Standard ISO 26262 ze standardu ISO 61508 vzešel, v mnoha ohledech se ho ideově drží, ale přest přinesl zásadní změny, které nejenom opostatňují existenci samotného standardu, ale měly i zásadní dopad na požadavky, které ISO 26262 přináší.
Podíváme se na hlavní rozdíly mezi oběma standardy
Různé výchozí podmínky
ISO 61508 je standard pro spolehlivost elektrických a elektronických systémů v průmyslu. Standard je využíván v mnoha oblastech nejenom průmyslové výroby, ale odkazují se na něj i mnohé další normy včetně norem na pracovní stroje pohybudjící se na silnících. Příkladem takové normy je ISO 1501 pro vozy pro sběr odpadu. Přesto nebyla pro automobilový průmysl vhodná. Hlavními důvody jsou:
- Automobily jsou v naprosté většině vyráběny v násobně větších sériích, než jakékoli jiné stroje. Proto i málo pravděpodobná závadda má potenciál proměnit se v tragédii a to ne jednou, ale opakovaně, než se přijde na příčinu.
- Automibily není možné v případě zjištěného problému snadno opravit. Zatímco stroje v továrnách je možné v případě potřeby upravit, u automobilů to vyžaduje svolávací akci, která je nákladná, časově náročná a nidky se nedostaví všichni řdiči. Úspěšnost 70% je úspěchem, a lze ji předpokldát u novějších vozů.
- Auta řídí lidé, kteří jsou odborníky na kde co, ale téměř nikdy na auta (i když si to řada z nich namlouvá – o to hůř!). Svému vozu nerozumí. Oproti tomu u strojů v továrnách, na stavbách i kdekoli jinde jsou lidé zaškolení a ovládání daného stroje je většinou jejich hlavní pracovní náplní.
- Lidé se o auta nestarají. Ne snad, že by většina nechtěla, ale mají jiné starosti.
- Auta jezdí dlouho. Auto musí být spolehlivé nejenom v záruce, ale i po něm. Stroje, ale i vlaky, autobusy a jiné dopravní prostředky procházejí generální opravou. Auta jezdí na prohlídky také, ale mnoho starších aut u řidiči z ekonomických důvodů na servisní kontroly nevozí. Přesto od nich všichni očekávají spolehlivost.
- Auto není možné v případě závady prostě zastavit. Stroj v továrně je většionu možné vypnout bez zásadního ohrožení životů, ale s autem toto často neplatí.
- Kolem auta se pohybují ještě méně školení uživatelé, než řidiči. Dítě, někdy i batole za volantem sice nemá co dělat, ale komu někdy dítě nevlezlo za volant? Auto musí být bezpečné i pro dětské návštěvníky.
- Osovní auta mají velmi specifické a různorodé provozní podmínky. Stroje věštinou pracují denně a mají pravidelnou údržbu. Auta pracují často jenom jednou týdně a žádnou údržbu a kontrolu před tím nemají. Výjimkou není ani situace, kdy měsíc stojí na děšti a v pak se mají za jakýchkoli vnějších podmínek rozjet.
- Proškolení servisní sítě je na mnohem nižší úrovni, než v případě servisu jiných typů zařízení. I v případě zančkových autoservisů musí být každý technik schpen servisovat desítky modelů různého stáří a nelze tedy od něj očekávat detailní znalosti.
Konkrétní rozdíly
Výpočet spolehlivosti
Zásadním rozdílem mezi oběma standardy je výpočet spolehlivosti. Rozídly jsou dvou základních typů. Je u nich jistě zřejmé, jak vyplývají z důvodů rozebraných v předchozím oddílu.
- Spolehlivost požadovaná podle ISO 26262 je o 1 &nbps; 2 řády vyšší než podle ISO 61508.
- Spolehlivost vychází z jiných provozních podmínek.
Rozdíl výpočtu vyjadřují i jinak pojmenované úrvoně SIL – Safety Integrity Level a ASIL – Automotive SIL. Do výpočtu ASIL vstupuje jako výchozí předpoklad nezkušený uživatel, který nečetl uživatelskou příručku a jedne v různorodých podmínkách
Různorodými pomdínkami se rozumí déšť, mráz, jízda v tunelu, jízda s přetíženým vozem, nezřidka i jízda s varovnou kontrolkou.
Dodavatelsko-odběratelské vztahy
V dodavatelských vztazích je zásadní rozdíl v tom, že:
- Auta mají mnoho dodavatelů a celé řetězce jsou dlouhé. ISO 26262 klade velký důraz na to, že každý dodavatel si musí pohlídat všechny své dodavatele. I když jde o standard zakotvený i v základním standardu kvality ISO 9000, v ISO 26262 je mnohem proracovanější zejména v oblasti hlášení problémů zjištěných až po výrobě. Automoibilky se tak snaží předejít tomu, že výrobce ví, že dodaný díl nebo séria byla nebo mohla být vadná, ale automobilka se o tom nedozví.
- Jedna komponenta je užívána v různých typech vozů i různými výrobci. Tzv. OEM dodávky dílů, které jsou čast velmi sofistikované a s významným vlivem na bezpečnost (např. systémy řízení brzd), jsou dodávány do různých aut v zásadě stejné, ale v různých konfiguracích. Výrobce musí zajistit, aby pro každý vůz byla dodávka přesně ta správná, nedošlo k záměně a to např. ani v softwarovém nastavení jednotky. Kromě toho musí jednotky fungovat s různými jednotkami jiných výrobců. Standard proto klade velký důraz na modulárnost a autonomnost jednotek.
- Jednotky s vlivem na bezpečnosti a spolelivost jsou samy složené z dílů různých dodavatelů a tyto díly nekompletuje dodavatel jednotky, ale finální výrobce – automobilka. Automobilka nejenom kompletuje, ale i vybírá dodavatele. Opět je zde veliký důraz na přesnost specifikace a rozhraní.
Procesní rozdíly
ISO 26262 definuje jinak proces hodnocení spolehlivosti součásty na základě předchozí zkušenosti. Obdobně jako v případě výpočtu spolehlivosti, i zde hraje velkou roli jiné užívání a jiné objemy výroby a proces je tomu přizpůsoben.
Zaškolení, které je samozřejmostí u jiných zařízení, nemůže u uživatele vozu hrát významenou roli. Bezpečnostní manuály jsou součástí auta, ale návrh musí počítat s tím, že jej uživatel nečetl. Proto jsou požadavky na koncept bezpečnosti u aut odlišné.
Rozdílů by se našlo více, ale snažili jsme se uvést ty nejvýznamnější. Věříme, že je z nich patrné, že ať už máte plnit jeden standard, nebo druhý, znalost druhého vám sice pomůže, ale rozhodně není dostatečná. Stejně tak není možné spolehnout na to, že interní systém řízení kvality vybudovaný tak, aby splňovat požadavky jednoho standadu, bude vyhovující i pro druhý standard. I když mají oba standardy stejný přístup k zajištění kvality, rozdíly jsou natolik významné, že při úpravě systému kvality splňujícího např. ISO 61508, aby splňovat ISO 26262 budete muset zrevidovat odhadem 50% procesů.
Může vás zajímat
Více o normě ISO 26262
Uvedení normy ISO 26262 do praxe
Systémová podpora standardů
Školení Automotive SPICE