Sécurité

Fail operational Architecture Safety

Détails: Catégorie : Sécurité; Publication : jeudi 11 juin 2026 09:45; Écrit par Bensky; Affichages : 5

🚗🛡️ Architectures Safety Fail Operational : la prochaine étape de la sécurité automobile

Pendant de nombreuses années, les architectures automobiles ont été conçues selon une logique Fail Safe. En cas de défaillance d’un composant critique, le système détecte le défaut et place le véhicule dans un état sûr afin de protéger les occupants.

Avec l’arrivée des fonctions de conduite automatisée de niveau L3, L4 et demain L5, cette approche atteint ses limites. Lorsque le conducteur n’est plus en mesure de reprendre immédiatement le contrôle, le véhicule doit continuer à fonctionner malgré certaines défaillances. C’est le principe des architectures Fail Operational.

Une architecture Fail Operational permet de maintenir une fonction critique après l’apparition d’un défaut unique. Le système continue alors d’assurer le contrôle du véhicule pendant une durée suffisante pour réaliser une manœuvre de sécurité : ralentissement contrôlé, changement de voie sécurisé ou arrêt du véhicule dans une zone adaptée.

Pour atteindre cet objectif, plusieurs niveaux de redondance sont généralement mis en œuvre :
- Double calculateur ASIL D.
- Alimentations électriques redondantes.
- Réseaux de communication redondants.
- Capteurs multiples avec surveillance croisée.
- Direction et freinage redondants.
- Superviseur Safety indépendant.

Les exemples les plus avancés se trouvent aujourd’hui dans les véhicules autonomes et les systèmes de conduite automatisée.

✅ Mercedes Drive Pilot (L3)
L’un des premiers systèmes homologués intégrant une forte redondance sur les fonctions critiques.

✅ Waymo Robotaxi
Architecture L4 avec redondance des calculateurs, capteurs, alimentations, direction et freinage.

✅ Zoox
Véhicule conçu dès l’origine autour d’une architecture entièrement redondante.

✅ Cruise Origin
Plateforme développée pour maintenir les fonctions essentielles malgré une défaillance unique.

✅ NIO, XPeng et Huawei ADS
Les nouveaux acteurs chinois intègrent progressivement ces concepts pour préparer les futures fonctions de conduite automatisée.

🇫🇷 En France, Renault Group et Stellantis préparent également cette évolution à travers leurs futures plateformes SDV, calculateurs centralisés et architectures zonales qui serviront de base aux prochaines générations de véhicules automatisés.

À l’inverse, de nombreuses plateformes actuelles, même certifiées ASIL D, restent principalement Fail Safe. Elles peuvent intégrer une double alimentation ou des diagnostics avancés, mais leur objectif reste de détecter le défaut puis de placer le véhicule dans un état sûr.

Les architectures Fail Operational devraient progressivement se généraliser entre 2027 et 2032 avec l’arrivée des véhicules SDV et des fonctions de conduite automatisée avancées. Elles constitueront l’un des piliers technologiques de la mobilité autonome de demain.

ISO 26262 Edition 3 : les évolutions à venir

Détails: Catégorie : Sécurité; Publication : jeudi 11 juin 2026 09:41; Écrit par Bensky; Affichages : 9

🚗🛡️ [Safety Expert] ISO 26262 Edition 3 : les évolutions à venir

L'industrie automobile entre dans une nouvelle ère avec les véhicules électriques, les architectures SDV (Software Defined Vehicle), les calculateurs haute performance (HPC), les systèmes ADAS avancés et l'intelligence artificielle embarquée.

Pour accompagner cette transformation, l'ISO 26262 Edition 3, actuellement en préparation, devrait faire évoluer la norme de sécurité fonctionnelle de référence du secteur automobile.

🔹 Conduite automatisée et Fail-Operational
L'un des principaux objectifs sera de mieux prendre en compte les véhicules autonomes de niveau L3, L4 et L5. Les futures architectures devront être capables de maintenir certaines fonctions de sécurité même après une défaillance, sans intervention immédiate du conducteur.

