Certyfikacja bezpieczeństwa funkcjonalnego ISO 26262 dla elektroniki motoryzacyjnej OEM
Poziomy ASIL A–D wg ISO 26262, HARA, metryki PMHF/SPFM, koszty ($50k–500k+) oraz ocena twierdzeń chińskich dostawców. Praktyczny przewodnik dla kupujących elektronikę motoryzacyjną.
ISO 26262 to standard bezpieczeństwa funkcjonalnego branży motoryzacyjnej dla systemów elektrycznych i elektronicznych w pojazdach drogowych. Definiuje ramy zarządzania ryzykiem, że awaria sprzętu lub oprogramowania E/E może przyczynić się do wypadku pojazdu. Kupujący sourcingujący elektronikę motoryzacyjną z Chin muszą rozumieć, co faktycznie oznacza zgodność z ISO 26262 — i czego zdecydowanie nie oznacza — zanim złożą zamówienie na jakikolwiek komponent wpływający na bezpieczeństwo.
Przegląd
ISO 26262:2018 (drugie wydanie, 12 części) pochodzi od IEC 61508, ogólnego standardu bezpieczeństwa funkcjonalnego dla systemów elektrycznych/elektronicznych/programowalnych. Wersja motoryzacyjna dodaje wymagania specyficzne dla pojazdów: metodologię analizy zagrożeń i oceny ryzyka (HARA), motoryzacyjne poziomy integralności bezpieczeństwa (ASIL A do D), metryki architektury sprzętowej powiązane z prawdopodobieństwami losowych awarii oraz procesy tworzenia oprogramowania.
Kluczowe rozróżnienie: ISO 26262 to standard procesowy i rozwojowy, a nie znak certyfikacji produktu. Nie istnieje „etykieta ISO 26262”, którą można umieścić na chipie lub module. Komponent może być opracowany zgodnie z ISO 26262 (udokumentowane artefakty projektowe, analityczne i testowe), ale ostateczne określenie ASIL zawsze dotyczy funkcji w kontekście systemu — nie komponentu w izolacji.
To rozróżnienie jest często błędnie przedstawiane przez chińskich dostawców, którzy mogą twierdzić, że ich produkt jest „certyfikowany ISO 26262”, mając na myśli jedynie posiadanie certyfikatu systemu zarządzania jakością (zazwyczaj IATF 16949) lub przeprowadzenie pewnych testów przez zewnętrzne laboratorium. Żadne z tych podejść nie jest równoważne.
Poziomy ASIL
ASIL (Automotive Safety Integrity Level) klasyfikuje wymaganą redukcję ryzyka dla celu bezpieczeństwa. Jest określany podczas HARA przez ocenę trzech parametrów:
| Parametr | Wartości | Opis |
|---|---|---|
| Ciężkość (S) | S0–S3 | Najgorsze obrażenia użytkowników drogi (S3 = prawdopodobne ofiary śmiertelne) |
| Ekspozycja (E) | E0–E4 | Prawdopodobieństwo wystąpienia scenariusza niebezpiecznego |
| Sterowalność (C) | C0–C3 | Prawdopodobieństwo, że kierowca nie może uniknąć wypadku |
Kombinacja S, E i C mapuje się na ASIL lub „QM” (Quality Management — brak specjalnych środków bezpieczeństwa):
| S1 | S2 | S3 | |
|---|---|---|---|
| E2, C3 | ASIL A | ASIL B | ASIL C |
| E3, C3 | ASIL B | ASIL C | ASIL D |
| E4, C3 | ASIL C | ASIL D | ASIL D |
ASIL D to najwyższy poziom, wymagany dla takich funkcji jak elektroniczne wspomaganie kierownicy, sterowanie hamulcami i wyzwalanie poduszek powietrznych. ASIL A dotyczy funkcji o niższym ryzyku, takich jak sterowanie podgrzewanym lusterkiem.
Dekompozycja ASIL pozwala podzielić wymaganie ASIL D na dwa niezależne kanały ASIL B (zapisywane ASIL B(D)), co jest powszechną strategią architektoniczną pozwalającą uniknąć kosztów pełnego sprzętu ASIL D na obu ścieżkach.
