Współczesne pojazdy są naszpikowane elektroniką – od systemów sterowania silnikiem, przez układy wspomagania kierowcy, po czujniki i elementy wykonawcze. Zapewnienie ich bezawaryjnego działania to kwestia krytyczna dla bezpieczeństwa. Norma ISO 26262:2018 Road Vehicles – Functional Safety jest międzynarodowym standardem definiującym wymagania bezpieczeństwa funkcjonalnego dla elektrycznych i elektronicznych (E/E) systemów w pojazdach drogowych. Stanowi ona adaptację ogólnej normy IEC 61508 (dotyczącej bezpieczeństwa funkcjonalnego we wszystkich branżach) specjalnie dostosowaną do realiów motoryzacji. Celem ISO 26262 jest zapobieganie nieakceptowalnemu ryzyku związanemu z wadliwym działaniem układów elektronicznych – poprzez określenie procesów oceny ryzyka i wdrażanie środków bezpieczeństwa redukujących to ryzyko do akceptowalnego poziomu. Innymi słowy, norma adresuje potencjalne zagrożenia spowodowane usterkami elektroniki w pojazdach i wskazuje, jak tym zagrożeniom przeciwdziałać.
ISO 26262 po raz pierwszy opublikowano w 2011 roku, początkowo z zakresem ograniczonym do samochodów osobowych o masie do 3,5 tony. Wydanie drugie z 2018 roku wprowadziło istotne rozszerzenia – objęto nim wszystkie pojazdy drogowe (ciężarowe, autobusy, motocykle itp., z wyłączeniem motorowerów) oraz dodano nowe sekcje dotyczące m.in. komponentów półprzewodnikowych. Tym samym norma odzwierciedla rosnącą złożoność i różnorodność systemów elektronicznych we współczesnej motoryzacji, uwzględniając ich specyficzne wyzwania.
IEC 61508 jako podstawa: Warto podkreślić, że ISO 26262 wywodzi się bezpośrednio z normy macierzystej IEC 61508, jednak została ona ściśle dopasowana do potrzeb branży automotive. Oznacza to, że metodologia oceny ryzyka, klasyfikacji zagrożeń i dobór środków bezpieczeństwa zostały skrojone pod typowe warunki eksploatacji pojazdów. Norma definiuje m.in. dedykowany cykl życia bezpieczeństwa dla motoryzacji oraz wprowadza pojęcia specyficzne dla tej domeny, takie jak Automotive Safety Integrity Level opisany poniżej.
ISO 26262 organizuje cały proces zapewnienia bezpieczeństwa funkcjonalnego w cykl życia produktu – od koncepcji poprzez projektowanie, integrację i testy, aż po produkcję, eksploatację i wycofanie z użycia. Standard wskazuje, jakie działania należy podjąć na każdym z tych etapów, aby zidentyfikować potencjalne zagrożenia i zminimalizować ryzyko awarii stwarzających niebezpieczeństwo.
Spis Treści
Poziomy ASIL – klasyfikacja ryzyka w ISO 26262
Jednym z centralnych pojęć normy ISO 26262 jest ASIL (Automotive Safety Integrity Level), czyli poziom nienaruszalności bezpieczeństwa funkcjonalnego w motoryzacji. ASIL to skala oceny ryzyka związanego z potencjalną awarią danego systemu – określa, jak rygorystyczne środki bezpieczeństwa muszą zostać zastosowane, by ograniczyć ryzyko do akceptowalnego poziomu. Norma definiuje cztery poziomy ASIL: A, B, C, D (od najniższego do najwyższego) oraz kategorię QM (Quality Management) oznaczającą brak wymagań bezpieczeństwa wykraczających poza standardowe procesy jakościowe.
Wyznaczanie poziomu ASIL: Poziom ASIL ustala się podczas analizy zagrożeń i oceny ryzyka (Hazard Analysis and Risk Assessment, HARA). Dla każdego potencjalnego zagrożenia rozpatrywane są trzy kluczowe czynniki: Severity – dotkliwość potencjalnych skutków (np. obrażenia osób), Exposure – ekspozycja, czyli częstość występowania sytuacji sprzyjających awarii, oraz Controllability – kontrolowalność, czyli możliwość opanowania sytuacji przez kierowcę. Kombinacja tych czynników przekłada się na klasyfikację ryzyka. Poziomy od ASIL A do ASIL D odzwierciedlają właśnie maksymalną dotkliwość skutków awarii, prawdopodobieństwo odniesienia obrażeń oraz szansę opanowania zdarzenia. Na podstawie tych parametrów dla danego zagrożenia przydziela się odpowiedni poziom integracji bezpieczeństwa – lub QM, jeśli ryzyko jest na tyle niskie, że wystarczą zwykłe działania projektowe.
