم إجراء HARA على مستوى المركبة، وليس على مستوى المكوّن. ينتج عنه أهداف سلامة (متطلبات عليا) مع تصنيفات ASIL. كل ما يليه — المتطلبات التقنية للسلامة، متطلبات العتاد، متطلبات البرمجيات — ينبثق من أهداف السلامة هذه. المورّد الذي يبيع “وحدة ASIL D مستقلة” دون معرفة كيفية استخدامك لها في معمارية نظامك يبيع على مستوى تجريد خاطئ.
مقاييس معمارية سلامة العتاد
يحدد الجزء الخامس من ISO 26262 ثلاثة مقاييس للأعطال العشوائية في العتاد يجب تحقيقها لتكون معمارية العتاد متوافقة:
| المقياس | التعريف | هدف ASIL B | هدف ASIL C | هدف ASIL D |
|---|---|---|---|---|
| PMHF (المقياس الاحتمالي للأعطال العشوائية في العتاد) | المخاطر المتبقية من أعطال العتاد العشوائية المسببة لانتهاك هدف السلامة | < 100 FIT | < 10 FIT | < 1 FIT |
| SPFM (مقياس الأعطال أحادية النقطة) | نسبة الأعطال أحادية النقطة المغطاة بآليات السلامة | ≥ 90% | ≥ 97% | ≥ 99% |
| LFM (مقياس الأعطال الكامنة) | نسبة الأعطال الكامنة المغطاة | ≥ 60% | ≥ 80% | ≥ 90% |
FIT = الأعطال في الزمن = أعطال لكل 10⁹ ساعة تشغيل للجهاز. معدل 1 FIT يعني عطلًا واحدًا متوقعًا لكل مليار ساعة تشغيل.
تحقيق مقاييس ASIL D للعتاد يتطلب عادةً مسارات إشارة مكرّرة، تغطية تشخيصية مستقلة (مثل روتينات اختبار ذاتي دورية قادرة على كشف 99%+ من الأعطال الكامنة)، وتحليلات FMEA/FTA موثّقة على مستوى المكوّن.
FMEA وFTA
FMEA (تحليل أنماط الأعطال وتأثيراتها) يعدد كل طريقة يمكن أن يفشل بها مكوّن أو نظام ويتتبع التأثيرات صعودًا إلى هدف السلامة. بالنسبة لإلكترونيات السيارات، يلزم DFMEA (FMEA التصميم) للعتاد ويجب أن يشير إلى تصنيفات تغطية التشخيص في ISO 26262.
FTA (تحليل شجرة الأعطال) يعمل من الأعلى إلى الأسفل انطلاقًا من هدف السلامة لتحديد تركيبات الأعطال ذات المستوى الأدنى التي قد تؤدي إليه. FTA وFMEA متكاملان — FMEA يجد الأعطال أحادية النقطة؛ FTA يجد الأعطال متعددة النقاط والتابعة.
البرمجيات (الجزء السادس)
يحدد الجزء السادس من ISO 26262 متطلبات تطوير البرمجيات: ترميزات التطوير القائمة على النماذج، معايير تغطية الكود (تغطية MC/DC عند ASIL C/D)، التحليل الثابت، FMEA البرمجيات، ومتطلبات الاختبار. تتطلب برمجيات ASIL D تغطية MC/DC بنسبة 100% ومراجعات مستقلة متعددة. هذا وحده يمثل غالبًا 60–70% من إجمالي تكلفة مشروع ISO 26262 لوحدة ECU جديدة.
AUTOSAR
يحدد معيار AUTOSAR (معمارية النظام المفتوح للسيارات) معمارية برمجية موحدة لوحدات ECU في السيارات. تتضمن منصة AUTOSAR Classic ومنصة AUTOSAR Adaptive آليات سلامة متوافقة مع ISO 26262. العديد من وحدات ECU للمصنعين الأصليين مبنية على حزم AUTOSAR. المورّدون الصينيون الذين يستهدفون موردي الفئة الأولى للسيارات يدّعون غالبًا الامتثال لـ AUTOSAR، لكن عمق هذا الامتثال يتفاوت بشكل كبير — تحقق مما إذا كانوا يقصدون حزمة BSW الكاملة أم فقط تكييف طبقة التعريف (driver).
التكلفة والجدول الزمني
الامتثال لـ ISO 26262 مكلف ويستغرق وقتًا طويلاً. تعتمد التكلفة بشكل كبير على مستوى ASIL وتعقيد النظام وما إذا كان المورّد يبدأ من الصفر أم لديه قاعدة قائمة:
| النطاق | مستوى ASIL | التكلفة التقديرية | الجدول الزمني |
|---|---|---|---|
| مكوّن بسيط، عملية قائمة | ASIL A/B | $50k–$150k | 6–12 شهرًا |
| وحدة ECU مع برمجيات مدمجة | ASIL B/C | $200k–$500k | 12–24 شهرًا |
| وحدة ECU كاملة، تطوير جديد | ASIL D | $500k–$2M+ | 24–36 شهرًا |
| تقييم/تحليل فجوات فقط | أي مستوى | $20k–$80k | 2–4 أشهر |
هذه تكاليف تطوير، وليست رسوم تدقيق. التقييم المستقل بواسطة طرف ثالث من TÜV SÜD أو TÜV Rheinland أو Dekra أو Bureau Veritas أو SGS يكلّف $30k–$100k لتقرير تقييم السلامة المستقل (ISA).
