Auteur | Guo Jian, expert distingué du Shanghai Kongan Trusted Software Innovation Research Institute
Section| Forum Jianyuan · Voir le modèle
Résumé : La sécurité est l'un des éléments clés de la recherche et du développement automobile. La recherche, le développement et l'intégration de fonctions telles que la conduite assistée et le contrôle dynamique du véhicule doivent renforcer la recherche et le développement de systèmes de sécurité. En même temps, il est nécessaire fournir des preuves permettant d’atteindre tous les objectifs de sécurité attendus. À mesure que la complexité du système augmente, des logiciels et des dispositifs électromécaniques sont utilisés, les risques de pannes du système et de pannes matérielles aléatoires augmentent également. La norme ISO 26262 permet de mieux comprendre les fonctions liées à la sécurité et de les expliquer le plus clairement possible, tout en fournissant des exigences et des processus réalisables pour éviter ces risques.
Nous présenterons la norme internationale ISO 26262:2018 dans 2 tweets.
Lien tweet précédent : Présentation de la norme ISO 26262 : 2018 pour l'électronique automobile (1)
La norme ISO 26262 est dérivée de la norme CEI 61508, la norme de base pour la sécurité fonctionnelle des appareils électroniques, électriques et programmables. Améliore les normes internationales pour la sécurité fonctionnelle des produits électroniques et électriques automobiles.
La norme ISO 26262 a été officiellement formulée en novembre 2005. Après environ 6 ans, elle a été officiellement promulguée en novembre 2011 et est devenue une norme internationale. La Chine a également promulgué des normes correspondantes en 2017. En 2018, la nouvelle norme internationale ISO 26262:2018 a été promulguée, ajoutant des spécifications pour les semi-conducteurs et les motos.
L'ISO 26262 fournit un concept de cycle de vie (gestion, développement, production, exploitation, service, fin de vie) pour la sécurité automobile et fournit le soutien nécessaire dans ces étapes du cycle de vie. La norme couvre le processus global de développement en termes de sécurité fonctionnelle (y compris la planification des exigences, la conception, la mise en œuvre, l'intégration, la vérification, la validation et la configuration).
La norme internationale ISO 26262:2018 est divisée en 12 parties, à savoir :
Partie 1 : Terminologie
Partie II : Gestion de la sécurité fonctionnelle
Partie III : Phase conceptuelle
Partie IV : Développement de produits : niveau système
Partie V : Développement de produits : niveau matériel
PARTIE VI : DÉVELOPPEMENT DE PRODUIT : LA COUCHE LOGICIELLE
Partie VII : Production, opérations, service et déclassement
Partie VIII : Processus de support
Partie 9 : Analyse axée sur le niveau d'intégrité de la sécurité automobile et axée sur la sécurité
Partie 10 : Lignes directrices pour la norme ISO 26262
Partie 11 : Lignes directrices pour l'application de l'ISO 26262 aux semi-conducteurs
Partie 12 : Adaptation de l'ISO 26262 aux motocycles
L'architecture de la norme ISO 26262 est présentée dans la figure 1 :
Figure 1 L'architecture globale de la norme ISO 26262
Dans ce tweet, je donnerai une brève introduction aux parties 6 à 12 de la norme internationale ISO 26262:2018.
Partie 6
Développement de produits : niveau logiciel
Le processus de développement logiciel garantit un processus ou une méthodologie de développement logiciel approprié et cohérent pour garantir un environnement de développement logiciel approprié. Le modèle de phase de référence du développement logiciel est présenté à la figure 2.
Figure 2 Modèle de phase de référence du développement de produits de couche logicielle
Par exemple, les méthodologies de développement de logiciels agiles sont également applicables au développement de logiciels liés à la sécurité, mais si les activités de sécurité sont adaptées, la norme ISO 26262-2:2018 6.4.5 doit être prise en compte. Cependant, les méthodes de développement agiles ne peuvent pas omettre les mesures de sécurité ou ignorer la documentation de base, les processus ou l'intégrité de la sécurité requis pour atteindre la sécurité fonctionnelle.
Comme autre exemple, les méthodes de développement basées sur les tests peuvent également être utilisées pour améliorer la qualité des exigences et améliorer la testabilité.
