Otomotiv Elektroniği için ISO 26262 Güvenlik
Çin'den otomotiv elektroniği için ISO 26262: ASIL A–D seviyeleri, HARA, PMHF/SPFM metrikleri, maliyetler ve tedarikçi iddialarının değerlendirilmesi.
ISO 26262, kara araçlarındaki elektrikli ve elektronik sistemler için otomotiv endüstrisinin fonksiyonel güvenlik standardıdır. E/E donanımında veya yazılımında bir arızanın araç kazasına katkıda bulunma riskini yönetmek için bir çerçeve tanımlar. Çin’den otomotiv elektroniği tedarik eden alıcılar için, ISO 26262 uyumluluğunun gerçekte ne anlama geldiğini — ve kesinlikle ne anlama gelmediğini — anlamak, güvenliği etkileyen herhangi bir bileşen için sipariş vermeden önce kritiktir.
Genel Bakış
ISO 26262:2018 (ikinci baskı, 12 bölüm), elektrikli/elektronik/programlanabilir sistemler için genel fonksiyonel güvenlik standardı olan IEC 61508’den türetilmiştir. Otomotiv versiyonu araca özel gereklilikler ekler: bir tehlike analizi ve risk değerlendirmesi (HARA) metodolojisi, otomotiv güvenlik bütünlük seviyeleri (ASIL A ile D arası), rastgele arıza olasılıklarına bağlı donanım mimarisi metrikleri ve yazılım geliştirme süreçleri.
Temel ayrım: ISO 26262 bir süreç ve geliştirme standardıdır, bir ürün sertifikası işareti değildir. Bir çipe veya modüle damgalanabilecek bir “ISO 26262 etiketi” yoktur. Bir bileşen ISO 26262’ye uygun olarak geliştirilebilir (belgelenmiş tasarım, analiz, test artefaktları), ancak nihai ASIL belirlemesi her zaman sistem bağlamındaki işlev için geçerlidir — tek başına bileşen için değil.
Bu ayrım, Çin tedarikçileri tarafından sıkça yanlış temsil edilir; onlar ürünlerinin yalnızca bir kalite yönetim sertifikasına (genellikle IATF 16949) sahip olduklarını veya üçüncü taraf bir laboratuvarın bazı testler yaptığını kastettiklerinde “ISO 26262 sertifikalı” olduğunu iddia edebilirler. İkisi de eşdeğer değildir.
ASIL Seviyeleri
ASIL (Otomotiv Güvenlik Bütünlük Seviyesi), bir güvenlik hedefi için gereken risk azaltmayı sınıflandırır. HARA sırasında üç parametre değerlendirilerek belirlenir:
| Parametre | Değerler | Açıklama |
|---|---|---|
| Şiddet (S) | S0–S3 | Yol kullanıcılarına en kötü durum yaralanması (S3 = ölümler muhtemel) |
| Maruziyet (E) | E0–E4 | Tehlikeli senaryonun ortaya çıkma olasılığı |
| Kontrol Edilebilirlik (C) | C0–C3 | Sürücünün kazadan kaçınamama olasılığı |
S, E ve C’nin kombinasyonu bir ASIL veya “QM”ye (Kalite Yönetimi — özel güvenlik önlemi gerekmez) eşlenir:
| S1 | S2 | S3 | |
|---|---|---|---|
| E2, C3 | ASIL A | ASIL B | ASIL C |
| E3, C3 | ASIL B | ASIL C | ASIL D |
| E4, C3 | ASIL C | ASIL D | ASIL D |
ASIL D en yüksek seviyedir, elektronik direksiyon, fren-telle ve hava yastığı açılması gibi işlevler için gereklidir. ASIL A, ısıtmalı ayna kontrolü gibi daha düşük riskli işlevler için geçerlidir.
ASIL ayrıştırması, bir ASIL D gerekliliğini iki bağımsız ASIL B kanalına bölmeye olanak tanır (ASIL B(D) olarak yazılır), bu da her iki yolda tam ASIL D donanım maliyetinden kaçınmak için yaygın bir mimari stratejidir.
Temel Teknik Gereklilikler
HARA (Tehlike Analizi ve Risk Değerlendirmesi)
HARA araç seviyesinde gerçekleştirilir, bileşen seviyesinde değil. ASIL derecelendirmeleriyle güvenlik hedefleri (üst seviye gereklilikler) üretir. Aşağıdaki her şey — teknik güvenlik gereklilikleri, donanım gereklilikleri, yazılım gereklilikleri — bu güvenlik hedeflerinden akar. Sistem mimarinizde nasıl kullanacağınızı bilmeden “bağımsız ASIL D modülü” satan bir tedarikçi yanlış soyutlama seviyesine satış yapıyordur.
