Viktiga slutsatser:
ISO 26262 strukturerar det ingenjörsmässiga och dokumentationsrelaterade arbetet så att risken som följer av fel i elektronik begränsas till en acceptabel nivå.
- ISO 26262:2018 är en internationell standard för funktionssäkerhet för elektriska och elektroniska (E/E) system i vägfordon.
- Standarden är en anpassning av IEC 61508, anpassad till driftförhållandena och utvecklingsprocesserna inom fordonsindustrin.
- Den beskriver säkerhetens livscykel: från koncept och konstruktion, via integration och tester, till produktion, drift och avveckling.
- ASIL (A–D) och QM anger kravnivåns stränghet; nivån fastställs i HARA baserat på Severity, Exposure och Controllability.
- Utgåvan 2018 utökade tillämpningsområdet till de flesta vägfordon (med undantag för mopeder) och lade bland annat till frågor som rör halvledare.
Moderna fordon är fulla av elektronik – från motorstyrsystem, via förarstödsfunktioner, till sensorer och ställdon. Att säkerställa att dessa fungerar felfritt är avgörande för säkerheten. Standarden ISO 26262:2018 Road Vehicles – Functional Safety är en internationell standard som definierar krav för funktionssäkerhet för elektriska och elektroniska (E/E) system i vägfordon. Den är en anpassning av den generella standarden IEC 61508 (som avser funktionssäkerhet i alla branscher), särskilt anpassad till fordonsindustrins förutsättningar. Syftet med ISO 26262 är att förebygga oacceptabel risk kopplad till felaktig funktion hos elektroniska system – genom att ange processer för riskbedömning och införa säkerhetsåtgärder som reducerar risken till en acceptabel nivå. Med andra ord adresserar standarden potentiella faror som orsakas av fel i fordonselektronik och visar hur man motverkar dem.
ISO 26262 publicerades första gången 2011, inledningsvis med ett tillämpningsområde begränsat till personbilar med en massa upp till 3,5 ton. Den andra utgåvan från 2018 innebar viktiga utvidgningar – den omfattar alla vägfordon (lastbilar, bussar, motorcyklar m.m., med undantag för mopeder) och kompletterades med nya avsnitt som bland annat rör halvledarkomponenter. Därmed speglar standarden den växande komplexiteten och variationen hos elektroniska system i dagens fordon, och tar hänsyn till deras specifika utmaningar.
IEC 61508 som grund: Det är värt att betona att ISO 26262 härstammar direkt från moderstandarden IEC 61508, men att den har anpassats strikt till behoven inom automotive. Det innebär att metodiken för riskbedömning, klassificering av faror och val av säkerhetsåtgärder har utformats för typiska driftförhållanden för fordon. Standarden definierar bland annat en dedikerad säkerhetslivscykel för fordonsområdet och introducerar begrepp som är specifika för denna domän, såsom Automotive Safety Integrity Level som beskrivs nedan.
ISO 26262 strukturerar hela arbetet med att säkerställa funktionssäkerhet i produktens livscykel – från koncept via konstruktion, integration och provning, vidare till produktion, drift och avveckling. Standarden anger vilka aktiviteter som ska genomföras i vart och ett av dessa skeden för att identifiera potentiella faror och minimera risken för fel som kan skapa farliga situationer.
ASIL-nivåer – riskklassificering i ISO 26262
Ett av de centrala begreppen i ISO 26262 är ASIL (Automotive Safety Integrity Level), det vill säga nivån på funktionssäkerhetsintegritet inom fordonsområdet. ASIL är en skala för att bedöma risken kopplad till en potentiell felhändelse i ett visst system – den anger hur strikta säkerhetsåtgärder som måste tillämpas för att begränsa risken till en acceptabel nivå. Standarden definierar fyra ASIL-nivåer: A, B, C, D (från lägst till högst) samt kategorin QM (Quality Management), som innebär att det inte finns några säkerhetskrav utöver de ordinarie kvalitetsprocesserna.
Fastställande av ASIL-nivå: ASIL-nivån bestäms under faroanalys och riskbedömning (Hazard Analysis and Risk Assessment, HARA). För varje potentiell fara beaktas tre nyckelfaktorer: Severity – allvarlighetsgrad hos de möjliga konsekvenserna (t.ex. personskador), Exposure – exponering, det vill säga hur ofta situationer som kan leda till felet uppstår, samt Controllability – kontrollerbarhet, det vill säga förarens möjlighet att hantera situationen. Kombinationen av dessa faktorer leder till en riskklassificering. Nivåerna från ASIL A till ASIL D återspeglar just maximal allvarlighetsgrad hos felutfallet, sannolikheten för personskada samt möjligheten att kontrollera händelsen. Utifrån dessa parametrar tilldelas faran en lämplig säkerhetsintegritetsnivå – eller QM om risken är så låg att vanliga konstruktionsåtgärder räcker.
