Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
SIT - Safety in Transportsystemen
6. Workshop zu Fragen von Risiko und Sicherheit im V erkehr
6. November 2013
TU-Braunschweig
ISO 26262 – Funktionale Sicherheit in der Fahrzeugele ktronik
Dr.-Ing. Thomas Scharnhorst
WiTech-Engineering GmbH, Braunschweig
Gliederung
� Motivation
� Normen im Überblick
� Kurzüberblick ISO 26262: Inhalte der 10 Teilbände
� Management der funktionalen Sicherheit
� Verantwortlichkeiten bei einer verteilten Entwicklu ngsumgebung
� Dekomposition der Sicherheitsanforderungen
SystemkomplexitätFunktionswachstum über der Zeit
1975 1985 1995 2005
Electronic fuel injectionCruise control
Gearbox controlTraction control Anti lock brakesElectronic fuel injectionCruise control
AirbagsElectronic stability control Active body control Adaptive gearbox controlAdaptive cruise controlEmergency callGearbox controlTraction control Anti lock brakesElectronic fuel injectionCruise control
Tele-diagnosticsInternet browserAppsCar-2-car communicationRoad trainsSoftware updatesAdaptive headlightsActive steeringCurve warningStop and GoLane keeping assistanceAutomated parkingCollision mitigationHybrid powertrainAirbagsElectronic stability control Active body control Adaptive gearbox controlAdaptive cruise controlEmergency callGearbox controlTraction control Anti lock brakesElectronic fuel injectionCruise control
Komplexitätsgründe:
− Anzahl und Komplextät der Funktionen
− Interaktionen zwischen den Systemen
− Viele Innovationen sind sicherheitsrelevant oder haben
eine Connectivity zur Außenwelt
2015
Elektronikanteil im Fahrzeug steigt ständig
Für das Jahr 2030 wird der Wertanteil der Elektronik am Automobil auf 40% geschätzt. Herausforderungen bestehen darin, daß EE-Systeme und Mechatronik-Systeme nicht Auslöser von Systemproblemen oder Rückrufaktionen werden.
Quelle: VW, Euroforum 2008
Vernetzte Steuergeräteanzahl steigt ständig
Qualität, Zuverläßlichkeit und Wartbarkeit, Safety und Security sind die entscheidenden Themen, die Elektronikinnovationen zum Erfolg führen
Quelle:VW, Euroforum 2008
Funktionale Sicherheit: Neue Norm ISO 26262
Zwiespalt der Industrie bei neuen Anforderungen:
o Neue Anforderungen für den Entwicklungsprozess führen zu neuen Belastungen/Aufwänden:
� Welchen Benefit hat der Kunde davon?
o Stand der Technik wird neu gefasst, und technische Folgen müssen rechtlich neu bewertet werden
� Wie gehen wir mit „Altlasten“ um?
Nun ist der Standard ISO 26262 seit Dez. 2011 gülti g, Fragen:
� Was ist zu tun für eine wirtschaftlich sinnvolle Umsetzung?
� Was ist zu tun, um Haftungsrisiken einzudämmen?
� Leidet durch Sicherheitsmaßnahmen die Verfügbarkeit?
� Wie kann ich den Sicherheitsnachweis effektiv führen?
Gliederung
� Motivation
� Normen im Überblick
� Kurzüberblick ISO 26262: Inhalte der 10 Teilbände
� Management der funktionalen Sicherheit
� Verantwortlichkeiten bei einer verteilten Entwicklu ngsumgebung
� Dekomposition der Sicherheitsanforderungen
Specific Design Instructions, directives, law etc.• Standardised E-Gas-Safety Concept • Type Approval Regulations: ECE R13(H) Annex 18(8), ECE R79 Annex 6• FMVSS etc., Vienna convention
Quality Standards• ISO 9000ff / ISO TS 16949• VDA Band 3.1 and 4.ff• DIN EN 60300-2 (Reliability Management)• VDI 4001-10: Technical Reliability
Engineering Standards• ISO/IEC 12207 (SW-Process)• V-Model
IEC 61508 Derivates• EN 5012x (Railway)• IEC 60601 1-4 (Medical)• IEC 61513 (Nuclear) • IEC 61511 (Process Industry)• IEC 62061 (Machinery)• ISO 26262 (Automotive)
Safety Standards• IEC 61508 (Meta-Standard)• ISO TR 15497: MISRA Guidelines • ECSS-E-40A (EU, Space)• RTCA DO-178B (Aerospace SW, V&V)• SAE APR 7461 (Aerospace, HW)• NASA-GB-1740.13-96 (SW-Guidebook)• Def Stan 00-55 (Military)• IEC 60880 (SW in Nuclear Power Plants)
Assessment Models• IEC 15504 (SPICE)• CMM(I)
Based on publication from WG 16
Standards and Regulations: Überblick
ISO 26262: Einführungsszenario
Legende:WD: Working Draft NWIP: New Work Item ProposalCD: Committee Draft for Voting DIS: Draft International StandardFDIS: Final Draft International Standard IS: International Standard
Gliederung
� Motivation
� Normen im Überblick
� Kurzüberblick ISO 26262: Inhalte der 10 Teilbände
� Management der funktionalen Sicherheit
� Verantwortlichkeiten bei einer verteilten Entwicklu ngsumgebung
� Dekomposition der Sicherheitsanforderungen
Functional Safety: Absence of unreasonable risk due to hazards caused b y malfunctioning behaviour of E/E systems
� Das Risiko wird reduziert durch die Verringerung de r Wahrscheinlichkeit mit der ein Fehler auftritt und durch die Begrenzun g der Konsequenzen von unvermeidbaren Fehlern.
