Braunschweiger Verkehrskolloquium Heinrich-Büssing -Spezial Fahrerassistenzsysteme in rechtlicher und normativer Sicht

Transkript

1 Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Braunschweiger Verkehrskolloquium Heinrich-Büssing -Spezial Fahrerassistenzsysteme in rechtlicher und normativer Sicht Technische Sicherheits- und Qualitätsanforderungen

2 Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Normen zu Safety Aspekten von Elektronik Automotive Safety Integrity Level (ASIL) für Fahrerassistenzsysteme nach ISO DIS Das Spektrum der Sicherheitsanforderungen, z. B. Management, Work-Products, Tools, Feldverhalten Technische Sicherheitsanforderungen handhaben Selbstverständliche Qualitätsanforderungen, auch für Nicht- Sicherheitssysteme Zusammenfassung Assistenz-F2

3 Sicherheit Sicherheit: Freiheit von unvertretbaren Risiken (DIN EN : ; Abschnitt 3.5.2) Risiko = Häufigkeit eines Schadens x Schadenausmaß (in Anlehnung an DIN EN : ; Abschnitt 3.1.5) Sicherheit wird direkt als Qualitätsmerkmal angesehen oder als Teil der Zuverlässigkeit, die Qualitätsmerkmal ist Sicherheit hat im Englischen zwei Entsprechungen Safety (Rechtsanspruch) Security Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der davon abhängig ist, dass ein System oder ein Betriebsmittel korrekte Antworten auf seine Eingangszustände liefert. (DIN EN Beiblatt 1: ; Abschnitt 3.1) Sicherheitsintegrität: Wahrscheinlichkeit, dass ein sicherheitsbezogenes System die geforderten Sicherheitsfunktionen unter allen festgelegten Bedingungen innerhalb eines festgelegten Zeitraumes anforderungsgemäß ausführt (DIN EN : ; Abschnitt 3.5.2) Sicherheitsintegrität = Zuverlässigkeit der Sicherheitsfunktion Qualität Zuverlässigkeit Security Sicherheit Safety Integrity Organizational Safety Safety Functional Safety Gerätesicherheit Assistenz-F3

4 Sicherheit bedeutet... Safety Schutz von Menschen Umwelt Anlagen vor negativen Auswirkungen der Technik Security Schutz der Information vor Zugriffen Diebstahl Manipulation Assistenz-F4

5 Stand der Technik IEC (7 Teile) Industrie übergreifend Sie ist die Mutter der folgenden anwendungsspezifischen Normen: IEC (3 Teile) Prozessindustrie wie Chemie, konventionelle Kraftwerke (z. B. Gasturbinen) IEC (1 Teil); ISO (2 Teile) Maschinen IEC 61513, IEC 62138, IEC Kerntechnik EN Elektrische Ausrüstung von Feuerungsanlagen DIN EN 50126, DIN EN 50128, DIN EN Eisenbahn ISO (ISO TC23 SC19, 4 Teile) Landwirtschaftliche Fahrzeuge ISO (ISO TC22 SC3, 10 Teile) Straßenfahrzeuge 1.5 anerkannte Regel der Technik technische Festlegung, die von einer Mehrheit repräsentativer Fachleute als Wiedergabe des Standes der Technik angesehen wird ANMERKUNG Ein normatives Dokument zu einem technischen Gegenstand wird zum Zeitpunkt seiner Annahme als der Ausdruck einer anerkannten Regel der Technik anzusehen sein, wenn es in Zusammenarbeit der betroffenen Interessen durch Umfrage- und Konsensverfahren erzielt wurde. Aus DIN EN 45020:2006 DIN EN Assistenz-F5

6 Sicherheitsstandards und Software Die Botschaft der Sicherheitsstandards Engineering statt Basteln! Assistenz-F6

7 Anliegen der Sicherheitsstandards Zur Vollständigkeit, Verständlichkeit und Realisierbarkeit der Aufgabe beitragen (Top Down Strukturierung, Review der Anforderungsspezifikation) Fehler im Design und Development vermeiden (Engineering, insbesondere SW Engineering) Trotzdem aufgetretene Fehler entdecken (Verifikation und Validierung (V&V), Assessment) Gefährliches kaputt gehen von Bauelementen in Grenzen halten (Bauelemente-Auswahl, Selbstüberwachung, Redundanz) Vorkehrungen treffen, um im Design und Development gemachte Fehler, die nicht entdeckt wurden, zu beherrschen (Selbstüberwachung, Diversität) Gute Prozesse etablieren bei Produzenten und Benutzern (Management Prozesse, Schnittstellenvereinbarungen) Assistenz-F7

