Mobile-Menu

Automotive Software Update zur ISO 26262 – Funktionale Sicherheit für Straßenfahrzeuge

Anbieter zum Thema

Axivion GmbH
Parasoft® Deutschland GmbH
RTI Real-Time Innovations

Der Artikel gibt einen groben Einblick in die Roadmap zur ISO 26262 sowie in die Themenfelder, die sich in der 2nd Edition ändern beziehungsweise neu hinzukommen.

Nachdem es mit der ISO 26262 1st Edition, veröffentlicht am 15.11.2011, immer wieder Unklarheiten bezüglich ihrer Anwendung auf Halbleiter gab, hat sich eine Arbeitsgruppe mit dieser Fragestellung beschäftigt und eine zweibändige Norm dazu erarbeitet.
Nachdem es mit der ISO 26262 1st Edition, veröffentlicht am 15.11.2011, immer wieder Unklarheiten bezüglich ihrer Anwendung auf Halbleiter gab, hat sich eine Arbeitsgruppe mit dieser Fragestellung beschäftigt und eine zweibändige Norm dazu erarbeitet.
(Bild: Clipdealer)

Derzeit arbeitet die Automobilindustrie mit Hochdruck an der Überarbeitung der ISO 26262 (Funktionale Sicherheit für Straßenfahrzeuge). Im September 2016 wurde die der erste Entwurf, der "Draft International Standard" (DIS) veröffentlicht, der momentan international kommentiert wird und zur Abstimmung ansteht. Er bildet die Grundlage für die endgültige 2nd Edition der ISO 26262. Deren Veröffentlichung ist gegen März 2018 zu erwarten.

Schon jetzt ist abzusehen, dass es umfangreiche Änderungen bzw. Neuerungen geben wird – allein gemessen an den Seitenzahlen übertrifft der aktuell vorliegende Entwurf die aktuell veröffentlichte Version der ISO 26262 um mehr als 50 %.

Bildergalerie
Bildergalerie mit 8 Bildern

Aktueller Status und Roadmap

Nach Veröffentlichung der aktuellen ISO 26262 [1] beschloss das für die Erarbeitung zuständige Normungsgremium ISO TC22/SC32/WG08 den Prozess zur Überarbeitung der Norm im Januar 2015 zu starten. Durch Festlegung auf die 36-Monats-Roadmap der ISO folgt daraus als Zieltermin für die Veröffentlichung der 2nd Edition der Januar 2018, wobei durch leichte Verschiebungen in der Roadmap derzeit der März 2018 geplant ist.

In der Zeit zwischen Veröffentlichung der ISO 26262 [1] und dem Start der Aktivitäten zur 2nd Edition waren die Experten in den Normungsgremien allerdings nicht untätig. Im für Motorräder zuständigen Gremium ISO TC23/SC38 wurde unter Mitarbeit von Experten der ISO TC22/SC32/WG08 erarbeitet, wie die ISO 26262 auf Motorräder anzuwenden ist. Resultat ist der ISO/PAS 19695 [4], der seit 01.12.2015 öffentlich zur Verfügung steht. Der PAS soll als zusätzlicher Band 12 in die 2nd Edition der ISO 26262 [3] integriert und nach Veröffentlichung der 2nd Edition zurückgezogen werden.

Eine Unterarbeitsgruppe der ISO TC22/SC32/WG08 hat sich mit der Frage beschäftigt, wie die ISO 26262 auf Halbleiter anzuwenden ist. Hintergrund ist, dass die in der ISO 26262 [1] formulierten Anforderungen sich als sehr unklar und schwer umsetzbar erwiesen haben und daher Klärungsbedarf bestand. Resultat sind die beiden Bände des ISO/PAS 19451 [5], welche im Juli 2016 veröffentlicht wurden. Die Inhalte sollen in Band 5 einfließen sowie als zusätzlicher Band 11 in die 2nd Edition der ISO 26262 [3] übernommen werden. Mit Veröffentlichung der 2nd Edition soll der PAS zurückgezogen werden.