Znaczenie ASIL w ocenie ryzyka: Określenie właściwego poziomu ASIL ma najwyższe znaczenie, ponieważ to ono determinuje rygor procesu rozwoju systemu. Im wyższy ASIL, tym bardziej restrykcyjne wymagania musi spełniać projekt – zarówno pod kątem architektury sprzętowo-programowej, jak i procesu wytwarzania, testowania oraz walidacji. Norma jednoznacznie narzuca, że przy wyższych poziomach ASIL konieczne jest dostarczenie bardziej szczegółowej dokumentacji, stosowanie ściślejszych zasad projektowych, przeprowadzanie dokładniejszych analiz bezpieczeństwa oraz niezależnych przeglądów wyników prac. W praktyce wysokie ASIL często wymusza dodanie mechanizmów redundancji i diagnostyki w projekcie – tak, aby pojedyncza awaria nie prowadziła do utraty funkcji bezpieczeństwa. Dla zobrazowania: systemy krytyczne dla życia, takie jak poduszki powietrzne, układ ABS czy elektryczne wspomaganie kierownicy, klasyfikuje się zwykle na poziomie ASIL D, gdyż ich awaria stwarza poważne zagrożenie dla pasażerów. Z kolei mniej krytyczne funkcje, np. tylne światła pozycyjne, mogą otrzymać ASIL A lub nawet zostać uznane za QM, ponieważ ewentualna usterka nie stwarza dużego ryzyka. Takie podejście pozwala skupić największe wysiłki inżynierskie tam, gdzie są najbardziej potrzebne – przy systemach, od których zależy bezpieczeństwo ludzi.
Struktura normy ISO 26262:2018 – części 1–10
Norma ISO 26262 (wydanie 2018) została podzielona na szereg części, z których każda koncentruje się na innym aspekcie cyklu życia bezpieczeństwa. Rdzeń standardu stanowi dziewięć części normatywnych (1–9) oraz dodatkowa część z wytycznymi (część 10). W drugiej edycji dodano ponadto części 11 i 12 dotyczące specyficznych zagadnień (odpowiednio półprzewodników oraz motocykli), jednak w poniższym omówieniu skupimy się na podstawowych częściach 1–10, które mają zastosowanie uniwersalne. Poniższa tabela przedstawia poszczególne części ISO 26262:2018 wraz z ich tytułami i zakresem tematycznym:
| Część | Tytuł (ang.) | Zakres i tematyka |
|---|---|---|
| 1 | Słownictwo (Vocabulary) | Definicje podstawowych terminów, pojęć i skrótów używanych we wszystkich częściach normy. Stanowi fundament wspólnego języka (np. precyzuje pojęcia jak usterka, błąd, awaria, zagrożenie itp.). |
| 2 | Zarządzanie bezpieczeństwem (Management of Functional Safety) | Wymagania dotyczące zarządzania bezpieczeństwem funkcjonalnym w organizacji oraz w projektach. Określa działania na poziomie organizacji (np. polityka bezpieczeństwa, kompetencje) oraz proces zarządzania bezpieczeństwem w cyklu życia projektu (planowanie, nadzór, ocena zgodności). |
| 3 | Faza koncepcji (Concept Phase) | Najwcześniejszy etap cyklu życia produktu. Obejmuje zdefiniowanie elementu (item definition), analizę zagrożeń i ocenę ryzyka HARA oraz sformułowanie koncepcji bezpieczeństwa funkcjonalnego dla pojazdu. Na tym etapie powstają cele bezpieczeństwa (safety goals) dla zidentyfikowanych zagrożeń. |
| 4 | Rozwój na poziomie systemu (Product Development at the System Level) | Wymagania dla projektowania systemu z uwzględnieniem bezpieczeństwa. Część ta opisuje tworzenie architektury systemowej spełniającej cele bezpieczeństwa, alokację wymagań bezpieczeństwa do poszczególnych elementów oraz integrację i testy na poziomie całego systemu. Obejmuje także walidację bezpieczeństwa na poziomie pojazdu. |
| 5 | Rozwój na poziomie sprzętu (Product Development at the Hardware Level) | Wymagania dotyczące projektowania sprzętowego (elektronicznego) z perspektywy bezpieczeństwa. Zawiera zasady tworzenia architektury sprzętu, określania wymagań bezpieczeństwa dla komponentów HW, analizy błędów losowych (np. wyliczanie metryk architektury: SPFM, LFM itp.) oraz weryfikacji sprzętu względem tych wymagań. |
