ISO 26262: Überblick zur Norm zur funktionalen Sicherheit von Straßenfahrzeugen

| Autor / Redakteur: Jürgen Sauler und Stefan Kriso* / Martina Hafner

Bild 1: Die Struktur des ISO/FDIS 26262 für funktionale Sicherheit
Bild 1: Die Struktur des ISO/FDIS 26262 für funktionale Sicherheit (Bild: ISO/FDIS 26262)

Die ISO 26262 ersetzt als Norm zur funktionalen Sicherheit von Straßenfahrzeugen die IEC 61508 für die Automobilindustrie. Aus Produkthaftungsgründen ist die ISO 26262 zwingend umzusetzen. Dieser Beitrag gibt einen groben Überblick über ihre Struktur und Inhalte und betrachtet ausgewählte Aspekte, die sich bei ihrer Anwendung ergeben.

Der Automobilbranche steht mit der ISO 26262 eine anwendbare Norm zur funktionalen Sicherheit zur Verfügung, die im Gegensatz zur IEC 61508 unter Beteiligung der Automobilindustrie entstanden ist und somit deren speziellen Belange berücksichtigt. Dies sind beispielsweise:

  • der für die Automobilbranche typische Lebenszyklus, insbesondere die durchgängige Verifikation bzw. Validation,
  • die Schnittstellen bzw. die Zuweisung der Sicherheitsverantwortung bei verteilter Entwicklung teilweise über mehrere Zuliefererebenen hinweg,
  • der Einsatz konfigurierbarer Software, deren Verhalten möglicherweise erst nach Serienstart durch Kalibrierdaten bestimmt wird, und
  • statt des oft nicht vorhandenen Konzepts des „Equipment under control (EUC)“ die intrinsische Eigensicherheit automobiler Systemen.

Rechtliche Einordnung der ISO 26262

Aus der vorherrschenden Gesetzeslandschaft ergibt sich für den Hersteller von Verbraucherprodukten (hier Straßenfahrzeuge) eine Verkehrssicherungspflicht, nach der Produkte nur dann in Verkehr gebracht werden dürfen, wenn sie die Sicherheitserwartungen erfüllen, die der Verbraucher nach dem Stand von Wissenschaft und Technik zum Zeitpunkt des In-Verkehr-Bringens berechtigerweise erwarten darf. Eine Norm trägt zu ihrem Veröffentlichungszeitpunkt zum vorhandenen Stand von Wissenschaft und Technik bei.

Da dieser üblicherweise schneller voranschreitet als sich die entsprechende Norm weiterentwickelt, genügt es zur Erreichung des Stands von Wissenschaft und der Technik nicht, lediglich die Norm umzusetzen – Normerfüllung ist notwendig, aber nicht hinreichend zur Erreichung des Stands von Wissenschaft und Technik. Erfüllt man Anforderungen einer Norm jedoch nicht und es kommt in einem Produkthaftungsfall zu dem Vorwurf, der Schaden sei entstanden, weil das Produkt nicht dem Stand von Wissenschaft und Technik entsprochen habe, so wird man möglicherweise gezwungen sein, das Gegenteil zu beweisen (Beweislastumkehr). Bei Nichterfüllung der Norm kann sich dies als beliebig schwierig bis unmöglich gestalten.

Um dieses unberechenbare Produkthaftungsrisiko zu reduzieren, ist die Umsetzung insbesondere von Sicherheitsnormen wie der ISO 26262 zwingend notwendig. Hierbei reicht es nicht aus, zum Zeitpunkt der Norm-Veröffentlichung mit ihrer Umsetzung zu beginnen, vielmehr müssen alle Produkte ab Veröffentlichungszeitpunkt der Norm bereits nach den darin geforderten Entwicklungsprozessen entwickelt worden sein und die geforderten Produkteigenschaften besitzen. In diesem Sinne kann die Phase zwischen Veröffentlichung des ISO/DIS 26262 im Juli 2009 und der endgültigen Norm Mitte 2011 als Einführungsphase gesehen werden, d.h. spätestens jetzt, mit Veröffentlichung des ISO/FDIS 26262 sollte mit der flächendeckenden Einführung der Norm in den Unternehmen begonnen werden.