8 Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Normen zu Safety Aspekten von Elektronik Automotive Safety Integrity Level (ASIL) für Fahrerassistenzsysteme nach ISO DIS Das Spektrum der Sicherheitsanforderungen, z. B. Management, Work- Products, Tools, Feldverhalten Technische Sicherheitsanforderungen handhaben Selbstverständliche Qualitätsanforderungen, auch für Nicht- Sicherheitssysteme Zusammenfassung Assistenz-F8

9 Die ISO Übersicht Titel der ISO ist Road vehicles Functional Safety. Die Norm hat zehn Teile. Der jetzt vorliegende Draft International Standard (DIS) erschien im Juli Der Standard ist für die Anwendung auf sicherheitsrelevante elektrische/elektronische Systeme (E/E-Systeme) in serienproduzierten Personenkraftfahrzeugen mit einem Gesamtgewicht von bis zu kg vorgesehen. Assistenz-F9

10 Die Teile der ISO Teil 1 enthält die Definitionen der Begriffe Teil 2 enthält die Vorgaben für die Arbeit des Managements Teil 3 befasst sich mit der Konzeptphase Teil 4 enthält die Vorgaben an das integrale E/E System (Hardware- / Software System) Teil 5 ist der Hardware Teil Teil 6 ist der Software Teil Teil 7 befasst sich mit den Anforderrungen an Produktion und Betrieb Teil 8 enthält die Vorgaben an die unterstützenden Prozesse Teil 9 befasst sich mit Analysen zum ASIL und zur Sicherheit Teil 10 ist informativ, enthält also keine normativen Vorgaben für die praktische Anwendung wegen der übergeordneten Gesichtspunkte hilfreich Assistenz-F10

11 1. Vocabulary 2. Management of functional safety 2-5 Overall Safety Management 2-6 Safety management during item development 2-7 Safety management after release for production 3. Concept phase 3-5 Item definition 3-6 Initiation of the safety lifecycle 3-7 Hazard analysis and risk assessment 3-8 Functional safety concept 4-5 Initiation of product development at the system level 4-6 Specification of the Technical safety requirements 4. Product development: System level 4-7 System design 4-8 Item Integration and Testing 5. Hardware level 5-5 Initiation of product development at the HW level 5-6 Specification of HW safety requirements 5-7 HW design 5-8 HW architectural metrics 5-9 Evaluation of violation of the safety goal due to random HW failures 5-10 HW integration and testing 4-11 Release for Production 4-10 Functional Safety Assessment 4-9 Safety Validation 6. Software level 6-5 Initiation of product development at the SW level 6-6 Specification of SW safety requirements 6-7 SW architectural design 6-8 SW unit design and implementation 6-9 SW unit testing 6-10 SW Integration and testing 6-11 Verification of SW Safety requirements 7. Production and Operation 7-5 Production 7-6 Operation, service (maintenance and repair) and decommissioning Core Processes 8-5 Interfaces within distributed developments 8-6 Specification and management of safety requirements 8-7 Configuration management 8-8 Change management 8-9 Verification 8. Supporting Processes 8-10 Documentation 8-11 Qualification of software tools 8-12 Qualification of software components 8-13 Qualification of hardware components 8-14 Proven in use argument 9-5 Requirements decomposition with respect to ASIL tailoring 9-6 Criteria for coexistence of elements 9. ASIL-oriented and safety-oriented analysis 9-7 Analysis of dependent failures 9-8 Safety analyses 10. Guideline on ISO (Informative)

12 ISO DIS Functional safety Functional safety requirement specification Part 3 Figure 3 - Hierarchy of safety goals and functional safety requirements 3-7 Results of hazard analysis and risk assessment 3-7 Safety goal A ASIL 3-7 Safety goal B ASIL Safety goal n ASIL 3-8 Functional safety requirement Assigned ASIL Allocated to subsystem 3-8 Functional safety requirement Assigned ASIL Allocated to subsystem 3-8 Functional safety requirement Assigned ASIL Allocated to subsystem Assistenz-F12

