Visão geralAs práticas de segurança estão se tornando mais regulamentadas à medida que as indústrias adotam um conjunto padronizado de práticas para projetar e testar produtos. A ISO 26262 atende às necessidades de um padrão internacional específico do automotivo que se concentra em componentes críticos de segurança. ISO 26262 é um derivado da IEC 61508, o padrão de segurança funcional genérico para sistemas elétricos e eletrônicos (E/E). Este artigo abrange os principais componentes da ISO 26262 e a qualificação de hardware e software. Além disso, este artigo abrange processos de teste ISO 26262 e ferramentas de qualificação para conformidade ISO 26262.
O aumento da complexidade em toda a indústria automotiva está resultando em esforços crescentes para fornecer sistemas compatíveis com a segurança. Por exemplo, automóveis modernos usam sistemas de fio, como acelerador por fio. É quando o motorista empurra o acelerador e um sensor no pedal envia um sinal para uma unidade de controle eletrônico. Esta unidade de controle analisa vários fatores, como velocidade do motor, velocidade do veículo e posição do pedal. Em seguida, retransmite um comando para o corpo do acelerador. É um desafio da indústria automotiva testar e validar sistemas como acelerador por fio. O objetivo da ISO 26262 é fornecer um padrão de segurança unificador para todos os sistemas E/E automotivos.
O Draft International Standard (DIS) da ISO 26262 foi publicado em junho de 2009. Desde a publicação do rascunho, a ISO 26262 ganhou força na indústria automotiva. Como um projeto público está disponível, os advogados tratam a ISO 26262 como o estado técnico do art. O estado técnico da arte é o mais alto nível de desenvolvimento de um dispositivo ou processo em um determinado momento. De acordo com a lei alemã, os produtores de automóveis são geralmente responsáveis por danos a uma pessoa causados pelo mau funcionamento de um produto. Se o mau funcionamento não tiver sido detectado pelo estado técnico do art, a responsabilidade é excluída [lei alemã sobre a responsabilidade do produto (§ 823 Abs. 1 BGB, § 1 ProdHaftG)].
A implementação do ISO 26262 permite aproveitar um padrão comum para medir o quão seguro um sistema estará em serviço. Ele também fornece a capacidade de referenciar partes específicas do seu sistema por causa de um vocabulário comum fornecido pela norma. Isso está em consonância com outras áreas de aplicação críticas à segurança; um padrão comum fornece uma maneira de medir o quão seguro é o seu sistema.
Componentes-chave da ISO 26262
A ISO 26262 usa um sistema de etapas para gerenciar a segurança funcional e regular o desenvolvimento de produtos em um sistema, hardware e nível de software. Ela fornece regulamentos e recomendações durante todo o processo de desenvolvimento de produtos, desde o desenvolvimento conceitual até o descomissionamento. Detalha como atribuir um nível de risco aceitável a um sistema ou componente e documentar o processo de teste geral. Em geral, ISO 26262:
- Fornece um ciclo de vida de segurança automotiva (gerenciamento, desenvolvimento, produção, operação, serviço, descomissionamento) e suporta a adaptação das atividades necessárias durante essas fases do ciclo de vida
- Fornece uma abordagem baseada em riscos específicos automotivos para determinar classes de risco (Níveis de Integridade de Segurança Automotiva, ASILs)
- Usa ASILs para especificar os requisitos de segurança necessários do item para alcançar um risco residual aceitável
- Fornece requisitos para medidas de validação e confirmação para garantir um nível de segurança suficiente e aceitável sendo alcançado
Ciclo de vida de segurança automotiva
Dez volumes compõem a ISO 26262. É projetado para carros de produção em série, e contém seções específicas para o setor automotivo. Por exemplo, a seção 7 da ISO 26262 oferece requisitos específicos de segurança para produção, operação, serviço e descomissionamento.
O ciclo de vida de segurança automotiva ISO 26262 descreve todo o ciclo de vida da produção. Isso inclui a necessidade de um gerente de segurança, o desenvolvimento de um plano de segurança e a definição de medidas de confirmação, incluindo revisão, auditoria e avaliação de segurança. Esses requisitos destinam-se a ser utilizados para o desenvolvimento dos sistemas e elementos E/E (Elétrico/Eletrônico).
