Zielsetzung eines Assessments der funktionalen Sicherheit ist es, die funktionale Sicherheit eines Elektrik-/Elektronik-Produkts zu bewerten. Das ist im Falle des Automobilherstellers das Item, also die Funktion auf Fahrzeugebene. Im Falle des Zulieferers wird der Beitrag seines Elements zur funktionalen Sicherheit des Fahrzeugs bewertet. Bewertet wird, ob die Zielsetzungen der ISO 26262 erreicht sind. Dazu werden die Anforderungen der ISO 26262 herangezogen. Es wird der Stand der Technik (state-of-the-art) zum Entwicklungszeitpunkt berücksichtigt. Beachten Sie, dass sich der Stand der Technik kontinuierlich weiterentwickelt, unabhängig von der ISO 26262 selbst.

Jedes Elektrik-/Elektronik-Produkt zum Einbau in Serienstraßenfahrzeuge benötigt für jede Produktionsfreigabe einen positiven Assessmentbericht zur funktionalen Sicherheit, sofern der höchste ASIL der Anforderungen ASIL C oder ASIL D ist. Bei ASIL B ist der positive Assessmentbericht empfohlen. Denken Sie daran, dass es einer Begründung bedarf, um einer Empfehlung der ISO 26262 nicht Folge zu leisten. Bei ASIL A ist kein Assessment erforderlich.

Assessoren müssen unabhängig vom Entwicklungsteam sein. Für ASIL C muss der Assessor aus einem anderen Team kommen. Bei ASIL D muss er aus einem anderen Unternehmensbereich oder von extern kommen. Beauftragte Assessoren dürfen nicht weisungsgebunden sein. Sie müssen frei in der Beurteilung sein. Es ist erlaubt, dass Assistenten ohne Projekt-Unabhängigkeit den Assessor unterstützen. Immer bleibt aber der Assessor allein für das Assessmentergebnis verantwortlich.

Ein Assessment muss geplant werden, und zwar spätestens mit dem Beginn der Systementwicklung. Mehr zur Planung weiter unten im Whitepaper.

Assessoren müssen alle relevanten Informationen zur Beurteilung zugänglich sein. Sie müssen auf Anfrage durch die Entwicklung unterstützt werden.

Assessoren müssen bei ihrer Untersuchung insbesondere Folgendes betrachten:

Als Assessor müssen Sie über geeignete (sufficient level of) Fähigkeiten (skills), Kompetenz (competence) und Qualifikation (qualification) verfügen, wobei die ISO dies nicht weiter präzisiert. Insbesondere wird kein bestimmtes Zertifikat vom Assessor gefordert. Auch die Firma des Assessors muss nicht akkreditiert sein. Sie können aber davon ausgehen, dass nur Assessoren letztendlich Akzeptanz finden, die die Vielzahl der fachlichen und sonstigen Themen beherrschen.

Und schließlich: Der Assessor muss einen Assessmentbericht anfertigen. Zu dessen Inhalt finden Sie weiter unten im Whitepaper noch mehr Informationen.

Die ISO 26262 empfiehlt, das Assessment der funktionalen Sicherheit stufenweise (progressively) parallel zur Entwicklung durchzuführen. Dies ist ein sehr wichtiger Ratschlag, den Sie unbedingt umsetzen sollten. Aber wie?

Dazu möchte ich verschiedene Fälle unterscheiden.

Neuentwicklung des Produkts

Dem Fahrzeughersteller würde ich empfehlen, das erste Zwischenassessment nach der Gefährdungs- und Risikoanalyse und der Erstellung des Sicherheitsplans zu machen. Das erste Zwischenassessment eines Zulieferers würde ich nach der ersten Version seines Sicherheitsplans machen. Eine Alternative dazu wären auch Bestätigungsreviews der Gefährdungs- und Risikoanalyse und des Sicherheitsplans. Ein zweites Zwischenassessment wäre nach der Erstellung des Sicherheitskonzepts sinnvoll, um hier nicht später einen komplett anderen Ansatz wählen zu müssen. Ein drittes Zwischenassessment empfehle ich zu einem Zeitpunkt, wo die Steuergeräte bereits in Vorserienfahrzeugen verbaut werden, was typischerweise einem Assessment des C-Musters entspricht. Das abschließende Assessment bewertet das Produkt, so wie es in Serie gefertigt werden soll, also vor der Produktionsfreigabe.