Geltungsbereich der ISO 26262

Der ISO/FDIS 26262 adressiert Personenkraftwagen bis 3500 kg zulässiges Gesamtgewicht. Durch den in der Automobilindustrie üblichen Plattformgedanken kommen Systeme nicht nur in diesen, sondern auch in anderen Fahrzeugklassen zum Einsatz – z.B. unterscheiden sich Fensterheber für PKW nur unwesentlich bis gar nicht von Fensterhebern für Nutzfahrzeuge.

Da die ISO 26262 Nutzfahrzeuge jedoch nicht explizit adressiert, ist hier zunächst die IEC 61508 die formaljuristisch gültige Norm – ebenso für Busse, Motorräder etc. Fahrzeugklassenübergreifende Systeme sind also potenziell nach mehreren Sicherheitsstandards zu entwickeln.

Die ISO 26262 verbietet jedoch an keiner Stelle, den Geltungsbereich auf weitere Fahrzeugklassen zu erweitern. Die ISO 26262 stellt als branchenspezifische Ableitung der IEC 61508 eine sehr gute Interpretation dieser Norm für alle Klassen von Straßenfahrzeugen dar. Somit ist eine grundsätzliche Anwendung der ISO 26262 auf Straßenfahrzeuge möglich und sinnvoll, wobei durch geeignete begleitende Maßnahmen sichergestellt werden muss, dass der vorhandene Stand von Wissenschaft und Technik erreicht wird.

Bild 2: Sicherheitslebenszyklus in der ISO 26262
Bild 2: Sicherheitslebenszyklus in der ISO 26262 (Bild: ISO/FDIS 26262-2)

Inhalt und Struktur der ISO 26262

Aufgrund des Umfanges des ISO/FDIS 26262 kann hier nur ein kurzer Überblick über die 10 Bände der Norm (siehe Bild 1) gegeben werden. Beispielhaft wird Band 6, der die Anforderungen an die Softwareentwicklung enthält, etwas detaillierter vorgestellt.

Die Bände 2 bis 9 umfassen Anforderungen sowohl an den Entwicklungsprozess als auch an das Produkt. Die verwendeten Begriffe werden im Band 1 definiert, Band 10 stellt einen informativen Leitfaden dar.

Band 2 beschreibt die Anforderungen an das Management der funktionalen Sicherheit. Dies umfasst neben Anforderungen an die Organisation das Projektmanagement über den gesamten Produktlebenszyklus hinweg sowie die Absicherungsmaßnahmen (Functional Safety Audit und Assessment) zum Nachweis der Normkonformität.

Die Bände 3 bis 7 beschreiben den eigentlichen Produktlebenszyklus. Die Produktentwicklung ist durch den Sicherheitslebenszyklus in Phasen strukturiert (siehe Bild 2), beginnend mit der Konzeptphase über die Produktentwicklung auf System-, Hardware- und Softwareebene bis hin zu Produktion, Betrieb und Außerbetriebnahme.

Die einzelnen Entwicklungsphasen sind grundsätzlich in drei Abschnitte geteilt: Planung der Aktivitäten, deren Durchführung und abschließend die Verifikation bzw. Validation der dabei entstandenen Arbeitsprodukte. Band 3 beschreibt die Konzeptphase, welche mit der Definition des so genannten Items (System) beginnt. In der anschließenden Gefährdungs- und Risikoanalyse des Items werden Sicherheitsziele abgeleitet, denen jeweils ein ASIL (Automotive Safety Integrity Level) zugeordnet ist.