Este artigo se concentra principalmente na seção de desenvolvimento do ciclo de vida. A seção de desenvolvimento da ISO 26262 inclui a definição do sistema, o projeto do sistema, a avaliação funcional de segurança e a validação da segurança.
Nível de integridade de segurança automotiva (ASIL)
O ASIL é um componente-chave para a conformidade ISO 26262. O ASIL é determinado no início do processo de desenvolvimento. As funções pretendidas do sistema são analisadas em relação a possíveis riscos. A ASIL faz a pergunta: "Se ocorrer uma falha, o que acontecerá com o motorista e os usuários das estradas associados?"
A estimativa desse risco, baseada em uma combinação da probabilidade de exposição, da possível controlabilidade por um motorista e da possível gravidade do resultado, se ocorrer um evento crítico, leva ao ASIL. O ASIL não aborda as tecnologias utilizadas no sistema; é puramente focado no dano ao motorista e outros usuários da estrada.
Cada requisito de segurança é atribuído um ASIL de A, B, C ou D, com D tendo os processos críticos mais críticos de segurança e as regulamentações de teste mais rigorosas. A norma ISO 26262 identifica especificamente os requisitos mínimos de teste, dependendo do ASIL do componente. Isso ajuda na determinação dos métodos que devem ser utilizados para o teste. Uma vez determinado o ASIL, uma meta de segurança para o sistema é formulada. Isso define o comportamento do sistema necessário para garantir a segurança.
Por exemplo, vamos considerar um sistema de limpador de para-brisas. A análise de segurança determinará os efeitos que a perda da função do limpador pode ter na visibilidade do motorista. O ASIL orienta a escolha dos métodos adequados para atingir um certo nível de integridade do produto. Esta orientação destina-se a complementar as práticas de segurança atuais. Os automóveis atuais são fabricados em alto nível de segurança e a ISO 26262 tem como objetivo padronizar certas práticas em toda a indústria.
Qualificação de componentes de hardware
A qualificação de hardware tem dois objetivos principais: mostrar como a peça se encaixa no sistema geral e avaliar os modos de falha. Os componentes básicos de hardware podem ser qualificados com qualificação padrão, mas peças mais complexas requerem avaliação através da decomposição e teste asil. Os componentes de hardware são tipicamente qualificados testando a peça em uma variedade de condições ambientais e operacionais. Os resultados dos testes são então analisados com vários métodos numéricos e apresentados em relatório de qualificação, juntamente com o procedimento de teste, suposições e critérios de insumo.
Qualificação de Componentes de Software
A qualificação de componentes de software envolve atividades como definir requisitos funcionais, uso de recursos e prever o comportamento do software em situações de falha e sobrecarga. Esse processo é dramaticamente simplificado usando software qualificado durante o desenvolvimento de um aplicativo.
Componentes de software qualificados são geralmente produtos bem estabelecidos que são reutilizados em projetos e incluem bibliotecas, sistemas operacionais, bancos de dados e software de driver.
Para qualificar um componente de software, o padrão requer testes em condições normais de funcionamento, juntamente com a inserção de falhas no sistema para determinar como ele reage a entradas anormais. Erros de software, como tempo de execução e erros de dados são analisados e abordados durante todo o processo de design.
Argumento "Comprovado em Uso"
Os componentes de hardware e software podem estar em conformidade com os requisitos iso 26262 através do argumento "comprovado em uso". Esta cláusula se aplica quando um componente foi usado em outras aplicações sem incidentes.
A ISO 26262 também aborda sistemas mais antigos que foram comprovados em uso. Em muitas circunstâncias, não faz sentido aplicar um padrão a um sistema que já foi implantado anteriormente em milhões de veículos. Por exemplo, muitos sistemas em carros atualmente fabricados foram fabricados com um alto nível de segurança antes da publicação da ISO 26262.
Ao longo do uso no mundo real, esses componentes críticos à segurança mostraram que podem exibir comportamento confiável.
Sistemas confiáveis que permanecem inalterados em relação aos veículos anteriores ainda são certificados com a ISO 26262.
A combinação de componentes certificáveis de aplicações semelhantes e de aplicativos mais antigos e amplamente implantados reduz consideravelmente a complexidade geral do sistema.
