Points clés :
L’ISO 26262 organise les activités d’ingénierie et de documentation de manière à réduire, à un niveau acceptable, le risque résultant des défaillances de l’électronique.
- ISO 26262:2018 est une norme internationale de sécurité fonctionnelle applicable aux systèmes électriques et électroniques (E/E) des véhicules routiers.
- La norme est une adaptation de l’IEC 61508, adaptée aux conditions d’exploitation et aux processus de développement du secteur automobile.
- Décrit le cycle de vie de la sécurité : de la conception et du projet, en passant par l’intégration et les essais, jusqu’à la production, l’exploitation et le retrait.
- L’ASIL (A–D) et le niveau QM déterminent la rigueur des exigences ; le niveau est établi lors de la HARA sur la base de la gravité (Severity), de l’exposition (Exposure) et de la contrôlabilité (Controllability).
- L’édition 2018 a étendu le champ d’application à la plupart des véhicules routiers (à l’exclusion des cyclomoteurs) et a ajouté, entre autres, des sujets liés aux semi-conducteurs.
Les véhicules modernes sont truffés d’électronique – des systèmes de commande moteur aux dispositifs d’aide à la conduite, en passant par les capteurs et les actionneurs. Garantir leur fonctionnement sans défaillance est un enjeu critique pour la sécurité. La norme ISO 26262:2018 Road Vehicles – Functional Safety est un standard international qui définit les exigences de sécurité fonctionnelle applicables aux systèmes électriques et électroniques (E/E) des véhicules routiers. Elle constitue une adaptation de la norme générale IEC 61508 (relative à la sécurité fonctionnelle dans tous les secteurs), spécifiquement ajustée aux réalités de l’automobile. L’objectif de l’ISO 26262 est de prévenir le risque inacceptable lié au fonctionnement défectueux des systèmes électroniques – en définissant des processus d’évaluation des risques et en mettant en œuvre des mesures de sécurité qui ramènent ce risque à un niveau acceptable. Autrement dit, la norme traite des dangers potentiels dus aux défaillances de l’électronique embarquée et indique comment s’en prémunir.
ISO 26262 a été publiée pour la première fois en 2011, avec un périmètre initialement limité aux voitures particulières d’une masse allant jusqu’à 3,5 tonnes. La deuxième édition de 2018 a apporté des extensions majeures – elle couvre désormais tous les véhicules routiers (poids lourds, autobus, motos, etc., à l’exclusion des cyclomoteurs) et a ajouté de nouvelles sections concernant notamment les composants semi-conducteurs. La norme reflète ainsi la complexité et la diversité croissantes des systèmes électroniques dans l’automobile moderne, en tenant compte de leurs défis spécifiques.
IEC 61508 comme fondement : Il convient de souligner que l’ISO 26262 est directement issue de la norme mère IEC 61508, mais qu’elle a été étroitement adaptée aux besoins du secteur automotive. Cela signifie que la méthodologie d’évaluation des risques, la classification des dangers et le choix des mesures de sécurité ont été conçus pour les conditions d’exploitation typiques des véhicules. La norme définit notamment un cycle de vie de sécurité dédié à l’automobile et introduit des notions propres à ce domaine, telles que l’Automotive Safety Integrity Level décrit ci-dessous.
L’ISO 26262 structure l’ensemble du processus de garantie de la sécurité fonctionnelle en un cycle de vie du produit – de la conception au développement, à l’intégration et aux essais, jusqu’à la production, l’exploitation et le retrait du service. Le standard précise les actions à mener à chacune de ces étapes afin d’identifier les dangers potentiels et de réduire au minimum le risque de défaillances susceptibles de créer une situation dangereuse.
Niveaux ASIL – classification du risque dans l’ISO 26262
L’un des concepts centraux de la norme ISO 26262 est l’ASIL (Automotive Safety Integrity Level), c’est-à-dire le niveau d’intégrité de la sécurité fonctionnelle en automobile. L’ASIL est une échelle d’évaluation du risque associé à la défaillance potentielle d’un système donné – elle indique à quel point les mesures de sécurité doivent être rigoureuses pour ramener le risque à un niveau acceptable. La norme définit quatre niveaux ASIL : A, B, C, D (du plus faible au plus élevé) ainsi que la catégorie QM (Quality Management), qui signifie qu’aucune exigence de sécurité au-delà des processus qualité standard n’est requise.
