Jednak awaria jednego z tych elementów może doprowadzić do wielu groźnych sytuacji, a przez to narazić na niebezpieczeństwo zarówno osoby znajdujące się wewnątrz pojazdu, jak i poza nim. Odpowiedzią na te wyzwania, a zarazem nowym standardem funkcjonalnym dla przemysłu motoryzacyjnego stała się norma ISO 26262 - oparta na IEC 61508.
W ciągu ostatnich dwudziestu lat znacząco wzrósł stopień złożoności stosowanych w samochodach układów elektrycznych i elektronicznych. Produkowane w latach 80-tych dwudziestego wieku pojazdy wyposażone były w zaledwie kilka elektronicznych modułów sterujących najważniejszymi układami, takimi jak: układ spalania, układ kierowniczy i jego wspomaganie, kontrola trakcji itp. Nowoczesne auta posiadają znacznie więcej elektroniki: system hamowania awaryjnego, system wykrywania obiektów w tzw. "martwym polu", adaptacyjne pneumatyczne zawieszenie, systemy multimedialne i wiele innych elementów, które sprawiają, że podróż jest nie tylko bezpieczniejsza, ale i przyjemniejsza. Istotną rolę odgrywają nie tylko same urządzenia kontroli i dostosowania funkcjonalności pojazdu, lecz także ich oprogramowanie. Co więcej, systemy te komunikują się ze sobą wymieniając dane zebrane z czujników, informują się o aktualnym stanie roboczym oraz przekazują polecenia do innych układów.
Tak złożona struktura jest podatna na awarie wywoływane przez różnego rodzaju uszkodzenia lub wady urządzeń i oprogramowania. Każda tego typu nieprawidłowość może stanowić poważne zagrożenie. Przykładowo: podczas jazdy autem, na skutek błędnego sygnału z czujnika może dojść do niespodziewanej aktywacji poduszki powietrznej; lub podczas jazdy nocą wąską, krętą drogą z powodu defektu oprogramowania, mogą niespodziewanie zgasnąć przednie światła samochodu. Tego typu sytuacje zagrażają życiu i bezpieczeństwu zarówno osób znajdujących się wewnątrz, jak i poza pojazdem.
Norma ISO 26262 odpowiada na powyższe problemy, obejmując swym zakresem proces projektowania, rozwoju i produkcji wyrobu. Procesy zaprojektowane i zrealizowane zgodnie z wymaganiami ISO 26262 eliminują niepożądane ryzyko i zagrożenia poprzez ukierunkowanie na funkcjonalne bezpieczeństwo produktu. Współpraca z takimi markami, jak Volvo, VW, Toyota, Tesla, Ford, BMW, Mercedes czy Fiat jest dziś prawie niemożliwa bez Systemu Zarządzania Bezpieczeństwem Funkcjonalnym zgodnego z ISO 26262. Coraz więcej dostawców z Europy, Stanów Zjednoczonych i Azji dąży do uzyskania certyfikacji swoich systemów według normy dotyczącej bezpieczeństwa funkcjonalnego.
Przedmiotem normy ISO 26262 jest bezpieczeństwo funkcjonalne. Jego osiągnięciu służy minimalizowanie wszystkich nieakceptowanych ryzyk i zagrożeń, poprzez zastosowanie w całym cyklu życia produktu podejścia opartego na ryzyku: od etapu prac koncepcyjnych, przez projektowanie i rozwój, po produkcję i eksploatację.
Główna koncepcja polega na tym, by awaria któregokolwiek z komponentów nie powodowała zagrożenia dla osób znajdujących się wewnątrz lub na zewnątrz pojazdu. Kierowca musi mieć możliwość utrzymania kontroli nad sytuacją. Punktem wyjścia jest identyfikacja ryzyka, natomiast środki, jakie zostaną następnie zastosowane i działania jakie będą podjęte, zależą od klasyfikacji poziomu nienaruszalności bezpieczeństwa ASIL (Automotive Safety Integrity Level) danego komponentu.
Podzespoły z klasą bezpieczeństwa ASIL A mają najmniejszy wpływ na zdrowie człowieka. W związku z tym wymagają one minimalnego zaangażowania środków ograniczania ryzyka. Taka sytuacja dotyczy np. samochodowego odbiornika radiowego – wpływ jego uszkodzenia na bezpieczeństwo jest zerowy lub marginalny, a kierowca z łatwością jest w stanie zapanować nad sytuacją. Awaria elementów istotniejszych z punktu widzenia bezpieczeństwa (np. układu wspomagania hamowania ABS/ASR/BA) może spowodować zagrożenie zdrowia, a nawet życia. Komponenty o tak krytycznym znaczeniu muszą spełniać wymagania najwyższej klasyfikacji poziomu bezpieczeństwa – ASIL D – co wiąże się z koniecznością szeroko zakrojonego ograniczenia ryzyka, tak aby potencjalna awaria układu nie stała się przyczyną urazów kierowcy, pasażerów, czy pozostałych uczestników ruchu.
Norma ISO 26262 może być stosowana w odniesieniu zarówno do komponentów sprzętowych, oprogramowania bez dedykowanego sprzętu, jak również do produktów łączonych, czyli urządzeń wraz z ich oprogramowaniem.
Norma składa się z 10 części zatytułowanych "Road vehicles — Functional safety":
- Part 1: Vocabulary,
- Part 2: Management of functional safety, która dotyka aspektu zarządzania bezpieczeństwem software’u i hardware’u,
- Part 3: Concept phase, która może mieć swoje inklinacje testerskie w przypadku wczesnych przeglądów i strategii testowania opartej na ryzyku,
- Part 4: Product development at the system level, wchodzi w skład tzw. dużego V, z uwzględnieniem definiowania całego systemu, z wieloma czynnościami kontroli jakości,
- Part 5: Product development at the hardware level, tzw. małe modele V z mikro V, definiowane jako tworzenie i testowanie architektury rozwiązania,
- Part 6: Product development at the software level, podobnie jak dla hardware z zakresem testów od jednostkowych po integracyjne,
- Part 7: Production and operation – z testowaniem w DevOps,
- Part 8: Supporting processes, m.in. z weryfikacją oraz technical writingiem,
- Part 9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses,
- Part 10: Guideline on ISO 26262.
Rys 1. Wizualizacja struktury standardu wraz ze wskazaniem na model V jako rekomendowany do tworzenia oprogramowania dla pojazdów.
Cały standard jak i cały automotive oparty jest w dużej mierze na działaniach weryfikacyjnych, walidacyjnych, assessmentowych oraz testowych. Wszystko to, by na końcu dostarczyć bezpieczny pojazd.