Che cos'è la norma ISO 26262?

ISO 26262, "Veicoli stradali - Sicurezza funzionale", è uno standard di sicurezza internazionale creato dall'International Standards Organization (ISO), che fornisce linee guida per la progettazione e lo sviluppo sicuri di sistemi elettrici e/o elettronici (E/E) nei veicoli stradali. Per la prima volta formalizzato nel 2011, questo standard è stato successivamente rivisto e aggiornato nel 2018.

ISO26262 non è una norma formale. Stabilisce invece linee guida di sicurezza all'avanguardia specifiche del settore che i produttori di apparecchiature originali (OEM, Original Equipment Manufacturer) e i loro fornitori possono seguire con sicurezza nello sviluppo di sistemi elettrici ed elettronici nei veicoli.

Nel complesso, lo standard promuove la fiducia tra le principali parti interessate nel settore automobilistico e i consumatori. Deriva dallo standard IEC 61508 sviluppato dalla Commissione elettrotecnica internazionale (IEC, International Electrotechnical Commission).

L'elettronica dei veicoli ha compiuto enormi progressi nel corso degli anni. Dalle prime autoradio a transistor degli anni '50, abbiamo assistito allo sviluppo di sistemi ad accensione elettronica negli anni '60, unità di controllo motore negli anni '70, sistemi frenanti anti-bloccaggio negli anni '80, sistemi di infotainment negli anni '90 e sistemi avanzati di assistenza alla guida negli anni 2000.

I costi dell'elettronica dei veicoli, come percentuale del costo totale del veicolo, sono aumentati dal 5% nel 1970 al 35% nel 2010, un dato che si prevede raggiungerà il 50% entro il 2030. Attualmente, nei veicoli moderni sono presenti fino a 3.000 chip di semiconduttori. Ciò riflette una migrazione generale delle funzionalità del sistema, dai sistemi meccanici a quelli meccatronici, giustificata da miglioramenti in termini di prestazioni e costi.

Ad esempio, l'utilizzo del sistema meccatronico nei controlli del motore, che esegue calcoli al volo per ottimizzare le prestazioni del motore, ha mostrato ai produttori di veicoli cosa era possibile con la tecnologia digitale.

Infatti, i sensori digitali possono monitorare vari parametri quali la posizione dell'acceleratore, la posizione dell'albero motore, la massa del flusso d'aria, la temperatura e la concentrazione di ossigeno negli scarichi per migliorare notevolmente il consumo di carburante nei veicoli.

Ciò sottolinea i miglioramenti significativi delle funzionalità dei veicoli ottenibili con i sistemi E/E, che sarebbe impossibile ottenere solo con i sistemi meccanici. Nei veicoli moderni, i sistemi meccatronici potenziano una serie di funzionalità, tra cui:

• Sistema servosterzo
• Sistemi avanzati di assistenza alla guida (ADAS, Advanced Driver Assistance Systems)
• Sistema frenante anti-bloccaggio 
• Trasmissioni automatiche (che integrano chip di controller, sensori di velocità e interruttori di alimentazione a semiconduttore per abilitare funzionalità sofisticate come il cambio marcia in base al terreno)

Pertanto, al fine di ridurre al minimo i rischi dei pericoli del sistema E/E, l'International Standards Organization ha formalizzato una serie completa di obiettivi e requisiti di sicurezza funzionale, adattati dallo standard di sicurezza funzionale IEC 61508 per i sistemi elettrici/elettronici automobilistici, per soddisfare le specificità esclusive del settore automobilistico.

Requisiti di sicurezza funzionale

I requisiti di sicurezza della norma ISO 26262 coprono l'intero ciclo di vita di un veicolo, incluse le attività correlate allo sviluppo, alla produzione, al funzionamento, all'assistenza e allo smantellamento.