13 Defekt Ausfall (en: failure; random HW failure) inhärenter Fehler (en: fault) Spezifikationsfehler Missbrauch (en: misuse) Gefährdungsanalyse und Risikobeurteilung nicht gefährdend Versagen (en: failure; systematic failure) CCF (ISO ; 1.14) Controllability (ISO ; ) Gefährdung (en: hazard) potentielle Schadensquelle (IEC ; 3.1.2) Safety Analyses (ISO , 8) Schaden (en: harm) (IEC ; 3.1.1) Hazard Analyses (ISO , 7) Benutzungsweise des Steuergerätes Gefährlicher Vorfall (en: hazardous event) (IEC ; 3.1.4) Benutzungsweise des Fahrzeugs * sich in Sicherheit bringen; fliehen Risk Assessment (ISO ,???) Risiko (IEC ; 3.1.6) Schadenshäufigkeit (en: Probability of occurrence of harm) Schadensausmaß (en: Severity of harm) Sicherheit (en: safety) Freiheit von unvertretbaren Risiken (IEC ; ) Der Gefahr entgehen* Risikozumutung Gefahr (en: danger) Sachlage, bei der das Risiko größer als das Grenzrisiko ist. (VDI/VDE 3542 Blatt 4)

14 ASIL Determination

15 Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Lieferantenabstimmung über die ASILs verschiedener Assistenzsysteme (Veröffentlichung angekündigt bei Euroforum, Elektronik-Systeme im Automobil, Vortragsreihe Sichere Automobilelektronik, München ; die Veröffentlichung ist bisher nicht erfolgt ) OEM-Abstimmung über die ASILs verschiedener Assistenzsysteme Beide Abstimmungen kommen zu ähnlichen Ergebnissen Assistenz-F15

16 Konservativ Entscheiden Sicherheitstechnische Entscheidungsleitlinie In Zweifelsfällen müssen sicherheitstechnische Entscheidungen konservativ erfolgen, d. h. die (sicherheits-) technisch höherwertige Variante wird gewählt. Wenn kaufmännische oder terminorientierte Entscheidungen kurzfristig angelegt sind, widersprechen sie häufig den sicherheitstechnisch notwendigen Entscheidungen. Assistenz-F16

17 Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Normen zu Safety Aspekten von Elektronik Automotive Safety Integrity Level (ASIL) für Fahrerassistenzsysteme nach ISO DIS Das Spektrum der Sicherheitsanforderungen, z. B. Management, Work-Products, Tools, Feldverhalten Technische Sicherheitsanforderungen handhaben Selbstverständliche Qualitätsanforderungen, auch für Nicht- Sicherheitssysteme Zusammenfassung Assistenz-F17

18 Ist die ISO ausschließlich Sache der Elektroniker und Softwerker? Weil der Standard IS maßgeblich nicht nur nebenbei das Management adressiert ist das Management von diesem Standard betroffen (hauptsächlich Band 2) Weil die Aufgabenstellung für die Elektronik kein Selbstzweck ist sondern aus dem Fahrzeugkonzept resultiert sind die Fahrzeugfachleute von der ISO betroffen (hauptsächlich Band 3 und 4) Weil die Elektronik nicht nur den Elektronikern genügen soll, sind für das Akzeptieren der Elektronik auch die Fahrzeugfachleute erforderlich (hauptsächlich Band 4) Weil das Beurteilen der Gefährdung, die bei einer Fehlfunktion der Elektronik entsteht, Fahrzeug Sachverstand erfordert, sind von der ISO auch die Fahrzeugfachleute betroffen (hauptsächlich Band 3 und Band 9) Weil die Produktion nicht von Elektronik- oder Software Entwicklern erfolgt, ist auch die Produktion von der ISO betroffen (hauptsächlich Band 7) Assistenz-F18

19 Work Products nach ISO ISO nennt ca. 160 unterschiedliche Informationen; Beispiele Application manual Assessment report for capability of the production process Baseline for HW Baseline for SW Calibration data spec Change management plan Change report Change request Change request plan Code: Source Coding guideline Configuration data Configuration management plan Confirmation plan SW tool classification analysis SW tool documentation SW tool qualification plan SW tool qualification report System architecture System architecture assessment report on coping with the HW random failures System design spec System level integration and testing plan System requirements Assistenz-F19

