Lieferantenmanagement: Risiken werden oft unterschätzt

Nicht nur die Chip-Krise bedroht Embedded-Hersteller Lieferantenmanagement: Risiken werden oft unterschätzt

30.06.2021 Von Frank Riemenschneider *

Anbieter zum Thema

Die Qualität eines Lieferanten für Embedded Hard- und Software kann über Erfolg oder Misserfolg eines Projektes entscheiden. Ein universelles Embedded-Software-Ökosystem befreit Anwender von nachteiligen Abhängigkeiten und minimiert Risiken im Entwicklungsprozess.

Unter Spannung: Viele Lieferketten sind derzeit sehr angespannt, manche bereits gerissen. Abhängigkeiten von einzelnen Anbietern verschlimmern die Situation.
(Bild: gemeinfrei / Unsplash)

Seitdem die Chip-Krise zum Stillstand von Bändern in der Autoindustrie geführt hat, ist das Lieferantenmanagement zu einem heißdiskutierten Thema geworden. Neben der wiederholten Verknappung von Halbleitern gibt es weitere Risiken, die Unternehmen bei der Lieferantenauswahl berücksichtigen sollten. Dieser Artikel beschreibt Gegenmaßnahmen für gängige Bedrohungen und erklärt, warum Seggers emPower OS Risiken minimieren kann.

Die Automobilindustrie galt und gilt als Vorzeigebeispiel für bis ins letzte Detail optimierte Prozesse, was natürlich auch Risiko- und Lieferantenmanagement einschließt. Wie eine aktuelle Studie zeigt [2], gibt es aber selbst dort noch erheblichen Handlungsbedarf beim Thema Risikomanagement. Die Frage ist: Wenn dies selbst in der Autoindustrie der Fall ist, wie sieht es erst bei kleinen und mittelgroßen Industriebetrieben (Small Medium Enterprises, SMEs) aus?

Bildergalerie

Bild 2: Vergleich von vier Vorgehensweisen beim Lieferstopp eines Mikrocontrollers.

Bild 1: Foundry TSMC-Umsätze nach Anwendungen im Jahr 2020.

Derzeit wird nicht nur in Fachzeitschriften, sondern auch in renommierten Wirtschafts- und Tageszeitungen täglich darüber berichtet, wie sehr die deutsche (Auto-)Industrie unter der Chip-Knappheit leidet. Der Hauptgrund ist, dass die weltgrößte Foundry TSMC anderen, nicht-industriellen Anwendungen höchste Priorität einräumt, was angesichts der Umsatzverteilung sofort nachvollziehbar ist (Bild 1).

Die wachsende Abhängigkeit der Automobilindustrie und vieler anderer Branchen von einigen wenigen Chipproduzenten in Asien ist zu einer ernsthaften Bedrohung geworden, die Europa jahrzehntelang ignoriert hat. Auch Ankündigungen der großen Halbleiterhersteller, bei den immer geringeren Strukturgrößen Mikrocontroller zunehmend bei TSMC statt in eigenen Fabriken fertigen zu lassen, wurde vielerorts als zusätzliches Risiko ignoriert.

Die Politik war der Meinung, dass Halbleiter, ähnlich wie Schrauben, Produkte sind, die man bei Bedarf anderswo auf dem Weltmarkt kaufen kann. Dieser kritische Irrtum wird wohl noch mindestens bis 2022 nachwirken.

emPower OS von Segger beseitigt Abhängigkeiten von Herstellern, herstellerspezifischen Toolchains und herstellerspezifischen Softwarebibliotheken und minimiert darüber hinaus weitere Risiken, die unabhängig von der Chip-Knappheit im Entwicklungsprozess auftreten können.

Welches sind die wichtigsten Risikokategorien für Embedded-Entwickler?

Potenzielle Risiken lassen sich grob in drei Kategorien einteilen:

Produktrisiken: Sind mögliche Lieferengpässe bei Rohstoffen/Produkten und damit eine Preiserhöhung zu erwarten? Gibt es gesetzliche Änderungen oder Neuerungen?

Unternehmensrisiken: Wie stabil ist der Lieferant? Kann sein Image Auswirkungen auf die Reputation meines Unternehmens haben? Arbeitet er nachhaltig im Hinblick auf Umwelt und Gesellschaft? Ist er zuverlässig? Wie sieht es mit Qualität und Innovationsbereitschaft aus?

Länderrisiken: Kann die finanzielle Stabilität eines Landes meine Lieferkette beeinflussen? Wie sieht es mit Compliance (Korruption) aus? Müssen besondere Rechte oder Vorschriften beachtet werden? Können regionale Naturgefahren oder Pandemien Auswirkungen auf mein Geschäft haben?

