Standar ISO 26262 adalah standar internasional untuk keselamatan fungsional sistem kelistrikan dan elektronik di kendaraan, yang memiliki 12 struktur dokumen didalamnya.
Artikel ini merupakan lanjutan dari artikel dari standarku.com sebelumnya yakni :
Pada artikel ini akan ditampilkan keseluruhan 12 bagian standar yakni :
- 10 bagian normatif, yang berada di bagian 1 hingga 9 dan 12
- 2 pedoman, yakni di bagian 10 dan 11
Berikut ini daftar 12 bagian penyusun standar ISO 26262 :
- Vocabulary
- Management of functional safety
- Concept phase
- Product development at the system level
- Product development at the hardware level
- Product development at the software level
- Production, operation, service and decommissioning
- Supporting processes
- Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analysis
- Guidelines on ISO 26262
- Guidelines on application of ISO 26262 to semiconductors
- Adaptation of ISO 26262 for motorcycles
Part 1: Vocabulary (Struktur 1: Kosakata) ISO 26262
ISO 26262 menetapkan kosakata (Glossary Proyek) untuk aplikasi di semua bagian standar, dari :
- Terms (istilah)
- Definitions (definisi)
- Abbreviations (singkatan)
Yang paling penting adalah definisi yang cermat dari : fault, error, dan failure.
Karena istilah-istilah ini adalah kunci untuk definisi standar proses keselamatan fungsional, terutama dalam pertimbangan bahwa :
- “Kesalahan dapat memanifestasikan dirinya sebagai kesalahan …
- dan kesalahan pada akhirnya dapat menyebabkan kegagalan”.
Kerusakan yang dihasilkan yang memiliki efek berbahaya (hazardous effect) adalah hilangnya keselamatan fungsional.
Berikut beberapa istilah penting dan artinya :
- Item : Dalam standar ini, item adalah istilah kunci. Item digunakan untuk merujuk ke sistem tertentu (atau kombinasi sistem) yang menerapkan Siklus Hidup Keselamatan ISO 26262, yang mengimplementasikan fungsi (atau bagian dari fungsi) pada tingkat kendaraan. Artinya, item tersebut adalah objek yang diidentifikasi tertinggi dalam proses dan dengan demikian merupakan titik awal untuk pengembangan keselamatan spesifik produk di bawah standar ini.
- Element : Baik sistem, komponen (terdiri dari bagian perangkat keras dan/atau unit perangkat lunak), bagian perangkat keras tunggal, atau unit perangkat lunak tunggal — secara efektif, apa pun dalam sistem yang dapat diidentifikasi dan dimanipulasi secara jelas.
- Fault : Kondisi abnormal yang dapat menyebabkan suatu elemen atau item gagal.
- Error : Perbedaan antara nilai atau kondisi yang dihitung, diamati atau diukur, dan nilai atau kondisi yang benar, ditentukan atau benar secara teoritis.
- Failure : Penghentian perilaku yang dimaksudkan dari suatu elemen atau item karena manifestasi kesalahan.
- Fault Tolerance : Kemampuan untuk memberikan fungsionalitas tertentu dengan adanya satu atau lebih kesalahan tertentu.
- Malfunctioning Behaviour : Kegagalan atau perilaku yang tidak diinginkan dari suatu item sehubungan dengan maksud desainnya.
- Hazard : Potensi sumber bahaya (cedera fisik atau kerusakan kesehatan) yang disebabkan oleh perilaku tidak berfungsinya item tersebut.
- Functional Safety : Tidak adanya risiko yang tidak wajar akibat bahaya yang disebabkan oleh perilaku tidak berfungsinya sistem Listrik/Elektronik.
