ISO 26262

Norma internacional de seguridad para sistemas eléctricos y electrónicos de automoción

La norma ISO 26262 , titulada "Vehículos de carretera - Seguridad funcional", es una norma internacional para la seguridad funcional de los sistemas eléctricos y/o electrónicos que se instalan en vehículos de carretera de producción en serie (excluidos los ciclomotores), definida por la Organización Internacional de Normalización (ISO) en 2011 y revisada en 2018.

Descripción general de la norma

Las características de seguridad funcional forman parte integral de cada fase de desarrollo de un producto automotriz , desde la especificación hasta el diseño, la implementación, la integración, la verificación, la validación y la liberación de la producción. La norma ISO 26262 es una adaptación de la norma de seguridad funcional IEC 61508 para sistemas eléctricos y electrónicos automotrices. La norma ISO 26262 define la seguridad funcional para equipos automotrices aplicable durante todo el ciclo de vida de todos los sistemas electrónicos y eléctricos relacionados con la seguridad automotriz.

La primera edición (ISO 26262:2011), publicada el 11 de noviembre de 2011, se limitaba a los sistemas eléctricos y/o electrónicos instalados en " vehículos de pasajeros de producción en serie" con un peso bruto máximo de 3500 kg. La segunda edición (ISO 26262:2018), publicada en diciembre de 2018, amplió el ámbito de aplicación de los vehículos de pasajeros a todos los vehículos de carretera, excepto los ciclomotores . [1]

La norma tiene por objeto abordar los posibles peligros provocados por el mal funcionamiento de los sistemas electrónicos y eléctricos de los vehículos. Aunque se titula "Vehículos de carretera - Seguridad funcional", la norma se refiere a la seguridad funcional de los sistemas eléctricos y electrónicos, así como a la de los sistemas en su conjunto o de sus subsistemas mecánicos.

Al igual que su norma original, IEC 61508 , ISO 26262 es una norma de seguridad basada en riesgos, donde se evalúa cualitativamente el riesgo de situaciones operativas peligrosas y se definen medidas de seguridad para evitar o controlar fallas sistemáticas y para detectar o controlar fallas aleatorias de hardware o mitigar sus efectos.

Objetivos de la norma ISO 26262:

  • Proporciona un ciclo de vida de seguridad automotriz (gestión, desarrollo, producción, operación, servicio, desmantelamiento) y apoya la adaptación de las actividades necesarias durante estas fases del ciclo de vida.
  • Cubre aspectos de seguridad funcional de todo el proceso de desarrollo (incluidas actividades como especificación de requisitos, diseño, implementación, integración, verificación, validación y configuración).
  • Proporciona un enfoque basado en riesgos específicos del sector automotriz para determinar las clases de riesgo ( niveles de integridad de seguridad automotriz , ASIL).
  • Utiliza ASIL para especificar los requisitos de seguridad necesarios del artículo para lograr un riesgo residual aceptable .
  • Proporciona requisitos para las medidas de validación y confirmación para garantizar que se alcance un nivel de seguridad suficiente y aceptable. [2]

Partes de la norma ISO 26262

La norma ISO 26262:2018 consta de doce partes, diez partes normativas (partes 1 a 9 y 12) y dos directrices (partes 10 y 11): [ cita requerida ]

  1. Vocabulario
  2. Gestión de la seguridad funcional
  3. Fase de concepto
  4. Desarrollo de productos a nivel de sistema
  5. Desarrollo de productos a nivel de hardware
  6. Desarrollo de productos a nivel de software
  7. Producción, operación, servicio y desmantelamiento
  8. Procesos de apoyo
  9. Análisis orientado a la seguridad y al nivel de integridad de seguridad automotriz (ASIL)
  10. Directrices sobre la norma ISO 26262
  11. Directrices para la aplicación de la norma ISO 26262 a los semiconductores
  12. Adaptación de la norma ISO 26262 para motocicletas

En comparación, la norma ISO 26262:2011 constaba de sólo 10 partes, con nombres ligeramente diferentes:

  • La parte 7 se denominó simplemente Producción y operación.
  • La Parte 10 se llamó Directriz... en lugar de Pautas...
  • Las partes 11 y 12 no existían.

