ISO 26262

Norma internacional de seguridad para sistemas eléctricos y electrónicos de automoción.

ISO 26262 , titulada "Vehículos de carretera – Seguridad funcional", es una norma internacional para la seguridad funcional de los sistemas eléctricos y/o electrónicos que se instalan en vehículos de carretera de producción en serie (excluidos los ciclomotores), definida por la Organización Internacional de Normalización (ISO) en 2011 y revisado en 2018.

Descripción general del estándar

Las características de seguridad funcional forman una parte integral de cada fase de desarrollo de productos automotrices , desde la especificación hasta el diseño, la implementación, la integración, la verificación, la validación y el lanzamiento a producción. La norma ISO 26262 es una adaptación de la norma de seguridad funcional IEC 61508 para sistemas eléctricos/electrónicos automotrices. ISO 26262 define la seguridad funcional para equipos automotrices aplicable durante todo el ciclo de vida de todos los sistemas electrónicos y eléctricos relacionados con la seguridad automotriz.

La primera edición (ISO 26262:2011), publicada el 11 de noviembre de 2011, se limitaba a los sistemas eléctricos y/o electrónicos instalados en "turismos de producción en serie " con un peso bruto máximo de 3.500 kg. La segunda edición (ISO 26262:2018), publicada en diciembre de 2018, amplió el alcance de los turismos a todos los vehículos de carretera excepto los ciclomotores . ^[1]

La norma tiene como objetivo abordar los posibles peligros causados ​​por el mal funcionamiento de los sistemas electrónicos y eléctricos de los vehículos. Aunque se titula "Vehículos de carretera - Seguridad funcional", la norma se refiere a la seguridad funcional de los sistemas eléctricos y electrónicos, así como a la de los sistemas en su conjunto o de sus subsistemas mecánicos.

Al igual que su estándar principal, IEC 61508 , ISO 26262 es un estándar de seguridad basado en riesgos, donde el riesgo de situaciones operativas peligrosas se evalúa cualitativamente y se definen medidas de seguridad para evitar o controlar fallas sistemáticas y para detectar o controlar fallas aleatorias de hardware, o mitigarlas. sus efectos.

Objetivos de ISO 26262:

• Proporciona un ciclo de vida de seguridad automotriz (gestión, desarrollo, producción, operación, servicio, desmantelamiento) y apoya la adaptación de las actividades necesarias durante estas fases del ciclo de vida.
• Cubre aspectos de seguridad funcional de todo el proceso de desarrollo (incluidas actividades como especificación de requisitos, diseño, implementación, integración, verificación, validación y configuración).
• Proporciona un enfoque basado en riesgos específico del sector automotriz para determinar clases de riesgo ( Niveles de integridad de seguridad automotriz , ASIL).
• Utiliza ASIL para especificar los requisitos de seguridad necesarios del artículo para lograr un riesgo residual aceptable .
• Proporciona requisitos para medidas de validación y confirmación para garantizar que se alcance un nivel de seguridad suficiente y aceptable. ^[2]

Partes de ISO 26262

ISO 26262: 2018 consta de doce partes, diez partes normativas (partes 1 a 9 y 12) y dos directrices (partes 10 y 11): ^{[ cita necesaria ]}

1. Vocabulario
2. Gestión de la seguridad funcional.
3. Fase conceptual
4. Desarrollo de productos a nivel de sistema.
5. Desarrollo de productos a nivel de hardware.
6. Desarrollo de productos a nivel de software.
7. Producción, operación, servicio y desmantelamiento.
8. Procesos de soporte
9. Análisis orientado a la seguridad y nivel de integridad de seguridad automotriz (ASIL)
10. Directrices sobre ISO 26262
11. Directrices sobre la aplicación de la norma ISO 26262 a semiconductores
12. Adaptación de la ISO 26262 para motocicletas

En comparación, ISO 26262:2011 constaba de sólo 10 partes, con nombres ligeramente diferentes:

• La parte 7 se llamó simplemente Producción y operación.
• La Parte 10 se llamó Directriz... en lugar de Directrices...
• Las partes 11 y 12 no existían.