Eine weitere Unterarbeitsgruppe der ISO TC22/SC32/WG08 hat erarbeitet, wie Trucks und Busse in der ISO 26262 berücksichtigt werden können. Die Ergebnisse dieser Arbeitsgruppe wurden allerdings nicht in einem separaten Standard dokumentiert und veröffentlicht, sondern sind direkt in den Text der zukünftigen 2nd Edition der ISO 26262 [3] eingeflossen und werden im Rahmen der regulären Kommentierungs- und Abstimmungsphasen diskutiert.

Aktuell liegt der „Draft International Standard“ ISO/DIS 26262:2016 [2] als veröffentlichter Zwischenstand vor (siehe auch Bild 1). Die derzeitige Abstimmungsphase endet am 13.12.2016. Anschließend werden die eingegangenen Kommentare bewertet und eingearbeitet, so dass daraus bis Ende 2017 der „Final Draft International Standard“ (FDIS) entsteht, über den wiederum international abgestimmt wird. Bei positivem Abstimmungsergebnis wird er Anfang 2018 als finale 2nd Edition der ISO 26262 veröffentlicht werden.

Bild 3: Umfang der Änderungen ISO 26262:2011 [1] vs. ISO/DIS 26262:2016 [2] basierend auf der Anzahl der Seiten pro Band.
Bild 3: Umfang der Änderungen ISO 26262:2011 [1] vs. ISO/DIS 26262:2016 [2] basierend auf der Anzahl der Seiten pro Band.
(Bild: ISO 26262:2011 / ISO/DIS 26262:2016)

Basierend auf dem aktuell veröffentlichten Entwurfsstand [2] wird die 2nd Edition aus verschiedenen Teilen (siehe Bild 2) bestehen. Neben den schon bestehenden Teilen 1 bis 10 kommen neu hinzu der informative Band 11 („Guideline on application of ISO 26262 to seminconductors“) sowie der Band 12 („Adaptation for motorcycles“).

Ohne zunächst auf die konkreten Änderungen einzugehen, gibt Bild 3 einen Eindruck vom Mengengerüst der neuen Norm.

Ausweitung des Scopes auf alle Straßenfahrzeuge

Augenfälligste Änderung in der 2nd Edition ist die Ausweitung des Scopes auf alle Straßenfahrzeuge: „ISO 26262 is intended to be applied to safety-related systems that include one or more electrical and/or electronic (E/E) systems and that are installed in series production road vehicles, excluding mopeds.“ [2].

Damit sind insbesondere die Straßenfahrzeuge im Scope der ISO 26262, die in der aktuellen Ausgabe [1] noch nicht explizit adressiert waren, auf die die ISO 26262 aber in der Vergangenheit schon angewendet wurde (z.B. Motorräder, Trucks, Busse). Die Berücksichtigung dieser Straßenfahrzeuge beschränkt sich jedoch nicht nur auf diese Erweiterung des Scopes, sondern der Umgang mit ihnen wird auch explizit im weiteren Normtext beschrieben (siehe unten).

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Eine Ergänzende Bemerkung „Other dedicated application-specific safety standards exist and may complement ISO 26262 or vice versa.“ adressiert die Situation, dass es für bestimmte Applikationen bereits Standards zur funktionalen Sicherheit gibt. In diesem Fall ist es unter Umständen nicht notwendig, alle vorhandenen Normen vollständig umzusetzen, sondern sich eine sinnvolle Untermenge daraus zu definieren.

Die explizite Herausnahme der Mopeds aus dem Scope hat als Hintergrund zum einen den formalen Grund, dass das für Mopeds zuständige Normungsgremium nicht an der Erstellung der ISO 26262 beteiligt war. Zum anderen mag es der Tatsache Rechnung tragen, dass die ISO 26262 möglicherweise für Mopeds nicht oder nur schwierig anwendbar ist bzw. dass in diesem Umfeld schon andere geeignete applikationsspezifische Normen existieren.

Motorräder in der ISO 26262

Die Berücksichtigung von Motorrädern ist derzeit im ISO/PAS 19695 [4] beschrieben, dies wird als Band 12 in die 2nd Edition überführt werden (mit entsprechenden editorischen Anpassungen).

