entr
entr

Fonksiyonel Güvenlik (ISO26262) Nedir?

Fonksiyonel güvenliğe başlamadan önce bazı temel kavramlar üzerine konuşmak gerekir. Hemen akla emniyet ve güvenlik kelimeleri geliyor. Türkiye’de gördüğüm kadarıyla, esasında aynı anlama gelen, kökeni Türkçe olan güvenlik, security yerine, emniyet ise safety yerine kullanılıyor.
 
Ancak ben bu kullanıma kesinlikle katılmıyorum. Güvenlik de, emniyet de tek bir anlamı ifade eder: Güvenli olma hali, itimat edilebilecek bir ortamı işaret eder. Security ve safety’i birlikte kapsar. Kısacası Functional Safety’i çevirirken Fonksiyonel Güvenlik demek de Fonksiyonel Emniyet demek de doğrudur.

Ancak “Functional Safety”i anlayabilmek için, iki ayrı kavram olan security ve safety kelimeleri arasındaki farkları anlamak gerekir. Safety, tabiatı itibarıyla güvenli olma halini ifade ederken, security ise dış tehlikelere karşı emniyetli hale getirilmiş olmayı kasteder.

Security ve Safety Arasındaki Fark Nedir?

Şöyle düşünün: Arabanızla yolda giderken, kaza yaptınız. Bu durumda ne yaparsınız? Sizin ve çevredeki araçların güvenliğini sağlamak için emniyet/güvenlik tedbirleri alırsınız. Üzerinize yansıtıcı özelliği olan yelek giyer, diğer araçları uyarmak için aracınızdan 50 metre öteye uyarı levhası koyarsınız ve hemen polisi ararsınız. Bu yaptığınızın karşılığı “Security” dir. Yani size ve yolculuk eden diğer araçlara karşı oluşabilecek tehlikelere (Örnek: Gelen araçlar sizi görmeyebilir ve size çarpabilir.) önlem alıp güvenli hale getirmek kastediliyor. “Safety”de ise aracın kendi tabiatından kaynaklı oluşabilecek çevre için oluşabilecek risklere karşı sistemin kendisini güvenli hale getirmek kastedilir.

Security, çevreden/dışarıdan gelebilecek risklere karşı alınan güvenlik tedbirleri iken, safety ürünün kendisinden kaynaklanabilecek risklere karşı alınan güvenlik tedbirleridir.

 

Elektrik/Elektronik Cihazlar, Sistemler ve Güvenlik

Bir tüketici olarak yeni bir cihaz satın alırken, bu bir cep telefonu olabilir ya da bir televizyon olabilir, sorunsuz çalışmasını, arızalanmamasını, tehlike yaratabilecek hiçbir riskinin olmamasını bekleriz. Bu beklenti o kadar doğaldır ki herhangi bir arıza ya da risk bizi şoke eder. Samsung’un şu meşhur patlayan telefonu, Galaxy Note 7’yi ele alalım. Telefon beklenmedik bir şekilde aşırı ısınıyor ve yanıyordu. Sonuçta Samsung, 2,5 milyon telefonu geri toplanttı, büyük prestij ve 5.3 milyar dolar kaybetti. Bu model telefonlar uçaklara dahi alınması, tehlikeli olacağı düşüncesiyle yasaklandı. Samsung’un yaptığı açıklamaya göre ise sebep pillerin içerisinde yeterince yalıtım malzemesinin olmamasıymış. Tek bir olay, dünyanın en büyük cep telefonu üreticisini sarsmaya ve tüm şirket kültürünü baştan aşağıya değiştirmesine yetti.

Güvenlik, hayatın her alanında kendisine yer bulur. Özellikle söz konusu uçuş güvenliği ise...
THY, 2016 yılında Samsung Galaxy Note 7 cihazlarının uçağa alınmasını güvenlik nedeniyle yasaklamıştı.

