JavaScript is currently disabled.Please enable it for a better experience of Jumi.
 Annonsera Utgivningsplan Månadsmagasinet Prenumerera Konsultguide Om oss  About / Advertise
fredag 24 maj 2019 VECKA 21
Det finns idag ingen standard för hur man konstruerar säkerhetskritiska inbyggda system för personbilar. Men år 2011 kan ISO-26262 bli ett rättesnöre för den som bygger allt från ABS-bromsar till bilar som kör sig själva.
”Initiera alla variabler och begränsa användandet av pekare och globala variabler!”

Det är ett exempel vad ISO-26262 kommer att föreskriva. Den ger också föreskrifter för hur utvecklingsprocessen ska gå till, som att riskanalys och provning ska göras.

I somras släpptes ISO-26262 som Draft International Standard (DIS) efter att tidigare ha passerat Working Draft (WD) och Committee Draft (CD).

Idag åker tyska biltillverkare och andra snålskjuts på standarden IEC-61508. Men den är avsedd för processindustri och har en fas för ”installation” som ISO-26262 byter mot ”produktionsstart” – kärnkraftverk byggs ett och ett medan bilar massproduceras. Bilar är dessutom konsumentprodukter, till skillnad från kärnkraftverk.

Per och Carl–Här gäller annan lagstiftning. Och det finns även krav att föraren alltid ska ha kontroll över sitt fordon, säger Per Johannessen på Volvo Cars och en av fyra svenska experter i ISOs arbetsgrupp för 26262.

Carl Bergenhem på SP Sveriges Tekniska Forskningsinstitut, representant i den svenska arbetsgruppen, pekar på fler skillnader:

–I en ångpanna kan en säkerhetsfunktionen mot övertryck implementeras med ett externt oberoende system. I ett elektroniskt bromssystem i ett fordon måste säkerhetsfunktionen vara inbyggd i bromssystemet.

Inga ”katastrofer”

Precis som IEC-61508 är ISO-26262 uppdelad i fyra säkerhetsnivåer som bestäms av storleken på, och sannolikheten för, den riskabla händelsen. Men ISO-26262 har klämt samman sina fyra nivåer till motsvarande de tre lägsta för IEC-61508 och saknar den högsta.

–Den högsta IEC-nivån motsvarar en katastrof med många dödsfall, vilket inte förekommer för personbilar, säger Per Johannessen.

Det finns också ett ekonomiskt resonemang.

–Bilindustrin menar att lösningarna för den högsta nivån är för dyra för automotive, då de kräver minst ett dubbelkanaligt system, som klarar att ett av dem fallerar, säger Carl Bergenhem.

–Jag tror trots det att vissa säkerhetskritiska system, som brake- och steer-by-wire, kommer att byggas med redundans, säger Carl Bergenhem.

Säkerhet blir allt viktigare för fordon, som räknat i människoliv är världens kanske farligaste produkt. Alltmer inbyggd intelligens styr säkerhetskritiska funktioner – idag adaptiva farthållare och lane following, i morgon aktiv säkerhet där bilen bromsar automatiskt för hinder, och om tio år, enligt EU-projektet Sartre, ”personbilståg” som trådlöst krokar fast i en ledarbil med en erfaren förare – en sorts adaptiv både fart- och ratthållare.

ISO-26262 reglerar endast programvara och elektronik, inte mekanik och hydraulik.

–En specifikation med för svaga bromsar är formellt inte inkluderad i ISO-26262. Det är däremot ett fel i mjukvara som gör att bilen bromsar för lite, förklarar Per Johannessen.

ISO-26262 föreskriver arbetssätt som i sin tur implementeras i andra standarder och metoder, som ISO-standarden Spice för programvaruutvecklingsprocesser och FMEA för att analysera risker.

Lastbilar – ja och nej

ISO-26262 har ett brett internationellt stöd med deltagare från Europa Nordamerika och Japan. Den började delvis att användas redan efter första utkastet år, främst i Europa, efter krav från bland annat BMW och Volvo Personvagnar.

Även utvecklare av tunga fordon följer standardarbetet trots att de per definition sedan i somras ligger utanför målgruppen – personbilar med bruttovikt upp till 3,5 ton.

–Det var på egen begäran. Ett av argumenten var att de har en längre livslängd och behöver längre tid för att anpassa sig till en ny standard, säger Per Johannessen.

–Även om de inte längre är i standardens räckvidd, är ISO-26262 fullt tillämpbar för tunga fordon.

Hand i hand med Autosar

ISO-26262 hjälper inte bara till med att bygga säkra fordon, utan borde också kunna höja kvaliteten ur andra aspekter, tror Per Johannessen.

–Även om ISO-26262 inte fokuserar på kvalitet, så blir detta en positiv sidoeffekt.

ISO-26262 kommer att gå hand i hand med Autosar – standarden för mjukvarukomponenter till fordonselektronik. Den kan fungera som en väldefinerad kvalitetsstämpel på Autosarkomponenter.

–Det finns medlemmar i arbetsgruppen som kommer att tillverka mjukvarukomponenter och hela lösningar för autosar basic software modules. De är väl insatta och medvetna om att ställer krav på till exempel dokumentation och testning av mjukvarukomponenter, säger Carl Bergenhem.

Huruvida ISO-26262 ökar eller minskar arbetsbelastningen för industrin är svårt att avgöra. Å ena sidan medför den mer krav på dokumentation. Å andra sidan kommer en gemensam standard kunna effektivisera och förenkla relationen mellan fordonstillverkare och underleverantörer.

–Den här frågan är jättesvår och jag har inte sett någon som vågat ge ett svar. I grova drag så tror jag vi pratar om ett nollsummespel på lång sikt, det vill säga att kostnaderna är jämförbara med vinsterna, säger Per Johannessen.
diagram
Tåg, medicinska instrument, smältugnar, kärnkraftverk – och år 2011 även bilar – har alla sina egna säkerhetsstandarder. Ofta är IEC-standarden 61508 utgångspunkten.

bromsa
MER LÄSNING:
 
Branschens egen tidning
För dig i branschen kostar det inget att prenumerera på vårt snygga pappers­magasin.

Klicka här!
SENASTE KOMMENTARER
Kommentarer via Disqus

Vi gör Elektroniktidningen

Anne-Charlotte Sparrvik

Anne-Charlotte
Sparrvik

+46(0)734-171099 ac@etn.se
(sälj och marknads­föring)
Per Henricsson

Per
Henricsson
+46(0)734-171303 per@etn.se
(redaktion)

Anna Wennberg

Anna
Wennberg
+46(0)734-171311 anna@etn.se
(redaktion)

Jan Tångring

Jan
Tångring
+46(0)734-171309 jan@etn.se
(redaktion)