| 6 | Rozwój na poziomie oprogramowania (Product Development at the Software Level) | Wymagania dla tworzenia bezpiecznego oprogramowania wbudowanego. Obejmuje projektowanie architektury softwarowej zgodnej z celami bezpieczeństwa, implementację kodu zgodnie ze standardami (np. wytyczne MISRA), testy jednostkowe, integracyjne oraz weryfikację oprogramowania pod kątem spełnienia wymagań bezpieczeństwa. |
| 7 | Produkcja, obsługa i wycofanie (Production, Operation, Service and Decommissioning) | Wymagania na etap produkcji oraz eksploatacji produktu. Dotyczą m.in. zapewnienia, że proces produkcyjny utrzymuje założony poziom bezpieczeństwa (kontrola jakości, testy końcowe), a także działań podczas użytkowania pojazdu (procedury serwisowe, zbieranie informacji o awariach) oraz bezpiecznego wycofania pojazdu z eksploatacji. |
| 8 | Procesy wspomagające (Supporting Processes) | Zbiór procesów ogólnych, które wspierają bezpieczeństwo na wszystkich etapach cyklu życia. Należą do nich m.in.: zarządzanie konfiguracją i zmianami, kwalifikacja narzędzi programowych, ocena komponentów pod kątem proven in use, utrzymanie spójnej dokumentacji projektowej, zarządzanie relacjami z dostawcami w kontekście bezpieczeństwa czy zapewnienie odpowiedniej niezależności w procesie weryfikacji. |
| 9 | Analizy związane z ASIL (ASIL-Oriented and Safety Analyses) | Metody analizy ukierunkowane na kwestie ASIL i niezawodności systemu. Ta część obejmuje m.in. zasady dekompozycji ASIL (podział funkcji między elementy o niższym ASIL przy zachowaniu wymaganego bezpieczeństwa), kryteria współistnienia elementów o różnych ASIL w jednym systemie, analizę błędów wspólnych i zależnych (np. Dependent Failure Analysis) oraz klasyczne techniki analizy ryzyka jak FMEA czy FTA w kontekście wymagań ISO 26262. |
| 10 | Wytyczne do ISO 26262 (Guidelines on ISO 26262) | Część informacyjna zawierająca wskazówki ułatwiające interpretację pozostałych części normy. Wyjaśnia pojęcia i zasady ISO 26262 na przykładach, pomagając w prawidłowym zrozumieniu intencji wymagań. (Jeśli jednak wystąpi rozbieżność między treścią tej części a wymaganiami części 1–9, należy stosować wymagania z części normatywnych.) |
(Uwaga: W wydaniu 2018 dodano także część 11 – Wytyczne dotyczące układów półprzewodnikowych oraz część 12 – Adaptacja ISO 26262 dla motocykli. Obie są uzupełniającymi dokumentami informacyjnymi poszerzającymi zakres normy o te obszary)
Jak widać, struktura ISO 26262:2018 odzwierciedla poszczególne etapy i aspekty procesu projektowania bezpiecznych systemów. Części 3–7 prowadzą inżynierów przez kolejne fazy – od zdefiniowania koncepcji i wymagań bezpieczeństwa, poprzez projekt systemu oraz jego implementację na poziomie sprzętu i software, aż do wytwarzania i użytkowania produktu. Część 2 czuwa nad tym, by cały ten proces odbywał się w ramach odpowiedniego zarządzania bezpieczeństwem na poziomie firmy i projektu. Z kolei część 8 dostarcza narzędzi organizacyjnych i technicznych (jak np. zarządzanie konfiguracją czy kwalifikacja narzędzi), które wspomagają realizację wymagań bezpieczeństwa na każdym kroku. Część 9 zapewnia metodologie analizy, gwarantując że na żadnym etapie nie przeoczymy czynników wpływających na ryzyko (ASIL) oraz że zidentyfikujemy potencjalne awarie wspólne bądź ukryte. Wszystkie te elementy razem składają się na kompleksowy system zapewnienia bezpieczeństwa funkcjonalnego.
