sistemi elettronici per la sicurezza dei veicoli: presente...
Post on 27-Sep-2018
218 Views
Preview:
TRANSCRIPT
Il punto di vista dell’OEM sulla norma ISO 26262 per la Sicurezza Funzionale dei veicoli: la sfida dell’integrazione nei processi aziendali
Marco Bellotti
Functional Safety Manager
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012
2
Contenuti
• La sfida della ISO 26262
• Diversi processi, diverse necessità durante il ciclo vita
• I punti chiave per garantire un processo conforme alla ISO26262
• Mappare per “risparmiare” tempo
• Conclusioni
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 3 3
La sfida della ISO 26262
CONTESTO
• L’aumento delle aspettative dei clienti ed i requisiti legali stanno guidando le varie
organizzazioni ad adottare degli standard di sicurezza riconosciuti;
• La conformità alla ISO 26262 diventerà un requisito obbligatorio nell’ambito automotive
per tutto ciò che concerne la sicurezza funzionale (state of the art);
• Le aziende che sviluppano prodotti E/E “safety-related” dovrebbero già essere
conformi ad alcuni “Process Improvement Model (PIM)”, come CMMI e (A)SPICE;
• I processi di sviluppo attualmente in uso nella maggior parte delle aziende automotive
possono essere considerati maturi (le auto sono prodotte già con un elevato livello di
sicurezza);
• Comunque tali processi hanno bisogno di un aggiornamento per incorporare i requisiti
di functional safety e l’uso di metodi specifici come richiesto dalla ISO 26262.
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 4 4
Perché è una sfida?
• Contenimento dei costi, esperienza, time-to-market “stretti” ed altri vincoli internirendono particolarmente sfidante l’introduzione della functional safety;
• Il cambiamento di processi stabili durante lo sviluppo non è unapratica raccomandabile
• Lo standard ISO 26262 consiste in 9 parti, 687 requisiti, 100 work products e 62tabelle decisionali,
• Bisogna sapere generare requisiti di safety in modo efficiente;
• La ISO 26262 non può essere applicata “off-the-shelf”, mentre i processi devonoessere adattati a seconda delle diverse esperienze e realtà organizzative;
• Implementare tutto al 100% correttamente al primo colpo non èrealistico: compliance = esperienza;
• E’ necessaria una implementazione sostenibile per minimizzare gliimpatti dell’introduzione della sicurezza funzionale nel processo disviluppo
Ma… è veramente una sfida?
La sfida della ISO 26262
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 5 5
Diversi processi, diverse necessità durante il ciclo vita
“Iniziare” è la vera sfida…
…ma dal punto di vista dei processi? Dove sta la sfida ?
• Le azienda che hanno iniziato ad accumulare esperienza con ilcommittee draft o con il final draft della ISO26262 hanno trovatoche:
• Non ci sono (grandi) discrepanze tra un processomaturo ed i requisiti della ISO 26262
• E’ necessario un adattamento di tali processi a causadi requisiti aggiuntivi (come il Development InterfaceAgreement con i fornitori, Change Management)
• Sono necessari dei Pilot projects per identificare i puntidi forza e le debolezze del proprio processo di sviluppo
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 6 6
Diversi processi, diverse necessità durante il ciclo vita
Process Improvementmodels
CMMIDEV
Agile Methods
Model BasedDevelopment
AUTOMOTIVE SPICE
Assessment Model
SCAMPI ISO/IEC 15504 - 5
Methods
ISO 9001
Quality Management System
ISO/TS 16949
ISO /IEC 90003
Project Life Cycle
Development Processes
Current processes
ISO 26262
CMMI +SAFE
15504-10
Functional SafetyRequirements
ISO 26262
with ISO 26262
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 7 7
Diversi processi, diverse necessità durante il ciclo vita
• Recentemente i vari PIMs hanno pubblicato una “safety extension” (CMMI+safee ISO/IEC 15504-Part10);
• Le “safety extensions” affrontano i requisiti aggiuntivi di safety nei processi, manon garantiscono la “compliance” alla ISO 26262;
Safety related
content
PIMs coverage• Project management
• Quality management
• System and SW level
development
• Production and operation
• Supporting processes
• Safety management
• HA&RA
• Functional safety concept
• Technical safety
requirements
• Safety validation
• Safety assessment
• Hardware development
• Safety analysis
• Decommissioning
• Safety qualification (HW, tools)
Safety extension
Methods
ISO 26262
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 8 8
Diversi processi, diverse necessità durante il ciclo vita
(A)SPICE vs ISO 26262
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 9
• Il primo passo è stato quello di identificare I punti comuni tra la ISO 26262 e i “Process
Improvement Model” già in uso, (A)SPICE nel caso Fiat, per evitare la duplicazione
delle attività;
• Si è quindi definito un “Process Reference Model”, integrando la ISO26262 e
(A)SPICE, tramite la:
– Fusione dei due lifecycle a livello di sistema, HW e SW;
– Fusione dei processi;
– Fusione dei work products;
– Fusione dei metodi e delle tecniche.
• Queste “fusioni” hanno anche lo scopo di far risparmiare tempo nelle varie aree
tecniche coinvolte durante il processo di sviluppo.
• Successivamente si definirà un modello di Assessment, che integrerà i requisiti della
ISO26262-2 (Functional safety assessment) con quelli di (A)SPICE PAM.
