Člověk nemusí být nadšeným obdivovatelem nejmodernějších aut, aby věděl, že komplexní systém, kterým vozidla jsou, je vybaven desítkami elektronických jednotek, které pak realizují až stovky různých funkcí. I základní požadavky jsou zajišťovány systémy, u kterých je přerušena či doplněna přímá fyzikální vazba mezi ovládacím prvkem a akčním členem vložením systému elektronicky ovládaného, například u funkce ruční brzdy nebo brake-by-wire. Další jednotky pak dokonce přebírají za řidiče i rozhodovací procesy (např. ACC – adaptivní tempomat nebo LKA – Lane Keep Assistant). S postupující automatizací bude vliv elektroniky na řízení a chování vozu dále dramaticky narůstat. Co kdyby ale některý systém selhal? Touto otázkou se zabývají celé týmy, které se podílejí na vývoji vozidel. K léty prověřeným postupům, které se postupně promítly do konstrukce vozidel a jejich schvalování, do pravidel silničního provozu i do silniční infrastruktury, se v poslední dekádě přidává i otázka tzv. funkční bezpečnosti, která k dílčím technickým požadavkům (např. elektromagnetická kompatibilita) přidává jednotný pohled na návrh celého systému jak v oblasti hardwaru, tak i softwaru, a to prostřednictvím požadavků na proces vývoje i výroby. Funkční bezpečnost je chápána jako soubor postupů, procesů a technických opatření, který snižuje nebo odstraňuje riziko zranění nebo usmrcení osob v důsledku selhání elektrické, elektronické nebo programovatelné části systému. Základním principem, který se promítá do zásad funkční bezpečnosti, je předcházení vzniku systematických chyb, zejména v oblasti vývoje, od koncepčního návrhu jednotky až po uvolnění do výroby. Pojem funkční bezpečnosti není spjat pouze s automobilovým průmyslem, ale týká se mnoha dalších průmyslových oborů, jako jsou chemické a výrobní provozy, atomové elektrárny, železniční doprava, průmyslová automatizace, lékařská technika a další. Pro stanovení obecného standardu funkční bezpečnosti byla v roce 1998 vytvořena mezinárodní norma IEC 61508, která je aplikovatelná ve všech oblastech průmyslu. Pro specifické požadavky v automobilovém průmyslu byla v roce 2011 vydána norma ISO 26262. Norma ISO 26262:2011 popisuje požadavky na zajištění funkční bezpečnosti sériově vyráběných vozidel s hmotností do 3,5 t, a to po celou dobu životního cyklu daného vozidla od počátku vývoje až po vyřazení z provozu. Na vozidlo se nahlíží jako na soubor jednotek, které jsou propojeny nebo se vzájemně ovlivňují. Jednotky tvoří dohromady fungující systém a zajišťují požadovaný soubor funkcí. V případě vadné jednotky může dojít k tomu, že daná funkce nefunguje vůbec nebo funguje nesprávně, a v důsledku mohou být osoby ve vozidle nebo jeho okolí ohroženy na zdraví nebo životě. Pro podobné situace vyžaduje norma ISO 26262 vyhodnocení možného rizika a jeho klasifikaci tzv. úrovní integrity bezpečnosti – ASIL (Automotive Safety Integrity Level), a to již během koncepčního návrhu jednotky. Úroveň ASIL dosahuje těchto hodnot – QM, ASIL A, ASIL B, ASIL C a ASIL D, kde úroveň QM znamená nejnižší a ASIL D nejvyšší úroveň, tedy nejzávažnější riziko. Úroveň QM znamená, že pro danou situaci není potřeba žádné specifické technické nebo procesní opatření a postačuje nastavení procesů v souladu se systémem řízení kvality. Na druhé straně úroveň ASIL D znamená velmi přísné požadavky na všech úrovních vývoje. Z hlediska aplikovaných procesů je zavedení funkční bezpečnosti nadstavbou nejen samotné vyvíjené funkce, ale i systému řízení kvality. Zjednodušeně řečeno, vývoj jednotky podle zásad funkční bezpečnosti zaručuje i dosažení požadované kvality vývoje. Podle stanovené úrovně ASIL je nutné nastavení takových technických opatření, která vedou ke snížení nebo úplné eliminaci vzniklého rizika, například včasným odhalením závady v jednotce nebo zvýšením její spolehlivosti. Mezi taková opatření patří typicky vnitřní diagnostika jednotky, ověřené postupy při návrhu hardwaru nebo softwaru nebo vyhodnocení spolehlivosti hardwaru. Norma ISO 26262 zároveň předepisuje i soubor procesních požadavků jako nezbytnou součást vývoje vozidla nebo jednotky. Část procesů je stejná bez ohledu na stanovenou úroveň integrity ASIL, další část je závislá na nejvyšší úrovni ASIL stanovené pro danou jednotku. Obecně platí, že čím vyšší úroveň ASIL, tím přísnější požadavky na nastavené etapy vývoje. Splnění těchto požadavků musí být prokazatelné. Do procesních požadavků patří zejména: management funkční bezpečnosti, stanovení kompetencí týmu a nastavení procesů kompletní vývojová fáze produktu včetně validace aplikace funkční bezpečnosti při uvedení do výroby, během výroby, provozu, údržby a servisu až po vyřazení z provozu nezávislé posouzení klíčových momentů vývoje. Stejné požadavky se kladou i na vývoj jednotky nebo komponenty, které se vyvíjejí dodavatelsky nebo mimo vývoj daného vozidla, pokud obsahují bezpečnostně relevantní funkci, např. mikroprocesor, senzor nebo celý modul. Na druhou polovinu roku 2018 se připravuje revidované vydání ISO 26262, které rozšiřuje požadavky na funkční bezpečnost i pro další kategorie vozidel, jako jsou motocykly a vozidla s hmotností nad 3,5 t, tedy autobusy a nákladní vozidla. Kromě rozšíření kategorií vozidel upřesňuje nová verze normy některé procesy nebo termíny použité v předchozí verzi a doplňuje informativní část zaměřenou na polovodičové prvky, zejména metody ke stanovení jejich spolehlivosti. Další oblasti funkční bezpečnosti Dále se do nové verze promítají i vazby na další oblasti, které s funkční bezpečností souvisejí, jako je tzv. SOTIF (safety of the intended function), což znamená nesprávné vyhodnocení situace, i když elektronické systémy pracují správně. V neposlední řadě se hodnotí rizika spojená s možným ovládnutím vozidla z vnějšího prostředí, tedy problematika kyberbezpečnosti. Použití zásad funkční bezpečnosti při vývoji v automobilovém průmyslu může znamenat zvýšené náklady na vývoj, ovšem případná chyba v jednotce může při dnešní masové produkci ohrozit velké množství lidí na silnicích a při následných nápravných opatřeních výrazně oslabit samotného výrobce automobilů nebo jeho dodavatele. Společnost TÜV SÜD spolupracuje s vývojovými týmy při zavádění funkční bezpečnosti podle normy ISO 26262, má celosvětovou síť expertů na funkční bezpečnost nejen v automobilovém průmyslu a je připravena podpořit projekty svých partnerů nabídkou komplexních služeb od konzultací, podpory vzdělávání až po certifikaci plnění požadavků funkční bezpečnosti. Karel Jánský, specialista funkční bezpečnosti Jan Hnilica, vedoucí sekce Integrovaného testování TÜV SÜD Czech
