aabzel Sep 3 2023 at 02:06

ISO 26262-6 разбор документа (или как писать безопасный софт)

Easy

9 min

5.9K

Programming*Industrial Programming*Programming microcontrollers*Manufacture and development of electronics*Electronics for beginners

Review

Comments 20

peacemakerv Sep 3 2023 at 08:45

Мдаа, теперь ясно, что на ESP32 не сляпать общенациональные "импортозамещенные" блоки управления двигателями :)

Indemsys Sep 3 2023 at 13:04

Стандарт не указывает на чем можно делать, а на чем нельзя. Там даже есть указание на допустимость использования железа разработанного без соблюдения ИСО 26262.
Препятствием будет только если сами производители ESP32 не включаться в цепочку документации по сертификации.

Вот тут эксперт толково разъяснеет границы действия этого стандарта относительно железа - https://www.youtube.com/watch?v=y_wYROXLLUk

Фактически стандарт ни в чем разработчика не ограничивает, а только регламентирует отчётность. Проблемка только в том что некоторый тип отчётности нельзя создать не обладая технологиями и ресурсами. Пример

spidersarecute Sep 3 2023 at 19:56

ESP32, насколько я знаю, содержит закрытый код от производителя. Как его проверять?

degroeg Sep 3 2023 at 14:43

2--Допустим компания разрабатываю автомобильную аудиосистему. Какой минимальный уровень ASIL (A, B, C, или D) им выбрать для разработки?

Если под аудиосистемой о которй идет речь понимать только динамики, то тут никакой ASIL не нужен. Если же имеется в виду управление вот этим всем, то сам плеер или радио это обычно только часть консоли (или того что называется HeadUnit), соотв. разрабатывается с учетом ASIL-Класса для HeadUnit. А вот для кнопок (которые на руле или на той же консоле) надо как минимум предусмотреть вероятность того, что они самопоризвольно НЕ изменят громкость воспроизведения. Например не увеличат громкость до максимума, когда HeadUnit только стартует. Так что тут скорей всего ASIL-А максимум.

latonita Sep 3 2023 at 15:04

Во многих автомобилях головное устройство висит на интерьерной Can шине, к которой бывает подключено много всего более важного типа управления светом на рулевой колонке и иногда приборная панель. И если головное устройство начнёт сбоить и повесит или заспамит can шину, то ничего хорошего не получится. По-хорошему надо ещё и шины более чётко разделять по степеням ответственности, но это тоже дорого выходит для производителя.

degroeg Sep 3 2023 at 17:58

Шина как система из 2 проводов здесь абсолютно не причем. CAN/FlexRay/Ethernet - физически достаточно устойчивые их особенно и не надо защищать, ну разве, что можно в оплетку упаковать, но это реально лишнее.
А вот какие сигналы/пакеты вы по ним предаете, во это имеет отношение к ASIL. Т.е. для примера, для управления светом сигнал от ручки передается на блок управления светом и на приборную панель, причем с CRC и статусом валидности. И может даже по двум шинам. А те уже (блок управления светом и приборная панель) верифицируют сигнал и договариваются между собой.

Во многих автомобилях головное устройство висит на интерьерной Can шине - вот вот, а потом статьи на хабре о том, как взломать машину через плеер или через дигностику.
По нормальному, системы подключаются к Gateway по разным шинам, да еще и через firewall (это и есть наверное "шины более чётко разделять по степеням ответственности") Более того, некоторые системы подключаются к Gateway по двум независимым шинам (привет ASIL-Д)

Т.е. в конечном счете, все это вопрос архитектуры: хотите ASIL-Д, подключаетесь по двум независимым шинам, посылаете два независимых сигнала, проверяете состояние кнопок (не просто (ВКЛ или ВЫКЛ) а (ВКЛ и не ВЫКЛ) или (НЕ ВКЛ и ВЫКЛ) и т.д. и т.д.

aabzel Sep 3 2023 at 15:04

Да, но ведь аудиосистема из-за ошибки в прошивке может контузить пассажиров.