Dans la sous-étape de spécification des exigences de sécurité, il est nécessaire de spécifier ou d'améliorer les exigences de sécurité logicielle dérivées du concept de sécurité technique et des spécifications de conception de l'architecture du système ; de définir les fonctions et attributs liés à la sécurité du logiciel requis pour la mise en œuvre ; d'améliorer la ISO 26262-4:2018 Article 6 Exigences en matière d'interface logicielle et matérielle ; vérifier si les exigences de sécurité logicielle et les exigences en matière d'interface logicielle et matérielle sont adaptées au développement de logiciels et si elles sont conformes au concept de sécurité technique et aux spécifications de conception de l'architecture du système.
Dans la sous-phase de conception de l'architecture logicielle, il est nécessaire de développer une conception d'architecture logicielle qui répond aux exigences de sécurité logicielle et à d'autres exigences logicielles ; vérifier si la conception de l'architecture logicielle est adaptée pour répondre aux exigences de sécurité logicielle requises avec ASIL ; afin de prendre en charge mise en œuvre et vérification du logiciel.
Dans la sous-phase de conception et de mise en œuvre des unités logicielles, il est nécessaire de développer la conception des unités logicielles conformément à la conception de l'architecture logicielle, aux normes de conception et aux exigences logicielles associées pour prendre en charge la réalisation et la vérification des unités logicielles ; mettre en œuvre les unités logicielles conformément aux spécifications.
Dans la sous-phase de vérification de l'unité logicielle, fournir des preuves pour prouver que la conception de l'unité logicielle répond aux exigences logicielles assignées ; vérifier si les mesures de sécurité déterminées lors de la phase d'analyse de sécurité ont été correctement mises en œuvre ; fournir des preuves pour prouver que l'unité logicielle mise en œuvre répond la conception de l'unité et répond aux exigences Exigences logicielles pour le niveau ASIL attribué ; fournir des preuves suffisantes que l'unité logicielle ne contient ni fonctions indésirables ni propriétés indésirables en matière de sécurité fonctionnelle.
Dans la sous-phase d'intégration et de vérification du logiciel, il est nécessaire de définir les étapes d'intégration et d'intégrer les éléments logiciels jusqu'à ce que le logiciel embarqué soit complètement intégré ; vérifier si les mesures de sécurité définies par l'analyse de sécurité au niveau de l'architecture logicielle ont été correctement mises en œuvre. ; fournir des preuves pour prouver que les unités logicielles et les composants logiciels intégrés répondent aux exigences de la conception de l'architecture logicielle ; fournir des preuves suffisantes pour prouver que le logiciel intégré ne contient ni fonctions indésirables ni attributs indésirables en matière de sécurité fonctionnelle.
Dans la sous-phase de test des logiciels embarqués, des preuves doivent être fournies pour prouver que le logiciel embarqué s'exécute dans l'environnement cible pour répondre aux exigences de sécurité du logiciel ; il ne contient ni fonctions indésirables ni propriétés indésirables en termes de sécurité fonctionnelle.
Dans la sous-phase de configuration du logiciel, pour obtenir des changements contrôlés dans le comportement du logiciel pour différentes applications ; fournir la preuve que les données de configuration et les données d'étalonnage répondent aux exigences du niveau ASIL requis ; fournir un logiciel intégré spécifique à l'application et ses données d'étalonnage adaptées à la publication, utiliser les preuves pour production.
Partie 7
Production, opérations, service et démantèlement
La production, l'exploitation, l'entretien et la fin de vie nécessitent le développement et la maintenance de processus de production d'éléments liés à la sécurité ou d'articles connexes destinés à être installés sur des véhicules routiers ; peuvent dépendre de la position de l'organisation dans la chaîne d'approvisionnement de sécurité et de la complexité de les éléments liés à la sécurité produits, ceci est réalisé par l'organisation adhérant à la norme IATF 16949 ou à une norme équivalente. Développer les informations nécessaires sur l'exploitation, l'entretien (entretien et réparation) et la fin de vie pour garantir que la sécurité fonctionnelle est respectée tout au long du cycle de vie du véhicule.
Dans la sous-phase de production, il est nécessaire de s'assurer que le fabricant concerné ou la personne ou l'organisation responsable du processus de production de l'article et du composant concerné (constructeur de véhicule, fournisseur, sous-traitant, etc.) respecte la sécurité fonctionnelle pendant la sous-phase de production. phase de production (ou après production).
