ISO 26262

ISO 26262 je standard funkční bezpečnosti definující pravidla pro bezpečnost elektrických a elektronických systémů ve vozidlech. Je adaptací standardu ISO 61508 pro podmínky vozidel. ISO standard je dílem Mezinárodní organizace pro normalizaci.

O standardu[editovat | editovat zdroj]

S tím, jak elektronika přebírá stále větší podíl na chování vozu, roste i její vliv na bezpečnost vozu a dopravy obecně. Standard funkční bezpečnosti tak reaguje na potřebu zajistit spolehlivost elektronických systémů napříč vozem i napříč celým výrobním řetězcem. Standard současně přebírá praxi ostatních standardů kvality a bezpečnosti, které staví do popředí kvalitu vývoje a návrhu výrobku, bezpečnostní analýzy hrozeb a následnou kontinuální kvalitu ve výrobě.

Historie standardu[editovat | editovat zdroj]

Standard vzešel ze standardu ISO 61508, který se zabývá funkční bezpečností pro stroje a zařízení. Tento standard byl ideovým základem, ale ISO 26262 má od samého počátku komplexnější strukturu, takže rozhodně není možné považovat ISO 61508 za alternativu^[1]. ISO 26262 převzalo i koncept dalších standardů, např. Automotive SPICE^[2]^[3]. Významných podkladem pro standard byly již existující závazné standardy automobilových výrobců, kteří byli do přípravy standardu aktivně zapojeni.

První edice standardu byla vydána v roce 2011, která byla určena pro vývoj elektroniky pro osobní automobily. Omezení na tento segment umožňovalo zohlednit dva klíčové aspekty tohoto segmentu: masovou produkci a většinou nepříliš zkušenou obsluhu finálního výrobku (řidiče), která nemá řízení jako svou profesi.

v roce 2018 byla vydána 2 verze. Zásadní změnou z hlediska aplikace normy bylo rozšíření její platnosti na autobusy, nákladní auta a motocykly. Změna nemá významný vliv na obsah normy, ale sjednotila pravidla pro vývoj elektroniky napříč celým automobilovým segmentem. Vnitřně norma "uzrála", protože odstranila řadu nejasností, které nastaly poté, co používání normy vstoupilo praxe firem. Přibyla řada doporučení a upřesnění, mj. i celá nová část 11. Cílem upřesnění bylo omezit různost výkladů normy různými týmy, což vedlo i k zásadním neshodám v hodnocení potřebné úrovně bezpečnosti některých součástek

Hlavní koncepty standardu[editovat | editovat zdroj]

Úrovně ASIL[editovat | editovat zdroj]

Základním konceptem standardu je klasifikace potřebné úrovně bezpečnosti každé elektronické jednotky z hlediska jejího vlivu na bezpečnost provozu vozu. Klasifikace vytváří úrovně ASIL (Automotive Safety Integrity Level) - Stupně automobilové bezpečnosti. Každá elektronická jednotka ve voze je hodnocena vzhledem k jejímu vlivu na bezpečnost a pokud je vliv vyhodnocen jako nezanedbatelný, je jí přiřazena úroveň ASIL A - ASIL D. Standard pro každou z úrovní stanovuje jiná pravidla pro vývoj a výrobu.

Koncept bezpečnosti[editovat | editovat zdroj]

Pro každou elektronickou součástku vyvíjenou dle standardu musí být definován koncept bezpečnosti - způsoby, jak zajistit, aby byla bezpečná a to i v případě, že se sama porouchá, nebo se porouchá něco jiného, kvůli čemu sama nemůže fungovat. Koncept bezpečnosti definuje způsoby, jak bezpečnost zajistit a typicky zahrnuje různá opatření, např. redundanci funkcionality, omezení funkcí vozidla a většinou i varování řidiče. Protože tyto bezpečnostní opatření většinou vyžadují součinnost jiných elektronických prvků (např. varování řidiče vyžaduje funkci panelu na řídící desce), vyžaduje zajištění celkové bezpečnosti spolehlivost všech prvků a globální koncept bezpečnosti pro celý vůz. Koncept bezpečnosti pak např. vyžaduje, aby některá elektronická jednotka byla použita výhradně s jinou jednotkou, která je nezbytná pro zajištění celkové funkční bezpečnosti (např. automatická převodovka může vyžadovat elektronickou parkovací brzdu, jejíž funkce slouží jako bezpečnostní funkce pro automatickou převodovku a jsou aktivovány ve chvíli, kdy řidič opouští vozidlo a nepřepnul automatickou převodovku do parkovacího režimu).

