Sûreté Fonctionnelle et ISO 26262

Les Outils et Services d’ETAS assurent la Sûreté Fonctionnelle des Systèmes Électroniques

Pour être habilités à circuler, les véhicules routiers doivent se conformer aux normes scientifiques et technologiques en place. La prévention des litiges en matière de responsabilité produit exige au minimum le respect des normes industrielles applicables. Tous les produits introduits sur le marché doivent avoir été développés conformément à ces normes.

La qualification des outils logiciels vise à prévenir les erreurs qui pourraient se retrouver dans un produit et mener au non-respect d’un objectif de sécurité. Certains outils et leur utilisation font donc l’objet d’une assurance qualité. Les exigences de base pour le développement des codes logiciels liés à la sécurité sont définies dans des normes industrielles spécifiques (ex. : ISO 25119 et ISO 26262).

Pour atteindre un niveau de sécurité optimal, plusieurs éléments sont à prendre en compte:

  • Conception système appropriée: Diagnostic, redondance, etc.
  • Fiabilité matérielle: Analyse des modes de défaillance et des taux de défaillance
  • Logiciel exempt d’erreurs critiques: Approche à la pointe du développement logiciel
  • Approche méthodique de la Gestion Qualité: Analyses, essais et revues
  • Capacité à démontrer le respect des objectifs de sécurité: À travers une évaluation des produits et des processus

Pour ce faire, nous offrons un portefeuille complet répondant aux besoins de sûreté fonctionnelle en matière de développement logiciel, par le biais d’outils qualifiés, de services d’ingénierie et de conseils d’expert.

L’enjeu:
L’ISO 26262 et d’autres spécifications connexes comme l’ISO 25119 et l’EN ISO 13849 sont des dérivés de la norme générique IEC 61508 sur la sûreté fonctionnelle des systèmes électroniques, la norme obligatoire pour les véhicules routiers. Tous les nouveaux systèmes E/E doivent respecter les normes de sécurité applicables. L’ensemble des processus de développement, méthodes et chaînes d’outils jouent un rôle significatif dans le respect de ces normes. C’est la raison pour laquelle les outils de développement qui serviront à définir les prochains systèmes E/E doivent également respecter la norme ISO 26262.

La solution:
Notre portefeuille combine un haut niveau de compétences en termes de méthodes, de processus, d’outils et de logiciels embarqués, ainsi qu’une expérience pratique du développement de systèmes essentiels à la sécurité, afin de soutenir nos clients sur tous les plans en matière de sûreté fonctionnelle. Il inclut:

  • Outils de Développement
    Les outils de développement logiciel d’ETAS incluent les gammes de produits ASCET, RTA, INTECRIO, EHOOKS, ISOLAR-CODER et INCA, utilisées pour le développement et l’essai de systèmes automobiles essentiels à la sécurité, conformément à des normes spécifiques comme l’ISO 26262. Nous outils prennent en charge de façon complète et flexible l’implémentation des concepts de sécurité AUTOSAR 4.x au niveau système d’exploitation et logiciel. Nos générateurs de code certifiés assurent l’intégrité de nos logiciels.
    Nos outils de développement fonctionnel et logiciel sont déployés avec succès dans le cadre de projets de gestion moteur, ABS et ESP.
  • Services d’Ingénierie
    Nos Services d’Ingénierie sont là pour répondre à tous vos besoins de développement. Grâce à leur architecture ouverte, à leur conception modulaire et à leur respect des normes industrielles et automobiles communes à tous les produits ETAS, nos services s’adaptent de façon flexible à tous vos besoins de développement et à vos infrastructures existantes.
  • Services de Conseils RTA
    Nos Services de Conseils RTA vous accompagnent dans le déploiement de mesures de sûreté fonctionnelle pour vos séries et vos processus. Nous pouvons également qualifier les chaînes d’outils de nos clients conformément à la norme ISO 26262 grâce à nos Manuels de Sécurité ETAS.

Notre équipe d’experts se compose d'un réseau international de conseillers jouissant de nombreuses années d'expérience en développement de séries et en projets de recherche dans le domaine de la sûreté fonctionnelle.

