ISO 26262 - sécurité fonctionnelle et ASI

Temps de lecture 8 minutes

Systèmes électriques et/ou électroniques (E/E/PE) automobiles ISO 26262 « Véhicules routiers – Sécurité fonctionnelle », avec des implications importantes pour les systèmes logiciels associés. Il traite de l'attribution des niveaux d'intégrité de la sécurité automobile (ASIL) et du développement de logiciels critiques pour la sécurité afin de répondre aux exigences qui en résultent.

Il existe une gamme toujours plus large de systèmes électriques et/ou électroniques automobiles (E/E/PE) tels que les systèmes d'aide à la conduite adaptatifs, les systèmes de freinage antiblocage, la direction et les airbags, et des niveaux croissants d'intégration et de connectivité. Le résultat est une nécessité pour des processus de développement de sécurité fonctionnelle exigeants, depuis la spécification des exigences, la conception, la mise en œuvre, l'intégration, la vérification, la validation et jusqu'à la configuration.

L'ISO 26262 a été mise à jour en 2018 , après avoir été publiée pour la première fois en 2011 en réponse à cette explosion de la complexité des systèmes E/E/PE automobiles et aux risques associés pour la sécurité publique.

La sécurité fonctionnelle concerne la gestion des risques dans un équipement ou un système.

Les processus de développement de la sécurité fonctionnelle visent à identifier les conditions potentiellement dangereuses. Les conditions nuisibles sont classées en fonction de leur gravité et atténuées à l'aide de mécanismes de sécurité pour éviter ou réduire l'impact d'un incident de sorte que la réponse soit proportionnée au risque.

En pratique, la sécurité fonctionnelle s'appuie sur des systèmes actifs capables de mettre en œuvre des mesures de maîtrise des risques en réponse à des situations potentiellement dangereuses. Le verrouillage centralisé en est un bon exemple. Si un véhicule est impliqué dans un accident et qu'il y a un risque d'incendie, l'objectif de sécurité sera de s'assurer que le conducteur et les passagers peuvent sortir. A contrario, en temps normal l'objectif de sécurité sera que la porte reste fermée lorsque le véhicule roule.

L'ISO 26262 est applicable dans les deux cas. Il définit les processus nécessaires à la conception et à la maintenance sûres des logiciels automobiles. La norme décompose les processus en activités et tâches dont la rigueur varie proportionnellement à la criticité du logiciel.

Selon l'abrégé de l'ISO 26262, elle « ... décrit un cadre pour la sécurité fonctionnelle afin d'aider au développement de systèmes E/E liés à la sécurité. Ce cadre est destiné à être utilisé pour intégrer les activités de sécurité fonctionnelle dans un cadre de développement propre à l'entreprise. L'idée est de fournir une base commune à toutes les parties prenantes pour appliquer les meilleures pratiques et réaliser une amélioration continue - et non d'imposer ces choses. Cela laisse une marge de manœuvre et de flexibilité.

Bien que la conformité à la norme ne soit pas obligatoire, l'acceptation de la norme est si répandue que la non-conformité serait un obstacle commercial majeur pour les produits automobiles. Les équipementiers (constructeurs de véhicules) ont l'obligation d'assurer la sécurité de leurs produits avec une diligence raisonnable, et l'industrie en général reconnaît que la norme ISO 26262 représente la meilleure pratique pour y parvenir. À leur tour, les équipementiers imposent généralement la conformité tout au long de leur chaîne d'approvisionnement.

La norme ISO 26262 définit un certain nombre de niveaux de classification des dangers, appelés ASIL (Automotive Safety Integrity Levels). En pratique, ces ASIL sont des attributs des objectifs de sécurité issus de l'analyse des dangers.

Les niveaux ASIL sont attribuées en tant que propriétés de chaque fonction de sécurité individuelle au niveau de l'élément, où un élément est défini comme un "système ou une combinaison de systèmes, auquel l'ISO 26262 est appliquée, qui met en œuvre une fonction ou une partie d'une fonction au niveau du véhicule" .

L'acronyme ASIL signifie Automotive Safety Integrity Level. Le terme « niveau ASIL » s'étend donc à « niveau de niveau d'intégrité de la sécurité automobile ». C'est évidemment faux !

Trois propriétés des événements dangereux associés à une fonction de sécurité dictent son affectation ASIL. La norme utilise plusieurs tables pour représenter les relations entre ces propriétés, mais elles sont plus faciles à visualiser lorsqu'elles sont représentées dans une seule table ISO 26262 ASIL .

