:quality(80)/p7i.vogel.de/wcms/8f/a0/8fa038067940f4f5c49215cbb247b622/0112519526.jpeg "Auch Mendix 10 bekam ordentlich KI unter die Haube: Ein anpassbarer Best Practice Bot, ein Data Validation Bot sowie ein Schritt in Richtung generativer KI mit Mendix Chat sollen das Assist-Portfolio an KI-gestützten Entwicklungstools ergänzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/ac/c6/acc6dd1a0d33df772c9c921d3dd557de/0113763472.jpeg "Melden Sie sich jetzt zum ESE 2023 an und profitieren Sie vom Frühbucherrabatt, der bis zum 31. Oktober gilt. (Bild: VCG )")
:quality(80)/p7i.vogel.de/wcms/96/cf/96cf8ee3ce89479620a24efd9239f673/0111389170.jpeg "Neil Puthuff, RTI (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/07/4b/074bbdcc761d46e8e31fe76c3a2f4f8f/0109934783.jpeg "Green Hills Software ist auch 2023 auf der Embedded World vertreten und zeigt an seinem Stand in Halle 4, 325 verschiedene Demos für Embedded Ingenieure. (Bild: Copyright (c) 2018 ParabolStudio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a329ed3731c287e1a0d82c12d8a80d/0112796671.jpeg "Die Revolution durch Künstliche Intelligenz: Eine Betrachtung des Potenzials (Bild: Copyright (c) 2022 Blue Planet Studio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/a4/54/a4541f4c599a4a7ec5321d90d5f1645b/0112110043.jpeg "Die Anzeigen des Kombiinstruments und des zentralen IVI verschmelzen. In modernen Fahrzeugen spielt die Software eine wichtige Rolle. (Bild: Bosch)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "(Bild: frei lizenziert)")
![Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)](https://cdn1.vogel.de/H4TpkUUxUA9NGq5-yPLmHlLM1j8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/5d/67/5d67e4c73c7d2ad87efc155a20b34c10/0111515949.jpeg "Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/01/c0/01c0704317d4edaf0e573f722c7a9e3e/0107577806.jpeg "Mythen sind in der Embedded-Programmierung weit verbreitet. Wir stellen Ihnen einige vor und klären in einem zweiten Artikel, welche Fakten es gibt. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/3e/6d/3e6df867e075bbd32be8a440e80c9f95/0112830296.jpeg "Android als Betriebssystem: Sowohl in der industrielle Automation oder Automobil setzt sich Android durch. Ein Vorteil des Betriebssystems ist die schnelle Java-Programmierung von Anwendungen auf Basis von Android APIs. (Bild: andrekheren )")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/ee/3e/ee3e6bd1548c02ee07ac5edd7725d5af/77955554.jpeg "Auf einem Embedded-Linux-System direkt lässt sich Software aufgrund der begrenzten Ressourcen nur schlecht debuggen. Das in Linux integrierte Tool GDB erlaubt, die Embedded Software über einen PC extern auf Fehler zu untersuchen. (Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/87/52/8752b159480d8cf75f7f58f702aa0ce7/0112816316.jpeg "Softwaretests: Mithilfe von künstilcher Intelligenz können sensible und gleichzeitig hochbeanspruchte Komponenten für den Einsatz im Weltraum getestet werden. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/a1/22/a12273ea61fe7f569b7b6a9f06493bc0/0110643930.jpeg "KI-Modelle spielen eine bedeutende Rolle in vielen Anwendungen, nicht zuletzt bei Lösungen für assistiertes oder gar autonomes Fahrens. (Bild: Mathworks)")
:quality(80)/p7i.vogel.de/wcms/31/90/3190c962e45b69b63d927a7625bfe71a/0108586440.jpeg "Bild 1: KI-Engineering braucht Systemverständnis. (Bild: Fraunhofer IOSB)")
:quality(80)/p7i.vogel.de/wcms/9a/9f/9a9fa3523309f9d3d5913fc064fdd92b/0107360831.jpeg "Software hilft beim Meistern der Herausforderungen des neuen Lieferkettenhesetzes. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/1e/d5/1ed5275a8a540a22af56f34386ac3bc8/0107856947.jpeg "Die neueste Version der Univeral Debug Engine ermöglicht die Steuerung der Prozessorkerne für das Debugging, den Test und tiefgreifende Systemanalysen innerhalb einer einzigen Debugger-Instanz. (Bild: PLS Programmierbare Logik & Systeme)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
Funktional sichere Komponenten effizient entwickeln
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/bf/5fbfdf326d5dd/rti-logo-color-200px.jpg "rti-logo-color-200px.jpg (rti)"){kind=logo}
Anlagen und Maschinen können durch ihre Funktion Menschen und Umwelt gefährden. Funktionale Sicherheit hat zum Ziel, diese Gefahren auf ein von der Gesellschaft toleriertes Maß zu reduzieren.