Prinzipielles Kernthema ist – neben weiteren Anpassungen unter anderem in den Bereichen „Confirmation measures“, „Vehicle integration and testing“ und „Safety validation“ – die auf der „Hazard analysis and risk assessment“ und dem MSIL (Motorcycle Safety Integrity Level) basierte Vorgehensweise:

  • Durchführung einer Gefährdungsanalyse und Risikobewertung analog zu Band 3 auf Basis von S-, E-, C-Klassifikationen. Hieraus resultieren Sicherheitsziele, welche mit einem MSIL im Bereich QM, MSIL A (niedrigste MSIL-Stufe) bis MSIL D (höchste Stufe) klassifiziert sind.
  • Übersetzung des MSIL in einen ASIL.
  • Umsetzung der Anforderungen der übrigen Bände ISO 26262 gemäß des „übersetzen“ ASILs, sofern keine abweichenden Anforderungen in Band 12 definiert werden.

Entscheidend ist, dass hier nicht einfach eine „Reduktion des ASIL stattfindet, sondern es wird zunächst eine motorradspezifische Gefährdungsanalyse und Risikobewertung durchgeführt. Diese führt im Vergleich zu einem Personenkraftwagen prinzipiell zu einem anderen Ergebnis (andere Beherrschbarkeit oder Auswirkungsschwere). Eine Umsetzung eines mit MSIL X klassifizierten Sicherheitsziels erfolgt demnach gemäß ISO 26262 mit der PKW-Einstufung ASIL X-1.

Des Weiteren gibt es Motorradspezifische Aspekte wo [4] bzw. [2] Band 12 entsprechend dedizierte Anforderungen formuliert, die die Anforderungen der restlichen Bände explizit ersetzen.

Trucks und Busse in der ISO 26262

Für Trucks und Busse wurde kein separate Norm (ISO/PAS) erstellt, sondern die Anforderungen an die funktionale Sicherheit wurden direkt in den Normentwurf [2] eingearbeitet. Die meisten Teile der ISO 26262 [2] machen im Wesentlichen keine Unterscheidung zwischen den Trucks und Bussen (T&B) und den übrigen Straßenfahrzeugen.

In Band 1 werden T&B-spezifische Begriffe definiert, zum Beispiel base vehicle, body builder, rebuilding, etc.

In Band 3 wird darauf hingewiesen, dass bei der Gefährdungsanalyse und Risikobewertung die verschiedenen T&B-spezifischen Gegebenheiten zu berücksichtigen sind, z.B. verschiedene Fahrzeugtypen oder unterschiedliche Betriebsmodi. Im Annex B werden informativ beispielhafte Exposure-Einstufungen für verschiedene Fahrzeugtypen angegeben.

In Band 8 wird auf zwei spezielle Fragestellungen bei den T&B eingegangen. Kapitel 15 („Interfacing a base vehicle or item in an application out of scope of ISO 26262“) beschäftigt sich mit der Frage der Schnittstelle zwischen einem nach ISO 26262 entwickeltem Item (z.B. Motorsteuerung) und einem nach einem anderen Standard entwickeltem System (z.B. Betonmischer) damit ein sicheres Gesamtsystem entsteht (Bild 5).

Kapitel 16 („Integration of safety-related systems not developed according to ISO 26262“) behandelt dagegen den umgekehrten Fall, wie ein nicht nach ISO 26262 entwickeltes Teilsystem in ein ISO 26262-konformes Gesamtsystem integriert werden kann (Bild 6).

In beiden Anwendungsfällen („Interfacing“ und „Integration“) ist Voraussetzung, dass der jeweils nicht nach ISO 26262 entwickelte Anteil nach einem anderen adäquaten Safety-Standard, zum Beispiel nach der Maschinenrichtlinie, entwickelt wurde und dass ein Verständnis erzielt wird, wie die Gesamtsystemsicherheit erreicht werden kann.

Im Anwendungsfall des „Interfacing“ führt dies im Ergebnis zu einer „Manufacturing guideline“, in welcher für den Integrator die Anforderungen beschrieben sind, die er zur Sicherstellung der Gesamtsystemsicherheit zu erfüllen hat. Im Anwendungsfall der „Integration“ muss der Integrator in einem „Safety rationale“ darlegen, wie bei der Integration eines nicht nach ISO 26262 entwickelten Teilsystems die Sicherheit auf Gesamtsystemebene dargestellt wird.

