Funkcionalna sigurnost cestovnih vozila prema seriji standarda ISO 26262 SABIRA S. SALIHOVIĆ, Univerzitet u Sarajevu, Stručni rad Fakultet za saobraćaj i komunikacije, Sarajevo, Bosna i Hercegovina UDC: 006.44:629.3.014 SUADA F. DACIĆ, Univerzitet u Sarajevu Fakultet za saobraćaj i komunikacije, Sarajevo, Bosna i Hercegovina AZRA A. FERIZOVIĆ, Univerzitet u Sarajevu Fakultet za saobraćaj i komunikacije, Sarajevo, Bosna i Hercegovina Razvoj i primjena novih električnih/elektronskih sistema nosi sa sobom i određene rizike od softverskih i hardverskih kvarova koje je potrebno identificirati i svesti na minimalnu mjeru. U cilju rješavanja tih problema, kao adaptirani sektorski standard sveobuhvatnog standarda funkcionalne sigurnosti IEC 61508, objavljena je serija standarda ISO 26262:2011, Cestovna vozila Funkcionalna sigurnost. Serija standarda ISO 26262 sadrži 10 dijelova, 43 poglavlja, 180 inžinjerskih metoda, 600 zahtjeva, te 450 stranica sa oko 750 rečenica, a u radu je prezentirano područje primjene i struktura svih dijelova serije standarda. Ključne riječi: standardi, pametni automobili, električni/elektronski sistemi, funkcionalna sigurnost 1. UVOD Nove tehnološke inovacije u pametnim automobilima kao što su autonomni sistemi (ABS, ESP, EPB, TSC, ACC ) 1, zatim vizuelni i zvučni elektronski sistemi, radarska detekcija, internet komunikacija i sl., namijenjeni podršci i savjetu vozača, imaju za cilj da olakšaju i obezbijede veću sigurnost i udobnost u vožnji, ali istovremeno nove tehnologije sa sobom nose i mogućnost rizika od pogrešnog funkcioniranja. Tako npr. moderni automobil BMW 750i ili najnoviji Mercedes S-klase sadrži do 60 elektronskih kontrolnih jedinica (ECUs) čija integracija nudi više od 1 milijarde mogućnosti nastajanja grešaka 2. Funkcionalna sigurnost osigurava njihov pravilan rad i na taj način održava siguran rad vozila, a fokusirana je prvenstveno na rizicima koji proizilaze iz slu čajnih hardverskih kvarova, sistemskih grešaka u diza- Adresa autora: Sabira Salihović, Univerzitet u Sarajevu, Fakultet za saobraćaj i komunikacije, Sarajevo, Zmaja od Bosne 8, Bosna i Hercegovina Rad primljen: 13.06.2014. Rad prihvaćen: 19.01.2015. 1 ABS Anti Blocking System; ESP- Elektronic Stability Program; EPB- Electronic Park Brake; TSC Traction Control System; ACC Adaptive Cruise Control 2 Initiative for Diagnosis of Electronic Systems in Motor Vehicles for PTI, Final Report, 31st December 2005 zajnu sistema, hardveru ili razvoju softvera, proizvodnji, pa sve do funkcionalne aplikacije. Za rješavanje tih izazova u automobilskoj industriji razvijena je serija međunarodnih standarda od 10 dijelova, oznake: ISO 26262:2011., Cestovna vozila - Funkcionalna sigurnost. Ove standarde pripremio je ISO TC/ 22, Road vehicles, Subcommittee SC 3, Electrical and electronic equipment. 2. PODRUČJE PRIMJENE STANDARDA ISO 26262 Osnova za standard ISO 26262 je međunarodni standard IEC 61508 koji obuhvata SIL ( Safety Integrity Levels), odnosno funkcionalnu sigurnost definira kao dio ukupne sigurnosti svih industrijskih Električnih / Elektronskih / Programabilnih Elektronskih Sistema ( E/E/PES). On pokriva sigurnost sistema u cijelom životnom ciklusu i počiva na konceptu rizika, odnosno vjerovatnoći opasnih događanja i ozbiljnosti njihovih posljedica i sigurnosnim funkcijama koje imaju za cilj da rizik smanje na prihvatljiv nivo. Standard IEC 61508 se zasniva na tri stava: nulti rizik nikada ne može biti postignut; sigurnost se mora uzimati u obzir od samog početka i netolerisani rizici moraju biti reducirani. Serija standarda ISO 26262 predstavlja adaptirani sektorski standard sveobuhvatnog standarda funkcionalne sigurnosti IEC 61508, kako je prikazano na slici 134 TEHNIKA SAOBRAĆAJ 62 (2015) 1