La norme spécifie les contrôles de processus de développement et les mesures de sécurité pour éviter un risque résiduel déraisonnable proportionnel à la classification ISO 26262 ASIL. ASIL A, B, C et D s'appliquent là où le risque associé à un événement dangereux nécessite des mesures de sécurité, et le niveau QM (« Quality Management ») là où ce n'est pas le cas. L'ASIL D représente le niveau le plus dangereux et donc le plus exigeant, de sorte que la surcharge impliquée dans la production d'un système ASIL D critique pour la sécurité (par exemple, le freinage automatique) est nettement supérieure à celle requise pour produire un système ASIL A avec peu d'implications sur la sécurité (par exemple, le système de divertissement).

L'illustration ci-dessous montre le « Tableau 7 : Méthodes de vérification de la conception et de la mise en œuvre des unités logicielles », typique des tableaux de la norme ISO 26262 qui spécifient les processus requis pour la conformité tout au long du cycle de vie du développement. Plus l'ASIL est élevé, plus les processus sont exigeants.

La décomposition est généralement effectuée pour tirer parti d'une complexité, d'un coût, d'un temps, d'une main-d'œuvre et d'outils réduits. La décomposition des différentes cotes ASIL dans l'ensemble de l'élément peut se produire sur différents systèmes, éléments et composants, en passant par les systèmes, les sous-systèmes, les logiciels et le matériel. Généralement effectuée manuellement, la décomposition ASIL doit aboutir à des exigences de sécurité redondantes affectées à des éléments de conception d'une indépendance technique suffisante.

Il existe de nombreuses normes internationales pour les systèmes automobiles et le développement de logiciels automobiles. Cette liste n'est pas exhaustive.

• ISO 26262 et CEI 61508

ISO 26262 est basée sur la norme de sécurité fonctionnelle indépendante de l'industrie CEI 61508 . Bien qu'il y ait beaucoup de points communs entre les deux normes, l'ISO 26262 reconnaît implicitement les meilleures pratiques préexistantes dans l'industrie automobile, sa terminologie et sa production à volume élevé par rapport à la plupart des secteurs critiques pour la sécurité.

Bon nombre des pratiques adoptées par la CEI 61508 et ses dérivés peuvent être enracinées dans les industries de l'avionique commerciale et de défense. Les normes de la série RTCA Inc. telles que DO‑178 ont prouvé que le respect d'un ensemble structuré de meilleures pratiques se traduit par des systèmes fiables à grande échelle qui protègent la sécurité publique. Bien que l'ISO 26262, même dans sa forme originale, était une innovation relativement récente, cette histoire est importante car l'établissement de normes de sécurité fonctionnelle ailleurs a donné naissance à une industrie sophistiquée fournissant un soutien pour leur application efficace. Par conséquent, l'industrie automobile bénéficie d'outils et de techniques établis et éprouvés antérieurs à la norme ISO 26262 elle-même, y compris la suite d'outils LDRA.

• ISO 26262, ISO/IEC 15504, ISO330XX et SPICE automobile (ou ASPICE)

ISO/IEC 15504 « Technologies de l'information – Évaluation des processus », autrement connu sous le nom d'amélioration des performances logicielles et de détermination des capacités (ou SPICE) consiste en un ensemble de normes techniques qui forment collectivement un cadre pour mesurer la maturité des processus de développement logiciel. Elle est axée sur la qualité du logiciel, contrairement à l'accent mis par l'ISO 26262 sur la sécurité fonctionnelle.

Une version spécifique à un domaine de SPICE, Automotive Software Performance Improvement and Capability dEtermination (Automotive SPICE, ou familièrement ASPICE) a été conçue par les constructeurs automobiles européens pour remplir ce même objectif dans le secteur automobile. ASPICE reste conforme au successeur de la norme ISO/IEC 15504, la série de normes ISO330XX .

La norme ISO 26262 adopte une perspective légèrement différente. En mettant l'accent sur la sécurité fonctionnelle dans le secteur automobile, il favorise également le développement de logiciels de haute qualité, mais avec l'objectif spécifique de garantir que les développements sont suffisamment sûrs, compte tenu du risque encouru en cas d'échec.

Il existe clairement un chevauchement entre le domaine d'application d'ASPICE et celui d'ISO 26262, mais il est possible de se conformer aux deux simultanément.

