Was sind dpunkt.ebooks? Was darf ich mit dem dpunkt.ebook tun? Wie kann ich dpunkt.ebooks kaufen und bezahlen? Wie erhalte ich das dpunkt.ebook?

Transkript

1

2 Was sind dpunkt.ebooks? Die dpunkt.ebooks sind Publikationen im PDF-Format, die es Ihnen erlauben, Inhalte am Bildschirm zu lesen, gezielt nach Informationen darin zu suchen und Seiten daraus auszudrucken. Sie benötigen zum Ansehen den Acrobat Reader (oder ein anderes adäquates Programm). dpunkt.ebooks koennen Bücher (oder Teile daraus) sein, die es auch in gedruckter Form gibt (bzw. gab und die inzwischen vergriffen sind). (Einen entsprechenden Hinweis auf eine gedruckte Ausgabe finden Sie auf der entsprechenden E-Book-Seite.) Es können aber auch Originalpublikationen sein, die es ausschließlich in E-Book-Form gibt. Diese werden mit der gleichen Sorgfalt und in der gleichen Qualität veröffentlicht, die Sie bereits von gedruckten dpunkt.büchern her kennen. Was darf ich mit dem dpunkt.ebook tun? Die Datei ist nicht kopiergeschützt, kann also für den eigenen Bedarf beliebig kopiert werden. Es ist jedoch nicht gestattet, die Datei weiterzugeben oder für andere zugänglich in Netzwerke zu stellen. Sie erwerben also eine Ein-Personen-Nutzungslizenz. Wenn Sie mehrere Exemplare des gleichen E-Books kaufen, erwerben Sie damit die Lizenz für die entsprechende Anzahl von Nutzern. Um Missbrauch zu reduzieren, haben wir die PDF-Datei mit einem Wasserzeichen (Ihrer -Adresse und Ihrer Transaktionsnummer) versehen. Bitte beachten Sie, dass die Inhalte der Datei in jedem Fall dem Copyright des Verlages unterliegen. Wie kann ich dpunkt.ebooks kaufen und bezahlen? Legen Sie die E-Books in den Warenkorb. (Aus technischen Gruenden, können im Warenkorb nur gedruckte Bücher ODER E-Books enthalten sein.) Downloads und E-Books können sie bei dpunkt per Paypal bezahlen. Wenn Sie noch kein Paypal-Konto haben, können Sie dieses in Minutenschnelle einrichten (den entsprechenden Link erhalten Sie während des Bezahlvorgangs) und so über Ihre Kreditkarte oder per Überweisung bezahlen. Wie erhalte ich das dpunkt.ebook? Sobald der Bestell- und Bezahlvorgang abgeschlossen ist, erhalten Sie an die von Ihnen angegebene Adresse eine Bestätigung von Paypal, sowie von dpunkt eine mit den Downloadlinks für die gekauften Dokumente sowie einem Link zu einer PDF-Rechnung für die Bestellung. Die Links sind zwei Wochen lang gültig. Die Dokumente selbst sind mit Ihrer -Adresse und Ihrer Transaktionsnummer als Wasserzeichen versehen. Wenn es Probleme gibt? Bitte wenden Sie sich bei Problemen an den dpunkt.verlag: Frau Karin Riedinger (riedinger (at) dpunkt.de bzw. fon ).

3 Funktionale Sicherheit in der Praxis

4 Peter Löw war nach dem Studium der Elektrotechnik viele Jahre in der Telekommunikationsindustrie als Softwareentwickler, Projektleiter und Qualitätsmanager beschäftigt. Seit 2005 arbeitet er als Berater im Rahmen von Softwareprojekten vorwiegend im Automotive-Umfeld bei OEMs und Zulieferern. Seine Beratungstätigkeit umfasst die Begleitung von CMMI- und SPICE-Programmen und vor allem die Unterstützung von Entwicklungsprojekten bei der Umsetzung von Verbesserungsmaßnahmen und Anforderungen hinsichtlich funktionaler Sicherheit, Projekt-, Qualitäts- und Lieferantenmanagement. Roland Pabst arbeitete nach dem Studium der Mathematik, Physik und Informatik 19 Jahre bei einem Technischen Überwachungsverein als Softwareentwickler, Berater und Prüfer für die Qualität, Zuverlässigkeit und funktionale Sicherheit von elektronischen Anlagen der Kraftwerkstechnik, Flugsicherung und Telekommunikation. Seit 2000 ist er als Berater im Bereich Automotive-Elektronik mit den Schwerpunkten Prozessgestaltung, Qualität und funktionale Sicherheit tätig. Roland Pabst ist Automotive SPICE Principal Assessor und Trainer. Erwin Petry ist promovierter Informatiker. Er hatte im Laufe von 14 Jahren bei verschiedenen Firmen der IT- und Automatisierungsindustrie Positionen als Systemingenieur, Entwicklungsprojektleiter und Geschäftsführer inne. Seit 8 Jahren arbeitet er nun als Berater für Prozessverbesserung in zahlreichen Unternehmen. Die Schwerpunkte seiner Beratungstätigkeit liegen dabei im Aufsetzen und in der Begleitung von CMMI- und SPICE-Programmen in den Entwicklungsbereichen bei OEMs und Zulieferern. Erwin Petry ist Experte für funktionale Sicherheit sowie für Lieferanten-, Fehler-, Projekt-, Qualitäts- und Change Management. Er ist als Assessor, Auditor und Trainer tätig und ist zertifizierter SCAMPI Lead Appraiser. Erwin.Petry@kuglermaag.com

5 Peter Löw Roland Pabst Erwin Petry Funktionale Sicherheit in der Praxis Anwendung von DIN EN und ISO/DIS bei der Entwicklung von Serienprodukten

6 Peter Löw Roland Pabst Erwin Petry Lektorat: Christa Preisendanz Copy-Editing: Melanie Hasselbring, Kiel Herstellung: Nadine Thiele Umschlaggestaltung: Helmut Kraus, Druck und Bindung: Media-Print Informationstechnologie, Paderborn Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar. ISBN Auflage 2010 Copyright 2010 dpunkt.verlag GmbH Ringstraße 19 B Heidelberg Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen. Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen

7 v Vorwort Während unserer langjährigen Arbeit als Berater für Prozess- und Qualitätsverbesserung im Umfeld von Entwicklungsprojekten haben wir uns in zunehmendem Maße auch mit Fragen zur funktionalen Sicherheit befasst, nachdem in Deutschland mit dem Geräte- und Produktsicherheitsgesetz ein gesetzlicher Rahmen für die Umsetzung von Sicherheitsanforderungen geschaffen worden war. Häufig ging es um eine Interpretation der Anforderungen der Sicherheitsgrundnorm DIN EN und die daraus resultierenden zusätzlichen Maßnahmen, die für die Erreichung von Sicherheitszielen notwendig waren. Immer wieder haben wir festgestellt, dass die Forderungen der Grundnorm nicht einfach zu verstehen und direkt umzusetzen waren, sondern im Anwendungskontext interpretiert werden mussten. Die Notwendigkeit der Interpretation liegt im Wesen der Grundnorm, die allgemeingültige Anforderungen sowohl an die Systemarchitektur als auch an die Prozesse stellt und die für die Entwicklung und Installation von Großanlagen, wie beispielsweise Sicherheitseinrichtungen von Kraftwerken, besser geeignet ist als für Serienprodukte, mit denen wir es vor allem zu tun hatten. Allgemeingültige Forderungen der Sicherheitsnorm müssen daher verstanden und in geeignete Maßnahmen für Serienprodukte umgesetzt werden. Die tägliche Arbeit in diesem Umfeld hat uns motiviert, unsere Erfahrungen in einem Buch zu beschreiben, das von Ingenieuren, Qualitätsmanagern und Prozessverbesserern als Interpretationshilfe genutzt werden kann. Die Einführung der anwendungsspezifischen Sicherheitsnorm ISO/DIS für Personenkraftwagen, die in englischer Sprache vorliegt, sehen wir als einen weiteren Grund an für die Notwendigkeit einer deutschsprachigen Interpretationshilfe und einer Darstellung von ersten praktischen Erfahrungen mit dieser neuen Sicherheitsnorm, die wir in unserem Buch realisieren wollen.

8 vi Vorwort In unserer Arbeit im Umfeld von Entwicklungsprojekten war es immer wieder notwendig, die Zusammenhänge zwischen den Prozessverbesserungsmaßnahmen nach CMMI oder SPICE und den Anforderungen der Sicherheitsnormen zu erklären. Dabei konnten wir zeigen, wie durch eine konsequente Umsetzung von Prozessverbesserungen auch viele Forderungen der Sicherheitsnormen erfüllt werden können und wie der Zusatzaufwand für die Erreichung von Sicherheitszielen dadurch minimiert werden kann. Auch diese Erkenntnisse haben uns ermutigt, die Zusammenhänge in einem Buch zu beschreiben und den Lesern damit einen Praxisnutzen zu bieten. Unsere Erfahrungen mit der Umsetzung von Prozessverbesserungen und Sicherheitsanforderungen haben wir bei der Mitarbeit in einer Vielzahl von Software- und Elektronik-Entwicklungsprojekten vor allem bei Automobilherstellern und deren Zulieferern in Europa, USA und Japan gesammelt. Der Gedankenaustausch mit Kollegen in den Projektteams hat uns darin bestärkt, die vielfältigen Anregungen, Sichtweisen und spezifischen Vorgehensweisen für die Leser unseres Buches zu beschreiben. So ist nun ein Buch entstanden, mit dem wir einerseits dem Leser die notwendigen theoretischen Grundlagen erklären, indem wir die Anforderungen verschiedener Sicherheitsnormen erläutern, und andererseits anhand von Beispielen und Interpretationen, die auf unserer praktischen Erfahrung beruhen, die verschiedenen Aspekte der Umsetzung von Sicherheitsanforderungen in der Praxis darstellen. An dieser Stelle möchten wir allen danken, die uns während der Entstehungsphase dieses Buches unterstützt haben. Unser Dank gilt vor allem den Kollegen und Geschäftspartnern, die in vielen konstruktiven Diskussionen geholfen haben, die Inhalte des Buches klarer auszuarbeiten. Besonders bedanken wir uns bei Frau Christa Preisendanz vom dpunkt.verlag für die vielen nützlichen Hinweise zum Aufbau und zur Gestaltung des Buches. Bei unseren Familien und Angehörigen bedanken wir uns für das Verständnis und die Geduld angesichts der Einschränkungen, die mit dem Verfassen dieses Buches verbunden waren. Die Autoren hoffen, dass das Buch den Lesern und Anwendern einen praktischen Nutzen bietet, und würden sich über Rückmeldungen und Verbesserungsvorschläge an folgende Adresse freuen: Peter Löw, Roland Pabst, Erwin Petry April 2010

9 vii Inhaltsverzeichnis 1 Einleitung 1 2 Funktionale Sicherheit im Überblick Einführung zur funktionalen Sicherheit Normen zur funktionalen Sicherheit Grundnorm DIN EN 61508: Funktionale Sicherheit ISO/DIS 26262: Personenkraftwagen (PKW) Normen für weitere Anwendungsgebiete Reifegradmodelle Capability Maturity Model Integration (CMMI) Software Process Improvement and Capability determination (SPICE) Integration des Funktionssicherheitsprozesses Gesetze und Richtlinien Abgrenzung Richtlinie über die allgemeine Produktsicherheit 2001/95/EC (GPSD) Geräte- und Produktsicherheitsgesetz (GPSG) Prüfen und Zertifizieren Allgemeine Anforderungen der Norm DIN EN Sicherheitslebenszyklus Management der funktionalen Sicherheit Konzept, Anwendungsbereich, Risikoanalyse Sicherheitsanforderungen und Zuordnung

10 viii Inhaltsverzeichnis 3.5 Das ALARP-Prinzip Dokumentation und Sicherheitsnachweis Installation, Betrieb, Modifikation und Außerbetriebnahme Beurteilung der funktionalen Sicherheit Sicherheits-Gesamtvalidierung Anforderungen der DIN EN an elektronische Systeme Spezifikation der E/E/PE-Entwurfsanforderungen E/E/PES-Entwurf und -Entwicklung ASIC-Entwurf und -Entwicklung E/E/PES-Integration Validierung der E/E/PES bezüglich der Sicherheit Anforderungen der DIN EN an Software Software-Sicherheitslebenszyklus Spezifikation der Software-Sicherheitsanforderungen Softwareentwurf und -entwicklung Integration von Software und Hardware Validierung der Software bezüglich der Sicherheit Konfigurationsmanagement der Software Softwareverifikation Normen für Serienprodukte: Unterschiede zur Basisnorm Anforderungen der ISO/DIS 26262: Personenkraftwagen Sicherheitslebenszyklus nach ISO/DIS Management der funktionalen Sicherheit Gefährdungsanalyse und Risikoeinschätzung Funktionales Sicherheitskonzept Entwicklung auf Systemebene Hardwareentwicklung Softwareentwicklung Straßenzulassung Produktion und Betrieb Unterstützende Prozesse Sicherheitsanalysen