Aplicando-se aos processos atuais
Um dos principais desafios na implementação de um novo padrão como a ISO 26262 é aplicá-la aos processos atuais. Tipicamente com um novo padrão, projetos piloto são usados para mostrar a implementação do padrão e os efeitos que ele tem nos processos atuais.
Os resultados até agora mostram que a ISO 26262 se adapta bem aos conceitos atuais de segurança do setor. As empresas já estão vendo os benefícios de avaliar riscos e fazer análise de risco no início do processo de desenvolvimento e aplicar testes em todo o processo.
É importante que as empresas que procuram implementar o 26262 entendam que o objetivo é analisar o risco no início do processo de desenvolvimento, estabelecer os requisitos adequados de segurança e cumprir esses requisitos por meio de testes durante o desenvolvimento.
Qualificação da ferramenta de teste
Durante o desenvolvimento da ISO 26262, o teste é um componente crítico. Os sistemas críticos à segurança devem reagir adequadamente aos cenários de teste e permanecer dentro dos limites de segurança especificados quando expostos a vários insumos humanos e ambientais. O uso de sistemas de teste de alta qualidade pode melhorar o desempenho de um produto, aumentar a qualidade e a confiabilidade e reduzir as taxas de retorno.
Estima-se que o custo de uma falha diminua em 10 vezes quando o erro é pego na produção em vez de no campo e diminui 10 vezes novamente se for pego no design em vez de produção. Ao pegar esses defeitos e coletar os dados para melhorar um projeto ou processo, o teste fornece valor à sua organização.
Impulsionar a inovação nesse processo por meio da inserção de tecnologia e metodologias de boas práticas pode gerar grandes ganhos de eficiência e redução de custos. É fácil olhar além das ferramentas e pensar apenas no design do sistema, mas na realidade as ferramentas são muito importantes para a segurança do usuário final.
A ISO 26262 reconhece que o uso de ferramentas de software amplamente aceitas simplifica ou automatiza atividades e tarefas necessárias para o desenvolvimento de elementos elétricos, eletrônicos e de software que fornecem funções relacionadas à segurança.
Antes de explicar os detalhes do processo de qualificação da ferramenta, é importante definir uma parte importante da qualificação da ferramenta, o Nível de Confiança da Ferramenta.
Nível de confiança da ferramenta
A partir das entradas e saídas da ferramenta, são desenvolvidos casos típicos (ou de referência) de uso. A análise desses casos de uso leva à determinação do Nível de Confiança da Ferramenta, ou TCL. O TCL e o ASIL determinam o nível de qualificação necessário para a ferramenta de software. Duas áreas específicas são avaliadas para determinar o nível de confiança:
- A possibilidade de uma ferramenta de software defeituosa e sua saída errônea pode levar à violação de qualquer requisito de segurança alocado no item ou elemento relacionado à segurança a ser desenvolvido
- A probabilidade de prevenir ou detectar tais erros em sua saída
O Nível de Confiança da Ferramenta é determinado como sendo TCL1, TCL2, TCL3 ou TCL4, sendo o TCL4 o mais alto nível de confiança e o TCL1 sendo o menor nível de confiança.
O Processo de Qualificação de Ferramentas
Para qualificar uma ferramenta sob ISO 26262, existem muitos requisitos. Por exemplo, o ASIL já deve ser determinado. A ferramenta deve ter um manual do usuário, uma identificação e número de versão exclusivos, uma descrição dos recursos, processo de instalação e ambiente (para citar alguns). A ISO 26262 requer os seguintes produtos de trabalho de qualificação de ferramentas:
- Plano de Qualificação de Ferramentas de Software
- Documentação da ferramenta de software
- Análise de classificação de ferramentas de software
- Relatório de qualificação de ferramentas de software
Plano de Qualificação de Ferramentas de Software
O Plano de Qualificação da ferramenta de software (STQP) é criado no início do ciclo de vida de desenvolvimento do item relacionado à segurança. Foca-se em duas áreas: planejamento para a qualificação de uma ferramenta de software e listagem dos casos de uso que demonstram que a ferramenta é classificada com o nível de confiança exigido.
O STQP deve incluir itens como uma identificação única e número de versão da ferramenta de software, casos de uso, ambiente, descrição, manual do usuário e o ASIL pré-definido.