Kluczowe wymagania techniczne
HARA (Hazard Analysis and Risk Assessment)
HARA jest wykonywana na poziomie pojazdu, nie na poziomie komponentu. Generuje cele bezpieczeństwa (wymagania najwyższego poziomu) z ocenami ASIL. Wszystko co poniżej — techniczne wymagania bezpieczeństwa, wymagania sprzętowe, wymagania programowe — wynika z tych celów bezpieczeństwa. Dostawca sprzedający „autonomiczny moduł ASIL D” bez wiedzy o tym, jak go użyjesz w architekturze swojego systemu, sprzedaje na niewłaściwym poziomie abstrakcji.
Metryki bezpieczeństwa architektury sprzętowej
Część 5 ISO 26262 definiuje trzy metryki losowych awarii sprzętowych, które muszą być spełnione, aby architektura sprzętowa była zgodna:
| Metryka | Definicja | Cel ASIL B | Cel ASIL C | Cel ASIL D |
|---|---|---|---|---|
| PMHF (Probabilistyczna metryka losowych awarii sprzętowych) | Resztkowe ryzyko losowych usterek HW powodujących naruszenie celu bezpieczeństwa | < 100 FIT | < 10 FIT | < 1 FIT |
| SPFM (Metryka usterek pojedynczego punktu) | Udział usterek pojedynczego punktu objętych mechanizmami bezpieczeństwa | ≥ 90% | ≥ 97% | ≥ 99% |
| LFM (Metryka usterek utajonych) | Udział usterek utajonych objętych kontrolą | ≥ 60% | ≥ 80% | ≥ 90% |
FIT = Failures In Time = awarie na 10⁹ godzin pracy urządzenia. Wskaźnik 1 FIT oznacza jedną oczekiwaną awarię na miliard godzin pracy.
Spełnienie metryk sprzętowych ASIL D zazwyczaj wymaga redundantnych ścieżek sygnałowych, niezależnego pokrycia diagnostycznego (np. okresowe procedury samodiagnozy mogące wykryć ponad 99% utajonych usterek) i udokumentowanej analizy FMEA/FTA na poziomie komponentu.
FMEA i FTA
FMEA (Failure Mode and Effects Analysis) wylicza każdy sposób, w jaki komponent lub system może zawieść, i śledzi skutki w górę do celu bezpieczeństwa. Dla elektroniki motoryzacyjnej wymagana jest DFMEA (Design FMEA) dla sprzętu i musi odwoływać się do klasyfikacji pokrycia diagnostycznego ISO 26262.
FTA (Fault Tree Analysis) działa z góry w dół od celu bezpieczeństwa do identyfikacji kombinacji awarii niższego poziomu, które mogłyby go wywołać. FTA i FMEA są komplementarne — FMEA znajduje awarie pojedynczego punktu; FTA znajduje wielopunktowe awarie zależne.
Oprogramowanie (Część 6)
Część 6 ISO 26262 określa wymagania dotyczące tworzenia oprogramowania: notacje projektowania opartego na modelach, kryteria pokrycia kodu (pokrycie MC/DC dla ASIL C/D), analizę statyczną, programową FMEA i wymagania testowe. Oprogramowanie ASIL D wymaga 100% pokrycia MC/DC i wielu niezależnych przeglądów. To samo w sobie często stanowi 60–70% całkowitego kosztu projektu ISO 26262 dla nowego ECU.
AUTOSAR
Standard AUTOSAR (AUTomotive Open System ARchitecture) definiuje wspólną architekturę oprogramowania dla ECU motoryzacyjnych. AUTOSAR Classic Platform i AUTOSAR Adaptive Platform zawierają mechanizmy bezpieczeństwa zgodne z ISO 26262. Wiele ECU OEM jest zbudowanych na stosach AUTOSAR. Chińscy dostawcy celujący w motoryzacyjny Tier 1 często twierdzą o zgodności z AUTOSAR, ale głębokość tej zgodności jest bardzo zmienna — sprawdź, czy mają na myśli pełny stos BSW, czy tylko adaptację warstwy sterowników.
Koszt i harmonogram
Zgodność z ISO 26262 jest kosztowna i czasochłonna. Koszt zależy silnie od poziomu ASIL, złożoności systemu i tego, czy dostawca zaczyna od zera, czy ma istniejącą bazę:
| Zakres | Poziom ASIL | Szacowany koszt | Harmonogram |
|---|---|---|---|
| Prosty komponent, istniejący proces | ASIL A/B | $50k–$150k | 6–12 miesięcy |
| ECU z wbudowanym SW | ASIL B/C | $200k–$500k | 12–24 miesiące |
| Pełny ECU, nowy rozwój | ASIL D | $500k–$2M+ | 24–36 miesięcy |
| Tylko ocena/analiza luk | Dowolny | $20k–$80k | 2–4 miesiące |
Są to koszty rozwoju, a nie opłaty auditowe. Ocena przez stronę trzecią przez TÜV SÜD, TÜV Rheinland, Dekra, Bureau Veritas lub SGS wynosi $30k–$100k za niezależny raport oceny bezpieczeństwa (ISA).
