Architectures Safety Fail Operational

Détails
Catégorie : PRISME SAFE
Publication : jeudi 11 juin 2026 10:11
Écrit par Bensky
Affichages : 111

🚗🛡️ Architectures Safety Fail Operational : la prochaine étape de la sécurité automobile

Pendant de nombreuses années, les architectures automobiles ont été conçues selon une logique Fail Safe. En cas de défaillance d’un composant critique, le système détecte le défaut et place le véhicule dans un état sûr afin de protéger les occupants.

Avec l’arrivée des fonctions de conduite automatisée de niveau L3, L4 et demain L5, cette approche atteint ses limites. Lorsque le conducteur n’est plus en mesure de reprendre immédiatement le contrôle, le véhicule doit continuer à fonctionner malgré certaines défaillances. C’est le principe des architectures Fail Operational.

Une architecture Fail Operational permet de maintenir une fonction critique après l’apparition d’un défaut unique. Le système continue alors d’assurer le contrôle du véhicule pendant une durée suffisante pour réaliser une manœuvre de sécurité : ralentissement contrôlé, changement de voie sécurisé ou arrêt du véhicule dans une zone adaptée.

Pour atteindre cet objectif, plusieurs niveaux de redondance sont généralement mis en œuvre :
- Double calculateur ASIL D.
- Alimentations électriques redondantes.
- Réseaux de communication redondants.
- Capteurs multiples avec surveillance croisée.
- Direction et freinage redondants.
- Superviseur Safety indépendant.

Les exemples les plus avancés se trouvent aujourd’hui dans les véhicules autonomes et les systèmes de conduite automatisée.

✅ Mercedes Drive Pilot (L3)
L’un des premiers systèmes homologués intégrant une forte redondance sur les fonctions critiques.

✅ Waymo Robotaxi
Architecture L4 avec redondance des calculateurs, capteurs, alimentations, direction et freinage.

✅ Zoox
Véhicule conçu dès l’origine autour d’une architecture entièrement redondante.

✅ Cruise Origin
Plateforme développée pour maintenir les fonctions essentielles malgré une défaillance unique.

✅ NIO, XPeng et Huawei ADS
Les nouveaux acteurs chinois intègrent progressivement ces concepts pour préparer les futures fonctions de conduite automatisée.

🇫🇷 En France, Renault Group et Stellantis préparent également cette évolution à travers leurs futures plateformes SDV, calculateurs centralisés et architectures zonales qui serviront de base aux prochaines générations de véhicules automatisés.

À l’inverse, de nombreuses plateformes actuelles, même certifiées ASIL D, restent principalement Fail Safe. Elles peuvent intégrer une double alimentation ou des diagnostics avancés, mais leur objectif reste de détecter le défaut puis de placer le véhicule dans un état sûr.

Les architectures Fail Operational devraient progressivement se généraliser entre 2027 et 2032 avec l’arrivée des véhicules SDV et des fonctions de conduite automatisée avancées. Elles constitueront l’un des piliers technologiques de la mobilité autonome de demain.


ISO 26262 Edition 3 : les évolutions à venir

Détails
Catégorie : PRISME SAFE
Publication : jeudi 11 juin 2026 10:06
Écrit par Bensky
Affichages : 154

🚗🛡️ [Safety Expert] ISO 26262 Edition 3 : les évolutions à venir

L'industrie automobile entre dans une nouvelle ère avec les véhicules électriques, les architectures SDV (Software Defined Vehicle), les calculateurs haute performance (HPC), les systèmes ADAS avancés et l'intelligence artificielle embarquée.

Pour accompagner cette transformation, l'ISO 26262 Edition 3, actuellement en préparation, devrait faire évoluer la norme de sécurité fonctionnelle de référence du secteur automobile.

🔹 Conduite automatisée et Fail-Operational
L'un des principaux objectifs sera de mieux prendre en compte les véhicules autonomes de niveau L3, L4 et L5. Les futures architectures devront être capables de maintenir certaines fonctions de sécurité même après une défaillance, sans intervention immédiate du conducteur.

🔹 Safety et SOTIF
L'Edition 3 devrait renforcer les liens entre l'ISO 26262 et l'ISO 21448 (SOTIF). L'objectif est de couvrir non seulement les défaillances matérielles et logicielles, mais aussi les limites de perception et de décision des systèmes ADAS et autonomes.

🔹 Architectures SDV et HPC
Les calculateurs centralisés, les architectures zonales, la virtualisation, les réseaux Ethernet et les mises à jour OTA deviennent progressivement la norme. Ces nouvelles architectures devraient être davantage intégrées dans les futures versions de la norme.

🔹 Intelligence Artificielle
L'IA embarquée prend une place croissante dans les fonctions de perception et d'aide à la conduite. L'ISO 26262 devrait mieux s'articuler avec les futurs standards dédiés à l'IA automobile, notamment l'ISO/PAS 8800.