Análise de classificação de ferramentas de software
O principal objetivo da Análise de Classificação de Ferramentas de Software (STCA) é determinar o Nível de Confiança da Ferramenta. Existem dois componentes principais que determinam o TCL. O primeiro é o Impacto da Ferramenta (TI). A segunda é a Detecção de Erro da Ferramenta (TD). Com base nesses dois componentes, o TCL apropriado é escolhido.
TI1 ou TI2 são as duas classes de Impacto de Ferramenta. O TI1 é escolhido quando há um argumento de que não há possibilidade de que a ferramenta de software com defeito possa violar um requisito de segurança. Para todos os outros casos, o TI2 é escolhido.
Por exemplo, digamos que uma ferramenta produz um erro de digitação na documentação para uma determinada função de software. Isso pode ser considerado apenas um incômodo, e não viola o requisito de segurança em teste. Isso resultaria em um impacto de ferramenta do TI1. Se a ferramenta produzir um erro que possa alterar o comportamento do sistema de alguma forma, então o TI2 será escolhido.
A Detecção de Erro da Ferramenta é classificada como TD1 através de TD3. O TD1 é escolhido se houver um alto grau de confiança na capacidade da ferramenta de detectar um erro onde o TD3 é escolhido para um grau muito baixo de confiança, muitas vezes quando é determinado que o erro só pode ser detectado aleatoriamente.
Por exemplo, uma ferramenta de software pode verificar um modelo de design para erros. Neste caso, é realizada a análise estática do modelo. Embora a análise estática seja boa, não pode verificar todas as possíveis violações no modelo. Também é importante notar que isso não implica necessariamente que o modelo esteja incorreto; isso simplesmente significa que testes adicionais são necessários. Este cenário resulta em um grau de confiança 'médio', ou TD2.
Uma vez determinado o TD (Tool Impact, agente de impacto da ferramenta) e a detecção de erros da ferramenta, um valor de TCL 1 a TCL 3 é dado, dependendo do nível de confiança exigido. Às vezes, vários casos de uso podem resultar em vários TCLs. Neste caso, o TCL mais alto é usado. Para cada ferramenta de software, o usuário precisa realizar a classificação da ferramenta.
Documentação da ferramenta de software
Várias informações devem ser fornecidas para garantir o uso adequado da ferramenta de software.
- Descrição dos recursos
- Descrição do processo de instalação
- Manual do usuário
- Ambiente operacional
- Comportamento esperado em condições anormais
Relatório de qualificação de ferramentas de software
O Relatório de Qualificação de Ferramentas de Software contém os resultados e evidências de que a qualificação da ferramenta foi preenchida e os requisitos cumpridos. Quaisquer defeitos ou saídas errôneas durante a validação devem ser analisadas e documentadas aqui.
Aumento da confiança do uso
Um aspecto importante da qualificação da ferramenta é o conceito de aumento da confiança do uso. Se os requisitos de qualificação já podem ser demonstrados para uma determinada ferramenta, então não é mais necessária uma qualificação adicional. Isso pode economizar drasticamente o custo e o tempo durante todo o processo de desenvolvimento.
No entanto, os requisitos de qualificação devem ser demonstrados para cada item ou elemento relacionado à segurança antes de utilizado no desenvolvimento desse item. Para demonstrar isso, a ferramenta deve demonstrar que:
- Tem sido usado anteriormente para o mesmo propósito com casos de uso comparáveis
- A especificação da ferramenta é inalterada
- Não houve violação dos requisitos de segurança atribuídos ao item anteriormente desenvolvido relacionado à segurança.
Por exemplo, digamos que a ferramenta de teste A foi usada para validar requisitos para o ECU (Unidade de Controle do Motor) do carro X. Se a ferramenta de teste A não violou nenhum requisito de segurança e permanece inalterada, então ela pode ser usada para validar o ECU do carro Y, dado que o ECU do carro Y está sendo usado de maneira semelhante ao ECU do carro X.
Portanto, se sua empresa pertence à cadeia de suprimentos elétrico/eletrônico e/ou de software da industria automotiva, planeje a adequação à esta norma para se qualificar e poder se manter no mercado em questão.
Fonte: https://www.ni.com/pt-br/innovations/white-papers/11/what-is-the-iso-26262-functional-safety-standard-.html
 |
| AQC - Otimizando Processos |
Nenhum comentário:
Postar um comentário