Mobile-Menu

Automotive Software

Update zur ISO 26262 – Funktionale Sicherheit für Straßenfahrzeuge

Seite: 2/2

Anbieter zum Thema

Axivion GmbH
Parasoft® Deutschland GmbH
RTI Real-Time Innovations

Anwendung der ISO 26262 auf Halbleiter

Nachdem es nach Veröffentlichung der aktuellen Ausgabe der ISO 26262 [1] immer wieder Unklarheiten bezüglich ihrer Anwendung auf Halbleiter gab, hat sich in den vergangenen Jahren eine Arbeitsgruppe mit dieser Fragestellung beschäftigt und eine zweibändige Norm dazu erarbeitet [5]:

  • ISO/PAS 19451 Band 1 („Application of concepts“) beschäftigt sich mit Fragestellungen zu „Analogue/mixed signal components“, „Intellectual property“, „Multi-core components“, „Programmable logic devices (PLD)“, „Base failure rate estimation“ und mit „DFA for semiconductors“
  • ISO/PAS 19451 Band 2 („Application of hardware qualification“) konkretisiert bzw. erläutert Kap. 13 aus Band 8 der ISO 26262 („Qualification of hardware components“). Insbesondere wird die Hardware-Qualifikation explizit in den Gesamtkontext der ISO 26262-konformen Entwicklung eingeordnet als alternativen Pfad zur Entwicklung nach Band 5.

Diese beiden informativen Guidelines werden in die zukünftige ISO 26262 in Band 8 bzw. als zusätzlicher Band 11 eingearbeitet und nach Veröffentlichung der 2nd Edition [3] wieder zurückgezogen.

Bildergalerie
Bildergalerie mit 8 Bildern

Objective-orientierte Functional Safety Audits / Assessments

In der aktuellen ISO 26262 [1] wird bei FS-Audits / -Assessments die Konformität mit der ISO 26262 anhand der Umsetzung der Anforderungen („requirements“) überprüft, siehe zum Beispiel bzgl. FS-Assessments in Band 2, Kap. C.4.1: „Evaluation of the compliance of the work products required by the safety plan with the corresponding requirements of ISO 26262 […]“.

In der 2nd Edition der ISO 26262 wird die mögliche Orientierung an der Erreichung der Ziele („objectives“) expliziter herausgestellt [2], Band 2, Annex G:

„Compliance with the requirements of ISO 26262 can provide the functional assessor with sufficient confidence in the achievement of functional safety. However, in the case of non-compliances with ISO 26262 requirements, rationales can be provided that show the objectives, of these requirements, are achieved […]. If the rationale convinces the safety assessor, the objective can be judged as being achieved […].

If all the applicable ISO 26262 objectives are achieved, functional safety can be judged as being achieved […].“

Es geht also primär darum, den Functional Safety Assessor davon zu überzeugen, dass die Funktionale Sicherheit erreicht wurde. Dies kann auf Basis der Konformität mit den Anforderungen, kann aber auch auf Grund der Erreichung der zu Grunde liegenden Ziele erfolgen.

Der Zusammenhang zwischen Functional Safety Assessment, Functional Safety Audit und den übrigen Confirmation reviews ist in Bild 8 dargestellt.

Schnittstellen zu weiteren Disziplinen

Ein in letzter Zeit viel diskutiertes Thema ist die Automotive Security und ihr Zusammenspiel mit der Functional Safety, insbesondere da Manipulationen – sei es bewusst oder unbewusst – zu safety-kritischen Auswirkungen führen können [7]. Die Frage, die sich daher beim Start der Überarbeitung der ISO 26262 gestellt hat, war, ob neben den systematischen Fehlern und zufälligen Hardware-Fehlern auch das Feindbild der bewussten Manipulation in der ISO 26262 betrachtet werden sollte oder nicht.

Für die Betrachtung der Automotive Security wurde im Januar 2016 bei der SAE eine Guideline hierzu veröffentlicht [8], welche sich unter anderem explizit mit dem Zusammenspiel von Safety und Security beschäftigt. Darüber hinaus wurde im ISO Normungsgremium kürzlich ein Vorhaben zur Erarbeitung einer Automotive Security Norm gestartet.

