Mục lục

Tiêu chuẩn an toàn chức năng ISO 26262 cho ô tô là gì?

[wd_asp id=1]

Giới thiệu

Trong ngành công nghiệp ô tô đang phát triển nhanh chóng như hiện nay, an toàn là tối quan trọng, đặc biệt là với sự gia tăng của xe điện, Hệ thống hỗ trợ lái xe tiên tiến (ADAS) và công nghệ lái xe tự động. Tiêu chuẩn an toàn chức năng ISO 26262 được phát triển để giải quyết những phức tạp ngày càng tăng này bằng cách đảm bảo hiệu suất an toàn của các hệ thống điện và điện tử (E/E) trong xe trong suốt vòng đời phát triển.

ISO 26262 cung cấp một khuôn khổ toàn diện dựa trên rủi ro để xác định các mối nguy hiểm, đánh giá rủi ro và triển khai các cơ chế an toàn để ngăn ngừa các lỗi hệ thống có thể dẫn đến tai nạn. Một trong những thành phần cốt lõi của nó là Mức độ toàn vẹn an toàn ô tô (ASIL), phân loại mức độ rủi ro và chỉ định các yêu cầu an toàn cần thiết cho các hệ thống và thành phần.

Khi đổi mới ô tô tăng tốc, việc hiểu và triển khai tuân thủ ISO 26262, cùng với các tiêu chuẩn liên quan như An toàn của Chức năng Dự định (SOTIF), đã trở nên quan trọng đối với các OEM, nhà cung cấp và nhóm kỹ thuật. Hướng dẫn này khám phá các khái niệm chính, hướng dẫn ISO 26262, các biện pháp thực hành tốt nhất, hỗ trợ phần mềm và công cụ, và cách các tổ chức có thể đạt được an toàn chức năng mạnh mẽ bằng cách sử dụng các giải pháp ISO 26262 phù hợp.

ISO 26262 là gì?

ISO 26262 là tiêu chuẩn quốc tế về an toàn chức năng được thiết kế riêng cho các hệ thống điện và điện tử (E/E) trong xe cơ giới. Xuất phát từ tiêu chuẩn IEC 61508 rộng hơn, ISO 26262 giới thiệu vòng đời an toàn có cấu trúc để xác định, đánh giá và giảm thiểu rủi ro về lỗi hệ thống có thể dẫn đến các sự kiện nguy hiểm.

ISO 26262 được điều chỉnh từ IEC 61508, tiêu chuẩn an toàn chức năng chung cho các hệ thống công nghiệp. Mặc dù IEC 61508 đặt nền tảng, nhưng nó không đủ cụ thể cho những thách thức độc đáo của các hệ thống ô tô. Để đáp lại, phiên bản đầu tiên của ISO 26262 đã được xuất bản vào năm 2011, với bản cập nhật đáng kể vào năm 2018 mở rộng phạm vi để bao gồm xe máy, xe tải, xe buýt và các hệ thống bán tự động.

Về cốt lõi, ISO 26262 cung cấp các hướng dẫn dựa trên rủi ro để đảm bảo rằng các hệ thống ô tô hoạt động an toàn trong cả điều kiện bình thường và lỗi. Nó áp dụng cho tất cả các khía cạnh của vòng đời phát triển xe—từ khái niệm và thiết kế đến triển khai, xác thực, sản xuất và ngừng hoạt động.

Tầm quan trọng của ISO 26262 trong An toàn chức năng ô tô

Khi xe cộ ngày càng được điều khiển bằng phần mềm và tự động hóa, tính phức tạp của các hệ thống E/E tăng lên. Một trục trặc đơn lẻ trong bộ điều khiển điện tử (ECU) hoặc thuật toán phần mềm có thể dẫn đến hậu quả nguy hiểm. ISO 26262 đảm bảo rằng những rủi ro như vậy được quản lý và giảm thiểu một cách có hệ thống thông qua phân tích, xác minh và xác nhận an toàn nghiêm ngặt.

Bằng cách áp dụng tiêu chuẩn tuân thủ ISO 26262, các công ty ô tô có thể:

  • Xác định và giảm thiểu rủi ro an toàn ngay từ đầu quá trình phát triển
  • Thể hiện sự thẩm định cẩn thận và trách nhiệm pháp lý
  • Tăng cường lòng tin của khách hàng bằng cách xây dựng những chiếc xe an toàn hơn

Tại sao an toàn chức năng lại quan trọng trong các hệ thống ô tô hiện đại?

Các phương tiện hiện đại tích hợp hàng chục thành phần E/E—từ hệ thống phanh và lái đến các tính năng hỗ trợ người lái tiên tiến. Đảm bảo an toàn chức năng của các hệ thống này là điều cần thiết để ngăn ngừa các sự cố thảm khốc có thể dẫn đến thương tích hoặc tử vong.

ISO 26262 cho phép các nhà sản xuất và cung cấp ô tô áp dụng các biện pháp thực hành tốt nhất và tận dụng các công cụ và giải pháp ISO 26262 hỗ trợ phát triển các hệ thống quan trọng một cách an toàn, hiệu quả và tuân thủ.

