1

Funktionale Sicherheit:Wie macht man das?Andreas Stucki, Solcept AG

2

Ach ja, und der Kunde verlangt noch SIL 3...Was in den Normen steht...

• klare Unklarheit

3

Was kommt in den nächsten 30 Minuten auf Sie zu?Was, wieso, was heisst das? Einführung/ Begriffe

Was tut der Ingenieur? Engineering

Was tut das Projektteam? Support/ Projektmanagement

Was tut die Firma? Prozessmanagement

Wie kommt man da hin?

Was möchten Sie noch wissen? Fragen

4

Um was geht es überhaupt?Scope dieses Vortragesembedded Software/ Hardware

Entwicklung

• d.h. ohne restlichen Lebenszyklus: Produktion..Entsorgung

Startpunkt

• „normale“ Entwicklung

• Achtung „QM“/ „DAL E“ ist bereits mehr!

5

Wer hat's erfunden?Etwas GeschichteDO-178 (1982, US, Airliner)

• Grundkonzepte, „Mutter aller Normen“

IEC 61508 (1998, D, Chemie)

• Schirmnorm: viele „abgeleitete“ Normen für Branchen(same but different...)

6

Was heisst denn...?BegriffeFunktionale Sicherheit

• Sicherheit, die von der Funktion abhängt (nicht Atex, Hochspannung...)

Systematische/ zufällige Fehler

• eingebaut im Design/ treten zufällig auf (nur in Hardware!)

Artefakt

• Produkt (Dokument, Code, Daten...)

7

Wieso machen die das?Grundprinzipien 1Prozesse

• strukturiertes Vorgehen

• „Use Quality to Manage Risk“

Divide & Conquer

Planung

8

Wieso machen die das?Grundprinzipien 2Evidenz

• was nicht geschrieben ist, gibt es nicht: Recht...

4(..6) Augen Prinzip

• Review, Review...

Gesamtsystem-"Zertifizierung"

• grundsätzlich: Flugzeug, Produkt, Fahrzeug...

9

Was tut der Ingenieur?Hazard/ Risiko AnalyseSIL/ DAL/ ASIL/ PL

• hergeleitet von Schaden & Häufigkeit

10

Was tut der Ingenieur?Sicherheitsanalysen 1Auf jedem Level

• System/ Subsystem/ Komponente/ Funktion

Viele Varianten

• wichtigste: FTA & FMEA

11

Was tut der Ingenieur?Sicherheitsanalysen 2FTA

• deduktiv: vom Fehler zur Ursache

• Einsatz: (System-)Design, top-down

FMEA

• induktiv: von der Ursache zum Fehler

• Analyse, bottom-up

12

Was tut der Ingenieur?Sicherheitsanalysen: FTAFault Tree (Fehlerbaum) Analyse

qualitativ

quantitativ

13

Was tut der Ingenieur?Sicherheitsanalysen: FMEAFailure Modes and Effects Analysis

qualitativ

quantitativ

FMEDA

• mit Diagnose: HW & SW...

14

Was tut der Ingenieur?V-ModellData Mangement Modell

• nicht Gantt Chart

15

Was tut der Ingenieur?Requirement Traceability 1 Anforderungen!

horizontal/ vertikal & bidirektional

„derived“ Anfoderungen

• d.h. nicht rückführbar auf höhere Ebene

• benötigen Sicherheitsanalyse: möglichst vermeiden

16

Was tut der Ingenieur?Requirement Traceability 2

17

Was tut der Ingenieur?VerifikationReviews für alle Artefakte

• Checklisten

• Evidenz!

Tests

• Testspezifikationen, Testinstruktionen

• Evidenz

18

Was tut der Ingenieur?Verifikation: TestsAnfoderungs-basiert

• kein Test ohne Anforderung (explizit in DO-178C: Luftfahrt)

Coverage Analyse

• aller Code getestet (inkl. alle Branches genommen)

• nicht Coverage Test: Analyse ob Tests allen Code abdecken

19

Was tut der Ingenieur?Interne StandardsDesign Standards

• hierarchisch, „no hidden data flow“...

Coding: sicheres Subset der Sprache

• Codierstandards, z.B. MISRA

• Tool: statische Analyse

20

Was tut der Ingenieur?Qualität KomponentenAEC-Q

Industrieerfahrung

Ausfallwahrscheinlichkeiten

• Standards meist alt: Evidenz!?

