ISO 26262

Norma ISO 26262 definuje postupy, jak zajišťovat bezpečnost funkčních částí vozidel. Její platná verze se týká osobních masově vyráběných vozidel, nová verze rozšiřuje působnost i na další masově vyráběné dopravní prostředky zejména motocykly a nákladní auta. Norma se zabývá těmi „částmi“, které jsou elektricky nebo elektronicky ovládané od systému stability (ESP) po ovládání zpětných zrcátek. V dnešních autech lze bez velké nadsázky říct, že už zbývá jen málo aktivních prvků, které by pod záběr normy nespadaly.

Norma se zabývá zajištěním bezpečnosti v době návrhu, výroby, ale i v době servisu a provozu a fakticky vyžaduje, aby spolehlivost komponent výrobce sledoval po celý životní cyklus až do vyřazení aut, které komponentu obsahují, z provozu.

Norma ISO 26262 je v podstatě nadstavbou nad ISO 9001 i IATF 16949, protože předpokládá (a vyžaduje), aby firma měla zavedený systém řízení jakosti. I když nevyžaduje explicitně, aby byl certifikován nebo zřízen podle konkrétní normy, ISO 9000 je pro svou obecnost častým logickým řešením. Např. ale pro společnosti vyvíjející software pro automobilový průmysl je lepším základem CMMI for Development a naopak norma ISO 16949 pro ně v podstatě význam nemá. Naopak firmy vyrábějící součástky vyvinuté jinými týmy budou pravděpodobně dodržovat IATF 16949 a ISO 26262 jim přinese jen málo nových požadavků.

Struktura normy ISO 26262:2011

Kdo má představu útlé normy po vzoru ISO 9000 nebo IATF 16949, bude rozsahem ISO 26262 možná zaskočen. Zatímco první uvedené jsou obecnými (generickými) normami soustřeďujícími se na cíle, které procesy musí zajistit, ISO 26262 je mnohem konkrétnější a zabývá se konkrétními postupy. Je také detailní ve vysvětlení celého konceptu, jak se má na bezpečnost vyvíjených a vyráběných částí dbát. Důsledkem je, že celou normu tvoří deset na sebe navazujících částí a pro většinu organizací jsou důležité téměř všechny části (většinou není důležitá 1 — 2 části).

Následující oddíly popisují obsah jednotlivých částí, které jsou formálně samostatnými normami s vlastním označením.

ISO 26262-1: Slovník

Slovník vypadá jako možná nejméně důležitá část normy, ale vzhledem k tomu, že vysvětluje bezmála 150 pojmů, opak je pravdou Mnohé termíny jsou si slovně podobné a mají zcela konkrétní význam, který už v normě dále není vysvětlován. Správné pochopení termínů je zcele nezbytné a zbytek normy se bez dobré znalosti významu všech pojmů stává nesrozumitelný.

Důležitost přesného používání pojmů vytváří také velké nároky při komunikaci mezi obchodnícmi partnery, kteří – zvláště pro české dodavatel - navíc velmi často komunikují cizím jazykem. Nepřesný překlad např. konceptu bezpečnosti nebo závislého selhání může vést k vážnému nedorozumění. Je proto velmi vhodné, aby byly anglické výrazy používány i např. v záhlaví formulářů a dokumentů (společně s českými), aby pak následná komunikace v angličtině byla bezproblémová. Rozhodně se nelze spolehnout např. na obecnou znalost němčiny a začít diskuzi o bezpečnostních požadavcích v němčině bez předchozího seznámení se s významem pojmů normy a jejich německým překladem. I to jeden z důvodů, proč i německé automobilové firmy komunikují se všemi zahraničními partnery anglicky.

ISO 26262-2: Řízení funkční bezpečnosti

Druhá část normy se věnuje řízení bezpečnosti na projektové i organizační úrovni, tedy jak pro konkrétní činnosti, tak obecně v organizaci. Jde tedy o řízení nezávislé na konkrétních projektech.

Koncept bezpečnosti normy ISO 26262 do větších podrobnostní rozvádí požadavky obecně definované normou ISO 9000, především ale zavádí klasifikaci ASIL, kterou se stanovuje, jak je která komponenta ve vozidle riziková. Pro málo rizikové komponenty postačí standardní systém řízení (typicky dle ISO 9000), pro rizikové je třeba konceptu bezpečnosti věnovat větší pozornost. Pro ně pak v následných dílech norma zavádí povinné postupy, které se musí při vývoji i výrobě dodržovat.

Kalisifkace ASIL definuje úrovně „bez specifických požadavků“, A, B, C, D, přičemž úroveň D vyjadřuje nejvíce kritické systémy.

ISO 26262-3: Koncept bezpečnosti

Třetí část normy definuje prvky, které musí být řízeny v souladu s normou a požadavky na posouzení rizik. Jde o první kroky celého konceptu bezpečnosti, takže tato část normy fakticky říká, jak se v projektu má s péčí o bezpečnost finálního výrobku začít – jak zahájit životní cyklus produktu z pohledu bezpečnosti a nastavit jeho bezpečnostní kocept.

ISO 26262-4 /-5 / -6: Vývoj produktu na systémové / hardwarové / softwarové úrovni

Tři části normy 4., 5. a 6. mají v podstatě shodné téma: popisují, jak má být naplňován koncept bezpečnosti na systémové úrovni (pro celý systém) a na dílčích úrovních – hardwarové (5. část) a softwarové (6. část).