Mục tiêu chính và phạm vi của ISO 26262

Mục tiêu chính của ISO 26262 là đảm bảo rằng các hệ thống điện và điện tử (E/E) trong xe cơ giới thực hiện các chức năng dự định của chúng một cách an toàn và đáng tin cậy, ngay cả khi có lỗi phần cứng hoặc phần mềm. Nó thiết lập một khuôn khổ có cấu trúc để quản lý các rủi ro an toàn chức năng trong toàn bộ vòng đời phát triển ô tô.

Cụ thể, ISO 26262 hướng tới mục tiêu:

  • Xác định và đánh giá các mối nguy tiềm ẩn
  • Xác định Mức độ toàn vẹn an toàn ô tô (ASIL) dựa trên rủi ro
  • Chỉ định các yêu cầu về an toàn chức năng và kỹ thuật
  • Xác minh và xác nhận cơ chế an toàn
  • Đảm bảo khả năng truy xuất nguồn gốc và tuân thủ trong tất cả các giai đoạn phát triển

Những mục tiêu này giúp các tổ chức đáp ứng các nghĩa vụ an toàn theo pháp luật và hỗ trợ việc tạo ra các hệ thống tuân thủ ISO 26262.

Phạm vi của ISO 26262: Xe cộ và hệ thống được bao phủ

ISO 26262 áp dụng cho các loại xe ô tô sản xuất hàng loạt, bao gồm:

  • Xe khách
  • Xe thương mại (ví dụ: xe tải và xe buýt)
  • Xe máy
  • Xe điện và xe hybrid
  • Hệ thống tự động và bán tự động

Tiêu chuẩn này tập trung cụ thể vào các hệ thống bao gồm các thành phần điện, điện tử và lập trình được và liên quan đến việc điều khiển hoặc vận hành xe. Tiêu chuẩn này không áp dụng cho các loại xe không phải xe cơ giới (ví dụ: xe nông nghiệp hoặc xe quân sự) hoặc các hệ thống chỉ cơ khí.

ISO 26262 bao gồm những hệ thống và thành phần nào?

ISO 26262 quản lý nhiều hệ thống và thành phần E/E của ô tô, bao gồm nhưng không giới hạn ở:

  • Hệ thống điều khiển hệ thống truyền lực (ví dụ: quản lý động cơ, điều khiển hộp số)
  • Hệ thống khung gầm (ví dụ: phanh, lái, hệ thống treo)
  • Hệ thống hỗ trợ người lái tiên tiến (ADAS)
  • Thiết bị điện tử trên thân xe (ví dụ: đèn, HVAC, thông tin giải trí, nếu liên quan đến an toàn)
  • Hệ thống quản lý pin trong EV
  • Giao diện cảm biến và bộ truyền động
  • Phần mềm và hệ thống nhúng ảnh hưởng đến an toàn chức năng

Về bản chất, bất kỳ thành phần E/E nào liên quan đến an toàn, phần cứng hoặc phần mềm, đều phải tuân theo hướng dẫn ISO 26262, khiến cho các nhóm phát triển ô tô hiện đại phải áp dụng các công cụ và giải pháp ISO 26262 phù hợp để tuân thủ và quản lý vòng đời.

Mức độ toàn vẹn an toàn ô tô (ASIL) là gì?

Mức độ toàn vẹn an toàn ô tô (ASIL) là một khái niệm chính trong tiêu chuẩn an toàn chức năng ISO 26262, được sử dụng để phân loại và quản lý rủi ro liên quan đến các mối nguy tiềm ẩn trong hệ thống E/E ô tô. ASIL xác định mức độ nghiêm ngặt cần thiết của các yêu cầu an toàn dựa trên mức độ nghiêm trọng của rủi ro mà sự cố có thể gây ra.

ASIL đảm bảo rằng mức độ nguy hại tiềm ẩn càng cao thì các biện pháp và quy trình an toàn càng phải nghiêm ngặt hơn. Nó cung cấp một khuôn khổ có thể mở rộng để phân bổ nguồn lực và nỗ lực an toàn một cách hiệu quả.

Cấp độ ASIL: A, B, C, D – Định nghĩa và phân loại

ISO 26262 định nghĩa bốn cấp độ ASIL—từ A đến D—được xếp hạng từ yêu cầu an toàn thấp nhất (A) đến cao nhất (D):

  • ASIL A – Rủi ro an toàn thấp, yêu cầu biện pháp an toàn tối thiểu
  • ASIL B – Rủi ro ở mức trung bình, cần có các biện pháp kiểm soát an toàn cơ bản
  • ASIL C – Rủi ro cao, quy trình an toàn nghiêm ngặt hơn và các hạn chế về thiết kế
  • ASIL D – Rủi ro cao nhất, yêu cầu an toàn và xác minh nghiêm ngặt nhất

Ngoài ra, còn có QM (Quản lý chất lượng) dành cho các hệ thống không gây ra rủi ro về an toàn và nằm ngoài phạm vi an toàn chức năng nhưng vẫn yêu cầu kiểm soát chất lượng tiêu chuẩn.

