Vigtigste pointer:
ISO 26262 systematiserer ingeniør- og dokumentationsaktiviteterne, så risikoen som følge af fejl i elektronikken begrænses til et acceptabelt niveau.
- ISO 26262:2018 er en international standard for funktionel sikkerhed for elektriske og elektroniske (E/E) systemer i vejgående køretøjer.
- Standarden er en tilpasning af IEC 61508, justeret til driftsforhold og udviklingsprocesser i bilindustrien.
- Beskriver sikkerhedens livscyklus: fra koncept og konstruktion, over integration og test, til produktion, drift og udfasning.
- ASIL (A–D) og QM fastlægger kravstyrken; niveauet bestemmes i HARA på grundlag af Severity, Exposure og Controllability.
- Udgaven fra 2018 udvidede anvendelsesområdet til at omfatte de fleste køretøjer til vejtrafik (med undtagelse af knallerter) og tilføjede bl.a. emner om halvledere.
Moderne køretøjer er fyldt med elektronik – fra motorstyringssystemer over førerassistentsystemer til sensorer og aktuatorer. At sikre deres fejlfri funktion er afgørende for sikkerheden. Standarden ISO 26262:2018 Road Vehicles – Functional Safety er en international standard, der fastlægger kravene til funktionssikkerhed for elektriske og elektroniske (E/E) systemer i vejgående køretøjer. Den er en tilpasning af den generelle standard IEC 61508 (som omhandler funktionssikkerhed på tværs af alle brancher), specifikt tilpasset bilindustriens vilkår. Formålet med ISO 26262 er at forebygge uacceptabel risiko forbundet med fejl i elektroniske systemer – ved at definere processer for risikovurdering og implementere sikkerhedsforanstaltninger, der reducerer risikoen til et acceptabelt niveau. Med andre ord adresserer standarden potentielle farer forårsaget af fejl i køretøjers elektronik og angiver, hvordan man modvirker dem.
ISO 26262 blev første gang udgivet i 2011, oprindeligt med et anvendelsesområde begrænset til personbiler med en masse op til 3,5 ton. Anden udgave fra 2018 introducerede væsentlige udvidelser – den kom til at omfatte alle vejgående køretøjer (lastbiler, busser, motorcykler m.m., dog med undtagelse af knallerter) og tilføjede nye afsnit om bl.a. halvlederkomponenter. Dermed afspejler standarden den voksende kompleksitet og variation i moderne bilers elektroniske systemer og tager højde for deres særlige udfordringer.
IEC 61508 som grundlag: Det er værd at understrege, at ISO 26262 udspringer direkte af moderstandarden IEC 61508, men at den er tæt tilpasset behovene i automotive-branchen. Det betyder, at metoden til risikovurdering, klassificering af farer og valg af sikkerhedsforanstaltninger er udformet til køretøjers typiske driftsforhold. Standarden definerer bl.a. en dedikeret sikkerhedslivscyklus for automotive og introducerer begreber, der er specifikke for dette område, såsom Automotive Safety Integrity Level beskrevet nedenfor.
ISO 26262 strukturerer hele arbejdet med at sikre funktionssikkerhed i produktets livscyklus – fra koncept over design, integration og test til produktion, drift og udfasning. Standarden angiver, hvilke aktiviteter der skal gennemføres i hver af disse faser for at identificere potentielle farer og minimere risikoen for fejl, der kan skabe farlige situationer.
ASIL-niveauer – risikoklassificering i ISO 26262
Et af de centrale begreber i ISO 26262 er ASIL (Automotive Safety Integrity Level), dvs. niveauet for funktionssikkerhedens integritet i automotive. ASIL er en skala til vurdering af risikoen forbundet med en potentiel fejl i et givent system – den angiver, hvor strenge sikkerhedsforanstaltninger der skal anvendes for at reducere risikoen til et acceptabelt niveau. Standarden definerer fire ASIL-niveauer: A, B, C, D (fra lavest til højest) samt kategorien QM (Quality Management), som betyder, at der ikke stilles sikkerhedskrav ud over de almindelige kvalitetsprocesser.
Fastlæggelse af ASIL-niveau: ASIL-niveauet fastlægges under fareanalyse og risikovurdering (Hazard Analysis and Risk Assessment, HARA). For hver potentiel fare vurderes tre nøglefaktorer: Severity – alvorligheden af de mulige konsekvenser (f.eks. personskade), Exposure – eksponering, dvs. hvor ofte situationer, der kan føre til fejlen, forekommer, samt Controllability – kontrollerbarhed, dvs. førerens mulighed for at håndtere situationen. Kombinationen af disse faktorer omsættes til en risikoklassificering. Niveauerne fra ASIL A til ASIL D afspejler netop den maksimale alvorlighed af fejlens konsekvenser, sandsynligheden for personskade samt muligheden for at kontrollere hændelsen. På baggrund af disse parametre tildeles den relevante sikkerhedsintegritetsklasse for den pågældende fare – eller QM, hvis risikoen er så lav, at almindelige designaktiviteter er tilstrækkelige.
