Funktionale Sicherheit Mixed-ASIL-Systeme praktisch realisieren

Durch den Einsatz eines modernen AUTOSAR-Betriebssystems und zwei weiterer Basis-Software-Module lässt sich ein ISO-konformes Mixed-ASIL-System aufbauen.
Durch den Einsatz eines modernen AUTOSAR-Betriebssystems und zwei weiterer Basis-Software-Module lässt sich ein ISO-konformes Mixed-ASIL-System aufbauen.

Die Norm ISO 26262 beschreibt einen anerkannten und standardisierten Prozess für das Entwickeln sicherheitsrelevanter Automotive-Steuergeräte. Diese bestehen allerdings nur zum Teil aus sicherheitsrelevanter Software. Der erhöhte Entwicklungsaufwand soll aber auf die sicherheitsrelevanten Bestandteile begrenzt werden. Durch den Einsatz eines modernen AUTOSAR-Betriebssystems und zwei weiterer Basis-Software-Module lässt sich ein ISO-konformes Mixed-ASIL-System aufbauen, das sowohl ASIL-Funktionen als auch Funktionen ohne Qualifizierung enthält.

Beim Entwickeln sicherheitsrelevanter Steuergeräte-Software kommt zunehmend die Norm ISO 26262 zum Einsatz. Zu Beginn eines normkonformen Entwicklungsprozesses führt der Entwickler für das zu entwickelnde System eine Gefahrenanalyse und Risikobewertung durch. Entsprechend der Eintrittswahrscheinlichkeit (Probability) der Risiken, dem Ausmaß des zu befürchtenden Schadens (Severity) und der Beherrschbarkeit durch den Fahrer (Controllability) ermittelt der Entwickler Sicherheitsziele und ordnet ihnen einen bestimmten Automotive Safety Integrity Level (ASIL) im Bereich von A bis D zu.
Beim Festlegen der ASILs aller Software-Elemente bilden sich in der Regel funktionale Gruppen mit unterschiedlichen ASIL-Einstufungen. Im Prinzip muss aber die gesamte Software eines Steuergeräts nach dem höchsten ASIL entwickelt werden, der für eine dieser funktionalen Gruppen ermittelt wurde. Dadurch steigt der Aufwand für das Entwickeln außerordentlich an, weil sogar nicht sicherheitsrelevante Software nach dem aufwendigen Sicherheitsprozess entwickelt werden muss.
Eine Lösung ist der Ansatz von Mixed-ASIL-Systemen. Hierbei werden die funktionalen Gruppen durch geeignete Schutzmaßnahmen so voneinander getrennt, dass sie sich nicht gegenseitig stören können. Damit wird der Entwicklungsaufwand für die einzelnen Funktionsgruppen auf den jeweiligen ASIL reduziert.
Die notwendigen Schutzmechanismen sind in Form eines modernen AUTOSAR-Betriebssystems und zwei weiterer Basis-Software-Module verfügbar und müssen nicht vom Steuergerätehersteller selber entwickelt werden.