Ein Sicherheitskonzept gemäß IEC 61508 ermöglicht die durchgängige Berücksichtigung der funktionalen Sicherheit in allen Entwicklungsphasen – vom Lastenheft bis zur Abnahme durch den Zertifizierer. Wer funktional sichere Anlagen- und Maschinenkomponenten gemäß der Maschinenrichtlinie (2006/42/EG) anbietet, muss sich an den Normen für Maschinensicherheit (IEC 62061 oder ISO 13849) sowie an der Basisnorm für Funktionale Sicherheit (IEC 61508) orientieren. Die Sicherheitsanforderungen für das Produkt müssen von den Endanwendungen abgeleitet werden.
Die Basis: Lastenheft mit System Safety Requirements
Um die Anforderungen der IEC 61508 erfüllen zu können, benötigen Entwickler zuerst Informationen von den Endanwendern (z. B. Anlagenintegratoren, Maschinenbetreibern) zu Applikationen und Erwartungen bezüglich der geforderten Sicherheitsfunktionen.
Andererseits müssen Informationen an die Endanwender fließen, damit diese ihre Aufgaben gemäß den Anforderungen der funktionalen Sicherheit ausführen können. Ziel ist die Durchgängigkeit im ganzen Sicherheitslebenszyklus, vom ersten Konzept bis zur Demontage der Anlage.
Noch vor Erstellung eines detaillierten Sicherheitskonzeptes sollte der Produktsteckbrief fixiert werden. Wesentliche Aspekte sind die Beschreibung von Zielapplikationen, in denen das Produkt eingesetzt werden soll, sowie typische Gefahren für die Umgebung (Beispiel: Die zu entwickelnde Komponente minimiert das Risiko, dass eine Maschine einen Servicemitarbeiter im laufenden Betrieb tötet oder verletzt).
Die Produkteigenschaften inklusive der Sicherheitsfunktionen müssen beschrieben sein, entweder im Lastenheft selbst oder als separates Dokument (System Safety Requirements Specification, SSRS). Sehr wichtig ist dabei der klare, von der Norm geforderte Bezug zu den Zielapplikationen. Wenn diese nicht sämtlich bekannt sind, sollten die Einsatzmöglichkeiten der zu entwickelnden Komponente möglichst genau beschrieben werden.
Eine Beschreibung der Sicherheitsfunktion muss zumindest folgende Parameter enthalten: Reaktionszeit, Fehlerreaktionszeit, Sicherheitsintegritätsstufe (SIL), Betriebsmodus, maximale Ausfallwahrscheinlichkeit sowie Umgebungsbedingungen.
Der Produktsicherheitsplan: Fehler durch Planung minimieren
Spätestens nach Fertigstellung des Lastenhefts sollte die gesamte Planung des Sicherheitslebenszyklus für die Komponente und die Organisation in einem Produktsicherheitsplan dargelegt werden. Dazu gehören insbesondere die folgenden Inhalte:
Organisationsebene:
- Informationen zum QM-System,
- Mitarbeiterqualifikation,
- Projekt-Setup,
- Audits,
- Assessment der Funktionalen Sicherheit.
Produktebene:
- Produktvarianten,
- Vertriebskanäle (Direktvertrieb, OEM),
- Entwicklungsplanung,
- Planung der Wartung/Reparatur,
- Organisation der Fertigung,
- Einbindung von Zulieferern.
Der Produktsicherheitsplan bildet sozusagen das Management der Funktionalen Sicherheit ab und hilft, mögliche Entwicklungsfehler frühzeitig erkennen und vermeiden. Er ist das Einstiegsdokument für das Entwicklungsteam und zugleich das Bindeglied zwischen QM-System und Produkt, um die Anforderungen aus der IEC 61508-1, Kapitel 6 erfüllen zu können. Für die Entwicklungsplanung (Reviews, Rückverfolgbarkeit der Anforderungen, Projektmanagement etc.) bietet die IEC 61508 in den Teilen 2 und 3 sehr klare Vorgaben für jede SIL.
Der Produktsicherheitsplan sieht ferner die Erstellung eines Sicherheitshandbuchs vor. Es muss sämtliche Informationen enthalten, die der Anwender benötigt, um das Produkt im Rahmen seines Anlagen-/Maschinenlebenszyklus einzusetzen. Dazu können im Sicherheitskonzept bereits die Anhänge D der IEC 61508 (Teile 2 und 3) beantwortet werden. Die Erstellung des Sicherheitshandbuchs erfolgt parallel zur Elektronikentwicklung.
Systemdesign und Software Requirements als Leitlinien
Aus dem Lastenheft und/oder der SSRS wird die technische Lösung (Hardware) in der System Design Requirements Specification (SDRS) für die Entwicklung spezifiziert. Die Sicherheitsfunktionen des Produkts sind dabei so auszulegen, dass die Endanwender ihre Sicherheitsfunktionen an der Anlage/Maschine ausführen können. Die SDRS können als Teil des Pflichtenheftes oder als separates Dokument erstellt werden; häufig wird diese Aufgabe von einem externen, auf das Thema funktionale Sicherheit spezialisierten Dienstleister übernommen.
