L'ISO 26262, qu'est-ce que c'est ?

L'ISO 26262, « Véhicules routiers – sécurité fonctionnelle », est une norme de sécurité internationale créée par l'Organisation internationale de normalisation (ISO), qui fournit des lignes directrices pour la conception et le développement sûrs de systèmes électriques et/ou électroniques (E/E) dans les véhicules routiers. Publiée dans une première version en 2011, elle a été révisée en 2018.

L'ISO 26262 n'est pas un règlement officiel. Elle établit plutôt des lignes directrices de pointe propres à l'industrie et portant sur la sécurité que les équipementiers (OEM) et leurs fournisseurs peuvent suivre en toute confiance lorsqu'ils développent des systèmes électriques et électroniques pour véhicules.

Dans son ensemble, la norme favorise la confiance entre les principaux intervenants de l'industrie automobile et les consommateurs. Elle découle de la norme CEI 61508 développée par la Commission électrotechnique internationale.

L'électronique des véhicules a beaucoup progressé. Après les premiers autoradios transistors des années 1950, nous avons vu se développer les systèmes d'allumage électroniques dans les années 1960, les unités de commande du moteur dans les années 1970, les systèmes antiblocage des roues dans les années 1980, les systèmes d'infodivertissement dans les années 1990 et les systèmes avancés d'aide à la conduite dans les années 2000.

Les coûts de l'électronique automobile en pourcentage du coût total des véhicules sont passés de 5 % en 1970 à 35 % en 2010, un chiffre qui devrait atteindre 50 % en 2030. À l'heure actuelle, les véhicules modernes recèlent pas moins de 3000 puces à semi-conducteurs. Cette mutation reflète la migration générale des fonctionnalités système de la mécanique vers la mécatronique, justifiée par des améliorations en termes de performances et de coûts.

Par exemple, l'utilisation de la mécatronique dans les commandes du moteur, qui effectuent des calculs à la volée pour en optimiser les performances, a montré aux constructeurs automobiles ce qu'il était possible de faire avec la technologie numérique.

De fait, les capteurs numériques peuvent surveiller divers paramètres tels que la position du papillon des gaz, la position du vilebrequin, le débit d'air massique, la température et la concentration d'oxygène dans les gaz d'échappement pour améliorer sensiblement la consommation de carburant des véhicules.

Cela met en évidence les améliorations significatives des fonctionnalités des véhicules qu'il est possible d'obtenir avec les systèmes E/E, inatteignables avec les seuls systèmes mécaniques. Dans les véhicules modernes, les systèmes mécatroniques desservent toute une gamme de fonctionnalités, notamment :

• La direction assistée
• Les systèmes avancés d'aide à la conduite (ADAS)
• Le système antiblocage des roues 
• Les transmissions automatiques (incorporant des puces de contrôleur, des capteurs de vitesse et des commutateurs de puissance à semi-conducteurs qui animent des fonctionnalités sophistiquées telles que le changement de vitesse en fonction du terrain)

Par conséquent, pour minimiser les risques liés aux dangers des systèmes E/E, l'Organisation internationale de normalisation a formalisé une série complète d'objectifs et d'exigences de sécurité fonctionnelle, adaptés de la norme de sécurité fonctionnelle CEI 61508 pour les systèmes électriques/électroniques automobiles, afin de répondre aux spécificités propres au secteur automobile.

Exigences de sécurité fonctionnelle

Les exigences de sécurité de l'ISO 26262 couvrent l'ensemble du cycle de vie d'un véhicule, y compris les activités liées au développement, à la production, à l'exploitation, à l'entretien et au démantèlement.

La première édition de la norme ISO 26262 a été publiée en 2011 (ISO 26262:2011), traitant de la sécurité fonctionnelle des systèmes E/E installés dans les « voitures particulières produites en série » d'un poids total en charge maximal de 3500 kg. L'édition révisée a été publiée en 2018 (ISO 26262:2018) pour couvrir tous les véhicules routiers, à l'exception des cyclomoteurs.

À l'instar de la norme CEI 61508, l'ISO 26262 est une norme basée sur les risques, qui fournit une évaluation qualitative des dangers résultant des défaillances des systèmes E/E.

