Sistemi elettronici per la sicurezza dei veicoli: presente ...autoveicoli.aicqna.it/files/2012/04/Bellotti-Convegno_Aicq-AeT2012... · ISO/TS 16949 ISO /IEC 90003 Project Life Cycle

Il punto di vista dell’OEM sulla norma ISO 26262 per la Sicurezza Funzionale dei veicoli: la sfida dell’integrazione nei processi aziendali

Marco Bellotti

Functional Safety Manager

Sistemi elettronici per la sicurezza dei veicoli: presente e futuro.Il ruolo della norma ISO 26262 per la Sicurezza Funzionale

Torino, Lingotto Fiere18 aprile 2012


Torino, Lingotto Fiere18 aprile 2012

2

Contenuti

• La sfida della ISO 26262

• Diversi processi, diverse necessità durante il ciclo vita

• I punti chiave per garantire un processo conforme alla ISO26262

• Mappare per “risparmiare” tempo

• Conclusioni


Torino, Lingotto Fiere18 aprile 2012 3 3

La sfida della ISO 26262

CONTESTO

• L’aumento delle aspettative dei clienti ed i requisiti legali stanno guidando le varie

organizzazioni ad adottare degli standard di sicurezza riconosciuti;

• La conformità alla ISO 26262 diventerà un requisito obbligatorio nell’ambito automotive

per tutto ciò che concerne la sicurezza funzionale (state of the art);

• Le aziende che sviluppano prodotti E/E “safety-related” dovrebbero già essere

conformi ad alcuni “Process Improvement Model (PIM)”, come CMMI e (A)SPICE;

• I processi di sviluppo attualmente in uso nella maggior parte delle aziende automotive

possono essere considerati maturi (le auto sono prodotte già con un elevato livello di

sicurezza);

• Comunque tali processi hanno bisogno di un aggiornamento per incorporare i requisiti

di functional safety e l’uso di metodi specifici come richiesto dalla ISO 26262.



Perché è una sfida?

• Contenimento dei costi, esperienza, time-to-market “stretti” ed altri vincoli internirendono particolarmente sfidante l’introduzione della functional safety;

• Il cambiamento di processi stabili durante lo sviluppo non è unapratica raccomandabile

• Lo standard ISO 26262 consiste in 9 parti, 687 requisiti, 100 work products e 62tabelle decisionali,

• Bisogna sapere generare requisiti di safety in modo efficiente;

• La ISO 26262 non può essere applicata “off-the-shelf”, mentre i processi devonoessere adattati a seconda delle diverse esperienze e realtà organizzative;

• Implementare tutto al 100% correttamente al primo colpo non èrealistico: compliance = esperienza;

• E’ necessaria una implementazione sostenibile per minimizzare gliimpatti dell’introduzione della sicurezza funzionale nel processo disviluppo

Ma… è veramente una sfida?

La sfida della ISO 26262



Diversi processi, diverse necessità durante il ciclo vita

“Iniziare” è la vera sfida…

…ma dal punto di vista dei processi? Dove sta la sfida ?

• Le azienda che hanno iniziato ad accumulare esperienza con ilcommittee draft o con il final draft della ISO26262 hanno trovatoche:

• Non ci sono (grandi) discrepanze tra un processomaturo ed i requisiti della ISO 26262

• E’ necessario un adattamento di tali processi a causadi requisiti aggiuntivi (come il Development InterfaceAgreement con i fornitori, Change Management)

• Sono necessari dei Pilot projects per identificare i puntidi forza e le debolezze del proprio processo di sviluppo




Process Improvementmodels

CMMIDEV

Agile Methods

Model BasedDevelopment

AUTOMOTIVE SPICE

Assessment Model

SCAMPI ISO/IEC 15504 - 5

Methods

ISO 9001

Quality Management System

ISO/TS 16949

ISO /IEC 90003

Project Life Cycle

Development Processes

Current processes

ISO 26262

CMMI +SAFE

15504-10

Functional SafetyRequirements

ISO 26262

with ISO 26262




• Recentemente i vari PIMs hanno pubblicato una “safety extension” (CMMI+safee ISO/IEC 15504-Part10);

• Le “safety extensions” affrontano i requisiti aggiuntivi di safety nei processi, manon garantiscono la “compliance” alla ISO 26262;

Safety related

content

PIMs coverage• Project management

• Quality management

• System and SW level

development

• Production and operation

• Supporting processes

• Safety management

• HA&RA

• Functional safety concept

• Technical safety

requirements

• Safety validation

• Safety assessment

• Hardware development

• Safety analysis

• Decommissioning

• Safety qualification (HW, tools)

Safety extension

Methods

ISO 26262




(A)SPICE vs ISO 26262


Torino, Lingotto Fiere18 aprile 2012 9

• Il primo passo è stato quello di identificare I punti comuni tra la ISO 26262 e i “Process

Improvement Model” già in uso, (A)SPICE nel caso Fiat, per evitare la duplicazione

delle attività;

• Si è quindi definito un “Process Reference Model”, integrando la ISO26262 e

(A)SPICE, tramite la:

– Fusione dei due lifecycle a livello di sistema, HW e SW;

– Fusione dei processi;

– Fusione dei work products;

– Fusione dei metodi e delle tecniche.

• Queste “fusioni” hanno anche lo scopo di far risparmiare tempo nelle varie aree

tecniche coinvolte durante il processo di sviluppo.

• Successivamente si definirà un modello di Assessment, che integrerà i requisiti della

ISO26262-2 (Functional safety assessment) con quelli di (A)SPICE PAM.