Anwendung der ISO 26262 auf Halbleiter

Nachdem es nach Veröffentlichung der aktuellen Ausgabe der ISO 26262 [1] immer wieder Unklarheiten bezüglich ihrer Anwendung auf Halbleiter gab, hat sich in den vergangenen Jahren eine Arbeitsgruppe mit dieser Fragestellung beschäftigt und eine zweibändige Norm dazu erarbeitet [5]:

  • ISO/PAS 19451 Band 1 („Application of concepts“) beschäftigt sich mit Fragestellungen zu „Analogue/mixed signal components“, „Intellectual property“, „Multi-core components“, „Programmable logic devices (PLD)“, „Base failure rate estimation“ und mit „DFA for semiconductors“
  • ISO/PAS 19451 Band 2 („Application of hardware qualification“) konkretisiert bzw. erläutert Kap. 13 aus Band 8 der ISO 26262 („Qualification of hardware components“). Insbesondere wird die Hardware-Qualifikation explizit in den Gesamtkontext der ISO 26262-konformen Entwicklung eingeordnet als alternativen Pfad zur Entwicklung nach Band 5.

Diese beiden informativen Guidelines werden in die zukünftige ISO 26262 in Band 8 bzw. als zusätzlicher Band 11 eingearbeitet und nach Veröffentlichung der 2nd Edition [3] wieder zurückgezogen.

Objective-orientierte Functional Safety Audits / Assessments

In der aktuellen ISO 26262 [1] wird bei FS-Audits / -Assessments die Konformität mit der ISO 26262 anhand der Umsetzung der Anforderungen („requirements“) überprüft, siehe zum Beispiel bzgl. FS-Assessments in Band 2, Kap. C.4.1: „Evaluation of the compliance of the work products required by the safety plan with the corresponding requirements of ISO 26262 […]“.

In der 2nd Edition der ISO 26262 wird die mögliche Orientierung an der Erreichung der Ziele („objectives“) expliziter herausgestellt [2], Band 2, Annex G:

„Compliance with the requirements of ISO 26262 can provide the functional assessor with sufficient confidence in the achievement of functional safety. However, in the case of non-compliances with ISO 26262 requirements, rationales can be provided that show the objectives, of these requirements, are achieved […]. If the rationale convinces the safety assessor, the objective can be judged as being achieved […].

If all the applicable ISO 26262 objectives are achieved, functional safety can be judged as being achieved […].“

Es geht also primär darum, den Functional Safety Assessor davon zu überzeugen, dass die Funktionale Sicherheit erreicht wurde. Dies kann auf Basis der Konformität mit den Anforderungen, kann aber auch auf Grund der Erreichung der zu Grunde liegenden Ziele erfolgen.

Der Zusammenhang zwischen Functional Safety Assessment, Functional Safety Audit und den übrigen Confirmation reviews ist in Bild 8 dargestellt.

Schnittstellen zu weiteren Disziplinen

Ein in letzter Zeit viel diskutiertes Thema ist die Automotive Security und ihr Zusammenspiel mit der Functional Safety, insbesondere da Manipulationen – sei es bewusst oder unbewusst – zu safety-kritischen Auswirkungen führen können [7]. Die Frage, die sich daher beim Start der Überarbeitung der ISO 26262 gestellt hat, war, ob neben den systematischen Fehlern und zufälligen Hardware-Fehlern auch das Feindbild der bewussten Manipulation in der ISO 26262 betrachtet werden sollte oder nicht.

Für die Betrachtung der Automotive Security wurde im Januar 2016 bei der SAE eine Guideline hierzu veröffentlicht [8], welche sich unter anderem explizit mit dem Zusammenspiel von Safety und Security beschäftigt. Darüber hinaus wurde im ISO Normungsgremium kürzlich ein Vorhaben zur Erarbeitung einer Automotive Security Norm gestartet.

