Startseite > Automotive > Assistenzsysteme > Entwicklung von Steuergeräte-Basis-Software nach ISO/DIS 26262

Sichere Software

Entwicklung von Steuergeräte-Basis-Software nach ISO/DIS 26262

13. Dezember 2010, 11:21 Uhr | Von Dr. Thomas Wenzel, Martin Fassl und Joachim Kalmbach

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 3

Anwendung der ASIL-Dekomposition nach ISO 26262

Die ISO 26262 erfordert nicht zwangsläufig die Neuentwicklung sämtlicher Software-Mechanismen. Die Norm erlaubt es, einen bestimmten ASIL, der für das Erreichen eines Sicherheitszieles gefordert ist, durch die Kombination von unabhängigen Elementen und entsprechende Aufteilung der Sicherheitsanforderungen in redundante Sicherheitsanforderungen darzustellen. So ist es zum Beispiel möglich, ASIL C durch die Kombination zweier Komponenten mit ASIL B und ASIL A unter Berücksichtigung bestimmter Voraussetzungen zu erreichen. ASIL-Dekomposition kann dabei auf System-, Hardware- und Software-Ebene durchgeführt werden. Bei der Durchführung ist darauf zu achten, dass die Hardware-Architekturmetriken unberührt bleiben und die Wahrscheinlichkeit der Verletzung des Sicherheitsziels ausgeschlossen wird. Die ISO 26262 fordert zudem Confirmation Reviews, welche gemäß den Sicherheitszielen des ursprünglichen ASIL (in unserem Beispiel ASIL C) durchzuführen sind.

Um die notwendige Unabhängigkeit von Software-Komponenten verschiedener ASILs auf einem Steuergerät zu gewährleisten, sind die im Standard definierten Regeln der Rückwirkungsfreiheit einzuhalten und nachzuweisen. Denn nur bei entsprechenden Maßnahmen und Nachweisen derselben ist eine „Coexistence“ von Elementen – im speziellen Fall von sicherheitsrelevanten und nicht sicherheitsrelevanten Elementen – nebeneinander zulässig. Generische Komponenten (Subsysteme, Hardware-Komponenten, Software-Komponenten), für die während der Entwicklung noch kein konkreter Anwendungsfall (Item) und somit noch keine Sicherheitsziele definiert sind, können gemäß ISO 26262 als „Safety Element out of Context“ (SEooC) entwickelt werden. Da in diesem Falle die anwendbaren Sicherheitsanforderungen, die mit Hilfe des Elements erfüllt werden sollen, nicht bekannt sind, müssen dafür Annahmen (Assumptions) getroffen und entsprechend dokumentiert werden.

Beim ersten Einsatz des SEooC muss mit Hilfe eines mitgelieferten Sicherheitshandbuchs überprüft werden, ob die getroffenen Annahmen mit den im Anwendungsfall definierten Sicherheitszielen und Sicherheitsanforderungen im Einklang stehen, deren Einhaltung unterstützen und keine Widersprüche bilden. Die korrekte Verwendung gemäß Safety Manual ist in Folge sicherzustellen und nachzuweisen.