Parte 1: Vocabulario

ISO 26262 especifica un vocabulario (un glosario de proyecto) de términos, definiciones y abreviaturas para su aplicación en todas las partes de la norma. ^[1] De particular importancia es la definición cuidadosa de falla , error y falla, ya que estos términos son clave para las definiciones estándar de procesos de seguridad funcional, ^[3] particularmente en la consideración de que "una falla puede manifestarse como un error ... . y el error puede provocar en última instancia un fallo ". ^{[1] Un} mal funcionamiento resultante que tenga un efecto peligroso representa una pérdida de seguridad funcional .

Artículo

Dentro de esta norma, artículo es un término clave. El elemento se utiliza para referirse a un sistema específico (o combinación de sistemas) al que se aplica el ciclo de vida de seguridad ISO 26262, que implementa una función (o parte de una función) a nivel del vehículo. Es decir, el artículo es el objeto identificado más alto en el proceso y, por lo tanto, es el punto de partida para el desarrollo de seguridad específico del producto según esta norma.

Elemento

Ya sea un sistema, un componente (que consta de partes de hardware y/o unidades de software), una sola parte de hardware o una sola unidad de software; efectivamente, cualquier cosa en un sistema que pueda identificarse y manipularse claramente.

Falla

Condición anormal que puede causar que un elemento o un artículo falle.

Error

Discrepancia entre un valor o condición calculado, observado o medido y el valor o condición verdadero, especificado o teóricamente correcto.

Falla

Terminación de un comportamiento previsto de un elemento o artículo debido a una manifestación de falla .

Tolerancia a fallos

Capacidad de ofrecer una funcionalidad específica en presencia de una o más fallas específicas .

Comportamiento defectuoso

Fallo o comportamiento no intencionado de un artículo con respecto a su intención de diseño.

Peligro

Posible fuente de daño (lesiones físicas o daños a la salud) causado por el mal funcionamiento del artículo .

Seguridad funcional

Ausencia de riesgos irrazonables debido a peligros causados ​​por el mal funcionamiento de los sistemas eléctricos/electrónicos.

Nota: A diferencia de otras normas de seguridad funcional y la ISO 26262:2018 actualizada, la tolerancia a fallos no se definió explícitamente en ISO 26262:2011, ya que se suponía imposible comprender todas las posibles fallas en un sistema. ^[4]

Nota: ISO 26262 no utiliza el término IEC 61508 Fracción de falla segura (SFF). En su lugar, se utilizan los términos métrica de fallas puntuales y métrica de fallas latentes . ^[5]

Parte 2: Gestión de la seguridad funcional

ISO 26262 proporciona un estándar para la gestión de la seguridad funcional para aplicaciones automotrices, definiendo estándares para la gestión general de la seguridad organizacional, así como estándares para un ciclo de vida de seguridad para el desarrollo y producción de productos automotrices individuales. ^{[6] [7] [8] [9]} El ciclo de vida de seguridad ISO 26262 descrito en la siguiente sección opera sobre los siguientes conceptos de gestión de seguridad: ^[1]

Evento peligroso

Un evento peligroso es una combinación relevante de un peligro a nivel del vehículo y una situación operativa del vehículo con potencial de provocar un accidente si no se controla mediante la acción oportuna del conductor.

Objetivo de seguridad

Un objetivo de seguridad es un requisito de seguridad de alto nivel que se asigna a un sistema, con el propósito de reducir el riesgo de uno o más eventos peligrosos a un nivel tolerable.

Nivel de integridad de seguridad automotriz

Un Nivel de Integridad de Seguridad Automotriz (ASIL) representa una clasificación basada en riesgos específicos de un automóvil de un objetivo de seguridad , así como las medidas de validación y confirmación requeridas por la norma para garantizar el logro de ese objetivo.

Requisito de seguridad

Los requisitos de seguridad incluyen todos los objetivos de seguridad y todos los niveles de requisitos descompuestos desde los objetivos de seguridad hasta el nivel más bajo de requisitos de seguridad técnicos y funcionales asignados a los componentes de hardware y software.

