Management der Funktionalen Sicherheit.
Sie beschäftigen sich mit Funktionaler Sicherheit bei der Entwicklung von Fahrzeugelektronik? Auf dieser kompakten Seite finden Sie relevante Infos zum Management der Funktionalen Sicherheit gemäß ISO 26262, inklusive einem Video und einem kostenlosen Whitepaper.
zurück zu Funktionale Sicherheit
In unserem kostenlosen Whitepaper finden Sie alle Informationen zusammengefasst und mit den entsprechenden Stellen aus dem Standard illustriert.
Es ist eine weit verbreitete Meinung, dass die funktionale Sicherheit nur eines von vielen Themen sei, die der Projektleiter bei der Entwicklung von Elektronik für Fahrzeuge zu koordinieren habe.
Mit anderen Worten: Wer das Projektmanagement beherrsche, könne auch das Management der funktionalen Sicherheit übernehmen. Wirklich?
Die Erfahrung zeigt, dass dieser Glaube gegen Ende des Projekts zu massiven Problemen führt, weil die Sicherheit des Produkts nicht nachgewiesen werden kann. Ein Sicherheitsnachweis ist nur möglich, wenn die Organisation Vorkehrungen getroffen hat, und eine Reihe von Dingen während der Entwicklungszeit berücksichtigt werden. Es gibt keine funktionale Sicherheit, wenn man die funktionale Sicherheit nicht managt.
Werfen wir einen Blick auf die ISO 26262: Teil 2 ist speziell dem Management-Aspekt des gesamten Sicherheitslebenszyklus gewidmet. Teil 2 zeigt insbesondere wie das Thema der funktionalen Sicherheit gehandhabt werden soll.
Bild
Management, Teil 2 des Sicherheitsstandards ISO 26262
In Teil 2 finden Sie drei Klauseln mit Anforderungen:
- Der erste davon bezieht sich auf die Entwicklungsorganisation.
- Der zweite ist für jedes Entwicklungsprojekt relevant und
- der dritte bezieht sich auf die Phase nach der Entwicklung.
In einer Reihe weiterer Abschnitte der ISO 26262 gibt es weitere Anforderungen, die in engem Zusammenhang mit dem Management der funktionalen Sicherheit stehen. Zum Beispiel gibt es in den entsprechenden Teilen der ISO 26262 bestimmte Lebenszyklen für die Entwicklung von Hardware und Software. Und es wird zum Beispiel gefordert, dass bestimmte Kodierungsrichtlinien definiert und angewendet werden müssen.
In diesem Paper werde ich die wichtigsten Punkte erläutern und Sie werden die wichtigsten Lektionen mitnehmen können, um Probleme frühzeitig zu vermeiden.
Beginnen wir mit Punkt Nummer 1. Für die funktionale Sicherheit im Automobilbereich wurde ein sogenannter Sicherheitslebenszyklus definiert. Das Lifecycle-Management wird in drei Bereiche unterteilt dargestellt.
Wir sehen
- allgemeines Sicherheitsmanagement (overall safety management),
- projektspezifisches Sicherheitsmanagment (project-dependent safety management) und
- Sicherheitsmanagement für die Zeit nach jeder Release (»post-release« safety management).
Das Management der funktionalen Sicherheit muss behandelt werden
- auf Organisationsebene,
- auf einer projektbezogenen Ebene und
- für die Zeit nach der Freigabe zur Produktion.
Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.
Steffen Herrmann und das Sales-Team
Ein umfassendes Sicherheitsmanagement setzt voraus, dass Ihr Unternehmen Verfahren für die Elektronikentwicklung definiert hat und anwendet.
Dazu gehören zum Beispiel Verfahren
- einen unternehmensspezifischen Lebenszyklus zu definieren,
- festzulegen, welche Tools verwendet werden sollen,
- wie man das Konfigurationsmanagement organisiert und
- welche Arten von Sicherheitsanalysen durchzuführen sind.
Ein Qualitätsmanagementsystem muss eingerichtet werden. Dieser Aspekt wird vom Automotive SPICE-Standard stark unterstützt. Automotive SPICE unterstützt die Umsetzung von ISO 26262.
Des Weiteren erwartet ISO 26262, dass Sie für die Ihnen zugewiesene Arbeit qualifiziert sind. Das bedeutet, dass es in Ihrer Organisation ein aktives Kompetenzmanagement geben muss.
Funktionale Sicherheit erfordert, dass Sie über einen Prozess verfügen, der sicherstellt, dass Sicherheitsanomalien identifiziert, kommuniziert und gelöst werden.
Insgesamt spricht man hier von einer »Sicherheitskultur« – die jedes Unternehmen haben sollte. Dazu gehört z.B. auch, dass die für die funktionale Sicherheit erforderlichen Ressourcen vom Management auch tatsächlich zur Verfügung gestellt werden.