Dans les sous-phases d'exploitation, d'entretien et de mise hors service, la sécurité fonctionnelle doit être assurée pendant l'exploitation, l'entretien (entretien et réparation) et la mise hors service des différentes sous-phases du cycle de vie du véhicule.
Partie 8
processus de soutien
Les phases du processus de support comprennent des interfaces pour le développement distribué, la spécification et la gestion des exigences de sécurité, la gestion de la configuration, la gestion des changements, la vérification, la gestion de la documentation, la confiance dans l'utilisation des outils logiciels, la qualification des composants logiciels, l'évaluation des éléments matériels, la preuve d'utilisation, au-delà Applications connectées dans le cadre de l'ISO 26262, intégration de systèmes liés à la sécurité non développés selon l'ISO 26262.
L'interface du développement distribué doit définir l'interaction et la relation de dépendance entre les clients et les fournisseurs pour les activités de développement ; et décrire la répartition des responsabilités ; identifier les éléments et éléments associés pour le processus de développement distribué et l'attribution des responsabilités associées.
La spécification et la gestion des exigences de sécurité doivent garantir la spécification correcte des exigences de sécurité en termes de leurs attributs et caractéristiques ; et garantir la gestion cohérente des exigences de sécurité tout au long du cycle de vie de la sécurité.
La gestion de la configuration doit garantir que les produits de travail, les dépendances, les éléments ainsi que la justification et les conditions générales de leur production peuvent être identifiés de manière unique et reproduits de manière contrôlée à tout moment ; et que les relations et les différences entre les versions antérieures et actuelles peuvent être retracées.
La gestion du changement est l'analyse et le contrôle des modifications apportées aux produits de travail, dépendances et éléments liés à la sécurité tout au long du cycle de vie de la sécurité.
La vérification consiste à s'assurer que les produits de travail sont conformes à leurs exigences.
La gestion des documents nécessite le développement d'une stratégie de gestion des documents tout au long du cycle de vie de la sécurité pour faciliter un processus de gestion des documents efficace et reproductible.
La confiance dans l'utilisation des outils logiciels doit fournir des normes pour déterminer le niveau de confiance requis dans l'application des outils logiciels ; lors de l'application des outils logiciels, fournir des moyens de qualification des outils logiciels pour créer la preuve que les outils logiciels sont adaptés à une utilisation dans le support. Une activité ou une tâche requise par la série de normes ISO 26262. Autrement dit, l'utilisateur peut compter sur la fonctionnalité correcte de l'outil logiciel pour accomplir les activités ou tâches requises par la série de normes ISO 26262.
La qualification d'un composant logiciel apporte la preuve de sa réutilisabilité par rapport aux éléments développés dans le respect de la série de normes ISO 26262.
L'évaluation des éléments matériels garantit que le comportement fonctionnel est suffisant pour répondre aux exigences de sécurité assignées, de sorte que le risque de violation des objectifs de sécurité ou des exigences de sécurité en raison d'une défaillance systématique des éléments matériels soit suffisamment faible. L'adéquation à une utilisation basée sur la gestion des défauts aléatoires est déterminée par l'intégration des éléments matériels évalués au niveau d'intégration de conception le plus élevé. Le terme « élément matériel » fait référence à un assemblage ou une pièce matérielle commerciale, ou à un assemblage ou une pièce matérielle personnalisée, qui n'a pas été développé ou conçu à l'origine conformément à la série de normes ISO 26262 et qui est incorporé dans un article ou un élément connexe dans conformes à la norme ISO 26262 sont considérés comme pertinents pour la sécurité dans le contexte dans lequel ils seront intégrés. L'évaluation des composants matériels constitue plutôt une alternative à l'ISO 26262-5. Les éléments matériels éligibles pour l’évaluation peuvent être des éléments spécifiques à l’application ou standards. Ces composants sont généralement développés pour être utilisés dans de nombreuses industries, automobiles ou non.
La preuve d’utilisation sert à fournir des conseils pour une démonstration d’utilisation éprouvée. La démonstration d'utilisation éprouvée est une alternative à la série de normes ISO 26262 qui peut être utilisée lorsque des éléments ou des éléments associés existants sont réutilisés lorsque les données de terrain sont disponibles.