ASIL:s betydelse i riskbedömningen: Att fastställa rätt ASIL-nivå är av avgörande betydelse, eftersom det är den som styr hur strikt utvecklingsprocessen för systemet måste vara. Ju högre ASIL, desto mer restriktiva krav måste projektet uppfylla – både vad gäller hårdvaru- och mjukvaruarkitektur samt processerna för utveckling, testning och validering. Standarden anger tydligt att högre ASIL-nivåer kräver mer detaljerad dokumentation, striktare konstruktionsregler, mer ingående säkerhetsanalyser samt oberoende granskningar av arbetsresultat. I praktiken innebär ett högt ASIL ofta att man behöver lägga till redundans– och diagnosmekanismer i konstruktionen – så att ett enskilt fel inte leder till att säkerhetsfunktionen går förlorad. Som illustration: livskritiska system som krockkuddar, ABS-system eller elektrisk servostyrning klassificeras vanligtvis som ASIL D, eftersom ett fel kan innebära en allvarlig risk för passagerarna. Mindre kritiska funktioner, t.ex. bakre positionsljus, kan däremot få ASIL A eller till och med bedömas som QM, eftersom ett eventuellt fel inte medför någon större risk. Detta angreppssätt gör att de största ingenjörsinsatserna kan fokuseras där de behövs som mest – i system som människors säkerhet är beroende av.
Struktur för ISO 26262:2018 – delar 1–10
ISO 26262 (utgåva 2018) är uppdelad i ett antal delar, där varje del fokuserar på en annan aspekt av säkerhetslivscykeln. Kärnan i standarden utgörs av nio normativa delar (1–9) samt en kompletterande del med riktlinjer (del 10). I den andra utgåvan tillkom dessutom del 11 och 12 som behandlar specifika områden (halvledare respektive motorcyklar), men i genomgången nedan fokuserar vi på de grundläggande delarna 1–10, som har generell tillämpning. Tabellen nedan visar de enskilda delarna i ISO 26262:2018 tillsammans med deras titlar och ämnesomfång:
| Del | Titel (eng.) | Omfattning och ämnesområde |
|---|---|---|
| 1 | Terminologi (Vocabulary) | Definitioner av grundläggande termer, begrepp och förkortningar som används i alla delar av standarden. Utgör grunden för ett gemensamt språk (t.ex. förtydligar begrepp som defekt, fel, haveri, fara m.m.). |
| 2 | Ledning av säkerhet (Management of Functional Safety) | Krav på ledning av funktionell säkerhet i organisationen och i projekt. Anger aktiviteter på organisationsnivå (t.ex. säkerhetspolicy, kompetens) samt processen för säkerhetsledning i projektets livscykel (planering, uppföljning, överensstämmelsebedömning). |
| 3 | Konceptfas (Concept Phase) | Den tidigaste fasen i produktens livscykel. Omfattar definition av objektet (item definition), faroanalys och riskbedömning HARA samt framtagning av ett koncept för funktionell säkerhet för fordonet. I denna fas tas safety goals (säkerhetsmål) fram för de identifierade farorna. |
| 4 | Utveckling på systemnivå (Product Development at the System Level) | Krav för systemkonstruktion med hänsyn till säkerhet. Denna del beskriver framtagning av en systemarkitektur som uppfyller säkerhetsmålen, allokering av säkerhetskrav till enskilda element samt integration och tester på hela systemnivån. Omfattar även säkerhetsvalidering på fordonsnivå. |
| 5 | Utveckling på hårdvarunivå (Product Development at the Hardware Level) | Krav för hårdvarukonstruktion (elektronik) ur ett säkerhetsperspektiv. Innehåller principer för att ta fram hårdvaruarkitektur, fastställa säkerhetskrav för HW-komponenter, analys av slumpmässiga fel (t.ex. beräkning av arkitekturmetrik: SPFM, LFM m.m.) samt verifiering av hårdvaran mot dessa krav. |
| 6 | Utveckling på mjukvarunivå (Product Development at the Software Level) | Krav för utveckling av säker inbyggd programvara. Omfattar utformning av en mjukvaruarkitektur i linje med säkerhetsmålen, kodimplementering enligt standarder (t.ex. MISRA-riktlinjer), enhets- och integrationstester samt verifiering av programvaran med avseende på uppfyllnad av säkerhetskraven. |
| 7 | Produktion, drift och avveckling (Production, Operation, Service and Decommissioning) | Krav för produktions- och driftskedet för produkten. Avser bl.a. att säkerställa att produktionsprocessen upprätthåller den avsedda säkerhetsnivån (kvalitetskontroll, slutprovning), samt aktiviteter under fordonets användning (serviceprocedurer, insamling av information om fel) och säker avveckling av fordonet ur drift. |
| 8 | Stödprocesser (Supporting Processes) | En uppsättning generella processer som stödjer säkerheten i alla faser av livscykeln. Hit hör bl.a.: konfigurations- och ändringshantering, kvalificering av programvaruverktyg, bedömning av komponenter utifrån proven in use, upprätthållande av konsekvent projektdokumentation, hantering av leverantörsrelationer i ett säkerhetsperspektiv samt att säkerställa tillräcklig oberoendegrad i verifieringsprocessen. |
| 9 | ASIL-relaterade analyser (ASIL-Oriented and Safety Analyses) | Analysmetoder med fokus på ASIL och systemets tillförlitlighet. Denna del omfattar bl.a. principer för ASIL-dekomposition (fördelning av funktioner mellan element med lägre ASIL med bibehållen erforderlig säkerhet), kriterier för samexistens av element med olika ASIL i ett och samma system, analys av gemensamma och beroende fel (t.ex. Dependent Failure Analysis) samt klassiska riskanalystekniker som FMEA och FTA i relation till kraven i ISO 26262. |
| 10 | Vägledning till ISO 26262 (Guidelines on ISO 26262) | En informativ del med vägledning som underlättar tolkningen av standardens övriga delar. Förklarar begrepp och principer i ISO 26262 med exempel och hjälper till att korrekt förstå avsikten med kraven. (Om det uppstår en avvikelse mellan innehållet i denna del och kraven i del 1–9 ska kraven i de normativa delarna tillämpas.) |
(Observera: I utgåvan 2018 tillkom även del 11 – Vägledning för halvledarkomponenter samt del 12 – Anpassning av ISO 26262 för motorcyklar. Båda är kompletterande informativa dokument som utökar standardens omfattning till dessa områden.)
