ISO 26262 : Répondre aux exigences de la norme de Sûreté de Fonctionnement des Véhicules Automobiles
trait de séparation
Temps de lecture : 5 minutes
L’édition 2 de la norme ISO26262, parue en 2018 et largement inspirée de la IEC 61508, traite de la sécurité fonctionnelle des systèmes électriques et électroniques incorporés au sein des véhicules routiers (incluant les motos, les bus et les camions.
A l’instar du standard IEC61508, assurer la conformité d’un projet à la norme ISO26262, c’est mettre en place, dès son démarrage, une méthodologie délimitée et rigoureuse dont l’objectif est la diminution des risques à un niveau acceptable.
Au sommaire de cet article dédié à la norme ISO 26262 :
ISO 26262 : Généralités de la norme
La norme ISO 26262 se compose de 12 parties:
1. Vocabulaire
2. Gestion de la sûreté de fonctionnement
3. Phase de projet
4. Développement du produit au niveau du système
5. Développement du produit au niveau du matériel (électronique)
6. Développement du produit au niveau du logiciel
7. Production et exploitation
8. Processus supports
9. Analyses liées aux niveaux d'intégrité de sûreté automobile et à la sécurité fonctionnelle
10. Lignes directrices relatives à la norme ISO 26262
11. : Lignes directrices sur l'application de l'ISO 26262 aux semi-conducteurs (informative)
12. : Adaptation de l'ISO 26262 pour les motocycles
NB : Nous avons remplacé le terme officiel « Sécurité fonctionnelle » par « Sûreté de Fonctionnement » pour plus de clarté.
1. Vocabulaire
2. Gestion de la sûreté de fonctionnement
3. Phase de projet
4. Développement du produit au niveau du système
5. Développement du produit au niveau du matériel (électronique)
6. Développement du produit au niveau du logiciel
7. Production et exploitation
8. Processus supports
9. Analyses liées aux niveaux d'intégrité de sûreté automobile et à la sécurité fonctionnelle
10. Lignes directrices relatives à la norme ISO 26262
11. : Lignes directrices sur l'application de l'ISO 26262 aux semi-conducteurs (informative)
12. : Adaptation de l'ISO 26262 pour les motocycles
NB : Nous avons remplacé le terme officiel « Sécurité fonctionnelle » par « Sûreté de Fonctionnement » pour plus de clarté.
ISO 26262 : Niveaux d'ASIL
La norme ISO26262 se distingue du standard IEC61508 principalement par la définition de ses niveaux de criticité, appelés ASIL (« Automotive System Integrity Level »). Les 4 niveaux sont libellés « ASIL A » (le moins critique) à « ASIL D » (le plus critique) et plus la criticité est élevée, plus les tâches et vérifications à effectuer seront nombreuses.
Cependant, alors que les niveaux de SIL peuvent être définis de manière qualitative ou de manière quantitative (mesures de probabilités ou de taux de défaillance maximum), la définition des niveaux d’ASIL est qualitative et définie par trois critères devant être appliqués à toute situation dangereuse détectée en phase d’analyse des risques :
- Sévérité : de S0 (aucune blessure) à S3 (blessures mortelles avec survie incertaine ou décès)
- Exposition : de E0 (exposition invraisemblable) à E4 (exposition élevée), qui peut être déterminée en pourcentage de temps d’utilisation ou en fréquence
- Contrôlabilité (la capacité des personnes concernées par le danger potentiel à agir de lui-même pour prévenir le danger ou la blessure) : de C0 (contrôlable en général) à C3 (difficilement contrôlable ou impossible)
Lien entre Sévérité, Exposition, Contrôle et niveaux d’ASIL
Pour les risques très faibles, (mention QM (« Quality Management »), pouvant être comparé au DAL E de la DO-178), la norme ISO26262 considère qu’il n’est pas nécessaire d’ajouter des mesures spécifiques, l’application d’un système d’Assurance Qualité classique comme décrit dans les normes ISO 9001 ou ISO TS 16949, est suffisant.
ISO 26262 : Utilisation d’outils logiciels
Dans le cadre de l’utilisation d’outils logiciels pour une ou plusieurs tâches de développement ou vérification, la norme ISO26262 partie 8 introduit la notion de TCL (Tool Confidence Level), défini suivant l’impact de l’outil et le degré de détection d’une erreur.