Les objectifs de la norme ISO 26262 sont les suivants :

• Sécurité fonctionnelle : L'ISO 26262 décrit les aspects de sécurité fonctionnelle applicables tout au long du processus de développement, y compris la spécification des exigences, la conception, la mise en œuvre, l'intégration, la vérification, la validation et la configuration. La norme vise à détecter les situations de défaut et à définir comment y réagir, protégeant ainsi les usagers de la route contre les blessures causées par des défauts de l'électronique et des logiciels du véhicule.
• Cycle de vie de la sécurité automobile : L'ISO 26262 fournit un cadre complet qui couvre l'ensemble du cycle de vie de la sécurité automobile, y compris les activités liées à la gestion, au développement, à la production, à l'exploitation, à l'entretien et au démantèlement. Elle traite des activités d'adaptation au cours de ces phases permettant de garantir la sécurité tout au long du cycle de vie du véhicule.
• Gestion du risque : L'ISO 26262 limite les risques associés à la conception et au développement des systèmes automobiles E/E pour prévenir les dangers et les défaillances potentiellement mortelles. Elle vise à atteindre un niveau acceptable de risque résiduel, en veillant à ce que les systèmes soient aussi sûrs que possible. La norme utilise une approche fondée sur le risque en déterminant des classes de risque connues sous le nom de Niveaux d'intégrité de la sécurité automobile (Automotive Safety Integrity Levels, ou ASIL), qui aident à préciser les exigences de sécurité pour atteindre un niveau acceptable de risque résiduel.
• Validation et confirmation : La norme prévoit des exigences pour les mesures de validation et de confirmation afin de s'assurer qu'un niveau de sécurité suffisant et acceptable est atteint. Elle souligne l'importance de tester et de valider les mécanismes de sécurité tant au niveau du système que du véhicule.

L'intégration des disciplines mécanique, électrique, électronique et logicielle augmente les risques de défaillance des systèmes dans les véhicules. C'est pourquoi la norme ISO 26262 fournit des directives complètes sur les exigences et les processus du système pour atténuer ces risques. 

La norme :

• Décrit un cycle de vie complet de la sécurité qui comprend des contrôles de sécurité à plusieurs étapes, de la conception au démantèlement
• Se concentre sur la sécurité fonctionnelle des systèmes électriques et électroniques (E/E) tout en abordant leur intégration avec d'autres systèmes du véhicule pour assurer la sécurité globale de celui-ci
• Souligne que la réalisation de la sécurité fonctionnelle nécessite à la fois des activités de développement fonctionnel (telles que la spécification, la conception et la mise en œuvre des exigences) et des activités axées sur la qualité (telles que des mesures de vérification, de validation et de confirmation)

Vous trouverez ci-après les 12 sections qui composent la norme ISO 26262 :

Partie 1 : Vocabulaire

La partie 1 décrit les termes, les définitions et les abréviations appliqués dans l'ensemble de la norme — en portant une attention particulière aux définitions de « défaut », « erreur » et « défaillance ».

Partie 2 : Gestion de la sécurité fonctionnelle

La partie 2 décrit les exigences organisationnelles à respecter par les personnes chargées des activités liées à la sécurité. 

Partie 3 : Phase conceptuelle

La partie 3 décrit comment l'analyse des dangers et l'évaluation des risques (HARA) doivent être effectuées au cours des premières phases du développement du produit pour chaque item (système ou sous-système) intégré. Elle décrit également comment les dangers identifiés peuvent être traités par une architecture fonctionnelle.  

Partie 4 : Développement de produits au niveau du système

La partie 4 couvre la conception architecturale technique, l'intégration des items et les tests au niveau du système. Au cours de cette étape du développement, les ingénieurs effectuent fréquemment une analyse sous forme d'un arbre des défaillances (FTA) et une analyse des modes de défaillance et de leurs effets (AMDE).

Partie 5 : Développement de produits au niveau matériel

La partie 5 traite de la conception, de l'intégration et de la vérification du matériel, y compris l'évaluation des métriques du matériel.

Partie 6 : Développement de produits au niveau logiciel

La partie 6 traite de la conception architecturale et des unités, de la mise en œuvre, de l'intégration et de la vérification des logiciels. 

Partie 7 : Production, exploitation, entretien et démantèlement

La partie 7 décrit le processus de production des systèmes et items liés à la sécurité. Elle comprend également des détails sur l'exploitation, l'entretien et la mise hors service de ces items.

Partie 8 : Processus de support

La partie 8 décrit la mise en œuvre des processus de support tout au long du cycle de vie de la sécurité. Elle décrit, par exemple, les exigences concernant la gestion des modifications, la gestion de la documentation, l'évaluation des outils et la qualification.

Partie 9 : Analyses ASIL (niveaux d'intégrité de la sécurité automobile) et axées sur la sécurité

La partie 9 spécifie les exigences pour la décomposition ASIL et pour les analyses de sécurité (y compris l'analyse des défaillances dépendantes et les critères de coexistence des éléments).

Partie 10 : Lignes directrices sur la norme ISO 26262

La partie 10 fournit des explications supplémentaires sur diverses parties de l'ISO 26262.