Qu’est ce que l’IEC 61508?
L’IEC 61508 est un standard international en rapport avec la sureté fonctionnelle des systèmes électriques/électroniques/programmables relatifs à la sécurité. Dans ce contexte, un système est défini pour inclure des capteurs et autres appareils d’acquisition, l’électronique programmable en elle-même ainsi que tous les actionneurs et autres appareils de sortie.

Qu’est-ce que ISO/DIS 26262?
ISO/DIS 26262 est l’adaptation spécifique de l’IEC 61508 qui s’applique aux systèmes électroniques/électriques relatifs à la sécurité, comprenant à la fois le logiciel et le matériel, installé dans les véhicules de tourisme de moins de 3,5 tonnes.

La norme est divisée en 10 parties couvrant le cycle de vie complet des systèmes E/E/PE liés à la sécurité : gestion de la sûreté fonctionnelle, définition, conception, développement, production et fonctionnement. L’ISO 26262 est donc à la pointe en matière de responsabilité produit.

La mise en œuvre de la norme ISO 26262 influence le processus de développement logiciel:

  • Conception architecturale:
    • Faible couplage, haute cohésion
    • Forme semi-officielle
  • Conception et mise en œuvre:
    • Directives (ex. : MISRA-C:2004)
    • Minimisation des problèmes de mémoire et de temporisation
  • Essai logiciel:
    • Approche systématique des essais
    • Haut niveau de couverture
  • Essai système:
    • Injection de fautes / essais de robustesse
    • Essai logiciel dans l’environnement cible

Les normes IEC 61508 et ISO 26262 requièrent-elles l’utilisation d’outils certifiés?
Les normes IEC 61508 et ISO 26262 ne requièrent pas la certification des outils de développement ou la conformité avec les normes de sécurité. Cependant, les deux normes exigent que le développeur du système puisse établir qu’aucun outil utilisé lors du développement ne viole les exigences de sécurité du système requises pour prendre en charge le niveau d’intégrité de sécurité demandé (SIL ou ASIL).

En matière d’ingénierie de sécurité, le développeur du système doit fournir des arguments de sécurité valides pour la chaîne d’outils, soutenus par des preuves appropriées. Un bon argument de sécurité de chaîne d’outils doit montrer avec succès qu’aucune faille dans aucun outil ne peut laisser dans le système un défaut critique non détecté.

Outils de développement pour les applications essentielles à la sécurité

INTECRIO: Outil d’intégration et de développement pour le prototypage virtuel
Grâce à la programmation de niveau C proposée par INTECRIO, nos clients sont en mesure d’employer des débogueurs et des environnements de développement niveau C pour notamment localiser leurs codes, afin de mesurer facilement des indicateurs comme la couverture de code ou de décision. Cela permet de déterminer si la conversion du modèle fonctionnel vers le langage C nécessite des essais supplémentaires. INTECRIO peut donc être utilisé pour appliquer les méthodes de développement logiciel et d’essai visées par l’ISO 26262.

ASCET: Simulation, prototypage rapide et exécution d’objectif
Les caractéristiques standard suivantes d’ASCET expliquent pourquoi ASCET est le bon choix pour le développement de logiciel en rapport avec la sécurité, car elles soutiennent le développement logiciel conformément à la norme ISO 26262:

  • Support pour la modularité, l’abstraction et l’encapsulation: ASCET possède un modèle de programmation basé sur des objets et le code généré bénéficie d’une structure modulaire identique aux modèles. Ces derniers sont répartis de manière unique en deux couches d’abstraction claires, encapsulant la conception du système haut-niveau et l’isolant des changements résultant des considérations de conception bas-niveau.
  • Définition sans ambiguïté: les hypothèses implicites sur des données et des flux de contrôle qui sont faites par les techniques de modélisations graphiques habituelles sont supprimées en formalisant explicitement les commandes lors de la conception grâce à des séquences et une numérotation. Les modèles graphiques d’ASCET ont le même comportement, indépendamment de la façon dont ils sont conçus.
  • Prise en charge du temps-réel : intégration simple avec systèmes d’exploitation temps réel comme RTA-OSEK avec communication garantie « thread-safe » utilisant le schéma de communication par messages d’ASCET.
  • Prévention des erreurs d’exécution : ASCET ajoute automatiquement des vérifications préventives de programme pour éviter des erreurs numériques classiques comme la division par zéro, les dépassements, surcharges, etc.
  • Respect des exigences d’implémentation logicielle : génération de code source compatible MISRA-C:2004 à 100%, pas de données ou de flux non contrôlés, pas de structures de données dynamiques, pas de données utilisées avant l’initialisation.