Funktionale Sicherheit(nach ISO 26262)
Risk
Systematic Failures Random HW Failures
Measures:− Systematic testing− Reviews− Diverse programming− …
Measures:− Redundancy− HW self tests− Diagnostics− …
ISO 26262: Road Vehicles - Functional Safety
Die ISO 26262 ist eine Anpassung der Norm IEC 61508 an die speziellen Anforderungen für die Anwendungen der E/E-Systeme in Straßenfahrzeugen
� Part 1: Vokabular, es enthält die Begriffe
� Part 2: Management der funktionalen Sicherheit – es enthält die Vorgaben für die Arbeit des Managements
� Part 3: Konzeptphase
� Part 4: Produktentwicklung Systemebene – es enthält die Vorgaben an das E/E-System, HW und SW
� Part 5: Produktentwicklung auf Hardware-Ebene
� Part 6: Produktentwicklung auf Software-Ebene
� Part 7: Produktion und Betrieb
� Part 8: Unterstützende Prozesse
� Part 9: ASIL orientierte Sicherheitsanalysen für die Risikoeinstufung
� Part 10: Leitfaden – ist informativ für die praktische Anwendung wegen der übergeordneten Gesichtspunkte
ISO 26262: Road Vehicles - Functional Safety
� Bietet einen Sicherheitslebenszyklus für Automobilentwicklung :
Prozessmanagement, Entwicklung, Produktion, Betrieb, Service, Ausserbetriebnahme und Deinstallation sowohl des gefahrverursachenden Systems als auch der sicherheitsbezogenen /risiko-mindernden Systeme und unterstützt mit darauf zugeschnittenen Aktivitäten.
� Bietet einen automobilspezifischen risikobasierten Entwurf für die Ermittlung von Sicherheitsklassen (Automotive Safety Integrity Levels, ASILs).
� Verwendet die ASILs für die Spezifizierung von Sicherheitsmaßnahmen mit dem Ziel ein akzeptiertes Restrisiko zu unterschreiten.
� Liefert Anforderungen für Validierungs- und Verifizierungsmessgrößen, um einen ausreichenden und akzeptablen Sicherheitslevel zu gewährleisten.
Externe Zertifizierung ISO 26262 fordert keine generelle externe Zertifizie rung
Wenn ein Unternehmen die geforderte Unabhängigkeit interndarstellen kann, wäre eine externe Zertifizierung ei ne „Überinterpretation“ der Normanforderungen
Quelle: ISO26262, part 2, table 1
Gliederung
� Motivation
� Normen im Überblick
� Kurzüberblick ISO 26262: Inhalte der 10 Teilbände
� Management der funktionalen Sicherheit
� Verantwortlichkeiten bei einer verteilten Entwicklu ngsumgebung
� Dekomposition der Sicherheitsanforderungen
Management der Funktionalen Sicherheit
Managementaufgaben:
- Organisationsspezifische Regeln und Prozesse für funk tionale Sicherheit.
- Benennung von Personen ,die Aktivitäten aus ISO2626 2 ausführen, die über eine hinreichenden Grad an Fähigkeiten, Kompet enzen und Qualifikation verfügen.
- Nachweis eines einsatzfähigen Qualitätsmanagementsys tems, das den Anforderungen der ISO26262 genügt.
- Aufstellen eines ganzheitlichen Projektplanes der de n Safety –Case, und das dazugehörende funktionale Sicherheits-Assess ment adressiert.