11 Inhaltsverzeichnis ix 6.2 Anforderungen der DIN EN 62061: Maschinen Weitere Normen ISO/DIS 25119: Traktoren und Maschinen für die Land- und Forstwirtschaft DIN EN 50126, DIN EN 50128, DIN EN 50129, DIN EN 50159: Bahnanwendungen DIN EN 60601: Medizingeräte DIN EN 60335: Hausgeräte Umsetzung in einer SPICE- oder CMMI-Umgebung Unterstützung durch Reifegradmodelle Notwendigkeit von Prozessen aus Reifegradmodellen Gemeinsamkeiten und Unterschiede bei Evaluationsmethoden Vergleich Prozessassessment und Sicherheitsassessment Weitere Evaluationsmethoden Abhängigkeiten Synchronisationsplan Praktische Hinweise zur Optimierung Beispiele aus der Praxis Konformitätscheck zur funktionalen Sicherheit Gefährdungs- und Risikoanalyse Sicherheitsziele und -funktionen Beschreibung der Diagnoseverfahren Angepasster Sicherheitslebenszyklus Umgang mit Änderungen Kunden-Lieferanten-Szenarien Management der funktionalen Sicherheit Konzeptphase Systemebene Hardwareentwicklung Softwareentwicklung Produktion und Betrieb Unterstützende Prozesse Sicherheitsanalysen Sicherheitsplan

12 x Inhaltsverzeichnis 8.9 UML-Diagramme und -Werkzeuge Systemarchitekturen Absicherung der Datenkommunikation Entwurfs- und Codierungsrichtlinien Sicherheitsanalyse FMEA FMEDA Fehlerbaumanalyse; FTA Vergleich der Analysemethoden Abschätzung von Ausfallraten Diversitäre Programmierung Testplanung und -verfahren Beurteilung der funktionalen Sicherheit Rollenbeschreibungen Manager für funktionale Sicherheit Funktionssicherheitsbeauftragter Sicherheitsassessor Weitere Rollen Werkzeuge, Hilfsmittel und Formulare Zusammenfassung 323 Abkürzungsverzeichnis 327 Glossar 331 Quellenverzeichnis 343 Literatur Normen und Gesetze WWW-Seiten Index 351

13 1 1 Einleitung Die Themen Sicherheit und Risiko rücken immer dann in den Mittelpunkt des öffentlichen Interesses, wenn durch Fehler in Geräten oder technischen Systemen Menschen zu Schaden gekommen sind. Durch diese Fehler werden mögliche Gefährdungen aufgezeigt, denen jeder einzelne Mensch im Alltagsleben ausgesetzt ist. Unfälle und Gefahren können durch menschliches Versagen ausgelöst werden, aber auch durch technische Defekte in Systemen unterschiedlicher Art, wie Produktionsanlagen, Fahrzeugen oder auch Haushaltsgeräten. Systeme, die nicht vor Missbrauch geschützt sind oder technische Defizite aufweisen, sind nicht sicher und stellen ein erhöhtes Risiko für Personen in ihrem Umfeld dar. Ein Straßenfahrzeug, dessen Bremsen wegen einer fehlerhaften Elektronik versagen, ist unsicher, ebenso wie ein Haushaltsgerät, das den Benutzer durch einen Stromschlag verletzt. Auch bei Schienenfahrzeugen können technische Mängel die Sicherheit beeinträchtigen. So hat die Deutsche Bahn die Neigetechnik zeitweise in allen Zügen abgeschaltet, um einen sicheren Eisenbahnbetrieb zu gewährleisten. Durch einen Konstruktionsfehler könnte es zu einer Überlastung der Achsen und zu konkreten Gefahrensituationen kommen, ließ die Bahn verlauten [Petersen 2009]. Da fragt sich der besorgte Bahnkunde, wie es möglich ist, dass Schienenfahrzeuge mit Sicherheitslücken überhaupt in Betrieb genommen werden und der Konstruktionsfehler erst nach einem Unfall, verursacht durch einen Achsenbruch, erkannt wurde. Die Gesellschaft allgemein und insbesondere die Kunden und Nutzer haben verständlicherweise hohe Erwartungen an die Sicherheit von Systemen und die Reduzierung der Risiken. Die Politik hat darauf reagiert und mit dem Geräte- und Produktsicherheitsgesetz (GPSG) einen gesetzlichen Rahmen für die Umsetzung von Sicherheitsanforderungen geschaffen. Auch die Hersteller und Inverkehrbringer von Geräten haben ein großes Interesse an der Vermeidung von Risiken. Sie wollen Risiken Erwartungen

14 2 1 Einleitung Wachsende Komplexität Sicherheitsnormen als Hilfsmittel Sicherheitsgrundnorm und Serienprodukte An wen wendet sich dieses Buch sichere Produkte kostengünstig entwickeln und fertigen, Folgekosten durch Unfälle vermeiden und die Kundenzufriedenheit erhalten. Angesichts der wachsenden Komplexität der Systeme werden die Anforderungen an die Entwicklung sicherer Geräte immer anspruchsvoller. Der Anteil der sicherheitsbezogenen, elektronischen Steuerungen und der Software in den Produkten ist in den vergangenen Jahren stark angestiegen, ohne dass ein Ende absehbar ist. In heutigen Kraftfahrzeugen sorgen bis zu 80 elektronische Steuergeräte für Komfort und Sicherheit. Dieser Anteil wird durch die Einführung des Elektroautos in der Zukunft noch weiter ansteigen.»das Fahrzeug der Zukunft stammt vom Chiphersteller«ist dazu in einem Zeitungsartikel [Magenheim 2009] zu lesen, der sich mit der technologischen Entwicklung bei Elektrofahrzeugen befasst. Auch in anderen Bereichen, wie beispielsweise bei Medizingeräten oder Werkzeugmaschinen, ist immer mehr Elektronik und Software anzutreffen. Vielleicht kommen in der Zukunft auch die Rasenmäher und die Kühlschränke vom Chiphersteller. Die Software in diesen Chips, die zu einem sicheren Betrieb der Geräte beiträgt, muss dann jedoch stabiler und zuverlässiger funktionieren als etwa das Betriebssystem eines heutigen Laptops, das den Betrieb ab und zu durch einen Neustart unterbricht, wenn es meint, überlastet zu sein. Um vor diesem Hintergrund die gesetzlichen Anforderungen an die Sicherheit von Produkten erfüllen zu können, ist die Anwendung von Sicherheitsnormen unumgänglich. Diese beschreiben den Stand der Technik, also das, was von der Mehrzahl der Fachleute als richtig anerkannt wird und sich in der Praxis bewährt hat. Die Anwendung dieser Regeln unterstützt die nachweisbare Erfüllung der Sicherheitsanforderungen. Zusammen mit optimierten Prozessen, die sich an Prozessmodellen wie CMMI oder SPICE orientieren, können die Sicherheitsziele zudem auf effiziente Art und Weise erreicht werden. Wir behandeln in diesem Buch die Sicherheitsgrundnorm DIN EN und weitere wichtige Normen für Serienprodukte (z. B. elektronische Steuergeräte im Automobil), nicht jedoch die Anwendung von Sicherheitsnormen in Großanlagen, wie beispielsweise Raffinerien oder Kraftwerken. Dieses Buch beschreibt die wesentlichen Anforderungen und Regeln von Sicherheitsnormen für Serienprodukte und erläutert die praktische Anwendung anhand von Beispielen. Es wendet sich insbesondere an Ingenieure, die Anforderungen der Sicherheitsnormen (z. B. Anwendung bestimmter Methoden) im Produktlebenszyklus umsetzen müssen,

