Startseite > Automotive > Software + Tools > Realisierung einer ASIL-C-Sicherheitsarchitektur

Funktionale Sicherheit

Realisierung einer ASIL-C-Sicherheitsarchitektur

3. Dezember 2025, 9:00 Uhr | Autorin: Ann Keffer, Siemens EDA, Redaktion: Irina Hübner

Insbesondere bei großen und komplexen Designs stellt das Erreichen der ASIL-C-Konformität eine erhebliche Herausforderung dar. Ein integrierter Sicherheits-Workflow kann kostspielige Iterationen im Zusammenhang mit der Fehlersimulation reduzieren.

▶ Diesen Artikel anhören

Die Norm ISO 26262 bietet einen strukturierten Rahmen für das Management der funktionalen Sicherheit. Dieser Rahmen gilt für den gesamten Entwicklungslebenszyklus von Elektroniksystemen für die Automobilbranche. Die Norm umfasst die Phasen Spezifikation und Entwicklung sowie Implementation, Integration, Verifikation, Validierung und Produktionsfreigabe.

Sie unterstreicht die Bedeutung der Erfüllung bestimmter Ziele für die zufällige Hardware-Ausfallrate (Random Hardware Failure Rate, RHFR) für jedes der drei Automotive Safety Integrity Level (ASIL) und stellt eine umfassende Methodik zur Bewertung, Minderung und Validierung zufälliger Hardwareausfälle bereit. Die ISO 26262 umfasst alle Entwicklungsphasen und gewährleistet somit einen konsequenten, systematischen Ansatz für die funktionale Sicherheit.

Jobangebote+ passend zum Thema

Regional Key Account (m/w/d) für Elektronische Bauteile

KOA Europe GmbH, Dägeling

Alle Jobangebote im Elektroniknet Karrierebereich anzeigen

Für die Automobilbranche hatte die ISO 26262 sowohl vorteilhafte als auch herausfordernde Auswirkungen. Obwohl sie zur Realisierung von Produkten mit höherer Sicherheit und Zuverlässigkeit führte, steigerte sie andererseits die Entwicklungskosten, schuf Markteintrittsbarrieren für kleinere IP-Anbieter und sorgte für eine Neugestaltung der Beziehungen zwischen Tier-1- und Tier-2-Lieferanten sowie OEMs.

Aus ingenieurtechnischer Sicht sind mit der Entwicklung von ICs/SoCs für Anwendungen im Automobilbereich heute eine höhere Komplexität, strengere Anforderungen an die Sicherheitsarchitektur, eine intensivere Verifizierung und interdisziplinäre Koordination sowie längere Entwicklungszeiträume und eine umfangreiche Dokumentation für die Zertifizierung verbunden.

Für ASIL-D wird die Diagnoseabdeckung (DC) häufig durch Duplikationstechniken wie CPU-Lockstep erreicht, die trotz ihrer Effektivität Fläche und Kosten erheblich erhöhen. Im Gegensatz dazu können die Ziele bei ASIL-C durch eine Vielzahl von Sicherheitsmechanismen mit geringerem Flächenaufwand erreicht werden.

ASIL-C erfordert, dass mindestens eine Single-Point Fault Metric (SPFM) von 97 % und eine Latent Fault Metric (LFM) von 80 % erreicht wird, wie in der Tabelle dargestellt. Die Entwicklungsprozesse müssen außerdem lückenlos nachvollziehbar sein – von der Architektur über die Implementation bis hin zu den Testergebnissen. Letztlich geht es bei ASIL-C darum, durch eine robuste Architektur, streng kontrollierte Prozesse und eine gründliche Validierung sicherzustellen, dass der Chip nachweislich sicher ist.

ASIL-Level	SPFM (%)	LFM (%)	PMHF (FIT)
ASIL-B	≥ 90 %	≥ 60 %	≤ 100
ASIL-C	≥ 97 %	≥ 80 %	≤ 10
ASIL-D	≥ 99 %	≥ 90 %	≤ 1

Hardware Failure Metrics (ISO 26262-5).

Funktionale Sicherheit im gesamten Sicherheitsworkflow

Siemens bietet ein integriertes Toolset für die funktionale Sicherheit (FuSa), mit dem die Herausforderungen in jedem Bereich des Sicherheitsworkflows und für jede Ingenieurrolle gemeistert werden können.