Donanım Güvenlik Mimarisi Metrikleri
ISO 26262 Bölüm 5, donanım mimarisinin uyumlu olması için karşılanması gereken üç donanım rastgele arıza metriğini tanımlar:
| Metrik | Tanım | ASIL B Hedefi | ASIL C Hedefi | ASIL D Hedefi |
|---|---|---|---|---|
| PMHF (Rastgele Donanım Arızaları için Olasılıksal Metrik) | Güvenlik hedefi ihlaline neden olan rastgele donanım arızalarının kalan riski | < 100 FIT | < 10 FIT | < 1 FIT |
| SPFM (Tek Nokta Arıza Metriği) | Güvenlik mekanizmaları tarafından kapsanan tek nokta arızalarının oranı | ≥ %90 | ≥ %97 | ≥ %99 |
| LFM (Gizli Arıza Metriği) | Kapsanan gizli arızaların oranı | ≥ %60 | ≥ %80 | ≥ %90 |
FIT = Zamandaki Arızalar = 10⁹ cihaz-saat başına arıza. 1 FIT oranı, milyar çalışma saati başına bir beklenen arıza anlamına gelir.
ASIL D donanım metriklerini karşılamak tipik olarak yedekli sinyal yolları, bağımsız tanısal kapsama (örneğin, gizli arızaların %99+‘sını tespit edebilen periyodik kendi kendine test rutinleri) ve bileşen seviyesinde belgelenmiş FMEA/FTA analizi gerektirir.
FMEA ve FTA
FMEA (Arıza Modu ve Etkileri Analizi), bir bileşenin veya sistemin arızalanabileceği her yolu sıralar ve etkileri güvenlik hedefine kadar takip eder. Otomotiv elektroniği için, donanım için bir DFMEA (Tasarım FMEA) gereklidir ve ISO 26262 tanısal kapsama sınıflandırmalarına atıf yapmalıdır.
FTA (Arıza Ağacı Analizi), güvenlik hedefinden yukarıdan aşağıya çalışarak onu tetikleyebilecek daha düşük seviye arıza kombinasyonlarını belirler. FTA ve FMEA tamamlayıcıdır — FMEA tek nokta arızalarını bulur; FTA çok noktalı bağımlı arızaları bulur.
Yazılım (Bölüm 6)
ISO 26262 Bölüm 6, yazılım geliştirme gerekliliklerini belirtir: model tabanlı geliştirme notasyonları, kod kapsama kriterleri (ASIL C/D’de MC/DC kapsaması), statik analiz, yazılım FMEA’sı ve test gereklilikleri. ASIL D yazılımı %100 MC/DC kapsaması ve birden çok bağımsız inceleme gerektirir. Bu tek başına genellikle yeni bir ECU için toplam ISO 26262 proje maliyetinin %60–70’ini temsil eder.
AUTOSAR
AUTOSAR (OTOmotiv Açık Sistem Mimarisi) standardı, otomotiv ECU’leri için ortak bir yazılım mimarisi tanımlar. AUTOSAR Klasik Platform ve AUTOSAR Adaptif Platform, ISO 26262 ile uyumlu güvenlik mekanizmalarını içerir. Birçok OEM ECU’su AUTOSAR yığınları üzerine inşa edilmiştir. Seviye 1 otomotivi hedefleyen Çin tedarikçileri sıklıkla AUTOSAR uyumluluğu iddia eder, ancak bu uyumluluğun derinliği büyük ölçüde değişir — tam BSW yığınını mı yoksa sadece sürücü katmanı adaptasyonunu mu kastettiklerini doğrulayın.
Maliyet ve Zaman Çizelgesi
ISO 26262 uyumluluğu pahalı ve zaman alıcıdır. Maliyet, ASIL seviyesine, sistem karmaşıklığına ve tedarikçinin sıfırdan mı başladığına yoksa mevcut bir temele mi sahip olduğuna büyük ölçüde bağlıdır:
| Kapsam | ASIL Seviyesi | Tahmini Maliyet | Zaman Çizelgesi |
|---|---|---|---|
| Basit bileşen, mevcut süreç | ASIL A/B | $50k–$150k | 6–12 ay |
| Gömülü yazılımlı ECU | ASIL B/C | $200k–$500k | 12–24 ay |
| Tam ECU, yeni geliştirme | ASIL D | $500k–$2M+ | 24–36 ay |
| Sadece değerlendirme/açık analizi | Herhangi | $20k–$80k | 2–4 ay |
Bunlar geliştirme maliyetleridir, denetim ücretleri değil. TÜV SÜD, TÜV Rheinland, Dekra, Bureau Veritas veya SGS tarafından üçüncü taraf değerlendirmesi, bağımsız bir güvenlik değerlendirme (ISA) raporu için $30k–$100k tutarındadır.
