E-Book, Deutsch, 338 Seiten
Gebhardt / Rieger / Mottok Funktionale Sicherheit nach ISO 26262
1. Auflage 2013
ISBN: 978-3-86491-338-9
Verlag: dpunkt
Format: PDF
Kopierschutz: 1 - PDF Watermark
Ein Praxisleitfaden zur Umsetzung
E-Book, Deutsch, 338 Seiten
ISBN: 978-3-86491-338-9
Verlag: dpunkt
Format: PDF
Kopierschutz: 1 - PDF Watermark
Vera Gebhardt zertifizierte SPICE-Assessorin, iSQI Certified Professional for Project Management, Principal Consultant funktionale Sicherheit und Hauptniederlassungsleiterin der tecmata GmbH. Sie ist verantwortlich für die Bereiche Personal, funktionale Sicherheit, Qualitätsmanagement und Projektmanagement sowie für den Ausbau des gesamten Geschäftsnetzes. Vera Gebhardt ist Gründerin und Fachgruppenleiterin der FG Safety im ASQF und Verfasserin zahlreicher Fachvorträge. Gerhard M. Rieger Bis 2001 war Herr Rieger als Marktsegmentverantwortlicher für den Bereich sicherheitsrelevante elektronische Systeme bei der TÜV Product Service GmbH tätig und wechselte 2001 zur TÜV Informationstechnik GmbH des RWTÜV als Abteilungsleiter der Prüfstelle 'Safety Approval Service'. Sein Aufgabenbereich umfasste den Aufbau des Arbeitsgebiets der funktionalen Sicherheit, personelle Führung sowie die wirtschaftliche Verantwortung der Prüfstelle. Er baute im Mutterkonzern RWTÜV den Aufgabenbereich funktionale Sicherheit weiter aus und wechselte 2004 in die Abteilung Safety Related Services des RWTÜV (seit 2006 TÜV NORD Sys-Tec GmbH & Co. KG). Dort leitete er bis 2010 die Geschäftsstelle in Augsburg und das Arbeitsgebiet 'Functional Safety'. Seit 2011 führt er den Ausbau der Geschäftsstelle Augsburg sowie die Erweiterung des Themengebiets funktionale Sicherheit bei der TÜV NORD Systems GmbH & Co. KG fort. Herr Rieger ist Verfasser zahlreicher Fachartikel und hält im Elitestudiengang Informatik der Universität Augsburg Vorlesungen zum Thema 'Funktionale Sicherheit'. Prof. Dr. Jürgen Mottok lehrt Informatik an der Hochschule Regensburg. Seine Lehrgebiete sind Software Engineering, Programmiersprachen, Betriebssysteme und Functional Safety. Er leitet das Laboratory for Safe and Secure Systems, ist Beirat des Bavarian Cluster of IT-Security and Safety, Beirat des Automotive Forum Sicherheit Software Systeme, Beirat des ASQF Safety, Mitglied des Leitungsgremiums der Regionalgruppe Ostbayern der Gesellschaft für Informatik, Organisator des Fachdidaktik-Arbeitskreises Software Engineering der Bayerischen Hochschulen und Projektleiter der mit kooperativen Promotionsverfahren ausgestatteten Forschungsprojekte DynaS3 und VitaS3, S3OP und S3EMO. Partner in den Forschungsprojekten sind die AVL Software und Funktions GmbH, die Continental Automotive GmbH, die iNTENCE Automotive GmbH, die Manu AG und die exida GmbH. Prof. Dr. Jürgen Mottok ist in Programmkomitees zahlreicher wissenschaftlicher Konferenzen vertreten. Er ist Träger des Preises für herausragende Lehre, der vom Bayerischen Staatsministerium für Wissenschaft, Forschung und Kunst vergeben wird. Christian Gießelbach studierte Mathematik und Informatik an der Universität zu Köln und war zunächst als Softwareentwickler für die IVU Traffic Technologies AG tätig. 2007 wechselte er zur tecmata GmbH und betreut dort als Experte für Softwarearchitektur sowie als Testdesigner unterschiedliche Industrieprojekte im Bereich sicherheitsrelevanter Embedded-Entwicklung. Christian Gießelbach ist Principal Consultant für funktionale Sicherheit und verantwortlich für die Konzeption sicherer Softwaresysteme. Er ist Mitglied in der ASQF-Fachgruppe Safety und Berater der Expertengruppe Funktionale Sicherheit der tecmata GmbH.
Autoren/Hrsg.
Weitere Infos & Material
1 Einleitung
(Werner von Siemens, 1880)
1.1 Wieso die automotive spezifische Sicherheitsnorm ISO 26262:2011?
Einen wesentlichen Beitrag für die Einschätzung der Zukunft sicherer eingebetteter Systeme liefert die National Roadmap Embedded Systems (NRMES).