Polarion und Jama: Diese Tools erleichtern die Erstellung der für die ISO-26262-Zertifizierung erforderlichen Arbeitsergebnisse und gewährleisten, dass alle Dokumentationen und Sicherheitsanalysen ordnungsgemäß verwaltet und in den Arbeitsablauf integriert werden.
Questa One VIQ Compliance Advisor (Compliance-Berater): Dieses Tool wird verwendet, um detaillierte Fehlermodusauswirkungs- und Diagnoseanalysen (FMEDA) zu erstellen oder zu importieren. Diese Analysen helfen dabei, kritische Bereiche zu identifizieren, die während der Entwicklungs- und Verifikationsphasen besondere Aufmerksamkeit verlangen.
Questa One Safety Analyzer (Sicherheitsanalysator): Dieses Tool wird entweder über den VIQ Compliance Advisor oder im Batch-Modus aufgerufen. In der Anfangsphase berechnet es ASIL-Metriken und erstellt optimierte Fehlerlisten für Fehlerkampagnen, wodurch es den Zertifizierungsprozess optimiert.
Questa One Sim FX (Questa FX): Questa FX ist ein leistungsstarker Fehlersimulator, der Fehler einspeist und deren Auswirkungen simuliert. So stellt er sicher, dass das jeweilige Design die strengen Anforderungen der Norm ISO 26262 erfüllt.
FuSa-Datenbank: Alle Daten aus den Sicherheitstools werden in der FuSa-Datenbank gespeichert und dadurch die Konsistenz und Integrität über den gesamten Sicherheitsworkflow gewährleistet. Dieses zentrale Repository ermöglicht eine effiziente Nachverfolgung und Verwaltung sicherheitsrelevanter Informationen während des gesamten Chipentwicklungsprozesses.
Visualizer Debug: Das hochentwickelte Tool wird zum gleichzeitigen Debugging mehrerer unerkannter und unbemerkter Fehler eingesetzt, anstatt jeden Einzelfehler separat zu debuggen. Dies verbessert die Metriken und senkt die Entwicklungskosten.

Bild 1. Siemens bietet ein integriertes Toolset für die funktionale Sicherheit (FuSa).
Bild: Siemens

Der Questa One-Sicherheitsworkflow läuft wie folgt ab:

Erstanalyse: Der Sicherheitsanalysator wird zur Durchführung einer Was-wäre-wenn-Analyse eingesetzt, um die Basisausfallrate (FIT) sowie die anfänglichen Sicherheitsmetriken zu ermitteln.
Architekturoptimierung: Mit Hilfe des Sicherheitsanalysators erfolgt die Verfeinerung der Sicherheitsarchitektur, um den optimalen Ansatz zur Erfüllung der ASIL-C-Anforderungen zu bestimmen.
Fehlerlistenerstellung: Der Sicherheitsanalysator dient zur Erstellung gezielter Fehlerlisten, die in Fehlereinspeisungskampagnen verwendet werden.
Fehlereinspeisung und Simulation: Questa FX wird zur Einspeisung von Fehlern und zur Durchführung von Simulationen auf Basis der zuvor optimierten Fehlerlisten eingesetzt.
Metrik-Validierung: Die Ergebnisse der Fehlersimulationen werden anschließend in den Sicherheitsanalysator zurückgeführt, um validierte Sicherheitsmetriken zu berechnen.
ASIL-C-Compliance-Prüfung: Abschließend wird überprüft, ob die IP die ASIL-C-Ziele erfüllt, einschließlich der erforderlichen Diagnoseabdeckung und der Rückverfolgbarkeit von der Architektur bis zu den Testergebnissen.

Dieser Ablauf gewährleistet einen disziplinierten, metrikgesteuerten Ansatz zur Erreichung und Validierung der ASIL-C-Sicherheitsniveaus.

Fazit

Das Erreichen der ASIL-C-Konformität kann besonders bei großen, komplexen Designs eine Herausforderung darstellen. Doch verschiedene Optimierungsverfahren und Methodiken können diesen Prozess rationalisieren. Ein integrierter Sicherheitsworkflow – von der Lebenszyklusverwaltung über die FMEDA und Analyse bis hin zur Validierung – ermöglicht entscheidende Effizienzsteigerungen.

Durch den Einsatz des Sicherheitsanalysators, der strukturelle Analysen von RTL- und GLS-Designs durchführt und frühzeitig präzise Sicherheitsmetriken liefert, können Teams kostspielige Iterationszyklen bei der Fehlersimulation reduzieren. Die Siemens EDA-Software bietet eine umfassende FuSa-Lösung, mit der sich die ISO-26262-Zertifizierung beschleunigen lässt, da sie den Entwicklern eine effizientere und effektivere Arbeit ermöglicht.

Die Autorin

Ann Keffer
ist als Product Marketing Managerin weltweit für die Verifikation der funktionalen Sicherheit bei Siemens EDA zuständig. Sie verfügt über einen BA für Informatik und Mathematik und begann ihre Karriere als Softwareentwicklerin bei Hewlett Packard. Nach einigen Jahren wechselte sie in die Anwendungsentwicklung, später ins Produktmarketing und schließlich in die Marketingleitung. Seitdem leitet sie das weltweite Marketing- und Produktmanagement für Unternehmen in den Bereichen Automatisierung, Robotik und Verifizierung der funktionalen Sicherheit in der Automobilindustrie. Im Juni 2019 begann sie ihre Arbeit bei Siemens.