La prima edizione della norma ISO 26262 è stata pubblicata nel 2011 (ISO 26262:2011) e riguardava la sicurezza funzionale dei sistemi E/E installati in "autovetture di produzione in serie" con un peso lordo massimo di 3.500 kg. L'edizione rivista è stata pubblicata nel 2018 (ISO 26262:2018) per ampliare la copertura a tutti i veicoli stradali, ad eccezione dei ciclomotori.

Come lo standard IEC 61508, la norma ISO 26262 è uno standard basato sul rischio, che fornisce una valutazione qualitativa dei pericoli derivanti da guasti dei sistemi E/E.

Gli obiettivi della norma ISO 26262 sono:

• Sicurezza funzionale: La norma ISO 26262 delinea gli aspetti di sicurezza funzionale applicabili a tutto il processo di sviluppo, tra cui specifiche dei requisiti, progettazione, implementazione, integrazione, verifica, convalida e configurazione. Lo standard ha lo scopo di rilevare le situazioni di guasto e di definire come reagire a tali situazioni, al fine di proteggere gli utenti delle strade da lesioni causate da guasti nell'elettronica e nel software del veicolo.
• Ciclo di vita per la sicurezza automobilistica: La norma ISO 26262 fornisce un quadro completo che copre l'intero ciclo di vita della sicurezza automobilistica, compresa la gestione, lo sviluppo, la produzione, il funzionamento, il servizio e lo smantellamento. Supporta attività di personalizzazione durante queste fasi per garantire il mantenimento della sicurezza per tutto il ciclo di vita del veicolo.
• Gestione del rischio: La norma ISO 26262 riduce al minimo i rischi associati alla progettazione e allo sviluppo di sistemi E/E per il settore automobilistico per prevenire pericoli e guasti potenzialmente letali. Cerca di raggiungere un livello accettabile di rischio residuo, garantendo che i sistemi siano il più sicuri possibile. Lo standard adotta un approccio basato sul rischio, determinando le classi di rischio note come ASIL (Automotive Safety Integrity Level, Livello di integrità della sicurezza automobilistica) che aiutano a specificare i requisiti di sicurezza per raggiungere un livello accettabile di rischio residuo.
• Convalida e conferma: Lo standard stabilisce i requisiti necessari per misure di convalida e conferma, al fine di assicurare che sia stato raggiunto un livello di sicurezza sufficiente e accettabile. Sottolinea l'importanza di testare e convalidare i meccanismi di sicurezza sia a livello di sistema che di veicolo.

L'integrazione di discipline meccaniche, elettriche, elettroniche e software aumenta il rischio di guasti dei sistemi nei veicoli. Di conseguenza, la norma ISO 26262 fornisce una guida completa su requisiti di sistema e processi per mitigare questi rischi. 

Lo standard:

• Descrive un ciclo di vita completo di sicurezza che include controlli di sicurezza in più fasi, dal concept allo smantellamento
• Si concentra sulla sicurezza funzionale dei sistemi elettrici ed elettronici (E/E), affrontando al contempo l'integrazione di questi sistemi con altri sistemi del veicolo per garantire la sicurezza generale del veicolo
• Sottolinea che il raggiungimento della sicurezza funzionale richiede sia attività di sviluppo funzionale (come la specifica dei requisiti, la progettazione e l'implementazione) sia attività orientate alla qualità (come misure di verifica, convalida e conferma)

Di seguito è riportata la suddivisione delle 12 sezioni che costituiscono lo standard ISO 26262:

Parte 1: Vocabolario

La Parte 1 illustra termini, definizioni e abbreviazioni utilizzati nello standard, prestando particolare attenzione alla distinzione tra "difetto", "errore" e "guasto".

Parte 2: Gestione della sicurezza funzionale

La Parte 2 illustra i requisiti organizzativi che devono essere garantiti da coloro che svolgono attività correlate alla sicurezza. 

Parte 3: Fase di concept

La Parte 3 descrive in che modo l'analisi dei rischi e la valutazione dei rischi (HARA, Hazard Analysis and Risk Assessment) devono essere eseguite durante le prime fasi dello sviluppo del prodotto per ciascun elemento (sistema o sottosistema) integrato. Descrive inoltre come i pericoli identificati possono essere affrontati con un'architettura funzionale.  