Indemsys Sep 3 2023 at 15:39

Если посмотреть на такую картинку

То на ней нет такого модуля как "HeadUnit"

На моей Hyundai можно получить удар визжащим импульсом по ушам при переключении звука со спикерфона на радиостанцию по окончании звонка во время езды. Это такой баг скорее всего. Редко, но бывает.
Очевидно он не представляет опасности и под SIL не подпадает.
Вообще при обсуждении SIL все сводится к оценке ущерба общественно терпимому или не терпимому. А это ещё и от культурного кода зависит.

Поэтому согласно ИСО 26262 решение об уровне SIL не может приниматься единолично кем-то. Оно принимается согласно протоколу выработки решений. Этому протоколу весь стандарт и посвящён.

degroeg Sep 3 2023 at 17:18

На этой картинке много чего нет, что к ASIL относится : нет ,например, подогрева сидений, а это между прочим то же ASIL-Relevant. Потому что, если во время движения откажет температурный сенсор или передаст неправильное значение и система решит что слишком холодно, то может так оказаться, что волдыри на заднице это не только больно, но и опасно. (Если что, случай из жизни, не мой :-) )
Нет системы электрических сидений: а ведь это совсем не здорОво, если во время движения, сидение начинает ехать вперед, только потому, что вместо валидного положения, пришло значение, скажем инит.

"Очевидно он не представляет опасности и под SIL не подпадает." - тут я не соглашусь, потому, что немотивированное повышение громкости, может испугать и можно дернуть руль... А если громкость еще и не уменшается, то можно получить от пассажира или от детей сзади, что не способствует безопасности..

С остальным, "Вообще при обсуждении SIL все сводится к оценке ущерба общественно терпимому или не терпимому. ....Поэтому согласно ИСО 26262 решение об уровне SIL не может приниматься единолично кем-то. ...." - полностью согласен.

Indemsys Sep 3 2023 at 18:38

Да, что интересно, сертификаторы абсолютно индифферентны к придуманным рискам.
Можно защищаться от чего угодно дополнительно, никаких претензий.

Правда в электронике при этом приходится расширять анализ и на эти новые элементы защиты. Никакая новая защита не должна интерферировать со старой.

Но там сплошные противоречия. Взять тот же круиз-контроль.

В ранних моделях был так реализован, что имел режим принудительного ограничения скорости. Это давало расслабленно ехать по городу и точно знать, что не нарушаешь скоростной режим. Но можно было на трассе легко попасть в опаснейшую ситуацию при обгоне, когда скорость вдруг не набиралась.

В последних моделях такого жёсткого режима нет, есть режим следования за впереди идущей машиной, но дорожники стали ставить камеры с нулевой толерантностью. И теперь нервничаешь когда не можешь прецизионно задать максимальную скорость. А такие нервы приводят к резким торможениям перед камерами и повышенному риску аварий.

RV3EFE Sep 3 2023 at 18:10

ISO 26262 обязательный для применения в разработке автомобильной техники или рекомендованный?

degroeg Sep 3 2023 at 18:29

"Auch Hersteller von sicherheitsrelevanten technischen Systemen im automobilen 
Industriezweig sind verpﬂichtet, ihre Systeme entsprechend dem Stand der 
Wissenschaft und Technik in allen Aspekten der Sicherheit zu entwickeln. 
Die ISO 26262 definiert Anforderungen an die Funktionale Sicherheit elektrischer 
und elektronischer Systeme."
"Производители safety-relevant technical systems в автомобильной 
промышленности, также обязаны разрабатывать свои системы в соответствии с 
современным уровнем техники во всех аспектах безопасности. 
ISO 26262 определяет требования к функциональной безопасности электрических и 
электронных систем.

Если найдете другой стандарт, который поддерживает/описывает все требования, что и ISO 26262, то можно пользоватся и им. Но по факту все работают с ISO 26262 ( по краийне мере в Германии)

RV3EFE Sep 3 2023 at 18:36

А откуда это? Это на все страны или просто внутри какой-то фирмы написано?

