Schwerpunkte

Advertorial

Compiler-Qualifizierung, Zertifizierung & ISO26262

31. August 2020, 12:00 Uhr   |  Joe Drzewiecki, Associate Director Development Tools, und Steve Vernier, Manager Product Engineering, Automotive Products bei Microchip Technology

Compiler-Qualifizierung, Zertifizierung & ISO26262
© Microchip Technology

Dieser Beitrag von Microchip beschreibt, wie sich die Qualifizierung von Entwicklungstools für die Anforderungen an funktionale Sicherheit vereinfachen lässt.

Es mag paradox erscheinen, dass die Qualifizierung eines Tools für eine Anwendung mit funktionaler Sicherheit nicht dem Tool-Anbieter obliegt. Ein genauerer Blick auf den Qualifizierungsprozess nach ISO 26262 erklärt dieses scheinbare Paradoxon.

Der Prozess beginnt mit der Festlegung des ASIL (Automotive Safety Integrity Level) der Anwendung und des TCL (Tool Confidence Level), der für jedes Tool erforderlich ist, das zum Einsatz kommt. Die ASIL-Festlegung einer Anwendung liegt dabei außerhalb des Rahmens dieses Beitrags.

Den für die zu verwendenden Tools erforderlichen TCL festlegen

Bei der Entwicklung einer Lösung nach den Sicherheitsanforderungen der ISO 26262 verlangt die Norm, dass alle bei der Entwicklung verwendeten Softwaretools einen dokumentierten Nachweis darüber haben, warum es unwahrscheinlich ist, dass jedes Tool einen Fehler verursacht, der zu einem unsicheren Betrieb führt. Eine vollkommen gute Entwicklungsabsicht kann durch fehlerhaft arbeitende Tools unsicher gemacht werden. Der Begriff „unwahrscheinlich“ im Gegensatz zu „unmöglich“ ist entscheidend. Ziel ist es, das Vertrauen zu stärken, dass das Tool keine sicherheitsrelevanten Fehler verursacht und nicht garantiert, dass es perfekt funktioniert. Im Falle von C-Compilern stehen mehrere Lösungen zur Auswahl und bei der endgültigen Wahl sind viele Überlegungen zu treffen. Das Vertrauen, dass der gewählte Compiler keine Fehler in das Design einbringt, ist von wesentlicher Bedeutung. 

Tabelle 1: Risikobewertung Tool-Klassifizierung
© Microchip Technology

Tabelle 1: Risikobewertung (Tool-Klassifizierung) - zum Vergrößern bitte auf das Bild klicken!

Um den Detaillierungsgrad zu bestimmen, bis zu dem ein Tool analysiert werden sollte, wird eine Risikobewertung (Tool-Klassifizierung) durchgeführt. Diese berücksichtigt zwei Aspekte für jeden Anwendungsfall (Tabelle 1): die Auswirkungen auf die Sicherheit des Designs (Tool-Auswirkung/Impact oder TI) und die Wahrscheinlichkeit, dass ein Fehler erzeugt und nicht erkannt wird (Tool-Fehlererkennung/Error Detection oder TD). TI und TD werden nicht davon beeinflusst, wie oft das Tool verwendet wurde oder von welchem Anbieter das Tool stammt. Das Risiko beschränkt sich nicht nur auf das, was direkt in die Lösung mit einfließt, sondern auch auf die Informationen, die sich auf die Wahl des Designs (z.B. Simulationen) oder die Testergebnisse auswirken. Die Fehlererkennung kann in das Tool integriert werden, aber die TD-Bestimmung sollte auch die Evaluierung und das Testen der Lösung später im Entwicklungsprozess umfassen. Das Risiko lässt sich minimieren, indem Tools nur für den beabsichtigten Zweck und die vorgesehenen Einsatzbedingungen verwendet werden, die normalerweise im Benutzer- und/oder Sicherheitshandbuch eines Tools beschrieben sind. Anmerkung: TCL-1-Tools erfordern keine Qualifizierung.
 

Tool-Qualifizierung basierend auf ASIL und TCL

Microchip Methoden zur Tool-Qualifizierung
© Microchip Technology

Tabelle 2: Methoden zur Tool-Qualifizierung - zum Vergrößern bitte auf das Bild klicken!