Parte 4: Sviluppo dei prodotti a livello di sistema

La Parte 4 riguarda la progettazione tecnica dell'architettura, l'integrazione degli elementi e i test a livello di sistema. Durante questa fase di sviluppo, gli ingegneri eseguono spesso l'analisi dell'albero dei guasti (FTA, Fault Tree Analysis) e l'analisi della modalità e degli effetti dei guasti (FMEA, Failure Mode and Effect Analysis).

Parte 5: Sviluppo dei prodotti a livello hardware

La Parte 5 riguarda la progettazione, l'integrazione e la verifica dell'hardware, inclusa la valutazione delle metriche hardware.

Parte 6: Sviluppo dei prodotti a livello software

La Parte 6 riguarda la progettazione, l'implementazione, l'integrazione e la verifica dell'architettura del software e delle unità. 

Parte 7: Produzione, funzionamento, servizio, smantellamento

La Parte 7 illustra il processo di produzione per i sistemi e i componenti correlati alla sicurezza. Include inoltre dettagli su funzionamento, assistenza e smantellamento di questi componenti.

Parte 8: Processi di supporto

La Parte 8 descrive l'implementazione dei processi di supporto per l'intero ciclo di vita della sicurezza. Descrive, ad esempio, i requisiti di gestione delle modifiche, i requisiti di gestione della documentazione, la valutazione degli strumenti e i requisiti di qualifica, eccetera.

Parte 9: Analisi orientate al livello di integrità della sicurezza nel settore automobilistico (ASIL) e alla sicurezza

La Parte 9 specifica i requisiti per la scomposizione ASIL e i requisiti per le analisi di sicurezza (inclusa l'analisi dei guasti dipendenti e i criteri di coesistenza degli elementi).

Parte 10: Linee guida della norma ISO 26262

La Parte 10 fornisce ulteriori spiegazioni sulle varie parti della norma ISO 26262.

Parte 11: Linee guida sull'applicazione dello standard ai semiconduttori

La Parte 11 riguarda lo sviluppo, la produzione e il funzionamento dei componenti dei semiconduttori. Descrive le diverse tecnologie dei semiconduttori e i diversi casi d'uso e fornisce indicazioni su come eseguire alcune attività del ciclo di vita della sicurezza.

Parte 12: Adattamento della norma ISO 26262 ai motocicli

Come suggerisce il titolo della sezione, la Parte 12 descrive l'adattamento della norma ISO 26262 ai motocicli.

Sebbene non sia richiesto dalla legge, la norma ISO 26262 è uno standard di sicurezza fondamentale che fornisce una garanzia circa l'integrazione di sistemi elettrici ed elettronici nei veicoli (durante il relativo ciclo di vita).

Inoltre introduce un metodo affidabile per valutare i rischi attraverso i livelli di integrità della sicurezza automobilistica (ASIL). Pertanto, la norma ISO 26262 è uno standard completo che si adatta all'intero ciclo di vita del settore automobilistico, per una gamma di tipi di veicoli e tecnologie.

Si tratta di uno standard di sicurezza funzionale per il settore automobilistico affidabile che:

• Migliora i flussi di lavoro dei progetti: La norma ISO 26262 risolve le complessità delle integrazioni hardware e software nei sistemi automobilistici, fornendo indicazioni per lo sviluppo di hardware e software.
• Migliora la sicurezza del veicolo: La norma ISO 26262 si occupa dell'intero ciclo di vita della sicurezza dei sistemi elettrici ed elettronici del settore automobilistico, fornendo un unico punto di riferimento per i produttori, i loro fornitori e le agenzie (inclusa la National Highway Traffic Safety Administration) per garantire procedure affidabili di sviluppo, produzione e test della gestione della sicurezza.
• Migliora la fiducia: Aderendo a un set di standard riconosciuto, produttori, fornitori, consumatori e altre parti interessate nel settore automobilistico possono avere fiducia nella sicurezza di veicoli e parti.