🔹 Safety et SOTIF
L'Edition 3 devrait renforcer les liens entre l'ISO 26262 et l'ISO 21448 (SOTIF). L'objectif est de couvrir non seulement les défaillances matérielles et logicielles, mais aussi les limites de perception et de décision des systèmes ADAS et autonomes.

🔹 Architectures SDV et HPC
Les calculateurs centralisés, les architectures zonales, la virtualisation, les réseaux Ethernet et les mises à jour OTA deviennent progressivement la norme. Ces nouvelles architectures devraient être davantage intégrées dans les futures versions de la norme.

🔹 Intelligence Artificielle
L'IA embarquée prend une place croissante dans les fonctions de perception et d'aide à la conduite. L'ISO 26262 devrait mieux s'articuler avec les futurs standards dédiés à l'IA automobile, notamment l'ISO/PAS 8800.

🔹 Evolution du cycle de développement
Une autre évolution intéressante concerne le rapprochement entre le Functional Safety Concept (FSC) et le Technical Safety Concept (TSC). Dans les architectures modernes, les équipes système et safety travaillent de plus en plus conjointement, ce qui pourrait conduire à une simplification ou à une intégration partielle de ces activités.

L'ISO 26262 Edition 3 marquera probablement la transition entre l'automobile électronique traditionnelle et les futures plateformes logicielles centralisées, autonomes et pilotées par l'intelligence artificielle.

Cycle en V Safety ISO 26262

Détails: Catégorie : Sécurité; Publication : jeudi 11 juin 2026 09:25; Écrit par Bensky; Affichages : 12

🚗🛡️ Comprendre l'ISO 26262 : la colonne vertébrale de la sécurité fonctionnelle automobile

Avec l'arrivée des véhicules électriques, des architectures centralisées, des fonctions ADAS et bientôt de la conduite autonome, la sécurité fonctionnelle est devenue un élément incontournable du développement automobile.

La norme ISO 26262 définit la méthodologie permettant de concevoir des systèmes électriques et électroniques capables de détecter, maîtriser et limiter les conséquences d'une défaillance potentiellement dangereuse.

Tout commence par l'Item Definition, qui consiste à décrire précisément la fonction étudiée, son périmètre, ses interfaces et ses conditions d'utilisation.

Vient ensuite l'étape clé du HARA (Hazard Analysis and Risk Assessment). Cette analyse identifie les situations dangereuses et évalue leur criticité à travers la gravité, l'exposition et la contrôlabilité. Cette évaluation permet d'attribuer un niveau de sécurité allant de QM à ASIL D.

Les risques identifiés sont ensuite traduits en Safety Goals, véritables objectifs de sécurité du système.

L'étape suivante est le Functional Safety Concept (FSC). Elle définit les mécanismes fonctionnels nécessaires pour atteindre les Safety Goals : surveillance, détection de défauts, stratégies de repli ou mise en sécurité.

Le System Development permet ensuite de définir les exigences système, l'architecture globale, les interfaces et l'allocation des exigences.

Ces exigences sont ensuite transformées en architecture technique au travers du Technical Safety Concept (TSC). On y définit les mécanismes de sécurité, les diagnostics, les réactions aux défauts ainsi que les exigences techniques de sécurité.

À partir du TSC sont définies les Safety HW/SW Requirements, puis le Safety HW/SW Design, qui permettent de concevoir les architectures matérielles et logicielles nécessaires à l'atteinte des objectifs de sécurité.

Durant ces phases, les équipes réalisent de nombreuses analyses :
• FMEA / DFMEA
• FTA (Fault Tree Analysis)
• FMEDA
• Analyse des dépendances
• Calculs SPFM, LFM et PMHF

La remontée du cycle en V permet ensuite de démontrer la conformité du système :
🔹 Vérification Safety HW/SW Requirements
🔹 Vérification Safety Technique
🔹 Vérification System
🔹 Vérification Safety Fonctionnelle
🔹 Validation Safety System (Safety Goals)
🔹 Validation Véhicule / Item

L'ensemble des preuves est finalement regroupé dans le Safety Case, document démontrant la conformité du système à l'ISO 26262.

Dans les projets actuels de plateformes électriques, SDV et ADAS, l'ISO 26262 est devenue un pilier essentiel permettant de concilier innovation, performance et sécurité.

