Vous êtes sur la page 1sur 8

HIGOUNA ROKAYA

L'ISO 26262
I. L'ISO 26262 (« Véhicules routiers - Sécurité fonctionnelle ») est
une norme ISO émergente pour les systèmes de sécurité dans les
véhicules routiers à moteur. L'ISO 26262:2011 définit un cadre et un
modèle d'application, ainsi que les activités, les méthodes à utiliser et
les données de sortie attendues. La mise en œuvre de cette norme
permettra de garantir la sécurité fonctionnelle des systèmes
électrique/électronique dans les véhicules automobiles, ce standard
étant une adaptation de la norme CEI 61508 prenant en compte les
spécificités de ce secteur.

La première version de l'ISO 26262 a été publiée en novembre 2011, à la suite des
travaux du groupe de travail « ISO TC22/SC3/WG16 ». Cette version est
intégralement en anglais.

II. L'ISO 26262 se compose de dix parties normatives (nommées "part" en


EN), qui couvrent les thèmes suivants :

 Vocabulaire

 Gestion de la sécurité fonctionnelle

 Phase de projet (phase de conception)

 Développement du produit au niveau du système

 Développement du produit au niveau du matériel

 Développement du produit au niveau du logiciel

 Production et utilisation (maintenance et recyclage)

 Processus d’appui

 Analyses liées aux niveaux d'intégrité de sécurité automobile (Automotive


Safety Integrity Level : ASIL (en)) et à la sécurité
 Lignes directrices relatives à l'ISO 26262 (guide d'utilisation de la norme
ajouté en 2012)

1
La partie 3 contient des exigences concernant la réalisation d'une Analyse des
risques. Pour cela, les situations potentiellement à risque doivent être identifiées.
Cela se fait en considérant tous les modes de fonctionnement, et les modes de
défaillances correspondants aux différentes fonctions du système étudié, ce qui peut
être fait - par exemple - au travers d'une Analyse Préliminaire des Risques (APR).
Finalement, chaque situation dangereuse sera cotée selon un niveau d'exigence en
matière de sécurité de ASIL A à ASIL D, sinon comme non influent sur la sécurité
(quality management - QM).

Un tableau de référence permet de déterminer la cotation QM ou ASIL A à D


correspondante (D étant le niveau le plus critique) selon la Sévérité (S), l'Exposition
(E) et la Contrôlabilité (C) de la situation dangereuse.

Avec l'accroissement de l'ASIL, les exigences liées à la sécurité augmentent


également. Pour les risques de classe QM, il n'y a aucune exigence particulière de
prévue, en dehors de celles déjà prévues par le système de management de la
qualité mis en place chez le fabricant du système. Ces points sont traités
conformément à une norme de management de la qualité, telle que l'ISO 9001 ou
l'ISO
III. ISO 26262 : Niveaux d'ASIL
La norme ISO 26262 se distingue du standard IEC 61508 principalement par la
définition de ses niveaux de criticité, appelés ASIL (« Automotive System Integrity
Level »). Les 4 niveaux sont libellés « ASIL A » (le moins critique) à « ASIL D » (le
plus critique) et plus la criticité est élevée, plus les tâches et vérifications à effectuer
seront nombreuses.
Cependant, alors que les niveaux de SIL sont définis de manière quantitative
(mesures de probabilités ou de taux de défaillance maximum), la définition des
niveaux d’ASIL est qualitative et définie par trois métriques devant être appliquées à
toute situation dangereuse détectée en phase d’analyse des risques :

 Sévérité : de S0 (aucune blessure) à S3 (blessures mortelles avec survie


incertaine ou décès) 

 Exposition : de E0 (probabilité invraisemblable) à E4 (probabilité élevée) 

2
 Contrôle (la probabilité que le conducteur puisse agir de lui-même pour
prévenir le danger ou la blessure) : de C0 (contrôlable en général) à C3
(difficilement contrôlable ou impossible)

De plus, la norme ISO 26262 ajoute un cinquième niveau appelé QM (« Quality Management »),
parfois qualifié de « ASIL 0 » et pouvant être comparé au DAL E de la DO-178: il s’agit d’un
niveau où le risque associé étant faible ou raisonnable, il ne nécessite pas de mesures de sûreté
de fonctionnement, et peut donc être adressé uniquement par des mesures d’Assurance Qualité
classiques comme décrites dans les normes ISO 9001 ou ISO TS 16949.

IV. ISO 26262 : Utilisation d’outils logiciels

Dans le cadre de l’utilisation d’outils logiciels pour une ou plusieurs tâches de


développement ou vérification, la norme ISO 26262 partie 8 introduit la notion de
TCL (Tool Confidence Level), défini suivant l’impact de l’outil et le degré de détection
d’une erreur.

