Methodik zur ISO-26262-Konformität Reduzierter Dokumentationsaufwand

Eine Tool-basierte Methodik um möglichst Kosten- und Zeiteffizient ein ISO-26262-Produktentwickungs-Lebenszyklus zu managern.
Eine Tool-basierte Methodik um möglichst Kosten- und Zeiteffizient ein ISO-26262-Produktentwickungs-Lebenszyklus zu managern.

Um das Management eines ISO-26262-konformen Produktentwicklungs-Lebenszyklus so kosten- und zeiteffizient wie möglich zu gestalten, kann eine Tool-basierte Methodik zum Einsatz kommen, die auf einem Compliance-Management-System aufsetzt. Dieses stellt eine Compliance Roadmap bereit, die beim Management der Software-Planungs-, Entwicklungs-, Verifikations- und Regulierungs-Aktivitäten nach ISO 26262 Teil 6 hilft.

Funktionale Sicherheit ist bereits jetzt ein bedeutender Faktor bei der Entwicklung von Automobilsystemen, und ihr Stellenwert wird durch den zunehmenden Einsatz von elektrischen, elektronischen und programmierbaren elektronischen Lösungen beispielsweise in Fahrerassistenz-, Brems-, Lenk- und Sicherheitssystemen weiter wachsen.

Die Norm ISO 26262 enthält detaillierte, branchenspezifische Richtlinien für die Produktion der gesamten Software für Automotive-Systeme und -Ausrüstungen – unabhängig davon, ob diese sicherheitskritisch sind oder nicht. Darüber hinaus stellt die Norm ein Risikomanagement-Konzept bereit, das auch die Bestimmung der Risikoklassen, der so genannten Automotive Safety Integrity Levels (ASILs), einschließt. Von ihrem Wesen her ähneln diese ASILs den in der Norm IEC 61508 spezifizierten Safety Integrity Levels (SILs).

Unterscheidung der ASILs

Die Norm ISO 26262 unterscheidet zwischen den vier ASILs A, B, C und D, um die erforderlichen Sicherheitsmaßnahmen zur Abwendung eines unverhältnismäßigen Restrisikos zu spezifizieren. Dabei steht D für die strengsten Anforderungen.

Der ASIL ist eine Eigenschaft der jeweiligen Sicherheitsfunktion und nicht etwa des gesamten Systems oder einer Systemkomponente. Hieraus folgt, dass es für jede Sicherheitsfunktion in einem sicherheitsrelevanten System einen ASIL geben muss, wobei das Risiko eines jeden gefährlichen Ereignisses nach den folgenden Attributen zu bewerten ist:

  • Häufigkeit der Situation („Exposure“)
  • Schwere der Auswirkung („Severity“)
  • Beherrschbarkeit („Controllability“)

Je nach den Werten dieser drei Attribute wird der ASIL für einen bestimmten Funktionsfehler festgelegt. Das wiederum entscheidet über den ASIL, der der Sicherheitsfunktion insgesamt zugewiesen wird.

ISO 26262 setzt diese Safety Levels in sicherheitsspezifische Zielvorgaben um, die im Zuge des Entwicklungsprozesses erfüllt werden müssen. Der zugewiesene ASIL bestimmt somit über den Aufwand, der für den Nachweis der Konformität zu der Norm erforderlich ist. Der Arbeits- und Kostenaufwand für die Produktion eines Systems, das von kritischer Bedeutung für den ununterbrochen sicheren Betrieb eines Automobils ist, beispielsweise ein Steer-by-Wire-System, ist demzufolge größer, als wenn es um die Produktion eines Systems geht, dessen Ausfall nur geringfügige Auswirkungen hätte, wie die Unterhaltungselektronik im Fahrzeug.

Teil 4 der Norm bezieht sich auf die Produktentwicklung auf der Systemebene, Teil 6 dagegen auf die Produktentwicklung auf der Software-Ebene. Bild 1 zeigt, wie die Geltungsbereiche dieser Dokumente auf das vertraute V-Modell abgebildet werden.

Was ist notwendig, um die Konformität zur Funktionssicherheits-Norm ISO 26262 nachzuweisen? In der ISO 26262 basieren die Produktsicherheits-Lebenszyklen auf einem risikoorientierten Konzept, das von den ASILs des Systems und der Software bestimmt wird. Die Risikobewertung definiert die Anforderungen an die Prozesse im Zusammenhang mit der Verifikation, Validierung und Bestätigung der Anforderungen, die zum Erreichen des angestrebten Safety Level für ein System erfüllt werden müssen. Die Zulieferer müssen dann lernen, wie sie diese Compliance-Praktiken und Prozeduren anwenden und dokumentieren müssen. Im Folgenden wird gezeigt, wie die Zulieferer dokumentieren müssen, dass sie eine ausgereifte und sicherheitsgerichtete Entwicklungsumgebung anwenden, von der Projektdefinition über das Produkt-Design bis zur Implementierung und Verifikation (Tabelle 1). Es reicht dabei nicht aus, die übergeordneten Systemanforderungen, die Systemarchitektur, das detaillierte Design und die genaue Implementierung zu erfassen, denn auch jede einzelne übergeordnete Systemanforderung ist formell zu verifizieren. Das schließt die Anwendung von Metrics aus Structural-Coverage-Analysen ein, um die Vollständigkeit der Tests zu dokumentieren.

Tool-basierte Methodik

Für eine Tool-basierte Methodik zum kosteneffektiven Management eines ISO-26262-konformen Produktentwicklungs-Lebenszyklus hat LDRA ein Compliance-Management-System. Das stellt eine Compliance Roadmap bereit, die beim Management der Software-Planung, -Entwicklung und -Verifikation sowie der regulierungsbezogenen Aufgaben in Teil 6 von ISO 26262 – Product Development: Software Level (ISO 26262-6) hilft.

Die Methodik führt durch die vollständig konformen Pläne, Dokumenten-Checklisten, Transition- und Peer-Review-Checklisten, Normen und übrigen Lebenszyklus-Dokumente, beispielsweise die Anforderungs-Spezifikationen. Wird es auf deterministische Software-Verifikations-Tools ausgedehnt, ermöglicht das Compliance-Management-System auch die Straffung des Verifikationsprozesses und hilft damit, den Dokumentierungsaufwand zu senken und die Planungskosten um bis zu 50 Prozent zu reduzieren. ISO 26262 verlangt Folgendes:

Man muss sagen, was man tut (­Beschreibung der Prozesse in den Plänen) Man muss tun, was man sagt (Einhaltung der Prozesse) Man muss nachweisen, was man getan hat (Nachweis der Erfüllung der Zielvorgaben für den jeweiligen ASIL)

Der Beitrag konzentriert sich vor allem auf Teil 6 von ISO 26262, der sich auf die Entwicklung des Software-Aspekts eines Produkts bezieht. Wie das LDRA Compliance Management System (LCMS) die Aspekte ‚Sagen‘, ‚Tun‘ und ‚Nachweisen‘ abdeckt, ist nachfolgend beschrieben.