Part 2: Management of functional safety (Struktur 2: Manajemen keselamatan fungsional) ISO 26262
ISO 26262 memberikan standar untuk :
- Manajemen keselamatan fungsional untuk aplikasi otomotif,
- Mendefinisikan standar untuk manajemen keselamatan organisasi secara keseluruhan
- Standar untuk safety life cycle (siklus hidup keselamatan) untuk pengembangan dan produksi produk otomotif individu
Safety life cycle dari ISO 26262 yang dijelaskan di bagian berikutnya beroperasi pada konsep manajemen keselamatan berikut :
Hazardous Event (Peristiwa Berbahaya)
Hazardous Event adalah kombinasi yang relevan dari tingkat bahaya dari kendaraan (vehicle-level hazard)
Serta situasi operasional kendaraan yang berpotensi menyebabkan kecelakaan jika tidak dikendalikan oleh tindakan pengemudi yang tepat waktu.
Safety Goal (Sasaran Keselamatan)
Safety Goal adalah persyaratan keselamatan tingkat atas (top-level safety requirement) yang ditetapkan ke suatu sistem.
Dengan tujuan mengurangi risiko satu atau lebih peristiwa berbahaya ke tingkat yang dapat ditoleransi.
Automotive Safety Integrity Level (Tingkat Integritas Keselamatan Otomotif)
Automotive Safety Integrity Level (ASIL) adalah representasi dari klasifikasi tujuan keselamatan berdasarkan risiko khusus otomotif.
Serta langkah-langkah validasi dan konfirmasi yang diperlukan oleh standar untuk memastikan pencapaian tujuan tersebut.
Safety Requirement (Persyaratan Keamanan)
Safety Requirement mencakup semua tujuan keselamatan dan semua tingkat persyaratan yang diuraikan dari tujuan keselamatan hingga dan termasuk tingkat terendah persyaratan keselamatan fungsional dan teknis yang dialokasikan untuk komponen perangkat keras dan perangkat lunak.
Parts 3-7: Safety Life Cycle (Struktur 3-7: Siklus Hidup Keselamatan) ISO 26262
Proses dalam Safety Life Cycle dari ISO 26262 melakukan :
- Mengidentifikasi dan menilai bahaya (risiko keselamatan),
- Menetapkan persyaratan keselamatan khusus untuk mengurangi risiko tersebut ke tingkat yang dapat diterima,
- Mengelola dan melacak persyaratan keselamatan tersebut untuk menghasilkan jaminan yang masuk akal bahwa mereka dicapai dalam produk yang dikirimkan.
Proses yang relevan dengan keselamatan ini dapat dilihat sebagai terintegrasi atau berjalan secara paralel dengan siklus hidup persyaratan terkelola dari Sistem Manajemen Mutu konvensional :
- Item (produk sistem otomotif tertentu) diidentifikasi dan persyaratan fungsional sistem tingkat atas ditentukan.
- Serangkaian peristiwa berbahaya yang komprehensif diidentifikasi untuk item tersebut.
- Sebuah ASIL ditugaskan untuk setiap kejadian berbahaya. (Lihat Bagian 9 atau Part 9).
- Sasaran keselamatan ditentukan untuk setiap kejadian berbahaya, yang mewarisi ASIL dari bahaya tersebut.
- Konsep keselamatan fungsional tingkat kendaraan mendefinisikan arsitektur sistem untuk memastikan tujuan keselamatan.
- Safety goals disempurnakan menjadi persyaratan keselamatan tingkat yang lebih rendah (lower-level safety requirements). Secara umum, setiap persyaratan keamanan mewarisi ASIL dari persyaratan/tujuan keamanan induknya. Namun, ASIL yang diwariskan dapat diturunkan dengan dekomposisi persyaratan menjadi persyaratan redundan yang diterapkan oleh komponen redundan yang cukup independen.
- ” Safety requirements ” dialokasikan ke komponen arsitektur (subsistem, komponen perangkat keras, komponen perangkat lunak) Secara umum, setiap komponen harus dikembangkan sesuai dengan standar dan proses yang disarankan/diperlukan untuk ASIL tertinggi dari persyaratan keselamatan yang dialokasikan untuknya.
- Komponen arsitektural kemudian dikembangkan dan divalidasi sesuai dengan persyaratan keselamatan (dan fungsional) yang dialokasikan.
