Функциональная безопасность ISO 26262 для OEM автомобильной электроники
Уровни ASIL A–D по ISO 26262, HARA, метрики PMHF/SPFM, стоимость ($50k–500k+) и оценка заявлений китайских поставщиков. Практическое руководство для закупщиков автомобильной электроники.
ISO 26262 — отраслевой стандарт функциональной безопасности для электрических и электронных систем дорожных транспортных средств. Он определяет систему управления риском того, что неисправность аппаратного или программного обеспечения E/E может способствовать дорожно-транспортному происшествию. Для закупщиков автомобильной электроники из Китая критически важно понимать, что реально означает соответствие ISO 26262, а что им категорически не является, прежде чем размещать любой заказ на компонент, влияющий на безопасность.
Общая информация
ISO 26262:2018 (второе издание, 12 частей) является производным от IEC 61508 — общего стандарта функциональной безопасности электрических/электронных/программируемых систем. Автомобильная версия добавляет требования, специфичные для транспортных средств: методологию анализа опасностей и оценки рисков (HARA), уровни автомобильной целостности безопасности (ASIL A–D), метрики аппаратной архитектуры, привязанные к вероятностям случайных отказов, и процессы разработки программного обеспечения.
Ключевое различие: ISO 26262 — это стандарт процесса и разработки, а не знак сертификации продукта. Не существует «метки ISO 26262», которую можно поставить на микросхему или модуль. Компонент может быть разработан в соответствии с ISO 26262 (документированные проектирование, анализ, тестовые артефакты), но окончательное определение ASIL всегда применяется к функции в контексте системы, а не к компоненту изолированно.
Это различие часто намеренно искажается китайскими поставщиками, которые могут заявлять, что их продукт «сертифицирован по ISO 26262», имея в виду лишь наличие сертификата системы менеджмента качества (обычно IATF 16949) или проведение испытаний в сторонней лаборатории. Ни то, ни другое не является эквивалентом.
Уровни ASIL
ASIL (Automotive Safety Integrity Level) классифицирует необходимое снижение риска для цели безопасности. Он определяется в ходе HARA путём оценки трёх параметров:
| Параметр | Значения | Описание |
|---|---|---|
| Тяжесть (S) | S0–S3 | Наихудший случай травм участников дорожного движения (S3 = гибель людей вероятна) |
| Подверженность (E) | E0–E4 | Вероятность возникновения опасного сценария |
| Управляемость (C) | C0–C3 | Вероятность того, что водитель не сможет предотвратить аварию |
Комбинация S, E и C определяет ASIL или «QM» (Quality Management — специальные меры безопасности не требуются):
| S1 | S2 | S3 | |
|---|---|---|---|
| E2, C3 | ASIL A | ASIL B | ASIL C |
| E3, C3 | ASIL B | ASIL C | ASIL D |
| E4, C3 | ASIL C | ASIL D | ASIL D |
ASIL D — высший уровень, требуемый для таких функций, как электроусилитель рулевого управления, тормозная система brake-by-wire и срабатывание подушек безопасности. ASIL A применяется к функциям с меньшим риском, например к управлению обогревом зеркал.
Декомпозиция ASIL позволяет разделить требование ASIL D на два независимых канала ASIL B (обозначается ASIL B(D)), что является распространённой архитектурной стратегией во избежание затрат на полноценное оборудование ASIL D на обоих путях.
Ключевые технические требования
HARA (Анализ опасностей и оценка рисков)
HARA выполняется на уровне транспортного средства, а не компонента. Она формирует цели безопасности (требования верхнего уровня) с рейтингами ASIL. Всё последующее — технические требования безопасности, аппаратные требования, требования к программному обеспечению — вытекает из этих целей безопасности. Поставщик, продающий «автономный модуль ASIL D» без знания того, как вы будете использовать его в архитектуре системы, работает на неправильном уровне абстракции.
Метрики аппаратной архитектуры безопасности
Часть 5 ISO 26262 определяет три метрики случайных аппаратных отказов, которые должны быть выполнены для соответствия аппаратной архитектуры:
| Метрика | Определение | Цель ASIL B | Цель ASIL C | Цель ASIL D |
|---|---|---|---|---|
| PMHF (вероятностная метрика случайных аппаратных отказов) | Остаточный риск случайных аппаратных неисправностей, приводящих к нарушению цели безопасности | < 100 FIT | < 10 FIT | < 1 FIT |
| SPFM (метрика одиночных точек отказа) | Доля одиночных точек отказа, охватываемых механизмами безопасности | ≥ 90% | ≥ 97% | ≥ 99% |
| LFM (метрика скрытых отказов) | Доля скрытых отказов, охватываемых механизмами безопасности | ≥ 60% | ≥ 80% | ≥ 90% |
FIT = Failures In Time = отказов на 10⁹ часов работы устройства. Показатель 1 FIT означает один ожидаемый отказ на миллиард рабочих часов.
Выполнение метрик ASIL D для аппаратного обеспечения, как правило, требует резервирования сигнальных путей, независимого диагностического покрытия (например, периодических программ самодиагностики, способных выявить 99%+ скрытых отказов) и документированного анализа FMEA/FTA на уровне компонентов.
FMEA и FTA
FMEA (анализ видов и последствий отказов) перечисляет все способы отказа компонента или системы и прослеживает последствия вверх до цели безопасности. Для автомобильной электроники DFMEA (конструкторский FMEA) требуется для аппаратного обеспечения и должен ссылаться на классификации диагностического покрытия ISO 26262.