Applications en dehors du champ d'application de l'ISO 26262 Veiller à ce que les applications en dehors du champ d'application de l'ISO 26262 ne violent pas les objectifs de sécurité du véhicule essentiel ou des éléments associés développés conformément à la série de normes ISO 26262.
L'intégration de systèmes liés à la sécurité non développés conformément à l'ISO 26262 garantit que les systèmes ou composants non développés conformément à l'ISO 26262 satisfont au niveau de sécurité fonctionnelle requis pour l'intégration dans des éléments connexes développés conformément à l'ISO 26262.
Partie 9
Orienté vers le niveau d’intégrité de la sécurité automobile (ASIL)
et des analyses orientées sécurité
L'analyse axée sur le niveau d'intégrité de la sécurité automobile (ASIL) et la sécurité comprend la décomposition des exigences pour l'adaptation du niveau ASIL, les critères de coexistence des éléments, l'analyse des défaillances de corrélation et l'analyse de la sécurité.
La décomposition des exigences pour l'adaptation au niveau ASIL garantit que la décomposition des exigences de sécurité au niveau de détail suivant de la décomposition est des exigences de sécurité redondantes et attribue ces exigences à des éléments de conception suffisamment indépendants ; et la décomposition ASIL est appliquée conformément aux modèles de décomposition ASIL autorisés.
Les critères de coexistence des éléments comprennent des sous-éléments liés à la sécurité et des sous-éléments non liés à la sécurité ; les sous-éléments liés à la sécurité se voient attribuer différents niveaux ASIL.
Analyse des défaillances dépendantes Confirme que l'indépendance requise ou l'absence d'interférences est pleinement réalisée dans la conception en analysant ses causes potentielles ou ses facteurs déclencheurs ; si nécessaire, identifie les mesures de sécurité pour atténuer les éventuelles défaillances associées.
L'analyse de la sécurité garantit que le risque de violation des objectifs de sécurité en raison de pannes du système ou de pannes matérielles aléatoires est suffisamment faible. Selon l'application, cela peut être réalisé par :
✔ Identifier les nouveaux dangers non identifiés lors de l'analyse des dangers et de l'évaluation des risques ;
✔ Identifier séparément les défaillances pouvant entraîner des violations des objectifs de sécurité ou des exigences de sécurité ;
✔ Identifier sa cause sous-jacente ;
✔ Prend en charge la définition de mesures de sécurité de prévention ou de contrôle des pannes, respectivement ;
✔ Fournir la preuve de l'applicabilité du concept de sécurité ;
✔ Prend en charge la vérification des concepts de sécurité, des exigences de sécurité et l'identification des exigences de conception et des exigences de test.
Partie 10
Lignes directrices pour la norme ISO 26262
Ce document donne quelques lignes directrices lors de l'utilisation du développement de l'ISO 26262, y compris les éléments et définitions associés, les concepts clés de l'ISO 26262, les aspects de gestion de la sécurité, la phase de conception et la phase de développement du système, l'architecture des exigences pour le processus de sécurité, la phase de développement du matériel, les éléments de sécurité au-delà de l'ISO 26262, vérification des éléments en cours d'utilisation, conseils en cas de panne d'ASIL, conseils pour le développement de systèmes avec des exigences d'utilisabilité liées à la sécurité, notes sur la "confiance dans l'utilisation des outils logiciels", fonctionnalités spéciales liées à la sécurité, etc.
Partie 11
Lignes directrices ISO 26262 pour les applications de semi-conducteurs
Il s'agit d'un nouvel ajout à la norme ISO 26262:2018. Les lignes directrices pour les applications des semi-conducteurs comprennent des conseils sur les composants semi-conducteurs et leurs divisions, les technologies semi-conductrices spécifiques et les cas d'utilisation.
Dans les composants semi-conducteurs et leurs sous-étapes de division, y compris comment considérer les composants semi-conducteurs, diviser les composants semi-conducteurs en plusieurs parties, considérer les pannes matérielles, les erreurs et les modes de défaillance, l'analyse de la sécurité des composants semi-conducteurs au niveau du système, IP, taux de défaillance de base des semi-conducteurs , Analyse des défaillances de dépendance des semi-conducteurs, injection de fautes, production et exploitation, interfaces pour le développement distribué, mesures de validation, validation de l'intégration et vérification du matériel, etc.