Certification IEC 61508 et ISO 26262 pour ASCET

ASCET-MD V6.1 et ASCET-SE V6.1 ont reçu la certification TÜV-SÜD « fit for purpose » pour son utilisation lors de développement des systèmes relatifs à la sécurité selon les normes IEC 61508:2010 et ISO/DIS 26262:2009. La certification couvre la génération de code pour tous les microcontrôleurs cibles supportés actuellement pour les systèmes avec un niveau d’intégrité de sécurité allant jusqu’à SIL3 pour l’IEC_61508 et ASIL D pour l’ISO/DIS_26262.

RTA-OS et RTA-RTE:
Implémentation compatible AUTOSAR des concepts de sécurité

AUTOSAR permet de spécifier un certain nombre de concepts au niveau système d’exploitation pour assurer la sûreté fonctionnelle du logiciel ECU. Nous offrons l'implémentation compatible AUTOSAR 4.0 d’OS et RTE.

Les deux outils:

  • Génèrent un code source compatible MISRA
  • Prennent en charge les concepts multicoeur et les applications OS dédiées au partitionnement de logiciels essentiels ou non à la sécurité
  • Prennent en charge les approches AUTOSAR 4.0 de la temporisation et du partitionnement de mémoire
  • Sont certifiés TÜV Süd conformément à ISO 26262

ISOLAR-EVE: Boucles de rétroaction plus courtes, erreurs critiques décelées plus tôt
La norme ISO 26262 exige des essais d’intégration logicielle dans un environnement cible réaliste. La virtualisation des matériels ECU permet de réaliser un essai d’intégration logicielle à une phase précoce avec un logiciel ECU cible.
Le code source identique d’un ECU peut être exécuté avec ISOLAR-EVE dans un environnement virtuel pour validation anticipée.

EHOOKS: Réaliser des essais ECU essentiels à la sécurité
La vérification d’un logiciel ECU selon la norme ISO 26262 exige de réaliser des essais dans un environnement cible tout en assurant un haut niveau de contrôle et d’observation dans le logiciel. L’outil EHOOKS d’ETAS propose un processus innovant de configuration, de construction et de correction.

Fonctionnalités d’essai logiciel offertes par EHOOKS:

  • Essai réalisé sur le matériel ECU cible via le logiciel de production ; accès à l’ECU via une interface ETAS ETK
  • Variables de données et fonctions traitées directement afin de permettre un essai ciblé des fonctionnalités critiques
  • Injection de fautes via manipulation des variables, contournement des fonctions dont l’implémentation est incorrecte ou simulation des données de capteur erronées
  • Intégration homogène à l'environnement INCA pour une meilleure efficacité de contrôle et d’observation, et une faible courbe d’apprentissage pour les ingénieurs de mesure et d'essai expérimentés

Le prototype créé avec EHOOKS est très proche de l’ECU final et donc extrêmement utile à des fins de validation et de vérification, conformément à la norme ISO 26262.

LABCAR: Réaliser des essais d’intégration système HiL
L’ISO 26262 exige de réaliser des essais représentatifs d’injection de fautes et de régression au niveau système. Cela nécessite un haut niveau de précision dans la simulation de l’environnement système.

LABCAR offre un environnement d’essai « Hardware-in-the-Loop »(HiL) évolutif avec une haute précision et une excellente qualité de signal. Ses fonctionnalités incluent:

  • Essai du véritable ECU en laboratoire dans un environnement de simulation (100 % reproductible)
  • Intégration de modèles d’usine de très haute qualité
  • Simulation précise des erreurs au niveau des interfaces avec l'ECU
  • Essai de régression entièrement automatisé et essai de libération des ECU basé sur des variantes
  • Réutilisation efficiente des essais déjà éprouvés pour d’autres projets automobiles