Détermination du niveau ASIL : Le niveau ASIL est établi lors de l’analyse des dangers et de l’évaluation des risques (Hazard Analysis and Risk Assessment, HARA). Pour chaque danger potentiel, trois facteurs clés sont examinés : la Severity – la gravité des conséquences possibles (p. ex. blessures), l’Exposure – l’exposition, c’est-à-dire la fréquence des situations propices à une défaillance, et la Controllability – la contrôlabilité, soit la capacité du conducteur à maîtriser la situation. La combinaison de ces facteurs se traduit par une classification du risque. Les niveaux de ASIL A à ASIL D reflètent ainsi la gravité maximale des conséquences d’une défaillance, la probabilité de blessures et la possibilité de maîtriser l’événement. Sur la base de ces paramètres, le danger considéré se voit attribuer un niveau d’intégrité de sécurité approprié – ou QM si le risque est suffisamment faible pour que des pratiques de conception habituelles suffisent.
Rôle de l’ASIL dans l’évaluation des risques : La détermination du niveau ASIL approprié est primordiale, car c’est elle qui fixe le degré d’exigence du processus de développement du système. Plus l’ASIL est élevé, plus le projet doit satisfaire à des exigences strictes — tant du point de vue de l’architecture matériel/logiciel que des processus de réalisation, d’essais et de validation. La norme impose clairement qu’aux niveaux ASIL supérieurs, il faut fournir une documentation plus détaillée, appliquer des règles de conception plus rigoureuses, mener des analyses de sécurité plus approfondies et réaliser des revues indépendantes des résultats des travaux. En pratique, un ASIL élevé conduit souvent à intégrer des mécanismes de redondance et de diagnostic dans la conception, afin qu’une défaillance unique n’entraîne pas la perte de la fonction de sécurité. À titre d’illustration : les systèmes critiques pour la vie, tels que les airbags, le système ABS ou la direction assistée électrique, sont généralement classés au niveau ASIL D, car leur défaillance représente un danger sérieux pour les passagers. À l’inverse, des fonctions moins critiques, par exemple les feux de position arrière, peuvent recevoir un ASIL A ou même être considérées comme QM, car une éventuelle panne ne génère pas de risque important. Cette approche permet de concentrer les efforts d’ingénierie là où ils sont le plus nécessaires — sur les systèmes dont dépend la sécurité des personnes.
Structure de la norme ISO 26262:2018 – parties 1–10
La norme ISO 26262 (édition 2018) est divisée en plusieurs parties, chacune se concentrant sur un aspect différent du cycle de vie de la sécurité. Le cœur du standard se compose de neuf parties normatives (1–9) ainsi que d’une partie supplémentaire contenant des lignes directrices (partie 10). Dans la deuxième édition, les parties 11 et 12 ont en outre été ajoutées pour traiter de sujets spécifiques (respectivement les semi-conducteurs et les motocyclettes) ; toutefois, dans la présentation ci-dessous, nous nous concentrerons sur les parties fondamentales 1–10, d’application universelle. Le tableau ci-dessous présente les différentes parties de l’ISO 26262:2018, avec leurs titres et leur périmètre thématique :
| Partie | Titre (ang.) | Périmètre et thématiques |
|---|---|---|
| 1 | Terminologie (Vocabulary) | Définitions des termes, notions et abréviations de base utilisés dans toutes les parties de la norme. Elle constitue le socle d’un langage commun (p. ex., elle précise des notions telles que défaut, erreur, panne, danger, etc.). |
| 2 | Management de la sécurité (Management of Functional Safety) | Exigences relatives au management de la sécurité fonctionnelle au sein de l’organisation et dans les projets. Elle définit les activités au niveau de l’organisation (p. ex., politique de sécurité, compétences) ainsi que le processus de management de la sécurité sur le cycle de vie du projet (planification, supervision, évaluation de conformité). |