Technologie spécifique des semi-conducteurs et sous-phases de cas d'utilisation, y compris des conseils sur les composants et mémoires numériques, les composants analogiques/à signaux mixtes, les dispositifs logiques programmables, les capteurs et les convertisseurs.
Partie 12
Adaptabilité de l'ISO 26262 aux motocyclettes
Pour que le système E/E d'une moto soit conforme à la série de normes ISO 26262, toutes les exigences de l'ISO 26262-2 à l'ISO 26262-9 doivent être respectées. Certaines exigences peuvent nécessiter un certain degré d'adaptation pour être adaptées aux motos. Dans ce cas, ces exigences adaptées remplacent les exigences correspondantes de la série de normes ISO 26262.
Pour l'application des normes de la série ISO 26262 pour les motocycles, il est nécessaire d'expliquer la culture de sécurité de la gestion de la sécurité, les mesures de confirmation, la production, l'exploitation, l'entretien et la mise au rebut, etc. ; au stade conceptuel, l'analyse des dangers et l'évaluation des risques, la sécurité fonctionnelle. concepts, etc. ; Le concept technique de sécurité du développement de produits au niveau du système, l'intégration et les tests des éléments associés, et la description de l'efficacité des méthodes de sécurité.
veiller à ce que les organisations impliquées dans l'exécution du cycle de vie de la sécurité, c'est-à-dire les organisations responsables ou exécutant des activités de sécurité au sein du cycle de vie de la sécurité, doivent établir et maintenir une culture de sécurité qui soutient et encourage un fonctionnement efficace pendant la sous-phase de culture de sécurité de la gestion de la sécurité, et faciliter une communication efficace entre les autres disciplines liées à la sécurité fonctionnelle ; élaborer et maintenir des règles et des processus appropriés spécifiques à l'organisation pour la sécurité fonctionnelle ; garantir que les anomalies de sécurité identifiées sont traitées de manière adéquate ; établir et maintenir un système de gestion des capacités pour garantir la compétence pertinente des le personnel est proportionné à ses responsabilités ; un système de gestion de la qualité est établi et maintenu pour soutenir la sécurité fonctionnelle.
Dans la sous-phase de confirmation des mesures, assurez-vous que les organisations impliquées dans la phase de conception ou la phase de développement définissent et attribuent des rôles et des responsabilités pour les activités de sécurité au niveau du système, du matériel ou des logiciels ; effectuez une analyse d'impact sur les éléments associés pour identifier les éléments associés comme nouveaux. éléments associés, Modification avec éléments dépendants ou éléments dépendants existants avec contexte de modification ; en cas d'une ou plusieurs modifications, analyse de l'impact des modifications identifiées sur la sécurité fonctionnelle ; en cas de réutilisation d'éléments existants, au niveau de l'élément Analyse d'impact pour évaluer si un élément réutilisé peut répondre aux exigences de sécurité assignées à cet élément, en tenant compte de l'environnement opérationnel dans lequel l'élément est réutilisé ; définir des activités de sécurité sur mesure, fournir une justification ; planifier les activités de sécurité ; coordonner et suivre la progression des activités de sécurité par rapport au plan de sécurité ; planifier un développement distribué ; garantir que les activités de sécurité sont exécutées correctement tout au long du cycle de vie de la sécurité ; ; déterminer si l'élément atteint la sécurité fonctionnelle (c'est-à-dire une évaluation de la sécurité fonctionnelle) ou déterminer la contribution à l'atteinte de la sécurité fonctionnelle d'un élément (c'est-à-dire une évaluation de la sécurité fonctionnelle) activités d'évaluation effectuées par le fournisseur) ou le produit du travail (c'est-à-dire, examen de validation) ; à la conclusion, une décision est prise quant à savoir si l'article ou l'élément peut être libéré pour la production sur la base de preuves étayant la confiance dans la sécurité fonctionnelle atteinte.
Les responsabilités des organisations et des personnes chargées d'atteindre et de maintenir la sécurité fonctionnelle en matière de production, d'exploitation, de service et de mise hors service sont définies en sous-phases concernant la production, l'exploitation, le service et la mise hors service.