Die Liste möglicher Risikoindikatoren ist lang und könnte fortgesetzt werden. Doch nicht jedes Kriterium hat Auswirkungen auf jedes Unternehmen. Vielmehr ist es wichtig, ein individuelles Risikomanagementprofil zu entwickeln, das auf die spezifische Situation einer Einkaufsorganisation eingeht. Im Anhang finden Sie eine Checkliste, die hilft, potenzielle Risiken für Embedded Entwickler zu bewerten und zu minimieren.

Risikoreduzierung durch den Einsatz von Segger emPower OS

Betrachtet man die einzelnen Risikokategorien, so gibt es zumindest einige Punkte, die branchen- und lieferantenübergreifend zu beachten sind, obwohl jeder Einkäufer von Embedded Hard- und Software spezifische Bedarfe hat.

Produkt-Risiken

Beginnend mit den Produktrisiken ist die Chip-Knappheit nur die Spitze des Eisbergs. Fast jeder IC-Hersteller bietet neben dem reinen Silizium auch eigene IDEs und Softwarekomponenten für seine Bausteine an. Nicht selten werden Partnerschaften mit einzelnen Cloud-Anbietern geschlossen, um dem Kunden alles aus einer Hand zu bieten, inklusive Cloud-Anbindung. Und das alles meist kostenlos, was auf den ersten Blick verlockend erscheint.

Was damit aber einhergeht, ist die „Bindung“ der Kunden an genau diese Chips von diesem Hersteller in Kombination mit diesem Cloud-Anbieter. Ein Wechsel zu einem anderen Hersteller erfordert in der Regel einen unrealistischen Aufwand für die Portierung der Software, ganz zu schweigen vom erneuten Testen und Debuggen.

Hier setzt emPower OS an: Der Code ist zwischen Mikrocontrollern portierbar und stellt daher Agilität und minimale Produktionsunterbrechung sicher, wenn ein Kunde gezwungen ist, den Mikrocontroller zu wechseln. Das OS unterstützt alle gängigen Mikrocontroller und Mikroprozessoren auf dem Markt und bietet eine Out-of-the-Box-Erfahrung für fast 1.000 Chips.

Der Kunde kann seine Anwendungen einfach in ein paar Tagen statt in Monaten portieren und ist keinen hohen Risiken ausgesetzt, da die Anwendungssoftware des Kunden nicht geändert werden muss. Darüber hinaus ist auch der Austausch von Cloud-Anbietern einfach, da emPower OS mit allen gängigen Cloud-Anbietern verbunden werden kann.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 15.04.2021

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Unternehmensrisiken

Noch größere Risiken lauern – zumindest quantitativ – bei den Zulieferern selbst. Generell ist eine Übernahme – von denen es in der Halbleiter- und Softwareindustrie in der Vergangenheit reichlich gab – oder gar eine Insolvenz nie ganz auszuschließen, ebenso wenig wie die Aufgabe von „nicht mehr strategischen“ Geschäftsfeldern, die möglicherweise einfach zu geringe Margen abwerfen.

Ein Beispiel ist der Kauf des ehemals unabhängigen Embedded-Software-Anbieters Micrium durch den Halbleiterhersteller Silicon Labs, dessen primäres und verständliches Interesse natürlich darin besteht, seine Chips zu verkaufen und zu unterstützen und nicht die von STMicroelectronics, NXP, Renesas oder Microchip.

Auch hier ist der Kunde durch den Einsatz von emPower OS unabhängig von einzelnen Lieferanten und Produkten. Die Zielhardware und die begleitenden Cloud-Services funktionieren, ohne sich auf eine einzige Infrastruktur festlegen zu müssen. Diese geringere Abhängigkeit bedeutet ein geringeres Risiko gegen Abkündigungen.

Bei Entwicklungsumgebungen und Embedded-Software-Bibliotheken stellt sich die Frage, welche Art von Lizenz der Kunde hat. Ist es mit dieser Lizenz möglich, im Falle einer Insolvenz oder Übernahme von einem Produkt auf ein anderes zu migrieren oder mit dem lizenzierten Produkt weiter zu arbeiten? Falls möglich, wie schwierig ist es, welche Ressourcen werden benötigt, und kann man es selbst weiterentwickeln? Bei einem Lizenz-Abonnement-Modell beispielsweise ist der Kunde formal nicht der Eigentümer der Software. Wenn der Hersteller nicht mehr existiert, gibt es oft keine Möglichkeit mehr, die Software weiterzuführen.