| 3 | Phase de concept (Concept Phase) | Étape la plus précoce du cycle de vie du produit. Elle comprend la définition de l’élément (item definition), l’analyse des dangers et l’évaluation des risques HARA, ainsi que l’élaboration du concept de sécurité fonctionnelle pour le véhicule. À ce stade sont définis les objectifs de sécurité (safety goals) pour les dangers identifiés. |
| 4 | Développement au niveau système (Product Development at the System Level) | Exigences pour la conception du système en tenant compte de la sécurité. Cette partie décrit l’élaboration d’une architecture système satisfaisant les objectifs de sécurité, l’allocation des exigences de sécurité aux différents éléments, ainsi que l’intégration et les essais au niveau du système complet. Elle couvre également la validation de la sécurité au niveau du véhicule. |
| 5 | Développement au niveau matériel (Product Development at the Hardware Level) | Exigences relatives à la conception matérielle (électronique) du point de vue de la sécurité. Elle présente les principes de définition de l’architecture matérielle, de spécification des exigences de sécurité pour les composants HW, d’analyse des défaillances aléatoires (p. ex., calcul des métriques d’architecture : SPFM, LFM, etc.) ainsi que de vérification du matériel au regard de ces exigences. |
| 6 | Développement au niveau logiciel (Product Development at the Software Level) | Exigences pour le développement de logiciels embarqués sûrs. Elle couvre la conception d’une architecture logicielle conforme aux objectifs de sécurité, l’implémentation du code selon des standards (p. ex., recommandations MISRA), les tests unitaires et d’intégration, ainsi que la vérification du logiciel quant au respect des exigences de sécurité. |
| 7 | Production, exploitation, maintenance et mise hors service (Production, Operation, Service and Decommissioning) | Exigences pour la phase de production et d’exploitation du produit. Elles concernent notamment l’assurance que le processus de production maintient le niveau de sécurité visé (contrôle qualité, essais finaux), ainsi que les activités pendant l’utilisation du véhicule (procédures de service, collecte d’informations sur les pannes) et la mise hors service du véhicule en toute sécurité. |
| 8 | Processus de support (Supporting Processes) | Ensemble de processus généraux qui soutiennent la sécurité à toutes les étapes du cycle de vie. Ils incluent notamment : la gestion de configuration et des changements, la qualification des outils logiciels, l’évaluation des composants au regard du proven in use, le maintien d’une documentation de projet cohérente, la gestion des relations fournisseurs dans une optique de sécurité, ainsi que la garantie d’une indépendance appropriée dans le processus de vérification. |
| 9 | Analyses liées à l’ASIL (ASIL-Oriented and Safety Analyses) | Méthodes d’analyse orientées ASIL et fiabilité du système. Cette partie couvre notamment les principes de décomposition ASIL (répartition des fonctions entre des éléments à ASIL plus faible tout en conservant le niveau de sécurité requis), les critères de coexistence d’éléments de niveaux ASIL différents au sein d’un même système, l’analyse des défaillances communes et dépendantes (p. ex., Dependent Failure Analysis) ainsi que les techniques classiques d’analyse des risques telles que la FMEA ou la FTA dans le contexte des exigences de l’ISO 26262. |
| 10 | Lignes directrices pour l’ISO 26262 (Guidelines on ISO 26262) | Partie informative contenant des indications facilitant l’interprétation des autres parties de la norme. Elle explique les notions et principes de l’ISO 26262 à l’aide d’exemples, afin d’aider à comprendre correctement l’intention des exigences. (Toutefois, en cas de divergence entre le contenu de cette partie et les exigences des parties 1–9, ce sont les exigences des parties normatives qui s’appliquent.) |
(Remarque : dans l’édition 2018, la partie 11 – Lignes directrices relatives aux circuits semi-conducteurs, ainsi que la partie 12 – Adaptation de l’ISO 26262 aux motocyclettes, ont également été ajoutées. Toutes deux sont des documents informatifs complémentaires, élargissant le champ de la norme à ces domaines.)
