Überblick über ISO 26262:2018
Sie beschäftigen sich mit Funktionaler Sicherheit bei der Entwicklung von Fahrzeugelektronik? Auf dieser kompakten Seite finden Sie relevante Infos zum Sicherheitsstandard ISO 26262, inklusive einem Video und einem kostenlosen Whitepaper.
zurück zu Funktionale Sicherheit
In unserem kostenlosen Whitepaper finden Sie alle Informationen zusammengefasst und mit den entsprechenden Stellen aus dem Standard illustriert.
Als funktionale Sicherheit bezeichnet man einen grundsätzlichen Ansatz, um Elektronik für Fahrzeuge sicher zu gestalten.
Der internationale Standard ISO 26262 enthält Leitfäden um uns Verkehrsteilnehmer, Fahrer und Fußgänger vor Verletzungen zu schützen, die durch Fehler in der Fahrzeugelektronik und -software verursacht wurden. Dieses Whitepaper enthält einen sehr komprimierten Überblick über funktionale Sicherheit und diesen Standard.
Wie jeder weiß, enthalten heutige Fahrzeuge mehr und mehr Software. Diese Software ermöglicht es, nützliche und komplexe Funktionen umzusetzen. Denken wir zum Beispiel an intelligente Tempomaten oder zukünftig automatisiertes Fahren. Aber jeder dürfte auch Probleme kennen, die von Software verursacht werden. In einem Fahrzeug können solche Probleme zu Personenschäden sowohl beim Fahrer als auch anderen Verkehrsteilnehmern führen. Eine plötzliche, ungewollte und unkontrollierte Beschleunigung, ausgelöst durch Software, könnte zu einer Tragödie führen.
Funktionale Sicherheit, definiert durch die ISO 26262, versucht dieses Risiko, das von Elektronik und Software ausgeht, auf ein sehr niedriges Niveau zu reduzieren, welches als gesellschaftlich anerkannt gilt.
Bild
Aufbau des Sicherheitsstandards ISO 26262
Schauen wir zunächst auf die Struktur der ISO 26262. Die aktuelle “2nd Edition” besteht aus 12 Teilen. Ich werde im Folgenden erklären, wie Sie die funktionale Sicherheit Ihres Produkts sicherstellen, indem Sie diese Teile zusammen anwenden.
Wie in jedem ISO-Standard definiert Teil 1 das Vokabular, um einen einheitlichen Sprachgebrauch und Interpretation zu ermöglichen. Hier kommen Begriffe wie »hazard analysis and risk assessment« (Gefährdungsanalyse und Risikobewertung), »safe state« (sicherer Zustand) und »freedom from interference« (Freiheit von Interferenzen) das erste Mal vor. (Es sei angemerkt, dass es keine offizielle deutsche Übersetzung des Standards gibt. In dieser deutschen Fassung des Whitepapers verwende ich oft deutsche Begriffe, gebe aber den englischen Originalbegriff ebenfalls an.)
Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.
Steffen Herrmann und das Sales-Team
Teil 2 der ISO 26262 fordert, dass funktionale Sicherheit das Ergebnis einer gesteuerten Arbeitsweise ist. Dazu gehört, dass es definierte und tatsächlich angewendete Entwicklungsprozeduren/-prozesse gibt. Es ist notwendig, dass ein ausgebildeter Sicherheitsmanager (»safety manager«) die Sicherheitsaktivitäten plant und steuert.
Ein Sicherheitsnachweis (»safety case«) muss entstehen, der eine fundierte Argumentation beinhaltet, warum das Entwicklungsergebnis sicher ist. Unterschätzen Sie diese Aufgabe nicht: Um Fehlinterpretationen und Betrügereien vorzubeugen, müssen wichtige Arbeitsergebnisse durch eine unabhängige Person überprüft werden (»confirmation reviews«; »functional safety audit/assessment«).
Teile 3 bis 7 der ISO 26262 enthalten Leitfäden und Anforderungen für verschiedene Phasen und Disziplinen von der frühen Konzeptphase bis zur Entsorgung auf dem Schrottplatz. Die Struktur dieser Teile folgt dem gängigen V-Modell der Systementwicklung.
Teil 3 beschäftigt sich mit der Konzeptphase (»Concept Phase«). Diese frühe Phase der Fahrzeug- und Funktionsentwicklung wird üblicherweise vom Fahrzeughersteller, dem OEM, durchgeführt. Die Entwicklung beginnt mit der Definition von Funktion und Umfang der Entwicklung, genannt »Item Definition«.