Funktionale Weiterentwicklung eines bestehenden Produkts:

Wenn dabei das Sicherheitskonzept unverändert bleibt, dann genügen ein oder zwei Zwischenassessments und ein abschließendes Assessment.

Einfaches Projekt (beispielsweise wird lediglich die Kalibrierung eines Produkts auf ein neues Fahrzeug vorgenommen):

Hier genügt ein einziges abschließendes Assessment.

Was lernen wir daraus?

Die Assessmentplanung ist stark von der Neuheit des Produkts abhängig. Überlegen Sie sich genau, wie hoch das Risiko ist, wenn Sie den Assessor nicht früher, sondern später einbinden und weniger Zwischenassessments machen.

Führen Sie ein Zwischenassessment durch, wenn eine spätere Assessorenkritik Ihnen hohe Kosten verursachen würde.

Was ist bei der Beauftragung eines Assessments der funktionalen Sicherheit zu beachten?

Ein Ziel muss erreicht werden, bevor ein Assessment als fest vereinbart zwischen Auftraggeber und Assessor gilt: Beide Parteien müssen ein gemeinsames Verständnis über das Assessment haben.

Dieses Verständnis erreicht man in aller Regel aber nicht durch eine simple Abfolge von Ausschreibung, Angebot und Assessment-Beauftragung. Fehlt eine gemeinsame Klärung einer Reihe von Themen, so ist das kein Modell für eine erfolgversprechende Durchführung zur Zufriedenheit beider Parteien. Interaktion muss stattfinden. Insbesondere müssen folgende Fragestellungen geklärt sein:

Ich rate Ihnen, sich ein Template mit all diesen Fragen zu erstellen. Optional: Machen Sie die ausgefüllte Fragenliste zu einem Anhang des kommerziellen Vertrags.

Zunächst rate ich Ihnen, den Assessmentprozess aufzuschreiben. Er könnte beispielsweise so strukturiert sein, wie Sie in der folgenden Grafik sehen.

Der Prozess unterscheidet zwischen der Vorbereitungsphase (preparation phase), der Durchführung (implementation), dem Bericht (reporting) und einer optionalen Korrektur (correction). Die Details der Grafik zu erläutern, würde an dieser Stelle jedoch zu weit führen.

Ich empfehle Ihnen, zum Prozess eine Reihe von nützlichen Templates und Checklisten zu schaffen. Dazu könnten zum Beispiel die folgenden gehören:

So nun zur Frage, wie das Assessment praktisch ablaufen kann.

Ich empfehle, Schlüsselarbeitsprodukte offline vor einer Onsite-Phase zu prüfen. Dazu würde ich den Sicherheitsplan, Development Interface Agreements, Impact Analysen, das Sicherheitskonzept und den Sicherheitsnachweis (safety case) zählen.

Für die Onsite-Phase empfehle ich Ihnen eine Serie von Interviews zu den einzelnen Teilen der ISO 26262. Im Interview lässt der Assessor sich erläutern, wie die ISO 26262 erfüllt wurde. Dabei werden Nachweise durchgesprochen. Als Assessor muss ich die für die Beurteilung relevanten Stellen interaktiv mit den beteiligten Personen herausarbeiten. Werden Defizite erkannt, so hält man diese idealerweise gemeinsam fest. Das schafft Akzeptanz für das Assessmentergebnis. Gegebenenfalls nimmt man sich als Assessor aber auch außerhalb des Interviews Zeit, Dokumente detailliert zu prüfen.