Parte 1: Vocabulario

La norma ISO 26262 especifica un vocabulario (un glosario de proyectos) de términos, definiciones y abreviaturas para su aplicación en todas las partes de la norma. [1] De particular importancia es la definición cuidadosa de falla , error y fallo , ya que estos términos son clave para las definiciones de la norma de los procesos de seguridad funcional, [3] particularmente en la consideración de que "Una falla puede manifestarse como un error ... y el error puede en última instancia causar una falla ". [1] Un mal funcionamiento resultante que tiene un efecto peligroso representa una pérdida de seguridad funcional .

Artículo
En esta norma, el término elemento es clave. Elemento se utiliza para referirse a un sistema específico (o combinación de sistemas) al que se aplica el Ciclo de vida de seguridad ISO 26262, que implementa una función (o parte de una función) a nivel de vehículo. Es decir, el elemento es el objeto identificado más alto en el proceso y, por lo tanto, es el punto de partida para el desarrollo de seguridad específico del producto según esta norma.
Elemento
Ya sea un sistema, un componente (que consta de partes de hardware y/o unidades de software), una sola parte de hardware o una sola unidad de software, es decir, cualquier cosa en un sistema que pueda identificarse y manipularse de forma distintiva.
Falla
Condición anormal que puede provocar que un elemento o un artículo falle.
Error
Discrepancia entre un valor o condición calculado, observado o medido y el valor o condición verdadero, especificado o teóricamente correcto.
Falla
Terminación de un comportamiento previsto de un elemento o de un artículo debido a una manifestación de fallo .
Tolerancia a fallos
Capacidad de proporcionar una funcionalidad específica en presencia de uno o más fallos específicos .
Comportamiento incorrecto
Fallo o comportamiento no deseado de un artículo con respecto a su intención de diseño.
Peligro
Fuente potencial de daño (lesión física o daño a la salud) causado por el mal funcionamiento del artículo .
Seguridad funcional
Ausencia de riesgos irrazonables debidos a peligros causados ​​por un mal funcionamiento de los sistemas eléctricos/electrónicos.

Nota: A diferencia de otras normas de seguridad funcional y la versión actualizada de la norma ISO 26262:2018, la tolerancia a fallos no se definió explícitamente en la norma ISO 26262:2011, ya que se suponía que era imposible comprender todos los fallos posibles en un sistema. [4]

Nota: La norma ISO 26262 no utiliza el término Fracción de fallos seguros (SFF) de la norma IEC 61508. En su lugar, se utilizan los términos Métrica de fallos puntuales y Métrica de fallos latentes . [5]

Parte 2: Gestión de la seguridad funcional

La norma ISO 26262 proporciona un estándar para la gestión de la seguridad funcional para aplicaciones automotrices, definiendo estándares para la gestión general de la seguridad organizacional, así como estándares para un ciclo de vida de seguridad para el desarrollo y la producción de productos automotrices individuales. [6] [7] [8] [9] El ciclo de vida de seguridad de la norma ISO 26262 descrito en la siguiente sección opera sobre los siguientes conceptos de gestión de seguridad: [1]

Evento peligroso
Un evento peligroso es una combinación relevante de un peligro a nivel del vehículo y una situación operativa del vehículo con potencial de provocar un accidente si no se controla mediante una acción oportuna del conductor.
Objetivo de seguridad
Un objetivo de seguridad es un requisito de seguridad de alto nivel que se asigna a un sistema, con el propósito de reducir el riesgo de uno o más eventos peligrosos a un nivel tolerable.
Nivel de integridad de la seguridad automotriz
Un nivel de integridad de seguridad automotriz (ASIL) representa una clasificación basada en el riesgo específico del automóvil de un objetivo de seguridad , así como las medidas de validación y confirmación requeridas por la norma para garantizar el logro de ese objetivo.
Requisito de seguridad
Los requisitos de seguridad incluyen todos los objetivos de seguridad y todos los niveles de requisitos descompuestos desde los objetivos de seguridad hasta el nivel más bajo de requisitos de seguridad funcional y técnica asignados a los componentes de hardware y software.