Abgeschlossen wird die Konzeptphase mit der Erstellung des Funktionalen Sicherheitskonzepts (FSK). In der Systementwicklung (Band 4) wird dieses dann zum Technischen Sicherheitskonzept (TSK) verfeinert. Vereinfacht kann man sagen, dass das FSK eine Sicht von Außen auf das System und das TSK eine Innensicht des Systems darstellt. Aus dem Technischen Sicherheitskonzept leiten sich die Anforderungen an die Hard- bzw. Software ab, deren Entwicklung in den Bänden 5 (Hardware) und 6 (Software) beschrieben wird.

Die Phasen von der Systemintegration bis zur Produktfreigabe sind dann wieder in Band 4 beschrieben. Band 7 enthält Anforderungen an Produktion, Betrieb, Service und Außerbetriebnahme. In Band 8 werden neben unterstützenden Prozessen wie Konfigurations- oder Anforderungsmanagement auch neue Methoden wie die Qualifizierung von Tools, Software- oder Hardware-Komponenten sowie eine Möglichkeit zum Nachweis der Betriebsbewährtheit (Proven in use) beschrieben.

In Band 9 finden sich spezielle sicherheitsorientierte Methoden wie die ASIL-Dekomposition (Automotive Safety Integrity Level), Kriterien zur Koexistenz von Elementen unterschiedlicher ASIL-Einstufungen in einem System sowie Anforderungen an Sicherheitsanalysen.

Band 10 beinhaltet neben verschiedenen Erklärungen zu Begriffen und Konzepten auch Beispiele. U.a. wird das Konzept des „Safety Element out of Context (SEooC)“ ausführlich beschrieben.

Bild 3: V-Modell Softwareentwicklung nach ISO/FDIS 26262 Band 6 „Product development: software level“ als V-Modell
Bild 3: V-Modell Softwareentwicklung nach ISO/FDIS 26262 Band 6 „Product development: software level“ als V-Modell (Bild: ISO/FDIS 26262-6)

In Bild 3 ist die Softwareentwicklung nach ISO/FDIS 26262 Band 6 „Product development: software level“ als V-Modell dargestellt.

Eine Phase der Softwareentwicklung im Automobilbau, nämlich die Applikation (Kalibrierung), ist in diesem Referenzphasenmodell nicht mit aufgeführt. Anforderungen an die Applikation finden sich im normativen Anhang zum Umgang mit konfigurierbarer Software. Dort sind die Möglichkeiten der Anwendung eines verkürzten Sicherheitslebenszyklus für verschiedene Softwarekonfigurationen aufgezeigt.

Zu den größten Herausforderungen einer effizienten Softwareentwicklung nach ISO 26262 gehört der im Kapitel 7: SW architectural design beschriebene Nachweis der Rückwirkungsfreiheit (Freedom of interference). Dieser Nachweis ist notwendig, wenn Softwarekomponenten mit unterschiedlich zugeordneten ASIL (inkl. QM für nicht sicherheitsrelevante SW-Komponenten) in einem Steuergerät umgesetzt werden sollen. Ohne diesen Nachweis muss die gesamte Software nach dem höchsten zugeordneten ASIL entwickelt werden.

Eine Möglichkeit zur Darstellung der Rückwirkungsfreiheit ist die Verwendung von Software Partitionen. Hierbei muss grundsätzlich gezeigt werden, dass sich die Software in den verschiedenen Partitionen nicht über gemeinsam genutzte Ressourcen (Speicher, Laufzeit, I/O) negativ beeinflussen kann.

An den Softwaretest auf den verschiedenen Ebenen werden Anforderungen an die Testmethoden, Verfahren zur Ermittlung von Testfällen, zur Ermittlung der strukturellen Abdeckung dieser Testfälle sowie zur Testumgebung gestellt.