15 1 Einleitung 3 Praktiker, die eine Interpretationshilfe bei der Anwendung von Normen zur funktionalen Sicherheit benötigen, Produktmanager und Projektleiter, die wissen wollen, welche Auswirkungen die Sicherheitsnormen in der Praxis haben (z. B. bei der Vertragsprüfung oder im Kunden-Lieferanten-Verhältnis), Qualitätsmanager und Prozessverbesserer, die wissen wollen, wie die Anforderungen der Sicherheitsnormen in einer CMMI- oder SPICE-Umgebung umgesetzt werden können. Nach der Einleitung gibt das Buch in Kapitel 2 einen Überblick zur funktionalen Sicherheit. Diese Übersicht erläutert zunächst, was funktionale Sicherheit ist. Anschließend werden der Aufbau und wesentliche Anforderungen der Grundnorm DIN EN dargestellt. Stellvertretend für Normen für Serienprodukte geben wir eine kurze Einführung in ISO/DIS für Personenkraftwagen. Es werden die in der Industrie am häufigsten verwendeten Reifegradmodelle CMMI und SPICE vorgestellt, weil diese große Überschneidungen mit den Anforderungen der Sicherheitsnormen haben. Anschließend werden die wesentlichen Querbeziehungen zwischen Gesetzen und Sicherheitsnormen beschrieben. Es folgen drei Kapitel, in denen die Anforderungen der DIN EN analog zu den Teilen 1 bis 3 der Norm erläutert werden. Kapitel 3 behandelt allgemeine Anforderungen, Kapitel 4 Anforderungen an die Systemebene und die Elektronik, und Kapitel 5 deckt die gesamte Softwareentwicklung einschließlich der Integration in die Hardware ab. In Kapitel 6 werden einige spezifische Normen für Serienprodukte erläutert und Unterschiede zur Grundnorm DIN EN herausgearbeitet. Dabei wird detailliert auf die ISO/DIS für Personenkraftwagen eingegangen. Auch die Norm DIN EN für Maschinen wird mit einigem Tiefgang behandelt. Eine Reihe weiterer Normen stellen wir nur kurz vor und erläutern wesentliche Unterschiede zu anderen Normen: ISO/DIS für land- und forstwirtschaftliche Maschinen, DIN EN 501xx für Bahnanwendungen, Normenreihen [IEC 60601] für Medizingeräte und IEC für Hausgeräte. Da die Umsetzung jeder Sicherheitsnorm in Projekten eine Vielzahl von prozessorientierten Themen umfasst, wird auf diesen Aspekt in Kapitel 7 über die Umsetzung in einer SPICE- oder CMMI-Umgebung detailliert eingegangen. In einem umfangreichen Kapitel 8 wird eine Vielzahl von Beispielen für alle sicherheitsbezogenen Aktivitäten über die gesamte Entwicklungszeit beschrieben. Kapitel 9 gibt Hinweise und Beispiele zum Einsatz von Softwarewerkzeugen über den gesamten Entwicklungs- Aufbau des Buchs

16 4 1 Einleitung Wie wird das Buch gelesen Praxisrelevante Hinweise prozess. Das Buch schließt mit einer Zusammenfassung, einem Abkürzungsverzeichnis, Glossar, Literaturverzeichnis und Index ab. Zunächst empfiehlt es sich, das Kapitel 2 zu lesen, um ein Grundverständnis für die Thematik der funktionalen Sicherheit zu erlangen. Leser ohne Grundkenntnisse der Sicherheitsnormen sollten sich dann mit den Anforderungen der DIN EN in den Kapiteln 3 bis 5 befassen, um sich detailliert in die funktionale Sicherheit einzuarbeiten. Dabei ist es nützlich, zu den behandelten Themen zur Veranschaulichung immer wieder in die zugehörigen Praxisbeispiele in Kapitel 8 zu schauen. Wer die Grundnorm DIN EN bereits kennt, kann sich auch direkt mit einer für ihn relevanten, bereichsspezifischen Norm aus Kapitel 6 befassen. Wenn am Ende von Kapitel 6 ausreichend fundierte Kenntnisse über die Anforderungen der Sicherheitsnormen vorhanden sind, empfiehlt sich die Lektüre von Kapitel 7 über die Umsetzung in einer SPICE- oder CMMI-Umgebung. Projektleiter, Qualitätsmanager und Prozessverbesserer erhalten hier Informationen zur Vorbereitung und Begleitung der Planung und Durchführung sicherheitsbezogener Projekte. Leser, die sich für ihre Praxis vor allem für Beispiele interessieren, können die Lektüre auch direkt in Kapitel 8 beginnen. Dies ist ein Buch für Praktiker, die mit der Entwicklung von sicherheitsbezogenen Produkten für Endverbraucher zu tun haben. Es werden daher die Erläuterungen zu den verschiedenen Normen mit praxisrelevanten Hinweisen angereichert, und in vielen Kapiteln findet sich eine Vielzahl von Praxisbeispielen aus allen Phasen der Produktentwicklung. Es sei darauf hingewiesen, dass die Lektüre dieses Buchs nicht den konkreten Einsatz der jeweils relevanten Sicherheitsnorm ersetzt. Das Buch erhebt nicht den Anspruch, Norminhalte vollständig wiederzugeben. Es hilft aber, einen schnellen Einstieg in die behandelten Sicherheitsnormen zu finden. Und vor allem hilft es dabei, diese zu interpretieren. Die Normen stellen viele Forderungen, die die Entwicklung und das Produkt verteuern können. Es kommt bei der Anwendung der Normen daher darauf an, diese Forderungen angemessen umzusetzen. Dies gelingt aber eigenständig nur dem, der bereits viel Erfahrung besitzt. Dieses Buch hilft durch seine Hinweise zur Umsetzung, durch seine Praxisbeispiele und durch Praxistipps bei einer angemessenen Interpretation.

