Sie beschäftigen sich mit Funktionaler Sicherheit bei der Entwicklung von Fahrzeugelektronik? Auf dieser kompakten Seite finden Sie relevante Infos zum Sicherheitsstandard ISO 26262, inklusive einem Video und einem kostenlosen Whitepaper.
zurück zu Funktionale SicherheitIn unserem kostenlosen Whitepaper finden Sie alle Informationen zusammengefasst und mit den entsprechenden Stellen aus dem Standard illustriert.
Als funktionale Sicherheit bezeichnet man einen grundsätzlichen Ansatz, um Elektronik für Fahrzeuge sicher zu gestalten.
Der internationale Standard ISO 26262 enthält Leitfäden um uns Verkehrsteilnehmer, Fahrer und Fußgänger vor Verletzungen zu schützen, die durch Fehler in der Fahrzeugelektronik und -software verursacht wurden. Dieses Whitepaper enthält einen sehr komprimierten Überblick über funktionale Sicherheit und diesen Standard.
Wie jeder weiß, enthalten heutige Fahrzeuge mehr und mehr Software. Diese Software ermöglicht es, nützliche und komplexe Funktionen umzusetzen. Denken wir zum Beispiel an intelligente Tempomaten oder zukünftig automatisiertes Fahren. Aber jeder dürfte auch Probleme kennen, die von Software verursacht werden. In einem Fahrzeug können solche Probleme zu Personenschäden sowohl beim Fahrer als auch anderen Verkehrsteilnehmern führen. Eine plötzliche, ungewollte und unkontrollierte Beschleunigung, ausgelöst durch Software, könnte zu einer Tragödie führen.
Funktionale Sicherheit, definiert durch die ISO 26262, versucht dieses Risiko, das von Elektronik und Software ausgeht, auf ein sehr niedriges Niveau zu reduzieren, welches als gesellschaftlich anerkannt gilt.
Schauen wir zunächst auf die Struktur der ISO 26262. Die aktuelle “2nd Edition” besteht aus 12 Teilen. Ich werde im Folgenden erklären, wie Sie die funktionale Sicherheit Ihres Produkts sicherstellen, indem Sie diese Teile zusammen anwenden.
Wie in jedem ISO-Standard definiert Teil 1 das Vokabular, um einen einheitlichen Sprachgebrauch und Interpretation zu ermöglichen. Hier kommen Begriffe wie »hazard analysis and risk assessment« (Gefährdungsanalyse und Risikobewertung), »safe state« (sicherer Zustand) und »freedom from interference« (Freiheit von Interferenzen) das erste Mal vor. (Es sei angemerkt, dass es keine offizielle deutsche Übersetzung des Standards gibt. In dieser deutschen Fassung des Whitepapers verwende ich oft deutsche Begriffe, gebe aber den englischen Originalbegriff ebenfalls an.)
Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.
Steffen Herrmann und das Sales-Team
Teil 2 der ISO 26262 fordert, dass funktionale Sicherheit das Ergebnis einer gesteuerten Arbeitsweise ist. Dazu gehört, dass es definierte und tatsächlich angewendete Entwicklungsprozeduren/-prozesse gibt. Es ist notwendig, dass ein ausgebildeter Sicherheitsmanager (»safety manager«) die Sicherheitsaktivitäten plant und steuert.
Ein Sicherheitsnachweis (»safety case«) muss entstehen, der eine fundierte Argumentation beinhaltet, warum das Entwicklungsergebnis sicher ist. Unterschätzen Sie diese Aufgabe nicht: Um Fehlinterpretationen und Betrügereien vorzubeugen, müssen wichtige Arbeitsergebnisse durch eine unabhängige Person überprüft werden (»confirmation reviews«; »functional safety audit/assessment«).
Teile 3 bis 7 der ISO 26262 enthalten Leitfäden und Anforderungen für verschiedene Phasen und Disziplinen von der frühen Konzeptphase bis zur Entsorgung auf dem Schrottplatz. Die Struktur dieser Teile folgt dem gängigen V-Modell der Systementwicklung.
Teil 3 beschäftigt sich mit der Konzeptphase (»Concept Phase«). Diese frühe Phase der Fahrzeug- und Funktionsentwicklung wird üblicherweise vom Fahrzeughersteller, dem OEM, durchgeführt. Die Entwicklung beginnt mit der Definition von Funktion und Umfang der Entwicklung, genannt »Item Definition«.
Danach startet auch schon die erste wirklich spezifische Aktivität der funktionalen Sicherheit. Die Durchführung der Gefährdungsanalyse und Risikobewertung (»hazard analysis and risk assessment«; HARA). Mit der HARA bewertet man das Risiko, das durch einen Fehler im zu entwickelnden Produkt für menschliche Verkehrsteilnehmer entstehen kann. Basierend auf diesem Risiko werden Sicherheitsziele (»safety goals«) definiert. Das sind Sicherheitsanforderungen (»safety requirements«) der höchsten Abstraktionsebene im Entwicklungsprozess. Diesen Sicherheitszielen wird jeweils ein »ASIL« (Automotive Safety Integrity Level«) zugewiesen: ASIL A, ASIL B, ASIL C, ASIL D. Je höher das Risiko, desto höher der ASIL, wobei ASIL D der höchste ist. Ein intelligenter Tempomat dürfte in aller Regel ein ASIL D erhalten, während ein elektrischer Fensterheber, dessen schlimmste Konsequenz ein gebrochener Finger wäre, wohl ein ASIL A erhalten könnte.
