Как избежать сбоев с ISO 26262

Если автоматизированное транспортное средство разбивается на дороге, это может вызвать финансовую катастрофу не только для производителя автомобилей, но и для всей цепочки поставок, задействованной в разработке неисправной системы.

При переходе к автономному вождению автомобилей и внедрению передовых систем помощи водителю (ADAS) стандарты функциональной безопасности ISO 26262 были выдвинуты на первый план при проектировании систем. Понимание и правильное выполнение программы соответствия ISO 26262 может означать разницу между экономическим успехом и неудачей.

Если автоматизированное транспортное средство разбивается на дороге, это может вызвать финансовую катастрофу не только для производителя автомобилей, но и для всей цепочки поставок, задействованной в разработке неисправной системы. Сбои на дороге могут стоить автопроизводителям значительно дороже, чем если бы ошибка была обнаружена в процессе разработки. Дополнительные сложности для автопроизводителей - возрастающая сложность конструкции, содержание программного обеспечения и мехатронная реализация, используемые в этих новых электронных системах. Каждая технология может способствовать риску систематического сбоя. Так как же добиться функциональной безопасности и соответствия ISO 26262? Как инженеры-конструкторы автомобильной промышленности могут успешно внедрять сложные технологии, соответствующие стандарту ISO 26262?

В этой статье будет рассмотрено, как автомобильная цепочка поставок может управлять оценками и аудитами, необходимыми для достижения соответствия ISO 26262.

Рисунок 1. Убедитесь, что механизмы безопасности способны определять режим отказа для конкретной функции. (Источник:Arteris IP)

Стандарт ISO 26262 охватывает все аспекты разработки электроники - спецификации, дизайн, внедрение, интеграцию, проверку и валидацию - чтобы обеспечить единый стандарт безопасности для всех автомобильных электронных систем. Затем эти системы оцениваются по одному из пяти уровней целостности автомобильной безопасности (УПБА):QM, A, B, C и D.

Цепочка поставок автомобильной электроники должна предоставлять подробную информацию, включая анализы, обучение и документацию, по каждому элементу системы, который связан с безопасностью. Поставщики должны предоставить автопроизводителям документы, в которых подробно описаны шаги организации по подготовке своих сотрудников, процессов и продуктов к соответствию стандартам функциональной безопасности.

Неспособность правильно провести оценку квалификации персонала, процессов и продукции по ISO 26262 может привести к отказу от продукции компаниями, находящимися на последующих этапах цепочки поставок. Если какой-либо участник цепочки поставок неправильно оценивает квалификацию своих поставщиков, это подвергнет производителей автомобильного оригинального оборудования (OEM) и Tier-1 риску использования компонентов, которые не пройдут оценочные аудиты, необходимые для сертификации электронных систем. Одна из серьезных проблем с оценкой полупроводников заключается в том, что мы часто уделяем большую часть нашего внимания оценке эффективности механизмов безопасности продукции, не имея при этом адекватного понимания квалификации людей и процессов, используемых для разработки этих элементов.

Люди, процесс и продукт:три составляющих

Стандарт ISO 26262 предусматривает систему обмена информацией, которая требует длительного и обширного обмена между поставщиками интеллектуальной собственности (IP), разработчиками систем на кристалле (SoC), поставщиками компонентов и модулей, поставщиками программных решений и разработчиками электронных систем. В нем рассматриваются все критические компоненты, необходимые для соответствия руководствам по функциональной безопасности, процедурам, уровням обучения, аудитам и оценкам.