Auf Grund dieser Aktivitäten bestand keine Notwendigkeit, das Thema Automotive Security in der ISO 26262 nochmal zu vertiefen. Allerdings finden wir im Band 2 des aktuellen Normentwurfs [2] eine lose Kopplung zur Security:

„The organization shall institute and maintain effective communication channels between functional safety, cybersecurity and other disciplines that are related to functional safety, if applicable.“ [2], Band 2, Kap. 5.4.2.3

Im Wesentlichen geht es also darum, organisatorische Kommunikationskanäle zu benachbarten Disziplinen zu institutionalisieren. Speziell die Schnittstelle zur Security wird im informativen Anhang F („Guidance on potential interaction of functional safety with cybersecurity“) nochmal aufgegriffen, wobei sich die hier gegebenen Hinweise auf recht allgemeinem Niveau bewegen.

Safety of the Intended Functionality (SOTIF)

Während die ISO 26262 als Feindbilder der funktionalen Sicherheit die Fehlfunktionen eines Systems adressiert, wird die Spezifikation der sicheren Sollfunktion nicht betrachtet – dies ist die Basis der funktionalen Sicherheit [6].

Dennoch stellt sich die Frage, wie die Sollfunktion zu spezifizieren bzw. zu entwickeln ist, so dass sie als hinreichend sicher angesehen werden kann. Dies wird als „Safety of the Intended Functionality“ (SOTIF) bezeichnet.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Die Betrachtung dieser Fragestellung hat man bewusst bei der Überarbeitung der ISO 26262 aus dieser ausgespart. Einerseits ist wenig sinnvoll, den Umfang der ISO 26262 durch Berücksichtigung dieses Themas weiter zu vergrößern. Andererseits besitzt das Thema SOTIF noch nicht die inhaltliche Reife, als dass man sich durch den doch recht strikten Zeitplan der ISO 26262 Einschränkungen in der Erarbeitung des Themas auferlegen lassen wollte.

Stattdessen wurde innerhalb des ISO 26262 eine SOTIF Arbeitsgruppe gebildet, die eine eigenständige Norm (ISO/PAS) hierzu vorbereitet.

Zusammenfassun: ISO 26262 in vollem Gange

Die Überarbeitung der ISO 26262 ist in vollem Gange: Der „Draft International Standard“ [2] ist veröffentlicht und die Kommentierung läuft. Aus den konsolidierten Kommentaren entsteht nach heutigem Stand bis 03/2018 die finale Version der ISO 26262:2018 [3]. Diese wird deutlich umfangreicher werden als die aktuelle Version [1], in der viele Punkte offen bzw. unklar geblieben sind und die mit der jetzigen Überarbeitung verbessert bzw. geklärt werden. Damit wird ein weiterer Schritt nach vorne in Richtung Praktikabilität gemacht, ohne Abstriche an der Funktionalen Sicherheit an sich zu machen.

Literatur

[1] ISO 26262:2011 “Road vehicles – Functional safety”: aktuell gültige Version (1st Edition) der ISO 26262 (veröffentlicht am 15.11.2011)

[2] ISO/DIS 26262:2016 “Road vehicles – Functional safety”: derzeit in Kommentierung/Abstimmung befindlicher Entwurf der 2nd Edition der ISO 26262 (“Draft International Standard”, veröffentlicht am 22.09.2016)

[3] ISO 26262:2018 “Road vehicles – Functional safety”: 2nd Edition der ISO 26262 (Veröffentlichung geplant gegen 03/2018)

[4] ISO/PAS 19695:2015 “Motorcyles – Functional safety” (“Publicly available specification”, veröffentlicht am 01.12.2015)

[5] ISO/PAS 19451:2016 “Application of ISO 26262 to semiconductors” (“Publicly available specification”, veröffentlicht am 15.07.2016)

[6] Stefan Kriso: “Die Grenzen der ISO 26262 - Professioneller Umgang mit Lücken in der Sicherheitsnorm.” ESE-Kongress 2014, Sindelfingen

[7] Stefan Kriso: “Automotive Security im Kontext der Funktionssicherheit – Wie Safety und Security zusammenhängen”. ESE-Kongeress 2015, Sindelfingen

[8] SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, SAE 2016

* Stefan Kriso leitet bei Bosch das „Center of Competence Functional Safety“.

(ID:44400282)