Sicherheitskultur und Prozesse
Eine Organisation, die elektronische Produkte für Autos entwickelt, muss eine Sicherheitskultur und Prozesse für die funktionale Sicherheit haben.
Die verschiedenen Aktivitäten müssen von Menschen ausgeführt werden. Dazu müssen Rollen definiert und Personen zugewiesen werden. Insbesondere muss klar sein, wer für die funktionale Sicherheit des Produkts verantwortlich ist.
Eine Auswirkungsanalyse (»impact analysis«) zeigt auf, was im Laufe der Produktentwicklung alles getan werden muss. Denn nur in den seltensten Fällen beginnt ein Unternehmen eine Entwicklung von Grund auf neu. In der Regel gibt es eine Vorgängerversion des Produkts. Das Ergebnis dieser Auswirkungsanalyse wird verwendet
- zur Anpassung des Lebenszyklus und
- um die notwendigen Sicherheitsaktivitäten zu planen.
Logischerweise umfasst das Management der funktionalen Sicherheit auch die kontinuierliche Überwachung der Fortschritte gegenüber dem Plan und, falls erforderlich, die Überarbeitung des Plans. All dies sind die Aufgaben eines so genannten Sicherheitsmanagers (»safety manager«).
Sicherheitsmanager und Sicherheitsplanung
Jedes sicherheitsrelevante Elektronikprojekt hat einen für diesen Bereich verantwortlichen Sicherheitsmanager und eine maßgeschneiderte (»tailored«) Sicherheitsplanung.
Wir sind stolz, dass wir seit 2008 zu den Pionieren der Funktionalen Sicherheit zählen und unsere Erfahrung bei der Entwicklung der Sicherheitsnorm ISO 26262 einbringen konnten.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir verfügen über die geballte Erfahrung aus über 700 Projekten zur Funktionalen Sicherheit nach ISO 26262 bei weltweit über 100 Kunden.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir haben über 100 Spezialisten im Rahmen des Zertifizierungsprogramms »TÜV Rheinland Functional Safety (Automotive)« ausgebildet.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Die Erfahrung unserer Expertinnen und Experten im Bereich Funktionale Sicherheit beträgt zusammen über stolze 250 Jahre.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir haben den Fachbuch-Klassiker »Funktionale Sicherheit in der Praxis« und das »Essentials Funktionale Sicherheit« verfasst.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Bei uns engagieren sich bereits 18 Experten, die nach dem TÜV Rheinland Functional Safety (Automotive) zertifiziert oder selbst als Trainer zugelassen sind.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir bringen unsere Expertise in Branchenverbände ein, beispielsweise in die Gremien des Zentralverbands der Elektroindustrie.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Eines der wichtigsten Arbeitsprodukte, die Sie entwickeln müssen, ist eine fundierte Argumentation dafür, dass das Produkt sicher ist. Dies nennt man den Sicherheitsnachweis (»safety case«). Er beinhaltet eine geeignete Strategie, um funktionale Sicherheit zu erreichen. Er beinhaltet den Nachweis, dass diese Strategie tatsächlich befolgt wurde. Und er umfasst Evidenzen, nämlich die während der Entwicklung entstandenen Arbeitsprodukte.
Safety Case
Ein zentrales Ergebnis jedes Projekts ist ein Sicherheitsnachweis: Er enthält die Argumentation dafür, dass das Produkt sicher ist.
Funktionale Sicherheit bedeutet auch zu verhindern, dass ein Projekt die ISO 26262 falsch interpretiert und/oder sogar betrügt. Dies soll durch Bestätigungsmaßnahmen (»confirmation measures«) gewährleistet werden, die von unabhängigen Parteien durchgeführt werden.
Es gibt drei Arten von Bestätigungsmaßnahmen.
- Bestätigungsreviews (»confirmation reviews«) für wichtige Arbeitsprodukte, wie den Sicherheitsplan oder Sicherheitskonzepte. Diese brauchen eine Bestätigung durch eine unabhängige Person.
- Bei einem Audit der funktionalen Sicherheit (»functional safety audit«) muss geprüft werden, ob das Projekt tatsächlich die notwendigen und definierten Verfahren und Prozesse anwendet und umsetzt. Das Audit bezieht sich also auf die Einhaltung der Prozesse.
- Für eine Produktionsfreigabe (»release for production«) ist es notwendig, von einer unabhängigen Person eine Bestätigung der erreichten funktionalen Sicherheit zu erhalten. Dies wird als Assessment der funktionalen Sicherheit (»functional safety assessment«) bezeichnet. Sie ist für Produkte erforderlich, die eine hohe Sicherheitsintegrität erfordern, wie zum Beispiel ein adaptiver Tempomat.
Nicht zuletzt darf ein Entwicklungsergebnis nur dann für die Produktion freigegeben werden.
