Produktentwicklung auf HW-Ebene (Teil 5 der ISO 26262)
Benötigen Sie ein grundlegendes Verständnis dafür, welche Sie Sicherheitsanforderungen bei der Entwicklung von Hardwarekomponten erfüllen müssen? Hier finden Sie ein entsprechendes Video mitsamt einem Whitepaper zum Download.
Zurück zu Funktionaler Sicherheit
Interessiert an einer kurzen Zusammenfassung über die Produktentwicklung auf Hardwareebene? Unser kostenloses Whitepaper enthält alle wichtigen Informationen, inklusive hilfreicher Abbildungen, zum fünften Teil der ISO 26262 – ideal für alle, die neu in das Thema Prozessverbesserungen von sicherheitskritischen Systemen einsteigen.
Wenn wir hier von Hardware sprechen, meinen wir die Hardware von elektrischen und elektronischen Systemen. Dies reicht von Einzelteilen wie Widerständen über AD-Wandler, Sensoren, Mikrocontroller bis hin zu ASICs, die in Fahrzeugen eingesetzt werden. Bei der Hardware kann es sich um nicht-programmierbare und programmierbare Elemente handeln.
Wenn Sie bereits solche Hardware-Elemente - vielleicht für IT-Anwendungen oder Haushaltsgeräte - entwickelt haben, nun aber die Automobilindustrie beliefern wollen, dann müssen Sie berücksichtigen, dass diese Hardware nun sicherheitsrelevant sein könnte. Sie begeben sich in einen Markt mit strengen Sicherheitsanforderungen und hohen Produkthaftungsrisiken. Daher ist es unerlässlich, dass Sie Ihre Hardware-Entwicklungsprozesse anpassen.
Teil 5 der ISO 26262 enthält die Anforderungen, die spezifisch für den Automobilmarkt sind.
In sechs Lektionen erfahren Sie, was Sie in den einzelnen Phasen der Hardwareentwicklung zusätzlich oder anders als bisher zu tun haben.
Bild
Aufbau der ISO 26262:2018
Voraussetzung für die Hardwareentwicklung ist ein technisches Sicherheitskonzept auf Systemebene (»Technical Safety Concept«/»TSC«), wie in der Abbildung in der linken oberen Ecke dargestellt. Unten rechts im Schaubild sehen Sie, dass die entwickelte Hardware in die Systemintegration übergeben wird (»System and item integration and testing«). Müssen für die Hardware in der Produktion oder im späteren Betrieb sicherheitsrelevante Faktoren berücksichtigt werden, so werden diese als so genannte b e s o n d e r e M e r k m a l e (»special characteristics«) an die entsprechende Planung weitergegeben, dargestellt links unten in der Ecke (»Planning for production, operation, service and decommissioning«).
Hardware kann unabhängig von der ISO 26262 bereits existieren und vollständig entwickelt sein. Wenn Sie eine solche Hardware in einem sicherheitsrelevanten Fahrzeugprojekt einsetzen wollen, gibt es Bedingungen, unter denen dies möglich ist, oben dargestellt als Kasten außerhalb des Hardware-Phasenmodells (»Evaluation of hardware elements«). Doch konzentrieren wir uns nun auf das eigentliche Phasenmodell.
ISO 26262 führt dieses Phasenmodell zunächst mit speziellen Anforderungen und Klauseln für den Automobilbereich ein. Die Hardwareentwicklung ist von der funktionalen Sicherheit betroffen, und dies erfordert Ihre Aufmerksamkeit und Ihr Handeln.
Die funktionale Sicherheit erfordert, dass der Hardware-Entwicklungsprozess an die Anforderungen der ISO 26262 angepasst wird.
Der erste Schritt besteht darin, die technischen Sicherheitsanforderungen, welche die Hardware betreffen, zu sichten und diese als Hardware-Sicherheitsanforderungen zu verfeinern und zu spezifizieren:
- Dies wirkt sich auf die Spezifikationen der Sicherheitsmechanismen aus, die die Hardware implementieren muss. Zum Beispiel die Erkennung von übermäßigen Spannungsschwankungen in der Stromversorgung für einzelne Komponenten und Mikrocontroller. Oder die Erkennung von Schaltern, die nicht mehr schließen.
- Ihre Sicherheitsanforderungen müssen spezifizieren, wie die Erkennung, Meldung und Kontrolle/Beherrschung von Fehlern in Ihrer Hardware durchgeführt werden soll.
- In einigen Fällen wirken sich die Sicherheitsanforderungen auch auf die Überwachung von und die Reaktion auf Fehler in der angeschlossenen (externen) Hardware aus.