Der in der HARA ermittelte ASIL wird Sie nun durch den Rest des Entwicklungszyklus begleiten. An vielen Stellen der ISO 26262 sind die Methoden und die Systematik unterschiedlich zu wählen, abhängig vom ASIL der Anforderungen.
Im nächsten Schritt müssen die Sicherheitsziele im Rahmen der Entwicklung adressiert werden. Auf der Fahrzeugebene bedeutet dies, dass ausgehend von den Sicherheitszielen ein funktionales Sicherheitskonzept („functional safety concept«) und funktionale Sicherheitsanforderungen entwickelt werden. Der Zweck dieses Konzepts besteht darin, die Prinzipien der Erkennung von Fehlersituationen und die Art und Weise zu beschreiben, wie in solchen Situationen zu reagieren ist. Ein solches Konzept/eine solche Anforderung könnte zum Beispiel sein, dass ein Airbag deaktiviert wird, wenn ein Fehler festgestellt wird, um eine ungewollte Auslösung zu vermeiden.
Wird das funktionale Sicherheitskonzept vom OEM entwickelt, so kommen nun auf der nächsten Ebene die diversen Zulieferer mit der Systementwicklung ins Spiel (Teil 4). Typischerweise erstellen die Zulieferer für ihren Zuständigkeitsbereich ein technisches Sicherheitskonzept (»technical safety concept«), welches technische Sicherheitsanforderungen umfasst. Sicherheitsmechanismen (»safety mechanisms«) implementieren diese Sicherheitsanforderungen und sind häufig ein Zusammenspiel einer Hardware, die Fehler erkennt, einer Software, die die Reaktion bestimmt und dann wieder einer Hardware, die die Reaktion ausführt, wie z.B. eine Schaltung spannungsfrei zu setzen.
Was auf Systemebene gefordert wird, muss natürlich auch umgesetzt werden. Dazu werden sowohl in der Hardware- als auch in der Softwareentwicklung Sicherheitsanforderungen detailliert, Hardware und Software dafür entwickelt und gemäß dem V-Modell getestet (Teile 5 und 6).
Auf System- und Fahrzeugebene werden schließlich die Sicherheitsmechanismen und das Funktionieren der Sicherheitskonzepte getestet und validiert, bevor ein Fahrzeugtyp zur Serienproduktion freigegeben wird.
Wichtig ist, zu verstehen, dass die ISO 26262 einige Anforderungen und Methoden enthält, die den üblichen Entwicklungsprozess auf System-, Hardware-, und Softwareebene im Detail beeinflussen.
Begleitend zur Entwicklung müssen Sicherheitsanalysen durchgeführt werden, die dazu dienen, Fehlerursachen und Fehlerauswirkungen genau verstanden zu haben und so das Design abzusichern. Die Methodiken dieser Analysen sind im Teil 9 beschrieben.
Ihre Verantwortung endet nicht mit dem Ende des Entwicklungsprojektes. Soweit die Sicherheit der Fahrzeuge von einem kontrollierten Fahrzeug-Produktionsprozess abhängt oder später in den Werkstätten berücksichtigt werden muss, fordert die ISO 26262 die entsprechende Planung. Der Feldbeobachtungsprozess (»field monitoring process«) soll ferner sicherstellen, dass fehlerhafte Teile dahingehend untersucht werden, ob Abweichungen von den Sicherheitskonzepten vorliegen und Software aktualisiert oder Hardware ausgetauscht werden muss.
Hiermit haben wir alle Teile, die den Fahrzeug-Lebenszyklus direkt betreffen, betrachtet. Allerdings gibt es noch weitere Teile.
Teil 8 der Norm behandelt unter dem Titel »Supporting processes« eine Reihe ganz unterschiedlicher Themen, die an den verschiedensten Stellen des Lebenszyklus zu berücksichtigen sind. Darin ist z.B. ein Konfigurationsmanagement ähnlich wie bei Automotive SPICE gefordert.
Teil 10 der Norm enthält Erläuterungen zum besseren Verständnis und ist rein informativ.
Teil 11 gibt sehr ausführlich Hilfestellung zum Einsatz von Halbleitern und Mikrocontrollern Halbleitern in sicherheitsbezogenen Systemen.
Schließlich ist Teil 12 speziell für Motorräder hinzugefügt worden. Im Wesentlichen enthält er Hinweise, wie die HARA sinnvoll für Motorräder durchgeführt wird.
Damit endet unser kurzer Überblick über die ISO 26262.
Funktionale Sicherheit schützt Menschen vor Schäden durch fehlerhafte Elektronik.
Dies zu formalisieren und den Stand der Technik zu beschreiben, ist der Hintergrund des Standards ISO 26262. Dieser Standard ist für Sie relevant, wenn Sie an der Entwicklung von Elektronik für Fahrzeuge beteiligt sind.