Safety Presentation ISO 26262 (basique, avancée, expert)

Détails: Catégorie : Sécurité; Publication : jeudi 11 juin 2026 09:33; Écrit par Bensky; Affichages : 13

🚗🛡️ Voici une série d'articles consacrés à la sécurité fonctionnelle automobile et à la norme ISO 26262.

L'objectif sera de rendre accessibles des concepts parfois complexes tout en partageant une vision issue de projets industriels réels développés pour des véhicules électriques, des plateformes centralisées, des systèmes ADAS et des architectures de nouvelle génération.

Nous commencerons par la Safety Basique, afin de reprendre les fondamentaux de l'ISO 26262 : Item Definition, HARA, ASIL, Safety Goals, FSC, TSC, FMEA, FMEDA, FTA et Safety Case.

Nous poursuivrons avec la Safety Avancée, où nous aborderons les architectures de sécurité modernes, les concepts sécuritaires matériels et logiciels, les mécanismes de diagnostic, la décomposition ASIL, les calculateurs multicœurs, les architectures redondantes et les stratégies de repli sécuritaire.

Enfin, nous terminerons par la Safety Experte, consacrée aux concepts les plus avancés utilisés aujourd'hui dans les véhicules définis par logiciel (SDV), les systèmes autonomes, l'intelligence artificielle embarquée et les architectures ASIL D de nouvelle génération. J'y présenterai également plusieurs concepts innovants et certains de mes travaux de recherche et brevets liés à la sécurité automobile.

Pour débuter cette série, je vous propose de revenir sur les bases de l'ISO 26262 et sur le célèbre cycle en V qui structure l'ensemble du développement Safety d'un véhicule moderne.

Sécurité

Détails: Catégorie : Sécurité; Publication : mercredi 14 octobre 2020 14:22; Écrit par Bensky; Affichages : 13012

Sécurité de fonctionnement

Au niveau de la sécurité de fonctionnement, il y a la norme IEC61508 qui est la norme pour la sécurité de fonctionnement des systèmes industriels.

La sécurité de fonctionnement est appelé le FMDS (Fiabilité, Maintenabilité, Disponibilité, Sécurité) ou RAMS en anglais (Reliability, Availability, Maintenability and safety).

Fiabilité : La fiabilité est l'aptitude d'un composant ou d'un système à fonctionner pendant un intervalle de temps. Elle permet de définir la robustesse d'un produit et de connaitre le temps qu'il fonctionnera avant d'avoir une défaillance. La fiabilité est exprimé en défaillance par heure. Au niveau international, on l'exprime en 10-9 def/heure, ce qui correspond à un FIT (Failure in time). 1FIT=10-9 def/heure.

Le taux de défaillance est appelé lambda et est exprimé en Défaillance/heure.

Maintenabilité : La maintenabilité est l'aptitude d'un composant ou d'un système à être maintenu ou remis en état de fonctionnement.

Disponibilité : La disponibilité est l'aptitude d'un composant ou d'un système à être en état de marche à un instant donné. La disponibilité d'un composant permet de savoir quand est ce que ce composant est opérationnel.

Sécurité : La sécurité est l'aptitude d'une entité à ne pas conduire à des accidents inacceptables. Plus précisément, la sécurité est l'aptitude d'un produit à respecter, pendant toutes les phases de vie, un niveau acceptable de risques d'accident susceptible de causer une agression du personnel ou une dégradation majeure du produit ou de son environnement.

Ces 4 domaines du FMDS permettent de définir la Sécurité de fonctionnement.

La sécurité de fonctionnement est géré par des niveaux sécuritaires qui sont des niveaux SIL SIL 0-1-2-3-4.

Ensuite pour tenir ces niveaux SIL, il faut réaliser une démarche qui comprend plusieurs étapes:

Analyse fonctionnelle externe (AFE)
Analyse fonctionnelle interne (AFI)
AMDEC : Analyse Mode de défaillance et d'effet et de criticité.
AdD : Arbre de défaillance.

L'AMDEC et l'Arbre de défaillance sont les documents les plus utilisés en SDF.

