Gefahr und Risiko

Generische Software-Module zur Entwicklung sicherer Steuergeräte-Software

In den vergangenen Jahren wurde die Fahrzeugarchitektur nicht nur zunehmend komplexer, die verschiedenen Funktionen sind auch mehr denn je über das gesamte Fahrzeug verteilt. Sicherheits-relevante und nicht sicherheitsrelevante Applikationen werden nicht mehr zwangsläufig voneinander getrennt ausgeführt: Aus Kosten- und Komplexitätsgründen ist es vorteilhaft, diese auf demselben Steuergerät zu integrieren. Durch Software umgesetzte Sicherheitskonzepte sind dabei in jedem Fall gemäß der Norm ISO 26262 auszulegen.

Neben der Elektrifizierung des Antriebsstrangs führt die zunehmende Vernetzung der Teilkomponenten dazu, dass die Zahl sicherheitsrelevanter Steuergeräte im modernen Fahrzeug stark zugenommen hat. Sicherheitsrelevante und nicht sicherheitsrelevante Funktionen greifen oft ineinander und lassen sich nicht mehr einfach voneinander abgrenzen, wodurch auch die Anforderungen an den Hardware- und Software-Entwicklungsprozess gestiegen sind. Diese Tatsache adressiert die ISO 26262, die in Anlehnung an den Sicherheitsstandard IEC 61508 2011 als verbindliche Sicherheitsnorm in der Automobilindustrie in Kraft treten soll und für elektrische sowie elektronische (E/E) Systeme Funktionssicherheit definiert. Allerdings wird die Technik durch die Etablierung einer neuen Norm nicht automatisch auf einen fortschrittlicheren Entwicklungsstand gebracht. Die technische Weiterentwicklung und die Adaptierung der sicherheitsrelevanten Funktionen basieren im Idealfall auf den neuen Vorgaben, beispielsweise die in der Norm klar beschriebene Durchführung einer Gefahrenanalyse und Risikobewertung (G&R) zu Beginn der Entwicklung. Dabei erfolgt eine Betrachtung aller Betriebszustände und der entsprechenden Ausfallarten innerhalb des Systems, durch welche potentiell gefährliche Situationen entstehen können. Im Anschluss daran erfolgt die Klassifizierung jeder Gefahr in eine Sicherheitsanforderungsstufe (Automotive Safety Integrity Level; ASIL) von A bis D – wobei A die niedrigste und D die höchste Sicherheitsstufe darstellt.

Mit steigendem ASIL wachsen die Anforderungen an Hardware-Metriken (z.B. FIT-Raten, Testabdeckung) des Systems und den Software-Entwicklungsprozess (z.B. Testtiefe, Anforderungsverfolgung, Dokumentation), welche zusätzlich zu den hohen Qualitätsanforderungen des Systemherstellers erfüllt werden müssen. Eine gängige Methode des Nachweises der Funktionssicherheit ist die Argumentation über die Betriebsbewährtheit. Durch die Einführung neuer Technologien für die Kommunikation steigt der Anteil der neuen Teilkomponenten der Systeme, was diese Argumentation meist verhindert.

1. Teil: Generische Software-Module zur Entwicklung sicherer Steuergeräte-Software
2. Teil: AUTOSAR-Entwicklungsmethodik entkoppelt Hardware von der Software
3. Teil: Anforderungen der ISO 26262 ohne Neuentwicklung erfüllen
4. Teil: Hardware und AUTOSAR-OS unterstützen Speicherschutz
5. Teil: Die Autoren

Weiterführende Links:

• Sichere Software: Entwicklung von Steuergeräte-Basis-Software nach ISO/DIS 26262
• Batteriesystem: TTTech sichert Li-Ion-System von Akasol
• Erweiterung: Weigand verstärkt TTTech-Vorstand
• Toshiba Electronics Europe: Mikrocontroller für ISO-26262-konforme Steuergeräte
• Vector Informatik: Schnittstellen-Hardware arbeitet mit einem Datendurchsatz von bis zu 5 Mbyte/s
• Freescales Semiconductor: SafeAssure: Initiative für Funktionale Sicherheit
• AFT Atlas Fahrzeugtechnik GmbH: Steuergerät für seriennahes Rapid-Control-Prototyping
• Continental Aftermarket GmbH: Sensor-Cluster für mehr Sicherheit in Agrarfahrzeugen
• Agritechnica 2011: EBS für landwirtschaftliche Anhänger
• Messung, Applikation, Diagnose: Kooperationsvereinbarung zwischen ETAS und Kvaser
• Code-Generierung für sicherheitsrelevante Anwendungen: Software ohne Fehler
• ECU Interface Manager: Entwicklung von Steuergeräte-Funktionen beschleunigen
• Auftragsentwicklung: AFT: Neuer Standort, erweiterte Geschäftsführung
• Call for Papers: 4. Elektronik automotive congress.de