- wenn es einen Sicherheitsnachweis gibt,
- wenn die funktionale Sicherheit unabhängig bestätigt wurde, und
- wenn das Entwicklungsergebnis als Baseline unter Konfigurationskontrolle steht.
Maßnahmen zur Bestätigung
Unabhängige Bestätigungsmaßnahmen sollen verhindern, dass die Entwicklungsteams ISO 26262 falsch interpretieren und/oder betrügen.
Wenn Ihr Entwicklungsergebnis durch die konsequente Anwendung des Managements der funktionalen Sicherheit sicher entwickelt wurde, müssen Sie dafür sorgen, dass das Produkt auch korrekt produziert wird und über die Lebensdauer der Fahrzeuge sicher bleibt.
Die ISO 26262 verlangt, dass die beteiligten Unternehmen Personen benennen, die für die Produktion und die Feldüberwachung verantwortlich sind, und dass die notwendigen Aktivitäten für die funktionale Sicherheit geplant und eingeleitet werden.
Auch hierfür müssen geeignete Verfahren vorhanden sein. Dies sind z.B. bestimmte Kontrollschritte in der Produktion, wie das Auslesen der installierten Software, um sicherzustellen, dass keine Bitfehler in den Steuergeräten auftreten.
Der Prozess der Feldbeobachtung muss sicherstellen, dass Feldrückläufer auf Verletzungen der Sicherheitsziele untersucht werden. Schließlich erfordert die funktionale Sicherheit, dass Software oder Hardware in den Fahrzeugen bei Bedarf über einen formalisierten Änderungsprozess ausgetauscht wird.
Feldbeobachtungsprozess und Management von Ersatzteilen
Um die funktionale Sicherheit nicht nur während der Komponenten- und Fahrzeugproduktion, sondern auch über die gesamte Fahrzeuglebensdauer zu gewährleisten, ist eine geeignete Planung erforderlich, die einen Feldbeobachtungsprozess und ein Änderungsmanagement einschließt.
Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.
Steffen Herrmann und das Sales-Team
Dies ist ein Überblick über das Management der funktionalen Sicherheit im Automobil nach ISO 26262. Welche Lektionen haben wir gelernt?
Das Management der funktionalen Sicherheit muss auf Organisationsebene, auf der Ebene der einzelnen Projekte und für die Zeit nach der Freigabe für die Produktion adressiert werden.
- Ihre Entwicklungsorganisation über eine Kultur und Prozesse verfügen, die die funktionale Sicherheit unterstützen.
- Jedes sicherheitsrelevante Elektronikprojekt hat einen für dieses Thema verantwortlichen Sicherheitsmanager und eine maßgeschneiderte Sicherheitsplanung. Wenn wir die anderen Teile der ISO 26262 durchgehen, werden Sie feststellen, dass es viele Themen gibt, die über das übliche Projektmanagement hinausgehen und spezifisches Know-how zur funktionalen Sicherheit erfordern.
- Ein Schlüsselergebnis jedes Projekts ist ein Sicherheitsnachweis, der die Argumentation für die Sicherheit des Produkts enthält.
- Drei Arten unabhängiger Bestätigungsmaßnahmen sollen verhindern, dass Entwicklungsteams die ISO 26262 falsch interpretieren und/oder betrügen:
1. Bestätigungsreviews wichtiger Arbeitsprodukte,
wie zum Beispiel des Sicherheitskonzepts und des Sicherheitsnachweises
2. Mindestens ein Audit der funktionalen Sicherheit, '
um sicherzustellen, dass die notwendigen Prozessschritte befolgt werden,
3. Ein Assessment der funktionalen Sicherheit
zur Beurteilung und Bestätigung der Erreichung der funktionalen Sicherheit durch eine unabhängige Person - Um sicherzustellen, dass die funktionale Sicherheit während der Komponenten- und Fahrzeugproduktion, sowie während der gesamten Fahrzeuglebensdauer gegeben ist, ist eine geeignete Planung erforderlich. Dazu gehören ein Feldbeobachtungsprozess (der Verletzungen von Sicherheitszielen aufdeckt) und ein Änderungsmanagement.
Wir unterstützen Sie dabei,
- Ihre Prozesse nach den aktuellsten Normen der Sicherheit zu verbessern, um technisch zuverlässige, verfügbare, instandhaltbare und funktionale Produkte entwickeln und vermarkten zu können.
- Sicherheitsmanagementsysteme konzipieren und umsetzen zu können.
- durch Safety Audits zu bestätigen, dass Ihr Safety Management seinen Anforderungen gerecht wird.
- zuverlässig beurteilen zu können, ob ein Lieferant entsprechende Komponenten tatsächlich beisteuern kann.
- die Funktionale Sicherheit elektronischer Systeme und Komponenten bewerten zu können.
- Ihre Mitarbeiterinnen und Mitarbeiter bei allen Fragen der Funktionalen Sicherheit zu schulen.