ASIL’s betydning i risikovurderingen: Fastlæggelsen af det korrekte ASIL-niveau er helt afgørende, fordi det er dette, der bestemmer, hvor stringent udviklingsprocessen for systemet skal være. Jo højere ASIL, desto mere restriktive krav skal projektet opfylde – både i forhold til hardware-/softwarearkitekturen og i forhold til fremstilling, test og validering. Standarden stiller entydigt krav om, at der ved højere ASIL-niveauer skal leveres mere detaljeret dokumentation, anvendes strengere designregler, gennemføres mere dybdegående sikkerhedsanalyser samt foretages uafhængige gennemgange af arbejdsresultater. I praksis medfører et højt ASIL ofte, at der indbygges redundans og diagnostik i designet – så en enkelt fejl ikke fører til tab af sikkerhedsfunktionen. Til illustration: livskritiske systemer som airbags, ABS-systemet eller elektrisk servostyring klassificeres typisk som ASIL D, fordi en fejl udgør en alvorlig risiko for passagererne. Mindre kritiske funktioner, fx bageste positionslys, kan derimod få ASIL A eller endda blive vurderet som QM, fordi en eventuel fejl ikke indebærer nogen stor risiko. Denne tilgang gør det muligt at koncentrere den største ingeniørindsats dér, hvor den er mest nødvendig – ved de systemer, som menneskers sikkerhed afhænger af.
Strukturen i ISO 26262:2018 – del 1–10
ISO 26262-standarden (udgaven fra 2018) er opdelt i en række dele, som hver især fokuserer på et andet aspekt af sikkerhedens livscyklus. Kernen i standarden udgøres af ni normative dele (1–9) samt en ekstra del med retningslinjer (del 10). I anden udgave blev der desuden tilføjet del 11 og 12, som omhandler specifikke emner (henholdsvis halvledere og motorcykler), men i gennemgangen nedenfor fokuserer vi på de grundlæggende dele 1–10, som har universel anvendelse. Tabellen nedenfor viser de enkelte dele af ISO 26262:2018 sammen med deres titler og emnemæssige afgrænsning:
| Del | Titel (eng.) | Omfang og emner |
|---|---|---|
| 1 | Terminologi (Vocabulary) | Definitioner af grundlæggende termer, begreber og forkortelser, der anvendes i alle dele af standarden. Danner fundamentet for et fælles sprog (fx præciserer begreber som defekt, fejl, havari, fare osv.). |
| 2 | Styring af sikkerhed (Management of Functional Safety) | Krav til styring af funktionel sikkerhed i organisationen og i projekter. Angiver aktiviteter på organisationsniveau (fx sikkerhedspolitik, kompetencer) samt processen for sikkerhedsstyring i projektets livscyklus (planlægning, tilsyn, overensstemmelsesvurdering). |
| 3 | Konceptfase (Concept Phase) | Det tidligste trin i produktets livscyklus. Omfatter definition af elementet (item definition), fareanalyse og risikovurdering (HARA) samt formulering af et koncept for funktionel sikkerhed for køretøjet. På dette trin fastlægges sikkerhedsmål (safety goals) for de identificerede farer. |
| 4 | Udvikling på systemniveau (Product Development at the System Level) | Krav til systemdesign med hensyntagen til sikkerhed. Denne del beskriver udarbejdelse af en systemarkitektur, der opfylder sikkerhedsmålene, allokering af sikkerhedskrav til de enkelte elementer samt integration og test på hele systemniveau. Omfatter også validering af sikkerheden på køretøjsniveau. |
| 5 | Udvikling på hardwareniveau (Product Development at the Hardware Level) | Krav til hardwaredesign (elektronisk) set fra et sikkerhedsperspektiv. Indeholder principper for udarbejdelse af hardwarearkitektur, fastlæggelse af sikkerhedskrav til HW-komponenter, analyse af tilfældige fejl (fx beregning af arkitekturmetrikker: SPFM, LFM osv.) samt verifikation af hardwaren op mod disse krav. |
| 6 | Udvikling på softwareniveau (Product Development at the Software Level) | Krav til udvikling af sikker indlejret software. Omfatter design af en softwarearkitektur i overensstemmelse med sikkerhedsmålene, implementering af kode i henhold til standarder (fx MISRA-retningslinjer), enheds- og integrationstest samt verifikation af softwaren med henblik på at opfylde sikkerhedskravene. |
| 7 | Produktion, drift og udfasning (Production, Operation, Service and Decommissioning) | Krav til produktions- og driftsfasen for produktet. Omfatter bl.a. at sikre, at produktionsprocessen fastholder det forudsatte sikkerhedsniveau (kvalitetskontrol, sluttest), samt aktiviteter under brug af køretøjet (serviceprocedurer, indsamling af information om fejl) og sikker udfasning af køretøjet fra drift. |
| 8 | Understøttende processer (Supporting Processes) | En samling generelle processer, der understøtter sikkerheden i alle faser af livscyklussen. Hertil hører bl.a.: konfigurations- og ændringsstyring, kvalificering af softwareværktøjer, vurdering af komponenter i forhold til proven in use, vedligeholdelse af konsistent projektdokumentation, styring af leverandørrelationer i en sikkerhedskontekst samt sikring af passende uafhængighed i verifikationsprocessen. |
