Gefahr und Risiko Generische Software-Module zur Entwicklung sicherer Steuergeräte-Software

In den vergangenen Jahren wurde die Fahrzeugarchitektur nicht nur zunehmend komplexer, die verschiedenen Funktionen sind auch mehr denn je über das gesamte Fahrzeug verteilt. Sicherheits-relevante und nicht sicherheitsrelevante Applikationen werden nicht mehr zwangsläufig voneinander getrennt ausgeführt: Aus Kosten- und Komplexitätsgründen ist es vorteilhaft, diese auf demselben Steuergerät zu integrieren. Durch Software umgesetzte Sicherheitskonzepte sind dabei in jedem Fall gemäß der Norm ISO 26262 auszulegen.

Neben der Elektrifizierung des Antriebsstrangs führt die zunehmende Vernetzung der Teilkomponenten dazu, dass die Zahl sicherheitsrelevanter Steuergeräte im modernen Fahrzeug stark zugenommen hat. Sicherheitsrelevante und nicht sicherheitsrelevante Funktionen greifen oft ineinander und lassen sich nicht mehr einfach voneinander abgrenzen, wodurch auch die Anforderungen an den Hardware- und Software-Entwicklungsprozess gestiegen sind. Diese Tatsache adressiert die ISO 26262, die in Anlehnung an den Sicherheitsstandard IEC 61508 2011 als verbindliche Sicherheitsnorm in der Automobilindustrie in Kraft treten soll und für elektrische sowie elektronische (E/E) Systeme Funktionssicherheit definiert. Allerdings wird die Technik durch die Etablierung einer neuen Norm nicht automatisch auf einen fortschrittlicheren Entwicklungsstand gebracht. Die technische Weiterentwicklung und die Adaptierung der sicherheitsrelevanten Funktionen basieren im Idealfall auf den neuen Vorgaben, beispielsweise die in der Norm klar beschriebene Durchführung einer Gefahrenanalyse und Risikobewertung (G&R) zu Beginn der Entwicklung. Dabei erfolgt eine Betrachtung aller Betriebszustände und der entsprechenden Ausfallarten innerhalb des Systems, durch welche potentiell gefährliche Situationen entstehen können. Im Anschluss daran erfolgt die Klassifizierung jeder Gefahr in eine Sicherheitsanforderungsstufe (Automotive Safety Integrity Level; ASIL) von A bis D – wobei A die niedrigste und D die höchste Sicherheitsstufe darstellt.

Mit steigendem ASIL wachsen die Anforderungen an Hardware-Metriken (z.B. FIT-Raten, Testabdeckung) des Systems und den Software-Entwicklungsprozess (z.B. Testtiefe, Anforderungsverfolgung, Dokumentation), welche zusätzlich zu den hohen Qualitätsanforderungen des Systemherstellers erfüllt werden müssen. Eine gängige Methode des Nachweises der Funktionssicherheit ist die Argumentation über die Betriebsbewährtheit. Durch die Einführung neuer Technologien für die Kommunikation steigt der Anteil der neuen Teilkomponenten der Systeme, was diese Argumentation meist verhindert.