17 5 2 Funktionale Sicherheit im Überblick In diesem Kapitel wird erläutert, wie die funktionale Sicherheit im Vergleich zu verwandten Themen wie Angriffssicherheit, Zuverlässigkeit oder Verfügbarkeit definiert ist und welche grundsätzlichen Anforderungen die Sicherheitsnormen und Gesetze an sicherheitsbezogene Systeme stellen. Neben den in den Sicherheitsnormen definierten Vorgehensweisen wird auch die Bedeutung von Reifegradmodellen wie CMMI oder SPICE bei der Umsetzung von Prozessen und Verfahren für die funktionale Sicherheit dargestellt. 2.1 Einführung zur funktionalen Sicherheit Der Begriff Sicherheit hat eine Vielzahl unterschiedlicher Bedeutungen. Das aus dem Lateinischen entlehnte Wort wurde ursprünglich in der Rechtsprechung im Sinne von»frei von Schuld oder Pflichten«verwendet. Im heutigen Sprachgebrauch wird Sicherheit meist in der Bedeutung von»sichersein vor Gefahr oder Schaden«oder»Freisein von Fehlern oder Irrtümern«gebraucht. Ein Pfand, das für einen Kredit hinterlegt wird, bezeichnet man ebenfalls als Sicherheit. Das Wort ist auch in einer Vielzahl von Zusammensetzungen wie Fahrsicherheit, Flugsicherheit oder Treffsicherheit zu finden (vgl. [Duden-10]). Im Alltagsleben hat man es mit einer Reihe unterschiedlicher Aspekte der Sicherheit zu tun, wie öffentlicher Sicherheit, wirtschaftlicher Sicherheit oder technischer Sicherheit. Die technische Sicherheit von Systemen, mit der wir uns in diesem Buch beschäftigen, umfasst die beiden Aspekte Betriebssicherheit und Angriffssicherheit (siehe Abb. 2 1). Technische Sicherheit, Betriebssicherheit und Angriffssicherheit

18 6 2 Funktionale Sicherheit im Überblick Abb. 2 1 Sicherheit: Betriebssicherheit und Angriffssicherheit Englisch: Safety Sicherheit Englisch: Security Betriebssicherheit, befasst sich mit Risiken und Gefahren, die von einem System (Gerät) ausgehen Angriffssicherheit, bietet Schutz vor Gefahren, die von außen auf Systeme oder Personen einwirken Funktionale Sicherheit als Teil der Gesamtsicherheit Missbrauch und Manipulation verhindern Tolerierbares Restrisiko Risiko = Eintrittswahrscheinlichkeit x Schaden Zuverlässigkeit und Verfügbarkeit Die Sicherheitsnorm DIN EN definiert Sicherheit im Sinne von Betriebssicherheit als»freiheit von unvertretbaren Risiken«. Funktionale Sicherheit ist derjenige Teil der Gesamtsicherheit, der von der korrekten Funktion des sicherheitsbezogenen Systems abhängt. Die Türsteuerung eines Schienenfahrzeugs oder Autobusses ist ein solches System, das die funktionale Sicherheit beeinträchtigt, wenn es nicht korrekt funktioniert. Öffnet sich die Tür unbeabsichtigt während der Fahrt, so ist das eine Gefahr für die Passagiere. Es kann durchaus Überschneidungen zwischen Betriebs- und Angriffssicherheit geben, etwa wenn bei mangelnder Angriffssicherheit durch Missbrauch oder Manipulationen ein System in einen gefährlichen Zustand versetzt werden kann. Solche Gefahren sind auch im Sinne der Betriebssicherheit zu verhindern. Die Sicherheitsnormen zielen darauf ab, die von Systemen ausgehenden Gefahren und Risiken auf ein vertretbares oder tolerierbares Maß zu senken. Es wird daher immer ein Restrisiko vorhanden sein, das jedoch von der Gesellschaft akzeptiert werden kann, solange es geringer ist als bereits vorhandene Risiken, denen man täglich, etwa bei der Fahrt zur Arbeit oder in der Freizeit, ausgesetzt ist (siehe [URL: Beobachter]). Als Risiko definieren die Sicherheitsnormen die Kombination aus der Wahrscheinlichkeit, mit der ein Schaden eintritt und dem Ausmaß dieses Schadens. Die Eintrittswahrscheinlichkeit und damit das Risiko sind also umso höher, je häufiger die Komponenten eines Systems ausfallen. Die Ausfallwahrscheinlichkeit beeinflusst aber nicht nur die Sicherheit, sondern auch die Zuverlässigkeit und Verfügbarkeit eines Systems. Da jedoch nicht jeder Ausfall einer Komponente zu einem gefährlichen Zustand führt, der einen Schaden zur Folge hat, sind Sicherheit und Zuverlässigkeit unterschiedlich zu bewerten. Wenn etwa die bereits erwähnte Türsteuerung bei einem am Bahnsteig stehenden

19 2.1 Einführung zur funktionalen Sicherheit 7 Schienenfahrzeug ausfällt und die Tür sich dadurch von außen nicht öffnen lässt, dann ärgern sich die Fahrgäste zwar über die mangelhafte Zuverlässigkeit des Systems, aber sie geraten nicht in Gefahr. Wenn eine gefahrbringende Auswirkung ausgeschlossen werden kann, ist es oft möglich, das System mit geringen Einschränkungen weiter zu betreiben und dadurch die Zuverlässigkeit und Verfügbarkeit zu gewährleisten. Das Bahnunternehmen wird daher wegen einer sich nicht öffnenden Tür den Zug nicht im Bahnhof stehen lassen, sondern den Ein- und Ausstieg der Fahrgäste über eine benachbarte Tür organisieren. Bei einem Ausfall mit gefährlicher Auswirkung kann das System dagegen nicht weiter betrieben werden und muss in einen sicheren Zustand überführt werden, etwa durch eine Notabschaltung. Die Verfügbarkeit eines Systems wird außer von der Ausfallwahrscheinlichkeit seiner Komponenten auch durch die Wartbarkeit beeinflusst. Während den Wartungs- und Reparaturzeiten ist ein System zwar sicher, aber nicht verfügbar. Daher ist die Verfügbarkeit umso höher, je kürzer diese Zeiten sind. Diese Aussage gilt allerdings nur für Serienprodukte, die zur Wartung und Reparatur in der Regel außer Betrieb genommen werden und in diesem Zustand sicher sind. Besondere Vorkehrungen sind zu treffen, wenn Wartungs- oder Reparaturarbeiten im laufenden Betrieb notwendig werden, wie etwa in einer Betriebszentrale der Bahn. In solchen Fällen ist sehr sorgfältig zu analysieren, mit welchen Einschränkungen das System während dieser Phase trotzdem sicher betrieben und verfügbar gemacht werden kann. Bei der technischen Sicherheit von Systemen wird oft zwischen aktiver und passiver Sicherheit unterschieden. Unter aktiver Sicherheit sind alle Maßnahmen einzuordnen, die Gefahrensituationen von vornherein vermeiden helfen, wie etwa ein ESP (elektronisches Stabilitätsprogramm) in einem Kraftfahrzeug. Zur Erhöhung der passiven Sicherheit tragen alle Maßnahmen bei, die das Ausmaß eines Schadens begrenzen. Eine Schutzhaube über einer Werkzeugmaschine kann beispielsweise den Schaden, der durch weggeschleuderte Werkstücke entstehen kann, reduzieren. Die Knautschzone eines Fahrzeugs trägt ebenfalls zur passiven Sicherheit bei, denn sie hilft bei einem Unfall Personenschäden zu mindern. Es bleibt noch zu erwähnen, dass die Sicherheitsnormen in erster Linie auf die Vermeidung von Personenschäden ausgerichtet sind. Die Reduzierung von Vermögensschäden hat zweite Priorität. Sicherer Zustand Verfügbarkeit und Wartbarkeit Aktive und passive Sicherheit Personenschäden vermeiden