21

Was tut der Ingenieur?ToolsTool Klassifizierung

• kann das Tool Fehler „generieren“?

Tool Qualification

• zeigen, dass das Tool diese Fehler nicht generiert

22

Was tut das Projektteam?Konfigurationsmanagementwas passt/ gehört zusammen

• alle Artefakte!

• Releases machen, inkl. Audit

Aufbewahrung

• in 20 Jahren dasselbe Binary erstellen...

23

Was tut das Projektteam?Änderungsmanagementnach dem ersten formalen Release!

Change Control Board

• definierter Ablauf mit Evidenz

• braucht es die Änderung wirklich?

• wie wirkt sich die Änderung auf Sicherheit aus?

Verifikation der Änderungen

24

Was tut das Projektteam?PläneProzesse, Rollen, Verantwortlichekeiten... als Pläne zusammengefasst

• Safety Plan/ PXAC...

• Verifikationsplan

• Konfigurationsmamagementplan

• ...

25

Was tut das Projektteam?AuditsUnabhängigkeit

• für wichtige Artefakte, je nach Level

• 6 Augen Prinzip

• häufig durch Dritte („TÜV“, Kunde, Autoritäten (EASA))

26

Was tut das Projektteam?StatementsSafety Case/ Accomplishment Summary

• was vom Plan wurde wie durchgeführt

• warum ist das Produkt sicher

Das wichtige Dokument für Kunde/ Autorität

27

Was tut die Firma?Prozesse/ ModelleCMMI/ automotive SPICE

• Luftfahrt: Design Organization Approval (evtl. vom Kunden)

viel mehr als ISO9001!!!

• gelebt? z.B. durch Off-Shoring Dienstleister?

28

Was tut die Firma?Sicherheitskultur/ Level 3Sicherheitskultur

• Proaktive Einstellung zu Sicherheit, Rechenschaft, Umgang mit Fehlern

Level 3: Prozesse sind definiert & werden gelebt

• Tailoring: je nach Anforderungen des Projektes verschieden

Kontinuierliche Prozessverbesserung

• lernende Organisation

29

Wie kommt man dahin?EmpfehlungenModell auswählen

• CMMI/ aSPICE

Anzuwendende Sicherheitsnormen definieren

Gap Analyse durchführen (lassen)

• Wo müssen wir aktuellen Arbeitsweise verbessern?

30

Wie kommt man dahin?AufwandSolcept 2011..2017 (Mitarbeiter: 8..15)

• 2..4% der jährlichen Arbeitszeit

• ca. 30'000 CHF/ Audit

Resultat

• CMMI Level 3 (SCAMPI C 2016)

• bereit für: DO-178, ISO 26262, IEC 61805

31

Wie kommt man dahin?Andere Wege?¿Big-Bang Ansatz: Prozesse einkaufen?

• bestehende Arbeitsweisen?

¿Prozesse gemäss Sicherheitsnorm machen?

• kein Fokus auf Effizienz

¿Lies mal die Norm und mach die Dokumente?

• Level 3, Sicherheitskultur?

32

Was möchten Sie noch wissen?Sie finden mich auch in der Ausstellung, sonst unter:Andreas Stuckia.stucki@solcept.ch

33

Version Entwurf/ für Review/ Freigegeben

Datum Verant-wortlich

Kommentare/ Änderungsverlauf

00.01 Entwurf 2017-08-15 a2s first draft

00.02 für Review 2017-08-23 a2s review QPR (ME)

00.03 Entwurf 2017-08-24 a2s Input ME eingearbeitet

01.00 Freigegeben 2017-08-25 a2s Typos korrigiertfür Präsentation-Datenbank swissT.net

Änderungsverzeichnis

© Solcept AG

Slide 1Slide 2Slide 3Slide 4Slide 5Slide 6Slide 7Slide 8Slide 9Slide 10Slide 11Slide 12Slide 13Slide 14Slide 15Slide 16Slide 17Slide 18Slide 19Slide 20Slide 21Slide 22Slide 23Slide 24Slide 25Slide 26Slide 27Slide 28Slide 29Slide 30Slide 31Slide 32Slide 33