Part 8: Supporting Processes (Struktur 8: Proses Pendukung) ISO 26262
ISO 26262 mendefinisikan tujuan untuk proses integral yang mendukung proses Siklus Hidup Keselamatan (Safety Life Cycle), terus aktif di seluruh fase, dan juga mendefinisikan pertimbangan tambahan yang mendukung pencapaian tujuan proses umum.
- Antarmuka korporasi yang terkendali untuk mengalirkan tujuan, persyaratan, dan kontrol ke semua pemasok dalam pengembangan terdistribusi.
- Spesifikasi eksplisit persyaratan keselamatan dan pengelolaannya di seluruh Siklus Hidup Keselamatan.
- Kontrol konfigurasi produk kerja, dengan identifikasi unik formal dan reproduktifitas konfigurasi yang menyediakan ketertelusuran antara produk kerja dependen dan identifikasi semua perubahan konfigurasi.
- Manajemen perubahan formal, termasuk manajemen dampak perubahan pada persyaratan keselamatan, untuk tujuan memastikan penghapusan cacat yang terdeteksi serta untuk perubahan produk tanpa menimbulkan bahaya.
- Perencanaan, pengendalian, dan pelaporan verifikasi produk kerja, termasuk tinjauan, analisis, dan pengujian, dengan analisis regresi cacat yang terdeteksi ke sumbernya.
- Identifikasi dan pengelolaan terencana dari semua dokumentasi (produk kerja) yang dihasilkan melalui semua fase Siklus Hidup Keselamatan untuk memfasilitasi manajemen berkelanjutan dari penilaian keselamatan dan keselamatan fungsional.
- Keyakinan pada perangkat lunak (kualifikasi perangkat lunak untuk penggunaan yang dimaksudkan dan sebenarnya).
- Kualifikasi komponen perangkat lunak dan perangkat keras yang dikembangkan sebelumnya untuk integrasi dalam item ASIL yang dikembangkan saat ini.
- Penggunaan bukti riwayat layanan untuk menyatakan bahwa suatu item telah terbukti cukup aman digunakan untuk ASIL yang dimaksud.
Part 9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analysis ISO 26262
ASIL mengacu pada klasifikasi abstrak risiko keselamatan yang melekat dalam sistem otomotif atau elemen sistem tersebut.
Klasifikasi ASIL digunakan dalam ISO 26262 untuk menyatakan tingkat pengurangan risiko yang diperlukan untuk mencegah bahaya tertentu
Dengan penilaian yaitu : ASIL D mewakili tingkat bahaya tertinggi dan ASIL A terendah.
ASIL yang dinilai untuk bahaya tertentu kemudian ditetapkan ke tujuan keselamatan yang ditetapkan untuk mengatasi bahaya itu.
Kemudian tujuan tersebut akan menghasilkan berbagai persyaratan keselamatan yang diperlukan.
ASIL Assessment Overview (Ikhtisar Penilaian ASIL)
Penentuan ASIL adalah hasil dari analisis bahaya dan penilaian risiko.
Dalam konteks ISO 26262, bahaya dinilai berdasarkan dampak relatif dari efek berbahaya yang terkait dengan sistem.
Yang disesuaikan dengan kemungkinan relatif dari bahaya yang memanifestasikan efek tersebut.
Artinya, setiap peristiwa berbahaya dinilai dalam hal keparahan cedera yang mungkin terjadi dalam konteks jumlah waktu relatif kendaraan terkena kemungkinan bahaya terjadi.
Serta kemungkinan relatif bahwa pengemudi tipikal dapat bertindak untuk mencegah terjadinya cedera kecelakaan.
ASIL Assessment Process (Proses Penilaian ASIL)
Pada awal safety life cycle, analisis bahaya dan penilaian risiko dilakukan, menghasilkan penilaian ASIL untuk semua peristiwa berbahaya dan tujuan keselamatan yang teridentifikasi.