تقييم ادعاءات المورّدين الصينيين
هنا حيث ينخدع معظم المشترين الغربيين. التحريفات الشائعة:
“مصنع معتمد من ISO 26262” — ISO 26262 لا يعتمد المصانع. شهادة المصنع الوحيدة المهمة في قطاع السيارات هي IATF 16949. يمكن تقييم مصنع على أنه يطوّر منتجات وفقًا لـ ISO 26262، لكن الناتج هو ملف سلامة أو تقرير تقييم لمنتج محدد، وليس شهادة على مستوى المصنع.
“شريحتنا اجتازت اختبار ISO 26262” — يمكن توصيف حزم الدوائر المتكاملة للاستخدام في تطبيقات ISO 26262 (بيانات معدل الأعطال، منحنيات تخفيض درجة الحرارة، تصنيف تغطية التشخيص)، لكن الدائرة المتكاملة بحد ذاتها لا يمكن أن تكون “معتمدة من ISO 26262”. تنشر TI وNXP وInfineon تقارير تحليل السلامة لدوائرها المتكاملة للسيارات؛ أما دارة متكاملة صينية تدّعي “اعتماد ISO 26262” للدارة نفسها فهي تسيء استخدام المعيار.
IATF 16949 كوكيل — الحصول على IATF 16949 يعني فقط أن المورّد لديه نظام إدارة جودة موثّق. لا يقول شيئًا عن تحليل السلامة الوظيفية أو FMEA أو HARA أو مقاييس العتاد. المعياران يعالجان اهتمامات مختلفة تمامًا.
ما يجب طلبه فعليًا:
- ملف السلامة / تقرير تحليل السلامة للمنتج المحدد
- توثيق تحليل ASIL وتخصيصه
- دليل على تقييم السلامة المستقل (ISA) من طرف ثالث بواسطة TÜV/Dekra/BV
- تقارير FMEA وFTA (كحد أدنى الملخص، وليس أوراق العمل الخام)
- بيانات اختبار التأهيل عند درجات الحرارة القصوى (AEC-Q100 إذا كان مكوّن عتاد)
إذا لم يستطع المورّد تقديم البنود 1–3، فهو غير متوافق مع ISO 26262 لتطبيقات ASIL C أو D، بغض النظر عما تقوله مواده التسويقية.
بالنسبة لمكوّنات الاستشعار حيث تكون متطلبات ASIL صارمة بشكل خاص — بما في ذلك وحدات الرادار FMCW 77GHz المستخدمة في أنظمة AEB وACC، والتي تتطلب عادةً تحليل ASIL B أو ASIL C — فإن تتبع دفعة الدائرة المتكاملة والتحقق من درجة AEC-Q100 هما متطلبان أساسيان قبل أن تصبح وثائق السلامة الوظيفية ذات صلة أصلاً.
عند تقييم المورّدين الصينيين لبرامج إلكترونيات السيارات الحرجة للسلامة، يجب أن يغطي تدقيق المصنع الشامل على وجه التحديد أدلة السلامة الوظيفية: هل لدى المورّد تحليلات HARA وFMEA وFTA موثّقة للمنتج الذي تشتريه، أم فقط شهادة جودة IATF 16949 عامة؟ هذه وثائق مختلفة تعالج مخاطر مختلفة، والخلط بينها هو الخطأ الأكثر شيوعًا بين المشترين في هذا المجال.
العلاقة مع IEC 61508
ISO 26262 هو مشتق قطاعي من IEC 61508. مستويات سلامة SIL 1–4 في IEC 61508 تتوافق تقريبًا مع ASIL A–D، لكن التطابق ليس واحدًا لواحد. يُستخدم IEC 61508 للتطبيقات الصناعية والتحكم في العمليات والسكك الحديدية؛ أما ISO 26262 فهو خاص بالسيارات فقط. المنتج المتوافق مع IEC 61508 SIL 3 ليس تلقائيًا متوافقًا مع ISO 26262 ASIL D — فمقاييس العتاد ومتطلبات عملية التطوير تختلف.
مصادر ذات صلة
- شهادة IATF 16949 — معيار نظام إدارة الجودة المطلوب لإنتاج مكوّنات السيارات؛ متطلب أساسي لأعمال عملية ISO 26262
- وحدات CAN Bus — متطلبات مكوّنات AEC-Q100 ذات الصلة بشبكات CAN الحرجة للسلامة
- قائمة تدقيق المصنع — كيفية هيكلة تدقيق المورّد لتقييم ادعاءات السلامة الوظيفية
- تدقيق المصنع والتحقق
- توريد إلكترونيات السيارات