Skip to main content

Die Einhaltung von ISO 26262 ist kein kostspieliger Aufwand

ISO 26262

Durch die Verwendung von ISO 26262 als vereinbartes Regelwerk können Ingenieure und Vertrieb besser miteinander klarkommen und Kunden erhalten sicherere Autos.

„Schiess den Ingenieur ab und versende das Produkt“, ist eine flapsige Maxime, die schon länger im Umlauf ist. Ingenieure und Entwickler möchten ihren Job gerne richtig hinbekommen, zurücktreten und stolz auf ihre schöne Arbeit blicken. CEOs, Marketing und Vertrieb wollen, dass das Produkt pünktlich und unterhalb des Budgets ausgeliefert wird.

Das ist in Ordnung, wenn es sich um eine kleine Drohne handelt. Wer macht aber das Rennen, wenn es um die Fahrzeugsicherheit geht?

Anders als es zu vermuten wäre, hält vielleicht die labyrinthartige Norm ISO 26262 für Funktionssicherheit bereits eine schnelle Lösung für dieses scheinbar ewige Tauziehen bereit. Allerdings müssen beide Seiten die Bedeutung der Norm erkennen und zusammenarbeiten, um die Kosten für ihre Einhaltung zu minimieren.

ISO 26262 wurde 2011 von der International Standards Organization als internationale Norm für die Funktionssicherheit elektrischer Serienwagen und/oder elektronischer Systeme in Serienfahrzeugen definiert. Es handelt sich um eine Anpassung der Norm zur Funktionalen Sicherheit IEC 61508. Sie kam gerade rechtzeitig zur schnellen Einführung von Elektronik und Software für automobile Fahrerassistenzsysteme (ADAS) sowie zum zunehmenden Fokus auf autonome Fahrzeuge (Abbildung 1).

Fahrzeugelektronik

 
Abbildung 1: ISO 26262 stellte sich gerade rechtzeitig ein, um klare Anforderungen an die Funktionssicherheit von Autos zu definieren, die zunehmend auf elektronische Hard- und Software angewiesen sind. (Quelle der Abbildung: Clemson University Vehicular Electronics Laboratory)

Es handelt sich um eine risikobasierte Sicherheitsnorm, deren Ziel es ist, Risiken zu bewerten und Massnahmen zur Minderung ihrer Auswirkungen zu definieren, um katastrophale Ausfälle zu vermeiden oder zu kontrollieren. Bei so viel Komplexität und 100 Millionen von Codezeilen besteht in der Tat eine gute Chance, dass etwas schief geht. Selbst wenn dieser Ausfall in einem kritischen Subsystem auftritt, ist es jedoch ziemlich wahrscheinlich, dass Fahrer und Insassen in einem Fahrzeug durch die Einhaltung der Anforderungen und Richtlinien von ISO 26262 unversehrt davonkommen.

Sicherheit im gesamten Lebenszyklus
ISO 26262 hat einen weiten Anwendungsbereich, von der Produktkonzeption, Design, Entwicklung, Betrieb, Service bis hin zur Ausserbetriebnahme am Ende der Lebensdauer. Das ist wichtig, denn ein Aussetzer an jedem Punkt auf diesem Weg könnte das Vorhergehende und Nachfolgende untergraben.

Spezifisch für Automobilsysteme und im Hinblick auf die Sicherheit von Passagieren und Fahrern hat die Norm vier Automotive Safety Integrity Levels (ASILs), A, B, C und D. Die ASIL‑Stufen werden bereits zu Beginn der Produktentwicklung bewertet. Es wird die grundlegende Frage gestellt, was mit den Insassen eines Fahrzeugs – und anderen Verkehrsteilnehmern – im Falle eines Ausfalls passieren wird. So erfordert beispielsweise ein Ausfall des Antiblockiersystems oder des elektronischen Motorsteuergeräts (ECU) mehr Aufmerksamkeit als der Ausfall eines USB‑Ladegeräts im Fahrgastraum.