Çin Tedarikçi İddialarının Değerlendirilmesi
Batı’lı alıcıların çoğunun yanıltıldığı nokta burasıdır. Yaygın yanlış temsiller:
“ISO 26262 sertifikalı fabrika” — ISO 26262 fabrikaları sertifikalandırmaz. Otomotivde önemli olan tek fabrika sertifikası IATF 16949’dur. Bir fabrika ISO 26262’ye uygun ürünler geliştiriyor olarak değerlendirilebilir, ancak çıktı fabrika seviyesinde bir sertifika değil, belirli bir ürün için bir güvenlik durumu veya değerlendirme raporudur.
“Çipimiz ISO 26262 testini geçti” — IC paketleri ISO 26262 uygulamalarında kullanım için karakterize edilebilir (arıza oranı verileri, sıcaklık güç azaltma eğrileri, tanısal kapsama sınıflandırması), ancak bir IC kendi başına “ISO 26262 sertifikalı” olamaz. TI, NXP ve Infineon otomotiv IC’leri için Güvenlik Analiz Raporları yayınlar; IC’nin kendisi için “ISO 26262 sertifikası” iddia eden bir Çin IC firması standardı yanlış kullanıyordur.
IATF 16949’un vekil olarak kullanılması — IATF 16949’a sahip olmak sadece tedarikçinin belgelenmiş bir kalite yönetim sistemine sahip olduğu anlamına gelir. Fonksiyonel güvenlik analizi, FMEA, HARA veya donanım metrikleri hakkında hiçbir şey söylemez. İki standart tamamen farklı endişeleri ele alır.
Gerçekte istenmesi gerekenler:
- Belirli ürün için güvenlik durumu / güvenlik analiz raporu
- ASIL ayrıştırma ve tahsis dokümantasyonu
- TÜV/Dekra/BV tarafından üçüncü taraf bağımsız güvenlik değerlendirmesi (ISA) kanıtı
- FMEA ve FTA raporları (en azından özet, ham çalışma sayfaları değil)
- Sıcaklık uçlarında yeterlilik test verileri (donanım bileşeni ise AEC-Q100)
Bir tedarikçi 1–3 numaralı maddeleri üretemiyorsa, pazarlama materyalleri ne derse desin ASIL C veya D uygulamaları için ISO 26262 uyumlu değildir.
ASIL gerekliliklerinin özellikle sıkı olduğu algılama bileşenleri için — AEB ve ACC sistemlerinde kullanılan ve tipik olarak ASIL B veya ASIL C analizi gerektiren 77GHz FMCW radar modülleri dahil — IC lot izlenebilirliği ve AEC-Q100 sınıf doğrulaması, fonksiyonel güvenlik dokümantasyonunun ilgili hale gelmesinden önce bile ön koşuldur.
Güvenlik kritik otomotiv elektroniği programları için Çin tedarikçilerini değerlendirirken, kapsamlı bir fabrika denetimi özellikle fonksiyonel güvenlik artefaktlarını kapsamalıdır: tedarikçi, satın aldığınız ürün için belgelenmiş HARA, FMEA ve FTA’ya sahip mi, yoksa sadece jenerik bir IATF 16949 kalite sertifikası mı? Bunlar farklı riskleri ele alan farklı dokümanlardır ve bunları birbirine karıştırmak bu alandaki en yaygın alıcı hatasıdır.
IEC 61508 ile İlişkisi
ISO 26262, IEC 61508’in sektöre özel bir türevidir. IEC 61508’in Güvenlik Bütünlük Seviyeleri (SIL 1–4) kabaca ASIL A–D’ye karşılık gelir, ancak eşleme bire bir değildir. IEC 61508 endüstriyel, süreç kontrolü ve demiryolu uygulamaları için kullanılır; ISO 26262 sadece otomotiv içindir. IEC 61508 SIL 3 uyumlu bir ürün otomatik olarak ISO 26262 ASIL D uyumlu değildir — donanım metrikleri ve geliştirme süreci gereklilikleri farklıdır.
İlgili Kaynaklar
- IATF 16949 Sertifikası — otomotiv bileşen üretimi için gerekli kalite yönetim sistemi standardı; ISO 26262 süreç çalışması için ön koşul
- CAN Veri Yolu Modülleri — güvenlik kritik CAN ağlarıyla ilgili AEC-Q100 bileşen gereklilikleri
- Fabrika Denetim Kontrol Listesi — fonksiyonel güvenlik iddialarını değerlendirmek için tedarikçi denetimi nasıl yapılandırılır
- Fabrika Denetimi ve Doğrulama
- Otomotiv Elektroniği Tedariği