Auf Grund dieser Aktivitäten bestand keine Notwendigkeit, das Thema Automotive Security in der ISO 26262 nochmal zu vertiefen. Allerdings finden wir im Band 2 des aktuellen Normentwurfs [2] eine lose Kopplung zur Security:

„The organization shall institute and maintain effective communication channels between functional safety, cybersecurity and other disciplines that are related to functional safety, if applicable.“ [2], Band 2, Kap. 5.4.2.3

Im Wesentlichen geht es also darum, organisatorische Kommunikationskanäle zu benachbarten Disziplinen zu institutionalisieren. Speziell die Schnittstelle zur Security wird im informativen Anhang F („Guidance on potential interaction of functional safety with cybersecurity“) nochmal aufgegriffen, wobei sich die hier gegebenen Hinweise auf recht allgemeinem Niveau bewegen.

Safety of the Intended Functionality (SOTIF)

Während die ISO 26262 als Feindbilder der funktionalen Sicherheit die Fehlfunktionen eines Systems adressiert, wird die Spezifikation der sicheren Sollfunktion nicht betrachtet – dies ist die Basis der funktionalen Sicherheit [6].

Dennoch stellt sich die Frage, wie die Sollfunktion zu spezifizieren bzw. zu entwickeln ist, so dass sie als hinreichend sicher angesehen werden kann. Dies wird als „Safety of the Intended Functionality“ (SOTIF) bezeichnet.

Die Betrachtung dieser Fragestellung hat man bewusst bei der Überarbeitung der ISO 26262 aus dieser ausgespart. Einerseits ist wenig sinnvoll, den Umfang der ISO 26262 durch Berücksichtigung dieses Themas weiter zu vergrößern. Andererseits besitzt das Thema SOTIF noch nicht die inhaltliche Reife, als dass man sich durch den doch recht strikten Zeitplan der ISO 26262 Einschränkungen in der Erarbeitung des Themas auferlegen lassen wollte.

Stattdessen wurde innerhalb des ISO 26262 eine SOTIF Arbeitsgruppe gebildet, die eine eigenständige Norm (ISO/PAS) hierzu vorbereitet.

Zusammenfassun: ISO 26262 in vollem Gange

Die Überarbeitung der ISO 26262 ist in vollem Gange: Der „Draft International Standard“ [2] ist veröffentlicht und die Kommentierung läuft. Aus den konsolidierten Kommentaren entsteht nach heutigem Stand bis 03/2018 die finale Version der ISO 26262:2018 [3]. Diese wird deutlich umfangreicher werden als die aktuelle Version [1], in der viele Punkte offen bzw. unklar geblieben sind und die mit der jetzigen Überarbeitung verbessert bzw. geklärt werden. Damit wird ein weiterer Schritt nach vorne in Richtung Praktikabilität gemacht, ohne Abstriche an der Funktionalen Sicherheit an sich zu machen.

Literatur

[1] ISO 26262:2011 “Road vehicles – Functional safety”: aktuell gültige Version (1st Edition) der ISO 26262 (veröffentlicht am 15.11.2011)

[2] ISO/DIS 26262:2016 “Road vehicles – Functional safety”: derzeit in Kommentierung/Abstimmung befindlicher Entwurf der 2nd Edition der ISO 26262 (“Draft International Standard”, veröffentlicht am 22.09.2016)

[3] ISO 26262:2018 “Road vehicles – Functional safety”: 2nd Edition der ISO 26262 (Veröffentlichung geplant gegen 03/2018)

[4] ISO/PAS 19695:2015 “Motorcyles – Functional safety” (“Publicly available specification”, veröffentlicht am 01.12.2015)

[5] ISO/PAS 19451:2016 “Application of ISO 26262 to semiconductors” (“Publicly available specification”, veröffentlicht am 15.07.2016)

[6] Stefan Kriso: “Die Grenzen der ISO 26262 - Professioneller Umgang mit Lücken in der Sicherheitsnorm.” ESE-Kongress 2014, Sindelfingen

[7] Stefan Kriso: “Automotive Security im Kontext der Funktionssicherheit – Wie Safety und Security zusammenhängen”. ESE-Kongeress 2015, Sindelfingen

[8] SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, SAE 2016

* Stefan Kriso leitet bei Bosch das „Center of Competence Functional Safety“.

(ID:44400282)