Xác định mức độ ASIL: Mức độ nghiêm trọng, mức độ phơi nhiễm và khả năng kiểm soát

Phân loại ASIL được xác định thông qua quy trình Phân tích mối nguy và Đánh giá rủi ro (HARA). Rủi ro liên quan đến lỗi hệ thống được đánh giá dựa trên ba thông số:

  1. Mức độ nghiêm trọng (S) – Hậu quả nghiêm trọng đến mức nào (ví dụ, thương tích hoặc tử vong)
  2. Phơi sáng (E) – Tần suất xe ở trong tình huống vận hành có thể xảy ra nguy hiểm
  3. Khả năng kiểm soát (C) – Khả năng ngăn ngừa tác hại của trình điều khiển hoặc hệ thống khi lỗi xảy ra

Ba tiêu chí này được kết hợp để đưa ra mức ASIL cho từng mục tiêu an toàn. Ví dụ, mối nguy hiểm có mức độ nghiêm trọng cao, mức độ phơi nhiễm cao và khả năng kiểm soát thấp sẽ được chỉ định là ASIL D.

Việc đánh giá và chỉ định ASIL một cách chính xác là rất quan trọng để đảm bảo phần mềm, kiến ​​trúc phần cứng và cơ chế an toàn ISO 26262 phù hợp được lựa chọn và xác thực.

Vòng đời an toàn ISO 26262

Vòng đời an toàn ISO 26262 phác thảo một phương pháp tiếp cận có cấu trúc, toàn diện để đạt được và duy trì an toàn chức năng trong suốt quá trình phát triển, sản xuất và ngừng hoạt động của các hệ thống ô tô. Nó đảm bảo rằng tất cả các yêu cầu về an toàn đều được xác định, triển khai, xác minh và xác thực một cách nhất quán trong suốt vòng đời của sản phẩm.

Dưới đây là phân tích các giai đoạn chính trong vòng đời an toàn của ISO 26262:

Giai đoạn khái niệm

Vòng đời an toàn bắt đầu với giai đoạn khái niệm, nơi phân tích an toàn ban đầu được thực hiện. Các hoạt động chính bao gồm:

  • Định nghĩa mục – phác thảo chức năng, phạm vi và giao diện của hệ thống
  • Phân tích mối nguy và đánh giá rủi ro (HARA) – xác định các mối nguy tiềm ẩn và xác định mức độ ASIL
  • Khái niệm an toàn chức năng – xác định mục tiêu và yêu cầu an toàn dựa trên HARA

Giai đoạn này đặt nền tảng cho mọi nỗ lực tuân thủ ISO 26262 tiếp theo.

Phát triển cấp hệ thống

Ở giai đoạn này, kiến ​​trúc hệ thống được phát triển để đáp ứng các mục tiêu an toàn chức năng. Các hoạt động bao gồm:

  • Tạo ra khái niệm an toàn kỹ thuật
  • Phân bổ các yêu cầu an toàn kỹ thuật cho các thành phần phần cứng và phần mềm
  • Thực hiện phân tích an toàn, bao gồm FMEA và FTA
  • Đảm bảo khả năng truy xuất giữa các yêu cầu an toàn và thiết kế hệ thống

Giai đoạn này yêu cầu tích hợp chặt chẽ các công cụ và giải pháp ISO 26262 để quản lý các yêu cầu, xác minh và lập tài liệu một cách hiệu quả.

Phát triển phần cứng và phần mềm

Ở giai đoạn này, trọng tâm chuyển sang phát triển các thành phần phần cứng và phần mềm theo đúng mức ASIL được chỉ định:

  • Phát triển phần cứng:
    • Phân bổ yêu cầu an toàn
    • Số liệu kiến ​​trúc phần cứng
    • Phạm vi chẩn đoán và phân tích chế độ lỗi
  • Phát triển phần mềm:
    • Tiêu chuẩn mã hóa tuân thủ ISO 26262 (ví dụ: MISRA)
    • Các cơ chế an toàn như giám sát và dự phòng
    • Kiểm thử đơn vị, kiểm thử tích hợp và xác minh tĩnh/động

Việc sử dụng các công cụ phần mềm đạt chứng nhận ISO 26262 giúp đảm bảo quá trình phát triển đáp ứng được yêu cầu nghiêm ngặt về an toàn.

Sản xuất và vận hành

Sau khi phát triển, ISO 26262 đảm bảo tính an toàn được đưa vào sản xuất và vận hành thực tế:

  • Thiết lập các biện pháp kiểm soát an toàn sản xuất
  • Xác thực tích hợp phần cứng và phần mềm
  • Đảm bảo thực hiện có thể theo dõi được các mục tiêu an toàn
  • Giám sát các vấn đề liên quan đến an toàn trong quá trình vận hành thực tế

Giai đoạn này cũng hỗ trợ đảm bảo an toàn liên tục thông qua giám sát sau khi phóng.

Đang ngừng hoạt động

Giai đoạn cuối cùng giải quyết vấn đề ngừng hoạt động hoặc tiêu hủy an toàn xe hoặc các bộ phận của xe:

  • Đảm bảo năng lượng còn lại được xả an toàn
  • Phòng ngừa các mối nguy hại về môi trường
  • Quản lý việc tái sử dụng hoặc tái chế các thành phần liên quan đến an toàn

Mặc dù thường bị bỏ qua, nhưng giai đoạn này rất cần thiết để tuân thủ toàn bộ vòng đời ISO 26262 và có trách nhiệm với môi trường.