Partie 11 : Lignes directrices sur l'application de la norme aux semi-conducteurs

La partie 11 traite du développement, de la production et du fonctionnement des composants semi-conducteurs. Elle décrit différentes technologies de semi-conducteurs et des cas d'utilisation et fournit des conseils sur la façon dont certaines activités du cycle de vie de la sûreté peuvent être effectuées.

Partie 12 : Adaptation de la norme ISO 26262 aux motos

Comme le titre de la section l'indique, la partie 12 décrit l'adaptation de la norme ISO 26262 pour les motos.

Bien que la loi ne la rende pas obligatoire, l'ISO 26262 est une norme de sécurité essentielle qui fournit une assurance quant à l'intégration des systèmes électriques et électroniques dans les véhicules (tout au long de leur cycle de vie).

Elle introduit en outre une méthodologie fiable pour évaluer les risques par le biais des ASIL. Ainsi, l'ISO 26262 est une norme complète traitant du cycle de vie complet des automobiles, pour divers types et technologies de véhicules.

Il s'agit d'une norme fiable sur la sécurité fonctionnelle des véhicules, qui :

• Améliore les flux de conception : L'ISO 26262 aborde les complexités liées aux intégrations des matériels et logiciels dans les systèmes automobiles, fournissant des conseils pour le développement de ces matériels et logiciels.
• Améliore la sécurité des véhicules : L'ISO 26262 couvre l'ensemble du cycle de vie de la sécurité des systèmes électroniques et électriques automobiles, constituant une référence unifiée pour les fabricants, leurs fournisseurs et les agences (telles que l'agence étasunienne chargée de la sécurité routière, la National Highway Traffic Safety Administration) afin de garantir des procédures robustes de développement, de production et de tests appliquées à la gestion de la sécurité.
• Améliore la confiance : En adhérant à un ensemble de normes reconnues, les fabricants, les fournisseurs, les consommateurs et les autres intervenants de l'industrie automobile peuvent avoir confiance dans la sécurité des véhicules et de leurs pièces.

Nous présentons ci-après un aperçu de haut niveau du processus de conception et de vérification de l'ISO 26262 :

1. Répertorier les items : Le terme « item » a une signification particulière dans la norme ISO 26262, décrivant un système (ou une combinaison de systèmes) qui remplit une fonction (ou une partie d'une fonction) au niveau du véhicule. Il s'agit donc de l'objet identifié au plus haut niveau dans un processus, par exemple, le système antiblocage des roues (ABS).
2. Décrire les fonctionnalités de haut niveau : Décrire les exigences fonctionnelles de chaque item (y compris les sous-systèmes).
3. Identifier les dangers possibles : Effectuer une analyse des dangers et une évaluation des risques (HARA) pour chaque item, en référençant un ensemble d'événements dangereux prédéfinis, par exemple, un dérapage résultant d'une défaillance de l'ABS.
4. Attribuer des ASIL : Les niveaux d'intégrité de la sécurité automobile, qui vont de A (le moins grave) à D (le plus grave, menaçant la vie), sont fondés sur trois facteurs, à savoir la probabilité d'exposition, la contrôlabilité et la gravité des risques.
5. Identifier les objectifs de sécurité : Les objectifs de sécurité découlent des événements dangereux identifiés à la phase HARA comme exigences de sécurité de haut niveau au niveau du véhicule. Chaque objectif de sécurité comporte une cote ASIL et peut être relié à un ou plusieurs dangers.
6. Spécifier les exigences de sécurité fonctionnelle : Il s'agit d'effectuer une analyse de sécurité telle que l'analyse sous forme d'un arbre des défaillances (FTA) pour identifier les causes profondes des événements dangereux qui pourraient conduire à la violation d'un objectif de sécurité ; cette analyse aide à établir un concept de sécurité fonctionnelle (FSC). Ce dernier vise à préciser les mesures de sécurité requises pour traiter les effets des défauts concernés et à attribuer des exigences de sécurité fonctionnelle à la conception architecturale du système ou à des mesures externes.
7. Spécifier les exigences techniques de sécurité : Établir le concept de sécurité technique (TSC), qui spécifie les exigences de sécurité technique et permet de concevoir des architectures de système qui satisfont aux exigences de sécurité fonctionnelle mentionnées ci-dessus. Des exigences techniques de sécurité sont attribuées aux éléments du système.   
8. Concevoir le produit : Lors de la conception du produit, les ingénieurs développent des produits conformes aux exigences techniques de sécurité décrites ci-dessus.
9. Vérifier et valider : La vérification permet aux ingénieurs en sécurité de vérifier les conceptions de produits par rapport aux exigences de sécurité, tandis que la validation permet de les tester dans des scénarios réels.