Di seguito è riportata una panoramica generale del processo di progettazione e verifica ISO 26262:

1. Elencare gli oggetti: Il termine "oggetto" ha un significato specifico all'interno della norma ISO 26262 ed indica un sistema (o una combinazione di sistemi) che esegue una funzione (o parte di una funzione) a livello del veicolo. Si tratta pertanto dell'oggetto identificato di livello più alto in un processo, ad esempio il sistema frenante anti-bloccaggio (ABS).
2. Delineare le funzionalità di primo livello: Descrivere i requisiti funzionali di ciascun oggetto (compresi i sottosistemi).
3. Identificare i possibili pericoli: Eseguire un'analisi dei rischi e una valutazione dei rischi (HARA, Hazard Analysis and Hazard Assessment) per ciascun oggetto, facendo riferimento a una serie di eventi pericolosi predefiniti, ad esempio lo slittamento causato da un guasto dell'ABS.
4. Assegnare ASIL: I livelli di integrità della sicurezza per il settore automobilistico, che vanno da A (gravità minima) a D (gravità massima, pericolo di vita), si basano su tre fattori, ossia probabilità di esposizione, controllabilità e gravità dei rischi.
5. Identificare gli obiettivi di sicurezza: Gli obiettivi di sicurezza derivano dagli eventi pericolosi identificati nell'analisi e valutazione dei rischi come requisiti di sicurezza di massimo livello a livello di veicolo. Ogni obiettivo di sicurezza ha una classificazione ASIL e può essere collegato a uno o più pericoli.
6. Specificare i requisiti di sicurezza funzionale: Eseguire analisi di sicurezza come l'analisi dell'albero dei guasti (FTA, Fault Tree Analysis) per identificare le cause all'origine di eventi pericolosi che potrebbero portare alla violazione di un obiettivo di sicurezza; questa analisi aiuta a stabilire un concetto di sicurezza funzionale (FSC, Functional Security Concept). Quest'ultimo ha lo scopo di specificare le misure di sicurezza necessarie per affrontare gli effetti di guasti rilevanti e assegnare requisiti di sicurezza funzionale alla progettazione architettonica del sistema o alle misure esterne.
7. Specificare i requisiti tecnici di sicurezza: Stabilire il concetto di sicurezza tecnica (TSC, Technical Security Concept), che specifica i requisiti di sicurezza tecnica e progetta architetture di sistema che soddisfano i requisiti di sicurezza funzionale sopra menzionati. I requisiti di sicurezza tecnica vengono assegnati agli elementi del sistema.   
8. Progettare il prodotto: Durante la progettazione del prodotto, gli ingegneri sviluppano prodotti in linea con i requisiti di sicurezza tecnica sopra descritti.
9. Verificare e convalidare: La verifica consente agli ingegneri addetti alla sicurezza di verificare i progetti dei prodotti in base ai requisiti di sicurezza, mentre la convalida consente di eseguire test in scenari reali.

Come descritto nella Parte 8 dello standard, i processi di supporto (produzione, funzionamento, gestione delle modifiche e gestione della qualità) durante l'intero ciclo di vita dello sviluppo svolgono un ruolo fondamentale per il rispetto dei requisiti di conformità.

Per garantire la conformità, i produttori e i loro fornitori devono controllare i propri prodotti e processi in base alle linee guida sulla sicurezza funzionale fornite nella norma ISO 26262, seguendo le procedure definite "misure di conferma". Queste misure sono raggruppate nelle seguenti tre categorie:

• Una revisione di conferma: valutazione del raggiungimento degli obiettivi e dei requisiti correlati alla norma ISO 26262 di un determinato prodotto
• Una verifica di sicurezza funzionale: valutazione del raggiungimento degli obiettivi e dei requisiti ISO 26262 dei processi implementati
• Una valutazione della sicurezza funzionale: valutazione del raggiungimento degli obiettivi e dei requisiti ISO 26262. Una valutazione della sicurezza funzionale deve tenere conto dei risultati delle revisioni di conferma e della verifica di sicurezza funzionale.