20 8 2 Funktionale Sicherheit im Überblick 2.2 Normen zur funktionalen Sicherheit In den folgenden Abschnitten geben wir einen Überblick zum Aufbau und zu den grundsätzlichen Anforderungen der Grundnorm DIN EN sowie der abgeleiteten Norm ISO/DIS Personenkraftwagen und anderen bereichsspezifischen Normen wie DIN EN Maschinen Grundnorm DIN EN 61508: Funktionale Sicherheit Internationale Norm IEC Entsprechende deutsche Norm DIN EN Die internationale Norm IEC [IEC 61508] wurde im Jahr 2001 als deutsche Norm DIN EN Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme übernommen. In diesem Buch beziehen sich die Beschreibungen und spezifischen Erläuterungen zur funktionalen Sicherheit auf die Teile und Kapitel der deutschen Version. Bei Vergleichen mit anderen internationalen Normen oder Prozessmodellen wird auch direkt Bezug auf die Grundnorm [IEC 61508] genommen. Der Nachfolger der IEC und DIN EN 61508, die Edition 2.0, befindet sich in der Entwicklung. In einigen Fällen wird daher auch auf die Neuerungen im Entwurf für diese neue Ausgabe [DIN EN Ed2] Bezug genommen. Die internationale Norm IEC definiert als Grundnorm (auch Typ-A-Norm genannt) die allgemeingültigen Anforderungen zur funktionalen Sicherheit. Bereichsspezifische Normen wurden aus dieser Grundnorm abgeleitet (siehe Abb. 2 2). Diese bereichsspezifischen Normen werden auch als Typ-B- oder Typ-C-Norm bezeichnet. Auch die deutsche Norm DIN EN ist als Grundnorm (Typ- A-Norm) anzusehen und ist wie die internationale Norm in sieben Teile gegliedert: 1. [DIN EN ] Allgemeine Anforderungen 2. [DIN EN ] Anforderungen an sicherheitsbezogene elektrische/elektronische/programmierbare elektronische (E/E/PE) Systeme 3. [DIN EN ] Anforderungen an Software 4. [DIN EN ] Begriffe und Abkürzungen 5. [DIN EN ] Beispiele zur Ermittlung der Stufe der Sicherheitsintegrität 6. [DIN EN ] Anwendungsrichtlinie für Teil 2 und Teil 3 7. [DIN EN ] Anwendungshinweise über Verfahren und Maßnahmen

21 2.2 Normen zur funktionalen Sicherheit 9 DO-178B Flugzeuge ISO/DIS Automobil DIN EN Feuerungen Abb. 2 2 Grundnorm IEC und einige abgeleitete Normen DIN EN 501xx Bahn IEC DIN EN Maschinen DIN IEC Kernkraftwerke DIN EN Hausgeräte DIN EN Medizingeräte DIN EN Prozessindustrie Die Norm stellt Anforderungen an sicherheitsbezogene elektrische/elektronische/programmierbare elektronische Systeme mit der Zielsetzung, definierte Sicherheitsziele zu erreichen, indem das vom System ausgehende Risiko auf ein tolerierbares Restrisiko vermindert wird. Die grundsätzliche Vorgehensweise zur Risikominderung besteht darin, gefährliche Ausfälle des Systems zu vermeiden oder zu beherrschen. Derartige Ausfälle können durch systematische Fehler oder durch zufällige Hardwareausfälle verursacht werden. Systematische Fehler sind Fehler, die aufgrund menschlichen Versagens in den verschiedenen Stadien des Lebenszyklus entstehen. Dazu zählen Spezifikationsfehler, Entwurfsfehler, Implementierungsfehler und Installations- oder Bedienungsfehler. Zufällige Hardwareausfälle sind das Ergebnis der begrenzten Zuverlässigkeit von Hardwarebauteilen. Vor diesem Hintergrund stellt die Norm die folgenden Anforderungen an eine systematische Vorgehensweise zur nachweislichen Erreichung der Sicherheitsziele: Durchführung einer Risikoanalyse und Spezifikation der Sicherheitsanforderungen, d.h. der erforderlichen Risikominderung Management der Aktivitäten im Sicherheitslebenszyklus zur Sicherstellung einer vollständigen und nachweisbaren Umsetzung der Sicherheitsanforderungen Entwurf der Hardware- und der Softwarearchitektur nach vorgegebenen Prinzipien zur Vermeidung oder Beherrschung von Fehlern (z. B. durch fehlertolerante mehrkanalige Systeme zur Beherrschung von zufälligen Hardwareausfällen) Sicherheitsziel Vorgehensweise zur Risikominderung Systematische Fehler Zufällige Hardwareausfälle Systematische Vorgehensweise

22 10 2 Funktionale Sicherheit im Überblick Planbare und nachvollziehbare Umsetzung über definierte Prozesse (z. B. für Projektmanagement, Konfigurationsmanagement, Entwurf, Test etc.) Anwendung von bestimmten Techniken und Maßnahmen zur Vermeidung oder Erkennung von systematischen Fehlern (z. B. Entwurfsmethoden, Testverfahren) Anwendung bereichsspezifischer Normen Die abgeleiteten bereichsspezifischen Normen folgen grundsätzlich dieser Vorgehensweise, die von der Grundnorm vorgegeben wird. Ob in einem gegebenen Fall die Grundnorm oder eine bereichsspezifische Norm anzuwenden ist, muss rechtzeitig vor dem Projektstart ermittelt werden (siehe Abb. 2 3). Es ist zu empfehlen, wenn möglich die bereichsspezifischen Normen einzusetzen, da dadurch kein, oder zumindest weniger Aufwand für Interpretation und Anpassung der Grundnorm an die spezifischen Anforderungen eines Projekts entsteht. So schreibt die Grundnorm keine bestimmte Methode für die Gefährdungs- und Risikoanalyse vor, sondern gibt nur allgemeine Kriterien und Beispiele, die spezifisch angepasst werden müssen. Abb. 2 3 Anwendbarkeit der Grundnorm DIN EN Kann das System eine Gefahr für Gesundheit und Menschleben darstellen? ja nein Prüfen Sie die Anwendbarkeit anderer Normen! Gibt es für den Anwendungsbereich eine spezifische Norm, die aus IEC abgeleitet ist? nein ja Wenden Sie diese spezifische Norm an! Für Automotive in Zukunft ISO/DIS Handelt es sich bei der einzusetzenden Technologie um E/E/PE? nein Sie können DIN EN als Hilfestellung nutzen; z. B. für den Sicherheitslebenszyklus. ja Ist das Verhalten des Systems vollständig bekannt? (einfaches sicherheitsbezogenes E/E/PES?) ja Nutzen Sie DIN EN und weichen Sie in begründeten Einzelfällen von den Anforderungen ab! nein Erfüllen Sie die Ziele und Anforderungen von DIN EN 61508! ISO/DIS 26262: Personenkraftwagen (PKW) Die ISO/DIS 26262»Road vehicles Functional Safety«ist die Norm zur funktionalen Sicherheit von elektrisch-elektronischen Systemen in Personenkraftwagen (PKW). Sie ist die Anpassung der Grundnorm