Die Schätzung basiert auf einer Kombination aus der Wahrscheinlichkeit der Exposition, der möglichen Steuerbarkeit durch einen Fahrer und dem Schweregrad des möglichen Ergebnisses bei Auftreten eines kritischen Ereignisses. Die Antwort auf diese Frage bestimmt das ASIL‑Niveau, wobei D die sicherheitskritischsten Prozesse und die strengsten Prüfvorschriften aufweist. So kann beispielsweise ein Ausfall des Antiblockiersystems oder des elektronischen Motorsteuergeräts (ECU) dem Level ASIL‑D entsprechen, während ein USB‑Ladegerät im Fahrgastraum lediglich ein Problem der Stufe „A“ darstellen würde.

Kosten für die Einhaltung von ISO 26262 senken
ISO 26262 betrifft sowohl Hard- als auch Software. Beide müssen durch umfangreiche Tests qualifiziert werden. Bei der Hardware können viele Probleme durch den Einsatz von vorqualifizierten Modulen, wo dies möglich ist, gelöst oder umgangen werden. Es muss aber auch entsprechende Dokumentation vorhanden sein. Ein guter Lieferant kann Ihnen beim Durchlaufen des Qualifikationsprozesses Hilfestellung bieten.

Bei Software lautet das Schlüsselwort Standards: Verwenden Sie MISRA‑Codierrichtlinien. Die Gruppe hat sogar Richtlinien für Benutzer von Steuersystem‑Modellierungspaketen entwickelt, den sog. MISRA Autocode. Dabei stand MISRA‑C als Richtlinie für die direkte Entwicklung von Code Pate.

Es gibt noch ein weiteres Schlüsselwort. Es gilt zwar sowohl für Hard- als auch für Software, aber meist stellt es ein Problem bei der Software dar. Dieses Schlüsselwort lautet: Testen. Es kann nicht oft genug betont werden: Testen, testen und nochmals testen. Glücklicherweise erfordert die Norm eine Qualifikation der Testwerkzeuge. Verschiedene Tool‑Ketten sind bei verschiedenen Anbietern erhältlich (Abbildung 2). Stellen Sie einfach sicher, dass Sie das Tool Confidence Level (1 bis 4) basierend auf dem Ergebnis des frühzeitig im Designzyklus beginnenden Software Tool Qualification Plans (STQP) überprüfen.

Software‑Design

Abbildung 2: Software ist ein zunehmend wichtiges und komplexes Element des Systemdesigns und wird in Teil 6 der ISO 26262 in einem V‑förmigen Zyklus behandelt. Ansys bietet ein nützliches technisches Dokument für verwandte Anwendungen im Bereich von sicherheitsmodellbasierten Ansätzen. (Quelle der Abbildung: Ansys)

Die Testphase ist anstrengend, aber sie lohnt sich, weil sie bei weitem die Kosten für den Zeitaufwand, um alles richtig zu machen, ausgleicht. Ein im Feldbetrieb gefundener Fehler kann zehnmal teurer kommen als ein Fehler, der bereits in der Entwicklungsphase entdeckt und behoben wird. Test- und Messunternehmen sowie Anbieter von Embedded Tools bieten jedoch viele Ressourcen, um ein Compliance‑Programm zu modellieren und durchzuführen.

Es mag scheinen, dass hier zahlreiche, zusätzliche Schritte durchlaufen werden müssen. Man könnte denken, dass der unmittelbare Nutzen von ISO 26262 und ihrer Qualifikationsprozesse nur für zusätzliche Arbeit, Zeit und Ausgaben sorgt. Wir versichern Ihnen, jedoch, dass es das alles Wert ist. Ein absolut katastrophales Ereignis im Feldbetrieb kann eine Marke viele Jahre lang beeinträchtigen, ja sogar beschädigen, insbesondere wenn es zum Verlust von Menschenleben geführt hat.

In diesem Punkt sind sich Ingenieure, Vertrieb und Marketing einig. ISO 26262 bietet daher eine Reihe von gemeinsamen Regeln, die auch alle mit weniger Subjektivität und mehr Vertrauen in die Qualität des Endprodukts einhalten können. In Fällen, in denen die Ingenieure immer noch unter Druck gesetzt werden, Produkte auszuliefern, kommt es oft darauf an, mutig den „Neinsager“ zu spielen, den Kunden, Ihrem Unternehmen und Ihrem Entwicklungsteam zuliebe.

Noch ein kleiner Hinweis zum Thema Sicherheit versus Schutz: Ein System kann sicher sein, ohne zu schützen, aber ein System ist nicht sicher, wenn es nicht auch geschützt ist.