Partes 3-7: Ciclo de vida de la seguridad

Los procesos dentro del ciclo de vida de seguridad ISO 26262 identifican y evalúan los peligros (riesgos de seguridad), establecen requisitos de seguridad específicos para reducir esos riesgos a niveles aceptables y gestionan y rastrean esos requisitos de seguridad para producir una garantía razonable de que se cumplen en el producto entregado. Estos procesos relevantes para la seguridad pueden considerarse integrados o funcionando en paralelo con un ciclo de vida de requisitos gestionados de un sistema de gestión de calidad convencional : [10] [11]

  1. Se identifica un artículo (un producto de sistema automotriz particular) y se definen sus requisitos funcionales del sistema de nivel superior.
  2. Se identifica un conjunto completo de eventos peligrosos para el artículo .
  3. A cada evento peligroso se le asigna un ASIL .
  4. Para cada evento peligroso se determina un objetivo de seguridad , heredando el ASIL del peligro.
  5. Un concepto de seguridad funcional a nivel de vehículo define una arquitectura del sistema para garantizar los objetivos de seguridad .
  6. Los objetivos de seguridad se refinan en requisitos de seguridad de nivel inferior .
    (En general, cada requisito de seguridad hereda el ASIL de su requisito/objetivo de seguridad principal. Sin embargo, sujeto a restricciones, el ASIL heredado puede reducirse mediante la descomposición de un requisito en requisitos redundantes implementados por componentes redundantes suficientemente independientes).
  7. Los "requisitos de seguridad" se asignan a los componentes arquitectónicos (subsistemas, componentes de hardware, componentes de software)
    (en general, cada componente debe desarrollarse de conformidad con los estándares y procesos sugeridos/requeridos para el ASIL más alto de los requisitos de seguridad asignados a él).
  8. Luego se desarrollan y validan los componentes arquitectónicos de acuerdo con los requisitos de seguridad (y funcionales) asignados.

Parte 8: Procesos de apoyo

La norma ISO 26262 define objetivos para procesos integrales que apoyan los procesos del Ciclo de Vida de la Seguridad, pero que están continuamente activos a lo largo de todas las fases, y también define consideraciones adicionales que apoyan el logro de los objetivos generales del proceso.

  • Interfaces corporativas controladas para el flujo de objetivos, requisitos y controles a todos los proveedores en desarrollos distribuidos
  • Especificación explícita de los requisitos de seguridad y su gestión a lo largo del ciclo de vida de la seguridad
  • Control de configuración de los productos de trabajo, con identificación formal única y reproducibilidad de las configuraciones que permite la trazabilidad entre productos de trabajo dependientes y la identificación de todos los cambios en la configuración.
  • Gestión formal de cambios , incluida la gestión del impacto de los cambios en los requisitos de seguridad, con el fin de garantizar la eliminación de defectos detectados, así como para el cambio de producto sin introducir peligros.
  • Planificación, control y elaboración de informes sobre la verificación de los productos de trabajo, incluyendo revisión, análisis y pruebas, con análisis de regresión de los defectos detectados hasta su origen.
  • Identificación y gestión planificada de toda la documentación (productos de trabajo) producida a través de todas las fases del ciclo de vida de la seguridad para facilitar la gestión continua de la seguridad funcional y la evaluación de la seguridad.
  • Confianza en las herramientas de software (calificación de las herramientas de software para el uso previsto y real)
  • Calificación de componentes de software y hardware desarrollados previamente para su integración en el elemento ASIL actualmente desarrollado
  • Uso de evidencia del historial de servicio para argumentar que un artículo ha demostrado ser suficientemente seguro en uso para el ASIL previsto

Parte 9: Análisis orientado a la seguridad y al nivel de integridad de seguridad automotriz (ASIL)

El nivel de integridad de seguridad automotriz se refiere a una clasificación abstracta del riesgo de seguridad inherente en un sistema automotriz o en elementos de dicho sistema. Las clasificaciones ASIL se utilizan en la norma ISO 26262 para expresar el nivel de reducción de riesgo necesario para prevenir un peligro específico, donde ASIL D representa el nivel de peligro más alto y ASIL A el más bajo. El ASIL evaluado para un peligro determinado se asigna luego al objetivo de seguridad establecido para abordar ese peligro y luego es heredado por los requisitos de seguridad derivados de ese objetivo. [12]

Descripción general de la evaluación ASIL

La determinación del ASIL es el resultado del análisis de peligros y la evaluación de riesgos . [13] En el contexto de la norma ISO 26262, un peligro se evalúa en función del impacto relativo de los efectos peligrosos relacionados con un sistema, ajustados en función de las probabilidades relativas de que el peligro manifieste esos efectos. Es decir, cada evento peligroso se evalúa en términos de la gravedad de las posibles lesiones en el contexto de la cantidad relativa de tiempo que un vehículo está expuesto a la posibilidad de que ocurra el peligro, así como la probabilidad relativa de que un conductor típico pueda actuar para prevenir la lesión. [14]

Proceso de evaluación de ASIL

Al comienzo del ciclo de vida de la seguridad , se realiza un análisis de peligros y una evaluación de riesgos, lo que da como resultado una evaluación de ASIL para todos los eventos peligrosos identificados y los objetivos de seguridad.