20 Notwendigkeit / Bedarf Tool Qualifizierung Das für den ISO FDIS, Teil 8, Erwartete Den Tool Impact (TI) feststellen, das ist the possibility that a malfunction of a particular software tool can introduce or fail to detect errors in a safety-related item or element being developed. Die Tool error Detection (TD) feststellen, das ist the confidence in measures that prevent the software tool from malfunctioning and producing corresponding erroneous output, or in measures that detect that the software tool has malfunctioned and has produced corresponding erroneous output. Aus Tool Impact (TI) und Tool error Detection (TD) gemäß folgender Tabelle den notwendigen Tool Confidence Level (TCL) ermitteln: TD1 TD2 TD3 TI1 TCL1 TCL1 TCL1 TI2 TCL1 TCL2 TCL3 Assistenz-F20

21 Feldverhalten; Beispiel für Anforderungen in und 61508

22 Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Normen zu Safety Aspekten von Elektronik Automotive Safety Integrity Level (ASIL) für Fahrerassistenzsysteme nach ISO DIS Das Spektrum der Sicherheitsanforderungen, z. B. Management, Work- Products, Tools, Feldverhalten Technische Sicherheitsanforderungen handhaben Selbstverständliche Qualitätsanforderungen, auch für Nicht- Sicherheitssysteme Zusammenfassung Assistenz-F22

23 Vorgaben in Sicherheitsstandards Mengengerüst ISO 26262: 2009 [ASIL D] IEC 61508: [SIL 3] Teil Vorgaben Teil Vorgaben Teil Vorgaben 1./. 4./. 4./ IEC 61508: 2010 [SIL 3] Summe Assistenz-F23

24 Vorgaben in Software-Sicherheitsstandards Mengengerüst Standard Anzahl Gezählt mit Vorgaben IEC 61508, Teil 3, Ausgabe RiskCAT 61508, V5.9f IEC 61508, Teil 3, Ausgabe RiskCAT 61508, V6.2a ISO DIS 26262, Teil 6 (PKW) 291 RiskCAT 26262, V6.1a DIN EN (Bahn) 488 RiskCAT 50128, V6.1f IEC (Nuklear) 842 RiskCAT 60880, V5.9f Gezählt sind Mandatory und Highly Recommended Prescriptions Assistenz-F24

25 Vorschlag für die Arbeit mit Standards Für alle Arbeiten Vor Beginn der Arbeiten einen Überblick über den zur Diskussion stehenden Standard verschaffen, so wie es z. B. in Fachgesprächen oder Seminaren geschieht. Die für den anstehenden Arbeitsschritt relevanten Vorgaben aus dem Standard auswählen oder sich vergewissern, dass die Standards für den Arbeitsschritt keine Anleitung bieten. Das kann bei der aktuellen IEC z. B. für Hardwareaspekte der Fall sein. Von den ausgewählten Vorgaben eine Checkliste generieren oder sie ins Requirements Management aufnehmen. Werden für den anstehenden Arbeitsschritt relevante Vorgaben übergangen, die Motivation für das Übergehen notieren. Entwicklung von Produkten und Befähigung durch Prozesse Die ausgewählten Vorgaben bei der Entwicklung von Produkten und Bereitstellung von Prozessen berücksichtigen Verifikation & Validierung, QM, Beurteilung Das Erfüllen der ausgewählten Vorgaben in der Checkliste bzw. im Requirements Management notieren. Das erfüllende Work Product (mit einem Satz) referenzieren Die Übereinstimmung mit jeder Vorgabe, den Themen und der Norm insgesamt bewerten

26 Ablauf bei der Arbeit mit Standards Aufgabenstellung Entwicklung Prozess/Produkt Work Products V&V Ergebnisse bewerten Vorgaben filtern Verifikationsplan Validationsplan V & V V&V Ergebnisse Überprüfungsplan Handlungsanleitung Vorgaben filtern QS Plan Überprüfungsergebnisse Hersteller Überprüfer Qualitätssicherung Überprüfung QS Ergebnisse QS Ergebnisse bewerten Überprüferg. bewerten Assistenz-F26

27 Ablauf bei der Arbeit mit Standards Aufgabenstellung Entwicklung Prozess/Produkt Work Products V&V Ergebnisse bewerten Verifikationsplan Validationsplan V & V V&V Ergebnisse Vorgaben filtern RiskCAT QS Plan Qualitätssicherung QS Ergebnisse QS Ergebnisse bewerten Überprüfungsergebnisse Überprüfungsplan Überprüfung Überprüferg. bewerten Assistenz-F27