Naplňováním konceptu se rozumí

  • specifikace bezpečnostních požadavků pro danou část,
  • design řešení s ohledem na všechny bezpečnostní požadavky,
  • integrace s dalšími částmi,
  • testování a validace ,
  • posouzení, že všechny bezpečnostní cíle byly skutečně naplněny.

Čtvrtá část normy se zabývá dokončením procesu za všechny tři části ukončením testování a uvolněním navrženého a ověřeného systému do výroby.

ISO 26262-7: Výroba a provoz

Sedmá část normy se zaměřuje na dvě relativně samostatné oblasti a to výrobu systému před montáží do vozu a prodejem zákazníkovi a zajištění jeho spolehlivosti po celou dobu používání vozu, tj. v provozu, i rámci údržby vozu a při opravách.

Zatímco požadavky pro výrobu se výrazně neliší od požadavků IATF16949, zajištění po dobu provozu jde za rámec této normy. Vyžaduje, aby servisní střediska byla vybavena informacemi potřebnými pro údržbu (pochopitelně prováděnou tak, aby nega­tivně neovlivnily bezpečnost, kterou má systém zajišťovat) tak i zajištění informovanosti uživatele včetně informování, jak se chovat při problémech, pokud nastanou.

ISO 26262-8: Podpůrné procesy

Všechny systémy jakosti – a ISO 26262 v tom rozhodně nejsou výjimkou – jsou velmi přísné stran dokladování všech provedených kroků, dohledu nad doržováním procesů a sledováním všech změn a úprav kdykoli během návrhu, výroby i při použití do vozidla.

Aby byla dokumentace a procesy řádně sledovány, jsou definovány „obvyklé“ procesy všech takto zaměřených norem – péče o komun­ikační rozhraní, pravidla pro správu bezpečnostních požadavků, konfigurační a změnové řízení a obecené požadavky na verifikaci a validaci.

Certifikace používaných aplikací

Specifickým požadavkem normy ISO 26262 (i když ne výhraně, např. norma CMMI má požadavek podobný) je požadavek na certifikaci všech aplikací, které se využívají při správě požadavků, návrhu, vývoji i výrobě. Norma se nezabývá podrobně otázkou, jak má certifikace probíhat, ale jasně tímto požadavkem říká, že společ­nost, která splňuje normu ISO 26262, musí mít pod kontro­lu ne­je­nom vlastní činnosti, ale i všechny nástroje, které přitom používá. Nemůže se pak při případném problému „vymlouvat“, že nějaký bezpečnostní cíl nebyl naplněn, protože se ztratil v evi­denčním software.

ISO 26262-9: ASIL analýza

Zmaření 9. části normy je velmi úzké: definuje, jak přesně provádět ASIL analýzu.

Základem ASIL analýzy je posouzení rizik, které mohou hrozit ze selhání posuzované komponenty. Je třeba si uvědomit, že kompo­nenta musí být posu­zo­vána v kontextu svého použití, tedy s ohledem na další komponenty, které jsou v autě na­monto­vány. Jedna a ta samá komponenta proto v jednom vizidle může být zařazena např. do třídy bezpečnosti B a v jiném voze do třídy D.

Příklad výpočtu ASIL

Jako ilustraci závislostí lze uvést příklad automatických brzd plně řízených počítačem. Tyto brzdy, pokud by byly jediným brzdným mechanismem ve voze, by jistě spadaly do nejvyšší úrov­ně, D. Pokud by ale byly (tak jak tomu nyní ve vozech je) nezá­vis­lé na klasických hydraulických brzdách ovládaných řidičem a ten tak má stále možnost převzít plnou kontrolu nad bržděním (včetně spo­lehli­vé deaktivace automatického mechanismu), je klasifikace elektric­kých brzd i jejich elektronického ovládání pocho­pitelně nižší, protože jejich selhání nemusí mít fatální následky. (Příklad je čistě ilustrační nikoli výsledek analýzy! Proti tvrzení totiž hrají zase jiné faktory, zejména otázka, jestli řidič léta spolé­hající na elektro­nické brzdy, bude reálně schopen použít klasivcké brzdy v případě nutnosti.)

ISO 26262-10: Návod k implementaci normy

Poslední, 10. část normy je nejobsažnější a v jistém smyslu nejčtivější. Obsahuje návody a příklady, jak by plnění normy mělo vypadat v praxi. Vzhledem k po­měr­ně velké abstrakt­nosti ostatních částí normy je tato poslední část rozhodně užitečnou pomůckou, která často upřesní, co přesně se za formálním jazykem normy skrývá, resp. jakou představu o realizaci tvůrci normy mají.

Certifikace podle ISO 26262

Norma ISO 26262 není certifikační normou a neexistuje proto oficiální posouzení/certifikace, že organizace tuto normu splňuje. Vzhledem k jejímu významu v dodavatelských vztazích si ověření plnění normy dodavatelé často vyžadují a PDQM může ověření provést. Výrobci automobilů si ovšem často provádějí vlastní kontrolu kvality, aby si byli kvalitou výrobků, které pod svým jménem dodávají, skutečně jisti.