 

Almanya ve Avrupa’da tüm ürünler, çalışma ekipmanları ve görüntülenmesi gereken sistemler Product Safety Act’a göre üretilmek zorundadır. Buna EU tarafından hazırlanan European Directive 2001/95/EC temel teşkil eder. Her üye ülke kendi diline çevirmiştir. Bu normlara göre son tüketici için üretilmiş her ürün güvenli olmak zorundadır. Bu demektir ki her ürün öyle bir geliştirilmeli ve üretilmeli ki kullanıcıların sağlığını ve güvenliğini tehlikeye atmamalıdır.


Fonksiyonel Güvenlik (ISO26262)

Fonksiyonel Güvenlik (ISO26262), tüm programlanabilien elektrik/elektronik sistemler için tanımlanmış olan IEC 61508‘nin otomotiv sektörü için özelleşmiş güvenlik standartlarıdır. En basit haliyle ISO26262 otomotiv endüstrisinde güvenliğin kritik olduğu sistemleri geliştirmek için gereksinimleri tanımlar. Otomotiv sektöründe, Elektrik/Elektronik sistemlerin geliştirilmesi için bir güvenlik yaşam döngüsü sağlar.

Amaç ise, kabul edilemeyecek riskleri mümkünse ortadan kaldırmak, mümkün değil ise en aza indirmek.

Aslına bakarsanız bu talep ile ilgili bir şey… İlk üretilen otomobil ile şu anki otomobilleri kıyasladığımızda, ilk otomobilleri otomobilden çok bir bisiklete benzetmek daha doğru olur. Herhalde Gottlieb Daimler ve Wilhelm Maybach, günümüze ışınlansalar ve günümüzdeki otomobillerdeki “standart” olarak adlandırılaran sistemleri görseler küçük dillerini yutarlardı. Muazzam karmaşıklık muazzam riskleri de beraberinde getiriyor. Eskiden yalnızca mekaniğin konusu olan güvenlik artık içinde yazılım barındıran elektrik/elektronik sistemlerinin ana konusu haline geldi.

150’ye yakın EKÜ’yle sürdügümüz aracımız, sadece birkaç milisaniyede biz farkına dahi varmadan binlerce farklı karar verir.
Tarihteki ilk otomobil: Benz Patent-Motorwagen

Güvenliği Nasıl Ölçerim?

Güvenli bir ürün, daha önceki satırlarımda tanımladığım gibi direkt olarak kullanıcının ve çevredeki insanların güvenliği ile ilgilidir. Öte yandan hiçbir ürün tam anlamıyla 100% güvenli olamaz. Ancak, oluşabilecek tehlike riski kabul edilebilir bir seviyeye çekilebilir. ISO26262 bu noktada riske dayalı bir hesaplama yöntemi uyguluyor. Bu yöntem OEM’ler tarafından Hazard Analysis and Risk Assessment (Tehlike Analizi ve Risk Değerlendirmesi) sırasında kullanılır.

Riski hesaplarken 3 etken dikkate alınır:

1. Severity (Yaralanma Şiddeti): Muhtemel tehlike gerçekleştiği anda ortaya çıkacak olan yaralanma şiddeti ne büyüklükte olacak?

S0: Yaralanma yok

S1: Hafif ya da orta derecede yaralanma

S2: Ağır ve hayati derecede yaralanma (Yüksek ihtimalle hayatta kalma mümkün)

S3: Hayati derecede yaralanma (Hayatta kalma belirsiz) ya da ölümcül yaralanma

Örnek olay: Aracın virajı alamayıp, yoldan çıkması

2. Exposure: Belirli bir operasyonel koşulda tehlikeli durumun oluşma olasılığı

E0 – Mümkün değil

E1 – Çok düşük olasılıkla: Çoğu sürücüler için yılda 1 kez ya da biraz fazla kez gerçekleşebilir.

