Suchen

Funktionale Sicherheit Einblicke in die Zertifizierung eines AUTOSAR-Betriebssystems nach ISO 26262

| Redakteur: Dipl.-Ing. (FH) Thomas Kuther

Das AUTOSAR-Betriebssystem EB tresos Safety OS von Elektrobit wurde von exida gemäß ASIL D und SIL 3 zertifiziert. Experten der beiden Unternehmen stehen Rede und Antwort zum Zertifizierungsprozess.

Firmen zum Thema

Funktionale Sicherheit: Gemäß ASIL D der Norm ISO 26262 zertifizierte Komponenten eignen sich für den Einsatz in sicherheitsrelevanten Anwendungen wie elektrische Servolenkungen
Funktionale Sicherheit: Gemäß ASIL D der Norm ISO 26262 zertifizierte Komponenten eignen sich für den Einsatz in sicherheitsrelevanten Anwendungen wie elektrische Servolenkungen
(Bild: Elektrobit)

Als einer der ersten Automobil-Zulieferer bietet Elektrobit (EB) ein gemäß ASIL D zertifiziertes AUTOSAR-Betriebssystem an. Dabei handelt es sich zudem um das einzige auf dem Markt, das gleichzeitig für das Safety Integrity Level 3 (SIL 3) für Anwendungen außerhalb des Automobilbereichs zertifiziert ist. ASIL D und SIL 3 gehören zu den höchsten Sicherheitsstandards für funktionale Sicherheit gemäß den Normen ISO 26262 und IEC 61508 für elektrische und elektronische Komponenten.

Rainer Faller, Principal Partner bei exida
Rainer Faller, Principal Partner bei exida
(Bild: exida)

Die Zertifizierung für funktionale Sicherheit führte die unabhängige Prüfstelle exida Certification SA durch. Damit ist bestätigt, dass das EB tresos Safety-Betriebssystem für den Einsatz in Anwendungen des Automotive Safety Integrity Levels D (ASIL D) geeignet ist, zum Beispiel für elektrische Servolenkungen. Rainer Faller, Principal Partner bei exida, und Robert Leibinger, Produktmanager Software & Tools bei EB geben Einblicke in den Zertifizierungsprozess.

ELEKTRONIKPRAXIS: Warum sollten Zulieferer ihre Produkte zertifizieren lassen?

Rainer Faller: Funktionale Sicherheit ist ein zentrales, anspruchsvolles Thema und dementsprechend komplex sind die Produkte. Daher schreiben alle Sicherheitsstandards für höhere Sicherheitsniveaus vor, dass die Entwicklung der Produkte und die dabei angewandten und dokumentierten Sicherheitsmaßnahmen einer unabhängigen Beurteilung (Assessment) unterzogen werden muss. Exida Assessments decken darüber hinaus die technischen Sicherheitseigenschaften des Produktes ab. Zertifikate sind dabei eine freiwillige Bestätigung der erfolgreichen Assessments.

Die Basisnormen zur funktionalen Sicherheit, wie ISO 26262, sind bewusst sehr allgemein verfasst und bedürfen der Interpretation für die jeweiligen Produktkategorien. Die Umsetzung der Anforderungen wird durch eine Vielzahl von Dokumenten belegt. Assessments bedürfen neben dem großen Zeitaufwand auch eines hohen Kenntnisstands über die Produkte und Normen.

Sie liefern dem Anwender des Produkts einen unabhängigen Beleg über die erreichte Sicherheit. Deshalb ist es sinnvoll, die funktionale Sicherheit einmal beurteilen zu lassen, statt dies von jedem Anwender neu durchführen zu lassen. Die Anwendbarkeit der Assessment-Ergebnisse muss vom Anwender natürlich für jeden Anwendungsfall beurteilt werden.

Was sollten Unternehmen wie Elektrobit bei einem Safety-Zertifikat beachten? Gibt es Unterschiede und woran erkennt man diese?

Rainer Faller: Der genaue Umfang des Assessment und die Betrachtungstiefe sind wichtige Informationen für den Anwender. ISO 26262 beispielsweise erlaubt auch Assessments von Teilen der Entwicklung: Ein Assessment der Entwicklungsprozesse und Maßnahmen gegen die zutreffenden Normenanforderungen ist möglich, ohne die technischen Sicherheitseigenschaften des konkreten Produktes zu beurteilen.