Die Kombination sicherer eingebetteter Systemkomponenten mit elektronischen und mechatronischen Systemen ist ein typisches Merkmal in der Technik, wie z.B. bei automobilen Sicherheitssystemen. Die NRMES stellt dar, dass eingebettete Systeme oftmals strikten sicherheitskritischen Anforderungen unterliegen, deren Verletzung verheerende Auswirkungen auf Mensch und Technik mit sich bringen kann.
So benötigen viele Systeme – z.B. in der Automobiltechnik, der Avionik oder der Medizintechnik – eine explizite Zulassung, die den Nachweis eines hinreichenden Sicherheitsniveaus erfordert. Für den Nachweis der Sicherheit eines Systems ist Korrektheit weder notwendige noch hinreichende Bedingung. Vielmehr folgt der Sicherheitsnachweis eigenen spezifischen Verfahren, die z.B. die Bestimmung und Bewertung von Risiken (Risikoakzeptanz) verlangen.
In diesem Zusammenhang spielen Verfahren zur Qualitätssicherung (QS) wie Test, Analysetechniken und formale Beweisverfahren eine wichtige Rolle. Sie liefern einen Beitrag zur Zulassung, ersetzen sie jedoch nicht.
In technischen Anwendungsbereichen geht von Softwarefehlern einerseits potenziell eine Gefährdung aus, andererseits ermöglicht Software aber auch die Unterstützung von Sicherheit, indem sie z.B. fortlaufend Diagnosen des Systemzustands durchführt. Daher ist es unerlässlich, Software in die Sicherheitsanalyse und die Zertifizierung von eingebetteten Systemen einzubeziehen.
Eingebettete Systeme als bedeutende Innovationstreiber mit hoher querschnittlicher Wirkung bilden das Nervensystem moderner Steuerund Informationssysteme. In ihnen ist inhärent die funktionale Sicherheit der jeweilig realisierten Produkte sicherzustellen. Dies gilt insbesondere in so wichtigen Gebieten wie Energietechnik, Medizin- und Gesundheitstechnik, Verkehrs- und Transportwesen (mit Automobil-, Schienen-, Luft- und Raumfahrttechnik), Industrieautomatisierung/Robotik sowie der Informations- und Kommunikationstechnik mit ihren diversen Ausprägungen.
1.1.1 ISO 26262:2011, Edition 15.11.2011
Für die Automobiltechnik enthält der neue Standard ISO 26262:2011 (wir beziehen uns in diesem Fachbuch ausschließlich auf den Stand 15.11.2011 für die Teile 1 bis einschließlich 9 und den Stand 08.01.2012 für den Teil 10 des Standards) Richtlinien zur Entwicklung funktional sicherer Systeme.
Es gibt kaum noch Projekte in der Automobilindustrie, bei denen nicht Sicherheitsanforderungen nach einer ASIL-Klassifikation gefordert werden.
Der ASIL (Automotive Safety Integrity Level) wird nach bestimmten Parametern ermittelt und die Einstufung kann aus einer in der ISO 26262:2011 vorgegebenen Tabelle für jede Gefährdung in den Stufen QM oder ASIL-A bis ASIL-D abgelesen werden. Neuere Technologien wie Assistenzfunktionen und erweiterte Fahrzeugfunktionalitäten sowie die Entwicklung von Mehrwertfunktionen durch Integration bisher getrennter Funktionen führen dazu, dass eine zunehmende Anzahl softwareintensiver elektronischer Systeme als sicherheitsrelevant eingestuft wird und deshalb entsprechend dem Automotive-Sicherheitsstandard ISO 26262:2011 entwickelt werden muss.
Damit steigt einerseits die Zahl der sicherheitsrelevanten elektronischen Komponenten und Systeme, andererseits werden aber auch die Vernetzung, Interaktion und Komplexität sowie die Sicherheitsanforderungen untereinander immer komplexer. Zusätzlich zu den hohen Sicherheitsanforderungen der einzelnen Systeme wächst auch deren Komplexität bei der heute üblichen verteilten Durchführung der Entwicklungsprojekte. Die Einsatztauglichkeit derartig entwickelter Produkte erfordert einwandfrei funktionierende Hardware und Software in Bezug auf die zu erfüllenden Sicherheitsfunktionen. Neue Zukunfts-technologien, wie z.B. Hybridantriebe und E-Fahrzeuge, beinhalten beträchtliches Entwicklungspotenzial.
1.1.2 Fachausschuss für Kraftfahrzeuge
Der Fachausschuss für Kraftfahrzeuge (FAKRA) bildete Ende 2003 eine Arbeitsgruppe mit dem Ziel, den generischen Standard IEC 61508 für die Automotive-Industrie zu interpretieren, um die Spezialisierung auf die Serienproduktion in der Automobilbranche abbilden zu können.
Durch die daraus resultierenden Management- und technischen Aktivitäten im Bereich der funktionalen Sicherheit (FuSi) sollen elektronisch basierte Elemente so sicher entwickelt werden, wie es nach dem Stand der Technik möglich ist.