FTA (анализ дерева неисправностей) работает сверху вниз — от цели безопасности к выявлению комбинаций отказов нижнего уровня, которые могут её инициировать. FTA и FMEA взаимодополняют друг друга: FMEA выявляет одиночные точки отказа, FTA — многократные зависимые отказы.
Программное обеспечение (Часть 6)
Часть 6 ISO 26262 определяет требования к разработке программного обеспечения: нотации модельно-ориентированной разработки, критерии покрытия кода (MC/DC для ASIL C/D), статический анализ, программный FMEA и требования к тестированию. Программное обеспечение ASIL D требует 100% покрытия MC/DC и нескольких независимых проверок. Одно это нередко составляет 60–70% общей стоимости проекта по ISO 26262 для нового ЭБУ.
AUTOSAR
Стандарт AUTOSAR (AUTomotive Open System ARchitecture) определяет общую программную архитектуру для автомобильных ЭБУ. AUTOSAR Classic Platform и AUTOSAR Adaptive Platform включают механизмы безопасности, согласованные с ISO 26262. Многие OEM-ЭБУ построены на стеках AUTOSAR. Китайские поставщики, нацеленные на уровень Tier 1 в автомобильной отрасли, нередко заявляют о соответствии AUTOSAR, однако глубина этого соответствия существенно варьируется — уточните, имеют ли они в виду полный стек BSW или только адаптацию уровня драйверов.
Стоимость и сроки
Соответствие ISO 26262 обходится дорого и требует значительного времени. Стоимость в значительной мере зависит от уровня ASIL, сложности системы и от того, начинает ли поставщик с нуля или использует имеющуюся базу:
| Область применения | Уровень ASIL | Ориентировочная стоимость | Сроки |
|---|---|---|---|
| Простой компонент, существующий процесс | ASIL A/B | $50k–$150k | 6–12 месяцев |
| ЭБУ со встроенным ПО | ASIL B/C | $200k–$500k | 12–24 месяца |
| Полноценный ЭБУ, новая разработка | ASIL D | $500k–$2M+ | 24–36 месяцев |
| Только оценка/анализ разрывов | Любой | $20k–$80k | 2–4 месяца |
Это затраты на разработку, а не на аудит. Независимая оценка третьей стороной — TÜV SÜD, TÜV Rheinland, Dekra, Bureau Veritas или SGS — обходится в $30k–$100k за отчёт независимой оценки безопасности (ISA).
Оценка заявлений китайских поставщиков
Именно здесь большинство западных покупателей вводят в заблуждение. Типичные недостоверные заявления:
«Завод сертифицирован по ISO 26262» — ISO 26262 не сертифицирует заводы. Единственная заводская сертификация, имеющая значение в автомобильной отрасли, — IATF 16949. Завод может быть оценён как разрабатывающий продукцию в соответствии с ISO 26262, однако результатом является дело о безопасности или отчёт об оценке для конкретного продукта, а не сертификат уровня завода.
«Наш чип прошёл испытания по ISO 26262» — корпуса ИС могут быть охарактеризованы для применения в приложениях ISO 26262 (данные о частоте отказов, кривые снижения нагрузки по температуре, классификации диагностического покрытия), однако сам ИС не может быть «сертифицирован по ISO 26262». TI, NXP и Infineon публикуют Отчёты об анализе безопасности для своих автомобильных ИС; китайский производитель ИС, претендующий на «сертификацию ISO 26262» самого ИС, неправомерно использует стандарт.
IATF 16949 как замена — наличие IATF 16949 означает лишь то, что поставщик имеет документированную систему менеджмента качества. Это ничего не говорит об анализе функциональной безопасности, FMEA, HARA или аппаратных метриках. Два стандарта охватывают совершенно разные аспекты.
Что на самом деле запрашивать:
- Дело о безопасности / отчёт об анализе безопасности для конкретного продукта
- Документацию по декомпозиции и распределению ASIL
- Доказательства независимой оценки безопасности третьей стороной (ISA) от TÜV/Dekra/BV
- Отчёты FMEA и FTA (как минимум резюме, а не необработанные рабочие листы)
- Данные квалификационных испытаний при крайних температурах (AEC-Q100 для аппаратных компонентов)
Если поставщик не может предоставить пункты 1–3, он не соответствует ISO 26262 для приложений ASIL C или D, вне зависимости от содержания его маркетинговых материалов.
При оценке китайских поставщиков для программ по автомобильной электронике, критически важных с точки зрения безопасности, тщательный аудит завода должен специально охватывать артефакты функциональной безопасности: имеет ли поставщик задокументированные HARA, FMEA и FTA для приобретаемой вами продукции или только общий сертификат качества IATF 16949? Это разные документы, охватывающие разные риски, и их смешение — наиболее распространённая ошибка покупателя в этой области.
Связь с IEC 61508
ISO 26262 является отраслевым производным от IEC 61508. Уровни целостности безопасности (SIL 1–4) по IEC 61508 приблизительно соответствуют ASIL A–D, однако соответствие не является взаимно однозначным. IEC 61508 применяется в промышленных, процессных и железнодорожных приложениях; ISO 26262 — только для автомобилей. Продукт, соответствующий IEC 61508 SIL 3, автоматически не соответствует ISO 26262 ASIL D — требования к аппаратным метрикам и процессам разработки различаются.
Связанные ресурсы
- Сертификация IATF 16949 — стандарт системы менеджмента качества, обязательный для производства автомобильных компонентов; предварительное условие для работы по процессу ISO 26262
- Модули CAN Bus — требования к компонентам AEC-Q100, актуальные для критичных по безопасности сетей CAN
- Чек-лист аудита завода — как выстроить аудит поставщика для оценки заявлений о функциональной безопасности
- Аудит и верификация завода
- Закупка автомобильной электроники