Management der funktionalen Sicherheit bei Continental CAS
Source: Continental, L.Ross , WiTech Seminar on FS,Oct 2009
Management der funktionalen Sicherheit: Aufstellen eines Projektplans für den gesamten Lebenszyklus des Produktes
Phase im Sicherheitszyklus
Definition der Betrachtungseinheit
Gefährdungs - und Risikoeinschätzung
Funktionales Sicherheitskonzept
Entwicklung Systemebene, Entwicklung HardwareEntwicklung Software
Planung von Produktion und Betrieb
Sicherheitsvalidierung
FS-Assessment
Serienfreigabe
Serienproduktion
Betrieb, Kundendienst
Gliederung
� Motivation
� Normen im Überblick
� Kurzüberblick ISO 26262: Inhalte der 10 Teilbände
� Management der funktionalen Sicherheit
� Verantwortlichkeiten bei einer verteilten Entwicklungsumgebung
� Dekomposition der Sicherheitsanforderungen
Herausforderung: Development Interface Agreement(ISO 26262 Chapter 8.5 )
5.4.3 Initiation and planning of distributed develo pment
5.4.3.1 The customer and the supplier shall specify a DIA including:
a) the appointment of the customer’s and the supplier’s safety managers,
b) the joint tailoring of the safety lifecycle
c) the activities and processes to be performed by the customer and the activities and processes to
be performed by the supplier ,
d) the information and the work products to be exchanged,
e) the parties or persons responsible for the activities,
f) the communication of the target values, derived from the system level targets.
g) the supporting processes and tools, including interfaces, to assure compatibility between customer and supplier.
5.4.3.2 If the supplier conducts the hazard analysis and risk assessment , then the hazard analysis and risk assessment shall be provided to the customer for verification.
5.4.3.3 The party responsible for the item developm ent shall create the functional safety concept in accordance with ISO 26262-3. The functional safety requirements shall be agreed between the customer and the supplier.
Development Interface Agreement
Festlegen, was der OEM von dem Lieferanten erwartet und umgekehrt.
Problemfall:
Systemlieferant stellt z.B. Anforderungen an den OEM,
� Bei Ausfall des Systems wird ein Signal auf den CAN gestellt, dass der OEM mit ASIL D anzeigen muß.
oder der OEM legt fest,
� Bei Ausfall des Systems will der OEM das Signal mit QM anzeigen
Einigung im Development Interface Agreement
Verantwortlichkeiten bei einer verteilten Entwicklu ngsumgebung
Fallbeispiel Elektrische Lenksäulenverriegelung
Federführend: Bereich Elektrik/Elektronik (EE)
Unterstützend: Bereich Fahrwerk (EF)
Die elektrische Lenksäulenverriegelung hat einen hohen Sicherheitslevel und benötigt ein Geschwindigkeitssignal. Nur bei v= 0 darf die Lenksäule verriegelt werden. Das Geschwindigkeitssignal wird von EF bereitgestellt.
Die Gesamtverantwortung liegt bei EE. Der Bereich EF führt einen Sub-Sicherheitsnachweis zu der Integrität des Geschwindigkeitssignals durch, sodaß sich EE auf die Güte und zeitliche Folge des Geschwindigkeitssignals verlassen kann.
Gliederung
� Motivation
� Normen im Überblick
� Kurzüberblick ISO 26262: Inhalte der 10 Teilbände
� Management der funktionalen Sicherheit
� Verantwortlichkeiten bei einer verteilten Entwicklu ngsumgebung
� Dekomposition der Sicherheitsanforderungen
Zusatzanforderungen bei der ASIL -Dekomposition (1)
Bei der Dekomposition wird immer angegeben, von welchem ASIL aus die Zerlegung stattgefunden hat. Dieser ursprüngliche ASIL wird in Klammern angehängt
Siehe im Beispiel: SA1 mit ASIL A (C) und SA2 mit ASIL B (C)
Was bedeutet dieses (C) ?
•Der ASIL in Klammern zeigt an, welche Anforderungen auf der Integrationsebene bzw. bei den Bestätigungsmaßnahmen (siehe Band 2, Tabelle 1) gelten.Diese müssen immer mit dem ASIL des ursprünglichen Sicherheitsziels umgesetzt werden.
•Es muss die ausreichende Unabhängigkeit der Architektur-Elemente aufgezeigt werden, auf die die Sicherheitsanforderung aufgeteilt wurde. Durchführung von Analysen (z. B. FMEA, FTA, ETA, etc.)
Funktionale SicherheitStatus für die Norm ISO 26262
1. Die Norm ISO 26262 ist seit Dezember 2011 voll gültig, alle redaktionellen Änderungen (Details) wurden in ISO FDIS 26262 eingearbeitet .
2. In 2011 fand noch eine finale Abstimmung statt. Hürden, z.B. für amerikanische Unternehmen wegen strenger Auslegung der Produkthaftung ,wurden abgebaut:� Allgemeine Risiken wurden durch fallabhängige Risiken ersetzt (z.B.
Motorrad).� Diagnose auf dem Teilsystem , früher safety goal, jetzt safety
requirement.
3. Wichtig: ISO 26262 erklärt an einem Referenzprozess was bei Gefahren zur Risikominderung zu tun ist, mit einer für alle gleichen Sprache und eingeengter Methodenauswahl.
4. Bei einem erprobten Anforderungsmanagement werden die Safety-Anforderungen mit aufgenommen, es gibt nur eine Handvoll neue Ergebnisse.