Comment le respect des normes essentielles de l’industrie rend les véhicules autonomes plus sûrs
Une compréhension rigoureuse des différentes normes de sécurité des véhicules autonomes est essentielle pour atténuer les risques de ces véhicules.
Des changements radicaux propulsent l’industrie automobile vers l’avant alors que l’électrification transforme les véhicules de systèmes mécaniques en merveilles électroniques. Les progrès massifs dans les systèmes électroniques et informatiques sophistiqués font des voitures autonomes une réalité. En réponse, les constructeurs et équipementiers automobiles se sont ralliés au concept de « sécurité fonctionnelle » détaillé dans la norme ISO26262 en constante évolution, qui devrait transformer le processus de conception automobile des systèmes électriques (E/E) axés sur la sécurité. Alors que les véhicules deviennent plus autonomes et que les conducteurs dépendent de plus en plus de l’électronique, la norme ISO26262 garantira et améliorera la sécurité des véhicules, des systèmes individuels et de leurs composants sous-jacents.
Comme le montre la figure 1, l’industrie automobile a standardisé sur six niveaux pour classer les systèmes de véhicules autonomes. Bien que ces évaluations aient facilité la classification des véhicules, la réalisation en toute sécurité de systèmes de niveau 4 et de niveau 5 (semi- et entièrement autonomes) s’est avérée assez difficile. Tout dysfonctionnement dans un système de niveau 4 ou de niveau 5 peut directement entraîner des blessures ou même la mort. La sécurité fonctionnelle vise à empêcher les systèmes et les composants d’introduire des risques déraisonnables. Dans le même temps, il fournit au constructeur automobile un cadre pour démontrer légalement que la sécurité fonctionnelle a été atteinte tout au long du cycle de vie d’un système E/E.
Le risque et la sécurité sont si centraux que la norme définit réellement ces termes. Le risque est une combinaison de la probabilité de survenance d’un préjudice et le gravité de ce préjudice. Un risque déraisonnable est donc risque jugé inacceptable dans un certain contexte selon des normes morales de la société. La sécurité, dans ce paradigme, est simplement l’absence de risque déraisonnable. La norme ISO26262 utilise une approche holistique pour assurer la sécurité ou, en d’autres termes, éliminer les risques déraisonnables.
La sécurité fonctionnelle déplace l’attention de l’ensemble du cycle de conception et de la culture d’entreprise vers la sécurité. Comme le montre la figure 2, la norme englobe les personnes, les processus et le produit final. C’est essentiel car, contrairement à d’autres normes, les concepteurs sont au centre de l’attention. Les concepteurs de véhicules, les concepteurs de systèmes et même les concepteurs de composants individuels doivent tous comprendre comment mettre en œuvre la sécurité fonctionnelle dans tous les aspects de la conception.
De plus, le régime de formation et la culture d’entreprise doivent cultiver une « culture de la sécurité ». Les nouveaux processus décrits par la norme soutiennent la culture de sécurité avec des moyens normalisés de déterminer et de documenter les exigences et diverses décisions et analyses liées à la sécurité. Enfin, les personnes et le processus créent en fin de compte un produit meilleur et plus sûr. De nombreux concepteurs ont découvert que l’analyse et la documentation rigoureuses requises par la norme ISO26262 pour garantir la sécurité fonctionnelle améliorent également la conception et la qualité de leur produit. Les trois aspects fondamentaux de l’ISO26262 fournissent le contexte nécessaire pour comprendre comment la norme est mise en œuvre dans les conceptions réelles.
La mise en œuvre de la sécurité fonctionnelle nécessite une vue au niveau du système dans le but d’éliminer les défauts systémiques et d’atténuer les défauts aléatoires dans le véhicule. Ici, une faute systématique est définie comme une erreur de définition, de conception, d’outils, de processus ou toute autre défaillance qui ne peut être résolue que par une analyse qualitative. La sécurité fonctionnelle repose en grande partie sur la culture de sécurité et les processus de sécurité pour atténuer ces défauts. Les défauts aléatoires, d’autre part, incluent les défauts permanents et les défauts transitoires qui peuvent être évalués à l’aide de méthodes qualitatives. et analyse quantitative. La méthodologie ISO26262 traite les deux types de défauts. Une conception commence par le constructeur automobile qui identifie les objectifs de sécurité au niveau du véhicule.
À l’aide d’un processus de décomposition défini, les objectifs de sécurité du véhicule sont traduits en objectifs de sécurité pour les systèmes et composants de niveau inférieur. Les concepteurs attribuent ensuite les risques à chaque système et à ses composants individuels. Ceci, à son tour, détermine la sélection des composants qui peuvent répondre au risque alloué. Si un composant ne peut pas répondre au risque alloué, alors un composant différent doit être sélectionné, ou des mécanismes de sécurité doivent être mis en œuvre autour de ce composant. Enfin, une analyse technique est effectuée pour prouver qu’un composant est adapté à la sécurité attribuée dont il est responsable. Cette approche axée sur la sécurité fournit aux concepteurs automobiles un cadre pour éliminer les défauts systématiques et réduire considérablement les défauts aléatoires.