Als Vorgehensweise für ein abschließendes Assessment möchte ich empfehlen, den Sicherheitsnachweis sukzessive durchzusprechen. Denn zu diesem Zeitpunkt muss der Sicherheitsnachweis ja vorliegen. Die Aufgabe des Assessors ist es zu verstehen, wie die Entwickler die Sicherheit begründen. Beachten Sie, dass es eben genau nicht die Aufgabe des Assessors ist, die Argumente für die Sicherheit zu liefern. Das ist Aufgabe der Entwicklung. Aufgabe des Assessors ist es, die Argumentation zu bewerten.

Der wesentlichste Unterschied zwischen einem Audit der funktionalen Sicherheit und einem Assessment der funktionalen Sicherheit besteht für mich darin, dass beim Assessment die technische Lösung zum Umgang mit systematischen Fehlern und zufälligen Hardwarefehlern vom Assessor verstanden und bewertet werden muss. Idealerweise liegen zum abschließenden Assessment die Bestätigungsreviews (confirmation reviews) der Schlüssel-Arbeitsprodukte und der Auditbericht zu den Prozessen vor, so dass der Assessor diese nur noch formal prüft und sich ansonsten aber auf die Sicherheitsmaßnahmen konzentrieren kann. Durchaus üblich sind aber auch Assessments, bei denen der Assessor auch Bestätigungsreviews durchführt, da er die notwendige Unabhängigkeit hat. Dann muss entsprechend mehr Zeit eingeplant werden.

Über eines müssen sich alle Beteiligten im Klaren sein. Ein Assessor kann Arbeitsprodukte und Software nicht so intensiv nach allen Kriterien prüfen, wie es durch die Reviews und Tests im Laufe der Entwicklung erfolgen muss. Er ist nicht der Spezialist für das Produkt und kann in einem Assessment auch nicht die Qualitätssicherung der Entwicklung ersetzen.

Wichtig ist es, den Status der gelieferten Nachweise (evidences) zu verstehen. Wird ein Dokument nur im Status ‘Entwurf‘ vorgelegt? Was sind dessen Inhalte dann wert? Ist es gereviewt und freigegeben? Gibt es Reviewdokumentation? Sind die richtigen Reviewkriterien angewendet worden? Waren notwendige Rollen intensiv genug eingebunden? Gibt es vielleicht sogar ein Bestätigungsreview einer unabhängigen Person?

Große Probleme haben Firmen häufig mit einem sauberen Versions- und Konfigurationsmanagement. Für ein abschließendes Assessment zur Produktionsfreigabe müssen Sie als Assessor prüfen, dass Versionen konsistent sind.

Bezieht sich das vorgelegte Bestätigungsreview tatsächlich auf die freigegebene Version des Sicherheitsnachweises? Beziehen sich die positiven Testergebnisse tatsächlich auf die Software und die Kalibrierungsdaten, die in der Baseline für die Produktionsfreigabe enthalten sind?

Wenn es zum Beispiel aufgrund von Reisebeschränkungen nicht möglich ist, vor Ort bei der Entwicklung zu assessieren, dann kommen als Ersatz auch Video-Sessions in Frage. Planen Sie dann aber ganz anders: Kürzere Interviews, längere Pausen. Insgesamt wird das Assessment länger dauern.

Im Bericht sollte stehen, wie Sie als Assessor vorgegangen sind. Die Bewertungskriterien sollten erläutern sein. Beschreiben Sie, was Sie geprüft haben. Welche Dokumente Ihnen in welcher Version vorgelegt wurden? Damit wird klar, worauf Ihre Bewertung basiert.

Sie müssen die wesentlichen Aussagen zu den einzelnen Kriterien der ISO 26262 ausformulieren. Für den Leser des Berichts muss klar sein, ob ein Punkt ein Kommentar, eine Übereinstimmung oder eine Abweichung vom Kriterium ist.

Der abschließende Assessmentbericht muss eine von drei möglichen Beurteilungen enthalten: