SIT - Safety in Transportsystemen

6. Workshop zu Fragen von Risiko und Sicherheit im V erkehr

6. November 2013

TU-Braunschweig

ISO 26262 – Funktionale Sicherheit in der Fahrzeugele ktronik

Dr.-Ing. Thomas Scharnhorst

WiTech-Engineering GmbH, Braunschweig

Gliederung

� Motivation

� Normen im Überblick

� Kurzüberblick ISO 26262: Inhalte der 10 Teilbände

� Management der funktionalen Sicherheit

� Verantwortlichkeiten bei einer verteilten Entwicklu ngsumgebung

� Dekomposition der Sicherheitsanforderungen

SystemkomplexitätFunktionswachstum über der Zeit

1975 1985 1995 2005

Electronic fuel injectionCruise control

Gearbox controlTraction control Anti lock brakesElectronic fuel injectionCruise control

AirbagsElectronic stability control Active body control Adaptive gearbox controlAdaptive cruise controlEmergency callGearbox controlTraction control Anti lock brakesElectronic fuel injectionCruise control

Tele-diagnosticsInternet browserAppsCar-2-car communicationRoad trainsSoftware updatesAdaptive headlightsActive steeringCurve warningStop and GoLane keeping assistanceAutomated parkingCollision mitigationHybrid powertrainAirbagsElectronic stability control Active body control Adaptive gearbox controlAdaptive cruise controlEmergency callGearbox controlTraction control Anti lock brakesElectronic fuel injectionCruise control

Komplexitätsgründe:

− Anzahl und Komplextät der Funktionen

− Interaktionen zwischen den Systemen

− Viele Innovationen sind sicherheitsrelevant oder haben

eine Connectivity zur Außenwelt

2015

Motivation

Elektronikanteil im Fahrzeug steigt ständig

Für das Jahr 2030 wird der Wertanteil der Elektronik am Automobil auf 40% geschätzt. Herausforderungen bestehen darin, daß EE-Systeme und Mechatronik-Systeme nicht Auslöser von Systemproblemen oder Rückrufaktionen werden.

Quelle: VW, Euroforum 2008

Vernetzte Steuergeräteanzahl steigt ständig

Qualität, Zuverläßlichkeit und Wartbarkeit, Safety und Security sind die entscheidenden Themen, die Elektronikinnovationen zum Erfolg führen

Quelle:VW, Euroforum 2008

Bausteine einer sicherheitsgerichteten Entwicklungerster Überblick

Funktionale Sicherheit: Neue Norm ISO 26262

Zwiespalt der Industrie bei neuen Anforderungen:

o Neue Anforderungen für den Entwicklungsprozess führen zu neuen Belastungen/Aufwänden:

� Welchen Benefit hat der Kunde davon?

o Stand der Technik wird neu gefasst, und technische Folgen müssen rechtlich neu bewertet werden

� Wie gehen wir mit „Altlasten“ um?

Nun ist der Standard ISO 26262 seit Dez. 2011 gülti g, Fragen:

� Was ist zu tun für eine wirtschaftlich sinnvolle Umsetzung?

� Was ist zu tun, um Haftungsrisiken einzudämmen?

� Leidet durch Sicherheitsmaßnahmen die Verfügbarkeit?

� Wie kann ich den Sicherheitsnachweis effektiv führen?

Gliederung

� Motivation

� Normen im Überblick

� Kurzüberblick ISO 26262: Inhalte der 10 Teilbände

� Management der funktionalen Sicherheit

� Verantwortlichkeiten bei einer verteilten Entwicklu ngsumgebung

� Dekomposition der Sicherheitsanforderungen

Specific Design Instructions, directives, law etc.• Standardised E-Gas-Safety Concept • Type Approval Regulations: ECE R13(H) Annex 18(8), ECE R79 Annex 6• FMVSS etc., Vienna convention