• ISO 26262 et ISO/TS 16949

La norme de système de gestion de la qualité ISO/TS 16949 a été développée pour répondre aux exigences et aux attentes des constructeurs automobiles et de l'industrie des fournisseurs. L'accent est mis sur l'amélioration continue, la prévention des pannes et la réduction des rejets dans la chaîne d'approvisionnement. Il s'agit d'un complément à la norme ISO 9001 et contient les exigences de base pour les systèmes de gestion de la qualité dans l'industrie automobile.
Il existe un certain chevauchement entre l'ISO 26262 et l'ISO/TS 16949, mais pour la plupart, ils sont complémentaires car l'ISO/TS 16949 s'applique aux processus d'entreprise et l'ISO 26262 est axée sur les produits.

• ISO 26262 et AUTOSAR

La plate- forme classique est la solution établie d'AUTOSAR pour les systèmes embarqués avec de fortes contraintes de temps réel et de sécurité. Traditionnellement, le développement de logiciels pour les applications automobiles était réalisé de manière isolée par les équipementiers ou leurs fournisseurs. Cela a conduit à de nombreux efforts dupliqués parmi les acteurs du secteur automobile, à des cycles de développement prolongés et à un manque de flexibilité commerciale, en particulier lorsque des mises à jour matérielles ou logicielles étaient nécessaires. La plate-forme classique répond à ces lacunes en fournissant une couche d'abstraction clairement définie.

La plate- forme adaptative est la solution d'AUTOSAR pour les ECU de calcul haute performance permettant de créer des systèmes liés à la sécurité pour des cas d'utilisation tels que la conduite hautement automatisée et autonome. Il est complémentaire à la plate-forme AUTOSAR Classic et ne la remplace pas.

L'objectif de la norme Foundation est d'assurer l'interopérabilité entre les plates-formes AUTOSAR. Il contient des exigences et des spécifications techniques communes aux plates-formes AUTOSAR - par exemple, les protocoles de communication.

Les plates-formes Classic et Adaptive dictent chacune des caractéristiques technologiques pour l'environnement de développement, y compris les normes de codage, les RTOS, les protocoles de communication, etc. L'adhésion à l'une ou l'autre des normes de plate-forme AUTOSAR n'implique pas en soi la conformité à la norme ISO 26262, et elles doivent donc être prises en compte simultanément. Le briefing technique AUTOSAR simultanément dans une entité transparente peut aider à aborder un cycle de vie potentiel de gestion de projet.

• ISO 26262 et ISO/SAE 21434

ISO/SAE 21434:2021 "Véhicules routiers - Ingénierie de la cybersécurité" décrit un processus d'ingénierie de la sécurité automobile. Elle est complémentaire à l'ISO 26262 et se concentre sur les risques de cybersécurité dans le développement de l'électronique automobile. La norme exige la mise en œuvre des meilleures pratiques de cybersécurité tout au long du développement, de la production et de l'exploitation.

L'ISO 26262 reste pertinente aujourd'hui, mais parce qu'elle a été introduite avant l'émergence de la voiture connectée, elle ne traite pas spécifiquement des risques associés à la connectivité, sauf s'ils présentent un risque pour la sécurité. L'ISO/SAE 21434 est donc complémentaire de l'ISO 26262.

• ISO 26262 et SAE J3061

ISO/SAE 21434 a effectivement remplacé  cliquez pour afficher le document . Les deux normes internationales diffèrent un peu dans le style en ce que SAE J3061 relie les processus de sécurité et les processus de sécurité ISO 26262 les uns aux autres, et ISO/SAE 21434 les découple.

D'un point de vue logiciel, la norme ISO/SAE 21434 ne fait guère plus que ratifier le document qu'elle remplace. Cependant, les normes ISO/SAE 21434 et SAE J3061 présentent toutes deux un ensemble d'objectifs valables à atteindre pour les développeurs de logiciels, et le manque de détails offre une flexibilité sur la manière dont ils sont atteints.

La suite d'outils LDRA aide à faciliter le chemin vers la conformité en automatisant le travail de validation et de vérification requis et en fournissant une traçabilité tout au long du cycle de vie, avec des artefacts probants tels que la matrice de conformité ISO 26262 illustrée ci-dessous.

Un élément clé de l'ISO 26262:4 est la pratique consistant à attribuer des exigences techniques de sécurité dans la spécification de conception du système et à développer davantage cette conception pour en déduire un plan d'intégration et d'essai des éléments. Elle s'applique à tous les aspects du système, y compris les logiciels. Les pratiques de développement matériel et logiciel sont subdivisées plus bas dans le modèle en « V ».

Le diagramme illustre comment la suite d' outils LDRA et d'autres outils s'intègrent dans le processus de développement ISO 26262.