Snel antwoord
ISO 26262 is de internationale norm voor functionele veiligheid van elektrische en elektronische systemen in wegvoertuigen. ISO 21434 is de corresponderende norm voor cyberbeveiliging in de auto-industrie, verplicht door ECE R155 voor typegoedkeuring en ondersteund door ECE R156 voor over-the-air software-updates. Beide zijn van toepassing op zware emissievrije platforms die de EU-markt betreden. Ze delen een levenscyclusstructuur (concept, ontwikkeling, productie, operatie, ontmanteling), maar pakken verschillende gevaren aan: 26262 behandelt willekeurige hardwarefouten en systematische fouten; 21434 behandelt opzettelijke aanvallen. Van zware programma's wordt verwacht dat ze deze parallel uitvoeren vanaf de conceptfase, met gedeelde itemdefinities, gedeelde HARA / TARA-workflows en een geïntegreerd technisch dossier.
Dit artikel doorloopt de twee standaarden zoals gezien door een zware, emissievrije integratiepartner: wat elke norm vereist, hoe ze in de praktijk samenwerken en waar co-ontwikkeling de meeste invloed toevoegt.
ISO 26262 is een internationale norm voor functionele veiligheid in elektrische en elektronische systemen van auto's. Het biedt een gestructureerd kader voor het identificeren, beoordelen en beheersen van risico's gedurende de hele levenscyclus van een product. Het doel is om de veiligheid van deze systemen te waarborgen en het aantal ongevallen te verminderen.
ISO 26262 (huidige editie: 2018, tweede editie) definieert de functionele veiligheidslevenscyclus voor E/E-systemen in wegvoertuigen tot 3,5 ton, met expliciete uitbreidingen naar zware voertuigen in Deel 1 Clausule 1 van de tweede editie. De levenscyclus begint met een itemdefinities, loopt door Hazard Analysis and Risk Assessment (HARA), kent Automotive Safety Integrity Level (ASIL) classificaties toe, leidt technische veiligheidsvereisten af, valideert deze door middel van testen en analyses, en gaat door naar productie en exploitatie via een safety case.
ASIL is het centrale concept. Het is geen absolute veiligheidsbeoordeling; het is een kwantificering van hoe rigoureus het ontwikkelingsproces moet zijn voor een bepaald risico. ASIL A is de lichtste, ASIL D de strengste. De meeste aan de tractie gerelateerde functies voor zware bedrijfsvoertuigen vallen onder ASIL C of D; HMI-functies neigen naar ASIL A of QM (kwaliteitsbeheerd, geen ASIL).
ISO 21434 is de norm voor cybersecuritytechniek in de automobielindustrie. ECE R155 is de regelgeving voor cybersecurity in voertuigen. Beide zijn cruciaal voor veilige en beveiligde connectiviteit in moderne auto's.
ISO 21434 (2021) definieert de levenscyclus van cybersecurity-engineering voor wegvoertuigen. De structuur ervan is vergelijkbaar met ISO 26262: concept, ontwikkeling, productie, gebruik, buitengebruikstelling. Waar 26262 HARA heeft, heeft 21434 TARA (Threat Analysis and Risk Assessment). Waar 26262 ASIL heeft, heeft 21434 CAL (Cybersecurity Assurance Level).
ISO 21434 is geen directe verordening. De verordening is ECE R155, die een Cybersecurity Management System (CSMS) vereist voor elk voertuig dat vanaf juli 2024 (nieuwe typen) of juli 2026 (alle productietypen) de EU-markt betreedt. Naleving van ISO 21434 is de standaardroute om het CSMS aan te tonen. ECE R156 spiegelt deze voor het beheer van software-updates, waarbij een systeem voor software-updatebeheer (SUMS) wordt verplicht voor updates via de lucht.
Waar de twee standaarden elkaar overlappen
De twee standaarden zijn geschreven door verschillende werkgroepen, maar met bewuste kruisverwijzingen. Ze delen meer dan ze verschillen. De overlap is het meest zichtbaar op vier punten in de levenscyclus.
| Levenscycluspunt | ISO 26262 artefact | ISO 21434 artefact | Gedeeld in de praktijk? |
|---|---|---|---|
| Artikeldefinitie | Puntdefinitie (Deel 3-5) | Puntdefinitie (artikel 9.3) | Ja, enkel document met twee annotaties |
| Risicoanalyse | HARA | TARA | Parallel, vaak dezelfde werkplaats |
| Architectuur | Functioneel en technisch veiligheidsconcept | Cyberbeveiligingsconcept | Dezelfde architectuur, twee annotatielagen |
| Verificatie | Verificatie van veiligheidseisen | Cyberbeveiligingsvalidatie | Meestal verschillende testmethoden |
| Productie | Veiligheidsprotocol | Cyberbeveiligingszaak | Samengebonden in CSMS-bewijs |
Een OEM die de twee levenscycli afzonderlijk uitvoert, zal ongeveer 9 maanden na het opstarten van een zwaar programma ontdekken dat de twee teams tegenstrijdige vereisten hebben opgesteld voor dezelfde ECU. De oplossing is structureel: organiseer een enkele workshop voor HARA en TARA over hetzelfde item, in dezelfde week, met beide teams in de ruimte.