Vazby na jiné standardy[editovat | editovat zdroj]

ISO 26262 nenahrazuje, ale doplňuje jiné standardy bezpečnosti. V prvé řadě předpokládá, že organizace má vybudován systém řízení jakosti, nejčastěji podle standardu ISO 9000 nebo QS 9000. ISO 26262 je nad těmito standardy nadstavbou. Pro oblast vývoje software předpokládá standard Automotive SPICE. Další standardy jsou doporučovány např. pro výpočet spolehlivosti elektronických komponent.

ISO 26262 se nezabývá spolehlivostí automatického řízení, tuto problematiku řeší standard ISO 25197, který se zabývá otázkou funkční spolehlivosti řízení a navazuje tak na ISO 26262, ze které pro tuto oblast zůstává relevantní oblast konceptu bezpečnosti vývoje.

Dostupnost standardu v Česku[editovat | editovat zdroj]

Standard není veřejně dostupný, je možné jej zakoupit. Neexistuje jeho oficiální překlad do češtiny a není součástí standardů dostupných formou elektronického předplatného ČSN^[4].

Části standardu[editovat | editovat zdroj]

Vzhledem k rozsáhlosti problematiky vývoje elektroniky je standard ISO 26262 technicky členěn na 11 dílčích standardů, které dohromady tvoří celek. Všechny dílčí standardy jsou vzájemně provázány a i z hlediska plnění je ISO 26262 bráno jako jeden standard.

Část 1 - Slovník[editovat | editovat zdroj]

Slovník definuje rozsáhlý pojmoslovný aparát termínů, které standard používá (téměř 200 pojmů). Kromě výš uvedeného konceptu bezpečnosti jsou klíčové pojmy

Jednotka (Item)[editovat | editovat zdroj]

Jednotkou se pro potřeby standardu rozumí samostatná funkční jednotka, která obsahuje vlastní rozhodovací logiku, kterou řídí své chování. Jednotkou je např. modul stěračů spolu s čidlem na základě kterého řídí rychlost pohybu stěračů. Jednotkou naopak není elektronický ventil, který ovládá průtok paliva. Ventil je součástí jednotky, která bude zahrnovat i řídící jednotku zasílající pokyny do ventilu. Z logiky definice vyplývá, že jednotku se lze v dnešní době jen obtížně představit bez toho, aby obsahovala i kus software.

Odolnost proti selhání (Fault Tolerance)[editovat | editovat zdroj]

Schopnost zařízení fungovat i v případě, když selže část systému nebo něco v jeho okolí. Příkladem zajištění funkční bezpečnosti je schopnost nahradit přesné hodnoty z kontrolního čidla přibližnými hodnotami z jiných informací a dopočítání hodnot, přechod do režimu omezené funkcionality apod.

Bezpečnostní režim (Safety mode)[editovat | editovat zdroj]

Režim, ve kterém jsou poskytovány nezbytné funkce pro zajištění bezpečného chování vozu. Bezpečnostní režim jednotky aktivují, pokud není možný plnohodnotný nebo omezený režim a poskytují nezbytné funkce. Příkladem je nastavení potkávacích světel do nejnižší možné polohy, když je detekována porucha automatického nastavení světla.

Slovník je díky své vnitřní logické struktuře dokumentu z velké části dostupný online ^[5]

Část 2 - Řízení funkční bezpečnosti[editovat | editovat zdroj]

Druhá část normy definuje pravidla a postupy pro řízení funkční bezpečnosti v celé organizaci, Nezabývá se vývojem nebo výrobou samotného výrobku, ale budováním kultury bezpečnosti v organizaci. Je nadstavbou nad systémem řízení jakosti pro organizace, které vyvíjejí nebo vyrábějí jakékoli výrobky s vlivem na bezpečnost.

Oddíl buduje koncept péče o bezpečnost výrobků na procesní úrovni organizace a vytváří tak procesní rámec, který spojuje požadavky všech dalších částí a je nezbytný např. pro přenos všech bezpečnostních požadavků z vývoje do výroby (každou z těchto částí se celého životního cyklu výrobku se pak věnuje samostatná část).

Část 3 - Koncepce funkční bezpečnosti[editovat | editovat zdroj]

Třetí část normy definuje postupy vytvoření konceptu bezpečnosti nového prvku. Základní částí je posouzení hrozeb, které může vyvíjený prvek způsobit a jejich analýza.