Ocena twierdzeń chińskich dostawców
Tutaj większość zachodnich kupujących jest wprowadzana w błąd. Powszechne błędne reprezentacje:
„Fabryka certyfikowana ISO 26262” — ISO 26262 nie certyfikuje fabryk. Jedyną certyfikacją fabryki istotną w motoryzacji jest IATF 16949. Fabryka może być oceniana jako opracowująca produkty zgodnie z ISO 26262, ale rezultatem jest przypadek bezpieczeństwa lub raport oceny dla konkretnego produktu, a nie certyfikat na poziomie fabryki.
„Nasz chip przeszedł testy ISO 26262” — Obudowy IC mogą być scharakteryzowane do stosowania w aplikacjach ISO 26262 (dane dotyczące wskaźnika awarii, krzywe derated temperatury, klasyfikacja pokrycia diagnostycznego), ale IC nie może być „certyfikowany ISO 26262”. TI, NXP i Infineon publikują Raporty Analizy Bezpieczeństwa dla swoich motoryzacyjnych IC; chińska firma IC twierdząca o „certyfikacji ISO 26262” dla samego IC nadużywa normy.
IATF 16949 jako substytut — Posiadanie IATF 16949 oznacza jedynie, że dostawca posiada udokumentowany system zarządzania jakością. Nie mówi nic o analizie bezpieczeństwa funkcjonalnego, FMEA, HARA ani metrykach sprzętowych. Dwie normy dotyczą zupełnie różnych kwestii.
O co faktycznie pytać:
- Przypadek bezpieczeństwa / raport analizy bezpieczeństwa dla konkretnego produktu
- Dokumentacja dekompozycji i alokacji ASIL
- Dowody niezależnej oceny bezpieczeństwa przez stronę trzecią (ISA) przez TÜV/Dekra/BV
- Raporty FMEA i FTA (co najmniej podsumowanie, nie surowe arkusze robocze)
- Dane z kwalifikacyjnych testów w ekstremalnych temperaturach (AEC-Q100, jeśli komponent sprzętowy)
Jeśli dostawca nie może dostarczyć pozycji 1–3, nie jest zgodny z ISO 26262 dla zastosowań ASIL C lub D, niezależnie od tego, co mówią jego materiały marketingowe.
Oceniając chińskich dostawców dla krytycznych dla bezpieczeństwa programów elektroniki motoryzacyjnej, dokładny audit fabryki powinien konkretnie obejmować artefakty bezpieczeństwa funkcjonalnego: czy dostawca posiada udokumentowane HARA, FMEA i FTA dla kupowanego produktu, czy tylko ogólny certyfikat jakości IATF 16949? Są to różne dokumenty dotyczące różnych ryzyk, a ich mylenie jest najczęstszym błędem kupujących w tej dziedzinie.
Związek z IEC 61508
ISO 26262 to specyficzny dla sektora pochodny standardu IEC 61508. Poziomy integralności bezpieczeństwa (SIL 1–4) wg IEC 61508 mniej więcej odpowiadają ASIL A–D, ale mapowanie nie jest jeden do jednego. IEC 61508 jest stosowany dla zastosowań przemysłowych, kontroli procesów i kolei; ISO 26262 dotyczy wyłącznie motoryzacji. Produkt zgodny z IEC 61508 SIL 3 nie jest automatycznie zgodny z ISO 26262 ASIL D — wymagania dotyczące metryk sprzętowych i procesów rozwojowych różnią się.
Powiązane zasoby
- Certyfikacja IATF 16949 — standard systemu zarządzania jakością wymagany do produkcji komponentów motoryzacyjnych; warunek wstępny pracy procesowej ISO 26262
- Moduły CAN Bus — wymagania komponentów AEC-Q100 istotne dla krytycznych sieci CAN
- Lista kontrolna auditu fabryki — jak ustrukturyzować audit dostawcy w celu oceny twierdzeń o bezpieczeństwie funkcjonalnym
- Audit i weryfikacja fabryki
- Sourcing elektroniki motoryzacyjnej