Automotive Software

Update zur ISO 26262 – Funktionale Sicherheit für Straßenfahrzeuge

| Autor / Redakteur: *Stefan Kriso / Martina Hafner

Anwendung der ISO 26262 auf Halbleiter

Nachdem es nach Veröffentlichung der aktuellen Ausgabe der ISO 26262 [1] immer wieder Unklarheiten bezüglich ihrer Anwendung auf Halbleiter gab, hat sich in den vergangenen Jahren eine Arbeitsgruppe mit dieser Fragestellung beschäftigt und eine zweibändige Norm dazu erarbeitet [5]:

  • ISO/PAS 19451 Band 1 („Application of concepts“) beschäftigt sich mit Fragestellungen zu „Analogue/mixed signal components“, „Intellectual property“, „Multi-core components“, „Programmable logic devices (PLD)“, „Base failure rate estimation“ und mit „DFA for semiconductors“
  • ISO/PAS 19451 Band 2 („Application of hardware qualification“) konkretisiert bzw. erläutert Kap. 13 aus Band 8 der ISO 26262 („Qualification of hardware components“). Insbesondere wird die Hardware-Qualifikation explizit in den Gesamtkontext der ISO 26262-konformen Entwicklung eingeordnet als alternativen Pfad zur Entwicklung nach Band 5.

Diese beiden informativen Guidelines werden in die zukünftige ISO 26262 in Band 8 bzw. als zusätzlicher Band 11 eingearbeitet und nach Veröffentlichung der 2nd Edition [3] wieder zurückgezogen.

Objective-orientierte Functional Safety Audits / Assessments

In der aktuellen ISO 26262 [1] wird bei FS-Audits / -Assessments die Konformität mit der ISO 26262 anhand der Umsetzung der Anforderungen („requirements“) überprüft, siehe zum Beispiel bzgl. FS-Assessments in Band 2, Kap. C.4.1: „Evaluation of the compliance of the work products required by the safety plan with the corresponding requirements of ISO 26262 […]“.

In der 2nd Edition der ISO 26262 wird die mögliche Orientierung an der Erreichung der Ziele („objectives“) expliziter herausgestellt [2], Band 2, Annex G:

„Compliance with the requirements of ISO 26262 can provide the functional assessor with sufficient confidence in the achievement of functional safety. However, in the case of non-compliances with ISO 26262 requirements, rationales can be provided that show the objectives, of these requirements, are achieved […]. If the rationale convinces the safety assessor, the objective can be judged as being achieved […].

If all the applicable ISO 26262 objectives are achieved, functional safety can be judged as being achieved […].“

Es geht also primär darum, den Functional Safety Assessor davon zu überzeugen, dass die Funktionale Sicherheit erreicht wurde. Dies kann auf Basis der Konformität mit den Anforderungen, kann aber auch auf Grund der Erreichung der zu Grunde liegenden Ziele erfolgen.

Der Zusammenhang zwischen Functional Safety Assessment, Functional Safety Audit und den übrigen Confirmation reviews ist in Bild 8 dargestellt.

Schnittstellen zu weiteren Disziplinen

Ein in letzter Zeit viel diskutiertes Thema ist die Automotive Security und ihr Zusammenspiel mit der Functional Safety, insbesondere da Manipulationen – sei es bewusst oder unbewusst – zu safety-kritischen Auswirkungen führen können [7]. Die Frage, die sich daher beim Start der Überarbeitung der ISO 26262 gestellt hat, war, ob neben den systematischen Fehlern und zufälligen Hardware-Fehlern auch das Feindbild der bewussten Manipulation in der ISO 26262 betrachtet werden sollte oder nicht.

Für die Betrachtung der Automotive Security wurde im Januar 2016 bei der SAE eine Guideline hierzu veröffentlicht [8], welche sich unter anderem explizit mit dem Zusammenspiel von Safety und Security beschäftigt. Darüber hinaus wurde im ISO Normungsgremium kürzlich ein Vorhaben zur Erarbeitung einer Automotive Security Norm gestartet.

Auf Grund dieser Aktivitäten bestand keine Notwendigkeit, das Thema Automotive Security in der ISO 26262 nochmal zu vertiefen. Allerdings finden wir im Band 2 des aktuellen Normentwurfs [2] eine lose Kopplung zur Security:

„The organization shall institute and maintain effective communication channels between functional safety, cybersecurity and other disciplines that are related to functional safety, if applicable.“ [2], Band 2, Kap. 5.4.2.3

Im Wesentlichen geht es also darum, organisatorische Kommunikationskanäle zu benachbarten Disziplinen zu institutionalisieren. Speziell die Schnittstelle zur Security wird im informativen Anhang F („Guidance on potential interaction of functional safety with cybersecurity“) nochmal aufgegriffen, wobei sich die hier gegebenen Hinweise auf recht allgemeinem Niveau bewegen.