Ein anderes Beispiel ist das Software-Lizenzmanagement, bei dem einige Anbieter mit Hardware-Locks (Dongles) oder Netzwerklizenzen arbeiten. Während man bei letzteren den administrativen Aufwand nicht außer Acht lassen darf (welcher Mitarbeiter darf wann mit welcher Lizenz arbeiten), bedeutet ein kaputter Dongle, dass die Arbeit erst einmal stillsteht.

Und dann ist da noch die Frage der Softwarequalität. Eine Evaluierungsversion ohne vollen Funktionsumfang bedeutet, dass Anwender Teile der Software nicht evaluieren können – sie müssen sich auf das Versprechen des Anbieters verlassen, dass diese nicht freigegebenen Teile die geforderten Qualitätsstandards erfüllen.

Seggers Lizenzierungsmodell für emPower OS ist einfach und risikofrei für den Kunden: emPower OS kann im Quellcode geliefert werden, was volle Transparenz und Portabilität ermöglicht. Es gibt keine undurchsichtigen Bibliotheken. Unter der kommerziellen Lizenzierung von Segger ist emPower OS lizenzgebührenfrei. Das bedeutet, dass jede erworbene Lizenz eine einmalige Zahlung ist, wodurch die Software zu einem Teil der Gerätekosten wird. Diese Kosten sind statisch. Für Schulungs- und Evaluierungszwecke ist die Nutzung der Objektcode-Bibliotheken kostenlos. Der Kunde kann die Vollversion mit vollem Funktionsumfang testen, bevor er die Software lizenziert.

Relevant für die effektiven Produktkosten einer Software sind auch die Fragen, ob und in welchem Umfang ein Anbieter bereit ist, bei Anpassungsbedarf seiner Software überhaupt mit einzelnen Kunden zusammenzuarbeiten und welche Unterstützung angeboten wird. Dies gilt insbesondere dann, wenn Softwarekomponenten von mehreren Lieferanten bezogen werden, die dann optimal zusammenarbeiten müssen. Denn ein „Out of the Box“-Erlebnis wird in solchen Fällen kaum möglich sein: Ein RTOS von Anbieter A, ein IP-Stack von Anbieter B, ein Krypto- und Sicherheitsmodul von Anbieter C, all das wird einen mehr oder weniger manuellen Anpassungsaufwand erfordern. Handelt es sich bei dem Kunden um Apple oder Samsung, wird die Unterstützung durch den Lieferanten wahrscheinlich nicht ausbleiben, aber was ist mit kleinen oder mittelständischen Unternehmen, die zahlenmäßig viel größer sind?

emPower OS bietet alle Komponenten, die ein Softwareentwickler für die Entwicklung von Embedded-Anwendungen benötigt. Dazu gehören ein Echtzeit-Betriebssystem, drahtgebundene und drahtlose Konnektivität, Gleitkomma-Arithmetik, Datenkompression und Sicherheit bei der Anbindung an die Cloud. Es besteht keine Notwendigkeit, Software von Drittanbietern zu integrieren, was die Risiken und Kosten des Entwicklungsprozesses reduziert. Darüber hinaus wird emPower OS von Segger-Ingenieuren unterstützt und kontinuierlich verbessert und erweitert, und die Segger-Entwickler arbeiten gerne mit individuellen Kunden zusammen, um eine Lösung auch für exotische Hardware zu finden.

Länderrisiken

Vor einigen Jahren erlangte die sogenannte „Entity List“ der US-Regierung, eine Art schwarze Liste chinesischer Unternehmen, Berühmtheit unter den Länderrisiken. Nicht nur, dass US-Firmen eine Sondergenehmigung benötigen, um die gelisteten Firmen mit ihren Produkten zu beliefern, auch für die Lieferung von Produkten, die geistiges Eigentum oder Komponenten von US-Firmen enthalten oder in den USA entwickelt wurden, ist eine Lizenz erforderlich.

Es kann daher sicher nicht schaden, beim Einkauf von Hard- und Softwarekomponenten bei Lieferanten darauf zu achten, dass diese Komponenten eingebaut werden können, ohne dass das damit entwickelte Endprodukt von Exportbeschränkungen betroffen ist. Im schlimmsten Fall würde dies ein teures und zeitaufwändiges Redesign erfordern.

emPower OS ist nicht durch eine virale Lizenz abgedeckt, daher drohen keine Rechtsstreitigkeiten mit der FSF oder anderen Urheberrechtsinhabern wegen Nichteinhaltung, die möglicherweise die Offenlegung des Quellcodes erzwingen. Außerdem wird es in Westeuropa entwickelt und ist nicht mit US-Exportbeschränkungen belastet und enthält keinen in den USA entwickelten Code.