E2 – Düşük olasılıkla: Çoğu sürücüler için yılda birkaç kere gerçekleşebilir. -> Ortalama sürüş zamanının yüzde 1’inden daha azında

Örnek olay: Sürücünün arabayı geri geri sürmesi

E3 – Orta olasılıkla: Ortalama sürücüler için ayda en az bir ya da daha fazla kez gerçekleşebilir. -> Ortalama sürüş zamanının yüzde 1 ila yüzde 10’u arasında

E4 – Yüksek olasılıkla: Ortalama sürücüler için neredeyse her sürüş döngüsünde gerçekleşebilir. -> Ortalama sürüş zamanının yüzde 10’undan daha fazlasında

Örnek olay: Sürücünün fren yapması

3. Controllability (Denetlenebilirlik): Sürücü ya da yolcu, oluşabilecek yaralanmayı ya da zararı engelleyebilir mi?

C0 – Genel olarak sürücü ya da yolcu araca müdahele edip, yaralanmayı ya da zararı engelleyebilir: Tüm durumlarda 100% müdahele edilebilir.

C1 – Sürücü basitçe müdahele edebilir: Sürücü ya da yolcuların yüzde 99’u yaralanma ya da zararı genelde engelleyebilir.

Örnek olay: Klimanın sıcak yerine soğuk üflemesi

C2 – Normal bir şekilde müdahele edebilir: Sürücü ya da yolcuların yüzde 90’ı yaralanma ya da zararı genelde engelleyebilir.

C3 – Müdahele etmek zor ya da hiç müdahele edilemez: Sürücü ya da yolcuların yüzde 90’dan azı, yaralanma ya da zararı güçlükle engelleyebilir ya da engellemeleri mümkün olmayabilir.

Örnek olay: Direksiyonun kilitlenmesi

Bu 3 değişkene göre, oluşabilecek her tehlikeli olay için ASIL (Automotive Safety Integrity Level) belirlenir.

Görselin amacı hangi etkenlere bağlı olarak hangi ASIL seviyelerinin belirlendiğini göstermektir.
ASIL, Severity, Exposure ve Controllability değişkenlerine bağlı olarak belirlenir

 

Bu tabloda da görebileceğiniz gibi oluşabilecek her tehlikeli olay için, tehlikenin büyüklüğü, oluşma olasılığı ve kontrol edilebilme durumuna göre güvenlik açısından riskin büyüklüğünü tayin etmek için ASIL seviyesi belirliyoruz. Bu, HARA’nın sonucu oluyor. Bu sonuca göre güvenlik hedefleri belirliyoruz ve her güvenlik hedefinin de HARA’dan doğan ASIL seviyesi oluyor. Hedef, kabul edilemez büyüklükteki riskleri, mümkünse ortadan kaldırmak. Mümkün değil ise de kabul edilebilir seviyeye getirmek. Bunu nasıl gerçekleştiriyoruz? Güvenlik hedefleri belirliyoruz. Bu güvenlik hedeflerine ulaşmak için hangi önlemleri almak gerekir? Hangi sistem birleşenleri sorumludur? Hangi yazılım birleşenleri sorumludur? Tüm bunlar, fonksiyonel güvenlik gereksinimlerinin yazımıyla son buluyor.

QM: Kabul edilebilir güvenlik riskinin olduğunu ya da hiç güvenlik riskinin bulunmadığı anlamına gelir. QM sistem, fonksiyon ya da sinyaller için standart kalite yönetimi yeterlidir.

ASIL A, en düşük seviyedeki güvenlik derecesidir. ASIL D ise en yüksek güvenlik derecesidir. ASIL A’dan D’ye gittikçe, ürün geliştirmede her ASIL seviyesinde uygulamanız gereken metotlar çoğalacak, testler artacak ve geliştirmeye ayırdığınız zaman da artacak.

HARA’yı ön far sistemi üzerinde anlattığım diğer yazımı da okuyabilirsiniz. 

M.Eng.Can Acar

Autonom – Engineering Manager

Functional Safety Engineer (TÜV Rheinland)

# 21401 / 21


Referanslar

Functional Safety Essentials ISO26262 — at a glance, Dr. Roland Sadler, Dirk Dürholz, Kugler Maag CIE

Functional Safety for Road Vehicles: New Challenges and Solutions for E-mobility and Automated Driving, Hans-Leo Ross, Springer