Som framgår speglar strukturen i ISO 26262:2018 de olika stegen och aspekterna i processen för att utveckla säkra system. Delarna 3–7 leder ingenjörer genom nästa faser – från att definiera koncept och säkerhetskrav, via systemdesign och implementering på hårdvaru- och mjukvarunivå, ända fram till tillverkning och användning av produkten. Del 2 säkerställer att hela processen genomförs inom ramen för ett ändamålsenligt säkerhetsledningssystem på företags- och projektnivå. Del 8 tillhandahåller i sin tur organisatoriska och tekniska verktyg (t.ex. konfigurationshantering eller verktygskvalificering) som stödjer uppfyllandet av säkerhetskraven i varje steg. Del 9 ger metoder för analys och säkerställer att vi i inget skede missar faktorer som påverkar risken (ASIL) samt att vi identifierar potentiella gemensamma eller dolda fel. Tillsammans utgör alla dessa delar ett heltäckande system för att säkerställa funktionell säkerhet.
Standarden ISO 26262:2018 strukturerar hela livscykeln för funktionell säkerhet inom fordonsindustrin – från konceptfasen, via detaljerad konstruktion och verifiering, till serieproduktion, underhåll och avveckling av produkten. Därmed utgör den ett sammanhållet ramverk för tillverkare och leverantörer: från riskanalys och fastställande av säkerhetskrav, via implementering av dessa krav i de utvecklade systemen och programvaran, till slutprovning och uppföljning av produkten i fält. Tillämpning av standarden säkerställer att ingen del av säkerheten förbises – från den övergripande projektstyrningen ända ner till minsta tekniska detalj. Resultatet blir fordon utrustade med avancerade system som samtidigt uppfyller strikta säkerhetskriterier och minimerar risken för användarna.
Vi förstår hur utveckling enligt ISO 26262 ser ut – från riskanalys till slutprovning. Med vår kunskap och erfarenhet hjälper vi till att införa standardens krav i varje projektfas, så att funktionell säkerhet inte blir ett tillägg utan en integrerad egenskap i din produkt.
ISO 26262 – funktionell säkerhet inom fordonsindustrin
ISO 26262:2018 Road Vehicles – Functional Safety är en internationell standard som fastställer krav på funktionell säkerhet för elektriska och elektroniska (E/E) system i vägfordon. Syftet är att förebygga oacceptabel risk som följer av felaktig funktion hos elektronik genom riskbedömningsprocesser och val av säkerhetsåtgärder.
ISO 26262 härstammar direkt från IEC 61508, men är anpassad till förutsättningarna inom fordonsindustrin. Den omfattar en metodik för riskbedömning och en dedikerad säkerhetslivscykel som är avsedd för typiska driftförhållanden för fordon.
ASIL (Automotive Safety Integrity Level) är en säkerhetsintegritetsnivå som anger hur strikta de säkerhetsåtgärder måste vara som krävs för en viss funktion. Standarden definierar ASIL A, B, C och D samt kategorin QM, när standardmässiga kvalitetsprocesser är tillräckliga.
ASIL fastställs i HARA-analysen (Hazard Analysis and Risk Assessment) utifrån tre faktorer: Severity (allvarlighetsgrad), Exposure (exponering) och Controllability (kontrollerbarhet). Kombinationen av dessa parametrar ligger till grund för riskklassificeringen och den erforderliga ASIL-nivån eller QM.
Den andra utgåvan utvidgade tillämpningsområdet från personbilar upp till 3,5 t till alla vägfordon (med undantag för mopeder). Dessutom tillkom nya avsnitt, bland annat om halvledarkomponenter.