Cada evento peligroso se clasifica según la gravedad (S) de las lesiones que se puede esperar que cause:

Clasificaciones de gravedad (S):
S0 Sin heridos
S1 Lesiones leves a moderadas
S2 Lesiones graves o potencialmente mortales (probable supervivencia)
S3 Lesiones potencialmente mortales (supervivencia incierta) o fatales

La gestión de riesgos reconoce que la consideración de la gravedad de una posible lesión se modifica en función de la probabilidad de que ocurra la lesión; es decir, para un peligro determinado, un evento peligroso se considera de menor riesgo si es menos probable que ocurra. Dentro del proceso de análisis de peligros y evaluación de riesgos de esta norma, la probabilidad de un peligro lesivo se clasifica además de acuerdo con una combinación de

exposición (E) (la frecuencia relativa esperada de las condiciones operativas en las que posiblemente pueda ocurrir la lesión) y
control (C) (la probabilidad relativa de que el conductor pueda actuar para evitar la lesión).
Clasificaciones de exposición (E):
E0 Increíblemente improbable
E1 Probabilidad muy baja (las lesiones podrían ocurrir solo en condiciones de operación excepcionales)
E2 Baja probabilidad
E3 Probabilidad media
E4 Alta probabilidad (podrían producirse lesiones en la mayoría de las condiciones de funcionamiento)
Clasificaciones de controlabilidad (C):
C0 Controlable en general
C1 Simplemente controlable
C2 Normalmente controlable (la mayoría de los conductores podrían actuar para evitar lesiones)
C3 Difícil de controlar o incontrolable

En términos de estas clasificaciones, un evento peligroso de Nivel de Integridad de Seguridad Automotriz D (abreviado ASIL D ) se define como un evento que tiene una posibilidad razonable de causar una lesión potencialmente mortal (de supervivencia incierta) o fatal, siendo la lesión físicamente posible en la mayoría de las condiciones de operación, y con pocas posibilidades de que el conductor pueda hacer algo para prevenir la lesión. Es decir, ASIL D es la combinación de las clasificaciones S3, E4 y C3. Por cada reducción individual en cualquiera de estas clasificaciones desde su valor máximo (excluyendo la reducción de C1 a C0), hay una reducción de un solo nivel en el ASIL desde D. [ 15] [Por ejemplo, un peligro hipotético de lesión fatal (S3) incontrolable (C3) podría clasificarse como ASIL A si el peligro tiene una probabilidad muy baja (E1).] El nivel ASIL por debajo de A es el nivel más bajo, QM . QM se refiere a la consideración de la norma de que por debajo de ASIL A ; no hay relevancia de seguridad y solo se requieren procesos de Gestión de Calidad estándar. [13]

Estas definiciones de gravedad, exposición y control son informativas, no prescriptivas, y efectivamente dejan cierto margen para la variación subjetiva o la discreción entre los distintos fabricantes de automóviles y proveedores de componentes. [14] [16] En respuesta, la Sociedad de Ingenieros de Seguridad Automotriz (SAE) ha emitido la norma J2980: Consideraciones para la clasificación de peligros ASIL ISO26262 para proporcionar una guía más explícita para evaluar la exposición, la gravedad y la capacidad de control para un peligro determinado. [17]

