Punti chiave:
ISO 26262 organizza le attività ingegneristiche e di documentazione in modo da ridurre a un livello accettabile il rischio derivante da guasti dell’elettronica.
- ISO 26262:2018 è uno standard internazionale di sicurezza funzionale per i sistemi elettrici ed elettronici (E/E) nei veicoli stradali.
- La norma è un adattamento della IEC 61508, adeguato alle condizioni di esercizio e ai processi di sviluppo del settore automotive.
- Descrive il ciclo di vita della sicurezza: dalla concezione e progettazione, passando per l’integrazione e i test, fino alla produzione, all’esercizio e al ritiro.
- ASIL (A–D) e QM definiscono il rigore dei requisiti; il livello viene determinato nell’HARA sulla base di Severity, Exposure e Controllability.
- L’edizione 2018 ha esteso l’ambito di applicazione alla maggior parte dei veicoli stradali (ad eccezione dei motorini) e ha aggiunto, tra l’altro, le tematiche relative ai semiconduttori.
I veicoli moderni sono pieni di elettronica: dai sistemi di gestione del motore, ai sistemi di assistenza alla guida, fino a sensori e attuatori. Garantirne il funzionamento affidabile è un aspetto cruciale per la sicurezza. La norma ISO 26262:2018 Road Vehicles – Functional Safety è lo standard internazionale che definisce i requisiti di sicurezza funzionale per i sistemi elettrici ed elettronici (E/E) nei veicoli stradali. Rappresenta un adattamento della norma generale IEC 61508 (relativa alla sicurezza funzionale in tutti i settori), specificamente calibrato sulle esigenze dell’automotive. L’obiettivo della ISO 26262 è prevenire il rischio inaccettabile legato a malfunzionamenti dei sistemi elettronici, definendo processi di valutazione del rischio e introducendo misure di sicurezza che lo riducano a un livello accettabile. In altre parole, la norma affronta i potenziali pericoli causati da guasti dell’elettronica nei veicoli e indica come contrastarli.
ISO 26262 è stata pubblicata per la prima volta nel 2011, inizialmente con un campo di applicazione limitato alle autovetture con massa fino a 3,5 tonnellate. La seconda edizione del 2018 ha introdotto estensioni significative: ha incluso tutti i veicoli stradali (autocarri, autobus, motocicli ecc., con esclusione dei ciclomotori) e ha aggiunto nuove sezioni riguardanti, tra l’altro, i componenti a semiconduttore. In questo modo la norma riflette la crescente complessità e varietà dei sistemi elettronici nell’automotive moderno, tenendo conto delle sfide specifiche del settore.
IEC 61508 come base: È importante sottolineare che la ISO 26262 deriva direttamente dalla norma “madre” IEC 61508, ma è stata adattata in modo rigoroso alle esigenze del settore automotive. Ciò significa che la metodologia di valutazione del rischio, la classificazione dei pericoli e la selezione delle misure di sicurezza sono state progettate in funzione delle tipiche condizioni d’impiego dei veicoli. La norma definisce, tra l’altro, un ciclo di vita della sicurezza dedicato all’automotive e introduce concetti specifici di questo dominio, come l’Automotive Safety Integrity Level descritto di seguito.
La ISO 26262 organizza l’intero processo di garanzia della sicurezza funzionale nel ciclo di vita del prodotto: dal concetto alla progettazione, dall’integrazione ai test, fino alla produzione, all’esercizio e al ritiro dal servizio. Lo standard indica quali attività svolgere in ciascuna di queste fasi per identificare i potenziali pericoli e ridurre al minimo il rischio di guasti che possano generare situazioni pericolose.
Livelli ASIL – classificazione del rischio nella ISO 26262
Uno dei concetti centrali della norma ISO 26262 è l’ASIL (Automotive Safety Integrity Level), ossia il livello di integrità della sicurezza funzionale in ambito automotive. L’ASIL è una scala di valutazione del rischio associato al potenziale guasto di un determinato sistema: stabilisce quanto rigorose debbano essere le misure di sicurezza da applicare per ridurre il rischio a un livello accettabile. La norma definisce quattro livelli ASIL: A, B, C, D (dal più basso al più alto) e la categoria QM (Quality Management), che indica l’assenza di requisiti di sicurezza oltre i normali processi di qualità.