Třetí část je nejkratší součástí standardu, ale rozhodně nikoli podružnou. Je základem pro rozhodování o tom, jaké procesy dalšího vývoje je třeba zvolit s ohledem na nutnou úroveň bezpečnosti. V případě podcenění této části vývoje hrozí, že se bude nutné v průběhu vývoje vrátit zpět na začátek, protože nevhodný koncept bezpečnosti může znemožnit použití jinak funkčního výrobku ve voze pro jeho nedostatečnou bezpečnost.

Části 4 - 6 - Vývoj prvku[editovat | editovat zdroj]

Tři části normy 4., 5. a 6. stanovují postupy, jak vyvíjet v souladu s konceptem bezpečnosti jednotlivé části prvku:

Část 4 se věnuje vývoji na systémové úrovni - Stanovuje postupy pro systémovou analýzu a následnou integraci a ověřování celého systému
Část 5 definuje postupy pro design, vývoj a ověřování hardware.
Část 6 definuje postupy pro vývoj, testování a integraci software

Všechny tří částí mají podobnou vnitřní strukturu, ale svými požadavky směřují na jiné činnosti. Všechny také předpokládají vodopádový životní cyklus. I když není agilní vývoj apriori nedovolený, logikou standardu je nepodporovaný, protože všechny 3 standardy předpokládají, že jednotlivé kroky procesu na sebe navazují.

Část 7 - Výroba, provoz a stažení výrobku[editovat | editovat zdroj]

Standard ISO 26262 sleduje celý životní cyklus výrobku. Bezpečnost nevyplývá jenom ze spolehlivé výroby, ale také správné montáže, dodržení provozních podmínek i servisních požadavků. Výrobek nesmí vytvářet nebezpeční ani po skončení své životnosti a i na tuto část životního cyklu je třeba pamatovat nejenom normou, ale i ve vývoji.

Plánování do výroby zahrnuje potřebu přenést všechny požadavky na kvalitu výroby, výstupní kontroly, skladování výrobků a jejich značení.

Část 8 - Podpůrné procesy[editovat | editovat zdroj]

Část má blízko k obecným standardům kvality tím, že definuje procesy, které jsou zahrnuty např. i v ISO 9000. ISO 26262 ale požaduje více detailů a přidává i procesy zcela nové. Dále jsou uvedeny příklady nových procesů

Kvalifikace softwarových komponent[editovat | editovat zdroj]

Kvalifikace je způsob prověření, že všechny technologie, které jsou při vývoji software požity, jsou skutečně dostatečně spolehlivé, aby jim bylo možné vývoj bezpečného software svěřit. Komponentami jsou v prvé řadě kompilátory, použité knihovny, ale obecně jakýkoli software, který je pro vývoj a výrobu použit.

Prokázání spolehlivosti použitím[editovat | editovat zdroj]

Důležitým procesem je možnost prokázat spolehlivost výrobku tím, že už je dlouho používán a jeho spolehlivost je díky tomu prověřena už předtím, než vznikla tato norma. Proces měl zásadní význam v prvních letech používání normy, protože de facto schvaloval kvalitu starších výrobků, i když nebyly vyvinuty v souladu s tímto standardem. Vytvořil tak přechodné období dané tím, že je možné pro vývoj nových výrobků použít i prověřené starší technologie.

Část 9 - Analýza bezpečnosti podle ASIL[editovat | editovat zdroj]

Část se zabývá postupy a pravidly analýzy, která má pomoci odhalit všechny možné scénáře, při kterých by došlo k selhání bezpečnosti, ať už z důvodu závady některé součástky (random failure), posupného selhání více součástek (latent fault) nebo obecně chybného konceptu bezpečnosti a tím vzniku nebezpečí i bez selhání.

Místem možného vzniku neošetřených a nedomyšlených situací jsou procesy, kde jednotky vyvinuté podle ISO 26262 sice fungují správně, ale spolupracují částmi, které podle ISO 26262 vyvinuté nebyly (typicky z historických důvodů) a jejich chování je proto (normou vnímáno) méně předvídatelné. Této oblasti se věnuje jedna z kapitol části.

Důležitou součástí jsou i přílohy, které jsou sice informativní, ale velmi důležité, protože ukazují, jak standard v praxi naplnit.