Quality Standards• ISO 9000ff / ISO TS 16949• VDA Band 3.1 and 4.ff• DIN EN 60300-2 (Reliability Management)• VDI 4001-10: Technical Reliability

Engineering Standards• ISO/IEC 12207 (SW-Process)• V-Model

IEC 61508 Derivates• EN 5012x (Railway)• IEC 60601 1-4 (Medical)• IEC 61513 (Nuclear) • IEC 61511 (Process Industry)• IEC 62061 (Machinery)• ISO 26262 (Automotive)

Safety Standards• IEC 61508 (Meta-Standard)• ISO TR 15497: MISRA Guidelines • ECSS-E-40A (EU, Space)• RTCA DO-178B (Aerospace SW, V&V)• SAE APR 7461 (Aerospace, HW)• NASA-GB-1740.13-96 (SW-Guidebook)• Def Stan 00-55 (Military)• IEC 60880 (SW in Nuclear Power Plants)

Assessment Models• IEC 15504 (SPICE)• CMM(I)

Based on publication from WG 16

Standards and Regulations: Überblick

ISO 26262: Einführungsszenario

Legende:WD: Working Draft NWIP: New Work Item ProposalCD: Committee Draft for Voting DIS: Draft International StandardFDIS: Final Draft International Standard IS: International Standard

Gliederung

� Motivation

� Normen im Überblick

� Kurzüberblick ISO 26262: Inhalte der 10 Teilbände

� Management der funktionalen Sicherheit

� Verantwortlichkeiten bei einer verteilten Entwicklu ngsumgebung

� Dekomposition der Sicherheitsanforderungen

Functional Safety: Absence of unreasonable risk due to hazards caused b y malfunctioning behaviour of E/E systems

� Das Risiko wird reduziert durch die Verringerung de r Wahrscheinlichkeit mit der ein Fehler auftritt und durch die Begrenzun g der Konsequenzen von unvermeidbaren Fehlern.

Funktionale Sicherheit(nach ISO 26262)

Risk

Systematic Failures Random HW Failures

Measures:− Systematic testing− Reviews− Diverse programming− …

Measures:− Redundancy− HW self tests− Diagnostics− …

ISO 26262: Road Vehicles - Functional Safety

Die ISO 26262 ist eine Anpassung der Norm IEC 61508 an die speziellen Anforderungen für die Anwendungen der E/E-Systeme in Straßenfahrzeugen

� Part 1: Vokabular, es enthält die Begriffe

� Part 2: Management der funktionalen Sicherheit – es enthält die Vorgaben für die Arbeit des Managements

� Part 3: Konzeptphase

� Part 4: Produktentwicklung Systemebene – es enthält die Vorgaben an das E/E-System, HW und SW

� Part 5: Produktentwicklung auf Hardware-Ebene

� Part 6: Produktentwicklung auf Software-Ebene

� Part 7: Produktion und Betrieb

� Part 8: Unterstützende Prozesse

� Part 9: ASIL orientierte Sicherheitsanalysen für die Risikoeinstufung

� Part 10: Leitfaden – ist informativ für die praktische Anwendung wegen der übergeordneten Gesichtspunkte

ISO 26262: Agenda Road Vehicles - Functional Safety

ISO 26262: Road Vehicles - Functional Safety

� Bietet einen Sicherheitslebenszyklus für Automobilentwicklung :

Prozessmanagement, Entwicklung, Produktion, Betrieb, Service, Ausserbetriebnahme und Deinstallation sowohl des gefahrverursachenden Systems als auch der sicherheitsbezogenen /risiko-mindernden Systeme und unterstützt mit darauf zugeschnittenen Aktivitäten.

� Bietet einen automobilspezifischen risikobasierten Entwurf für die Ermittlung von Sicherheitsklassen (Automotive Safety Integrity Levels, ASILs).

� Verwendet die ASILs für die Spezifizierung von Sicherheitsmaßnahmen mit dem Ziel ein akzeptiertes Restrisiko zu unterschreiten.