1. i kao takav definira ASIL (Automotive Safety Integrity Levels). Ova serija standarda se odnosi na funkcionalnu sigurnost jednog ili više automobilskih Električnih i/ili Elektronskih (E/E) sistema, uključ ujući i njihovu interakciju, a koji se ugrađuju u serijski proizvodene putničke automobile najveće bruto mase 3500 kg. Područje primjene isključuje E / E sisteme sa posebnom namjenom kao što su vozila namijenjena za vozače s invaliditetom. Primjeri nekih automobilskih E/E sigurnosnih sistema na koje se odnosi ova serija standarda prikazani su na slici 2. Slika 1 - Standardi funkcionalne sigurnosti bazirani na standardu IEC 6158 Slika 2 - Primjeri automobilskih E/E sigurnosnih sistema ISO 26262 je adresiran na rješavanja mogućih opasnosti uzrokovanih neispravnim ponašanjem E/E sistema u svim fazama njihovog životnog ciklusa (razvoj, proizvodnja, upravljanje, upotreba, održavanje...), a ne odnosi se na opasnosti vezane za posljedice strujnog udara, požara, dima, topline, radijacije, otrovnosti, zapaljivosti, reaktivnosti, korozije, oslobađanja energije i sličnih opasnosti, osim ako su direktno uzrokovane neispravnim ponašanjem E/E sigurnosnih sistema. Kao i standard IEC 61508, standardi serije ISO 26262 su standardi sigurnosti bazirani na procjeni rizika, gdje je rizik od opasnih operativnih situacija moguće kvalitativno ocijeniti, a sigurnosne mjere su definirane tako da je moguće izbjeći sistemske propuste i otkriti i kontrolirati slučajne softverske i hardverske kvarove ili ublažiti njihovi učinke. 3. STRUKTURA STANDARDA ISO 26262 Serija standarda ISO 26262 sadrži 10 dijelova, 43 poglavlja, 180 inžinjerskih metoda, 600 zahtjeva, te 450 stranica sa oko 750 rečenica: Struktura serije standarda ISO 26262 s područjem primjene svih dijelova od 1-10 data je na slici 3. TEHNIKA SAOBRAĆAJ 62 (2015) 1 135
Slika 3 - Šematski prikaz strukture standarda ISO 26262 U nastavku slijedi razrada sastavnica serije standarda ISO 26262: ISO 26262-1: 2011. specificira Rječnik pojmova, definicija i kratica za primjenu u svim ostalim dijelovima standarda. Od posebne važnosti je precizno definiranje kvara, greške i neuspjeha kao ključnih faktora u definiranju funkcionalne sigurnosti procesa. ISO 26262-2: 2011. određuje uslove za funkcionalan sistem upravljanja sigurnošću za automobilske aplikacije, uključujući i specifične zahtjeve upravljanja tokom koncept faze i razvoja proizvoda, kao i nakon izlaska iz proizvodnje ISO 26262-3: 2011. specificira zahtjeve za koncept fazu za automobilske aplikacije, uključujući sljedeće: Definiciju item-a ( sistema ili niza sistema i funkcija na koje se odnosi standard ISO 26262) 3, iniciranje životnog ciklusa sigurnosti, analizu opasnosti i procjene rizika i koncept funkcionalne sigurnosti ISO 26262-4: 2011. određuje zahtjeve za razvoj proizvoda na sistemskom nivou za automobilske aplikacije, uključujući sljedeće: 3 Prema ISO 26262 Dio 1: Rječnik zahtjevi za pokretanje razvoja proizvoda na sistemskom nivou, specifikacija tehničkih sigurnosnih zahtjeva, tehnički koncept sigurnosti, dizajn sistema, integraciju i testiranje sistema ili niza sistema i funkcija na koje se odnosi standard ISO 26262, sigurnost validacije, funkcionalnu procjenu sigurnosti, i puštanje proizvoda u rad. ISO 26262-5:2011. određuje zahtjeve za razvoj proizvoda na hardverskom nivou za automobilske aplikacije, uključujući sljedeće: zahtjevi za pokretanje razvoja proizvoda na nivou hardvera, specifikacija hardverskih sigurnosnih zahtjeva, dizajn hardvera, arhitektura hardvera, i evaluacija narušavanja sigurnosti cilja zbog slučajnih hardverskih kvarova i integracije i testiranja hardvera. ISO 26262-6:2011 određuje zahtjeve za razvoj proizvoda na softverskom nivou za automobilske aplikacije, uključujući sljedeće: zahtjevi za pokretanje razvoja proizvoda na nivou softvera, 136 TEHNIKA SAOBRAĆAJ 62 (2015) 1
specifikacija softverskih sigurnosnih zahtjeva, softver za arhitektonski dizajn, softver za pojedinačni dizajn i implementaciju, softver za pojedinačna testiranja, softver za integraciju i testiranje, i verifikacija softverskih sigurnosnih zahtjeva. ISO 26262-7:2011 određuje zahtjeve za proizvodnju, rad, usluge i prestanak rada. ISO 26262-8:2011 određuje zahtjeve za procese podrške, uključujući sljedeće: interfejsi unutar distribuiranih razvoja, sveukupno upravljanje sigurnosnim zahtjevima, upravljanje konfiguracijom, upravljanje promjenama, verificiranje, dokumentiranje, povjerenje u korištenje softverskih alata, kvalifikacije softverskih komponenti, kvalifikacije