Firmy działające w branży motoryzacyjnej tworzą coraz nowsze i bardziej zaawansowane systemy i układy jak np. automatyczne włączanie świateł samochodowych, inteligentne układy wspomagania jazdy, czy multimedialne systemy
infotainment. Wszystko po to, aby zwiększyć bezpieczeństwo, przyjemność oraz komfort prowadzenia pojazdu. Jednak awaria jednego z tych elementów może doprowadzić do wielu groźnych sytuacji, a przez to narazić na niebezpieczeństwo zarówno osoby znajdujące się wewnątrz pojazdu, jak i poza nim.
Odpowiedzią na te wyzwania, a zarazem nowym standardem funkcjonalnym dla przemysłu motoryzacyjnego stała się norma
ISO 26262 - oparta na IEC 61508. Obecnie większość producentów samochodów oczekuje od swoich dostawców stosowania procesów zgodnych z normą ISO 26262 i dostarczania komponentów spełniających jej wymagania.
Wyzwanie: bezpieczeństwo funkcjonalne
W ciągu ostatnich dwudziestu lat znacząco wzrósł stopień złożoności stosowanych w samochodach układów elektrycznych i elektronicznych. Produkowane w latach 80-tych dwudziestego wieku pojazdy wyposażone były w zaledwie kilka elektronicznych modułów sterujących najważniejszymi układami, takimi jak: układ spalania, układ kierowniczy i jego wspomaganie, kontrola trakcji itp. Nowoczesne auta posiadają znacznie więcej elektroniki: system hamowania awaryjnego, system wykrywania obiektów w tzw. „martwym polu”, adaptacyjne pneumatyczne zawieszenie, systemy multimedialne i wiele innych elementów, które sprawiają, że podróż jest nie tylko bezpieczniejsza, ale i przyjemniejsza. Istotną rolę odgrywają nie tylko same urządzenia kontroli i dostosowania funkcjonalności pojazdu, lecz także ich oprogramowanie. Co więcej, systemy te komunikują się ze sobą wymieniając dane zebrane z czujników, informują się o aktualnym stanie roboczym oraz przekazują polecenia do innych układów.
Tak złożona struktura jest podatna na awarie wywoływane przez różnego rodzaju uszkodzenia lub wady urządzeń i oprogramowania. Każda tego typu nieprawidłowość może stanowić poważne zagrożenie. Przykładowo: podczas jazdy autem, na skutek błędnego sygnału z czujnika może dojść do niespodziewanej aktywacji poduszki powietrznej; lub podczas jazdy nocą wąską, krętą drogą z powodu defektu oprogramowania, mogą niespodziewanie zgasnąć przednie światła samochodu. Tego typu sytuacje zagrażają życiu i bezpieczeństwu zarówno osób znajdujących się wewnątrz, jak i poza pojazdem.
Kierując się względami bezpieczeństwa i ochrony życia producenci samochodów dążą do wyeliminowania wszelkich tego typu przypadków. Ich decyzje są często motywowane także względami ekonomicznymi tj. koniecznością wymiany niesprawnych podzespołów czy aktualizacji wadliwego oprogramowania w ramach akcji serwisowych. Jednak, bez względu na motywy, bezpieczeństwo powinno być wpisane w funkcjonowanie pojazdu już od samego początku, czyli od pierwszego dnia jego eksploatacji.
Norma ISO 26262 odpowiada na powyższe problemy, obejmując swym zakresem proces projektowania, rozwoju i produkcji wyrobu. Procesy zaprojektowane i zrealizowane zgodnie z wymaganiami ISO 26262 eliminują niepożądane ryzyko i zagrożenia poprzez ukierunkowanie na
funkcjonalne bezpieczeństwo produktu. Współpraca z takimi markami, jak Volvo, VW, Toyota, Tesla, Ford, BMW, Mercedes czy Fiat jest dziś prawie niemożliwa bez Systemu Zarządzania Bezpieczeństwem Funkcjonalnym zgodnego z ISO 26262. Coraz więcej dostawców z Europy, Stanów Zjednoczonych i Azji dąży do uzyskania certyfikacji swoich systemów według normy dotyczącej bezpieczeństwa funkcjonalnego.
Rozwiązanie: ISO 26262
Przedmiotem normy ISO 26262 jest bezpieczeństwo funkcjonalne. Jego osiągnięciu służy minimalizowanie wszystkich nieakceptowanych ryzyk i zagrożeń, poprzez zastosowanie w całym cyklu życia produktu podejścia opartego na ryzyku: od etapu prac koncepcyjnych, przez projektowanie i rozwój, po produkcję i eksploatację.
Główna koncepcja polega na tym, by awaria któregokolwiek z komponentów nie powodowała zagrożenia dla osób znajdujących się wewnątrz lub na zewnątrz pojazdu. Kierowca musi mieć możliwość utrzymania kontroli nad sytuacją. Punktem wyjścia jest identyfikacja ryzyka, natomiast środki jakie zostaną następnie zastosowane i działania jakie będą podjęte zależą od klasyfikacji poziomu nienaruszalności bezpieczeństwa ASIL (
Automotive Safety Integrity Level) danego komponentu.