� Liefert Anforderungen für Validierungs- und Verifizierungsmessgrößen, um einen ausreichenden und akzeptablen Sicherheitslevel zu gewährleisten.

Externe Zertifizierung ISO 26262 fordert keine generelle externe Zertifizie rung

Wenn ein Unternehmen die geforderte Unabhängigkeit interndarstellen kann, wäre eine externe Zertifizierung ei ne „Überinterpretation“ der Normanforderungen

Quelle: ISO26262, part 2, table 1

Einführung der ISO 26262

Gliederung

� Motivation

� Normen im Überblick

� Kurzüberblick ISO 26262: Inhalte der 10 Teilbände

� Management der funktionalen Sicherheit

� Verantwortlichkeiten bei einer verteilten Entwicklu ngsumgebung

� Dekomposition der Sicherheitsanforderungen

Management der Funktionalen Sicherheit

Managementaufgaben:

- Organisationsspezifische Regeln und Prozesse für funk tionale Sicherheit.

- Benennung von Personen ,die Aktivitäten aus ISO2626 2 ausführen, die über eine hinreichenden Grad an Fähigkeiten, Kompet enzen und Qualifikation verfügen.

- Nachweis eines einsatzfähigen Qualitätsmanagementsys tems, das den Anforderungen der ISO26262 genügt.

- Aufstellen eines ganzheitlichen Projektplanes der de n Safety –Case, und das dazugehörende funktionale Sicherheits-Assess ment adressiert.

Management der funktionalen Sicherheit bei Continental CAS

Source: Continental, L.Ross , WiTech Seminar on FS,Oct 2009

Management der funktionalen Sicherheit: Aufstellen eines Projektplans für den gesamten Lebenszyklus des Produktes

Phase im Sicherheitszyklus

Definition der Betrachtungseinheit

Gefährdungs - und Risikoeinschätzung

Funktionales Sicherheitskonzept

Entwicklung Systemebene, Entwicklung HardwareEntwicklung Software

Planung von Produktion und Betrieb

Sicherheitsvalidierung

FS-Assessment

Serienfreigabe

Serienproduktion

Betrieb, Kundendienst

Gliederung

� Motivation

� Normen im Überblick

� Kurzüberblick ISO 26262: Inhalte der 10 Teilbände

� Management der funktionalen Sicherheit

� Verantwortlichkeiten bei einer verteilten Entwicklungsumgebung

� Dekomposition der Sicherheitsanforderungen

…ist vom OEM zu leisten

ISO 26262portfolio

Herausforderung: Development Interface Agreement(ISO 26262 Chapter 8.5 )

5.4.3 Initiation and planning of distributed develo pment

5.4.3.1 The customer and the supplier shall specify a DIA including:

a) the appointment of the customer’s and the supplier’s safety managers,

b) the joint tailoring of the safety lifecycle

c) the activities and processes to be performed by the customer and the activities and processes to

be performed by the supplier ,

d) the information and the work products to be exchanged,

e) the parties or persons responsible for the activities,

f) the communication of the target values, derived from the system level targets.

g) the supporting processes and tools, including interfaces, to assure compatibility between customer and supplier.

5.4.3.2 If the supplier conducts the hazard analysis and risk assessment , then the hazard analysis and risk assessment shall be provided to the customer for verification.

5.4.3.3 The party responsible for the item developm ent shall create the functional safety concept in accordance with ISO 26262-3. The functional safety requirements shall be agreed between the customer and the supplier.

Development Interface Agreement

Festlegen, was der OEM von dem Lieferanten erwartet und umgekehrt.

Problemfall:

Systemlieferant stellt z.B. Anforderungen an den OEM,

� Bei Ausfall des Systems wird ein Signal auf den CAN gestellt, dass der OEM mit ASIL D anzeigen muß.

oder der OEM legt fest,

� Bei Ausfall des Systems will der OEM das Signal mit QM anzeigen

Einigung im Development Interface Agreement

Entwicklungsprozeß: Integrierte Sicherheitsschritte

!

