ISO 26262 funkční bezpečnost pro automobilovou elektroniku
ISO 26262 pro automobilovou elektroniku z Číny: úrovně ASIL A–D, HARA, metriky PMHF/SPFM, náklady na certifikaci a hodnocení tvrzení čínských dodavatelů.
ISO 26262 je norma funkční bezpečnosti automobilového průmyslu pro elektrické a elektronické systémy v silničních vozidlech. Definuje rámec pro řízení rizika, že porucha v E/E hardwaru nebo softwaru by mohla přispět k nehodě vozidla. Pro kupující nakupující automobilovou elektroniku z Číny je pochopení toho, co shoda s ISO 26262 skutečně znamená — a co rozhodně neznamená — kritické před zadáním jakékoli objednávky bezpečnostně ovlivňující komponenty.
Přehled
ISO 26262:2018 (druhé vydání, 12 částí) je odvozena z IEC 61508, obecné normy funkční bezpečnosti pro elektrické/elektronické/programovatelné systémy. Automobilová verze přidává specifické požadavky vozidla: metodiku analýzy nebezpečí a posouzení rizik (HARA), úrovně integrity automobilové bezpečnosti (ASIL A až D), metriky architektury hardwaru vázané na pravděpodobnosti náhodných selhání a procesy vývoje softwaru.
Klíčové rozlišení: ISO 26262 je norma procesu a vývoje, nikoli značka certifikace produktu. Neexistuje žádný „štítek ISO 26262”, který by se dal vyrazit na čip nebo modul. Komponenta může být vyvinuta v souladu s ISO 26262 (zdokumentovaný návrh, analýza, testovací artefakty), ale finální určení ASIL se vždy vztahuje k funkci v systémovém kontextu — nikoli ke komponentě v izolaci.
Toto rozlišení je čínskými dodavateli často zkreslováno; ti mohou tvrdit, že jejich produkt je „certifikován dle ISO 26262”, když tím myslí pouze to, že mají certifikát systému řízení kvality (obvykle IATF 16949) nebo že laboratoř třetí strany provedla nějaké testování. Ani jedno není ekvivalentní.
Úrovně ASIL
ASIL (Automotive Safety Integrity Level) klasifikuje snížení rizika požadované pro bezpečnostní cíl. Určuje se během HARA vyhodnocením tří parametrů:
| Parametr | Hodnoty | Popis |
|---|---|---|
| Závažnost (S) | S0–S3 | Nejhorší možné zranění účastníků silničního provozu (S3 = pravděpodobné úmrtí) |
| Expozice (E) | E0–E4 | Pravděpodobnost výskytu nebezpečného scénáře |
| Ovladatelnost (C) | C0–C3 | Pravděpodobnost, že řidič nemůže nehodě zabránit |
Kombinace S, E a C se mapuje na ASIL nebo „QM” (Quality Management — nejsou vyžadována žádná zvláštní bezpečnostní opatření):
| S1 | S2 | S3 | |
|---|---|---|---|
| E2, C3 | ASIL A | ASIL B | ASIL C |
| E3, C3 | ASIL B | ASIL C | ASIL D |
| E4, C3 | ASIL C | ASIL D | ASIL D |
ASIL D je nejvyšší úroveň, vyžadovaná pro funkce jako elektronické posilování řízení, brake-by-wire a aktivace airbagu. ASIL A se vztahuje na funkce s nižším rizikem, jako je ovládání vyhřívání zrcátek.
Dekompozice ASIL umožňuje rozdělit požadavek ASIL D na dva nezávislé kanály ASIL B (zapsáno jako ASIL B(D)), což je běžná architektonická strategie, jak se vyhnout nákladům na plný hardware ASIL D na obou cestách.
Klíčové technické požadavky
HARA (analýza nebezpečí a posouzení rizik)
HARA se provádí na úrovni vozidla, nikoli na úrovni komponenty. Produkuje bezpečnostní cíle (požadavky nejvyšší úrovně) s hodnocením ASIL. Vše níže — technické bezpečnostní požadavky, hardwarové požadavky, softwarové požadavky — vyplývá z těchto bezpečnostních cílů. Dodavatel prodávající „samostatný modul ASIL D”, aniž by věděl, jak ho použijete ve své systémové architektuře, prodává na nesprávné úrovni abstrakce.