Waar ze conflicteren, en hoe ze op te lossen
De overlap is echt, maar niet naadloos. Drie conflictpatronen komen vaak voor.
Conflict 1: fail-safe versus veilige toestand
ISO 26262 vereist dat het systeem bij detectie van een storing een gedefinieerde veilige toestand (vaak koppelvermindering, isolatie open, remmen toegepast) binnengaat. ISO 21434 vereist dat het systeem bij detectie van een cybersecurity-evenement een veilige toestand binnengaat, wat soms betekent dat het moet blijven functioneren terwijl het waarschuwt. De twee toestanden kunnen verschillend zijn, en op een zwaar platform is de veilige toestand soms riskant in cybersecurity-termen (het stilleggen van een voertuig op een openbare weg creëert een ander aanvalsoppervlak).
Oplossing: Definieer een uniforme state machine in de architectuurfase, met expliciete overgangen tussen de veilige toestand en de beveiligde toestand, en documenteer de afweging in zowel de veiligheids- als de cybersecuritygevallen.
Conflict 2: integriteit bijwerken
ISO 26262 vereist dat elke wijziging aan veiligheidsrelevante software een regressietestcyclus triggert die evenredig is met de getroffen ASIL. ISO 21434 en ECE R156 vereisen dat cybersecurity patches binnen de gestelde termijnen de vloot bereiken. De twee vereisten trekken aan tegenovergestelde uiteinden: grondige hervalidatie versus snelle implementatie.
Resolutie: vooraf gekwalificeerde updatekanalen met vooraf gebouwde regressietestpakketten, zodat een patch binnen enkele uren kan worden uitgebracht en toch voldoet aan de bewijsvereisten van 26262.
Conflict 3: ASIL versus CAL
ASIL en CAL lijken op papier op elkaar, maar ze beoordelen verschillende zaken. Een functie kan ASIL D (hoogste veiligheidsintegriteit) en CAL 2 (gemiddelde cybersecurity-borging) zijn, of ASIL B en CAL 4. Hardwarebudgetallocatie aan een van beide kan de architectuur in verschillende richtingen trekken.
Resolutie: een geïntegreerd risicoregister waarin elke functie één keer wordt weergegeven, met zowel ASIL als CAL, en waarbij het hogere van de twee als drijfveer voor de ontwikkeldisciplines wordt gebruikt. Dit vermijdt twee parallelle architecturen.
Wat verandert er specifiek voor zware emissievrije voertuigen?
Zware emissievrije programma's voegen drie concrete verschillen toe ten opzichte van werk aan ISO 26262 / 21434 voor personenauto's.
- HV-batterij als ASIL D-component. Batterijisolatieverlies is een gevaar met potentieel voor brand en elektrocutie. De meeste zware programma's classificeren monitoring van batterijisolatie op ASIL D, wat redundante detectie en een ontwikkelproces met hoge mate van zorgvuldigheid vereist.
- Laadinterface als cyberbeveiligingsaanvalsflank. Elke plug-in interface (CCS2, MCS) is een potentieel toegangspunt. ISO 15118 introduceert TLS-beveiligd Plug and Charge, maar het certificaatbeheer op de schaal van een vloot is een CSMS-onderwerp, geen onderwerp van het laadprotocol.
- Off-highway bedrijfsmodi. Veel zware platforms hebben modi voor niet-openbare wegen (bouwplaats, mijn, haven). HARA-afbakening moet beide omvatten. Sommige gevaren die verwaarloosbaar zijn op een openbare weg, zijn cruciaal in een haven (waar een volledig beladen elektrische reachstacker een schip kan beschadigen).
De rol van de integratiepartner
Functionele veiligheid en cybersecurity omvatten concept, ontwikkeling, validatie en productie. De integratiepartner voegt specifiek op drie punten waarde toe.
- Workshop itemdefinitie: co-auteur het document dat zowel HARA als TARA omvat, zodat het voor beide doeleinden geschikt is.
- HARA + TARA parallel: Faciliteer de workshop, documenteer gelijktijdig gevaren en bedreigingen, identificeer gedeelde mitigerende maatregelen.