Podzespoły z klasą bezpieczeństwa ASIL A mają najmniejszy wpływ na zdrowie człowieka. W związku z tym wymagają one minimalnego zaangażowania środków ograniczania ryzyka. Taka sytuacja doyczy np. samochodowego odbiornika radiowego – wpływ jego uszkodzenia na bezpieczeństwo jest zerowy lub marginalny, a kierowca z łatwością jest w stanie zapanować nad sytuacją. Awaria elementów istotniejszych z punktu widzenia bezpieczeństwa (np. układu wspomagania hamowania ABS/ASR/BA) może spowodować zagrożenie zdrowia, a nawet życia. Komponenty o tak krytycznym znaczeniu muszą spełniać wymagania najwyższej klasyfikacji poziomu bezpieczeństwa – ASIL D – co wiąże się z koniecznością szeroko zakrojonego ograniczenia ryzyka, tak aby potencjalna awaria układu nie stała się przyczyną urazów kierowcy, pasażerów, czy pozostałych uczestników ruchu.
Norma ISO 26262 może być stosowana w odniesieniu zarówno do komponentów sprzętowych, oprogramowania bez dedykowanego sprzętu, jak również do produktów łączonych, czyli urządzeń wraz z ich oprogramowaniem.
ISO 26262 w praktyce
Norma ta składa się 10 dokumentów, z czego 8 określa wymagania dotyczące obszaru zarządzania, fazy koncepcyjnej, rozwoju produktu, produkcji, eksploatacji i wsparcia. W zależności od zakresu prac poddostawcy, mogą one zostać zdefiniowane jako procesy dostarczające kompletne podzespoły (np. światła przednie) lub ich pojedyncze komponenty, np. niewielkie elementy urządzeń bądź oprogramowania, czy też kombinacja obydwu (np. moduł oprogramowania odpowiedzialny za wykrywanie zajęcia fotela).
Wdrożenie procesów bezpieczeństwa funkcjonalnego zgodnych z ISO 26262 można pogodzić z systemami zarządzania już istniejącymi w organizacji. System zarządzania bezpieczeństwem funkcjonalnym może być częścią systemu zarządzania jakością (ISO 9001, ISO/TS 16949 lub innego) oraz wpisywać się w stosowane metodologie badań i rozwoju (
Waterfall lub Agile). Ponadto, jest on kompatybilny z modelami dojrzałości SPICE lub CMMI i częściowo się z nimi pokrywa. Co ważne, w firmie o wysokim poziomie dojrzałości procesowej, właściwie zaprojektowane i wdrożone procesy ISO 26262 nie generują dodatkowych znaczących kosztów.
Zaprojektowanie i wdrożenie systemu zarządzania bezpieczeństwem funkcjonalnym (
FSMS - Functional Safety Management System) nie różni się istotnie od wdrażania innych systemów zarządzania procesami – np. od systemu zarządzania jakością zgodnego z ISO 9001. Należy wspomnieć o tym, że ISO 26262 wymaga przeanalizowania niezawodności i wiarygodności narzędzi programowych wykorzystywanych w cyklu życia bezpieczeństwa wyrobu. Dzięki temu zyskuje się pewność, że stosowane oprogramowanie wspierające proces produkcji komponentu nie wprowadzi dodatkowych błędów do produktu.
Przykład: należy sprawdzić, czy kompilator zawsze dostarcza właściwy kod maszynowy oraz czy nie wprowadza żadnych niezamierzonych (dodatkowych) funkcjonalności do programu. Rynek oferuje szereg narzędzi programowych certyfikowanych według normy ISO 26262, dla wszystkich poziomów ASIL – od A do D.
Systemy zarządzania bezpieczeństwem funkcjonalnym są zazwyczaj analizowane i certyfikowane pod kątem zgodności z wymaganiami ISO 26262. Proces certyfikacji przebiega podobnie do audytów przeprowadzanych w odniesieniu do innych norm. Wybór obszarów procesowych poddawanych badaniu i certyfikacji zależy od zakresu prac, koniecznych do wyprodukowania komponentu. W ramach tzw.
analizy luk (
gap analysis) sprawdzane są procesy techniczne, zarządcze i pomocnicze oraz sposób ich wdrożenia. W jej wyniku identyfikowane są elementy systemu zarządzania bezpieczeństwem funkcjonalnym organizacji, a także jej funkcjonowania, które wymagają korekty. Sam komponent może uzyskać certyfikat bezpieczeństwa funkcjonalnego ISO 26262 – norma określa działania weryfikacyjne, jakie należy podjąć w celu ustalenia, czy wyrób spełnia cele i wymagania bezpieczeństwa. Badanie końcowe może przeprowadzić podmiot zewnętrzny, który w stosownym oświadczeniu potwierdzi – podobnie jak w przypadku systemu zarządzania bezpieczeństwem funkcjonalnym – że wyrób spełnia wymagane poziomy bezpieczeństwa. Wydany certyfikat będzie dowodem na to, że wyrób nie stanie się źródłem zagrożenia.
Bezpieczeństwo przede wszystkim
Dziesiątki układów elektrycznych i elektronicznych w nowoczesnym samochodzie, częściowa i całkowita autonomia pojazdów, rozwiązania typu V2X (
Vehicle to Everything - systemy wymiany informacji między pojazdami oraz pojazdami i infrastrukturą drogową) – wszystko to sprawia, że współczesne samochody są bardziej podatne na awarie, a producenci pojazdów nie ustają w dążeniu do poprawy bezpieczeństwa, które stało się ich bezwzględnym priorytetem. Poddostawcy branży motoryzacyjnej z całego świata, albo już produkują wyroby zgodne z wymaganiami ISO 26262, albo są w trakcie dostosowywania swoich procesów do oczekiwań producentów samochodów. Bezpieczeństwo przestało być luksusem. Stało się koniecznością.
Jeśli zainteresował Cię ten artykuł lub masz inne pytania związane z certyfikacją w branży motoryzacyjnej
skontaktuj się z nami lub
zapytaj o bezpłatną ofertę certyfikacji.