Sie beschäftigen sich mit Funktionaler Sicherheit bei der Entwicklung von Fahrzeugelektronik? Auf dieser kompakten Seite finden Sie relevante Infos zum Management der Funktionalen Sicherheit gemäß ISO 26262, inklusive einem Video und einem kostenlosen Whitepaper.
zurück zu Funktionale SicherheitIn unserem kostenlosen Whitepaper finden Sie alle Informationen zusammengefasst und mit den entsprechenden Stellen aus dem Standard illustriert.
Es ist eine weit verbreitete Meinung, dass die funktionale Sicherheit nur eines von vielen Themen sei, die der Projektleiter bei der Entwicklung von Elektronik für Fahrzeuge zu koordinieren habe.
Mit anderen Worten: Wer das Projektmanagement beherrsche, könne auch das Management der funktionalen Sicherheit übernehmen. Wirklich?
Die Erfahrung zeigt, dass dieser Glaube gegen Ende des Projekts zu massiven Problemen führt, weil die Sicherheit des Produkts nicht nachgewiesen werden kann. Ein Sicherheitsnachweis ist nur möglich, wenn die Organisation Vorkehrungen getroffen hat, und eine Reihe von Dingen während der Entwicklungszeit berücksichtigt werden. Es gibt keine funktionale Sicherheit, wenn man die funktionale Sicherheit nicht managt.
Werfen wir einen Blick auf die ISO 26262: Teil 2 ist speziell dem Management-Aspekt des gesamten Sicherheitslebenszyklus gewidmet. Teil 2 zeigt insbesondere wie das Thema der funktionalen Sicherheit gehandhabt werden soll.
In Teil 2 finden Sie drei Klauseln mit Anforderungen:
In einer Reihe weiterer Abschnitte der ISO 26262 gibt es weitere Anforderungen, die in engem Zusammenhang mit dem Management der funktionalen Sicherheit stehen. Zum Beispiel gibt es in den entsprechenden Teilen der ISO 26262 bestimmte Lebenszyklen für die Entwicklung von Hardware und Software. Und es wird zum Beispiel gefordert, dass bestimmte Kodierungsrichtlinien definiert und angewendet werden müssen.
In diesem Paper werde ich die wichtigsten Punkte erläutern und Sie werden die wichtigsten Lektionen mitnehmen können, um Probleme frühzeitig zu vermeiden.
Beginnen wir mit Punkt Nummer 1. Für die funktionale Sicherheit im Automobilbereich wurde ein sogenannter Sicherheitslebenszyklus definiert. Das Lifecycle-Management wird in drei Bereiche unterteilt dargestellt.
Wir sehen
Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.
Steffen Herrmann und das Sales-Team
Ein umfassendes Sicherheitsmanagement setzt voraus, dass Ihr Unternehmen Verfahren für die Elektronikentwicklung definiert hat und anwendet.
Dazu gehören zum Beispiel Verfahren
Ein Qualitätsmanagementsystem muss eingerichtet werden. Dieser Aspekt wird vom Automotive SPICE-Standard stark unterstützt. Automotive SPICE unterstützt die Umsetzung von ISO 26262.
Des Weiteren erwartet ISO 26262, dass Sie für die Ihnen zugewiesene Arbeit qualifiziert sind. Das bedeutet, dass es in Ihrer Organisation ein aktives Kompetenzmanagement geben muss.
Funktionale Sicherheit erfordert, dass Sie über einen Prozess verfügen, der sicherstellt, dass Sicherheitsanomalien identifiziert, kommuniziert und gelöst werden.
Insgesamt spricht man hier von einer »Sicherheitskultur« – die jedes Unternehmen haben sollte. Dazu gehört z.B. auch, dass die für die funktionale Sicherheit erforderlichen Ressourcen vom Management auch tatsächlich zur Verfügung gestellt werden.
Eine Organisation, die elektronische Produkte für Autos entwickelt, muss eine Sicherheitskultur und Prozesse für die funktionale Sicherheit haben.
Die verschiedenen Aktivitäten müssen von Menschen ausgeführt werden. Dazu müssen Rollen definiert und Personen zugewiesen werden. Insbesondere muss klar sein, wer für die funktionale Sicherheit des Produkts verantwortlich ist.