Safety of the Intended Functionality (SOTIF)

Während die ISO 26262 als Feindbilder der funktionalen Sicherheit die Fehlfunktionen eines Systems adressiert, wird die Spezifikation der sicheren Sollfunktion nicht betrachtet – dies ist die Basis der funktionalen Sicherheit [6].

Dennoch stellt sich die Frage, wie die Sollfunktion zu spezifizieren bzw. zu entwickeln ist, so dass sie als hinreichend sicher angesehen werden kann. Dies wird als „Safety of the Intended Functionality“ (SOTIF) bezeichnet.

Die Betrachtung dieser Fragestellung hat man bewusst bei der Überarbeitung der ISO 26262 aus dieser ausgespart. Einerseits ist wenig sinnvoll, den Umfang der ISO 26262 durch Berücksichtigung dieses Themas weiter zu vergrößern. Andererseits besitzt das Thema SOTIF noch nicht die inhaltliche Reife, als dass man sich durch den doch recht strikten Zeitplan der ISO 26262 Einschränkungen in der Erarbeitung des Themas auferlegen lassen wollte.

Stattdessen wurde innerhalb des ISO 26262 eine SOTIF Arbeitsgruppe gebildet, die eine eigenständige Norm (ISO/PAS) hierzu vorbereitet.

Zusammenfassun: ISO 26262 in vollem Gange

Die Überarbeitung der ISO 26262 ist in vollem Gange: Der „Draft International Standard“ [2] ist veröffentlicht und die Kommentierung läuft. Aus den konsolidierten Kommentaren entsteht nach heutigem Stand bis 03/2018 die finale Version der ISO 26262:2018 [3]. Diese wird deutlich umfangreicher werden als die aktuelle Version [1], in der viele Punkte offen bzw. unklar geblieben sind und die mit der jetzigen Überarbeitung verbessert bzw. geklärt werden. Damit wird ein weiterer Schritt nach vorne in Richtung Praktikabilität gemacht, ohne Abstriche an der Funktionalen Sicherheit an sich zu machen.

Sicherheit im Automobil – eine neue Sichtweise

ISO 262620

Sicherheit im Automobil – eine neue Sichtweise

17.05.13 - Sicherheit im Auto wird immer wichtiger – das gilt vor allem für die funktionale Sicherheit. Lesen Sie, was hinter ISO 26262 steckt und was Halbleiterhersteller zur funktionalen Sicherheit beitragen können. lesen

ISO 26262 in der IC-Entwicklung – Bürokratismus oder echte Hilfe?

Funktionale Sicherheit

ISO 26262 in der IC-Entwicklung – Bürokratismus oder echte Hilfe?

10.09.12 - Ist die Norm ISO 26262 in der Entwicklung von Automotive-ICs nur mit bürokratischem Aufwand verbunden oder bietet sie echte Hilfestellung bei der Entwicklung sicherer Komponenten? Hier erfahren Sie mehr. lesen

Wie die Automotive-Software-Branche Sicherheit schaffen will

Autonomes Fahren

Wie die Automotive-Software-Branche Sicherheit schaffen will

26.11.15 - Vernetzte Fahrzeuge und autonomes Fahren sind derzeit die großen Zukunftsthemen in der Automobilindustrie. Die entscheidende Basis für die verschiedenen Anwendungen im Auto ist die Steuerungssoftware, welche auch auf dem diesjährigen ESE-Kongress Thema sein wird (www.es-kongress.de). lesen

Literatur

[1] ISO 26262:2011 “Road vehicles – Functional safety”: aktuell gültige Version (1st Edition) der ISO 26262 (veröffentlicht am 15.11.2011)[2] ISO/DIS 26262:2016 “Road vehicles – Functional safety”: derzeit in Kommentierung/Abstimmung befindlicher Entwurf der 2nd Edition der ISO 26262 (“Draft International Standard”, veröffentlicht am 22.09.2016)[3] ISO 26262:2018 “Road vehicles – Functional safety”: 2nd Edition der ISO 26262 (Veröffentlichung geplant gegen 03/2018)[4] ISO/PAS 19695:2015 “Motorcyles – Functional safety” (“Publicly available specification”, veröffentlicht am 01.12.2015)[5] ISO/PAS 19451:2016 “Application of ISO 26262 to semiconductors” (“Publicly available specification”, veröffentlicht am 15.07.2016)[6] Stefan Kriso: “Die Grenzen der ISO 26262 - Professioneller Umgang mit Lücken in der Sicherheitsnorm.” ESE-Kongress 2014, Sindelfingen[7] Stefan Kriso: “Automotive Security im Kontext der Funktionssicherheit – Wie Safety und Security zusammenhängen”. ESE-Kongeress 2015, Sindelfingen[8] SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, SAE 2016

* Stefan Kriso leitet bei Bosch das „Center of Competence Functional Safety“.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44400282 / Automotive)