Metriky bezpečnostní architektury hardwaru
ISO 26262 část 5 definuje tři metriky náhodných selhání hardwaru, které musí být splněny, aby byla architektura hardwaru ve shodě:
| Metrika | Definice | Cíl ASIL B | Cíl ASIL C | Cíl ASIL D |
|---|---|---|---|---|
| PMHF (Probabilistic Metric for random Hardware Failures) | Zbytkové riziko náhodných HW poruch způsobujících porušení bezpečnostního cíle | < 100 FIT | < 10 FIT | < 1 FIT |
| SPFM (Single Point Fault Metric) | Podíl jednobodových poruch pokrytých bezpečnostními mechanismy | ≥ 90 % | ≥ 97 % | ≥ 99 % |
| LFM (Latent Fault Metric) | Podíl pokrytých latentních poruch | ≥ 60 % | ≥ 80 % | ≥ 90 % |
FIT = Failures In Time = selhání na 10⁹ hodin provozu zařízení. Hodnota 1 FIT znamená jedno očekávané selhání na miliardu provozních hodin.
Splnění hardwarových metrik ASIL D typicky vyžaduje redundantní signálové cesty, nezávislé diagnostické pokrytí (např. periodické autotestovací rutiny, které dokážou detekovat 99 %+ latentních poruch) a zdokumentovanou analýzu FMEA/FTA na úrovni komponenty.
FMEA a FTA
FMEA (Failure Mode and Effects Analysis) vyjmenovává každý způsob, jakým může komponenta nebo systém selhat, a sleduje účinky nahoru k bezpečnostnímu cíli. Pro automobilovou elektroniku je vyžadována DFMEA (Design FMEA) pro hardware a musí odkazovat na klasifikace diagnostického pokrytí ISO 26262.
FTA (Fault Tree Analysis) pracuje shora dolů od bezpečnostního cíle k identifikaci kombinací selhání nižší úrovně, které by ho mohly spustit. FTA a FMEA se doplňují — FMEA nachází jednobodová selhání; FTA nachází vícebodová závislá selhání.
Software (část 6)
ISO 26262 část 6 specifikuje požadavky na vývoj softwaru: notace modelově řízeného vývoje, kritéria pokrytí kódu (pokrytí MC/DC při ASIL C/D), statickou analýzu, softwarovou FMEA a požadavky na testování. Software ASIL D vyžaduje 100% pokrytí MC/DC a vícenásobné nezávislé přezkoumání. Toto samo o sobě často představuje 60–70 % celkových nákladů projektu ISO 26262 pro nové ECU.
AUTOSAR
Norma AUTOSAR (AUTomotive Open System ARchitecture) definuje společnou softwarovou architekturu pro automobilové ECU. AUTOSAR Classic Platform a AUTOSAR Adaptive Platform zahrnují bezpečnostní mechanismy sladěné s ISO 26262. Mnoho OEM ECU je postaveno na zásobnících AUTOSAR. Čínští dodavatelé cílící na automobilové Tier 1 často tvrdí shodu s AUTOSAR, ale hloubka této shody se značně liší — ověřte, zda myslí plný BSW zásobník, nebo jen adaptaci vrstvy ovladačů.
Náklady a časový rámec
Shoda s ISO 26262 je nákladná a časově náročná. Náklady silně závisí na úrovni ASIL, složitosti systému a tom, zda dodavatel začíná od nuly, nebo má existující základ:
| Rozsah | Úroveň ASIL | Odhadované náklady | Časový rámec |
|---|---|---|---|
| Jednoduchá komponenta, existující proces | ASIL A/B | $50k–$150k | 6–12 měsíců |
| ECU s vestavěným SW | ASIL B/C | $200k–$500k | 12–24 měsíců |
| Plné ECU, nový vývoj | ASIL D | $500k–$2M+ | 24–36 měsíců |
| Pouze posouzení/analýza mezer | Jakákoli | $20k–$80k | 2–4 měsíce |
Toto jsou vývojové náklady, nikoli auditní poplatky. Posouzení třetí stranou ze strany TÜV SÜD, TÜV Rheinland, Dekra, Bureau Veritas nebo SGS se pohybuje na $30k–$100k za zprávu nezávislého bezpečnostního posouzení (ISA).