Eine Auswirkungsanalyse (»impact analysis«) zeigt auf, was im Laufe der Produktentwicklung alles getan werden muss. Denn nur in den seltensten Fällen beginnt ein Unternehmen eine Entwicklung von Grund auf neu. In der Regel gibt es eine Vorgängerversion des Produkts. Das Ergebnis dieser Auswirkungsanalyse wird verwendet
Logischerweise umfasst das Management der funktionalen Sicherheit auch die kontinuierliche Überwachung der Fortschritte gegenüber dem Plan und, falls erforderlich, die Überarbeitung des Plans. All dies sind die Aufgaben eines so genannten Sicherheitsmanagers (»safety manager«).
Jedes sicherheitsrelevante Elektronikprojekt hat einen für diesen Bereich verantwortlichen Sicherheitsmanager und eine maßgeschneiderte (»tailored«) Sicherheitsplanung.
Eines der wichtigsten Arbeitsprodukte, die Sie entwickeln müssen, ist eine fundierte Argumentation dafür, dass das Produkt sicher ist. Dies nennt man den Sicherheitsnachweis (»safety case«). Er beinhaltet eine geeignete Strategie, um funktionale Sicherheit zu erreichen. Er beinhaltet den Nachweis, dass diese Strategie tatsächlich befolgt wurde. Und er umfasst Evidenzen, nämlich die während der Entwicklung entstandenen Arbeitsprodukte.
Ein zentrales Ergebnis jedes Projekts ist ein Sicherheitsnachweis: Er enthält die Argumentation dafür, dass das Produkt sicher ist.
Funktionale Sicherheit bedeutet auch zu verhindern, dass ein Projekt die ISO 26262 falsch interpretiert und/oder sogar betrügt. Dies soll durch Bestätigungsmaßnahmen (»confirmation measures«) gewährleistet werden, die von unabhängigen Parteien durchgeführt werden.
Es gibt drei Arten von Bestätigungsmaßnahmen.
Nicht zuletzt darf ein Entwicklungsergebnis nur dann für die Produktion freigegeben werden.
Unabhängige Bestätigungsmaßnahmen sollen verhindern, dass die Entwicklungsteams ISO 26262 falsch interpretieren und/oder betrügen.
Wenn Ihr Entwicklungsergebnis durch die konsequente Anwendung des Managements der funktionalen Sicherheit sicher entwickelt wurde, müssen Sie dafür sorgen, dass das Produkt auch korrekt produziert wird und über die Lebensdauer der Fahrzeuge sicher bleibt.
Die ISO 26262 verlangt, dass die beteiligten Unternehmen Personen benennen, die für die Produktion und die Feldüberwachung verantwortlich sind, und dass die notwendigen Aktivitäten für die funktionale Sicherheit geplant und eingeleitet werden.
Auch hierfür müssen geeignete Verfahren vorhanden sein. Dies sind z.B. bestimmte Kontrollschritte in der Produktion, wie das Auslesen der installierten Software, um sicherzustellen, dass keine Bitfehler in den Steuergeräten auftreten.
Der Prozess der Feldbeobachtung muss sicherstellen, dass Feldrückläufer auf Verletzungen der Sicherheitsziele untersucht werden. Schließlich erfordert die funktionale Sicherheit, dass Software oder Hardware in den Fahrzeugen bei Bedarf über einen formalisierten Änderungsprozess ausgetauscht wird.
Um die funktionale Sicherheit nicht nur während der Komponenten- und Fahrzeugproduktion, sondern auch über die gesamte Fahrzeuglebensdauer zu gewährleisten, ist eine geeignete Planung erforderlich, die einen Feldbeobachtungsprozess und ein Änderungsmanagement einschließt.
Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.
Steffen Herrmann und das Sales-Team
Dies ist ein Überblick über das Management der funktionalen Sicherheit im Automobil nach ISO 26262. Welche Lektionen haben wir gelernt?
Das Management der funktionalen Sicherheit muss auf Organisationsebene, auf der Ebene der einzelnen Projekte und für die Zeit nach der Freigabe für die Produktion adressiert werden.