Diversi processi, diverse necessità durante il ciclo vita – FGA roadmap



I punti chiave per garantire un processo conforme alla ISO26262

In Fiat sono stati identificati i seguenti passi necessari per rendere possibile unaimplementazione sostenibile della functional safety nel processo di sviluppo:

• Stabilire un approccio top-down nel introdurre la cultura della safety in azienda,con un alto livello di coinvolgimento del top management;

• Stabilire dei percorsi formativi sulla functional safety;

• Definire i ruoli e le responsabilità (con il giusto livello di autorità);

• Sincronizzare il lifecycle della Functonal safety e quello dello sviluppo prodotto;

• Integrare la ISO 26262 nei processi già in uso in azienda;

• Combinare i work products richiesti dalla ISO 26262 con quelli che sono giàprodotti dalla azienda, allo scopo di definire il set minimo di documenti aggiuntivinecessari per assicurare la sicurezza funzionale;

• Integrare e completare il set di metodi già in uso con quelli richiesti dalla ISO26262.



I punti chiave per garantire un processo conforme alla ISO26262– EE process



L’esperienza Fiat hadimostrato che laconcept phase èabbastanza sempliceda realizzare. Lasincronizzazioneottenuta tra i dueprocessi permette dinon avere un“processo parallelo”

Risultato: ottenereun consistente safetyconcept

E’ necessario avere una tracciabilità sistematica dei requisiti,includendo anche i test case rispetto ai requisiti di functionalsafety.L’utilizzo di requirement management tools, come DOORS™,semplifica la sistematicità della tracciabilità.




Con il DevelopmentInterface Agreement(DIA), la ISO 26262acquisisce un’impor-tanza contrattuale elegale nella defini-zione dei rapporti trale parti:• Definizione detta-

gliata delle safetyactivities;

• Definizione delleresponsabilità trale parti

La copertura contrattuale e legale può essere ottenuta tramite la combinazione dei safetyaudits e del functional safety assessment;

Il functional safety assessment è stato definito da Fiat come obbligatorio per la delibera aprodurre anche per prodotti con un “low ASIL”.

ISO 26262-4:2011; 10.4.2 This requirement applies to ASILs (B), C, and D, in accordance with 4.3: The functional safety

assessment shall be conducted in accordance with ISO 26262-2: —, Clause 6.4.9 (Functional safety assessment).




I punti chiave per garantire un processo conforme alla ISO26262– Supplier Capability

• Attualmente una certificazione della ISO 26262 non è disponibile e non è richiestadallo standard ma la capacità dei fornitori a rispettare i requisiti della ISO 26262 puòessere dimostrata tramite (ISO 26262-8:2011, 5.4.2.1):

• Assessment di terze parti;• Checklist dettagliate (clause by clause checklist); o• Risultati di precedenti functional safety assessments su componenti simili.

• Fiat chiede ai fornitori di essere (A)SPICE (HIS) CL1/2;

• Si ipotizza che i fornitori selezionati siano in grado di produrre tutti i work productsrichiesti da (A)SPICE

• La mappatura/fusione a cui si faceva riferimento nelle precedenti slides tra la ISO26262 e (A)SPICE permette a Fiat di fare gli audit ai fornitori tramite:

• La verifica dei documenti (A)SPICE che coprono i requisiti della ISO 26262; e• Richiedendo i documenti mancanti non previsti da (A)SPICE ma che sono

richiesti dalla ISO 26262.



• 100 WPs mappati in 39 (A)SPICE WPs

• Identificati 52 FunctionalSafety WPs

• 30 dei 52 FunctionalSafety WPs aggiuntivi combinati con documenti già previsti nel corrente processo di sviluppo

• Solo 22 Functional SafetyWPs sono «veramente» nuovi

Mappare per “risparmiare” tempo –Combinare i WPs



• Tramite questa mappatura i work products della ISO 26262 possono essere:

– Fully covered da documenti già esistenti;

– Partially covered (i documenti già previsti nel processo di sviluppo devono essere

aggiornati per includere i requisiti di functional safety);

– Uncovered da documenti esistenti (devono essere generati i relativi template dei

nuovi documenti necessari per dare l’evidenza della conformità ai requisiti di

functional safety).

Mappare per “risparmiare” tempo –Copertura dei WPs



• Un “tailoring” in accordo allo specifico ASIL permette di ridurre l’impegno

nell’implementare la ISO 26262 tramite l’adattamento o la non esecuzione di attività o

work products;

• Lo sforzo del “tailoring” è utile nell’ambito dei metodi piuttosto che dei requisiti, infatti:

– Dei 687 requisiti, solo 54 sono “tailorable” rispetto allo specifico ASIL;

– Mentre dei 210 metodi, 153 possono essere “tailored” rispetto all’ASIL.

Tailorable requirements Tailorable methods

Mappare per “risparmiare” tempo – Tailoring



• Fiat ha creato un gruppo di functional safety management allo scopo di curare la

diffusione della cultura della safety in tutte le aree coinvolte dal lifecycle della ISO

26262. Ciò richiede:

– Un training sulla Functional safety per tutti gli enti coinvolti;

– Elevato commitment sulla introduzione della Functional safety;

– Elevata competenza nella Functional safety

– Autorità riconosciuta in azienda sull’argomento

• Lo standard ISO 26262 aiuta a sviluppare safe systems tramite:

– Un processo di sviluppo integrato che includa functional safety

– Una forte organizzazione che creda nell’introduzione della functional safety

– L’utilizzo sistematico della DIA (Development Interface Agreement) per

organizzare e gestire progetti complessi

Conclusioni



Grazie per l’attenzione

Domande?

Documents

Sistemi elettronici per la sicurezza dei veicoli: presente ...autoveicoli.aicqna.it/files/2012/04/Bellotti-Convegno_Aicq-AeT2012... · ISO/TS 16949 ISO /IEC 90003 Project Life Cycle