23 2.2 Normen zur funktionalen Sicherheit 11 IEC für Personenkraftwagen. Diese Norm erfüllt die Kriterien an eine anwendungsspezifische Norm ([DIN EN ], Abschnitt 4.3) und wird daher für ihr Anwendungsgebiet die IEC als Stand der Technik ab Frühjahr 2011 ersetzen. Die ISO/DIS liegt nicht in deutscher Sprache vor. Deshalb werden einzelne Begriffe auch im englischen Original angeben, um im Zweifelsfall deutlich zu machen, was gemeint ist. Die deutsche Übersetzung stammt von den Autoren und ist nicht bindend. Ausgehend von den Vorarbeiten eines Arbeitsgremiums im Normenausschuss Kraftfahrzeuge (FAKRA) im DIN 1 wird ISO/DIS durch ISO TC22 SC3 WG16 Funktionssicherheit bearbeitet und weiterentwickelt. Der Normenausschuss Automobiltechnik (NA Automobil, früher FAKRA) ist eine Institution des Verbands der Automobilindustrie (VDA) und des Deutschen Instituts für Normung (DIN) und vertritt die nationalen und internationalen Normungsinteressen auf dem Gebiet des Kraftfahrzeugwesens. An der Entwicklung sind Automobilhersteller und große Lieferanten aus der ganzen Welt beteiligt, wobei deutsche und europäische Unternehmen besonders stark vertreten sind. ISO/DIS ist zum heutigen Zeitpunkt noch keine verabschiedete ISO-Norm. Sie liegt seit Juli 2009 als Draft International Standard (DIS) vor und ist seit diesem Zeitpunkt öffentlich. Sie wird im Zeitraum bis Herbst 2010 auf der Basis von eingehenden Kommentaren überarbeitet. Ende 2010 wird dann über den Final Draft International Standard (FDIS) abgestimmt. Nach einer letzten Überarbeitung erscheint dann die Norm ISO bis spätestens Mitte Näheres zum Verfahren einer ISO Standardisierung kann hier nachgelesen werden: [URL: ISO Standardization]. Unter anderem in der US-amerikanischen Automobilindustrie 2 stößt die ISO/DIS 26262, aber auch die IEC 61508, auf große Skepsis. Dort gehen die firmeninternen Juristen eher davon aus, dass keine dieser Normen bei einem eventuellen amerikanischen Gerichtsverfahren als zwingend für die Fahrzeugentwicklung angesehen wird. Außerdem kämpfen die»big Three«3 bekanntlich in den letzten Jahren mit ganz anderen Problemen und laden sich nicht noch gerne einen Kostentreiber zusätzlich auf. Hinzu kommt, dass verhältnismäßig geringe Stückzahlen von in den USA entwickelten Fahrzeugen im Rest der Welt verkauft werden. Beispielsweise sind die meisten in Deutschland Historie Zeitplan Akzeptanz der Norm 1. AA-I3/AK 16 Funktionale Sicherheit 2. USA und Großbritannien waren die einzigen Länder, die im Jahr 2008 alle Teile der ISO/DIS im Rahmen des Abstimmungverfahrens abgelehnt haben 3.»Große Drei«: General Motors, Ford, Chrysler

24 12 2 Funktionale Sicherheit im Überblick Ab wann gilt die Norm? verkauften General Motors-Fahrzeuge auch in Deutschland entwickelt worden, nämlich als Marke Opel. Dies reduziert das Risiko für die amerikanischen Unternehmen vor z. B. deutschen Gerichten. Somit besteht in den USA eine Tendenz, die Weiterentwicklung der ISO/DIS und deren Eindringen in die eigenen Entwicklungsabteilungen zu behindern. Sollte nun in Zukunft in den USA, anders als im Rest der Welt, weiterhin ohne die ISO/DIS gearbeitet werden, so entstünde eine Verzerrung in den Entwicklungskosten. Es ist eben scheinbar billiger, nicht normkonform zu entwickeln. Konzentrieren wir uns im Folgenden aber auf die Hersteller außerhalb der USA und gehen davon aus, dass in den ISO-Gremien die notwendige Abstimmungsmehrheit für die Norm auch weiterhin zustande kommt. Spätestens mit der Publizierung von ISO 26262, voraussichtlich im März 2011, ist die Norm als Stand der Technik anzusehen und damit relevant in Produkthaftungsfällen. Es stellt sich nun für die Hersteller die Frage, welche Fahrzeuge bereits nach dieser Norm entwickelt werden müssen. Muss die Norm erst ab der Publizierung im Entwicklungsprozess beachtet werden, und wird sie somit erst auf Fahrzeugmodelle wirken, die Jahre später auf den Markt kommen? Es wäre überraschend, wenn sich ein Gericht einer solchen Argumentation anschließen würde. Viel naheliegender ist es anzunehmen, dass die Anwendung der Norm als Stand der Technik für alle Fahrzeuge erwartet wird, die ihren Produktionsstart (Start of Production, SOP) nach der Publizierung oder gar bereits nach dem FDIS haben. Dies hat weitreichende Konsequenzen für die gesamte Branche, da eine Fahrzeugentwicklung typischerweise drei Jahre dauert. Die Konsequenz ist, dass bereits in den Jahren vor 2011 nach ISO/DIS oder den Vorgängerversionen wie ISO/CD (Committee Draft) gearbeitet wird, um das Produkthaftungsrisiko zu minimieren. In der Praxis kommt daher bis zum Zeitpunkt der Publikation von ISO in aller Regel eine gemischte Vorgehensweise mit dem heutigen und dem zukünftigen Stand der Technik DIN EN und ISO/DIS zum Einsatz. Dies auch schon aus dem einfachen Grund, weil eine derartige Norm weitreichende Konsequenzen auf die Arbeitsweise hat und nicht von einem Tag auf den anderen umgesetzt werden kann. ISO/DIS selbst beinhaltet, dass die Norm für alle Systeme nicht anzuwenden ist, die vor dem Publizierungsdatum von ISO entwickelt wurden. Mit dieser Interpretation wäre eine spätere Anwendung der Norm möglich. Damit dürften die Autoren der Norm aber verkennen, dass der in der Norm beschriebene Stand der Technik in den Firmen bereits vor der Publizierung bekannt ist. Es ist außerdem unklar, wie zum Zeitpunkt der Publizierung von ISO laufende