Setiap kejadian berbahaya diklasifikasikan menurut tingkat keparahan (S) cedera yang diperkirakan dapat menyebabkan hal berikut :
Klasifikasi Keparahan atau Severity Classifications (S):
- S0 : Tidak Ada Cedera
- S1 : Cedera ringan sampai sedang
- S2 : Cedera parah hingga mengancam jiwa (kemungkinan bertahan hidup)
- S3 : Mengancam jiwa (kelangsungan hidup tidak pasti) hingga cedera fatal
Risk Management atau Manajemen Risiko mengakui bahwa pertimbangan tingkat keparahan cedera yang mungkin terjadi adalah tergantung dari seberapa besar kemungkinan cedera itu terjadi.
Untuk bahaya tertentu, peristiwa berbahaya dianggap sebagai risiko yang lebih rendah jika kemungkinannya kecil untuk terjadi.
Dalam analisis bahaya dan proses penilaian risiko standar ini, kemungkinan bahaya yang merugikan diklasifikasikan lebih lanjut menurut kombinasi paparan (E) dan kontrol ( C).
Paparan atau exposure (E) adalah frekuensi relatif yang diharapkan dari kondisi operasional di mana cedera mungkin terjadi.
Kontrol atau control ( C) adalah kemungkinan relatif bahwa pengemudi dapat bertindak untuk mencegah cedera.
Klasifikasi paparan atau Exposure Classifications (E):
- E0 : Sangat tidak mungkin
- E1 : Probabilitas sangat rendah (cedera hanya bisa terjadi dalam kondisi operasi yang jarang terjadi)
- E2 : Probabilitas rendah
- E3 : Probabilitas sedang
- E4 : Probabilitas tinggi (cedera bisa terjadi di sebagian besar kondisi operasi)
Klasifikasi Keterkendalian atau Controllability Classifications (C):
- C0 : Dapat dikontrol secara umum
- C1 : Cukup dapat dikontrol
- C2 : Biasanya dapat dikontrol (kebanyakan pengemudi dapat bertindak untuk mencegah cedera)
- C3 : Sulit dikendalikan atau tidak terkendali
Dalam klasifikasi ini, peristiwa berbahaya Automotive Safety Integrity Level D (ASIL D) didefinisikan sebagai :
ASIL D adalah peristiwa yang memiliki kemungkinan masuk akal untuk menyebabkan cedera fatal (kelangsungan hidup tidak pasti) atau fatal.
Dengan cedera yang mungkin terjadi secara fisik di sebagian besar kondisi pengoperasian dan dengan sedikit kemungkinan, pengemudi dapat melakukan sesuatu untuk mencegah cedera.
Artinya, ASIL D merupakan gabungan dari klasifikasi S3, E4, dan C3.
Untuk setiap pengurangan tunggal dalam salah satu dari klasifikasi ini dari nilai maksimumnya (tidak termasuk pengurangan C1 menjadi C0), ada pengurangan tingkat tunggal pada ASIL dari D.
Misalnya, bahaya cedera fatal hipotetis (C3) yang tidak dapat dikendalikan (S3) dapat diklasifikasikan sebagai ASIL A jika bahaya tersebut memiliki probabilitas yang sangat rendah (E1).
Level ASIL di bawah A adalah level terendah, QM.
QM mengacu pada pertimbangan standar bahwa di bawah ASIL A; tidak ada relevansi keselamatan dan hanya proses Manajemen Mutu standar yang diperlukan.
Definisi Keparahan, Paparan, dan Kontrol ini bersifat informatif, tidak preskriptif, dan secara efektif meninggalkan beberapa ruang untuk variasi subjektif atau kebijaksanaan antara berbagai pembuat mobil dan pemasok komponen.
Sebagai tanggapan, Society for Automotive Safety Engineers (SAE) telah mengeluarkan standar J2980 – Pertimbangan untuk Klasifikasi Bahaya ASIL ISO26262.
Standar tersebut bertujuan untuk memberikan panduan yang lebih eksplisit untuk menilai Paparan, Tingkat Keparahan, dan Kemampuan Pengendalian untuk bahaya tertentu.
Demikian artikel dari standarku.com mengenai Struktur Standar ISO 26262 Road vehicles – Functional safety.
Mohon saran dari pembaca untuk kelengkapan isi artikel ini, silahkan saran tersebut dapat disampaikan melalui kolom komentar.
Baca artikel lain :
Sumber referensi :