Danach startet auch schon die erste wirklich spezifische Aktivität der funktionalen Sicherheit. Die Durchführung der Gefährdungsanalyse und Risikobewertung (»hazard analysis and risk assessment«; HARA). Mit der HARA bewertet man das Risiko, das durch einen Fehler im zu entwickelnden Produkt für menschliche Verkehrsteilnehmer entstehen kann. Basierend auf diesem Risiko werden Sicherheitsziele (»safety goals«) definiert. Das sind Sicherheitsanforderungen (»safety requirements«) der höchsten Abstraktionsebene im Entwicklungsprozess. Diesen Sicherheitszielen wird jeweils ein »ASIL« (Automotive Safety Integrity Level«) zugewiesen: ASIL A, ASIL B, ASIL C, ASIL D. Je höher das Risiko, desto höher der ASIL, wobei ASIL D der höchste ist. Ein intelligenter Tempomat dürfte in aller Regel ein ASIL D erhalten, während ein elektrischer Fensterheber, dessen schlimmste Konsequenz ein gebrochener Finger wäre, wohl ein ASIL A erhalten könnte.
Der in der HARA ermittelte ASIL wird Sie nun durch den Rest des Entwicklungszyklus begleiten. An vielen Stellen der ISO 26262 sind die Methoden und die Systematik unterschiedlich zu wählen, abhängig vom ASIL der Anforderungen.
Im nächsten Schritt müssen die Sicherheitsziele im Rahmen der Entwicklung adressiert werden. Auf der Fahrzeugebene bedeutet dies, dass ausgehend von den Sicherheitszielen ein funktionales Sicherheitskonzept („functional safety concept«) und funktionale Sicherheitsanforderungen entwickelt werden. Der Zweck dieses Konzepts besteht darin, die Prinzipien der Erkennung von Fehlersituationen und die Art und Weise zu beschreiben, wie in solchen Situationen zu reagieren ist. Ein solches Konzept/eine solche Anforderung könnte zum Beispiel sein, dass ein Airbag deaktiviert wird, wenn ein Fehler festgestellt wird, um eine ungewollte Auslösung zu vermeiden.
Wir sind stolz, dass wir seit 2008 zu den Pionieren der Funktionalen Sicherheit zählen und unsere Erfahrung bei der Entwicklung der Sicherheitsnorm ISO 26262 einbringen konnten.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir verfügen über die geballte Erfahrung aus über 700 Projekten zur Funktionalen Sicherheit nach ISO 26262 bei weltweit über 100 Kunden.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir haben über 100 Spezialisten im Rahmen des Zertifizierungsprogramms »TÜV Rheinland Functional Safety (Automotive)« ausgebildet.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Die Erfahrung unserer Expertinnen und Experten im Bereich Funktionale Sicherheit beträgt zusammen über stolze 250 Jahre.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir haben den Fachbuch-Klassiker »Funktionale Sicherheit in der Praxis« und das »Essentials Funktionale Sicherheit« verfasst.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Bei uns engagieren sich bereits 18 Experten, die nach dem TÜV Rheinland Functional Safety (Automotive) zertifiziert oder selbst als Trainer zugelassen sind.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir bringen unsere Expertise in Branchenverbände ein, beispielsweise in die Gremien des Zentralverbands der Elektroindustrie.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wird das funktionale Sicherheitskonzept vom OEM entwickelt, so kommen nun auf der nächsten Ebene die diversen Zulieferer mit der Systementwicklung ins Spiel (Teil 4). Typischerweise erstellen die Zulieferer für ihren Zuständigkeitsbereich ein technisches Sicherheitskonzept (»technical safety concept«), welches technische Sicherheitsanforderungen umfasst. Sicherheitsmechanismen (»safety mechanisms«) implementieren diese Sicherheitsanforderungen und sind häufig ein Zusammenspiel einer Hardware, die Fehler erkennt, einer Software, die die Reaktion bestimmt und dann wieder einer Hardware, die die Reaktion ausführt, wie z.B. eine Schaltung spannungsfrei zu setzen.
Teile 5 und 6: Product development at the hardware and software level
Was auf Systemebene gefordert wird, muss natürlich auch umgesetzt werden. Dazu werden sowohl in der Hardware- als auch in der Softwareentwicklung Sicherheitsanforderungen detailliert, Hardware und Software dafür entwickelt und gemäß dem V-Modell getestet (Teile 5 und 6).
Auf System- und Fahrzeugebene werden schließlich die Sicherheitsmechanismen und das Funktionieren der Sicherheitskonzepte getestet und validiert, bevor ein Fahrzeugtyp zur Serienproduktion freigegeben wird.