Véase también

Referencias

  1. ^ abcd ISO 26262-1:2018(en) Vehículos de carretera — Seguridad funcional — Parte 1: Vocabulario. Organización Internacional de Normalización.
  2. ^ "Cumplimiento de la norma ISO 26262 del software: cómo lograr la seguridad funcional en la industria automotriz", informe técnico de Parasoft
  3. ^ ISO 26262-1:2018(es) Vehículos de carretera — Seguridad funcional — Parte 10: Directrices sobre ISO 26262. Organización Internacional de Normalización.
  4. ^ Greb, Karl; Seely, Anthony (2009). Diseño de microcontroladores para operaciones críticas de seguridad (Diferencias clave entre la norma ISO 26262 y la IEC 61508) (PDF) . ARMtechcon. Archivado desde el original (PDF) el 6 de septiembre de 2015.
  5. ^ Boercsoek, J.; Schwarz, M.; Ugljesa, E.; Holub, P.; Hayek, A. (2011). Concepto de controlador de alta disponibilidad para sistemas de dirección: el controlador de seguridad degradable (PDF) . Investigaciones recientes en circuitos, sistemas, comunicaciones y computadoras. WSEAS. págs. 222–228 . Consultado el 17 de abril de 2016 .
  6. ^ ISO 26262-2:2011, "Gestión de la seguridad funcional" (Resumen)
  7. ^ Greb, Karl (2012). Seguridad funcional e ISO 26262 (PDF) . Conferencia y exposición de electrónica de potencia aplicada, sesiones de la industria. APEC. pág. 9.[ enlace muerto ]
  8. ^ Blanquart, Jean-Paul; Astruc, Jean-Marc; Baufreton, Philippe; Boulanger, Jean-Louis; Delseny, Hervé; Gassino, Jean; Ladier, Gérard; Ledinot, Emmanuel; Leeman, Michel; Machrouh, Joseph; Quéré, Philippe; Ricque, Bertrand (2012). Categorías de criticidad en los estándares de seguridad en diferentes dominios (PDF) . Congreso ERTS2. Software y sistemas integrados en tiempo real. págs. 3–4. Archivado desde el original (PDF) el 17 de abril de 2016.
  9. ^ ISO 26262-10:2012(E), "Directriz sobre ISO 26262", págs. 2-3.
  10. ^ Min Koo Lee; Sung-Hoon Hong; Dong-Chun Kim; Hyuck Moo Kwon (2012). "Incorporación del proceso de desarrollo de la norma ISO 26262 en DFSS" (PDF) . Actas de la Conferencia de sistemas de gestión e ingeniería industrial de Asia Pacífico : 1128 (Figura 2). Archivado desde el original (PDF) el 2013-09-15 . Consultado el 2013-08-01 .
  11. ^ Juergen Belz (28 de julio de 2011). El ciclo de vida de la seguridad según la norma ISO 26262. Archivado desde el original el 23 de febrero de 2014.
  12. ^ Glosario, V2.5.0 (PDF) . AUTOSAR. pág. 19. Archivado desde el original (PDF) el 22 de febrero de 2014. Consultado el 16 de febrero de 2014 .
  13. ^ ab ISO 26262-3:2011(en) Vehículos de carretera — Seguridad funcional — Parte 3: Fase de concepto. Organización Internacional de Normalización.
  14. ^ ab Hobbs, Chris; Lee, Patrick (9 de julio de 2013). Comprensión de los ASIL según la norma ISO 26262. Tecnologías integradas. Penton Electronics Group. {{cite book}}: |magazine=ignorado ( ayuda )
  15. ^ Martínez LH, Khursheed S, Reddy SM. Generación de LFSR para una alta cobertura de pruebas y una baja sobrecarga de hardware. IET Computers & Digital Techniques. 21 de agosto de 2019. Repositorio UoL
  16. ^ Van Eikema Hommes, Dr. Qi (2012). Evaluación de la norma ISO 26262, "Vehículos de carretera: seguridad funcional" (PDF) . Reunión de gobierno/industria de la SAE 2012. John A. Volpe National Transportation System Center: SAE. pág. 9.
  17. ^ J2980 - Consideraciones para la clasificación de peligros ASIL según ISO 26262. SAE International. Archivado desde el original el 26 de octubre de 2018.
  18. ^ "Relación entre ISO 26262 e IEC 61508". ez.analog.com . Consultado el 11 de abril de 2021 .
  19. ^ "Seguridad funcional automotriz vs. seguridad funcional industrial". ez.analog.com . Consultado el 11 de abril de 2021 .
  20. ^ "IEC 60730-1:2013+AMD1:2015+AMD2:2020 CSV | Tienda web de IEC". webstore.iec.ch . Consultado el 11 de abril de 2021 .
  • ISO 26262-1:2011(en) (Vehículos de carretera — Seguridad funcional — Parte 1: Vocabulario) en la Plataforma de navegación en línea ISO (OBP)
  • ISO 26262-1:2018(en) (Vehículos de carretera — Seguridad funcional — Parte 1: Vocabulario) en la Plataforma de navegación en línea (OBP) de ISO
Obtenido de "https://es.wikipedia.org/w/index.php?title=ISO_26262&oldid=1224786213"