Anforderungs-Management Verbesserung aktueller Praktiken für ISO 26262

Jüngste Qualitätsprobleme haben die Automobilindustrie dazu veranlasst, ernsthaft nach Wegen zu suchen, wie sich die Qualität der Software-Entwicklung verbessern lässt. Eines der Hauptprobleme resultiert aus dem zunehmenden Einsatz von elektronischen Systemen, die sich auf die Sicherheit des Fahrzeugs auswirken. Deshalb benötigen Automobilhersteller Normen wie ISO 26262, die sie dabei unterstützen, die spezifischen Anforderungen in Bezug auf die elektrischen, elektronischen und programmierbaren elektronischen Systeme von Fahrzeugen einzuhalten.

Die Norm ISO 26262 erstellt ein risikobasiertes Verfahren zur Ermittlung der Automo-tive Safety Integrity Levels (ASIL). Es gibt vier ASIL-Stufen (A bis D), die die erforderlichen Sicherheitsmaßnahmen festlegen, um ein unakzeptables Restrisiko für das gesamte System oder eine Systemkomponente zu vermeiden; D ist die höchste Stufe mit den strengsten Sicherheitsanforderungen. Der ASIL wird je nach dem Risiko des Auftretens einer sicherheitsrelevanten Fehlfunktion in Bezug auf folgende Parameter zugewiesen:

  • Häufigkeit der Situation (Exposure)
  • Schwere der Auswirkung einer möglichen Fehlfunktion (Severity)
  • Kontrollierbarkeit (Controllability)

ISO 26262 überträgt diese Einstufungen in software-spezifische Ziele, die während des Entwicklungsprozesses erfüllt werden müssen. Ein zugewiesener ASIL bestimmt somit den Aufwand, der erforderlich ist, um die Einhaltung der Norm zu demonstrieren. Die Erfüllung der höheren Anforderungen an D-Level-Komponenten ist mit mehr Aufwand und Kosten verbunden, denn es handelt sich hierbei um die Herstellung eines für den fortlaufenden sicheren Betrieb eines Fahrzeugs kritischen Systems (z.B. ein Steer-by-Wire-Lenksystem).

Um zu gewährleisten, dass ein System die Norm ISO 26262 erfüllt, muss das Unternehmen die Erfüllung dieser Sicherheitsanforderungen vom Design über die Stadien Codierung, Tests und Verifikation belegen und dokumentieren können.

Um die Implementierung zu vereinfachen und sich leichter auf die geänderten Anforderungen umzustellen, benutzen viele Automobilhersteller die Lückenanalyse (auch Gap-Analyse). Diese beginnt mit der Sammlung und Analyse von Daten, um die Differenz zwischen dem aktuellen Zustand des Unternehmens hinsichtlich seiner Entwicklungsprozesse und dem erwünschten Zustand zu ermitteln. Sie untersucht die Betriebsprozesse und erzeugten Artefakte. Das Ergebnis wird in Notizen und Befunden festgehalten, auf die hin das Unternehmen oder das individuelle Projekt Maßnahmen ergreifen kann.