Wichtig ist, zu verstehen, dass die ISO 26262 einige Anforderungen und Methoden enthält, die den üblichen Entwicklungsprozess auf System-, Hardware-, und Softwareebene im Detail beeinflussen.
Begleitend zur Entwicklung müssen Sicherheitsanalysen durchgeführt werden, die dazu dienen, Fehlerursachen und Fehlerauswirkungen genau verstanden zu haben und so das Design abzusichern. Die Methodiken dieser Analysen sind im Teil 9 beschrieben.
Ihre Verantwortung endet nicht mit dem Ende des Entwicklungsprojektes. Soweit die Sicherheit der Fahrzeuge von einem kontrollierten Fahrzeug-Produktionsprozess abhängt oder später in den Werkstätten berücksichtigt werden muss, fordert die ISO 26262 die entsprechende Planung. Der Feldbeobachtungsprozess (»field monitoring process«) soll ferner sicherstellen, dass fehlerhafte Teile dahingehend untersucht werden, ob Abweichungen von den Sicherheitskonzepten vorliegen und Software aktualisiert oder Hardware ausgetauscht werden muss.
Hiermit haben wir alle Teile, die den Fahrzeug-Lebenszyklus direkt betreffen, betrachtet. Allerdings gibt es noch weitere Teile.
Teil 8 der Norm behandelt unter dem Titel »Supporting processes« eine Reihe ganz unterschiedlicher Themen, die an den verschiedensten Stellen des Lebenszyklus zu berücksichtigen sind. Darin ist z.B. ein Konfigurationsmanagement ähnlich wie bei Automotive SPICE gefordert.
Teil 10 der Norm enthält Erläuterungen zum besseren Verständnis und ist rein informativ.
Teil 11 gibt sehr ausführlich Hilfestellung zum Einsatz von Halbleitern und Mikrocontrollern Halbleitern in sicherheitsbezogenen Systemen.
Schließlich ist Teil 12 speziell für Motorräder hinzugefügt worden. Im Wesentlichen enthält er Hinweise, wie die HARA sinnvoll für Motorräder durchgeführt wird.
Damit endet unser kurzer Überblick über die ISO 26262.
Funktionale Sicherheit schützt Menschen vor Schäden durch fehlerhafte Elektronik.
Dies zu formalisieren und den Stand der Technik zu beschreiben, ist der Hintergrund des Standards ISO 26262. Dieser Standard ist für Sie relevant, wenn Sie an der Entwicklung von Elektronik für Fahrzeuge beteiligt sind.
- Ihre Entwicklungsschritte und -methoden werden von dem ASIL beeinflusst, der mittels der HARA bestimmt wird.
- Sie müssen ein Sicherheitskonzept und Sicherheitsanforderungen definieren,
und zwar für den Umfang, für den Sie verantwortlich sind. Konzept und Anforderungen sollten beschreiben, wie Fehler detektiert und kontrolliert bzw. ihre Auswirkungen abgeschwächt werden. - Implementieren und testen Sie diese Anforderungen.
Jede an der Entwicklung beteiligte Firma muss hier ihren Beitrag leisten, abhängig vom Verantwortungsbereich. Sei es auf der Fahrzeug-, System-, Hardware-, oder Softwareebene. - Führen Sie Sicherheitsanalysen durch, um Fehler, Ursachen und Auswirkungen zu verstehen.
- Lassen Sie die Ergebnisse von wichtigen Aktivitäten von einer unabhängigen Person bestätigen.
- Erstellen Sie eine Argumentation für die Sicherheit Ihres Produktes und dokumentieren Sie diese in Ihrem Sicherheitsnachweis.
- Um funktionale Sicherheit zu erreichen, müssen geeignete Methoden entlang des gesamten Fahrzeug-Lebenszyklus eingeführt und umgesetzt werden.
- Es gibt keine funktionale Sicherheit ohne Sicherheitsmanagement.
Wir unterstützen Sie dabei,
- Ihre Prozesse nach den aktuellsten Normen der Sicherheit zu verbessern, um technisch zuverlässige, verfügbare, instandhaltbare und funktionale Produkte entwickeln und vermarkten zu können.
- Sicherheitsmanagementsysteme konzipieren und umsetzen zu können.
- durch Safety Audits zu bestätigen, dass Ihr Safety Management seinen Anforderungen gerecht wird.
- zuverlässig beurteilen zu können, ob ein Lieferant entsprechende Komponenten tatsächlich beisteuern kann.
- die Funktionale Sicherheit elektronischer Systeme und Komponenten bewerten zu können.
- Ihre Mitarbeiterinnen und Mitarbeiter bei allen Fragen der Funktionalen Sicherheit zu schulen.