Verantwortlichkeiten bei einer verteilten Entwicklu ngsumgebung

Fallbeispiel Elektrische Lenksäulenverriegelung

Federführend: Bereich Elektrik/Elektronik (EE)

Unterstützend: Bereich Fahrwerk (EF)

Die elektrische Lenksäulenverriegelung hat einen hohen Sicherheitslevel und benötigt ein Geschwindigkeitssignal. Nur bei v= 0 darf die Lenksäule verriegelt werden. Das Geschwindigkeitssignal wird von EF bereitgestellt.

Die Gesamtverantwortung liegt bei EE. Der Bereich EF führt einen Sub-Sicherheitsnachweis zu der Integrität des Geschwindigkeitssignals durch, sodaß sich EE auf die Güte und zeitliche Folge des Geschwindigkeitssignals verlassen kann.

Gliederung

� Motivation

� Normen im Überblick

� Kurzüberblick ISO 26262: Inhalte der 10 Teilbände

� Management der funktionalen Sicherheit

� Verantwortlichkeiten bei einer verteilten Entwicklu ngsumgebung

� Dekomposition der Sicherheitsanforderungen

Funktionales SicherheitskonzeptASIL-Dekomposition

Funktionales SicherheitskonzeptASIL Dekomposition

Funktionales SicherheitskonzeptBeispiel zur ASIL Dekomposition - 1

Funktionales SicherheitskonzeptBeispiel zur ASIL Dekomposition - 2

Funktionales SicherheitskonzeptBeispiel zur ASIL Dekomposition - 3

Funktionales SicherheitskonzeptLösungsbeispiele der ASIL Dekomposition

Zusatzanforderungen bei der ASIL -Dekomposition (1)

Bei der Dekomposition wird immer angegeben, von welchem ASIL aus die Zerlegung stattgefunden hat. Dieser ursprüngliche ASIL wird in Klammern angehängt

Siehe im Beispiel: SA1 mit ASIL A (C) und SA2 mit ASIL B (C)

Was bedeutet dieses (C) ?

•Der ASIL in Klammern zeigt an, welche Anforderungen auf der Integrationsebene bzw. bei den Bestätigungsmaßnahmen (siehe Band 2, Tabelle 1) gelten.Diese müssen immer mit dem ASIL des ursprünglichen Sicherheitsziels umgesetzt werden.

•Es muss die ausreichende Unabhängigkeit der Architektur-Elemente aufgezeigt werden, auf die die Sicherheitsanforderung aufgeteilt wurde. Durchführung von Analysen (z. B. FMEA, FTA, ETA, etc.)

Zusatzanforderungen bei der ASIL -Dekomposition (2)

Zusatzanforderungen bei der ASIL -Dekomposition (3)

Funktionales SicherheitskonzeptAnwendung ASIL Dekomposition

Funktionales SicherheitskonzeptASIL Dekomposition - Zusammenfassung

Funktionale SicherheitStatus für die Norm ISO 26262

1. Die Norm ISO 26262 ist seit Dezember 2011 voll gültig, alle redaktionellen Änderungen (Details) wurden in ISO FDIS 26262 eingearbeitet .

2. In 2011 fand noch eine finale Abstimmung statt. Hürden, z.B. für amerikanische Unternehmen wegen strenger Auslegung der Produkthaftung ,wurden abgebaut:� Allgemeine Risiken wurden durch fallabhängige Risiken ersetzt (z.B.

Motorrad).� Diagnose auf dem Teilsystem , früher safety goal, jetzt safety

requirement.

3. Wichtig: ISO 26262 erklärt an einem Referenzprozess was bei Gefahren zur Risikominderung zu tun ist, mit einer für alle gleichen Sprache und eingeengter Methodenauswahl.

4. Bei einem erprobten Anforderungsmanagement werden die Safety-Anforderungen mit aufgenommen, es gibt nur eine Handvoll neue Ergebnisse.

Source Continental 2009