Methodik der ASIL-Einstufung in der ISO 26262

Ziel einer Norm wie der ISO 26262 ist es, Anforderungen vorzugeben, ohne den Lösungsraum allzu sehr einzuschränken, da weder Innovation noch Wettbewerbsdifferenzierung behindert werden sollen. Durch die daraus resultierende Abstraktion der Anforderungen ergeben sich Interpretationsspielräume, die jedoch ungewollt zu Wettbewerbsverzerrungen führen können. Als Beispiel sei hier die Methodik der ASIL-Einstufung genannt:

Der „Automotive Safety Integrity Level (ASIL)“ ist ein Maß für die Sicherheitsrelevanz einer Fehlfunktion (z.B. ungewollte Momentenerhöhung bei der Motorsteuerung) und ergibt sich aus drei Parametern:

  • Exposure (E): Wie häufig sind Situationen, in denen die Fehlfunktion relevant ist?
  • Controllability (C): Wenn die Fehlfunktion in der angenommenen Situation auftritt, wie gut kann sie dann beherrscht werden?
  • Severity (S): Wenn die Fehlfunktion in der angenommenen Situation auftritt und nicht beherrscht werden kann, wie groß ist dann die Schwere der Auswirkung?

Aus den drei Parametern E, C und S ergibt sich der ASIL auf einer Skala A bis D (bzw. QM für nicht sicherheitsrelevante Systeme), wobei A die niedrigste und D die höchste Einstufung darstellt. Die Anforderungen der ISO 26262 sind dann in Abhängigkeit des ermittelten ASIL umzusetzen.

Während in der IEC 61508 die Methodik zur Bestimmung des „Safety Integrity Levels“ (SIL) noch rein informativ beschrieben war, ist in der ISO 26262 die Methodik zur Bestimmung des ASIL nun normativ wie oben grob umrissen vorgegeben. Allerdings gibt die ISO 26262 nur wenig Hinweise, wie die drei Parameter E, C und S konkret festzulegen sind. Beispielsweise wird jemand aus Norddeutschland die Exposure E der Fahrsituation „Anfahren am Berg“ anders einstufen als jemand aus der Alpenregion.

Bei der Controllability C und der Severity S spielt zudem die konkrete Fahrzeugkonfiguration eine Rolle, was durch die Methodik der ISO 26262 nur implizit berücksichtigt wird. Herausforderung bei der ASIL-Einstufung ist also, eine Methodik zu finden, nach der sich ein in sich ein möglichst konsistentes „ASIL-Gefüge“ ergibt. Ansonsten besteht die Gefahr, dass sich zukünftige Fehlfunktionen neuer Systeme nur schwer vernünftig einstufen lassen.

Zusammenfassung: ISO 26262

Mit der ISO 26262 steht der Automobilindustrie erstmals eine anwendbare Norm zur funktionalen Sicherheit von Straßenfahrzeugen zur Verfügung. Die ISO 26262 trägt ab Veröffentlichungszeitpunkt zum Stand von Wissenschaft und Technik bezüglich der funktionalen Sicherheit von Straßenfahrzeugen bei, wobei eine Anwendung auf andere Fahrzeugklassen als PKW bis 3500 kg möglich und sinnvoll ist.

In der Gefährdungsanalyse und Risikobewertung wird der Automotive Safety Integrity Level (ASIL) nach einer fest vorgegebenen Methodik bestimmt, wobei die Eingangsparameter Exposure E, Controllability C und Severity S einen zum Teil recht großen Interpretationsspielraum lassen. Dies macht es zwar schwierig, zu einem konsistenten „ASIL-Gefüge“ der möglichen Fehlfunktionen zu kommen, die Schaffung eines diesbezüglichen branchen- und weltweiten Verständnisses ist jedoch notwendig zur Vermeidung von Wettbewerbsverzerrungen. Dieses einheitliche Branchenverständnis ist letztendlich nur durch intensive weltweite Diskussionen unter Beteiligung aller OEM und Zulieferer erreichbar.

* Jürgen Sauler ist Leiter Systementwicklung und Funktionale Sicherheit bei ZF Lenksysteme GmbH.

* Stefan Kriso ist Leiter Bosch Center of Competence "Functional Safety" und Mitglied in divesen Arbeitskreisen und Standardisierungsgremien zur ISO 26262.

Kommentar zu diesem Artikel abgeben
Sehr ausführlich beschrieben, danke  lesen
posted am 10.10.2019 um 10:51 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45494772 / Safety & Security)