- Technische veiligheid + cybersecurity casus: stel het bewijs samen in het formaat dat zowel ECE R155 als het technisch dossier van de WVTA verwachten.
OEM's die dit intern proberen te doen voor het eerste zware emissievrije programma, eindigen bijna altijd met twee parallelle documentatieketens, elk met hiaten. Een integratiepartner die dit voor eerdere programma's heeft uitgevoerd, levert één keten met kruisverwijzingen waar nodig.
Tijdlijn: waar 26262 en 21434 landen in een typisch zwaar programma
Een 36-maanden durend zwaar emissievrij programma, van concept tot typegoedkeuring, structureert het veiligheids- en cybersecuritywerk doorgaans als volgt. De datums zijn illustratief, maar de volgorde is consistent over de programma's.
| Maand | ISO 26262 mijlpaal | ISO 21434 mijlpaal |
|---|---|---|
| 0-3 | Itemdefinitie, HARA, ASIL-toewijzing | Item definitie, TARA, CAL toewijzing |
| 3-9 | Functioneel veiligheidsconcept, technisch veiligheidsconcept | Cyberbeveiligingsconcept |
| 9-18 | Hardware en software ontwikkeling per ASIL | Implementatie van cybersecuritymaatregelen |
| 18-27 | Verificatie, validatie, integratietesten | Penetratietesten, cybersecurity validatie |
| 27-33 | Veiligheidsdossier samenstellen | Cyberbeveiligingszaak, CSMS-bewijs |
| 33-36 | Typegoedkeuringsaanvraag met WVTA | R155 / R156 bewijs in WVTA-dossier |
Veelgestelde vragen
Is ISO 26262 verplicht voor zware bedrijfsvoertuigen?
De standaard is zelf vrijwillig, maar in de praktijk is het de route om de functionele veiligheidszorgplicht aan te tonen die vereist is door de EU-typegoedkeuring en door de meeste interne processen van de OEM. De tweede editie (2018) breidt de reikwijdte expliciet uit naar voertuigen boven de 3,5 ton. Zware emissievrije programma's die ISO 26262 omzeilen, krijgen doorgaans vragen van goedkeuringsinstanties en van OEM-klanten die bewijs van veiligheidsintegriteit vragen.
Relatie tussen ISO 21434 en ECE R155
ECE R155 is de regelgeving die een Cybersecurity Management Systeem (CSMS) verplicht stelt voor voertuigen die de EU-markt betreden. ISO 21434 is de internationale norm die definieert hoe dat CSMS moet worden gebouwd. Naleving van ISO 21434 is de facto de route naar naleving van ECE R155, hoewel andere routes theoretisch mogelijk zijn. In de praktijk verwachten EU-typegoedkeuringsautoriteiten bewijs dat is afgestemd op ISO 21434.
Wat is het verschil tussen ASIL en CAL?
ASIL (Automotive Safety Integrity Level) is een ISO 26262-classificatie, van QM, A, B, C tot D, die wordt gebruikt om de strengheid van functionele veiligheidsontwikkeling voor een bepaalde dreiging te bepalen. CAL (Cybersecurity Assurance Level) is een ISO 21434-classificatie, van CAL 1 tot CAL 4, die wordt gebruikt om de strengheid van cybersecurity-engineering voor een bepaalde dreiging te bepalen. Ze classificeren verschillende concepten en zijn niet direct vergelijkbaar. Een functie kan zowel een ASIL als een CAL hebben, en het ontwikkelproces moet aan beide voldoen.
Hoeveel tijd voegen ISO 26262 / 21434 toe aan een zwaar programma?
Voor een startende OEM van zware emissievrije voertuigen, moet u rekenen op 4-8 maanden extra werk in de conceptfase vergeleken met een programma dat niet voldoet aan 26262, plus doorlopend werk tijdens de ontwikkeling. Programma's die al 26262 volgen voor aangrenzende producten, absorberen het cybersecuritywerk meestal in 2-4 extra maanden. De kosten van late toetreding zijn hoog: het achteraf toevoegen van veiligheids- en cybersecuritybewijzen aan een afgerond ontwerp kost doorgaans 3-5 keer meer dan het vanaf het concept in te bouwen.
De businesscase voor veiligheid en cybersecurity tegelijk opbouwen?
Het integratieteam van IntegratR ondersteunt OEM's bij HARA, TARA, ASIL- en CAL-toewijzing, en het samenstellen van het WVTA-technische dossier met R155 / R156-bewijs. Neem contact op of sluit je bij ons aan bij iVT Expo Keulen.
English 
Dutch