Partes 3-7: Ciclo de vida de seguridad

Los procesos dentro del ciclo de vida de seguridad ISO 26262 identifican y evalúan peligros (riesgos de seguridad), establecen requisitos de seguridad específicos para reducir esos riesgos a niveles aceptables y gestionan y rastrean esos requisitos de seguridad para producir una seguridad razonable de que se cumplen en el producto entregado. Estos procesos relevantes para la seguridad pueden considerarse integrados o ejecutados en paralelo con un ciclo de vida de requisitos gestionados de un sistema de gestión de calidad convencional : ^{[10] [11]}

1. Se identifica un elemento (un producto de sistema automotriz en particular) y se definen sus requisitos funcionales del sistema de nivel superior.
2. Se identifica un conjunto completo de eventos peligrosos para el artículo .
3. Se asigna un ASIL a cada evento peligroso .
4. Se determina una meta de seguridad para cada evento peligroso , heredando el ASIL del peligro.
5. Un concepto de seguridad funcional a nivel de vehículo define una arquitectura de sistema para garantizar los objetivos de seguridad .
6. Los objetivos de seguridad se refinan en requisitos de seguridad de nivel inferior .
   (En general, cada requisito de seguridad hereda el ASIL de su requisito/meta de seguridad principal. Sin embargo, sujeto a restricciones, el ASIL heredado puede reducirse mediante la descomposición de un requisito en requisitos redundantes implementados por componentes redundantes suficientemente independientes).
7. Los "requisitos de seguridad" se asignan a los componentes arquitectónicos (subsistemas, componentes de hardware, componentes de software)
   (en general, cada componente debe desarrollarse de conformidad con los estándares y procesos sugeridos/requeridos para el ASIL más alto de los requisitos de seguridad que se le asignan).
8. Luego, los componentes arquitectónicos se desarrollan y validan de acuerdo con los requisitos de seguridad (y funcionales) asignados.

Parte 8: Procesos de apoyo

ISO 26262 define objetivos para procesos integrales que respaldan los procesos del ciclo de vida de seguridad, pero que están continuamente activos en todas las fases, y también define consideraciones adicionales que respaldan el logro de los objetivos generales del proceso.

• Interfaces corporativas controladas para el flujo de objetivos, requisitos y controles a todos los proveedores en desarrollos distribuidos.
• Especificación explícita de los requisitos de seguridad y su gestión a lo largo del ciclo de vida de la seguridad.
• Control de configuración de productos de trabajo, con identificación formal única y reproducibilidad de las configuraciones que proporciona trazabilidad entre productos de trabajo dependientes e identificación de todos los cambios en la configuración.
• Gestión formal de cambios , incluida la gestión del impacto de los cambios en los requisitos de seguridad, con el fin de garantizar la eliminación de defectos detectados, así como para cambios de producto sin introducción de peligros.
• Planificación, control y presentación de informes de la verificación de los productos del trabajo, incluida la revisión, el análisis y las pruebas, con análisis de regresión de los defectos detectados hasta su origen.
• Identificación y gestión planificada de toda la documentación (productos de trabajo) producida a lo largo de todas las fases del ciclo de vida de seguridad para facilitar la gestión continua de la seguridad funcional y la evaluación de la seguridad.
• Confianza en las herramientas de software (calificación de las herramientas de software para el uso previsto y real)
• Calificación de componentes de software y hardware desarrollados previamente para su integración en el elemento ASIL actualmente desarrollado.
• Uso de evidencia del historial de servicio para argumentar que un artículo ha demostrado ser lo suficientemente seguro en uso para el ASIL previsto.

Parte 9: Análisis orientado a la seguridad y orientado al nivel de integridad de la seguridad automotriz (ASIL)

El nivel de integridad de la seguridad automotriz se refiere a una clasificación abstracta del riesgo de seguridad inherente en un sistema automotriz o elementos de dicho sistema. Las clasificaciones ASIL se utilizan dentro de ISO 26262 para expresar el nivel de reducción de riesgo requerido para prevenir un peligro específico, donde ASIL D representa el nivel de peligro más alto y ASIL A el más bajo. El ASIL evaluado para un peligro determinado se asigna luego al objetivo de seguridad establecido para abordar ese peligro y luego lo heredan los requisitos de seguridad derivados de ese objetivo. ^[12]

Descripción general de la evaluación ASIL

La determinación de ASIL es el resultado del análisis de peligros y la evaluación de riesgos . ^[13] En el contexto de la norma ISO 26262, un peligro se evalúa en función del impacto relativo de los efectos peligrosos relacionados con un sistema, ajustado a las probabilidades relativas de que el peligro manifieste esos efectos. Es decir, cada evento peligroso se evalúa en términos de la gravedad de las posibles lesiones dentro del contexto de la cantidad relativa de tiempo que un vehículo está expuesto a la posibilidad de que ocurra el peligro, así como la probabilidad relativa de que un conductor típico pueda actuar para prevenirlo. lesión. ^[14]

Proceso de evaluación ASIL

Al comienzo del ciclo de vida de seguridad , se realiza un análisis de peligros y una evaluación de riesgos, lo que da como resultado una evaluación de ASIL para todos los eventos peligrosos y objetivos de seguridad identificados.

