¿Qué es la seguridad funcional en la automoción?

La seguridad funcional en el sector automotriz es la implementación de medidas de protección para eliminar o mitigar los peligros causados por la falla o el comportamiento no deseado de un sistema a nivel de vehículo.

La norma ISO 26262 proporciona a los fabricantes de automóviles y a sus proveedores las mejores prácticas para ayudar a garantizar que la seguridad funcional se logre en cada paso del diseño del producto.

Evaluación del riesgo

El primer paso de un programa de seguridad funcional en la industria automotriz es identificar y evaluar los posibles peligros mediante un análisis de peligros y evaluación de riesgos (HARA). Por lo general, los fabricantes de equipos originales son responsables de llevar a cabo HARA en las características del vehículo para identificar los peligros potenciales y los escenarios de peligro y para determinar el nivel de reducción de riesgo necesario para cada peligro potencial identificado. Las HARA tienen en cuenta la frecuencia y la duración de la exposición a una situación de peligro potencial durante un escenario de conducción concreto, la cantidad de control necesaria para corregir el comportamiento de mal funcionamiento para mitigar el peligro potencial, y la gravedad de las consecuencias potenciales si se produce el comportamiento de mal funcionamiento.

Los HARA se realizan sobre características a nivel de vehículo, no a nivel de componente o elemento. Para cada peligro potencial, se consideran varios escenarios potenciales de conducción. Por ejemplo, en un sistema de mitigación de la colisión frontal, el peligro potencial de un frenado no deseado se evaluaría con respecto a diferentes escenarios de conducción, como la velocidad de funcionamiento y las condiciones de conducción. Cuando un OEM proporciona a un proveedor un HARA, el proveedor recomienda modificaciones si identifica peligros adicionales o posibles escenarios más desfavorables.

Asignación de un nivel de reducción de riesgos

Durante el HARA, el OEM asigna a cada peligro potencial identificado un nivel de integridad de la seguridad del automóvil (ASIL). La clasificación ASIL indica la cantidad de reducción de riesgos necesaria para aumentar la confianza en que la característica funcionará de manera segura. Si un peligro potencial no está relacionado con la seguridad, el HARA arrojará una calificación QM, indicando que se considera un problema de gestión de la calidad únicamente y que está cubierto por el proceso de gestión de la calidad del proveedor. La calificación más baja es ASIL-A (es decir, se requiere la menor cantidad de reducción de riesgos) y la más alta es ASIL-D (es decir, se requiere la mayor cantidad de reducción de riesgos).

Por ejemplo, si el indicador de velocidad de un vehículo sufre una falla durante el arranque del vehículo por la mañana y no muestra ninguna información (es decir, se pone a cero todo el tiempo), el escenario podría clasificarse como QM, porque el conductor podría percibir fácilmente el fallo y optar por llevar el coche a un mecánico o conducir con más precaución. En otras palabras, la capacidad de control del escenario es muy alta y la gravedad es baja. Por el contrario, un escenario en el que los frenos del conductor fallan a alta velocidad podría clasificarse como ASIL-D si el vehículo se vuelve incontrolable, lo que da lugar a una alta probabilidad de que alguien resulte gravemente herido.

Para abordar adecuadamente estos escenarios, la norma ISO 26262 utiliza la clasificación ASIL para determinar el rigor de los pasos de desarrollo que debe seguir el proveedor y define los requisitos de los objetivos de seguridad, entre los que se encuentran los siguientes:

Fallas a tiempo: La tasa FIT es la tasa aceptable de fallas para un vehículo en un periodo de tiempo determinado. El vehículo debe cumplir la tasa FIT dictada por la clasificación ASIL, pero el OEM tiene la flexibilidad de elegir la tasa FIT para los componentes subyacentes dentro del sistema.

Concepto de seguridad: El concepto de seguridad (o estrategia de seguridad) determina cómo se detecta una falla y cómo debe controlarse. Los sistemas con índices ASIL más altos requieren una capacidad de detección de fallas y de respuesta más estricta.

Requisitos de seguridad: Los requisitos de seguridad dictan la respuesta adecuada a cualquier falla. Por ejemplo, si un sensor detecta un problema interno relevante para la seguridad, como la corrupción de la memoria, un sistema silencioso ante fallas podría terminar la comunicación a través de la red de área del controlador en un tiempo definido para indicar su estado de falla a otros sistemas. Este es un mecanismo de seguridad típico descrito por los requisitos de seguridad, pero un sistema silencioso ante fallas no siempre es apropiado. En el caso de las funciones de conducción autónoma, por ejemplo, el vehículo podría emplear un sistema operativo en caso de falla, que requiere que un sistema redundante tome el relevo durante el tiempo necesario para llevar el vehículo a un estado de riesgo mínimo (por ejemplo, detenido con seguridad en el arcén).

En el caso de las fallas sistemáticas, seguir un proceso de desarrollo riguroso ayuda a aumentar la confianza en que la función funcionará de forma segura.

Pruebas, integración y despliegue continuos

La seguridad funcional en la automoción utiliza el modelo V durante todo el desarrollo. El modelo V exige que para cada paso del desarrollo haya un paso correspondiente en las pruebas. Los proveedores evalúan de forma rutinaria sus procesos de desarrollo para asegurarse de que se han seguido los pasos requeridos tanto para el desarrollo de hardware como de software.

The V-Model in Automotive Applications

 

Los fabricantes de equipos originales, los proveedores o las empresas independientes realizan auditorías y evaluaciones de seguridad funcional en todos los productos de trabajo pertinentes para ayudar a garantizar que se ha logrado la seguridad funcional. La calificación ASIL dicta el nivel de independencia requerido para las auditorías y evaluaciones.

La seguridad funcional del automóvil va más allá del punto de venta. Los avances en las actualizaciones over-the-air (OTA) abren la puerta a mejoras continuas. Los fabricantes de equipos originales pueden reducir los costos de reparación desplegando las actualizaciones de software a través de redes Wi-Fi y celulares en lugar de realizarlas en un concesionario. Sin embargo, la función OTA conlleva riesgos adicionales relacionados con la seguridad y la ciberseguridad que deben tenerse en cuenta.

 La seguridad funcional requiere un proceso de gestión holístico para garantizar una supervisión adecuada y una integración completa del sistema. La experiencia de Aptiv con el cerebro y el sistema nervioso del vehículo nos ayuda a apoyar los objetivos de seguridad funcional de nuestros clientes.