ISO 26262 Functional Safety Concept

Tempo di Lettura: 4 minuti - Livello di Difficoltà: avanzato

Ricollegandoci all’articolo precedente, ricordiamo che fra i punti cardine dello standard ISO 26262 emerge quello di pianificare, coordinare e monitorare lo stato di avanzamento delle attività di sicurezza, nonché la responsabilità di garantire che le misure di conferma vengano eseguite durante tutto il ciclo di vita della sicurezza (Safety Lifecycle). Soffermiamoci su una fase fondamentale, chiamata Functional Safety Concept.

Introduzione alla fase di Concept vs. Ciclo di vita della sicurezza

La fase del Functional Safety Concept è prevista nella parte iniziale del ciclo di vita ISO 26262, in quanto fissa le basi da considerare in progettazione per il raggiungimento degli obiettivi di sicurezza già fissati attraverso la determinazione degli ASIL col metodo HARA.

FSC in iso 26262 lifecycle

 

La definizione esatta di Functional Safety Concept (FSC) è:

specificazione dei requisiti di sicurezza funzionale* con le informazioni associate, la loro assegnazione verso gli elementi all’interno dell’architettura e la loro interazione necessaria per raggiungere gli obiettivi di sicurezza.

 

*Requisito di sicurezza funzionale (FSR – Functional Safety Requirement) è invece:

specifica del comportamento di sicurezza indipendente dall’implementazione o della misura di sicurezza indipendente dall’implementazione, compresi i suoi attributi relativi alla sicurezza.

 

Per meglio specificare, mettiamo a confronto le due definizioni:

FS Functional Safety Concept (FSC) Functional Safety Requirement (FSR)
A cosa si riferisce Veicolo Sistemi o sotto-sistemi
Scopo Descrive come saranno raggiunti gli obiettivi di sicurezza Tradurre l’FSC in requisiti specifici e verificabili per i singoli componenti del sistema
Cosa specifica
  • Comportamento funzionale o degradato dell’oggetto in relazione agli obiettivi di sicurezza
  • Strategie per rilevare e controllare tempestivamente i guasti rilevanti
  • Misure per ottenere la tolleranza ai guasti o mitigare gli effetti dei guasti
  • Assegnazione dei requisiti di sicurezza all’architettura del sistema o alle misure esterne
  • Funzioni di sicurezza che il sistema deve implementare
  • Comportamenti richiesti in condizioni normali e di guasto
  • Livelli di prestazione richiesti (ad esempio, tempo di risposta massimo)
Esempio Per un sistema di Adaptive Cruise Control (ACC), l’FSC potrebbe specificare in che modo il sistema reagisce ai guasti dei sensori, come in caso di perdita del segnale radar, per mantenere la sicurezza del veicolo. Un FSR per l’ACC potrebbe specificare che il sistema deve disinnestarsi automaticamente e avvisare il conducente in caso di guasto del sensore radar entro 2 secondi.

 

In sintesi, l’FSC fornisce una visione complessiva di come sarà raggiunta la sicurezza del veicolo, mentre gli FSR traducono questa visione in requisiti concreti e misurabili per i singoli componenti del sistema.

 

Hai bisogno di assistenza immediata per la conformità alla ISO 26262 (Functional Safety)?

 

Contattaci

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Prerequisiti del Functional Safety Concept

Gli input necessari per la definizione del FSC sono:

  • Definizione dell’item
  • Report sull’analisi dei pericoli e sulla valutazione dei rischi
  • Progettazione architettonica del sistema
  • Considerare eventuali dipendenze fra sistemi, interfacce, interazioni del conducente e dell’ambiente
  • Determinare la relazione tra guasti, meccanismi di sicurezza e interazioni/comportamenti del conducente

 

Il tutto riportato all’interno del Piano di Sicurezza, al quale segue l’attuazione dei requisiti specifici; tale piano deve contenere tutte le indicazioni necessarie su come implementare, gestire nel tempo, e tracciare le responsabilità legate alla sicurezza funzionale.

Esempio applicativo del Functional Safety Concept

Vediamo un esempio di applicazione del Functional Safety Concept ai sistemi di centraggio della corsia (ALC, Automatic Level Control).

L’assunto è che per i sistemi ALC siano generalmente previste delle strategie di gestione del guasto.

Ciò significa poter disinnestare il sistema ALC senza ulteriori azioni e senza interferire con altri sistemi transitando in una condizione di sicurezza, come nello schema di esempio qui sotto, fornito da NHTSA: DOT HS 812 573 – Functional Safety Assessment of an Automated Lane Centering System.

iso 26262 functional safety concept example on alc

 

Questa è un’architettura che a titolo esplicativo può supportare un guasto e mantenere comunque attivo il sistema ALC. In caso di secondo fallimento è possibile seguire una strategia di gestione del guasto.

 

Tuttavia, resta fondamentale l’inclusione di requisiti di sicurezza specifici per i sistemi di avvertimento per il conducente, ossia, per esempio, legati alla possibilità di registrare guasti elettronici nei moduli di controllo ALC, oppure di rilevare qualsiasi guasto elettronico che possa avere effetti significativi sulla funzionalità di Automatic Level Control.

Infatti, l’avvertimento al conducente è un elemento chiave per garantire che il conducente segua la giusta linea di condotta. Il ruolo dell’avviso è quello di ridurre il tempo di esposizione al rischio entro un intervallo accettabile, quindi attraverso spie luminose o segnali tattili, come vibrazione del volante o del sedile, audio o messaggi sul display.

 

Domande? Commenti?

 

Inviaci il tuo feedback

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Torna all'elenco degli articoli
Send this to a friend