Définir et décrire l'élément, sa fonction, sa dépendance vis-à-vis du conducteur et son interaction avec d'autres éléments au niveau du conducteur, de l'environnement et du véhicule dans la sous-phase de définition de l'élément de la phase de conception ; permet une compréhension suffisante de l'élément pour qu'il puisse Exécuter les activités des phases suivantes.
Dans la sous-phase d'analyse des dangers et d'évaluation des risques de la phase de conception, les exigences nécessaires à respecter pour l'analyse des dangers et l'évaluation des risques spécifiques aux motos sont spécifiées ; l'identification et la classification des événements dangereux causés par le comportement de défaillance des éléments associés ; le développement des objectifs de sécurité et de leurs niveaux ASIL correspondants, la prévention ou l'atténuation des événements dangereux pour éviter les risques déraisonnables.
La sous-phase du concept de sécurité fonctionnelle stipule le comportement fonctionnel ou dégradé des éléments associés en fonction de ses objectifs de sécurité ; spécifie les contraintes sur la détection et le contrôle appropriés et opportuns des défaillances associées en fonction de ses objectifs de sécurité ; spécifie les stratégies ou mesures pertinentes au niveau de l'élément. , via le conducteur ou via des mesures externes pour atteindre la tolérance aux pannes requise ou pour atténuer suffisamment les effets des défaillances liées aux éléments ; attribuer des exigences de sécurité fonctionnelle à la conception de l'architecture du système ou à des mesures externes ; valider les concepts de sécurité fonctionnelle et spécifier les critères de vérification de la sécurité.
La sous-phase du concept de sécurité technique du développement de produits au niveau du système précise les exigences techniques de sécurité concernant les fonctions, les dépendances, les contraintes et les propriétés des éléments du système et de leurs interfaces requises pour leur réalisation ; précise les aspects techniques des mécanismes de sécurité mis en œuvre dans les éléments et interfaces du système Exigences de sécurité ; préciser les exigences de sécurité fonctionnelle du système et de ses composants pendant la production, l'exploitation, le service et la fin de vie ; vérifier si les exigences techniques de sécurité répondent à la sécurité fonctionnelle au niveau du système et sont cohérentes avec les exigences de sécurité fonctionnelle ; formuler des exigences de sécurité qui répondent aux exigences de sécurité et ne sont pas liées à la sécurité. Conception de l'architecture du système et concept technique de sécurité avec des exigences non conflictuelles ; analyser la conception de l'architecture du système afin d'éviter les pannes et d'en déduire les caractéristiques spéciales liées à la sécurité requises pour la production. et service ; vérifier si la conception de l'architecture du système et le concept technique de sécurité sont adaptés, en fonction de leur niveau ASIL respectif, pour répondre aux exigences de sécurité fonctionnelle.
Définir les étapes d'intégration et intégrer les composants du système dans la sous-phase d'intégration et de test des éléments associés jusqu'à ce que le système soit complètement intégré ; vérifier si les mesures de sécurité dérivées de l'analyse de sécurité au niveau de l'architecture du système ont été correctement mises en œuvre ; fournir les composants du système intégrés selon la conception de l'architecture du système pour répondre à la preuve de ses exigences de sécurité.
Fournir des preuves dans la sous-étape d'efficacité de la sécurité pour prouver que l'élément concerné atteint l'objectif de sécurité lorsqu'il est intégré dans le véhicule correspondant ; fournir des preuves pour prouver que le concept de sécurité fonctionnelle et le concept de sécurité technique répondent à la sécurité fonctionnelle de l'élément concerné.
résumé
L'orientation actuelle du développement des véhicules à énergie nouvelle, de la conduite autonome et d'autres véhicules dépend de plus en plus des systèmes et logiciels électroniques. L’émergence de nouveaux systèmes entraîne de nouveaux risques de modes de défaillance. Les constructeurs automobiles s'efforcent d'identifier et d'évaluer les risques liés à leurs conceptions, de prendre des mesures efficaces pour réduire ou éliminer ces risques et de tout mettre en œuvre pour garantir le fonctionnement ou l'utilisation en toute sécurité de leurs produits. La publication de la norme internationale ISO 26262:2018 peut aider les entreprises à garantir la sécurité fonctionnelle de leurs systèmes électriques et électroniques, à identifier et analyser les risques dès le début du processus de développement de produits, à établir des objectifs de sécurité et à atteindre ces objectifs grâce à un plan de vérification complet.