Diversi processi, diverse necessità durante il ciclo vita – FGA roadmap
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 10 10
I punti chiave per garantire un processo conforme alla ISO26262
In Fiat sono stati identificati i seguenti passi necessari per rendere possibile unaimplementazione sostenibile della functional safety nel processo di sviluppo:
• Stabilire un approccio top-down nel introdurre la cultura della safety in azienda,con un alto livello di coinvolgimento del top management;
• Stabilire dei percorsi formativi sulla functional safety;
• Definire i ruoli e le responsabilità (con il giusto livello di autorità);
• Sincronizzare il lifecycle della Functonal safety e quello dello sviluppo prodotto;
• Integrare la ISO 26262 nei processi già in uso in azienda;
• Combinare i work products richiesti dalla ISO 26262 con quelli che sono giàprodotti dalla azienda, allo scopo di definire il set minimo di documenti aggiuntivinecessari per assicurare la sicurezza funzionale;
• Integrare e completare il set di metodi già in uso con quelli richiesti dalla ISO26262.
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 11 11
I punti chiave per garantire un processo conforme alla ISO26262– EE process
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 12 12
L’esperienza Fiat hadimostrato che laconcept phase èabbastanza sempliceda realizzare. Lasincronizzazioneottenuta tra i dueprocessi permette dinon avere un“processo parallelo”
Risultato: ottenereun consistente safetyconcept
E’ necessario avere una tracciabilità sistematica dei requisiti,includendo anche i test case rispetto ai requisiti di functionalsafety.L’utilizzo di requirement management tools, come DOORS™,semplifica la sistematicità della tracciabilità.
I punti chiave per garantire un processo conforme alla ISO26262– EE process
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 13 13
Con il DevelopmentInterface Agreement(DIA), la ISO 26262acquisisce un’impor-tanza contrattuale elegale nella defini-zione dei rapporti trale parti:• Definizione detta-
gliata delle safetyactivities;
• Definizione delleresponsabilità trale parti
La copertura contrattuale e legale può essere ottenuta tramite la combinazione dei safetyaudits e del functional safety assessment;
Il functional safety assessment è stato definito da Fiat come obbligatorio per la delibera aprodurre anche per prodotti con un “low ASIL”.
ISO 26262-4:2011; 10.4.2 This requirement applies to ASILs (B), C, and D, in accordance with 4.3: The functional safety
assessment shall be conducted in accordance with ISO 26262-2: —, Clause 6.4.9 (Functional safety assessment).
I punti chiave per garantire un processo conforme alla ISO26262– EE process
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 14 14
I punti chiave per garantire un processo conforme alla ISO26262– Supplier Capability
• Attualmente una certificazione della ISO 26262 non è disponibile e non è richiestadallo standard ma la capacità dei fornitori a rispettare i requisiti della ISO 26262 puòessere dimostrata tramite (ISO 26262-8:2011, 5.4.2.1):
• Assessment di terze parti;• Checklist dettagliate (clause by clause checklist); o• Risultati di precedenti functional safety assessments su componenti simili.
• Fiat chiede ai fornitori di essere (A)SPICE (HIS) CL1/2;
• Si ipotizza che i fornitori selezionati siano in grado di produrre tutti i work productsrichiesti da (A)SPICE
• La mappatura/fusione a cui si faceva riferimento nelle precedenti slides tra la ISO26262 e (A)SPICE permette a Fiat di fare gli audit ai fornitori tramite:
• La verifica dei documenti (A)SPICE che coprono i requisiti della ISO 26262; e• Richiedendo i documenti mancanti non previsti da (A)SPICE ma che sono
richiesti dalla ISO 26262.
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 15
• 100 WPs mappati in 39 (A)SPICE WPs
• Identificati 52 FunctionalSafety WPs
• 30 dei 52 FunctionalSafety WPs aggiuntivi combinati con documenti già previsti nel corrente processo di sviluppo
• Solo 22 Functional SafetyWPs sono «veramente» nuovi
Mappare per “risparmiare” tempo –Combinare i WPs
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 16
• Tramite questa mappatura i work products della ISO 26262 possono essere:
– Fully covered da documenti già esistenti;
– Partially covered (i documenti già previsti nel processo di sviluppo devono essere
aggiornati per includere i requisiti di functional safety);
– Uncovered da documenti esistenti (devono essere generati i relativi template dei
nuovi documenti necessari per dare l’evidenza della conformità ai requisiti di
functional safety).
Mappare per “risparmiare” tempo –Copertura dei WPs
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 17
• Un “tailoring” in accordo allo specifico ASIL permette di ridurre l’impegno
nell’implementare la ISO 26262 tramite l’adattamento o la non esecuzione di attività o
work products;
• Lo sforzo del “tailoring” è utile nell’ambito dei metodi piuttosto che dei requisiti, infatti:
– Dei 687 requisiti, solo 54 sono “tailorable” rispetto allo specifico ASIL;
– Mentre dei 210 metodi, 153 possono essere “tailored” rispetto all’ASIL.
Tailorable requirements Tailorable methods
Mappare per “risparmiare” tempo – Tailoring
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
Torino, Lingotto Fiere18 aprile 2012 18
• Fiat ha creato un gruppo di functional safety management allo scopo di curare la
diffusione della cultura della safety in tutte le aree coinvolte dal lifecycle della ISO
26262. Ciò richiede:
– Un training sulla Functional safety per tutti gli enti coinvolti;
– Elevato commitment sulla introduzione della Functional safety;
– Elevata competenza nella Functional safety
– Autorità riconosciuta in azienda sull’argomento
• Lo standard ISO 26262 aiuta a sviluppare safe systems tramite:
– Un processo di sviluppo integrato che includa functional safety
– Una forte organizzazione che creda nell’introduzione della functional safety
– L’utilizzo sistematico della DIA (Development Interface Agreement) per
organizzare e gestire progetti complessi
Conclusioni
top related