Část 10 - praktické návody[editovat | editovat zdroj]

Nejobsáhlejší díl normy obsahuje řadu příkladů a návodů, jak normu implementovat. Není ucelenou metodikou ani souhrnem důležitých bodů, ale v jednotlivých kapitolách se věnuje obtížným a klíčovým oblastem normy a přidává dodatečné informativní návody a příklady. Důležitými body, kterým se věnuje, jsou:

Příklady analýzy rizik nebezpečný situací
Příklady konceptu bezpečnosti
Příklady klasifikace jednotky podle ASIL

Část 11 - doporučení aplikace normy na elektronické součástky[editovat | editovat zdroj]

Jedna z oblasti, kterou první verze normy řešila pouze odkazem na použití jiných standardů, byla otázka spolehlivosti hardwarových součástek a z nich vytvořené elektroniky. Pro oblast výpočtu spolehlivosti existuje řada starších standardů, jejich obecným problémem ale je poměrně rychlé zastarávání s ohledem na rozvoj elektroniky a její složitosti (např. výpočet spolehlivosti podle počtu součástek a jejich spolehlivosti z přelomu tisíciletí není aplikovatelný na současné elektronické obvody). Nedostatkem starších standardů je absence pohledu na nové technologie, např. čidel. Norma ISO 26262 z r 2018 proto přišla s informativní, ale důležitou částí 11, která dává doporučení, jak spolehlivost počítat zejména pro nové elektronické prvky:

Složité moderní elektronické součástky jak např. vícejaderné procesory
Zařízení kombinující analogovou a digitální část, typicky senzory
Jak aplikovat analýzu na důležité procesy, které mohou vést k nebezpečné situaci, typicky kaskádovité selhání propojených zařízení

Aplikace normy v praxi[editovat | editovat zdroj]

Norma svým rozsahem zásadně ovlivňuje nejenom všechny interní procesy výroby a vývoje ve firmách, ale i dodavatelsko-odběratelské vztahy v celém automobilovém průmyslu. Definuje požadavky související i s kontrolou všech dodavatelů a kvality jejich produkce, což se následně promítá do nových povinností i oddělení, které nemají přímý vliv na vyráběné součástky, jako např. nákupní oddělení. zavedení normy tak v praxi vyžaduje zásah v podstatě do všech procesů a dokumentů systému řízení kvality.

Z důvodu systémových dopadů normy na procesy firmy je důležité, aby se s normou seznámil širší okruh lidí. Zavedení normy by proto mělo provázet školení nejenom manažera kvality, jak je obvyklé u jiných standardů, ale co nejširší skupiny osob^[6].

Z hlediska interní praxe jsou zásadními požadavky normy:

Osobní odpovědnost zejména klíčových pracovníků (manažera bezpečnosti)
Pečlivá dokumentace
Ověřování všech výstupů
Sledovatelnost zpracování požadavků (traceability)

Tyto požadavky jsou zahrnuty i v jiných normách, ale zdaleka ne tak důrazně a v celém procesu od prvních kroků - konceptu bezpečnosti až do samého konce - analýzu závad výrobků v provozu. V praxi je nemožné požadavky normy pokrýt bez její systémové podpory, protože jinak by zajištění sledovatelnosti všech kroků neúměrně zatížilo všechny pracovníky. Proto se pro řízení vývoje a výroby v souladu s normou používají nástroje systémové podpory normy, např. AyMINE ^[7].

Reference[editovat | editovat zdroj]

↑ [1] Přehled hlavních rozdílů mezi standardy ISO 26262 a ISO 61508
↑ [2] Standard Automotive SPICE
↑ České stránky o Automotive SPICE
↑ [3] Vyhledávání norem dostupných v online normách ČSN
↑ [4] Slovník standardu ISO 26262:2018
↑ [5] Školení ISO 26262 pro širokou skupinu pracovníků, kteří budou s normou přicházet do styku.
↑ [6] Systémová podpora normy ISO 26262

[1] [1] Přehled hlavních rozdílů mezi standardy ISO 26262 a ISO 61508

[2] [2] Standard Automotive SPICE

[3] České stránky o Automotive SPICE

[4] [3] Vyhledávání norem dostupných v online normách ČSN

[5] [4] Slovník standardu ISO 26262:2018

[6] [5] Školení ISO 26262 pro širokou skupinu pracovníků, kteří budou s normou přicházet do styku.

[7] [6] Systémová podpora normy ISO 26262

[1]

[2]

[3]

[4]

[5]

[6]

[7]