Entwickler denken oft in Bildern – deshalb dient meist ein Blockschaltbild der angestrebten Elektronikarchitektur als Einstieg in das Entwicklungsvorhaben. Darin werden die wesentlichen technischen Funktionen abgebildet (z.B. alle komplexen Bauteile, Schnittstellen, Rückwirkungsfreiheit). Diese Darstellungsweise ist auch nützlich, um grundsätzliche Projektinhalte mit dem Prüfer des Zertifizierers zu diskutieren.
Um die Integrität der Sicherheitsfunktionen zu gewährleisten, müssen Sicherheitsintegritätsmaßnahmen ermittelt werden. Eine Konzept-FMEA (z.B. nach VDA Band 4) kann anhand der Grobarchitektur zur Findung der notwendigen Maßnahmen dienen. Diese Maßnahmen müssen als Anforderungen in die SDRS aufgenommen werden.
Viele Anforderungen der SDRS betreffen die technischen Konzepte für die Elektronik; deshalb empfiehlt es sich, die einzelnen Funktionsblöcke im nächsten Schritt genauer zu untersuchen. Dazu gehören vor allem
- die Auswahl der Schlüsselkomponenten,
- der grundsätzliche (geplante) Aufbau der Schaltungen,
- Betrachtungen zu Platz und Wärme,
- Strategien zur Diagnose und Überwachung,
- Begründungen für sicherheitsgerichtete Lösungen.
Analog wird bei der Konzepterstellung für die (embedded) Software vorgegangen. Hierzu gehören
- Ablaufdiagramme für den Start-up,
- der Umgang mit Interrupts und Tasks,
- das Echtzeitbetriebssystem,
- Anforderungen an den Mikrocontroller und dessen Eignung,
- Entwicklungswerkzeuge,
- die Umsetzung von Performanz- und Zeitanforderungen.
Die Software-Anforderungen (Software Requirements) sind aus der SDRS abzuleiten und aus Softwaresicht zu dokumentieren. Nach Abschluss der Konzeptarbeit sollten nun sämtliche Anforderungen an die Hard- und Software in schriftlicher Form vorliegen.
Testplanung und Abstimmung mit dem Zertifizierer
Zu einem vollständigen Sicherheitskonzept gehört schließlich noch eine detaillierte Testplanung mit folgenden Inhalten:
- Testorganisation (Rollen, Zeitpunkt, Testobjekt),
- Test-Setups,
- Testreihenfolgen,
- Testvorgehen (Methodologie),
- Kriterien zur Bündelung von Testfällen,
- vorgesehene Testarten,
- Kriterien zur Bewertung von Testfällen und Tests,
- Abnahmekriterien.
Zum Abschluss dieser Phase ist die Einreichung aller zuvor genannten Dokumente/Inhalte beim Zertifizierer (in der IEC 61508 als „benannte Stelle“ bezeichnet) sinnvoll, um das gesamte Sicherheitskonzept in Bezug auf die Normerfüllung zu beurteilen und früh die richtigen Weichen zu stellen. Als Prüfergebnisse erhält der Entwickler beispielsweise Listen mit priorisierten Abweichungen und Empfehlungen oder bereits eine erste Version des begonnenen Prüfberichts – diese kann hilfreich sein, um das Systemverständnis des Prüfers zu synchronisieren.
Nach Beseitigung der Problempunkte mit hoher Priorität kann mit der eigentlichen Entwicklung begonnen werden (Architektur und Design, Umsetzung, Integrationstests, Systemtests). Dabei geben die Spezifikationen das erwartete Ergebnis vor und die Konzepte werden zum Design verfeinert.
Sämtliche in diesem Beitrag beschriebenen Entwicklungsschritte im Rahmen des Sicherheitskonzeptes können sowohl vom Komponentenentwickler selbst als auch von externen Dienstleistern übernommen werden. Deren Einbindung ist insbesondere dann zu empfehlen, wenn intern wenig Erfahrung im Bereich der funktionalen Sicherheit vorhanden ist. Ein spezialisierter Dienstleister kann hier wertvolle Erfahrungen einbringen, sodass möglicherweise kostspielige Fehler im Entwicklungsprozess vermieden werden.
* Andreas Keller ist Diplom-Ingenieur und leitet bei MESCO Engineering in Lörrach die Technologiegruppe Funktionale Sicherheit.
(ID:46499564)
:quality(80)/p7i.vogel.de/wcms/7b/17/7b17029844712d24cc7f2f76f5b95d41/0104709658.jpeg "SEooC: Safety Element out of Context ist eines der Konzepte, die in der internationalen Norm ISO 26262 zur Regelung der funktionalen Sicherheit bei der Produktinnovation in der Automobilindustrie formalisiert wurden. (Bild: © metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/cf/c6cf2af3b1f278113c6567266c8abc42/0108460780.jpeg "Normen: Warum kompliziert, wenn es auch standardisiert geht. (Bild: gemeinfrei/Gerd Altmann)")