28 Funktionen und Aufbau von RiskCAT 1. Festlegen der erforderlichen Zuverlässigkeit / Sicherheit 2. Information über die Vorgaben 3. Auswählen von Vorgaben 4. Vergleichen von Vorgaben 5. Export der ausgewählten Vorgaben 6. Unterstützung, z. B. Begriffe nachschlagen RiskCAT Datenbank RiskCAT Programm z. B. zur IEC 61508, ISO 13849, ISO Projekt speichern / zurückladen Ausgewählte Vorgaben Rich text format für das Einbinden in Kundendokumente Schnittstellen zu Artisan Studio CaliberRM DOORS QualiCAT Assistenz-F28

29 Standard Vorgaben importiert in der UML / SysML Enzwicklungsumgebung Artisan Studio

30 Standard Vorgaben importiert im Requirements Management Tool Doors

31 Unterschiede in den Anforderungen bei verschiedenen ASILs Anzahl der Anforderungen Verbindlichkeitsgrad Erfüllungsschärfe Assistenz-F31

32 Ablauf bei der Arbeit mit Standards Aufgabenstellung Entwicklung Prozess/Produkt Work Products Vorgaben filtern Handlungsanleitung Verifikationsplan Validationsplan QS Plan Prüfung (V & V) Qualitätssicherung V&V Ergebnisse QS Ergebnisse Ergebnisse bewerten QualiCAT Vorgaben filtern Überprüfungsergebnisse Überprüfungsplan Überprüfung Assistenz-F32

33 Bewerten der erreichten Übereinstimmung

34 Bewerten der erreichten Übereinstimmung

35 Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Normen zu Safety Aspekten von Elektronik Automotive Safety Integrity Level (ASIL) für Fahrerassistenzsysteme nach ISO DIS Das Spektrum der Sicherheitsanforderungen, z. B. Management, Work- Products, Tools, Feldverhalten Technische Sicherheitsanforderungen handhaben Selbstverständliche Qualitätsanforderungen, auch für Nicht- Sicherheitssysteme Zusammenfassung Assistenz-F35

36 Sicherheits-Standards Sicherheits-Standards wie die IEC oder IEC dürfen nur Sicherheits-Aspekte festlegen. Sie dürfen das einfach nur dem Stand der Technik Entsprechende (Software-) Engineering nicht beschreiben. Dann und wann schreiben Arbeitsgruppen ihnen besonders wichtige allgemeine Dinge trotzdem in Sicherheits-Standards. Damit das ISO oder IEC Sekretariat das dann nicht streicht Ein dem Stand der Technik entsprechendes (Software-) Engineering wird selbstverständlich und deshalb meist auch unerwähnt vorausgesetzt. Nach dem Stand der Technik Übliches zu unterlassen nur weil es im Sicherheits-Standard nicht explizit benannt ist ist unzulässig. Im folgenden Abschnitt daher ein Ausflug zu Selbstverständlichkeiten Assistenz-F36

37 Fahrerassistenzsysteme Selbstverständlichkeiten Keep it simple Erlernbares Verhalten Durchschaubares Verhalten Konsistentes Verhalten Assistenz-F37

38 ISO/IEC JTC1/SC7

39 Functional Safety Management eine Anleitung zur Umsetzung VDI/VDE

40 Functional Safety Management eine weitere Anleitung zur Umsetzung Beschreibung des Zwecks des Zuverlässigkeitsprogramms im Handout VDI 4003

41 Functional Safety Management eine weitere Anleitung zur Umsetzung MIL 882

42 Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Normen zu Safety Aspekten von Elektronik Automotive Safety Integrity Level (ASIL) für Fahrerassistenzsysteme nach ISO DIS Das Spektrum der Sicherheitsanforderungen, z. B. Management, Work- Products, Tools, Feldverhalten Technische Sicherheitsanforderungen handhaben Selbstverständliche Qualitätsanforderungen, auch für Nicht- Sicherheitssysteme Zusammenfassung Assistenz-F42

43 Zusammenfassung aus England The right process, tools and people (qualified/trained) will turn out embedded systems faster and more reliably (better tested) than the low cost ad-hoc systems used now. Doing it properly is not expensive. It just requires discipline. (Aus einer von Chris Hills, Phaedrus Systems Ltd, vom 17. September 2008) Using the techniques commonly associated with safety critical and high reliability embedded development you can get reliable embedded systems to market on time and on budget at a lower cost than the usual low cost ad-hoc systems currently used. (Chris Hills, Phaedrus Systems Ltd, in der Ankündigung einer Roadshow vom 17. September 2008) Assistenz-F43