Если это обязательное, то есть какой-то орган, который контролирует правильность выбора asil для разрабатываемого блока?

degroeg Sep 3 2023 at 22:55

А откуда это? - Сама цитата взята с сайта Automotive | TÜV NORD (tuev-nord.de)

то есть какой-то орган - тот же TÜV, они например проводят сертификации (проверки выхлопов, потребления, безопасности и т.д.) и обзоры использованных технологий с обьяснениями почему именно они были выбранны.
Сюда же входят и пакеты документов с доказательствами проделанной работы: например обзор тестов и их результатов. А то китайцы сделали кресла и прислали в Германию. Местные их на краш-тестах проверять, а у кресел подголовники вперед улетают и головы сносят. Они смотрят китайские тесты, а те наполовину fail. Они к китайцам, "мол как так, что это за тесты?", А китайцы такие: "да вот так, написанно было протестировать, мы и протестировали. Никто не сказал что тест должен быть pass."

Если это обязательное Нет, не обязательно, Но без ISO 26262 не получишь и пол звездочки NKAP.
Есть и другой момент (цитирую немецкую вики): В настоящее время (по состоянию на 12.2021) юридического обязательства по применению ISO 26262 не существует. Поскольку стандарт также требует учитывать и поставляемые компоненты, на практике практически все автопроизводители требуют от своих поставщиков его применения в новых проектах, так что стандарт проходит через всю цепочку поставок... Помимо снижения рисков, другой целью стандарта является создание основы для доказательства тщательности разработки в случае судебного разбирательства ... производитель или дистрибьютор ... должен доказать тщательность разработки и показать, что "...дефект не мог быть обнаружен в соответствии с уровнем развития науки и техники в то время, когда производитель выпустил продукцию на рынок"... Обязательства производителя по отношению к уровню развития науки и техники были установлены Федеральным судом при рассмотрении дела о подушках безопасности .

RV3EFE Sep 3 2023 at 23:19

То есть можно сделать что-то, сказать, что делаешь это по iso26262 и мало кто проверит?

А если будут проверять, то при нормально разработанном приборе может ещё и прокатить?

degroeg Sep 4 2023 at 19:27

То есть можно сделать что-то, сказать, что делаешь это по iso26262 ну что вы такое говорите. Разве автопороизводители ил поставщики кого-то когда-то обманывали? ( гхм... VW гхм :-)
А так конечно можно все. Если конечно не боитесь присесть на пару лет за то, что вы сэкономили и не провели HiL-Тесты, а у кого-то подгорело в заду.
Т.е. не использовать конвенции в названиях функций скорей всего прокатит, а вот если сэкономить на юнит тестах, то это скорей всего вылезет или на SiL-Тестах (но их обычно поставщики сами и проводят, так что там возможны варианаты) или сразу на HiL-Тестах.

RV3EFE Sep 5 2023 at 00:13

Как говорил классик: А судьи кто? – За древностию лет..."

Я именно хочу понять, посадят за то, что по стандарту типа сделано, но подгорело, а если по стандарту не правильно определили класс асил?

aabzel Sep 5 2023 at 00:50

что вы сэкономили и не провели HiL-Тесты, а у кого-то подгорело в заду.Т.е. не использовать конвенции в названиях функций скорей всего прокатит, а вот если сэкономить на юнит тестах, то это скорей всего вылезет или на SiL-Тестах (но их обычно поставщики сами и проводят, так что там возможны варианаты) или сразу на HiL-Тестах.

Судя по
https://habr.com/ru/news/712888/

яндекс.драйв спокойно пилит прошивку телематики, а таких слов как ISO26262 стены их офиса никогда не слышали

при этом на рем-базе каршеринговые автомобили в гармошку штабелями уложены

RV3EFE Sep 6 2023 at 11:50

О, яндекс.... ))) Вот их выступление про беспилотники:

https://www.youtube.com/watch?v=zLlsSCzJP6g&t=12410s
3:44:50 Вопрос как раз про стандарт.

Ребята из яндекса смело говорят, что они слышали про эти стандарты, и даже анализировали, но не следовали им

aabzel Sep 6 2023 at 13:15

Ребята из яндекса смело говорят, что они слышали про эти стандарты, но не следовали им

Это и понятно. Стандарты функциональной безопасности нужны в тех странах, где человеческая жизнь высоко цениться (Германия, Великобритания).

А в регионах, где стоимость человеческой жизни 5 копеек ISO26262 даром никому не нужен.