Mỗi giai đoạn của vòng đời đều nhấn mạnh việc sử dụng các hướng dẫn ISO 26262, tài liệu có cấu trúc và các quy trình an toàn đã được xác minh. Việc áp dụng các công cụ và giải pháp phần mềm ISO 26262 đáng tin cậy giúp hợp lý hóa việc tuân thủ và đảm bảo cung cấp các phương tiện an toàn, sẵn sàng lưu thông trên đường.

An toàn của chức năng dự định (SOTIF) và ISO 26262

SOTIF (An toàn của Chức năng Dự định) là tiêu chuẩn an toàn bổ sung cho ISO 26262, tập trung vào việc đảm bảo hệ thống thực hiện chức năng dự định của nó một cách an toàn, ngay cả khi không có lỗi. Được định nghĩa bởi ISO/PAS 21448, SOTIF giải quyết các mối nguy hiểm phát sinh từ các hạn chế về hiệu suất, chẳng hạn như nhận thức sai hoặc giải thích không chính xác dữ liệu cảm biến trong các tình huống lái xe phức tạp.

Không giống như ISO 26262, giải quyết các trục trặc và lỗi, SOTIF nhắm vào các vấn đề về hiệu suất kém và hành vi hệ thống không mong muốn khi không có lỗi phần cứng hoặc phần mềm.

SOTIF so với An toàn chức năng: Sự khác biệt chính

Yếu tố ISO 26262 (An toàn chức năng) SOTIF (An toàn của chức năng dự định)
Tập trung Lỗi và sự cố trong hệ thống E/E Nguy cơ từ sự thiếu hụt chức năng
Nguyên nhân rủi ro Lỗi hệ thống, lỗi phần cứng/phần mềm Hành vi bất ngờ không có lỗi
Phương pháp luận Đánh giá rủi ro dựa trên ASIL Xác thực an toàn dựa trên tình huống
Khả năng áp dụng Tất cả các hệ thống E/E quan trọng về an toàn Hầu hết là ADAS và các tính năng tự động

Sự khác biệt này rất quan trọng trong quá trình phát triển xe hiện đại, đặc biệt là khi các hệ thống ngày càng dựa vào cảm biến và AI.

SOTIF bổ sung cho ISO 26262 như thế nào?

SOTIF không thay thế ISO 26262—thay vào đó, nó bổ sung cho ISO 26262 bằng cách đề cập đến các mối nguy hiểm không dựa trên lỗi mà ISO XNUMX không đề cập đến. Cả hai tiêu chuẩn cùng nhau cung cấp một khuôn khổ an toàn chức năng toàn diện:

  • ISO 26262 đảm bảo độ tin cậy của hệ thống và phản hồi an toàn khi có lỗi
  • SOTIF đảm bảo hiệu suất mong muốn là an toàn, ngay cả khi không có lỗi

Sử dụng cả hai sẽ đảm bảo phạm vi an toàn toàn diện, đặc biệt đối với các hệ thống có máy học, phát hiện vật thể, logic ra quyết định và tương tác với môi trường.

Sự liên quan của SOTIF trong ADAS và Hệ thống tự động

Khi xe kết hợp Hệ thống hỗ trợ lái xe tiên tiến (ADAS) và tiến hóa theo hướng lái xe tự động, SOTIF trở nên ngày càng quan trọng. Các hệ thống này thường hoạt động trong môi trường phức tạp, không thể đoán trước, nơi rủi ro an toàn có thể phát sinh từ:

  • Cảm biến hiểu sai (ví dụ, radar không phân biệt được vật thể)
  • Phân loại đối tượng không chính xác theo mô hình AI
  • Các tình huống không đầy đủ trong quá trình xác thực và thử nghiệm

SOTIF cung cấp cấu trúc để xác định những rủi ro đó và xác thực hành vi của hệ thống trong điều kiện lái xe thực tế.

Để tuân thủ ISO 26262 trong các kiến ​​trúc E/E hiện đại, việc tích hợp các nguyên tắc SOTIF được coi là phương pháp hay nhất, đặc biệt là khi sử dụng AI, hệ thống nhận thức hoặc các giải pháp phần mềm ISO 26262 để xác thực ADAS.

Tuân thủ ISO 26262: Các yêu cầu chính

Đạt được sự tuân thủ ISO 26262 là điều cần thiết đối với các tổ chức ô tô đang phát triển các hệ thống điện và điện tử (E/E) quan trọng đối với an toàn. Tiêu chuẩn này phác thảo một khuôn khổ nghiêm ngặt đảm bảo các hệ thống hoạt động an toàn trong các điều kiện vận hành được xác định và phản ứng hiệu quả với các lỗi. Dưới đây là ba trụ cột cơ bản của sự tuân thủ ISO 26262:

Quản lý an toàn chức năng

Quản lý an toàn chức năng (FSM) là yêu cầu cốt lõi của ISO 26262, đảm bảo an toàn được quản lý như một quy tắc trong toàn bộ vòng đời. FSM yêu cầu:

  • Thiết lập văn hóa an toàn và phân công trách nhiệm an toàn
  • Xác định và thực thi các kế hoạch an toàn trong tất cả các giai đoạn phát triển
  • Đảm bảo tính độc lập và năng lực của nhân viên tham gia vào các nhiệm vụ quan trọng về an toàn
  • Quản lý các thay đổi và đảm bảo khả năng truy xuất các yêu cầu về an toàn

FSM phù hợp rất quan trọng để phối hợp các hoạt động trên toàn bộ phần cứng, phần mềm và phát triển hệ thống, đặc biệt là khi sử dụng các công cụ phần mềm ISO 26262 hoặc làm việc với các nhà cung cấp bên ngoài.