Die ISO 26262 erkennt vier Qualifizierungsmethoden für jeden TCL an, die jeweils nach dem ASIL der Anwendung eingestuft werden (Tabelle 2).

Die erhöhte Anwendungssicherheit ist insofern einschränkend, als sie nur für genau dieselbe Version des gleichen Tools in der gleichen Anwendung gilt. Trifft dies auf eine Situation zu, lässt sich das Tool verwenden. Die zweite Methode, also die Bewertung des Entwicklungsprozesses, erfordert einen tiefen Einblick in die Entwicklungsprozesse des Tool-Anbieters. Dies wäre zwar möglich, wird aber wahrscheinlich nur der Fall sein, wenn der Einfluss einer externen Zertifizierungsstelle nachlässt, die bei Zertifizierungsüberprüfungen Zugriff auf diese normalerweise geschützten (proprietären) Informationen erhält. Die dritte Methode ist die Validierung des Software-Tools. Dies ist eine bewährte Methode, um den ordnungsgemäßen Betrieb von Software sicherzustellen. Je nach Tool kann das zur Validierung erforderliche Fachwissen jedoch zu hoch sein. Compiler fallen in diese Kategorie. Die Qualifizierung vereinfacht sich, wenn das Tool in Übereinstimmung mit einem Sicherheitsstandard entwickelt wurde. Verfahren, die den Sicherheitsstandards entsprechen, sind noch relativ neu und viele Tools sind so ausgereift, dass diese Qualifizierungsmethode zu neu ist, um auf sie angewendet zu werden.

Validieren der Qualifizierung

Natürlich muss man mit der Gründlichkeit der Qualifizierung, die man durchgeführt hat, vertraut sein, wenn sie einem Prüfer vorgelegt werden soll. Wie erwähnt, müsste man ein qualifizierter Experte für Compiler-Validierung sein, um festzustellen, ob Hunderttausende von Tests, die mit Compilern durchgeführt wurden (wie bei den MPLAB-XC-Compilern für funktionale Sicherheit), notwendig und ausreichend sind.

Ein sicherer Weg, eine Tool-Qualifizierung zu validieren, ist die Zertifizierung durch eine externe akkreditierte Stelle wie dem TÜV SÜD. Eine solche Organisation bringt Erfahrung und Fachkenntnis in Bezug auf funktionale Sicherheit und Tool-Zertifizierung mit ein. Mittels umfassender Informationen und einschneidender Vor-Ort-Überprüfungen nutzt eine externe Organisation die Informationen des Tool-Anbieters, einschließlich Prozessdefinition und -dokumentation, Validierungsmethoden und -ergebnisse, einen Sicherheitsplan, eine Analyse von Fehlermodi und deren Auswirkungen (FMEA) und ein Handbuch zur funktionalen Sicherheit. Damit wird sichergestellt, dass alle vorläufigen Klassifizierungs- und Qualifizierungsdokumente, die von einem Tool-Anbieter bereitgestellt werden, einem strengen, hohen Standard entsprechen. 

Microchip vereinfacht die Erfüllung der Anforderungen an die funktionale Sicherheit

Zusammen mit dem Zertifikat des TÜV SÜD und den diesbezüglichen Belegen bietet Microchip alle o.g. Unterlagen zusammen mit seinen gerade eingeführten MPLAB-XC-Compilern für funktionale Sicherheit in einem praktischen Paket an. Dieses enthält auch Klassifizierungs- und Qualifizierungsdokumente für die MPLAB X IDE und die MPLAB-Debugger/Programmer nach Tool Confidence Level 1 (TCL 1). Da die MPLAB-XC-Compiler alle Mikrocontroller (MCUs) von Microchip unterstützen, ist jede MCU von Microchip in dieser Lösung für funktionale Sicherheit enthalten. Microchip hilft den Kunden dabei, den Qualifizierungsprozess für Entwicklungstools für ihre Anforderungen an die funktionale Sicherheit zu vereinfachen.

Gewinnen Sie einen Rabatt von 30% für einen MPLAB®-zertifizierten Compiler!

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Microchip Technology GmbH