Comme indiqué dans la partie 8 de la norme, les processus de support (production, exploitation, gestion des modifications et gestion de la qualité) tout au long du cycle de vie du développement jouent un rôle essentiel dans le respect des exigences de conformité.

Pour assurer la conformité, les fabricants et leurs fournisseurs doivent vérifier leurs produits et leurs processus conformément aux directives de sécurité fonctionnelle fournies dans la norme ISO 26262, en suivant des procédures appelées « mesures de confirmation ». Ces mesures sont regroupées en trois catégories :

• Revue de confirmation : évaluation visant à déterminer si le produit du travail particulier atteint les objectifs et les exigences de la norme ISO 26262
• Audit de sécurité fonctionnelle : évaluation de la conformité des processus mis en œuvre aux objectifs et exigences de la norme ISO 26262
• Évaluation de la sécurité fonctionnelle : évaluation de la réalisation des objectifs et exigences de la norme ISO 26262. Une évaluation de la sécurité fonctionnelle doit prendre en considération les résultats des revues de confirmation et de l'audit de sécurité fonctionnelle.

La norme ISO 26262 a été introduite en réponse à la complexité croissante des systèmes électriques et/ou électroniques dans les véhicules routiers. En conséquence, la complexité de la conception d'items conformes a également augmenté.

Dans ce contexte, les ingénieurs automobiles doivent relever les défis suivants :

• Conformité avec toutes les parties de la norme ISO 26262, compte tenu des objectifs et exigences étendus exposés dans chacune d'elles
• Complexité croissante des systèmes à développer (architectures de véhicules définies par logiciel, systèmes de conduite hautement automatisés, systèmes d'infodivertissement, etc.) 
• Développement de plates-formes génériques par des OEM et fournisseurs concevant des puces pour des OEM tiers sans connaître les exigences de sécurité entourant leur utilisation finale prévue. Dans ce cas, les concepteurs doivent faire des hypothèses, en veillant à en fournir une documentation complète
• Nécessité de contrôler des données de conception étendues, des dépendances, de la propriété intellectuelle et de la documentation
• Capacité à suivre la propriété intellectuelle de chaque outil, système ou élément utilisé dans le processus de développement. Cela implique que les ingénieurs doivent méticuleusement évaluer, documenter et vérifier les offres de propriété intellectuelle de chaque fournisseur.

À la lumière des défis décrits ci-dessus, il devient évident que la conformité à la norme ISO 26262 est une tâche presque irréalisable sans l'aide d'outils logiciels spécialisés.

Compte tenu du coût des rappels de véhicules, la plupart des OEM de la chaîne d'approvisionnement automobile exigent une preuve de conformité à la norme ISO 26262.

Alors que jusqu'à présent, les projets de développement réussis reposaient généralement sur un patchwork d'outils dédiés, le logiciel Ansys medini® analyze™ est un outil complet basé sur des modèles dédié à l'analyse de la sécurité des systèmes électriques et électroniques des véhicules routiers, regroupés dans un package pratique.

Ansys medini analyze garantit la transparence dans la conception de la sécurité automobile, favorisant la confiance et la collaboration entre les principales parties prenantes du secteur. Il assure les fonctions suivantes :

• Analyse de sécurité basée sur des modèles
• Modélisation SysML (Systems Modeling Language) avec propriétés de sécurité
• Analyse de la sécurité fonctionnelle
• Analyses de sécurité clés utilisant des méthodes telles que l'analyse des modes de défaillance, de leurs effets et du diagnostic (AMDEC), l'HARA, les études HAZOP (analyse des risques et de l'opérabilité), l'analyse des modes de défaillance et de leurs effets (AMDE), la FTA, la norme « SOTIF (Sécurité de la fonctionnalité prévue ) », etc.
• Analyse de la sécurité au niveau du système, du logiciel et du matériel
• Intégration avec les outils de gestion des exigences
• Traçabilité de bout en bout, flux de travail, etc.

En outre, en plus du logiciel Ansys medini analyze, la suite de produits Ansys SCADE® offre un environnement basé sur des modèles pour le développement de logiciels :

• Éditeur de conception basé sur des modèles 
• Génération automatique de code sûr et sécurisé
• Capacités de test
• Mesure de couverture des tests jusqu'au MC/DC (couverture de condition/décision modifiée)
• Conformité à AUTOSAR

Si vous souhaitez rationaliser votre processus ISO 26262, inscrivez-vous pour obtenir une version d'essai du logiciel Ansys medini analyze.

Si vous souhaitez réduire vos coûts de conception et de vérification de logiciels jusqu'à 50 %, inscrivez-vous pour obtenir un essai gratuit du logiciel Ansys SCADE.

Ressources connexes