25 2.2 Normen zur funktionalen Sicherheit 13 Projekte zu behandeln sind. Es ist sinnvoll, wenn die Anwender zu dieser Fragestellung den Hausjuristen hinzuziehen und für das Unternehmen eine ausdrückliche Entscheidung fällen, welche Norm worauf angewendet wird. Da die DIN EN bereits seit etlichen Jahren Stand der Technik ist, hätten alle in den letzten Jahren entwickelten Produkte danach entwickelt werden müssen. Es ist nicht realistisch, den Sicherheitsnachweis nachträglich zu führen. Wir empfehlen, vorbeugend für eventuelle Haftungsfälle die Betriebsbewährtheit zu dokumentieren. ISO/DIS ist anwendbar auf sicherheitsbezogene Systeme, die ein oder mehrere E/E-Systeme einschließen und die in Serien-Personenkraftwagen (series production passenger cars) mit einem maximalen zulässigen Gesamtgewicht von 3,5 Tonnen installiert werden [URL: EG Betriebserlaubnis]. Die Norm versteht unter einem Personenkraftwagen ein Fahrzeug, das vor allem zum Transport von Personen einschließlich ihres Gepäcks und ihrer Waren konstruiert ist und neben dem Fahrer nicht mehr als acht Sitzplätze und keine Stehplätze hat. Ausdrücklich ausgenommen sind Spezialentwicklungen von E/E- Systemen (unique E/E systems) für Sonderfahrzeuge, wie z. B. Behindertenfahrzeuge. Lastwagen und Busse liegen außerhalb des Anwendungsbereichs, genauso wie Motorräder und landwirtschaftliche Zugund Arbeitsmaschinen. Für Gefahrguttransporter gelten zusätzliche Anforderungen [URL: TeS-BAM]. ISO/DIS behandelt mögliche Gefährdungen, die durch Ausfälle der sicherheitsbezogenen E/E-Systeme bedingt sind. Die ISO/DIS ist die Reaktion auf die große Unsicherheit der Automotive-Industrie, wie die in den 1990er-Jahren verabschiedete IEC für Straßenfahrzeuge zu interpretieren ist. Sie soll die Risiken aus der Produkthaftung kalkulierbarer machen und die Aufwände zur Erzielung funktionaler Sicherheit auf ein sinnvolles Maß beschränken. Weiter soll ein Konsens über die Interpretation von Sicherheit, Risiko und Maßnahmen zur funktionalen Sicherheit in der Automotive-Industrie erzielt werden. Ohne die ISO/DIS ist der Stand der Technik in der Branche unklar. Die DIN EN ist primär unter der impliziten Annahme aufgestellt worden, dass es sich bei der Anwendung der Norm um die Entwicklung, Inbetriebnahme und Nutzung einer Anlage (z. B. einer chemischen Anlage) handelt. Straßenfahrzeuge, und speziell PKW, werden aber nicht nur einmal installiert und dann betrieben, sondern auch in einer sehr viel größeren Stückzahl, z. B. einige hunderttausend Mal. Es ist naheliegend, dass der eigentliche Entwicklungsprozess die redun- Praxistipp Geltungsbereich Unsichere Interpretation der DIN EN Serienprodukt

26 14 2 Funktionale Sicherheit im Überblick Nicht alles was machbar ist, muss auch gefordert werden Viele Steuergeräte im Fahrzeug Keine Trennung von E/E-System und Sicherheitsfunktion dante Auslegung von Komponenten im Fahrzeug berücksichtigen muss und auch z. B. Sicherheitsprüfungen dadurch eine ganz andere Ausgestaltung erfahren müssen. Man kann nicht jedes einzelne produzierte Fahrzeug einer Sicherheits-Gesamtvalidierung unterziehen. Wie ist also z. B. die Sicherheits-Gesamtvalidierung aus der DIN EN im Automotive-Kontext zu interpretieren? Die Antwort ist das Produkt-Release in der ISO/DIS 26262, mit dem in die Serienproduktion gegangen wird. Man kann auch nicht alle Systeme im Fahrzeug doppelt auslegen. Schließlich ist es offensichtlich gesellschaftlich akzeptiert, wie Autos heute konstruiert sind, und offensichtlich ist ein akzeptables Maß an Sicherheit auch ohne massive Redundanz zu erzielen. Ist Redundanz eine Lösung in einer einmal installierten chemischen Anlage, so ist sie keine Standardantwort im Automobil. Das Fahrzeug würde schwerer, teurer, komplizierter, und es ist noch die Frage, ob es sicherer würde. Insofern stand auch der Slogan»Nicht alles, was machbar ist, muss auch gefordert werden«pate bei der ISO/DIS Eingebettete Systeme mit Sensoren, Steuergeräten und Aktuatoren haben im Fahrzeug in den letzten 15 Jahren eine enorme Bedeutung bekommen. Erstens ist ihre Stückzahl in jedem Fahrzeug stark angestiegen, und zweitens sind sie häufig sicherheitsbezogen. Prominente Beispiele sind Antiblockiersysteme, elektronische Stabilitätsprogramme, Aktivlenkung, Abstandsregeltempomat oder auch die schon älteren Systeme wie Airbag und Fensterheber. In einem gut ausgestatteten Oberklassefahrzeug liegt die Anzahl der Steuergeräte im oberen, zweistelligen Bereich. Entwicklung und Test solcher Systeme sind in der DIN EN nicht angemessen adressiert, weshalb die ISO/DIS benötigt wird. DIN EN geht vom Modell der Anlage (Equipment Under Control, (EUC)) mit einem separaten Steuerungs- und Kontrollsystem aus. Dabei sind Sicherheitsfunktionen entweder im Steuerungssystem integriert oder separat umgesetzt. Dagegen hängt die Sicherheit des Fahrzeugs von der korrekten Arbeitsweise des elektronischen Systems selbst ab. Die Trennung zwischen elektronischem System und Sicherheitsfunktion ist im Automobil so nicht gegeben. ISO/DIS greift diese Realität auf und beschreibt die Anforderungen für diesen Kontext verständlich. Die ISO/DIS spricht daher auch konsequenterweise nicht von»equipment Under Control«(EUC) und»euc-leit- und Steuerungssystem«. ISO/DIS wird auf die»betrachtungseinheit«(item) angewendet. Die Betrachtungseinheit wiederum ist eine Menge von Systemen, ein einzelnes System oder eine oder mehrere Funktionen.