Auch sind Assessment-Aussagen immer mit bestimmten Annahmen verbunden, die der Anwender natürlich kennen muss. Assessment-Berichte enthalten diese wichtigen Informationen, die allein aus dem Zertifikat nicht ersichtlich sind. Zertifikate ohne aussagekräftige Berichte sind daher nicht normenkonform und für die Anwender nicht belastbar.

EB entwickelt Software für Infotainment und ECU. Warum wurde gerade das Safety-Betriebssystem als erstes Produkt zertifiziert?

Robert Leibinger: „Im Vergleich zu den meisten Infotainment-Geräten müssen Funktionen wie Bremsen oder Airbags deutlich höhere Sicherheitsstandards erfüllen, um eine Gefährdung für den Straßenverkehr auszuschließen.“
Robert Leibinger: „Im Vergleich zu den meisten Infotainment-Geräten müssen Funktionen wie Bremsen oder Airbags deutlich höhere Sicherheitsstandards erfüllen, um eine Gefährdung für den Straßenverkehr auszuschließen.“
(Bild: Elektrobit)

Robert Leibinger: Im Vergleich zu den meisten Infotainment-Geräten müssen Funktionen wie Bremsen oder Airbags deutlich höhere Sicherheitsstandards erfüllen, um eine Gefährdung für den Straßenverkehr auszuschließen. Daher müssen die entsprechenden Steuergeräte, die Aufgaben bis zum höchsten „Automotive Safety Integrity Level“ (ASIL) D erfüllen, nachweislich sicher sein. Das Betriebssystem stellt innerhalb einer Sicherheitsarchitektur die zentrale Komponente dar und ist die Basis für alle anderen in der Software implementierten Sicherheitsmechanismen. Deshalb muss auch bei einer Zertifizierung hier als allererstes angesetzt werden.

Die Einflussmöglichkeiten, die die Basiskomponente Betriebssystem auf das gesamte Steuergerät nehmen kann, ist nicht zu unterschätzen. Aufgabe des Betriebssystems ist ja nicht nur, die Speicherpartitionierung vorzunehmen, sondern den kompletten Programmablauf inklusive der Sicherheitsmechanismen zu steuern. Aus diesem Grund haben wir bei EB schon vor über zwei Jahren entschieden, einen neuen, rein auf Sicherheit optimierten Kernel zu entwickeln.

Es wurden keine Ergänzungen in ein bestehendes System eingebaut, sondern es von Grund auf neu konzipiert. Von den Requirements über Design und Implementierung bis zu den Tests wurde alles auf funktionale Sicherheit ausgerichtet. Das Ziel war von Beginn an, ein verlässliches Safety-Betriebssystem zu entwickeln, das sich nahtlos in AUTOSAR integrieren lässt.

Die Zertifizierung eines Produktes kann sich sehr unterschiedlich gestalten. Wie geht exida an eine solche Aufgabe heran?

Rainer Faller: Unsere Assessments beurteilen sowohl die Entwicklungsabläufe als auch die technischen Sicherheitseigenschaften des Produktes. Das Assessment erfolgt in mehreren Schritten. Nach einer genauen Abstimmung des Umfangs des Assessments erfolgt eine Beurteilung der Umsetzung der Sicherheitsanforderungen anhand der Dokumentation - unbeeinflusst von den Managern, Entwicklern und Testern des Produktes. Aufkommende Fragen werden in Meetings geklärt, und die praktische Umsetzung der vom Hersteller definierten Prozesse und Prozeduren werden in einem Audit beim Hersteller hinterfragt.

Das Assessment berücksichtigt alle zutreffenden ISO 26262-Zielsetzungen („Objectives“) und Arbeitsergebnisse. Startpunkt der Beurteilung ist der vom Hersteller vorgelegte Safety Case und die darin referenzierten Entwicklungsdokumente. Da die Zielsetzungen sehr allgemein gehalten sind, wählt der Assessor weitere wichtige Normenanforderungen aus.

Bei exida wird dies durch ein Safety-Case-Datenbank-Tool unterstützt, das auch abgestimmte Interpretationen enthält. Bei der Auswahl von Anforderungen aus der technischen Anforderungsspezifikation des Produktes wird insbesondere auf die für den Anwender wichtigen Sicherheitsfeatures und Fehleraufdeckungsmaßnahmen und Fehlerreaktionen geachtet. Diese sind im Assessment-Bericht beschrieben.

Artikelfiles und Artikellinks

(ID:39452820)