Đánh giá rủi ro và phân tích mối nguy

Một nền tảng của việc tuân thủ ISO 26262 là tiến hành Phân tích mối nguy và Đánh giá rủi ro (HARA). Quy trình này xác định các mối nguy tiềm ẩn ngay từ giai đoạn khái niệm và phân loại chúng bằng khuôn khổ Mức độ toàn vẹn an toàn ô tô (ASIL).

Các bước chính trong HARA bao gồm:

  • Xác định các tình huống hoạt động và các mối nguy tiềm ẩn
  • Xác định mức độ rủi ro dựa trên mức độ nghiêm trọng, mức độ phơi nhiễm và khả năng kiểm soát
  • Xác định mục tiêu an toàn và mức độ ASIL tương ứng
  • Phân bổ các yêu cầu cho các thành phần hệ thống để giảm thiểu rủi ro

Đánh giá rủi ro có cấu trúc này đảm bảo rằng tất cả các chế độ hỏng hóc nghiêm trọng đều được giải quyết bằng các biện pháp an toàn theo yêu cầu của ASIL.

Tài liệu và trường hợp an toàn

Cần phải có tài liệu đầy đủ để chứng minh việc tuân thủ ISO 26262. Phải biên soạn một hồ sơ an toàn có cấu trúc để cung cấp bằng chứng khách quan rằng hệ thống đáp ứng mọi yêu cầu về an toàn.

Các thành phần cốt lõi của hộp an toàn bao gồm:

  • Kế hoạch an toàn và báo cáo đánh giá
  • Phân tích và truy xuất nguồn gốc ASIL
  • Kết quả xác minh và xác nhận
  • Kiểm tra và xác nhận đánh giá
  • Hồ sơ chứng nhận công cụ (đặc biệt đối với phần mềm và công cụ ISO 26262)

Trường hợp an toàn thường được các bên liên quan nội bộ và các chuyên gia đánh giá bên ngoài xem xét để xác nhận rằng tất cả các quy trình đều tuân thủ các hướng dẫn của ISO 26262.

Việc tuân thủ ba trụ cột này—quản lý an toàn chức năng, đánh giá rủi ro và lập tài liệu toàn diện—là nền tảng để đạt được sự tuân thủ hoàn toàn theo ISO 26262 và cung cấp các hệ thống ô tô an toàn, có khả năng lưu thông trên đường.

Công cụ và giải pháp ISO 26262: Nền tảng ALM yêu cầu của Visure

Đạt được và duy trì sự tuân thủ ISO 26262 đòi hỏi các công cụ mạnh mẽ, có thể truy xuất và thông minh hỗ trợ toàn bộ vòng đời an toàn chức năng. Khi các hệ thống ô tô ngày càng phức tạp, việc lựa chọn phần mềm và công cụ ISO 26262 phù hợp trở nên quan trọng để đẩy nhanh quá trình phát triển, giảm rủi ro và đảm bảo khả năng truy xuất đầu cuối.

Giải pháp hàng đầu đáp ứng những nhu cầu này chính là Nền tảng ALM Yêu cầu Visure.

Tại sao nên chọn Visure Requirements để tuân thủ ISO 26262?

Nền tảng ALM Yêu cầu Visure là giải pháp mạnh mẽ, hỗ trợ AI được thiết kế để hợp lý hóa kỹ thuật an toàn chức năng theo hướng dẫn của ISO 26262. Nền tảng này cho phép các tổ chức quản lý toàn bộ vòng đời của các yêu cầu an toàn trong khi tự động hóa các tác vụ quan trọng và đảm bảo khả năng truy xuất nguồn gốc đầy đủ ở cấp độ ASIL.

Các khả năng chính bao gồm:

  • AI tích hợp cho các yêu cầu và tuân thủ – Visure tận dụng sự hỗ trợ của AI để giúp các nhóm tự động đề xuất, viết, cải thiện và xác thực các yêu cầu, tăng hiệu quả và giảm lỗi của con người trong suốt quá trình ISO 26262.
  • Truy xuất nguồn gốc từ đầu đến cuối – Duy trì khả năng truy xuất nguồn gốc hoàn chỉnh trên các yêu cầu, mục tiêu an toàn, trường hợp thử nghiệm, đánh giá rủi ro và hiện vật xác minh theo thời gian thực.
  • Phân loại và quản lý rủi ro ASIL – Xác định và quản lý Mức độ toàn vẹn an toàn ô tô (ASIL) bằng cách liên kết các mối nguy hiểm với mức độ nghiêm trọng, mức độ phơi nhiễm và khả năng kiểm soát, trực tiếp trong nền tảng.
  • Mẫu và quy trình làm việc ISO 26262 – Triển khai các mẫu, danh sách kiểm tra và quy trình làm việc có thể tùy chỉnh đã được chứng minh trong ngành, phù hợp với các yêu cầu về vòng đời an toàn phần mềm ISO 26262.
  • Yêu cầu Khả năng tái sử dụng và Kiểm soát phiên bản – Giảm thiểu việc phải làm lại và tăng tốc quá trình phát triển bằng cách quản lý các thành phần có thể tái sử dụng, đường cơ sở và phân tích tác động thay đổi một cách hiệu quả.
  • Hỗ trợ đánh giá chất lượng công cụ (ISO 26262 Phần 8) – Truy cập bộ công cụ xác nhận để hỗ trợ chứng nhận và xác thực chính thức cho chuỗi công cụ phần mềm của bạn.

Lợi ích của việc sử dụng Visure cho các dự án ISO 26262

  • Quản lý an toàn chức năng được cải thiện – Tuân thủ ISO 26262 Phần 2 bằng cách thực thi các kế hoạch và vai trò an toàn chức năng thông qua quy trình làm việc tự động và có thể kiểm tra được.
  • Khả năng AI tích hợp – Tăng tốc đánh giá rủi ro, tạo yêu cầu và phân tích chất lượng bằng các tính năng do AI của Visure điều khiển, được tối ưu hóa để tuân thủ an toàn theo tiêu chuẩn ISO 26262.
  • Báo cáo sẵn sàng kiểm toán – Tạo các trường hợp an toàn, báo cáo xác minh và ma trận truy xuất nguồn gốc chỉ bằng một cú nhấp chuột—sẵn sàng cho các cuộc kiểm toán nội bộ và bên ngoài.
  • Tích hợp chuỗi công cụ liền mạch – Đồng bộ hóa hai chiều với các công cụ như Jira, IBM DOORS, MATLAB/Simulink và Polarion để cộng tác suôn sẻ giữa các nhóm quan trọng về an toàn.
  • Bảng điều khiển và số liệu có thể tùy chỉnh – Trực quan hóa trạng thái tuân thủ, phân phối ASIL và phạm vi xác minh thông qua bảng thông tin an toàn có thể cấu hình.

Nền tảng ALM Yêu cầu Visure giúp các tổ chức ô tô tự tin phát triển các hệ thống an toàn, tuân thủ bằng cách kết hợp các giải pháp ISO 26262, quản lý ASIL, hỗ trợ SOTIF và tự động hóa AI vào một môi trường thống nhất.

ISO 26262 Thực hành tốt nhất để triển khai

Việc triển khai tiêu chuẩn an toàn chức năng ISO 26262 hiệu quả đòi hỏi nhiều hơn là chỉ tuân thủ các quy trình kỹ thuật—mà còn đòi hỏi một nền văn hóa hướng đến an toàn, lập kế hoạch có cấu trúc và tích hợp các thông lệ tốt nhất phù hợp với cả mục tiêu dự án và các yêu cầu tuân thủ. Dưới đây là các thông lệ tốt nhất chính của ISO 26262 để hợp lý hóa việc triển khai và đảm bảo tuân thủ liên tục:

Sự tham gia sớm của các chuyên gia an toàn

Thu hút các chuyên gia an toàn chức năng ngay từ giai đoạn đầu của quá trình phát triển khái niệm. Sự hợp tác sớm giúp:

  • Xác định các mối nguy tiềm ẩn và thực hiện đánh giá ASIL chính xác
  • Xác định các mục tiêu an toàn ảnh hưởng đến kiến ​​trúc hệ thống
  • Đảm bảo khả năng truy xuất nguồn gốc và phân bổ hợp lý các yêu cầu về an toàn trên các hệ thống con

Việc có sự tham gia của các kỹ sư an toàn ngay từ đầu sẽ giúp giảm việc phải làm lại và đảm bảo an toàn được tích hợp vào hệ thống ngay từ đầu.

Đánh giá và xác minh liên tục

Áp dụng phương pháp lặp lại để xác minh và xác thực (V&V) trong suốt vòng đời phát triển. Thay vì coi V&V là nhiệm vụ ở giai đoạn cuối, hãy thực hiện đánh giá liên tục để:

  • Phát hiện và giải quyết sớm các vấn đề an toàn
  • Duy trì khả năng truy xuất nguồn gốc các yêu cầu cấp độ ASIL
  • Đảm bảo tuân thủ các hướng dẫn của ISO 26262 ở mọi giai đoạn thiết kế và phát triển

Các công cụ truy xuất nguồn gốc tự động và xác thực do AI điều khiển, chẳng hạn như các công cụ có trong các giải pháp phần mềm ISO 26262 như Visure, giúp cải thiện đáng kể quy trình này.