| 9 | ASIL-relaterede analyser (ASIL-Oriented and Safety Analyses) | Analysemetoder med fokus på ASIL og systemets pålidelighed. Denne del omfatter bl.a. principper for ASIL-dekomponering (fordeling af funktioner mellem elementer med lavere ASIL under fastholdelse af den krævede sikkerhed), kriterier for sameksistens af elementer med forskellige ASIL i ét system, analyse af fælles og afhængige fejl (fx Dependent Failure Analysis) samt klassiske risikoteknikker som FMEA og FTA i konteksten af kravene i ISO 26262. |
| 10 | Vejledning til ISO 26262 (Guidelines on ISO 26262) | En informativ del med anvisninger, der gør det lettere at fortolke standardens øvrige dele. Forklarer begreber og principper i ISO 26262 ved hjælp af eksempler og understøtter en korrekt forståelse af hensigten med kravene. (Hvis der opstår uoverensstemmelser mellem indholdet i denne del og kravene i del 1–9, skal kravene i de normative dele anvendes.) |
(Bemærk: I udgaven fra 2018 blev der også tilføjet del 11 – Vejledning vedrørende halvlederkomponenter samt del 12 – Tilpasning af ISO 26262 til motorcykler. Begge er supplerende, informative dokumenter, der udvider standardens anvendelsesområde til disse områder)
Som det fremgår, afspejler strukturen i ISO 26262:2018 de enkelte trin og aspekter i processen med at udvikle sikre systemer. Del 3–7 fører ingeniører gennem de efterfølgende faser – fra fastlæggelse af koncept og sikkerhedskrav, over systemdesign samt implementering på hardware- og softwareniveau, til fremstilling og anvendelse af produktet. Del 2 sikrer, at hele denne proces gennemføres inden for rammerne af en passende sikkerhedsledelse på virksomheds- og projektniveau. Del 8 leverer derudover organisatoriske og tekniske værktøjer (fx konfigurationsstyring eller værktøjskvalificering), som understøtter opfyldelsen af sikkerhedskravene i hvert eneste trin. Del 9 stiller analysemetodikker til rådighed og sikrer, at vi på intet tidspunkt overser faktorer, der påvirker risikoen (ASIL), og at vi identificerer potentielle fælles eller skjulte fejl. Tilsammen udgør alle disse elementer et omfattende system til sikring af funktionel sikkerhed.
ISO 26262:2018 strukturerer hele livscyklussen for funktionel sikkerhed i bilindustrien – fra konceptfasen, over detaljeret design og verifikation, til serieproduktion, vedligeholdelse og udfasning af produktet. Dermed udgør den en sammenhængende ramme for producenter og leverandører: fra risikoanalyse og fastlæggelse af sikkerhedskrav, over implementering af disse krav i de udviklede systemer og software, til afsluttende test og overvågning af produktet i drift. Anvendelse af standarden sikrer, at intet sikkerhedsaspekt bliver overset – fra projektledelse på højeste niveau til den mindste tekniske detalje. Resultatet er køretøjer udstyret med avancerede systemer, som samtidig lever op til strenge sikkerhedskriterier og minimerer risikoen for brugerne.
Vi ved, hvordan ISO 26262-kompatibel udvikling ser ud – fra risikoanalyse til afsluttende test. Med vores viden og erfaring hjælper vi med at implementere standardens krav i alle projektets faser, så funktionel sikkerhed ikke bliver et tillæg, men en integreret egenskab ved dit produkt.
ISO 26262 – funktionel sikkerhed i bilindustrien
ISO 26262:2018 Road Vehicles – Functional Safety er en international standard, der fastlægger kravene til funktionel sikkerhed for elektriske og elektroniske (E/E) systemer i vejkøretøjer. Dens formål er at forebygge uacceptabel risiko som følge af fejl i elektronikkens funktion ved hjælp af risikovurderingsprocesser og valg af sikkerhedsforanstaltninger.
ISO 26262 udspringer direkte af IEC 61508, men er tilpasset vilkårene i bilindustrien. Den omfatter en metode til risikovurdering og en dedikeret sikkerhedslivscyklus, der er egnet til de typiske driftsforhold for køretøjer.
ASIL (Automotive Safety Integrity Level) er et sikkerhedsintegritetsniveau, der angiver strengheden af de sikkerhedsforanstaltninger, som kræves for en given funktion. Standarden definerer ASIL A, B, C, D samt kategorien QM, når standardmæssige kvalitetsprocesser er tilstrækkelige.
ASIL fastlægges i HARA-analysen (Hazard Analysis and Risk Assessment) på baggrund af tre faktorer: Severity (alvorlighed af konsekvenser), Exposure (eksponering) og Controllability (kontrollérbarhed). Kombinationen af disse parametre omsættes til en risikoklassificering og det krævede ASIL-niveau eller QM.
Anden udgave udvidede anvendelsesområdet fra personbiler op til 3,5 t til alle køretøjer til vejtrafik (med undtagelse af knallerter). Der blev også tilføjet nye afsnit, bl.a. om halvlederkomponenter.