Comme on le voit, la structure de l’ISO 26262:2018 reflète les différentes étapes et dimensions du processus de conception de systèmes sûrs. Les parties 3 à 7 guident les ingénieurs à travers les phases successives – de la définition du concept et des exigences de sécurité, en passant par la conception du système et son implémentation au niveau matériel et logiciel, jusqu’à la fabrication et l’utilisation du produit. La partie 2 veille à ce que l’ensemble de ce processus se déroule dans le cadre d’une gestion de la sécurité appropriée, au niveau de l’entreprise et du projet. La partie 8 fournit quant à elle des outils organisationnels et techniques (par exemple la gestion de configuration ou la qualification des outils) qui facilitent la mise en œuvre des exigences de sécurité à chaque étape. La partie 9 apporte des méthodologies d’analyse, garantissant qu’à aucun moment nous ne négligerons les facteurs influençant le risque (ASIL) et que nous identifierons les défaillances potentielles communes ou latentes. L’ensemble de ces éléments constitue un système complet d’assurance de la sécurité fonctionnelle.
La norme ISO 26262:2018 structure l’ensemble du cycle de vie de la sécurité fonctionnelle dans l’automobile – de la phase conceptuelle, en passant par la conception détaillée et la vérification, jusqu’à la production en série, la maintenance et le retrait du produit de l’exploitation. Elle fournit ainsi un cadre cohérent aux constructeurs et aux fournisseurs : depuis l’analyse des risques et la définition des exigences de sécurité, jusqu’à l’intégration de ces exigences dans les architectures et les logiciels conçus, puis les essais finaux et la surveillance du produit sur le terrain. L’application de cette norme garantit qu’aucun aspect de la sécurité ne sera omis – du plus haut niveau de pilotage de projet jusqu’au moindre détail technique. On obtient ainsi des véhicules dotés de systèmes avancés, tout en respectant des critères de sécurité stricts et en minimisant le risque pour les utilisateurs.
Nous savons ce que recouvre une conception conforme à l’ISO 26262 – de l’analyse des risques aux essais finaux. Grâce à nos connaissances et à notre expérience, nous aidons à déployer les exigences de la norme à chaque étape du projet, afin que la sécurité fonctionnelle ne soit pas un ajout, mais une caractéristique intrinsèque de votre produit.
ISO 26262 – sécurité fonctionnelle dans l’automobile
ISO 26262:2018 Road Vehicles – Functional Safety est une norme internationale qui définit les exigences de sécurité fonctionnelle applicables aux systèmes électriques et électroniques (E/E) des véhicules routiers. Son objectif est de prévenir tout risque inacceptable résultant du dysfonctionnement de l’électronique, au moyen de processus d’évaluation des risques et de la sélection de mesures de sécurité.
L’ISO 26262 dérive directement de l’IEC 61508, mais elle est adaptée aux réalités de l’industrie automobile. Elle couvre une méthodologie d’évaluation des risques ainsi qu’un cycle de vie de sécurité dédié, propre aux conditions d’exploitation typiques des véhicules.
ASIL (Automotive Safety Integrity Level) est un niveau d’intégrité de sécurité qui définit la rigueur des mesures de sécurité requises pour une fonction donnée. La norme définit les niveaux ASIL A, B, C, D ainsi que la catégorie QM, lorsque les processus qualité standard sont suffisants.
L’ASIL est déterminé dans l’analyse HARA (Hazard Analysis and Risk Assessment) sur la base de trois facteurs : Severity (gravité des conséquences), Exposure (exposition) et Controllability (maîtrisabilité). La combinaison de ces paramètres se traduit par une classification du risque et le niveau ASIL ou QM requis.
La deuxième édition a étendu le champ d’application des voitures particulières jusqu’à 3,5 t à l’ensemble des véhicules routiers (à l’exception des cyclomoteurs). De nouvelles sections ont également été ajoutées, notamment concernant les composants à semi-conducteurs.