Funktionale Sicherheit: Wie macht man das? Andreas Stucki, Solcept AG

Größe: px

Ab Seite anzeigen:

Download "Funktionale Sicherheit: Wie macht man das? Andreas Stucki, Solcept AG"

Tomas Sternberg
vor 6 Jahren
Abrufe

1 Funktionale Sicherheit: Wie macht man das? Andreas Stucki, Solcept AG 1

2 Ach ja, und der Kunde verlangt noch SIL 3... Was in den Normen steht... klare Unklarheit 2

3 Was kommt in den nächsten 30 Minuten auf Sie zu? Was, wieso, was heisst das? Einführung/ Begriffe Was tut der Ingenieur? Engineering Was tut das Projektteam? Support/ Projektmanagement Was tut die Firma? Prozessmanagement Wie kommt man da hin? Was möchten Sie noch wissen? Fragen 3

4 Um was geht es überhaupt? Scope dieses Vortrages embedded Software/ Hardware Entwicklung d.h. ohne restlichen Lebenszyklus: Produktion..Entsorgung Startpunkt normale Entwicklung Achtung QM / DAL E ist bereits mehr! 4

5 Wer hat's erfunden? Etwas Geschichte DO-178 (1982, US, Airliner) Grundkonzepte, Mutter aller Normen IEC (1998, D, Chemie) Schirmnorm: viele abgeleitete Normen für Branchen (same but different...) 5

6 Was heisst denn...? Begriffe Funktionale Sicherheit Sicherheit, die von der Funktion abhängt (nicht Atex, Hochspannung...) Systematische/ zufällige Fehler eingebaut im Design/ treten zufällig auf (nur in Hardware!) Artefakt 6 Produkt (Dokument, Code, Daten...)

7 Wieso machen die das? Grundprinzipien 1 Prozesse strukturiertes Vorgehen Use Quality to Manage Risk Divide & Conquer Planung 7

8 Wieso machen die das? Grundprinzipien 2 Evidenz was nicht geschrieben ist, gibt es nicht: Recht... 4(..6) Augen Prinzip Review, Review... Gesamtsystem-"Zertifizierung" grundsätzlich: Flugzeug, Produkt, Fahrzeug... 8

9 Was tut der Ingenieur? Hazard/ Risiko Analyse SIL/ DAL/ ASIL/ PL hergeleitet von Schaden & Häufigkeit 9

10 Was tut der Ingenieur? Sicherheitsanalysen 1 Auf jedem Level System/ Subsystem/ Komponente/ Funktion Viele Varianten wichtigste: FTA & FMEA 10

11 Was tut der Ingenieur? Sicherheitsanalysen 2 FTA deduktiv: vom Fehler zur Ursache Einsatz: (System-)Design, top-down FMEA induktiv: von der Ursache zum Fehler Analyse, bottom-up 11

12 Was tut der Ingenieur? Sicherheitsanalysen: FTA Fault Tree (Fehlerbaum) Analyse qualitativ quantitativ 12

13 Was tut der Ingenieur? Sicherheitsanalysen: FMEA Failure Modes and Effects Analysis qualitativ quantitativ FMEDA mit Diagnose: HW & SW... 13

14 Was tut der Ingenieur? V-Modell Data Mangement Modell nicht Gantt Chart 14

15 Was tut der Ingenieur? Requirement Traceability 1 Anforderungen! horizontal/ vertikal & bidirektional derived Anfoderungen d.h. nicht rückführbar auf höhere Ebene benötigen Sicherheitsanalyse: möglichst vermeiden 15

16 Was tut der Ingenieur? Requirement Traceability 2 16

17 Was tut der Ingenieur? Verifikation Reviews für alle Artefakte Checklisten Evidenz! Tests Testspezifikationen, Testinstruktionen Evidenz 17

18 Was tut der Ingenieur? Verifikation: Tests Anfoderungs-basiert kein Test ohne Anforderung (explizit in DO-178C: Luftfahrt) Coverage Analyse aller Code getestet (inkl. alle Branches genommen) nicht Coverage Test: Analyse ob Tests allen Code abdecken 18