Norma ISO 26262:2018 organizuje cały cykl życia funkcjonalnego bezpieczeństwa w motoryzacji – od fazy koncepcyjnej, przez szczegółowe projektowanie i weryfikację, po produkcję seryjną, utrzymanie i wycofanie produktu z eksploatacji. Dzięki temu stanowi spójne ramy postępowania dla producentów i dostawców: począwszy od analizy ryzyka i określenia wymagań bezpieczeństwa, poprzez wdrożenie tych wymagań w projektowane układy i oprogramowanie, aż po testy końcowe i nadzór nas produktem w polu. Stosowanie tej normy zapewnia, że żaden aspekt bezpieczeństwa nie zostanie pominięty – od najwyższego poziomu zarządzania projektem, aż po najdrobniejszy szczegół techniczny. W efekcie uzyskujemy pojazdy wyposażone w zaawansowane systemy, które jednak spełniają rygorystyczne kryteria bezpieczeństwa, minimalizując ryzyko dla użytkowników.
Rozumiemy, jak wygląda projektowanie zgodne z ISO 26262 – od analizy ryzyka po testy końcowe. Dzięki naszej wiedzy i doświadczeniu pomagamy wdrażać wymagania normy na każdym etapie projektu, tak aby bezpieczeństwo funkcjonalne nie było dodatkiem, lecz integralną cechą Twojego produktu.
Zobacz także:
Projektowanie i budowa maszyn
Certyfikacja CE maszyn
Dostosowanie maszyn do wymagań minimalnych
Automatyka przemysłowa
Outsourcing inżynierów
Modernizacja maszyny a znak CE
Certyfikat CE a koszty
Szkolenie Rozporządzenie (UE) 2023/1230
Szkolenie Dyrektywa Maszynowa 2006/42/WE
Biuro konstrukcyjne
FAQ:
Hazard Analysis and Risk Assessment identyfikuje potencjalne zagrożenia związane z funkcjami pojazdu, ocenia je według kryteriów dotkliwość – ekspozycja – kontrolowalność i przypisuje poziomy ASIL. Wynik tworzy podstawę wymagań bezpieczeństwa dla dalszych etapów projektu.
ISO 26262 dopuszcza różne techniki wspierające (FMEA, FTA, analiza scenariuszy), ale proces HARA musi spełniać jej definicję i używać skali S‑E‑C. Kluczowe jest, aby metoda była odtwarzalna i udokumentowana.
Najwcześniej jak to możliwe – w fazie koncepcji (część 3 normy). Wczesna HARA pozwala ustalić cele bezpieczeństwa, które później przenikają do architektury systemu, sprzętu i oprogramowania.
Zależnie od złożoności systemu: od kilku dni dla pojedynczej funkcji po kilka tygodni dla kompletnego pojazdu. Kluczowe czynniki to liczba funkcji bezpieczeństwa i dostępność danych wejściowych.
Tak. ISO 26262 wymaga przeglądu i aktualizacji HARA przy każdej większej zmianie funkcjonalnej, sprzętowej lub programowej projektu. Regularne korekty utrzymują spójność poziomów ASIL z rzeczywistym ryzykiem.
analiza ryzyka automatyka przemysłowa automatyzacja procesów produkcyjnych automatyzacja produkcji bezpieczeństwo maszyn dokumentacja techniczna dyrektywa ATEX dyrektywa EMC dyrektywa maszynowa 2006/42/WE Instrukcja obsługi integrator automatyki przemysłowej KPI maszyna nieukończona normy zharmonizowane OEE oznakowanie CE Performence level projektowanie maszyn rozporządzenie w sprawie maszyn 2023/1230 Znak CE