La norme ISO26262 fournit de nombreux processus et mécanismes pour aider les concepteurs à suivre cette nouvelle méthodologie. L’un des plus utiles et des plus importants est le modèle « V », illustré à la figure 3. Le concept de base du modèle « V » est que les exigences descendent du niveau du concept à la mise en œuvre réelle. Par exemple, dans la figure 2, le « V » commence par les concepts de sécurité technique, qui incluent les exigences de sécurité technique (TSR), les mécanismes de sécurité (SM) et l’interface matériel-logiciel (HSI). Ensuite, l’équipe de conception détermine les spécifications des exigences de sécurité matérielle (HSR) et l’architecture matérielle. Ce n’est que lorsque ces deux éléments sont terminés que la conception matérielle détaillée est créée.
L’ensemble du processus d’exigences comprend une documentation de contrôle de révision et de traçabilité conforme à la norme ISO26262. L’équipe de conception examine ensuite la conception pour déterminer s’il existe un mécanisme de défaillance en un seul point (SPFM) ou un mécanisme de faute latente (LFM). Cette analyse est ensuite utilisée pour calculer la métrique probabiliste de défaillance matérielle aléatoire (PMHF), et la conception est améliorée au besoin. Maintenant, l’équipe de conception monte du côté droit du V et effectue l’intégration et la vérification du matériel, suivies de l’intégration du système et de la validation de la sécurité. Comme auparavant, le contrôle des révisions et la traçabilité sont maintenus à chaque étape du processus. En suivant le modèle en V, les concepteurs s’assurent que la conception commence et se termine avec la sécurité fonctionnelle comme principe fondamental.
L’une des étapes les plus fondamentales de l’ensemble du processus de sécurité fonctionnelle consiste pour le constructeur automobile (OEM) à évaluer les exigences de sécurité au niveau du véhicule. C’est ce qu’on appelle une analyse des dangers et une évaluation des risques (HARA), et elle crée une base pour l’ensemble du projet. Le HARA commence par la compilation par l’équipe de conception du véhicule d’une liste d’événements dangereux. Chaque événement est évalué en fonction de la gravité, de l’exposition et de la contrôlabilité avec une échelle de 1 à 3 attribuée à chaque aspect. Par exemple, un événement dont la gravité est S1 présente un risque faible à modéré de causer des blessures. À partir de cette analyse, chaque événement dangereux se voit attribuer une cote ASIL de A à D, D représentant le risque de blessure le plus élevé.
L’équipe de conception du véhicule définit ensuite des objectifs de sécurité (SG) pour contrer les événements dangereux, et une hiérarchie d’exigences de sécurité (SR) est créée pour répondre à chaque objectif de sécurité, chaque SG et SR héritant de la classification ASIL de l’événement dangereux auquel il répond. Ces exigences sont ensuite utilisées pour piloter la conception de l’électronique liée à la sécurité.
Un autre aspect de la nouvelle norme qui peut rapidement devenir complexe est la documentation. Les deux principaux documents requis par la norme sont les produits de travail et les dossiers de sécurité. Les documents résultant des activités ISO26262 sont appelés les produits de travail. Les produits de travail comprennent des documents de vérification, des évaluations de la sécurité fonctionnelle et des audits de sécurité fonctionnelle. Pour chaque élément de la conception, un dossier de sécurité est créé à partir des produits de travail. Le dossier de sécurité est un argument documenté selon lequel l’article est exempt de risques déraisonnables. Ces deux types de documents se complètent pour former la base du processus de documentation ISO26262.
Pour les concepteurs de systèmes automobiles, l’un des aspects les plus importants de la norme ISO26262 est son effet sur la sélection des composants. Certains composants prétendent désormais être « compatibles ASIL-D ». Cependant, cela est très trompeur car la conformité ASIL et ISO26262 sont effectuées au niveau du véhicule. En fait, les composants développés selon ISO26262 sont adaptés à une utilisation dans un système ASIL-D mais ne sont pas directement « conformes » à l’une ou l’autre des normes. De plus, de nombreux composants liés à la sécurité ne sont pas développés pour un élément spécifique du véhicule et peuvent être utilisés dans de nombreux systèmes différents. Par exemple, l’un des pilotes de grille isolés de Silicon Labs peut piloter les FET dans l’onduleur de traction ou le chargeur embarqué.
Ce type de composant est appelé élément de sécurité hors contexte (SEooC), dans lequel les exigences de sécurité n’ont pas été transmises au concepteur du composant. Au lieu de cela, le concepteur du composant avait des hypothèses d’utilisation (AoU) pour le composant que le concepteur du système doit examiner. Les composants développés conformément à la norme ISO26262 incluent généralement un manuel de sécurité, qui inclut les hypothèses d’utilisation et les produits de travail pertinents que le concepteur du système peut utiliser pour évaluer la sécurité des composants du système. Le manuel de sécurité et la connaissance approfondie de la norme ISO26262 du fournisseur de composants aident à garantir la sécurité fonctionnelle du système construit avec le SEooC.
Alors que la sécurité a toujours été un élément essentiel dans la conception des véhicules, l’avènement des voitures semi-autonomes et entièrement autonomes a forcé l’industrie automobile à repenser la façon de construire des systèmes électroniques sûrs. Chaque composant, appareil et système électronique qui a un impact sur la sécurité du véhicule doit atteindre un nouveau niveau de sophistication si le conducteur veut abandonner le contrôle en toute sécurité. La sécurité fonctionnelle et ISO26262 créent plus qu’un simple changement radical dans la méthodologie de conception ; ils font de la sécurité une partie intégrante de la culture de conception des véhicules. Les améliorations et innovations en matière de sécurité résultant de la norme ISO26262 garantiront que les systèmes électriques sont prêts pour les véhicules autonomes du futur.