Tích hợp với ASPICE và các tiêu chuẩn khác

Căn chỉnh việc triển khai ISO 26262 với Automotive SPICE (ASPICE) và các khuôn khổ cải tiến quy trình khác như IEC 61508 và SOTIF. Các lợi ích bao gồm:

  • Kiểm toán hợp lý và quy trình phát triển hài hòa
  • Nâng cao sự trưởng thành của quy trình trên khắp các ngành kỹ thuật
  • Giảm độ phức tạp tuân thủ cho các dự án đa tiêu chuẩn

Việc sử dụng các công cụ ISO 26262 tích hợp hỗ trợ căn chỉnh ASPICE giúp thống nhất các nỗ lực phát triển theo một mô hình vòng đời duy nhất.

Quản lý đào tạo và năng lực

Đảm bảo rằng tất cả nhân viên tham gia vào quá trình phát triển quan trọng về an toàn đều được đào tạo đầy đủ về tuân thủ ISO 26262, phân loại ASIL và trách nhiệm an toàn. Các tổ chức nên:

  • Thiết lập chương trình quản lý năng lực
  • Cung cấp các cơ hội đào tạo và cấp chứng chỉ thường xuyên
  • Xác thực kiến ​​thức của nhân viên thông qua đánh giá và kiểm toán an toàn

Năng lực là yêu cầu chính thức trong Phần 2 của ISO 26262, khiến nó trở thành thành phần quan trọng để vượt qua các cuộc kiểm toán và duy trì đảm bảo chất lượng.

Bằng cách tuân thủ các thông lệ tốt nhất của ISO 26262, các tổ chức ô tô có thể đảm bảo phát triển sản phẩm an toàn hơn, giảm thiểu rủi ro và hợp lý hóa việc tuân thủ trên các hệ thống phức tạp, đặc biệt là trong các lĩnh vực như ADAS, xe tự hành và hệ thống E/E có tính toàn vẹn cao.

Xu hướng và thách thức trong tương lai của ISO 26262

Khi ngành công nghiệp ô tô tăng tốc hướng tới điện khí hóa, tự chủ và số hóa, tiêu chuẩn an toàn chức năng ISO 26262 phải phát triển để giải quyết các công nghệ, kiến ​​trúc và rủi ro mới. Việc đi trước những thay đổi này là rất quan trọng để duy trì sự tuân thủ ISO 26262 và đảm bảo an toàn sản phẩm lâu dài.

An toàn chức năng cho xe điện và xe tự hành

Sự gia tăng của xe điện (EV) và hệ thống lái xe tự động (ADS) tạo ra sự phức tạp chưa từng có trong việc đảm bảo an toàn chức năng. Những thách thức bao gồm:

  • Quản lý hệ thống điện áp cao trong EV với kiến ​​trúc hoạt động lỗi
  • Xử lý hành vi năng động, dựa trên dữ liệu của các hệ thống tự động
  • Đảm bảo độ an toàn đáng tin cậy ở cấp độ ASIL-D trong hệ thống hợp nhất cảm biến, lập kế hoạch đường đi và điều khiển

Những xu hướng này đòi hỏi phải tích hợp các giải pháp phần mềm ISO 26262 tiên tiến hơn với tính năng phân tích an toàn, mô hình dự phòng và giám sát thời gian chạy tích hợp.

Phạm vi phát triển của ISO 26262 bao gồm các hệ thống dựa trên AI và ML

Trí tuệ nhân tạo (AI) và Học máy (ML) đang trở thành trung tâm của các chức năng như phát hiện đối tượng, ra quyết định và kiểm soát thích ứng. Tuy nhiên, bản chất không xác định của chúng đặt ra thách thức đáng kể cho các hướng dẫn ISO 26262, dựa trên hành vi có thể dự đoán và kết quả có thể xác minh.

Những nhu cầu chính trong tương lai:

  • Điều chỉnh vòng đời an toàn để xử lý các hệ thống dựa trên học tập
  • Xác định các phương pháp xác minh tuân thủ ASIL cho các thuật toán AI/ML
  • Tích hợp các công cụ xác thực yêu cầu và truy xuất nguồn gốc được hỗ trợ bởi AI như các công cụ trong nền tảng ALM của Visure để thu hẹp khoảng cách giữa an toàn chức năng và hành vi thông minh

Những nỗ lực hiện đang được tiến hành để cập nhật tiêu chuẩn hoặc bổ sung thêm khuôn khổ an toàn dành riêng cho AI.

Hài hòa với các tiêu chuẩn an toàn và an ninh mạng khác

Các phương tiện hiện đại ngày càng được kết nối, khiến an ninh mạng trở thành một phần không thể thiếu của an toàn chức năng. Các tiêu chuẩn như ISO/SAE 21434 (Kỹ thuật an ninh mạng cho phương tiện giao thông đường bộ) đang được điều chỉnh với ISO 26262 để giải quyết các mối quan ngại chồng chéo.