Hodnocení tvrzení čínských dodavatelů
Právě zde je většina západních kupujících uvedena v omyl. Časté zkreslování:
„Továrna certifikovaná dle ISO 26262” — ISO 26262 necertifikuje továrny. Jediná certifikace továrny, na které v automobilovém průmyslu záleží, je IATF 16949. Továrna může být posouzena jako vyvíjející produkty v souladu s ISO 26262, ale výstupem je bezpečnostní případ nebo zpráva o posouzení pro konkrétní produkt, nikoli certifikát na úrovni továrny.
„Náš čip prošel testováním ISO 26262” — Pouzdra IC lze charakterizovat pro použití v aplikacích ISO 26262 (data o míře selhání, křivky teplotní derace, klasifikace diagnostického pokrytí), ale samotný IC nemůže být „certifikován dle ISO 26262”. TI, NXP a Infineon zveřejňují zprávy o bezpečnostní analýze pro své automobilové IC; čínská IC firma tvrdící „certifikaci ISO 26262” pro samotný IC normu zneužívá.
IATF 16949 jako náhrada — Mít IATF 16949 znamená pouze to, že dodavatel má zdokumentovaný systém řízení kvality. Neříká nic o analýze funkční bezpečnosti, FMEA, HARA ani hardwarových metrikách. Tyto dvě normy řeší zcela odlišné záležitosti.
O co skutečně požádat:
- Bezpečnostní případ / zprávu o bezpečnostní analýze pro konkrétní produkt
- Dokumentaci dekompozice a alokace ASIL
- Důkaz nezávislého bezpečnostního posouzení (ISA) třetí stranou ze strany TÜV/Dekra/BV
- Zprávy FMEA a FTA (přinejmenším souhrn, nikoli surové pracovní listy)
- Data kvalifikačních zkoušek v teplotních extrémech (AEC-Q100, jde-li o hardwarovou komponentu)
Pokud dodavatel nedokáže předložit položky 1–3, není ve shodě s ISO 26262 pro aplikace ASIL C nebo D, bez ohledu na to, co tvrdí jeho marketingové materiály.
U snímacích komponent, kde jsou požadavky ASIL obzvláště přísné — včetně 77GHz FMCW radarových modulů používaných v systémech AEB a ACC, které typicky vyžadují analýzu ASIL B nebo ASIL C — jsou sledovatelnost šarží IC a ověření třídy AEC-Q100 předpokladem dříve, než se dokumentace funkční bezpečnosti vůbec stane relevantní.
Při hodnocení čínských dodavatelů pro bezpečnostně kritické programy automobilové elektroniky by měl důkladný audit továrny konkrétně pokrýt artefakty funkční bezpečnosti: má dodavatel zdokumentovanou HARA, FMEA a FTA pro produkt, který kupujete, nebo jen obecný certifikát kvality IATF 16949? Jsou to různé dokumenty řešící různá rizika a jejich směšování je nejčastější chybou kupujícího v tomto oboru.
Vztah k IEC 61508
ISO 26262 je odvětvově specifický derivát IEC 61508. Úrovně integrity bezpečnosti (SIL 1–4) IEC 61508 zhruba odpovídají ASIL A–D, ale mapování není jedna ku jedné. IEC 61508 se používá pro průmyslové, procesně řídicí a železniční aplikace; ISO 26262 je pouze automobilová. Produkt ve shodě s IEC 61508 SIL 3 není automaticky ve shodě s ISO 26262 ASIL D — hardwarové metriky a požadavky procesu vývoje se liší.
Související zdroje
- Certifikace IATF 16949 — norma systému řízení kvality vyžadovaná pro výrobu automobilových komponent; předpoklad pro procesní práci dle ISO 26262
- Moduly sběrnice CAN — požadavky na komponenty AEC-Q100 relevantní pro bezpečnostně kritické sítě CAN
- Kontrolní seznam pro audit továrny — jak strukturovat audit dodavatele k hodnocení tvrzení o funkční bezpečnosti
- Audit a ověření továrny
- Nákup automobilové elektroniky