La norma ISO 26262 è stata introdotta in risposta alla crescente complessità dei sistemi elettrici e/o elettronici dei veicoli stradali. Di conseguenza, sono aumentate anche le complessità legate alla progettazione di elementi conformi.

In questo contesto, gli ingegneri del settore automobilistico devono affrontare le seguenti sfide:

• Conformità a tutte le parti della norma ISO 26262, considerando gli ampi obiettivi e requisiti forniti in ciascuna parte
• La crescente complessità dei sistemi da sviluppare (architetture dei veicoli definite tramite software, sistemi di guida altamente automatizzati, sistemi di infotainment, eccetera) 
• Sviluppo di piattaforme generiche da parte di OEM e fornitori che progettano chip per OEM di terze parti senza conoscere i requisiti di sicurezza relativi all'uso finale previsto. In questo caso, i progettisti devono formulare ipotesi, assicurandosi di fornire una documentazione completa di tali ipotesi
• Necessità di monitorare quantità elevate di dati di progettazione estesi, dipendenze, proprietà intellettuale e documentazione
• Capacità di tenere traccia della titolarità della proprietà intellettuale (IP) di ogni strumento, sistema od oggetto utilizzato nel processo di sviluppo. Ciò significa che gli ingegneri devono valutare, documentare e verificare meticolosamente le offerte IP di ciascun fornitore.

Alla luce delle sfide sopra descritte, diventa evidente che la conformità alla norma ISO 26262 è un'attività quasi impossibile senza l'assistenza di strumenti software specializzati.

Considerando il costo dei ritiri dei veicoli, la maggior parte degli OEM della catena di fornitura automobilistica richiede una prova di conformità alla norma ISO 26262.

Mentre i progetti di sviluppo di successo si affidavano in genere a un insieme di strumenti dedicati, il software Ansys medini® analyze™ è uno strumento completo basato su modelli dedicato all'analisi della sicurezza dei sistemi elettrici ed elettronici dei veicoli stradali, offerto in un unico pratico pacchetto.

Il software Ansys medini analyze offre trasparenza nella progettazione di sicurezza automobilistica, promuovendo la fiducia e la collaborazione tra le principali parti interessate del settore automobilistico. Consente:

• Analisi della sicurezza basata su modelli
• Modellazione del linguaggio di modellazione dei sistemi (SysML) con proprietà di sicurezza
• Analisi della sicurezza funzionale
• Analisi della sicurezza chiave utilizzando metodi quali analisi di effetti delle modalità di guasto e diagnostica (FMEDA), HARA, gli studi di rischi e operabilità (HAZOP), analisi delle modalità di guasto e degli effetti (FMEA), FTA, lo standard "SOTIF (Safety Of the Intended Functionality)" e altri
• Analisi della sicurezza a livello di sistema, software e hardware
• Integrazione con strumenti di gestione dei requisiti
• Tracciabilità end-to-end, flussi di lavoro e altro ancora

Inoltre, oltre al software Ansys medini analyze, la raccolta di prodotti Ansys SCADE® offre un ambiente basato su modelli per lo sviluppo di software:

• Editor di progettazione basato su modelli 
• Generazione automatica di codice sicuro e protetto
• Funzionalità di test
• Misurazione della copertura di prova fino a MC/DC (Modified Condition/Decision Coverage)
• Conformità AUTOSAR

Se desideri ottimizzare il processo ISO 26262, iscriviti a una versione di prova del software Ansys medini analyze.

Se desideri ridurre i costi di progettazione e verifica del software fino al 50%, iscriviti a una versione di prova gratuita del software Ansys SCADE.

Risorse correlate