Việc triển khai ISO 26262 trong tương lai sẽ cần phải:

  • Tích hợp mô hình hóa mối đe dọa an ninh mạng vào vòng đời an toàn
  • Đảm bảo tuân thủ đồng bộ trên toàn bộ phân loại ASIL, mục tiêu an ninh mạng và tính toàn vẹn của dữ liệu
  • Sử dụng các công cụ và giải pháp ISO 26262 thống nhất hỗ trợ khả năng truy xuất nguồn gốc xuyên miền

Chuẩn bị cho tương lai

Để vượt qua những thách thức này, các tổ chức phải áp dụng nền tảng phần mềm ISO 26262 linh hoạt, mô-đun và hỗ trợ AI, hỗ trợ:

  • Khả năng tuân thủ có thể mở rộng cho các kiến ​​trúc hệ thống đang phát triển
  • Tích hợp liên tục với quy trình xác thực AI và an ninh mạng
  • Quản lý các yêu cầu sẵn sàng cho tương lai với khả năng truy xuất trực tiếp và phát triển trường hợp an toàn hợp tác

Khi tiêu chuẩn phát triển, các công cụ, quy trình và tư duy của bạn cũng phải hướng tới sự tuân thủ và an toàn chức năng toàn diện.

Kết luận

Khi các hệ thống ô tô ngày càng phức tạp hơn với sự tích hợp của phần mềm, điện khí hóa và khả năng tự động, ISO 26262 đã trở thành tiêu chuẩn nền tảng để đảm bảo an toàn chức năng trong toàn bộ vòng đời phát triển xe. Từ việc hiểu các phân loại ASIL đến quản lý vòng đời an toàn, việc áp dụng các công cụ và phương pháp hay nhất của ISO 26262 là điều cần thiết để giảm rủi ro, đáp ứng sự tuân thủ và cung cấp các phương tiện an toàn, đáng tin cậy.

Để theo kịp các tiêu chuẩn an toàn đang thay đổi, đặc biệt là khi AI, ML và an ninh mạng ngày càng trở nên phổ biến, các nhóm ô tô phải tận dụng các nền tảng thông minh, có khả năng mở rộng và tích hợp, được thiết kế riêng cho mục đích an toàn chức năng.

Trải nghiệm cách Nền tảng ALM Yêu cầu Visure đơn giản hóa con đường tuân thủ ISO 26262 của bạn với khả năng hỗ trợ mạnh mẽ cho phân tích ASIL, khả năng truy xuất nguồn gốc, lập tài liệu, tích hợp SOTIF, v.v. - tất cả đều được hỗ trợ bởi AI tích hợp.

Bắt đầu dùng thử miễn phí 14 ngày ngay hôm nay và khám phá lý do tại sao các công ty ô tô hàng đầu tin tưởng Visure về phần mềm và giải pháp ISO 26262 của họ.

Đừng quên chia sẻ bài viết này!

chương

1. Linh hoạt trong phát triển ô tô

2. Kỹ thuật hệ thống dựa trên mô hình ô tô

3. Những điều cốt yếu của quá trình phát triển xe mới

4. Phát triển sản phẩm ô tô: Các giai đoạn, trường hợp và cân nhắc

5. Quản lý vòng đời sản phẩm (PLM) trong ô tô

6. Quản lý vòng đời xe và đội xe

7. Phát triển phương tiện được xác định bằng phần mềm (SDV)

1. Automotive SPICE (ASPICE) là gì?

2. ISO 21434 / SAE 21434 cho An ninh mạng ô tô

3. SOTIF là gì? (ISO 21448)

4. Tiêu chuẩn an toàn chức năng ISO 26262 cho ô tô là gì?

5. MISRA C là gì?

6. SAE J3061: Quản lý rủi ro an ninh mạng cho ô tô

7. IATF 16949 là gì? QMS ô tô

8. ASIL (Mức độ toàn vẹn an toàn ô tô) là gì?

9. SPC (Kiểm soát quy trình thống kê) là gì?

10. Tiêu chuẩn an toàn chức năng IEC 61508 là gì?

11. UL 4600: Tiêu chuẩn an toàn xe tự hành

12. AUTOSAR là gì?

13. Danh sách các tiêu chuẩn chất lượng ô tô

1. Hệ thống quản lý chất lượng ô tô (QMS): Hướng dẫn đầy đủ

2. Quản lý rủi ro hiệu quả trong ngành công nghiệp ô tô

3. Mô hình hóa mối đe dọa cho phân tích an ninh ô tô

4. An ninh mạng ô tô cho ECU và mạng trong xe

5. Xe hết vòng đời (EOL)

1. Hướng dẫn quản lý yêu cầu phát triển ô tô

2. Kiểm thử phần mềm ô tô

3. Tầm quan trọng của khả năng truy xuất nguồn gốc trong ô tô

4. Quản lý cấu hình hiệu quả của phần mềm ô tô

5. Hệ điều hành ô tô (RTOS)

1. AI trong ngành ô tô

2. Học máy trong ngành công nghiệp ô tô

3. Kỹ thuật xe tự hành

4. ADAS (Hệ thống hỗ trợ lái xe tiên tiến) là gì?

5. Tính bền vững của ô tô: Lợi ích, thách thức và ví dụ

6. Tái chế ô tô (SHiFT)

1. Từ điển toàn diện

Đưa sản phẩm ra thị trường nhanh hơn với Visure

  • Đảm bảo tuân thủ quy định
  • Thực thi khả năng truy xuất đầy đủ
  • Phát triển hợp lý
Bắt đầu dùng thử miễn phí

Xem Visure đang hoạt động

Hoàn thành biểu mẫu bên dưới để truy cập bản demo của bạn