🔹 Evolution du cycle de développement
Une autre évolution intéressante concerne le rapprochement entre le Functional Safety Concept (FSC) et le Technical Safety Concept (TSC). Dans les architectures modernes, les équipes système et safety travaillent de plus en plus conjointement, ce qui pourrait conduire à une simplification ou à une intégration partielle de ces activités.

L'ISO 26262 Edition 3 marquera probablement la transition entre l'automobile électronique traditionnelle et les futures plateformes logicielles centralisées, autonomes et pilotées par l'intelligence artificielle.


Safety Presentation ISO 26262 (basique, avancé, expert)

Détails
Catégorie : PRISME SAFE
Publication : jeudi 11 juin 2026 09:56
Écrit par Bensky
Affichages : 162

🚗🛡️ Voici une série d'articles consacrés à la sécurité fonctionnelle automobile et à la norme ISO 26262.

L'objectif sera de rendre accessibles des concepts parfois complexes tout en partageant une vision issue de projets industriels réels développés pour des véhicules électriques, des plateformes centralisées, des systèmes ADAS et des architectures de nouvelle génération.

Nous commencerons par la Safety Basique, afin de reprendre les fondamentaux de l'ISO 26262 : Item Definition, HARA, ASIL, Safety Goals, FSC, TSC, FMEA, FMEDA, FTA et Safety Case.

Nous poursuivrons avec la Safety Avancée, où nous aborderons les architectures de sécurité modernes, les concepts sécuritaires matériels et logiciels, les mécanismes de diagnostic, la décomposition ASIL, les calculateurs multicœurs, les architectures redondantes et les stratégies de repli sécuritaire.

Enfin, nous terminerons par la Safety Experte, consacrée aux concepts les plus avancés utilisés aujourd'hui dans les véhicules définis par logiciel (SDV), les systèmes autonomes, l'intelligence artificielle embarquée et les architectures ASIL D de nouvelle génération. J'y présenterai également plusieurs concepts innovants et certains de mes travaux de recherche et brevets liés à la sécurité automobile.

Pour débuter cette série, je vous propose de revenir sur les bases de l'ISO 26262 et sur le célèbre cycle en V qui structure l'ensemble du développement Safety d'un véhicule moderne.


Cycle en V Safety ISO 26262

Détails
Catégorie : PRISME SAFE
Publication : jeudi 11 juin 2026 10:03
Écrit par Bensky
Affichages : 109

🚗🛡️ Comprendre l'ISO 26262 : la colonne vertébrale de la sécurité fonctionnelle automobile

Avec l'arrivée des véhicules électriques, des architectures centralisées, des fonctions ADAS et bientôt de la conduite autonome, la sécurité fonctionnelle est devenue un élément incontournable du développement automobile.

La norme ISO 26262 définit la méthodologie permettant de concevoir des systèmes électriques et électroniques capables de détecter, maîtriser et limiter les conséquences d'une défaillance potentiellement dangereuse.

Tout commence par l'Item Definition, qui consiste à décrire précisément la fonction étudiée, son périmètre, ses interfaces et ses conditions d'utilisation.

Vient ensuite l'étape clé du HARA (Hazard Analysis and Risk Assessment). Cette analyse identifie les situations dangereuses et évalue leur criticité à travers la gravité, l'exposition et la contrôlabilité. Cette évaluation permet d'attribuer un niveau de sécurité allant de QM à ASIL D.

Les risques identifiés sont ensuite traduits en Safety Goals, véritables objectifs de sécurité du système.

L'étape suivante est le Functional Safety Concept (FSC). Elle définit les mécanismes fonctionnels nécessaires pour atteindre les Safety Goals : surveillance, détection de défauts, stratégies de repli ou mise en sécurité.

Le System Development permet ensuite de définir les exigences système, l'architecture globale, les interfaces et l'allocation des exigences.

Ces exigences sont ensuite transformées en architecture technique au travers du Technical Safety Concept (TSC). On y définit les mécanismes de sécurité, les diagnostics, les réactions aux défauts ainsi que les exigences techniques de sécurité.

À partir du TSC sont définies les Safety HW/SW Requirements, puis le Safety HW/SW Design, qui permettent de concevoir les architectures matérielles et logicielles nécessaires à l'atteinte des objectifs de sécurité.

Durant ces phases, les équipes réalisent de nombreuses analyses :
• FMEA / DFMEA
• FTA (Fault Tree Analysis)
• FMEDA
• Analyse des dépendances
• Calculs SPFM, LFM et PMHF

La remontée du cycle en V permet ensuite de démontrer la conformité du système :
🔹 Vérification Safety HW/SW Requirements
🔹 Vérification Safety Technique
🔹 Vérification System
🔹 Vérification Safety Fonctionnelle
🔹 Validation Safety System (Safety Goals)
🔹 Validation Véhicule / Item

L'ensemble des preuves est finalement regroupé dans le Safety Case, document démontrant la conformité du système à l'ISO 26262.

Dans les projets actuels de plateformes électriques, SDV et ADAS, l'ISO 26262 est devenue un pilier essentiel permettant de concilier innovation, performance et sécurité.