Funktionale Sicherheit ISO 26262 in Serienprojekten

Funktionale Sicherheit im Autor mit der Norm ISO 26262
Funktionale Sicherheit im Autor mit der Norm ISO 26262

Getrieben durch die deutschen Fahrzeughersteller hat sich die Norm ISO 26262 global verbreitet. Die weltweite Umsetzung der Norm spiegelt die Notwendigkeit wider, auf den enormen Anstieg sicherheitsrelevanter elektronischer Regelsysteme und Assistenzsysteme reagieren zu müssen. Doch wie wird die Norm in Serienprojekte integriert?

ISO 26262 hat in kürzester Zeit eine überwältigende Marktdurchdringung erreicht. Spätestens seit ihrer Veröffentlichung im Jahr 2011 wird sie in der Automobilindustrie angewandt, bei der Mehrheit der deutschen Fahrzeughersteller (OEM) und Zulieferer jedoch schon lange zuvor. Die Norm wurde unter der Führung der deutschen Fahrzeughersteller und des VDA (Verband der Automobilindustrie) unter dem Dach des DIN (Deutsches Institut für Normung) erstellt; das Mitwirken der Fahrzeughersteller hat ihr den schnellen Markterfolg ermöglicht. Dies ist nicht auf Deutschland beschränkt, sondern vollzieht sich global, auch wenn einzelne Regionen noch langsamer in der Umsetzung sind.

Dieser Artikel gibt einen Überblick über den Aufbau der ISO 26262 und geht im Anschluss  auf ausgewählte Stolpersteine bei ihrer Anwendung in Serienprojekten und dazu passende Lösungsansätze ein.

Aufbau der ISO 26262

Die ISO 26262 [1] ist aus der Basisnorm für Funktionale Sicherheit IEC 61508 [2] abgeleitet. Dabei wurde auf die speziellen Gegebenheiten der Automobilindustrie wie einer verteilten Entwicklung und strengen Qualitätsvorgaben auf jeder Lieferantenebene eingegangen. Daher ist die Norm an die Gliederung von grundlegenden Qualitätsrichtlinien der Automobilindustrie angepasst, insbesondere an ISO/IEC 15504 (SPICE) [3]. Sie ist dazu in Kern- und Supportprozesse sowie Methodendefinitionen gegliedert. Die Kernprozesse – (fahrzeugspezifische) Item Development (Teil 3 der Norm) [4], System Development (Teil 4), und Hardware/Software Development (Teile 5 und 6) – bilden die verteilte Entwicklung in den mehrstufigen Zulieferketten ab und lassen sich relativ einfach den Partnern in der Zulieferkette zuordnen. Unterstützt werden die Kernprozesse durch essentielle Supportprozesse wie Anforderungs-, Änderungs- und Konfigurationsmanagement. Eingebettet sind die Kern- und Supportprozesse in ein übergreifendes Functional Safety Management System (Teil 2 der Norm), welches für alle Beteiligten der Herstellungskette gültig ist. Die für eine sicherheitsgerichtete Entwicklung notwendigen Methoden werden zwar angerissen, mit Ausnahme der FMEDA (quantitative Failure Mode Effect and Diagnostic Analysis) aber nicht ausreichend detailliert beschrieben.

 

Methodische Grundlage aller Normen zur funktionalen Sicherheit und somit auch der ISO 26262 ist die kontinuierliche Verfeinerung und Umsetzung der Anforderungen und die Verifikation aller sicherheitsrelevanten Arbeitsergebnisse. Die Verifikationen bestehen dabei sowohl aus theoretischen Analysen, als auch aus praktischen Tests. Theoretische Analysen tragen dabei zur Bestätigung von Arbeitsergebnissen sowie zur Erkennung fehlender Anforderungen und Funktionen bei. Auf diese Verbindung von theoretischen Verifikationen und Anforderungsengineering wird später in diesem Artikel vertieft eingegangen.

Die ISO 26262 nutzt das V-Modell als gedankliche Basis. Sie definiert in sich verschachtelte V-Modelle für die verschiedenen Beteiligten in der Herstellungskette – Fahrzeughersteller, System-Lieferant, HW- und SW-Lieferant (Bild 1). Trotz des V-Modells als anschaulichste Darstellung einer systematischen anforderungsgetriebenen Entwicklung und Verifikation kann ISO 26262 natürlich auch auf Inkrementelle Entwicklungen (Agile, Scrum, Spirale) angewandt werden.

Herausforderungen in der Sicherheitsentwicklung

Obwohl die ISO 26262 mit dem Ziel entwickelt wurde, die Mutternorm IEC 61508 noch besser an die in der Automobilindustrie etablierten verteilten Entwicklungsprozesse anzupassen, zeigt sich auch hier, dass sich Anspruch und Realität in der täglichen Projektarbeit nicht immer decken. Die folgenden Kapitel gehen auf Stärken der ISO 26262, und auf Herausforderungen bei der sicherheitsgerichteten Entwicklung von Elektronischen Control Units (ECU) sowie der Interaktion zwischen Fahrzeughersteller (OEM) und Zulieferern in Serienprojekten ein. Drei Bereiche werden dazu näher untersucht:

  • Austausch von Anforderungen zwischen OEM und Zulieferern in Re-Use-Projekten,
  • Gründe, etablierte ECU und Software-Designs zu überdenken,
  • Systematisches Safety-Management mit ISO 26262 und ASPICE.

Außerdem zeigen wir einen erfolgreichen Lösungsansatz auf, der als Verification-Driven Design bezeichnet wird.