- TI : Impact de l’outil – Introduction ou non détection d’erreur au sein de l’élément pour lequel il est utilisé :
- TI1 : Impossible
- TI2 : Dans tous les autres cas
- TD : Détection d’erreurs de l’outil – Confiance dans le fait qu’un dysfonctionnement ou une sortie erronée de l’outil sera détecté ou évité
- TD1 : Elevée
- TD2 : Moyenne
- TD3 : Dans tous les autres cas
La suite d’outils LDRA (analyse statique et dynamique, tests unitaires et d’intégration) dispose d’un pack de qualification ISO 26262 jusqu’à ASIL D (LDRA TBrun).
De plus, les outils LDRA (TBvision Static) et l’outil d’analyse statique avancée GrammaTech CodeSonar ont obtenu une certification ISO 26262 permettant leur utilisation jusqu’à ASIL D.
ISO 26262 : Exigences de la norme partie 6 concernant les logiciels
La partie 6 de la norme ISO26262 exige la mise en place d’un cycle de vie logiciel dès l’ASIL A, composé de 7 étapes contenant chacune plusieurs exigences méthodologiques :
- Initialisation du développement logiciel
- Spécification des exigences de sûreté de fonctionnement logiciel
- Conception architecturale du logiciel
- Conception détaillée et implémentation du logiciel
- Tests Unitaires du Logiciel
- Intégration et Tests d’Intégration du Logiciel
- Vérification des exigences de sûreté de fonctionnement logiciel
Voici un résumé des exigences les plus importantes :
L’application des techniques et mesures définies dans la norme est graduée selon le niveau d’intégrité du logiciel, de la manière suivante :
· ++ : Hautement Recommandé
· + : Recommandé
· ° : L’utilisation de la technique n’est ni recommandée, ni déconseillée
ISO 26262 : Comment automatiser la réponse aux exigences logicielles ?
La partie 6 de la norme ISO26262 implique la mise en place d’un Plan d’Assurance Qualité Logiciel, contenant a minima les éléments suivants :
- Gestion de la configuration et des versions
- Suivi de la traçabilité des exigences (fonctionnelles, méthodologiques, normatives)
- Mise en place et vérification de règles de codage et de métriques de qualité de code
- Détection de bugs, d’erreurs « Runtime » et de failles logicielles
- Tests unitaires, d’intégration et système liés aux exigences
- Mesure de la couverture structurelle
ISIT propose un ensemble de solutions produits et services, allant de la sensibilisation à l’automatisation des réponses aux exigences logicielles de la norme ISO26262, en passant par l’accompagnement projet :
- Formation ISO 26262
- Accompagnement à la certification ISO 26262 d’un projet, rédaction du Plan d’Assurance Qualité Logiciel
- Suivi de la traçabilité des exigences au travers de l’outil de Gestion des Exigences Polarion ALM - Siemens Digital Industries Software ou du module de la suite LDRA TBmanager
- Vérification de règles de codage et de métriques de qualité de code par l’Analyse Statique Syntaxique de LDRA TBvision Static / LDRArules
- Détection de bugs et d’erreurs « Runtime » grâce à l’Analyse Statique Avancée de GrammaTech CodeSonar et CodeSentry
- Automatisation des tests unitaires et d’Intégration avec LDRA TBrun / LDRAunit
- Mesure de la couverture structurelle avec LDRA TBvision Dynamic / LDRAcover
- Audits de code source et binaire
Ces articles peuvent vous intéresser
ISO 21434 / UN R155 : quelles exigences cyber respecter pour le secteur auto connecté ?
Nos experts ont rédigé cet article pour mieux comprendre les normes ISO 21434 / UN R155 : qu'est- ce que WP.29, l'importance des normes, conformité et les outils utiles pour respecter pour les exigences cyber du secteur auto connecté.
La sécurité et la sûreté des logiciels automobiles doivent encore être améliorées
Cet article pointe l’augmentation des défauts logiciels potentiellement mortels, mais il existe néanmoins une résistance générale dans l'industrie à la gestion de la qualité, de la sûreté et de la sécurité du logiciel.
Les véhicules autonomes seront-ils un jour sûrs?
WHITE PAPER : Cet article traite de ce que pourront être ces futures interfaces utilisateurs, des défis ainsi que des solutions dans le développement de leur architecture logicielle et du processus de conception afin de répondre au besoin de sécurité fonctionnelle des VA.
Livre blanc Gardez les yeux sur la route: les HUD AR dans l'automobile
Nos partenaires Disti et CoreAvi ont publié un nouveau Livre blanc gratuit disponible dès maintenant: "Gardez les yeux sur la route: les HUD AR dans l'automobile"
MISRA C est-elle juste une norme automobile ?
La norme MISRA C est souvent associée à l'Automobile : est-ce un mythe ? Cet article évoquera l'arrière plan et la réalité de la situation.
IHM dans l'automobile
Comment les IHM automobiles transforment l'expérience embarquée?