Cada evento peligroso se clasifica según la gravedad (S) de las lesiones que se espera que cause:

Clasificaciones de gravedad (S):

S0 Sin lesiones

S1 Lesiones leves a moderadas

S2 Lesiones de graves a potencialmente mortales (probables supervivencia)

S3 Lesiones que ponen en peligro la vida (supervivencia incierta) o mortales

La gestión de riesgos reconoce que la consideración de la gravedad de una posible lesión se ve modificada por la probabilidad de que ocurra la lesión; es decir, para un peligro determinado, un evento peligroso se considera de menor riesgo si es menos probable que ocurra. Dentro del proceso de análisis de peligros y evaluación de riesgos de esta norma, la probabilidad de un peligro perjudicial se clasifica además de acuerdo con una combinación de

exposición (E) (la frecuencia relativa esperada de las condiciones operativas en las que es posible que ocurra la lesión) y

control (C) (la probabilidad relativa de que el conductor pueda actuar para prevenir la lesión).

Clasificaciones de exposición (E):

E0 Increíblemente improbable

E1 Probabilidad muy baja (la lesión sólo podría ocurrir en condiciones de funcionamiento excepcionales)

E2 Baja probabilidad

E3 Probabilidad media

E4 Alta probabilidad (podrían ocurrir lesiones en la mayoría de las condiciones de operación)

Clasificaciones de controlabilidad (C):

C0 Controlable en general

C1 Simplemente controlable

C2 Normalmente controlable (la mayoría de los conductores podrían actuar para evitar lesiones)

C3 Difícil de controlar o incontrolable

En términos de estas clasificaciones, un evento peligroso de Nivel D de Integridad de Seguridad Automotriz (abreviado ASIL D ) se define como un evento que tiene posibilidades razonables de causar una lesión mortal (supervivencia incierta) o potencialmente mortal, siendo la lesión físicamente posible en la mayoría de los casos operativos. condiciones, y con pocas posibilidades de que el conductor pueda hacer algo para evitar la lesión. Es decir, ASIL D es la combinación de las clasificaciones S3, E4 y C3. Por cada reducción en cualquiera de estas clasificaciones desde su valor máximo (excluyendo la reducción de C1 a C0), hay una reducción de un solo nivel en el ASIL de D. ^[15] [Por ejemplo, un peligro hipotético de lesión mortal (S3) incontrolable (C3) podría clasificarse como ASIL A si el peligro tiene una probabilidad muy baja (E1).] El nivel de ASIL por debajo de A es el nivel más bajo, QM . QM se refiere a la consideración del estándar de que por debajo de ASIL A ; no hay relevancia para la seguridad y solo se requieren procesos estándar de gestión de calidad. ^[13]

Estas definiciones de Severidad, Exposición y Control son informativas, no prescriptivas, y efectivamente dejan cierto margen para la variación subjetiva o discreción entre varios fabricantes de automóviles y proveedores de componentes. ^{[14] [16]} En respuesta, la Sociedad de Ingenieros de Seguridad Automotriz (SAE) ha emitido J2980 – Consideraciones para la clasificación de peligros ASIL ISO26262 para proporcionar una guía más explícita para evaluar la exposición, la gravedad y la controlabilidad de un peligro determinado. ^[17]

Ver también

• Nivel de integridad de seguridad automotriz , comparación con otros sistemas de niveles de seguridad
• ARP4754 (Directrices para el desarrollo de sistemas y aeronaves civiles)
• DO-178C (aeroespacial)
• IEC 61508 (Industrial/General, ISO 26262 es una adaptación ^[18] con diferencias menores ^[19] )
• ISO 60730 ^[20] (Hogar)