Pour plus de détail, vous pourrez regarder SDF via le FMDS.

Ensuite, après l'IEC61508, une nouvelle norme pour l'automobile a été développée, la norme ISO 26262.

Ainsi, pour respecter un développement en sécurité au niveau AUTOMOBILE, il faut respecter la norme ISO 26262.

Au niveau ISO 26262, la sécurité est évalué à l'aide des niveaux ASIL A-B-C-D.

Voici le cycle de développement de la norme ISO 26262.

Au niveau de la norme, il y a 10 parties importantes :

1 Glossaire

2 Gestion sécuritaire fonctionnel

3 Phase de concept

4 Développement du produit : niveau Système

5 Développement du produit : niveau Hardware

6 Développement du produit :Niveau logiciel

7 Operation et production

8 Support du process

9 ASIL et Analyse sécuritaire.

10 guide de l'ISO 26262.

Le cycle de développement pour la sécurité est basé sur un cycle en V.

Cycle de développement sécuritaire.

Le cycle de développement sécuritaire est composé des documents suivants :

SADP
PHA
AFE (si nécessaire)
AFI (Si nécessaire)
SFMEA
FSC
TSC
FTA
FMEDA
Safety test
Safety test plan
Safety case

Voici les activités d'un cycle de développement sécuritaire.

1 SADP : Plan de développement sécuritaire.

Faire un plan de développement sécuritaire en définissant les activités et le planning associé. Cette partie permettra de définir les documents à réaliser avec les dates.

2 AFE : Analyse fonctionnelle externe

L’analyse fonctionnelle externe définit les fonctions de services et de contraintes du produit.

3 PHA : Analyse préliminaire de risque (APR)

L’analyse préliminaire de risque permet de définir les évènements redoutés avec les modes de défaillances associés. Cette analyse préliminaire permet de définir les objectifs sécuritaires.

4 AFI : analyse fonctionnelle interne

L’analyse fonctionnelle interne permet de définir les fonctions techniques.

5 SFMEA : AMDEC system

L’AMDEC système permet de définir les modes de défaillances avec leur effet et leur criticité.

6 FTA : Arbre de défaillance

L’arbre de défaillance permet de définir les défaillances d'un produit.

7 FSC : concept sécuritaire fonctionnel

Le concept sécurité fonctionnel permet de définir les exigences fonctionnelles sécuritaires et les FTTI.

8 TSC : Concept sécuritaire technique.

Le concept sécurité technique permet de définir les exigences techniques sécuritaires et les mécanismes de sécurité.

9 FMEDA : AMDE D Analyse Mode de défaillance et effet et diagnostique.

La FMEDA permet de quantifier les mécanismes de sécurité avec les couvertures de diagnostiques. Cette FMEDA permet de calculer les métriques de pannes directes SPFM et les métriques des pannes latentes.

10 Safety Test Plan : Plan sécuritaire de test.

Le plan sécuritaire de test permet de définir les plans de test pour la partie dysfonctionnel. On injecte des défauts et on vérifie si les mécanismes de sécurité sont efficaces pendant le test dysfonctionnel.

11 Safety test hardware /software.

Après avoir défini les concepts sécuritaires techniques et fonctionnels et avoir défini les tests sécuritaires, on s’occupe de réaliser les tests sécuritaires.

12 Safety test intégration composant

Cette partie réalise les tests sécuritaires au niveau composant.

13 Safety test intégration système.

Cette partie réalise les tests sécuritaires au niveau système.

14 Safety test intégration qualification

Cette partie réalise les tests sécuritaires au niveau qualification.

15 Dossier de sécurité. (Safety case)

Le dossier de sécurité permet de vérifier que tous les documents ont bien été réalisés et que les concepts sécuritaires ont bien atteint les objectifs demandés avec les métriques sécuritaires au bon niveau.

La société CSEEP propose de réaliser tous les documents d’un développement sécuritaire avec l’objectif d’atteindre les niveaux sécuritaires demandés. ASIL A-B-C-D.

La société CSEEP est spécialisé dans les conseils pour les architectures sécuritaires de niveau ASIL C et ASIL D.

Les clients de la société CSEEP :