Mit Segger emPower OS unnötige Risiken vermeiden

Segger Microcontroller bietet standardmäßig Risikominimierung: Seggers IDE- und Embedded-Software-Komponenten, die über viele Jahre entwickelt, getestet und erprobt wurden, sind in seinem „All in One” emPower OS gebündelt. emPower OS kann für alle Zwecke und Anwendungen lizenziert werden – unabhängig von Herstellern und Cloud-Anbietern – und kann unter Seggers „Friendly License” vollständig evaluiert werden.

emPower OS unterstützt fast 1.000 Board Support Packages (BSPs) und Treibern z.B. für Ethernet und USB - hersteller- und chipübergreifend. Kunden von emPower OS haben somit die Möglichkeit, in Zeiten der Chip-Krise ohne großen Software-Portierungsaufwand von einem Hersteller zum anderen zu wechseln. Bild 2 zeigt im Fall der Nichtlieferbarkeit eines bislang eingesetzten Controllers vier verschiedene Vorgehensmodelle für die Kunden, die jeweiligen Redesign-Aufwände und Dauer des Produktionsstopps. Angenommen wurde, dass die Aktivitäten zu einem Zeitpunkt begonnen werden können, wo die Produktion durch Lagerbestände noch eine Zeit lang aufrechterhalten werden kann. Einer bekannten Industriefirma ist es gelungen, mit emPower OS innerhalb von zwei Wochen ein Redesign für eine Antriebssteuerung von einer nicht lieferbaren Arm-Cortex-M4-MCU eines großen Herstellers auf lieferbare Cortex-M4-Controller eines anderen Herstellers vorzunehmen und die Produktion damit nahtlos fortzuführen.

Zusammenfassend lässt sich sagen, dass emPower OS ein komplettes Embedded-Betriebssystem ist, das alle Embedded-Anwendungsfälle von Edge/Cloud/IoT bis hin zur industriellen Steuerung und vieles mehr abdeckt. emPower OS ist eine hoch skalierbare Lösung. Es läuft auf Geräten aller Größenordnungen; von winzigen Ultra-Low-Power-Geräten bis hin zu Hochleistungsmaschinen. Das bedeutet, dass es sich für viele Arten von Unternehmens- und Geschäftsanwendungen eignet. Nicht benötigte Bibliotheken werden nicht mit der Firmware verknüpft, so dass Platz für die eigentliche Anwendung bleibt.

Die Segger-Software ist zu einem einmaligen Festpreis ohne versteckte Folgekosten erhältlich. Der Kunde ist immer Eigentümer der Produktlizenz, die als Quellcode für alle Produkte einschließlich der IDE Embedded Studio zur Verfügung steht. Und alles ist „Made in Germany“.

Checkliste zur Risikobewertung und -minimierung

Um die genannten und weitere Risiken zu vermeiden, ist in jedem Fall eine individuelle Bestandsaufnahme und Strategie erforderlich - es gibt keine Risikoanalyse von der Stange und schon gar keine Maßnahmen zum Risikomanagement von der Stange. Dennoch gibt es einige allgemeine Maßnahmen, die immer zur Risikominimierung beitragen, zum Beispiel:

• Lieferanten, die Komponenten aus Regionen verwenden, die nicht von Handelskriegen betroffen sind und ihre Produkte auch dort entwickeln und fertigen (z.B. Europa).

• Lieferanten, die kein Abo-Lizensierungs-Modell verwenden und idealerweise auch den Quellcode der von ihnen lizenzierten Software offenlegen, um dem Kunden im „Worst-Case-Szenario“ die Weiterentwicklung und Migration auf andere Hardware zu ermöglichen.

• Anbieter, deren Software herstellerunabhängig auf möglichst vielen Mikrocontrollern und Mikroprozessoren und bei möglichst vielen Cloud-Anbietern funktioniert und damit besonders „migrationsfreundlich“ ist - und auch langfristig eine „Bindung“ an bestimmte Hersteller mit den daraus resultierenden Abhängigkeiten verhindert.

• Anbieter, die Softwarekomponenten für alle denkbaren Embedded-Anwendungen (und nicht nur für eine Teilmenge) anbieten und in Kombination funktionieren.

• Anbieter, die bei der Evaluierung von Software den vollen Funktionsumfang anbieten, so dass das Produkt vor einem Kauf vollständig getestet werden kann.

• Anbieter, deren Lizenzierungsmodelle keine umständlich zu verwaltenden Dongles oder Netzwerklizenzen beinhalten.

• Anbieter, die bereit sind, bei notwendigen Anpassungen mit Kunden zusammenzuarbeiten und diese zu unterstützen, auch bei Standardprodukten.

* Frank Riemenschneider ist Senior-Marketing- und PR-Manager bei Segger Microcontroller