Referencias

1. ISO 26262-1:2018 (en) Vehículos de carretera. Seguridad funcional. Parte 1: Vocabulario. Organización Internacional de Normalización.
2. Informe técnico "Cumplimiento de software ISO 26262: lograr seguridad funcional en la industria automotriz" de Parasoft
3. ISO 26262-1:2018 (en) Vehículos de carretera. Seguridad funcional. Parte 10: Directrices sobre ISO 26262. Organización Internacional de Normalización.
4. Greb, Karl; Seely, Anthony (2009). Diseño de microcontroladores para operaciones críticas para la seguridad (diferencias clave de ISO 26262 con respecto a IEC 61508) (PDF) . ARMtechcon. Archivado desde el original (PDF) el 6 de septiembre de 2015.
5. Boercsoek, J.; Schwarz, M.; Ugljesa, E.; Holub, P.; Hayek, A. (2011). Concepto de controlador de alta disponibilidad para sistemas de dirección: el controlador de seguridad degradable (PDF) . Investigaciones Recientes en Circuitos, Sistemas, Comunicaciones y Computadoras. WSEAS. págs. 222-228 . Consultado el 17 de abril de 2016 .
6. ISO 26262-2:2011, "Gestión de la seguridad funcional" (Resumen)
7. Greb, Karl (2012). Seguridad Funcional e ISO 26262 (PDF) . Conferencia y exposición de electrónica de potencia aplicada, sesiones industriales. APEC. pag. 9.^{[ enlace muerto ]}
8. Blanquart, Jean-Paul; Astruc, Jean-Marc; Baufreton, Philippe; Boulanger, Jean-Louis; Delseny, Hervé; Gassino, Jean; Señora, Gerard; Ledinot, Emmanuel; Leeman, Michel; Macrouh, José; Quéré, Philippe; Ricque, Bertrand (2012). Categorías de criticidad en estándares de seguridad en diferentes dominios (PDF) . Congreso ERTS2. Software y sistemas integrados en tiempo real. págs. 3–4. Archivado desde el original (PDF) el 17 de abril de 2016.
9. ISO 26262-10:2012(E), "Directriz sobre ISO 26262", págs.
10. Min Koo Lee; Sung-Hoon Hong; Dong Chun Kim; Hyuck Moo Kwon (2012). «Incorporación del proceso de desarrollo ISO 26262 en DFSS» (PDF) . Actas de la Conferencia de Sistemas de Gestión e Ingeniería Industrial de Asia Pacífico : 1128 (Figura 2). Archivado desde el original (PDF) el 15 de septiembre de 2013 . Consultado el 1 de agosto de 2013 .
11. Jürgen Belz (28 de julio de 2011). El ciclo de vida de seguridad ISO 26262. Archivado desde el original el 23 de febrero de 2014.
12. Glosario, V2.5.0 (PDF) . AUTOSAR. pag. 19. Archivado desde el original (PDF) el 22 de febrero de 2014 . Consultado el 16 de febrero de 2014 .
13. ISO 26262-3:2011 (en) Vehículos de carretera. Seguridad funcional. Parte 3: Fase de concepto. Organización Internacional de Normalización.
14. Hobbs, Chris; Lee, Patricio (9 de julio de 2013). Comprensión de las ASIL ISO 26262. Tecnologías integradas. Grupo de electrónica Penton. {{cite book}}: |magazine=ignorado ( ayuda )
15. Martínez LH, Khursheed S, Reddy SM. Generación LFSR para una alta cobertura de pruebas y una baja sobrecarga de hardware. Computadoras IET y técnicas digitales. 21 de agosto de 2019. Repositorio UoL
16. Van Eikema Hommes, Dr. Qi (2012). Evaluación de la Norma ISO 26262, "Vehículos de carretera - Seguridad funcional" (PDF) . SAE 2012 Reunión Gobierno/Industria. Centro del Sistema Nacional de Transporte John A. Volpe: SAE. pag. 9.
17. J2980: Consideraciones para la clasificación de peligros ASIL ISO 26262. SAE Internacional. Archivado desde el original el 26 de octubre de 2018.
18. "Relación entre ISO 26262 e IEC 61508". ez.analog.com . Consultado el 11 de abril de 2021 .
19. "Seguridad funcional automotriz versus industrial". ez.analog.com . Consultado el 11 de abril de 2021 .
20. "IEC 60730-1:2013+AMD1:2015+AMD2:2020 CSV | Tienda web IEC". tienda web.iec.ch. Consultado el 11 de abril de 2021 .

enlaces externos

• ISO 26262-1:2011(en) (Vehículos de carretera. Seguridad funcional. Parte 1: Vocabulario) en ISO Online Browsing Platform (OBP)
• ISO 26262-1:2018(en) (Vehículos de carretera. Seguridad funcional. Parte 1: Vocabulario) en ISO Online Browsing Platform (OBP)