?
Als janglähriger Embedded-Architekt bin ich ich eher überrascht, daß sowas nicht viel öfters passiert.
Aus meiner Erfahrung heraus würde ich ür in dem Artikel den Satz Das Qualitätsmanagement konnte trotz aller erfolgten Safety-Zertifizierungen kritische Fehler nicht verhindern etwas abändern: trotz durch wegen ersetzen.
Die bittere Wahrheit, die man leider keinem Manager in der Branche (ebenso auch bei anderen Sicherheitskritischen Bereichen, wie zB. Medizinprodukte) beibringen kann, ist nunmal:
diese Zertifizierungen - und daran hängende Entwicklungsprozesse - binden extrem viele Resourcen (ca. 90%) mit reiner Verwaltung, verhindern nachhaltig not-wendige nachträgliche Architektur-Korrekturen (weil man dann den Prozess komplett neu beginnen kann), zwingen auch zu unsinnigen technischen Entscheidungen und vergraulen nachhaltig die dringend benötigten Experten bzw. verhindern, daß selbige überhaupt für ein Projekt in Betracht gezogen werden.
Nehmen wir zB. Automotive und AUTOSAR: einst konzipiert für sehr kleine Microcontroller (single pipeline, single-processing, deterministisches Timing), ohne Betriebssystem, ohne MMU, ohne Vernetzung (CAN+Co sind eher Multiplexing von früher diskreten Signalleitungen). Gut für Dinge wie Einspritzregelung, ABS/ESP, udgl.
Nun werden die Autos aber mehr zu rollen Smartphones, ständig mit der Cloud vernetzt. CPUs der Leistungsklasse eines Desktop-PC, mit richtigem Multiuser/Multiprocessing OS - üblicherweise Linux, QNX, etc, also iW. Unix.
Das ist ein komplett anderes Szenario - AUTOSAR hat hier nichts anzubieten, und langjähriges AUTOSAR-Expertenwissen hilft nicht weiter. Ist sogar eher hinderlich, weil es eine völlig inkompatible Denkweise vorraussetzt, und uA. auch bei AUTOSAR das Thema Security praktisch keine Rolle spielt.
Dennoch sieben die Firmen strikt nach AUTOSAR-Wissen aus, obgleich von Anfang an klar ist, daß das Projekt zB. auf Embedded-Linux baut. 15 Jahre Experte als Linux-Embedded-Architekt, Kernel-Entwickler, etc. finden keine Beachtung, wenn man nicht zufällig ebenso viel AUTOSAR-Erfahrung hat.
Die Firmen in den safety-kritischen haben ein existenzielles organisatorisches Problem: sie haben noch immer nicht verstanden, daß sie für diese (für sie) ganz neue Welt auch ganz andere Experten benötigen, die wiederum aber nichts mit AUTOSAR zu tun haben. Das wird wohl noch ein langer und schmerzlicher Lernweg, mit vielen Toten und Schwerverletzten, bis hier endlich echtes ein Umdenken eintritt.
--mtx