19 Was tut der Ingenieur? Interne Standards Design Standards hierarchisch, no hidden data flow... Coding: sicheres Subset der Sprache Codierstandards, z.b. MISRA Tool: statische Analyse 19

20 Was tut der Ingenieur? Qualität Komponenten AEC-Q Industrieerfahrung Ausfallwahrscheinlichkeiten Standards meist alt: Evidenz!? 20

21 Was tut der Ingenieur? Tools Tool Klassifizierung kann das Tool Fehler generieren? Tool Qualification zeigen, dass das Tool diese Fehler nicht generiert 21

22 Was tut das Projektteam? Konfigurationsmanagement was passt/ gehört zusammen alle Artefakte! Releases machen, inkl. Audit Aufbewahrung in 20 Jahren dasselbe Binary erstellen... 22

23 Was tut das Projektteam? Änderungsmanagement nach dem ersten formalen Release! Change Control Board definierter Ablauf mit Evidenz braucht es die Änderung wirklich? wie wirkt sich die Änderung auf Sicherheit aus? Verifikation der Änderungen 23

24 Was tut das Projektteam? Pläne Prozesse, Rollen, Verantwortlichekeiten... als Pläne zusammengefasst Safety Plan/ PXAC... Verifikationsplan Konfigurationsmamagementplan... 24

25 Was tut das Projektteam? Audits Unabhängigkeit für wichtige Artefakte, je nach Level 6 Augen Prinzip häufig durch Dritte ( TÜV, Kunde, Autoritäten (EASA)) 25

26 Was tut das Projektteam? Statements Safety Case/ Accomplishment Summary was vom Plan wurde wie durchgeführt warum ist das Produkt sicher Das wichtige Dokument für Kunde/ Autorität 26

27 Was tut die Firma? Prozesse/ Modelle CMMI/ automotive SPICE Luftfahrt: Design Organization Approval (evtl. vom Kunden) viel mehr als ISO9001!!! gelebt? z.b. durch Off-Shoring Dienstleister? 27

28 Was tut die Firma? Sicherheitskultur/ Level 3 Sicherheitskultur Proaktive Einstellung zu Sicherheit, Rechenschaft, Umgang mit Fehlern Level 3: Prozesse sind definiert & werden gelebt Tailoring: je nach Anforderungen des Projektes verschieden Kontinuierliche Prozessverbesserung 28 lernende Organisation

29 Wie kommt man dahin? Empfehlungen Modell auswählen CMMI/ aspice Anzuwendende Sicherheitsnormen definieren Gap Analyse durchführen (lassen) Wo müssen wir aktuellen Arbeitsweise verbessern? 29

Wie kommt man dahin? Aufwand Solcept 2011..2017 (Mitarbeiter: 8..15) 2.

30 Wie kommt man dahin? Aufwand Solcept (Mitarbeiter: 8..15) 2..4% der jährlichen Arbeitszeit ca. 30'000 CHF/ Audit Resultat CMMI Level 3 (SCAMPI C 2016) bereit für: DO-178, ISO 26262, IEC

31 Wie kommt man dahin? Andere Wege? Big-Bang Ansatz: Prozesse einkaufen? bestehende Arbeitsweisen? Prozesse gemäss Sicherheitsnorm machen? kein Fokus auf Effizienz Lies mal die Norm und mach die Dokumente? Level 3, Sicherheitskultur? 31

32 Was möchten Sie noch wissen? Sie finden mich auch in der Ausstellung, sonst unter: Andreas Stucki 32

33 Änderungsverzeichnis Version Entwurf/ für Datum Review/ Freigegeben Verantwortlich Kommentare/ Änderungsverlauf Entwurf a2s first draft für Review a2s review QPR (ME) Entwurf a2s Input ME eingearbeitet Freigegeben a2s Typos korrigiert für Präsentation-Datenbank swisst.net Solcept AG 33

Ähnliche Dokumente

How to Survive an Audit with Real-Time Traceability and Gap Analysis. Martin Kochloefl, Software Solutions Consultant Seapine Software

How to Survive an Audit with Real-Time Traceability and Gap Analysis Martin Kochloefl, Software Solutions Consultant Seapine Software Agenda Was ist Traceability? Wo wird Traceability verwendet? Warum