1.1.3 Stand der Technik
Dazu wurde der Stand der Technik bezüglich aller Aspekte, die für die Sicherheit von Bedeutung sind, in der ISO 26262:2011 beschrieben.
Die branchenweite Definition, Einführung und Etablierung dieses überarbeiteten Standards sind abgeschlossen und der Standard wurde in 2011 ratifiziert.
Wird ein Fahrzeug auf allen Ebenen – auch bei allen Zulieferern – gemäß ISO 26262:2011 entwickelt und hergestellt, kann der Automobilhersteller den notwendigen Nachweis liefern, den Erfordernissen bei der Herstellung sicherheitskritischer, elektronischer Einrichtungen entsprochen zu haben. Einige sicherheitsrelevante Funktionen wie z.B. die vollständig elektronisch betätigte Parkbremse, die elektronische Lenksäulenverriegelung, veränderbare Dämpfercharakteristiken bei Fahrzeugen mit Luftfederung, das neue Aktiv-Lenksystem von BMW oder das Dynamic Steering von AUDI, das durch gezieltes Gegenlenken zur Fahrstabilität beiträgt, wurden bereits in Anlehnung an die IEC 61508 bzw. den Normenentwurf der ISO/DIS 26262:2009 entwickelt sowie einem unabhängigen Assessment unterzogen. Diese Entwicklungen erfüllen die höchsten Sicherheitsanforderungen gemäß dem Stand der Technik.
1.1.4 ISO 26262:2011 – eine anwendbare Norm
Die steigende Zahl von Rückruf- und Serviceaktionen in den letzten Jahren bekräftigen die Entscheidung für die Anwendung dieses aktuellen Sicherheitsstandards für funktionale Sicherheit von Straßenfahrzeugen < 3,5 t und die darin geforderte Einführung eines funktionalen Sicherheitsmanagements (FSM) bei allen beteiligten Firmen vor Projektstart.
Eine im Jahr 2010 veröffentlichte Statistik des Kraftfahrt-Bundesamtes (KBA) bezifferte mit 185 Rückrufaktionen einen Rekord. Im Jahr 2000 mussten die Hersteller im Vergleich nur 72-mal Fahrzeuge zurückrufen. Wie das Beispiel einer Gaspedal-Rückrufaktion eines asiatischen OEM zeigt, kann das Vertrauen des Konsumenten in eine Fahrzeugmarke im Extremfall zu Absatzeinbußen und zum Imageschaden führen.
Seit der Veröffentlichung der ISO 26262:2011 steht der Automobilbranche eine anwendbare Norm zur funktionalen Sicherheit zur Verfügung, die unter Beteiligung der Automobilindustrie entstand und deren speziellen Belange berücksichtigt. Es gibt derzeit keine Richtlinie und kein Gesetz, das OEMs, Supplier oder Second Tiers zur Anwendung der ISO 26262:2011 verpflichtet. Allerdings definiert eine Norm wie diese immer den Mindeststand der Technik, d.h., im Falle einer Produkthaftung muss nachgewiesen werden, dass der Stand der Technik erreicht wurde. Ohne Anwendung der ISO 26262:2011 wird es im Produkthaftungsfall für die beteiligten Firmen schwierig werden, den Nachweis zu führen, dass der Stand der Technik bzw. Stand der Wissenschaft und Technik eingehalten wurde. Selbst bei deren Umsetzung ist man bei einem Produkthaftungsfall nicht auf der sicheren Seite, weil eben nur dieser Mindeststand der Technik durch eine Norm wie die ISO 26262:2011 repräsentiert wird.
Der OEM (in unserem Beispiel die Fa. Drivesmart AG) und der Supplier (in unserem Beispiel die Fa. safehicle GmbH) haben also nach wie vor die Verpflichtung, sich nach der Weiterentwicklung des Stands von Wissenschaft und Technik zu erkundigen und sich danach zu richten.
1.1.5 Beweislastumkehr
Werden die Anforderungen einer Norm wie der ISO 26262:2011 bei einer gemeinsamen Entwicklung des elektronischen Lenksystems nicht erfüllt und es kommt in einem Produkthaftungsfall zu dem Vorwurf, der Schaden sei entstanden, weil das Produkt nicht dem Stand von Wissenschaft und Technik entsprochen habe, so ist man gezwungen, das Gegenteil zu beweisen – Beweislastumkehr. Dies kann sich beliebig schwierig bis unmöglich gestalten.
1.2 Stufenweise zum ASIL-konformen Produkt
Die ISO 26262:2011 stellt erhebliche Anforderungen an die Verantwortlichkeiten, Entwicklungsprozesse, Dokumentation und Techniken bei der Entwicklung sicherheitsrelevanter Systeme.
Um professionelle Lösungen im...