Determinazione del livello ASIL: Il livello ASIL viene definito durante l’analisi dei pericoli e la valutazione del rischio (Hazard Analysis and Risk Assessment, HARA). Per ciascun pericolo potenziale si considerano tre fattori chiave: Severity – la gravità delle possibili conseguenze (ad es. lesioni alle persone), Exposure – l’esposizione, cioè la frequenza con cui si verificano situazioni favorevoli al guasto, e Controllability – la controllabilità, ossia la possibilità per il conducente di gestire la situazione. La combinazione di questi fattori determina la classificazione del rischio. I livelli da ASIL A a ASIL D riflettono quindi la massima gravità delle conseguenze del guasto, la probabilità di riportare lesioni e la possibilità di controllare l’evento. Sulla base di questi parametri, al pericolo in esame viene assegnato il relativo livello di integrità della sicurezza, oppure QM se il rischio è così basso da rendere sufficienti le normali attività di progettazione.
Importanza dell’ASIL nella valutazione del rischio: La definizione del corretto livello ASIL è di importanza fondamentale, perché è ciò che determina il rigore del processo di sviluppo del sistema. Più alto è l’ASIL, più stringenti sono i requisiti che il progetto deve soddisfare, sia in termini di architettura hardware/software, sia per quanto riguarda i processi di realizzazione, test e validazione. La norma stabilisce chiaramente che, ai livelli ASIL più elevati, è necessario fornire una documentazione più dettagliata, applicare regole di progettazione più rigorose, svolgere analisi di sicurezza più approfondite ed effettuare revisioni indipendenti dei risultati del lavoro. In pratica, un ASIL elevato impone spesso l’introduzione nel progetto di meccanismi di ridondanza e diagnostica, in modo che un singolo guasto non comporti la perdita della funzione di sicurezza. Per fare un esempio: i sistemi critici per la vita, come airbag, sistema ABS o servosterzo elettrico, vengono di norma classificati a livello ASIL D, poiché un loro malfunzionamento rappresenta un grave pericolo per i passeggeri. Al contrario, funzioni meno critiche, ad esempio luci di posizione posteriori, possono ricevere ASIL A o persino essere considerate QM, perché un’eventuale anomalia non comporta un rischio elevato. Questo approccio consente di concentrare il massimo sforzo ingegneristico dove è davvero necessario, ossia sui sistemi da cui dipende la sicurezza delle persone.
Struttura della norma ISO 26262:2018 – parti 1–10
La norma ISO 26262 (edizione 2018) è suddivisa in una serie di parti, ciascuna focalizzata su un diverso aspetto del ciclo di vita della sicurezza. Il nucleo dello standard è costituito da nove parti normative (1–9) e da un’ulteriore parte contenente linee guida (parte 10). Nella seconda edizione sono state inoltre aggiunte le parti 11 e 12, dedicate a tematiche specifiche (rispettivamente semiconduttori e motocicli); tuttavia, nella trattazione seguente ci concentreremo sulle parti fondamentali 1–10, che hanno applicazione universale. La tabella seguente presenta le singole parti della ISO 26262:2018 con i rispettivi titoli e ambiti tematici:
| Parte | Titolo (ing.) | Ambito e contenuti |
|---|---|---|
| 1 | Terminologia (Vocabulary) | Definizioni dei termini, concetti e abbreviazioni di base utilizzati in tutte le parti della norma. Costituisce il fondamento di un linguaggio comune (ad es. chiarisce concetti come difetto, errore, guasto, pericolo ecc.). |
| 2 | Gestione della sicurezza (Management of Functional Safety) | Requisiti relativi alla gestione della sicurezza funzionale nell’organizzazione e nei progetti. Definisce le attività a livello organizzativo (ad es. politica di sicurezza, competenze) e il processo di gestione della sicurezza nel ciclo di vita del progetto (pianificazione, supervisione, valutazione di conformità). |
| 3 | Fase di concetto (Concept Phase) | La fase più precoce del ciclo di vita del prodotto. Comprende la definizione dell’elemento (item definition), l’analisi dei pericoli e la valutazione del rischio HARA, nonché la formulazione del concetto di sicurezza funzionale per il veicolo. In questa fase vengono definiti gli obiettivi di sicurezza (safety goals) per i pericoli identificati. |
| 4 | Sviluppo a livello di sistema (Product Development at the System Level) | Requisiti per la progettazione del sistema tenendo conto della sicurezza. Questa parte descrive la creazione di un’architettura di sistema che soddisfi gli obiettivi di sicurezza, l’allocazione dei requisiti di sicurezza ai singoli elementi e l’integrazione e i test a livello dell’intero sistema. Include anche la validazione della sicurezza a livello di veicolo. |
| 5 | Sviluppo a livello hardware (Product Development at the Hardware Level) | Requisiti relativi alla progettazione hardware (elettronica) dal punto di vista della sicurezza. Include i principi per la definizione dell’architettura hardware, la specifica dei requisiti di sicurezza per i componenti HW, l’analisi dei guasti casuali (ad es. calcolo delle metriche di architettura: SPFM, LFM ecc.) e la verifica dell’hardware rispetto a tali requisiti. |
| 6 | Sviluppo a livello software (Product Development at the Software Level) | Requisiti per lo sviluppo di software embedded sicuro. Comprende la progettazione dell’architettura software coerente con gli obiettivi di sicurezza, l’implementazione del codice secondo gli standard (ad es. linee guida MISRA), i test unitari e di integrazione, nonché la verifica del software rispetto al soddisfacimento dei requisiti di sicurezza. |
| 7 | Produzione, esercizio e dismissione (Production, Operation, Service and Decommissioning) | Requisiti per la fase di produzione e di esercizio del prodotto. Riguardano, tra l’altro, la garanzia che il processo produttivo mantenga il livello di sicurezza previsto (controllo qualità, test finali), nonché le attività durante l’utilizzo del veicolo (procedure di assistenza, raccolta di informazioni sui guasti) e la dismissione sicura del veicolo. |
| 8 | Processi di supporto (Supporting Processes) | Insieme di processi generali che supportano la sicurezza in tutte le fasi del ciclo di vita. Tra questi rientrano, tra l’altro: gestione della configurazione e delle modifiche, qualificazione degli strumenti software, valutazione dei componenti in ottica proven in use, mantenimento di una documentazione di progetto coerente, gestione dei rapporti con i fornitori in relazione alla sicurezza e garanzia di un’adeguata indipendenza nel processo di verifica. |
| 9 | Analisi legate all’ASIL (ASIL-Oriented and Safety Analyses) | Metodi di analisi orientati agli aspetti ASIL e all’affidabilità del sistema. Questa parte include, tra l’altro, i principi della decomposizione ASIL (ripartizione della funzione tra elementi con ASIL inferiore mantenendo il livello di sicurezza richiesto), i criteri di coesistenza di elementi con ASIL diversi in un unico sistema, l’analisi dei guasti comuni e dipendenti (ad es. Dependent Failure Analysis) e le tecniche classiche di analisi del rischio come FMEA o FTA nel contesto dei requisiti ISO 26262. |
| 10 | Linee guida per ISO 26262 (Guidelines on ISO 26262) | Parte informativa che contiene indicazioni per facilitare l’interpretazione delle altre parti della norma. Spiega concetti e principi di ISO 26262 con esempi, aiutando a comprendere correttamente l’intento dei requisiti. (Tuttavia, in caso di discrepanza tra il contenuto di questa parte e i requisiti delle parti 1–9, si applicano i requisiti delle parti normative.) |
(Nota: nell’edizione 2018 sono state aggiunte anche la parte 11 – Linee guida per i dispositivi a semiconduttore e la parte 12 – Adattamento di ISO 26262 per i motocicli. Entrambe sono documenti informativi complementari che estendono l’ambito della norma a questi settori)
Come si vede, la struttura della ISO 26262:2018 rispecchia le singole fasi e i diversi aspetti del processo di progettazione di sistemi sicuri. Le parti 3–7 guidano gli ingegneri attraverso le fasi successive: dalla definizione del concetto e dei requisiti di sicurezza, passando per la progettazione del sistema e la sua implementazione a livello hardware e software, fino alla produzione e all’utilizzo del prodotto. La parte 2 vigila affinché l’intero processo si svolga nell’ambito di un adeguato management della sicurezza a livello aziendale e di progetto. La parte 8, invece, fornisce strumenti organizzativi e tecnici (come, ad esempio, la gestione della configurazione o la qualificazione degli strumenti) che supportano l’attuazione dei requisiti di sicurezza in ogni fase. La parte 9 mette a disposizione metodologie di analisi, garantendo che in nessun momento vengano trascurati i fattori che incidono sul rischio (ASIL) e che vengano individuati potenziali guasti comuni o latenti. Tutti questi elementi, insieme, costituiscono un sistema completo di garanzia della sicurezza funzionale.
La ISO 26262:2018 organizza l’intero ciclo di vita della sicurezza funzionale nel settore automotive: dalla fase concettuale, passando per la progettazione di dettaglio e la verifica, fino alla produzione in serie, alla manutenzione e al ritiro del prodotto dall’esercizio. In questo modo offre un quadro operativo coerente per produttori e fornitori: dall’analisi del rischio e dalla definizione dei requisiti di sicurezza, all’implementazione di tali requisiti nei sistemi e nel software in sviluppo, fino ai test finali e alla supervisione del prodotto sul campo. L’applicazione di questa norma assicura che nessun aspetto della sicurezza venga trascurato: dal livello più alto di gestione del progetto fino al più piccolo dettaglio tecnico. Il risultato sono veicoli dotati di sistemi avanzati che, al contempo, soddisfano rigorosi criteri di sicurezza, riducendo al minimo il rischio per gli utenti.
Sappiamo cosa significa progettare in conformità alla ISO 26262: dall’analisi del rischio fino ai test finali. Grazie alle nostre competenze e alla nostra esperienza, aiutiamo a implementare i requisiti della norma in ogni fase del progetto, affinché la sicurezza funzionale non sia un’aggiunta, ma una caratteristica integrante del tuo prodotto.
ISO 26262 – sicurezza funzionale nel settore automotive
ISO 26262:2018 Road Vehicles – Functional Safety è una norma internazionale che definisce i requisiti di sicurezza funzionale per i sistemi elettrici ed elettronici (E/E) nei veicoli stradali. Il suo obiettivo è prevenire un rischio inaccettabile derivante dal malfunzionamento dell’elettronica attraverso processi di valutazione del rischio e la selezione di misure di sicurezza.
ISO 26262 deriva direttamente da IEC 61508, ma è adattata alle specificità del settore automobilistico. Comprende una metodologia di valutazione del rischio e un ciclo di vita della sicurezza dedicato, adeguato alle tipiche condizioni di esercizio dei veicoli.
ASIL (Automotive Safety Integrity Level) è un livello di integrità della sicurezza che definisce il rigore delle misure di sicurezza richieste per una determinata funzione. La norma definisce ASIL A, B, C, D e la categoria QM, quando sono sufficienti i processi di qualità standard.
L’ASIL si determina nell’analisi HARA (Hazard Analysis and Risk Assessment) sulla base di tre fattori: Severity (gravità delle conseguenze), Exposure (esposizione) e Controllability (controllabilità). La combinazione di questi parametri si traduce nella classificazione del rischio e nel livello ASIL o QM richiesto.
La seconda edizione ha esteso l’ambito di applicazione dalle autovetture fino a 3,5 t a tutti i veicoli stradali (ad eccezione dei ciclomotori). Sono state inoltre aggiunte nuove sezioni, tra cui quelle relative ai componenti a semiconduttore.