hardverskih komponenti, i dokaz za upotrebu ISO 26262-9:2011 određuje zahtjeve za ASİL sigurnosno orjentisane analize, uključujući sljedeće: rasčlanjivanje zahtjeva u skladu sa ASIL, sukladnost, analiza zavisnih kvarova, i sigurnosne analize. ISO 26262-10:2012 daje pregled ISO 26262, kao i davanje dodatnih objašnjenja, a ima za cilj da se poboljša razumijevanje drugih dijelova ISO 26262. On opisuje opće koncepte ISO 26262 kako bi se olakšalo razumijevanja. ZAKLJUČAK Električni / Elektronski / Programabilni Elektronski Sistemi ( E/E/PES) sve više obavljaju sigurnosne funkcije različitih industrijskih sistema (cestovna vozila, željeznički transport, medicinska oprema, nuklearne elektrane i dr.). Ovi sistemi su obično kompleksni sistemi, te je praktično nemoguće u potpunosti odrediti svaki propust ili testirati svako moguće ponašanje. Opasni propusti mogu nastati usljed pogrešne specifikacije sistema, hardvera ili softvera, propusta u specifikaciji sigurnosnih zahtjeva, slučajnih kvarova hardvera, sistemskih propusta hardvera i softvera, ljudskih pogrešaka, uticaja okoline i sl. Iz prethodnog je i proizašla potreba da se obezbijedi funkcionalna sigurnost sistema u cijelom životnom ciklusu i da se minimiziraju mogući propusti i potencijalno opasno stanje. Međunarodni standard IEC 61508 je sveobuhvatni standard funkcionalne sigurnosti. On pokriva sigurnost sistema u cijelom životnom ciklusu i počiva na konceptu rizika, odnosno vjerovatnoći opasnih događanja i ozbiljnosti njihovih posljedica i sigurnosnim funkcijama koje imaju za cilj da rizik smanje na prihvatljiv nivo. Serija standarda ISO 26262 je adaptirani sektorski standard međunarodnog standarda IEC 61508 i kao takav definira ASIL (Automotive Safety Integrity Levels), a odnosi se na funkcionalnu sigurnost jednog ili više automobilskih Električnih i/ili Elektronskih (E/E) sistema, uključujući i njihovu interakciju, koji se ugrađuju u serijski proizvodene putničke automobile. Standardi serije ISO 26262 su standardi sigurnosti bazirani na procjeni rizika, gdje je rizik od opasnih operativnih situacija moguće kvalitativno ocijeniti, a sigurnosne mjere su definirane tako da je moguće izbjeći sistemske propuste i otkriti i kontrolirati slučajne softverske i hardverske kvarove ili ublažiti njihovi učinke. Primjena ovog standarda povećava opću sigurnost automobila u svim fazama životnog ciklusa i istovremeno reguliše i olakšava međusobne odnose svih aktera u procesu razvoja, proizvodnje, eksploatacije, servisiranja i stavljanja automobila van upotrebe. LITERATURA [1] ISO 26262-Part 1 - Part 9: Road vehicles Functional safety, 2011. [2] ISO 26262-Part 10: Road vehicles Functional safety, 2012. [3] Christian Esposito, dostupno na www.critical-step.eu/.../78-training-presentation, pristupljeno: 12. 4. 2014. [4] Dr. Christof Ebert, Dr. Arnulf Braatz, dostupno na www.vector.com/.../vector_webinar, pristupljeno: 14. 5. 2014. [5] Initiative for Diagnosis of Electronic Systems in Motor Vehicles for PTI, Final Report, dostupno na http://ec.europa.eu/transport/roadsafety, 2005. pristupljeno: 27.5. 2014. [6] Functional safety of electrical/electronic/programmable electronic safety-related systems, (IEC 61508), dostupno na www.iec.ch, pristupljeno: 27.5. 2014. TEHNIKA SAOBRAĆAJ 62 (2015) 1 137
SUMMARY ROAD VAHICLES FUNCTIONAL SAFETY IN ACCORDANCE WITH SERIES ISO 26262 STANDARDS Development and application of new electrical/electronic systems carries with it certain risks of software and hardware failures that need to be identified and reduced to minimum level. In order to solve these problems, as adapted sectoral standard of comprehensive functional safety standard IEC61508, has been published the series of standard ISO26262:2011, Road vehicles - Functional safety. ISO 26262 series of standards containing 10 parts, 43 chapters, 180 engineering methods, 600 applications, and 450 pages with around 750 sentences, and in this work is presented the scope and structure of all parts of a series of standards. Key words: standards, intelligent automotive, electrical/electronic systems, funcional safety 138 TEHNIKA SAOBRAĆAJ 62 (2015) 1