Kernpunten:
ISO 26262 ordent engineering- en documentatieactiviteiten zodanig dat het risico als gevolg van elektronica-defecten wordt beperkt tot een aanvaardbaar niveau.
- ISO 26262:2018 is een internationale norm voor functionele veiligheid voor elektrische en elektronische (E/E) systemen in wegvoertuigen.
- De norm is een aanpassing van IEC 61508, afgestemd op de bedrijfsomstandigheden en ontwikkelingsprocessen in de automotive sector.
- Beschrijft de veiligheidscyclus: van concept en ontwerp, via integratie en testen, tot productie, gebruik en buitengebruikstelling.
- ASIL (A–D) en QM bepalen de strengheid van de eisen; het niveau wordt in de HARA vastgesteld op basis van Severity, Exposure en Controllability.
- De editie van 2018 breidde het toepassingsgebied uit tot de meeste wegvoertuigen (met uitzondering van bromfietsen) en voegde onder meer onderwerpen rond halfgeleiders toe.
Moderne voertuigen zitten vol elektronica – van motormanagementsystemen en rijhulpsystemen tot sensoren en actuatoren. Het storingsvrij functioneren daarvan is cruciaal voor de veiligheid. De norm ISO 26262:2018 Road Vehicles – Functional Safety is een internationale standaard die de eisen voor functionele veiligheid vastlegt voor elektrische en elektronische (E/E) systemen in wegvoertuigen. Zij vormt een sectorspecifieke afgeleide van de algemene norm IEC 61508 (over functionele veiligheid in alle sectoren), specifiek toegesneden op de praktijk van de automotive. Het doel van ISO 26262 is het voorkomen van onaanvaardbaar risico dat samenhangt met foutief functioneren van elektronische systemen – door processen voor risicobeoordeling te definiëren en veiligheidsmaatregelen te implementeren die dit risico terugbrengen tot een aanvaardbaar niveau. Met andere woorden: de norm adresseert potentiële gevaren die ontstaan door storingen in voertuigelektronica en geeft aan hoe die gevaren kunnen worden beheerst.
ISO 26262 werd voor het eerst gepubliceerd in 2011, aanvankelijk met een toepassingsgebied dat beperkt was tot personenauto’s met een massa tot 3,5 ton. De tweede editie uit 2018 bracht belangrijke uitbreidingen – de norm omvat sindsdien alle wegvoertuigen (vrachtwagens, bussen, motorfietsen enz., met uitzondering van bromfietsen) en er zijn nieuwe delen toegevoegd, onder meer over halfgeleidercomponenten. Daarmee weerspiegelt de norm de toenemende complexiteit en diversiteit van elektronische systemen in de moderne automotive, met aandacht voor de specifieke uitdagingen daarvan.
IEC 61508 als basis: Het is belangrijk te benadrukken dat ISO 26262 rechtstreeks is afgeleid van de moedernorm IEC 61508, maar nauwkeurig is afgestemd op de behoeften van de automotivebranche. Dat betekent dat de methodiek voor risicobeoordeling, gevarenclassificatie en de keuze van veiligheidsmaatregelen is ingericht op typische gebruiksomstandigheden van voertuigen. De norm definieert onder meer een specifiek veiligheidslevenscyclusmodel voor de automotive en introduceert begrippen die kenmerkend zijn voor dit domein, zoals het hieronder beschreven Automotive Safety Integrity Level.
ISO 26262 structureert het volledige proces voor het borgen van functionele veiligheid in een levenscyclus van het product – van concept via ontwerp, integratie en testen tot en met productie, gebruik en buitengebruikstelling. De standaard geeft aan welke activiteiten in elk van deze fasen nodig zijn om potentiële gevaren te identificeren en het risico op storingen die een gevaar opleveren te minimaliseren.
ASIL-niveaus – risicoclassificatie in ISO 26262
Een van de kernbegrippen in ISO 26262 is ASIL (Automotive Safety Integrity Level): het integriteitsniveau van functionele veiligheid in de automotive. ASIL is een schaal voor het beoordelen van het risico dat samenhangt met een mogelijke storing van een bepaald systeem – en bepaalt hoe strikt de veiligheidsmaatregelen moeten zijn om het risico tot een aanvaardbaar niveau te beperken. De norm onderscheidt vier ASIL-niveaus: A, B, C, D (van laag naar hoog) en de categorie QM (Quality Management), die aangeeft dat er geen veiligheidseisen gelden die verder gaan dan de gebruikelijke kwaliteitsprocessen.