- Toleranzzeiten müssen spezifiziert werden.
Und dieser Punkt ist für ISO 26262 sehr speziell: Es gibt Hardware-Metriken und bestimmte Definitionen für Ausfallraten. Dazu müssen die Zielwerte definiert werden, die erreicht werden müssen.
Zudem muss man als Hardware-Ingenieur mithelfen, die Spezifikationen der Schnittstellen mit der Software zu verfeinern (Verfeinern des »Hardware-Software-Interface«).
Und schließlich müssen die Sicherheitsanforderungen an die Hardware verifiziert (z.B. durch Reviews) und freigegeben werden.
Technische Sicherheitsanforderungen müssen bis hin zu qualitativ hochwertigen Hardware-Sicherheitsanforderungen detailliert werden, damit sie im Hardware-Design umgesetzt werden können.
Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.
Steffen Herrmann und das Sales-Team
In dieser Phase werden die Anforderungen in einen konkreten Hardwareentwurf umgesetzt.
Aus der Sicherheitsperspektive sollte die Hardware so entworfen werden, dass sie die erforderlichen Sicherheitsanforderungen an die Hardware umsetzt. Dieser Entwurf soll nicht nur funktionale Sicherheit liefern, sondern muss natürlich auch die eigentliche Funktion der Hardware sicherstellen. Sicherheitsmechanismen werden so zu einem integralen Bestandteil des Entwurfs.
Da wir möglicherweise mit Anforderungen unterschiedlicher ASILs zu tun haben, kann es Teile mit unterschiedlichen ASILs in der Hardware geben. Um zu vermeiden, dass unsichere Teile sichere Teile gefährden, legt ISO 26262 Kriterien fest, die Sie berücksichtigen müssen.
Schließlich müssen Sie in Form von Verlinkungen (»Traceability«) nachweisen, dass die Sicherheitsanforderungen an die Hardware systematisch umgesetzt wurden.
Danach kann der detaillierte Hardware-Entwurf (»hardware detailed design«) nach den üblichen Industriestandards entwickelt werden, aber Sie müssen die erforderliche Robustheit für Ihre Automobilanwendung berücksichtigen.
Für die funktionale Sicherheit müssen Sie so genannte S i c h e r h e i t s a n a l y s e n (»safety analyses«) durchführen.
Nach ASIL abgestuft, müssen Sie Hardware-Fehler im Hinblick auf die Verletzung der vorgegebenen Sicherheitsziele klassifizieren. Ich kann diese Begriffe hier nicht im Detail erklären, aber es gibt bestimmte Fehler, die die Sicherheitsziele nicht gefährden, solche, die sie direkt gefährden, und solche, die sie nur in Kombination mit anderen Faktoren gefährden.
Im Hinblick auf die Sicherheit von Automobilanwendungen müssen Sie glaubhaft nachweisen, wie Sie verhindern, dass Fehler die Sicherheitsziele verletzen, und wie Sie verhindern können, dass latente Fehler dauerhaft im Fahrzeug vorhanden bleiben.
In dieser Phase müssen Sie auch über die besonderen Merkmale (»special characteristics«) nachdenken, die für die Produktions- und Wartungsphase erforderlich sind, und dafür sorgen, dass diese dann umgesetzt werden.
Hardwarefehler müssen danach klassifiziert werden, ob und wie direkt sie die Sicherheitsziele verletzen können.
Es muss nachgewiesen werden, dass auftretende Hardware-Fehler Sicherheitsziele nicht verletzen und nicht unerkannt dauerhaft in Fahrzeugen vorhanden sein können.
Wir sind stolz, dass wir seit 2008 zu den Pionieren der Funktionalen Sicherheit zählen und unsere Erfahrung bei der Entwicklung der Sicherheitsnorm ISO 26262 einbringen konnten.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir verfügen über die geballte Erfahrung aus über 700 Projekten zur Funktionalen Sicherheit nach ISO 26262 bei weltweit über 100 Kunden.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir haben über 100 Spezialisten im Rahmen des Zertifizierungsprogramms »TÜV Rheinland Functional Safety (Automotive)« ausgebildet.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Die Erfahrung unserer Expertinnen und Experten im Bereich Funktionale Sicherheit beträgt zusammen über stolze 250 Jahre.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir haben den Fachbuch-Klassiker »Funktionale Sicherheit in der Praxis« und das »Essentials Funktionale Sicherheit« verfasst.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Bei uns engagieren sich bereits 18 Experten, die nach dem TÜV Rheinland Functional Safety (Automotive) zertifiziert oder selbst als Trainer zugelassen sind.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir bringen unsere Expertise in Branchenverbände ein, beispielsweise in die Gremien des Zentralverbands der Elektroindustrie.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Die nächsten beiden Abschnitte der ISO 26262 erfordern von Ihnen eine Analyse, um sicherzustellen, dass Ihre Hardware für den entsprechenden ASIL geeignet ist. Zunächst müssen Sie nachweisen, dass die Hardware über ausreichende Mechanismen zur Erkennung und Kontrolle/Beherrschung von zufälligen Hardwarefehlern verfügt. Die Sicherheitsmechanismen müssen zu bestimmten Prozentsätzen wirksam sein.