Tableau N°1 : Détection Erreur de l'outil

 TI : Impact de l’outil – Introduction ou non détection d’erreur au sein de


l’élément pour lequel il est utilisé :

 TI1 : Impossible
 TI2 : Dans tous les autres cas 

  TD : Détection d’erreurs de l’outil – Confiance dans le fait qu’un


dysfonctionnement ou une sortie erronée de l’outil sera détecté ou évité 

3
 TD1 : Elevée 
 TD2 : Moyenne 
 TD3 : Dans tous les autres cas

Alors qu’un outil TCL 1 ne nécessite aucune méthode de qualification, la norme ISO
26262 en propose 4 pour TCL 2 et 3, dépendant du niveau d’ASIL :

Tableau N° 2 :les niveaux d'ASIL

La suite d’outils LDRA (analyse statique et dynamique, tests unitaires et


d’intégration) dispose d’un pack de qualification ISO 26262 jusqu’à
ASILD(LDRATBrun)
De plus, les outils LDRA (TBvision Static) et l’outil d’analyse statique avancée
GrammaTech CodeSonar ont obtenu une certification ISO 26262 permettant leur
utilisation jusqu’à ASIL D.

V. ISO 26262 : Exigences de la norme partie 6 concernant


les logiciels

La partie 6 de la norme ISO 26262 exige la mise en place d’un cycle de vie logiciel
dès l’ASIL A, composé de 7 étapes contenant chacune plusieurs exigences
méthodologiques :

4
 Initialisation du développement logiciel

 Spécification des exigences de sûreté de fonctionnement logiciel

 Conception architecturale du logiciel

 Conception détaillée et implémentation du logiciel

 Tests Unitaires du Logiciel

 Intégration et Tests d’Intégration du Logiciel

 Vérification des exigences de sûreté de fonctionnement logiciel

Voici un résumé des exigences les plus importantes :

L’application des techniques et mesures définies dans la norme est graduée selon le
niveau d’intégrité du logiciel, de la manière suivante :

5
 Hautement Recommandé
 Recommandé
 L’utilisation de la technique n’est ni recommandée, ni déconseillée 

VI. ISO 26262 : Comment automatiser la réponse aux


exigences logicielles ?

La partie 6 de la norme ISO 26262 implique la mise en place d’un Plan d’Assurance


Qualité Logiciel, contenant a minima les éléments suivants :

 Gestion de la configuration et des versions 

 Suivi de la traçabilité des exigences (fonctionnelles, méthodologiques,


normatives) 

 Mise en place et vérification de règles de codage et de métriques de qualité


de code 

 Détection de bugs, d’erreurs « Runtime » et de failles logicielles 

 Tests unitaires, d’intégration et système liés aux exigences 

 Mesure de la couverture structurelle

 ISIT propose un ensemble de solutions produits et services, allant de la


sensibilisation à l’automatisation des réponses aux exigences logicielles de la norme
ISO 26262, en passant par l’accompagnement projet :

 Formation ISO 26262

 Accompagnement à la certification ISO 26262 d’un projet, rédaction du Plan

d’Assurance Qualité Logiciel 

6
 Suivi de la traçabilité des exigences au travers de l’outil de Gestion des

Exigences Polarion ALM - Siemens Digital Industries Software ou du module


de la suite LDRA TB manager

 Vérification de règles de codage et de métriques de qualité de code par

l’Analyse Statique Syntaxique de LDRA TBvision Static / LD RArules

 Détection de bugs et d’erreurs « Runtime » grâce à l’Analyse Statique

Avancée de GrammaTech CodeSonar

 Automatisation des tests unitaires et d’Intégration avec LDRA TBrun / LD

RAunit

 Mesure de la couverture structurelle avec LDRA 

7
VII. Quels sont les bénéfices de l'ISO 26262

La mise en œuvre de la norme ISO 26262 garantit un haut niveau de sécurité dans
les composants automobiles dès l’origine. La norme peut être utilisée pour établir
un système de management de la sécurité basé sur les meilleures pratiques,
internationalement reconnues, et sur une approche moderne de la gestion des
risques, créant ainsi un avantage concurrentiel. Les constructeurs devraient fort
probablement utiliser la conformité à la norme ISO 26262 comme moyen de
qualifier des composants et des fournisseurs potentiels de composants électriques
et/ou électroniques (E/E). 

VIII. ISO 26262 : des protocoles communs


La norme introduit aussi la notion de « safety concept ». Il s’agit d’analyser les
défaillances qui pourraient menacer la sécurité, et spécifie les mesures pour les
prévenir par un ensemble de diagnostics et modes dégradés adaptés. Par exemple,
en cas de défaillance du système de direction qui pourrait mener à une sortie de
route si elle n’est pas traitée, le système pourra se diagnostiquer et décider de
couper l’assistance. Le client garde alors une liaison mécanique entre le volant et les
roues. Mais pour cela, il faut définir des protocoles standardisés

Vous aimerez peut-être aussi