Vaststellen van het ASIL-niveau: Het ASIL-niveau wordt bepaald tijdens de gevarenanalyse en risicobeoordeling (Hazard Analysis and Risk Assessment, HARA). Voor elk potentieel gevaar worden drie kernfactoren beoordeeld: Severity – de ernst van de mogelijke gevolgen (bijv. letsel), Exposure – de blootstelling, oftewel hoe vaak situaties voorkomen waarin een storing kan optreden, en Controllability – de beheersbaarheid, dus in hoeverre de bestuurder de situatie nog kan onder controle krijgen. De combinatie van deze factoren leidt tot de risicoclassificatie. De niveaus van ASIL A tot ASIL D weerspiegelen daarmee de maximale ernst van de gevolgen van een storing, de kans op letsel en de mogelijkheid om het incident te beheersen. Op basis van deze parameters wordt voor het betreffende gevaar het passende veiligheidsintegriteitsniveau toegekend – of QM als het risico zo laag is dat reguliere ontwerpmaatregelen volstaan.
Het belang van ASIL bij risicobeoordeling: Het vaststellen van het juiste ASIL-niveau is van cruciaal belang, omdat dit de strengheid van het ontwikkelproces van het systeem bepaalt. Hoe hoger de ASIL, hoe strikter de eisen waaraan het ontwerp moet voldoen – zowel wat betreft de hardware- en softwarearchitectuur als het proces van ontwikkeling, testen en validatie. De norm schrijft ondubbelzinnig voor dat bij hogere ASIL-niveaus uitgebreidere documentatie moet worden aangeleverd, strengere ontwerpregels moeten worden toegepast, grondigere veiligheidsanalyses moeten worden uitgevoerd en onafhankelijke reviews van de resultaten moeten plaatsvinden. In de praktijk dwingt een hoge ASIL vaak tot het toevoegen van redundantie– en diagnosetools in het ontwerp, zodat één enkele storing niet leidt tot verlies van de veiligheidsfunctie. Ter illustratie: levenskritische systemen zoals airbags, het ABS-systeem of elektrische stuurbekrachtiging worden doorgaans geclassificeerd op ASIL D, omdat een defect een ernstig risico voor inzittenden oplevert. Minder kritische functies, zoals achterste positielichten, kunnen daarentegen ASIL A krijgen of zelfs als QM worden aangemerkt, omdat een eventuele storing geen groot risico veroorzaakt. Deze aanpak maakt het mogelijk de grootste engineeringinspanningen te richten op de plekken waar ze het hardst nodig zijn – bij systemen waarvan de veiligheid van mensen afhangt.
Structuur van ISO 26262:2018 – delen 1–10
De ISO 26262-norm (editie 2018) is opgesplitst in een reeks delen, waarbij elk deel zich richt op een ander aspect van de veiligheidslevenscyclus. De kern van de standaard bestaat uit negen normatieve delen (1–9) en een aanvullend deel met richtlijnen (deel 10). In de tweede editie zijn bovendien deel 11 en 12 toegevoegd over specifieke onderwerpen (respectievelijk halfgeleiders en motorfietsen), maar in de onderstaande bespreking richten we ons op de basisdelen 1–10, die universeel toepasbaar zijn. De onderstaande tabel toont de afzonderlijke delen van ISO 26262:2018 met hun titels en thematische reikwijdte:
| Deel | Titel (eng.) | Reikwijdte en onderwerpen |
|---|---|---|
| 1 | Terminologie (Vocabulary) | Definities van de basistermen, begrippen en afkortingen die in alle delen van de norm worden gebruikt. Vormt de basis voor een gemeenschappelijke taal (verduidelijkt bijvoorbeeld begrippen als defect, fout, storing, gevaar enz.). |
| 2 | Veiligheidsmanagement (Management of Functional Safety) | Eisen voor het beheer van functionele veiligheid binnen de organisatie en binnen projecten. Beschrijft activiteiten op organisatieniveau (bijv. veiligheidsbeleid, competenties) en het veiligheidsmanagementproces binnen de projectlevenscyclus (planning, toezicht, conformiteitsbeoordeling). |
| 3 | Conceptfase (Concept Phase) | De vroegste fase van de productlevenscyclus. Omvat het definiëren van het element (item definition), gevarenanalyse en risicobeoordeling (HARA) en het opstellen van het functionele veiligheidsconcept voor het voertuig. In deze fase worden veiligheidsdoelen (safety goals) opgesteld voor de geïdentificeerde gevaren. |
| 4 | Ontwikkeling op systeemniveau (Product Development at the System Level) | Eisen voor het ontwerpen van het systeem met inachtneming van veiligheid. Dit deel beschrijft het opstellen van een systeemarchitectuur die aan de veiligheidsdoelen voldoet, de toewijzing van veiligheidseisen aan afzonderlijke elementen en de integratie en tests op het niveau van het volledige systeem. Omvat ook veiligheidsvalidatie op voertuigniveau. |
| 5 | Ontwikkeling op hardwareniveau (Product Development at the Hardware Level) | Eisen voor hardwareontwerp (elektronisch) vanuit veiligheidsperspectief. Bevat principes voor het opzetten van de hardwarearchitectuur, het vastleggen van veiligheidseisen voor HW-componenten, analyse van willekeurige fouten (bijv. het berekenen van architectuurmetrics: SPFM, LFM enz.) en verificatie van de hardware ten opzichte van deze eisen. |
| 6 | Ontwikkeling op softwareniveau (Product Development at the Software Level) | Eisen voor het ontwikkelen van veilige embedded software. Omvat het ontwerpen van een softwarearchitectuur in lijn met de veiligheidsdoelen, code-implementatie volgens standaarden (bijv. MISRA-richtlijnen), unit- en integratietests en verificatie van de software op het voldoen aan de veiligheidseisen. |
| 7 | Productie, gebruik en uitfasering (Production, Operation, Service and Decommissioning) | Eisen voor de productie- en gebruiksfase van het product. Betreffen o.a. het borgen dat het productieproces het beoogde veiligheidsniveau handhaaft (kwaliteitscontrole, eindtesten), evenals activiteiten tijdens het gebruik van het voertuig (serviceprocedures, verzamelen van informatie over storingen) en het veilig uit bedrijf nemen van het voertuig. |
| 8 | Ondersteunende processen (Supporting Processes) | Een set algemene processen die de veiligheid in alle fasen van de levenscyclus ondersteunen. Hieronder vallen o.a.: configuratie- en wijzigingsbeheer, kwalificatie van softwaretools, beoordeling van componenten op proven in use, het consistent bijhouden van projectdocumentatie, leveranciersmanagement in de context van veiligheid en het borgen van voldoende onafhankelijkheid in het verificatieproces. |
| 9 | ASIL-gerichte analyses (ASIL-Oriented and Safety Analyses) | Analysemethoden gericht op ASIL-aspecten en systeembetrouwbaarheid. Dit deel omvat o.a. de principes van ASIL-decompositie (het verdelen van functies over elementen met een lagere ASIL met behoud van het vereiste veiligheidsniveau), criteria voor co-existentie van elementen met verschillende ASIL binnen één systeem, analyse van gemeenschappelijke en afhankelijke fouten (bijv. Dependent Failure Analysis) en klassieke risicotechnieken zoals FMEA en FTA in de context van de eisen van ISO 26262. |
| 10 | Richtlijnen bij ISO 26262 (Guidelines on ISO 26262) | Een informatief deel met aanwijzingen die de interpretatie van de overige delen van de norm vergemakkelijken. Licht begrippen en principes van ISO 26262 toe aan de hand van voorbeelden en helpt zo de bedoeling achter de eisen correct te begrijpen. (Als er echter een discrepantie is tussen de inhoud van dit deel en de eisen van deel 1–9, dan gelden de eisen uit de normatieve delen.) |
(Let op: in de editie van 2018 zijn ook deel 11 toegevoegd – Richtlijnen voor halfgeleidercomponenten – en deel 12 – Aanpassing van ISO 26262 voor motorfietsen. Beide zijn aanvullende informatieve documenten die de reikwijdte van de norm uitbreiden met deze gebieden)
Zoals te zien is, weerspiegelt de structuur van ISO 26262:2018 de afzonderlijke stappen en aspecten van het ontwerpproces voor veilige systemen. De delen 3–7 leiden engineers door de opeenvolgende fasen – van het definiëren van het concept en de veiligheidseisen, via het systeemontwerp en de implementatie op hardware- en softwareniveau, tot en met de productie en het gebruik van het product. Deel 2 ziet erop toe dat dit hele proces plaatsvindt binnen passend veiligheidsmanagement op bedrijfs- en projectniveau. Deel 8 levert op zijn beurt organisatorische en technische hulpmiddelen (zoals configuratiemanagement of toolkwalificatie) die de invulling van de veiligheidseisen in elke stap ondersteunen. Deel 9 biedt analysemethodieken en waarborgt dat we in geen enkele fase factoren over het hoofd zien die het risico (ASIL) beïnvloeden, en dat we potentiële gemeenschappelijke of latente storingen identificeren. Al deze elementen samen vormen een integraal systeem voor het borgen van functionele veiligheid.
De norm ISO 26262:2018 ordent de volledige levenscyclus van functionele veiligheid in de automotive – van de conceptfase, via gedetailleerd ontwerp en verificatie, tot seriematige productie, onderhoud en het uitfaseren van het product. Daarmee biedt zij een samenhangend kader voor fabrikanten en leveranciers: van risicoanalyse en het vastleggen van veiligheidseisen, via het doorvoeren van die eisen in de ontworpen systemen en software, tot eindtesten en toezicht op het product in het veld. Toepassing van deze norm zorgt ervoor dat geen enkel veiligheidsaspect wordt gemist – van het hoogste niveau van projectmanagement tot het kleinste technische detail. Het resultaat: voertuigen met geavanceerde systemen die tegelijk voldoen aan strenge veiligheidseisen, waardoor het risico voor gebruikers wordt geminimaliseerd.
Wij begrijpen hoe ontwerpen volgens ISO 26262 eruitziet – van risicoanalyse tot eindtesten. Met onze kennis en ervaring helpen we de eisen van de norm in elke projectfase te implementeren, zodat functionele veiligheid geen toevoeging is, maar een integraal onderdeel van jouw product.
ISO 26262 – functionele veiligheid in de automotive sector
ISO 26262:2018 Road Vehicles – Functional Safety is een internationale norm die de eisen voor functionele veiligheid vastlegt voor elektrische en elektronische (E/E) systemen in wegvoertuigen. Het doel ervan is het voorkomen van onaanvaardbare risico’s die voortvloeien uit het falen van elektronica, door middel van risicobeoordelingsprocessen en de selectie van veiligheidsmaatregelen.
ISO 26262 is rechtstreeks afgeleid van IEC 61508, maar is afgestemd op de realiteit van de automobielindustrie. De norm omvat een methodologie voor risicobeoordeling en een specifieke veiligheidslevenscyclus die is toegesneden op de gebruikelijke bedrijfsomstandigheden van voertuigen.
ASIL (Automotive Safety Integrity Level) is een veiligheidsintegriteitsniveau dat aangeeft hoe streng de vereiste veiligheidsmaatregelen voor een bepaalde functie moeten zijn. De norm definieert ASIL A, B, C en D, evenals de QM-categorie wanneer standaard kwaliteitsprocessen volstaan.
ASIL wordt in de HARA-analyse (Hazard Analysis and Risk Assessment) vastgesteld op basis van drie factoren: Severity (ernst van de gevolgen), Exposure (blootstelling) en Controllability (beheersbaarheid). De combinatie van deze parameters leidt tot de risicoclassificatie en het vereiste ASIL-niveau of QM.
De tweede editie breidde het toepassingsgebied uit van personenauto’s tot 3,5 t naar alle wegvoertuigen (met uitzondering van bromfietsen). Er zijn ook nieuwe secties toegevoegd, onder meer over halfgeleidercomponenten.