Dann müssen Sie nachweisen, dass die Ausfallwahrscheinlichkeit gering genug ist. Es muss nachgewiesen werden, dass die Raten der Sicherheitszielverletzungen durch zufällige Hardware-Ausfälle niedrig genug sind.
Beide Klauseln enthalten automobilspezifische Metriken und Methoden, die Sie implementieren müssen. Das ist aber ein Thema für ein separates Video.
Es müssen Metriken zur Wirksamkeit von Sicherheitsmechanismen erstellt und die durchschnittliche Ausfallwahrscheinlichkeit pro Stunde berechnet werden. Die Einhaltung der ASIL-spezifischen Grenzwerte kann ein Argument für die Eignung der Hardware sein.
Die Hardware wird wie üblich iterativ mit mehreren Mustern entwickelt und kann nach erfolgreicher Integration und Prüfung für die Massenproduktion freigegeben werden. ISO 26262 verlangt, dass diese Phase geplant wird und dass Tests spezifiziert und erfolgreich durchgeführt werden. Es muss nachgewiesen werden, dass methodische Verfahren zur Spezifikation von Testfällen angewendet wurden.
Sie müssen nachweisen, dass die Hardware-Sicherheitsanforderungen erfolgreich umgesetzt wurden und dass die Hardware robust ist. Sie müssen Tests gemäß den Industriestandards durchführen. Dazu gehören z.B. Funktionstests, elektrische Tests und EMV-Tests.
Es müssen Methoden zur Spezifikation von Hardware-Tests verwendet werden. Hardware-Tests müssen erfolgreich nach Industriestandards durchgeführt werden.
Dies war eine Einführung in spezielle Anforderungen, die die Entwicklung von Hardware für Automobilanwendungen betreffen.
Die sechs Lektionen auf einen Blick.
- Die funktionale Sicherheit erfordert, dass der Hardware-Entwicklungsprozess an die Anforderungen der ISO 26262 angepasst wird.
- Technische Sicherheitsanforderungen müssen bis hin zu qualitativ hochwertigen Hardware-Sicherheitsanforderungen detailliert werden, damit sie im Hardware-Design umgesetzt werden können.
- Hardwarefehler müssen danach klassifiziert werden, ob und wie direkt sie die Sicherheitsziele verletzen können.
- Es muss nachgewiesen werden, dass auftretende Hardware-Fehler die Sicherheitsziele nicht verletzen und nicht unerkannt dauerhaft in Fahrzeugen vorhanden sind.
- Es müssen Metriken zur Wirksamkeit von Sicherheitsmechanismen erstellt und die durchschnittliche Ausfallwahrscheinlichkeit pro Stunde berechnet werden. Die Einhaltung der ASIL-spezifischen Grenzwerte kann ein Argument für die Eignung der Hardware sein.
- Es müssen Methoden für die Spezifikation von Hardware-Tests verwendet werden. Hardware-Tests müssen erfolgreich nach Industriestandards durchgeführt werden.
Wir unterstützen Sie dabei,
- Ihre Prozesse nach den aktuellsten Normen der Sicherheit zu verbessern, um technisch zuverlässige, verfügbare, instandhaltbare und funktionale Produkte entwickeln und vermarkten zu können.
- Sicherheitsmanagementsysteme konzipieren und umsetzen zu können.
- durch Safety Audits zu bestätigen, dass Ihr Safety Management seinen Anforderungen gerecht wird.
- zuverlässig beurteilen zu können, ob ein Lieferant entsprechende Komponenten tatsächlich beisteuern kann.
- die Funktionale Sicherheit elektronischer Systeme und Komponenten bewerten zu können.
- Ihre Mitarbeiterinnen und Mitarbeiter bei allen Fragen der Funktionalen Sicherheit zu schulen.
